本發(fā)明涉及通信領(lǐng)域，尤其涉及一種業(yè)務(wù)鏈拓?fù)浣Y(jié)構(gòu)、業(yè)務(wù)鏈設(shè)置方法和控制器。
背景技術(shù)：
：數(shù)據(jù)報文在網(wǎng)絡(luò)中傳遞時，需要經(jīng)過各種各樣的業(yè)務(wù)節(jié)點(diǎn)(例如防火墻、負(fù)載均衡器(LB，loadbalance)等)。當(dāng)數(shù)據(jù)報文按照業(yè)務(wù)邏輯經(jīng)過這些業(yè)務(wù)節(jié)點(diǎn)時形成了報文傳輸路徑，即稱為業(yè)務(wù)鏈(servicechain)?，F(xiàn)有技術(shù)中根據(jù)業(yè)務(wù)鏈對業(yè)務(wù)節(jié)點(diǎn)(例如防火墻、負(fù)載均衡器等)進(jìn)行部署時，都是與物理網(wǎng)絡(luò)拓?fù)渚o密相關(guān)的，即根據(jù)報文路徑來部署業(yè)務(wù)節(jié)點(diǎn)，因此一般采用串行連接。例如假設(shè)數(shù)據(jù)報文需要依次經(jīng)過業(yè)務(wù)節(jié)點(diǎn)A、B和C，就需要將A、B和C串行連接。這樣的部署方式不夠靈活，例如當(dāng)需要改變報文路徑時就需要改變業(yè)務(wù)節(jié)點(diǎn)的物理連接方式，或者當(dāng)其中一個業(yè)務(wù)節(jié)點(diǎn)發(fā)生故障時，整個業(yè)務(wù)鏈會斷開。針對這個問題，現(xiàn)有技術(shù)在數(shù)據(jù)中心網(wǎng)絡(luò)利用服務(wù)器承載虛擬防火墻/負(fù)載均衡器等新型網(wǎng)絡(luò)設(shè)備，并將這些虛擬防火墻/負(fù)載均衡器部署在邏輯網(wǎng)絡(luò)的邊緣，通過特殊的調(diào)度方式將數(shù)據(jù)流引向這些網(wǎng)絡(luò)設(shè)備進(jìn)而完成引流操作?；蛘咄ㄟ^部署物理防火墻，通過隧道引流的方式將數(shù)據(jù)流引導(dǎo)這些物理設(shè)備上，數(shù)據(jù)流經(jīng)過防火墻處理后再通過隧道方式引回來繼續(xù)走原路徑。對于隧道引流方式實(shí)現(xiàn)業(yè)務(wù)鏈，需要定義一套完整的隧道方式用于適配當(dāng)前的業(yè)務(wù)鏈特性，目前針對業(yè)務(wù)鏈相關(guān)的標(biāo)準(zhǔn)草案還在制定中，技術(shù)還未標(biāo)準(zhǔn)化，因此各廠商或者芯片廠商都還未宣傳對該草案的支持情況。并且該草案也還未形成具體的完整解決方案。對于非隧道引流方式實(shí)現(xiàn)業(yè)務(wù)鏈，利用了傳統(tǒng)的路由或二層轉(zhuǎn)發(fā)技術(shù)，通過引入新的路由/轉(zhuǎn)發(fā)規(guī)則將報文引流需要處理的防火墻等設(shè)備來實(shí)現(xiàn)業(yè)務(wù)鏈功能。由于未有標(biāo)準(zhǔn)化的過程，因此各廠商的實(shí)現(xiàn)技術(shù)沒有統(tǒng)一標(biāo)準(zhǔn)，有些采用PBR(policy-basedrouting，策略路由)，有些通過擴(kuò)展MP-BGP(multi-protocolbordergatewayprotocol，多協(xié)議邊界網(wǎng)關(guān)協(xié)議)進(jìn)行擴(kuò)展，定義新的NLRI(networklayerreachabilityinformation，網(wǎng)絡(luò)層可達(dá)信息)來改變傳統(tǒng)的路由下一跳行為。還有則使用負(fù)載均衡設(shè)備來實(shí)現(xiàn)，通過負(fù)載均衡設(shè)備本身的分流功能來完成最終的引流。技術(shù)實(shí)現(xiàn)要素：本發(fā)明的實(shí)施例提供一種業(yè)務(wù)鏈拓?fù)浣Y(jié)構(gòu)、業(yè)務(wù)鏈設(shè)置方法和控制器，用于解決現(xiàn)有業(yè)務(wù)鏈根據(jù)報文路徑來部署業(yè)務(wù)節(jié)點(diǎn)的方式不靈活的問題。