虚拟服务提供方法、网关设备及存储介质与流程

本发明涉及企业级智能网关领域，尤其涉及一种用于网关设备的虚拟服务提供方法、网关设备及存储介质。

背景技术

在现有技术中，传统企业网络除了部署路由交换设备，如ct(communicationtechnology)设备外，还要部署多种专用it(informationtechnology)硬件设备，比如防火墙、wan加速器、审计系统、邮件系统等，在网络构建阶段需要大量投资，后期也需要专人维护设备，增加设备部署及维护成本。

技术实现要素：

本发明实施例提供了一种用于网关设备的虚拟服务提供方法、网关设备及存储介质，以降低现有企业网络中的设备部署及维护成本。

根据本发明的一方面，提供了一种用于网关设备的虚拟服务提供方法，包括：

通过网关设备上设置的业务板，配置用于管理网关设备上设置的业务板的业务板管理通道；

通过业务板管理通道下载虚拟网络功能应用资源至业务板；

调用业务板中的虚拟网络功能应用资源，提供虚拟服务。

根据本发明的另一方面，提供了一种网关设备，包括：路由板、业务板、存储器、处理器及存储在存储器上并可在处理器上运行的虚拟服务提供程序，虚拟服务提供程序被处理器执行时实现本发明前文中提供的虚拟服务提供方法的步骤。

根据本发明的再另一方面，提供了一种计算机可读存储介质，计算机可读存储介质存储有虚拟服务提供程序，虚拟服务提供程序被执行，以实现本发明前文中提供的虚拟服务提供控制方法。

本发明实施例的有益效果：

网关设备设置有路由板及业务板，通过在业务板上部署虚拟网络功能应用资源实现虚拟服务，通过路由板实现常规的路由功能，这样就可以实现设备功能的融合，例如，防火墙、wan加速器、审计系统、邮件系统等功能通过在业务板上部署虚拟网络功能应用资源实现，这样在进行企业网络部署时，仅部署网关设备即可，降低了设备部署及维护成本。

附图说明

图1为本发明第一实施例提供的虚拟服务提供装置的结构框图；

图2为本发明第一实施例提供的虚拟服务提供方法的流程图；

图3为本发明第一实施例提供的网关设备的结构图；

图4为本发明第二实施例提供的路由器设备的系统示意图；

图5为本发明第二实施例提供的路由器设备工作方法的流程图；

图6为本发明第二实施例涉及的业务板管理通道的流程图；

图7为本发明第二实施例涉及的虚拟设备管理的流程图；

图8为本发明第二实施例涉及的业务编排的流程图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例只是本发明中一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

现通过具体实施方式结合附图的方式对本发明做出进一步的诠释说明。

第一实施例：

图1为本发明第一实施例提供的虚拟服务提供装置的结构框图，由图1可知，本实施例提供的用于网关设备的虚拟服务提供装置1包括：管理模块11、下载模块12及业务模块13，其中，

管理模块11用于通过网关设备上设置的业务板，配置用于管理网关设备上设置的业务板的业务板管理通道；

下载模块12用于通过业务板管理通道下载虚拟网络功能应用资源至业务板；

业务模块13用于调用业务板中的虚拟网络功能应用资源，提供虚拟服务。

在一些实施例中，上述实施例中的管理模块11用于：

获取用户配置的第一网络地址；

根据第一网络地址，计算第二网络地址；

将第二网络地址配置为路由板的网络地址，将第一网络地址配置为业务板的网络地址；

配置第一网络地址与第二网络地址的端口映射，建立业务板管理通道。

具体的，管理模块11用于：将路由板的端口配置为动态主机配置协议服务端模式，将第二网络地址配置为路由板的网络地址，将业务板的端口配置为动态主机配置协议客户端模式，将第一网络地址配置为业务板的网络地址；根据路由板端口和传输控制协议端口号的规则映射，将第一网络地址转换为第二网络地址。

在实际应用中，管理模块11用于将业务板配置为通过dhcp(dynamichostconfigurationprotocol，动态主机设置协议)协议获取地址和默认路由，在路由板上配置nat(networkaddresstranslation，网络地址转换)端口映射，将路由设备业务板地址转换为路由板网管管理地址，让网关管理系统可以管理到路由板，并且通过路由板的端口映射登陆到业务板，实现网关管理系统对业务板的控制。

