一种发送业务报文的方法及装置与流程

本申请涉及通信
技术领域：
，特别是涉及一种发送业务报文的方法及装置。
背景技术：
在云场景下，云平台中会设置有sdn(softwaredefinednetwork，软件定义网络)纳管系统，通过sdn纳管系统，可实现对租户的安全设备(比如租户的防火墙设备等)的对接和流量牵引。技术人员可以通过sdn纳管系统将控制指令下发给安全设备，以实现对多个租户的安全设备的统一管理。目前，安全设备通常采用多租户共享context方式，实现租户划分和隔离，也即，对安全设备进行虚拟化，一台安全设备对应多个租户的方式。在租户共享context方式下，安全设备的下行接口划分为多个下行子接口，每个下行子接口绑定租户vpn(virtualprivatenetwork，虚拟专用网络)。例如，该安全设备为租户user01和user02提供服务，user01在防火墙上的第一下行子接口绑定vpn_user01，user02在防火墙上的第二下行子接口绑定vpn_user02。在实际中，租户有跨租户vpc互访的需求，要求不同租户的流量可以通过配置实现私网网段的互访，并且需要防火墙做安全防护。比如租户user01的要访问user02。然而。在sdn纳管系统中，各不同租户的安全域及地址信息是相互不可见的，例如，在sdn纳管系统中，技术人员配置user01对应的路由表时，无法看到user02对应的下一跳地址，并且，sdn纳管系统中也不允许将下行子接口绑定的vpn作为目的vpn。sdn纳管系统中无法配置跨vpn的静态路由，无法实现租户间互访功能。技术实现要素：本申请实施例的目的在于提供一种发送业务报文的方法及装置，以实现租户间互访功能。具体技术方案如下：第一方面，提供了一种发送业务报文的方法，所述方法应用于安全设备，所述方法包括：接收第一用户设备发送的业务报文，所述业务报文的目的地址为第二用户设备的ip地址；根据预先存储的所述第一用户设备对应的第一路由转发表，确定所述第二用户设备的ip地址对应的第一出接口和第一下一跳地址，所述第一路由转发表包括目的地址、出接口和下一跳地址的对应关系，所述第一出接口为所述第一用户设备对应的第一虚拟接口，所述第一下一跳地址为所述第二用户设备对应的第二虚拟接口的地址；通过所述第一虚拟接口，根据所述第一下一跳地址将所述业务报文发送至所述第二虚拟接口；通过所述第二虚拟接口，将所述业务报文发送至所述第二用户设备。可选的，所述根据预先存储的所述第一用户设备对应的第一路由转发表，确定所述第二用户设备的ip地址对应的第一出接口和第一下一跳地址之前，所述方法还包括：根据预先存储的下行子接口与vpn的对应关系，确定第一下行子接口对应的第一vpn，所述第一下行子接口为接收所述业务报文的下行子接口；根据预设存储的vpn与路由转发表的对应关系，确定所述第一vpn对应的第一路由转发表。可选的，所述通过所述第二虚拟接口，将所述业务报文发送至所述第二用户设备，包括：根据预设存储的虚拟接口和vpn的对应关系，确定所述第二虚拟接口对应的第二vpn；根据预设存储的vpn与路由转发表的对应关系，确定所述第二vpn对应的第二路由转发表，所述第二路由转发表包括目的地址、出接口和下一跳地址的对应关系；根据所述第二路由转发表，确定所述第二用户设备的ip地址对应的第二下一跳地址，所述第二下一跳地址为所述第二用户设备对应的第二下行子接口的地址；根据所述第二下一跳地址，将所述业务报文发送至所述第二下行子接口；通过所述下行子接口发送所述业务报文。可选的，所述方法还包括：接收管理服务器发送的虚拟接口配置命令，所述虚拟接口配置命令包括所述第一虚拟接口的标识、所述第一虚拟接口的地址、所述第一虚拟接口对应的第一vpn的标识、所述第二虚拟接口的标识、所述第二虚拟接口的地址和所述第二虚拟接口对应的所述第二vpn的标识；创建所述第一虚拟接口和所述第二虚拟接口；配置所述第一虚拟接口的地址和所述第二虚拟接口的地址，并根据所述第一虚拟接口的标识和所述第一vpn的标识，建立所述第一虚拟接口和所述第一vpn的对应关系，根据所述第二虚拟接口的标识和所述第二vpn的标识，建立所述第二虚拟接口和所述第二vpn的对应关系。可选的，所述方法还包括：接收管理服务器发送的对应所述第一路由转发表的路由配置命令，所述路由配置命令包括所述第一虚拟接口的标识、所述第二用户设备的ip地址和所述第二虚拟接口的地址；在所述第一路由转发表中添加以所述第二用户设备的ip地址为目的地址、以所述第一虚拟接口为出接口、以所述第二虚拟接口的地址为下一跳地址的转发表项，并将所述第一用户设备与所述第二用户之间的安全策略设置为放通状态。第二方面，提供了一种发送业务报文的装置，所述装置应用于安全设备，所述装置包括：第一接收模块，用于接收第一用户设备发送的业务报文，所述业务报文的目的地址为第二用户设备的ip地址；第一确定模块，用于根据预先存储的所述第一用户设备对应的第一路由转发表，确定所述第二用户设备的ip地址对应的第一出接口和第一下一跳地址，所述第一路由转发表包括目的地址、出接口和下一跳地址的对应关系，所述第一出接口为所述第一用户设备对应的第一虚拟接口，所述第一下一跳地址为所述第二用户设备对应的第二虚拟接口的地址；第一发送模块，用于通过所述第一虚拟接口，根据所述第一下一跳地址将所述业务报文发送至所述第二虚拟接口；第二发送模块，用于通过所述第二虚拟接口，将所述业务报文发送至所述第二用户设备。可选的，所述装置还包括：第二确定模块，用于根据预先存储的下行子接口与vpn的对应关系，确定第一下行子接口对应的第一vpn，所述第一下行子接口为接收所述业务报文的下行子接口；第三确定模块，用于根据预设存储的vpn与路由转发表的对应关系，确定所述第一vpn对应的第一路由转发表。