业务功能SF的部署方法及装置与流程

本发明涉及通信领域，具体而言，涉及一种业务功能SF的部署方法及装置。

背景技术：

在网络功能虚拟化(Network Function Virtualization，简称为NFV)技术中，可以通过使用x86等通用性硬件以及虚拟化技术，来承载很多功能的软件处理。从而降低网络昂贵的设备成本。可以通过软硬件解耦及功能抽象，使网络设备功能不再依赖于专用硬件，资源可以充分灵活共享，实现新业务的快速开发和部署，并基于实际业务需求进行自动部署、弹性伸缩、故障隔离和自愈等。

业务功能链(Service Function Chain，简称为SFC)是一个有序的业务功能的集合，其基于分类和策略对网络上的IP数据包、链路帧或者数据流进行一系列的业务处理。SFC可独立于具体的网络应用，用于固定、移动网络及数据中心等场景。SFC涉及流分类节点、业务功能(Service Function，简称为SF)、业务转发节点(Service Function Forwarder，简称为SFF)、SFC代理、深度包检测(Deep Packet Inspection，简称为DPI)等。SF从一个或多个SFF接收报文，向一个或多个SFF发送报文。SFF负责根据SFC封装信息把从网络中收到的报文或数据帧送到SF。SFC控制面负责进行SFC的管理和配置，包括对流分类节点、SF、SFF、SFC代理等相关节点的发现、管理和配置等。

SFC是NFV技术中的不可或缺的组成部分，其中，SFC使用者可以通过由NFV所创建的虚拟机、虚拟交换机等虚拟资源创建SFC所需要的SF、SFF等组件，其中，在业务链中，SF为虚拟化的网络功能实例(Virtualized Network Function Instance，简称为VNFI)的一种表现形式。

在相关技术中，软件定义网络(Software Defined Network，简称为SDN)在规划SFC时，需要管理员先创建网络功能虚拟化NFV的底层网络资源并提供给SFC使用，在已有网络资源的基础上部署新的SF，然后由管理员选择组建成SFC。这样组建的SFC比较僵化，不能够根据实际业务需求的变动调整SF，而且不能对底层的网络资源提出任何改变。

针对相关技术中存在的需要人工干预创建底层网络资源以及部署SF，从而造成创建底层网络资源以及部署SF僵化，不能灵活调整底层网络资源和SF的问题，目前尚未提出有效的解决方案。

技术实现要素：

本发明提供了一种业务功能SF的部署方法及装置，以至少解决相关技术中存在的需要人工干预创建底层网络资源以及部署SF，从而造成创建底层网络资源以及部署SF僵化，不能 灵活调整底层网络资源和SF的问题。

根据本发明的一个方面，提供了一种业务功能SF的部署方法，包括：获取预定的网络功能虚拟化NFV信息，其中，所述NFV信息包括用于指示建立网络功能所需的底层网络资源的资源指示信息，和用于指示在所述底层网络资源上部署的业务功能SF的功能指示信息；根据所述资源指示信息和所述功能指示信息创建所述底层网络资源并在所述底层网络资源上部署所述SF。

可选地，根据所述资源指示信息和所述功能指示信息创建所述底层网络资源并在所述底层网络资源上部署所述SF包括：通过与转发平面之间的接口将所述资源指示信息传递给所述转发平面，以指示所述转发平面根据所述资源指示信息在所述转发平面上创建所述底层网络资源；通过利用所述接口与所述底层网络资源中的虚拟机中的驻留程序进行通信的方式将根据所述功能指示信息确定的部署信息传递给所述虚拟机，以指示所述虚拟机部署所述SF。

可选地，通过与用于部署底层网络资源和SF的转发平面之间的接口将所述资源指示信息传递给所述转发平面，以指示所述转发平面根据所述资源指示信息在所述转发平面上创建所述底层网络资源包括：通过所述接口将所述资源指示信息传递给所述转发平面，以指示所述转发平面将所述资源指示信息中包含的用于创建所述底层网络资源的参数配置到所述转发平面中的虚拟机上；通过利用所述接口与所述底层网络资源中的虚拟机中的驻留程序进行通信的方式将根据所述功能指示信息确定的部署信息传递给所述虚拟机，以指示所述虚拟机部署所述SF包括：通过利用所述接口与所述驻留程序进行通信的方式将所述部署信息传递给所述虚拟机，以指示所述虚拟机将所述功能指示信息中包含的用于部署SF的参数配置到所述虚拟机上。

可选地，所述SF为负载均衡，所述资源指示信息包括：第一管理网网络协议IP地址、第一业务子网的IP地址和第一路由信息，所述功能指示信息包括负载均衡协议信息、所述负载均衡的资源池的成员信息、负载均衡算法信息，其中，通过所述接口将所述资源指示信息传递给所述转发平面，以指示所述转发平面将所述资源指示信息中包含的用于创建所述底层网络资源的参数加载到所述转发平面中的虚拟机上包括：通过所述接口将所述资源指示信息传递给所述转发平面，以指示所述转发平面执行以下操作：将所述转发平面中的第一虚拟机在管理网上的IP地址配置为所述第一管理网IP地址、将所述第一虚拟机在业务子网上的IP地址配置为所述第一业务子网IP地址和将所述第一虚拟机的路由信息配置为所述第一路由信息；通过利用所述接口与所述驻留程序进行通信的方式将所述部署信息传递给所述虚拟机，以指示所述虚拟机将所述功能指示信息中包含的用于部署SF的参数配置到所述虚拟机上包括：根据所述功能指示信息创建负载均衡配置文件；通过利用所述接口与所述驻留程序进行通信的方式将所述负载均衡配置文件传递给所述第一虚拟机，以指示所述第一虚拟机执行以下操作：将所述第一虚拟机的协议配置为所述负载均衡协议信息对应的协议、将所述第一虚拟机的成员配置为所述负载均衡的资源池的成员信息对应的成员、将所述第一虚拟机的算法配置为所述负载均衡算法信息对应的算法。

可选地，所述SF为防火墙，所述资源指示信息包括：第二管理网网络协议IP地址、第 二业务子网的IP地址和第二路由信息，所述功能指示信息包括防火墙规则和策略信息，其中，通过所述接口将所述资源指示信息传递给所述转发平面，以指示所述转发平面将所述资源指示信息中包含的用于创建所述底层网络资源的参数加载到所述转发平面中的虚拟机上包括：通过与所述接口将所述资源指示信息传递给所述转发平面，以指示所述转发平面执行以下操作：将所述转发平面中的第二虚拟机在管理网上的IP地址配置为所述第二管理网IP地址、将所述第二虚拟机在业务子网上的IP地址配置为所述第二业务子网IP地址和将所述第二虚拟机的路由信息配置为所述第二路由信息；通过利用所述接口与所述驻留程序进行通信的方式将所述部署信息传递给所述虚拟机，以指示所述虚拟机将所述功能指示信息中包含的用于部署SF的参数配置到所述虚拟机上包括：根据所述功能指示信息创建防火墙配置文件；通过利用所述接口与所述驻留程序进行通信的方式将所述防火墙配置文件传递给所述第二虚拟机，以指示所述第二虚拟机将所述第二虚拟机的规则和策略配置为所述防火墙规则和策略信息对应的规则和策略。

可选地，所述SF为虚拟私有网络VPN，所述资源指示信息包括：第三管理网网络协议IP地址、第三业务子网IP地址和第三路由信息，所述功能指示信息包括密钥交换协议IKE策略、IP层安全协议IPSec策略、IPSec站点信息，其中，通过所述接口将所述资源指示信息传递给所述转发平面，以指示所述转发平面将所述资源指示信息中包含的用于创建所述底层网络资源的参数加载到所述转发平面中的虚拟机上包括：通过所述接口将所述资源指示信息传递给所述转发平面，以指示所述转发平面执行以下操作：将所述转发平面中的第三虚拟机在管理网上的IP地址配置为所述第三管理网IP地址、将所述第三虚拟机在业务子网上的IP地址配置为所述第三业务子网IP地址和将所述第三虚拟机的路由信息配置为所述第三路由信息；通过利用所述接口与所述驻留程序进行通信的方式将所述部署信息传递给所述虚拟机，以指示所述虚拟机将所述功能指示信息中包含的用于部署SF的参数配置到所述虚拟机上包括：根据所述功能指示信息创建VPN配置文件；通过利用所述接口与所述驻留程序进行通信的方式将所述VPN配置文件传递给所述第三虚拟机，以指示所述第三虚拟机执行以下操作：将所述第三虚拟机的协议策略配置为所述密钥交换协议IKE策略和所述IP层安全协议IPSec策略、将所述第三虚拟机的站点配置为所述IPSec站点信息对应的站点。

可选地，所述SF为网元WEB防护，所述资源指示信息包括：第四管理网网络协议IP地址、第四业务子网IP地址和第四路由信息，所述功能指示信息包括WEB防护策略和需要防护的WEB应用服务器或数据中心信息，其中，通过所述接口将所述资源指示信息传递给所述转发平面，以指示所述转发平面将所述资源指示信息中包含的用于创建所述底层网络资源的参数加载到所述转发平面中的虚拟机上包括：通过所述接口将所述资源指示信息传递给所述转发平面，以指示所述转发平面执行以下操作：将所述转发平面中的第四虚拟机在管理网上的IP地址配置为所述第四管理网IP地址、将所述第四虚拟机在业务子网上的IP地址配置为所述第四业务子网IP地址和将所述第四虚拟机的路由信息配置为所述第四路由信息；通过利用所述接口与所述驻留程序进行通信的方式将所述部署信息传递给所述虚拟机，以指示所述虚拟机将所述功能指示信息中包含的用于部署SF的参数配置到所述虚拟机上包括：根据所述功能指示信息创建WEB防护配置文件；通过利用所述接口与所述驻留程序进行通信的方式将 所述WEB防护配置文件传递给所述第四虚拟机，以指示所述第四虚拟机执行以下操作：将所述第四虚拟机的规则和策略配置为所述WEB防护策略及规则、将所述第四虚拟机的服务器或数据中心配置为所述需要防护的WEB应用服务器或数据中心信息对应的服务器或数据中心。

可选地，所述获取预定的网络功能虚拟化NFV信息包括：接收应用平面传递的所述NFV信息。

可选地，所述获取预定的网络功能虚拟化NFV信息包括：接收控制平面传递的所述NFV信息，其中，所述NFV信息为应用平面传递给所述控制平面的。

可选地，在根据所述资源指示信息和所述功能指示信息创建所述底层网络资源并在所述底层网络资源上部署所述SF之后，还包括：获取更新后的NFV信息，其中，所述更新后的NFV信息中包括更新后的资源指示信息和/或更新后的功能指示信息；根据所述更新后的资源指示信息和/或更新后的功能指示信息更新创建的所述底层网络资源和部署的所述SF。

可选地，根据所述更新后的资源指示信息和/或更新后的功能指示信息更新创建的所述底层网络资源和部署的所述SF包括：根据所述更新后的资源指示信息变更、增加或删除创建的所述底层网络资源；和/或，根据所述更新后的功能指示信息变更、增加或删除部署的所述SF。

可选地，在根据所述资源指示信息和所述功能指示信息创建所述底层网络资源并在所述底层网络资源上部署所述SF之后，还包括：所述转发平面在创建完所述底层网络资源后将所述底层网络资源的信息上报给控制平面；和/或，所述转发平面在部署完所述SF后，将部署的所述SF的信息上报给控制平面。

根据本发明的另一方面，提供了一种业务功能SF的部署装置，包括：第一获取模块，用于获取预定的网络功能虚拟化NFV信息，其中，所述NFV信息包括用于指示建立网络功能所需的底层网络资源的资源指示信息，和用于指示在所述底层网络资源上部署的业务功能SF的功能指示信息；处理模块，用于根据所述资源指示信息和所述功能指示信息创建所述底层网络资源并在所述底层网络资源上部署所述SF。

可选地，所述处理模块包括：第一传递单元，用于通过与转发平面之间的接口将所述资源指示信息传递给所述转发平面，以指示所述转发平面根据所述资源指示信息在所述转发平面上创建所述底层网络资源；第二传递单元，用于通过利用所述接口与所述底层网络资源中的虚拟机中的驻留程序进行通信的方式将根据所述功能指示信息确定的部署信息传递给所述虚拟机，以指示所述虚拟机部署所述SF。

可选地，所述第一传递单元包括：第一传递子单元，用于通过所述接口将所述资源指示信息传递给所述转发平面，以指示所述转发平面将所述资源指示信息中包含的用于创建所述底层网络资源的参数配置到所述转发平面中的虚拟机上；所述第二传递单元包括：第二传递子单元，用于通过利用所述接口与所述驻留程序进行通信的方式将所述部署信息传递给所述虚拟机，以指示所述虚拟机将所述功能指示信息中包含的用于部署SF的参数配置到所述虚拟机上。

可选地，所述SF为负载均衡，所述资源指示信息包括：第一管理网网络协议IP地址、第一业务子网的IP地址和第一路由信息，所述功能指示信息包括负载均衡协议信息、所述负载均衡的资源池的成员信息、负载均衡算法信息，其中，所述第一传递子单元通过如下方式指示所述转发平面配置所述底层网络资源：通过所述接口将所述资源指示信息传递给所述转发平面，以指示所述转发平面执行以下操作：将所述转发平面中的第一虚拟机在管理网上的IP地址配置为所述第一管理网IP地址、将所述第一虚拟机在业务子网上的IP地址配置为所述第一业务子网IP地址和将所述第一虚拟机的路由信息配置为所述第一路由信息；所述第二传递子单元通过如下方式指示所述虚拟机部署所述SF：根据所述功能指示信息创建负载均衡配置文件；通过利用所述接口与所述驻留程序进行通信的方式将所述负载均衡配置文件传递给所述第一虚拟机，以指示所述第一虚拟机执行以下操作：将所述第一虚拟机的协议配置为所述负载均衡协议信息对应的协议、将所述第一虚拟机的成员配置为所述负载均衡的资源池的成员信息对应的成员、将所述第一虚拟机的算法配置为所述负载均衡算法信息对应的算法。

可选地，所述SF为防火墙，所述资源指示信息包括：第二管理网网络协议IP地址、第二业务子网的IP地址和第二路由信息，所述功能指示信息包括防火墙规则和策略信息，其中，所述第一传递子单元通过如下方式指示所述转发平面配置所述底层网络资源：通过与所述接口将所述资源指示信息传递给所述转发平面，以指示所述转发平面执行以下操作：将所述转发平面中的第二虚拟机在管理网上的IP地址配置为所述第二管理网IP地址、将所述第二虚拟机在业务子网上的IP地址配置为所述第二业务子网IP地址和将所述第二虚拟机的路由信息配置为所述第二路由信息；所述第二传递子单元通过如下方式指示所述虚拟机部署所述SF：根据所述功能指示信息创建防火墙配置文件；通过利用所述接口与所述驻留程序进行通信的方式将所述防火墙配置文件传递给所述第二虚拟机，以指示所述第二虚拟机将所述第二虚拟机的规则和策略配置为所述防火墙规则和策略信息对应的规则和策略。

