网络访问控制的实现方法及装置与流程

本申请涉及网络通信
技术领域：
，特别涉及一种网络访问控制的实现方法及装置。
背景技术：
：在企业网络中，出于信息安全的考虑，通常会对用户进行分类，将所有用户划分成多个用户组。同一用户组内的用户拥有相同的网络访问权限，不同用户组内的用户拥有不同的网络访问权限。例如，按照用户身份，将所有用户分成研发人员、市场人员、财务人员等多个用户组，限定研发人员允许访问数据中心服务器1中的技术资料，而市场人员和财务人员禁止访问该数据中心服务器1；或者分成学生、老师、学校领导等多个用户组，限定老师允许访问数据中心服务器2中的课件，而学生禁止访问该数据中心服务器2。具体的，预先在接入交换机上配置vlan(virtuallocalareanetwork，虚拟局域网)和acl(accesscontrollist，访问控制列表)规则，不同的acl规则用于限定不同vlan对应的网络访问权限。当某一用户进行接入认证时，认证服务器确定该用户所属的用户组，然后，根据该用户组和该用户连接的接入交换机(即该用户的接入位置)等信息，为该用户分配对应的vlan，并将该vlan发送给该接入交换机；该接入交换机接收到该vlan之后，将本设备上连接该用户的用户端口加入到该vlan中。后续，该接入交换机就会按照用于限定该vlan对应的网络访问权限的acl规则，对该用户发出的报文进行网络访问控制。技术实现要素：有鉴于此，本申请提供一种网络访问控制的实现方法及装置。具体地，本申请是通过如下技术方案实现的：一方面，提供了一种网络访问控制的实现方法，该方法应用于汇聚交换机，该方法包括：在本设备上配置acl规则，该acl规则中包括：被禁止的报文的源ip地址所属的第一网段和目的ip地址所属的第二网段，其中，第一网段和第二网段为与同一用户组对应的网段，或者，第一网段和第二网段为与不同用户组对应的网段，或者，第一网段为与用户组对应的网段、第二网段为与资源组对应的网段；接收到接入交换机发来的用户报文之后，将该用户报文的源ip地址与该acl规则中的第一网段进行匹配，并将该用户报文的目的ip地址与该acl规则中的第二网段进行匹配；其中，该用户报文的源ip地址为与该用户所属用户组绑定的vlan所对应的网段中的ip地址；若均匹配，则丢弃该用户报文。另一方面，还提供了一种网络访问控制的实现装置，该装置应用于汇聚交换机，该装置包括：配置模块，用于在本设备上配置acl规则，该acl规则中包括：被禁止的报文的源ip地址所属的第一网段和目的ip地址所属的第二网段，其中，第一网段和第二网段为与同一用户组对应的网段，或者，第一网段和第二网段为与不同用户组对应的网段，或者，第一网段为与用户组对应的网段、第二网段为与资源组对应的网段；接收模块，用于接收接入交换机发来的用户报文；匹配模块，用于在接收模块接收到接入交换机发来的用户报文之后，将该用户报文的源ip地址与该acl规则中的第一网段进行匹配，并将该用户报文的目的ip地址与该acl规则中的第二网段进行匹配；其中，该用户报 文的源ip地址为与该用户所属用户组绑定的vlan所对应的网段中的ip地址；处理模块，用于若匹配模块判断出均匹配，则丢弃该用户报文。通过本申请的以上技术方案，汇聚交换机上配置有acl规则，该acl规则中包括：被禁止的报文的源ip地址所属的第一网段和目的ip地址所属的第二网段，其中，第一网段和第二网段可以是与同一用户组对应的网段、也可以是与不同用户组对应的网段，或者，第一网段为与用户组对应的网段、第二网段为与资源组对应的网段；用户无论从何处接入，在进行接入认证时，会为该用户分配该用户所属用户组对应的vlan，并为该用户分配该vlan对应的网段中的ip地址；汇聚交换机在接收到该用户的用户报文之后，会将该用户报文与该acl规则进行匹配，若命中该acl规则，则丢弃该用户报文，从而，不仅实现了对资源组中的数据中心服务器的网络访问控制，而且，实现了同一用户组内的网络访问控制，以及不同用户组之间的网络访问控制。由于在汇聚交换机上配置acl规则，而不是在接入交换机上配置，汇聚交换机的数量明显小于接入交换机，因而可以减少需要配置的acl规则总数，减轻配置工作量。只要该用户所属的用户组不变，分配给该用户的vlan就不变，分配给该用户的ip地址所属网段也不变，因此，无论该用户移动到何处，该用户发出的用户报文总是能够命中包含该用户的ip地址所属网段的acl规则，该acl规则不会受到用户接入位置变化的影响，避免了用户接入位置的变化所导致的acl规则的更新。而且，当需要实现同一用户组内的网络访问控制时，只需一条acl规则即可实现，此时，该acl规则中的第一网段和第二网段均为该用户组对应的网段，极大的减少了需要配置的acl规则数量，节约了acl资源。附图说明图1是本申请一示例性实施例示出的企业网络的一种网络架构示意图；图2是本申请一示例性实施例示出的企业网络的另一种网络架构示意图；图3是本申请一示例性实施例示出的汇聚交换机对arp请求报文的处理流程图；图4是本申请一示例性实施例示出的汇聚交换机对用户报文进行网络访问控制的处理流程图；图5是本申请一示例性实施例示出的汇聚交换机的硬件架构示意图；图6是本申请一示例性实施例示出的网络访问控制的实现装置的一种结构示意图；图7是本申请一示例性实施例示出的网络访问控制的实现装置的另一种结构示意图；图8是本申请一示例性实施例示出的网络访问控制的实现装置的又一种结构示意图。具体实施方式这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。在本申请使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。应当理解，尽管在本申请可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本申请范围的情况下，第一信息也可以被称为第二信息， 类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。本申请以下实施例提出了一种网络访问控制的实现方法，以及一种可以应用该方法的装置。本申请实施例可以应用于如图1所示的企业网络中，在图1中，该企业网络中包括：接入交换机、汇聚交换机和核心交换机，核心交换机连接汇聚交换机、汇聚交换机连接接入交换机、接入交换机连接用户(图1中未示出)，在汇聚交换机和核心交换机上应用overlay(交叠虚拟化)技术。另外，当一个企业网络中包括多个子网络时，例如，如图2所示，该企业网络包括总部网络和分支网络，此时，在汇聚交换机和核心交换机上应用overlay技术，其中，上述汇聚交换机和核心交换机可以属于同一子网络，也可以属于不同的子网络。其中，overlay技术是指在现有物理网络上再叠加一个虚拟网络，该虚拟网络一般是虚拟二层网络，这样可以带来配置简化，用户迁移等诸多好处。典型的overlay技术主要有vxlan(virtualextensiblelan，可扩展虚拟局域网络)、nvgre(networkvirtualgenericroutingencapsulation，使用通用路由封装的网络虚拟化)和stt(statelesstransfertunnel，无状态传输隧道)等。通过应用overlay技术，将整个网络构建成一个虚拟的二层网络，这个二层网络不仅覆盖如图1和图2所示的企业网络，而且覆盖其它网络。例如，如图2所示，不仅覆盖了包括总部网络和分支网络的企业网络，而且覆盖了wan(wideareanetwork，广域网)，跨越wan将总部网络和分支网络互联，形成了一个端到端的大二层网络。以vxlan技术为例，在如图1所示的企业网络中，在汇聚交换机之间、汇聚交换机与核心交换机之间建立vxlan隧道，在如图2所示的企业网络中，在同一子网络中的汇聚交换机之间、不同子网络中的汇聚交换机之间、同一子网络中的汇聚交换机与核心交换机之间、不同子网络中的汇聚交换机与核心交换机之间建立vxlan隧道。在控制平面上，通过evpn(ethernetvpn，以太网虚拟专用网)机制来 同步路由和mac(mediaaccesscontrol，媒体访问控制)地址信息，抑制广播。本申请实施例的网络访问控制的实现方法包括以下内容：sdn控制器接收并保存配置信息，其中，该配置信息中包括：用户组信息，资源组信息，以及，各种访问控制策略。具体的，可以通过静态配置的方式在sdn控制器上配置上述配置信息。其中，用户组信息可以如表1所示，资源组信息可以如表2所示：表1用户组vlanvxlan网段用户组1101010.10.1.1/24用户组2202010.20.1.1/24用户组3303010.30.1.1/24由表1可以看出，用户组信息包括：用户组及其对应的vlan(虚拟局域网络)、vxlan和网段，可见，用户组、vlan、vxlan、与网段具有一一对应的关系。