本發(fā)明涉及通信控制領(lǐng)域，特別涉及一種訪問控制方法及裝置。
背景技術(shù)：
：目前，EVPN(EthernetVPN)網(wǎng)絡(luò)包含多個VXLAN(VirtualeXtensibleLAN，可擴展虛擬局域網(wǎng)絡(luò))子網(wǎng)絡(luò)，如圖1所示，每個VXLAN子網(wǎng)絡(luò)中包含至少一個Spine設(shè)備和至少一個VTEP(VXLANTunnelEndPoint，VXLAN子網(wǎng)絡(luò)隧道端點)，這里，Spine設(shè)備是路由反射器，VTEP是VXLAN子網(wǎng)絡(luò)的邊緣設(shè)備，Spine設(shè)備和VTEP都能夠建立IBGP(InternalBorderGatewayProtocol，內(nèi)部邊界網(wǎng)關(guān)協(xié)議)鄰居列表，另外，每個VTEP至少與一個VM(VirtualMachine，虛擬機)通信連接。在構(gòu)建EVPN網(wǎng)絡(luò)時，同一EVPN網(wǎng)絡(luò)內(nèi)BGP(BorderGatewayProtocol，邊界網(wǎng)關(guān)協(xié)議)AS(AutonomousSystem，自治系統(tǒng))號相同，當(dāng)與VM相連的VTEP獲得該VM的MAC(MediumAccessControl，媒體訪問控制)地址后，該VTEP通過BGP將獲得的MAC地址變?yōu)镸AC/IP(InternetProtocol，互聯(lián)網(wǎng)協(xié)議)地址，并發(fā)送給其他VTEP，這樣其他VTEP通信連接的VM就可以與該VM進行通信了。另外，VSI(VirtualSwitchingInstance，虛擬交換實例)下，RD(路由標(biāo)識)和RT(擴展團體屬性)都是自動生成的，并且同一VTEP內(nèi)的每個VSI的RT都是一樣的，因此，VTEP通信連接的所有VM的RT也是相同的，一個VTEP可以學(xué)習(xí)到該VTEP通信連接的其他VM的MAC地址，使得同一VTEP內(nèi)的VM間可以相互通信。實際應(yīng)用中，當(dāng)網(wǎng)絡(luò)中存在一些VM1是不允許其他VM2訪問時，為了保證VM1中的信息的安全，需要在與VM2通信連接的VTEP中將VM1的MAC地址過濾掉，以此來禁止VM2訪問VM1?，F(xiàn)有技術(shù)中，常根據(jù)VM的IP前綴、團體屬性、擴展團體屬性等信息中的一種或多種，對VTEP中的MAC地址進行過濾，而IP前綴或團體屬性或擴展團體屬性對應(yīng)的VM并不是唯一的，因此，可能會過濾掉其他能夠被VM2訪問的VM3的MAC地址，進而導(dǎo)致VM3不能被正常訪問，并且若此時VM2仍然向VM1發(fā)送報文，與VM2通信連接的VTEP將會以廣播的形式發(fā)送該報文，這樣就會降低網(wǎng)絡(luò)的穩(wěn)定性。技術(shù)實現(xiàn)要素：本發(fā)明實施例的目的在于提供一種訪問控制方法及裝置，以準(zhǔn)確控制虛擬機間的通信，提高網(wǎng)絡(luò)的穩(wěn)定性。為達到上述目的，本發(fā)明實施例公開了一種訪問控制方法，應(yīng)用于第一網(wǎng)絡(luò)設(shè)備，所述方法包括：接收第一虛擬機發(fā)送的報文，其中，所述第一虛擬機與所述第一網(wǎng)絡(luò)設(shè)備通信連接，所述報文中包含第二虛擬機的標(biāo)識；根據(jù)所述第二虛擬機的標(biāo)識與本地預(yù)先存儲的針對虛擬機的訪問級別信息，獲得所述第二虛擬機的訪問級別；根據(jù)所述第二虛擬機的訪問級別，控制向所述第二虛擬機轉(zhuǎn)發(fā)所述報文。在本發(fā)明的一種具體實現(xiàn)方式中，所述根據(jù)所述第二虛擬機的標(biāo)識與本地預(yù)先存儲的針對虛擬機的訪問級別信息，獲得所述第二虛擬機的訪問級別，包括：根據(jù)所述第二虛擬機的標(biāo)識，判斷所述第二虛擬機是否與所述第一虛擬機位于同一子網(wǎng)絡(luò)；若為是，則根據(jù)預(yù)先存儲的虛擬機與訪問級別的對應(yīng)關(guān)系和所述第二虛擬機的標(biāo)識，獲得所述第二虛擬機的訪問級別。在本發(fā)明的一種具體實現(xiàn)方式中，所述根據(jù)所述第二虛擬機的標(biāo)識，判斷所述第二虛擬機是否與所述第一虛擬機位于同一子網(wǎng)絡(luò)，若為否，所述方法還包括：根據(jù)所述第二虛擬機的標(biāo)識，獲得所述第二虛擬機所屬子網(wǎng)絡(luò)的標(biāo)識；根據(jù)預(yù)先存儲的子網(wǎng)絡(luò)與訪問級別的對應(yīng)關(guān)系，以及所述第二虛擬機所屬子網(wǎng)絡(luò)的標(biāo)識，獲得所述第二虛擬機的訪問級別。在本發(fā)明的一種具體實現(xiàn)方式中，所述根據(jù)所述第二虛擬機的標(biāo)識，判斷所述第二虛擬機是否與所述第一虛擬機位于同一子網(wǎng)絡(luò)，若為否，所述方法還包括：根據(jù)所述第二虛擬機的標(biāo)識，獲得所述第二虛擬機所屬子網(wǎng)絡(luò)的標(biāo)識；根據(jù)預(yù)先存儲的子網(wǎng)絡(luò)、虛擬機與訪問級別三者之間的對應(yīng)關(guān)系，以及所述第二虛擬機的標(biāo)識和所述第二虛擬機所屬子網(wǎng)絡(luò)的標(biāo)識，獲得所述第二虛擬機的訪問級別。在本發(fā)明的一種具體實現(xiàn)方式中，所述方法還包括：發(fā)送更新報文，其中，所述更新報文，用于通知其他網(wǎng)絡(luò)設(shè)備發(fā)送應(yīng)答報文，所述應(yīng)答報文包含與其他網(wǎng)絡(luò)設(shè)備通信連接的虛擬機的標(biāo)識；接收其他網(wǎng)絡(luò)設(shè)備根據(jù)所述更新報文發(fā)送的所述應(yīng)答報文；判斷所述應(yīng)答報文中包含的第三虛擬機的標(biāo)識是否在預(yù)設(shè)的待更新信息中，其中，所述預(yù)設(shè)的待更新信息，為需要更新訪問級別的虛擬機與其待更新訪問級別的對應(yīng)關(guān)系；若為是，則根據(jù)所述第三虛擬機的標(biāo)識，從所述預(yù)設(shè)的待更新信息中獲得待更新訪問級別；根據(jù)所獲得的待更新訪問級別，更新預(yù)先存儲的針對所述第三虛擬機的訪問級別信息。