CN107171857B - 一种基于用户组的网络虚拟化方法和装置 - Google Patents
一种基于用户组的网络虚拟化方法和装置 Download PDFInfo
- Publication number
- CN107171857B CN107171857B CN201710476004.0A CN201710476004A CN107171857B CN 107171857 B CN107171857 B CN 107171857B CN 201710476004 A CN201710476004 A CN 201710476004A CN 107171857 B CN107171857 B CN 107171857B
- Authority
- CN
- China
- Prior art keywords
- target user
- forwarding table
- user group
- user
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0893—Assignment of logical groups to network elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/54—Organization of routing tables
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/08—Protocols specially adapted for terminal emulation, e.g. Telnet
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种基于用户组的网络虚拟化的方法和装置,应用于网关设备,所述方法包括:基于划分出的若干用户组将目标网络划分为若干虚拟网络;其中,各虚拟网络分别对应不同的用户组;不同的虚拟网络的转发表相互隔离;确定接入认证通过的目标用户所属的目标用户组;在所述目标用户组对应的目标虚拟网络的转发表中,添加为所述目标用户创建的转发表项,并基于添加的转发表项转发所述目标用户在所述目标虚拟网络中发送的报文。采用本申请提出的技术方法,用户可以在任何网络或者任何位置访问到目标资源。
Description
技术领域
本申请涉及网络通信技术领域,特别涉及一种基于用户组的网络虚拟化方法和装置。
背景技术
网络虚拟化是指在一个物理网络上模拟出多个逻辑网络。目前比较常用的网络虚拟化应用包括虚拟局域网和虚拟专用网。
其中,虚拟局域网和虚拟专用网实现虚拟化的方法均和端口相关。所述虚拟局域网基于交换机的物理端口来实现虚拟化,通过将交换机的物理端口进行划分,生成若干个物理端口组,每一个物理端口组分别对应一个虚拟局域网。其中,与任一物理端口组中的任一物理端口连接的用户,均属于与该物理端口组对应的虚拟局域网。各虚拟局域网内的用户之间可以互访,且用户通常只知道自己所在的虚拟局域网。由于任一虚拟局域网内的用户,在不知道目标用户所在的虚拟局域网的情况下,无法向所述目标用户进行单播。因此,当属于目标虚拟局域网的用户在其它虚拟局域网进行登录上网时,该用户将无法访问所述目标虚拟局域网的资源了。
所述虚拟专用网基于PE(Provider edge,运营商边界设备)的端口来实现虚拟化。其中,所述PE可以是路由器、防火墙等,所述端口可以是物理端口,也可以是虚拟端口,每个端口可以对应一个VPN站点。假设站点1和站点2之间需要建立VPN隧道,站点3和站点4之间需要建立VPN隧道,站点1对应端口1,站点2对应端口2,站点3对应端口3,站点4对应端口4,站点1的用户和站点2的用户之间可以通信,站点3的用户和站点4的用户之间可以通信。如果站点1的用户在站点3进行登录,由于站点2和站点3之间没有建立VPN隧道,因此,该用户无法通过在站点3登录后与站点2的用户进行通信。
因此,现有的网络虚拟化技术中,当用户进行登录时,所使用终端的目标网络发生改变,或者所使用终端的位置发生改变时,所述用户均可能无法访问到在所使用终端的目标网络和所使用终端的位置均未发生改变时所能访问到的资源。
发明内容
有鉴于此,本申请提供一种基于用户组的网络虚拟化的方法和装置,应用于网关设备,采用本申请提出的技术方法,用户无论在任何网络或者任何位置认证登录后,用户均可以匹配到为该用户配置的用户组,由于用户组不会因为所使用户终端的目标网络或者所使用终端的位置的改变而发生变化,因此,用户可以在任何网络或者任何位置访问到目标资源。
具体地,本申请是通过如下技术方案实现的:
一种基于用户组的网络虚拟化的方法,应用于网关设备,所述网关设备预配置了针对待认证用户划分出的若干用户组,包括:
基于划分出的若干用户组将目标网络划分为若干虚拟网络;其中,各虚拟网络分别对应不同的用户组;不同的虚拟网络的转发表相互隔离;
在所述目标用户发送的接入认证请求通过认证后,确定所述目标用户所属的目标用户组;
基于所述接入认证请求为所述目标用户创建转发表项;
