WO2015184586A1

WO2015184586A1 - 开放流通信方法、系统、控制器和业务网关

Info

Publication number: WO2015184586A1
Application number: PCT/CN2014/079084
Authority: WO
Inventors: 朱韧; 周伟
Original assignee: 华为技术有限公司
Priority date: 2014-06-03
Filing date: 2014-06-03
Publication date: 2015-12-10
Also published as: CN106464596A; EP3142306A4; JP6395867B2; KR101938623B1; KR20170013332A; EP3142306A1; US20170085473A1; EP3142306B1; US10148565B2; CN106464596B; JP2017517220A

Abstract

本发明公开了一种开放流通信方法和控制器、虚拟交换机以及业务网关，接收业务网关发送的需要转移的动作；根据需要转移的动作以及网络拓扑结构选择一个合适的虚拟交换机；分别向业务网关和虚拟交换机下发流表，并在业务网关与虚拟交换机之间建立第一数据通道以转送数据包；向虚拟交换机下发带扩展动作流表，以对数据包执行相关扩展动作；将虚拟交换机执行相关扩展动作后的数据包发送至目的服务器。通过以上公开内容，本发明能够在业务网关上处理能力不足时，将一部份数据处理业务从业务网关转移到虚拟服务器执行，实现系统中各网元的负载均衡，提高系统的利用率和吞吐量，进而提高整个系统的性能。

Description

开放流通信方法、系统、控制器和业务网关

【技术领域】

本发明涉及通信领域，特别是涉及一种开放流通信方法、系统、控制器和业务网关。

【背景技术】

随着经济社会全球化，越来越多的企事业组织在全国甚至全球建立分支机构，越来越多的出差员工在非固定场所访问总部业务系统。同时，随着业务持续扩展和应用日益复杂，组织的IT（Information Technology，信息技术）基础架构越来越朝着集中管理的方向发展，建立数据中心和云服务成为IT建设的潮流。而企业业务网关作为数据中心和云服务中心的入口，其吐吞能力直接影响整个数据中心和云服务中心的性能。

美国斯坦福大学提出的支持网络创新研究的新型网络交换模型开放流（Openflow），其协议逐步完善，并成功应用到实际网络中，而其在数据中心网络中的应用尤为突出。如图1所示，开放流网络拓扑结构包括：Openflow控制器11、Openflow交换机12、终端13和将它们进行连接的链路。其中，Openflow控制器11中存储整个网络的拓扑结构，为需要转发的数据流生成流表，并下发到相应的交换机；而Openflow交换机12中存储Openflow控制器11下发的流表信息，并根据流表信息进行Openflow交换机12之间以及Openflow交换机12与终端13之间的数据转发。

数据中心网络拓扑结构往往为树型结构，企业业务网关作为数据中心的入口（树根），除负责网络转发外，还需要对数据进行一定处理，例如在网络安全方面，对数据进行“加解密，DPI (Deep Packet Inspection，深度包检测技术)…”，另外还有数据压缩和解压缩等。具体地，包括：

1. 企业业务网关收到客户端请求，对数据进行安全检测（IPSEC （InternetProtocolSecurity，Internet协议安全性），DPI）等数据处理。

2. 数据处理完成，根据请求服务类型将待处理数据包转发至后端服务器。

3.服务器进行处理，并将处理结果转至企业业务网关。

4.企业业务网关收到服务数据，进行一定处理，将封装好的数据包，转发至客户端。

现有的企业业务网关作为整个数据中心的入口，当待处理数据量超出其能力时，其成了整个系统的瓶颈，而后端服务器大量的计算资源却空闲。如此就需要找到一种能够解决该瓶颈问题的方法。

【发明内容】

有鉴于此，本发明实施例提供了开放流通信方法、系统、控制器和业务网关，能够实现系统中各网元的负载均衡，提高系统的利用率和吞吐量，进而提高整个系统的性能。

第一方面提供一种开放流通信方法，该方法包括：接收业务网关发送的转移处理请求，转移处理请求中包含需要转移的动作；根据需要转移的动作以及网络拓扑结构选择一个服务器作为虚拟交换机；向业务网关下发第一流表，第一流表用于业务网关向虚拟交换机转送数据包；向虚拟交换机下发第二流表，第二流表包含用于指示虚拟交换机对数据包执行动作的指令，以使虚拟交换机对数据包执行动作，并将执行动作后的数据包发送至数据包的目的服务器。

结合第一方面的实现方式，在第一种可能的实现方式中，方法还包括：如果虚拟交换机中没有将数据包发送到数据包的目的服务器的流表，则接收虚拟交换机发送的针对数据包的请求数据包的处理规则消息；向虚拟交换机下发第三流表，第三流表用于虚拟交换机向数据包的目的服务器发送执行动作后的数据包。

