述用户设备的安全增值业务的虚拟服务节点的第二地址; 所述SDN控制器利用所述第一地址和所述第二地址,生成所述用户设备对应的第一流表和第二流表; 所述SDN控制器将所述第一流表下发给虚拟接入设备,指示所述虚拟接入设备在接收到源地址与所述第一地址匹配的业务报文时,将所述业务报文转发给所述第二地址对应的虚拟服务节点; 所述SDN控制器将所述第二流表下发给所述第二地址对应的虚拟服务节点,指示所述虚拟服务节点对收到的业务报文进行安全增值业务处理,在所述业务报文的源地址与所述第一地址匹配时,将处理后的业务报文转发给接收第一流表的虚拟接入设备。2.根据权利要求1所述的方法,其特征在于,当所述用户设备对应多个安全增值业务时,所述方法还包括: 所述SDN控制器确定所述多个安全增值业务的执行顺序,按照所述执行顺序生成包括多个虚拟服务节点的服务链,所述服务链中的第N个虚拟服务节点用于提供第N个执行的安全增值业务; 所述SDN控制器向虚拟接入设备下发所述第一流表,指示所述虚拟接入设备将源地址与所述第一地址匹配的业务报文转发到所述服务链的第一个虚拟服务节点; 所述SDN控制器向所述服务链的最后一个虚拟服务节点下发第二流表,指示所述最后一个虚拟服务节点对收到的业务报文进行安全增值业务处理,并在所述业务报文的源地址与所述第一地址匹配时,将处理后的业务报文转发给接收所述第一流表的虚拟接入设备; 所述SDN控制器向所述服务链中的第N个虚拟服务节点下发第三流表,指示所述第N个虚拟服务节点对收到的业务报文进行安全增值业务处理,并在所述业务报文的源地址与所述第一地址匹配时,将处理后的业务报文转发给第N+1个虚拟服务节点;其中,N为大于等于I的正整数,接收第三流表的第N个虚拟服务节点不包括所述最后一个虚拟服务节点。3.根据权利要求1或2所述的方法,其特征在于,所述方法还包括: 所述SDN控制器监控所述服务资源池中的每个虚拟服务节点的性能; 所述SDN控制器利用所述虚拟服务节点的性能,按照预设的调度策略,执行如下一项或多项操作:部署新的虚拟服务节点、关闭已部署的虚拟服务节点、选择为所述用户设备提供安全增值业务的虚拟服务节点。4.根据权利要求1所述的方法,其特征在于,所述SDN控制器确定用户设备的第一地址和安全增值业务之前,所述方法还包括: 虚拟接入设备获得用户设备的第一地址,并向所述用户设备推送服务页面,通过所述服务页面获取所述用户设备的安全增值业务,并将所述用户设备的第一地址和所述安全增值业务发送给所述SDN控制器。5.根据权利要求4所述的方法,其特征在于, 所述虚拟接入设备向所述用户设备推送服务页面之前,所述方法还包括: 物理接入设备在接收到来自用户设备的认证请求报文时,将所述认证请求报文发送给认证服务器,由所述认证服务器利用所述认证请求报文中的用户信息对所述用户设备进行认证;如果所述用户设备通过认证,则接收来自所述认证服务器的认证成功报文,并将所述认证请求报文发送给所述虚拟接入设备; 所述虚拟接入设备向所述用户设备推送服务页面的过程,包括: 所述虚拟接入设备接收来自所述物理接入设备的认证请求报文,并利用所述认证请求报文中的用户信息对所述用户设备进行认证;如果所述用户设备通过认证,则所述虚拟接入设备利用所述认证请求报文向所述用户设备推送服务页面;或者,所述虚拟接入设备接收来自所述物理接入设备的认证请求报文,并利用所述认证请求报文向所述用户设备推送服务页面。6.根据权利要求5所述的方法,其特征在于,所述方法还包括: 所述物理接入设备在将所述认证请求报文发送给认证服务器的过程中,所述物理接入设备确定所述用户设备的接入位置信息,并将所述接入位置信息添加到所述认证请求报文,并将该认证请求报文发送给所述认证服务器; 所述认证服务器在利用所述认证请求报文中的用户信息确定所述用户设备通过认证之后,利用所述认证请求报文中携带的用户信息和接入位置信息,查询预先配置的安全增值业务表,所述安全增值业务表中记录了需要进行安全增值业务的用户设备的用户信息和接入位置信息;如果所述安全增值业务表中有对应的记录,则在认证成功报文中添加所述用户设备需要进行安全增值业务的信息,并将所述认证成功报文发送给所述物理接入设备; 所述物理接入设备在接收到所述认证成功报文后,如果确定所述认证成功报文中携带了所述用户设备需要进行安全增值业务的信息,则所述物理接入设备将所述认证请求报文发送给所述虚拟接入设备。7.—种业务报文的传输装置,其特征在于,在服务资源池内部署用于提供安全增值业务的虚拟服务节点,并在网络中为用户设备部署虚拟接入设备,所述业务报文的传输装置应用在软件定义网络SDN控制器上,且所述业务报文的传输装置包括: 确定模块,用于确定用户设备的第一地址和安全增值业务,并获得用于提供所述用户设备的安全增值业务的虚拟服务节点的第二地址; 生成模块,用于利用所述第一地址和所述第二地址,生成所述用户设备对应的第一流表和第二流表; 发送模块,用于将所述第一流表下发给虚拟接入设备,指示所述虚拟接入设备在接收到源地址与所述第一地址匹配的业务报文时,将所述业务报文转发给所述第二地址对应的虚拟服务节点;将所述第二流表下发给所述第二地址对应的虚拟服务节点,指示所述虚拟服务节点对收到的业务报文进行安全增值业务处理,在所述业务报文的源地址与所述第一地址匹配时,将处理后的业务报文转发给接收第一流表的虚拟接入设备。8.根据权利要求7所述的装置,其特征在于,当所述用户设备对应多个安全增值业务时; 所述确定模块,用于确定所述多个安全增值业务的执行顺序; 所述生成模块,用于按照所述执行顺序生成包括多个虚拟服务节点的服务链,所述服务链中的第N个虚拟服务节点用于提供第N个执行的安全增值业务; 所述发送模块,用于向虚拟接入设备下发所述第一流表,指示所述虚拟接入设备将源地址与所述第一地址匹配的业务报文转发到所述服务链的第一个虚拟服务节点;向所述服务链的最后一个虚拟服务节点下发第二流表,指示所述最后一个虚拟服务节点对收到的业务报文进行安全增值业务处理,并在所述业务报文的源地址与所述第一地址匹配时,将处理后的业务报文转发给接收所述第一流表的虚拟接入设备;向所述服务链中的第N个虚拟服务节点下发第三流表,指示所述第N个虚拟服务节点对收到的业务报文进行安全增值业务处理,并在所述业务报文的源地址与所述第一地址匹配时,将处理后的业务报文转发给第N+1个虚拟服务节点;其中,N为大于等于I的正整数,接收第三流表的第N个虚拟服务节点不包括所述最后一个虚拟服务节点。9.根据权利要求7或8所述的装置,其特征在于,还包括: 处理模块,用于监控所述服务资源池中的每个虚拟服务节点的性能; 利用所述虚拟服务节点的性能,按照预设的调度策略,执行如下一项或多项操作:部署新的虚拟服务节点、关闭已部署的虚拟服务节点、选择为所述用户设备提供安全增值业务的虚拟服务节点。10.根据权利要求7所述的装置,其特征在于, 所述确定模块,用于在确定用户设备的第一地址和安全增值业务的过程中,接收虚拟接入设备通知的用户设备的第一地址和所述安全增值业务;所述虚拟接入设备是通过向用户设备推送的服务页面获取的所述安全增值业务。
【专利摘要】本发明提供一种业务报文的传输方法和装置,该方法包括:SDN控制器确定用户设备的第一地址和安全增值业务,并获得用于提供该安全增值业务的虚拟服务节点的第二地址;所述SDN控制器利用所述第一地址和所述第二地址,生成所述用户设备对应的第一流表和第二流表;所述SDN控制器将所述第一流表下发给虚拟接入设备,所述虚拟接入设备在接收到源地址与所述第一地址匹配的业务报文时,将所述业务报文转发给所述第二地址对应的虚拟服务节点;所述SDN控制器将所述第二流表下发给所述第二地址对应的虚拟服务节点,所述虚拟服务节点将业务报文转发给所述虚拟接入设备。通过本发明的技术方案,不需要部署独立的安全设备,避免造成设备资源的浪费。
【IPC分类】H04L29/06
【公开号】CN105592047
【申请号】CN201510530548
【发明人】谢东, 刘畅
【申请人】杭州华三通信技术有限公司
【公开日】2016年5月18日
【申请日】2015年8月26日