将所述转发表项添加至所述目标用户组对应的虚拟网络的转发表中,并在所述虚拟网络中转发所述目标用户发送的报文。
一种基于用户组的网络虚拟化的装置,应用于网关设备,所述网关设备预配置了针对待认证用户划分出的若干用户组,包括:
划分单元,用于基于划分出的若干用户组将目标网络划分为若干虚拟网络;其中,各虚拟网络分别对应不同的用户组;不同的虚拟网络的转发表相互隔离;
确定单元,用于在所述目标用户发送的接入认证请求通过认证后,确定所述目标用户所属的目标用户组;
创建单元,用于基于所述接入认证请求为所述目标用户创建转发表项;
添加单元,用于将所述转发表项添加至所述目标用户组对应的虚拟网络的转发表中,并在所述虚拟网络中转发所述目标用户发送的报文。
由以上本申请提供的技术方法可见,网关设备基于预配置的用户组对目标网络进行虚拟化时,可以为各用户组分配转发表,当目标用户通过接入认证后,网关设备可以基于所述目标用户的用户标识确定所述目标用户所在的目标用户组。然后,网关设备可以为所述目标用户创建转发表项;其中,所述转发表项与所述目标用户进行登录时所使用的终端设备的改变而改变,并将所述转发表项添加至与所述目标用户组对应的虚拟网络的转发表中,最后,网关设备可以将所述用户发送的报文在所述目标用户组对应的虚拟网络中进行转发。
采用本申请提供的技术方法,用户无论在任何网络或者任何位置认证登录后,用户均可以匹配到为该用户配置的用户组,由于用户组不会因为所使用户终端的目标网络或者所使用终端的位置的改变而发生变化,因此,用户可以在任何网络或者任何位置访问到目标资源。
附图说明
图1为本申请实施例示出的一种基于用户组的网络虚拟化的方法流程图;
图2为本申请实施例示出的一种应用场景示意图;
图3为本申请一种基于用户组的网络虚拟化的装置所在网关设备的一种硬件结构图;
图4为本申请实施例示例性示出的一种基于用户组的网络虚拟化的装置。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
本申请中所述的网络虚拟化是指在一个物理网络上模拟出多个逻辑网络。在现有技术中,比较常用的网络虚拟化应用包括虚拟局域网和虚拟专用网。
其中,所述虚拟局域网基于交换机的物理端口来实现虚拟化,通过将交换机的物理端口进行划分,生成若干个物理端口组,每一个物理端口组分别对应一个虚拟局域网。其中,与任一物理端口组中的任一物理端口连接的用户,均属于与该物理端口组对应的虚拟局域网。各虚拟局域网内的用户之间可以互访,且用户通常只知道自己所在的虚拟局域网。由于任一虚拟局域网内的用户,在不知道目标用户所在的虚拟局域网的情况下,无法向所述目标用户进行单播。因此,当属于目标虚拟局域网的用户在其它虚拟局域网进行登录上网时,该用户将无法访问所述目标虚拟局域网的资源。
所述虚拟专用网基于PE(Provider edge,运营商边界设备)的端口来实现虚拟化。其中,所述PE可以是路由器、防火墙等,所述端口可以是物理端口,也可以是虚拟端口,每个端口可以对应一个VPN站点。假设站点1和站点2之间需要建立VPN隧道,站点3和站点4之间需要建立VPN隧道,站点1对应端口1,站点2对应端口2,站点3对应端口3,站点4对应端口4,站点1的用户和站点2的用户之间可以通信,站点3的用户和站点4的用户之间可以通信。如果站点1的用户在站点3进行登录,由于站点2和站点3之间没有建立VPN隧道,因此,该用户无法通过在站点3登录后与站点2的用户进行通信。
由此可见,现有的网络虚拟化技术中,当用户进行登录时,所使用终端的目标网络发生改变,或者所使用终端的位置发生改变时,所述用户均可能无法访问到在所使用终端的目标网络和所使用终端的位置均未发生改变时所能访问到的资源。
为了解决现有技术中的问题,本申请提出了一种基于用户组的网络虚拟化的方法,应用于网关设备,其中,所述网关设备预配置了针对待认证用户划分出的若干用户组,所述方法包括:基于划分出的若干用户组将目标网络划分为若干虚拟网络;其中,各虚拟网络分别对应不同的用户组;不同的虚拟网络的转发表相互隔离;确定接入认证通过的目标用户所属的目标用户组;在所述目标用户组对应的目标虚拟网络的转发表中,为所述目标用户创建转发表项,并基于创建的转发表项转发所述目标用户在所述目标虚拟网络中发送的报文。
采用本申请提供的技术方法,用户无论在任何网络或者任何位置认证登录后,用户均可以匹配到为该用户配置的用户组,由于用户组不会因为所使用户终端的目标网络或者所使用终端的位置的改变而发生变化,因此,用户可以在任何网络或者任何位置访问到目标资源。
例如,根据本申请提供的技术方法,假设用户属于用户组A,用户组A中的用户可以访问资源E,用户组B中的用户无法访问资源E,用户默认情况下通常通过虚拟网络A的终端登录访问资源E,如果用户此时使用虚拟网络B的终端进行登录访问资源E,用户仍然可以访问到资源E。根据本申请的技术方法,用户无论通过虚拟网络A的终端登录访问资源E,还是通过虚拟网络B的终端登录访问资源E,用户均能匹配到用户组A,因此,用户可以在任何网络或者任何位置访问到目标资源。
