CN105592047A - 一种业务报文的传输方法和装置 - Google Patents
一种业务报文的传输方法和装置 Download PDFInfo
- Publication number
- CN105592047A CN105592047A CN201510530548.1A CN201510530548A CN105592047A CN 105592047 A CN105592047 A CN 105592047A CN 201510530548 A CN201510530548 A CN 201510530548A CN 105592047 A CN105592047 A CN 105592047A
- Authority
- CN
- China
- Prior art keywords
- virtual
- service
- increase output
- subscriber equipment
- service node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种业务报文的传输方法和装置,该方法包括:SDN控制器确定用户设备的第一地址和安全增值业务,并获得用于提供该安全增值业务的虚拟服务节点的第二地址;所述SDN控制器利用所述第一地址和所述第二地址,生成所述用户设备对应的第一流表和第二流表;所述SDN控制器将所述第一流表下发给虚拟接入设备,所述虚拟接入设备在接收到源地址与所述第一地址匹配的业务报文时,将所述业务报文转发给所述第二地址对应的虚拟服务节点;所述SDN控制器将所述第二流表下发给所述第二地址对应的虚拟服务节点,所述虚拟服务节点将业务报文转发给所述虚拟接入设备。通过本发明的技术方案,不需要部署独立的安全设备,避免造成设备资源的浪费。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种业务报文的传输方法和装置。
背景技术
随着互联网技术的快速发展,企业内部会存在大量的用户设备访问网络资源,这些网络资源可能并不安全,而如果用户设备访问了不安全的网络资源,则会对企业内部的网络造成安全隐患。为了避免用户设备访问不安全的网络资源,通常会在城域网上部署安全增值业务,以对用户设备访问网络资源的业务报文进行安全检查,并丢弃访问不安全的网络资源的业务报文。
为了在城域网部署安全增值业务,会在BRAS(BroadbandRemoteAccessServer,宽带远程接入服务器)侧连接安全设备(如防火墙设备、IPS(IntrusionPreventionSystem,入侵防御系统)设备等)。BRAS在收到业务报文时,将业务报文发送给安全设备,安全设备对业务报文进行安全检查。如果业务报文符合安全策略,安全设备将业务报文返回给BRAS,BRAS将业务报文发送到IP网络。如果业务报文不符合安全策略,安全设备直接丢弃业务报文。
上述方式需要在BRAS侧部署独立的安全设备,造成设备资源的浪费。
发明内容
本发明提供一种业务报文的传输方法,在服务资源池内部署用于提供安全增值业务的虚拟服务节点,并在网络中为用户设备部署虚拟接入设备,所述方法包括以下步骤:SDN控制器确定用户设备的第一地址和安全增值业务,并获得用于提供所述用户设备的安全增值业务的虚拟服务节点的第二地址;所述SDN控制器利用所述第一地址和所述第二地址,生成所述用户设备对应的第一流表和第二流表;所述SDN控制器将所述第一流表下发给虚拟接入设备,指示所述虚拟接入设备在接收到源地址与所述第一地址匹配的业务报文时,将所述业务报文转发给所述第二地址对应的虚拟服务节点;所述SDN控制器将所述第二流表下发给所述第二地址对应的虚拟服务节点,指示所述虚拟服务节点对收到的业务报文进行安全增值业务处理,在所述业务报文的源地址与所述第一地址匹配时,将处理后的业务报文转发给接收第一流表的虚拟接入设备。
本发明提供一种业务报文的传输装置,在服务资源池内部署用于提供安全增值业务的虚拟服务节点,并在网络中为用户设备部署虚拟接入设备,所述业务报文的传输装置应用在软件定义网络SDN控制器上,且所述业务报文的传输装置包括:确定模块,用于确定用户设备的第一地址和安全增值业务,并获得用于提供所述用户设备的安全增值业务的虚拟服务节点的第二地址;生成模块,用于利用所述第一地址和所述第二地址,生成所述用户设备对应的第一流表和第二流表;发送模块,用于将所述第一流表下发给虚拟接入设备,指示所述虚拟接入设备在接收到源地址与所述第一地址匹配的业务报文时,将所述业务报文转发给所述第二地址对应的虚拟服务节点;将所述第二流表下发给所述第二地址对应的虚拟服务节点,指示所述虚拟服务节点对收到的业务报文进行安全增值业务处理,在所述业务报文的源地址与所述第一地址匹配时,将处理后的业务报文转发给接收第一流表的虚拟接入设备。
基于上述技术方案,本发明实施例中,可以将安全增值业务部署在服务资源池内的虚拟服务节点上,即在服务资源池内部署用于提供安全增值业务的虚拟服务节点,通过使用SDN(SoftwareDefinedNetwork,软件定义网络)控制器引导虚拟接入设备将业务报文发送给提供安全增值业务的虚拟服务节点,从而在城域网内部署安全增值业务,但不需要在BRAS侧连接安全设备,不需要部署独立的安全设备,避免造成设备资源的浪费,简化安全增值业务的运营。
附图说明
图1是本发明一种实施方式中业务报文的传输方法的流程图;
图2是本发明一种实施方式中的应用场景示意图;
图3是本发明一种实施方式中业务报文的传输方法的流程图;
图4是本发明一种实施方式中SDN控制器的逻辑结构图;
图5是本发明一种实施方式中业务报文的传输装置的逻辑结构图。
具体实施方式
针对现有技术中存在的问题,本发明实施例中提出一种业务报文的传输方法,该方法可以用于为用户设备提供安全增值业务(如:防火墙业务、IPS业务等)。本发明实施例中,不是在网络中直接部署安全设备,而是将安全增值业务部署在服务资源池内的虚拟服务节点(如虚拟机)上,即在服务资源池内部署用于提供安全增值业务的虚拟服务节点,通过使用虚拟服务节点提供安全增值业务的方式来实现虚拟资源的快速收缩扩容。此外,由于将安全增值业务部署在虚拟服务节点上,因此,需要将用户设备的业务报文发送到虚拟服务节点上,继而由虚拟服务节点对业务报文进行安全增值业务处理。
本发明实施例中,在已有的物理接入设备的基础上,在网络中为用户设备部署虚拟接入设备,该虚拟接入设备可以为部署在网络中的一个独立的接入设备,该虚拟接入设备也可以作为功能模块部署在已有的物理接入设备上,该虚拟接入设备也可以作为功能模块部署在其它网络设备上。