可选的，所述第二发送模块，具体用于：根据预设存储的虚拟接口和vpn的对应关系，确定所述第二虚拟接口对应的第二vpn；根据预设存储的vpn与路由转发表的对应关系，确定所述第二vpn对应的第二路由转发表，所述第二路由转发表包括目的地址、出接口和下一跳地址的对应关系；根据所述第二路由转发表，确定所述第二用户设备的ip地址对应的第二下一跳地址，所述第二下一跳地址为所述第二用户设备对应的第二下行子接口的地址；根据所述第二下一跳地址，将所述业务报文发送至所述第二下行子接口；通过所述下行子接口发送所述业务报文。可选的，所述装置还包括：第二接收模块，用于接收管理服务器发送的虚拟接口配置命令，所述虚拟接口配置命令包括所述第一虚拟接口的标识、所述第一虚拟接口的地址、所述第一虚拟接口对应的第一vpn的标识、所述第二虚拟接口的标识、所述第二虚拟接口的地址和所述第二虚拟接口对应的所述第二vpn的标识；创建模块，用于创建所述第一虚拟接口和所述第二虚拟接口；建立模块，用于配置所述第一虚拟接口的地址和所述第二虚拟接口的地址，并根据所述第一虚拟接口的标识和所述第一vpn的标识，建立所述第一虚拟接口和所述第一vpn的对应关系，根据所述第二虚拟接口的标识和所述第二vpn的标识，建立所述第二虚拟接口和所述第二vpn的对应关系。可选的，所述装置还包括：第三接收模块，用于接收管理服务器发送的对应所述第一路由转发表的路由配置命令，所述路由配置命令包括所述第一虚拟接口的标识、所述第二用户设备的ip地址和所述第二虚拟接口的地址；添加模块，用于在所述第一路由转发表中添加以所述第二用户设备的ip地址为目的地址、以所述第一虚拟接口为出接口、以所述第二虚拟接口的地址为下一跳地址的转发表项，并将所述第一用户设备与所述第二用户之间的安全策略设置为放通状态。第三方面，提供了一种安全设备，包括包括处理器、通信接口、存储器和通信总线，其中，处理器，通信接口，存储器通过通信总线完成相互间的通信；存储器，用于存放计算机程序；处理器，用于执行存储器上所存放的程序时，实现第一方面所述的方法步骤。第四方面，提供了一种机器可读存储介质，存储有机器可执行指令，在被处理器调用和执行时，所述机器可执行指令促使所述处理器：实现第一方面所述的方法步骤。第五方面，提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机实现第一方面所述的方法步骤。本申请实施例提供的发送业务报文的方法及装置，网络设备接收第一用户设备发送的业务报文，该业务报文的目的地址为第二用户设备的ip地址，然后根据预先存储的第一用户设备对应的第一路由转发表，确定第二用户设备的ip地址对应的第一出接口和第一下一跳地址，其中，第一出接口为第一用户设备对应的第一虚拟接口，第一下一跳地址为第二用户设备对应的第二虚拟接口的地址，然后，网络设备通过第一虚拟接口，根据第一下一跳地址将业务报文发送至第二虚拟接口，进而通过第二虚拟接口，将业务报文发送至第二用户设备，从而实现了同一安全设备内部的租户之间的互访功能。附图说明为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1为本申请实施例提供的系统框架图；图2为本申请实施例提供的发送业务报文的方法流程图；图3为本申请实施例提供的配置虚拟接口和路由转发表的方法流程图；图4为本申请实施例提供的配置虚拟接口和路由转发表的方法示例流程图；图5为本申请实施例提供的发送业务报文的方法示例流程图；图6为本申请实施例提供的一种发送业务报文的装置的结构示意图；图7为本申请实施例提供的一种发送业务报文的装置的结构示意图；图8为本申请实施例提供的一种发送业务报文的装置的结构示意图；图9为本申请实施例提供的一种发送业务报文的装置的结构示意图；图10为本申请实施例提供的网络设备的结构示意图。具体实施方式下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。本发明实施例提供了一种发送业务报文的方法，该方法可以应用于网络设备，该网络设备可以为防火墙设备等安全设备，也可以为路由设备。该网络设备可以应用于sdn纳管场景下。sdn是一种新型网络架构，其核心思想是分离网络设备的控制平面与转发平面，并通过控制器对网络流量进行集中和灵活控制，从而为核心网络及应用的创新提供良好的平台。本发明实施例中，sdn纳管系统是sdn网络中的控制平面，技术人员可以通过管理员终端向运行有sdn纳管系统的管理服务器下发指令，以配置sdn网络中的网络设备(比如安全设备或路由设备等)。如图1所示，为本发明实施例提供的一种网络系统的示意图。该网络系统包括运行有sdn纳管系统的管理服务器、管理区交换机和管理员终端、边界路由器、安全设备、接入设备和租户的用户设备。管理员终端通过管理区交换机与sdn纳管系统的管理服务器连接，管理服务器通过管理区交换机和接入设备，与安全设备连接。这样，技术人员可以通过sdn纳管系统将控制指令下发给安全设备，以实现对多个租户的安全设备的统一管理。安全设备的上行接口可以与边界路由器连接，通过边界路由器接入互联网。安全设备的下行接口可以与接入设备连接，接入设备可以包括核心交换机和接入交换机。租户的用户设备可以与接入设备连接，以便通过接入设备接入安全设备，进而通过该安全设备进行网络访问。在实际中，安全设备通常会被虚拟化成多个虚拟设备(即context，中文：虚拟防火墙)，来为租户提供服务。本发明实施例中的网络设备，可以是一个独立的网络设备，也可以是通过虚拟化得到的context。以context为例，在采用多租户共享context方式的情况下，一台网络设备(即context)会为多个租户提供服务。租户的用户设备与网络设备之间通常通过建立vpn来进行通信，基于此，网络设备的下行接口划分为多个下行子接口，每个下行子接口绑定一个租户的vpn，以实现与不同的用户设备之间的通信。例如，参照图1，网络设备为user01和user02提供服务，网络设备的下行接口可以划分为下行子接口1和下行子接口2，下行子接口1绑定的vpn为vpn_user01，下行子接口2绑定的vpn为vpn_user02，其中，user01和user02属于不同的安全域，比如user01所属的安全域为zone_user01，user02所属的安全域为zone_user02，user01的ip(internetprotocol，互联网协议)地址为2.0.0.0/24，user02的ip地址为3.0.0.0/24。在实际中，vpn通常是针对租户划分的，如果某租户有多个用户设备，则多个用户设备属于同一vpn，对应同一下行子接口。本发明实施例中，网络设备可以为租户分配虚拟接口，当网络设备接收到第一用户设备发送的业务报文后，根据预先存储的第一用户设备对应的第一路由转发表，确定该业务报文的目的地址(即第二用户设备的ip地址)对应的第一出接口和第一下一跳地址，其中，第一出接口为第一用户设备对应的第一虚拟接口，第一下一跳地址为第二用户设备对应的第二虚拟接口的地址。网络设备可以通过第一虚拟接口，根据第一下一跳地址将业务报文发送至第二虚拟接口，然后通过第二虚拟接口，将业务报文发送至第二用户设备。这样，可以基于sdn纳管系统实现租户间互访功能。如图2所示，该方法的处理过程可以包括以下步骤：步骤201，接收第一用户设备发送的业务报文。其中，业务报文的目的地址为第二用户设备的ip地址，第二用户设备与第一用户设备为接入同一安全设备的用户设备。在实施中，当第一用户设备需要与第二用户设备进行通信时，第一用户设备可以根据预设的报文生成策略，以第一用户设备的ip地址为源地址，以第二用户设备的ip地址为目的地址，生成业务报文。然后，第一用户设备则可以通过其对应的vpn，将该业务报文发送给接入设备。接入设备中可以预先存储有策略路由，然后根据该策略路由将该业务报文发送给网络设备的第一下行子接口，网络设备则可以通过第一下行子接口接收该业务报文。步骤202，根据预先存储的第一用户设备对应的第一路由转发表，确定第二用户设备的ip地址对应的第一出接口和第一下一跳地址。在实施中，网络设备中可以预先存储有各用户设备对应的路由转发表，该路由转发表为vpn路由转发表，也可称为vrf(virtualroutingforwarding，虚拟路由转发)表。路由转发表包括目的地址、出接口和下一跳地址的对应关系。其中，出接口可以是网络设备为用户设备创建的同于实现与其他用户设备进行互访的接口。本发明实施例中，对于需要进行租户互访的用户设备，网络设备会为该用户设备创建虚拟接口，通过创建的虚拟接口，实现类似跨context(即网络设备)方式下的互联接口功能，即context内部的互联接口，这样，能够实现出接口及下一跳接口都为本context，并且sdn纳管系统能够分配虚拟接口的ip地址、配置跨vpn互访的路由转发表。这些虚拟接口由于都在本context内，默认域间策略全部为放通。出接口的创建过程、以及路由转发表的配置过程后续会进行详细说明。网络设备接收到第一用户设备发送的业务报文后，可以对该业务报文进行解析，获取其中携带的目的地址(即第二用户设备的ip地址)，然后在第一用户设备对应的路由转发表(即第一路由转发表)中，查找该第二用户设备的ip地址对应的转发表项，从而得到第二用户设备的ip地址对应的第一出接口和第一下一跳地址。其中，第一出接口为第一用户设备对应的第一虚拟接口，第一下一跳地址为第二用户设备对应的第二虚拟接口的地址。需要说明的是，本发明实施例中，每个vpn对应一个虚拟接口，也即，每个租户对应一个虚拟接口。技术人员可以通过配置路由转发表，实现第一租户与多个其他租户之间的互访。如表1所示，为本发明实施例提供的一种路由转发表的示例。表一目的地址出接口下一跳地址3.0.0.0/24virtual-if011.1.1.24.0.0.0/24virtual-if011.1.1.3其中，virtual-if01为第一用户设备对应的第一虚拟接口，3.0.0.0/24为第二用户设备的ip地址，1.1.1.2为第二用户设备对应的第二虚拟接口的地址，4.0.0.0/24为第三用户设备的ip地址，1.1.1.3为第三用户设备对应的第三虚拟接口的地址。可选的，网络设备需要先确定第一路由转发表，然后再查找第二用户设备的ip地址对应的第一出接口和第一下一跳地址，确定第一路由转发表的过程可以如下：根据预先存储的下行子接口与vpn的对应关系，确定第一下行子接口对应的第一vpn，第一下行子接口为接收业务报文的下行子接口；根据预设存储的vpn与路由转发表的对应关系，确定第一vpn对应的第一路由转发表。在实施中，网络设备的每个下行子接口会绑定一个租户的vpn，也即，网络设备中与存储下行子接口与vpn的对应关系。网络设备中还会配置该租户的用户设备对应的路由转发表，并建立该租户的vpn与该路由转发表的对应关系。