对业务报文进行安全增值业务A处理。如果业务报文未通过安全增值业务A处理,虚拟服务节点I直接丢弃报文,不再进行后续处理。如果业务报文通过安全增值业务A处理,虚拟服务节点I在确定业务报文匹配到第三流表I时,利用第三流表I将业务报文转发给虚拟服务节点2。虚拟服务节点2在接收到业务报文时,对业务报文进行安全增值业务B处理。如果业务报文未通过安全增值业务B处理,虚拟服务节点2直接丢弃报文,不再进行后续处理。如果业务报文通过安全增值业务B处理,虚拟服务节点2在确定业务报文匹配到第三流表2时,利用第三流表2将业务报文转发给虚拟服务节点3。虚拟服务节点3在接收到业务报文时,对业务报文进行安全增值业务C处理。如果业务报文未通过安全增值业务C处理,虚拟服务节点3直接丢弃报文,不再进行后续处理。如果业务报文通过安全增值业务C处理,虚拟服务节点3在确定业务报文匹配到第二流表I时,利用第二流表I对业务报文进行VXLAN封装,将VXLAN封装后的业务报文转发给上述接收第一流表I的虚拟接入设备。虚拟接入设备在收到业务报文后,对业务报文进行VXLAN解封装,利用业务报文的目的地址转发业务报文。
[0064]本发明实施例中,SDN控制器还可以监控服务资源池中的每个虚拟服务节点的性能。基于服务资源池中的每个虚拟服务节点的性能,SDN控制器按照预设的调度策略,执行如下一项或多项操作:部署新的虚拟服务节点、关闭已部署的虚拟服务节点、选择为用户设备提供安全增值业务的虚拟服务节点。
[0065]本发明实施例中,当用于提供安全增值业务的多个虚拟服务节点的性能均小于预设第一阈值时,则SDN控制器可以从这多个虚拟服务节点中关闭已部署的虚拟服务节点。当用于提供安全增值业务的多个虚拟服务节点的性能均大于预设第二阈值时,则SDN控制器可以在服务资源池中部署新的用于提供该安全增值业务的虚拟服务节点。其中,该预设第二阈值大于该预设第一阈值。
[0066]本发明实施例中,基于服务资源池中的每个虚拟服务节点的性能,SDN控制器可以从用于提供同一安全增值业务的多个虚拟服务节点中,选择性能最低的虚拟服务节点,作为为用户设备提供该安全增值业务的虚拟服务节点。
[0067]其中,虚拟服务节点的性能包括但不限于CPU使用率、内存使用率、资源限制因素等。当CPU使用率或者内存使用率大于预设第二阈值时,说明虚拟服务节点已经没有资源来提供安全增值业务。当资源限制因素大于预设第二阈值时,说明虚拟服务节点提供的安全增值业务已超出上限,虚拟服务节点不再提供安全增值业务。例如,运营商可以在SDN控制器上配置资源限制因素和预设第二阈值,如资源限制因素为用户设备数量,预设第二阈值为2000,资源限制因素为流量大小,预设第二阈值为2G带宽。基于此,如果虚拟服务节点当前提供安全增值业务的用户设备数量达到2000,则说明资源限制因素大于预设第二阈值。如果虚拟服务节点当前提供安全增值业务的流量大小达到2G带宽,则说明资源限制因素大于预设第二阈值。
[0068]本发明提出的业务报文的传输装置,可以应用在SDN控制器中,该业务报文的传输装置可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在的SDN控制器的处理器,将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言,如图4所示,为本发明提出的业务报文的传输装置所在的SDN控制器的一种硬件结构图,除了图4所示的处理器、网络接口、内存以及非易失性存储器外,SDN控制器还可以包括其他硬件,如负责处理报文的转发芯片等;从硬件结构上来讲,该SDN控制器还可能是分布式设备,可能包括多个接口卡,以便在硬件层面进行报文处理的扩展。
[0069]基于与上述方法同样的发明构思,本发明实施例中还提供了一种业务报文的传输装置,在服务资源池内部署用于提供安全增值业务的虚拟服务节点,并在网络中为用户设备部署虚拟接入设备,所述业务报文的传输装置可以应用在软件定义网络SDN控制器上,如图5所示,所述业务报文的传输装置包括:
[0070]确定模块11,用于确定用户设备的第一地址和安全增值业务,并获得用于提供所述用户设备的安全增值业务的虚拟服务节点的第二地址;
[0071]生成模块12,用于利用所述第一地址和所述第二地址,生成所述用户设备对应的第一流表和第二流表;
[0072]发送模块13,用于将所述第一流表下发给虚拟接入设备,指示所述虚拟接入设备在接收到源地址与所述第一地址匹配的业务报文时,将所述业务报文转发给所述第二地址对应的虚拟服务节点;将所述第二流表下发给所述第二地址对应的虚拟服务节点,指示所述虚拟服务节点对收到的业务报文进行安全增值业务处理,在所述业务报文的源地址与所述第一地址匹配时,将处理后的业务报文转发给接收第一流表的虚拟接入设备。
[0073]当所述用户设备对应多个安全增值业务时,
[0074]所述确定模块11,用于确定所述多个安全增值业务的执行顺序;所述生成模块12,用于按照所述执行顺序生成包括多个虚拟服务节点的服务链,所述服务链中的第N个虚拟服务节点用于提供第N个执行的安全增值业务;
[0075]所述发送模块13,用于向虚拟接入设备下发所述第一流表,指示所述虚拟接入设备将源地址与所述第一地址匹配的业务报文转发到所述服务链的第一个虚拟服务节点;向所述服务链的最后一个虚拟服务节点下发第二流表,指示所述最后一个虚拟服务节点对收到的业务报文进行安全增值业务处理,并在所述业务报文的源地址与所述第一地址匹配时,将处理后的业务报文转发给接收所述第一流表的虚拟接入设备;向所述服务链中的第N个虚拟服务节点下发第三流表,指示所述第N个虚拟服务节点对收到的业务报文进行安全增值业务处理,并在所述业务报文的源地址与所述第一地址匹配时,将处理后的业务报文转发给第N+1个虚拟服务节点;其中,N为大于等于I的正整数,接收第三流表的第N个虚拟服务节点不包括所述最后一个虚拟服务节点。
[0076]所述业务报文的传输装置还包括:处理模块14,用于监控所述服务资源池中的每个虚拟服务节点的性能;利用所述虚拟服务节点的性能,按照预设的调度策略,执行如下一项或多项操作:部署新的虚拟服务节点、关闭已部署的虚拟服务节点、选择为所述用户设备提供安全增值业务的虚拟服务节点。
[0077]所述确定模块11,用于在确定用户设备的第一地址和安全增值业务的过程中,接收虚拟接入设备通知的用户设备的第一地址和所述安全增值业务;所述虚拟接入设备是通过向用户设备推送的服务页面获取的所述安全增值业务。
[0078]其中,本发明装置的各个模块可以集成于一体,也可以分离部署。上述模块可以合并为一个模块,也可以拆分成多个子模块。
[0079]通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。本领域技术人员可以理解附图只是一个优选实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。
[0080]本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可拆分成多个子模块。上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
[0081]以上公开的仅为本发明的几个实施例,但是,本发明并非局限于此,任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
【主权项】
1.一种业务报文的传输方法,其特征在于,在服务资源池内部署用于提供安全增值业务的虚拟服务节点,并在网络中为用户设备部署虚拟接入设备,所述方法包括以下步骤: 软件定义网络SDN控制器确定用户设备的第一地址和安全增值业务,并获得用于提供所