以下通过具体的实施例和示意图对本申请提出的技术方法进行描述。
请参见图1,图1为本申请实施例示出的一种基于用户组的网络虚拟化的方法流程图,应用于网关设备,其中,所述网关设备预配置了针对待认证用户划分出的若干用户组。具体执行以下步骤:
步骤101:基于划分出的若干用户组将目标网络划分为若干虚拟网络;其中,各虚拟网络分别对应不同的用户组;不同的虚拟网络的转发表相互隔离;
步骤102:在所述目标用户发送的接入认证请求通过认证后,确定所述目标用户所属的目标用户组;
步骤103:基于所述接入认证请求为所述目标用户创建转发表项;
步骤104:将所述转发表项添加至所述目标用户组对应的虚拟网络的转发表中,并在所述虚拟网络中转发所述目标用户发送的报文。
在本申请中,用户预先在网关设备上配置了针对待认证用户划分出的若干用户组,其中所述若干用户组的划分可以根据实际需求进行调整。网关设备启动时,可以基于划分出的若干用户组将目标网络划分为若干虚拟网络,其中,每个虚拟网络分别对应不同的用户组,各虚拟网络分别对应不同的转发表,不同的虚拟网络的转发表相互隔离。
当目标网络中的待认证目标用户发送接入认证请求时,网关设备可以对所述接入认证请求进行认证,并在所述接入认证请求认证通过后,确定所述目标用户所属的目标用户组,以及为所述目标用户创建转发表项,然后将所述创建的转发表项添加至所述目标用户组对应的虚拟网络的转发表,以及所述目标用户可访问的其它用户组对应的虚拟网络的转发表。当网关设备接收到的报文匹配中所述转发表项时,基于所述转发表项在所述虚拟网络中进行转发。
在示出的一种实施方式中,用户可以在网关设备上预先配置若干用户组,例如,对于一个公司而言,可以依据公司职能将全体员工划分为财务部,市场部,行政部等用户分组,各用户组中包括若干待认证用户的用户标识,比如市场部对应的用户组中包括了若干市场部的成员的姓名以及其它个人信息。
其中,所述网关设备上配置了目标网络。当网关设备启动时,网关设备可以根据所述预先配置的若干用户组,将目标网络划分为若干虚拟网络。在本申请中,所述虚拟网络为VPN(Virtual Private Network,虚拟专用网络)。其中,各虚拟网络分别对应不同的转发表,所述转发表用于属于所述目标网络的待认证用户通过接入认证请求后,存放网关设备为所述目标用户创建的转发表项。不同的虚拟网络的转发表之间相互隔离。
例如,在实际应用中,假设网关设备上配置的目标网络为IP地址为192.168.1.0/24的目标网络。现在网关设备上预配置了3个用户组,分别为财务部、市场部和行政部,当网关设备启动时,网关设备可以分别为财政部、市场部和行政部创建对应的VPN,对上述目标网络执行虚拟化。在这种情况下,上述转发表,具体可以是分别为财政部、市场部和行政部所对应的虚拟网络创建的转发表。
在本申请中,属于所述目标网络的用户发送的信息均经过网关设备,由网关设备对接收到的信息进行处理后再进行转发。
其中,所述网关设备具有认证功能,属于所述目标网络的任一用户上线时,均需要先由网关设备对所述用户进行身份认证。网关设备对用户进行身份认证时可以采用各种认证机制以及相应的认证协议和接入认证方式,比如认证机制可以采用基于口令的身份认证机制、挑战/响应认证机制、公钥认证机制等,认证协议可以采用Kerberos协议、LDAP协议等,接入认证方式可以采用802.1x、Portal等局域网接入认证方式、Triple接入认证技术等。在本申请中,对网关设备所采用的认证机制、认证协议和接入认证技术不进行限定。对于所述各种认证机制、认证协议和接入认证方式为现有技术,在此不再进行赘述。
在实现时,属于所述目标网络的任一目标用户上线时,该目标用户可以在用户终端中输入用户信息,然后通过用户终端向网关设备发送携带用户信息的接入认证请求。
在本申请示出的实施方式中,当网关设备接收到接入认证请求时,网关设备可以对所述接入认证请求进行验证。具体地,网关设备可以解析所述接入认证请求并从所述接入认证请求中获取用户信息,然后对所述用户信息进行验证。
如果所述接入认证请求认证通过,网关设备可以根据所述用户信息中的用户标识,在预先配置的若干用户组中查找与所述用户标识对应的目标用户组。例如,对于一个公司而言,可以依据公司职能将全体员工划分为财务部,市场部,行政部等用户分组,假设网关设备接收到张三发送的接入认证请求,而张三是财务部的职员,因此,网关设备可以根据张三这个用户标识查找到财务部对应的用户组。
当网关设备确定所述目标用户所属的目标用户组后,网关设备可以从所述目标用户发送的接入认证请求中读取到所述目标用户的源IP、源MAC地址、所述目标用户所属的VLAN(Virtual Local Area Network,虚拟局域网)以及网关设备接收到所述接入认证请求的入接口。然后,网关设备可以基于获取到的信息按照预设的格式为所述目标用户创建转发表项。请参见表1,表1为本申请实施例示出的转发表项格式示意表。
| 目的IP | 目的MAC | 出接口 | VLAN |
| 192.168.1.6 | 00:24:ac:23:1a:08 | giga0_1 | 10 |