当网络设备通过第一下行子接口接收到第一用户设备发送的业务报文时，网络设备可以根据预先存储的下行子接口与vpn的对应关系，确定第一下行子接口对应的第一vpn，进而根据预设存储的vpn与路由转发表的对应关系，确定第一vpn对应的第一路由转发表，以便在第一路由转发表中查找该业务报文的目的地址对应的第一出接口和第一下一跳地址。步骤203，通过第一虚拟接口，根据第一下一跳地址将业务报文发送至第二虚拟接口。在实施中，网络设备可以以第一虚拟接口为出接口，向第一下一跳地址(即第二用户设备对应的第二虚拟接口的地址)对应的虚拟接口(即第二用户设备对应的第二虚拟接口)发送该业务报文。步骤204，通过第二虚拟接口，将业务报文发送至第二用户设备。在实施中，网络设备可以通过第二虚拟接口接收到该业务报文，由于该第二虚拟接口为第二用户设备对应的虚拟接口，因此，网络设备可以通过第二虚拟接口将该业务报文发送给第二用户设备。可选的，网络设备通过第二虚拟接口，将业务报文发送至第二用户设备的具体处理过程可以包括以下步骤：步骤一，根据预设存储的虚拟接口和vpn的对应关系，确定第二虚拟接口对应的第二vpn。在实施中，网络设备为某一租户的用户设备创建虚拟接口后，可以将该虚拟接口与该用户设备对应的vpn进行绑定，也即，网络设备可以建立虚拟接口和vpn的对应关系。当网络设备通过第二虚拟接口接收到业务报文后，网络设备可以根据预设存储的虚拟接口和vpn的对应关系，确定第二虚拟接口对应的第二vpn。步骤二，根据预设存储的vpn与路由转发表的对应关系，确定第二vpn对应的第二路由转发表。在实施中，如上所述，网络设备中可以预先存储vpn与路由转发表的对应关系，网络设备确定出第二vpn后，可以根据预设存储的vpn与路由转发表的对应关系，确定第二vpn对应的第二路由转发表。与第一路由转发表类似，第二路由转发表包括目的地址、出接口和下一跳地址的对应关系。如表二所示，为本发明实施例提供的一种路由转发表的示例。表二目的地址出接口下一跳地址3.0.0.0/24virtual-if022.1.1.22.0.0.0/24virtual-if021.1.1.1其中，virtual-if02为第二用户设备对应的第二虚拟接口，3.0.0.0/24为第二用户设备的ip地址，2.1.1.2为第二用户设备对应的下行子接口的地址，2.0.0.0/24为第一用户设备的ip地址，1.1.1.1为第一用户设备对应的第一虚拟接口的地址。步骤三，根据第二路由转发表，确定第二用户设备的ip地址对应的第二下一跳地址。在实施中，网络设备可以在第二路由转发表中，查找该第二用户设备的ip地址对应的转发表项，从而得到第二用户设备的ip地址对应的出接口和第二下一跳地址。其中，出接口为第二用户设备对应的第二虚拟接口，第二下一跳地址为第二用户设备对应的第二下行子接口的地址。步骤四，根据第二下一跳地址，将业务报文发送至第二下行子接口。在实施中，网络设备可以通过第二虚拟接口为出接口，向第二下一跳地址(即第二用户设备对应的第二下行子接口的地址)对应的接口(即第二用户设备对应的第二下行子接口)发送该业务报文。步骤五，通过第二下行子接口将业务报文发送至第二用户设备。在实施中，网络设备通过第二下行子接口接收到业务报文后，可以通过该第二下行子接口，根据该业务报文中的目的地址(即第二用户设备的ip地址)，将该业务报文发送给第二用户设备。本发明实施例还提供了一种用户设备互访的示例。当租户user01需要向租户user02发送业务报文时，user01会向接入设备发送业务报文，该业务报文的目的地址为user02的地址，即3.0.0.0/24，源地址为user01的地址，即2.0.0.0/24。接入设备将该业务报文发送至网络设备的下行子接口1，网络设备通过下行子接口1接收到该业务报文后，判定与下行子接口1绑定的vpn为vpn_user01，然后查询vpn_user01对应的第一路由转发表(即上述表一)，然后确定3.0.0.0/24对应的出接口为virtual-if01，下一跳地址为1.1.1.2，进而通过virtual-if01，向地址为1.1.1.2的接口(即virtual-if02)发送该业务报文。然后，网络设备确定virtual-if02绑定的vpn为vpn_user02，然后查询vpn_user02对应的第二路由转发表(即上述表二)，确定3.0.0.0/24对应的出接口为virtual-if02，下一跳地址为2.1.1.2，进而以virtual-if02为出接口，向地址为2.1.1.2的接口(即下行子接口2)发送业务报文，进而通过下行子接口2向user02发送该业务报文。租户user02向租户user01发送业务报文的处理过程与之类似，不再赘述。本发明实施例中，网络设备接收第一用户设备发送的业务报文，该业务报文的目的地址为第二用户设备的ip地址，然后根据预先存储的第一用户设备对应的第一路由转发表，确定第二用户设备的ip地址对应的第一出接口和第一下一跳地址，其中，第一出接口为第一用户设备对应的第一虚拟接口，第一下一跳地址为第二用户设备对应的第二虚拟接口的地址，然后，网络设备通过第一虚拟接口，根据第一下一跳地址将业务报文发送至第二虚拟接口，进而通过第二虚拟接口，将业务报文发送至第二用户设备，从而实现了同一安全设备内部的租户之间的互访功能。并且，本方案是通过在网络设备中配置虚拟接口，来实现同一安全设备内部的租户之间的互访功能，下一跳地址为第二用户设备对应的第二虚拟接口的地址，网络设备通过第一用户设备对应的第一虚拟接口，根据第一下一跳地址将业务报文发送至第二虚拟接口，进而通过第二虚拟接口，将业务报文发送至第二用户设备，避免了在sdn纳管系统中将下行子接口绑定的vpn作为目的vpn，另外，由于第一虚拟接口与第一用户设备属于同一vpn，第二虚拟接口与第二用户设备属于同一vpn，因此，也避免了在sdn纳管系统中配置跨vpn的静态路由的情况。可选的，本发明实施例还提供了一种在网络设备中配置虚拟接口的方法，如图3所示，具体的处理包括以下步骤：步骤301，接收管理服务器发送的虚拟接口配置命令。其中，虚拟接口配置命令包括第一虚拟接口的标识、第一虚拟接口的地址、第一虚拟接口对应的第一vpn的标识、第二虚拟接口的标识、第二虚拟接口的地址和第二虚拟接口对应的第二vpn的标识。在实施中，当第一租户需要与第二租户进行互访时，技术人员可以通过sdn纳管系统的管理服务器，为第一租户的用户设备和第二租户的用户设备创建虚拟接口。在一种可能的实现方式中，技术人员可以通过管理员终端向管理服务器下发创建请求，该创建请求中携带有第一租户的标识和第二租户的标识。当管理服务器接收到该创建请求后，管理服务器可以解析该创建请求，获取第一租户的标识和第二租户的标识。其中，租户的标识可以为该租户的用户设备的ip地址，也可以为预设的租户名称。管理服务器获取到获取第一租户的标识后，可以生成第一租户对应的第一虚拟接口的标识，比如virtual-if01。另外，管理服务器中还可以预先存储有互联地址池，比如1.1.1.0/24。管理服务器还可以从该互联地址池中，随机选取当前未使用的地址，将该地址作为第一虚拟接口的地址，并可以设置第一虚拟接口与第一租户的vpn绑定。管理服务器配置第二虚拟接口的过程与之类似，此处不再赘述。管理服务器可以根据预设的命令生成规则，生成虚拟接口配置命令，虚拟接口配置命令包括第一虚拟接口的标识、第一虚拟接口的地址、第一虚拟接口对应的第一vpn的标识、第二虚拟接口的标识、第二虚拟接口的地址和第二虚拟接口对应的第二vpn的标识。管理服务器可以将该虚拟接口配置命令发送给网络设备。网络设备则会接收到该虚拟接口配置命令。在一种可能的实现方式中，虚拟接口配置命令可以包括第一虚拟接口创建命令、第二虚拟接口创建命令、第一地址配置命令、第二地址配置命令、第一vpn绑定命令和第二vpn绑定命令。其中，第一虚拟接口创建命令包括第一虚拟接口的标识，用于创建第一虚拟接口；第二虚拟接口创建命令包括第二虚拟接口的标识，用于创建第二虚拟接口；第一地址配置命令包括第一虚拟接口的标识和第一虚拟接口的地址，用于配置第一虚拟接口的地址；第二地址配置命令包括第二虚拟接口的标识和第二虚拟接口的地址，用于配置第二虚拟接口的地址；第一vpn绑定命令包括第一虚拟接口的标识和第一vpn的标识，用于将第一虚拟接口对应的vpn配置为第一vpn；第二vpn绑定命令包括第二虚拟接口的标识和第二vpn的标识，用于将第二虚拟接口对应的vpn配置为第二vpn。步骤302，创建第一虚拟接口和第二虚拟接口。在实施中，网络设备接收到该虚拟接口配置命令后，可以执行该虚拟接口配置命令，以创建第一虚拟接口和第二虚拟接口。例如，网络设备接收到第一虚拟接口创建命令和第二虚拟接口创建命令后，可以执行第一虚拟接口创建命令，创建第一虚拟接口，还可以执行第二虚拟接口创建命令，创建第二虚拟接口。步骤303，配置第一虚拟接口的地址和第二虚拟接口的地址。在实施中，网络设备可以根据虚拟接口配置命令中第一虚拟接口的地址(可称为第一地址)，将第一虚拟接口的地址配置为该第一地址，并根据虚拟接口配置命令中第二虚拟接口的地址(可称为第二地址)，将第二虚拟接口的地址配置为该第二地址。例如，网络设备接收到第一地址配置命令和第二地址配置命令后，可以执行第一地址配置命令，将第一地址配置命令中的第一地址，配置为第一虚拟接口的地址，类似的，网络设备还可以配置第二虚拟接口的地址。步骤304，根据第一虚拟接口的标识和第一vpn的标识，建立第一虚拟接口和第一vpn的对应关系，并根据第二虚拟接口的标识和第二vpn的标识，建立第二虚拟接口和第二vpn的对应关系。在实施中，网络设备还可以将第一虚拟接口与第一vpn绑定，并将第二虚拟接口与第二vpn绑定。具体的，网络设备可以根据虚拟接口配置命令中第一虚拟接口的标识和第一vpn的标识，建立第一虚拟接口和第一vpn的对应关系，并根据第二虚拟接口的标识和第二vpn的标识，建立第二虚拟接口和第二vpn的对应关系。例如，网络设备接收到第一vpn绑定命令和第二vpn绑定命令后，可以执行第一vpn绑定命令，建立第一虚拟接口和第一vpn的对应关系，类似的，网络设备还可以建立第二虚拟接口和第二vpn的对应关系。例如，第一租户的用户设备的ip地址为2.0.0.1，第二租户的用户设备的ip地址为3.0.0.1。当租户user01有访问租户user02的需求时，管理服务器可以确定租户user01的虚拟接口的标识为virtual-if01，租户user02的虚拟接口的标识为virtual-if02，并基于预设的互联地址池1.1.1.0/24，为virtual-if01分配地址1.1.1.1，为virtual-if02分配地址1.1.1.2，同时，还可以设置virtual-if01绑定的vpn为vpn_user01，virtual-if02绑定的vpn为vpn_user02。网络设备接收到虚拟接口配置命令后，可以创建虚拟接口virtual-if01和虚拟接口virtual-if02，并配置virtual-if01的地址为1.1.1.1，配置virtual-if02的地址为1.1.1.2，同时，还可以建立virtual-if01与vpn_user01的对应关系，以及virtual-if02与vpn_user02的对应关系。