為達到上述目的，本發(fā)明實施例還公開了一種訪問控制裝置，應(yīng)用于第一網(wǎng)絡(luò)設(shè)備，所述裝置包括：報文接收模塊、訪問級別獲得模塊和轉(zhuǎn)發(fā)控制模塊；所述報文接收模塊，用于接收第一虛擬機發(fā)送的報文，其中，所述第一虛擬機與所述第一網(wǎng)絡(luò)設(shè)備通信連接，所述報文中包含第二虛擬機的標(biāo)識；所述訪問級別獲得模塊，用于根據(jù)所述第二虛擬機的標(biāo)識與本地預(yù)先存儲的針對虛擬機的訪問級別信息，獲得所述第二虛擬機的訪問級別；所述轉(zhuǎn)發(fā)控制模塊，用于根據(jù)所述第二虛擬機的訪問級別，控制向所述第二虛擬機轉(zhuǎn)發(fā)所述報文。在本發(fā)明的一種具體實現(xiàn)方式中，所述訪問級別獲得模塊，包括：子網(wǎng)絡(luò)判斷子模塊和第一訪問級別獲得子模塊；所述子網(wǎng)絡(luò)判斷子模塊，用于根據(jù)所述第二虛擬機的標(biāo)識，判斷所述第二虛擬機是否與所述第一虛擬機位于同一子網(wǎng)絡(luò)，若為是，則觸發(fā)所述第一訪問級別獲得子模塊；所述第一訪問級別獲得子模塊，用于根據(jù)預(yù)先存儲的虛擬機與其訪問級別的對應(yīng)關(guān)系和所述第二虛擬機的標(biāo)識，獲得所述第二虛擬機的訪問級別。在本發(fā)明的一種具體實現(xiàn)方式中，所述訪問級別獲得模塊，還包括：第一子網(wǎng)絡(luò)標(biāo)識獲得子模塊、第二訪問級別獲得子模塊；所述第一子網(wǎng)絡(luò)標(biāo)識獲得子模塊，用于在所述子網(wǎng)絡(luò)判斷子模塊判斷結(jié)果為否的情況下，根據(jù)所述第二虛擬機的標(biāo)識，獲得所述第二虛擬機所屬子網(wǎng)絡(luò)的標(biāo)識；所述第二訪問級別獲得子模塊，用于根據(jù)預(yù)先存儲的子網(wǎng)絡(luò)與其訪問級別的對應(yīng)關(guān)系，以及所述第二虛擬機所屬子網(wǎng)絡(luò)的標(biāo)識，獲得所述第二虛擬機的訪問級別。在本發(fā)明的一種具體實現(xiàn)方式中，其特征在于，所述訪問級別獲得模塊，還包括：第二子網(wǎng)絡(luò)標(biāo)識獲得子模塊和第三訪問級別獲得子模塊；所述第二子網(wǎng)絡(luò)標(biāo)識獲得子模塊，用于在所述子網(wǎng)絡(luò)判斷子模塊判斷結(jié)果為否的情況下，根據(jù)所述第二虛擬機的標(biāo)識，獲得所述第二虛擬機所屬子網(wǎng)絡(luò)的標(biāo)識；所述第三訪問級別獲得子模塊，用于根據(jù)預(yù)先存儲的子網(wǎng)絡(luò)、虛擬機與訪問級別三者之間的對應(yīng)關(guān)系，以及所述第二虛擬機的標(biāo)識和所述第二虛擬機所屬子網(wǎng)絡(luò)的標(biāo)識，獲得所述第二虛擬機的訪問級別。在本發(fā)明的一種具體實現(xiàn)方式中，所述裝置還包括：更新報文發(fā)送模塊、應(yīng)答報文接收模塊、標(biāo)識判斷模塊、待更新訪問級別獲得模塊和信息更新模塊；所述更新報文發(fā)送模塊，用于發(fā)送更新報文，其中，所述更新報文，用于通知其他網(wǎng)絡(luò)設(shè)備發(fā)送應(yīng)答報文，所述應(yīng)答報文包含與其他網(wǎng)絡(luò)設(shè)備通信連接的所有虛擬機的標(biāo)識；所述應(yīng)答報文接收模塊，用于接收其他網(wǎng)絡(luò)設(shè)備根據(jù)所述更新報文發(fā)送的所述應(yīng)答報文；所述標(biāo)識判斷模塊，用于判斷所述應(yīng)答報文中包含的第三虛擬機的標(biāo)識是否在預(yù)設(shè)的待更新信息中，若為是，則觸發(fā)所述待更新訪問級別獲得模塊，其中，所述預(yù)設(shè)的待更新信息，為需要更新訪問級別的虛擬機和其待更新訪問級 別的對應(yīng)關(guān)系；所述待更新訪問級別獲得模塊，用于根據(jù)所述第三虛擬機的標(biāo)識，從所述預(yù)設(shè)的待更新信息中獲得待更新訪問級別；所述信息更新模塊，用于根據(jù)所獲得待更新訪問級別，更新預(yù)先存儲的針對所述第三虛擬機的訪問級別信息。由上可見，本發(fā)明實施例中，第一虛擬機需要與第二虛擬機進行通信時，第一虛擬機向與其通信連接的第一網(wǎng)絡(luò)設(shè)備發(fā)送報文，該第一網(wǎng)絡(luò)設(shè)備接收到該報文后，根據(jù)該報文中包含的第二虛擬機的標(biāo)識和該第一網(wǎng)絡(luò)設(shè)備中預(yù)先存儲的針對虛擬機的訪問級別信息，獲得第二虛擬機的訪問級別，根據(jù)獲得的訪問級別中的訪問優(yōu)先級向第二虛擬機轉(zhuǎn)發(fā)該報文。本申請中，第一網(wǎng)絡(luò)設(shè)備通過根據(jù)虛擬機的標(biāo)識確定虛擬機的訪問級別的方法，來控制虛擬機間的通信，由于虛擬機的標(biāo)識和虛擬機是一一對應(yīng)的，因此第一網(wǎng)絡(luò)設(shè)備能夠準(zhǔn)確控制虛擬機間的通信，進一步的，本申請中第一網(wǎng)絡(luò)設(shè)備未刪除記錄的虛擬機的MAC地址，因此，第一網(wǎng)絡(luò)設(shè)備不會因自身未存儲虛擬機的MAC地址而導(dǎo)致第一網(wǎng)絡(luò)設(shè)備將從虛擬機接收的報文以廣播的形式發(fā)送，因此提高了網(wǎng)絡(luò)的穩(wěn)定性。附圖說明為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術(shù)中的技術(shù)方案，下面將對實施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發(fā)明的一些實施例，對于本領(lǐng)域普通技術(shù)人員來講，在不付出創(chuàng)造性勞動的前提下，還可以根據(jù)這些附圖獲得其他的附圖。圖1為EVPN網(wǎng)絡(luò)結(jié)構(gòu)示意圖；圖2為本發(fā)明實施例提供的一種訪問控制方法的流程示意圖；圖3為本發(fā)明實施例提供的一種訪問級別的更新方法的流程示意圖；圖4為本發(fā)明實施例提供的另一種訪問控制方法的流程示意圖；圖5為包含多個子網(wǎng)絡(luò)的EVPN網(wǎng)絡(luò)結(jié)構(gòu)示意圖；圖6為本發(fā)明實施例提供的另一種訪問控制方法的流程示意圖；圖7為本發(fā)明實施例提供的一種訪問控制裝置的結(jié)構(gòu)示意圖；圖8為本發(fā)明實施例提供的一種訪問級別的更新裝置的結(jié)構(gòu)示意圖；圖9為本發(fā)明實施例提供的另一種訪問控制裝置的結(jié)構(gòu)示意圖；圖10為本發(fā)明實施例提供的另一種訪問控制裝置的結(jié)構(gòu)示意圖。具體實施方式下面將結(jié)合本發(fā)明實施例中的附圖，對本發(fā)明實施例中的技術(shù)方案進行清楚、完整地描述，顯然，所描述的實施例僅僅是本發(fā)明一部分實施例，而不是全部的實施例。基于本發(fā)明中的實施例，本領(lǐng)域普通技術(shù)人員在沒有作出創(chuàng)造性勞動前提下所獲得的所有其他實施例，都屬于本發(fā)明保護的范圍。下面通過具體實施例，對本發(fā)明進行詳細說明。參考圖2，圖2為本發(fā)明實施例提供的一種訪問控制方法的流程示意圖，應(yīng)用于第一網(wǎng)絡(luò)設(shè)備，該方法可以包括如下步驟：S201：接收第一虛擬機發(fā)送的報文；其中，第一虛擬機與第一網(wǎng)絡(luò)設(shè)備通信連接，報文中包含第二虛擬機的標(biāo)識。這里，第二虛擬機的標(biāo)識為能夠唯一表示第二虛擬機的標(biāo)識，這樣，當(dāng)?shù)谝惶摂M機想要向第二虛擬機發(fā)送報文時，第一網(wǎng)絡(luò)設(shè)備就不會將報文轉(zhuǎn)發(fā)給錯誤的第三虛擬機；或當(dāng)?shù)谝惶摂M機想要向第三虛擬機發(fā)送報文時，由于第三虛擬機的標(biāo)識與第二虛擬機的標(biāo)識相同，第一網(wǎng)絡(luò)設(shè)備中存儲的第二虛擬機的訪問級別為拒絕被訪問的級別，而導(dǎo)致第三虛擬機不能接收到該報文。實際應(yīng)用中，上述第一網(wǎng)絡(luò)設(shè)備可以為VTEP，每一虛擬機均與一臺VTEP通信連接，而一臺VTEP可以與多個虛擬機通信連接，多個虛擬機可以屬于同一子網(wǎng)絡(luò)(即相同VXLAN網(wǎng)絡(luò))，或者多個虛擬機也可以屬于不同子網(wǎng)絡(luò)(即不同VXLAN網(wǎng)絡(luò))。在虛擬機與第一網(wǎng)絡(luò)設(shè)備通信連接后，第一網(wǎng)絡(luò)設(shè)備可以學(xué)習(xí)到與其通信連接的各個虛擬機的MAC地址，并且第一網(wǎng)絡(luò)設(shè)備可以通過Spine設(shè)備(路由反射器)與其他網(wǎng)絡(luò)設(shè)備建立IBGP鄰居學(xué)習(xí)到同一子網(wǎng)絡(luò)內(nèi)與其他網(wǎng)絡(luò)設(shè)備通信連接的虛擬機的MAC地址。另外，第一網(wǎng)絡(luò)設(shè)備還可以通過IP網(wǎng)絡(luò)，學(xué)習(xí)到不同子網(wǎng)絡(luò)內(nèi)與其他網(wǎng)絡(luò)設(shè)備通信連接的虛擬機的MAC地址，這樣與第一網(wǎng)絡(luò)設(shè)備通信連接的虛擬機就可以通過第一網(wǎng)絡(luò)設(shè)備和與其他網(wǎng)絡(luò)設(shè)備通信連接的虛擬機進行通信。當(dāng)然，上述第一網(wǎng)絡(luò)設(shè)備還可以是其他具有網(wǎng)絡(luò)連接功能的設(shè)備，本申請并不對此進行限定。S202：根據(jù)所述第二虛擬機的標(biāo)識與本地預(yù)先存儲的針對虛擬機的訪問級別信息，獲得所述第二虛擬機的訪問級別；具體地，上述訪問級別用于表示第二虛擬機是否能夠被訪問，進一步的，在第二虛擬機能夠被訪問的情況下，訪問級別還可以包括該第二虛擬機的被訪問優(yōu)先級，進一步的，可以設(shè)置被訪問優(yōu)先級為高優(yōu)先級的優(yōu)先被訪問。例如，若第二虛擬機VM1的訪問級別為drop，則表示第二虛擬機VM1拒絕被訪問，也就是說，第一網(wǎng)絡(luò)設(shè)備應(yīng)將向第二虛擬機VM1發(fā)送的報文丟棄掉；若第二虛擬機VM1的訪問級別為允許被訪問，且對應(yīng)的被訪問優(yōu)先級為最高優(yōu)先級，則第一網(wǎng)絡(luò)設(shè)備接收到報文后優(yōu)先向第二虛擬機VM1發(fā)送該報文。優(yōu)選的，上述訪問級別還可以分為0、1、2、3……n級等多個訪問等級，其中，訪問級別為0，表示拒絕訪問第二虛擬機；訪問級別不為0，表示訪問第二虛擬機順序，其中，訪問等級的數(shù)值越大，訪問等級越高，相應(yīng)的訪問優(yōu)先級越高。在本申請的一種具體實現(xiàn)方式中，第二虛擬機的訪問級別可以通過以下方式獲得：方式A、用戶根據(jù)網(wǎng)絡(luò)中第二虛擬機的被訪問需求，預(yù)先配置在第一網(wǎng)絡(luò)設(shè)備中的；方式B、第一網(wǎng)絡(luò)設(shè)備根據(jù)第一虛擬機對應(yīng)第二虛擬機的訪問次數(shù)，來獲得第二虛擬機的訪問級別，例如，第一虛擬機訪問第二虛擬機的訪問次數(shù)越多，則第二虛擬機的訪問級別越高。在本申請的一種具體實現(xiàn)方式中，在EVPN網(wǎng)絡(luò)中，針對第二虛擬機的訪問級別信息可以存儲在VTEP中，這樣便于每一VTEP獲得第二虛擬機的訪問級別；另外，針對第二虛擬機的訪問級別信息也可以存儲在與VTEP通信連接的路由反射器中，此時，一個路由反射器可以與多個VTEP通信連接，多個VTEP可以共用同一個路由反射器中針對第二虛擬機的訪問級別信息，節(jié)約了VTEP中的內(nèi)存空間。需要說明的是，第一網(wǎng)絡(luò)設(shè)備中的訪問級別可以包括以下幾種形式：1、訪問級別為針對第二虛擬機的訪問級別，如：第二虛擬機VM1的訪問級別為drop，只要第一網(wǎng)絡(luò)設(shè)備接收到的報文中包含的第二虛擬的標(biāo)識為VM1的標(biāo)識，就會獲得VM1的訪問級別為drop；2、訪問級別為針對第一虛擬機和第二虛擬機的訪問級別，如：該訪問級別為針對第一虛擬機VM2和第二虛擬機VM1，具體為第一虛擬機VM2訪問第二虛擬機VM1時的訪問級別為drop，則當(dāng)?shù)谝痪W(wǎng)絡(luò)設(shè)備接收到VM2向VM1發(fā)送的報文(即VM2訪問VM1)時，第一網(wǎng)絡(luò)設(shè)備將VM2向VM1發(fā)送的報文丟棄，當(dāng)?shù)谝痪W(wǎng)絡(luò)設(shè)備接收到與其通信連接的其它虛擬機(所述其它虛擬機為與第一網(wǎng)絡(luò)設(shè)備通信連接的虛擬機，并且不包括第一虛擬機)向VM1發(fā)送報文時，由于第一網(wǎng)絡(luò)設(shè)備中的訪問級別不包括其它虛擬機訪問第二虛擬機VM1的訪問級別為drop，因此第一網(wǎng)絡(luò)設(shè)備不丟棄其它虛擬機向第二虛擬機VM1發(fā)送的報文；3、當(dāng)EVPN網(wǎng)絡(luò)中包含不同子網(wǎng)絡(luò)時，訪問級別還可以為針對子網(wǎng)絡(luò)的訪問級別，此時，可以將子網(wǎng)絡(luò)的訪問級別作為該子網(wǎng)絡(luò)內(nèi)所有虛擬機的訪問級別。第一網(wǎng)絡(luò)設(shè)備存儲了針對虛擬機的訪問級別后，就可以根據(jù)第二虛擬機的標(biāo)識直接獲得第二虛擬機的訪問級別；另外，當(dāng)EVPN網(wǎng)絡(luò)中包含不同子網(wǎng)絡(luò)時，第一網(wǎng)絡(luò)設(shè)備還可以根據(jù)第二虛擬機的標(biāo)識獲得第二虛擬機所屬子網(wǎng)絡(luò)的標(biāo)識，根據(jù)該子網(wǎng)絡(luò)的標(biāo)識獲得第二虛擬機的訪問級別。實際應(yīng)用中，每一虛擬機的訪問級別都是可能會變的，因此，本發(fā)明提供了一種訪問級別的更新方法，參考圖3，圖3為本發(fā)明實施例提供的一種訪問級別的更新方法的流程示意圖，該方法可以包括：S301：發(fā)送更新報文；其中，更新報文，用于通知其他網(wǎng)絡(luò)設(shè)備發(fā)送應(yīng)答報文，應(yīng)答報文包含與其他網(wǎng)絡(luò)設(shè)備通信連接的虛擬機的標(biāo)識。具體地，發(fā)送更新報文，可以為：第一網(wǎng)絡(luò)設(shè)備定時地發(fā)送更新報文，以保證網(wǎng)絡(luò)中的第三虛擬機的訪問級別都是最新的、可靠的；另外，第一網(wǎng)絡(luò)設(shè)備還可以在接收到更新指令時發(fā)送更新報文。上述發(fā)送更新報文在第一網(wǎng)絡(luò)設(shè) 備中未存儲或已存儲第三虛擬機的標(biāo)識的情況下均適用。上述更新指令可以為：當(dāng)?shù)谝痪W(wǎng)絡(luò)設(shè)備上的第三虛擬機的訪問級別發(fā)生變化時，該第一網(wǎng)絡(luò)設(shè)備就可以認(rèn)為接收到了更新指令。這里，第三虛擬機為與第一網(wǎng)絡(luò)設(shè)備通信連接的虛擬機中的任一虛擬機。S302：接收其他網(wǎng)絡(luò)設(shè)備根據(jù)所述更新報文發(fā)送的所述應(yīng)答報文；實際應(yīng)用中，更新第三虛擬機的訪問級別的過程可以稱為路由策略應(yīng)用。當(dāng)EVPN網(wǎng)絡(luò)中第一網(wǎng)絡(luò)設(shè)備上的第三虛擬機的訪問級別發(fā)生變化時，該第一網(wǎng)絡(luò)設(shè)備會通過BGP向外發(fā)送更新報文(如：refresh報文)，接收到該更新報文的其他網(wǎng)絡(luò)設(shè)備向該第一網(wǎng)絡(luò)設(shè)備發(fā)送應(yīng)答報文(如：BGPUPDATE報文)，該應(yīng)答報文中包含與其他網(wǎng)絡(luò)設(shè)備通信連接的第三虛擬機的標(biāo)識，以重新應(yīng)用路由策略，更新該第三虛擬機在第一網(wǎng)絡(luò)設(shè)備上的訪問級別。S303：判斷所述應(yīng)答報文中包含的第三虛擬機的標(biāo)識是否在預(yù)設(shè)的待更新信息中，若為是，則執(zhí)行步驟S304；其中，預(yù)設(shè)的待更新信息，為需要更新訪問級別的虛擬機和其待更新訪問級別的對應(yīng)關(guān)系。在本申請的一種具體實現(xiàn)方式中，所述待更新信息存儲于待更新信息表中，管理人員將需要更新訪問級別的虛擬機的標(biāo)識及該虛擬機的待更新訪問級別對應(yīng)的寫入預(yù)設(shè)的待更新信息表，因為第一網(wǎng)絡(luò)設(shè)備中會存儲有很多虛擬機及與這些虛擬機對應(yīng)的訪問級別的對應(yīng)關(guān)系，管理人員直接修改對應(yīng)虛擬機的訪問級別十分的不方便，若預(yù)先將需要更新第三虛擬機和其待更新訪問級別的對應(yīng)關(guān)系存儲至待更新信息表中，根據(jù)該待更新信息表中存儲的信息更新第三虛擬機的訪問級別，就不必管理人員直接從眾多的虛擬機與其訪問級別的對應(yīng)關(guān)系中獲得第三虛擬機的的訪問級別，操作更為方便。S304：根據(jù)所述第三虛擬機的標(biāo)識，從所述預(yù)設(shè)的待更新信息中獲得待更新訪問級別；S305：根據(jù)所獲得的待更新訪問級別，更新預(yù)先存儲的針對所述第三虛擬機的訪問級別信息。實際應(yīng)用中，當(dāng)EVPN網(wǎng)絡(luò)中包含不同子網(wǎng)絡(luò)時，第一網(wǎng)絡(luò)設(shè)備中可存儲子 網(wǎng)絡(luò)與訪問級別間的對應(yīng)關(guān)系，或子網(wǎng)絡(luò)、虛擬機與訪問級別三者間的對應(yīng)關(guān)系等訪問級別信息，這種情況下，第一網(wǎng)絡(luò)設(shè)備可以根據(jù)第三虛擬機的標(biāo)識獲得該第三虛擬機所屬子網(wǎng)絡(luò)的標(biāo)識，結(jié)合所獲得的待更新訪問級別，更新對應(yīng)的訪問級別信息。在本發(fā)明的一種具體實現(xiàn)方式中，若應(yīng)答報文中包含的第三虛擬機的標(biāo)識與預(yù)設(shè)的待更新信息中需要更新訪問級別的虛擬機的標(biāo)識不一樣，則不更新針對該第三虛擬機的訪問級別信息。另外，若待更新信息中需要更新訪問級別的待更新虛擬機的標(biāo)識對應(yīng)的訪問級別信息未成功更新，還可以生成提示信息，并輸出該提示信息，告知用戶待更新信息中需要更新訪問級別的待更新虛擬機的標(biāo)識對應(yīng)的訪問級別信息更新不成功，以便用戶及時更改待更新信息中需要更新訪問級別的該待更新虛擬機的標(biāo)識，更新針對該待更新虛擬機的的訪問級別信息，進而控制對該待更新虛擬機的訪問，以保證虛擬機間的正常通信，例如：待更新虛擬機是不允許第一虛擬機訪問的，若在待更新信息中將待更新虛擬機的標(biāo)識書寫錯誤，不能更新該待更新虛擬機的訪問級別，則第一虛擬機會繼續(xù)訪問待更新虛擬機，這將會導(dǎo)致待更新虛擬機的信息泄露，不利于待更新虛擬機的信息安全，另外，假設(shè)需將待更新虛擬機不允許第一虛擬機訪問的訪問級別修改為允許第一虛擬機訪問，若在待更新信息表中將該待更新虛擬機的標(biāo)識書寫錯誤，不能更新該待更新虛擬機的訪問級別，則第一虛擬機會繼續(xù)不能訪問該待更新虛擬機，從而導(dǎo)致第一虛擬機不能正常工作。S203：根據(jù)所述第二虛擬機的訪問級別，控制向所述第二虛擬機轉(zhuǎn)發(fā)所述報文。當(dāng)訪問級別為拒絕訪問的級別時，拒絕向第二虛擬機轉(zhuǎn)發(fā)報文，其中，拒絕訪問的級別用于表示第二虛擬機拒絕被訪問；當(dāng)訪問級別為優(yōu)先訪問的級別時，按照優(yōu)先順序向第二虛擬機轉(zhuǎn)發(fā)報文，其中，優(yōu)先訪問的級別用于表示第二虛擬機被訪問順序，例如，按照優(yōu)先訪問的級別控制向所述第二虛擬機轉(zhuǎn)發(fā)所述報文，當(dāng)優(yōu)先訪問的級別為0時，拒絕向第二虛擬機轉(zhuǎn)發(fā)報文；當(dāng)訪問級別不為0時，按照優(yōu)先訪問的級別順序訪問第二虛擬機。應(yīng)用圖2所示實施例，第一虛擬機需要與第二虛擬機進行通信時，第一虛擬 機向與其通信連接的第一網(wǎng)絡(luò)設(shè)備發(fā)送報文，該第一網(wǎng)絡(luò)設(shè)備接收到該報文后，根據(jù)該報文中包含的第二虛擬機的標(biāo)識和該第一網(wǎng)絡(luò)設(shè)備中預(yù)先存儲的針對虛擬機的訪問級別信息，獲得第二虛擬機的訪問級別，根據(jù)獲得的訪問級別中的訪問優(yōu)先級向第二虛擬機轉(zhuǎn)發(fā)該報文。本申請中，第一網(wǎng)絡(luò)設(shè)備通過根據(jù)虛擬機的標(biāo)識確定虛擬機的訪問級別的方法，來控制虛擬機間的通信，由于虛擬機的標(biāo)識和虛擬機是一一對應(yīng)的，因此第一網(wǎng)絡(luò)設(shè)備能夠準(zhǔn)確控制虛擬機間的通信，進一步的，本申請中第一網(wǎng)絡(luò)設(shè)備未刪除記錄的虛擬機的MAC地址，因此，第一網(wǎng)絡(luò)設(shè)備不會因自身未存儲虛擬機的MAC地址而導(dǎo)致第一網(wǎng)絡(luò)設(shè)備將從虛擬機接收的報文以廣播的形式發(fā)送，因此提高了網(wǎng)絡(luò)的穩(wěn)定性。參考圖4，圖4為本發(fā)明實施例提供的另一種訪問控制方法的流程示意圖，應(yīng)用于第一網(wǎng)絡(luò)設(shè)備，該方法中，步驟S202具體包括：S2021：根據(jù)所述第二虛擬機的標(biāo)識，判斷所述第二虛擬機是否與所述第一虛擬機位于同一子網(wǎng)絡(luò)，若為是，執(zhí)行步驟S2022，若為否，執(zhí)行步驟S2023；實際應(yīng)用中，若第一虛擬機與第二虛擬機在同一子網(wǎng)絡(luò)中，兩個虛擬機間的數(shù)據(jù)訪問，通過二層轉(zhuǎn)發(fā)網(wǎng)絡(luò)；若第一虛擬機與第二虛擬機不在同一子網(wǎng)絡(luò)中，兩個虛擬機間的數(shù)據(jù)訪問，通過三層轉(zhuǎn)發(fā)網(wǎng)絡(luò)，二層轉(zhuǎn)發(fā)網(wǎng)絡(luò)和三層轉(zhuǎn)發(fā)網(wǎng)絡(luò)在轉(zhuǎn)發(fā)報文時是不同的，因此需要判斷兩個虛擬機是否在同一子網(wǎng)絡(luò)中。S2022：根據(jù)預(yù)先存儲的虛擬機與其訪問級別的對應(yīng)關(guān)系和所述第二虛擬機的標(biāo)識，獲得所述第二虛擬機的訪問級別。當(dāng)然，需要強調(diào)的是，第一網(wǎng)絡(luò)設(shè)備可以在不執(zhí)行步驟S2021的情況下，直接根據(jù)第二虛擬機的標(biāo)識，從預(yù)先存儲的虛擬機與其訪問級別的對應(yīng)關(guān)系中獲得第二虛擬機的訪問級別。實際應(yīng)用中，在同一子網(wǎng)絡(luò)中，第一網(wǎng)絡(luò)設(shè)備根據(jù)轉(zhuǎn)發(fā)信息表中的信息進行虛擬機間報文的轉(zhuǎn)發(fā)，為了便于第一網(wǎng)絡(luò)設(shè)備獲得第二虛擬機的訪問級別，可以將第二虛擬機與其訪問級別的對應(yīng)關(guān)系存儲在該轉(zhuǎn)發(fā)信息表中，這樣，第一網(wǎng)絡(luò)設(shè)備可以從該轉(zhuǎn)發(fā)信息表中快速地獲得第二虛擬機對應(yīng)的訪問級別。這里，轉(zhuǎn)發(fā)信息表，用于存儲網(wǎng)絡(luò)中各個虛擬機間通信的MAC地址、虛擬機的名稱等信息。若當(dāng)前有一EVPN網(wǎng)絡(luò)，該EVPN網(wǎng)絡(luò)中包括一個Spine設(shè)備(路由反射器)， 該Spine設(shè)備與3個VTEP通信連接，分別為VTEP1、VTEP2和VTEP3，其中，VTEP1與VM1通信連接，VTEP2與VM2通信連接，VTEP3與VM3通信連接，該3個VM屬于同一子網(wǎng)絡(luò)中，每一VTEP都可以學(xué)習(xí)到這3個VM的MAC地址，這3個VM的名稱與其MAC地址的對應(yīng)關(guān)系如表1所示。表1虛擬機的名稱MAC地址VM1MAC1VM2MAC2VM3MAC3在本申請的一種具體實現(xiàn)方式中，預(yù)先存儲的虛擬機與其訪問級別的對應(yīng)關(guān)系可以為第二虛擬機的MAC地址/名稱與其訪問級別的對應(yīng)關(guān)系，第一網(wǎng)絡(luò)設(shè)備根據(jù)第二虛擬機的MAC地址/名稱，結(jié)合上述表1中存儲的內(nèi)容，獲得第二虛擬機的訪問級別。S2023：根據(jù)所述第二虛擬機的標(biāo)識，獲得所述第二虛擬機所屬子網(wǎng)絡(luò)的標(biāo)識；S2024：根據(jù)預(yù)先存儲的子網(wǎng)絡(luò)與訪問級別的對應(yīng)關(guān)系，以及所述第二虛擬機所屬子網(wǎng)絡(luò)的標(biāo)識，獲得所述第二虛擬機的訪問級別。實際應(yīng)用中，一個子網(wǎng)絡(luò)中會包含多個虛擬機，若每個虛擬機的訪問級別都是相同的，如：全部都是拒絕被訪問，此時，只需要在第一網(wǎng)絡(luò)設(shè)備中設(shè)置一個子網(wǎng)絡(luò)的訪問級別就好了，獲得該子網(wǎng)絡(luò)的訪問級別，就可以將該獲得的訪問級別作為在該子網(wǎng)絡(luò)中任一虛擬機的訪問級別，這樣可以節(jié)約第一網(wǎng)絡(luò)設(shè)備中內(nèi)存空間。優(yōu)選的，子網(wǎng)絡(luò)和其訪問級別的對應(yīng)關(guān)系可以預(yù)先存儲在轉(zhuǎn)發(fā)信息中，這樣，第一網(wǎng)絡(luò)設(shè)備可以從該轉(zhuǎn)發(fā)信息中快速地獲得第二虛擬機所屬子網(wǎng)絡(luò)的訪問級別。當(dāng)然，子網(wǎng)絡(luò)和其訪問級別的對應(yīng)關(guān)系也可以存儲在其他表中，本申請對此不進行限定。需要一提的是，獲得了第二虛擬機所屬子網(wǎng)絡(luò)的訪問級別就可以直接將該訪問級別確定為該第二虛擬機的訪問級別。假設(shè)，在一個IT公司中有3個部門，測試部、市場部和開發(fā)部，如圖5所示，由圖5可知，VTEP1的VNI(VXLANNetworkIdentifier，VXLAN網(wǎng)絡(luò)標(biāo)識符)為10，VTEP2的VNI為30，VTEP3的VNI為20，不同子網(wǎng)絡(luò)間VM的通信需要把VTEP當(dāng)作一個網(wǎng)關(guān)，在EVPN網(wǎng)絡(luò)中，VTEP之間建立BGP鄰居，VTEP通過ARP學(xué)習(xí)到與該VTEP通信連接的VM的MAC地址，再通過BGP向其他VTEP的BGP鄰居發(fā)送MAC/IP路由，各個VTEP學(xué)習(xí)到各個VM的MAC地址，在該公司內(nèi)，開發(fā)部的各個虛擬機上的信息都比較重要，不允許其他部門的虛擬機訪問，因此，VTEP2所屬子網(wǎng)絡(luò)的訪問級別設(shè)置為drop，并存儲VNI30與drop的對應(yīng)關(guān)系，當(dāng)市場部或測試部的任一虛擬機訪問開發(fā)部的任一虛擬機時，假設(shè)，VTEP3(第一網(wǎng)絡(luò)設(shè)備)中的VM1(第一虛擬機)向VTEP2中的VM4(第二虛擬機)發(fā)送報文，VTEP3獲得VM4所在子網(wǎng)絡(luò)的網(wǎng)絡(luò)標(biāo)識VNI為30，從預(yù)先存儲的子網(wǎng)絡(luò)的標(biāo)識和其訪問級別的對應(yīng)關(guān)系中獲得該VNI30的訪問級別為drop，則確定VM4的訪問級別為drop，丟棄該報文。應(yīng)用圖4所示實施例，第一網(wǎng)絡(luò)設(shè)備中根據(jù)子網(wǎng)絡(luò)的標(biāo)識、第二虛擬機的標(biāo)識，以及預(yù)先存儲的針對第二虛擬機的訪問級別信息，獲得同一子網(wǎng)絡(luò)中或不同子網(wǎng)絡(luò)中第二第二虛擬機的訪問級別，進而控制第一虛擬機對第二虛擬機的訪問。由于子網(wǎng)絡(luò)的標(biāo)識和第二虛擬機的標(biāo)識可以唯一確定出一個第二虛擬機，因此第一網(wǎng)絡(luò)設(shè)備能夠準(zhǔn)確控制虛擬機間的通信，進一步的，本申請中第一網(wǎng)絡(luò)設(shè)備未刪除記錄的虛擬機的MAC地址，因此，第一網(wǎng)絡(luò)設(shè)備不會因自身未存儲虛擬機的MAC地址而導(dǎo)致第一網(wǎng)絡(luò)設(shè)備將從虛擬機接收的報文以廣播的形式在不同子網(wǎng)絡(luò)間和/或同一子網(wǎng)絡(luò)中發(fā)送，因此提高了整個網(wǎng)絡(luò)的穩(wěn)定性。參考圖6，圖6為本發(fā)明實施例提供的另一種訪問控制方法的流程示意圖，應(yīng)用于第一網(wǎng)絡(luò)設(shè)備，該方法中，若步驟S2021中根據(jù)所述第二虛擬機的標(biāo)識，得到所述第二虛擬機不與所述第一虛擬機位于同一子網(wǎng)絡(luò)，則還可以執(zhí)行步驟S2025；S2025：根據(jù)所述第二虛擬機的標(biāo)識，獲得所述第二虛擬機所屬子網(wǎng)絡(luò)的標(biāo)識；實際應(yīng)用中，步驟S2025所產(chǎn)生的技術(shù)效果和步驟S2023相同，此處不再贅述。S2026：根據(jù)預(yù)先存儲的子網(wǎng)絡(luò)、虛擬機與訪問級別三者之間的對應(yīng)關(guān)系，以及所述第二虛擬機的標(biāo)識和所述第二虛擬機所屬子網(wǎng)絡(luò)的標(biāo)識，獲得所述第二虛擬機的訪問級別。這種情況下，若要確定虛擬機的訪問級別，需要報文中包含的第二虛擬機的標(biāo)識、根據(jù)第二虛擬機的標(biāo)識獲得的子網(wǎng)絡(luò)的標(biāo)識兩者，都與預(yù)先存儲的子網(wǎng)絡(luò)、虛擬機以及虛擬機的訪問級別三者之間的對應(yīng)關(guān)系中的虛擬機和子網(wǎng)絡(luò)匹配，才能獲得該第二虛擬機的訪問級別。優(yōu)選的，子網(wǎng)絡(luò)、虛擬機以及虛擬機的訪問級別三者之間的對應(yīng)關(guān)系可以預(yù)先存儲在第三設(shè)訪問信息表，這樣，第一網(wǎng)絡(luò)設(shè)備可以從該第三設(shè)訪問信息表中快速地獲得虛擬機的訪問級別。實際應(yīng)用中，一個子網(wǎng)絡(luò)中并不是每個虛擬機的訪問級別都是相同的。為了確保不同子網(wǎng)絡(luò)中虛擬機間的正常通信，需要針對每一子網(wǎng)絡(luò)中的每一虛擬機設(shè)置一個訪問級別。如圖5中所示，若僅開發(fā)部的codeServer(可以包含多個虛擬機)上存儲有重要信息，則只需要禁止其他兩個部門的VM訪問codeServer即可，也就是說在VTEP1和VTEP3上設(shè)置該codeServer的訪問級別為drop，也就是在VTEP1和VTEP3均存儲VNI30、codeServer的物理地址MAC5和drop三者之間的對應(yīng)關(guān)系，假設(shè)，VM1(第一虛擬機)向codeServer(第二虛擬機)發(fā)送報文，則VTEP3(第一網(wǎng)絡(luò)設(shè)備)根據(jù)報文中包含的codeServer的標(biāo)識獲得codeServer所在子網(wǎng)絡(luò)的網(wǎng)絡(luò)標(biāo)識VNI為30和codeServer的物理地址MAC5，根據(jù)所獲得子VNI30和codeServer的物理地址MAC5，確定codeServer的訪問級別為drop，則丟棄該報文。應(yīng)用圖6所示實施例，第一網(wǎng)絡(luò)設(shè)備同時根據(jù)子網(wǎng)絡(luò)的標(biāo)識、第二虛擬機的標(biāo)識來獲得第二虛擬機的訪問級別，由此來確定的第二虛擬機的訪問級別比單獨根據(jù)子網(wǎng)絡(luò)的標(biāo)識或第二虛擬機的標(biāo)識來確定第二虛擬機的訪問級別更為準(zhǔn)確。參考圖7，圖7為本發(fā)明實施例提供的一種訪問控制裝置的結(jié)構(gòu)示意圖，應(yīng)用于第一網(wǎng)絡(luò)設(shè)備，該裝置可以包括：報文接收模塊701、訪問級別獲得模塊702和轉(zhuǎn)發(fā)控制模塊703；其中，報文接收模塊701，用于接收第一虛擬機發(fā)送的報文，其中，第一虛 擬機與第一網(wǎng)絡(luò)設(shè)備通信連接，報文中包含第二虛擬機的標(biāo)識；訪問級別獲得模塊702，用于根據(jù)第二虛擬機的標(biāo)識與本地預(yù)先存儲的針對虛擬機的訪問級別信息，獲得第二虛擬機的訪問級別；轉(zhuǎn)發(fā)控制模塊703，用于根據(jù)第二虛擬機的訪問級別，控制向第二虛擬機轉(zhuǎn)發(fā)報文。實際應(yīng)用中，每一虛擬機的訪問級別都是可能會變的，因此，本申請?zhí)峁┝艘环N訪問級別的更新裝置，參考圖8，圖8為本發(fā)明實施例提供的一種訪問級別的更新裝置的結(jié)構(gòu)示意圖，該裝置可以包括：更新報文發(fā)送模塊801、應(yīng)答報文接收模塊802、標(biāo)識判斷模塊803、待更新訪問級別獲得模塊804和信息更新模塊805；其中，更新報文發(fā)送模塊801，用于發(fā)送更新報文，其中，更新報文，用于通知其他網(wǎng)絡(luò)設(shè)備發(fā)送應(yīng)答報文，應(yīng)答報文包含與其他網(wǎng)絡(luò)設(shè)備通信連接的虛擬機的標(biāo)識；應(yīng)答報文接收模塊802，用于接收其他網(wǎng)絡(luò)設(shè)備根據(jù)更新報文發(fā)送的應(yīng)答報文；標(biāo)識判斷模塊803，用于判斷應(yīng)答報文中包含的第三虛擬機的標(biāo)識是否在預(yù)設(shè)的待更新信息中，若為是，則觸發(fā)待更新訪問級別獲得模塊804，其中，預(yù)設(shè)的待更新信息，為需要更新訪問級別的虛擬機和其待更新訪問級別的對應(yīng)關(guān)系；待更新訪問級別獲得模塊804，用于根據(jù)第三虛擬機的標(biāo)識，從預(yù)設(shè)的待更新信息中獲得待更新訪問級別；信息更新模塊805，用于根據(jù)所獲得待更新訪問級別，更新預(yù)先存儲的針對所述第三虛擬機的訪問級別信息。應(yīng)用圖7所示實施例，第一虛擬機需要與第二虛擬機進行通信時，第一虛擬機向與其通信連接的第一網(wǎng)絡(luò)設(shè)備發(fā)送報文，該第一網(wǎng)絡(luò)設(shè)備接收到該報文后，根據(jù)該報文中包含的第二虛擬機的標(biāo)識和該第一網(wǎng)絡(luò)設(shè)備中預(yù)先存儲的針對虛擬機的訪問級別信息，獲得第二虛擬機的訪問級別，根據(jù)獲得的訪問級別中的訪問優(yōu)先級向第二虛擬機轉(zhuǎn)發(fā)該報文。