即，一个用户组对应一个vlan，一个vxlan，以及一个网段。在实际实施过程中，可以按照用户身份对所有用户进行分组，例如，分成研发人员、市场人员、财务人员等多个用户组，或者分成老师、学生、学校领导等多个用户组。显然，还可以按照其它方式进行分组，本申请实施例对此不做限定。同一用户组内的用户拥有相同的网络访问权限，不同用户组内的用户拥有不同的网络访问权限。表2资源组数据中心服务器的ip地址资源组110.100.0.0/24资源组210.200.0.0/24由表2可以看出，资源组信息包括：资源组以及该资源组中包括的数据中心服务器的ip(internetprotocol，因特网协议)地址。其中，一个资源组中可以 包括至少一个数据中心服务器的ip地址，当包括多个ip地址时，这些ip地址可以是一个网段中的所有ip地址。各种访问控制策略可以按照表3直观的表示：表3用户组1用户组2用户组3资源组1资源组2用户组1deny用户组2denydeny用户组3denydeny由表3可以看出，各种访问控制策略包括：同一用户组内的访问控制策略，和/或不同用户组之间的访问控制策略，和/或用户组对资源组的访问控制策略。表3中，如果第m行第n列中标记了deny，则表示禁止第m行对应的用户组与第n列对应的用户组内的用户之间互相访问，或者，用于表示禁止第m行对应的用户组访问第n列对应的资源组内的数据中心服务器；其中，当第m行对应的用户组与第n列对应的用户组是同一用户组时，实现了同一用户组内的访问控制，当第m行对应的用户组与第n列对应的用户组不是同一用户组时，实现了不同用户组之间的访问控制。显然，如果第m行第n列中没有标记deny，则表示允许访问。例如，第4行第2列中标记了deny，用于表示禁止用户组1与用户组3内的用户之间互相访问；第3行第3列中标记了deny，用于表示禁止用户组2内的用户之间互相访问；第2行第6列中标记了deny，用于表示禁止用户组1内的用户访问资源组2内的数据中心服务器，即，禁止访问ip地址属于网段10.200.0.0/24的数据中心服务器。sdn控制器将用户组信息、资源组信息和各种访问控制策略中的相应内容，发送给接入交换机、汇聚交换机、核心交换机、认证服务器和dhcp(dynamichostconfigurationprotocol，动态主机配置协议)服务器，以便这些设备可以进行相应配置。具体配置过程如下：sdn控制器将所有用户组对应的vlan发送给所有接入交换机。每一个接入交换机接收到这些vlan之后，在本设备上配置这些vlan，将本设备上连接汇聚交换机的上行端口配置为允许发送这些vlan内的报文，从而，接入交换机可以通过上行端口发送封装有这些vlan的报文。sdn控制器将如表1所示的用户组信息发送给所有汇聚交换机。每一个汇聚交换机在接收到该用户组信息之后，在本设备上配置这些vlan，将本设备上连接接入交换机的下行端口配置为允许接收这些vlan内的报文，从而，汇聚交换机可以从下行端口上接收封装有这些vlan的报文；在本设备上配置所有用户组对应的vxlan和网段，建立vlan、vxlan以及网段之间的对应关系；在本设备上配置网段的网关以及该网关的ip地址和mac地址。其中，在实际实施过程中，可以将vxlan对应的vxlan虚接口配置为对应网段的网关。从而，每一个汇聚交换机上都配置有所有网段的网关，这样，无论用户移动到何处，通过接入交换机接入到哪一个汇聚交换机上，该汇聚交换机上都有该用户的ip地址所属网段的网关。sdn控制器将所有用户组对应的vxlan发送给所有核心交换机。每一个核心交换机接收到这些vxlan之后，在本设备上配置这些vxlan。另外，核心交换机还需要通过路由协议，配置与数据中心交换机等外部设备的路由连接。sdn控制器还会将所有用户组对应的网段、如表2所示的资源组信息、以及如表3所示的各种访问控制策略，发送给所有汇聚交换机。每一个汇聚交换机接收到这些内容之后，在本设备上配置对应的acl规则，其中，该acl规则中包括：被禁止的报文的源ip地址所属的第一网段和目的ip地址所属的第二网段，其中，第一网段和第二网段为与同一用户组对应的网段，或者，第一网段和第二网段为与不同用户组对应的网段，或者，第一网段为与用户组对应的网段、第二网段为与资源组对应的网段。