可选地，所述SF为虚拟私有网络VPN，所述资源指示信息包括：第三管理网网络协议IP地址、第三业务子网IP地址和第三路由信息，所述功能指示信息包括密钥交换协议IKE策略、IP层安全协议IPSec策略、IPSec站点信息，其中，所述第一传递子单元通过如下方式指示所述转发平面配置所述底层网络资源：通过所述接口将所述资源指示信息传递给所述转发平面，以指示所述转发平面执行以下操作：将所述转发平面中的第三虚拟机在管理网上的IP地址配置为所述第三管理网IP地址、将所述第三虚拟机在业务子网上的IP地址配置为所述第三业务子网IP地址和将所述第三虚拟机的路由信息配置为所述第三路由信息；所述第二传递子单元通过如下方式指示所述虚拟机部署所述SF：根据所述功能指示信息创建VPN配置文件；通过利用所述接口与所述驻留程序进行通信的方式将所述VPN配置文件传递给所述第三虚拟机，以指示所述第三虚拟机执行以下操作：将所述第三虚拟机的协议策略配置为所述密钥交换协议IKE策略和所述IP层安全协议IPSec策略、将所述第三虚拟机的站点配置为所述IPSec站点信息对应的站点。

可选地，所述SF为网元WEB防护，所述资源指示信息包括：第四管理网网络协议IP地址、第四业务子网IP地址和第四路由信息，所述功能指示信息包括WEB防护策略和需要防护的WEB应用服务器或数据中心信息，其中，所述第一传递子单元通过如下方式指示所述转 发平面配置所述底层网络资源：通过所述接口将所述资源指示信息传递给所述转发平面，以指示所述转发平面执行以下操作：将所述转发平面中的第四虚拟机在管理网上的IP地址配置为所述第四管理网IP地址、将所述第四虚拟机在业务子网上的IP地址配置为所述第四业务子网IP地址和将所述第四虚拟机的路由信息配置为所述第四路由信息；所述第二传递子单元通过如下方式指示所述虚拟机部署所述SF：根据所述功能指示信息创建WEB防护配置文件；通过利用所述接口与所述驻留程序进行通信的方式将所述WEB防护配置文件传递给所述第四虚拟机，以指示所述第四虚拟机执行以下操作：将所述第四虚拟机的规则和策略配置为所述WEB防护策略及规则、将所述第四虚拟机的服务器或数据中心配置为所述需要防护的WEB应用服务器或数据中心信息对应的服务器或数据中心。

可选地，所述第一获取模块包括：第一接收单元，用于接收应用平面传递的所述NFV信息。

可选地，所述第一获取模块包括：第二接收单元，用于接收控制平面传递的所述NFV信息，其中，所述NFV信息为应用平面传递给所述控制平面的。

可选地，所述装置还包括：第二获取模块，用于在根据所述资源指示信息和所述功能指示信息创建所述底层网络资源并在所述底层网络资源上部署所述SF之后，获取更新后的NFV信息，其中，所述更新后的NFV信息中包括更新后的资源指示信息和/或更新后的功能指示信息；更新模块，用于根据所述更新后的资源指示信息和/或更新后的功能指示信息更新创建的所述底层网络资源和部署的所述SF。

可选地，所述更新模块包括：第一更新单元，用于根据所述更新后的资源指示信息变更、增加或删除创建的所述底层网络资源；和/或，第二更新单元，用于根据所述更新后的功能指示信息变更、增加或删除部署的所述SF。

可选地，所述装置还包括：第一上报模块，应用于转发平面中，用于在创建完所述底层网络资源后将所述底层网络资源的信息上报给控制平面；和/或，第二上报模块，应用于转发平面中，用于在部署完所述SF后，将部署的所述SF的信息上报给控制平面。

通过本发明，采用获取预定的网络功能虚拟化NFV信息，其中，所述NFV信息包括用于指示建立网络功能所需的底层网络资源的资源指示信息，和用于指示在所述底层网络资源上部署的业务功能SF的功能指示信息；根据所述资源指示信息和所述功能指示信息创建所述底层网络资源并在所述底层网络资源上部署所述SF。解决了相关技术中存在的需要人工干预创建底层网络资源以及部署SF，从而造成创建底层网络资源以及部署SF僵化，不能灵活调整底层网络资源和SF的问题，进而达到了灵活调整底层网络资源和SF的效果。

附图说明

此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1是根据本发明实施例的业务功能SF的部署方法的流程图；

图2是根据本发明实施例的业务功能SF的部署装置的结构框图；

图3是根据本发明实施例的业务功能SF的部署装置中处理模块24的结构框图；

图4是根据本发明实施例的业务功能SF的部署装置中第一传递单元32和第二传递单元34的结构框图；

图5是根据本发明实施例的业务功能SF的部署装置中第一获取模块22的结构框图一；

图6是根据本发明实施例的业务功能SF的部署装置中第一获取模块22的结构框图二；

图7是根据本发明实施例的业务功能SF的部署装置的优选结构框图；

图8是根据本发明实施例的业务功能SF的部署装置中更新模块74的结构框图；

图9是根据本发明实施例的SDN网络架构示意图；

图10是根据本发明实施例的规划并部署SFC的方法流程图一；

图11是根据本发明实施例的规划并部署SFC的方法流程图二；

图12是根据本发明实施例的包含负载均衡节点的SFC的示意图；

图13是根据本发明实施例的包含防火墙的SFC的示意图。

具体实施方式

下文中将参考附图并结合实施例来详细说明本发明。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。

需要说明的是，本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。同时，需要说明的是，在本发明的说明书和权利要求书及附图中的“应用平面”可以是由软件和/或硬件构成的一组逻辑应用功能，该逻辑应用功能可以由应用设备实现，同样地，“控制平面”可以是由软件和/或硬件构成的一组逻辑控制功能，该逻辑控制功能可以由控制设备实现，“转发平面”可以是由软件和/或硬件构成的一组逻辑转发功能，该逻辑转发功能可以由转发设备实现。

在本实施例中提供了一种业务功能SF的部署方法，图1是根据本发明实施例的业务功能SF的部署方法的流程图，如图1所示，该流程包括如下步骤：

步骤S102，获取预定的网络功能虚拟化NFV信息，其中，该NFV信息包括用于指示建立网络功能所需的底层网络资源的资源指示信息，和用于指示在该底层网络资源上部署的业务功能SF的功能指示信息；

步骤S104，根据上述资源指示信息和功能指示信息创建底层网络资源并在该底层网络资 源上部署SF。

其中，执行上述操作的可以是资源管理系统，可以在无需人工干预的情况下，由资源管理系统完成底层网络资源的部署和SF的部署，从而解决了相关技术中存在的需要人工干预创建底层网络资源以及部署SF，从而造成创建底层网络资源以及部署SF僵化，不能灵活调整底层网络资源和SF的问题，进而达到了灵活调整底层网络资源和SF的效果。