可选的，本发明实施例还提供了一种配置路由转发表的处理过程，相应的，上述步骤303之后，还可以包括步骤305～306。步骤305，接收管理服务器发送的对应第一路由转发表的路由配置命令。在实时中，技术人员还可以通过sdn纳管系统的管理服务器，向网络设备下发路由配置命令，实现不同租户之间的互访。路由配置命令可以包括第一虚拟接口的标识、第二用户设备的ip地址和第二虚拟接口的地址，该路由配置命令中还可以携带有第一vpn的标识，以使网络设备根据该第一vpn的标识，对第一路由转发表进行配置。例如，可以接收在租户user01上设定的静态路由配置：iproute3.0.0.0255.255.255.01.1.1.2或iproute3.0.0.0255.255.255.0virtual-if01。通过此配置，可以实现与租户user02互通。可以接收在租户user02上设定的静态路由配置：iproute2.0.0.0255.255.255.01.1.1.1或iproute2.0.0.0255.255.255.0virtual-if02。通过此配置，可以实现与租户user01互通。步骤306，在第一路由转发表中添加以第二用户设备的ip地址为目的地址、以第一虚拟接口为出接口、以第二虚拟接口的地址为下一跳地址的转发表项，并将第一用户设备与第二用户之间的安全策略设置为放通状态。在实施中，网络设备接收到路由配置命令后，可以根据该路由配置命令在第一路由转发表中添加表项，具体的，网络设备可以在第一路由转发表中添加以第二用户设备的ip地址为目的地址、以第一虚拟接口为出接口、以第二虚拟接口的地址为下一跳地址的转发表项。另外，网络设备还可以将第一用户设备与第二用户之间的安全策略设置为放通状态，以使第一用户设备和第二用户设备之间的互发业务报文，并且，接收方可以通过网络设备对接收到的业务报文进行安全检测。例如，针对租户user01，网络设备可以在其对应的第一路由表中配置如下静态路由：目的地址3.0.0.0/24，出接口virtual-if01，下一跳地址1.1.1.2，并且，网络设备可以放通源地址为2.0.0.1、目的地址为3.0.0.1的安全策略，以使源地址为2.0.0.1、目的地址为3.0.0.1的业务报文可以发送至租户user02的vpn域中。类似的，针对租户user02，网络设备可以在其对应的第二路由表中配置如下静态路由：目的地址2.0.0.0/24，出接口virtual-if02，下一跳地址1.1.1.1，并且，网络设备可以设置并执行放通源地址为3.0.0.1、目的地址为2.0.0.1的安全策略，以使源地址为3.0.0.1、目的地址为2.0.0.1的业务报文可以发送至租户user01的vpn域中。本发明实施例还提供了一种配置域间策略的示例，域间策略为安全策略的一种应用形式，具体为：可以设置源安全域为zone_user01，目的安全域为zone_user02，源ip地址为2.0.0.1，目的ip地址为3.0.0.1，过滤规则为permit；设置源安全域为zone_user02，目的安全域为zone_user01，源ip地址为3.0.0.1，目的ip地址为2.0.0.1，过滤规则为permit。这样，基于上述配置的域间策略，网络设备接收到租户user01发送的业务报文后，能够允许将该业务报文转发给租户user02，同理，网络设备接收到租户user02发送的业务报文后，能够允许将该业务报文转发给租户user01。本发明实施例还提供了一种配置虚拟接口的方法示例，如图4所示，具体的处理过程如下：步骤401，接收管理服务器发送的虚拟接口配置命令。其中，虚拟接口配置命令包括第一虚拟接口创建命令、第二虚拟接口创建命令、第一地址配置命令、第二地址配置命令、第一vpn绑定命令和第二vpn绑定命令。第一虚拟接口创建命令包括virtual-if01，第二虚拟接口创建命令包括virtual-if02，第一地址配置命令包括virtual-if01和1.1.1.1，第二地址配置命令包括virtual-if02和1.1.1.2，第一vpn绑定命令包括virtual-if01和vpn_user01，第二vpn绑定命令包括virtual-if02和vpn_user02。步骤402，执行第一虚拟接口创建命令，创建虚拟接口virtual-if01。步骤403，执行第一地址配置命令,配置virtual-if01的地址为1.1.1.1。步骤404，执行第一vpn绑定命令，建立virtual-if01与vpn_user01的对应关系。步骤405，在租户user01对应的第一路由表中，配置互访静态路由：目的地址3.0.0.0/24，出接口virtual-if01，下一跳地址1.1.1.2。步骤406，设置并执行放通源地址为2.0.0.1、目的地址为3.0.0.1的安全策略。步骤402’，执行第二虚拟接口创建命令，创建虚拟接口virtual-if02。步骤403’，执行第二地址配置命令,配置virtual-if02的地址为1.1.1.2。步骤404’，执行第二vpn绑定命令，建立virtual-if02与vpn_user02的对应关系。步骤405’，在租户user02对应的第一路由表中，配置互访静态路由：目的地址2.0.0.0/24，出接口virtual-if02，下一跳地址1.1.1.1。步骤406’，设置并执行放通源地址为3.0.0.1、目的地址为2.0.0.1的安全策略。本发明实施例还提供了一种发送业务报文的方法示例，如图5所示，具体的处理过程如下：步骤501，通过下行子接口1接收第一用户设备发送的业务报文。