為達(dá)到上述目的，本發(fā)明的實(shí)施例采用如下技術(shù)方案：第一方面，提供了一種業(yè)務(wù)鏈拓?fù)浣Y(jié)構(gòu)，包括：控制器、支持業(yè)務(wù)鏈的交換設(shè)備和至少一個節(jié)點(diǎn)設(shè)備，所述節(jié)點(diǎn)設(shè)備連接所述交換設(shè)備，所述控制器連接所述交換設(shè)備，所述控制器用于基于與所述交換設(shè)備建立的開放流OpenFlow協(xié)議對所述交換設(shè)備進(jìn)行端口發(fā)現(xiàn)；所述控制器還用于基于對所述交換設(shè)備的端口發(fā)現(xiàn)通過在所述交換設(shè)備中的流表項(xiàng)中，設(shè)置業(yè)務(wù)流流入所述交換設(shè)備的上一個節(jié)點(diǎn)設(shè)備，并且設(shè)置所述業(yè)務(wù)流流出所述交換設(shè)備的下一個節(jié)點(diǎn)設(shè)備，控制所述交換設(shè)備將業(yè)務(wù)流引流至對應(yīng)的節(jié)點(diǎn)設(shè)備，使每一條所述業(yè)務(wù)流的流入節(jié)點(diǎn)設(shè)備和流出節(jié)點(diǎn)設(shè)備之間連接所述交換設(shè)備，建立所述上一個節(jié)點(diǎn)設(shè)備和所述下一個節(jié)點(diǎn)設(shè)備之間的業(yè)務(wù)鏈。第二方面，提供了一種業(yè)務(wù)鏈設(shè)置方法，應(yīng)用于第一方面所述的業(yè)務(wù)鏈拓?fù)浣Y(jié)構(gòu)，包括：控制器基于與交換設(shè)備建立的開放流OpenFlow協(xié)議對所述交換設(shè)備進(jìn)行端口發(fā)現(xiàn)；所述控制器基于對所述交換設(shè)備的端口發(fā)現(xiàn)通過在所述交換設(shè)備中的流表項(xiàng)中，設(shè)置業(yè)務(wù)流流入所述交換設(shè)備的上一個節(jié)點(diǎn)設(shè)備，并且設(shè)置所述業(yè)務(wù)流流出所述交換設(shè)備的下一個節(jié)點(diǎn)設(shè)備，控制所述交換設(shè)備將業(yè)務(wù)流引流至對應(yīng)的節(jié)點(diǎn)設(shè)備，使每一條所述業(yè)務(wù)流的流入節(jié)點(diǎn)設(shè)備和流出節(jié)點(diǎn)設(shè)備之間連接所述交換設(shè)備，建立所述上一個節(jié)點(diǎn)設(shè)備和所述下一個節(jié)點(diǎn)設(shè)備之間的業(yè)務(wù)鏈。第三方面，提供了一種控制器，應(yīng)用于第一方面所述的業(yè)務(wù)鏈拓?fù)浣Y(jié)構(gòu)。本發(fā)明的實(shí)施例提供的業(yè)務(wù)鏈拓?fù)浣Y(jié)構(gòu)、業(yè)務(wù)鏈設(shè)置方法和控制器，通過將各個節(jié)點(diǎn)設(shè)備直接連接到交換設(shè)備上，由控制器基于與所述交換設(shè)備建立的開放流OpenFlow協(xié)議對所述交換設(shè)備進(jìn)行端口發(fā)現(xiàn)；再由控制器還基于對所述交換設(shè)備的端口發(fā)現(xiàn)通過在所述交換設(shè)備中的流表項(xiàng)中，設(shè)置業(yè)務(wù)流流入所述交換設(shè)備的上一個節(jié)點(diǎn)設(shè)備，并且設(shè)置所述業(yè)務(wù)流流出所述交換設(shè)備的下一個節(jié)點(diǎn)設(shè)備，控制所述交換設(shè)備將業(yè)務(wù)流引流至對應(yīng)的節(jié)點(diǎn)設(shè)備，使每一條所述業(yè)務(wù)流的流入節(jié)點(diǎn)設(shè)備和流出節(jié)點(diǎn)設(shè)備之間連接所述交換設(shè)備，建立所述上一個節(jié)點(diǎn)設(shè)備和所述下一個節(jié)點(diǎn)設(shè)備之間的業(yè)務(wù)鏈，當(dāng)需要改變業(yè)務(wù)鏈路徑時，只要修改流表項(xiàng)即可，不必對整個業(yè)務(wù)鏈物理結(jié)構(gòu)進(jìn)行改變。解決了現(xiàn)有業(yè)務(wù)鏈根據(jù)報文路徑來部署業(yè)務(wù)節(jié)點(diǎn)的方式不靈活的問題。附圖說明為了更清楚地說明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案，下面將對實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例，對于本領(lǐng)域普通技術(shù)人員來講，在不付出創(chuàng)造性勞動的前提下，還可以根據(jù)這些附圖獲得其他的附圖。圖1為本發(fā)明的實(shí)施例提供的業(yè)務(wù)鏈拓?fù)浣Y(jié)構(gòu)的示意圖；圖2為本發(fā)明的實(shí)施例提供的業(yè)務(wù)鏈設(shè)置方法的流程示意圖；圖3為本發(fā)明的實(shí)施例提供的業(yè)務(wù)鏈拓?fù)浣Y(jié)構(gòu)一種具體示例的示意圖；圖4為本發(fā)明的實(shí)施例提供的業(yè)務(wù)鏈拓?fù)浣Y(jié)構(gòu)另一種具體示例的示意圖；圖5為本發(fā)明的實(shí)施例提供的負(fù)載均衡時的業(yè)務(wù)流的示意圖。具體實(shí)施方式下面將結(jié)合本發(fā)明實(shí)施例中的附圖，對本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述，顯然，所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例，而不是全部的實(shí)施例?；诒景l(fā)明中的實(shí)施例，本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實(shí)施例，都屬于本發(fā)明保護(hù)的范圍。本發(fā)明實(shí)施例提供了一種業(yè)務(wù)鏈拓?fù)浣Y(jié)構(gòu)，參照圖1中所示，包括：控制器11、支持業(yè)務(wù)鏈的交換設(shè)備12和至少一個節(jié)點(diǎn)設(shè)備13，節(jié)點(diǎn)設(shè)備13和控制器11連接交換設(shè)備12，控制器可以為SDN(軟件定義網(wǎng)絡(luò)，softwaredefinednetwork)控制器，節(jié)點(diǎn)設(shè)備13可以為防火墻、負(fù)載均衡等設(shè)備。本發(fā)明實(shí)施例主要應(yīng)用在出口解決方案中，包含但不局限于園區(qū)網(wǎng)出口、數(shù)據(jù)中心出口、醫(yī)療內(nèi)外網(wǎng)出口并作為該解決方案的核心技術(shù)。參照圖2中所示，為本發(fā)明實(shí)施例提供的業(yè)務(wù)鏈設(shè)置方法也即業(yè)務(wù)鏈創(chuàng)建過程的示意圖，具體包括：S101、控制器基于與交換設(shè)備建立的開放流OpenFlow協(xié)議對所述交換設(shè)備進(jìn)行端口發(fā)現(xiàn)。首先，進(jìn)行初始化配置。具體的，各個設(shè)備的初始化過程主要包括：配置控制器的IP(internetprotocol，互聯(lián)網(wǎng)協(xié)議)地址，完成SDN控制器控制軟件以及高級組件業(yè)務(wù)鏈的安裝。在交換設(shè)備端上配置控制器的IP地址以及管理通道IP地址，使得交換設(shè)備到控制器之間管理通路可達(dá)。并打開交換設(shè)備的遠(yuǎn)程管理通道，例如配置設(shè)備允許telnet(互聯(lián)網(wǎng)遠(yuǎn)程登陸服務(wù))等。業(yè)務(wù)鏈節(jié)點(diǎn)設(shè)備物理連接在交換設(shè)備的各個端口上。其次，在控制器和交換設(shè)備之間會建立OpenFlow(開放流)連接握手過程，使得控制器能夠在網(wǎng)絡(luò)中發(fā)現(xiàn)交換設(shè)備。具體的，控制器和交換設(shè)備之間建立TCP(transmissioncontrolprotocol，傳輸控制協(xié)議)連接后開始OpenFlow協(xié)議交互(OpenFlow協(xié)議基于TCP)，具體包括：首先雙方完成Hello握手，交換雙方的OpenFlow協(xié)議版本信息，然后控制器發(fā)送功能請求(featurerequest)消息去獲取交換設(shè)備的設(shè)備類型、流表能力、端口形態(tài)、數(shù)量等信息，從而完成對交換設(shè)備的發(fā)現(xiàn)過程。需要說明的是，控制器和交換設(shè)備之間會建立OpenFlow連接握手的過程只能完成支持OpenFlow協(xié)議的交換設(shè)備的發(fā)現(xiàn)過程，對于傳統(tǒng)的業(yè)務(wù)鏈節(jié)點(diǎn)設(shè)備是無法通過該過程發(fā)現(xiàn)的，需要手工指定。再次，配置業(yè)務(wù)鏈節(jié)點(diǎn)設(shè)備。具體的，在控制器的WEB界面上可呈現(xiàn)交換設(shè)備以及交換設(shè)備的各個端口。管理員可以指定交換設(shè)備哪些端口連接業(yè)務(wù)鏈的節(jié)點(diǎn)設(shè)備，并設(shè)定節(jié)點(diǎn)設(shè)備的工作模式例如透明模式還是路由模式。