用户设备的用户信息和接入位置信息的对应关系。如果安全增值业务表中有对应记录,则说明用户设备为需要进行安全增值业务的用户设备,认证服务器在认证成功报文中添加用户设备需要进行安全增值业务的信息,将认证成功报文发送给物理接入设备。如果安全增值业务表中没有对应记录,则说明用户设备不是需要进行安全增值业务的用户设备,认证服务器将认证成功报文发送给物理接入设备,但是该认证成功报文中不携带用户设备需要进行安全增值业务的信息。
[0046]其中,运营商可以根据实际情况,在认证服务器的安全增值业务表中,预先配置需要进行安全增值业务的用户设备的用户信息和接入位置信息的对应关系。而且,运营商可以不定时的调整安全增值业务表中的内容。
[0047]步骤303,物理接入设备在接收到来自认证服务器的认证成功报文之后,如果确定该认证成功报文中携带了用户设备需要进行安全增值业务的信息,则物理接入设备将认证请求报文发送给虚拟接入设备。
[0048]如果物理接入设备确定该认证成功报文中没有携带用户设备需要进行安全增值业务的信息,则按照现有流程进行后续处理,该处理过程在此不再赘述。
[0049]步骤304,虚拟接入设备在接收到认证请求报文之后,从该认证请求报文中获得用户设备的IP地址,并利用该IP地址向该用户设备推送服务页面。
[0050]其中,虚拟接入设备在接收到来自物理接入设备的认证请求报文之后,利用该认证请求报文中的用户信息(如用户名和密码)对用户设备进行认证;如果用户设备没有通过认证,则向物理接入设备发送认证失败报文,该过程不再赘述;如果用户设备通过认证,则虚拟接入设备确定该用户设备为需要进行安全增值业务的用户设备,从该认证请求报文中获得该用户设备的IP地址,并向该用户设备推送服务页面。或者,虚拟接入设备在接收到来自物理接入设备的认证请求报文之后,确定该用户设备为需要进行安全增值业务的用户设备,从该认证请求报文中获得该用户设备的IP地址,并向该用户设备推送服务页面。
[0051]其中,服务页面为基于Portal (入口 )的服务页面,该服务页面上会预先配置好服务资源池内的虚拟服务节点能够提供的安全增值业务,如安全增值业务A、安全增值业务B、安全增值业务C和安全增值业务D。用户根据自身需求,在服务页面内选择一个或多个安全增值业务,如选择安全增值业务A。
[0052]此外,用户根据自身需求,还可以在服务页面上输入协议类型和/或端口号。
[0053]步骤305,虚拟接入设备从服务页面上获得用户设备的安全增值业务,并将该用户设备的第一地址和该安全增值业务发送给SDN控制器。
[0054]步骤306,SDN控制器确定需要进行安全增值业务的用户设备的第一地址和该安全增值业务,并获得用于提供该用户设备的安全增值业务的虚拟服务节点的第二地址。其中,该第一地址和该安全增值业务是虚拟接入设备通知的。
[0055]步骤307,SDN控制器利用第一地址(用户设备的第一地址)和第二地址(虚拟服务节点的第二地址),生成用户设备对应的第一流表和第二流表。
[0056]步骤308,SDN控制器将第一流表下发给虚拟接入设备,指示虚拟接入设备在接收到源地址与第一地址匹配的业务报文时,将业务报文转发给第二地址对应的虚拟服务节点。SDN控制器将第二流表下发给虚拟服务节点,指示虚拟服务节点对收到的业务报文进行安全增值业务处理,在业务报文的源地址与第一地址匹配时,将处理后的业务报文转发给接收第一流表的虚拟接入设备。
[0057]在下发第一流表和第二流表之后,虚拟接入设备在接收到业务报文时,基于该第一流表的匹配选项和动作选项,当该业务报文的源地址与该第一地址匹配时,则虚拟接入设备将该业务报文转发给该第二地址对应的虚拟服务节点。虚拟服务节点在接收到业务报文时,对该业务报文进行安全增值业务处理;基于该第二流表的匹配选项和动作选项,当该业务报文的源地址与该第一地址匹配时,则虚拟服务节点将处理后的业务报文转发给接收上述第一流表的虚拟接入设备。
[0058]例如,当用户设备I需要进行安全增值业务A,且虚拟服务节点I用于提供安全增值业务A时,则SDN控制器生成用户设备I对应的第一流表I和第二流表I。其中,该第一流表I的匹配选项为用户设备I的第一地址,该第一流表I的动作选项为将业务报文转发到用于提供安全增值业务A的虚拟服务节点I上,该第二流表I的匹配选项为用户设备I的第一地址,该第二流表I的动作选项为将业务报文转发到需要接收第一流表I的虚拟接入设备上。SDN控制器将第一流表I下发给虚拟接入设备,并将第二流表I下发给虚拟服务节点I。
[0059]虚拟接入设备在接收到匹配第一流表I的业务报文时,利用第一流表I对业务报文进行VXLAN封装,将VXLAN封装后的业务报文转发给虚拟服务节点I。虚拟服务节点I在接收到业务报文时,对业务报文进行VXLAN解封装,并对业务报文进行安全增值业务(如安全策略检查)处理。如果业务报文未通过安全增值业务处理,则虚拟服务节点I直接丢弃报文,不再进行后续处理。如果业务报文通过安全增值业务处理(如业务报文的安全策略检查通过,即业务报文合法),则虚拟服务节点I在确定业务报文匹配到第二流表I时,利用该第二流表I对业务报文进行VXLAN封装,并将VXLAN封装后的业务报文转发给上述接收第一流表I的虚拟接入设备。虚拟接入设备在接收到业务报文后,对该业务报文进行VXLAN解封装,并利用业务报文的目的地址转发该业务报文。
[0060]本发明实施例中,当用户设备对应多个安全增值业务时,则SDN控制器还可以确定多个安全增值业务的执行顺序,并按照该执行顺序生成包括多个虚拟服务节点的服务链,该服务链中的第N个虚拟服务节点用于提供第N个执行的安全增值业务。SDN控制器向虚拟接入设备下发第一流表,指示虚拟接入设备将源地址与第一地址匹配的业务报文转发到服务链的第一个虚拟服务节点。SDN控制器向服务链的最后一个虚拟服务节点下发第二流表,指示最后一个虚拟服务节点对收到的业务报文进行安全增值业务处理,并在业务报文的源地址与第一地址匹配时,将处理后的业务报文转发给接收第一流表的虚拟接入设备。SDN控制器向服务链中的第N个虚拟服务节点下发第三流表,指示第N个虚拟服务节点对收到的业务报文进行安全增值业务处理,并在业务报文的源地址与第一地址匹配时,将处理后的业务报文转发给第N+1个虚拟服务节点。N为大于等于I的正整数,接收第三流表的第N个虚拟服务节点不包括最后一个虚拟服务节点。
[0061]SDN控制器利用用户设备的第一地址和服务链中的第N+1个虚拟服务节点的地址,生成用户设备对应的第三流表。第三流表的匹配选项为用户设备的第一地址,第三流表的动作选项为将业务报文转发给第N+1个虚拟服务节点。
[0062]例如,用户设备I需要进行安全增值业务A、安全增值业务B、安全增值业务C,虚拟服务节点I用于提供安全增值业务A、虚拟服务节点2用于提供安全增值业务B、虚拟服务节点3用于提供安全增值业务C时,如果多个安全增值业务的执行顺序为安全增值业务A、安全增值业务B、安全增值业务C,则服务链依次包括虚拟服务节点1、虚拟服务节点2和虚拟服务节点3。SDN控制器生成用户设备I对应的第一流表1、第二流表1、第三流表I和第三流表2。第一流表I的匹配选项为用户设备I的IP地址,第一流表I的动作选项为将业务报文转发到虚拟服务节点I上,第一流表I被下发给虚拟接入设备。第二流表I的匹配选项为用户设备I的IP地址,第二流表I的动作选项为将业务报文转发到虚拟接入设备上,第二流表I被下发给虚拟服务节点3。第三流表I的匹配选项为用户设备I的IP地址,第三流表I的动作选项为将业务报文转发到虚拟服务节点2上,第三流表I被下发给虚拟服务节点I。第三流表2的匹配选项为用户设备I的IP地址,第三流表2的动作选项为将业务报文转发到虚拟服务节点3上,第三流表2被下发给虚拟服务节点2。
[0063]虚拟接入设备在接收到匹配第一流表I的业务报文时,利用第一流表I对业务报文进行VXLAN封装,将VXLAN封装后的业务报文转发给虚拟服务节点I。虚拟服务节点I在接收到业务报文时,对业务报文进行VXLAN解封装,并