其中，该业务报文的源ip地址为2.0.0.0/24，目的ip地址为3.0.0.0/24。步骤502，确定与下行子接口1绑定的vpn为vpn_user01，并在vpn_user01对应的第一路由转发表中，查询3.0.0.0/24对应的出接口virtual-if01和下一跳地址1.1.1.2。步骤503，通过virtual-if01，向地址为1.1.1.2的接口(即virtual-if02)发送该业务报文。步骤504，确定virtual-if02绑定的vpn为vpn_user02，并在vpn_user02对应的第一路由转发表中，查询3.0.0.0/24对应的出接口为virtual-if02，下一跳地址为2.1.1.2。步骤505，通过出接口virtual-if02，向地址为2.1.1.2的接口(即下行子接口2)发送业务报文。步骤506，通过下行子接口2发送该业务报文。基于相同的技术构思，如图6所示，本申请实施例还提供了一种发送业务报文的装置，该装置应用于安全设备，该装置包括：第一接收模块610，用于接收第一用户设备发送的业务报文，业务报文的目的地址为第二用户设备的ip地址；第一确定模块620，用于根据预先存储的第一用户设备对应的第一路由转发表，确定第二用户设备的ip地址对应的第一出接口和第一下一跳地址，第一路由转发表包括目的地址、出接口和下一跳地址的对应关系，第一出接口为第一用户设备对应的第一虚拟接口，第一下一跳地址为第二用户设备对应的第二虚拟接口的地址；第一发送模块630，用于通过第一虚拟接口，根据第一下一跳地址将业务报文发送至第二虚拟接口；第二发送模块640，用于通过第二虚拟接口，将业务报文发送至第二用户设备。可选的，如图7所示，该装置还包括：第二确定模块650，用于根据预先存储的下行子接口与vpn的对应关系，确定第一下行子接口对应的第一vpn，第一下行子接口为接收业务报文的下行子接口；第三确定模块660，用于根据预设存储的vpn与路由转发表的对应关系，确定第一vpn对应的第一路由转发表。可选的，第二发送模块640，具体用于：根据预设存储的虚拟接口和vpn的对应关系，确定第二虚拟接口对应的第二vpn；根据预设存储的vpn与路由转发表的对应关系，确定第二vpn对应的第二路由转发表，第二路由转发表包括目的地址、出接口和下一跳地址的对应关系；根据第二路由转发表，确定第二用户设备的ip地址对应的第二下一跳地址，第二下一跳地址为第二用户设备对应的第二下行子接口的地址；根据第二下一跳地址，将业务报文发送至第二下行子接口；通过下行子接口发送业务报文。可选的，如图8所示，该装置还包括：第二接收模块670，用于接收管理服务器发送的虚拟接口配置命令，虚拟接口配置命令包括第一虚拟接口的标识、第一虚拟接口的地址、第一虚拟接口对应的第一vpn的标识、第二虚拟接口的标识、第二虚拟接口的地址和第二虚拟接口对应的第二vpn的标识；创建模块680，用于创建第一虚拟接口和第二虚拟接口；建立模块690，用于配置第一虚拟接口的地址和第二虚拟接口的地址，并根据第一虚拟接口的标识和第一vpn的标识，建立第一虚拟接口和第一vpn的对应关系，根据第二虚拟接口的标识和第二vpn的标识，建立第二虚拟接口和第二vpn的对应关系。可选的，如图9所示，该装置还包括：第三接收模块6100，用于接收管理服务器发送的对应第一路由转发表的路由配置命令，路由配置命令包括第一虚拟接口的标识、第二用户设备的ip地址和第二虚拟接口的地址；添加模块6110，用于在第一路由转发表中添加以第二用户设备的ip地址为目的地址、以第一虚拟接口为出接口、以第二虚拟接口的地址为下一跳地址的转发表项，并将所述第一用户设备与所述第二用户之间的安全策略设置为放通状态。本发明实施例中，网络设备接收第一用户设备发送的业务报文，该业务报文的目的地址为第二用户设备的ip地址，然后根据预先存储的第一用户设备对应的第一路由转发表，确定第二用户设备的ip地址对应的第一出接口和第一下一跳地址，其中，第一出接口为第一用户设备对应的第一虚拟接口，第一下一跳地址为第二用户设备对应的第二虚拟接口的地址，然后，网络设备通过第一虚拟接口，根据第一下一跳地址将业务报文发送至第二虚拟接口，进而通过第二虚拟接口，将业务报文发送至第二用户设备，从而实现了同一安全设备内部的租户之间的互访功能。本申请实施例还提供了一种安全设备，如图10所示，包括处理器1001、通信接口1002、存储器1003和通信总线1004，其中，处理器1001，通信接口1002，存储器1003通过通信总线1004完成相互间的通信，存储器1003，用于存放计算机程序；处理器1001，用于执行存储器1003上所存放的程序时，以使该安全设备执行发送业务报文的方法的步骤，该方法包括：接收第一用户设备发送的业务报文，所述业务报文的目的地址为第二用户设备的ip地址；根据预先存储的所述第一用户设备对应的第一路由转发表，确定所述第二用户设备的ip地址对应的第一出接口和第一下一跳地址，所述第一路由转发表包括目的地址、出接口和下一跳地址的对应关系，所述第一出接口为所述第一用户设备对应的第一虚拟接口，所述第一下一跳地址为所述第二用户设备对应的第二虚拟接口的地址；通过所述第一虚拟接口，根据所述第一下一跳地址将所述业务报文发送至所述第二虚拟接口；通过所述第二虚拟接口，将所述业务报文发送至所述第二用户设备。可选的，所述根据预先存储的所述第一用户设备对应的第一路由转发表，确定所述第二用户设备的ip地址对应的第一出接口和第一下一跳地址之前，所述方法还包括：根据预先存储的下行子接口与vpn的对应关系，确定第一下行子接口对应的第一vpn，所述第一下行子接口为接收所述业务报文的下行子接口；根据预设存储的vpn与路由转发表的对应关系，确定所述第一vpn对应的第一路由转发表。