當(dāng)管理員在控制器上完成這些配置后，控制器會將對應(yīng)的端口配置轉(zhuǎn)換成交換設(shè)備支持的界面例如CLI(command-lineinterface，命令行界面)，通過預(yù)先配置好的管理通道完成對交換設(shè)備相關(guān)端口的配置。完成這個步驟后就可以在控制器上看到對應(yīng)的業(yè)務(wù)鏈節(jié)點(diǎn)設(shè)備，并知曉這些節(jié)點(diǎn)設(shè)備的工作模式和與交換設(shè)備關(guān)聯(lián)的端口。并且交換設(shè)備也完成相關(guān)的配置處于待工作狀態(tài)。S102、控制器基于對交換設(shè)備的端口發(fā)現(xiàn)通過在交換設(shè)備中的流表項(xiàng)中，設(shè)置業(yè)務(wù)流流入交換設(shè)備的上一個節(jié)點(diǎn)設(shè)備，并且設(shè)置業(yè)務(wù)流流出交換設(shè)備的下一個節(jié)點(diǎn)設(shè)備，控制交換設(shè)備將業(yè)務(wù)流引流至對應(yīng)的節(jié)點(diǎn)設(shè)備，使每一條業(yè)務(wù)流的流入節(jié)點(diǎn)設(shè)備和流出節(jié)點(diǎn)設(shè)備之間連接交換設(shè)備，建立上一個節(jié)點(diǎn)設(shè)備和下一個節(jié)點(diǎn)設(shè)備之間的業(yè)務(wù)鏈。進(jìn)行業(yè)務(wù)鏈設(shè)置，即控制器設(shè)置該業(yè)務(wù)流所需要經(jīng)過的業(yè)務(wù)鏈節(jié)點(diǎn)設(shè)備以及順序，業(yè)務(wù)流在從上一個節(jié)點(diǎn)設(shè)備流向下一個節(jié)點(diǎn)設(shè)備時均需經(jīng)過交換設(shè)備進(jìn)行轉(zhuǎn)發(fā)?？刂破骺梢詫⒃O(shè)置后的流表通過OpenFlow協(xié)議下發(fā)到交換設(shè)備上，以完成后續(xù)的引流操作，從而實(shí)現(xiàn)將指定業(yè)務(wù)流按需轉(zhuǎn)發(fā)到各個業(yè)務(wù)鏈節(jié)點(diǎn)設(shè)備并最終形成業(yè)務(wù)鏈的功能。需要說明的是，當(dāng)業(yè)務(wù)流從業(yè)務(wù)鏈節(jié)點(diǎn)設(shè)備回流到交換設(shè)備且不需要再經(jīng)過其他業(yè)務(wù)鏈節(jié)點(diǎn)設(shè)備時，這時的轉(zhuǎn)發(fā)規(guī)則還是按照傳統(tǒng)方式生成的路由、二層轉(zhuǎn)發(fā)規(guī)則來轉(zhuǎn)發(fā)，不受控制器控制。而由于目前業(yè)界業(yè)務(wù)節(jié)點(diǎn)通常支持路由模式和透明模式或這兩種模式之一(即使兩種模式都支持，工作時也只能處于其中一種模式)，因此將具體針對這兩種模式以三層業(yè)務(wù)流轉(zhuǎn)發(fā)過程進(jìn)行詳細(xì)介紹。路由模式下的業(yè)務(wù)鏈引流。路由模式指的是業(yè)務(wù)鏈節(jié)點(diǎn)設(shè)備本身具備三層轉(zhuǎn)發(fā)功能，其與交換設(shè)備之間互聯(lián)通道需要配置IP地址，交換設(shè)備通過三層路由的方式將報文發(fā)送至這些節(jié)點(diǎn)設(shè)備，報文從這些節(jié)點(diǎn)設(shè)備返回交換設(shè)備時也是通過三層路由的方式。每個節(jié)點(diǎn)設(shè)備連接交換設(shè)備的一對輸出端口和輸入端口，參照圖3中所示，假設(shè)P1、P2屬于SVI(switchvirtualinterface，交換機(jī)虛擬接口)下的兩個成員口；P3-P7屬于路由口，其中，P3、P4與對應(yīng)的節(jié)點(diǎn)設(shè)備13連接，P5、P6與對應(yīng)的節(jié)點(diǎn)設(shè)備14連接，P3和P5屬于交換設(shè)備的輸出端口，P4和P6屬于交換設(shè)備12的輸入端口，示例性的，節(jié)點(diǎn)設(shè)備13可以是FW(firewall，防火墻)，節(jié)點(diǎn)設(shè)備14可以為WAF(webapplicationfirewall，web應(yīng)用防火墻)?？刂破?1通過MGMT(management，管理)端口與交換設(shè)備連接，用于向交換設(shè)備傳遞配置命令和OpenFlow流表。首先，進(jìn)行ARP(addressresolutionprotocol，地址解析協(xié)議)學(xué)習(xí)。節(jié)點(diǎn)設(shè)備13和節(jié)點(diǎn)設(shè)備14完成IP配置和網(wǎng)關(guān)配置后會向交換設(shè)備12請求對應(yīng)ARP信息，這時的ARP請求由交換設(shè)備12進(jìn)行應(yīng)答，該過程與傳統(tǒng)流程一致。在此不再贅述。但是，由于控制器后續(xù)下發(fā)的流表可能需要用到節(jié)點(diǎn)設(shè)備13和節(jié)點(diǎn)設(shè)備14的MAC(mediaaccesscontrol，媒體訪問控制)地址，因此控制器需要獲取節(jié)點(diǎn)設(shè)備13和節(jié)點(diǎn)設(shè)備14的ARP信息。但是，如果如無特殊表項(xiàng)設(shè)置的話，節(jié)點(diǎn)設(shè)備13和節(jié)點(diǎn)設(shè)備14的ARP應(yīng)答會被交換設(shè)備12本身的ARP模塊攔截，因此需要控制器11在流表項(xiàng)的動作域(Action)中，設(shè)置輸出端口字段(Output_Port)為交換設(shè)備的與控制器對應(yīng)的輸出端口，示例如表1中所示。表1在表1中，In_Port表示輸入端口字段，Ether_Type字段表示業(yè)務(wù)流的以太幀類型字段。交換設(shè)備在收到這些流表之后，通過OpenFlowPI模塊將這些流表最終設(shè)置到交換芯片上(到芯片上的流表轉(zhuǎn)義成CPU的行為，由OpenFlowPI模塊接收這個ARPReply報文，并轉(zhuǎn)換成OpenFlowPacket_in報文上送控制器)?？刂破魍瓿闪鞅硐掳l(fā)后，通過OpenFlowPacket_out消息將發(fā)給節(jié)點(diǎn)設(shè)備13和節(jié)點(diǎn)設(shè)備14的ARPRequest(請求)報文發(fā)送給交換設(shè)備，交換設(shè)備的OpenFlowPI模塊將OpenFlowPacket_out報文中的ARP請求解析出來并通過交換設(shè)備發(fā)送到節(jié)點(diǎn)設(shè)備13和節(jié)點(diǎn)設(shè)備14上，當(dāng)節(jié)點(diǎn)設(shè)備13和節(jié)點(diǎn)設(shè)備14應(yīng)答ARPReply(回復(fù))后，該報文會根據(jù)上述設(shè)置的流表項(xiàng)送到交換設(shè)備的CPU繼而通過OpenFlowPI模塊最終發(fā)送到控制器上，從而控制器完成節(jié)點(diǎn)設(shè)備13和節(jié)點(diǎn)設(shè)備14的ARP學(xué)習(xí)。路由模式下的三層轉(zhuǎn)發(fā)。具體的，假設(shè)存在一條從P1輸入的業(yè)務(wù)流需要三層轉(zhuǎn)發(fā)到P7接口。在控制器上構(gòu)建業(yè)務(wù)鏈?zhǔn)沟米罱KP1-P7的業(yè)務(wù)流經(jīng)過如下路徑：P1-P3-P4-P5-P6-P7。需要說明的是，不會改變原有業(yè)務(wù)流在交換設(shè)備上的出口，只是將該業(yè)務(wù)流流經(jīng)節(jié)點(diǎn)設(shè)備的路徑做了改變。此時，在流表項(xiàng)的匹配域(Match)中，設(shè)置輸入端口字段(In_Port)為交換設(shè)備的與上一個節(jié)點(diǎn)設(shè)備相對應(yīng)的輸入端口，并且設(shè)置以太幀類型字段(Ether_Type)為該業(yè)務(wù)流的類型；在流表項(xiàng)的動作域(Action)中，設(shè)置輸出端口字段(Output_Port)為交換設(shè)備的與下一個節(jié)點(diǎn)設(shè)備相對應(yīng)的輸出端口；同時，在流表項(xiàng)的動作域(Action)中，設(shè)置源MAC地址(SET_SMAC)為交換設(shè)備的MAC地址，設(shè)置目標(biāo)MAC地址(SET_DMAC)為下一個節(jié)點(diǎn)設(shè)備的MAC地址。示例如表2中所示：表2在表2中，Switch_MAC表示交換設(shè)備的MAC地址，F(xiàn)W_MAC表示節(jié)點(diǎn)設(shè)備13的MAC地址，WAF_MAC表示節(jié)點(diǎn)設(shè)備14的MAC地址。同樣通過交換設(shè)備的OpenFlowPI模塊經(jīng)由交換適配層將這兩條流表項(xiàng)設(shè)置到交換芯片上(對應(yīng)的VLAN(virtuallocalareanetwork，虛擬局域網(wǎng))信息由交換適配層根據(jù)P3、P5的VLAN自行添加上，控制器并不感知P3、P5路由口的VLAN信息)。透明模式下的業(yè)務(wù)鏈引流。透明模式指的是業(yè)務(wù)鏈節(jié)點(diǎn)設(shè)備本身具備透明傳輸功能(原報文進(jìn)原報文出)，其與交換設(shè)備之間互聯(lián)通道無需配置IP地址，雙方以橋式Bridge(Trunk口)方式互聯(lián)。交換設(shè)備和這些節(jié)點(diǎn)設(shè)備之間的報文交互都和報文從源口輸入時的內(nèi)容一致。這點(diǎn)有別于路由模式，路由模式下交換設(shè)備和這些節(jié)點(diǎn)設(shè)備之間的交互報文與輸入報文是不一致的，二層端口的源MAC地址、目的MAC地址都已經(jīng)發(fā)生變化。首先由控制器對交換設(shè)備的各個端口進(jìn)行預(yù)先配置，P3、P4、P5、P6這些端口的配置需要通過控制器的Telnet/TR069等方式下發(fā)到交換設(shè)備上，配置完后P3、P4、P5、P6這些輸出端口和輸入端口需要具備如下屬性：屬于所有VLAN；不進(jìn)行VLAN檢查；不進(jìn)行地址學(xué)習(xí)；不對VLAN進(jìn)行添加刪除；P4、P6輸入端口對于輸入報文為二層廣播、未知名單播時丟棄該輸入報文。透明模式下的三層轉(zhuǎn)發(fā)。具體的，假設(shè)存在一條從P1輸入的業(yè)務(wù)流需要三層轉(zhuǎn)發(fā)到P7接口。在控制器上構(gòu)建業(yè)務(wù)鏈?zhǔn)沟米罱KP1-P7的業(yè)務(wù)流經(jīng)過如下路徑：P1-P3-P4-P5-P6-P7。需要說明的是，不會改變原有業(yè)務(wù)流在交換設(shè)備上的出口，只是將該業(yè)務(wù)流流經(jīng)節(jié)點(diǎn)設(shè)備的路徑做了改變。此時，在流表項(xiàng)的匹配域(Match)中，設(shè)置輸入端口字段(In_Port)為交換設(shè)備的與上一個節(jié)點(diǎn)設(shè)備相對應(yīng)的輸入端口，并且設(shè)置以太幀類型字段(Ether_Type)為該業(yè)務(wù)流的類型；在流表項(xiàng)的動作域(Action)中，設(shè)置輸出端口字段(Output_Port)為交換設(shè)備的與下一個節(jié)點(diǎn)設(shè)備相對應(yīng)的輸出端口；示例如表3中所示：表3流名稱匹配域(Match)動作域(Action)Flow1In_Port＝＝P1&&業(yè)務(wù)流特征Output_Port＝P3Flow2In_Port＝＝P4&&業(yè)務(wù)流特征Output_Port＝P5同樣通過Switch端的OpenFlowPI模塊經(jīng)由交換適配層將這兩條流表項(xiàng)設(shè)置到交換芯片上。原始報文從P1口輸入交換設(shè)備后若匹配Flow1流表項(xiàng)，則會以類似重定向的方式將報文轉(zhuǎn)發(fā)到交換設(shè)備的P3口，由于P3口歸屬所有VLAN并且不剝離任何VLAN，因此從P3口輸出的報文帶的還是P1口輸入時帶上的VLAN信息。當(dāng)報文從P3輸出流經(jīng)P4回到交換設(shè)備后，由于P4端口被配置成不進(jìn)行VLAN檢查同時不修改報文的VLAN，所以到達(dá)交換設(shè)備內(nèi)部時報文帶的VLAN信息還是從P1輸入的VLAN信息。若匹配Flow2流表，則同樣會以類似重定向的方式將報文轉(zhuǎn)發(fā)到P5口，由于P5口歸屬所有VLAN并且不剝離任何VLAN，因此從P5口輸出的報文帶的還是P1口輸入時帶上的VLAN信息。當(dāng)報文流從P5輸出流經(jīng)P6返回交換設(shè)備后，由于這時不會有額外的匹配表項(xiàng)并且報文還保持著P1口輸入時的VLAN信息，因此這個報文將按傳統(tǒng)的路由方式將報文路由到P7口發(fā)送出去。負(fù)載均衡的引流。由于本發(fā)明實(shí)施例提供的業(yè)務(wù)鏈在部署擴(kuò)展性上的天然優(yōu)勢，可以通過擴(kuò)展節(jié)點(diǎn)設(shè)備(例如防火墻設(shè)備)來解決單一節(jié)點(diǎn)設(shè)備(例如防火墻設(shè)備)性能不足的問題，而擴(kuò)展出的節(jié)點(diǎn)設(shè)備(例如防火墻設(shè)備)在功能上與原先的節(jié)點(diǎn)設(shè)備(例如防火墻設(shè)備)一樣。