WO2018153355A1

WO2018153355A1 - 控制信息传递方法、服务器和系统

Info

Publication number: WO2018153355A1
Application number: PCT/CN2018/077070
Authority: WO
Inventors: 康明
Original assignee: 华为技术有限公司
Priority date: 2017-02-24
Filing date: 2018-02-23
Publication date: 2018-08-30
Also published as: CN108512779A; CN108512779B

Abstract

本申请实施例公开了一种控制信息传递方法、服务器和系统，涉及通信领域，实现了在NFV系统中虚拟机可以向虚拟交换机发送控制信息以使虚拟交换机可以实现虚拟机的特定功能。控制信息传递方法包括：虚拟机的业务软件生成控制信息，并发送给第一设备；第一设备从会话边界控制器虚拟机的业务软件接收控制信息；第一设备将控制信息发送给第二设备；第二设备从第一设备接收控制信息；第二设备将控制信息配置给虚拟交换机。本申请实施例用于云化电信设备。

Description

控制信息传递方法、服务器和系统

本申请要求于2017年2月24日提交中国专利局、申请号为201710104539.5、发明名称为“控制信息传递方法、服务器和系统”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及通信领域，尤其涉及一种控制信息传递方法、服务器和系统。

背景技术

传统的电信系统由各种专用的硬件设备组成，不同的应用采用不同的硬件设备。随着网络规模的增长，系统越来越复杂，带来了诸多的挑战，包括新增业务的开发上线、系统的运维、资源利用率等。针对这些挑战，现有技术中提出了网络功能虚拟化(network function virtualization，NFV)技术。其通过将各个网元设备转变成独立的虚拟机布置于上层的虚拟网络功能(virtual network function，VNF)中，实现从目前的专用硬件平台迁移至通用的商用货架产品(commercial-off-the-shelf，COTS)服务器；并通过虚拟化技术，对基础设施硬件设备资源池化及虚拟化，为上层应用提供虚拟资源。实现了上层业务与底层硬件解耦，并且使得每个业务能够快速增加虚拟资源以快速扩展系统容量，或者能够快速减少虚拟资源以收缩系统容量，大大提升了网络的弹性。

在实际应用中，位于VNF中的各个业务的虚拟机通过位于底层中的虚拟交换机来接收和发送数据包，但是由于通用COTS服务器中的虚拟交换机仅具有数据转发功能，无法执行上层虚拟机的功能，使得一些无效或异常数据包转发给上层的虚拟机，占用不必要的资源。

发明内容

本申请的实施例提供一种控制信息传递方法、服务器和系统，用于实现在NFV系统中虚拟机可以向虚拟交换机发送控制信息以使虚拟交换机可以实现虚拟机的特定功能。

为达到上述目的，本申请的实施例采用如下技术方案：

第一方面，提供了一种控制信息传递方法，该方法包括：第一设备从虚拟机的业务软件接收控制信息；第一设备将控制信息发送给第二设备；其中，第一设备为虚拟代理设备前端，虚拟代理设备前端配置于虚拟机中，第二设备为虚拟代理设备后端，虚拟代理设备后端配置于虚拟资源层的虚拟网络中；或者，第一设备为虚拟网络功能管理器VNFM，第二设备为虚拟化基础设施管理器VIM。本申请实施例提供的控制信息传递方法，虚拟机的业务软件将控制信息通过第一设备和第二设备传递给虚拟交换机，实现了在NFV系统中虚拟机可以向虚拟交换机发送控制信息以使虚拟交换机可以实现虚拟机的特定功能。

在一种可能的设计中，该方法还包括：第一设备从第二设备接收控制结果信息，控制结果信息用于指示控制信息是否配置成功；第一设备将控制结果信息发送给虚拟机的业务软件。上述实施方式实现了虚拟交换机将控制信息的控制结果信息通过第二设备和第一设备反馈给虚拟机的业务软件。

在一种可能的设计中，当虚拟机为会话边界控制器SBC虚拟机时，控制信息用于防攻击或呼叫会话带宽控制，控制信息包括：虚拟机的标识、流规则类型、流处理操作类型和参数包，流处理操作类型用于指示增加、修改或删除；当流规则类型为访问控制列表ACL时，参数包包括源互联网协议IP地址、源端口号、目的IP地址、目的端口号和过滤操作动作，其中，过滤操作动作用于指示允许通过或丢弃包；当流规则类型为呼叫准入控制CAC时，参数包包括源IP地址、源端口号、目的IP地址、目的端口号和允许带宽。该实施方式具体公开了控制信息的内容。

第二方面，提供了一种控制信息传递方法，包括：第二设备从第一设备接收控制信息；第二设备将控制信息配置给虚拟交换机；其中，第一设备为虚拟代理设备前端，虚拟代理设备前端配置于虚拟机中，第二设备为虚拟代理设备后端，虚拟代理设备后端配置于虚拟资源层的虚拟网络中；或者，第一设备为虚拟网络功能管理器VNFM，第二设备为虚拟化基础设施管理器VIM。本申请实施例提供的控制信息传递方法，虚拟机的业务软件将控制信息通过第一设备和第二设备传递给虚拟交换机，实现了在NFV系统中虚拟机可以向虚拟交换机发送控制信息以使虚拟交换机可以实现虚拟机的特定功能。

在一种可能的设计中，该方法还包括：第二设备从虚拟交换机接收控制结果信息，控制结果信息用于指示控制信息是否配置成功；第二设备将控制结果信息发送给第一设备。上述实施方式实现了虚拟交换机将控制信息的控制结果信息通过第二设备和第一设备反馈给虚拟机的业务软件。

第三方面，提供了一种网络功能虚拟化基础设施层NFVI服务器，包括：虚拟代理设备前端，用于从虚拟机的业务软件接收控制信息，并发送给虚拟代理设备后端，其中，控制信息用于防攻击或呼叫会话带宽控制，虚拟代理设备前端配置于虚拟机中，虚拟代理设备后端配置于虚拟资源层的虚拟网络中；虚拟代理设备后端，用于从虚拟代理设备前端接收控制信息，并发送给虚拟交换机。该实施方式通过位于虚拟机中的虚拟代理设备前端以及位于虚拟资源层的虚拟网络中的虚拟代理设备后端，将虚拟机的业务软件产生的控制信息传递给虚拟交换机，实现了在NFV系统中虚拟机可以向虚拟交换机发送控制信息以使虚拟交换机可以实现虚拟机的特定功能。

在一种可能的设计中，虚拟代理设备后端，还用于从虚拟交换机接收控制结果信息，并发送给虚拟代理设备前端，控制结果信息用于指示控制信息是否配置成功；虚拟代理设备前端，还用于从虚拟代理设备后端接收控制结果信息，并发送给虚拟机的业务软件。上述实施方式实现了虚拟交换机将控制信息的控制结果信息通过虚拟代理设备后端和虚拟代理设备前端反馈给虚拟机的业务软件。

第四方面，提供了一种虚拟网络功能管理器VNFM服务器，包括：接收单元，用于从虚拟机的业务软件接收控制信息；发送单元，用于将控制信息发送给虚拟化基础设施管理器VIM。该实施方式中，虚拟机中的业务软件通过VNFM和VIM将控制信息配置给虚拟交换机。实现了在NFV系统中虚拟机可以向虚拟交换机发送控制信息以使虚拟交换机可以实现虚拟机的特定功能。该方案相对于现有技术中，SBC通过EMS、PCRF、SDN控制器向虚拟交换机配置控制信息的方案来说，VNFM和VIM都是现有NFV架构中的现有设备，方案经济性更高。

在一种可能的设计中，接收单元，还用于从VIM接收控制结果信息，控制结果信息用于指示控制信息是否配置成功；发送单元，还用于将控制结果信息发送给虚拟机的业务软件。上述实施方式实现了虚拟交换机将控制信息的控制结果信息通过VIM和VNFM反馈给虚拟机的业务软件。

在一种可能的设计中，当虚拟机为会话边界控制器SBC虚拟机时，控制信息用于防攻击或呼叫会话带宽控制，控制信息包括：SBC虚拟机的标识、流规则类型、流处理操作类型和参数包，流处理操作类型用于指示增加、修改或删除；当流规则类型为访问控制列表ACL时，参数包包括源互联网协议IP地址、源端口号、目的IP地址、目的端口号和过滤操作动作，其中，过滤操作动作用于指示允许通过或丢弃包；当流规则类型为呼叫准入控制CAC时，参数包包括源IP地址、源端口号、目的IP地址、目的端口号和允许带宽。该实施方式具体公开了控制信息的内容。

第五方面，提供了一种虚拟化基础设施管理器VIM服务器，包括：接收单元，用于从虚拟网络功能管理器VNFM接收控制信息；发送单元，用于将控制信息配置给虚拟交换机。该实施方式中，虚拟机中的业务软件通过VNFM和VIM将控制信息配置给虚拟交换机。实现了在NFV系统中虚拟机可以向虚拟交换机发送控制信息以使虚拟交换机可以实现虚拟机的特定功能。该方案相对于现有技术中，SBC通过EMS、PCRF、SDN控制器向虚拟交换机配置控制信息的方案来说，VNFM和VIM都是现有NFV架构中的现有设备，方案经济性更高。

在一种可能的设计中，接收单元，还用于从虚拟交换机接收控制结果信息，控制结果信息用于指示控制信息是否配置成功；发送单元，还用于将控制结果信息发送给VNFM。上述实施方式实现了虚拟交换机将控制信息的控制结果信息通过VIM和VNFM反馈给虚拟机的业务软件。

第六方面，本申请实施例提供一种网络功能虚拟化基础设施层NFVI服务器，包括：处理器、存储器、总线和通信接口；该存储器用于存储计算机执行指令，该处理器与该存储器通过该总线连接，当该NFVI服务器运行时，该处理器执行该存储器存储的该计算机执行指令，以使该NFVI服务器执行上述第一方面中任意一项的控制信息传递方法。

第七方面，本申请实施例提供一种虚拟网络功能管理器VNFM服务器，包括：处理器、存储器、总线和通信接口；该存储器用于存储计算机执行指令，该处理器与该存储器通过该总线连接，当该VNFM服务器运行时，该处理器执行该存储器存储的该计算机执行指令，以使该VNFM服务器执行上述第一方面中任意一项的控制信息传递方法。

第八方面，本申请实施例提供一种虚拟化基础设施管理器VIM服务器，包括：处理器、存储器、总线和通信接口；该存储器用于存储计算机执行指令，该处理器与该存储器通过该总线连接，当该VIM服务器运行时，该处理器执行该存储器存储的该计算机执行指令，以使该VIM服务器执行上述第一方面中任意一项的控制信息传递方法。

第九方面，本申请实施例提供了一种计算机存储介质，包括指令，当其在计算机上运行时，使得计算机执行如第一方面所述的控制信息传递方法。

第十方面，本申请实施例提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得该计算机执行如第一方面所述的控制信息传递方法。

第十一方面，本申请实施例提供了一种计算机存储介质，包括指令，当其在计算机上运行时，使得计算机执行如第二方面所述的控制信息传递方法。

第十二方面，本申请实施例提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得该计算机执行如第二方面所述的控制信息传递方法。

另外，第六方面至第十二方面中任一种设计方式所带来的技术效果可参见第一方面或第二方面中不同设计方式所带来的技术效果，此处不再赘述。

第十三方面，本申请实施例提供一种网络功能虚拟化NFV通信系统，包括如第三方面所述的网络功能虚拟化基础设施层NFVI服务器；或者包括如第四方面所述的虚拟网络功能管理器VNFM服务器以及如第五方面所述的虚拟化基础设施管理器VIM服务器；或者包括如第六方面所述的NFVI服务器；或者包括如第七方面所述的VNFM服务器以及如第八方面所述的VIM服务器。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍。

图1为本申请实施例提供的NFV系统架构示意图；

图2为现有技术中一种SBC防攻击或呼叫带宽控制功能的示意图；

图3为现有技术中另一种SBC防攻击或呼叫带宽控制功能的示意图；

图4为本申请实施例提供的一种服务器的硬件结构示意图；

图5为本申请实施例提供的一种服务器的硬件结构示意图；

图6为本申请实施例提供的一种服务器的硬件结构示意图；

图7为本申请实施例提供的一种控制信息传递方法的流程示意图；

图8为本申请实施例提供的一种控制信息传递方法涉及装置的结构示意图；

图9为本申请实施例提供的另一种控制信息传递方法的流程示意图；

图10为本申请实施例提供的又一种控制信息传递方法的流程示意图；

图11为本申请实施例提供的再一种控制信息传递方法的流程示意图；

图12本申请实施例提供的再一种控制信息传递方法涉及装置的结构示意图；

图13为本申请实施例提供的一种NFVI服务器的结构示意图；

图14为本申请实施例提供的另一种NFVI服务器的结构示意图；

图15为本申请实施例提供的又一种NFVI服务器的结构示意图；

图16为本申请实施例提供的一种VNFM服务器的结构示意图；

图17为本申请实施例提供的另一种VNFM服务器的结构示意图；

图18为本申请实施例提供的又一种VNFM服务器的结构示意图；

图19为本申请实施例提供的一种VIM服务器的结构示意图；

图20为本申请实施例提供的另一种VIM服务器的结构示意图；

图21为本申请实施例提供的又一种VIM服务器的结构示意图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述。

下面结合附图，对本申请的实施例进行描述。

本申请实施例提供的NFV系统架构如图1中所示，NFV系统100可以在各种网络中使用，例如在一个数据中心网络、运营商网络或局域网中来实现。所述NFV系统100包括：NFV管理和编排系统(NFV management and orchestration，NFV MANO)101；NFV基础设施层(NFV infrastructure，NFVI)102；多个虚拟网络功能(virtual network function，VNF)103；多个网元管理(element management，EM)104；网络服务、VNF和基础设施描述(network service，VNF and infrastructure description)105；以及业务支持管理系统(operation-support system/business support system，OSS/BSS)106。其中，NFV管理和编排系统101包括NFV编排器(NFV orchestrator，NFVO)1011，一个或多个VNF管理器(VNF manager，VNFM)1012和虚拟化基础设施管理器(virtualized infrastructure manager，VIM)1013。网路服务、VNF和基础设施描述105和OSS/BSS 106在ETSI GS NFV 002 V1.1.1标准中有进一步的讨论。

NFV MANO 101用于执行对VNF 103和NFVI 102的监视和管理。NFVO 1011可以实现在NFVI 102上的网络服务(例如层二(L2)和层三(L3)的虚拟专用网(virtual private network，VPN)服务)，也可以执行来自一个或多个VNFM 1012的资源相关请求，发送配置信息到VNFM 1012，并收集VNF 103的状态信息。另外，NFVO 1011可以与VIM 1013通信，以实现资源的分配和/或预留以及交换虚拟化硬件资源的配置和状态信息。所述VNFM 1012可以管理一个或多个VNF 103。VNFM 1012可以执行各种管理功能，如实例化、更新、查询、缩放和/或终止 VNF 103等。VIM 1013可以执行资源管理的功能，例如管理基础设施资源的分配(例如增加资源到虚拟容器)和操作功能(如收集NFVI故障信息)。所述VNFM 1012和VIM 1013可以相互通信进行资源分配和交换虚拟化硬件资源的配置和状态信息。

所述NFVI 102包括硬件资源层1021、虚拟资源层(软件资源)1022和虚拟化层1023。NFVI 102通过硬件资源、软件资源或两者的组合来完成虚拟化环境的部署。硬件资源层1021和虚拟化层1023用于提供虚拟化的资源，例如作为虚拟机(virtual machine，VM)和其它形式的虚拟容器，用于VNF 103。硬件资源层1021包括计算硬件10211、存储硬件10212和网络硬件10213。计算硬件10211可以是市场上现成的硬件和/或用户定制的硬件，用来提供处理和计算资源。存储硬件10212可以是网络内提供的存储容量或驻留在存储硬件10212本身的存储容量(位于服务器内的本地存储器)。在一个实现方案中，计算硬件10211和存储硬件10212的资源可以被集中在一起。网络硬件10213可以是交换机、路由器和/或配置成具有交换功能的任何其他网络设备。网络硬件10213可以横跨多个域，并且可以包括多个由一个或多个传输网络互连的网络。

NFVI 102里面的虚拟化层1023可以从物理层抽象硬件资源以及解耦VNF 103，以便向VNF 103提供虚拟化资源。虚拟资源层1022包括虚拟计算10221、虚拟存储器10222和虚拟网络10223。虚拟计算10221和虚拟存储10222可以以虚拟机和/或其他虚拟容器的形式提供给VNF 103。例如，一个或一个以上的VNF 103可以部署在一个虚拟机上。虚拟化层1023抽象网络硬件10213从而形成虚拟网络10223，虚拟网络10223可以包括虚拟交换机(virtual switch，VS)，所述虚拟交换机用来提供虚拟机和其他虚拟机之间的连接。此外，网络硬件10213中的传输网络，可以采用集中式控制平面和一个单独的转发平面(例如软件定义网络(software defined network，SDN))虚拟化。

VNFM 1012可以与VNF 103和EM 104交互来对VNF的生命周期进行管理以及交换配置和状态信息。VNF 103可以被配置为通过一个物理网络设备执行的至少一个网络功能的虚拟化。例如，在一个实现方案中，所述VNF 103可以经过配置以提供IP多媒体子系统(IMS，IP multimedia subsystem)网络中的不同网元具备的功能，例如代理呼叫会话控制功能(proxy call session control function，P-CSCF)，服务呼叫会话控制功能(call session control function，S-CSCF)或归属签约用户服务器(home subscriber server，HSS)的网络功能等。EM 104经过配置以对一个或多个VNF 103进行管理。

本申请实施描述的控制信息传递方法、服务器和系统，可以应用于会话边界控制器(session border controller，SBC)、防火墙(Firewall)、分组数据网络网关(packet data network gateway，PGW)等VNF功能前移至虚拟交换机中，或者，实现VNF配置和使用虚拟交换机的操作。下面着重以SBC业务为例进行说明。

在电信系统中的SBC设备需要支持防攻击以及会话级呼叫带宽控制等功能。对于防攻击功能，传统的SBC设备通过在网络入口硬件层设置黑白名单(访问控制列表(access control list，ACL)、接入控制列表，下文以ACL描述)来实现。在处理网络数据报文时，在ACL中检索网络数据报文地址信息，按照ACL中配置的策略实现数据包的放通或丢弃。ACL的数据是通过两种方式来提供：静态人工配置方式或防攻击检测后动态配置。对于会话的呼叫带宽控制功能，SBC在呼叫会话中协商确定会话的允许带宽后，下发该会话对应的网络数据地址组合和允许的带宽数据(呼叫准入控制(call admission control，CAC)数据表)到网络入口硬件层，网络入口硬件层在处理网络报文的时候，检索该数据表，如果网络报文地址组合在数据表中，统计该组合对应报文的带宽，如果该网络地址组合的带宽消耗大于数据表中的允许带宽，则丢弃报文并记录相关信息。该处理方式使得攻击流量或超出呼叫会议允许带宽的异常流量可以在网络入口的较前位置被丢弃掉，从而提供较强的防攻击处理能力，同时节约无效报文的系统处理资源消耗。

云化后，SBC作为虚拟机应用部署在通用服务器(COTS)，通用服务器缺少针对网络报文的防攻击或呼叫会话带宽控制功能的硬件层功能，同时现有的虚拟化技术重点解决的是虚拟应用和硬件的解耦问题，由于解耦带来的虚拟机应用和网络处理硬件层的隔离，以及虚拟交换机对于网络数据报文的透明性处理，使得异常网络流量无法在网络入口的较前位置完成处理，从而存在防攻击能力不强，以及异常流量导致的无效系统处理资源消耗。

参照图2中所示，为现有技术中一种SBC防攻击或呼叫带宽控制功能的示意图。在云化后，SBC业务作为虚拟化的SBC业务软件2011部署在SBC虚拟机201中，同样地，其他业务作为虚拟化的其他业务软件2021部署在其他虚拟机202上，SBC虚拟机201和其他虚拟机202共同部署在通用服务器(COTS)200上。SBC虚拟机201通过使用虚拟化层的虚拟交换机2001来获得网络出入口能力，即如图中的虚拟网卡2012，同样地，其他虚拟机202也具有网络出入口能力的虚拟网卡2022。SBC虚拟机201只能看到本虚拟机内的虚拟网卡2012，网络数据报文经过物理网卡2002到达虚拟交换机2001，然后报文被转发到SBC虚拟机201的虚拟网卡2012。SBC虚拟机201针对该网络数据报文进行防攻击、呼叫带宽控制等的处理。其中，通用服务器200上的虚拟交换机2001对于网络数据报文的内容是不感知的，仅根据转发规则透明分发至SBC虚拟机201。

该方案中攻击报文在虚拟机交换机或网络入口物理层(物理网卡)上无感知，攻击流量或呼叫会话相关的网络数据只能透传给SBC虚拟机，会有两个不利影响：攻击流量或超出会话允许带宽的异常流量在虚拟交换机上无防攻击处理(丢弃)，消耗了虚拟机交换机的处理能力，使得部署于同一服务器的其他虚拟机可获得的网络处理能力下降；另外，攻击流量或超出呼叫会话允许带宽的异常流量都输入到SBC虚拟机，SBC虚拟机需要消耗业务处理的CPU才能识别或处理攻击流量或者呼叫允许带宽以外的异常流量。针对此类异常流量，整个云化系统的CPU处理能力存在无效的资源消耗(异常流量在虚拟交换机上的CPU处理消耗以及SBC虚拟机对异常流量的处理消耗)。

参照图3中所示，为现有技术中另一种SBC防攻击或呼叫带宽控制功能的示意图。云化后的SBC虚拟机201利用外部设备迂回下发防攻击或呼叫会议带宽控制的过滤信息到虚拟交换机2001，例如SBC虚拟机201进行业务处理过程中识别了攻击源后产生ACL表信息，通过发送消息到网元管理系统(element management system，EMS)300，并进一步传递给策略与计费规则功能(policy and charging rules function，PCRF)301，PCRF301再下发过滤信息到软件定义网络(software defined network，SDN)控制器302，SDN控制器302通过虚拟交换机2001的开放流(OpenFlow)接口把SBC虚拟机201要求的网络数据包处理过滤规则配置到虚拟机交换机2001中。虚拟交换机2001在后续的网络数据报文的处理中根据已配置的网络数据包处理过滤规则进行报文匹配，对于匹配的报文按照网络数据包处理过滤规则的操作要求进行放通或丢弃处理。

该方案依托多个外部设备装置完成SBC虚拟机网络数据报文的处理过滤规则的传递，存在如下缺点：首先，信息传输路径长，经过环节多，消息传递的可靠性保证代价大；其次，传输路径涉及到多个设备，方案落地的设备多，导致方案成本高，经济性较差。

参照图4中所示，为本申请实施例提供的一种服务器的硬件结构示意图，该服务器400包括至少一个处理器401，通信总线402，存储器403以及至少一个通信接口404。

处理器401可以是一个通用中央处理器(central processing unit，CPU)，微处理器，特定应用集成电路(application-specific integrated circuit，ASIC)，或一个或多个用于控制本申请方案程序执行的集成电路。

通信总线402可包括一通路，在上述组件之间传送信息。

通信接口404，使用任何收发器一类的装置，用于与其他设备或通信网络通信，如以太网，无线接入网(radio access network，RAN)，无线局域网(wireless local area networks，WLAN)等。

存储器403可以是只读存储器(read-only memory，ROM)或可存储静态信息和指令的其他类型的静态存储设备，随机存取存储器(random access memory，RAM)或者可存储信息和指令的其他类型的动态存储设备，也可以是电可擦可编程只读存储器(electrically erasable programmable read-only memory，EEPROM)、只读光盘(compact disc read-only memory，CD-ROM)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。存储器可以是独立存在，通过总线与处理器相连接。存储器也可以和处理器集成在一起。

其中，存储器403用于存储执行本申请方案的应用程序代码，并由处理器401来控制执行。处理器401用于执行存储器403中存储的应用程序代码，从而实现本申请实施例中所述的下行信号传输方法。

在具体实现中，作为一种实施例，处理器401可以包括一个或多个CPU，例如图4中的CPU0和CPU1。

在具体实现中，作为一种实施例，服务器400可以包括多个处理器，例如图4中的处理器401和处理器408。这些处理器中的每一个可以是一个单核(single-CPU)处理器，也可以是一个多核(multi-CPU)处理器。这里的处理器可以指一个或多个设备、电路、和/或用于处理数据(例如计算机程序指令)的处理核。

在具体实现中，作为一种实施例，服务器400还可以包括输出设备405和输入设备406。输出设备405和处理器401通信，可以以多种方式来显示信息。例如，输出设备405可以是液晶显示器(liquid crystal display，LCD),发光二级管(light emitting diode，LED)显示设备，阴极射线管(cathode ray tube，CRT)显示设备，或投影仪(projector)等。输入设备406和处理器401通信，可以以多种方式接受用户的输入。例如，输入设备406可以是鼠标、键盘、触摸屏设备或传感设备等。

上述的服务器400可以是一个通用服务器或者是一个专用服务器。或有图4中类似结构的设备。本申请实施例不限定服务器400的类型。例如，服务器400可以为图1中所示的VNFM1012服务器、VIM 1013服务器或NFVI 102服务器等。需要说明的是，本申请实施例虽然以各个功能分别对应一个服务器进行描述，但是本领域技术人员可以理解，在实际产品中，也可以将多个功能实现在一个服务器上，均在本申请实施例保护范围内。

下面以虚拟机为SBC虚拟机，业务软件为SBC业务软件为例，对本申请实施例进行详细说明，本领域技术人员可以理解，对于其他类型的虚拟机(例如Firewall、PGW等)同样适用于本申请实施例的保护范围。

本申请实施例提供了一种控制信息传递方法，参照图5中所示，包括：

S001、虚拟机的业务软件生成控制信息，并发送给第一设备，其中，控制信息用于防攻击或呼叫会话带宽控制。

其中，当虚拟机为会话边界控制器SBC虚拟机时，控制信息用于防攻击或呼叫会话带宽控制，使得虚拟交换机可以实现SBC虚拟机的防攻击或呼叫会话带宽控制功能。此时控制信息包括：所述SBC虚拟机的标识、流规则类型、流处理操作类型和参数包，所述流处理操作类型用于指示增加、修改或删除；当所述流规则类型为访问控制列表ACL时，所述参数包包括源互联网协议IP地址、源端口号、目的IP地址、目的端口号和过滤操作动作，其中，所述过滤操作动作用于指示允许通过或丢弃包；当所述流规则类型为呼叫准入控制CAC时，所述参数包包括源IP地址、源端口号、目的IP地址、目的端口号和允许带宽。

S002、第一设备从会话边界控制器虚拟机的业务软件接收控制信息。

S003、第一设备将控制信息发送给第二设备。

S004、第二设备从第一设备接收控制信息。

S005、第二设备将控制信息配置给虚拟交换机。

其中，第一设备和第二设备可以为软件实现的虚拟设备，或者实体的设备，即第一设备可以为虚拟代理设备前端，该虚拟代理设备前端配置于虚拟机中，第二设备为虚拟代理设备后端，虚拟代理设备后端配置于虚拟资源层的虚拟网络中；或者，第一设备为虚拟网络功能管理器VNFM，第二设备为虚拟化基础设施管理器VIM。

本申请实施例提供的控制信息传递方法，虚拟机的业务软件将控制信息通过第一设备和第二设备传递给虚拟交换机，实现了在NFV系统中虚拟机可以向虚拟交换机发送控制信息以使虚拟交换机可以实现虚拟机的特定功能。

可选的，参照图6中所示，所述方法还可以包括：

S006、虚拟交换机向第二设备发送控制结果信息，控制结果信息用于指示控制信息是否配置成功。

S007、第二设备从虚拟交换机接收控制结果信息。

S008、第二设备将控制结果信息发送给第一设备。

S009、第一设备从第二设备接收控制结果信息。

S010、第一设备将控制结果信息发送给虚拟机的业务软件。

上述实施方式实现了虚拟交换机将控制信息的控制结果信息通过第二设备和第一设备反馈给虚拟机的业务软件。

以第一设备和第二设备为软件实现的虚拟设备为例，本申请实施例提供了一种控制信息传递方法，参照图7中所示，包括：

S101、虚拟机的业务软件生成控制信息，并发送给虚拟代理设备前端。

参照图8中所示，可以新增流处理的虚拟代理设备，其中，在虚拟机中配置虚拟代理设备前端2013，使得虚拟代理设备前端2013可以与虚拟机中的业务软件2011直接通信；在虚拟资源层的虚拟网络中配置虚拟代理设备后端2003，使得虚拟代理设备后端2003可以与同样位于虚拟资源层的虚拟网络中的虚拟交换机2001直接通信。对应到图1中所示的NFV架构图中，即在VNF 108中配置虚拟代理设备前端2013，在虚拟资源层的虚拟网络10223中配置虚拟代理设备后端2003。

以虚拟机为SBC虚拟机，业务软件为SBC业务软件为例，SBC业务软件根据受到攻击情况或者呼叫会话带宽控制要求产生控制信息，通过SBC虚拟机的虚拟代理设备前端提供的接口来配置控制信息。

另外，虚拟机的业务软件向虚拟代理设备前端2013发送上述信息时，还要发送操作命令字标识以控制动作是设置流规则(SetFlowRule)或者查询统计(QueryStat)。在配置控制信息时，需要下发设置流规则。

S102、虚拟代理设备前端从虚拟机的业务软件接收控制信息。

S103、虚拟代理设备前端将控制信息发送给虚拟代理设备后端。

基于标准化的虚拟设备机制，虚拟代理设备前端2013将控制信息透传发送给虚拟代理设备后端2003。

S104、虚拟代理设备后端从虚拟代理设备前端接收控制信息。

S105、虚拟代理设备后端将控制信息配置给虚拟交换机。

虚拟代理设备后端2003基于传递信息的类型，构建不同的处理过程，最后调用虚拟交换机提供的OpenFlow接口将控制信息配置到虚拟机交换机中。具体的，虚拟代理设备后端2003根据信息中的虚拟机的标识(VM-ID)调用虚拟化层的虚拟网络接口，查询到该标识对应的虚拟交换机的虚拟端口(VM-Port)，然后调用OpenFlow接口，将控制信息中的操作映射到OpenFlow对应的操作模型，发送给虚拟交换机。

可选的，当虚拟交换机支持将报文过滤信息下发至网络入口的硬件层(例如物理网卡)时，虚拟交换机自动完成将上述控制信息下发到网络入口的硬件层。

其中，上述S101-S105中的动作可以由图4所示的服务器400中的处理器401调用存储器403中存储的应用程序代码来执行，此时的服务器400为图1中所示的NFVI 102服务器。

本申请实施例提供的控制信息传递方法，通过位于虚拟机中的虚拟代理设备前端以及位于虚拟网络中的虚拟代理设备后端，将虚拟机的业务软件产生的控制信息传递给虚拟交换机，实现了在NFV系统中虚拟机可以向虚拟交换机发送控制信息以使虚拟交换机可以实现虚拟机的特定功能。

可选的，参照图9中所述，所述方法还包括：

S201、虚拟交换机向虚拟代理设备后端发送控制结果信息，控制结果信息用于指示控制信息是否配置成功。

虚拟交换机在处理虚拟设备后端下发的防攻击或呼叫会话带宽控制信息后，向虚拟代理设备后端回复处理结果是成功还是失败，如果失败，同时给出失败原因。

S202、虚拟代理设备后端从虚拟交换机接收控制结果信息。

S203、虚拟代理设备后端将控制结果信息发送给虚拟代理设备前端。

虚拟代理设备后端将控制结果信息透传发送给虚拟代理设备前端。

S204、虚拟代理设备前端从虚拟代理设备后端接收控制结果信息。

S205、虚拟代理设备前端将控制结果信息发送给虚拟机的业务软件。

虚拟代理设备前端将控制结果信息透传发送给虚拟机的业务软件。

其中，上述S201-S205中的动作可以由图4所示的服务器400中的处理器401调用存储器403中存储的应用程序代码来执行，此时的服务器400为图1中所示的NFVI 102服务器。

上述实施方式实现了虚拟交换机将控制信息的控制结果信息通过虚拟代理设备后端和虚拟代理设备前端反馈给虚拟机的业务软件。

可选的，参照图10中所述，所述方法还包括：

S301、虚拟机的业务软件生成查询信息，并发送给虚拟代理设备前端。

该查询信息用于查询网络数据包统计情况，其操作命令字标识为查询统计(QueryStat)，并且查询信息中还包含虚拟机的标识。

S302、虚拟代理设备前端接收查询信息。

S303、虚拟代理设备前端将查询信息发送给虚拟代理设备后端。

S304、虚拟代理设备后端接收查询信息。

S305、虚拟代理设备后端将查询信息配置给虚拟交换机。

虚拟代理设备后端解析从虚拟代理设备前端传递的信息，如操作命令字标识为查询统计(QueryStat)，则根据虚拟机的标识映射到虚拟交换机的虚拟端口(VM-Port)，构造查询的接口消息发送给虚拟交换机。

S306、虚拟交换机向虚拟代理设备后端发送查询结果信息。

示例性的，通过OpenFlowRsp(Query,VM-Port,StatInfo)命令反馈查询结果信息，其中，OpenFlowRsp表示OpenFlow响应消息，Query表示内容为查询结果，VM-Port表示虚拟交换机的虚拟端口，StatInfo表示具体查询结果。

S307、虚拟代理设备后端从虚拟交换机接收查询结果信息。

S308、虚拟代理设备后端将查询结果信息发送给虚拟代理设备前端。

虚拟代理设备后端将查询结果信息透传发送给虚拟代理设备前端。

S309、虚拟代理设备前端从虚拟代理设备后端接收查询结果信息。

S310、虚拟代理设备前端将查询结果信息发送给虚拟机的业务软件。

虚拟代理设备前端将查询结果信息透传发送给虚拟机的业务软件。

其中，上述S301-S310中的动作可以由图4所示的服务器400中的处理器401调用存储器403中存储的应用程序代码来执行，此时的服务器400为图1中所示的NFVI 102服务器。

上述实施方式实现了虚拟机的业务软件将查询信息通过虚拟代理设备前端和虚拟代理设备后端发送给虚拟交换机，并且虚拟交换机将查询结果信息通过虚拟代理设备后端和虚拟代理设备前端反馈给虚拟机的业务软件。

以第一设备和第二设备为实体设备为例，本申请实施例提供了另一种控制信息传递方法，参照图11中所示，包括：

S401、虚拟机的业务软件生成控制信息，并发送给VNFM。

参照图12中所示，以虚拟机为SBC虚拟机，业务软件为SBC业务软件为例，SBC业务软件2011根据受到攻击情况或者呼叫会话带宽控制要求产生控制信息，并通过VNFM 1012提供的接口发送给VNFM 1012。此处的控制信息与前述控制信息相同，在此不再赘述。

S402、VNFM从SBC虚拟机的业务软件接收控制信息。

S403、VNFM将控制信息发送给VIM。

VNFM根据VIM 1013提供的接口能力将控制信息发送给VIM。

S404、VIM从VNFM接收控制信息。

S405、VIM将控制信息配置给虚拟交换机，用于虚拟交换机进行防攻击或呼叫会话带宽控制。

VIM完成从VIM到虚拟交换机的消息映射和处理，进而发送给虚拟交换机。

其中，上述S401中的动作可以由图4所示的服务器400中的处理器401调用存储器403中存储的应用程序代码来执行，此时的服务器400为图1中所示的NFVI 102服务器；上述S402和S403中的动作可以由图4所示的服务器400中的处理器401调用存储器403中存储的应用程序代码来执行，此时的服务器400为图1中所示的VNFM 1012服务器；上述S404和S405中的动作可以由图4所示的服务器400中的处理器401调用存储器403中存储的应用程序代码来执行，此时的服务器400为图1中所示的VIM 1013服务器。

本申请实施例提供的控制信息传递方法，虚拟机中的业务软件通过VNFM和VIM将控制信息配置给虚拟交换机。实现了在NFV系统中虚拟机可以向虚拟交换机发送控制信息以使虚拟交换机可以实现虚拟机的特定功能。该方案相对于现有技术中，通过EMS、PCRF、SDN控制器向虚拟交换机配置控制信息的方案来说，VNFM和VIM都是现有NFV架构中的现有设备，方案经济性更高。

需要说明的是，VNFM相当于所述虚拟代理设备前端，VIM相当于所述虚拟代理设备后端，区别在于，虚拟机的业务软件、VNFM、VIM、虚拟交换机之间需要遵循已有的通信协议。因此与步骤S201-S205类似的，虚拟交换机也可以通过VIM和VNFM将所述控制结果信息发送给虚拟机的业务软件；与步骤S301-S310类似的，虚拟机的业务软件也可以通过VNFM和VIM将所述查询信息发送给虚拟交换机，并且虚拟交换机也可以通过VIM和VNFM将所述查询结果信息发送给虚拟机的业务软件。在此不再赘述。

本申请实施例可以根据上述方法示例对各设备进行功能模块的划分，例如，可以对应各个功能划分各个功能模块，也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。需要说明的是，本申请实施例中对模块的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。

在采用对应各个功能划分各个功能模块的情况下，图13示出了上述实施例中所涉及的VNFI服务器的一种可能的结构示意图，VNFI服务器13包括：业务软件模块1311、虚拟代理设备前端1312、虚拟代理设备后端1313、交换虚拟机1314。业务软件模块1311用于支持VNFI服务器13执行图5中的过程S001，图7中的过程S101，图10中的过程S301，图11中的过程S401；虚拟代理设备前端1312用于支持VNFI服务器13执行图5中的过程S002和S003，图6中的过程S008和009，图7中的过程S102和S103，图9中的过程S204和S205，图10中的过程S302、S303、S309和S310；虚拟代理设备后端1313用于支持VNFI服务器13执行图5中的过程S004和S005，图6中的过程S006和007，图7中的过程S104和S105，图9 中的过程S202和S203，图10中的过程S304、S305、S307和S308；交换虚拟机1314用于支持VNFI服务器13执行图6中的过程S006，图9中的过程S201，图10中的过程S306。其中，上述方法实施例涉及的各步骤的所有相关内容均可以援引到对应功能模块的功能描述，在此不再赘述。

在采用集成的单元的情况下，图14示出了上述实施例中所涉及的VNFI服务器的一种可能的结构示意图。VNFI服务器13包括：处理模块1322和通信模块1323。处理模块1322用于对VNFI服务器13的动作进行控制管理，例如，处理模块1322用于支持VNFI服务器13执行图5中的过程S00-S005、图6中的过程S006-S010、图7中的过程S101-S105、图9中的过程S201-S205、图10中的过程S301-S310、图11中的过程S401。通信模块1313用于支持VNFI服务器与其他实体的通信，例如与图1中示出的功能模块或网络实体之间的通信。VNFI服务器13还可以包括存储模块1321，用于存储VNFI服务器的程序代码和数据。

其中，处理模块1322可以是处理器或控制器，例如可以是中央处理器(central processing unit，CPU)，通用处理器，数字信号处理器(digital signal processor，DSP)，专用集成电路(application-specific integrated circuit，ASIC)，现场可编程门阵列(field programmable gate array，FPGA)或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本申请公开内容所描述的各种示例性的逻辑方框，模块和电路。所述处理器也可以是实现计算功能的组合，例如包含一个或多个微处理器组合，DSP和微处理器的组合等等。通信模块1323可以是收发器、收发电路或通信接口等。存储模块1321可以是存储器。

当处理模块1322为处理器，通信模块1323为收发器，存储模块1321为存储器时，本申请实施例所涉及的VNFI服务器可以为图15所示的VNFI服务器13。

参阅图15所示，该VNFI服务器13包括：处理器1332、收发器1333、存储器1331、总线1334。其中，收发器1333、处理器1332、存储器1331通过总线1334相互连接；总线1334可以是外设部件互连标准(peripheral component interconnect，PCI)总线或扩展工业标准结构(extended industry standard architecture，EISA)总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示，图中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

在采用对应各个功能划分各个功能模块的情况下，图16示出了上述实施例中所涉及的VNFM服务器的一种可能的结构示意图，VNFM服务器16包括：接收单元1611、发送单元1612。接收单元1611用于支持VNFM服务器16执行图5中的过程S002，图6中的过程S009，图11中的过程S402；发送单元1312用于支持VNFM服务器13执行图5中的过程S003，图6中的过程S010，图11中的过程S403。其中，上述方法实施例涉及的各步骤的所有相关内容均可以援引到对应功能模块的功能描述，在此不再赘述。

在采用集成的单元的情况下，图17示出了上述实施例中所涉及的VNFM服务器的一种可能的结构示意图。VNFM服务器16包括：处理模块1622和通信模块1623。处理模块1622用于对VNFM服务器16的动作进行控制管理，例如，处理模块1622用于支持VNFM服务器16执行图5中的过程S002和S003、图6中的过程S009和S010、图11中的过程S402和S403。通信模块1613用于支持VNFM服务器与其他实体的通信，例如与图1中示出的功能模块或网络实体之间的通信。VNFM服务器16还可以包括存储模块1621，用于存储VNFM服务器的程序代码和数据。

其中，处理模块1622可以是处理器或控制器，例如可以是中央处理器(central processing unit，CPU)，通用处理器，数字信号处理器(digital signal processor，DSP)，专用集成电路(application-specific integrated circuit，ASIC)，现场可编程门阵列(field programmable gate array，FPGA)或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本申请公开内容所描述的各种示例性的逻辑方框，模块和电路。所述处理器也可以是实现计算功能的组合，例如包含一个或多个微处理器组合，DSP和微处理器的组合等等。通信模块1623可以是收发器、收发电路或通信接口等。存储模块1621可以是存储器。

当处理模块1622为处理器，通信模块1623为收发器，存储模块1621为存储器时，本申请实施例所涉及的VNFM服务器可以为图18所示的VNFM服务器16。

参阅图18所示，该VNFM服务器16包括：处理器1632、收发器1633、存储器1631、总线1634。其中，收发器1633、处理器1632、存储器1631通过总线1634相互连接；总线1634可以是外设部件互连标准(peripheral component interconnect，PCI)总线或扩展工业标准结构(extended industry standard architecture，EISA)总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示，图中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

在采用对应各个功能划分各个功能模块的情况下，图19示出了上述实施例中所涉及的VIM服务器的一种可能的结构示意图，VIM服务器19包括：接收单元1911、发送单元1912。接收单元1911用于支持VIM服务器19执行图5中的过程S004，图6中的过程S007，图11中的过程S404；发送单元1912用于支持VIM服务器19执行图5中的过程S005，图6中的过程S008，图11中的过程S405。其中，上述方法实施例涉及的各步骤的所有相关内容均可以援引到对应功能模块的功能描述，在此不再赘述。

在采用集成的单元的情况下，图20示出了上述实施例中所涉及的VIM服务器的一种可能的结构示意图。VIM服务器19包括：处理模块1922和通信模块1923。处理模块1922用于对VIM服务器19的动作进行控制管理，例如，处理模块1922用于支持VIM服务器19执行图5中的过程S004和S005、图6中的过程S007和S008、图11中的过程S404和S405。通信模块1913用于支持VIM服务器与其他实体的通信，例如与图1中示出的功能模块或网络实体之间的通信。VIM服务器19还可以包括存储模块1921，用于存储VIM服务器的程序代码和数据。

其中，处理模块1922可以是处理器或控制器，例如可以是中央处理器(central processing unit，CPU)，通用处理器，数字信号处理器(digital signal processor，DSP)，专用集成电路(application-specific integrated circuit，ASIC)，现场可编程门阵列(field programmable gate array，FPGA)或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本申请公开内容所描述的各种示例性的逻辑方框，模块和电路。所述处理器也可以是实现计算功能的组合，例如包含一个或多个微处理器组合，DSP和微处理器的组合等等。通信模块1923可以是收发器、收发电路或通信接口等。存储模块1921可以是存储器。

当处理模块1922为处理器，通信模块1923为收发器，存储模块1921为存储器时，本申请实施例所涉及的VIM服务器可以为图21所示的VIM服务器19。

参阅图21所示，该VIM服务器19包括：处理器1932、收发器1933、存储器1931、总线1934。其中，收发器1933、处理器1932、存储器1931通过总线1934相互连接；总线1934可以是外设部件互连标准(peripheral component interconnect，PCI)总线或扩展工业标准结构(extended industry standard architecture，EISA)总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示，图中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以所述权利要求的保护范围为准。

Claims

一种控制信息传递方法，其特征在于，包括：

第一设备从虚拟机的业务软件接收控制信息；

所述第一设备将所述控制信息发送给第二设备；

其中，所述第一设备为虚拟代理设备前端，所述虚拟代理设备前端配置于所述虚拟机中，所述第二设备为虚拟代理设备后端，所述虚拟代理设备后端配置于虚拟资源层的虚拟网络中；

或者，

所述第一设备为虚拟网络功能管理器VNFM，所述第二设备为虚拟化基础设施管理器VIM。
根据权利要求1所述的方法，其特征在于，所述方法还包括：

所述第一设备从所述第二设备接收控制结果信息，所述控制结果信息用于指示所述控制信息是否配置成功；

所述第一设备将所述控制结果信息发送给所述虚拟机的业务软件。
根据权利要求1或2所述的方法，其特征在于，当所述虚拟机为会话边界控制器SBC虚拟机时，所述控制信息用于防攻击或呼叫会话带宽控制，所述控制信息包括：所述虚拟机的标识、流规则类型、流处理操作类型和参数包，所述流处理操作类型用于指示增加、修改或删除；

当所述流规则类型为访问控制列表ACL时，所述参数包包括源互联网协议IP地址、源端口号、目的IP地址、目的端口号和过滤操作动作，其中，所述过滤操作动作用于指示允许通过或丢弃包；

当所述流规则类型为呼叫准入控制CAC时，所述参数包包括源IP地址、源端口号、目的IP地址、目的端口号和允许带宽。
一种控制信息传递方法，其特征在于，包括：

第二设备从第一设备接收控制信息；

所述第二设备将所述控制信息配置给虚拟交换机；

其中，所述第一设备为虚拟代理设备前端，所述虚拟代理设备前端配置于虚拟机中，所述第二设备为虚拟代理设备后端，所述虚拟代理设备后端配置于虚拟资源层的虚拟网络中；

或者，

所述第一设备为虚拟网络功能管理器VNFM，所述第二设备为虚拟化基础设施管理器VIM。
根据权利要求4所述的方法，其特征在于，所述方法还包括：

所述第二设备从所述虚拟交换机接收控制结果信息，所述控制结果信息用于指示所述控制信息是否配置成功；

所述第二设备将所述控制结果信息发送给所述第一设备。
根据权利要求4或5所述的方法，其特征在于，当所述虚拟机为会话边界控制器SBC虚拟机时，所述控制信息用于防攻击或呼叫会话带宽控制，所述控制信息包括：所述虚拟机的标识、流规则类型、流处理操作类型和参数包，所述流处理操作类型用于指示增加、修改或删除；

当所述流规则类型为访问控制列表ACL时，所述参数包包括源互联网协议IP地址、源端口号、目的IP地址、目的端口号和过滤操作动作，其中，所述过滤操作动作用于指示允许通过或丢弃包；

当所述流规则类型为呼叫准入控制CAC时，所述参数包包括源IP地址、源端口号、目的IP地址、目的端口号和允许带宽。
一种网络功能虚拟化基础设施层NFVI服务器，其特征在于，包括：

虚拟代理设备前端，用于从虚拟机的业务软件接收控制信息，并发送给虚拟代理设备后端，其中，所述虚拟代理设备前端配置于所述虚拟机中，所述虚拟代理设备后端配置于虚拟资源层的虚拟网络中；

所述虚拟代理设备后端，用于从所述虚拟代理设备前端接收所述控制信息，并发送给虚拟交换机。
根据权利要求7所述的NFVI服务器，其特征在于，

所述虚拟代理设备后端，还用于从所述虚拟交换机接收控制结果信息，并发送给所述虚拟代理设备前端，所述控制结果信息用于指示所述控制信息是否配置成功；

所述虚拟代理设备前端，还用于从所述虚拟代理设备后端接收控制结果信息，并发送给所述虚拟机的业务软件。
根据权利要求7或8所述的NFVI服务器，其特征在于，当所述虚拟机为会话边界控制器SBC虚拟机时，所述控制信息用于防攻击或呼叫会话带宽控制，所述控制信息包括：所述虚拟机的标识、流规则类型、流处理操作类型和参数包，所述流处理操作类型用于指示增加、修改或删除；

当所述流规则类型为访问控制列表ACL时，所述参数包包括源互联网协议IP地址、源端口号、目的IP地址、目的端口号和过滤操作动作，其中，所述过滤操作动作用于指示允许通过或丢弃包；

当所述流规则类型为呼叫准入控制CAC时，所述参数包包括源IP地址、源端口号、目的IP地址、目的端口号和允许带宽。
一种虚拟网络功能管理器VNFM服务器，其特征在于，包括：

接收单元，用于从会话边界控制器虚拟机的业务软件接收控制信息；

发送单元，用于将所述控制信息发送给虚拟化基础设施管理器VIM。
根据权利要求10所述的VNFM服务器，其特征在于，

所述接收单元，还用于从所述VIM接收控制结果信息，所述控制结果信息用于指示所述控制信息是否配置成功；

所述发送单元，还用于将所述控制结果信息发送给所述虚拟机的业务软件。
根据权利10或11所述的VNFM服务器，其特征在于，当所述虚拟机为会话边界控制器SBC虚拟机时，所述控制信息用于防攻击或呼叫会话带宽控制，所述控制信息包括：所述虚拟机的标识、流规则类型、流处理操作类型和参数包，所述流处理操作类型用于指示增加、修改或删除；

当所述流规则类型为访问控制列表ACL时，所述参数包包括源互联网协议IP地址、源端口号、目的IP地址、目的端口号和过滤操作动作，其中，所述过滤操作动作用于指示允许通过或丢弃包；

当所述流规则类型为呼叫准入控制CAC时，所述参数包包括源IP地址、源端口号、目的IP地址、目的端口号和允许带宽。
一种虚拟化基础设施管理器VIM服务器，其特征在于，包括：

接收单元，用于从虚拟网络功能管理器VNFM接收控制信息；

发送单元，用于将所述控制信息配置给虚拟交换机。
根据权利要求13所述的VIM服务器，其特征在于，

所述接收单元，还用于从所述虚拟交换机接收控制结果信息，所述控制结果信息用于指示所述控制信息是否配置成功；

所述发送单元，还用于将所述控制结果信息发送给所述VNFM。
根据权利要求13或14所述的VIM服务器，其特征在于，所述控制信息包括：所述SBC虚拟机的标识、流规则类型、流处理操作类型和参数包，所述流处理操作类型用于指示增加、修改或删除；

当所述流规则类型为访问控制列表ACL时，所述参数包包括源互联网协议IP地址、源端口号、目的IP地址、目的端口号和过滤操作动作，其中，所述过滤操作动作用于指示允许通过或丢弃包；

当所述流规则类型为呼叫准入控制CAC时，所述参数包包括源IP地址、源端口号、目的IP地址、目的端口号和允许带宽。
一种网络功能虚拟化基础设施层NFVI服务器，其特征在于，包括：处理器、存储器、总线和通信接口；所述存储器用于存储计算机执行指令，所述处理器与所述存储器通过所述总线连接，当所述NFVI服务器运行时，所述处理器执行所述存储器存储的所述计算机执行指令，以使所述NFVI服务器执行如权利要求1-6中任意一项所述的控制信息传递方法。
一种虚拟网络功能管理器VNFM服务器，其特征在于，包括：处理器、存储器、总线和通信接口；所述存储器用于存储计算机执行指令，所述处理器与所述存储器通过所述总线连接，当所述VNFM服务器运行时，所述处理器执行所述存储器存储的所述计算机执行指令，以使所述VNFM服务器执行如权利要求1-3中任意一项所述的控制信息传递方法。
一种虚拟化基础设施管理器VIM服务器，其特征在于，包括：处理器、存储器、总线和通信接口；所述存储器用于存储计算机执行指令，所述处理器与所述存储器通过所述总线连接，当所述VIM服务器运行时，所述处理器执行所述存储器存储的所述计算机执行指令，以使所VIM服务器执行如权利要求4-6中任意一项所述的控制信息传递方法。
一种网络功能虚拟化NFV通信系统，其特征在于，包括如权利要求7-9任一项所述的网络功能虚拟化基础设施层NFVI服务器；或者包括如权利要求10-12任一项所述的虚拟网络功能管理器VNFM服务器以及如权利要求13-15任一项所述的虚拟化基础设施管理器VIM服务器；或者包括如权利要求16所述的NFVI服务器；或者包括如权利要求17所述的VNFM服务器以及如权利要求18所述的VIM服务器。