交叉申請

本申請要求2015年1月30日遞交的發(fā)明名稱為“用于業(yè)務(wù)鏈的設(shè)備、系統(tǒng)和方法(devices,systemsandmethodsforservicechains)”的第14/610,252號美國專利申請案的在先申請優(yōu)先權(quán)，該在先申請的全部內(nèi)容以引用的方式并入本文本中。

本文描述的實施例大體上涉及網(wǎng)絡(luò)通信領(lǐng)域，尤其涉及用于實施業(yè)務(wù)鏈的設(shè)備、系統(tǒng)和方法。

背景技術(shù)：

數(shù)據(jù)中心網(wǎng)絡(luò)(datacenternetwork，dcn)可實施業(yè)務(wù)鏈，通過將業(yè)務(wù)鏈設(shè)施用作一系列檢查點和策略執(zhí)行點來定義網(wǎng)絡(luò)流量規(guī)則。需要改進業(yè)務(wù)鏈實施方式，或至少需要替代方案。

技術(shù)實現(xiàn)要素：

根據(jù)一方面，提供了一種具有入端口的路由器，所述入端口用于從多個網(wǎng)絡(luò)的多個源節(jié)點接收多個網(wǎng)絡(luò)數(shù)據(jù)包，每個網(wǎng)絡(luò)數(shù)據(jù)包具有一個目的地址。所述路由器具有出端口，所述出端口用于向至少一個目的節(jié)點傳輸所述多個網(wǎng)絡(luò)數(shù)據(jù)包。所述路由器配置m+1個虛擬路由轉(zhuǎn)發(fā)實例(virtualroutingandforwardinginstance，vrf實例；或vrfinstance，vrfi)，用于向m個業(yè)務(wù)設(shè)施中的至少一個業(yè)務(wù)設(shè)施路由所述多個網(wǎng)絡(luò)數(shù)據(jù)包中的至少一個網(wǎng)絡(luò)數(shù)據(jù)包，m是大于1的整數(shù)。所述路由器具有一個持久存儲器，所述持久存儲器用于存儲多個路由表，每個路由表基于所述多個網(wǎng)絡(luò)數(shù)據(jù)包的所述目的地址為所述m+1個vrfi中的一個vrfi定義多個路由規(guī)則。

根據(jù)一些實施例，所述m+1個vrfi包括針對所述m個業(yè)務(wù)設(shè)施中的每個業(yè)務(wù)設(shè)施的一個vrfi以及一個附加vrfi。

根據(jù)一些實施例，所述路由規(guī)則不是基于所述多個網(wǎng)絡(luò)數(shù)據(jù)包的源地址。

根據(jù)一些實施例，所述路由規(guī)則路由所述多個網(wǎng)絡(luò)數(shù)據(jù)包的一部分以繞過所述m個業(yè)務(wù)設(shè)施中的至少一個業(yè)務(wù)設(shè)施。

根據(jù)一些實施例，所述m+1個vrfi的vrfi數(shù)量不是基于所述多個網(wǎng)絡(luò)的網(wǎng)絡(luò)數(shù)量。

根據(jù)一些實施例，在所述入端口處從所述多個網(wǎng)絡(luò)接收的所述多個網(wǎng)絡(luò)數(shù)據(jù)包由所述m+1個vrfi中的一個通用vrfi來路由。

根據(jù)一些實施例，每個vrfi與所述多個路由表中的一個路由表關(guān)聯(lián)。

根據(jù)一些實施例，所述vrfi數(shù)量是基于業(yè)務(wù)設(shè)施數(shù)量。

根據(jù)一些實施例，所述多個網(wǎng)絡(luò)的所述數(shù)量是n，n是大于m+1的整數(shù)。

根據(jù)一些實施例，所述m個業(yè)務(wù)設(shè)施至少包括一個從由以下設(shè)施組成的組中選擇的設(shè)施：防火墻設(shè)施、負載均衡設(shè)施、web業(yè)務(wù)設(shè)施、數(shù)據(jù)業(yè)務(wù)設(shè)施、網(wǎng)絡(luò)地址轉(zhuǎn)換設(shè)施、入侵檢測系統(tǒng)設(shè)施和入侵防御系統(tǒng)設(shè)施。

在另一方面，提供了一種具有m個業(yè)務(wù)設(shè)施的系統(tǒng)，m是大于1的整數(shù)。所述系統(tǒng)具有路由器，所述路由器具有：入端口，用于從多個網(wǎng)絡(luò)的多個源節(jié)點接收多個網(wǎng)絡(luò)數(shù)據(jù)包，每個網(wǎng)絡(luò)數(shù)據(jù)包具有一個目的地址；以及出端口，用于向至少一個目的節(jié)點傳輸所述多個網(wǎng)絡(luò)數(shù)據(jù)包。所述路由器具有用于連接到所述m個業(yè)務(wù)設(shè)施的多個端口。所述路由器配置m+1個虛擬路由轉(zhuǎn)發(fā)實例(virtualroutingandforwardinginstance，vrfi)，用于向所述m個業(yè)務(wù)設(shè)施中的至少一個業(yè)務(wù)設(shè)施路由至少所述多個網(wǎng)絡(luò)數(shù)據(jù)包的一部分，所述m+1個vrfi中的一個通用vrfi路由在所述入端口處從所述多個網(wǎng)絡(luò)接收的所述多個網(wǎng)絡(luò)數(shù)據(jù)包。所述系統(tǒng)具有一個持久存儲器，所述持久存儲器用于非瞬時性地存儲多個路由表，每個路由表基于所述多個網(wǎng)絡(luò)數(shù)據(jù)包的所述目的地址為所述m+1個vrfi中的一個vrfi定義多個路由規(guī)則。

根據(jù)一些實施例，所述m+1個vrfi包括針對所述m個業(yè)務(wù)設(shè)施中的每個業(yè)務(wù)設(shè)施的一個vrfi以及一個附加vrfi。

根據(jù)一些實施例，所述路由規(guī)則不是基于所述多個網(wǎng)絡(luò)數(shù)據(jù)包的源地址。

根據(jù)一些實施例，所述路由規(guī)則路由所述多個網(wǎng)絡(luò)數(shù)據(jù)包的一部分以繞過所述m個業(yè)務(wù)設(shè)施中的至少一個業(yè)務(wù)設(shè)施。

根據(jù)一些實施例，所述m+1個vrfi的vrfi數(shù)量不是基于所述多個網(wǎng)絡(luò)的網(wǎng)絡(luò)數(shù)量。

根據(jù)一些實施例，每個vrfi與所述多個路由表中的一個路由表關(guān)聯(lián)。

根據(jù)一些實施例，所述vrfi數(shù)量是基于業(yè)務(wù)設(shè)施數(shù)量。

根據(jù)一些實施例，所述多個網(wǎng)絡(luò)提供n個不同的網(wǎng)絡(luò)，n是大于m+1的整數(shù)。

根據(jù)一些實施例，所述m個業(yè)務(wù)設(shè)施至少包括一個從由以下設(shè)施組成的組中選擇的設(shè)施：防火墻設(shè)施、負載均衡設(shè)施、web業(yè)務(wù)設(shè)施、數(shù)據(jù)業(yè)務(wù)設(shè)施、網(wǎng)絡(luò)地址轉(zhuǎn)換設(shè)施、入侵檢測系統(tǒng)設(shè)施和入侵防御系統(tǒng)設(shè)施。

在另一方面，提供了一種用于提供多個業(yè)務(wù)鏈的方法。所述方法包括在路由器的入端口處從多個網(wǎng)絡(luò)接收多個網(wǎng)絡(luò)數(shù)據(jù)包，每個網(wǎng)絡(luò)數(shù)據(jù)包具有一個目的地址。所述方法包括配置路由器，所述路由器具有m+1個虛擬路由轉(zhuǎn)發(fā)實例(virtualroutingandforwardinginstance，vrfi)，用于向m個業(yè)務(wù)設(shè)施中的至少一個業(yè)務(wù)設(shè)施路由至少一個網(wǎng)絡(luò)數(shù)據(jù)包，m是大于1的整數(shù)。所述方法還包括將多個路由表存儲在持久數(shù)據(jù)存儲器中，每個路由表基于所述多個網(wǎng)絡(luò)數(shù)據(jù)包的所述目的地址為所述m+1個vrfi中的一個vrfi定義多個路由規(guī)則。所述方法包括使用所述m+1個vrfi定義多個業(yè)務(wù)鏈。所述方法包括使用所述m+1個vrfi中的至少一個，基于所述至少一個網(wǎng)絡(luò)數(shù)據(jù)包的至少一個目的地址使用至少一個路由規(guī)則路由所述至少一個網(wǎng)絡(luò)數(shù)據(jù)包。所述方法還包括在所述路由器的出端口處向目的節(jié)點傳輸所述至少一個路由的網(wǎng)絡(luò)數(shù)據(jù)包。

根據(jù)一些實施例，所述方法還可包括路由一部分數(shù)據(jù)包以繞過至少一個業(yè)務(wù)設(shè)施。

根據(jù)一些實施例，所述方法還可包括將每個vrfi與一個路由表關(guān)聯(lián)。

根據(jù)一些實施例，所述m+1個vrfi包括針對所述m個業(yè)務(wù)設(shè)施中的每個業(yè)務(wù)設(shè)施的一個vrfi以及一個附加vrfi。

在又一方面，提供了一種用于路由網(wǎng)絡(luò)數(shù)據(jù)包的方法。所述方法包括在路由器的入端口處接收多個網(wǎng)絡(luò)數(shù)據(jù)包，所述多個網(wǎng)絡(luò)數(shù)據(jù)包中的每個網(wǎng)絡(luò)數(shù)據(jù)包具有一個目的地址。所述方法包括m+1個虛擬路由轉(zhuǎn)發(fā)實例(virtualroutingandforwardinginstance，vrfi)中的至少一個基于至少一個網(wǎng)絡(luò)數(shù)據(jù)包的所述至少一個目的地址向m個業(yè)務(wù)設(shè)施中的至少一個業(yè)務(wù)設(shè)施路由所述至少一個網(wǎng)絡(luò)數(shù)據(jù)包，m是大于1的整數(shù)。所述方法包括在所述路由器的出端口處向目的節(jié)點傳輸所述路由的至少一個網(wǎng)絡(luò)數(shù)據(jù)包。

根據(jù)一些實施例，所述接收步驟包括在所述入端口處從n個網(wǎng)絡(luò)中的至少一個接收所述至少一個網(wǎng)絡(luò)數(shù)據(jù)包，n是大于m+1的整數(shù)。

根據(jù)一些實施例，所述方法可包括向所述m+1個vrfi中的一個通用vrfi提供在所述入端口處接收的所述至少一個網(wǎng)絡(luò)數(shù)據(jù)包。

通過閱讀本文，當前改進涉及的許多進一步特征或其組合對于本領(lǐng)域技術(shù)人員來說將是顯而易見的。

附圖說明

各方面和實施例在附圖中示出并隨附圖描述。

圖1為一示例路由器的邏輯視圖的示意圖。

圖2a和圖2b為另一示例路由器的邏輯視圖的示意圖。

圖3為根據(jù)一些實施例的一種示例業(yè)務(wù)鏈實施方式的示意圖。

圖4示出了根據(jù)本文所述實施例的路由器的另一示意圖。

圖5示出了包括到業(yè)務(wù)設(shè)施的多個路由路徑的業(yè)務(wù)鏈的又一示例示意圖。

圖6示出了根據(jù)示例實施例的用于提供業(yè)務(wù)結(jié)構(gòu)的方法的流程圖。

圖7示出了根據(jù)一些實施例的業(yè)務(wù)結(jié)構(gòu)的一示例物理視圖。

圖8示出了根據(jù)一些實施例的網(wǎng)絡(luò)節(jié)點的一示例物理視圖。

圖9示出了根據(jù)本文所述實施例的路由器的另一示例示意圖。

具體實施方式

本文描述的實施例涉及實施業(yè)務(wù)鏈的數(shù)據(jù)中心通信系統(tǒng)。數(shù)據(jù)中心通信系統(tǒng)可包括通過分組交換網(wǎng)絡(luò)互連的數(shù)據(jù)源、數(shù)據(jù)目的地以及一個或多個控制器。分組交換網(wǎng)絡(luò)可包括入口節(jié)點、中間節(jié)點和出口節(jié)點。節(jié)點可包括路由器、交換機和業(yè)務(wù)設(shè)施或中間盒，它們連接起來形成業(yè)務(wù)鏈。網(wǎng)絡(luò)虛擬化可解耦物理網(wǎng)絡(luò)與邏輯網(wǎng)絡(luò)。業(yè)務(wù)鏈和其業(yè)務(wù)設(shè)施提供的功能可視為多個物理連接節(jié)點和鏈路的邏輯抽象。經(jīng)過網(wǎng)絡(luò)的數(shù)據(jù)包可遵循一個或多個路由路徑。這一連串或一系列路由路徑可定義業(yè)務(wù)設(shè)施的一個業(yè)務(wù)鏈。

本文描述的實施例涉及用于使用具有vrf實例的vrf網(wǎng)絡(luò)路由器實施的業(yè)務(wù)鏈的設(shè)備、系統(tǒng)和方法。物理網(wǎng)絡(luò)路由器可實施一個或多個虛擬vrf實例，其中每個vrf實例與網(wǎng)絡(luò)路由器的一個路由表的一個單獨實例關(guān)聯(lián)。路由表管理經(jīng)過vrf實例的數(shù)據(jù)包流量的路由。vrf實例和其關(guān)聯(lián)的表可分割經(jīng)過物理網(wǎng)絡(luò)路由器的網(wǎng)絡(luò)數(shù)據(jù)流量，而不要求多個物理網(wǎng)絡(luò)路由器。vrf實例還可稱為vrf網(wǎng)絡(luò)交換機。路由器將vrf實例配置為一個或多個交換機等不同硬件組件的虛擬抽象，以及用于存儲與該vrf實例關(guān)聯(lián)的路由表的持久數(shù)據(jù)存儲器的一部分。物理網(wǎng)絡(luò)路由器可實施多個vrf實例，直到路由器的最大容量。例如，典型物理網(wǎng)絡(luò)路由器的最大容量可為一百或一千個vrf實例。一些路由器可支持多達2000個vrf實例。

業(yè)務(wù)鏈可定義網(wǎng)絡(luò)流量規(guī)則。業(yè)務(wù)鏈可通過檢查點設(shè)施、策略執(zhí)行設(shè)施等一系列業(yè)務(wù)設(shè)施來路由網(wǎng)絡(luò)流量。業(yè)務(wù)鏈可表示為網(wǎng)絡(luò)上的通過業(yè)務(wù)設(shè)施的數(shù)據(jù)包的邏輯流。業(yè)務(wù)鏈通過節(jié)點的底層物理網(wǎng)絡(luò)來鏈接一個或多個業(yè)務(wù)設(shè)施或中間盒，包括交換機、路由器、網(wǎng)橋和其它硬件設(shè)備。

業(yè)務(wù)設(shè)施是出于不同的業(yè)務(wù)目的而路由、變換、檢查、過濾或操作網(wǎng)絡(luò)數(shù)據(jù)包的計算機網(wǎng)絡(luò)設(shè)備。示例業(yè)務(wù)設(shè)施包括防火墻(firewall，fw)、入侵檢測系統(tǒng)(intrusiondetectionsystem，ids)、入侵防御系統(tǒng)(intrusionpreventionsystem，ips)、負載均衡(loadbalancing，lb)設(shè)備、web業(yè)務(wù)、應(yīng)用業(yè)務(wù)、數(shù)據(jù)庫業(yè)務(wù)，等等。

業(yè)務(wù)鏈可映射到網(wǎng)絡(luò)網(wǎng)絡(luò)上的一個或多個路由路徑。業(yè)務(wù)鏈可以是耦合業(yè)務(wù)鏈的不同硬件設(shè)備的物理鏈路的聚合。路由路徑可使用配置在一個或多個網(wǎng)絡(luò)路由器上的vrf實例來實施。

本文描述的實施例涉及配置具有vrf實例的路由器，業(yè)務(wù)鏈中的每個業(yè)務(wù)設(shè)施有一個vrf實例并且路由器的出端口有一個vrf實例。該硬件設(shè)備的互連系統(tǒng)可產(chǎn)生一個業(yè)務(wù)網(wǎng)絡(luò)結(jié)構(gòu)。本文描述的實施例涉及用于使用vrf功能來實施業(yè)務(wù)鏈以利用網(wǎng)絡(luò)節(jié)點的現(xiàn)有vrf能力的系統(tǒng)和方法。

圖1示出了示例路由器10的示意圖。路由器10可從源節(jié)點14向目的節(jié)點16路由網(wǎng)絡(luò)數(shù)據(jù)流量。路由器10可提供以下能力：僅基于目的地址以無狀態(tài)方式向中間盒或業(yè)務(wù)設(shè)施路由或引導(dǎo)網(wǎng)絡(luò)數(shù)據(jù)流量。對于轉(zhuǎn)發(fā)可基于數(shù)據(jù)包報頭中的目的地址進行的路由器配置，不需要知道數(shù)據(jù)包的源地址。

路由器10可將vrf實例12實施為路由器硬件的虛擬抽象，其中每個vrf實例與其自己的路由表實例關(guān)聯(lián)。圖1所示的示例是路由器向不同業(yè)務(wù)鏈設(shè)施(例如，fw設(shè)施18、ids設(shè)施20)路由數(shù)據(jù)時可能需要的功能的理論示例。例如，可能需要路由器向fw設(shè)施路由網(wǎng)絡(luò)數(shù)據(jù)流量，隨后向目的節(jié)點16路由。實際上，圖1所示的期望功能可能超過實施單個vrf實例12的單個路由器10的能力。例如，路由器10可能需要vrf實例12充當?shù)侥康墓?jié)點16的出口。該理論示例網(wǎng)絡(luò)路由配置可能需要知道數(shù)據(jù)包的源和目的地兩者。例如，vrf實例12可基于目的地址使用路由規(guī)則向fw設(shè)施18路由目的地址為x的網(wǎng)絡(luò)數(shù)據(jù)包。如果fw設(shè)施18將那些目的地址為x的相同網(wǎng)絡(luò)數(shù)據(jù)包路由回vrf實例12，則vrf實例12可能無法區(qū)分來自fw設(shè)施18的那些目的地址為x的網(wǎng)絡(luò)數(shù)據(jù)包與來自源節(jié)點14的那些目的地址為x的網(wǎng)絡(luò)數(shù)據(jù)包。來自源節(jié)點14的網(wǎng)絡(luò)數(shù)據(jù)包仍然需要路由到fw設(shè)施18?；谀康牡刂穢的路由規(guī)則可繼續(xù)將目的地址為x的所有網(wǎng)絡(luò)數(shù)據(jù)包路由回fw設(shè)施18，即使它們已由fw設(shè)施18處理。這可在vrf實例12與fw設(shè)施18之間創(chuàng)建一個循環(huán)路由路徑。這可說明基于目的地址使用路由規(guī)則實施業(yè)務(wù)鏈的實際限制。

圖2a和圖2b示出了路由器30的附加示例示意圖。路由器30示為實施vrf實例32。實際上，vrf實例32可基于數(shù)據(jù)包中的目的地址轉(zhuǎn)發(fā)從源節(jié)點34接收的網(wǎng)絡(luò)數(shù)據(jù)流量。因此，網(wǎng)絡(luò)數(shù)據(jù)流量可路由到目的節(jié)點36或防火墻38或其它業(yè)務(wù)鏈設(shè)施，例如ids或入侵防御系統(tǒng)(intrusionpreventionsystem，ips)40。如圖2b所示，數(shù)據(jù)流量可以在vrf實例與業(yè)務(wù)設(shè)施之間雙向流動。

對于一些業(yè)務(wù)鏈實施方式，路由可基于每個數(shù)據(jù)包的目的地址?；谀康牡刂返穆酚刹恍枰阑蚋櫾吹刂?，因為數(shù)據(jù)包的源地址可能未知并且不是路由器的可用路由數(shù)據(jù)的一部分。如果數(shù)據(jù)包經(jīng)過業(yè)務(wù)設(shè)施，則數(shù)據(jù)包的目的地址可能不改變，導(dǎo)致路由器難以確定數(shù)據(jù)包是否已經(jīng)過業(yè)務(wù)設(shè)施，因為路由可能基于目的地址。業(yè)務(wù)鏈可包括涉及兩個或更多業(yè)務(wù)設(shè)施的路由路徑。路由路徑通過與vrf實例關(guān)聯(lián)的路由表的路由規(guī)則來定義。要實施業(yè)務(wù)鏈，知道數(shù)據(jù)包是否需要經(jīng)過第一業(yè)務(wù)設(shè)施或數(shù)據(jù)包是否已經(jīng)經(jīng)過第一業(yè)務(wù)設(shè)施并應(yīng)前往鏈中的下一業(yè)務(wù)設(shè)施可能很重要。對于一些實施方式，數(shù)據(jù)包可在其經(jīng)過業(yè)務(wù)設(shè)施時由該業(yè)務(wù)設(shè)施進行標記。然而，業(yè)務(wù)設(shè)施可能需要進行軟件更新以實施標記功能，其它組件可能需要進行更新以處理標記并基于標記來路由數(shù)據(jù)包。

源路由可包括轉(zhuǎn)發(fā)路由路徑，該轉(zhuǎn)發(fā)路由路徑可能需要在數(shù)據(jù)包的報頭中明確定義。源路由要求源數(shù)據(jù)對于以下路由來說是很容易獲得的路由數(shù)據(jù)：可能需要專用數(shù)據(jù)包和使用硬件或軟件升級的特別配置網(wǎng)絡(luò)的路由。例如，源路由可能必須被網(wǎng)絡(luò)數(shù)據(jù)路徑節(jié)點啟用并支持。分段路由與源路由類似。嵌入式業(yè)務(wù)鏈可包括兩個vrf實例之間的雙臂業(yè)務(wù)鏈，其中所有網(wǎng)絡(luò)流量都經(jīng)過這兩個vrf實例和業(yè)務(wù)鏈中的所有業(yè)務(wù)設(shè)施。在這種情況下，不分割網(wǎng)絡(luò)數(shù)據(jù)流量，并且如果無需由特定業(yè)務(wù)設(shè)施來處理一段網(wǎng)絡(luò)數(shù)據(jù)流量，則路由器無法路由該部分網(wǎng)絡(luò)數(shù)據(jù)流量來繞過業(yè)務(wù)鏈中的一個業(yè)務(wù)設(shè)施。這可能不會高效地使用網(wǎng)絡(luò)帶寬。策略路由可能需要使用特別配置網(wǎng)絡(luò)的基于目的地和源兩者的專用轉(zhuǎn)發(fā)實施。

根據(jù)一方面，本文描述的實施例可提供配置有vrf實例的物理路由器。所配置的vrf實例的數(shù)量對應(yīng)多個業(yè)務(wù)鏈提供的一個業(yè)務(wù)鏈或業(yè)務(wù)結(jié)構(gòu)中的業(yè)務(wù)設(shè)施的數(shù)量加上一個附加vrf實例。也就是說，vrf實例的數(shù)量比業(yè)務(wù)設(shè)施的數(shù)量多1，這提供了足夠的連接性來將在路由器的入端口處接收的數(shù)據(jù)包路由到所有業(yè)務(wù)設(shè)施以及路由器的出端口。對于m個業(yè)務(wù)設(shè)施，m是整數(shù)，所配置的vrf實例的數(shù)量是m+1。附加vrf實例可用于路由器的入端口或出端口，因為其從入端口接收數(shù)據(jù)包或者向出端口提供數(shù)據(jù)包。路由器可基于網(wǎng)絡(luò)數(shù)據(jù)包中的目的地址使用路由規(guī)則的關(guān)聯(lián)路由表來配置各個vrf實例以實施業(yè)務(wù)鏈的路由路徑。

圖3示出了根據(jù)本文所述實施例的一示例業(yè)務(wù)鏈網(wǎng)絡(luò)。路由器60可從源節(jié)點62接收數(shù)據(jù)以在穿過一個或多個業(yè)務(wù)設(shè)施(例如，fw設(shè)施72、ids/ips設(shè)施74)后轉(zhuǎn)發(fā)給目的節(jié)點64。對于本說明性示例，路由器60可用于路由數(shù)據(jù)包到兩個業(yè)務(wù)設(shè)施(例如，fw設(shè)施72、ids/ips設(shè)施74)。路由器60可配置vrf實例的數(shù)量，該數(shù)量對應(yīng)用于業(yè)務(wù)鏈或業(yè)務(wù)結(jié)構(gòu)的業(yè)務(wù)設(shè)施(例如，fw設(shè)施72、ids/ips設(shè)施74)的數(shù)量。如上所述，存在一個附加vrf實例。附加vrf實例可服務(wù)入端口76或出端口78。因此，對于本說明性示例，路由器60可配置三個vrf實例66、68、70。來自源節(jié)點62的傳入數(shù)據(jù)包可到達路由器60的入端口76。vrf實例66可服務(wù)路由器60的入端口76并從連接到路由器60的所有網(wǎng)絡(luò)接收數(shù)據(jù)包。

可使用針對vrf實例66、68、70的路由規(guī)則的路由表基于數(shù)據(jù)包中的目的地址將數(shù)據(jù)包路由到業(yè)務(wù)設(shè)施(例如，fw設(shè)施72、ids/ips設(shè)施74)。各個業(yè)務(wù)設(shè)施可具有到各個vrf實例66、68、70的相應(yīng)出接口。例如，vrf1實例66可基于數(shù)據(jù)包的目的地址將數(shù)據(jù)包路由到fw設(shè)施72。fw設(shè)施72可通過出接口向vrf2實例68傳輸數(shù)據(jù)包。vrf2實例68轉(zhuǎn)而可將數(shù)據(jù)包路由到ids/ips設(shè)施74。ids/ips設(shè)施74可通過出接口向vrf3實例70傳輸數(shù)據(jù)包，vrf3實例70轉(zhuǎn)而通過出端口78向目的節(jié)點64轉(zhuǎn)發(fā)數(shù)據(jù)包。因此，數(shù)據(jù)包的路由路線可為src-vrf1-fw-vrf2-ids/ips-vrf3-dst。vrf1實例66、vrf2實例68、vrf3實例70可僅基于數(shù)據(jù)包的目的地址轉(zhuǎn)發(fā)數(shù)據(jù)包流量。所配置的vrf實例的數(shù)量可對應(yīng)業(yè)務(wù)設(shè)施的數(shù)量，以確保在需要時有足夠數(shù)量的vrf實例來將數(shù)據(jù)包路由到業(yè)務(wù)鏈中的每個業(yè)務(wù)設(shè)施，同時仍然提供路由數(shù)據(jù)包以繞過業(yè)務(wù)鏈中的一個或多個業(yè)務(wù)設(shè)施的靈活性。例如，如果路由器60僅配置了一個或兩個vrf實例，則將沒有足夠數(shù)量的vrf實例來基于數(shù)據(jù)包的目的地址將數(shù)據(jù)包路由到fw72設(shè)施和ids/ips74設(shè)施兩者，而仍然提供路由另一數(shù)據(jù)包以繞過fw72設(shè)施或ids/ips74設(shè)施的靈活性。

如上所述，路由器60可以不考慮要路由的數(shù)據(jù)包的源，并且可以僅基于數(shù)據(jù)包的目的地址來路由。在這種情況下，例如，用于出端口的vrf3實例70可能無法將從fw72接收的數(shù)據(jù)包流量與從ids/ips74接收的數(shù)據(jù)包進行區(qū)分，因為它們來自不同的源。

如上所述，路由器60提供路由數(shù)據(jù)包以繞過業(yè)務(wù)鏈中的一個或多個業(yè)務(wù)設(shè)施的靈活性。

路由器60可以使用vrf實例66、68、70和它們對應(yīng)的路由規(guī)則的路由表基于目的地址來分割網(wǎng)絡(luò)數(shù)據(jù)流量，使得一段網(wǎng)絡(luò)數(shù)據(jù)流量的可以繞過fw設(shè)施72或ids/ips設(shè)施74。vrf實例66、68、70可使用對應(yīng)的路由表來路由數(shù)據(jù)包以根據(jù)數(shù)據(jù)包的目的地址和路由表的路由規(guī)則繞過業(yè)務(wù)鏈中的一個或多個業(yè)務(wù)設(shè)施。例如，vrf1實例66可使用其路由表基于到達入端口76的數(shù)據(jù)包的目的地址將該數(shù)據(jù)包路由到fw設(shè)施72。fw設(shè)施72可使用其出接口向vrf2實例68提供數(shù)據(jù)包，vrf2實例68通過vrf2實例68與出端口78之間的鏈路將數(shù)據(jù)包轉(zhuǎn)發(fā)到出端口78并到達目的節(jié)點64。因此，數(shù)據(jù)包的路由可基于路由路線vrf1-fw-vrf2-dst繞過ids/ips設(shè)施74。又例如，vrf1實例66可使用其路由表基于到達入端口76的數(shù)據(jù)包的目的地址將該數(shù)據(jù)包路由到ids/ips設(shè)施74。ids/ips設(shè)施74可使用其出接口向vrf3實例70提供數(shù)據(jù)包，vrf3實例70可將數(shù)據(jù)包轉(zhuǎn)發(fā)給出端口78。因此，數(shù)據(jù)包的路由可基于路由路線vrf1-ids/ips-vrf3-dst繞過fw設(shè)施72。

如一特例，從源節(jié)點62收到的數(shù)據(jù)包可繞過這兩個業(yè)務(wù)設(shè)施。例如，vrf1實例66可將數(shù)據(jù)包直接路由到目的節(jié)點64，或按src-vrf1-dst路由。這可通過以下方式完成：經(jīng)由從vrf1實例66到路由器60的出端口78的通向目的節(jié)點64的鏈路直接從vrf1實例66路由到目的節(jié)點64。這是一個特例，對于出端口78，數(shù)據(jù)包通常會路由到vrf3實例70。各個vrf實例66、68、70可與其自己的路由表關(guān)聯(lián)，其中路由表作為數(shù)據(jù)結(jié)構(gòu)在持久存儲器中保存和維護。vrf實例66、68、70的路由表可不同。本文描述的實施例可使用一定數(shù)量的vrf實例66、68、70，該數(shù)量對應(yīng)用于業(yè)務(wù)鏈的業(yè)務(wù)設(shè)施的數(shù)量。在一些示例實施例中，對于入端口76或出端口78可能存在一個附加vrf實例。例如，可能存在連接到路由器60的十個不同的網(wǎng)絡(luò)用于網(wǎng)絡(luò)數(shù)據(jù)流量，并且可能存在兩個不同的業(yè)務(wù)設(shè)施72、74用于實施不同的業(yè)務(wù)鏈。業(yè)務(wù)鏈可以是以特定順序處理網(wǎng)絡(luò)數(shù)據(jù)包的業(yè)務(wù)設(shè)施的特定組合。對于本文描述的一些實施例，可能存在連接到源節(jié)點62、業(yè)務(wù)設(shè)施和目的節(jié)點64的三個vrf實例66、68、70以實施本示例的業(yè)務(wù)鏈。根據(jù)本文描述的實施例，vrf實例的數(shù)量不是基于提供輸入網(wǎng)絡(luò)數(shù)據(jù)流的虛擬網(wǎng)絡(luò)的數(shù)量確定的。如果路由器對每個傳入網(wǎng)絡(luò)專用一個vrf實例，則這在傳入網(wǎng)絡(luò)的數(shù)量比業(yè)務(wù)設(shè)施的數(shù)量大的情況下可能使用大量路由器資源。如果路由器配置的vrf實例的數(shù)量對應(yīng)業(yè)務(wù)設(shè)施的數(shù)量，則這在業(yè)務(wù)設(shè)施的數(shù)量相比于傳入網(wǎng)絡(luò)的數(shù)量相對較小(例如小于10)的情況下可有效地使用資源。

每個業(yè)務(wù)鏈可定義為使用vrf實例的路由規(guī)則和路由表實現(xiàn)的路由路徑。例如，vrf實例vrf1的路由表的一個路由規(guī)則可將目的地為d1的所有網(wǎng)絡(luò)數(shù)據(jù)包指向一個設(shè)施a1。vrf實例vrf1的路由表的另一路由規(guī)則可將目的地為d2的所有網(wǎng)絡(luò)數(shù)據(jù)包指向另一設(shè)施a2。vrf實例vrf1的路由表的又一路由規(guī)則可將目的地為d3的所有網(wǎng)絡(luò)數(shù)據(jù)包指向另一設(shè)施a3，等等。這些路由路徑可用來形成不同的業(yè)務(wù)鏈。

本文描述的實施例可提供具有附加vrf實例66、68、70的路由器，包括數(shù)量與業(yè)務(wù)設(shè)施(fw設(shè)施72、ids/ips設(shè)施74)的數(shù)量對應(yīng)的vrf實例。在一些示例實施例中，對于源節(jié)點62或目的節(jié)點64可能存在一個vrf實例。這可能需要數(shù)量對應(yīng)業(yè)務(wù)設(shè)施數(shù)量的vrf實例66、68、70以及源節(jié)點62或目的節(jié)點64的資源消耗。多個vrf實例66、68、70形成一個業(yè)務(wù)結(jié)構(gòu)，其中可使用對應(yīng)的路由表和路由規(guī)則在該業(yè)務(wù)結(jié)構(gòu)內(nèi)形成不同的業(yè)務(wù)鏈。與連接的業(yè)務(wù)設(shè)施的較小數(shù)量(例如小于10)相比，傳入網(wǎng)絡(luò)的數(shù)量可能較大(例如數(shù)百或數(shù)千)。vrf實例數(shù)量對應(yīng)業(yè)務(wù)設(shè)施數(shù)量的路由配置需要的資源比每個網(wǎng)絡(luò)輸入到其自己的vrf實例的路由配置需要的資源要少。

圖7示出了根據(jù)一些實施例的圖3的業(yè)務(wù)鏈網(wǎng)絡(luò)或業(yè)務(wù)結(jié)構(gòu)的一示例物理視圖。路由器10可通過端口21、23連接到設(shè)備22、24。路由器10可通過端口25、26、27、28，例如以太網(wǎng)端口，連接到業(yè)務(wù)設(shè)施18、20。

本文描述的實施例的網(wǎng)絡(luò)配置所提供的業(yè)務(wù)結(jié)構(gòu)可有效地利用dcn的帶寬，因為所有網(wǎng)絡(luò)數(shù)據(jù)業(yè)務(wù)流都不需要經(jīng)過所有業(yè)務(wù)設(shè)施。路由配置實現(xiàn)按目的地址的數(shù)據(jù)分割，以使一部分或一段網(wǎng)絡(luò)數(shù)據(jù)流量能夠繞過連接在dcn上的一個或多個業(yè)務(wù)設(shè)施。例如，一個業(yè)務(wù)結(jié)構(gòu)可連接四個業(yè)務(wù)設(shè)施。該路由配置可路由大部分網(wǎng)絡(luò)數(shù)據(jù)流量以繞過兩個業(yè)務(wù)設(shè)施，這與不繞過這兩個業(yè)務(wù)設(shè)施的實施方式相比減少了帶寬的使用。

圖4示出了根據(jù)本文所述實施例的路由器60的另一示意圖。對于本示例，可能有數(shù)百個不同的網(wǎng)絡(luò)連接到路由器60來提供網(wǎng)絡(luò)數(shù)據(jù)流量，并且可能存在不同的業(yè)務(wù)設(shè)施72、73、74、75來實施不同業(yè)務(wù)鏈的業(yè)務(wù)結(jié)構(gòu)。針對網(wǎng)絡(luò)數(shù)據(jù)流量的不同業(yè)務(wù)鏈路由路徑提供業(yè)務(wù)設(shè)施的不同組合。本文描述的實施例可配置具有五個vrf實例66、68、70、73、75的路由器60以實施本示例的業(yè)務(wù)鏈。vrf實例的數(shù)量對應(yīng)業(yè)務(wù)設(shè)施的數(shù)量加上一個附加vrf實例，因此vrf實例的數(shù)量比業(yè)務(wù)設(shè)施的數(shù)量大1。在一些實施例中，由于路由器60上的資源約束，路由器60可能支持有限的vrf實例，例如，路由器可能支持1000個vrf或2000個vrf。然而，對于該業(yè)務(wù)結(jié)構(gòu)，可能僅存在數(shù)量有限的業(yè)務(wù)設(shè)施，該數(shù)量在大多數(shù)情況下是路由器的vrf容量內(nèi)的數(shù)量。例如，對于該業(yè)務(wù)結(jié)構(gòu)，可能存在2至5個業(yè)務(wù)設(shè)施，這個數(shù)量在路由器的vrf容量內(nèi)。

業(yè)務(wù)鏈可使用一個或多個到業(yè)務(wù)設(shè)施的路由路徑來定義。網(wǎng)絡(luò)數(shù)據(jù)包可以是數(shù)據(jù)的格式化單元。每個網(wǎng)絡(luò)數(shù)據(jù)包可與一個目的地址關(guān)聯(lián)，目的地址作為數(shù)據(jù)包中的定義字段值。路由表可以是配置一個vrf實例來基于目的地址將網(wǎng)絡(luò)數(shù)據(jù)包轉(zhuǎn)發(fā)到不同業(yè)務(wù)設(shè)施或目的節(jié)點64上的路由規(guī)則的集合。路由規(guī)則可鏈接到目的地址?？墒褂锰囟酚梢?guī)則來實施業(yè)務(wù)鏈的一個或多個路由路徑。例如，如圖3所示，目的地址為a的所有網(wǎng)絡(luò)數(shù)據(jù)包都可與以下路由路徑關(guān)聯(lián)：fw設(shè)施72到ids/ips設(shè)施74到目的節(jié)點64。

返回參考圖4，邏輯上示為源節(jié)點62到fw設(shè)施72的路由路徑p0、邏輯上示為fw設(shè)施72到lb設(shè)施73的路由路徑p1、邏輯上示為lb設(shè)施73到ids/ips設(shè)施74的路由路徑p2以及邏輯上示為ids/ips設(shè)施74到目的節(jié)點64的路由路徑p3可通過出端口提供另一示例業(yè)務(wù)鏈。這可使用以下路由規(guī)則來實施：vrf1實例66的路由表80的指示將目的地址為a的數(shù)據(jù)包轉(zhuǎn)發(fā)到fw設(shè)施72的路由規(guī)則、vrf2實例68的路由表82的指示將目的地址為a的數(shù)據(jù)包轉(zhuǎn)發(fā)到lb設(shè)施73的路由規(guī)則、vrf3實例70的路由表84的指示將目的地址為a的數(shù)據(jù)包轉(zhuǎn)發(fā)到ids/ips設(shè)施74的路由規(guī)則。vrf5實例處的所有數(shù)據(jù)包都可轉(zhuǎn)發(fā)到目的節(jié)點64。在圖4中，通過業(yè)務(wù)結(jié)構(gòu)中的粗線示出了針對目的地址為a的數(shù)據(jù)包的示例業(yè)務(wù)鏈的路由路徑。針對目的地址為a的數(shù)據(jù)包示出的路線是src-vrf1-fw-vrf2-lb-vrf3-ids/ips-vrf5-dst，但是其它路由路徑也是可能的。在具有多路徑配置的一些實施例中，數(shù)據(jù)包還可經(jīng)過vrf4實例73。每個vrf實例可有一個路由表。針對不同的示例實施例，vrf實例可具有到入端口的鏈路或到出端口的鏈路。

數(shù)據(jù)包的每個目的地址鏈接到使用業(yè)務(wù)結(jié)構(gòu)網(wǎng)絡(luò)提供的一個特定業(yè)務(wù)鏈。dcn可以不使用重疊的目的地址，所以路由規(guī)則不會不明確。

本文描述的實施例可配置一個路由器來消耗更多的vrf資源，因為配置了多個vrf實例，vrf實例的數(shù)量對應(yīng)業(yè)務(wù)設(shè)施數(shù)量加一。vrf實例的數(shù)量可限為業(yè)務(wù)設(shè)施數(shù)量加上一個附加vrf實例。對于該業(yè)務(wù)結(jié)構(gòu)，dcn可僅具有數(shù)量有限的業(yè)務(wù)設(shè)施，使得資源使用有限并簡化路由。業(yè)務(wù)設(shè)施的數(shù)量可能較小，并且業(yè)務(wù)鏈所需的業(yè)務(wù)可能有限。例如，路由器提供的業(yè)務(wù)鏈可能需要三個業(yè)務(wù)設(shè)施，還可能存在兩個、四個、五個、六個、十個等不同的業(yè)務(wù)設(shè)施。

在另一方面，本文描述的實施例配置路由器具有多個vrf實例。各個vrf實例與其自己的路由表關(guān)聯(lián)。各個路由表基于網(wǎng)絡(luò)數(shù)據(jù)包的目的地址定義路由規(guī)則。路由規(guī)則定義業(yè)務(wù)鏈的路由路徑。路由規(guī)則可基于網(wǎng)絡(luò)數(shù)據(jù)包的目的地址。業(yè)務(wù)結(jié)構(gòu)是業(yè)務(wù)鏈的路由路徑的聚合。不同的業(yè)務(wù)鏈可使用數(shù)據(jù)包基于特定目的地址路由的業(yè)務(wù)設(shè)施的不同組合。業(yè)務(wù)結(jié)構(gòu)為路由路徑或業(yè)務(wù)鏈組合提供不同的選項。網(wǎng)絡(luò)流量可基于轉(zhuǎn)發(fā)路線或路由路徑轉(zhuǎn)發(fā)到業(yè)務(wù)鏈上。路由路徑通過路由表的路由規(guī)則定義。路由器的各個vrf實例可以訪問持久存儲器上的基于目的地址定義路由規(guī)則的路由表。

本文描述的實施例可利用路由器的硬件和軟件vrf能力來配置業(yè)務(wù)鏈和業(yè)務(wù)結(jié)構(gòu)。vrf實例可稱為vrf網(wǎng)絡(luò)交換機，本文描述的實施例可提供的vrf網(wǎng)絡(luò)交換機的數(shù)量對應(yīng)業(yè)務(wù)設(shè)施的數(shù)量加上一個附加vrf網(wǎng)絡(luò)交換機。多個vrf網(wǎng)絡(luò)交換機與路由規(guī)則的路由表關(guān)聯(lián)，這些路由規(guī)則可協(xié)同工作來提供業(yè)務(wù)結(jié)構(gòu)?？墒褂镁W(wǎng)狀業(yè)務(wù)結(jié)構(gòu)來形成各種業(yè)務(wù)鏈。

通過為業(yè)務(wù)結(jié)構(gòu)的每個業(yè)務(wù)設(shè)施使用附加vrf實例，本文描述的實施例可將基于源和目的地兩者的轉(zhuǎn)發(fā)決定(例如圖1)簡化為基于目的地的決定。vrf實例用于在不改變數(shù)據(jù)路徑或控制協(xié)議的情況下定義業(yè)務(wù)鏈。本文描述的實施例可支持能夠進行vrf的網(wǎng)絡(luò)設(shè)備。例如，路由器可具有配置vrf實例的能力。本文描述的實施例可利用物理路由器的vrf配置能力來實施業(yè)務(wù)鏈的路由路徑。

另一種示例業(yè)務(wù)鏈實施方式可包括為每個傳入網(wǎng)絡(luò)配置一個vrf實例，使得每個網(wǎng)絡(luò)將輸入數(shù)據(jù)包提供到其自己的vrf實例中?？纱嬖诖罅總魅刖W(wǎng)絡(luò)，這相應(yīng)地會需要大量vrf實例。如一說明性示例，可存在數(shù)百個傳入網(wǎng)絡(luò)來傳送數(shù)據(jù)包，并存在不到十個業(yè)務(wù)設(shè)施。對于大量網(wǎng)絡(luò)，每一網(wǎng)絡(luò)的vrf實例分配可導(dǎo)致vrf資源快速消耗。相比之下，當存在大量傳入網(wǎng)絡(luò)時，基于業(yè)務(wù)設(shè)施的數(shù)量確定vrf實例的數(shù)量可有效地使用資源。所有傳入網(wǎng)絡(luò)從源節(jié)點通過路由器的入端口處的通用vrf實例傳送數(shù)據(jù)包。也就是說，從所有傳入網(wǎng)絡(luò)收到的網(wǎng)絡(luò)數(shù)據(jù)包都可輸入到業(yè)務(wù)結(jié)構(gòu)的第一vrf實例中。在該配置中，來自不同網(wǎng)絡(luò)的數(shù)據(jù)包被輸入到路由器的入端口處的通用vrf實例中。

相對于用于業(yè)務(wù)結(jié)構(gòu)的業(yè)務(wù)設(shè)施的數(shù)量，路由器可服務(wù)大量網(wǎng)絡(luò)。網(wǎng)絡(luò)的數(shù)量通?？纱笥跇I(yè)務(wù)設(shè)施的數(shù)量。vrf實例數(shù)量對應(yīng)業(yè)務(wù)設(shè)施數(shù)量的路由器配置比基于每個網(wǎng)絡(luò)一個vrf實例的配置更有效地使用資源。本文描述的實施例可提供一種vrf業(yè)務(wù)鏈實施方式，其中網(wǎng)絡(luò)數(shù)據(jù)流量的路由可路由部分網(wǎng)絡(luò)數(shù)據(jù)流量以繞過業(yè)務(wù)結(jié)構(gòu)的特定業(yè)務(wù)設(shè)施。路由可基于網(wǎng)絡(luò)數(shù)據(jù)流量的目的地址。

業(yè)務(wù)鏈可為dcn應(yīng)用的一個重要特征。本文描述的實施例可提供交換機和路由器等dcn元件以實施一個靈活的業(yè)務(wù)結(jié)構(gòu)，該業(yè)務(wù)結(jié)構(gòu)有效地使用dcn應(yīng)用的帶寬以針對不同網(wǎng)絡(luò)數(shù)據(jù)流量段構(gòu)造不同的業(yè)務(wù)鏈。

圖5示出了包括到各種業(yè)務(wù)設(shè)施的多個路由路徑的一業(yè)務(wù)鏈的又一示例示意圖。例如，一個業(yè)務(wù)鏈可包含三個路由路徑：互聯(lián)網(wǎng)節(jié)點102到網(wǎng)絡(luò)地址轉(zhuǎn)換器(networkaddresstranslator，nat)設(shè)施108的路由路徑90、nat設(shè)施108到lb設(shè)施110的路由路徑92以及l(fā)b設(shè)施110到web業(yè)務(wù)112的路由路徑94?？稍谄渌鼧I(yè)務(wù)鏈中使用的其它示例業(yè)務(wù)設(shè)施包括fw設(shè)施104和ips設(shè)施106。

一個業(yè)務(wù)結(jié)構(gòu)包括多個業(yè)務(wù)鏈以針對不同的業(yè)務(wù)設(shè)施組合提供選項。也就是說，一個業(yè)務(wù)結(jié)構(gòu)提供多個路由路徑，這些路由路徑可用于形成包括不同業(yè)務(wù)設(shè)施的不同業(yè)務(wù)鏈。根據(jù)一些實施例的路由器可連接到各種業(yè)務(wù)設(shè)施并用于形成一個業(yè)務(wù)結(jié)構(gòu)。路由器可提供包括業(yè)務(wù)設(shè)施之間的不同路由路徑的多個業(yè)務(wù)鏈選項。對于圖5所示的示例，路由器可配置五個vrf實例，該數(shù)量等于業(yè)務(wù)設(shè)施(例如fw設(shè)施104、ips設(shè)施106、nat設(shè)施108、lb設(shè)施110)的數(shù)量加上出端口的一個vrf實例。根據(jù)一些實施例，互聯(lián)網(wǎng)節(jié)點102可視為源節(jié)點，web業(yè)務(wù)112可為目的節(jié)點。

圖6示出了根據(jù)一示例實施例的用于提供業(yè)務(wù)結(jié)構(gòu)的方法600的流程圖。

在步驟602處，為路由器配置vrf實例。每個vrf實例與持久數(shù)據(jù)存儲器中保存的一個路由表關(guān)聯(lián)。路由表可基于網(wǎng)絡(luò)數(shù)據(jù)包的目的地址定義路由規(guī)則。路由器還可配置一定數(shù)量的vrf實例，該數(shù)量對應(yīng)業(yè)務(wù)設(shè)施數(shù)量加1。因此，vrf實例的數(shù)量可等于作為業(yè)務(wù)鏈的一部分連接到路由器的業(yè)務(wù)設(shè)施的數(shù)量加上一個附加vrf實例。附加vrf實例可服務(wù)路由器的入端口或出端口，以分別從源節(jié)點接收網(wǎng)絡(luò)數(shù)據(jù)包或向目的節(jié)點傳輸已經(jīng)過業(yè)務(wù)鏈的網(wǎng)絡(luò)數(shù)據(jù)包。vrf實例的數(shù)量可以基于連接到路由器的業(yè)務(wù)設(shè)施的數(shù)量。vrf實例的數(shù)量不會基于連接到路由器的網(wǎng)絡(luò)的數(shù)量。例如，如果存在數(shù)百個傳入網(wǎng)絡(luò)和形成業(yè)務(wù)結(jié)構(gòu)的四個業(yè)務(wù)設(shè)施，則vrf實例的數(shù)量將基于這四個業(yè)務(wù)設(shè)施。路由器可配置一定數(shù)量的vrf實例，該數(shù)量等于業(yè)務(wù)設(shè)施數(shù)量加上出端口的一個vrf實例。

在步驟604處，配置有vrf實例的路由器可連接到業(yè)務(wù)設(shè)施以定義并完成網(wǎng)絡(luò)數(shù)據(jù)流量的業(yè)務(wù)鏈。業(yè)務(wù)鏈為網(wǎng)絡(luò)數(shù)據(jù)流量提供業(yè)務(wù)結(jié)構(gòu)。業(yè)務(wù)結(jié)構(gòu)可以是被允許的去往和來自vrf實例和所連接業(yè)務(wù)設(shè)施的路由路徑的聚合。業(yè)務(wù)結(jié)構(gòu)可使用層3(例如互聯(lián)網(wǎng)協(xié)議)接口配置以及各個接口屬于哪個vrf實例等來實施。路由規(guī)則可定義業(yè)務(wù)鏈的路由路徑。如前所述，路由規(guī)則可基于網(wǎng)絡(luò)數(shù)據(jù)包的目的地址。業(yè)務(wù)結(jié)構(gòu)可定義連接到路由器的各業(yè)務(wù)設(shè)施之間的多個路由路徑以形成不同的業(yè)務(wù)鏈。一個業(yè)務(wù)結(jié)構(gòu)可提供不同的業(yè)務(wù)鏈?？赏ㄟ^vrf實例的路由規(guī)則來定義不同的路由路徑。因此，業(yè)務(wù)結(jié)構(gòu)定義vrf實例與業(yè)務(wù)設(shè)施之間的可能路由路徑。vrf實例的路由規(guī)則定義不同業(yè)務(wù)鏈的路由路徑。圖3和圖4示出了示例業(yè)務(wù)結(jié)構(gòu)。

在步驟606處，在路由器的入端口處接收來自不同網(wǎng)絡(luò)的網(wǎng)絡(luò)數(shù)據(jù)包。每個網(wǎng)絡(luò)數(shù)據(jù)包可包括一個目的地址，用于將相應(yīng)的網(wǎng)絡(luò)數(shù)據(jù)包通過業(yè)務(wù)結(jié)構(gòu)路由到不同的業(yè)務(wù)設(shè)施。在一些實施例中，vrf實例的數(shù)量不是基于網(wǎng)絡(luò)數(shù)量，因此路由配置不需要每個傳入網(wǎng)絡(luò)有一個單獨的vrf實例。

在步驟608處，通過使用vrf實例，可基于網(wǎng)絡(luò)數(shù)據(jù)包的目的地址通過業(yè)務(wù)結(jié)構(gòu)定義的一個業(yè)務(wù)鏈來路由網(wǎng)絡(luò)數(shù)據(jù)包。例如，目的地為a的網(wǎng)絡(luò)數(shù)據(jù)包可路由到fw設(shè)施，目的地為b的網(wǎng)絡(luò)數(shù)據(jù)包可路由到lb設(shè)施。因此，不是所有網(wǎng)絡(luò)數(shù)據(jù)包都會經(jīng)過業(yè)務(wù)設(shè)施的同一業(yè)務(wù)鏈。一些網(wǎng)絡(luò)數(shù)據(jù)包可繞過某些業(yè)務(wù)設(shè)施，取決于vrf實例的路由規(guī)則和數(shù)據(jù)包的目的地址?？赏ㄟ^路由規(guī)則基于目的地址分割網(wǎng)絡(luò)數(shù)據(jù)包，并且可路由部分數(shù)據(jù)包以繞過一個或多個業(yè)務(wù)設(shè)施，使得無需所有網(wǎng)絡(luò)數(shù)據(jù)包都路由通過所有業(yè)務(wù)設(shè)施。

在步驟610處，網(wǎng)絡(luò)數(shù)據(jù)包在經(jīng)過業(yè)務(wù)設(shè)施的業(yè)務(wù)鏈之后，在路由器的出端口處傳輸給目的節(jié)點。

圖8示出了根據(jù)一些實施例的包括網(wǎng)絡(luò)節(jié)點802的網(wǎng)絡(luò)通信系統(tǒng)800的一示例物理視圖。網(wǎng)絡(luò)節(jié)點802可通過一個端口連接到兩個業(yè)務(wù)設(shè)施810、812。網(wǎng)絡(luò)節(jié)點802可包括三個vrf實例，即連接到業(yè)務(wù)設(shè)施810、812來形成業(yè)務(wù)結(jié)構(gòu)814的vrf1實例804、vrf2實例806和vrf3實例808?？纱嬖谖鍌€虛擬網(wǎng)絡(luò)來將向源節(jié)點816提供輸入網(wǎng)絡(luò)數(shù)據(jù)包并在目的節(jié)點818處接收網(wǎng)絡(luò)數(shù)據(jù)包。如圖所示，節(jié)點802上所需的vrf實例的數(shù)量可基于連接到節(jié)點802的業(yè)務(wù)設(shè)施的數(shù)量，而不是基于耦合到提供輸入數(shù)據(jù)包的節(jié)點802的虛擬網(wǎng)絡(luò)的數(shù)量。在這種情況下，示出五個虛擬網(wǎng)絡(luò)但僅三個vrf實例。本示例還示出了來自所有網(wǎng)絡(luò)的源節(jié)點816將輸入提供到vrf1804中，對于傳入網(wǎng)絡(luò)，vrf1804可稱為通用vrf實例。路由器從其入端口處的源節(jié)點816接收輸入數(shù)據(jù)包并路由通過通用vrf實例(例如vrf1804)以實施業(yè)務(wù)結(jié)構(gòu)。

圖9示出了配置了四個vrf實例902、904、906、908的另一示例路由器900。路由器900連接到業(yè)務(wù)鏈的三個業(yè)務(wù)設(shè)施910、912、914。vrf實例902、904、906、908的數(shù)量對應(yīng)用于業(yè)務(wù)鏈的業(yè)務(wù)設(shè)施910、912、914的數(shù)量加上一個附加vrf實例。如圖9所示，路由器900可將目的地址為d1/d2/d3/d4的傳入數(shù)據(jù)包連接到vrfio實例902，該實例可服務(wù)路由器900的入端口。如圖9的示例實施例所示，各個vrf實例902、904、906、908充當相應(yīng)目的地d1、d2、d3、d4的出口。

因此，對于一些示例實施例，任何vrf實例都可以是出口vrf實例并鏈接到出端口，而不是為出端口指定一個vrf實例。在這種情況下，可為入端口指定一個vrf實例。

業(yè)務(wù)設(shè)施910、912、914可具有用于傳入網(wǎng)絡(luò)數(shù)據(jù)包的入接口和用于傳出網(wǎng)絡(luò)數(shù)據(jù)包的出接口。對于該說明性實施例，vrf實例902、904、906、908與業(yè)務(wù)設(shè)施910、912、914之間的鏈路是單向的，對應(yīng)業(yè)務(wù)設(shè)施的入接口和出接口。粗實線表示從業(yè)務(wù)設(shè)施910、912、914的出接口到vrf實例902、904、906、908的上行鏈路。虛線表示從vrf實例902、904、906、908到業(yè)務(wù)設(shè)施910、912、914的入接口的下行鏈路。

對于業(yè)務(wù)設(shè)施，可基于流量傳入的入接口確定出接口。在一些實施例中，業(yè)務(wù)設(shè)施可以不支持路由，并可用于在沒有路由能力的情況下實現(xiàn)所需的業(yè)務(wù)鏈接。作為一說明性示例，防火墻可具有使用linuxip表的配置，但是可使用其它配置。

各個業(yè)務(wù)設(shè)施910、912、914可具有到不同的指定vrf實例的出接口作為下一跳。各個業(yè)務(wù)設(shè)施910、912、914的出接口可由dcn的網(wǎng)絡(luò)控制器預(yù)配置等。

業(yè)務(wù)設(shè)施a910具有接口a1、a2、a3、a4。一種示例配置可以是，業(yè)務(wù)設(shè)施a910具有到vrfa實例904的出接口a2作為數(shù)據(jù)包的下一跳。也就是說，對于業(yè)務(wù)設(shè)施a910，接口a2是到vrfa實例904的出接口。業(yè)務(wù)設(shè)施a910具有入接口a1、a3、a4。可配置業(yè)務(wù)設(shè)施a910以便從接口a1、a3、a4傳入的所有流量都去往接口a2。

業(yè)務(wù)設(shè)施b912具有接口b1、b2、b3、b4。業(yè)務(wù)設(shè)施b912具有到vrfb實例906的出接口b3作為數(shù)據(jù)包的下一跳。也就是說，對于業(yè)務(wù)設(shè)施b912，接口b3是到vrfb實例906的出接口。業(yè)務(wù)設(shè)施b912具有入接口b1、b2、b4?？膳渲脴I(yè)務(wù)設(shè)施b912使得從接口b1、b2、b4傳入的所有流量都去往接口b3。

業(yè)務(wù)設(shè)施c914具有接口c1、c2、c3、c4。業(yè)務(wù)設(shè)施c914具有到vrfc實例908的出接口c4作為數(shù)據(jù)包的下一跳。對于業(yè)務(wù)設(shè)施c914，接口c4是到vrfc實例908的出接口。業(yè)務(wù)設(shè)施c914具有入接口c1、c2、c3?？膳渲脴I(yè)務(wù)設(shè)施c914使得從接口c1、c2、c3傳入的所有流量都去往接口c4。

因此，每個業(yè)務(wù)設(shè)施可具有各自的到對應(yīng)或指定vrf實例的已配置出接口。路由器的入端口也可具有對應(yīng)或指定的vrf實例。在該實施例中，從以下意義上來說，各個vrf實例可以稱為對應(yīng)于或指定給入端口或一個業(yè)務(wù)設(shè)施：入端口或業(yè)務(wù)設(shè)施僅可以向指定的vrf實例發(fā)送，且該指定的vrf實例僅可以從該入端口或業(yè)務(wù)設(shè)施接收。

對于任何給定的業(yè)務(wù)鏈，一個業(yè)務(wù)設(shè)施僅可在業(yè)務(wù)鏈中使用一次，并且每個業(yè)務(wù)設(shè)施可具有一個到不同vrf的出接口。因此，沒有vrf實例可以在轉(zhuǎn)發(fā)路徑上兩次，所以不存在為任何業(yè)務(wù)鏈建立的循環(huán)，因此轉(zhuǎn)發(fā)是確定性的。

各業(yè)務(wù)鏈可以使用業(yè)務(wù)設(shè)施910、912、914的不同組合和排序來提供。本文描述的設(shè)備、系統(tǒng)和方法的實施例可在硬件和軟件的組合中實施。這些實施例可使用路由器、網(wǎng)絡(luò)交換機、業(yè)務(wù)設(shè)施和其它網(wǎng)絡(luò)設(shè)備來實施。這些實施例可耦合到可編程計算機，每個計算機包括至少一個處理器、數(shù)據(jù)存儲系統(tǒng)(包括易失性存儲器或非易失性存儲器或其它數(shù)據(jù)存儲元件或它們的組合)以及至少一個通信接口。

業(yè)務(wù)設(shè)施可處理輸入數(shù)據(jù)以執(zhí)行本文描述的業(yè)務(wù)并生成輸出信息。輸出信息可應(yīng)用于一個或多個輸出設(shè)備。在一些實施例中，通信接口可以是網(wǎng)絡(luò)通信接口。在元件可能組合的實施例中，通信接口可以是軟件通信接口，例如用于進程間通信的軟件通信接口。在其它實施例中，可能存在實施為硬件、軟件或其組合的通信接口的組合。

關(guān)于服務(wù)器、業(yè)務(wù)、接口、門戶、平臺、設(shè)施等可進行多種參考。使用這類術(shù)語可表示具有至少一個處理器的一個或多個硬件設(shè)備，該至少一個處理器用于執(zhí)行存儲在計算機可讀有形非瞬時性介質(zhì)上的軟件指令。例如，一個設(shè)施可以包括一個或多個計算機，該一個或多個計算機以履行所描述的角色、責任或功能的方式作為web服務(wù)器、數(shù)據(jù)庫服務(wù)器或其它類型的計算機服務(wù)器。

應(yīng)認識到，本文描述的系統(tǒng)和方法可提高網(wǎng)絡(luò)使用率，因為數(shù)據(jù)流量可通過使用vrf能力來繞過業(yè)務(wù)設(shè)施以實施不同的路由路徑。無需所有業(yè)務(wù)流量都路由通過業(yè)務(wù)結(jié)構(gòu)的所有業(yè)務(wù)設(shè)施。

本文討論了許多示例實施例。盡管每項實施例表示元件的單個組合，但是其它示例可包括所公開的元件的所有可能組合。因此，如果一項實施例包括元件a、b和c，第二實施例包括元件b和d，則a、b、c或d的其它剩余組合也可使用。

術(shù)語“連接”或“耦合到”可包括直接耦合(其中彼此耦合的兩個元件彼此接觸)和間接耦合(其中至少一個附加元件位于這兩個元件之間)。

本文描述的實施例可通過僅使用硬件或通過使用軟件和硬件的組合來實施。實施例的技術(shù)方案的形式可以是軟件產(chǎn)品。軟件產(chǎn)品可以存儲在非易失性或非瞬時性存儲介質(zhì)中，非易失性或非瞬時性存儲介質(zhì)可以是只讀光盤(compactdiskread-onlymemory，cd-rom)、usb閃存盤或移動硬盤。軟件產(chǎn)品包括使計算機設(shè)備(個人計算機、服務(wù)器或網(wǎng)絡(luò)設(shè)備)能夠執(zhí)行實施例中提供的各方法的多個指令。

本文描述的實施例由物理硬件實現(xiàn)。本文描述的實施例提供有用的物理機器以及特別配置的網(wǎng)絡(luò)硬件布置。本文描述的實施例針對電子機器、物理設(shè)備、物理網(wǎng)絡(luò)和由網(wǎng)絡(luò)實施的用于處理和轉(zhuǎn)換電磁信號的物理方法，其中電磁信號表示各種類型的信息。本文描述的實施例普遍且整體涉及機器及其用途；并且本文描述的實施例若不與計算機硬件、機器以及各種硬件組件一起使用就沒有意義或?qū)嶋H適用性。使用計算設(shè)備、服務(wù)器、接收器、發(fā)射器、處理器、存儲器、顯示器或網(wǎng)絡(luò)來替代非物理硬件，例如使用心智步驟來替換，可能會大大影響實施例運作的方式。這類計算機硬件限制明顯是本文描述的實施例的基本要素，它們不能在不對本文描述的實施例的操作和結(jié)構(gòu)產(chǎn)生實質(zhì)影響的情況下省略或替代心智構(gòu)件。計算機硬件對于本文描述的實施例是必要的，而不是僅僅用于以有效的方式快速地執(zhí)行步驟。

雖然已詳細地描述了實施例，但是應(yīng)理解，可以在不脫離如所附權(quán)利要求書所界定的范圍的情況下對本發(fā)明做出各種改變、替代和更改。

此外，本發(fā)明的范圍并不局限于說明書中所述的過程、機器、制造、物質(zhì)組分、構(gòu)件、方法和步驟的具體實施例。所屬領(lǐng)域的一般技術(shù)人員可從本發(fā)明的公開中輕易地了解，可根據(jù)本發(fā)明使用現(xiàn)有的或即將開發(fā)出的，具有與本文所描述的相應(yīng)實施例實質(zhì)相同的功能，或能夠取得與所述實施例實質(zhì)相同的結(jié)果的過程、機器、制造、物質(zhì)組分、構(gòu)件、方法或步驟。相應(yīng)地，所附權(quán)利要求范圍包括這些流程、機器、產(chǎn)品、合成物質(zhì)、方式、方法及步驟。

可以理解，上文描述和示出的示例僅旨在舉例。本發(fā)明的范圍由所附權(quán)利要求書指示。