在一个可选的实施例中，根据上述资源指示信息和功能指示信息创建上述底层网络资源并在底层网络资源上部署SF包括：通过与转发平面之间的接口将资源指示信息传递给转发平面，以指示该转发平面根据上述资源指示信息在转发平面上创建底层网络资源；通过利用上述接口与底层网络资源中的虚拟机中的驻留程序进行通信的方式将根据上述功能指示信息确定的部署信息传递给虚拟机，以指示虚拟机部署SF。通过上述实施例，可以利用转发平面实现底层网络资源的创建以及SF的部署，从而无需人工干预，提高底层网络资源和SF的调整的灵活度。

创建上述底层网络资源和在底层网络资源上部署SF的方式有多种，在一个可选的实施例中，可以通过配置参数的方式进行底层网络资源的创建和SF的部署，下面对该方式进行说明：

通过与用于部署底层网络资源和SF的转发平面之间的接口将资源指示信息传递给转发平面，以指示该转发平面根据资源指示信息在转发平面上创建底层网络资源包括：通过上述接口将资源指示信息传递给转发平面，以指示转发平面将资源指示信息中包含的用于创建底层网络资源的参数配置到转发平面中的虚拟机上；通过利用上述接口与底层网络资源中的虚拟机中的驻留程序进行通信的方式将根据功能指示信息确定的部署信息传递给虚拟机，以指示该虚拟机部署SF包括：通过利用接口与驻留程序进行通信的方式将部署信息传递给虚拟机，以指示该虚拟机将功能指示信息中包含的用于部署SF的参数配置到虚拟机上。

上述的创建底层网络资源和部署SF的方案可以应用于多种场景中，具体场景如下：

在一个可选的实施例中，上述SF可以为负载均衡，上述资源指示信息包括：第一管理网网络协议IP地址、第一业务子网的IP地址和第一路由信息，该功能指示信息包括负载均衡协议信息、负载均衡的资源池的成员信息、负载均衡算法信息，其中，通过上述接口将资源指示信息传递给转发平面，以指示该转发平面将资源指示信息中包含的用于创建底层网络资源的参数加载到上述转发平面中的虚拟机上包括：通过上述接口将资源指示信息传递给转发平面，以指示该转发平面执行以下操作：将转发平面中的第一虚拟机在管理网上的IP地址配置为第一管理网IP地址、将第一虚拟机在业务子网上的IP地址配置为第一业务子网IP地址和将第一虚拟机的路由信息配置为第一路由信息；通过利用上述接口与驻留程序进行通信的方式将部署信息传递给虚拟机，以指示该虚拟机将功能指示信息中包含的用于部署SF的参数配置到虚拟机上包括：根据功能指示信息创建负载均衡配置文件；通过利用上述接口与驻留程序进行通信的方式将负载均衡配置文件传递给第一虚拟机，以指示第一虚拟机执行以下操作：将第一虚拟机的协议配置为负载均衡协议信息对应的协议、将第一虚拟机的成员配置为负载均衡的资源池的成员信息对应的成员、将第一虚拟机的算法配置为负载均衡算法信息对应的 算法。

在另一个可选的实施例中，上述SF可以为防火墙，上述资源指示信息包括：第二管理网网络协议IP地址、第二业务子网的IP地址和第二路由信息，上述功能指示信息包括防火墙规则和策略信息，其中，通过上述接口将资源指示信息传递给转发平面，以指示转发平面将资源指示信息中包含的用于创建底层网络资源的参数加载到转发平面中的虚拟机上包括：通过与上述接口将资源指示信息传递给转发平面，以指示转发平面执行以下操作：将转发平面中的第二虚拟机在管理网上的IP地址配置为第二管理网IP地址、将第二虚拟机在业务子网上的IP地址配置为第二业务子网IP地址和将第二虚拟机的路由信息配置为第二路由信息；通过利用上述接口与驻留程序进行通信的方式将部署信息传递给虚拟机，以指示虚拟机将功能指示信息中包含的用于部署SF的参数配置到虚拟机上包括：根据上述功能指示信息创建防火墙配置文件；通过利用上述接口与驻留程序进行通信的方式将防火墙配置文件传递给第二虚拟机，以指示该第二虚拟机将第二虚拟机的规则和策略配置为防火墙规则和策略信息对应的规则和策略。

在另一个可选的实施例中，上述SF为虚拟私有网络VPN，上述资源指示信息包括：第三管理网网络协议IP地址、第三业务子网IP地址和第三路由信息，上述功能指示信息包括密钥交换协议IKE策略、IP层安全协议IPSec策略、IPSec站点信息，其中，通过该接口将资源指示信息传递给转发平面，以指示转发平面将资源指示信息中包含的用于创建底层网络资源的参数加载到转发平面中的虚拟机上包括：通过接口将资源指示信息传递给转发平面，以指示转发平面执行以下操作：将转发平面中的第三虚拟机在管理网上的IP地址配置为第三管理网IP地址、将第三虚拟机在业务子网上的IP地址配置为第三业务子网IP地址和将第三虚拟机的路由信息配置为第三路由信息；通过利用上述接口与驻留程序进行通信的方式将部署信息传递给虚拟机，以指示虚拟机将功能指示信息中包含的用于部署SF的参数配置到虚拟机上包括：根据上述功能指示信息创建VPN配置文件；通过利用上述接口与驻留程序进行通信的方式将VPN配置文件传递给第三虚拟机，以指示该第三虚拟机执行以下操作：将第三虚拟机的协议策略配置为密钥交换协议IKE策略和IP层安全协议IPSec策略、将第三虚拟机的站点配置为IPSec站点信息对应的站点。

在另一个可选的实施例中，上述SF为网元WEB防护，上述资源指示信息包括：第四管理网网络协议IP地址、第四业务子网IP地址和第四路由信息，上述功能指示信息包括WEB防护策略和需要防护的WEB应用服务器或数据中心信息，其中，通过上述接口将资源指示信息传递给转发平面，以指示转发平面将资源指示信息中包含的用于创建底层网络资源的参数加载到转发平面中的虚拟机上包括：通过接口将资源指示信息传递给转发平面，以指示转发平面执行以下操作：将上述转发平面中的第四虚拟机在管理网上的IP地址配置为第四管理网IP地址、将第四虚拟机在业务子网上的IP地址配置为第四业务子网IP地址和将第四虚拟机的路由信息配置为第四路由信息；通过利用上述接口与驻留程序进行通信的方式将部署信息传递给虚拟机，以指示虚拟机将功能指示信息中包含的用于部署SF的参数配置到虚拟机上包括：根据上述功能指示信息创建WEB防护配置文件；通过利用上述接口与驻留程序进行通信的方式将WEB防护配置文件传递给第四虚拟机，以指示该第四虚拟机执行以下操作：将第四虚拟 机的规则和策略配置为上述WEB防护策略及规则、将第四虚拟机的服务器或数据中心配置为需要防护的WEB应用服务器或数据中心信息对应的服务器或数据中心。

对于上述的四个场景下的实施例，在后述的实施例中会进行详细的描述。

上述的获取NFV信息的方式可以为多种，在一个可选的实施例中，上述获取NFV信息包括：接收应用平面传递的NFV信息。

在另一个可选的实施例中，上述获取NFV信息包括：接收控制平面中传递的上述NFV信息，其中，该NFV信息为应用平面传递给上述控制平面的。

在一个可选的实施例中，在根据资源指示信息和功能指示信息创建底层网络资源并在上述底层网络资源上部署SF之后，还包括：获取更新后的NFV信息，其中，上述更新后的NFV信息中包括更新后的资源指示信息和/或更新后的功能指示信息；根据更新后的资源指示信息和/或更新后的功能指示信息更新创建的底层网络资源和部署的SF。

