技術領域

本發明涉及網絡技術，尤其涉及一種策略表表項配置方法、裝置及系統。

背景技術

隨著當前數據中心、企業網、校園網的管理需求以及流量模型的變化，越來越多的網絡由原先的南北向構建模型轉向東西向構建模型，即由原先接入交換機→匯聚交換機→核心交換機這種網絡模型過渡到接入交換機→核心交換機的網絡模型。接入交換機→核心交換機這種網絡即為扁平化網絡。所述扁平化網絡中，核心交換機承擔著大量原先由匯聚交換機需要承擔的功能，并且核心交換機之間需加大互聯帶寬用于完成東西向數據的傳遞。

SDN（Software?Defined?Network，軟件定義網絡）是ONF（Open?Networking?Foundation，開放網絡基金會）組織制定的一種獨立網絡架構。如圖1所示，圖1中的網絡結構包括：控制器（Controller）1、支持OpenFlow功能的網絡交換機2（以下簡稱OpenFlow交換機）。其中，所述Controller為SDN網絡結構中的核心組件，作為整個網絡的轉發控制平面，承擔整個網絡的轉發控制行為。OpenFlow交換機能夠被所述Controller轉發控制管理。具體地，所述OpenFlow交換機可具體是支持OpenFlow功能的交換機。所述ONF組織還定義了基于圖1所示網絡結構下的軟件體系架構，如圖2所示。如圖2所示，將網絡劃分成三個層次，分別為：

一、應用層（Application?Layer）：用Controller實現安全、管理和其他特殊功能的程序。例如，負責建設軟件定義網絡的網絡架構師可以在Controller上部署虛擬負載均衡、虛擬入侵防御系統(IDS)或虛擬防火墻等應用程序。該層可運行在Controller上，也可運行在獨立的一臺服務器上（即可理解這里的應用程序接口（Application?Program?Interface，簡稱API）抽象成網絡接口）。

二、轉發控制層（Control?Layer）：負責OpenFlow的服務端、發現并維護OpenFlow交換機，對應用層提供流表層級的收發配置通道（API）。該層運行在Controller上。

三、基礎設施層（Infrastructure?Layer）：指物理網絡交換機，包括以太網交換機和路由器。這些交換機、路由器具備OpenFlow客戶端功能，能夠響應Controller下發的OpenFlow流表信息。

如圖1所示，當前Controller1和OpenFlow交換機2之間的通訊采用OpenFlow協議（版本為v1.0.0的OpenFlow協議）。該協議實現了傳統網絡交換機的轉發控制面和轉發面的分離，將轉發控制面集中到Controller上，Controller通過下發OpenFlow協議的流表方式對網絡交換機進行轉發控制（管理報文的轉發），最終達成整個網絡的集中管理。

由于OpenFlow交換機的轉發控制面和轉發面分離（轉發控制面集中在Controller上完成），使得OpenFlow交換機能夠專注轉發行為，并且其轉發行為是Controller下發的，Controller上可以將OpenFlow交換機的轉發行為抽象為API接口供更高層的應用調用。應用開發因此就能脫離了對交換機硬件的依賴，屏蔽了復雜的網絡交換機的差異，處于類似于開發PC程序一樣能夠方便地調用庫函數完成指定的硬件功能，最終使得網絡交換機的功能可編程。

現有在部署扁平化網絡時，交換機的策略表容量太小，特別是核心交換機上的策略表容量太小導致其在大規模網絡中部署時，相關的安全策略，靈活轉發控制上都體現出嚴重的不足。

現有的解決方案一般都采用外擴三態內容尋址存儲器（Ternary?content?Addressable?Memory，TCAM）的方式來擴充對應的交換機策略表容量，但是由于TCAM的成本很高，且同樣是部署一個網絡，有些區域需要大量的表，有些區域的表容量又比較空閑，因此單純的加TCAM后會大量增加硬件成本，又使得這些硬件資源無法充分利用。

發明內容

本發明的多個方面提供一種策略表表項配置方法、裝置及系統，以提高策略表資源的利用率。

本發明的第一個方面，提供一種策略表表項配置方法，包括：

根據預設的合并規則，判斷交換機對應的策略表中是否有能夠合并的表項；

若所述策略表中有能夠合并的表項，則將能夠合并的表項合并，生成合并表項，并刪除參與合并的各表項。