通信网络中的网络服务功能的链接的制作方法

本发明涉及联网，包括软件定义联网（sdn），并且更具体地，涉及用于提供或定制由通信服务提供商（csp）供应给其客户的外部可见网络服务的虚拟化或物理网络服务功能的链接（chaining）。

背景技术：

涉及该技术领域的现有技术可以例如在以下中找到：

专利文档us8612612b1

专利文档us8654668b2

专利文档us2014/0010085a1

专利文档us2014/0050223a1

应用用于在该说明书中使用的缩写的以下含义：

3gpp第三代合作伙伴项目

csp通信服务提供商

df数据流——与分组流报头参数值/范围的集合匹配的分组流的聚合集合

dl下行链路

dpi深度包检查

fw防火墙

ietf互联网工程任务组

ip网际协议

ipsecip安全性

mpls多协议标签切换

nat网络地址转换

scs服务链接系统

sdn软件定义联网

sdo标准开发组织

sfc服务功能链接

tcp传输控制协议

udp用户数据报协议

ue用户设备

ul上行链路

vlan虚拟局域网

wg工作组

网络服务——由网络运营商供应的外部可见服务——可以从在如图1中所示的预确定序列中执行的不同服务功能来构建。服务功能（例如，网络地址转换（nat）、防火墙（fw）、深度包检查（dpi））向数据流的分组应用不同处理。一些服务功能是双向的（即，应对在任一方向上流动的分组），其它服务功能是单向的（即，应对仅上行链路分组或者仅下行链路分组）。

服务功能的有序序列通常称为服务链。服务链可以是

——双向，即，服务链仅包括双向服务功能并且应对双向数据流，其穿过下行链路（dl）和上行链路（ul）方向上的相同服务功能，即便以相反次序，或者

——单向，即，服务链仅包括单向服务功能并且应对单向数据流，或者

——相关联的双向，即，服务链仅包括单向服务功能并且仅应对双向数据流中的一个方向。

服务链由分类功能选择，分类功能将所接收的数据分组与策略和客户/网络/服务简档匹配。取决于使用中的策略和简档以及所接收的数据分组，如图1中所图示的分组分类器强加双向服务链、单向服务链或者相关联的双向服务链。当数据流为双向时，ul和dl分类必须利用匹配过滤器规则对来供给——其称为ul过滤器规则和dl过滤器规则——使得将在任一方向上流动的分组定向至期望的双向或相关联的双向服务链中。

在现有技术中，用于ul和dl方向的匹配过滤器规则如图2中所描绘的以及在与服务链接有关的以上所引专利文档中描述的那样使用。

对于分类器而言，存在两个基本部署可替换方式。

•部署可替换方式1（在图1中示出）使用用于任一业务方向的分离分类器。

•部署可替换方式2（在图2中示出）使用用于两个业务方向的仅一个分类器。

对于这两个可替换方式，上行链路和下行链路过滤器规则必须匹配，使得针对上行链路和下行链路业务方向二者选择期望的服务链。

如果服务功能更改报头参数（其用于对数据分组进行分类），则提供匹配的上行链路和下行链路分组过滤器变得具有挑战性。对于该情况，在现有技术中，存在用于为（多个）分类器提供针对ul和dl方向的匹配过滤器规则的两个解决方案可替换方式，二者都具有相当的问题集合：

•如图3中所示的过滤器规则的匹配的动态供给：用于相反方向的过滤器规则从原始过滤器规则以及从由服务功能提供的信息动态地生成。这要求服务功能实时地报告用于分类的分组报头字段的修改。

•匹配过滤器规则的静态供给：用于相反方向的过滤器规则从原始过滤器规则以及用于服务功能的分组处理的配置设置来导出。这允许在部署服务链时可以已经利用必要的过滤器规则来配置（多个）分类器。

任何服务链接系统（如例如在所引专利文档中描述的那些）的常见概念是服务链标识符，其由分类器确定。该服务链标识符表示分类结果并且避免在服务链接系统内的每一个转发元件处的再分类。此外，服务链标识符促进要求相同分组处理的多个低带宽分组数据流到一个高带宽分组数据流中的聚合。

现今的服务链接解决方案不能解决大范围的场景，因为不能供给匹配过滤器规则。这些服务链接场景包括：

•包含服务功能的服务链，其“默默地”更改分组报头，

•包含大量服务功能的服务链，使得维持匹配过滤器规则变得在操作上太复杂，

•跨多个管理域延伸的服务链，其不愿意共享分类信息。该情况对于虚拟化分组核心相当典型，其中一个分类功能由移动运营商（数据中心租户）提供，而另一个分类功能由数据中心提供商提供。

技术实现要素：

本发明的目的是克服以上缺点。例如，本发明的目的是动态地确定相反服务链。

根据至少一个实施例，本发明提供了用于动态地学习（learn）针对双向和相关联双向服务链的相反方向使得仅要求分类规则的单端供给的方法、装置和计算机程序产品。一旦已经例如基于所供给的分类规则而确定服务链，则相反服务链自动地基于信息而确定，所述信息例如服务链标识符，其包括在属于给定服务链的帧/分组中。

在下文中，将通过其实施例的方式参照随附各图来描述本发明。

附图说明

图1示出了用于解释服务链接术语和基本架构的图。

图2示出图示了根据现有技术的ul和dl业务流的图，其使用一对匹配过滤器规则进行分类以确保双向相关的服务应对。

图3示出图示了根据现有技术的通过服务链接系统的分组的实况的图，其要求上行链路和下行链路过滤器规则的动态匹配。

图4示出图示了根据本发明的实施例的服务链接网关的配置的图。

图5示出图示了其中可实现本发明的实施例的控制单元的配置的示意性框图。

图6示出图示了其中在数据中心的租户网关内使用服务链接网关的本发明的实施例的图。

图7示出图示了根据本发明的实现示例的通过服务链接系统的分组的实况的图，其中动态地学习用于相反路径的分组过滤器和服务链。

图8示出图示了实现双向服务链的根据本发明的实现示例的独立分类器和链接网关的图。

图9示出图示了实现相关联的双向服务链的根据本发明的实现示例的独立分类器和链接网关的图。

图10示出图示了实现双向服务链的根据本发明的实现示例的组合分类器和链接网关的图。

图11示出图示了实现相关联的双向服务链的根据本发明的实现示例的组合分类器和链接网关的图。

具体实施方式

在下文中，将通过特别参照图4到11来描述本发明的实现示例和实施例。

图4示出图示了根据本发明的实施例的服务链接网关的配置的图。服务链接网关可以部署在服务链接系统（scs）的边缘处，并且与（分组）分类器相呼应地进行工作。

服务链接网关是例如核心域（例如移动核心网络）、固定接入域（例如固定核心网络）、和/或聚合域中的通信网络的装置。

如在图4中所描绘，服务链接网关包括动态服务链学习元件、服务链选择元件、服务链接策略和服务链选择清除功能，其将在后面更加详细地描述。

作为在探究各种实施例和实现示例的细节之前的引文，参照图5，图5用于图示适于在实践本发明的示例性实施例中使用的控制单元10的简化框图。控制单元10包括经由链路14连接的处理资源（例如，处理电路）11、存储器资源（例如，存储器电路）12和接口（例如，接口电路）13。控制单元10可以是图4的服务链接网关的部分和/或由图4的服务链接网关使用。接口13提供去往和来自服务链接系统外部的元件的连接，以及去往和来自服务链接系统内的其它元件的连接。

根据本发明的实现示例，存储器资源12存储程序，假设该程序包括程序指令，该程序指令在由处理资源11执行时使得控制单元10能够依照本发明的实施例进行操作，如下文所详述。

一般地，本发明的实施例可以由计算机软件实现，该计算机软件存储在存储器资源12中并且可由处理资源11或者由硬件或者由软件和/或固件和硬件的组合执行。

存储器资源12可以包括分布式存储设备，可以属于适于本地技术环境的任何类型，并且可以使用任何适合的数据存储技术来实现，诸如基于半导体的存储器设备、磁性存储器设备和系统、光学存储器设备和系统、固定存储器和可移除存储器。处理资源11可以包括分布式处理设备，可以属于适于本地技术环境的任何类型，并且可以包括通用计算机、专用计算机、微处理器、数字信号处理器（dsp）以及基于多核处理器架构的处理器中的一个或多个，作为非限制性示例。

