本發(fā)明的目的是提供一種用于更新OpenFlow流表的方法與設備。具體地，建立或更新策略生成源與其對應的級別信息之間的映射關系；接收當前來自第一策略生成源發(fā)送的包含第一策略的消息；根據(jù)映射關系，確定第一策略生成源的級別信息；將第一策略轉換為對應的第一流表項，其中，第一流表項包含指示第一策略生成源的級別信息的級別域；將第一策略生成源的級別信息與OpenFlow流表中與第一流表項具有相同匹配域的第二流表項所對應的第二策略生成源的級別信息進行比較，以確定是否更新OpenFlow流表。與現(xiàn)有技術相比，本發(fā)明的一個實施例解決了現(xiàn)有技術中OpenFlow控制器寫流表項時的沖突。

技術領域

本發(fā)明涉及通信技術領域，尤其涉及一種用于更新OpenFlow流表的技術。

背景技術

在經典路由器或交換機中，快速數(shù)據(jù)包轉發(fā)(數(shù)據(jù)路徑)和高層路由決定(控制路徑)發(fā)生在相同設備上。OpenFlow(OF)交換機將該兩種功能分離。數(shù)據(jù)路徑部分仍在交換機上，而高層路由決定被移至單獨的控制器，通常如標準服務器。OpenFlow交換機和控制器通過由安全傳輸層協(xié)議(TLS，Transport Layer Security)保護的OpenFlow協(xié)議進行通信。

當OpenFlow交換機接收到數(shù)據(jù)包時，其根據(jù)存儲在該交換機中的流表(flowtable)的匹配的流表項(flow entry)來處理(如轉發(fā)、丟棄等)該數(shù)據(jù)包。使用OpenFlow協(xié)議，流表的流表項可由控制器根據(jù)管理者和應用定義的策略來增加、更新或刪除。

圖1示出OpenFlow控制器和交換機的一種可能部署的示意圖。如圖1所示，管理者(負責網(wǎng)絡管理如QoS(Quality of Service，服務質量)、安全和配置)為控制器生成策略以引導交換機如何轉發(fā)數(shù)據(jù)包。應用(application，包括安全應用和web服務)也生成該等策略。例如，當通過FW(Fire Wall，防火墻)/IDS(Intrusion Detection System，入侵檢測系統(tǒng))/IPS(Intrusion Prevention System，入侵防御系統(tǒng))檢測到安全威脅時，安全應用會生成對抗策略。以上所有策略將由控制器轉換成流表項并被交換機作為流表項寫入流表中。然而，在OpenFlow開發(fā)和部署中，會存在寫流表項時的沖突以及數(shù)據(jù)竊聽。因為，OpenFlow規(guī)范主要定義了如何由控制器管理流表以及如何由 交換機根據(jù)流表的流表項來處理(如轉發(fā)、丟棄等)所接收到的數(shù)據(jù)包。

當接收到數(shù)據(jù)包時，交換機能夠發(fā)現(xiàn)多個匹配流表項是可能的。在該情形下，交換機是困惑的且不知道如何處理該數(shù)據(jù)包。為解決該困惑，OpenFlow規(guī)范定義優(yōu)先級以指示流表項的匹配優(yōu)先級。因此，流表項用所使用的流表中的第一匹配流表項，以優(yōu)先級順序匹配數(shù)據(jù)包。

然而，在現(xiàn)有的OpenFlow1.4版本中，未有解決寫流表項時的沖突以及數(shù)據(jù)竊聽問題的機制，下面詳細介紹這兩個問題：

問題1：控制器中的寫流表項時的沖突：

如圖1所示，網(wǎng)絡管理者和應用(如web服務、安全應用)為不同目標如安全、QoS和性能生成一些策略。這些策略將被控制器轉換成流表項。然而，當由控制器寫流表項時會可能有沖突，如圖2所示：

●負責安全管理的管理者生成如下一個策略：若數(shù)據(jù)包從172.0.0.1傳送到172.0.0.2，這些數(shù)據(jù)包必須由防火墻檢查，作為數(shù)據(jù)傳輸路徑_1：客戶端A->OF_交換機1->OF_交換機2->防火墻->OF_交換機3->客戶端B；

●根據(jù)數(shù)據(jù)傳輸?shù)淖疃搪窂揭螅瑧肁PP_X生成如下策略：若數(shù)據(jù)包從172.0.0.1傳送到172.0.0.2，最短傳輸路徑將被選擇，作為數(shù)據(jù)傳輸路徑_2：客戶端A->OF_交換機1->OF_交換機3->客戶端B。