表1
当网关设备为所述目标用户创建完转发表项后,网关设备可以将所述转发表项添加至所述目标用户组对应的虚拟网络的转发表。例如,对于一个公司而言,可以依据公司职能将全体员工划分为财务部,市场部,行政部等用户分组,假设网关设备为张三创建了转发表项后,其中,张三是财务部的职员,那么网关设备可以将为张三创建的转发表项添加至财务部对应的虚拟网络的转发表中。
请参见表2,表2为本申请实施例示出的虚拟网络的转发表示意表。
表2
通常,在同一个用户组(同一个虚拟网络)中的用户之间可以互访,比如表2中,张三和李四均为财务部的职员,那么张三和李四之间可以互访。而张三和王五分别为财务部和市场部的职员,即张三和王五在不同的虚拟网络中,那么张三和王五之间不能互访。
然而,在实际应用中,用户组内的用户除了需要访问同一用户组内的其它用户之外,还需要访问互联网和其它用户组内的用户。在这样的情况下,需要对用户组对应的虚拟网络的转发表进一步进行完善。
1)、配置路由转发表项
当目标用户需要访问互联网时,由于目标用户所在的目标用户组对应的虚拟网络的转发表中没有对应的转发表项,因此,在本申请中,当任一用户组中的用户需要访问互联网时,在该用户组对应的虚拟网络的转发表中添加预先配置的网关设备的静态路由转发表项。
同样地,网关设备也可以通过动态获取路由转发表项的方式,自动获取本设备的路由转发表项,然后将获取到的动态路由转发表项添加至该用户组对应的虚拟网络的转发表中。
当接收到目标用户发送的访问互联网的报文时,网关设备可以查找到该目标用户所在的用户组对应虚拟网络的转发表中的路由转发表项,然后,基于所述路由转发表项将接收到的报文进行转发。
在本申请中,当网关设备将用户组内的用户发送至互联网的报文进行发送时,网关设备可以根据所述报文中的五元组(源IP、目的IP、源端口、目的端口、协议类型)、源MAC、目的MAC、入接口等信息,建立会话转发表项。当网关设备接收到互联网返回的报文时,网关设备可以将所述报文与之前建立的会话转发表项进行匹配,然后,网关设备可以根据匹配到的会话转发表项将所述报文进行会话转发,所述建立会话转发表项技术和会话转发技术请参考相关现有技术,在本申请中不再进行阐述。
2)、访问其它用户组中的用户
在本申请实施例示出的一种实施方式中,各用户组预先配置了互访属性字段,所述互访属性字段用于确定可互访的用户组,其中,所述互访属性的具体格式在本申请中不进行限定。
在一种可选的方式中,所述互访属性的格式可以是1:1;2:2…或者a:a;b:b…等。当两个用户组的互访属性之间存在交集,那么说明这两个用户组中的用户可以互访,反之,当两个用户组的互访属性之间不存在交集,那么说明这两个用户组中的用户不可以互访。
例如,假设用户组A的互访属性为1:1;2:2,用户组B的互访属性为1:1,由于用户组A和用户组B的互访属性存在交集1:1,那么用户组A中的用户与用户组B中的用户之间可以互访。假设用户组A的互访属性为1:1;2:2,用户组B的互访属性为3:3,由于用户组A和用户组B的互访属性不存在交集,那么用户组A中的用户与用户组B中的用户之间不可以互访。
在该实施方式中,当网关设备接收到目标用户发送的接入认证请求,并确定所述目标用户所属的目标用户组后,网关设备可以获取所述目标用户组的互访属性字段中的互访属性,然后将所述目标用户组的互访属性与其它用户组的互访属性进行匹配,查找到与所述目标用户组的互访属性匹配的用户组,即与所述目标用户组的互访属性存在交集的用户组。
如果查找到匹配的用户组,网关设备在将为所述目标用户创建完的转发表项添加至所述目标用户组对应的虚拟网络的转发表中后,可以将所述转发表项添加至查找到的匹配的用户组对应的虚拟网络的转发表中。
如果没有查找到匹配的用户组,网关设备只需要将为所述目标用户创建完的转发表项添加至所述目标用户组对应的虚拟网络的转发表中。
在该实施例中,各用户组的互访属性可以进行修改。当网关设备检测到所述目标用户组的互访属性发生变化时,网关设备可以在所述目标用户组对应的虚拟网络的转发表中,将添加至所述目标用户组对应的虚拟网络的转发表中的属于其它用户组的转发表项进行删除。同时,网关设备也可以在其它用户组对应的虚拟网络的转发表中,将属于所述目标用户组的转发表项进行删除。
然后,网关设备可以基于所述目标用户组变化后的互访属性,重新查找与所述目标用户组变化后的互访属性匹配的用户组。当网关设备重新查找到匹配的用户组后,网关设备可以将属于所述目标用户组中的转发表项,添加至所述重新查找到的用户组对应的虚拟网络的转发表中。同时,网关设备可以将属于所述重新查找到的用户组的转发表项,添加至所述目标用户组对应的虚拟网络的转发表中。
在本申请中,由于所述目标用户在实际中进行登录时,所使用终端的目标网络或者所使用终端的位置均可能发生改变,与所述目标用户对应的转发表项也可能会随之发生变化。因此,转发表中保存的与所述目标用户对应的转发表项需要更新。
在本申请中,网关设备可以实时检测所述目标用户是否在线。当所述目标用户下线时,网关设备可以在所述目标用户组对应的虚拟网络的转发表中将与所述目标用户对应的转发表项进行删除。同时,如果其它用户组对应的虚拟网络的转发表中也保存了与所述目标用户对应的转发表项,那么网关设备也需要将其它用户组对应的虚拟网络的转发表中保存的与所述目标用户对应的转发表项进行删除。
以下通过具体的应用场景对本申请提出的技术方法进行描述。
请参见图2,图2为本申请实施例示出的一种应用场景示意图。
假设,某一公司有三个部门,分别为财务部、市场部和行政部,张三和李四为财务部的职员,各部门分别拥有不同的大楼。其中,与所述三个部门对应的三幢大楼连接于同一个网关设备,在所述网关设备上预先配置了三个用户组,所述三个用户组与所述三个部门分别对应,各用户组中包括部门职员的信息。
当张三在财务部的办公大楼里进行登录时,张三所使用的终端设备可以向网关设备发送接入认证请求。当网关设备接收到接入认证请求时,可以对所述接入认证请求进行认证,在所述接入认证请求认证通过后,网关设备可以在预配置的用户组中查找到张三所在的财务部的用户组,然后为张三创建转发表项,并将转发表项添加至财务部的用户组对应的虚拟网络的转发表中,同时,将所述转发表项添加至张三可以访问的其它用户组对应的虚拟网络的转发表中。当张三下线时,网关设备可以在财务部对应的虚拟网络的转发表中删除为张三创建的转发表项。
当张三在市场部的办公大楼里进行登录时,网关设备仍然可以对张三发送的接入认证请求进行认证,并在认证通过后,为张三创建转发表项。此时,张三仍然可以访问财务部的资源。在现有技术中,如果张三在市场部的办公大楼进行登录时,张三无法再访问财务部的资源。
由以上本申请提供的技术方法可见,网关设备基于预配置的用户组对目标网络进行虚拟化时,可以为各用户组分配转发表,当目标用户通过接入认证后,网关设备可以基于所述目标用户的用户标识确定所述目标用户所在的目标用户组。然后,网关设备可以为所述目标用户创建转发表项;其中,所述转发表项与所述目标用户进行登录时所使用的终端设备的改变而改变,并将所述转发表项添加至与所述目标用户组对应的虚拟网络的转发表中,最后,网关设备可以将所述用户发送的报文在所述目标用户组对应的虚拟网络中进行转发。
因此,采用本申请提供的技术方法,用户无论在任何网络或者任何位置认证登录后,用户均可以匹配到为该用户配置的用户组,由于用户组不会因为所使用户终端的目标网络或者所使用终端的位置的改变而发生变化,因此,用户可以在任何网络或者任何位置访问到目标资源。。
与前述一种基于用户组的网络虚拟化的方法的实施例相对应,本申请还提供了一种基于用户组的网络虚拟化的装置的实施例。
本申请一种基于用户组的网络虚拟化的装置的实施例可以应用在网关设备上。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在网关设备的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言,如图3所示,为本申请一种基于用户组的网络虚拟化的装置所在网关设备的一种硬件结构图,除了图3所示的处理器、内存、网络接口、以及非易失性存储器之外,实施例中装置所在的网关设备通常根据该基于用户组的网络虚拟化的实际功能,还可以包括其他硬件,对此不再赘述。
请参加图4,图4为本申请实施例示例性示出的一种基于用户组的网络虚拟化的装置,应用于网关设备。所述装置包括:划分单元410,确定单元420,创建单元430,添加单元440。
其中,所述划分单元410,用于基于划分出的若干用户组将目标网络划分为若干虚拟网络;其中,各虚拟网络分别对应不同的用户组;不同的虚拟网络的转发表相互隔离;
所述确定单元420,用于在所述目标用户发送的接入认证请求通过认证后,确定所述目标用户所属的目标用户组;
所述创建单元430,用于基于所述接入认证请求为所述目标用户创建转发表项;
所述添加单元440,用于将所述转发表项添加至所述目标用户组对应的虚拟网络的转发表中,并在所述虚拟网络中转发所述目标用户发送的报文。
在本申请的装置中,所述确定单元420具体用于:
当接收到目标用户发送的接入认证请求时,对所述接入认证请求进行认证;
在所述接入认证请求认证通过后,基于所述接入认证请求中的用户标识确定所述目标用户所属的目标用户组。
在本申请中,为了实现目标用户与其它用户组中的用户互访,以及访问互联网,所述装置还包括:
所述添加单元430,还用于将预先配置的静态路由转发表项或者自动获取到的动态路由转发表项添加至所述目标用户组对应的虚拟网络的转发表。
查找单元,用于基于所述目标用户组预先配置的互访属性字段中的互访属性,查找与所述目标用户组可互访的其它用户组;
添加单元,还用于将为所述目标用户创建的转发表项添加至查找到的其它用户组所对应的虚拟网络的转发表。
在实施例中,所述装置还包括:
删除单元,用于当所述目标用户组预先配置的互访属性字段中的互访属性改变时,在所述目标用户组对应的虚拟网络的转发表中删除添加至该转发表中的属于其它用户组的转发表项,以及在其它用户组对应的虚拟网络的转发表中删除属于所述目标用户组的转发表项;
所述查找单元,还用于基于改变后的互访属性,重新查找与所述目标用户组可互访的其它用户组;
所述添加单元430,还用于在重新查找到的用户组对应的虚拟网络的转发表中添加属于所述目标用户组的转发表项,以及在所述目标用户组对应的虚拟网络的转发表中添加属于重新查找到的用户组的转发表项。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (10)
1.一种基于用户组的网络虚拟化的方法,应用于网关设备,其特征在于,所述网关设备预配置了针对待认证用户划分出的若干用户组,包括:
基于划分出的若干用户组将目标网络划分为若干虚拟网络;其中,各虚拟网络分别对应不同的用户组,各用户组预先配置了互访属性字段,所述互访属性字段用于确定可互访的用户组;不同的虚拟网络的转发表相互隔离,所述虚拟网络的转发表用于使对应用户组中的用户之间实现互访;
在所述目标用户发送的接入认证请求通过认证后,确定所述目标用户所属的目标用户组,同时基于所述目标用户组预先配置的互访属性字段中的互访属性,查找与所述目标用户组可互访的其它用户组;
基于所述接入认证请求为所述目标用户创建转发表项;
将所述转发表项添加至所述目标用户组对应的虚拟网络的转发表以及查找到的其它用户组所对应的虚拟网络的转发表中,并在所述虚拟网络中转发向所述目标用户发送的报文。
2.根据权利要求1所述的方法,其特征在于,所述在所述目标用户发送的接入认证请求通过认证后,确定所述目标用户所属的目标用户组,包括:
当接收到目标用户发送的接入认证请求时,对所述接入认证请求进行认证;
在所述接入认证请求认证通过后,基于所述接入认证请求中的用户标识确定所述目标用户所属的目标用户组。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
将预先配置的静态路由转发表项或者自动获取到的动态路由转发表项添加至所述目标用户组对应的虚拟网络的转发表。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
当所述目标用户组预先配置的互访属性字段中的互访属性改变时,在所述目标用户组对应的虚拟网络的转发表中删除添加至该转发表中的属于其它用户组的转发表项,以及在其它用户组对应的虚拟网络的转发表中删除属于所述目标用户组的转发表项;
基于改变后的互访属性,重新查找与所述目标用户组可互访的其它用户组;
在重新查找到的用户组对应的虚拟网络的转发表中添加属于所述目标用户组的转发表项,以及在所述目标用户组对应的虚拟网络的转发表中添加属于重新查找到的用户组的转发表项。
5.一种基于用户组的网络虚拟化的装置,应用于网关设备,其特征在于,所述网关设备预配置了针对待认证用户划分出的若干用户组,包括:
划分单元,用于基于划分出的若干用户组将目标网络划分为若干虚拟网络;其中,各虚拟网络分别对应不同的用户组,各用户组预先配置了互访属性字段,所述互访属性字段用于确定可互访的用户组;不同的虚拟网络的转发表相互隔离,所述虚拟网络的转发表用于使对应用户组中的用户之间实现互访;
确定单元,用于在所述目标用户发送的接入认证请求通过认证后,确定所述目标用户所属的目标用户组,同时基于所述目标用户组预先配置的互访属性字段中的互访属性,查找与所述目标用户组可互访的其它用户组;
创建单元,用于基于所述接入认证请求为所述目标用户创建转发表项;
添加单元,用于将所述转发表项添加至所述目标用户组对应的虚拟网络的转发表以及查找到的其它用户组所对应的虚拟网络的转发表中,并在所述虚拟网络中转发向所述目标用户发送的报文。
6.根据权利要求5所述的装置,其特征在于,包括:
所述确定单元具体用于:
当接收到目标用户发送的接入认证请求时,对所述接入认证请求进行认证;
在所述接入认证请求认证通过后,基于所述接入认证请求中的用户标识确定所述目标用户所属的目标用户组。
7.根据权利要求5所述的装置,其特征在于,所述装置还包括:
添加单元,还用于将预先配置的静态路由转发表项或者自动获取到的动态路由转发表项添加至所述目标用户组对应的虚拟网络的转发表。
8.根据权利要求5所述的装置,其特征在于,所述装置还包括:
删除单元,用于当所述目标用户组预先配置的互访属性字段中的互访属性改变时,在所述目标用户组对应的虚拟网络的转发表中删除添加至该转发表中的属于其它用户组的转发表项,以及在其它用户组对应的虚拟网络的转发表中删除属于所述目标用户组的转发表项;
所述查找单元,还用于基于改变后的互访属性,重新查找与所述目标用户组可互访的其它用户组;
所述添加单元,还用于在重新查找到的用户组对应的虚拟网络的转发表中添加属于所述目标用户组的转发表项,以及在所述目标用户组对应的虚拟网络的转发表中添加属于重新查找到的用户组的转发表项。
9.一种电子设备,包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器通过运行所述可执行指令以实现如权利要求1-4中任一项所述的方法。
10.一种计算机可读存储介质,其上存储有计算机指令,该指令被处理器执行时实现如权利要求1-4中任一项所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710476004.0A CN107171857B (zh) | 2017-06-21 | 2017-06-21 | 一种基于用户组的网络虚拟化方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710476004.0A CN107171857B (zh) | 2017-06-21 | 2017-06-21 | 一种基于用户组的网络虚拟化方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107171857A CN107171857A (zh) | 2017-09-15 |
| CN107171857B true CN107171857B (zh) | 2021-04-27 |
Family
ID=59819017
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710476004.0A Active CN107171857B (zh) | 2017-06-21 | 2017-06-21 | 一种基于用户组的网络虚拟化方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107171857B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107864101A (zh) * | 2017-12-26 | 2018-03-30 | 杭州迪普科技股份有限公司 | 负载均衡方法和装置 |
| CN112187638A (zh) * | 2020-09-22 | 2021-01-05 | 杭州迪普科技股份有限公司 | 网络访问方法、装置、设备及计算机可读存储介质 |
| CN113890772A (zh) * | 2021-04-29 | 2022-01-04 | 北京字跳网络技术有限公司 | 信息处理方法、装置和电子设备 |
| CN113596059B (zh) * | 2021-08-19 | 2023-06-20 | 中国电子科技集团公司电子科学研究院 | 一种在标识网络中实现实时三层网络隔离的方法及系统 |
| CN116033020B (zh) * | 2022-12-27 | 2024-05-10 | 中国联合网络通信集团有限公司 | 增强物理网关算力的方法、装置、设备及存储介质 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2395715A1 (en) * | 2009-03-04 | 2011-12-14 | Huawei Technologies Co., Ltd. | Method, device and system thereof for migrating vrf |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1297105C (zh) * | 2003-01-06 | 2007-01-24 | 华为技术有限公司 | 基于虚拟专用网的实现多角色主机的方法 |
| CN101599901B (zh) * | 2009-07-15 | 2011-06-08 | 杭州华三通信技术有限公司 | 远程接入mpls vpn的方法、系统和网关 |
| CN102291307B (zh) * | 2011-08-18 | 2014-09-10 | 福建星网锐捷网络有限公司 | 一种跨vpn组播实现方法、装置及网络设备 |
| CN103401752B (zh) * | 2013-07-23 | 2017-11-17 | 迈普通信技术股份有限公司 | 访问虚拟专用网的方法和装置 |
| CN105262685B (zh) * | 2014-07-14 | 2018-10-09 | 新华三技术有限公司 | 一种报文处理方法和装置 |
-
2017
- 2017-06-21 CN CN201710476004.0A patent/CN107171857B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2395715A1 (en) * | 2009-03-04 | 2011-12-14 | Huawei Technologies Co., Ltd. | Method, device and system thereof for migrating vrf |
Non-Patent Citations (2)
| Title |
|---|
| "Optical LAN for avionics platforms";Naresh Chand,;《 2009 IEEE Avionics, Fiber-Optics and Phototonics Technology Conference》;20091201;全文 * |