其中,物理接入设备可以为物理BRAS,虚拟接入设备可以为虚拟BRAS。
在上述应用场景下,如图1所示,业务报文的传输方法可以包括以下步骤:
步骤101,SDN控制器确定用户设备的第一地址和安全增值业务,并获得用于提供该用户设备的安全增值业务的虚拟服务节点的第二地址。
本发明实施例中,SDN控制器可以区分需要进行安全增值业务的用户设备和不需要进行安全增值业务的用户设备。针对需要进行安全增值业务的用户设备,SDN控制器还可以获得该用户设备的安全增值业务。例如,用户设备1需要进行安全增值业务A(如防火墙业务),用户设备2需要进行安全增值业务B(如IPS业务),用户设备3不需要进行安全增值业务。
其中,为了确定用户设备(需要进行安全增值业务的用户设备)的第一地址和安全增值业务,可以在SDN控制器上直接配置需要进行安全增值业务的用户设备的第一地址,以及该用户设备的安全增值业务。或者,可以由虚拟接入设备将用户设备的第一地址和安全增值业务发送给SDN控制器。
本发明实施例中,由于SDN控制器可以获知服务资源池内的各虚拟服务节点提供的安全增值业务,获知各虚拟服务节点的第二地址,因此,SDN控制器可以获得用于提供该用户设备的安全增值业务的虚拟服务节点的第二地址。
本发明实施例中,在虚拟接入设备将用户设备的第一地址和安全增值业务发送给SDN控制器的过程中,虚拟接入设备获得用户设备的第一地址,并向用户设备推送服务页面,通过该服务页面获取该用户设备的安全增值业务,并将该用户设备的第一地址和该安全增值业务发送给SDN控制器。
本发明实施例中,虚拟接入设备向用户设备推送服务页面之前,物理接入设备在接收到来自用户设备的认证请求报文时,可以将该认证请求报文发送给认证服务器,由认证服务器利用该认证请求报文中的用户信息(如用户名、密码等)对该用户设备进行认证。如果该用户设备通过认证,则物理接入设备接收来自认证服务器的认证成功报文,并在收到该认证成功报文时,将上述认证请求报文发送给虚拟接入设备。基于此,虚拟接入设备向用户设备推送服务页面的过程,可以包括:虚拟接入设备接收来自物理接入设备的认证请求报文,并利用该认证请求报文中的用户信息对用户设备进行认证;如果该用户设备通过认证,则虚拟接入设备确定该用户设备为需要进行安全增值业务的用户设备,并利用认证请求报文向用户设备推送服务页面。或者,虚拟接入设备接收来自物理接入设备的认证请求报文,并利用认证请求报文向用户设备推送服务页面。
在一种实施例中,用户设备的第一地址可以包括用户设备的IP地址,在此情况下,虚拟接入设备可以直接从认证请求报文中获得用户设备的IP地址。
在另一种实施例中,用户设备的第一地址可以包括用户设备的IP地址、协议类型和/或端口号,在此情况下,虚拟接入设备直接从认证请求报文中获得用户设备的IP地址。在虚拟接入设备利用该认证请求报文中携带的用户设备的IP地址向该用户设备推送服务页面之后,由用户在该服务页面上输入协议类型和/或端口号,虚拟接入设备从服务页面获得用户设备的协议类型和/或端口号。
本发明实施例中,物理接入设备在将认证请求报文发送给认证服务器的过程中,物理接入设备还可以确定用户设备的接入位置信息,并将该接入位置信息添加到认证请求报文,并将该认证请求报文发送给认证服务器。认证服务器在利用认证请求报文中的用户信息确定用户设备通过认证之后,该认证服务器还可以利用该认证请求报文中携带的用户信息和接入位置信息,查询预先配置的安全增值业务表,该安全增值业务表中至少记录了需要进行安全增值业务的用户设备的用户信息和接入位置信息的对应关系。如果该安全增值业务表中有对应的记录,则说明该用户设备为需要进行安全增值业务的用户设备,在此情况下,认证服务器可以在认证成功报文中添加用户设备需要进行安全增值业务的信息,并将该认证成功报文发送给物理接入设备。物理接入设备在接收到来自认证服务器的认证成功报文之后,如果确定该认证成功报文中携带了用户设备需要进行安全增值业务的信息,则可以将认证请求报文发送给虚拟接入设备。
步骤102,SDN控制器利用第一地址(用户设备的第一地址)和第二地址(虚拟服务节点的第二地址),生成用户设备对应的第一流表和第二流表。第一流表的匹配选项为用户设备的第一地址,第一流表的动作选项为将业务报文转发给第二地址对应的虚拟服务节点;第二流表的匹配选项为用户设备的第一地址,第二流表的动作选项为将业务报文转发给接收第一流表的虚拟接入设备。
步骤103,SDN控制器将第一流表下发给虚拟接入设备,指示虚拟接入设备在接收到源地址与第一地址匹配的业务报文时,将业务报文转发给第二地址对应的虚拟服务节点。之后,虚拟接入设备在接收到业务报文时,基于该第一流表的匹配选项和动作选项,当该业务报文的源地址与该第一地址匹配时,则虚拟接入设备将该业务报文转发给该第二地址对应的虚拟服务节点。
步骤104,SDN控制器将第二流表下发给第二地址对应的虚拟服务节点,指示虚拟服务节点对收到的业务报文进行安全增值业务处理,在业务报文的源地址与第一地址匹配时,将处理后的业务报文转发给接收第一流表的虚拟接入设备。之后,虚拟服务节点在接收到业务报文时,对该业务报文进行安全增值业务处理;基于该第二流表的匹配选项和动作选项,当该业务报文的源地址与该第一地址匹配时,则虚拟服务节点将处理后的业务报文转发给接收上述第一流表的虚拟接入设备。
本发明实施例中,当用户设备对应多个安全增值业务时,则SDN控制器还可以确定多个安全增值业务的执行顺序,并按照该执行顺序生成包括多个虚拟服务节点的服务链,该服务链中的第N个虚拟服务节点用于提供第N个执行的安全增值业务,在一个例子中,虚拟服务节点的第二地址为VXLAN(VirtualeXtensibleLocalAreaNetwork,虚拟可扩展局域网络)报文头中携带的服务链ID。SDN控制器向虚拟接入设备下发第一流表,指示虚拟接入设备将源地址与第一地址匹配的业务报文转发到服务链的第一个虚拟服务节点。SDN控制器向服务链的最后一个虚拟服务节点下发第二流表,指示最后一个虚拟服务节点对收到的业务报文进行安全增值业务处理,并在业务报文的源地址与第一地址匹配时,将处理后的业务报文转发给接收第一流表的虚拟接入设备。SDN控制器向服务链中的第N个虚拟服务节点下发第三流表,指示第N个虚拟服务节点对收到的业务报文进行安全增值业务处理,并在业务报文的源地址与第一地址匹配时,将处理后的业务报文转发给第N+1个虚拟服务节点。N为大于等于1的正整数,接收第三流表的第N个虚拟服务节点不包括最后一个虚拟服务节点。
