一种业务报文的传输方法和装置的制造方法
【技术领域】
[0001]本发明涉及通信技术领域,尤其涉及一种业务报文的传输方法和装置。
【背景技术】
[0002]随着互联网技术的快速发展,企业内部会存在大量的用户设备访问网络资源,这些网络资源可能并不安全,而如果用户设备访问了不安全的网络资源,则会对企业内部的网络造成安全隐患。为了避免用户设备访问不安全的网络资源,通常会在城域网上部署安全增值业务,以对用户设备访问网络资源的业务报文进行安全检查,并丢弃访问不安全的网络资源的业务报文。
[0003]为了在城域网部署安全增值业务,会在BRAS (Broadband Remote Access Server,宽带远程接入服务器)侧连接安全设备(如防火墙设备、IPS(Intrus1n Prevent1nSystem,入侵防御系统)设备等)。BRAS在收到业务报文时,将业务报文发送给安全设备,安全设备对业务报文进行安全检查。如果业务报文符合安全策略,安全设备将业务报文返回给BRAS,BRAS将业务报文发送到IP网络。如果业务报文不符合安全策略,安全设备直接丢弃业务报文。
[0004]上述方式需要在BRAS侧部署独立的安全设备,造成设备资源的浪费。
【发明内容】
[0005]本发明提供一种业务报文的传输方法,在服务资源池内部署用于提供安全增值业务的虚拟服务节点,并在网络中为用户设备部署虚拟接入设备,所述方法包括以下步骤:SDN控制器确定用户设备的第一地址和安全增值业务,并获得用于提供所述用户设备的安全增值业务的虚拟服务节点的第二地址;所述SDN控制器利用所述第一地址和所述第二地址,生成所述用户设备对应的第一流表和第二流表;所述SDN控制器将所述第一流表下发给虚拟接入设备,指示所述虚拟接入设备在接收到源地址与所述第一地址匹配的业务报文时,将所述业务报文转发给所述第二地址对应的虚拟服务节点;所述SDN控制器将所述第二流表下发给所述第二地址对应的虚拟服务节点,指示所述虚拟服务节点对收到的业务报文进行安全增值业务处理,在所述业务报文的源地址与所述第一地址匹配时,将处理后的业务报文转发给接收第一流表的虚拟接入设备。
[0006]本发明提供一种业务报文的传输装置,在服务资源池内部署用于提供安全增值业务的虚拟服务节点,并在网络中为用户设备部署虚拟接入设备,所述业务报文的传输装置应用在软件定义网络SDN控制器上,且所述业务报文的传输装置包括:确定模块,用于确定用户设备的第一地址和安全增值业务,并获得用于提供所述用户设备的安全增值业务的虚拟服务节点的第二地址;生成模块,用于利用所述第一地址和所述第二地址,生成所述用户设备对应的第一流表和第二流表;发送模块,用于将所述第一流表下发给虚拟接入设备,指示所述虚拟接入设备在接收到源地址与所述第一地址匹配的业务报文时,将所述业务报文转发给所述第二地址对应的虚拟服务节点;将所述第二流表下发给所述第二地址对应的虚拟服务节点,指示所述虚拟服务节点对收到的业务报文进行安全增值业务处理,在所述业务报文的源地址与所述第一地址匹配时,将处理后的业务报文转发给接收第一流表的虚拟接入设备。
[0007]基于上述技术方案,本发明实施例中,可以将安全增值业务部署在服务资源池内的虚拟服务节点上,即在服务资源池内部署用于提供安全增值业务的虚拟服务节点,通过使用SDN(Software Defined Network,软件定义网络)控制器引导虚拟接入设备将业务报文发送给提供安全增值业务的虚拟服务节点,从而在城域网内部署安全增值业务,但不需要在BRAS侧连接安全设备,不需要部署独立的安全设备,避免造成设备资源的浪费,简化安全增值业务的运营。
【附图说明】
[0008]图1是本发明一种实施方式中业务报文的传输方法的流程图;
[0009]图2是本发明一种实施方式中的应用场景示意图;
[0010]图3是本发明一种实施方式中业务报文的传输方法的流程图;
[0011]图4是本发明一种实施方式中SDN控制器的逻辑结构图;
[0012]图5是本发明一种实施方式中业务报文的传输装置的逻辑结构图。
【具体实施方式】
[0013]针对现有技术中存在的问题,本发明实施例中提出一种业务报文的传输方法,该方法可以用于为用户设备提供安全增值业务(如:防火墙业务、IPS业务等)。本发明实施例中,不是在网络中直接部署安全设备,而是将安全增值业务部署在服务资源池内的虚拟服务节点(如虚拟机)上,即在服务资源池内部署用于提供安全增值业务的虚拟服务节点,通过使用虚拟服务节点提供安全增值业务的方式来实现虚拟资源的快速收缩扩容。此外,由于将安全增值业务部署在虚拟服务节点上,因此,需要将用户设备的业务报文发送到虚拟服务节点上,继而由虚拟服务节点对业务报文进行安全增值业务处理。
[0014]本发明实施例中,在已有的物理接入设备的基础上,在网络中为用户设备部署虚拟接入设备,该虚拟接入设备可以为部署在网络中的一个独立的接入设备,该虚拟接入设备也可以作为功能模块部署在已有的物理接入设备上,该虚拟接入设备也可以作为功能模块部署在其它网络设备上。
[0015]其中,物理接入设备可以为物理BRAS,虚拟接入设备可以为虚拟BRAS。
[0016]在上述应用场景下,如图1所示,业务报文的传输方法可以包括以下步骤:
[0017]步骤101,SDN控制器确定用户设备的第一地址和安全增值业务,并获得用于提供该用户设备的安全增值业务的虚拟服务节点的第二地址。
[0018]本发明实施例中,SDN控制器可以区分需要进行安全增值业务的用户设备和不需要进行安全增值业务的用户设备。针对需要进行安全增值业务的用户设备,SDN控制器还可以获得该用户设备的安全增值业务。例如,用户设备I需要进行安全增值业务A(如防火墙业务),用户设备2需要进行安全增值业务B (如IPS业务),用户设备3不需要进行安全增值业务。
[0019]其中,为了确定用户设备(需要进行安全增值业务的用户设备)的第一地址和安全增值业务,可以在SDN控制器上直接配置需要进行安全增值业务的用户设备的第一地址,以及该用户设备的安全增值业务。或者,可以由虚拟接入设备将用户设备的第一地址和安全增值业务发送给SDN控制器。
[0020]本发明实施例中,由于SDN控制器可以获知服务资源池内的各虚拟服务节点提供的安全增值业务,获知各虚拟服务节点的第二地址,因此,SDN控制器可以获得用于提供该用户设备的安全增值业务的虚拟服务节点的第二地址。
[0021]本发明实施例中,在虚拟接入设备将用户设备的第一地址和安全增值业务发送给SDN控制器的过程中,虚拟接入设备获得用户设备的第一地址,并向用户设备推送服务页面,通过该服务页面获取该用户设备的安全增值业务,并将该用户设备的第一地址和该安全增值业务发送给SDN控制器。
[0022]本发明实施例中,虚拟接入设备向用户设备推送服务页面之前,物理接入设备在接收到来自用户设备的认证请求报文时,可以将该认证请求报文发送给认证服务器,由认证服务器利用该认证请求报文中的用户信息(如用户名、密码等)对该用户设备进行认证。如果该用户设备通过认证,则物理接入设备接收来自认证服务器的认证成功报文,并在收到该认证成功报文时,将上述认证请求报文发送给虚拟接入设备。基于此,虚拟接入设备向用户设备推送服务页面的过程,可以包括:虚拟接入设备接收来自物理接入设备的认证请求报文,并利用该认证请求报文中的用户信息对用户设备进行认证;如果该用户设备通过认证,则虚拟接入设备确定该用户设备为需要进行安全增值业务的用户设备,并利用认证请求报文向用户设备推送服务页面。或者,虚拟接入设备接收来自物理接入设备的认证请求报文,并利用认证请求报文向用户设备推送服务页面。
[0023]在一种实施例中,用户设备的第一地址可以包括用户设备的IP地址,在此情况下,虚拟接入设备可以直接从认证请求报文中获得用户设备的IP地址。
[0024]在另一种实施例中,用户设备的第一地址可以包括用户设备的IP地址、协议类型和/或端口号,