服务链接网关的动态服务链学习元件动态地计算过滤器规则，即，分组过滤器（例如，tcp/ip5元组——ip源地址、ip目的地地址、协议、tcp/udp源端口、tcp/udp目的地端口）和服务链标识符（还称为第二服务链标识符），其与相反服务链（相反方向的服务链）相关联。过滤器规则的这种动态计算发生在从服务链接系统接收到经分类的数据分组（还称为第一分组）（即，具有相关联的服务链标识符（还称为第一服务链标识符）的数据分组）时。用于相反方向（本文中还称为第二方向）的过滤器规则的计算由服务链接策略管控，其例如存储在其中每一服务链标识符为一行的表格中，该表格包含过滤器规则以构造用于相反方向的分组过滤器和用于相反方向的服务链标识符。要指出，用于计算针对相反方向的分组过滤器的过滤器规则完全独立于由服务链的服务功能应用的分组处理。可替换地，（分组）分类器不仅可以确定在其结尾处开始的服务链的第一服务链标识符，而且还可以确定远端服务链接策略（即，第一服务链标识符和第二服务链标识符之间的映射关系以及用于从第一分组确定用于第二分组的分组过滤器的转换规则）并且将它们包括在发送到给定服务链中的帧/分组中。这将允许服务链接网关在没有本地配置的服务链接策略的情况下确定用于第二方向上的数据流的服务链标识符和分组过滤器。

换言之，根据本发明的实施例，在服务链接网关中，获取第一方向上的数据流的第一分组，其中第一分组中的每一个具有第一服务链标识符，第一服务链标识符标识已经应用于数据流的第一方向上的第一分组的第一服务链。第一服务链标识符表示用于例如通过分组分类器选择第一服务链的分类功能的分类结果，其中在第一分组离开通信网络时删除第一服务链标识符。

另外，在服务链接网关中，基于第一服务链标识符来计算分组过滤器，其中分组过滤器与要在第二分组在第二方向上进入通信网络时应用于数据流的第二方向上的数据流的第二分组的第二服务链。

要指出，术语“服务链标识符”既不暗示特定技术也不暗示（多个）特定报头字段。

根据本发明的实施例，服务链接网关基于第一服务链标识符确定标识第二服务链的第二服务链标识符。

还存在以下情况：其中第一分组（即具有第一服务链标识符的分组）包括标识第二服务链的第二服务链标识符。根据本发明的实施例，服务链接网关针对第一服务链标识符存储过滤器规则以用于计算分组过滤器和/或第二服务链标识符。

服务链接网关的服务链选择元件安装由动态服务链学习元件根据服务链接策略所计算的过滤器规则（即，分组过滤器和服务链标识符）。如果分组与分组过滤器匹配，则应用对应的服务链标识符并且强加对应的服务链。例如利用某一时间戳来记录过滤器规则的成功使用，使得可以区分有效和无效过滤器规则。

换言之，根据本发明的实施例，服务链接网关确定在第二方向上进入通信网络且与分组过滤器匹配的分组作为第二分组，并且将第二服务链标识符添加到第二分组。

服务链网关的服务链接策略提供策略规则的两个集合：

•所接收的即第一服务链标识符（与从服务链接传入的已经分类的数据分组相关联的）和与相反方向上的数据分组相关联的第二服务链标识符之间的映射规则。

•描述如何根据从服务链接系统传入的已经分类的数据分组来导出用于相反方向（例如，传入到服务链接系统）的分组过滤器的转换规则。

•转换规则还将标识分组数据字段，其应当用于计算新的过滤器规则；

a）从服务链接系统传入的数据分组（即，分类器之前已经分类的数据分组，其还称为第一分组）的字段，其要被评估以确定过滤器规则，以及

b）传入到服务链接系统的数据分组（即，链接网关必须分类的数据分组，其还称为第二分组）的字段，其必须被过滤以确定服务链标识符。

换言之，根据本发明的实施例，服务链接策略规则（其还称为过滤器规则）包括用于从第一分组导出分组过滤器的转换规则、以及用于从第一服务链标识符确定第二服务链标识符的映射规则。转换规则可以标识用于计算过滤器规则的第一分组中的字段、和/或用于确定第二服务链标识符的第二分组中的字段。

服务链的性质（例如应对（双向）tcp/ip流）典型地确定用于从第一分组导出针对第二分组的分组过滤器的转换规则。因此，在定义和供给双向或相关联的双向服务链时，可以自动地确定和供给服务链接策略。

服务链接系统的服务链选择清除功能从服务链选择元件移除废弃过滤器规则（分组过滤器和相关联的服务链标识符）。然而，安装在服务链选择元件中的过滤器规则可以由于许多触发而移除，例如经由m-、c-或u-平面的外部触发、诸如网关重启、数据库重置等的内部触发。

当服务链接网关中的服务链选择元件未能提供服务链标识符和强加对应的服务链（例如可能未发现与有效过滤器规则的匹配）时，通过对应的服务链接策略来管控对应数据分组的应对。这样的策略动作的非穷举集合为：

•丢弃数据分组

•向数据分组应用所搭配的（collocated）分类器功能

•修改、添加或删除数据分组的报头字段

•将数据分组转发给l2/l3路由/转发功能

•将数据分组转发给分组分类器功能

本发明的另一个实施例是服务链接网关与租户网关的搭配，其是提供如图6中所图示的提供商与租户域之间的划界的网络功能。该实施例特别良好地适于数据中心，因为所有租户业务必须流过租户网关以到达服务链接系统。已经决定虚拟化其演进分组核心（epc）以及特别地其值添加服务功能（通常称为“gi-lan”）并且将它们部署在数据中心中的移动网络运营商很可能是用于使用数据中心提供商的服务链接网关（其体现在租户网关中）的候选者。在该场景中，3gpp标准化分组网关功能包括（分组）分类器的功能，并且租户网关包括服务链接网关功能。

图7示出了执行网络地址转换（nat）的用于双向服务链的根据本发明的实现示例的数据分组的寿命、以及包括服务链接网关的功能（用于dl）和分组分类器功能（用于ul）的分类器。本质上，服务链接网关的功能根据用于链4711的过滤器规则“第二服务链标识符是4712”以及根据转换规则的用于第二分组的过滤器规则“从第一分组过滤具有报头字段值dport+sport+protocol+dip+sip的sport+dport+protocol+sip+dip上的第二分组”来从第一服务链标识符导出第二服务链标识符，第一服务链标识符与从用户设备（ue）接收的已经分类的数据分组（第一分组）相关联。将所得过滤器规则（sport=4000+dport=80+protocol=6+sip=9.9.9.9+dip=1.2.3.4=>链标识符为_4712）应用于从互联网接收的尚未分类的数据分组。

如上文所述，服务链接网关使得能够实现双向（参见图8）和相关联的双向服务链（参见图9）。对于相关联的双向服务链，可能将1到n个传入服务路径映射到任意相反服务功能路径。

另外，服务链接网关支持双向（参见图8和10）和相关联的双向服务链（参见图9和11）。服务链接网关同样地支持上行链路（参见图8、9和10）和下行链路（参见图11）发起的数据流二者。

而且，服务链接网关允许各种部署变形，诸如：

•分离的分类器和服务链接网关（参见图8和9）。如果仅上行链路或仅下行链路发起的数据流要由服务链接系统分类并单独地处理，则该部署可能是期望的。如果上行链路和下行链路发起的数据流二者要由服务链接系统处理，则服务链接网关必须配置为将针对其没有找到有效规则的数据分组转发给分类器。

•分类器和服务链接网关的搭配以及单个部署。这意味着上行链路和下行链路发起的数据流在进入和离开服务链接系统时穿过相同组合元件，如图10中所图示。要指出，上行链路和下行链路发起需要不同的业务流，其各自必须分配给服务链。

•分类器和服务链接网关的搭配以及双重部署。这意味着上行链路和下行链路发起的数据流通过该组合元件的不同实例来分类，如图11中所图示。这样的部署对于连接到分离的上游和下游路由功能的服务链接系统可能是期望的。

根据其中服务链接网关还包括分类器的功能的本发明的实施例（例如在以上描述的搭配部署中），服务链接网关接收第一方向上的数据流的分组，基于分类功能而选择要应用于分组的第一服务链（其将分组与策略、客户、网络和服务简档中的至少一个匹配），并且将第一服务链标识符添加到分组并转发分组作为第一方向上的第一分组。

根据本发明的实施例，服务链接网关包括附加元件，诸如：

•路由控制功能，其通告——无论是直接地（例如，借助于路由协议）还是间接地（例如，经由sdn控制器）——针对其对应数据业务流必须由服务链接系统应对的ip地址的可达性。

•负载均衡功能，其使用从服务链接系统传入的数据分组的报头信息——诸如，上游服务功能实例的传输层源ip——以针对传入到服务链接系统的数据分组强加用于相反路径的相同服务功能实例。

•元数据镜像功能，其提取并临时地存储从第一数据分组接收的元数据，并且在每一数据流的基础上在相反方向上注入该元数据。

根据本发明的借助于服务链接网关对相反服务链的动态学习具有许多优点：

•服务链接系统通过消除用于生成匹配的上行链路和下行链路过滤器规则的复杂、易出错且通常专有的解决方案而简化。利用通用（即，分类器不可知）的服务链接网关来替换过滤器规则匹配功能。

•一些服务功能修改馈送至分类功能中的u-平面数据分组字段。示例是载波级nat或ipsec封装。这暗示着必须针对ul和dl方向应用不同的分类/过滤器规则。在给定服务路径可以包括修改数据分组字段的多个服务功能的情况下，服务链定义和部署期间的“匹配”分类规则的确定快速地变得过分复杂。基于由服务功能提供的信息的“匹配”分类规则的动态确定要求非常低的延迟通信和处理（必须实时地提供用于相反方向的分类规则）。因为必须针对每一个新的分组数据流生成匹配规则，所以依赖于分布式信息收集和处理的这种解决方案招致大量信令并且将具有有限的可扩展性。

•现有技术解决方案通常将单个分类器用于ul和dl方向。对ul和dl方向强加相同分类器实例可能要求特殊路由配置并且可能导致欠佳的（例如，非最短路径）路由。以上描述的服务链接网关允许用于ul和dl发起的数据流的分离分类器而不招致附加的复杂性，如由图11所示。

根据本发明的一方面，提供了一种通信网络的装置，其可以包括和/或使用在图5中示出的控制单元10。该装置包括：用于获取第一方向上的数据流的第一分组的部件，每一个第一分组具有标识第一服务链的第一服务链标识符，所述第一服务链已经应用于数据流的第一方向上的第一分组，其中第一服务链标识符表示用于选择第一服务链的分类功能的分类结果；以及用于基于第一服务链标识符来计算与第二服务链相关联的分组过滤器的部件，所述第二服务链要在第二分组在第二方向上进入通信网络时应用于数据流的第二方向上的数据流的第二分组。

该装置还可以包括用于基于第一服务链标识符来确定标识第二服务链的第二服务链标识符的部件。

可替换地，该装置可以包括用于从第一分组中的至少一个提取标识第二服务链的第二服务链标识符的部件。

用于确定的部件可以确定在第二方向上进入通信网络并且与分组过滤器匹配的分组作为第二分组，并且该装置可以包括用于将第二服务链标识符添加到第二分组的部件。

该装置可以包括用于针对第一服务链标识符而存储用于计算分组过滤器和/或第二服务链标识符的过滤器规则的部件，其中过滤器规则包括用于从第一分组导出分组过滤器的转换规则。

可替换地，用于提取的部件可以从第一分组中的至少一个提取用于计算分组过滤器和/或第二服务链标识符的过滤器规则，其中过滤器规则包括用于从第一分组导出分组过滤器的转换规则。

该装置可以包括用于检测过滤器规则中的至少一个变得废弃的部件、以及用于取消至少一个废弃的过滤器规则的部件。

过滤器规则可以包括用于从第一服务链标识符确定第二服务链标识符的映射规则。

转换规则可以标识用于计算过滤器规则的第一分组中的字段、和/或用于确定第二服务链标识符的第二分组中的字段。

数据流可以是双向数据流、相关联的双向数据流、下行链路发起的数据流和上行链路发起的数据流中的至少一个，在下行链路发起的数据流中，第一方向是下行链路方向并且第二方向是上行链路方向，在上行链路发起的数据流中，第一方向是上行链路方向并且第二方向是下行链路方向。

该装置可以包括用于接收第一方向上的数据流的分组的部件、用于基于分类功能而选择要应用于分组的第一服务链的部件，并且用于添加的部件可以将用于计算分组过滤器和/或第二服务链标识符的过滤器规则添加到分组，并且该装置可以包括用于转发分组作为第一方向上的第一分组的部件。

用于检测的部件可以检测进入通信网络并且不与分组过滤器匹配的分组，并且该装置可以包括用于通过以下中的至少一个来应对分组的部件：丢弃这些分组；向这些分组应用搭配的分类器功能；修改、添加或删除这些分组的报头字段；将这些分组转发给l2/l3路由/转发功能；以及将这些分组转发给分组分类器功能。

该装置可以包括用于通告针对其数据流由服务链接系统应对的ip地址的可达性的部件，所述服务链接系统提供第一和/或第二链的服务。

该装置可以包括用于针对第二分组在第二方向上强加用于第一方向上的第一分组的相同服务功能实例的部件。

用于提取的部件可以进行提取，并且用于存储的部件可以临时地存储来自第一分组的元数据，并且该装置可以包括用于在第二分组中注入元数据的部件。

根据本发明的实现示例，以上用于获取、计算、确定、提取、添加、存储、接收、选择、检测、取消、应对、转发、通告、强加和注入的部件通过处理资源11、存储器资源12和接口13来实现。

要理解，以上描述是本发明的说明并且不应解释为限制本发明。各种修改和应用可以被本领域技术人员想到，而不脱离如由随附权利要求定义的本发明的真实精神和范围。