本发明实施例中,SDN控制器还可以监控服务资源池中的每个虚拟服务节点的性能。基于服务资源池中的每个虚拟服务节点的性能,SDN控制器按照预设的调度策略,执行如下一项或多项操作:部署新的虚拟服务节点、关闭已部署的虚拟服务节点、选择为用户设备提供安全增值业务的虚拟服务节点。
在本发明实施例的上述过程中,第一流表可以为openflow流表,第二流表可以为openflow流表,第三流表可以为openflow流表。
基于上述技术方案,本发明实施例中,可以将安全增值业务部署在服务资源池内的虚拟服务节点上,即在服务资源池内部署用于提供安全增值业务的虚拟服务节点,通过使用SDN控制器引导虚拟接入设备将业务报文发送给提供安全增值业务的虚拟服务节点,从而在城域网内部署安全增值业务,但不需要在BRAS侧连接安全设备,也不需要部署独立的安全设备,避免造成设备资源的浪费,简化安全增值业务的运营。
以下结合应用场景对上述业务报文的传输方法进行详细说明。
如图2所示,为本发明实施例的应用场景示意图,在该应用场景下,各用户设备与交换机连接,交换机与物理接入设备连接,物理接入设备与认证服务器连接,物理接入设备与虚拟接入设备连接,虚拟接入设备与SDN控制器连接,虚拟接入设备通过网络与服务资源池连接,SDN控制器与服务资源池连接,且服务资源池内部署用于提供安全增值业务的多个虚拟服务节点。
本发明实施例中,在已有的物理接入设备的基础上,在网络中为用户设备部署虚拟接入设备,该虚拟接入设备可以为部署在网络中的一个独立的接入设备,该虚拟接入设备也可以作为功能模块部署在已有的物理接入设备上,该虚拟接入设备也可以作为功能模块部署在其它网络设备上。其中,物理接入设备可以为物理BRAS,虚拟接入设备可以为虚拟BRAS。
在上述应用场景下,SDN控制器用于实现网络拓扑的收集、路由的计算、流表的生成、流表的下发、网络的管理与控制等功能,且虚拟接入设备用于接收SDN控制器下发的流表,并基于该流表进行业务报文的转发。
虚拟接入设备可以通过VXLAN网络与服务资源池连接。
在上述应用场景下,基于NFV((NetworkFunctionsVirtualizations,网络功能虚拟化)技术,可以在服务资源池部署多个虚拟服务节点,且每个虚拟服务节点均对外提供相应的安全增值业务。SDN控制器可以通过在虚拟服务节点上配置用于提供安全增值业务的信息,以使虚拟服务节点能够提供安全增值业务。
在上述应用场景下,如图3所示,该业务报文的传输方法包括以下步骤:
步骤301,物理接入设备在接收到来自用户设备的携带用户信息(如用户名和密码)的认证请求报文时,确定该用户设备的接入位置信息,将该接入位置信息添加到认证请求报文中,并将该认证请求报文发送给认证服务器。
其中,用户设备的接入位置信息可以包括但不限于以下之一或者任意组合:
用户设备在物理接入设备上对应的端口的标识(如槽位号、子槽位号、端口号等),VPI(VirtualPathIdentifier,虚路径标识符),VCI(VirtualChannelIdentifier,虚通道标识符),VLAN(VirtualLocalAreaNetwork,虚拟局域网)标识,内层VLAN标识,外层VLAN标识等。
步骤302,认证服务器利用用户信息和接入位置信息,查询预先配置的安全增值业务表,如果有对应的记录,则在认证成功报文中添加用户设备需要进行安全增值业务的信息,并将认证成功报文发送给物理接入设备。
其中,认证服务器在接收到来自物理接入设备的认证请求报文时,利用该认证请求报文中的用户信息对用户设备进行认证。如果用户设备没有通过认证,则认证服务器向物理接入设备发送认证失败报文,该过程在此不再赘述。如果用户设备通过认证,则认证服务器利用该认证请求报文中携带的用户信息和接入位置信息,查询预先配置的安全增值业务表。
其中,安全增值业务表中记录了需要进行安全增值业务的用户设备的用户信息和接入位置信息的对应关系。如果安全增值业务表中有对应记录,则说明用户设备为需要进行安全增值业务的用户设备,认证服务器在认证成功报文中添加用户设备需要进行安全增值业务的信息,将认证成功报文发送给物理接入设备。如果安全增值业务表中没有对应记录,则说明用户设备不是需要进行安全增值业务的用户设备,认证服务器将认证成功报文发送给物理接入设备,但是该认证成功报文中不携带用户设备需要进行安全增值业务的信息。
其中,运营商可以根据实际情况,在认证服务器的安全增值业务表中,预先配置需要进行安全增值业务的用户设备的用户信息和接入位置信息的对应关系。而且,运营商可以不定时的调整安全增值业务表中的内容。
步骤303,物理接入设备在接收到来自认证服务器的认证成功报文之后,如果确定该认证成功报文中携带了用户设备需要进行安全增值业务的信息,则物理接入设备将认证请求报文发送给虚拟接入设备。
如果物理接入设备确定该认证成功报文中没有携带用户设备需要进行安全增值业务的信息,则按照现有流程进行后续处理,该处理过程在此不再赘述。
步骤304,虚拟接入设备在接收到认证请求报文之后,从该认证请求报文中获得用户设备的IP地址,并利用该IP地址向该用户设备推送服务页面。
其中,虚拟接入设备在接收到来自物理接入设备的认证请求报文之后,利用该认证请求报文中的用户信息(如用户名和密码)对用户设备进行认证;如果用户设备没有通过认证,则向物理接入设备发送认证失败报文,该过程不再赘述;如果用户设备通过认证,则虚拟接入设备确定该用户设备为需要进行安全增值业务的用户设备,从该认证请求报文中获得该用户设备的IP地址,并向该用户设备推送服务页面。或者,虚拟接入设备在接收到来自物理接入设备的认证请求报文之后,确定该用户设备为需要进行安全增值业务的用户设备,从该认证请求报文中获得该用户设备的IP地址,并向该用户设备推送服务页面。
其中,服务页面为基于Portal(入口)的服务页面,该服务页面上会预先配置好服务资源池内的虚拟服务节点能够提供的安全增值业务,如安全增值业务A、安全增值业务B、安全增值业务C和安全增值业务D。用户根据自身需求,在服务页面内选择一个或多个安全增值业务,如选择安全增值业务A。
此外,用户根据自身需求,还可以在服务页面上输入协议类型和/或端口号。
步骤305,虚拟接入设备从服务页面上获得用户设备的安全增值业务,并将该用户设备的第一地址和该安全增值业务发送给SDN控制器。
步骤306,SDN控制器确定需要进行安全增值业务的用户设备的第一地址和该安全增值业务,并获得用于提供该用户设备的安全增值业务的虚拟服务节点的第二地址。其中,该第一地址和该安全增值业务是虚拟接入设备通知的。
步骤307,SDN控制器利用第一地址(用户设备的第一地址)和第二地址(虚拟服务节点的第二地址),生成用户设备对应的第一流表和第二流表。
步骤308,SDN控制器将第一流表下发给虚拟接入设备,指示虚拟接入设备在接收到源地址与第一地址匹配的业务报文时,将业务报文转发给第二地址对应的虚拟服务节点。SDN控制器将第二流表下发给虚拟服务节点,指示虚拟服务节点对收到的业务报文进行安全增值业务处理,在业务报文的源地址与第一地址匹配时,将处理后的业务报文转发给接收第一流表的虚拟接入设备。
在下发第一流表和第二流表之后,虚拟接入设备在接收到业务报文时,基于该第一流表的匹配选项和动作选项,当该业务报文的源地址与该第一地址匹配时,则虚拟接入设备将该业务报文转发给该第二地址对应的虚拟服务节点。虚拟服务节点在接收到业务报文时,对该业务报文进行安全增值业务处理;基于该第二流表的匹配选项和动作选项,当该业务报文的源地址与该第一地址匹配时,则虚拟服务节点将处理后的业务报文转发给接收上述第一流表的虚拟接入设备。
例如,当用户设备1需要进行安全增值业务A,且虚拟服务节点1用于提供安全增值业务A时,则SDN控制器生成用户设备1对应的第一流表1和第二流表1。其中,该第一流表1的匹配选项为用户设备1的第一地址,该第一流表1的动作选项为将业务报文转发到用于提供安全增值业务A的虚拟服务节点1上,该第二流表1的匹配选项为用户设备1的第一地址,该第二流表1的动作选项为将业务报文转发到需要接收第一流表1的虚拟接入设备上。SDN控制器将第一流表1下发给虚拟接入设备,并将第二流表1下发给虚拟服务节点1。
虚拟接入设备在接收到匹配第一流表1的业务报文时,利用第一流表1对业务报文进行VXLAN封装,将VXLAN封装后的业务报文转发给虚拟服务节点1。虚拟服务节点1在接收到业务报文时,对业务报文进行VXLAN解封装,并对业务报文进行安全增值业务(如安全策略检查)处理。如果业务报文未通过安全增值业务处理,则虚拟服务节点1直接丢弃报文,不再进行后续处理。如果业务报文通过安全增值业务处理(如业务报文的安全策略检查通过,即业务报文合法),则虚拟服务节点1在确定业务报文匹配到第二流表1时,利用该第二流表1对业务报文进行VXLAN封装,并将VXLAN封装后的业务报文转发给上述接收第一流表1的虚拟接入设备。虚拟接入设备在接收到业务报文后,对该业务报文进行VXLAN解封装,并利用业务报文的目的地址转发该业务报文。
本发明实施例中,当用户设备对应多个安全增值业务时,则SDN控制器还可以确定多个安全增值业务的执行顺序,并按照该执行顺序生成包括多个虚拟服务节点的服务链,该服务链中的第N个虚拟服务节点用于提供第N个执行的安全增值业务。SDN控制器向虚拟接入设备下发第一流表,指示虚拟接入设备将源地址与第一地址匹配的业务报文转发到服务链的第一个虚拟服务节点。SDN控制器向服务链的最后一个虚拟服务节点下发第二流表,指示最后一个虚拟服务节点对收到的业务报文进行安全增值业务处理,并在业务报文的源地址与第一地址匹配时,将处理后的业务报文转发给接收第一流表的虚拟接入设备。SDN控制器向服务链中的第N个虚拟服务节点下发第三流表,指示第N个虚拟服务节点对收到的业务报文进行安全增值业务处理,并在业务报文的源地址与第一地址匹配时,将处理后的业务报文转发给第N+1个虚拟服务节点。N为大于等于1的正整数,接收第三流表的第N个虚拟服务节点不包括最后一个虚拟服务节点。
SDN控制器利用用户设备的第一地址和服务链中的第N+1个虚拟服务节点的地址,生成用户设备对应的第三流表。第三流表的匹配选项为用户设备的第一地址,第三流表的动作选项为将业务报文转发给第N+1个虚拟服务节点。
例如,用户设备1需要进行安全增值业务A、安全增值业务B、安全增值业务C,虚拟服务节点1用于提供安全增值业务A、虚拟服务节点2用于提供安全增值业务B、虚拟服务节点3用于提供安全增值业务C时,如果多个安全增值业务的执行顺序为安全增值业务A、安全增值业务B、安全增值业务C,则服务链依次包括虚拟服务节点1、虚拟服务节点2和虚拟服务节点3。SDN控制器生成用户设备1对应的第一流表1、第二流表1、第三流表1和第三流表2。第一流表1的匹配选项为用户设备1的IP地址,第一流表1的动作选项为将业务报文转发到虚拟服务节点1上,第一流表1被下发给虚拟接入设备。第二流表1的匹配选项为用户设备1的IP地址,第二流表1的动作选项为将业务报文转发到虚拟接入设备上,第二流表1被下发给虚拟服务节点3。第三流表1的匹配选项为用户设备1的IP地址,第三流表1的动作选项为将业务报文转发到虚拟服务节点2上,第三流表1被下发给虚拟服务节点1。第三流表2的匹配选项为用户设备1的IP地址,第三流表2的动作选项为将业务报文转发到虚拟服务节点3上,第三流表2被下发给虚拟服务节点2。
虚拟接入设备在接收到匹配第一流表1的业务报文时,利用第一流表1对业务报文进行VXLAN封装,将VXLAN封装后的业务报文转发给虚拟服务节点1。虚拟服务节点1在接收到业务报文时,对业务报文进行VXLAN解封装,并对业务报文进行安全增值业务A处理。如果业务报文未通过安全增值业务A处理,虚拟服务节点1直接丢弃报文,不再进行后续处理。如果业务报文通过安全增值业务A处理,虚拟服务节点1在确定业务报文匹配到第三流表1时,利用第三流表1将业务报文转发给虚拟服务节点2。虚拟服务节点2在接收到业务报文时,对业务报文进行安全增值业务B处理。如果业务报文未通过安全增值业务B处理,虚拟服务节点2直接丢弃报文,不再进行后续处理。如果业务报文通过安全增值业务B处理,虚拟服务节点2在确定业务报文匹配到第三流表2时,利用第三流表2将业务报文转发给虚拟服务节点3。虚拟服务节点3在接收到业务报文时,对业务报文进行安全增值业务C处理。如果业务报文未通过安全增值业务C处理,虚拟服务节点3直接丢弃报文,不再进行后续处理。如果业务报文通过安全增值业务C处理,虚拟服务节点3在确定业务报文匹配到第二流表1时,利用第二流表1对业务报文进行VXLAN封装,将VXLAN封装后的业务报文转发给上述接收第一流表1的虚拟接入设备。虚拟接入设备在收到业务报文后,对业务报文进行VXLAN解封装,利用业务报文的目的地址转发业务报文。
本发明实施例中,SDN控制器还可以监控服务资源池中的每个虚拟服务节点的性能。基于服务资源池中的每个虚拟服务节点的性能,SDN控制器按照预设的调度策略,执行如下一项或多项操作:部署新的虚拟服务节点、关闭已部署的虚拟服务节点、选择为用户设备提供安全增值业务的虚拟服务节点。
本发明实施例中,当用于提供安全增值业务的多个虚拟服务节点的性能均小于预设第一阈值时,则SDN控制器可以从这多个虚拟服务节点中关闭已部署的虚拟服务节点。当用于提供安全增值业务的多个虚拟服务节点的性能均大于预设第二阈值时,则SDN控制器可以在服务资源池中部署新的用于提供该安全增值业务的虚拟服务节点。其中,该预设第二阈值大于该预设第一阈值。
本发明实施例中,基于服务资源池中的每个虚拟服务节点的性能,SDN控制器可以从用于提供同一安全增值业务的多个虚拟服务节点中,选择性能最低的虚拟服务节点,作为为用户设备提供该安全增值业务的虚拟服务节点。
其中,虚拟服务节点的性能包括但不限于CPU使用率、内存使用率、资源限制因素等。当CPU使用率或者内存使用率大于预设第二阈值时,说明虚拟服务节点已经没有资源来提供安全增值业务。当资源限制因素大于预设第二阈值时,说明虚拟服务节点提供的安全增值业务已超出上限,虚拟服务节点不再提供安全增值业务。例如,运营商可以在SDN控制器上配置资源限制因素和预设第二阈值,如资源限制因素为用户设备数量,预设第二阈值为2000,资源限制因素为流量大小,预设第二阈值为2G带宽。基于此,如果虚拟服务节点当前提供安全增值业务的用户设备数量达到2000,则说明资源限制因素大于预设第二阈值。如果虚拟服务节点当前提供安全增值业务的流量大小达到2G带宽,则说明资源限制因素大于预设第二阈值。
本发明提出的业务报文的传输装置,可以应用在SDN控制器中,该业务报文的传输装置可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在的SDN控制器的处理器,将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言,如图4所示,为本发明提出的业务报文的传输装置所在的SDN控制器的一种硬件结构图,除了图4所示的处理器、网络接口、内存以及非易失性存储器外,SDN控制器还可以包括其他硬件,如负责处理报文的转发芯片等;从硬件结构上来讲,该SDN控制器还可能是分布式设备,可能包括多个接口卡,以便在硬件层面进行报文处理的扩展。
基于与上述方法同样的发明构思,本发明实施例中还提供了一种业务报文的传输装置,在服务资源池内部署用于提供安全增值业务的虚拟服务节点,并在网络中为用户设备部署虚拟接入设备,所述业务报文的传输装置可以应用在软件定义网络SDN控制器上,如图5所示,所述业务报文的传输装置包括:
确定模块11,用于确定用户设备的第一地址和安全增值业务,并获得用于提供所述用户设备的安全增值业务的虚拟服务节点的第二地址;
生成模块12,用于利用所述第一地址和所述第二地址,生成所述用户设备对应的第一流表和第二流表;
发送模块13,用于将所述第一流表下发给虚拟接入设备,指示所述虚拟接入设备在接收到源地址与所述第一地址匹配的业务报文时,将所述业务报文转发给所述第二地址对应的虚拟服务节点;将所述第二流表下发给所述第二地址对应的虚拟服务节点,指示所述虚拟服务节点对收到的业务报文进行安全增值业务处理,在所述业务报文的源地址与所述第一地址匹配时,将处理后的业务报文转发给接收第一流表的虚拟接入设备。
当所述用户设备对应多个安全增值业务时,
所述确定模块11,用于确定所述多个安全增值业务的执行顺序;所述生成模块12,用于按照所述执行顺序生成包括多个虚拟服务节点的服务链,所述服务链中的第N个虚拟服务节点用于提供第N个执行的安全增值业务;
所述发送模块13,用于向虚拟接入设备下发所述第一流表,指示所述虚拟接入设备将源地址与所述第一地址匹配的业务报文转发到所述服务链的第一个虚拟服务节点;向所述服务链的最后一个虚拟服务节点下发第二流表,指示所述最后一个虚拟服务节点对收到的业务报文进行安全增值业务处理,并在所述业务报文的源地址与所述第一地址匹配时,将处理后的业务报文转发给接收所述第一流表的虚拟接入设备;向所述服务链中的第N个虚拟服务节点下发第三流表,指示所述第N个虚拟服务节点对收到的业务报文进行安全增值业务处理,并在所述业务报文的源地址与所述第一地址匹配时,将处理后的业务报文转发给第N+1个虚拟服务节点;其中,N为大于等于1的正整数,接收第三流表的第N个虚拟服务节点不包括所述最后一个虚拟服务节点。
所述业务报文的传输装置还包括:处理模块14,用于监控所述服务资源池中的每个虚拟服务节点的性能;利用所述虚拟服务节点的性能,按照预设的调度策略,执行如下一项或多项操作:部署新的虚拟服务节点、关闭已部署的虚拟服务节点、选择为所述用户设备提供安全增值业务的虚拟服务节点。
所述确定模块11,用于在确定用户设备的第一地址和安全增值业务的过程中,接收虚拟接入设备通知的用户设备的第一地址和所述安全增值业务;所述虚拟接入设备是通过向用户设备推送的服务页面获取的所述安全增值业务。
其中,本发明装置的各个模块可以集成于一体,也可以分离部署。上述模块可以合并为一个模块,也可以拆分成多个子模块。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。本领域技术人员可以理解附图只是一个优选实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。
本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可拆分成多个子模块。上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
以上公开的仅为本发明的几个实施例,但是,本发明并非局限于此,任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
Claims (10)
1.一种业务报文的传输方法,其特征在于,在服务资源池内部署用于提供安全增值业务的虚拟服务节点,并在网络中为用户设备部署虚拟接入设备,所述方法包括以下步骤:
软件定义网络SDN控制器确定用户设备的第一地址和安全增值业务,并获得用于提供所述用户设备的安全增值业务的虚拟服务节点的第二地址;
所述SDN控制器利用所述第一地址和所述第二地址,生成所述用户设备对应的第一流表和第二流表;
所述SDN控制器将所述第一流表下发给虚拟接入设备,指示所述虚拟接入设备在接收到源地址与所述第一地址匹配的业务报文时,将所述业务报文转发给所述第二地址对应的虚拟服务节点;
所述SDN控制器将所述第二流表下发给所述第二地址对应的虚拟服务节点,指示所述虚拟服务节点对收到的业务报文进行安全增值业务处理,在所述业务报文的源地址与所述第一地址匹配时,将处理后的业务报文转发给接收第一流表的虚拟接入设备。
2.根据权利要求1所述的方法,其特征在于,当所述用户设备对应多个安全增值业务时,所述方法还包括:
所述SDN控制器确定所述多个安全增值业务的执行顺序,按照所述执行顺序生成包括多个虚拟服务节点的服务链,所述服务链中的第N个虚拟服务节点用于提供第N个执行的安全增值业务;
所述SDN控制器向虚拟接入设备下发所述第一流表,指示所述虚拟接入设备将源地址与所述第一地址匹配的业务报文转发到所述服务链的第一个虚拟服务节点;
所述SDN控制器向所述服务链的最后一个虚拟服务节点下发第二流表,指示所述最后一个虚拟服务节点对收到的业务报文进行安全增值业务处理,并在所述业务报文的源地址与所述第一地址匹配时,将处理后的业务报文转发给接收所述第一流表的虚拟接入设备;
所述SDN控制器向所述服务链中的第N个虚拟服务节点下发第三流表,指示所述第N个虚拟服务节点对收到的业务报文进行安全增值业务处理,并在所述业务报文的源地址与所述第一地址匹配时,将处理后的业务报文转发给第N+1个虚拟服务节点;其中,N为大于等于1的正整数,接收第三流表的第N个虚拟服务节点不包括所述最后一个虚拟服务节点。
3.根据权利要求1或2所述的方法,其特征在于,所述方法还包括:
所述SDN控制器监控所述服务资源池中的每个虚拟服务节点的性能;
所述SDN控制器利用所述虚拟服务节点的性能,按照预设的调度策略,执行如下一项或多项操作:部署新的虚拟服务节点、关闭已部署的虚拟服务节点、选择为所述用户设备提供安全增值业务的虚拟服务节点。
4.根据权利要求1所述的方法,其特征在于,所述SDN控制器确定用户设备的第一地址和安全增值业务之前,所述方法还包括:
虚拟接入设备获得用户设备的第一地址,并向所述用户设备推送服务页面,通过所述服务页面获取所述用户设备的安全增值业务,并将所述用户设备的第一地址和所述安全增值业务发送给所述SDN控制器。
5.根据权利要求4所述的方法,其特征在于,
所述虚拟接入设备向所述用户设备推送服务页面之前,所述方法还包括:
物理接入设备在接收到来自用户设备的认证请求报文时,将所述认证请求报文发送给认证服务器,由所述认证服务器利用所述认证请求报文中的用户信息对所述用户设备进行认证;如果所述用户设备通过认证,则接收来自所述认证服务器的认证成功报文,并将所述认证请求报文发送给所述虚拟接入设备;
所述虚拟接入设备向所述用户设备推送服务页面的过程,包括:
所述虚拟接入设备接收来自所述物理接入设备的认证请求报文,并利用所述认证请求报文中的用户信息对所述用户设备进行认证;如果所述用户设备通过认证,则所述虚拟接入设备利用所述认证请求报文向所述用户设备推送服务页面;或者,所述虚拟接入设备接收来自所述物理接入设备的认证请求报文,并利用所述认证请求报文向所述用户设备推送服务页面。
6.根据权利要求5所述的方法,其特征在于,所述方法还包括:
所述物理接入设备在将所述认证请求报文发送给认证服务器的过程中,所述物理接入设备确定所述用户设备的接入位置信息,并将所述接入位置信息添加到所述认证请求报文,并将该认证请求报文发送给所述认证服务器;
所述认证服务器在利用所述认证请求报文中的用户信息确定所述用户设备通过认证之后,利用所述认证请求报文中携带的用户信息和接入位置信息,查询预先配置的安全增值业务表,所述安全增值业务表中记录了需要进行安全增值业务的用户设备的用户信息和接入位置信息;如果所述安全增值业务表中有对应的记录,则在认证成功报文中添加所述用户设备需要进行安全增值业务的信息,并将所述认证成功报文发送给所述物理接入设备;
所述物理接入设备在接收到所述认证成功报文后,如果确定所述认证成功报文中携带了所述用户设备需要进行安全增值业务的信息,则所述物理接入设备将所述认证请求报文发送给所述虚拟接入设备。
7.一种业务报文的传输装置,其特征在于,在服务资源池内部署用于提供安全增值业务的虚拟服务节点,并在网络中为用户设备部署虚拟接入设备,所述业务报文的传输装置应用在软件定义网络SDN控制器上,且所述业务报文的传输装置包括:
确定模块,用于确定用户设备的第一地址和安全增值业务,并获得用于提供所述用户设备的安全增值业务的虚拟服务节点的第二地址;
生成模块,用于利用所述第一地址和所述第二地址,生成所述用户设备对应的第一流表和第二流表;
发送模块,用于将所述第一流表下发给虚拟接入设备,指示所述虚拟接入设备在接收到源地址与所述第一地址匹配的业务报文时,将所述业务报文转发给所述第二地址对应的虚拟服务节点;将所述第二流表下发给所述第二地址对应的虚拟服务节点,指示所述虚拟服务节点对收到的业务报文进行安全增值业务处理,在所述业务报文的源地址与所述第一地址匹配时,将处理后的业务报文转发给接收第一流表的虚拟接入设备。
8.根据权利要求7所述的装置,其特征在于,当所述用户设备对应多个安全增值业务时;
所述确定模块,用于确定所述多个安全增值业务的执行顺序;
所述生成模块,用于按照所述执行顺序生成包括多个虚拟服务节点的服务链,所述服务链中的第N个虚拟服务节点用于提供第N个执行的安全增值业务;
所述发送模块,用于向虚拟接入设备下发所述第一流表,指示所述虚拟接入设备将源地址与所述第一地址匹配的业务报文转发到所述服务链的第一个虚拟服务节点;向所述服务链的最后一个虚拟服务节点下发第二流表,指示所述最后一个虚拟服务节点对收到的业务报文进行安全增值业务处理,并在所述业务报文的源地址与所述第一地址匹配时,将处理后的业务报文转发给接收所述第一流表的虚拟接入设备;向所述服务链中的第N个虚拟服务节点下发第三流表,指示所述第N个虚拟服务节点对收到的业务报文进行安全增值业务处理,并在所述业务报文的源地址与所述第一地址匹配时,将处理后的业务报文转发给第N+1个虚拟服务节点;其中,N为大于等于1的正整数,接收第三流表的第N个虚拟服务节点不包括所述最后一个虚拟服务节点。
9.根据权利要求7或8所述的装置,其特征在于,还包括:
处理模块,用于监控所述服务资源池中的每个虚拟服务节点的性能;
利用所述虚拟服务节点的性能,按照预设的调度策略,执行如下一项或多项操作:部署新的虚拟服务节点、关闭已部署的虚拟服务节点、选择为所述用户设备提供安全增值业务的虚拟服务节点。
10.根据权利要求7所述的装置,其特征在于,
所述确定模块,用于在确定用户设备的第一地址和安全增值业务的过程中,接收虚拟接入设备通知的用户设备的第一地址和所述安全增值业务;所述虚拟接入设备是通过向用户设备推送的服务页面获取的所述安全增值业务。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510530548.1A CN105592047B (zh) | 2015-08-26 | 2015-08-26 | 一种业务报文的传输方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510530548.1A CN105592047B (zh) | 2015-08-26 | 2015-08-26 | 一种业务报文的传输方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105592047A true CN105592047A (zh) | 2016-05-18 |
| CN105592047B CN105592047B (zh) | 2019-01-25 |
Family
ID=55931264
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510530548.1A Active CN105592047B (zh) | 2015-08-26 | 2015-08-26 | 一种业务报文的传输方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105592047B (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106878193A (zh) * | 2017-02-10 | 2017-06-20 | 新华三技术有限公司 | 一种负载分担方法及装置 |
| WO2018041152A1 (zh) * | 2016-08-30 | 2018-03-08 | 新华三技术有限公司 | 宽带远程接入服务器控制平面功能和转发平面功能的分离 |
| CN107819602A (zh) * | 2016-09-14 | 2018-03-20 | 中国电信股份有限公司 | 用户流量分配方法和系统 |
| CN107920023A (zh) * | 2017-12-29 | 2018-04-17 | 深信服科技股份有限公司 | 一种安全资源池的实现方法及系统 |
| CN108429731A (zh) * | 2018-01-22 | 2018-08-21 | 新华三技术有限公司 | 防攻击方法、装置及电子设备 |
| CN108667888A (zh) * | 2017-09-08 | 2018-10-16 | 新华三技术有限公司 | 一种负载均衡方法和装置 |
| CN109156040A (zh) * | 2016-05-26 | 2019-01-04 | 华为技术有限公司 | 一种通信控制的方法及相关网元 |
| CN112422397A (zh) * | 2020-11-05 | 2021-02-26 | 中国联合网络通信集团有限公司 | 业务转发方法及通信装置 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140328350A1 (en) * | 2013-05-03 | 2014-11-06 | Alcatel-Lucent Usa, Inc. | Low-cost flow matching in software defined networks without tcams |
| CN104219150A (zh) * | 2014-09-03 | 2014-12-17 | 杭州华三通信技术有限公司 | 流表下发方法及装置 |
| CN104486103A (zh) * | 2014-12-03 | 2015-04-01 | 杭州华三通信技术有限公司 | 一种报文传输的方法和设备 |
| CN104582004A (zh) * | 2015-01-13 | 2015-04-29 | 成都西加云杉科技有限公司 | 基于sdn的wlan分层组网系统及方法 |
| CN104618262A (zh) * | 2015-01-15 | 2015-05-13 | 杭州华三通信技术有限公司 | 一种报文处理的方法和设备 |
| CN104837147A (zh) * | 2014-02-12 | 2015-08-12 | 中兴通讯股份有限公司 | 无线访问接入点的配置方法及系统 |
-
2015
- 2015-08-26 CN CN201510530548.1A patent/CN105592047B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140328350A1 (en) * | 2013-05-03 | 2014-11-06 | Alcatel-Lucent Usa, Inc. | Low-cost flow matching in software defined networks without tcams |
| CN104837147A (zh) * | 2014-02-12 | 2015-08-12 | 中兴通讯股份有限公司 | 无线访问接入点的配置方法及系统 |
| CN104219150A (zh) * | 2014-09-03 | 2014-12-17 | 杭州华三通信技术有限公司 | 流表下发方法及装置 |
| CN104486103A (zh) * | 2014-12-03 | 2015-04-01 | 杭州华三通信技术有限公司 | 一种报文传输的方法和设备 |
| CN104582004A (zh) * | 2015-01-13 | 2015-04-29 | 成都西加云杉科技有限公司 | 基于sdn的wlan分层组网系统及方法 |
| CN104618262A (zh) * | 2015-01-15 | 2015-05-13 | 杭州华三通信技术有限公司 | 一种报文处理的方法和设备 |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109156040A (zh) * | 2016-05-26 | 2019-01-04 | 华为技术有限公司 | 一种通信控制的方法及相关网元 |
| CN109156040B (zh) * | 2016-05-26 | 2020-04-28 | 华为技术有限公司 | 一种通信控制的方法及相关网元 |
| WO2018041152A1 (zh) * | 2016-08-30 | 2018-03-08 | 新华三技术有限公司 | 宽带远程接入服务器控制平面功能和转发平面功能的分离 |
| US11038711B2 (en) | 2016-08-30 | 2021-06-15 | New H3C Technologies Co., Ltd. | Separating control plane function and forwarding plane function of broadband remote access server |
| CN107819602A (zh) * | 2016-09-14 | 2018-03-20 | 中国电信股份有限公司 | 用户流量分配方法和系统 |
| CN106878193A (zh) * | 2017-02-10 | 2017-06-20 | 新华三技术有限公司 | 一种负载分担方法及装置 |
| CN108667888A (zh) * | 2017-09-08 | 2018-10-16 | 新华三技术有限公司 | 一种负载均衡方法和装置 |
| CN107920023A (zh) * | 2017-12-29 | 2018-04-17 | 深信服科技股份有限公司 | 一种安全资源池的实现方法及系统 |
| CN108429731A (zh) * | 2018-01-22 | 2018-08-21 | 新华三技术有限公司 | 防攻击方法、装置及电子设备 |
| CN112422397A (zh) * | 2020-11-05 | 2021-02-26 | 中国联合网络通信集团有限公司 | 业务转发方法及通信装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105592047B (zh) | 2019-01-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105592047A (zh) | 一种业务报文的传输方法和装置 | |
| CN105577637B (zh) | 用于安全虚拟网络功能间通信的计算设备、方法和机器可读存储介质 | |
| CN108881308B (zh) | 一种用户终端及其认证方法、系统、介质 | |
| CN107819732B (zh) | 用户终端访问本地网络的方法和装置 | |
| WO2014142299A1 (ja) | 通信端末と通信制御装置と通信システムと通信制御方法並びにプログラム | |
| US10623278B2 (en) | Reactive mechanism for in-situ operation, administration, and maintenance traffic | |
| US10516535B2 (en) | Management apparatus, measurement apparatus, service providing apparatus, computer program product, transfer system, and transfer method | |
| CN104580553A (zh) | 网络地址转换设备的识别方法和装置 | |
| CN107135190A (zh) | 基于传输层安全连接的数据流量归属识别方法及装置 | |
| EP3457657A1 (en) | Access control method and system, and switch | |
| Cui et al. | Transaction-based flow rule conflict detection and resolution in SDN | |
| CN107040508B (zh) | 用于适配终端设备的授权信息的设备和方法 | |
| CN104780165A (zh) | 一种报文入标签的安全验证方法和设备 | |
| US10785147B2 (en) | Device and method for controlling route of traffic flow | |
| Kaur et al. | Performance impact of topology poisoning attack in SDN and its countermeasure | |
| EP3907964A1 (en) | Method device and system for policy based packet processing | |
| US20230283588A1 (en) | Packet processing method and apparatus | |
| US20210195418A1 (en) | A technique for authenticating data transmitted over a cellular network | |
| CN105592054B (zh) | 一种lsp报文的处理方法和装置 | |
| CN104639439A (zh) | 一种业务报文的处理方法和设备 | |
| CN105610599B (zh) | 用户数据管理方法及装置 | |
| CN113098825A (zh) | 一种基于扩展802.1x的接入认证方法及系统 | |
| CN113098954B (zh) | 报文转发方法、装置、计算机设备和存储介质 | |
| CN112887968B (zh) | 一种网络设备管理方法、装置、网络管理设备及介质 | |
| CN106790011B (zh) | 一种会话建立方法、系统及lsp出口节点及入口节点 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant after: Xinhua three Technology Co., Ltd. Address before: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant before: Huasan Communication Technology Co., Ltd. |
|
| CB02 | Change of applicant information | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |