[发明专利]一种基于用户组的网络虚拟化方法和装置

说明书

本申请提供一种基于用户组的网络虚拟化的方法和装置，应用于网关设备，所述方法包括：基于划分出的若干用户组将目标网络划分为若干虚拟网络；其中，各虚拟网络分别对应不同的用户组；不同的虚拟网络的转发表相互隔离；确定接入认证通过的目标用户所属的目标用户组；在所述目标用户组对应的目标虚拟网络的转发表中，添加为所述目标用户创建的转发表项，并基于添加的转发表项转发所述目标用户在所述目标虚拟网络中发送的报文。采用本申请提出的技术方法，用户可以在任何网络或者任何位置访问到目标资源。

技术领域

本申请涉及网络通信技术领域，特别涉及一种基于用户组的网络虚拟化方法和装置。

背景技术

网络虚拟化是指在一个物理网络上模拟出多个逻辑网络。目前比较常用的网络虚拟化应用包括虚拟局域网和虚拟专用网。

其中，虚拟局域网和虚拟专用网实现虚拟化的方法均和端口相关。所述虚拟局域网基于交换机的物理端口来实现虚拟化，通过将交换机的物理端口进行划分，生成若干个物理端口组，每一个物理端口组分别对应一个虚拟局域网。其中，与任一物理端口组中的任一物理端口连接的用户，均属于与该物理端口组对应的虚拟局域网。各虚拟局域网内的用户之间可以互访，且用户通常只知道自己所在的虚拟局域网。由于任一虚拟局域网内的用户，在不知道目标用户所在的虚拟局域网的情况下，无法向所述目标用户进行单播。因此，当属于目标虚拟局域网的用户在其它虚拟局域网进行登录上网时，该用户将无法访问所述目标虚拟局域网的资源了。

所述虚拟专用网基于PE(Provider edge，运营商边界设备)的端口来实现虚拟化。其中，所述PE可以是路由器、防火墙等，所述端口可以是物理端口，也可以是虚拟端口，每个端口可以对应一个VPN站点。假设站点1和站点2之间需要建立VPN隧道，站点3和站点4之间需要建立VPN隧道，站点1对应端口1，站点2对应端口2，站点3对应端口3，站点4对应端口4，站点1的用户和站点2的用户之间可以通信，站点3的用户和站点4的用户之间可以通信。如果站点1的用户在站点3进行登录，由于站点2和站点3之间没有建立VPN隧道，因此，该用户无法通过在站点3登录后与站点2的用户进行通信。

因此，现有的网络虚拟化技术中，当用户进行登录时，所使用终端的目标网络发生改变，或者所使用终端的位置发生改变时，所述用户均可能无法访问到在所使用终端的目标网络和所使用终端的位置均未发生改变时所能访问到的资源。

发明内容

有鉴于此，本申请提供一种基于用户组的网络虚拟化的方法和装置，应用于网关设备，采用本申请提出的技术方法，用户无论在任何网络或者任何位置认证登录后，用户均可以匹配到为该用户配置的用户组，由于用户组不会因为所使用户终端的目标网络或者所使用终端的位置的改变而发生变化，因此，用户可以在任何网络或者任何位置访问到目标资源。

具体地，本申请是通过如下技术方案实现的：

一种基于用户组的网络虚拟化的方法，应用于网关设备，所述网关设备预配置了针对待认证用户划分出的若干用户组，包括：

基于划分出的若干用户组将目标网络划分为若干虚拟网络；其中，各虚拟网络分别对应不同的用户组；不同的虚拟网络的转发表相互隔离；

在所述目标用户发送的接入认证请求通过认证后，确定所述目标用户所属的目标用户组；

基于所述接入认证请求为所述目标用户创建转发表项；

将所述转发表项添加至所述目标用户组对应的虚拟网络的转发表中，并在所述虚拟网络中转发所述目标用户发送的报文。

一种基于用户组的网络虚拟化的装置，应用于网关设备，所述网关设备预配置了针对待认证用户划分出的若干用户组，包括：

划分单元，用于基于划分出的若干用户组将目标网络划分为若干虚拟网络；其中，各虚拟网络分别对应不同的用户组；不同的虚拟网络的转发表相互隔离；