| "一种新的虚拟专用网络在全球信息栅格中的应用";王子明,;《计算机测量与控制》;20111031;第19卷(第10期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107171857A (zh) | 2017-09-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107171857B (zh) | 一种基于用户组的网络虚拟化方法和装置 | |
| US10862852B1 (en) | Resolution of domain name requests in heterogeneous network environments | |
| CN107332812B (zh) | 网络访问控制的实现方法及装置 | |
| EP3402151B1 (en) | Server cluster-based message generation method and load balancer | |
| US11336696B2 (en) | Control access to domains, servers, and content | |
| EP3461072B1 (en) | Access control in a vxlan | |
| US9648005B2 (en) | Method and system for extending network resources campus-wide based on user role and location | |
| US20130329738A1 (en) | Communication system, data base, control apparatus, communication method, and program | |
| EP2760174A1 (en) | Virtual private cloud access authentication method and related apparatus | |
| US9794173B2 (en) | Forwarding a packet by a NVE in NVO3 network | |
| EP3598705B1 (en) | Routing control | |
| CN107517129B (zh) | 一种基于OpenStack配置设备上行接口的方法和装置 | |
| US20230370421A1 (en) | Scaling ip addresses in overlay networks | |
| US20240179115A1 (en) | Virtual network routing gateway that supports address translation for dataplans as well as dynamic routing protocols (control plane) | |
| CN107426100B (zh) | 一种基于用户组的vpn用户接入方法及装置 | |
| US20240097973A1 (en) | Secure bi-directional network connectivity system between private networks | |
| WO2016138813A1 (zh) | 交换机路由冲突的处理方法及装置 | |
| US11411998B2 (en) | Reputation-based policy in enterprise fabric architectures | |
| CN112737850B (zh) | 一种互斥访问的方法及装置 | |
| CN114598698B (zh) | 一种数据传输方法、装置、电子设备及计算机存储介质 | |
| US20050216598A1 (en) | Network access system and associated methods | |
| US11736558B2 (en) | Transparent mounting of external endpoints between private networks | |
| US20240095809A1 (en) | Cloud infrastructure-based online publishing platforms for virtual private label clouds | |
| JP6270383B2 (ja) | アクセス制御装置、アクセス制御方法、及びプログラム | |
| WO2022271990A1 (en) | Routing policies for graphical processing units |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |