CN110099011A - 一种实体网关接入虚拟家庭网关的方法及*** - Google Patents

Abstract

本发明公开了一种实体网关接入虚拟家庭网关的方法及***，涉及通信技术领域，本发明在流分类器中为每个家庭提供独立的报文处理接口，报文处理接口中启用独立的ACL，隔离家庭数据流，同时建立家庭唯一识别号与NSH路径信息的映射关系，实现处理业务流时可区分家庭。报文处理接口解析了实体网关发过来的经过报文封装的数据流，降低了虚拟家庭网关SFC对服务节点的要求，增加适配性。

Description

一种实体网关接入虚拟家庭网关的方法及***

技术领域

本发明涉及通信技术领域，具体涉及一种实体网关接入虚拟家庭网关的方法及***。

背景技术

家庭接入网关经历了以简单宽带业务为重点的SFU、以家庭连接中心为重点的HGU、以增值业务中枢为重点的智能网关，正在向以复杂云端业务为重点的虚拟网关发展。SFC(Service Function Chain，服务功能链)可以将特定的网络应用功能(例如防火墙，家长控制，NAT等)有序地组合起来，家庭网关虚拟化中引入SFC可以实现家庭业务的灵活编排，并且有效平衡资源。SFC有如下组件：

控制平面(Control Plane)：管理服务链域内的设备，创建服务链，将服务链的配置信息，下发到各个相关节点上。

流分类器(Classifier)：匹配流分类规则的数据报文，会按照要求被转发到服务链中处理。它是最初的流分类节点，部署在服务链域的边缘，即所谓的服务链接入点。服务链之间，也可以依靠流分类器衔接。

服务节点(Service Function，SF)：服务节点作为资源被分配使用，它的物理位置可以是任意的，分散的，通过服务链的串联，完成预定义的工作。

服务节点转发器(Service Function Forwarder，SFF)：SFC中的数据中转站，要负责Service Function Chaining上的流量转发控制。

VXLAN(Virtual Extensible LAN，虚拟扩展局域网)是一种典型应用于网络虚拟化的报文封装技术，通过在实体网关建立VXLAN隧道，可以在现有网络架构上以家庭为单位创建大量虚拟可扩展局域网，不同家庭使用VNI(VXLAN Network Identifier,VXLAN网络唯一识别符号)进行唯一识别号区分。本发明不局限于VXLAN这一种报文封装技术，其他外层报文封装技术同样适用于本方法。

NSH(Network Service Head，网络服务报头)是SFC架构中用于完成SFC报文转发的数据面传输协议，通过NSH报文头中的SPI(Service Path ID，服务路径ID)指定服务路径，SI(Service Index，服务索引)指定服务路径上SF的位置。VXLAN-gpe(GenericProtocol Extension VXLAN)是一种支持NSH协议封装的VXLAN扩展协议，通过VXLAN-gpe可以建立Classifier与SFF的隧道连接，用于传输封装了NSH报文头的数据报文，本发明不局限于这种NSH协议封装技术，其他支持NSH的外层报文封装技术同样适用于本方法。

从目前SFC及NSH的标准定义和使用场景可以发现，标准虚拟家庭网关SFC的接入端流分类器仅处理业务数据流，且SFC接入点流分类器的标准处理流程是对数据报文按照服务类型进行分类，但是家庭网关虚拟化技术中一个很重要的课题就是家庭间的数据隔离，同时要引入SFC技术，就要求实体网关接入点流分类器不仅能区分业务，还要区分是来自哪个家庭的业务。

实体网关业务数据流经过VXLAN(或其他报文封装技术)封装后，接入虚拟家庭网关SFC的流分类器存在以下问题：

(1)如果流分类器直接处理实体网关发过来的VXLAN报文，即基于VXLAN报文进行NSH协议封装，虽然可以根据VNI区分家庭间数据流，但对后续虚拟家庭网关SFC中的所有SF均提出了解析VXLAN报文的功能要求，兼容性差。

(2)如果实体网关的VXLAN报文在前置的网络节点解析，再将原始报文交由流分类器处理，虽然虚拟家庭网关SFC可以直接处理家庭原始数据流，但此时VXLAN报文携带的家庭唯一识别号VNI已被剥离，无法区分家庭。

发明内容

针对现有技术中存在的缺陷，本发明的目的在于提供一种实体网关接入虚拟家庭网关的方法及***，实现处理业务流时可区分家庭。

为达到以上目的，本发明采取的技术方案是：一种实体网关接入虚拟家庭网关的方法，包括以下步骤：

实体家庭网关的数据报文经过报文封装后发至虚拟家庭网关的流分类器，封装后的数据报文包含用于区分家庭的唯一识别号；

在流分类器中为每个家庭提供独立的报文处理接口，分别在每个报文处理接口中设置每个家庭对应的ACL；

通过报文处理接口接收包含其管理的家庭的唯一识别号的数据报文，并解析收到的数据报文，若解析后的数据报文符合ACL规则，根据ACL规则打上对应的包含NSH路径信息的标签；

在流分类器中设置第一NSH映射表，并在第一NSH映射表中设置每个家庭对应的映射规则，若数据报文标签中的NSH路径信息符合第一NSH映射表中的映射规则，根据对应的映射规则处理该数据报文。

在上述方案的基础上，所述报文封装为VXLAN或其他报文封装技术，所述报文处理接口为VXLAN或其他报文封装技术处理接口。

在上述方案的基础上，所述ACL规则包括家庭业务的报文特征和命中规则后打上的标签，标签内容为NSH路径信息，NSH路径信息包括服务路径ID和服务索引。

在上述方案的基础上，所述第一NSH映射表中的映射规则包括NSH路径信息、对应的处理动作以及下一个接口，对应的处理动作是封装NSH报文，下一个接口为NSH外层报文封装接口。

在上述方案的基础上，所述方法还包括以下步骤：

虚拟家庭网关的流分类器接收从SFF发送来的外层封装报文，解析出报文中携带的NSH路径信息；

在流分类器中设置第二NSH映射表，所述第二NSH映射表中的映射规则包括NSH路径信息、对应的处理动作为解析NSH报文、下一个接口为报文处理接口；

若报文头中的NSH路径信息符合第二NSH映射表中的映射规则，根据对应的映射规则，解析NSH报文、剥掉NSH报文头，并发往对应的报文处理接口；

报文处理接口对数据报文重新封装，在报文中携带用于区分家庭的唯一识别号，将封装后的报文发往实体家庭网关。

本发明还提供一种实体网关接入虚拟家庭网关的***，包括：

报文封装模块，其用于：将实体家庭网关的数据报文经过报文封装后发至虚拟家庭网关的流分类器，封装后的数据报文包含用于区分家庭的唯一识别号；设于实体家庭网关中；

分别管理不同家庭的独立的报文处理接口，其用于：接收包含其管理的家庭的唯一识别号的数据报文，并解析收到的数据报文；设于虚拟家庭网关的流分类器中；

家庭独立的ACL模块，其用于：设置在家庭对应的报文处理接口上，包含该家庭相关业务的ACL规则，若报文处理接口解析后的数据报文符合ACL规则，根据ACL规则打上对应的包含NSH路径信息的标签；设于虚拟家庭网关的流分类器中；

NSH映射模块，其用于：设置第一NSH映射表，并在第一NSH映射表中设置每个家庭对应的映射规则，若数据报文的标签中的NSH路径信息符合第一NSH映射表中的映射规则，根据对应的映射规则处理该数据报文；设于虚拟家庭网关的流分类器中。

在上述方案的基础上，所述报文封装为VXLAN或其他报文封装技术，所述报文处理接口为VXLAN或其他报文封装技术处理接口。

在上述方案的基础上，所述ACL规则包括家庭业务的报文特征和命中规则后打上的标签，标签内容为NSH路径信息，NSH路径信息包括服务路径ID和服务索引。

在上述方案的基础上，所述第一NSH映射表中的映射规则包括NSH路径信息、对应的处理动作以及下一个接口，对应的处理动作是封装NSH报文，下一个接口为NSH外层报文封装接口。

在上述方案的基础上，所述***还包括：

报文解析模块，其用于：接收从SFF发送来的外层封装报文，解析出报文中携带的NSH路径信息；设于虚拟家庭网关的流分类器中；

所述NSH映射模块还用于：设置第二NSH映射表，所述第二NSH映射表中的映射规则包括NSH路径信息、对应的处理动作是解析NSH报文、下一个接口为报文处理接口；若报文头中的NSH路径信息符合第二NSH映射表中的映射规则，根据对应的映射规则，解析NSH报文、剥掉NSH报文头，并发往对应的报文处理接口；

所述报文处理接口还用于：对SFF发送来的数据报文重新封装，在报文中携带用于区分家庭的唯一识别号，并将封装后的报文发往实体家庭网关。

与现有技术相比，本发明的优点在于：

本发明在流分类器中为每个家庭提供独立的报文处理接口，报文处理接口中启用独立的ACL，隔离家庭数据流，同时建立家庭唯一识别号与NSH路径信息的映射关系，实现处理业务流时可区分家庭。报文处理接口解析了实体网关发过来的经过报文封装的数据流，降低了虚拟家庭网关SFC对服务节点的要求，增加适配性。

附图说明

图1是本发明实施例的实体网关接入虚拟家庭网关的方法的模型框架图；

图2是本发明实施例的实体网关接入虚拟家庭网关的方法的pG到虚拟家庭网关SFC的报文转发流程；

图3是本发明实施例的实体网关接入虚拟家庭网关的方法的外网通过虚拟家庭网关SFC响应pG的报文转发流程。

具体实施方式

以下结合附图对本发明的实施例作进一步详细说明。

参见图1所示，本发明实施例提供一种实体网关接入虚拟家庭网关的方法，包括以下步骤：

家庭1和家庭N的实体网关(pG1、pG_N)的数据报文经过报文封装(VXLAN或其他报文封装技术)后发至虚拟家庭网关的流分类器(Classifier)，到达流分类器入口Interface，封装后的数据报文包含用于区分家庭的唯一识别号(VNI_1、VNI_N)；

在流分类器中为每个家庭提供独立的报文处理接口(VXLAN接口或其他报文处理接口，图1中VXLAN_tunnel_1、VXLAN_tunnel_N)，分别在每个报文处理接口中设置每个家庭对应的ACL(Access Control List，访问控制列表)，ACL包含家庭业务相关的ACL规则。其中家庭1报文处理接口VXLAN_tunnel_1启用ACL_1，家庭N报文处理接口VXLAN_tunnel_N启用ACL_N，以此类推；

通过报文处理接口接收包含其管理的家庭的唯一识别号的数据报文，并解析收到的数据报文，若解析后的数据报文符合ACL规则，根据ACL规则的处理动作打上对应的包含NSH路径信息(Service Path，SP)的标签(Hit_tag)；

在流分类器中设置第一NSH映射表(NSH_map1)，并在第一NSH映射表中设置每个家庭对应的映射规则，若数据报文标签中的NSH路径信息符合第一NSH映射表中的映射规则，根据对应的映射规则处理该数据报文。

作为优选的实施方式，所述ACL规则包括家庭业务的报文特征和命中规则后打上的标签(如图1中Hit_tag：SP_1和Hit_tag：SP_N)，标签内容为NSH路径信息，NSH路径信息包括服务路径ID(SPI)和服务索引(SI)。

作为优选的实施方式，所述第一NSH映射表中的映射规则包括NSH路径信息(如图1中SP_1和SP_N)、对应的处理动作以及下一个接口，对应的处理动作是封装NSH报文(Push)，下一个接口为NSH外层报文封装接口(VXLAN_gpe_tunnel)。如图1中SP_1：Push->VXLAN_gpe_tunnel和SP_N：Push->VXLAN_gpe_tunnel。

经过NSH外层封装的报文通过流分类器出口Interface发往虚拟家庭网关SFC下一个处理节点SFF。

作为优选的实施方式，所述方法还包括以下步骤：

虚拟家庭网关的流分类器接收从SFF发送来的外层封装报文，解析出报文中携带的NSH路径信息；

在流分类器中设置第二NSH映射表(NSH_map2)，在实际应用中，通常将NSH_map1和NSH_map2合并为一个总表，即图1中NSH_map，NSH_map包含NSH_map1和NSH_map2。

所述第二NSH映射表中的映射规则包括NSH路径信息(如图1中Reverse_SP_1、Reverse_SP_N)、对应的处理动作是解析NSH报文(Pop)、下一个接口为报文处理接口(VXLAN_tunnel_1、VXLAN_tunnel_N)。如图1中Reverse_SP_1:Pop->VXLAN_tunnel_1和Reverse_SP_N:Pop->VXLAN_tunnel_N。

若报文头中的NSH路径信息符合第二NSH映射表中的映射规则，根据对应的映射规则，解析NSH报文、剥掉NSH报文头，并发往对应的报文处理接口(VXLAN接口)；

报文处理接口对数据报文重新封装，在报文中携带用于区分家庭的唯一识别号，流分类器将封装后的报文发往实体家庭网关。

图2为pG到虚拟家庭网关SFC的报文转发流程：

步骤101，虚拟家庭网关SFC接入点流分类器接收到从pG发过来的VXLAN报文，VXLAN报文头携带有家庭唯一识别标识VNI；

步骤102，根据VXLAN报文头信息，VXLAN报文被家庭对应的VXLAN接口解析，剥掉VXLAN报文头；

步骤103，VXLAN接口上启用的ACL对解析后的原始数据报文进行对比检索，判断报文是否符合ACL中的规则，判断条件基于家庭业务的报文特征(如特定IP，端口等)。全匹配是一种特殊的ACL规则，可以命中任何经过ACL的报文，即家庭所有数据报文通过一条NSH路径被虚拟家庭网关SFC处理，不再区分家庭内部业务。

步骤104，如果ACL没有命中ACL规则，则丢弃此报文；

步骤105，如果ACL命中ACL规则，则根据ACL规则定义的处理动作，打上对应NSH路径信息的标签；

步骤106，NSH_map1对命中ACL规则的报文进行对比检索，判断报文是否符合NSH_map1中的映射规则，判断条件是ACL规则打上的包含NSH路径信息的标签(SPI以及SI)；

步骤107，如果不存在符合标签的NSH路径信息，则丢弃此报文

步骤108，如果存在符合标签的NSH路径信息，则根据映射规则定义的处理动作，发往NSH的外层封装接口进行NSH报文头的封装；

步骤109，流分类器将封装外层报文后携带NSH路径信息的报文发往虚拟家庭网关SFC的下一个节点SFF处理，之后根据SFC标准流程处理数据报文即可。

图3为外网通过虚拟家庭网关SFC响应pG的报文转发流程：

步骤201，响应报文经过虚拟家庭网关SF处理，最终发往SFC端点流分类器，流分类器接收到从SFF发过来的外层封装报文，外层报文头中携带有响应路径的NSH路径信息。

步骤202，NSH_map2对报文进行对比检索，判断报文是否符合NSH_map2中的规则，判断条件是外层报文头中的NSH路径信息(SPI以及SI)；

步骤203，如果不存在符合NSH报文头的NSH路径信息，则丢弃此报文；

步骤204，如果存在符合NSH报文头的NSH路径信息，则解析外层封装报文，剥掉NSH报文头，并根据规则定义的处理动作，发往家庭对应VXLAN接口；

步骤205，VXLAN接口对原始数据报文重新封装VXLAN报文头，携带家庭唯一识别号VNI。

步骤206，流分类器将封装后的VXLAN报文发往pG，报文经由家庭VXLAN通道到达pG。

本发明实施例还提供了一种实体网关接入虚拟家庭网关的***，包括：

报文封装模块，其用于：将实体家庭网关的数据报文经过报文封装后发至虚拟家庭网关的流分类器，封装后的数据报文包含用于区分家庭的唯一识别号；设于实体家庭网关中；

分别管理不同家庭的独立的报文处理接口，其用于：接收包含其管理的家庭的唯一识别号的数据报文，并解析收到的数据报文；设于虚拟家庭网关的流分类器中；

家庭独立的ACL模块，其用于：设置在家庭对应的报文处理接口上，包含该家庭相关业务的ACL规则，若报文处理接口解析后的数据报文符合ACL规则，根据ACL规则打上对应的包含NSH路径信息的标签；设于虚拟家庭网关的流分类器中；

NSH映射模块，其用于：设置第一NSH映射表，并在第一NSH映射表中设置每个家庭对应的映射规则，若数据报文的标签中的NSH路径信息符合第一NSH映射表中的映射规则，根据对应的映射规则处理该数据报文；设于虚拟家庭网关的流分类器中。

作为优选的实施方式，所述报文封装为VXLAN或其他报文封装技术，所述报文处理接口为VXLAN或其他报文封装技术处理接口。

作为优选的实施方式，所述ACL规则包括家庭业务的报文特征和命中规则后打上的标签，标签内容为NSH路径信息，NSH路径信息包括服务路径ID和服务索引。

作为优选的实施方式，所述第一NSH映射表中的映射规则包括NSH路径信息、对应的处理动作以及下一个接口，对应的处理动作是封装NSH报文，下一个接口为NSH外层报文封装接口。

作为优选的实施方式，所述***还包括：

报文解析模块，其用于：接收从SFF发送来的外层封装报文，解析出报文中携带的NSH路径信息；设于虚拟家庭网关的流分类器中；

所述NSH映射模块还用于：设置第二NSH映射表，所述第二NSH映射表中的映射规则包括NSH路径信息、对应的处理动作是解析NSH报文、下一个接口为报文处理接口；若报文头中的NSH路径信息符合第二NSH映射表中的映射规则，根据对应的映射规则，解析NSH报文、剥掉NSH报文头，并发往对应的报文处理接口；

所述报文处理接口还用于：对SFF发送来的数据报文重新封装，在报文中携带用于区分家庭的唯一识别号，并将封装后的报文发往实体家庭网关。

基于同一发明构思，本申请实施例提供了一种计算机可读存储介质，其上存储有计算机程序，计算机程序被处理器执行时实现实体网关接入虚拟家庭网关的方法的所有方法步骤或部分方法步骤。

本发明实现上述实体网关接入虚拟家庭网关的方法中的全部或部分流程，也可以通过计算机程序来指令相关的硬件来完成，计算机程序可存储于一计算机可读存储介质中，该计算机程序在被处理器执行时，可实现上述各个方法实施例的步骤。其中，计算机程序包括计算机程序代码，计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。计算机可读介质可以包括：能够携带计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM，Read-OnlyMemory)、随机存取存储器(RAM，Random Access Memory)、电载波信号、电信信号以及软件分发介质等。需要说明的是，计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减，例如在某些司法管辖区，根据立法和专利实践，计算机可读介质不包括电载波信号和电信信号。

基于同一发明构思，本申请实施例还提供一种电子设备，包括存储器和处理器，存储器上储存有在处理器上运行的计算机程序，处理器执行计算机程序时实现实体网关接入虚拟家庭网关的方法中的所有方法步骤或部分方法步骤。

所称处理器可以是中央处理单元(Central Processing Unit，CPU)，还可以是其他通用处理器、数字信号处理器(Digital Signal Processor，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现成可编程门阵列(Field-Programmable Gate Array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等，处理器是计算机装置的控制中心，利用各种接口和线路连接整个计算机装置的各个部分。

存储器可用于存储计算机程序和/或模块，处理器通过运行或执行存储在存储器内的计算机程序和/或模块，以及调用存储在存储器内的数据，实现计算机装置的各种功能。存储器可主要包括存储程序区和存储数据区，其中，存储程序区可存储操作***、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等；存储数据区可存储根据手机的使用所创建的数据(比如音频数据、视频数据等)等。此外，存储器可以包括高速随机存取存储器，还可以包括非易失性存储器，例如硬盘、内存、插接式硬盘，智能存储卡(Smart Media Card，SMC)，安全数字(Secure Digital，SD)卡，闪存卡(Flash Card)、至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。

本领域内的技术人员应明白，本发明的实施例可提供为方法、***、服务器或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、设备(***)、服务器和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。

Claims (10)

1.一种实体网关接入虚拟家庭网关的方法，其特征在于，包括以下步骤：

实体家庭网关的数据报文经过报文封装后发至虚拟家庭网关的流分类器，封装后的数据报文包含用于区分家庭的唯一识别号；

在流分类器中为每个家庭提供独立的报文处理接口，分别在每个报文处理接口中设置每个家庭对应的ACL；

通过报文处理接口接收包含其管理的家庭的唯一识别号的数据报文，并解析收到的数据报文，若解析后的数据报文符合ACL规则，根据ACL规则打上对应的包含NSH路径信息的标签；

在流分类器中设置第一NSH映射表，并在第一NSH映射表中设置每个家庭对应的映射规则，若数据报文标签中的NSH路径信息符合第一NSH映射表中的映射规则，根据对应的映射规则处理该数据报文。

2.如权利要求1所述的方法，其特征在于，所述报文封装为VXLAN或其他报文封装技术，所述报文处理接口为VXLAN或其他报文封装技术处理接口。

3.如权利要求1所述的方法，其特征在于，所述ACL规则包括家庭业务的报文特征和命中规则后打上的标签，标签内容为NSH路径信息，NSH路径信息包括服务路径ID和服务索引。

4.如权利要求1所述的方法，其特征在于，所述第一NSH映射表中的映射规则包括NSH路径信息、对应的处理动作以及下一个接口，对应的处理动作是封装NSH报文，下一个接口为NSH外层报文封装接口。

5.如权利要求1所述的方法，其特征在于，所述方法还包括以下步骤：

虚拟家庭网关的流分类器接收从SFF发送来的外层封装报文，解析出报文中携带的NSH路径信息；

在流分类器中设置第二NSH映射表，所述第二NSH映射表中的映射规则包括NSH路径信息、对应的处理动作为解析NSH报文、下一个接口为报文处理接口；

若报文头中的NSH路径信息符合第二NSH映射表中的映射规则，根据对应的映射规则，解析NSH报文、剥掉NSH报文头，并发往对应的报文处理接口；

报文处理接口对数据报文重新封装，在报文中携带用于区分家庭的唯一识别号，将封装后的报文发往实体家庭网关。

6.一种实体网关接入虚拟家庭网关的***，其特征在于，包括：

报文封装模块，其用于：将实体家庭网关的数据报文经过报文封装后发至虚拟家庭网关的流分类器，封装后的数据报文包含用于区分家庭的唯一识别号；设于实体家庭网关中；

分别管理不同家庭的独立的报文处理接口，其用于：接收包含其管理的家庭的唯一识别号的数据报文，并解析收到的数据报文；设于虚拟家庭网关的流分类器中；

家庭独立的ACL模块，其用于：设置在家庭对应的报文处理接口上，包含该家庭相关业务的ACL规则，若报文处理接口解析后的数据报文符合ACL规则，根据ACL规则打上对应的包含NSH路径信息的标签；设于虚拟家庭网关的流分类器中；

NSH映射模块，其用于：设置第一NSH映射表，并在第一NSH映射表中设置每个家庭对应的映射规则，若数据报文的标签中的NSH路径信息符合第一NSH映射表中的映射规则，根据对应的映射规则处理该数据报文；设于虚拟家庭网关的流分类器中。

7.如权利要求6所述的***，其特征在于，所述报文封装为VXLAN或其他报文封装技术，所述报文处理接口为VXLAN或其他报文封装技术处理接口。

8.如权利要求6所述的***，其特征在于，所述ACL规则包括家庭业务的报文特征和命中规则后打上的标签，标签内容为NSH路径信息，NSH路径信息包括服务路径ID和服务索引。

9.如权利要求6所述的***，其特征在于，所述第一NSH映射表中的映射规则包括NSH路径信息、对应的处理动作以及下一个接口，对应的处理动作是封装NSH报文，下一个接口为NSH外层报文封装接口。

10.如权利要求6所述的***，其特征在于，所述***还包括：

报文解析模块，其用于：接收从SFF发送来的外层封装报文，解析出报文中携带的NSH路径信息；设于虚拟家庭网关的流分类器中；

所述NSH映射模块还用于：设置第二NSH映射表，所述第二NSH映射表中的映射规则包括NSH路径信息、对应的处理动作是解析NSH报文、下一个接口为报文处理接口；若报文头中的NSH路径信息符合第二NSH映射表中的映射规则，根据对应的映射规则，解析NSH报文、剥掉NSH报文头，并发往对应的报文处理接口；

所述报文处理接口还用于：对SFF发送来的数据报文重新封装，在报文中携带用于区分家庭的唯一识别号，并将封装后的报文发往实体家庭网关。