此時，需要控制器在交換設(shè)備的流表項(xiàng)中，設(shè)置進(jìn)行負(fù)載均衡的多個節(jié)點(diǎn)設(shè)備歸屬于一組，并且在流表項(xiàng)的動作域(Action)中，設(shè)置目標(biāo)MAC地址(SET_DMAC)為從進(jìn)行負(fù)載均衡的多個節(jié)點(diǎn)設(shè)備的MAC地址中選擇一個(SelectOne)。參照圖4中所示，假設(shè)節(jié)點(diǎn)設(shè)備13和節(jié)點(diǎn)設(shè)備14是功能相同的節(jié)點(diǎn)設(shè)備，對這二者進(jìn)行負(fù)載均衡。同樣地，P1、P2屬于同一個SVI下的兩個物理端口、P9是其它的三層端口。以下場景以路由模式為例詳細(xì)介紹如下。當(dāng)處于路由模式時，上述路由模式下的業(yè)務(wù)鏈引流的原理以及限制同樣生效，此處只針對負(fù)載均衡如何在路由模式下工作給出描述，假設(shè)從P1-P9的某條三層轉(zhuǎn)發(fā)業(yè)務(wù)鏈如圖5中所示，這時控制器下發(fā)表4中所示的流表項(xiàng)給交換設(shè)備：表4在表4中，Switch_MAC表示交換設(shè)備的MAC地址，F(xiàn)W1_MAC表示節(jié)點(diǎn)設(shè)備13的MAC地址，F(xiàn)W2_MAC表示節(jié)點(diǎn)設(shè)備14的MAC地址，WAF_MAC表示節(jié)點(diǎn)設(shè)備15的MAC地址。首先控制器下發(fā)組規(guī)則(Group1)，該組規(guī)則選擇從端口1輸入具有某種特征的業(yè)務(wù)流，從端口P3、P5選擇之一(SelectOne)輸出，同時修改對應(yīng)的SMAC、DMAC、VLAN為指定值。在交換設(shè)備需要轉(zhuǎn)義成ECMP(equal-costmultipathrouting，等價多路徑路由)的方式完成。由于控制器無法指定散列規(guī)則，因此散列的方式由交換芯片本身決定。由于控制器無法掌握該業(yè)務(wù)流會走P3、P5哪條路徑，因此在下一個規(guī)則設(shè)置時必須同步兩條表項(xiàng)(Flow1和Flow2)，使得特征報文無論從P4還是P6輸入都將繼續(xù)走P7端口。具體的，與路由模式下的業(yè)務(wù)鏈引流不同的地方主要在于在交換側(cè)多了個按芯片散列規(guī)則的ECMP過程。當(dāng)從P4、P6的數(shù)據(jù)流回流到交換設(shè)備時，需要分別與Flow1、Flow2流表項(xiàng)進(jìn)行匹配后才能繼續(xù)后續(xù)的轉(zhuǎn)發(fā)規(guī)則。本發(fā)明實(shí)施例提供的業(yè)務(wù)鏈拓?fù)浣Y(jié)構(gòu)、業(yè)務(wù)鏈設(shè)置方法和控制器，通過將各個節(jié)點(diǎn)設(shè)備直接連接到交換設(shè)備上，由控制器基于與所述交換設(shè)備建立的開放流OpenFlow協(xié)議對所述交換設(shè)備進(jìn)行端口發(fā)現(xiàn)；再由控制器還基于對所述交換設(shè)備的端口發(fā)現(xiàn)通過在所述交換設(shè)備中的流表項(xiàng)中，設(shè)置業(yè)務(wù)流流入所述交換設(shè)備的上一個節(jié)點(diǎn)設(shè)備，并且設(shè)置所述業(yè)務(wù)流流出所述交換設(shè)備的下一個節(jié)點(diǎn)設(shè)備，控制所述交換設(shè)備將業(yè)務(wù)流引流至對應(yīng)的節(jié)點(diǎn)設(shè)備，使每一條所述業(yè)務(wù)流的流入節(jié)點(diǎn)設(shè)備和流出節(jié)點(diǎn)設(shè)備之間連接所述交換設(shè)備，建立所述上一個節(jié)點(diǎn)設(shè)備和所述下一個節(jié)點(diǎn)設(shè)備之間的業(yè)務(wù)鏈，當(dāng)需要改變業(yè)務(wù)鏈路徑時，只要修改流表項(xiàng)即可，不必對整個業(yè)務(wù)鏈物理結(jié)構(gòu)進(jìn)行改變。解決了現(xiàn)有業(yè)務(wù)鏈根據(jù)報文路徑來部署業(yè)務(wù)節(jié)點(diǎn)的方式不靈活的問題。另外，本發(fā)明實(shí)施例，可以解決原有安全路徑上的單點(diǎn)故障，伸縮性部署難的問題，加快網(wǎng)絡(luò)規(guī)劃和實(shí)施的速率；同時支持不同品牌間安全設(shè)備負(fù)載，提高了專用應(yīng)用層安全設(shè)備(例如WAF、FW等)利用率，降低網(wǎng)絡(luò)構(gòu)建的成本。應(yīng)理解，在本發(fā)明的各種實(shí)施例中，上述各過程的序號的大小并不意味著執(zhí)行順序的先后，各過程的執(zhí)行順序應(yīng)以其功能和內(nèi)在邏輯確定，而不應(yīng)對本發(fā)明實(shí)施例的實(shí)施過程構(gòu)成任何限定。本領(lǐng)域普通技術(shù)人員可以意識到，結(jié)合本文中所公開的實(shí)施例描述的各示例的單元及算法步驟，能夠以電子硬件、或者計(jì)算機(jī)軟件和電子硬件的結(jié)合來實(shí)現(xiàn)。這些功能究竟以硬件還是軟件方式來執(zhí)行，取決于技術(shù)方案的特定應(yīng)用和設(shè)計(jì)約束條件。專業(yè)技術(shù)人員可以對每個特定的應(yīng)用來使用不同方法來實(shí)現(xiàn)所描述的功能，但是這種實(shí)現(xiàn)不應(yīng)認(rèn)為超出本發(fā)明的范圍。所屬領(lǐng)域的技術(shù)人員可以清楚地了解到，為描述的方便和簡潔，上述描述的系統(tǒng)、裝置和單元的具體工作過程，可以參考前述方法實(shí)施例中的對應(yīng)過程，在此不再贅述。在本申請所提供的幾個實(shí)施例中，應(yīng)該理解到，所揭露的系統(tǒng)、設(shè)備和方法，可以通過其它的方式實(shí)現(xiàn)。例如，以上所描述的設(shè)備實(shí)施例僅僅是示意性的，例如，所述單元的劃分，僅僅為一種邏輯功能劃分，實(shí)際實(shí)現(xiàn)時可以有另外的劃分方式，例如多個單元或組件可以結(jié)合或者可以集成到另一個系統(tǒng)，或一些特征可以忽略，或不執(zhí)行。另一點(diǎn)，所顯示或討論的相互之間的耦合或直接耦合或通信連接可以是通過一些接口，設(shè)備或單元的間接耦合或通信連接，可以是電性，機(jī)械或其它的形式。所述作為分離部件說明的單元可以是或者也可以不是物理上分開的，作為單元顯示的部件可以是或者也可以不是物理單元，即可以位于一個地方，或者也可以分布到多個網(wǎng)絡(luò)單元上?？梢愿鶕?jù)實(shí)際的需要選擇其中的部分或者全部單元來實(shí)現(xiàn)本實(shí)施例方案的目的。另外，在本發(fā)明各個實(shí)施例中的各功能單元可以集成在一個處理單元中，也可以是各個單元單獨(dú)物理存在，也可以兩個或兩個以上單元集成在一個單元中。所述功能如果以軟件功能單元的形式實(shí)現(xiàn)并作為獨(dú)立的產(chǎn)品銷售或使用時，可以存儲在一個計(jì)算機(jī)可讀取存儲介質(zhì)中。基于這樣的理解，本發(fā)明的技術(shù)方案本質(zhì)上或者說對現(xiàn)有技術(shù)做出貢獻(xiàn)的部分或者該技術(shù)方案的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來，該計(jì)算機(jī)軟件產(chǎn)品存儲在一個存儲介質(zhì)中，包括若干指令用以使得一臺計(jì)算機(jī)設(shè)備(可以是個人計(jì)算機(jī)，服務(wù)器，或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個實(shí)施例所述方法的全部或部分步驟。而前述的存儲介質(zhì)包括：U盤、移動硬盤、只讀存儲器(英文全稱:read-onlymemory，英文簡稱：ROM)、隨機(jī)存取存儲器(英文全稱：randomaccessmemory，英文簡稱：RAM)、磁碟或者光盤等各種可以存儲程序代碼的介質(zhì)。以上所述，僅為本發(fā)明的具體實(shí)施方式，但本發(fā)明的保護(hù)范圍并不局限于此，任何熟悉本
技術(shù)領(lǐng)域：
的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi)，可輕易想到變化或替換，都應(yīng)涵蓋在本發(fā)明的保護(hù)范圍之內(nèi)。因此，本發(fā)明的保護(hù)范圍應(yīng)以所述權(quán)利要求的保護(hù)范圍為準(zhǔn)。當(dāng)前第1頁1 2 3