在一些实施例中，上述实施例中的下载模块12用于：

与应用商店建立通信连接；

从应用商店下载虚拟网络功能应用资源的镜像文件至业务板中的存储单板；

根据虚拟服务的服务部署请求，从存储单板选择对应的虚拟网络功能应用资源传输至业务板中的功能单板，生成并配置虚拟网络功能应用资源对应的虚拟设备，虚拟设备用于提供虚拟服务。

在实际应用中，存储单板用于为网关设备提供本地仓库功能，本地仓库是指设置在网关设备上的仓库，这样在后续需要时，可以直接调用，不再需要从服务器上的远程仓库下载。

在实际应用中，下载模块12连接应用商店下载vnf(virtualnetworkfunction，虚拟网络应用)镜像到本地仓库，将镜像拷贝到需要操作的业务板上，网关管理系统通过virsh(管理虚拟机的命令)命令集来操作虚拟设备的创建、停止等；配置路由板端口和虚拟设备的vrf(virtualroutingforwarding,虚拟网络功能路由转发表)通道；增加vrfnat映射，完成公网地址到私网地址的转换，让外网以路由板公网地址+端口号访问虚拟设备；将虚拟设备默认二层转发vlan(virtuallocalareanetwork，虚拟局域网)加入到业务口上，以便后续业务流转发。

在一些实施例中，上述实施例中的下载模块12用于：

配置路由板子接口的虚拟网络功能路由转发表；

建立虚拟设备的网络地址与虚拟网络功能路由转发表的端口映射；

配置虚拟设备的二层转发虚拟局域网地址，将二层转发虚拟局域网地址加入路由板的业务口；

配置虚拟网络功能路由转发表的默认路由至网关设备；

启动虚拟网络功能应用资源，生成虚拟设备。

在一些实施例中，上述实施例中的下载模块12用于：

在启动虚拟网络功能应用资源，生成虚拟设备之前，检测业务板的资源使用状态；在实际应用中，资源使用状态包括cpu个数、硬盘、内存等资源的使用状态；

根据资源使用状态，判断剩余资源是否满足虚拟设备的创建要求；

在剩余资源满足创建要求时，启动虚拟网络功能应用资源，生成虚拟设备；

在剩余资源不满足创建要求时，进行资源优化。

在一些实施例中，上述实施例中的下载模块12用于：

为虚拟设备配置虚拟网络功能路由转发表；

配置虚拟网络功能路由转发表中的虚拟设备的路由标识及网络地址族；

配置虚拟设备中用于接收外界管理信息的管理子接口的网络地址；

在虚拟网络功能路由转发表中，将管理子接口的网络地址与业务板的业务子接口的网络地址进行绑定。

在一些实施例中，上述实施例中的业务模块13用于：

判断虚拟服务是否需要进行业务链编排；

若需要，则根据虚拟服务的业务处理次序，将业务流依次导入对应的虚拟设备；

通过访问控制列表配置业务流的流分类规则；

按照端口配置业务流的导流规则，并绑定流分类规则；

将业务流的导流规则绑定至对应端口。

在实际应用中，业务模块13根据不同类型的vnf来进行不同的业务链管理，对于需要业务链处理的vnf根据用户要求的业务处理次序，将流量依次导入到虚拟化物理资源上面进行处理；选择通过acl(accesscontrollist，接入控制列表)配置流分类，根据源端口、源ip、目的端口、目的ip、出vlan来匹配流分类；然后按端口配置策略并绑定流分类，最后策略绑定到端口，实现vnf业务流处理。

本实施例提供了一种用于网关设备的虚拟服务提供装置，网关设备设置有路由板及业务板，通过在业务板上部署虚拟网络功能应用资源实现虚拟服务，通过路由板实现常规的路由功能，这样就可以实现设备功能的融合，例如，防火墙、wan加速器、审计系统、邮件系统等功能通过在业务板上部署虚拟网络功能应用资源实现，这样在进行企业网络部署时，仅部署网关设备即可，降低了设备部署及维护成本。

图2为本发明第一实施例提供的虚拟服务提供方法的流程图，由图2可知，本实施例提供的用于网关设备的虚拟服务提供方法，包括：

s201：通过网关设备上设置的业务板，配置用于管理网关设备上设置的业务板的业务板管理通道；

s202：通过业务板管理通道下载虚拟网络功能应用资源至业务板；

s203：调用业务板中的虚拟网络功能应用资源，提供虚拟服务。

在一些实施例中，上述实施例中的步骤s202包括：

从应用商店下载虚拟网络功能应用资源的镜像文件至业务板中的存储单板；

根据虚拟服务的服务部署请求，从存储单板选择对应的虚拟网络功能应用资源传输至业务板中的功能单板，生成并配置虚拟网络功能应用资源对应的虚拟设备，虚拟设备用于提供虚拟服务。

