本申請涉及網(wǎng)絡(luò)通信
技術(shù)領(lǐng)域：
，特別涉及一種基于用戶組的網(wǎng)絡(luò)虛擬化方法和裝置。
背景技術(shù)：
：網(wǎng)絡(luò)虛擬化是指在一個物理網(wǎng)絡(luò)上模擬出多個邏輯網(wǎng)絡(luò)。目前比較常用的網(wǎng)絡(luò)虛擬化應(yīng)用包括虛擬局域網(wǎng)和虛擬專用網(wǎng)。其中，虛擬局域網(wǎng)和虛擬專用網(wǎng)實現(xiàn)虛擬化的方法均和端口相關(guān)。所述虛擬局域網(wǎng)基于交換機的物理端口來實現(xiàn)虛擬化，通過將交換機的物理端口進行劃分，生成若干個物理端口組，每一個物理端口組分別對應(yīng)一個虛擬局域網(wǎng)。其中，與任一物理端口組中的任一物理端口連接的用戶，均屬于與該物理端口組對應(yīng)的虛擬局域網(wǎng)。各虛擬局域網(wǎng)內(nèi)的用戶之間可以互訪，且用戶通常只知道自己所在的虛擬局域網(wǎng)。由于任一虛擬局域網(wǎng)內(nèi)的用戶，在不知道目標用戶所在的虛擬局域網(wǎng)的情況下，無法向所述目標用戶進行單播。因此，當屬于目標虛擬局域網(wǎng)的用戶在其它虛擬局域網(wǎng)進行登錄上網(wǎng)時，該用戶將無法訪問所述目標虛擬局域網(wǎng)的資源了。所述虛擬專用網(wǎng)基于pe(provideredge，運營商邊界設(shè)備)的端口來實現(xiàn)虛擬化。其中，所述pe可以是路由器、防火墻等，所述端口可以是物理端口，也可以是虛擬端口，每個端口可以對應(yīng)一個vpn站點。假設(shè)站點1和站點2之間需要建立vpn隧道，站點3和站點4之間需要建立vpn隧道，站點1對應(yīng)端口1，站點2對應(yīng)端口2，站點3對應(yīng)端口3，站點4對應(yīng)端口4，站點1的用戶和站點2的用戶之間可以通信，站點3的用戶和站點4的用戶之間可以通信。如果站點1的用戶在站點3進行登錄，由于站點2和站點3之間沒有建立vpn隧道，因此，該用戶無法通過在站點3登錄后與站點2的用戶進行通信。因此，現(xiàn)有的網(wǎng)絡(luò)虛擬化技術(shù)中，當用戶進行登錄時，所使用終端的目標網(wǎng)絡(luò)發(fā)生改變，或者所使用終端的位置發(fā)生改變時，所述用戶均可能無法訪問到在所使用終端的目標網(wǎng)絡(luò)和所使用終端的位置均未發(fā)生改變時所能訪問到的資源。技術(shù)實現(xiàn)要素：有鑒于此，本申請?zhí)峁┮环N基于用戶組的網(wǎng)絡(luò)虛擬化的方法和裝置，應(yīng)用于網(wǎng)關(guān)設(shè)備，采用本申請?zhí)岢龅募夹g(shù)方法，用戶無論在任何網(wǎng)絡(luò)或者任何位置認證登錄后，用戶均可以匹配到為該用戶配置的用戶組，由于用戶組不會因為所使用戶終端的目標網(wǎng)絡(luò)或者所使用終端的位置的改變而發(fā)生變化，因此，用戶可以在任何網(wǎng)絡(luò)或者任何位置訪問到目標資源。具體地，本申請是通過如下技術(shù)方案實現(xiàn)的：一種基于用戶組的網(wǎng)絡(luò)虛擬化的方法，應(yīng)用于網(wǎng)關(guān)設(shè)備，其特征在于，所述網(wǎng)關(guān)設(shè)備預(yù)配置了針對待認證用戶劃分出的若干用戶組，包括：基于劃分出的若干用戶組將目標網(wǎng)絡(luò)劃分為若干虛擬網(wǎng)絡(luò)；其中，各虛擬網(wǎng)絡(luò)分別對應(yīng)不同的用戶組；不同的虛擬網(wǎng)絡(luò)的轉(zhuǎn)發(fā)表相互隔離；在所述目標用戶發(fā)送的接入認證請求通過認證后，確定所述目標用戶所屬的目標用戶組；基于所述接入認證請求為所述目標用戶創(chuàng)建轉(zhuǎn)發(fā)表項；將所述轉(zhuǎn)發(fā)表項添加至所述目標用戶組對應(yīng)的虛擬網(wǎng)絡(luò)的轉(zhuǎn)發(fā)表中，并在所述虛擬網(wǎng)絡(luò)中轉(zhuǎn)發(fā)所述目標用戶發(fā)送的報文。一種基于用戶組的網(wǎng)絡(luò)虛擬化的裝置，應(yīng)用于網(wǎng)關(guān)設(shè)備，其特征在于，所述網(wǎng)關(guān)設(shè)備預(yù)配置了針對待認證用戶劃分出的若干用戶組，包括：劃分單元，用于基于劃分出的若干用戶組將目標網(wǎng)絡(luò)劃分為若干虛擬網(wǎng)絡(luò)；其中，各虛擬網(wǎng)絡(luò)分別對應(yīng)不同的用戶組；不同的虛擬網(wǎng)絡(luò)的轉(zhuǎn)發(fā)表相互隔離；確定單元，用于在所述目標用戶發(fā)送的接入認證請求通過認證后，確定所述目標用戶所屬的目標用戶組；創(chuàng)建單元，用于基于所述接入認證請求為所述目標用戶創(chuàng)建轉(zhuǎn)發(fā)表項；添加單元，用于將所述轉(zhuǎn)發(fā)表項添加至所述目標用戶組對應(yīng)的虛擬網(wǎng)絡(luò)的轉(zhuǎn)發(fā)表中，并在所述虛擬網(wǎng)絡(luò)中轉(zhuǎn)發(fā)所述目標用戶發(fā)送的報文。由以上本申請?zhí)峁┑募夹g(shù)方法可見，網(wǎng)關(guān)設(shè)備基于預(yù)配置的用戶組對目標網(wǎng)絡(luò)進行虛擬化時，可以為各用戶組分配轉(zhuǎn)發(fā)表，當目標用戶通過接入認證后，網(wǎng)關(guān)設(shè)備可以基于所述目標用戶的用戶標識確定所述目標用戶所在的目標用戶組。然后，網(wǎng)關(guān)設(shè)備可以為所述目標用戶創(chuàng)建轉(zhuǎn)發(fā)表項；其中，所述轉(zhuǎn)發(fā)表項與所述目標用戶進行登錄時所使用的終端設(shè)備的改變而改變，并將所述轉(zhuǎn)發(fā)表項添加至與所述目標用戶組對應(yīng)的虛擬網(wǎng)絡(luò)的轉(zhuǎn)發(fā)表中，最后，網(wǎng)關(guān)設(shè)備可以將所述用戶發(fā)送的報文在所述目標用戶組對應(yīng)的虛擬網(wǎng)絡(luò)中進行轉(zhuǎn)發(fā)。采用本申請?zhí)峁┑募夹g(shù)方法，用戶無論在任何網(wǎng)絡(luò)或者任何位置認證登錄后，用戶均可以匹配到為該用戶配置的用戶組，由于用戶組不會因為所使用戶終端的目標網(wǎng)絡(luò)或者所使用終端的位置的改變而發(fā)生變化，因此，用戶可以在任何網(wǎng)絡(luò)或者任何位置訪問到目標資源。附圖說明圖1為本申請實施例示出的一種基于用戶組的網(wǎng)絡(luò)虛擬化的方法流程圖；圖2為本申請實施例示出的一種應(yīng)用場景示意圖；圖3為本申請一種基于用戶組的網(wǎng)絡(luò)虛擬化的裝置所在網(wǎng)關(guān)設(shè)備的一種硬件結(jié)構(gòu)圖；圖4為本申請實施例示例性示出的一種基于用戶組的網(wǎng)絡(luò)虛擬化的裝置。具體實施方式這里將詳細地對示例性實施例進行說明，其示例表示在附圖中。下面的描述涉及附圖時，除非另有表示，不同附圖中的相同數(shù)字表示相同或相似的要素。以下示例性實施例中所描述的實施方式并不代表與本申請相一致的所有實施方式。相反，它們僅是與如所附權(quán)利要求書中所詳述的、本申請的一些方面相一致的裝置和方法的例子。在本申請使用的術(shù)語是僅僅出于描述特定實施例的目的，而非旨在限制本申請。在本申請和所附權(quán)利要求書中所使用的單數(shù)形式的“一種”、“所述”和“該”也旨在包括多數(shù)形式，除非上下文清楚地表示其他含義。還應(yīng)當理解，本文中使用的術(shù)語“和/或”是指并包含一個或多個相關(guān)聯(lián)的列出項目的任何或所有可能組合。應(yīng)當理解，盡管在本申請可能采用術(shù)語第一、第二、第三等來描述各種信息，但這些信息不應(yīng)限于這些術(shù)語。這些術(shù)語僅用來將同一類型的信息彼此區(qū)分開。例如，在不脫離本申請范圍的情況下，第一信息也可以被稱為第二信息，類似地，第二信息也可以被稱為第一信息。取決于語境，如在此所使用的詞語“如果”可以被解釋成為“在……時”或“當……時”或“響應(yīng)于確定”。本申請中所述的網(wǎng)絡(luò)虛擬化是指在一個物理網(wǎng)絡(luò)上模擬出多個邏輯網(wǎng)絡(luò)。在現(xiàn)有技術(shù)中，比較常用的網(wǎng)絡(luò)虛擬化應(yīng)用包括虛擬局域網(wǎng)和虛擬專用網(wǎng)。其中，所述虛擬局域網(wǎng)基于交換機的物理端口來實現(xiàn)虛擬化，通過將交換機的物理端口進行劃分，生成若干個物理端口組，每一個物理端口組分別對應(yīng)一個虛擬局域網(wǎng)。其中，與任一物理端口組中的任一物理端口連接的用戶，均屬于與該物理端口組對應(yīng)的虛擬局域網(wǎng)。各虛擬局域網(wǎng)內(nèi)的用戶之間可以互訪，且用戶通常只知道自己所在的虛擬局域網(wǎng)。由于任一虛擬局域網(wǎng)內(nèi)的用戶，在不知道目標用戶所在的虛擬局域網(wǎng)的情況下，無法向所述目標用戶進行單播。因此，當屬于目標虛擬局域網(wǎng)的用戶在其它虛擬局域網(wǎng)進行登錄上網(wǎng)時，該用戶將無法訪問所述目標虛擬局域網(wǎng)的資源。所述虛擬專用網(wǎng)基于pe(provideredge，運營商邊界設(shè)備)的端口來實現(xiàn)虛擬化。其中，所述pe可以是路由器、防火墻等，所述端口可以是物理端口，也可以是虛擬端口，每個端口可以對應(yīng)一個vpn站點。假設(shè)站點1和站點2之間需要建立vpn隧道，站點3和站點4之間需要建立vpn隧道，站點1對應(yīng)端口1，站點2對應(yīng)端口2，站點3對應(yīng)端口3，站點4對應(yīng)端口4，站點1的用戶和站點2的用戶之間可以通信，站點3的用戶和站點4的用戶之間可以通信。如果站點1的用戶在站點3進行登錄，由于站點2和站點3之間沒有建立vpn隧道，因此，該用戶無法通過在站點3登錄后與站點2的用戶進行通信。由此可見，現(xiàn)有的網(wǎng)絡(luò)虛擬化技術(shù)中，當用戶進行登錄時，所使用終端的目標網(wǎng)絡(luò)發(fā)生改變，或者所使用終端的位置發(fā)生改變時，所述用戶均可能無法訪問到在所使用終端的目標網(wǎng)絡(luò)和所使用終端的位置均未發(fā)生改變時所能訪問到的資源。為了解決現(xiàn)有技術(shù)中的問題，本申請?zhí)岢隽艘环N基于用戶組的網(wǎng)絡(luò)虛擬化的方法，應(yīng)用于網(wǎng)關(guān)設(shè)備，其中，所述網(wǎng)關(guān)設(shè)備預(yù)配置了針對待認證用戶劃分出的若干用戶組，所述方法包括：基于劃分出的若干用戶組將目標網(wǎng)絡(luò)劃分為若干虛擬網(wǎng)絡(luò)；其中，各虛擬網(wǎng)絡(luò)分別對應(yīng)不同的用戶組；不同的虛擬網(wǎng)絡(luò)的轉(zhuǎn)發(fā)表相互隔離；確定接入認證通過的目標用戶所屬的目標用戶組；在所述目標用戶組對應(yīng)的目標虛擬網(wǎng)絡(luò)的轉(zhuǎn)發(fā)表中，為所述目標用戶創(chuàng)建轉(zhuǎn)發(fā)表項，并基于創(chuàng)建的轉(zhuǎn)發(fā)表項轉(zhuǎn)發(fā)所述目標用戶在所述目標虛擬網(wǎng)絡(luò)中發(fā)送的報文。采用本申請?zhí)峁┑募夹g(shù)方法，用戶無論在任何網(wǎng)絡(luò)或者任何位置認證登錄后，用戶均可以匹配到為該用戶配置的用戶組，由于用戶組不會因為所使用戶終端的目標網(wǎng)絡(luò)或者所使用終端的位置的改變而發(fā)生變化，因此，用戶可以在任何網(wǎng)絡(luò)或者任何位置訪問到目標資源。例如，根據(jù)本申請?zhí)峁┑募夹g(shù)方法，假設(shè)用戶屬于用戶組a，用戶組a中的用戶可以訪問資源e，用戶組b中的用戶無法訪問資源e，用戶默認情況下通常通過虛擬網(wǎng)絡(luò)a的終端登錄訪問資源e，如果用戶此時使用虛擬網(wǎng)絡(luò)b的終端進行登錄訪問資源e，用戶仍然可以訪問到資源e。根據(jù)本申請的技術(shù)方法，用戶無論通過虛擬網(wǎng)絡(luò)a的終端登錄訪問資源e，還是通過虛擬網(wǎng)絡(luò)b的終端登錄訪問資源e，用戶均能匹配到用戶組a，因此，用戶可以在任何網(wǎng)絡(luò)或者任何位置訪問到目標資源。以下通過具體的實施例和示意圖對本申請?zhí)岢龅募夹g(shù)方法進行描述。請參見圖1，圖1為本申請實施例示出的一種基于用戶組的網(wǎng)絡(luò)虛擬化的方法流程圖，應(yīng)用于網(wǎng)關(guān)設(shè)備，其中，所述網(wǎng)關(guān)設(shè)備預(yù)配置了針對待認證用戶劃分出的若干用戶組。具體執(zhí)行以下步驟：步驟101：基于劃分出的若干用戶組將目標網(wǎng)絡(luò)劃分為若干虛擬網(wǎng)絡(luò)；其中，各虛擬網(wǎng)絡(luò)分別對應(yīng)不同的用戶組；不同的虛擬網(wǎng)絡(luò)的轉(zhuǎn)發(fā)表相互隔離；步驟102：在所述目標用戶發(fā)送的接入認證請求通過認證后，確定所述目標用戶所屬的目標用戶組；步驟103：基于所述接入認證請求為所述目標用戶創(chuàng)建轉(zhuǎn)發(fā)表項；步驟104：將所述轉(zhuǎn)發(fā)表項添加至所述目標用戶組對應(yīng)的虛擬網(wǎng)絡(luò)的轉(zhuǎn)發(fā)表中，并在所述虛擬網(wǎng)絡(luò)中轉(zhuǎn)發(fā)所述目標用戶發(fā)送的報文。在本申請中，用戶預(yù)先在網(wǎng)關(guān)設(shè)備上配置了針對待認證用戶劃分出的若干用戶組，其中所述若干用戶組的劃分可以根據(jù)實際需求進行調(diào)整。網(wǎng)關(guān)設(shè)備啟動時，可以基于劃分出的若干用戶組將目標網(wǎng)絡(luò)劃分為若干虛擬網(wǎng)絡(luò)，其中，每個虛擬網(wǎng)絡(luò)分別對應(yīng)不同的用戶組，各虛擬網(wǎng)絡(luò)分別對應(yīng)不同的轉(zhuǎn)發(fā)表，不同的虛擬網(wǎng)絡(luò)的轉(zhuǎn)發(fā)表相互隔離。當目標網(wǎng)絡(luò)中的待認證目標用戶發(fā)送接入認證請求時，網(wǎng)關(guān)設(shè)備可以對所述接入認證請求進行認證，并在所述接入認證請求認證通過后，確定所述目標用戶所屬的目標用戶組，以及為所述目標用戶創(chuàng)建轉(zhuǎn)發(fā)表項，然后將所述創(chuàng)建的轉(zhuǎn)發(fā)表項添加至所述目標用戶組對應(yīng)的虛擬網(wǎng)絡(luò)的轉(zhuǎn)發(fā)表，以及所述目標用戶可訪問的其它用戶組對應(yīng)的虛擬網(wǎng)絡(luò)的轉(zhuǎn)發(fā)表。當網(wǎng)關(guān)設(shè)備接收到的報文匹配中所述轉(zhuǎn)發(fā)表項時，基于所述轉(zhuǎn)發(fā)表項在所述虛擬網(wǎng)絡(luò)中進行轉(zhuǎn)發(fā)。在示出的一種實施方式中，用戶可以在網(wǎng)關(guān)設(shè)備上預(yù)先配置若干用戶組，例如，對于一個公司而言，可以依據(jù)公司職能將全體員工劃分為財務(wù)部，市場部，行政部等用戶分組，各用戶組中包括若干待認證用戶的用戶標識，比如市場部對應(yīng)的用戶組中包括了若干市場部的成員的姓名以及其它個人信息。其中，所述網(wǎng)關(guān)設(shè)備上配置了目標網(wǎng)絡(luò)。當網(wǎng)關(guān)設(shè)備啟動時，網(wǎng)關(guān)設(shè)備可以根據(jù)所述預(yù)先配置的若干用戶組，將目標網(wǎng)絡(luò)劃分為若干虛擬網(wǎng)絡(luò)。在本申請中，所述虛擬網(wǎng)絡(luò)為vpn(virtualprivatenetwork，虛擬專用網(wǎng)絡(luò))。其中，各虛擬網(wǎng)絡(luò)分別對應(yīng)不同的轉(zhuǎn)發(fā)表，所述轉(zhuǎn)發(fā)表用于屬于所述目標網(wǎng)絡(luò)的待認證用戶通過接入認證請求后，存放網(wǎng)關(guān)設(shè)備為所述目標用戶創(chuàng)建的轉(zhuǎn)發(fā)表項。不同的虛擬網(wǎng)絡(luò)的轉(zhuǎn)發(fā)表之間相互隔離。例如，在實際應(yīng)用中，假設(shè)網(wǎng)關(guān)設(shè)備上配置的目標網(wǎng)絡(luò)為ip地址為192.168.1.0/24的目標網(wǎng)絡(luò)?，F(xiàn)在網(wǎng)關(guān)設(shè)備上預(yù)配置了3個用戶組，分別為財務(wù)部、市場部和行政部，當網(wǎng)關(guān)設(shè)備啟動時，網(wǎng)關(guān)設(shè)備可以分別為財政部、市場部和行政部創(chuàng)建對應(yīng)的vpn，對上述目標網(wǎng)絡(luò)執(zhí)行虛擬化。在這種情況下，上述轉(zhuǎn)發(fā)表，具體可以是分別為財政部、市場部和行政部所對應(yīng)的虛擬網(wǎng)絡(luò)創(chuàng)建的轉(zhuǎn)發(fā)表。在本申請中，屬于所述目標網(wǎng)絡(luò)的用戶發(fā)送的信息均經(jīng)過網(wǎng)關(guān)設(shè)備，由網(wǎng)關(guān)設(shè)備對接收到的信息進行處理后再進行轉(zhuǎn)發(fā)。其中，所述網(wǎng)關(guān)設(shè)備具有認證功能，屬于所述目標網(wǎng)絡(luò)的任一用戶上線時，均需要先由網(wǎng)關(guān)設(shè)備對所述用戶進行身份認證。網(wǎng)關(guān)設(shè)備對用戶進行身份認證時可以采用各種認證機制以及相應(yīng)的認證協(xié)議和接入認證方式，比如認證機制可以采用基于口令的身份認證機制、挑戰(zhàn)/響應(yīng)認證機制、公鑰認證機制等，認證協(xié)議可以采用kerberos協(xié)議、ldap協(xié)議等，接入認證方式可以采用802.1x、portal等局域網(wǎng)接入認證方式、triple接入認證技術(shù)等。在本申請中，對網(wǎng)關(guān)設(shè)備所采用的認證機制、認證協(xié)議和接入認證技術(shù)不進行限定。對于所述各種認證機制、認證協(xié)議和接入認證方式為現(xiàn)有技術(shù)，在此不再進行贅述。在實現(xiàn)時，屬于所述目標網(wǎng)絡(luò)的任一目標用戶上線時，該目標用戶可以在用戶終端中輸入用戶信息，然后通過用戶終端向網(wǎng)關(guān)設(shè)備發(fā)送攜帶用戶信息的接入認證請求。在本申請示出的實施方式中，當網(wǎng)關(guān)設(shè)備接收到接入認證請求時，網(wǎng)關(guān)設(shè)備可以對所述接入認證請求進行驗證。具體地，網(wǎng)關(guān)設(shè)備可以解析所述接入認證請求并從所述接入認證請求中獲取用戶信息，然后對所述用戶信息進行驗證。如果所述接入認證請求認證通過，網(wǎng)關(guān)設(shè)備可以根據(jù)所述用戶信息中的用戶標識，在預(yù)先配置的若干用戶組中查找與所述用戶標識對應(yīng)的目標用戶組。例如，對于一個公司而言，可以依據(jù)公司職能將全體員工劃分為財務(wù)部，市場部，行政部等用戶分組，假設(shè)網(wǎng)關(guān)設(shè)備接收到張三發(fā)送的接入認證請求，而張三是財務(wù)部的職員，因此，網(wǎng)關(guān)設(shè)備可以根據(jù)張三這個用戶標識查找到財務(wù)部對應(yīng)的用戶組。當網(wǎng)關(guān)設(shè)備確定所述目標用戶所屬的目標用戶組后，網(wǎng)關(guān)設(shè)備可以從所述目標用戶發(fā)送的接入認證請求中讀取到所述目標用戶的源ip、源mac地址、所述目標用戶所屬的vlan(virtuallocalareanetwork，虛擬局域網(wǎng))以及網(wǎng)關(guān)設(shè)備接收到所述接入認證請求的入接口。然后，網(wǎng)關(guān)設(shè)備可以基于獲取到的信息按照預(yù)設(shè)的格式為所述目標用戶創(chuàng)建轉(zhuǎn)發(fā)表項。請參見表1，表1為本申請實施例示出的轉(zhuǎn)發(fā)表項格式示意表。目的ip目的mac出接口vlan192.168.1.600:24:ac:23:1a:08giga0_110表1當網(wǎng)關(guān)設(shè)備為所述目標用戶創(chuàng)建完轉(zhuǎn)發(fā)表項后，網(wǎng)關(guān)設(shè)備可以將所述轉(zhuǎn)發(fā)表項添加至所述目標用戶組對應(yīng)的虛擬網(wǎng)絡(luò)的轉(zhuǎn)發(fā)表。例如，對于一個公司而言，可以依據(jù)公司職能將全體員工劃分為財務(wù)部，市場部，行政部等用戶分組，假設(shè)網(wǎng)關(guān)設(shè)備為張三創(chuàng)建了轉(zhuǎn)發(fā)表項后，其中，張三是財務(wù)部的職員，那么網(wǎng)關(guān)設(shè)備可以將為張三創(chuàng)建的轉(zhuǎn)發(fā)表項添加至財務(wù)部對應(yīng)的虛擬網(wǎng)絡(luò)的轉(zhuǎn)發(fā)表中。請參見表2，表2為本申請實施例示出的虛擬網(wǎng)絡(luò)的轉(zhuǎn)發(fā)表示意表。表2通常，在同一個用戶組(同一個虛擬網(wǎng)絡(luò))中的用戶之間可以互訪，比如表2中，張三和李四均為財務(wù)部的職員，那么張三和李四之間可以互訪。而張三和王五分別為財務(wù)部和市場部的職員，即張三和王五在不同的虛擬網(wǎng)絡(luò)中，那么張三和王五之間不能互訪。然而，在實際應(yīng)用中，用戶組內(nèi)的用戶除了需要訪問同一用戶組內(nèi)的其它用戶之外，還需要訪問互聯(lián)網(wǎng)和其它用戶組內(nèi)的用戶。在這樣的情況下，需要對用戶組對應(yīng)的虛擬網(wǎng)絡(luò)的轉(zhuǎn)發(fā)表進一步進行完善。1)、配置路由轉(zhuǎn)發(fā)表項當目標用戶需要訪問互聯(lián)網(wǎng)時，由于目標用戶所在的目標用戶組對應(yīng)的虛擬網(wǎng)絡(luò)的轉(zhuǎn)發(fā)表中沒有對應(yīng)的轉(zhuǎn)發(fā)表項，因此，在本申請中，當任一用戶組中的用戶需要訪問互聯(lián)網(wǎng)時，在該用戶組對應(yīng)的虛擬網(wǎng)絡(luò)的轉(zhuǎn)發(fā)表中添加預(yù)先配置的網(wǎng)關(guān)設(shè)備的靜態(tài)路由轉(zhuǎn)發(fā)表項。同樣地，網(wǎng)關(guān)設(shè)備也可以通過動態(tài)獲取路由轉(zhuǎn)發(fā)表項的方式，自動獲取本設(shè)備的路由轉(zhuǎn)發(fā)表項，然后將獲取到的動態(tài)路由轉(zhuǎn)發(fā)表項添加至該用戶組對應(yīng)的虛擬網(wǎng)絡(luò)的轉(zhuǎn)發(fā)表中。當接收到目標用戶發(fā)送的訪問互聯(lián)網(wǎng)的報文時，網(wǎng)關(guān)設(shè)備可以查找到該目標用戶所在的用戶組對應(yīng)虛擬網(wǎng)絡(luò)的轉(zhuǎn)發(fā)表中的路由轉(zhuǎn)發(fā)表項，然后，基于所述路由轉(zhuǎn)發(fā)表項將接收到的報文進行轉(zhuǎn)發(fā)。在本申請中，當網(wǎng)關(guān)設(shè)備將用戶組內(nèi)的用戶發(fā)送至互聯(lián)網(wǎng)的報文進行發(fā)送時，網(wǎng)關(guān)設(shè)備可以根據(jù)所述報文中的五元組(源ip、目的ip、源端口、目的端口、協(xié)議類型)、源mac、目的mac、入接口等信息，建立會話轉(zhuǎn)發(fā)表項。當網(wǎng)關(guān)設(shè)備接收到互聯(lián)網(wǎng)返回的報文時，網(wǎng)關(guān)設(shè)備可以將所述報文與之前建立的會話轉(zhuǎn)發(fā)表項進行匹配，然后，網(wǎng)關(guān)設(shè)備可以根據(jù)匹配到的會話轉(zhuǎn)發(fā)表項將所述報文進行會話轉(zhuǎn)發(fā)，所述建立會話轉(zhuǎn)發(fā)表項技術(shù)和會話轉(zhuǎn)發(fā)技術(shù)請參考相關(guān)現(xiàn)有技術(shù)，在本申請中不再進行闡述。2)、訪問其它用戶組中的用戶在本申請實施例示出的一種實施方式中，各用戶組預(yù)先配置了互訪屬性字段，所述互訪屬性字段用于確定可互訪的用戶組，其中，所述互訪屬性的具體格式在本申請中不進行限定。在一種可選的方式中，所述互訪屬性的格式可以是1:1；2:2…或者a:a；b:b…等。當兩個用戶組的互訪屬性之間存在交集，那么說明這兩個用戶組中的用戶可以互訪，反之，當兩個用戶組的互訪屬性之間不存在交集，那么說明這兩個用戶組中的用戶不可以互訪。例如，假設(shè)用戶組a的互訪屬性為1:1；2:2，用戶組b的互訪屬性為1:1，由于用戶組a和用戶組b的互訪屬性存在交集1:1，那么用戶組a中的用戶與用戶組b中的用戶之間可以互訪。假設(shè)用戶組a的互訪屬性為1:1；2:2，用戶組b的互訪屬性為3:3，由于用戶組a和用戶組b的互訪屬性不存在交集，那么用戶組a中的用戶與用戶組b中的用戶之間不可以互訪。在該實施方式中，當網(wǎng)關(guān)設(shè)備接收到目標用戶發(fā)送的接入認證請求，并確定所述目標用戶所屬的目標用戶組后，網(wǎng)關(guān)設(shè)備可以獲取所述目標用戶組的互訪屬性字段中的互訪屬性，然后將所述目標用戶組的互訪屬性與其它用戶組的互訪屬性進行匹配，查找到與所述目標用戶組的互訪屬性匹配的用戶組，即與所述目標用戶組的互訪屬性存在交集的用戶組。如果查找到匹配的用戶組，網(wǎng)關(guān)設(shè)備在將為所述目標用戶創(chuàng)建完的轉(zhuǎn)發(fā)表項添加至所述目標用戶組對應(yīng)的虛擬網(wǎng)絡(luò)的轉(zhuǎn)發(fā)表中后，可以將所述轉(zhuǎn)發(fā)表項添加至查找到的匹配的用戶組對應(yīng)的虛擬網(wǎng)絡(luò)的轉(zhuǎn)發(fā)表中。如果沒有查找到匹配的用戶組，網(wǎng)關(guān)設(shè)備只需要將為所述目標用戶創(chuàng)建完的轉(zhuǎn)發(fā)表項添加至所述目標用戶組對應(yīng)的虛擬網(wǎng)絡(luò)的轉(zhuǎn)發(fā)表中。在該實施例中，各用戶組的互訪屬性可以進行修改。當網(wǎng)關(guān)設(shè)備檢測到所述目標用戶組的互訪屬性發(fā)生變化時，網(wǎng)關(guān)設(shè)備可以在所述目標用戶組對應(yīng)的虛擬網(wǎng)絡(luò)的轉(zhuǎn)發(fā)表中，將添加至所述目標用戶組對應(yīng)的虛擬網(wǎng)絡(luò)的轉(zhuǎn)發(fā)表中的屬于其它用戶組的轉(zhuǎn)發(fā)表項進行刪除。同時，網(wǎng)關(guān)設(shè)備也可以在其它用戶組對應(yīng)的虛擬網(wǎng)絡(luò)的轉(zhuǎn)發(fā)表中，將屬于所述目標用戶組的轉(zhuǎn)發(fā)表項進行刪除。然后，網(wǎng)關(guān)設(shè)備可以基于所述目標用戶組變化后的互訪屬性，重新查找與所述目標用戶組變化后的互訪屬性匹配的用戶組。當網(wǎng)關(guān)設(shè)備重新查找到匹配的用戶組后，網(wǎng)關(guān)設(shè)備可以將屬于所述目標用戶組中的轉(zhuǎn)發(fā)表項，添加至所述重新查找到的用戶組對應(yīng)的虛擬網(wǎng)絡(luò)的轉(zhuǎn)發(fā)表中。同時，網(wǎng)關(guān)設(shè)備可以將屬于所述重新查找到的用戶組的轉(zhuǎn)發(fā)表項，添加至所述目標用戶組對應(yīng)的虛擬網(wǎng)絡(luò)的轉(zhuǎn)發(fā)表中。在本申請中，由于所述目標用戶在實際中進行登錄時，所使用終端的目標網(wǎng)絡(luò)或者所使用終端的位置均可能發(fā)生改變，與所述目標用戶對應(yīng)的轉(zhuǎn)發(fā)表項也可能會隨之發(fā)生變化。因此，轉(zhuǎn)發(fā)表中保存的與所述目標用戶對應(yīng)的轉(zhuǎn)發(fā)表項需要更新。在本申請中，網(wǎng)關(guān)設(shè)備可以實時檢測所述目標用戶是否在線。當所述目標用戶下線時，網(wǎng)關(guān)設(shè)備可以在所述目標用戶組對應(yīng)的虛擬網(wǎng)絡(luò)的轉(zhuǎn)發(fā)表中將與所述目標用戶對應(yīng)的轉(zhuǎn)發(fā)表項進行刪除。同時，如果其它用戶組對應(yīng)的虛擬網(wǎng)絡(luò)的轉(zhuǎn)發(fā)表中也保存了與所述目標用戶對應(yīng)的轉(zhuǎn)發(fā)表項，那么網(wǎng)關(guān)設(shè)備也需要將其它用戶組對應(yīng)的虛擬網(wǎng)絡(luò)的轉(zhuǎn)發(fā)表中保存的與所述目標用戶對應(yīng)的轉(zhuǎn)發(fā)表項進行刪除。以下通過具體的應(yīng)用場景對本申請?zhí)岢龅募夹g(shù)方法進行描述。請參見圖2，圖2為本申請實施例示出的一種應(yīng)用場景示意圖。假設(shè)，某一公司有三個部門，分別為財務(wù)部、市場部和行政部，張三和李四為財務(wù)部的職員，各部門分別擁有不同的大樓。其中，與所述三個部門對應(yīng)的三幢大樓連接于同一個網(wǎng)關(guān)設(shè)備，在所述網(wǎng)關(guān)設(shè)備上預(yù)先配置了三個用戶組，所述三個用戶組與所述三個部門分別對應(yīng)，各用戶組中包括部門職員的信息。當張三在財務(wù)部的辦公大樓里進行登錄時，張三所使用的終端設(shè)備可以向網(wǎng)關(guān)設(shè)備發(fā)送接入認證請求。當網(wǎng)關(guān)設(shè)備接收到接入認證請求時，可以對所述接入認證請求進行認證，在所述接入認證請求認證通過后，網(wǎng)關(guān)設(shè)備可以在預(yù)配置的用戶組中查找到張三所在的財務(wù)部的用戶組，然后為張三創(chuàng)建轉(zhuǎn)發(fā)表項，并將轉(zhuǎn)發(fā)表項添加至財務(wù)部的用戶組對應(yīng)的虛擬網(wǎng)絡(luò)的轉(zhuǎn)發(fā)表中，同時，將所述轉(zhuǎn)發(fā)表項添加至張三可以訪問的其它用戶組對應(yīng)的虛擬網(wǎng)絡(luò)的轉(zhuǎn)發(fā)表中。當張三下線時，網(wǎng)關(guān)設(shè)備可以在財務(wù)部對應(yīng)的虛擬網(wǎng)絡(luò)的轉(zhuǎn)發(fā)表中刪除為張三創(chuàng)建的轉(zhuǎn)發(fā)表項。當張三在市場部的辦公大樓里進行登錄時，網(wǎng)關(guān)設(shè)備仍然可以對張三發(fā)送的接入認證請求進行認證，并在認證通過后，為張三創(chuàng)建轉(zhuǎn)發(fā)表項。此時，張三仍然可以訪問財務(wù)部的資源。在現(xiàn)有技術(shù)中，如果張三在市場部的辦公大樓進行登錄時，張三無法再訪問財務(wù)部的資源。由以上本申請?zhí)峁┑募夹g(shù)方法可見，網(wǎng)關(guān)設(shè)備基于預(yù)配置的用戶組對目標網(wǎng)絡(luò)進行虛擬化時，可以為各用戶組分配轉(zhuǎn)發(fā)表，當目標用戶通過接入認證后，網(wǎng)關(guān)設(shè)備可以基于所述目標用戶的用戶標識確定所述目標用戶所在的目標用戶組。然后，網(wǎng)關(guān)設(shè)備可以為所述目標用戶創(chuàng)建轉(zhuǎn)發(fā)表項；其中，所述轉(zhuǎn)發(fā)表項與所述目標用戶進行登錄時所使用的終端設(shè)備的改變而改變，并將所述轉(zhuǎn)發(fā)表項添加至與所述目標用戶組對應(yīng)的虛擬網(wǎng)絡(luò)的轉(zhuǎn)發(fā)表中，最后，網(wǎng)關(guān)設(shè)備可以將所述用戶發(fā)送的報文在所述目標用戶組對應(yīng)的虛擬網(wǎng)絡(luò)中進行轉(zhuǎn)發(fā)。因此，采用本申請?zhí)峁┑募夹g(shù)方法，用戶無論在任何網(wǎng)絡(luò)或者任何位置認證登錄后，用戶均可以匹配到為該用戶配置的用戶組，由于用戶組不會因為所使用戶終端的目標網(wǎng)絡(luò)或者所使用終端的位置的改變而發(fā)生變化，因此，用戶可以在任何網(wǎng)絡(luò)或者任何位置訪問到目標資源。與前述一種基于用戶組的網(wǎng)絡(luò)虛擬化的方法的實施例相對應(yīng)，本申請還提供了一種基于用戶組的網(wǎng)絡(luò)虛擬化的裝置的實施例。本申請一種基于用戶組的網(wǎng)絡(luò)虛擬化的裝置的實施例可以應(yīng)用在網(wǎng)關(guān)設(shè)備上。裝置實施例可以通過軟件實現(xiàn)，也可以通過硬件或者軟硬件結(jié)合的方式實現(xiàn)。以軟件實現(xiàn)為例，作為一個邏輯意義上的裝置，是通過其所在網(wǎng)關(guān)設(shè)備的處理器將非易失性存儲器中對應(yīng)的計算機程序指令讀取到內(nèi)存中運行形成的。從硬件層面而言，如圖3所示，為本申請一種基于用戶組的網(wǎng)絡(luò)虛擬化的裝置所在網(wǎng)關(guān)設(shè)備的一種硬件結(jié)構(gòu)圖，除了圖3所示的處理器、內(nèi)存、網(wǎng)絡(luò)接口、以及非易失性存儲器之外，實施例中裝置所在的網(wǎng)關(guān)設(shè)備通常根據(jù)該基于用戶組的網(wǎng)絡(luò)虛擬化的實際功能，還可以包括其他硬件，對此不再贅述。請參加圖4，圖4為本申請實施例示例性示出的一種基于用戶組的網(wǎng)絡(luò)虛擬化的裝置，應(yīng)用于網(wǎng)關(guān)設(shè)備。所述裝置包括：劃分單元410，確定單元420，創(chuàng)建單元430，添加單元440。其中，所述劃分單元410，用于基于劃分出的若干用戶組將目標網(wǎng)絡(luò)劃分為若干虛擬網(wǎng)絡(luò)；其中，各虛擬網(wǎng)絡(luò)分別對應(yīng)不同的用戶組；不同的虛擬網(wǎng)絡(luò)的轉(zhuǎn)發(fā)表相互隔離；所述確定單元420，用于在所述目標用戶發(fā)送的接入認證請求通過認證后，確定所述目標用戶所屬的目標用戶組；所述創(chuàng)建單元430，用于基于所述接入認證請求為所述目標用戶創(chuàng)建轉(zhuǎn)發(fā)表項；所述添加單元440，用于將所述轉(zhuǎn)發(fā)表項添加至所述目標用戶組對應(yīng)的虛擬網(wǎng)絡(luò)的轉(zhuǎn)發(fā)表中，并在所述虛擬網(wǎng)絡(luò)中轉(zhuǎn)發(fā)所述目標用戶發(fā)送的報文。在本申請的裝置中，所述確定單元420具體用于：當接收到目標用戶發(fā)送的接入認證請求時，對所述接入認證請求進行認證；在所述接入認證請求認證通過后，基于所述接入認證請求中的用戶標識確定所述目標用戶所屬的目標用戶組。在本申請中，為了實現(xiàn)目標用戶與其它用戶組中的用戶互訪，以及訪問互聯(lián)網(wǎng)，所述裝置還包括：所述添加單元430，還用于將預(yù)先配置的靜態(tài)路由轉(zhuǎn)發(fā)表項或者自動獲取到的動態(tài)路由轉(zhuǎn)發(fā)表項添加至所述目標用戶組對應(yīng)的虛擬網(wǎng)絡(luò)的轉(zhuǎn)發(fā)表。查找單元，用于基于所述目標用戶組預(yù)先配置的互訪屬性字段中的互訪屬性，查找與所述目標用戶組可互訪的其它用戶組；添加單元，還用于將為所述目標用戶創(chuàng)建的轉(zhuǎn)發(fā)表項添加至查找到的其它用戶組所對應(yīng)的虛擬網(wǎng)絡(luò)的轉(zhuǎn)發(fā)表。在實施例中，所述裝置還包括：刪除單元，用于當所述目標用戶組預(yù)先配置的互訪屬性字段中的互訪屬性改變時，在所述目標用戶組對應(yīng)的虛擬網(wǎng)絡(luò)的轉(zhuǎn)發(fā)表中刪除添加至該轉(zhuǎn)發(fā)表中的屬于其它用戶組的轉(zhuǎn)發(fā)表項，以及在其它用戶組對應(yīng)的虛擬網(wǎng)絡(luò)的轉(zhuǎn)發(fā)表中刪除屬于所述目標用戶組的轉(zhuǎn)發(fā)表項；所述查找單元，還用于基于改變后的互訪屬性，重新查找與所述目標用戶組可互訪的其它用戶組；所述添加單元430，還用于在重新查找到的用戶組對應(yīng)的虛擬網(wǎng)絡(luò)的轉(zhuǎn)發(fā)表中添加屬于所述目標用戶組的轉(zhuǎn)發(fā)表項，以及在所述目標用戶組對應(yīng)的虛擬網(wǎng)絡(luò)的轉(zhuǎn)發(fā)表中添加屬于重新查找到的用戶組的轉(zhuǎn)發(fā)表項。上述裝置中各個單元的功能和作用的實現(xiàn)過程具體詳見上述方法中對應(yīng)步驟的實現(xiàn)過程，在此不再贅述。對于裝置實施例而言，由于其基本對應(yīng)于方法實施例，所以相關(guān)之處參見方法實施例的部分說明即可。以上所描述的裝置實施例僅僅是示意性的，其中所述作為分離部件說明的單元可以是或者也可以不是物理上分開的，作為單元顯示的部件可以是或者也可以不是物理單元，即可以位于一個地方，或者也可以分布到多個網(wǎng)絡(luò)單元上?？梢愿鶕?jù)實際的需要選擇其中的部分或者全部模塊來實現(xiàn)本申請方案的目的。本領(lǐng)域普通技術(shù)人員在不付出創(chuàng)造性勞動的情況下，即可以理解并實施。以上所述僅為本申請的較佳實施例而已，并不用以限制本申請，凡在本申請的精神和原則之內(nèi)，所做的任何修改、等同替換、改進等，均應(yīng)包含在本申請保護的范圍之內(nèi)。當前第1頁12