可见，当第一网段和第二网段为与同一用户组对应的网段时，该acl规则用于禁止同一用户组内的用户之间互相访问，当第一网段和第二网段为与不同 用户组对应的网段时，该acl规则用于禁止不同用户组内的用户之间互相访问，当第一网段为与用户组对应的网段、第二网段为与资源组对应的网段时，该acl规则用于禁止该用户组内的用户访问该资源组中的数据中心服务器。例如，按照如表3所示的访问控制策略配置的acl规则如下：其中，acl1用于禁止用户组1内的用户访问资源组2内的数据中心服务器；acl2用于禁止用户组2内的用户之间互相访问；acl3和acl4用于禁止用户组2与用户组3内的用户之间互相访问；acl5和acl6用于禁止用户组1与用户组3内的用户之间互相访问；acl7用于禁止用户组3内的用户访问资源组1内的数据中心服务器。sdn控制器将所有用户组及其对应的vlan发送给认证服务器。认证服务器接收到所有用户组及其对应的vlan之后，保存这些用户组与vlan之间的对应关系。另外，认证服务器上还配置有用户与用户组之间的对应关系，从而，在认证服务器上，保存有用户、用户组、与vlan之间的对应关系。sdn控制器将所有vlan及其对应的网段发送给dhcp服务器。dhcp服务器在接收到这些vlan及其对应的网段之后，保存这些vlan与网段之间的对应关系。具体的，可以将每一个网段的ip地址分别保存到一个地址池中，建立vlan与地址池之间的对应关系。为了实现同一用户组内的访问控制，需要在接入交换机上开启端口隔离功能，这样，接入交换机从用户端口接收到的报文，只能通过连接汇聚交换机的上行端口，转发给汇聚交换机进行网络访问控制。另外，由于在接入交换机上 开启了端口隔离功能，用户发出的arp(addressresolutionprotocol，地址解析协议)请求报文，只能转发给汇聚交换机，因此，需要为汇聚交换机上的每一个网关配置arp代理(proxy)功能，这样，汇聚交换机接收到该arp请求报文之后，会针对该arp请求报文做出应答。在完成上述配置过程之后，用户即可进行接入认证，并在认证通过后访问网络。在任一用户进行接入认证的过程中，认证服务器会确定该用户所属的用户组，并进一步确定该用户组对应的vlan，将该vlan发送给接入交换机；接入交换机在接收到该vlan之后，将本设备上连接该用户的用户端口加入到该vlan中。后续，该用户即会申请ip地址。接入交换机接收到该用户发来的地址申请报文之后，确定接收到该地址申请报文的用户端口所属的vlan，然后，在该地址申请报文中封装该vlan后，发送给dhcp服务器；dhcp服务器接收到该地址申请报文之后，查找到该地址申请报文中封装的vlan对应的网段，从该网段中选择一个未被占用的ip地址，携带在应答报文中发送给该接入交换机，通过该接入交换机将该应答报文转发给该用户，从而，该用户可以获得所属用户组对应的网段中的ip地址。对于任一用户而言，只要该用户所属的用户组不变，那么，该用户无论从哪里接入，该用户都能获得与该用户组对应的网段中的ip地址，即，该用户的ip地址总是同一网段中的ip地址，因此，该用户发出的报文也总是能够命中包含该网段的acl规则。在获得了ip地址之后，该用户向ip地址为ip1(ip1即为目标ip地址)的数据中心服务器或另一用户发送用户报文之前，需要先获得ip1对应的mac地址，此时，该用户判断ip1与该用户的ip地址是否属于同一网段，若是，则发送源ip地址为该用户的ip地址、目的ip地址为ip1的arp请求报文；若不是同一网段，则发送源ip地址为该用户的ip地址、目的ip地址为该用户的ip地址所属网段的网关ip地址的arp请求报文。接入交换机接收到该arp请求报文之后，确定接收到该arp请求报文 的用户端口所属的vlan，在该arp请求报文中封装该vlan，由于开启了端口隔离功能，因此，只会将该arp请求报文发送给汇聚交换机。汇聚交换机接收到该arp请求报文之后，如图3所示，会执行以下步骤：步骤s101，在接收到接入交换机发来的arp请求报文之后，确定对应的网关；具体的，可以根据该arp请求报文的源ip地址，查找到该源ip地址所属网段的网关；或者，根据该arp请求报文中封装的vlan，查找到该vlan对应的网段的网关。步骤s102，判断该arp请求报文的目的ip地址是否是步骤s101中确定出的网关的ip地址，若是，则执行步骤s103，否则，执行步骤s104；步骤s103，将该网关的mac地址携带在arp应答报文中发送给该接入交换机，通过该接入交换机转发给该用户；步骤s104，在该网关配置了arp代理功能时，将该网关的mac地址携带在arp应答报文中发送给接入交换机，通过该接入交换机转发给该用户。显然，在该网关没有配置arp代理功能时，不会做出应答。该用户接收到该arp应答报文之后，建立ip1与该网关的mac地址之间的对应关系。后续，该用户发出目的ip地址是ip1、目的mac地址是该网关的mac地址的用户报文。具体的，对该用户报文进行网络访问控制的具体流程如下：接入交换机接收到该用户报文之后，确定接收到该用户报文的用户端口所属的vlan，在该用户报文中封装该vlan，之后转发给汇聚交换机。如图4所示，汇聚交换机接收到该用户报文后，会执行以下步骤：步骤s201，在接收到该用户报文之后，将该用户报文的源ip地址与acl规则中的第一网段进行匹配，并将该用户报文的目的ip地址与该acl规则中的第二网段进行匹配；在步骤s201中，若均匹配，说明该用户报文命中该acl规则，否则，若该用户报文的源ip地址与第一网段不匹配，和/或，该用户报文的目的ip 地址与第二网段不匹配，说明该用户报文没有命中该acl规则。步骤s202，判断该用户报文是否命中该acl规则，若是，则执行步骤s203，否则，执行步骤s204；步骤s203，丢弃该用户报文；步骤s204，转发该用户报文。具体的，步骤s204中，根据该用户报文的目的ip地址在路由表中查找对应的出接口，若查找到的出接口为本设备的下行端口，则通过查找到的下行端口转发该用户报文，若查找到的出接口为vxlan隧道接口，则查找与该用户报文中封装的vlan对应的vxlan，并对该用户报文进行vxlan封装后进行转发。在本申请上述实施例中的vlan，均指的是用户组对应的vlan。本申请上述实施例的方法，实现了以下技术效果：在汇聚交换机和核心交换机上应用overlay技术，从而，构建了一个overlay网络架构，即，一个虚拟的大二层网络，具有用户可迁移的好处。汇聚交换机上配置有acl规则，该acl规则中包括：被禁止的报文的源ip地址所属的第一网段和目的ip地址所属的第二网段，其中，第一网段和第二网段可以是与同一用户组对应的网段、也可以是与不同用户组对应的网段，或者，第一网段为与用户组对应的网段、第二网段为与资源组对应的网段；用户无论从何处接入，在进行接入认证时，会为该用户分配该用户所属用户组对应的vlan，并为该用户分配该vlan对应的网段中的ip地址；汇聚交换机在接收到该用户的用户报文之后，会将该用户报文与该acl规则进行匹配，若命中该acl规则，则丢弃该用户报文，从而，不仅可以实现对资源组中的数据中心服务器的网络访问控制，而且，可以实现同一用户组内的网络访问控制，以及不同用户组之间的网络访问控制。由于在汇聚交换机上配置acl规则，而不是在接入交换机上配置，汇聚交换机的数量明显小于接入交换机，因而可以减少需要配置的acl规则总数，减轻配置工作量。只要该用户所属的用户组不变，分配给该用户的vlan就不变，分配给该用户的ip地址所属网段也不变，因此，无论该用户移动到何处，该用户发出的用户报文总是能够命中包含该网段的acl规则，该acl规则不会受到用户接入位置变化的影响，避免了用户接入位置的变化所导致的acl规则的更新。而且，当需要实现同一用户组内的网络访问控制时，只需一条acl规则即可实现，此时，该acl规则中的第一网段和第二网段均为该用户组对应的网段，从而极大的减少了需要配置的acl规则数量，节约了acl资源。由于构建了overlay的网络架构，因此，可以应用于超大规模网络和跨wan的网络中。与前述网络访问控制的实现方法的实施例相对应，本申请还提供了网络访问控制的实现装置的实施例。本申请网络访问控制的实现装置60的实施例可以应用在汇聚交换机上。装置实施例可以通过软件实现，也可以通过硬件或者软硬件结合的方式实现。以软件实现为例，作为一个逻辑意义上的装置，是通过其所在汇聚交换机的处理器10将非易失性存储器50中对应的计算机程序指令读取到内存40中运行形成的。