可选的，所述通过所述第二虚拟接口，将所述业务报文发送至所述第二用户设备，包括：根据预设存储的虚拟接口和vpn的对应关系，确定所述第二虚拟接口对应的第二vpn；根据预设存储的vpn与路由转发表的对应关系，确定所述第二vpn对应的第二路由转发表，所述第二路由转发表包括目的地址、出接口和下一跳地址的对应关系；根据所述第二路由转发表，确定所述第二用户设备的ip地址对应的第二下一跳地址，所述第二下一跳地址为所述第二用户设备对应的第二下行子接口的地址；根据所述第二下一跳地址，将所述业务报文发送至所述第二下行子接口；通过所述下行子接口发送所述业务报文。可选的，所述方法还包括：接收管理服务器发送的虚拟接口配置命令，所述虚拟接口配置命令包括所述第一虚拟接口的标识、所述第一虚拟接口的地址、所述第一虚拟接口对应的第一vpn的标识、所述第二虚拟接口的标识、所述第二虚拟接口的地址和所述第二虚拟接口对应的所述第二vpn的标识；创建所述第一虚拟接口和所述第二虚拟接口；配置所述第一虚拟接口的地址和所述第二虚拟接口的地址，并根据所述第一虚拟接口的标识和所述第一vpn的标识，建立所述第一虚拟接口和所述第一vpn的对应关系，根据所述第二虚拟接口的标识和所述第二vpn的标识，建立所述第二虚拟接口和所述第二vpn的对应关系。可选的，所述方法还包括：接收管理服务器发送的对应所述第一路由转发表的路由配置命令，所述路由配置命令包括所述第一虚拟接口的标识、所述第二用户设备的ip地址和所述第二虚拟接口的地址；在所述第一路由转发表中添加以所述第二用户设备的ip地址为目的地址、以所述第一虚拟接口为出接口、以所述第二虚拟接口的地址为下一跳地址的转发表项，并将所述第一用户设备与所述第二用户之间的安全策略设置为放通状态。上述电子设备提到的通信总线可以是外设部件互连标准(peripheralcomponentinterconnect，pci)总线或扩展工业标准结构(extendedindustrystandardarchitecture，eisa)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示，图中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。通信接口用于上述电子设备与其他设备之间的通信。存储器可以包括随机存取存储器(randomaccessmemory，ram)，也可以包括非易失性存储器(non-volatilememory，nvm)，例如至少一个磁盘存储器。可选的，存储器还可以是至少一个位于远离前述处理器的存储装置。上述的处理器可以是通用处理器，包括中央处理器(centralprocessingunit，cpu)、网络处理器(networkprocessor，np)等；还可以是数字信号处理器(digitalsignalprocessing，dsp)、专用集成电路(applicationspecificintegratedcircuit，asic)、现场可编程门阵列(field-programmablegatearray，fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。在本发明提供的又一实施例中，还提供了一种计算机可读存储介质，该计算机可读存储介质内存储有计算机程序，所述计算机程序被处理器执行时实现上述任一发送业务报文的方法的步骤。在本发明提供的又一实施例中，还提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机执行上述实施例中任一发送业务报文的方法。在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时，全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(dsl))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质，(例如，软盘、硬盘、磁带)、光介质(例如，dvd)、或者半导体介质(例如固态硬盘solidstatedisk(ssd))等。本发明实施例中，网络设备接收第一用户设备发送的业务报文，该业务报文的目的地址为第二用户设备的ip地址，然后根据预先存储的第一用户设备对应的第一路由转发表，确定第二用户设备的ip地址对应的第一出接口和第一下一跳地址，其中，第一出接口为第一用户设备对应的第一虚拟接口，第一下一跳地址为第二用户设备对应的第二虚拟接口的地址，然后，网络设备通过第一虚拟接口，根据第一下一跳地址将业务报文发送至第二虚拟接口，进而通过第二虚拟接口，将业务报文发送至第二用户设备，从而实现了同一安全设备内部的租户之间的互访功能。需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。本说明书中的各个实施例均采用相关的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于装置实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。以上所述仅为本申请的较佳实施例而已，并非用于限定本申请的保护范围。凡在本申请的精神和原则之内所作的任何修改、等同替换、改进等，均包含在本申请的保护范围内。当前第1页12