结合第一方面的实现方式，在第二种可能的实现方式中，动作包括数据包加密、解密、深度包检测、数据压缩或数据解压缩中的至少一个。

第二方面提供一种控制器，包括：接收模块，用于接收业务网关发送的转移处理请求，转移处理请求中包含需要转移的动作；选择模块，用于根据需要转移的动作以及网络拓扑结构选择一个服务器作为虚拟交换机；第一流表下发模块，用于向业务网关下发第一流表，第一流表用于业务网关向虚拟交换机转送数据包；第二流表下发模块，用于向虚拟交换机下发第二流表，第二流表包含用于指示虚拟交换机对数据包执行动作的指令，以使虚拟交换机对数据包执行动作，并将执行动作后的数据包发送至数据包的目的服务器。

结合第二方面的实现方式，在第一种可能的实现方式中，如果虚拟交换机中没有相关流表，则控制器还包括第三流表下发模块，接收模块接收虚拟交换机发送的针对数据包的请求数据包的处理规则消息；第三下发模块向虚拟交换机下发第三流表，第三流表用于虚拟交换机向数据包的目的服务器发送执行动作后的数据包。

结合第二方面的实现方式，在第二种可能的实现方式中，动作包括数据包加密、解密、深度包检测、数据压缩或数据解压缩中的至少一个。

第三方面提供一种开放流通信方法，包括：当负载超过预设阈值时，向控制器发送转移处理请求，转移处理请求中包含需要转移的动作以便控制器选择一个服务器作为虚拟交换机；接收控制器下发的流表；根据流表将数据包转送至虚拟交换机以便虚拟交换机对数据包执行动作并发送至数据包的目的服务器。

结合第三方面的实现方式，在第一种可能的实现方式中，根据流表将数据包转送至虚拟交换机，具体为根据流表将使用IP_IN_IP方式封装的数据包转送至虚拟交换机。

结合第三方面的实现方式，在第二种可能的实现方式中，动作包括数据包加密、解密、深度包检测、数据压缩或数据解压缩中的至少一个。

第四方面提供一种业务网关。包括：发送模块，用于当负载超过预设阈值时，向控制器发送转移处理请求，转移处理请求中包含需要转移的动作以便控制器选择一个服务器作为虚拟交换机；接收模块，用于接收控制器下发的流表；转送模块，用于根据流表将数据包转送至虚拟交换机以便虚拟交换机对数据包执行动作并发送至数据包的目的服务器。

结合第四方面的实现方式，在第一种可能的实现方式中，转送模块具体用于根据流表将使用IP_IN_IP方式封装的数据包转送至虚拟交换机。

结合第四方面的实现方式，在第二种可能的实现方式中，动作包括数据包加密、解密、深度包检测、数据压缩或数据解压缩中的至少一个。

第五方面提供一种控制器，包括：接收器、处理器、发送器以及存储器，其中：接收器用于接收业务网关发送的转移处理请求，转移处理请求中包含需要转移的动作；存储器，用于存储程序代码；处理器与接收器连接，用于调用存储器存储的程序代码执行如下方法：根据需要转移的动作以及网络拓扑结构选择一个服务器作为虚拟交换机；发送器还用于向业务网关下发第一流表，第一流表用于业务网关向虚拟交换机转送数据包；发送器还用于向虚拟交换机下发第二流表，第二流表包含用于指示虚拟交换机对数据包执行动作的指令，以使虚拟交换机对数据包执行动作，并将执行动作后的数据包发送至数据包的目的服务器。

结合第五方面的实现方式，在第一种可能的实现方式中，如果虚拟交换机中没有相关流表，则接收器还用于接收虚拟交换机发送的针对数据包的请求数据包的处理规则消息；发送器向虚拟交换机下发第三流表，第三流表用于虚拟交换机向数据包的目的服务器发送执行动作后的数据包。

结合第五方面的实现方式，在第二种可能的实现方式中，动作包括数据包加密、解密、深度包检测、数据压缩或数据解压缩中的至少一个。

第六方面提供一种业务网关，包括：发送器、接收器、处理器以及存储器，其中：当负载超过预设阈值时，发送器向控制器发送转移处理请求，转移处理请求中包含需要转移的动作以便控制器选择一个服务器作为虚拟交换机；接收器用于接收控制器下发的流表；存储器，用于存储程序代码；处理器用于调用存储器存储的程序代码执行如下方法：根据流表将数据包转送至虚拟交换机以便虚拟交换机对数据包执行动作并发送至数据包的目的服务器。

结合第六方面的实现方式，在第一种可能的实现方式中，处理器执行的方法中，根据流表将数据包转送至虚拟交换机，具体为：根据流表将使用IP_IN_IP方式封装的数据包通过第一数据通道转送至虚拟交换机。

结合第六方面的实现方式，在第二种可能的实现方式中，动作包括数据包加密、解密、深度包检测、数据压缩或数据解压缩中的至少一个。

第七方面提供一种开放流通信系统，包括：控制器、业务网关以及至少一个服务器，其中：业务网关向控制器发送转移处理请求，转移处理请求中包含需要转移的动作；控制器根据需要转移的动作以及网络拓扑结构选择至少一个服务器中的一个服务器作为虚拟交换机；控制器向业务网关下发第一流表；业务网关根据第一流表将数据包转送至虚拟交换机；控制器向虚拟交换机下发第二流表，第二流表包含用于指示虚拟交换机对数据包执行动作的指令；虚拟交换机根据第二流表对数据包执行动作并发送至数据包的目的服务器。

结合第七方面的实现方式，在第一种可能的实现方式中，如果虚拟交换机中没有将数据包发送到数据包的目的服务器的流表，则虚拟交换机还用于向控制器发送请求数据包的处理规则消息；控制器还用于向虚拟交换机下发第三流表，第三流表用于虚拟交换机向数据包的目的服务器发送执行动作后的数据包。

结合第七方面的实现方式，在第二种可能的实现方式中，动作包括数据包加密、解密、深度包检测、数据压缩或数据解压缩中的至少一个。

结合第七方面的实现方式，在第三种可能的实现方式中，业务网关用于根据所述第一流表将数据包转送至所述虚拟交换机，具体为根据第一流表将使用IP_IN_IP方式封装的数据包转送至虚拟交换机。

本发明通过接收业务网关发送的需要转移的转移处理请求，包含需要转移的动作；根据需要转移的动作以及网络拓扑结构选择一个服务器作为虚拟交换机；向业务网关下发第一流表，用于业务网关向虚拟交换机转送数据包；向虚拟交换机下发第二流表，包含用于指示虚拟交换机对数据包执行处理动作的指令，以使虚拟交换机对数据包执行处理动作，并将执行处理动作后的数据包发送至数据包的目的服务器，实现系统中各网元的负载均衡，提高系统的利用率和吞吐量，进而提高整个系统的性能。

【附图说明】

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1是现有技术中的开放流的网络拓扑结构图；

图2是本发明的开放流的网络拓扑结构图；

图3 是图2中业务网关上报控制器的消息格式示意图；

图4是图2中控制器下发的各消息格式示意图；

图5 是图2中控制器下发第二流表的消息格式示意图

图6是本发明第一实施例的开放流通信方法的流程示意图；

图7是本发明第一实施例的控制器的结构示意图；

图8 是本发明第二实施例的开放流通信方法的流程示意图；

图9是本发明第一实施例的业务网关的结构示意图；

图10是本发明第二实施例的控制器的结构示意图；

图11是本发明第二实施例的业务网关的结构示意图；

图12是本发明第一实施例的开放流通信系统的结构示意图。

【具体实施方式】

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

请参阅图2 ，图2是本发明的开放流的网络拓扑结构图。如图2 所示，开放流的网络拓扑包括：业务网关22、控制器21、虚拟交换机23、目的服务器24以及路由器25。以解密为例，当业务网关22收到数据包解密请求时，检查系统负载，如果负载超过给定阈值，即业务网关22的处理能力不足，则参照图2，执行以下过程：

1、业务网关22将需要转移的请求资源上报控制器21。其中，所需转移的请求资源与动作（Action）对应，其中，动作为等待处理的处理过程或需要执行的操作等。假设此处的动作为解密动作，则所需转移的请求资源与解密相关，业务网关22以资源请求消息的形式向控制器21上报所需转移的请求资源，具体的资源请求消息的格式如图3所示，其中，IP（Internet Protocol，网络互连协议）包括源IP和目的IP，源IP为业务网关22的IP地址，目的IP为控制器21的IP地址，TCP（Transmission Control Protocol，传输控制协议）表示资源请求消息通过TCP协议的端口进行传送，本实施例中优选为6633端口，OF表示资源请求消息的传送过程严格遵循openflow（开放流）协议，S_req的值为1，代表消息为资源请求，Req_type代表资源请求的类型，其数据长度为4个字节，优选地，1为加密资源，2为解密资源，3为压缩资源等。在本发明的其他实施例中，也可以是其他的动作，如解压缩动作，DPI(Deep Packet Inspection，深度包检测技术)扫描等等。不同的动作对应的所需转移的请求资源也就不同。本处实施例中，业务网关22向控制器21发送资源请求消息，表明按照openflow协议进行资源请求，请求解密资源。

2、控制器21根据业务网关22上报的所需资源以及网络拓扑结构，在后端交换机集群中选择一个合适的服务器作为虚拟交换机23，且优选的尽可能与目的服务器距离为最短的路径。

3、控制器21下发第一流表，以在业务网关22与虚拟交换机23之间，建立第一数据通道，用于业务网关22向虚拟交换机23转送数据包。具体地，控制器21向业务网关22下发第一流表，其格式如图4中的a)所示，其中，F_add 表示添加一条流表， Action中填写PUSH_IPHEAD表示为增加IP头操作，IP、TCP、OF与图3中的资源请求消息中的含义相同，在此不再赘述。控制器21还向虚拟交换机23下发第一流表，其格式如图4中的b)所示，Action中填写POP_IPHEAD表示为删除IP头操作。在本发明实施例中，业务网关22与虚拟交换机23之间，使用IP_IN_IP（IP里面封装IP）方式传输数据，要传输的数据为业务网关22在流表操作前的数据包，即原始数据包，如图4中的c)所示。在此基础上业务网关22根据流表执行封装“VGW_IP”操作，得到的流表操作后的数据包格式，其中“VGW_IP”为虚拟交换机23的IP，如图4中的d)所示。业务网关22将流表操作后的数据包发送到虚拟交换机23，得到虚拟交换机23执行流表操作前数据包格式，如图4中的e)所示。虚拟交换机23执行流表操作删除IP头，得到流表操作后数据包格式，如图4中的f)所示。当然，在本发明的其他实施例中，也可以采用其他的方式来传输数据，如直接修改MAC（Media Access Control，介质访问控制）地址等。在业务网关22与虚拟交换机23之间建立第一数据通道并传输数据的同时，控制器21还下发带第二流表到选中的虚拟交换机23中，第二流表包含用于指示虚拟交换机23对数据包执行动作的指令。控制器21向虚拟交换机23下发的第二流表的格式如图5所示，要执行的动作为解密， KEY和KEY_LEN分别表示密钥和密钥的长度。

4、虚拟交换机23执行解密动作，得到原始数据包信息。

5、虚拟交换机23根据原始数据包信息，将数据包转发至目的服务器24。如果虚拟交换机23中没有相关流表，则向控制器21发送针对数据包的请求数据包处理规则的PACKET_IN消息，由控制器21下发第三流表为虚拟交换机23和目的服务器24之间建立第二数据通道，用于虚拟交换机23向数据包的目的服务器24发送执行所述动作后的数据包。在本发明实施例中，目的服务器24与虚拟交换机23可能是同一个服务器，也可能不是同一个服务器。而控制器21为虚拟交换机23和目的服务器24之间建立第二数据通道时，虚拟交换机23可以通过路由器25与目的服务器建立第二数据通道。

如此完成了在业务网关22检查到系统负载超过给定阈值时，通过控制器21将业务网关22的动作转移到虚拟交换机23执行。后续如果业务网关22继续收到动作请求，并且检查到系统负载超过给定阈值，则重复执行上述过程，将业务网关22的动作迁移到虚拟交换机23执行，直到业务网关22不再收到动作请求或未检查到系统负载超过给定阈值，此时系统稳定。如此在业务网关22处理能力不足时，将一部份数据处理业务从业务网关22转移到虚拟交换机23执行，能够实现系统中各网元的负载均衡，提高系统的利用率和吞吐量，进而提高整个系统的性能。

参见图6，图6是本发明第一实施例的开放流通信方法的流程示意图。如图6所示，开放流通信方法包括：

S10：接收业务网关发送的转移处理请求，转移处理请求中包含需要转移的动作。

其中，动作为等待处理的处理过程或需要执行的操作等。动作包括数据包加密、解密、深度包检测、数据压缩或数据解压缩中的至少一个。在S10中，业务网关检查到系统负载超过给定阈值，需要将动作进行转移。接收业务网关发送的需要转移的动作也就是接收业务网关发送的与动作相关的请求资源，以便转移到其他网元执行该动作。

S11：根据需要转移的动作以及网络拓扑结构选择一个服务器作为虚拟交换机。

S12：向业务网关下发第一流表，第一流表用于业务网关向虚拟交换机转送数据包。

在S12中，在向业务网关下发第一流表的同时还向虚拟交换机下发第一流表。向业务网关下发的第一流表指示增加IP头操作，即表示由业务网关转送到虚拟交换机的数据包在原始的数据包的基础上封装了虚拟交换机的IP。而向虚拟交换机下发的第一流表指示删除IP头操作，即在接收业务网关转送的数据包的基础上去除封装的IP，如此虚拟交换机即可获得原始的数据包。

S13：向虚拟交换机下发第二流表，第二流表包含用于指示虚拟交换机对数据包执行动作的指令，以使虚拟交换机对数据包执行动作，并将执行动作后的数据包发送至数据包的目的服务器。优选的，下发的第二流表还包含与动作对应的资源信息，以使虚拟交换机根据资源信息对数据包执行动作，例如，根据解密相关的密钥信息执行解密操作。

在S13中，动作包括数据包加密、解密、深度包检测、数据压缩或数据解压缩中的至少一种，与动作对应的资源信息包括密钥或DPI规则等。如此在业务网关上处理能力不足时，将一部份数据处理业务从业务网关转移到虚拟服务器执行，能够实现系统中各网元的负载均衡，提高系统的利用率和吞吐量，进而提高整个系统的性能。

如果虚拟交换机中没有将数据包发送到数据包的目的服务器的流表，则接收虚拟交换机发送的PACKET_IN消息，生成第三流表；向虚拟交换机下发第三流表，在虚拟交换机与目的服务器之间建立第二数据通道，第三流表用于虚拟交换机向数据包的目的服务器发送执行所述动作后的数据包。在本发明实施例中，目的服务器与虚拟交换机可能是同一个服务器，也可能不是同一个服务器。而虚拟交换机和目的服务器之间建立第二数据通道时，可以通过路由器在两者之间建立第二数据通道。

请参阅图7，图7是本发明第一实施例的控制器的结构示意图。如图7所示，控制器10包括：接收模块101、选择模块102、第一流表下发模块103、第二流表下发模块104以及第三流表下发模块105。

接收模块101用于接收业务网关发送的转移处理请求，转移处理请求中包含需要转移的动作。选择模块102与接收模块连接101，用于根据需要转移的动作以及网络拓扑结构选择一个服务器作为虚拟交换机。其中，动作为等待处理的处理过程或需要执行的操作等。动作包括数据包加密、解密、深度包检测、数据压缩或数据解压缩中的至少一个。第一流表下发模块103与选择模块102连接，用于向业务网关下发第一流表，在业务网关与虚拟交换机之间建立第一数据通道，第一流表用于业务网关向虚拟交换机转送数据包。在本发明实施例中，第一流表下发模块103在向业务网关下发第一流表的同时，还向虚拟交换机下发第一流表。向业务网关下发的第一流表指示增加IP头操作，即表示由业务网关转送到虚拟交换机的数据包在原始的数据包的基础上封装了虚拟交换机的IP。而向虚拟交换机下发的第一流表指示删除IP头操作，即在接收业务网关转送的数据包的基础上去除封装的IP，如此虚拟交换机即可获得原始的数据包。第二流表下发模块104，与选择模块102以及第一下发模块103连接，用于向虚拟交换机下发第二流表，第二流表包含用于指示虚拟交换机对数据包执行动作的指令，以使虚拟交换机对数据包执行动作，并将执行动作后的数据包发送至数据包的目的服务器。进一步的，第二流表中还包括与动作对应的资源信息，包括密钥或DPI规则等与执行动作操作相关的信息。在本发明实施例中，如果虚拟交换机中没有将数据包发送到数据包的目的服务器的流表，则接收模块101还用于接收虚拟交换机发送的针对数据包的PACKET_IN消息；第三下发流表模块105向虚拟交换机下发第三流表，在虚拟交换机与目的服务器之间建立第二数据通道，第三流表用于虚拟交换机向数据包的目的服务器发送执行动作后的数据包。如此在业务网关上处理能力不足时，将一部份数据处理业务从业务网关转移到虚拟服务器执行，能够实现系统中各网元的负载均衡，提高系统的利用率和吞吐量，进而提高整个系统的性能。

请参阅图8，图8是本发明第二实施例的开放流通信方法的流程示意图。如图8所示，开放流通信方法包括：

S20：当负载超过预设阈值时，向控制器发送转移处理请求，转移处理请求中包含需要转移的动作以便控制器选择一个服务器作为虚拟交换机。其中，动作为等待处理的处理过程或需要执行的操作等。动作包括数据包加密、解密、深度包检测、数据压缩或数据解压缩中的至少一个。

S21：接收控制器下发的流表。

S22：根据流表将数据包转送至虚拟交换机以便虚拟交换机对数据包执行动作并发送至数据包的目的服务器。在S32中，根据流表将使用IP_IN_IP方式封装的数据包转送至虚拟交换机。具体地，由业务网关转送到虚拟交换机的数据包在原始的数据包的基础上封装了虚拟交换机的IP。而虚拟交换机在接收到业务网关转送的数据包后去除封装的IP，即可获得原始的数据包。

在本发明实施例中，当负载超过预设阈值时，将一部份数据处理业务转移到虚拟服务器执行，能够实现系统中各网元的负载均衡，提高系统的利用率和吞吐量，进而提高整个系统的性能。

请参阅图9，图9是本发明第一实施例的业务网关的结构示意图。如图9所示，业务网关20包括：发送模块201、接收模块202以及转送模块203。

发送模块201用于当负载超过预设阈值时，向控制器发送转移处理请求，转移处理请求中包含需要转移的动作以便控制器选择一个服务器作为虚拟交换机。其中，动作为等待处理的处理过程或需要执行的操作等。动作包括数据包加密、解密、深度包检测、数据压缩或数据解压缩中的至少一个。接收模块202与发送模块201连接，用于接收控制器下发的流表。转送模块203与接收模块202连接，用于根据流表将数据包转送至虚拟交换机以便虚拟交换机对数据包执行动作并发送至数据包的目的服务器。其中，转送模块203根据数据包将使用IP_IN_IP方式封装的数据包转送至虚拟交换机。具体地，由业务网关转送到虚拟交换机的数据包在原始的数据包的基础上封装了虚拟交换机的IP。而虚拟交换机在接收到业务网关转送的数据包后去除封装的IP，即可获得原始的数据包。

在本发明实施例中，当负载超过预设阈值时，发送模块201向控制器发送转移处理请求，转移处理请求中包含需要转移的动作以便控制器以选择一个服务器作为虚拟交换机，接收模块202接收控制器下发的流表，转送模块203根据数据流表将数据包转送至虚拟交换机以便所述虚拟交换机对数据包执行动作并发送至数据包的目的服务器，如此在业务网关上处理能力不足时，将一部份数据处理业务从业务网关转移到虚拟服务器执行，能够实现系统中各网元的负载均衡，提高系统的利用率和吞吐量，进而提高整个系统的性能。

请参阅图10，图10是本发明第二实施例的控制器的结构示意图。如图10所示，控制器30包括：接收器301、处理器302、发送器303、存储器304以及数据总线305。接收器301、处理器302、发送器303、存储器304通过数据总线305相连，以进行相互通信。

在本发明实施例中，接收器301用于接收业务网关发送的转移处理请求，转移处理请求中包含需要转移的动作。存储器用于存储程序代码。处理器302用于调用存储器存储的程序代码执行如下方法：根据需要转移的动作以及网络拓扑结构选择一个服务器作为虚拟交换机。其中，动作为等待处理的处理过程或需要执行的操作等。动作包括数据包加密、解密、深度包检测、数据压缩或数据解压缩中的至少一个。发送器303向业务网关下发第一流表，在业务网关与虚拟交换机之间建立第一数据通道，第一流表用于业务网关向虚拟交换机转送数据包。在本发明实施例中，发送器303在向业务网关下发第一流表的同时，还向虚拟交换机下发第一流表。向业务网关下发的第一流表指示增加IP头操作，即表示由业务网关转送到虚拟交换机的数据包在原始的数据包的基础上封装了虚拟交换机的IP。而向虚拟交换机下发的第一流表指示删除IP头操作，即在接收业务网关转送的数据包的基础上去除封装的IP，如此虚拟交换机即可获得原始的数据包。

发送器303还向虚拟交换机下发第二流表，第二流表包含用于指示虚拟交换机对数据包执行动作的指令，以使虚拟交换机对数据包执行动作，并将执行动作后的数据包发送至数据包的目的服务器。其中第二流表中还可以包括与动作对应的资源信息，与动作对应的资源信息包括密钥或DPI规则等。存储器304还用于存储网络拓扑结构、发送器403向业务网关下发的第一流表以及向虚拟交换机下发的第二流表等。如果虚拟交换机中没有相关流表，则接收器接收虚拟交换机发送的PACKET_IN消息；发送器向虚拟交换机下发第三流表，第三流表用于虚拟交换机向数据包的目的服务器发送执行动作后的数据包。在本发明实施例中，通过将一部份数据处理业务从业务网关转移到虚拟服务器执行，能够实现系统中各网元的负载均衡，提高系统的利用率和吞吐量，进而提高整个系统的性能。

请参阅图11，图11是本发明第二实施例的业务网关的结构示意图。如图11所示，业务网关40包括：接收器401、处理器402、发送器403、存储器404以及通信总线405。接收器401、处理器402、发送器403、存储器404通过数据总线405相连，以进行相互通信。

在本发明实施例中，当负载超过预设阈值时，发送器403用于向控制器发送转移处理请求，转移处理请求中包含需要转移的动作以便控制器选择一个服务器作为虚拟交换机。其中，动作为等待处理的处理过程或需要执行的操作等。动作包括数据包加密、解密、深度包检测、数据压缩或数据解压缩中的至少一个。接收器401用于接收控制器下发的流表。存储器用于存储程序代码。存储器还用于存储该流表。处理器402调用存储器存储的程序代码执行如下方法：根据流表将数据包转送至虚拟交换机以便虚拟交换机对数据包执行动作并发送至数据包的目的服务器。其中，处理器402执行的方法中，根据流表将使用IP_IN_IP方式封装的数据包转送至虚拟交换机。具体地，由业务网关转送到虚拟交换机的数据包在原始的数据包的基础上封装了虚拟交换机的IP。而虚拟交换机在接收到业务网关转送的数据包后去除封装的IP，即可获得原始的数据包。存储器404存储需要转移的动作以及由控制器下发的流表。在本发明实施例中，当负载超过预设阈值时，通过将一部份数据处理业务从业务网关转移到了虚拟服务器中执行，实现系统中各网元的负载均衡，提高系统的利用率和吞吐量，进而提高整个系统的性能。

请参阅图12，图12是本发明第一实施例的开放流通信系统的结构示意图。如图12所示，开放流通信系统50包括：控制器501、业务网关502以及服务器503。服务器503中有多个，可以选其中之一为虚拟交换机504或目的服务器505。业务网关502向控制器501发送转移处理请求，转移处理请求中包含需要转移的动作。其中，动作为等待处理的处理过程或需要执行的操作等。动作包括数据包加密、解密、深度包检测、数据压缩或数据解压缩中的至少一个。控制器501根据需要转移的动作以及网络拓扑结构选择一个服务器503作为虚拟交换机504。控制器501向业务网关502下发第一流表。业务网关502根据第一流表将数据包转送至虚拟交换机504。具体地，业务网关502根据第一流表将使用IP_IN_IP方式封装的数据包转送至虚拟交换机504。具体地，由业务网关转送到虚拟交换机的数据包在原始的数据包的基础上封装了虚拟交换机的IP。而虚拟交换机在接收到业务网关转送的数据包后去除封装的IP，即可获得原始的数据包。控制器501向虚拟交换机504下发第二流表，第二流表包含用于指示虚拟交换机504对数据包执行动作的指令。虚拟交换机504根据第二流表对数据包执行动作并发送至数据包的目的服务器505。进一步的，第二流表还包含与动作对应的资源信息，例如解密相关的密钥信息，以便于虚拟交换机504根据资源信息执行动作。如果虚拟交换机504中没有将数据包发送到数据包的目的服务器505的流表，则虚拟交换机504向控制器501发送PACKET_IN消息请求数据包的处理规则；控制器501向虚拟交换机504下发第三流表，第三流表用于虚拟交换机504向数据包的目的服务器505发送执行动作后的数据包。如此在业务网关502上处理能力不足时，将一部份数据处理业务从业务网关502转移到虚拟服务器执行，实现系统中各网元的负载均衡，提高系统的利用率和吞吐量，进而提高整个系统的性能。

综上所述，本发明通过接收业务网关发送的转移处理请求，转移处理请求中包含需要转移的动作；并根据需要转移的动作以及网络拓扑结构选择一个服务器作为虚拟交换机；再向业务网关下发第一流表，第一流表用于业务网关向虚拟交换机转送数据包；向虚拟交换机下发第二流表，第二流表包含用于指示虚拟交换机对数据包执行动作的指令，以使虚拟交换机对数据包执行动作，并将执行动作后的数据包发送至数据包的目的服务器，能够在业务网关上处理能力不足时，将一部份数据处理业务从业务网关转移到虚拟服务器执行，实现系统中各网元的负载均衡，提高系统的利用率和吞吐量，进而提高整个系统的性能。

以上所述仅为本发明的实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。

Claims

一种开放流通信方法，其特征在于，所述方法包括：

接收业务网关发送的转移处理请求，所述转移处理请求中包含需要转移的动作；

根据所述需要转移的动作以及网络拓扑结构选择一个服务器作为虚拟交换机；

向所述业务网关下发第一流表，所述第一流表用于所述业务网关向所述虚拟交换机转送数据包；

向所述虚拟交换机下发第二流表，所述第二流表包含用于指示所述虚拟交换机对所述数据包执行所述动作的指令，以使所述虚拟交换机对所述数据包执行所述动作，并将执行所述动作后的所述数据包发送至所述数据包的目的服务器。
根据权利要求1所述的方法，其特征在于，所述方法还包括：如果所述虚拟交换机中没有将所述数据包发送到所述数据包的目的服务器的流表，则

接收所述虚拟交换机发送的针对所述数据包的请求数据包的处理规则消息；

向所述虚拟交换机下发第三流表，所述第三流表用于所述虚拟交换机向所述数据包的目的服务器发送执行所述动作后的所述数据包。
根据权利要求1所述的方法，其特征在于，所述动作包括数据包加密、解密、深度包检测、数据压缩或数据解压缩中的至少一个。
一种控制器，其特征在于，所述控制器包括：

接收模块，用于接收业务网关发送的转移处理请求，转移处理请求中包含需要转移的动作；

选择模块，用于根据所述需要转移的动作以及网络拓扑结构选择一个服务器作为虚拟交换机；

第一流表下发模块，用于向所述业务网关下发第一流表，所述第一流表用于所述业务网关向所述虚拟交换机转送数据包；

第二流表下发模块，用于向所述虚拟交换机下发第二流表，所述第二流表包含用于指示所述虚拟交换机对所述数据包执行所述动作的指令，以使所述虚拟交换机对所述数据包执行所述动作，并将执行所述动作后的所述数据包发送至所述数据包的目的服务器。
根据权利要求4所述的控制器，其特征在于，如果所述虚拟交换机中没有将所述数据包发送到所述数据包的目的服务器的流表，则所述控制器还包括第三流表下发模块，

所述接收模块接收所述虚拟交换机发送的针对所述数据包的请求所述数据包的处理规则消息；

所述第三下发流表模块向所述虚拟交换机下发第三流表，所述第三流表用于所述虚拟交换机向所述数据包的目的服务器发送执行所述动作后的所述数据包。
根据权利要求4所述的控制器，其特征在于，所述动作包括数据包加密、解密、深度包检测、数据压缩或数据解压缩中的至少一个。
一种开放流通信方法，其特征在于，所述方法包括：

当负载超过预设阈值时，向控制器发送转移处理请求，所述转移处理请求中包含需要转移的动作以便所述控制器选择一个服务器作为虚拟交换机；

接收所述控制器下发的流表；

根据所述流表将数据包转送至所述虚拟交换机以便所述虚拟交换机对所述数据包执行所述动作并发送至所述数据包的目的服务器。
根据权利要求7所述的方法，其特征在于，所述根据所述流表将数据包转送至所述虚拟交换机，具体为根据所述流表将使用IP_IN_IP方式封装的所述数据包转送至所述虚拟交换机。
根据权利要求7所述的方法，其特征在于，所述动作包括数据包加密、解密、深度包检测、数据压缩或数据解压缩中的至少一个。
一种业务网关，其特征在于，所述业务网关包括：

发送模块，用于当负载超过预设阈值时，向控制器发送转移处理请求，所述转移处理请求中包含需要转移的动作以便所述控制器选择一个服务器作为虚拟交换机；

接收模块，用于接收所述控制器下发的流表；

转送模块，用于根据所述流表将数据包转送至所述虚拟交换机以便所述虚拟交换机对所述数据包执行所述动作并发送至所述数据包的目的服务器。
根据权利要求10所述的业务网关，其特征在于，所述转送模块具体用于根据所述流表将使用IP_IN_IP方式封装的所述数据包转送至所述虚拟交换机。
根据权利要求10所述的业务网关，其特征在于，所述动作包括数据包加密、解密、深度包检测、数据压缩或数据解压缩中的至少一个。
一种控制器，其特征在于，所述控制器包括接收器、处理器、发送器以及存储器，其中：

所述接收器用于接收业务网关发送的转移处理请求，转移处理请求中包含需要转移的动作；

所述存储器，用于存储程序代码；

所述处理器用于调用所述存储器存储的程序代码执行如下方法：根据所述需要转移的动作以及网络拓扑结构选择一个服务器作为虚拟交换机；

所述发送器还用于向所述业务网关下发第一流表，所述第一流表用于所述业务网关向所述虚拟交换机转送数据包；

所述发送器还用于向所述虚拟交换机下发第二流表，所述第二流表包含用于指示所述虚拟交换机对所述数据包执行所述动作的指令，以使所述虚拟交换机对所述数据包执行所述动作，并将执行所述动作后的所述数据包发送至所述数据包的目的服务器。
根据权利要求13所述的控制器，其特征在于，如果所述虚拟交换机中没有相关流表，则

所述接收器还用于接收所述虚拟交换机发送的针对所述数据包的请求所述数据包的处理规则消息；

所述发送器向所述虚拟交换机下发第三流表，所述第三流表用于所述虚拟交换机向所述数据包的目的服务器发送执行所述动作后的所述数据包。
根据权利要求13所述的控制器，其特征在于，所述动作包括数据包加密、解密、深度包检测、数据压缩或数据解压缩中的至少一个。
一种业务网关，其特征在于，所述业务网关包括发送器、接收器、处理器以及存储器，其中：

当负载超过预设阈值时，所述发送器用于向控制器发送转移处理请求，所述转移处理请求中包含需要转移的动作以便所述控制器选择一个服务器作为虚拟交换机；

所述接收器用于接收所述控制器下发的流表；

所述存储器，用于存储程序代码；

所述处理器用于调用所述存储器存储的程序代码执行如下方法：根据所述流表将数据包转送至所述虚拟交换机以便所述虚拟交换机对所述数据包执行所述动作并发送至所述数据包的目的服务器。
根据权利要求16所述的业务网关，其特征在于，所述处理器执行的方法中，根据所述流表将数据包转送至所述虚拟交换机，具体为：

根据所述流表将使用IP_IN_IP方式封装的数据包通过所述第一数据通道转送至所述虚拟交换机。
根据权利要求16所述的业务网关，其特征在于，所述动作包括数据包加密、解密、深度包检测、数据压缩或数据解压缩中的至少一个。
一种开放流通信系统，其特征在于，所述系统包括控制器、业务网关以及至少一个服务器，其中：

所述业务网关向所述控制器发送转移处理请求，所述转移处理请求中包含需要转移的动作；

所述控制器根据所述需要转移的动作以及网络拓扑结构选择所述至少一个服务器中的一个服务器作为虚拟交换机；

所述控制器向所述业务网关下发第一流表；

所述业务网关根据所述第一流表将数据包转送至所述虚拟交换机；

所述控制器向所述虚拟交换机下发第二流表，所述第二流表包含用于指示所述虚拟交换机对所述数据包执行所述动作的指令；

所述虚拟交换机根据所述第二流表对所述数据包执行所述动作并发送至所述数据包的目的服务器。
根据权利要求19所述的系统，其特征在于，如果所述虚拟交换机中没有将所述数据包发送到所述数据包的目的服务器的流表，则

所述虚拟交换机还用于向所述控制器发送请求数据包的处理规则消息；

所述控制器还用于向所述虚拟交换机下发第三流表，所述第三流表用于所述虚拟交换机向所述数据包的目的服务器发送执行所述动作后的所述数据包。
根据权利要求19所述的系统，其特征在于，所述动作包括数据包加密、解密、深度包检测、数据压缩或数据解压缩中的至少一个。
根据权利要求19所述的系统，其特征在于，所述业务网关用于根据所述第一流表将数据包转送至所述虚拟交换机，具体为根据所述第一流表将使用IP_IN_IP方式封装的所述数据包转送至所述虚拟交换机。