在实际应用中，步骤s202通过连接应用商店下载vnf镜像到本地仓库，将镜像拷贝到需要操作的业务板上，网关管理系统通过virsh命令集来操作虚拟设备的创建、停止等；配置路由板端口和虚拟设备的vrf通道；增加vrfnat映射，完成公网地址到私网地址的转换，让外网以路由板公网地址+端口号访问虚拟设备；将虚拟设备默认二层转发vlan加入到业务口上，以便后续业务流转发。

在一些实施例中，上述实施例中的配置虚拟设备包括：

配置路由板子接口的虚拟网络功能路由转发表；

建立虚拟设备的网络地址与虚拟网络功能路由转发表的端口映射；

配置虚拟设备的二层转发虚拟局域网地址，将二层转发虚拟局域网地址加入路由板的业务口；

配置虚拟网络功能路由转发表的默认路由至网关设备；

启动虚拟网络功能应用资源，生成虚拟设备。

在一些实施例中，上述实施例中的虚拟服务提供方法，在启动虚拟网络功能应用资源，生成虚拟设备之前，还包括：

检测业务板的资源使用状态；

根据资源使用状态，判断剩余资源是否满足虚拟设备的创建要求；

在剩余资源满足创建要求时，启动虚拟网络功能应用资源，生成虚拟设备；

在剩余资源不满足创建要求时，进行资源优化。

在一些实施例中，上述实施例中的配置路由板子接口的虚拟网络功能路由转发表包括：

为虚拟设备配置虚拟网络功能路由转发表；

配置虚拟网络功能路由转发表中的虚拟设备的路由标识及网络地址族；

配置虚拟设备中用于接收外界管理信息的管理子接口的网络地址；

在虚拟网络功能路由转发表中，将管理子接口的网络地址与业务板的业务子接口的网络地址进行绑定。

在一些实施例中，上述实施例中的调用业务板中的虚拟网络功能应用资源，提供虚拟服务包括：

判断虚拟服务是否需要进行业务链编排；

若需要，则根据虚拟服务的业务处理次序，将业务流依次导入对应的虚拟设备；

通过访问控制列表配置业务流的流分类规则；

按照端口配置业务流的导流规则，并绑定流分类规则；

将业务流的导流规则绑定至对应端口。

在一些实施例中，上述实施例中的配置业务板管理通道包括：

获取用户配置的第一网络地址；

根据第一网络地址，计算第二网络地址；

将第二网络地址配置为路由板的网络地址，将第一网络地址配置为业务板的网络地址；

配置第一网络地址与第二网络地址的端口映射，建立业务板管理通道。

在一些实施例中，上述实施例中的将第二网络地址配置为路由板的网络地址，将第一网络地址配置为业务板的网络地址包括：将路由板的端口配置为动态主机配置协议服务端模式，将第二网络地址配置为路由板的网络地址，将业务板的端口配置为动态主机配置协议客户端模式，将第一网络地址配置为业务板的网络地址；

此时，上述实施例中的配置第一网络地址与第二网络地址的端口映射包括：根据路由板端口和传输控制协议端口号的规则映射，将第一网络地址转换为第二网络地址。

在实际应用中，步骤s201将业务板通过dhcp协议获取地址和默认路由，在路由板上配置nat端口映射，将路由设备业务板地址转换为路由板网管管理地址，让网关管理系统可以管理到路由板，并且通过路由板的端口映射登陆到业务板，实现网关管理系统对业务板的控制。

本实施例提供了一种用于网关设备的虚拟服务提供方法，网关设备设置有路由板及业务板，通过在业务板上部署虚拟网络功能应用资源实现虚拟服务，通过路由板实现常规的路由功能，这样就可以实现设备功能的融合，例如，防火墙、wan加速器、审计系统、邮件系统等功能通过在业务板上部署虚拟网络功能应用资源实现，这样在进行企业网络部署时，仅部署网关设备即可，降低了设备部署及维护成本。

图3为本发明第一实施例提供的网关设备的结构图；由图3可知，本实施例提供的网关设备3包括：处理器31、存储器32、通信总线33、路由板34、业务板35、及存储在存储器32上并可在处理器31上运行的虚拟服务提供程序，虚拟服务提供程序被处理器执行时实现本发明提供的任意的虚拟服务提供方法的步骤；其中，

通信总线33用于实现处理器31、存储器32、路由板34、业务板35之间的连接通信；

处理器31用于执行存储器32中存储的程序，以实现以下步骤：

通过网关设备上设置的业务板，配置用于管理网关设备上设置的业务板的业务板管理通道；

通过业务板管理通道下载虚拟网络功能应用资源至业务板；

调用业务板中的虚拟网络功能应用资源，提供虚拟服务。

在实际应用中，处理器31提供网关管理系统的操作界面给用户，提供操作界面接收用户的配置操作。

在一些实施例中，处理器31用于执行存储器32中存储的程序，以实现以下步骤：

从应用商店下载虚拟网络功能应用资源的镜像文件至业务板中的存储单板；

根据虚拟服务的服务部署请求，从存储单板选择对应的虚拟网络功能应用资源传输至业务板中的功能单板，生成并配置虚拟网络功能应用资源对应的虚拟设备，虚拟设备用于提供虚拟服务。

在一些实施例中，处理器31用于执行存储器32中存储的程序，以实现以下步骤：

配置路由板子接口的虚拟网络功能路由转发表；

建立虚拟设备的网络地址与虚拟网络功能路由转发表的端口映射；

配置虚拟设备的二层转发虚拟局域网地址，将二层转发虚拟局域网地址加入路由板的业务口；

配置虚拟网络功能路由转发表的默认路由至网关设备；

启动虚拟网络功能应用资源，生成虚拟设备。

在一些实施例中，处理器31用于执行存储器32中存储的程序，以实现以下步骤：

在启动虚拟网络功能应用资源，生成虚拟设备之前，检测业务板的资源使用状态；

根据资源使用状态，判断剩余资源是否满足虚拟设备的创建要求；

在剩余资源满足创建要求时，启动虚拟网络功能应用资源，生成虚拟设备；

在剩余资源不满足创建要求时，进行资源优化。

在一些实施例中，处理器31用于执行存储器32中存储的程序，以实现以下步骤：

为虚拟设备配置虚拟网络功能路由转发表；

配置虚拟网络功能路由转发表中的虚拟设备的路由标识及网络地址族；

配置虚拟设备中用于接收外界管理信息的管理子接口的网络地址；

在虚拟网络功能路由转发表中，将管理子接口的网络地址与业务板的业务子接口的网络地址进行绑定。

在一些实施例中，处理器31用于执行存储器32中存储的程序，以实现以下步骤：

判断虚拟服务是否需要进行业务链编排；

若需要，则根据虚拟服务的业务处理次序，将业务流依次导入对应的虚拟设备；

通过访问控制列表配置业务流的流分类规则；

按照端口配置业务流的导流规则，并绑定流分类规则；

将业务流的导流规则绑定至对应端口。

在一些实施例中，处理器31用于执行存储器32中存储的程序，以实现以下步骤：

获取用户配置的第一网络地址；

根据第一网络地址，计算第二网络地址；

将第二网络地址配置为路由板的网络地址，将第一网络地址配置为业务板的网络地址；

配置第一网络地址与第二网络地址的端口映射，建立业务板管理通道。

在一些实施例中，处理器31用于执行存储器32中存储的程序，以实现以下步骤：

将路由板的端口配置为动态主机配置协议服务端模式，将第二网络地址配置为路由板的网络地址，将业务板的端口配置为动态主机配置协议客户端模式，将第一网络地址配置为业务板的网络地址；

根据路由板端口和传输控制协议端口号的规则映射，将第一网络地址转换为第二网络地址。

本实施例提供了一种网关设备，网关设备设置有路由板及业务板，通过在业务板上部署虚拟网络功能应用资源实现虚拟服务，通过路由板实现常规的路由功能，这样就可以实现设备功能的融合，例如，防火墙、wan加速器、审计系统、邮件系统等功能通过在业务板上部署虚拟网络功能应用资源实现，这样在进行企业网络部署时，仅部署网关设备即可，降低了设备部署及维护成本。

在一些实施例中，本发明还提供了一种计算机可读存储介质，计算机可读存储介质存储有一个或者多个程序组成的虚拟服务提供程序，虚拟服务提供程序被执行，以实现以下步骤：

通过网关设备上设置的业务板，配置用于管理网关设备上设置的业务板的业务板管理通道；

通过业务板管理通道下载虚拟网络功能应用资源至业务板；

调用业务板中的虚拟网络功能应用资源，提供虚拟服务。

在实际应用中，处理器31提供网关管理系统的操作界面给用户，提供操作界面接收用户的配置操作。

在一些实施例中，上述实施例中的虚拟服务提供程序被执行，以实现以下步骤：

从应用商店下载虚拟网络功能应用资源的镜像文件至业务板中的存储单板；

根据虚拟服务的服务部署请求，从存储单板选择对应的虚拟网络功能应用资源传输至业务板中的功能单板，生成并配置虚拟网络功能应用资源对应的虚拟设备，虚拟设备用于提供虚拟服务。

在一些实施例中，上述实施例中的虚拟服务提供程序被执行，以实现以下步骤：

配置路由板子接口的虚拟网络功能路由转发表；

建立虚拟设备的网络地址与虚拟网络功能路由转发表的端口映射；

配置虚拟设备的二层转发虚拟局域网地址，将二层转发虚拟局域网地址加入路由板的业务口；

配置虚拟网络功能路由转发表的默认路由至网关设备；

启动虚拟网络功能应用资源，生成虚拟设备。

在一些实施例中，上述实施例中的虚拟服务提供程序被执行，以实现以下步骤：

在启动虚拟网络功能应用资源，生成虚拟设备之前，检测业务板的资源使用状态；

根据资源使用状态，判断剩余资源是否满足虚拟设备的创建要求；

在剩余资源满足创建要求时，启动虚拟网络功能应用资源，生成虚拟设备；

在剩余资源不满足创建要求时，进行资源优化。

在一些实施例中，上述实施例中的虚拟服务提供程序被执行，以实现以下步骤：

为虚拟设备配置虚拟网络功能路由转发表；

配置虚拟网络功能路由转发表中的虚拟设备的路由标识及网络地址族；

配置虚拟设备中用于接收外界管理信息的管理子接口的网络地址；

在虚拟网络功能路由转发表中，将管理子接口的网络地址与业务板的业务子接口的网络地址进行绑定。

在一些实施例中，上述实施例中的虚拟服务提供程序被执行，以实现以下步骤：

判断虚拟服务是否需要进行业务链编排；

若需要，则根据虚拟服务的业务处理次序，将业务流依次导入对应的虚拟设备；

通过访问控制列表配置业务流的流分类规则；

按照端口配置业务流的导流规则，并绑定流分类规则；

将业务流的导流规则绑定至对应端口。

在一些实施例中，上述实施例中的虚拟服务提供程序被执行，以实现以下步骤：

获取用户配置的第一网络地址；

根据第一网络地址，计算第二网络地址；

将第二网络地址配置为路由板的网络地址，将第一网络地址配置为业务板的网络地址；

配置第一网络地址与第二网络地址的端口映射，建立业务板管理通道。

在一些实施例中，上述实施例中的虚拟服务提供程序被执行，以实现以下步骤：

将路由板的端口配置为动态主机配置协议服务端模式，将第二网络地址配置为路由板的网络地址，将业务板的端口配置为动态主机配置协议客户端模式，将第一网络地址配置为业务板的网络地址；

根据路由板端口和传输控制协议端口号的规则映射，将第一网络地址转换为第二网络地址。

本实施例提供了一种存储介质，网关设备设置有路由板及业务板，其内部的程序通过在业务板上部署虚拟网络功能应用资源实现虚拟服务，通过路由板实现常规的路由功能，这样就可以实现设备功能的融合，例如，防火墙、wan加速器、审计系统、邮件系统等功能通过在业务板上部署虚拟网络功能应用资源实现，这样在进行企业网络部署时，仅部署网关设备即可，降低了设备部署及维护成本。

现结合具体应用场景，对本发明做进一步的诠释说明。

本实施例用于提供一种轻量化融合传统网络设备架构和sdn(softwaredefinednetwork,软件定义型网络)/nfv(networkfunctionvirtualization，网络功能虚拟化)技术的微云网关实现方法，采用最简的方式实现了不仅支持传统路由交换功能，同时支持x86业务板，可集成各种第三方vnf(virtualizednetworkfunction，虚拟化网络功能)，在提供路由交换的基础上提供增值业务，实现连接随选和应用随选，并实现了全面业务流的编排，提高了资源利用效率降低企业投资成本，同时保证了微云网关的开发和兼容以及易部署的特性。将nfvo(networkfunctionvirtualizationorchestrator，网络虚拟应用编排器)、vnfm(virtualnetworkfunctionmanagement，虚拟网络应用管理)、tecs(tulipelasticcloudsystem，郁金香云管理系统)、sdn(softwaredefinenetwork，软件定义网络)控制器、sdn编排器、网管能力集中起来，实现虚拟设备生命周期管理、业务链转发路径编排、设备配置下发、vnf创建等能力，实现顶层编排系统网元极简化，大大减少了网元部署数量，同时是组网相对更简化，传统由专有硬件实现的功能如防火墙、wan(valueaddednetwork，增值网络)加速、ac(accesscontroller，无线控制器)、上网行为管理等通过软件形式集成在一台微云网关上，allinabox，降低硬件成本，减少设备故障；业务可视化自助申请，简化业务开通，降低人力成本，便于管理维护，提升用户体验。

为了实现上述目的，本实施例提供一种轻量化融合传统网络设备架构和sdn/nfv技术方法的微云网关方案，主要步骤包括：

开启业务板管理通道：业务板通过dhcp协议获取地址和默认路由，在路由板上配置nat端口映射，将路由设备业务板地址转换为路由板网管管理地址，让网关管理系统可以管理到路由板，并且通过路由板的端口映射登陆到业务板，实现网关管理系统对业务板的控制。

虚拟设备/vnf管理：连接应用商店下载vnf镜像到本地仓库，将镜像拷贝到需要操作的业务板上，网关管理系统通过virsh命令集来操作虚拟设备的创建、停止等；配置路由板端口和虚拟设备的vrf通道；增加vrfnat映射，完成公网地址到私网地址的转换，让外网以路由板公网地址+端口号访问虚拟设备；将虚拟设备默认二层转发vlan加入到业务口上，以便后续业务流转发。

业务链编排：根据不同类型的vnf来进行不同的业务链管理，对于需要业务链处理的vnf根据用户要求的业务处理次序，将流量依次导入到虚拟化物理资源上面进行处理；选择通过acl配置流分类，根据源端口、源ip、目的端口、目的ip、出vlan来匹配流分类；然后按端口配置策略并绑定流分类，最后策略绑定到端口，实现vnf业务流处理。

本方案中涉及到的系统的结构组成如图4所示，在路由器设备上面可以部署多块业务板，每个业务板上面可以虚拟出多款虚拟资源设备，业务板地址通过dhcp从路由板获取地址；网关管理系统的业务板操作、虚拟设备操作以及业务链的流报文都是和路由器设备交互，设备起管道和托管功能，从应用商店下载所需的vnf到要操作的业务板上面，虚拟设备操作的指令vrf路由表查找然后进行pat映射转换到相应的虚拟化设备，完成vnf的安装和虚拟设备管理；sfc(serviceflowchain，业务链)决定了要进入哪些虚拟化资源设备，实现了已安装vnf产生相应功能的要求。本实施例中只用到了一台路由器设备，结合轻量化网关管理系统便可以完成整个cpe(customerpremiseequipment，客户终端设备)政企方案，做到了网元数量极简、组网极简、顶层编排系统网元极简化。

本实施例以虚拟防火墙和虚拟邮件服务器两种类型vnf为例子(按照目的地址是否为vnf本身来区分，目的地址不同决定了业务流的处理方式不同)，虚拟防火墙业务流的目的地址非vnf本身可以进行业务链编排，虚拟邮件服务器的目的地址为vnf本身可以不用业务链处理，介绍了实现过程，整体流程如图5所示:

s501：配置业务板管理通道。

开启业务板管理通道，使编排系统可以通过设备ip和映射端口可以登陆到业务板，为后续的虚拟设备管理提供条件，不同的vnf类型该步骤的处理都是一样的，具体的可以分为下面几个步骤，如图6所示，

s601：用户指定业务板ip，该ip要求为30位掩码，除去网络地址和广播地址，剩下的两个地址分配给业务板和相应的路由板端口，这里要求用户输入两个ip中的一个，另外一个由编排系统计算出来；

s602：在步骤s601输入后要查询该ip是否被占用，如果被占用需要修改后输入；

s603：根据用户输入的ip计算出该网段中另外一个没有被使用的ip，作为路由板端口的ip；

s604：配置路由板端口的ip，在该端口起dhcp协议作为服务端使能，并配置默认路由，将用户输入的ip配置在dhcp地址池中；

s605：与之相连的业务板端口使能dhcp客户端模式，该配置为业务板的默认配置预置在该端口的配置中，使能后会根据dhcp协议获取地址池中的端口，获取ip地址后，在路由板上面可以ping通业务板端口的地址；

s606：配置cgn(carrier-gradenat，运营商级的地址转换技术)pat(端口地址转换)端口映射，通过路由板端口和tcp(transmissioncontrolprotocol，传输控制协议)端口号规则映射，将x86业务板地址转换为路由板网管管理地址，最终可以通过设备地址和端口号操作到业务板的目的。

s502：下载vnf镜像、配置虚拟设备管理通道。

下载vnf镜像、配置虚拟设备管理通道，使编排系统可以管理到虚拟设备，并设置虚拟设备的业务链vlan，为后续的业务流转发提供条件,流程如图7所示。

s701：连接vnf应用商店，下载需要安装vnf的镜像到本地仓库，本实施例中下载虚拟防火墙和虚拟邮件服务器的镜像，应用商店中的vnf由第三方开发，网关管理系统提供了标准的端口可以兼容，本地仓库的好处是如果另外的设备要部署，可以避免第二次下载；

s702：将本地仓库中的防火墙和邮件服务器的镜像传输到要操作的业务板上面，然后会生成该镜像对应虚拟设备的配置文件，里面包含了虚拟设备名称、虚拟设备配置(cpu个数、内存、硬盘大小等)，以及配置默认ip(169.15.100.101)和默认物理地址，使用virshcreate*.xml命令来创建虚拟设备，创建成功后可以用vnc(virtualnetworkcomputer，虚拟网络计算机)来登陆；

s703：配置路由板子端口的vrf(vpn路由转发表)，该vrf起到隔离虚拟设备地址的作用，不同的虚拟设备配置不同的vrf，配置rd(routedistinguisher，路由标识)和地址族，配置虚拟设备的管理子端口的地址，该地址要求和虚拟设备地址同网段，并在vrf中绑定业务子端口，本实施例中两个vnf(virtualnetworkfunction，虚拟网络应用)的管理端口采用同一个物理端口的两个不同子端口，防火墙用4003，邮件服务器用4004，其地址和vnf同网段，在设两个子端口上配置不同的vrf，配置ipv4地址族，使vnf的ip地址在私网路由表中可见；

s704：虚拟设备ip配置vrfpat映射，将虚拟设备ip(该ip在创建虚拟设备的配置文件里面设置)和私网端口号配置映射规则，私网端口号可以连接到内部网管，可以通过设备的公网ip和私网端口号访问到虚拟设备，实现对虚拟设备的管理，登陆到业务板后通过virsh命令和vnf的id号来获取虚拟设备性能；

s705：配置虚拟设备的二层转发vlan，将该vlan加入到路由板的业务口上，不同的虚拟业务设备有不同的vlan，本实施例中虚拟防火墙需要两个转发vlan4001和4002一入一出，4001为用户侧的入口和wan的出口，4002为wan侧业务流入口和用户侧的出口，邮件服务器需要一个转发vlan4006，vlan号的分配由业务资源系统来自动分配，确保不能重复；

s706：配置vrf的默认路由到设备网关，使所有的目的地址的数据流都从该路由出，iproutevrfname0.0.0.00.0.0.0gatewayglobal，两个vrf需要配置不同的默认路由；

s707：建立虚拟设备；

校验业务板资源的使用情况，cpu个数、硬盘、内存的使用，如果剩余资源满足创建的要求，则用virsh命令启动预置在业务板上的镜像，如果不满足情况则需要优化资源处理。

在建立虚拟设备之后，可以通过路由板地址及端口映射查询到虚拟设备的性能等参数。

s503：业务链编排及下发。

业务链指的是若干个虚拟设备按照特定的次序提供的一种组合服务，可以使业务流单向的或双向的按照次序经过这些链节点来产生特定的功能，虚拟设备可以是防火墙、wan加速、虚拟网关等虚拟物理功能设备，对于目的地址不是vnf本身的业务流可以进业务链比如防火墙，对于目的地址是vnf本身的业务流可以不用进业务链比如邮件服务器。编排内容包括需要选定的虚拟功能设备，各个设备的次序排列，业务流途经各个虚拟设备的方向，单向还是双向以及导流规则，流程如图8所示:

s801：根据所需实现的功能选择虚拟业务设备，例如虚拟防火墙、wan加速、虚拟网关等类型的vnf需要业务链处理以便实现不同的功能，比如对于不同用户的权限可以决定是否进行防火墙过滤和加速处理，这些虚拟设备需要通过虚拟设备管理通道创建出来；

s802：根据不同用户的需求功能设置业务流经过虚拟设备的方向，单向还是双向，业务流经过各自子端口的vlan实行二层转发。本实施例中的防火墙采用双向业务链，同时配置用户侧和wan侧，用户侧的流从vlan4001入，wan测的流从vlan4002入，两个方向要选择不同的物理端口；

s803：添加业务链的导流规则，通过五元组+vlan来实行导流，五元组是指源端口、源ip、目的端口、目的ip、协议类型；五元组和vlan可以配置任意个属性甚至都可以不配，如果不配置表示任意条件可以满足，本实施例中的规则名称为actowan001，源ip为5.5.5.5，目的ip为6.6.6.6，vlan为565，表示只有符合该条件的数据流才能被导入；

s804：选取该导流规则途经的设备端口，使导流规则和端口形成绑定关系，端口和规则是多对多的关系，比如上述的规则可以配到多个端口上面，一个端口也可以配置多个不同的规则,本实施例中防火墙的用户侧添加端口gei-0/6/0/1绑定了上述acl流规则；

s805：根据五元组+vlan生成流分类，采用acl的方式实现流分类，每条规则都描述了一定的匹配条件，依据报文中的字段对报文进行筛选过滤，然后进行流分类配置绑定转换后的acl规则，分类后即可以使用qos技术对流量进行控制与处理，本实施例中配置名称为actowan001的class-map流分类，绑定对应的acl规则；

s806：生成端口流行为，进行流量报文进行流行为配置，用来针对不同的应用需求提供不同的服务质量，一个流行为可以绑定多个流分类进行相关处理，需要指定出端口，即x86板与路由板的业务端口，指定流分类的出vlan，指定业务流需要进入的业务链，本实施例中配置名称为gei-0/6/0/1的policy-map，绑定对应的class-map，指定了要经过的vnf序号0，指定了业务流的出vlan4002，指定了业务流的出端口；

s807：在端口上面绑定策略映射，配置h-qos的功能，对流量进行层次化调度；将上述配置转换cli命令，并下发设备，本实施例中配置物理端口名称为gei-0/6/0/1的service-policy绑定policy-map，然后把生成的acl、class-map、policy-map、service-policy的cli命令下发到设备中，完成配置。

本实施例提供了一种轻量化融合传统网络设备架构和sdn/nfv技术的微云网关实现方法，整个方案仅基于一台路由器设备，通过地址和端口映射的方式实现了对业务板的控制和对虚拟设备的操作，组网简便；企业用户根据需要，对应用市场里的应用进行选择，可租可买，完全自主定制虚拟应用，灵活便捷，节省投资，减少维护成本。网关管理系统只和设备交互，虚拟设备vnf、业务链的操作都是通过设备转发，设备充当了管道和托管功能，可以很灵活的加载第三方开发的vnf，快速实现增值业务，该方案大幅降低了用户投资，适用于面向政企的中小型企业。

综上可知，通过本发明实施例的实施，至少存在以下有益效果：

本发明提供了一种用于网关设备的虚拟服务提供方法、网关设备及存储介质，网关设备设置有路由板及业务板，通过在业务板上部署虚拟网络功能应用资源实现虚拟服务，通过路由板实现常规的路由功能，这样就可以实现设备功能的融合，例如，防火墙、wan加速器、审计系统、邮件系统等功能通过在业务板上部署虚拟网络功能应用资源实现，这样在进行企业网络部署时，仅部署网关设备即可，降低了设备部署及维护成本。

本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用硬件实施例、软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

以上仅是本发明的具体实施方式而已，并非对本发明做任何形式上的限制，凡是依据本发明的技术实质对以上实施方式所做的任意简单修改、等同变化、结合或修饰，均仍属于本发明技术方案的保护范围。