[发明专利]服务链部署方法、装置、安全池网关及安全编排器

说明书

本申请提供一种服务链部署方法、装置、安全池网关及安全编排器，涉及通信技术领域，能够解决现有技术中难以实现对安全池的部署的问题。该方法包括：安全池网关接收来自安全编排器的服务链部署消息；服务链部署消息用于指示安全池网关部署安全池服务链；安全池服务链由安全编排器根据目标设备的设备信息配置；目标设备的设备信息包括设备标识、业务标识以及源地址中的至少一项；安全池服务链的首节点和尾节点均为安全池网关；安全池服务链用于进行业务流量传输；安全池网关响应于服务链部署消息部署安全池服务链。本申请能够灵活部署安全池服务链。

技术领域

本申请涉及通信技术领域，尤其涉及一种服务链部署方法、装置、安全池网关、安全编排器及存储介质。

背景技术

服务链(service function chain，SFC)网络用于将租户的特定业务报文引导到指定的应用服务节点进行处理，并转发到目的地。

目前，现有技术中SFC要求在头尾节点明确服务链所经过的各个节点的段标识(segment identifier，SID)信息，然而通常情况下运营商的网络业务和安全业务通过不同的控制器管理。由于网络控制器不清楚安全池中的具体拓扑等情况，因此难以实现对安全池的部署。

发明内容

本申请提供一种服务链部署方法、装置、安全池网关、安全编排器及存储介质，能够实现对安全池的灵活部署。

为达到上述目的，本申请采用如下技术方案：

第一方面，本申请提供一种服务链部署方法，该方法包括：安全池网关接收来自安全编排器的服务链部署消息；服务链部署消息用于指示安全池网关部署安全池服务链；安全池服务链由安全编排器根据目标设备的设备信息配置；目标设备的设备信息包括设备标识、业务标识以及源地址中的至少一项；安全池服务链的首节点和尾节点均为安全池网关；安全池服务链用于进行业务流量传输；安全池网关响应于服务链部署消息部署安全池服务链。

基于上述技术方案，本申请实施例提供的安全编排器可以向安全池网关发送服务链部署消息，相应的，安全池网关接收来自安全编排器的服务链部署消息。其中，安全池服务链的首节点和尾节点均为安全池网关，安全池服务链用于进行业务传输。安全池服务链配置完成后，安全池网关响应于该服务链部署消息部署安全池服务链。如此一来，安全编排器便可以指示目标设备通过安全池服务链进行业务传输。基于上述技术方案，本申请可以减少运营商网络与安全池之间的耦合关系，相比于现有技术中的技术方案，本申请中用户设备、网络侧设备以及运营商网络中的网络控制器等设备均无需了解安全池内的处理路径以及报文封装信息，因此能够实现安全池的灵活部署。

结合上述第一方面，在一种可能的实现方式中，安全池服务链还包括安全代理节点；安全代理节点用于对接收到的业务流量进行安全检测。

结合上述第一方面，在一种可能的实现方式中，服务链部署消息包括第一路径信息以及第二路径信息；第一路径信息用于指示转发从目标设备到网络侧设备的业务流量的节点路径；第二路径信息用于指示转发从网络侧设备到目标设备的业务流量的节点路径。

结合上述第一方面，在一种可能的实现方式中，该方法包括：安全池网关根据第一路径信息生成第一入链表项以及第一出链表项；第一入链表项包括入链表项标识和目的地址匹配值；第一出链表项包括出链表项标识和业务标识；安全池网关根据第二路径信息生成第二入链表项以及第二出链表项；第二入链表项包括入链表项标识和源地址匹配值；第二出链表项包括出链表项标识和载荷匹配类型。

结合上述第一方面，在一种可能的实现方式中，该方法还包括：当接收到从目标设备到网络侧设备的第一业务流量时，安全池网关检测第一业务流量的目的地址是否为第一入链表项中的目的地址匹配值；在第一业务流量的目的地址为第一入链表项中的目的地址匹配值的情况下，安全池网关根据第一路径信息将第一业务流量转发至下一个节点；安全池网关根据第一出链表项中的业务标识向网络侧设备转发第一业务流量。