本發(fā)明涉及網(wǎng)絡(luò)通信領(lǐng)域，具體而言，涉及一種功能服務(wù)管理方法及裝置。

背景技術(shù)：

在網(wǎng)絡(luò)環(huán)境中，包含各種各樣的網(wǎng)絡(luò)功能服務(wù)，如防火墻、入侵檢測(cè)、WAF、負(fù)載均衡等等網(wǎng)絡(luò)功能。而傳統(tǒng)網(wǎng)絡(luò)中的網(wǎng)絡(luò)功能服務(wù)存在諸多問(wèn)題：網(wǎng)絡(luò)功能服務(wù)只能為用戶提供專屬服務(wù)，例如一個(gè)防火墻接入了一個(gè)子網(wǎng)以后，這個(gè)防火墻就無(wú)法為其他的子網(wǎng)進(jìn)行服務(wù)，除非改變網(wǎng)絡(luò)的結(jié)構(gòu)和配置，所以就產(chǎn)生了網(wǎng)絡(luò)功能服務(wù)鏈的概念。而所謂服務(wù)鏈，即將這些特定的網(wǎng)絡(luò)應(yīng)用功能按照業(yè)務(wù)邏輯有序的組合起來(lái)，讓業(yè)務(wù)網(wǎng)絡(luò)流量通過(guò)這些網(wǎng)絡(luò)服務(wù)功能，為業(yè)務(wù)提供安全、可靠、穩(wěn)定的服務(wù)，從而形成網(wǎng)絡(luò)功能服務(wù)鏈。而傳統(tǒng)的網(wǎng)絡(luò)功能服務(wù)鏈?zhǔn)峭ㄟ^(guò)堆砌硬件網(wǎng)絡(luò)功能服務(wù)設(shè)備的方式實(shí)現(xiàn)服務(wù)鏈，從而使得業(yè)務(wù)與網(wǎng)絡(luò)拓?fù)渚o密耦合，且部署、維護(hù)復(fù)雜；傳統(tǒng)的網(wǎng)絡(luò)功能服務(wù)鏈沒(méi)有充分考慮到當(dāng)前許多功能服務(wù)是以軟件的形態(tài)存在的，即其不能很好的將基于軟件的、虛擬機(jī)的、硬件的功能服務(wù)在一個(gè)資源池內(nèi)靈活調(diào)度；在服務(wù)鏈變更、擴(kuò)容時(shí)，都需變動(dòng)網(wǎng)絡(luò)拓?fù)洹⒅匦屡渲镁W(wǎng)絡(luò)設(shè)備；大量硬件堆砌導(dǎo)致投入成本和運(yùn)維成本大大增加；同時(shí)傳統(tǒng)網(wǎng)絡(luò)功能服務(wù)鏈也無(wú)法滿足動(dòng)態(tài)性、高流動(dòng)性、規(guī)模易變化的云化業(yè)務(wù)系統(tǒng)。

技術(shù)實(shí)現(xiàn)要素：

有鑒于此，本發(fā)明的目的是提供一種功能服務(wù)管理方法及裝置，使得業(yè)務(wù)流量可以井然有序、安全高效的調(diào)度到規(guī)劃的功能服務(wù)節(jié)點(diǎn)上。

本發(fā)明實(shí)施方式中提供的一種功能服務(wù)管理裝置，包括資源池建立模塊、編排模塊、服務(wù)鏈構(gòu)建模塊、數(shù)據(jù)流拾取模塊、著色模塊、導(dǎo)入模塊。資源池建立模塊用于構(gòu)建一個(gè)服務(wù)功能資源池；編排模塊用于依據(jù)用戶需求從服務(wù)功能資源池中選擇至少一個(gè)功能服務(wù)節(jié)點(diǎn)；服務(wù)鏈構(gòu)建模塊用于依據(jù)選擇的所述功能服務(wù)節(jié)點(diǎn)構(gòu)建服務(wù)鏈；數(shù)據(jù)流拾取模塊設(shè)定所述服務(wù)鏈的顆粒度，所述顆粒度為進(jìn)入所述服務(wù)鏈的數(shù)據(jù)的選擇標(biāo)準(zhǔn)；著色模塊用于接收匹配所述顆粒度的數(shù)據(jù)流，并對(duì)所述數(shù)據(jù)流進(jìn)行著色；導(dǎo)入模塊用于將著色的所述數(shù)據(jù)流導(dǎo)入到所述服務(wù)鏈。

優(yōu)選地，所述功能服務(wù)節(jié)點(diǎn)包括虛擬服務(wù)節(jié)點(diǎn)和/或物理服務(wù)節(jié)點(diǎn)。

優(yōu)選地，所述服務(wù)鏈構(gòu)建模塊還用于：設(shè)定連接所述功能服務(wù)節(jié)點(diǎn)的物理端口；設(shè)定所述功能服務(wù)節(jié)點(diǎn)的工作模式和配置參數(shù)。

優(yōu)選地，所述著色的所述數(shù)據(jù)流包括所述網(wǎng)絡(luò)中的唯一標(biāo)示，所述唯一標(biāo)示可用于對(duì)所述數(shù)據(jù)流進(jìn)行區(qū)分、監(jiān)控和管理。

優(yōu)選地，所述服務(wù)鏈構(gòu)建模塊還應(yīng)用于在數(shù)據(jù)流進(jìn)入所述選中的功能服務(wù)節(jié)點(diǎn)前或/和后增加流量監(jiān)控探針，還根據(jù)每個(gè)所述功能服務(wù)節(jié)點(diǎn)的配置要求和特點(diǎn)對(duì)所述數(shù)據(jù)流進(jìn)入該功能服務(wù)節(jié)點(diǎn)前和離開(kāi)此功能服務(wù)節(jié)點(diǎn)后進(jìn)行相應(yīng)的修改以使得其與服務(wù)功能配合并達(dá)到正常的工作效果。

本發(fā)明又一實(shí)施方式中提供的一種功能服務(wù)管理方法，該方法包括：構(gòu)建一個(gè)服務(wù)功能資源池；依據(jù)用戶需求從服務(wù)功能資源池中選擇至少一個(gè)功能服務(wù)節(jié)點(diǎn)；依據(jù)選擇的所述功能服務(wù)節(jié)點(diǎn)構(gòu)建服務(wù)鏈；設(shè)定所述服務(wù)鏈的顆粒度，所述顆粒度為進(jìn)入所述服務(wù)鏈的數(shù)據(jù)的選擇標(biāo)準(zhǔn)；接收匹配所述顆粒度的數(shù)據(jù)流，并對(duì)所述數(shù)據(jù)流進(jìn)行著色；將著色的所述數(shù)據(jù)流導(dǎo)入到所述服務(wù)鏈。

優(yōu)選地，所述功能服務(wù)節(jié)點(diǎn)包括虛擬服務(wù)節(jié)點(diǎn)和/或物理服務(wù)節(jié)點(diǎn)。

優(yōu)選地，所述依據(jù)所述功能服務(wù)節(jié)點(diǎn)構(gòu)建服務(wù)鏈的步驟還包括：設(shè)定連接所述功能服務(wù)節(jié)點(diǎn)的物理端口；設(shè)定所述功能服務(wù)節(jié)點(diǎn)的工作模式和配置參數(shù)。

優(yōu)選地，所述著色的所述數(shù)據(jù)流包括所述網(wǎng)絡(luò)中的唯一標(biāo)示，所述唯一標(biāo)示可用于對(duì)所述數(shù)據(jù)流進(jìn)行區(qū)分、監(jiān)控和管理。