在一个可选的实施例中，根据上述更新后的资源指示信息和/或更新后的功能指示信息更新创建的底层网络资源和部署的SF包括：根据上述更新后的资源指示信息变更、增加或删除创建的底层网络资源；和/或，根据更新后的功能指示信息变更、增加或删除部署的SF。

在一个可选的实施例中，在根据上述资源指示信息和功能指示信息创建底层网络资源并在该底层网络资源上部署SF之后，还包括：转发平面在创建完上述底层网络资源后将底层网络资源的信息上报给控制平面；和/或，转发平面在部署完上述SF后，将部署的SF的信息上报给控制平面。从而使得控制平面能够发现和管理创建的底层网络资源和部署的SF。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中，包括若干指令用以使得一台终端设备(可以是手机，计算机，服务器，或者网络设备等)执行本发明各个实施例所述的方法。

在本实施例中还提供了一种业务功能SF的创建装置，该装置用于实现上述实施例及优选实施方式，已经进行过说明的不再赘述。如以下所使用的，术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现，但是硬件，或者软件和硬件的组合的实现也是可能并被构想的。

图2是根据本发明实施例的业务功能SF的部署装置的结构框图，如图2所示，该装置包括第一获取模块22和处理模块24，下面对该装置进行说明。

第一获取模块22，用于获取预定的网络功能虚拟化NFV信息，其中，该NFV信息包括用于指示建立网络功能所需的底层网络资源的资源指示信息，和用于指示在底层网络资源上部署的业务功能SF的功能指示信息；处理模块24，连接至上述第一获取模块22，用于根据 上述资源指示信息和功能指示信息创建底层网络资源并在底层网络资源上部署SF。

图3是根据本发明实施例的业务功能SF的部署装置中处理模块24的结构框图，如图3所示，该处理模块24包括第一传递单元32和第二传递单元34，下面对该处理模块24进行说明。

第一传递单元32，用于通过与转发平面之间的接口将资源指示信息传递给转发平面，以指示转发平面根据上述资源指示信息在上述转发平面上创建底层网络资源；第二传递单元34，连接至上述第一传递单元32，用于通过利用上述接口与底层网络资源中的虚拟机中的驻留程序进行通信的方式将根据上述功能指示信息确定的部署信息传递给虚拟机，以指示虚拟机部署SF。

图4是根据本发明实施例的业务功能SF的部署装置中第一传递单元32和第二传递单元34的结构框图，如图4所示，该第一传递单元32包括第一传递子单元42，该第二传递单元34包括第二传递子单元44，下面对第一传递子单元42和第二传递子单元44进行说明。

第一传递子单元42，用于通过上述接口将资源指示信息传递给转发平面，以指示该转发平面将资源指示信息中包含的用于创建底层网络资源的参数配置到转发平面中的虚拟机上。

第二传递子单元44，用于通过利用上述接口与驻留程序进行通信的方式将部署信息传递给虚拟机，以指示该虚拟机将功能指示信息中包含的用于部署SF的参数配置到虚拟机上。

在一个可选的实施例中，上述的SF可以是负载均衡，上述的资源只是信息可以包括：第一管理网网络协议IP地址、第一业务子网的IP地址和第一路由信息，上述的功能指示信息可以包括负载均衡协议信息、负载均衡的资源池的成员信息、负载均衡算法信息，其中，上述的第一传递子单元42可以通过如下方式指示转发平面配置底层网络资源：通过上述接口将资源指示信息传递给转发平面，以指示该转发平面执行以下操作：将转发平面中的第一虚拟机在管理网上的IP地址配置为第一管理网IP地址、将第一虚拟机在业务子网上的IP地址配置为第一业务子网IP地址和将第一虚拟机的路由信息配置为第一路由信息；上述第二传递子单元44可以通过如下方式指示虚拟机部署SF：根据功能指示信息创建负载均衡配置文件；通过利用上述接口与驻留程序进行通信的方式将负载均衡配置文件传递给第一虚拟机，以指示第一虚拟机执行以下操作：将第一虚拟机的协议配置为负载均衡协议信息对应的协议、将第一虚拟机的成员配置为负载均衡的资源池的成员信息对应的成员、将第一虚拟机的算法配置为负载均衡算法信息对应的算法。

在另一个可选的实施例中，上述SF可以为防火墙，上述资源指示信息可以包括：第二管理网网络协议IP地址、第二业务子网的IP地址和第二路由信息，上述功能指示信息可以包括防火墙规则和策略信息，其中，上述的第一传递子单元42可以通过如下方式指示转发平面配置底层网络资源：通过与上述接口将资源指示信息传递给转发平面，以指示转发平面执行以下操作：将转发平面中的第二虚拟机在管理网上的IP地址配置为第二管理网IP地址、将第二虚拟机在业务子网上的IP地址配置为第二业务子网IP地址和将第二虚拟机的路由信息配置为第二路由信息；上述第二传递子单元44可以通过如下方式指示虚拟机部署SF：根据上述功能 指示信息创建防火墙配置文件；通过利用上述接口与驻留程序进行通信的方式将防火墙配置文件传递给第二虚拟机，以指示该第二虚拟机将第二虚拟机的规则和策略配置为防火墙规则和策略信息对应的规则和策略。

在另一个可选的实施例中，上述SF为虚拟私有网络VPN，上述资源指示信息包括：第三管理网网络协议IP地址、第三业务子网IP地址和第三路由信息，上述功能指示信息包括密钥交换协议IKE策略、IP层安全协议IPSec策略、IPSec站点信息，其中，上述的第一传递子单元42可以通过如下方式指示转发平面配置底层网络资源：通过接口将资源指示信息传递给转发平面，以指示转发平面执行以下操作：将转发平面中的第三虚拟机在管理网上的IP地址配置为第三管理网IP地址、将第三虚拟机在业务子网上的IP地址配置为第三业务子网IP地址和将第三虚拟机的路由信息配置为第三路由信息；上述第二传递子单元44可以通过如下方式指示虚拟机部署SF：根据上述功能指示信息创建VPN配置文件；通过利用上述接口与驻留程序进行通信的方式将VPN配置文件传递给第三虚拟机，以指示该第三虚拟机执行以下操作：将第三虚拟机的协议策略配置为密钥交换协议IKE策略和IP层安全协议IPSec策略、将第三虚拟机的站点配置为IPSec站点信息对应的站点。

在另一个可选的实施例中，上述SF为网元WEB防护，上述资源指示信息包括：第四管理网网络协议IP地址、第四业务子网IP地址和第四路由信息，上述功能指示信息包括WEB防护策略和需要防护的WEB应用服务器或数据中心信息，其中，上述的第一传递子单元42可以通过如下方式指示转发平面配置底层网络资源：通过接口将资源指示信息传递给转发平面，以指示转发平面执行以下操作：将上述转发平面中的第四虚拟机在管理网上的IP地址配置为第四管理网IP地址、将第四虚拟机在业务子网上的IP地址配置为第四业务子网IP地址和将第四虚拟机的路由信息配置为第四路由信息；上述第二传递子单元44可以通过如下方式指示虚拟机部署SF：根据上述功能指示信息创建WEB防护配置文件；通过利用上述接口与驻留程序进行通信的方式将WEB防护配置文件传递给第四虚拟机，以指示该第四虚拟机执行以下操作：将第四虚拟机的规则和策略配置为上述WEB防护策略及规则、将第四虚拟机的服务器或数据中心配置为需要防护的WEB应用服务器或数据中心信息对应的服务器或数据中心。

图5是根据本发明实施例的业务功能节SF的部署装置中第一获取模块22的结构框图一，如图5所示，该第一获取模块22包括第一接收单元52，下面对该第一接收单元52进行说明。

第一接收单元52，用于接收应用平面传递的上述NFV信息。

图6是根据本发明实施例的业务功能SF的部署装置中第一获取模块22的结构框图二，如图6所示，该第一获取模块22包括第二接收单元62，下面对该第二接收单元62进行说明。

第二接收单元62，用于接收控制平面传递的NFV信息，其中，该NFV信息为应用平面传递给控制平面的。

图7是根据本发明实施例的业务功能SF的部署装置的优选结构框图，如图7所示，该装置除包括图2所示的所有模块外，还包括第二获取模块72和更新模块74，下面对该装置进行 说明。

第二获取模块72，连接至上述处理模块24，用于在根据上述资源指示信息和功能指示信息创建底层网络资源并在该底层网络资源上部署SF之后，获取更新后的NFV信息，其中，该更新后的NFV信息中包括更新后的资源指示信息和/或更新后的功能指示信息；更新模块74，连接至上述第二获取模块72，用于根据上述更新后的资源指示信息和/或更新后的功能指示信息更新创建的底层网络资源和部署的SF。

图8是根据本发明实施例的业务功能SF的创建装置中更新模块74的结构框图，如图8所示，该更新模块74包括第一更新单元82和/或第二更新单元84，下面对该更新模块74进行说明。

第一更新单元82，用于根据上述更新后的资源指示信息变更、增加或删除创建的底层网络资源；

第二更新单元84，用于根据上述更新后的节点指示信息变更、增加或删除部署的SF。

上述的实施例中的方法和装置都可以应用于资源管理系统中。

在一个可选的实施例中，上述业务功能SF的创建装置还可以包括第一上报模块和/第二上报模块，该第一上报模块和该第二上报模块都可以应用于转发平面中，下面对装置进行说明：第一上报模块，应用于转发平面中，用于在创建完底层网络资源后将底层网络资源的信息上报给控制平面；第二上报模块，应用于转发平面中，用于在部署完SF后，将部署的SF的信息上报给控制平面。

本发明实施例中的方案相对于相关技术中存在的技术方案更有优势，在相关技术中，SDN网络中规划SFC需要先创建底层网络资源，在已有的网络资源上部署SF，然后规划SFC。这种“先资源，后规划“的方式导致SFC不能根据实际业务需求的变动，自定义SF和自动化创建所需的网络资源，使得SFC的部署不灵活，同时也造成资源的浪费。而本发明实施例中，使SDN支持根据所规划的SFC自定义包括负载均衡、防火墙、运营商级网络地址转换(Carrier grade Network Address Translation，简称为CGN)、IP业务识别与控制系统DPI、路由器等功能的SF，在底层网络中自动化创建所需的网络资源和部署SF，控制平面能够发现和管理新创建的SF。使用这种”先定义，后资源“的方式让SFC在SDN中具备灵活部署的特点，同时提高了资源利用率，降低了人工维护成本。

在本发明实施例中，主要是在SDN网络架构中利用资源管理系统为规划的SFC自动化创建所需的网络资源和部署SF，SF的相关信息会更新到SFC控制器中，使得SFC控制器能够发现和管理新创建的SF，供应用平面的业务应用使用。

此处对上述实施例中的技术方案进行描述：

图9是根据本发明实施例的SDN网络架构示意图，如图9所示，主要包括资源管理系统、网管系统和三个层面，该三个层面即软件定义网络SDN框架中的应用平面、控制平面和转发 平面。其中应用平面分为各种业务功能的应用(Application，简称为APP)；控制平面由编排器和控制器组成；数据转发平面由流分类器、SF以及交换机等转发设备组成。网管系统是保障网络可靠运行的重要模块，负责对转发平面的网络资源的运行状态进行检测，故障诊断及报警等，并将网络的状态和控制平面交互。资源管理系统负责为新规划的SFC在转发平面创建网络资源和部署SF。

图9中主要包括5个接口：A-CPI接口用于应用平面与控制平面交互，交互内容包括应用层面对SFC的创建、修改和配置等；B-CPI用于应用平面和资源管理系统的交互，交互内容包括NFV的相关信息；C-CPI用于控制平面与资源管理系统交互，交互内容是需要创建的组建SFC的SF信息；D-CPI用于控制平面与支持SFC的SF的交互，用于控制平面发现、管理和配置SF；E-CPI用于资源管理系统与转发平面的交互，用于资源管理系统在转发平面创建网络资源，各接口位置，如图9中所示。

触发资源管理系统根据规划的SFC创建所需网络资源和部署SF方案有两种：方案一，应用平面直接将规划的NFV的相关信息通过B-CPI接口传递给资源管理系统，并触发资源管理系统通过E-CPI接口在转发平面创建所需网络资源并部署SF，SF信息通过D-CPI更新到控制平面；方案二，应用平面将NFV相关信息通过A-CPI接口传递给控制平面，由控制平面将需要创建的组建SFC的SF相关信息通过C-API接口传递给资源管理器，并触发资源管理系统通过E-CPI接口在转发层面创建所需网络资源并部署SF，SF信息通过D-CPI更新到SFC控制器。

图10是根据本发明实施例的规划并部署SFC的方法流程图一(该流程为方案一)，如图10所示，该流程包括如下步骤：

步骤1.新的业务应用需要部署到云平台，应用平面根据业务应用的需求规划SFC，如定制虚拟机规格(CPU、内存、镜像文件等)、SF的网络协议(Internet Protocol，简称为IP)地址、网络、路由、网关等与SF相关的参数设定，类比图12所示的SFC。(对应于图10中的步骤S1002)

步骤2.应用平面将NFV以及SF的相关信息通过B-CPI接口传递给资源管理系统，资源管理系统根据SFC的相关信息通过E-CPI接口在转发平面创建所需的网络资源，包括路由、虚拟机(使用包含驻留程序等模块的定制镜像文件)，网络等。(对应于图10中的步骤S1004-1006)

步骤3.资源管理系统将定义的SF的相关信息保存到控制转发接口适配模块，然后由控制转发接口中的代理程序与虚拟机的中驻留程序通信，将该信息传递到虚拟机中。驻留程序会根据接收到的信息，完成对SF功能的部署和配置。(对应于图10中的步骤S1008-1010)

步骤4.转发平面通过D-CPI接口向SFC控制器更新NFV及其SF的相关信息，使得SFC控制器能够发现和管理SF，业务应用可使用整条SFC。(对应于图10中的步骤S1012-1014)

图11是根据本发明实施例的规划并部署SFC的方法流程图二(该流程为方案二)，如图11所示，该流程包括如下步骤：

步骤1.新的业务应用需要部署到云平台，应用平面根据业务应用的需求规划SFC，如定制虚拟机规格(CPU、内存、镜像文件等)、SF的IP地址、网络、路由、网关等与SF相关的参数设定，类比图12所示的SFC，并将该NFV及SF相关信息通过A-CPI接口传递到控制平面。(对应于图11中的步骤S1102)

步骤2.控制平面将需要创建的支持SFC的SF相关信息通过C-CPI接口传递到资源管理系统，资源管理系统根据SF的相关信息通过E-CPI接口在转发平面创建所需的网络资源，包括路由、虚拟机(使用包含驻留程序等模块的定制镜像文件)，网络等。(对应于图11中的步骤S1104-1108)

步骤3.同方案一中步骤3。(对应于图11中的步骤S1110)

步骤4.同方案二中步骤4。(对应于图11中的步骤S1112-1114)

下面对上述的不同场景下的实施例进行详细说明：

实施例一

当上述的SF为负载均衡时，根据SFC使用方案一，动态创建负载均衡器(Load Balancing，简称为LB)：

图12是根据本发明实施例的包含负载均衡节点的SFC的示意图，如图12所示，使用方案一根据SFC自动化部署具有负载均衡功能的SF，为后端业务服务器提供负载均衡。负载均衡服务是基于Nginx实现的，但是不限于Nginx，具有高性能的负载均衡产品均适用本发明。

资源管理系统根据规划的SFC，自动化创建部署负载均衡SF的步骤如下：

步骤1.应用平面的业务应用的服务能力需要大幅度提升，这对SDN提出了负载均衡服务的需求，要求构建一个负载均衡器对三台业务服务器提供负载均衡，当然，也可以构建对其他数量的业务服务器提供负载均衡的负载均衡器，在该实施例中，是以构建对三台业务服务器提供负载均衡的负载均衡器为例进行说明的。

步骤2.应用平面根据业务应用需求规划包含负载均衡SF的SFC，如图12所示。在SFC中管理网public的IP地址可以为10.46.178.0/24，业务子网vxlan的IP地址可以为192.168.100.0/24，负载均衡SF的管理网浮动IP可以为10.46.178.27，负载均衡SF的在业务子网内的VIP可以为192.168.100.27，并且，可以为业务子网内IP地址分别为192.168.100.1、192.168.100.2、192.168.100.3的三台云主机提供负载均衡等，在该场景下，资源指示信息中可以包括转发平面中的虚拟机在上述管理网中的IP地址、在上述业务子网中的IP地址以及路由信息，功能指示信息中可以包括负载均衡协议信息、负载均衡的资源池的成员信息、负载均衡算法信息。

步骤3.应用平面将SFC的相关信息通过B-CPI接口传递给资源管理系统，资源管理系统根据应用平面规划的SFC，自动化创建步骤2所需的网络资源，包括自动化创建public、vxlan网络和路由器，为负载均衡SF自动化创建资源池和主备虚拟机(使用包含驻留程序、Nginx等模块的定制虚拟机镜像文件)，并为其分配浮动IP和虚拟终端协议(virtual terminal protocol，简称为VIP)地址等。即，利用转发平面将转发平面中的虚拟机在管理网上的IP地址配置为本实施例中的资源指示信息中包括的虚拟机在管理网上的IP地址，将虚拟机在业务子网上的IP地址配置为本实施例中的资源指示信息中包括的虚拟机在业务子网上的IP地址，以及将虚拟机的路由信息配置为本实施例中的资源指示信息中包括的路由信息。vxlan中挂载负载均衡SF和三台云主机，SF为三台云主机提供负载均衡。整个过程都是由资源管理系统调用控制转发接口完成，无需云管理员手动创建虚拟机和配置网络。

步骤4.资源管理系统根据所规划SFC中负载均衡SF的需求，即，可以根据本实施例的功能指示信息自动创建负载均衡配置文件conf，并通过控制转发接口与虚拟机中驻留程序通信，将conf配置文件传递给虚拟机，根据本实施例的功能指示信息中包含的信息自动部署负载均衡器(Nginx)，配置Protocol(负载均衡协议)、Member(资源池成员)、Method(负载均衡算法)等负载均衡策略。

步骤5.转发平面将SFC及所有SF信息通过D-API接口更新到控制平面中的SFC控制器中，使得负载均衡等相关SF能够被SFC控制器发现和管理，也能够让SFC控制器根据需求对SFC进行配置，供应用平面的业务应用调用。

实施例二

当上述的SF为防火墙时，根据SFC使用方案一，动态创建防火墙强(FireWall，简称为FW)：

图13是根据本发明实施例的包含防火墙的SFC的示意图，如图13所示，使用方案一根据SFC自动化部署具有防火墙功能的SF，为后端业务网络提供安全防护。

资源管理系统根据规划的SFC，自动化创建部署防火墙SF的步骤如下：

步骤1.应用平面对业务应用的业务网络安全性提出要求，需要构建防火墙为业务网络提供安全防护。

步骤2.应用平面业务应用的需求规划包含防火墙SF的SFC，如图13所示。在SFC中管理网public的IP可以为10.46.178.0/24，业务网络vxlan的IP地址可以为192.168.168.0/24，路由器接口设置、防火墙，防火墙规则和策略(包括支持协议、IP版本、源地址、目的地址、源端口、目的端口、动作集等)等。在该场景下，资源指示信息中可以包括转发平面中的虚拟机在上述管理网中的IP地址、在上述业务子网中的IP地址以及路由信息，功能指示信息中可以包括防火墙规则和策略信息。

步骤3.应用平面将SFC的相关信息通过B-CPI接口传递给资源管理系统，资源管理系统 根据应用平面规划的SFC，自动化创建步骤2所需的网络资源，包括路由器，部署防火墙所需的虚拟机(使用包含驻留程序等模块的定制虚拟机镜像文件)，添加业务网络等。即，利用转发平面将转发平面中的虚拟机在管理网上的IP地址配置为本实施例中的资源指示信息中包括的虚拟机在管理网上的IP地址，将虚拟机在业务子网上的IP地址配置为本实施例中的资源指示信息中包含的虚拟机在业务子网上的IP地址，以及将虚拟机的路由信息配置为本实施例中的资源指示信息中包含的路由信息。整个过程都是由资源管理系统调用控制转发接口完成，无需云管理员手动创建虚拟机和配置网络。

步骤4.资源管理器根据所规划SFC中防火墙SF的功能需求，即，可以根据本实施例中的功能指示信息把规划的防火墙规则及策略保存到与其对应的文件中，并与对应虚拟机中的驻留程序通信，将文件中的策略及规则传递给虚拟机，根据本实施例中的功能指示信息中包含的信息指示虚机中的驻留程序将策略及规则更新到防火墙，并启动防护。

步骤5.转发平面将包含防火墙SF的SFC所有相关信息通过D-API接口更新到SFC控制器，使得防火墙等相关SF能够被SFC控制器发现和管理，也能够让SFC控制器根据需求修改防火墙规则和策略。

实施例三

当上述SF为虚拟私有网络(Virtual Private Network，简称为VPN)时，根据SFC使用方案二，动态创建VPN，为网络提供VPN服务。

资源管理系统根据规划的SFC，自动化创建部署VPN的步骤如下：

步骤1.应用平面对业务应用的业务网络提出需求，需要构建VPN为业务网络提供VPN服务。

步骤2.应用平面根据业务应用的需求规划包含VPN功能的SFC。在SFC中管理网public的IP地址可以为10.46.178.0/24，业务网络vxlan的IP地址可以为192.168.168.0/24，路由器接口设置等，并通过A-CPI接口将SFC相关信息传递给控制平面。在该场景下，资源指示信息中可以包括转发平面中的虚拟机在上述管理网中的IP地址、在上述业务子网中的IP地址以及路由信息，功能指示信息中可以包括密钥交换协议IKE策略、IP层安全协议IPSec策略、IPSec站点信息。

步骤3.控制平面将需要创建的支持SFC的SF的相关信息(VPN)通过C-API接口传递给资源管理系统，并触发资源管理系统根据规划的SFC，自动化创建步骤2所需的网络资源，包括路由器(具有特殊功能的路由器，使用包含驻留程序等模块的定制虚拟机镜像文件)，添加业务网络等。即，利用转发平面将转发平面中的虚拟机在管理网上的IP地址配置为本实施例中资源指示信息中包括的虚拟机在管理网上的IP地址，将虚拟机在业务子网上的IP地址配置为本实施例中资源指示信息中包括的虚拟机在业务子网上的IP地址，以及将虚拟机的路由信息配置为本实施例中的资源指示信息中包括的路由信息。整个过程都是由资源管理系统调 用控制转发接口完成，无需云管理员手动创建虚拟机和配置网络。

步骤4.资源管理器根据所规划SFC中VPN的功能需求，即，根据本实施例中的功能指示信息把规划的密钥交换协议(Internet Key Management，简称为IKE)策略(IKE Policy)、IP层安全协议(IP Security，简称为IPSec)策略(IPSec Policy)和IPSec站点(IPSec Site)等配置保存到该VPN对应的配置文件中，并与对应虚拟机中的驻留程序通信，将该配置文件传递给虚拟机，以使虚机中的驻留程序根据本实施例中的功能指示信息配置并启动VPN。

步骤5.转发平面将包含VPN的SFC所有相关信息通过D-CPI更新到SFC控制器，使得VPN等相关SF能够被SFC控制器发现和管理，也能够让SFC控制器根据需求修改VPN的策略等。

实施例四

当上述SF为WEB防护时，根据SFC使用方案二，动态创建WEB防护SF，为服务器提供WEB安全防护，抵御包括结构化查询语言(Structured Query Language，简称为SQL)注入、文件包含漏洞、跨站脚本攻击(Cross Site Scripting，简称为XSS)、跨站请求伪造(Cross-site request forgery，简称为XSRF)和目录遍历等攻击。

步骤1.应用平面的业务应用要求为业务服务器提供WEB安全防护，需要构建WEB安全防护SF为业务服务器提供安全防护。

步骤2.应用平面根据业务应用的需求规划包含WEB安全防护SF的SFC。在SFC中规划网络，其中，规划的网络包括管理网和业务子网，WEB防护策略(可以包括访问控制类表(Access Control List，简称为ACL))，IP黑名单，需要屏蔽的用户数据，禁用危险方法(包括OPTIONS、DELETE等)，防盗链、隐藏服务器版本信息、流量控制、针对已知攻击特征的配置等)，需要防护的WEB应用服务器或数据中心等，并将规划的SFC相关信息通过A-CPI接口传递给控制平面。在该场景下，资源指示信息中可以包括转发平面中的虚拟机在管理网中的IP地址、在业务子网中的IP地址以及路由信息，功能指示信息中可以包括上述WEB防护策略和需要防护的WEB应用服务器或数据中心信息。

步骤3.控制平面将需要创建的SF的相关信息(WEB安全防护)通过C-CPI接口传递给资源管理系统，并触发资源管理系统根据应用平面规划的SFC，自动化创建步骤2所需的网络资源，包括网络，部署WEB安全防护SF所需的虚拟机(使用包含驻留程序、Naxsi、Nginx、SSL等模块的定制虚拟机镜像文件)，添加WEB应用服务器等。即，利用转发平面将转发平面中的虚拟机在管理网上的IP地址配置为本实施例中资源指示信息中包括的虚拟机在管理网上的IP地址，将虚拟机在业务子网上的IP地址配置为本实施例中资源指示信息中包括的虚拟机在业务子网上的IP地址，以及将虚拟机的路由信息配置为本实施例中的资源指示信息中包括的路由信息。整个过程都是由资源管理系统调用控制转发接口完成，无需云管理员手动创建虚拟机和配置网络。

步骤4.资源管理器根据所规划SFC中WEB安全防护SF的功能需求，即，可以根据上述的指示信息把规划的安全防护策略保存到与其对应的文件中(控制节点为每个SF配置信息创建文件)，并与对应虚拟机中的驻留程序通信，将文件中的策略传递给虚拟机，虚机中的驻留程序根据本实施例中的功能指示信息将策略及规则配置到WEB安全模块，并启动防护。

步骤5.转发平面将包含WEB安全防护SF的相关信息通过D-CPI口更新到SFC控制器，使得SF能够被SFC控制器发现和管理，也能够让SFC控制器根据需求修改安全防护规则和策略。

通过上述实施例可以得出，本发明实施例中的方案通过资源管理系统为应用平面规划的SFC，自动化创建底层网络资源，部署SF，SF的相关信息会更新到SFC控制器，使得SFC控制器能够发现和管理新增SF。本发明方案实现了基于SDN业务链动态创建SF的目的，使得SFC在SDN中具备了灵活部署的特点，同时提高了资源利用率，降低了人工维护成本。

需要说明的是，上述各个模块是可以通过软件或硬件来实现的，对于后者，可以通过以下方式实现，但不限于此：上述模块均位于同一处理器中；或者，上述模块分别位于多个处理器中。

本发明的实施例还提供了一种存储介质。可选地，在本实施例中，上述存储介质可以被设置为存储用于执行以下步骤的程序代码：

S1，获取预定的网络功能虚拟化NFV信息，其中，该NFV信息包括用于指示建立网络功能所需的底层网络资源的资源指示信息，和用于指示在该底层网络资源上部署的业务功能SF的功能指示信息；

S2，根据上述资源指示信息和功能指示信息创建底层网络资源并在该底层网络资源上部署SF。

可选地，在本实施例中，上述存储介质可以包括但不限于：U盘、只读存储器(Read-Only Memory，简称为ROM)、随机存取存储器(Random Access Memory，简称为RAM)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。

可选地，在本实施例中，处理器根据存储介质中已存储的程序代码执行上述步骤S1-S2。

可选地，本实施例中的具体示例可以参考上述实施例及可选实施方式中所描述的示例，本实施例在此不再赘述。

在相关技术方案中，SDN创建SFC时，需要管理员先创建SFC所需的底层网络资源，在已有网络资源的基础上部署新的SF，然后组建成SFC。本发明实施例的方案中，支持SDN可以根据应用平面的业务需求，便捷的规划出SFC，而不用考虑底层网络资源。资源管理系统根据会SFC的需求，自动化的创建所需要的底层网络资源，配置和部署SF，SF的信息会更新到SFC控制器，使得SFC控制器能够发现和管理相关SF节点。本专利提高了SDN中SFC的灵活性和扩展性，降低了人工维护成本。

显然，本领域的技术人员应该明白，上述的本发明的各模块或各步骤可以用通用的计算装置来实现，它们可以集中在单个的计算装置上，或者分布在多个计算装置所组成的网络上，可选地，它们可以用计算装置可执行的程序代码来实现，从而，可以将它们存储在存储装置中由计算装置来执行，并且在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤，或者将它们分别制作成各个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样，本发明不限制于任何特定的硬件和软件结合。

以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。