本申請中，第一網(wǎng)絡(luò)設(shè)備通過根據(jù)虛擬機的標(biāo)識確定虛擬機的訪問級別的方法，來控制虛擬機間的通信，由于虛擬機 的標(biāo)識和虛擬機是一一對應(yīng)的，因此第一網(wǎng)絡(luò)設(shè)備能夠準(zhǔn)確控制虛擬機間的通信，進一步的，本申請中第一網(wǎng)絡(luò)設(shè)備未刪除記錄的虛擬機的MAC地址，因此，第一網(wǎng)絡(luò)設(shè)備不會因自身未存儲虛擬機的MAC地址而導(dǎo)致第一網(wǎng)絡(luò)設(shè)備將從虛擬機接收的報文以廣播的形式發(fā)送，因此提高了網(wǎng)絡(luò)的穩(wěn)定性。參考圖9，圖9為本發(fā)明實施例提供的另一種訪問控制裝置的結(jié)構(gòu)示意圖，應(yīng)用于第一網(wǎng)絡(luò)設(shè)備，該裝置中，訪問級別獲得模塊702，包括：子網(wǎng)絡(luò)判斷子模塊7021、第一訪問級別獲得子模塊7022、第一子網(wǎng)絡(luò)標(biāo)識獲得子模塊7023、第二訪問級別獲得子模塊7024；其中，子網(wǎng)絡(luò)判斷子模塊7021，用于根據(jù)第二虛擬機的標(biāo)識，判斷第二虛擬機是否與第一虛擬機位于同一子網(wǎng)絡(luò)，若為是，則觸發(fā)第一訪問級別獲得子模塊7022，若為否，則觸發(fā)第一子網(wǎng)絡(luò)標(biāo)識獲得子模塊7023；第一訪問級別獲得子模塊7022，用于根據(jù)預(yù)先存儲的虛擬機與其訪問級別的對應(yīng)關(guān)系和第二虛擬機的標(biāo)識，獲得第二虛擬機的訪問級別；第一子網(wǎng)絡(luò)標(biāo)識獲得子模塊7023，用于在子網(wǎng)絡(luò)判斷子模塊7021判斷結(jié)果為否的情況下，根據(jù)第二虛擬機的標(biāo)識，獲得第二虛擬機所屬子網(wǎng)絡(luò)的標(biāo)識；第二訪問級別獲得子模塊7024，用于根據(jù)預(yù)先存儲的子網(wǎng)絡(luò)與訪問級別的對應(yīng)關(guān)系，以及所述第二虛擬機所屬子網(wǎng)絡(luò)的標(biāo)識，獲得所述第二虛擬機的訪問級別。應(yīng)用圖9所示實施例，第一網(wǎng)絡(luò)設(shè)備中根據(jù)子網(wǎng)絡(luò)的標(biāo)識、第二虛擬機的標(biāo)識，以及預(yù)先存儲的針對第二虛擬機的訪問級別信息，獲得同一子網(wǎng)絡(luò)中或不同子網(wǎng)絡(luò)中第二第二虛擬機的訪問級別，進而控制第一虛擬機對第二虛擬機的訪問。由于子網(wǎng)絡(luò)的標(biāo)識和第二虛擬機的標(biāo)識可以唯一確定出一個第二虛擬機，因此第一網(wǎng)絡(luò)設(shè)備能夠準(zhǔn)確控制虛擬機間的通信，進一步的，本申請中第一網(wǎng)絡(luò)設(shè)備未刪除記錄的虛擬機的MAC地址，因此，第一網(wǎng)絡(luò)設(shè)備不會因自身未存儲虛擬機的MAC地址而導(dǎo)致第一網(wǎng)絡(luò)設(shè)備將從虛擬機接收的報文以廣播的形式在不同子網(wǎng)絡(luò)間和/或同一子網(wǎng)絡(luò)中發(fā)送，因此提高了整個網(wǎng)絡(luò)的穩(wěn)定性。參考圖10，圖10為本發(fā)明實施例提供的另一種訪問控制裝置的結(jié)構(gòu)示意圖，應(yīng)用于第一網(wǎng)絡(luò)設(shè)備，該裝置中，訪問級別獲得模塊702，還可以包括：第二子網(wǎng)絡(luò)標(biāo)識獲得子模塊7025和第三訪問級別獲得子模塊7026；其中，第二子網(wǎng)絡(luò)標(biāo)識獲得子模塊7025，用于在子網(wǎng)絡(luò)判斷子模塊7021判斷結(jié)果為否的情況下，根據(jù)第二虛擬機的標(biāo)識，獲得第二虛擬機所屬子網(wǎng)絡(luò)的標(biāo)識；第三訪問級別獲得子模塊7026，用于根據(jù)預(yù)先存儲的子網(wǎng)絡(luò)、虛擬機與訪問級別三者之間的對應(yīng)關(guān)系，以及第二虛擬機的標(biāo)識和第二虛擬機所屬子網(wǎng)絡(luò)的標(biāo)識，獲得第二虛擬機的訪問級別。應(yīng)用圖10所示實施例，第一網(wǎng)絡(luò)設(shè)備同時根據(jù)子網(wǎng)絡(luò)的標(biāo)識、第二虛擬機的標(biāo)識來獲得第二虛擬機的訪問級別，由此來確定的第二虛擬機的訪問級別比單獨根據(jù)子網(wǎng)絡(luò)的標(biāo)識或第二虛擬機的標(biāo)識來確定第二虛擬機的訪問級別更為準(zhǔn)確。對于裝置實施例而言，由于其基本相似于方法實施例，所以描述的比較簡單，相關(guān)之處參見方法實施例的部分說明即可。需要說明的是，在本文中，諸如第一和第二等之類的關(guān)系術(shù)語僅僅用來將一個實體或者操作與另一個實體或操作區(qū)分開來，而不一定要求或者暗示這些實體或操作之間存在任何這種實際的關(guān)系或者順序。而且，術(shù)語“包括”、“包含”或者其任何其他變體意在涵蓋非排他性的包含，從而使得包括一系列要素的過程、方法、物品或者設(shè)備不僅包括那些要素，而且還包括沒有明確列出的其他要素，或者是還包括為這種過程、方法、物品或者設(shè)備所固有的要素。在沒有更多限制的情況下，由語句“包括一個……”限定的要素，并不排除在包括所述要素的過程、方法、物品或者設(shè)備中還存在另外的相同要素。本領(lǐng)域普通技術(shù)人員可以理解實現(xiàn)上述方法實施方式中的全部或部分步驟是可以通過程序來指令相關(guān)的硬件來完成，所述的程序可以存儲于計算機可讀取存儲介質(zhì)中，這里所稱得的存儲介質(zhì)，如：ROM/RAM、磁碟、光盤等。以上所述僅為本發(fā)明的較佳實施例而已，并非用于限定本發(fā)明的保護范圍。凡在本發(fā)明的精神和原則之內(nèi)所作的任何修改、等同替換、改進等，均包含在本發(fā)明的保護范圍內(nèi)。當(dāng)前第1頁1 2 3