優(yōu)選地，所述方法還包括：在數(shù)據(jù)流進(jìn)入所述選中的功能服務(wù)節(jié)點(diǎn)前或/和后增加流量監(jiān)控探針，并根據(jù)每個(gè)所述功能服務(wù)節(jié)點(diǎn)的配置要求和特點(diǎn)對(duì)所述數(shù)據(jù)流進(jìn)入該功能服務(wù)節(jié)點(diǎn)前和離開(kāi)此功能服務(wù)節(jié)點(diǎn)后進(jìn)行相應(yīng)的修改以使得其與服務(wù)功能配合并達(dá)到正常的工作效果。

上述功能服務(wù)管理方法及裝置，可以使得業(yè)務(wù)流量可以井然有序、安全高效的調(diào)度到規(guī)劃的功能服務(wù)節(jié)點(diǎn)上，同時(shí)提高了網(wǎng)絡(luò)資源利用率。

以下結(jié)合附圖和具體實(shí)施例對(duì)本發(fā)明進(jìn)行詳細(xì)描述，但不作為對(duì)本發(fā)明的限定。

附圖說(shuō)明

圖1為本發(fā)明一種功能服務(wù)管理裝置10一實(shí)施方式的應(yīng)用環(huán)境圖。

圖2為本發(fā)明一種功能服務(wù)管理裝置10一實(shí)施方式的功能模塊圖。

圖3為本發(fā)明一實(shí)施方式中用戶需求的示意圖。

圖4為本發(fā)明一種功能服務(wù)管理裝置10又一實(shí)施方式的功能模塊圖。

圖5為本發(fā)明一種功能服務(wù)管理方法一實(shí)施方式的流程圖。

主要元件符號(hào)說(shuō)明

功能服務(wù)管理裝置 10

SDN控制器 1

SDN網(wǎng)絡(luò) 2

功能服務(wù)資源池 3

被訪問(wèn)的業(yè)務(wù)系統(tǒng) 4

訪問(wèn)源所在的網(wǎng)絡(luò) 5

資源池建立模塊 100

編排模塊 102

服務(wù)鏈構(gòu)建模塊 104

數(shù)據(jù)流拾取模塊 106

著色模塊 108

導(dǎo)入模塊 110

存儲(chǔ)器 112

處理器 114

如下具體實(shí)施方式將結(jié)合上述附圖進(jìn)一步說(shuō)明本發(fā)明。

具體實(shí)施方式

下面將結(jié)合本發(fā)明實(shí)施例中的附圖，對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述，顯然，所描述的實(shí)施例是本發(fā)明一部分實(shí)施例，而不是全部的實(shí)施例?；诒景l(fā)明中的實(shí)施例，本領(lǐng)域普通技術(shù)人員在沒(méi)有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例，都屬于本發(fā)明保護(hù)的范圍。

圖1為本發(fā)明功能服務(wù)管理裝置10一實(shí)施方式的應(yīng)用環(huán)境圖。在本實(shí)施方式中，功能服務(wù)管理裝置10位于SDN控制器1中，所述SDN控制器1連接SDN網(wǎng)絡(luò)2及功能服務(wù)資源池3，SDN網(wǎng)絡(luò)2還連接功能服務(wù)資源池3以及被訪問(wèn)的業(yè)務(wù)系統(tǒng)4。其中功能服務(wù)管理裝置10構(gòu)建的服務(wù)鏈依存于SDN網(wǎng)絡(luò)2，當(dāng)訪問(wèn)源在訪問(wèn)源所在的網(wǎng)絡(luò)5向被訪問(wèn)的業(yè)務(wù)系統(tǒng)4發(fā)起業(yè)務(wù)訪問(wèn)請(qǐng)求，業(yè)務(wù)數(shù)據(jù)流可通過(guò)基于SDN網(wǎng)絡(luò)2構(gòu)建的服務(wù)鏈實(shí)現(xiàn)連通，同時(shí)可由SDN控制器1上的功能服務(wù)管理裝置10進(jìn)行監(jiān)控、管理和調(diào)配。在本實(shí)施方式中，SDN網(wǎng)絡(luò)2包括SDN物理網(wǎng)絡(luò)和SDN虛擬網(wǎng)絡(luò)中任何一種或者二者組合。

圖2為本發(fā)明功能服務(wù)管理裝置10一實(shí)施方式的功能模塊圖。在本實(shí)施方式中，功能服務(wù)管理裝置10位于SDN控制器1中，包括資源池建立模塊100、編排模塊102、服務(wù)鏈構(gòu)建模塊104、數(shù)據(jù)流拾取模塊106、著色模塊108、導(dǎo)入模塊110。

資源池建立模塊100用于建立一個(gè)功能服務(wù)資源池3。在本實(shí)施方式中，功能服務(wù)資源池3的建立過(guò)程例如：將物理和虛擬的功能服務(wù)資源加入到對(duì)應(yīng)的功能服務(wù)資源池中。例如防火墻服務(wù)資源池,可以將A廠家的物理防火墻和A廠家的虛擬防火墻和B廠家的虛擬防火墻加入防火墻資源池中以備構(gòu)建服務(wù)鏈的時(shí)候選擇并使用。

編排模塊102用于依據(jù)用戶需求從功能服務(wù)資源池中選擇至少一個(gè)功能服務(wù)節(jié)點(diǎn)。在本實(shí)施方式中，功能服務(wù)節(jié)點(diǎn)可以為虛擬功能服務(wù)節(jié)點(diǎn)，也可以為物理功能服務(wù)節(jié)點(diǎn)，其中虛擬功能服務(wù)節(jié)點(diǎn)和物理功能服務(wù)節(jié)點(diǎn)指的是服務(wù)資源，諸如虛擬機(jī)、防火墻、負(fù)載均衡、IDS、WAF等等。其中所謂用戶需求是例如：來(lái)自某個(gè)IP地址段且訪問(wèn)某一web服務(wù)器(被訪問(wèn)的業(yè)務(wù)系統(tǒng)4)的數(shù)據(jù)流需要依次經(jīng)過(guò)IDS、防火墻兩個(gè)服務(wù)進(jìn)行攻擊防護(hù)和報(bào)文安全過(guò)濾，且IDS服務(wù)需要配置一對(duì)主備模式的IDS、防火墻需要使用透明模式進(jìn)行工作，從web服務(wù)器返回的數(shù)據(jù)流不需要經(jīng)過(guò)所述防火墻和IDS而是直接返回到發(fā)送數(shù)據(jù)流的端口，其具體過(guò)程如圖3所示。

服務(wù)鏈構(gòu)建模塊104依據(jù)選擇的功能服務(wù)節(jié)點(diǎn)構(gòu)建服務(wù)鏈。在本實(shí)施方式中，將所選擇的功能服務(wù)節(jié)點(diǎn)，如防火墻、虛擬機(jī)、負(fù)載均衡、IDS、WAF等功能服務(wù)節(jié)點(diǎn)進(jìn)行邏輯串聯(lián)，進(jìn)而構(gòu)建一條服務(wù)鏈。另外，在服務(wù)鏈構(gòu)建模塊102構(gòu)建服務(wù)鏈的過(guò)程中，服務(wù)鏈構(gòu)建模塊102還用于設(shè)定服務(wù)鏈對(duì)應(yīng)所述功能服務(wù)節(jié)點(diǎn)的工作模式和配置參數(shù)，比如：1.防火墻功能是選擇路由模式還是透明模式，對(duì)于路由模式的防火墻的網(wǎng)關(guān)地址和MAC地址如何；2.資源池中對(duì)應(yīng)的兩臺(tái)功能服務(wù)設(shè)備(如IDS)是否為主備模式還是主主模式，對(duì)于主備模式的設(shè)備如果需要服務(wù)鏈構(gòu)建模塊主動(dòng)探測(cè)主、備服務(wù)的工作狀態(tài)還需要設(shè)置探測(cè)接口例如ping或其他的API接口，同時(shí)當(dāng)判斷主模塊已經(jīng)無(wú)法工作的情況下還需要自動(dòng)將數(shù)據(jù)流導(dǎo)入到備用模塊；3.如果兩臺(tái)功能服務(wù)設(shè)備為主主模式，則需要設(shè)置其流量負(fù)載分擔(dān)規(guī)則，例如全均分模式、比例分擔(dān)模式、閾值分擔(dān)模式等等。另外，服務(wù)鏈構(gòu)建模塊102還用于設(shè)定連接所述功能服務(wù)節(jié)點(diǎn)的物理端口以便于實(shí)現(xiàn)數(shù)據(jù)流導(dǎo)入、導(dǎo)出該功能服務(wù)節(jié)點(diǎn)。

數(shù)據(jù)流拾取模塊106設(shè)定所述服務(wù)鏈的顆粒度。在本實(shí)施方式中，所謂顆粒度為進(jìn)入所述服務(wù)鏈的數(shù)據(jù)的選擇標(biāo)準(zhǔn)，比如該顆粒度即選擇標(biāo)準(zhǔn)可以為某一SDN交換機(jī)的至少一個(gè)物理端口或源MAC地址或目的MAC地址或源IP地址或目的IP地址源端口號(hào)或目的端口號(hào)，甚至亦可以是用戶身份，如果使用用戶身份進(jìn)行顆粒度選擇則需要將用戶身份在用戶身份認(rèn)證機(jī)制中翻譯成其身份對(duì)應(yīng)的IP地址或MAC地址或物理端口等信息以用于數(shù)據(jù)流拾取模塊106選擇該數(shù)據(jù)流。

著色模塊108接收匹配所述顆粒度的數(shù)據(jù)流，并對(duì)所述數(shù)據(jù)流進(jìn)行著色。在本實(shí)施方式中，所謂對(duì)數(shù)據(jù)流進(jìn)行著色是指針對(duì)匹配所述顆粒度的數(shù)據(jù)流本身加上本網(wǎng)絡(luò)內(nèi)的唯一標(biāo)示，進(jìn)而在數(shù)據(jù)流流通過(guò)程中可以對(duì)該數(shù)據(jù)流進(jìn)行區(qū)分、監(jiān)控和管理。

導(dǎo)入模塊110用于將著色的所述數(shù)據(jù)流導(dǎo)入到所述服務(wù)鏈。在本實(shí)施方式中，通過(guò)將數(shù)據(jù)流導(dǎo)入到了上述構(gòu)建完成的服務(wù)鏈中，進(jìn)而實(shí)現(xiàn)了功能服務(wù)鏈的成功部署。

另外，上述服務(wù)鏈構(gòu)建模塊102還用于在數(shù)據(jù)流進(jìn)入所述選中的功能服務(wù)節(jié)點(diǎn)前或/和后增加流量監(jiān)控探針，進(jìn)而方便流量的監(jiān)控。例如將進(jìn)入防火墻前的數(shù)據(jù)流量無(wú)干擾復(fù)制一份后進(jìn)行圖形界面顯示，同時(shí)將從防火墻輸出的該數(shù)據(jù)流量也進(jìn)行無(wú)干擾復(fù)制并進(jìn)行圖形界面顯示，即可比較進(jìn)入防火墻前、后流量的變化等等。另外也根據(jù)每個(gè)所述功能服務(wù)節(jié)點(diǎn)的配置要求和特點(diǎn)對(duì)所述數(shù)據(jù)流進(jìn)入該功能服務(wù)節(jié)點(diǎn)前和離開(kāi)此功能服務(wù)節(jié)點(diǎn)后進(jìn)行相應(yīng)的修改以使得其達(dá)到正常的工作效果。例如當(dāng)防火墻設(shè)置為路由模式的時(shí)候，需要自動(dòng)的將進(jìn)入防火墻之前的數(shù)據(jù)報(bào)文的MAC地址改為該防火墻的路由節(jié)點(diǎn)的MAC地址以使得數(shù)據(jù)通信正常進(jìn)行，即為了讓用戶插入某個(gè)三層功能服務(wù)節(jié)點(diǎn)而不需要重新配置相關(guān)的路由信息且不需要經(jīng)過(guò)所謂的ARP過(guò)程，則需要在報(bào)文進(jìn)入該新插入節(jié)點(diǎn)前修改報(bào)文的目的MAC，在報(bào)文離開(kāi)此新插入的節(jié)點(diǎn)后修改報(bào)文的源MAC地址，以實(shí)現(xiàn)高效、安全、低延遲、透明的加入和移除服務(wù)節(jié)點(diǎn)。

圖4為本發(fā)明功能服務(wù)管理裝置10又一實(shí)施方式的功能模塊圖。在本實(shí)施方式中，功能服務(wù)管理裝置10不僅包括資源池建立模塊100、編排模塊102、服務(wù)鏈構(gòu)建模塊104、數(shù)據(jù)流拾取模塊106、著色模塊108、導(dǎo)入模塊110，還包括存儲(chǔ)器112和處理器114。其中資源池建立模塊100、編排模塊102、服務(wù)鏈構(gòu)建模塊104、數(shù)據(jù)流拾取模塊106、著色模塊108、導(dǎo)入模塊110均為程序功能模塊，以程序代碼的形式存儲(chǔ)于存儲(chǔ)器112中，并由處理器114執(zhí)行所述功能。

圖5為本發(fā)明功能服務(wù)管理方法一實(shí)施方式的流程圖。該方法由上述功能服務(wù)管理裝置10執(zhí)行，進(jìn)而實(shí)現(xiàn)相應(yīng)功能。

在步驟S500，資源池建立模塊100用于建立一個(gè)功能服務(wù)資源池3。在本實(shí)施方式中，功能服務(wù)資源池3的建立過(guò)程例如：將物理和虛擬的功能服務(wù)資源,加入到對(duì)應(yīng)的功能服務(wù)資源池中。例如防火墻服務(wù)資源池,可以將A廠家的物理防火墻和A廠家的虛擬防火墻和B廠家的虛擬防火墻加入防火墻資源池中以備構(gòu)建服務(wù)鏈的時(shí)候選擇并使用。

在步驟S502，編排模塊102用于依據(jù)用戶需求從功能服務(wù)資源池中選擇至少一個(gè)功能服務(wù)節(jié)點(diǎn)。在本實(shí)施方式中，功能服務(wù)節(jié)點(diǎn)可以為虛擬功能服務(wù)節(jié)點(diǎn)，也可以為物理功能服務(wù)節(jié)點(diǎn)，其中虛擬功能服務(wù)節(jié)點(diǎn)和物理功能服務(wù)節(jié)點(diǎn)指的是服務(wù)資源，諸如虛擬機(jī)、防火墻、負(fù)載均衡、IDS、WAF等等。其中所謂用戶需求是例如來(lái)自某個(gè)IP地址段且訪問(wèn)某一web服務(wù)器(被訪問(wèn)的業(yè)務(wù)系統(tǒng)4)的數(shù)據(jù)流需要依次經(jīng)過(guò)IDS、防火墻兩個(gè)服務(wù)進(jìn)行攻擊防護(hù)和報(bào)文安全過(guò)濾，且IDS服務(wù)需要配置一對(duì)主備模式的IDS、防火墻需要使用透明模式進(jìn)行工作，從web服務(wù)器返回的數(shù)據(jù)流不需要經(jīng)過(guò)所述防火墻和IDS而是直接返回到發(fā)送數(shù)據(jù)流的端口，其具體過(guò)程如圖3所示。

在步驟S504，服務(wù)鏈構(gòu)建模塊104依據(jù)選擇的功能服務(wù)節(jié)點(diǎn)構(gòu)建服務(wù)鏈。在本實(shí)施方式中，將所選擇的功能服務(wù)節(jié)點(diǎn)，如防火墻、虛擬機(jī)、負(fù)載均衡、IDS、WAF等功能服務(wù)節(jié)點(diǎn)進(jìn)行邏輯串聯(lián)，進(jìn)而構(gòu)建一條服務(wù)鏈。另外，在服務(wù)鏈構(gòu)建模塊102構(gòu)建服務(wù)鏈的過(guò)程中，服務(wù)鏈構(gòu)建模塊102還用于設(shè)定服務(wù)鏈對(duì)應(yīng)所述功能服務(wù)節(jié)點(diǎn)的工作模式和配置參數(shù)，比如：1.防火墻功能是選擇路由模式還是透明模式，對(duì)于路由模式的防火墻的網(wǎng)關(guān)地址和MAC地址如何；2.資源池中對(duì)應(yīng)的兩臺(tái)功能服務(wù)設(shè)備(如IDS)是否為主備模式還是主主模式，對(duì)于主備模式的設(shè)備如果需要服務(wù)鏈構(gòu)建模塊主動(dòng)探測(cè)主、備服務(wù)的工作狀態(tài)還需要設(shè)置探測(cè)接口例如ping或其他的API接口，同時(shí)當(dāng)判斷主模塊已經(jīng)無(wú)法工作的情況下還需要自動(dòng)將數(shù)據(jù)流導(dǎo)入到備用模塊；3.如果兩臺(tái)功能服務(wù)設(shè)備為主主模式，則需要設(shè)置其流量負(fù)載分擔(dān)規(guī)則，例如全均分模式、比例分擔(dān)模式、閾值分擔(dān)模式等等。另外，服務(wù)鏈構(gòu)建模塊102還用于設(shè)定連接所述功能服務(wù)節(jié)點(diǎn)的物理端口以便于實(shí)現(xiàn)數(shù)據(jù)流導(dǎo)入、導(dǎo)出該功能服務(wù)節(jié)點(diǎn)。

在步驟S506，數(shù)據(jù)流拾取模塊106設(shè)定所述服務(wù)鏈的顆粒度。在本實(shí)施方式中，所謂顆粒度為進(jìn)入所述服務(wù)鏈的數(shù)據(jù)的選擇標(biāo)準(zhǔn)，比如該顆粒度即選擇標(biāo)準(zhǔn)可以為某一SDN交換機(jī)的至少一個(gè)物理端口或源MAC地址或目的MAC地址或源IP地址或目的IP地址源端口號(hào)或目的端口號(hào)，甚至亦可以是用戶身份，如果使用用戶身份進(jìn)行顆粒度選擇則需要將用戶身份在用戶身份認(rèn)證機(jī)制中翻譯成其身份對(duì)應(yīng)的IP地址或MAC地址或物理端口等信息以用于數(shù)據(jù)流拾取模塊106選擇該數(shù)據(jù)流。

在步驟S508，著色模塊108接收匹配所述顆粒度的數(shù)據(jù)流，并對(duì)所述數(shù)據(jù)流進(jìn)行著色。在本實(shí)施方式中，所謂對(duì)數(shù)據(jù)流進(jìn)行著色是指針對(duì)匹配所述顆粒度的數(shù)據(jù)流本身加上本網(wǎng)絡(luò)內(nèi)的唯一標(biāo)示，進(jìn)而在數(shù)據(jù)流流通過(guò)程中可以對(duì)該數(shù)據(jù)流進(jìn)行區(qū)分、監(jiān)控和管理。

在步驟S510，導(dǎo)入模塊110用于將著色的所述數(shù)據(jù)流導(dǎo)入到所述服務(wù)鏈。在本實(shí)施方式中，通過(guò)將數(shù)據(jù)流導(dǎo)入到了上述構(gòu)建完成的服務(wù)鏈中，進(jìn)而實(shí)現(xiàn)了功能服務(wù)鏈的成功部署。

在上述方法中，上述服務(wù)鏈構(gòu)建模塊102還用于在數(shù)據(jù)流進(jìn)入所述選中的功能服務(wù)節(jié)點(diǎn)前或/和后增加流量監(jiān)控探針，進(jìn)而方便流量的監(jiān)控。例如將進(jìn)入防火墻前的數(shù)據(jù)流量無(wú)干擾復(fù)制一份后進(jìn)行圖形界面顯示，同時(shí)將從防火墻輸出的該數(shù)據(jù)流量也進(jìn)行無(wú)干擾復(fù)制并進(jìn)行圖形界面顯示，即可比較進(jìn)入防火墻前、后流量的變化等等。另外也根據(jù)每個(gè)所述功能服務(wù)節(jié)點(diǎn)的配置要求和特點(diǎn)對(duì)所述數(shù)據(jù)流進(jìn)入該功能服務(wù)節(jié)點(diǎn)前和離開(kāi)此功能服務(wù)節(jié)點(diǎn)后進(jìn)行相應(yīng)的修改以使得其達(dá)到正常的工作效果，例如當(dāng)防火墻設(shè)置為路由模式的時(shí)候，需要自動(dòng)的將進(jìn)入防火墻之前的數(shù)據(jù)報(bào)文的MAC地址改為該防火墻的路由節(jié)點(diǎn)的MAC地址以使得數(shù)據(jù)通信正常進(jìn)行，即為了讓用戶插入某個(gè)三層功能服務(wù)節(jié)點(diǎn)而不需要重新配置相關(guān)的路由信息且不需要經(jīng)過(guò)所謂的ARP過(guò)程，則需要在報(bào)文進(jìn)入該新插入節(jié)點(diǎn)前修改報(bào)文的目的MAC，在報(bào)文離開(kāi)此新插入的節(jié)點(diǎn)后修改報(bào)文的源MAC地址，以實(shí)現(xiàn)高效、安全、低延遲、透明的加入和移除服務(wù)節(jié)點(diǎn)。需要補(bǔ)充的是，上面描述的針對(duì)功能服務(wù)節(jié)點(diǎn)的操作處理方法同樣適用于發(fā)出訪問(wèn)請(qǐng)求的所述“訪問(wèn)源”和接收請(qǐng)求的所述“被訪問(wèn)的業(yè)務(wù)系統(tǒng)”，例如可以將被訪問(wèn)的業(yè)務(wù)系統(tǒng)放入一資源池中，并通過(guò)SDN網(wǎng)絡(luò)對(duì)該資源池進(jìn)行連接、管理和監(jiān)控，當(dāng)有遇到訪問(wèn)請(qǐng)求時(shí)，可將此資源池中的業(yè)務(wù)系統(tǒng)根據(jù)需求和規(guī)則挑選出來(lái)供所述訪問(wèn)源進(jìn)行訪問(wèn)。

通過(guò)功能服務(wù)管理裝置10執(zhí)行上述功能服務(wù)管理方法，使得業(yè)務(wù)流量可以井然有序、安全高效的調(diào)度到規(guī)劃的功能服務(wù)節(jié)點(diǎn)上，同時(shí)提高了網(wǎng)絡(luò)資源利用率。

需要說(shuō)明的是，上文所述實(shí)施方式，并不構(gòu)成對(duì)發(fā)明保護(hù)范圍的限定。任何在本發(fā)明的精神和原則內(nèi)所作的修改，等同替換和改進(jìn)等，均應(yīng)包含在本發(fā)明的保護(hù)范圍內(nèi)。