从硬件层面而言，如图5所示，为本申请网络访问控制的实现装置所在汇聚交换机的一种硬件结构图，除了图5所示的处理器10、内部总线20、网络接口30、内存40、以及非易失性存储器50之外，实施例中装置所在的汇聚交换机通常根据该汇聚交换机的实际功能，还可以包括其他硬件，对此不再赘述。请参考图6，本申请实施例的网络访问控制的实现装置60中包括以下模块：配置模块601，用于在本设备上配置acl规则，该acl规则中包括：被禁止的报文的源ip地址所属的第一网段和目的ip地址所属的第二网段，其中，第一网段和第二网段为与同一用户组对应的网段，或者，第一网段和第二网段为与不同用户组对应的网段，或者，第一网段为与用户组对应的网段、第二网段为与资源组对应的网段；接收模块602，用于接收接入交换机发来的用户报文；匹配模块603，用于在接收模块602接收到接入交换机发来的用户报文 之后，将该用户报文的源ip地址与该acl规则中的第一网段进行匹配，并将该用户报文的目的ip地址与该acl规则中的第二网段进行匹配；其中，该用户报文的源ip地址为与该用户所属用户组绑定的vlan所对应的网段中的ip地址；处理模块604，用于若匹配模块603判断出均匹配，则丢弃该用户报文。其中，在汇聚交换机之间、汇聚交换机与核心交换机之间建立vxlan隧道，则，如图7所示，上述网络访问控制的实现装置60中还包括：关系建立模块605，其中：接收模块602，还用于接收sdn控制器发来的用户组信息，其中，用户组信息中包括：用户组以及对应的vlan、vxlan和网段；配置模块601，还用于在接收模块602接收到用户组信息之后，在本设备上配置用户组对应的vlan、vxlan以及网段；还用于配置网段的网关的ip地址和mac地址；关系建立模块605，用于建立vlan、vxlan以及网段之间的对应关系。其中，处理模块604，还用于若匹配模块603判断出该用户报文的源ip地址与第一网段不匹配，和/或，该用户报文的目的ip地址与第二网段不匹配，则根据该目的ip地址在路由表中查找对应的出接口，若查找到的出接口为本设备的下行端口，则通过查找到的下行端口转发该用户报文，若查找到的出接口为vxlan隧道接口，则查找与该用户报文中封装的vlan对应的vxlan，并对该用户报文进行vxlan封装后进行转发。另外，如图8所示，上述网络访问控制的实现装置60中还包括：网关确定模块606和发送模块607，其中：接收模块602，还用于接收接入交换机发来的用户的arp请求报文；网关确定模块606，用于在接收模块602接收到用户的arp请求报文之后，确定对应的网关，其中，该arp请求报文是该用户向目标ip地址发送用户报文之前发出的，当该目标ip地址与该arp请求报文的源ip地址属于同一网段时，该arp请求报文的目的ip地址为该目标ip地址，当该目标ip地址与该arp 请求报文的源ip地址属于不同网段时，该arp请求报文的目的ip地址为该源ip地址所属网段的网关ip地址；发送模块607，用于若该arp请求报文的目的ip地址是网关确定模块606确定出的网关的ip地址，则将该网关的mac地址携带在arp应答报文中发送给接入交换机，若该arp请求报文的目的ip地址不是该网关的ip地址，则在该网关配置了arp代理功能时，将该网关的mac地址携带在arp应答报文中发送给接入交换机，以使该用户接收到该接入交换机转发来的该arp应答报文之后，建立该目标ip地址与该网关的mac地址的对应关系，向该接入交换机发送目的ip地址为该目标ip地址、目的mac地址是该网关的mac地址的用户报文。其中，网关确定模块606具体用于：根据arp请求报文中封装的vlan，确定该vlan对应的网段的网关；或者，根据arp请求报文的源ip地址，确定该源ip地址所属网段的网关。上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程，在此不再赘述。对于装置实施例而言，由于其基本对应于方法实施例，所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。以上所述仅为本申请的较佳实施例而已，并不用以限制本申请，凡在本申请的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本申请保护的范围之内。当前第1页12