一種流表項(xiàng)管理方法及設(shè)備，任一交換機(jī)在接收到與其相連接的任一控制器發(fā)起的針對(duì)任一流表項(xiàng)的管理指令后，可首先根據(jù)獲取到的所述任一控制器相對(duì)所述任一交換機(jī)的管理權(quán)限等級(jí)以及所述任一流表項(xiàng)的安全等級(jí)，判斷所述任一控制器相對(duì)所述任一交換機(jī)的管理權(quán)限等級(jí)是否不低于所述任一流表項(xiàng)對(duì)應(yīng)于所述任一控制器發(fā)起的管理指令的安全等級(jí)，并在確定判斷結(jié)果為是時(shí)，確定所述任一控制器具備對(duì)所述任一流表項(xiàng)進(jìn)行相應(yīng)管理的權(quán)限，并根據(jù)所述任一控制器發(fā)起的管理指令對(duì)所述任一流表項(xiàng)進(jìn)行相應(yīng)管理，從而在避免了對(duì)流表項(xiàng)進(jìn)行隨意刪除或修改等操作現(xiàn)象的基礎(chǔ)上，達(dá)到了有效保護(hù)流表項(xiàng)、進(jìn)而提高系統(tǒng)安全性的目的。

技術(shù)領(lǐng)域

本發(fā)明涉及SDN(Software-Defined Networking，軟件定義網(wǎng)絡(luò))技術(shù)領(lǐng)域，尤其涉及一種基于OpenFlow協(xié)議的流表項(xiàng)管理方法及設(shè)備。

背景技術(shù)

OpenFlow協(xié)議是目前SDN領(lǐng)域最熱門的協(xié)議，在OpenFlow協(xié)議中，將網(wǎng)絡(luò)設(shè)備的控制功能與轉(zhuǎn)發(fā)功能進(jìn)行分離，進(jìn)而將控制功能全部集中到遠(yuǎn)程控制器(Controller)上完成，而OpenFlow交換機(jī)(Switch)可僅負(fù)責(zé)在本地進(jìn)行簡單高速的數(shù)據(jù)轉(zhuǎn)發(fā)等操作。具體地，在OpenFlow交換機(jī)的運(yùn)行過程中，其數(shù)據(jù)轉(zhuǎn)發(fā)的依據(jù)為流表，控制器可通過事先規(guī)定好的OpenFlow協(xié)議接口來控制OpenFlow交換機(jī)中的流表，從而達(dá)到控制數(shù)據(jù)轉(zhuǎn)發(fā)的目的。

但是，由于目前在OpenFlow協(xié)議中還缺少對(duì)流表中的各流表項(xiàng)的權(quán)限控制，從而導(dǎo)致可能會(huì)存在流表項(xiàng)被隨意修改的問題，降低系統(tǒng)的安全性。

例如，在某些場景中，OpenFlow交換機(jī)會(huì)保存一些默認(rèn)的重要流表項(xiàng)，如，在即插即用自組網(wǎng)的場景中，OpenFlow交換機(jī)會(huì)保存與自組網(wǎng)相關(guān)的默認(rèn)流表項(xiàng)，若該默認(rèn)流表項(xiàng)被該OpenFlow交換機(jī)根據(jù)某一控制器下發(fā)的控制指令(也可稱為管理指令)所刪除，則OpenFlow交換機(jī)的自組網(wǎng)功能就會(huì)失效；再有，針對(duì)多個(gè)控制器操作同一OpenFlow交換機(jī)的場景，若與A控制器相關(guān)的流表項(xiàng)被該OpenFlow交換機(jī)根據(jù)B控制器下發(fā)的控制指令所修改或刪除，則A控制器將無法繼續(xù)根據(jù)該流表項(xiàng)進(jìn)行相應(yīng)的控制操作，從而會(huì)影響到A控制器的相應(yīng)處理過程。

因此，目前亟需提供一種對(duì)OpenFlow協(xié)議中的流表項(xiàng)進(jìn)行相應(yīng)的權(quán)限控制的方法，以解決上述各問題。

發(fā)明內(nèi)容

本發(fā)明實(shí)施例提供了一種流表項(xiàng)管理方法及設(shè)備，以解決目前存在的缺少對(duì)流表項(xiàng)的權(quán)限控制所導(dǎo)致的系統(tǒng)安全性較低的問題。

第一方面，提供了一種流表項(xiàng)管理方法，應(yīng)用于流表項(xiàng)管理系統(tǒng)，所述流表項(xiàng)管理系統(tǒng)包括至少一個(gè)交換機(jī)以及至少一個(gè)控制器，其中，針對(duì)所述至少一個(gè)交換機(jī)中的任一交換機(jī)，所述至少一個(gè)控制器中存在一個(gè)或多個(gè)控制器與所述任一交換機(jī)相連接，并且，與所述任一交換機(jī)相連接的一個(gè)或多個(gè)控制器中的每個(gè)控制器相對(duì)于所述任一交換機(jī)設(shè)置有相應(yīng)的管理權(quán)限等級(jí)，所述方法包括：

第一交換機(jī)在接收第一控制器發(fā)起的針對(duì)第一流表項(xiàng)的管理指令后，獲取所述第一控制器相對(duì)所述第一交換機(jī)的管理權(quán)限等級(jí)，以及所述第一流表項(xiàng)的安全等級(jí)；其中，所述第一流表項(xiàng)對(duì)應(yīng)不同的管理指令分別設(shè)置有相應(yīng)的安全等級(jí)，所述安全等級(jí)用于表示對(duì)所述第一流表項(xiàng)進(jìn)行管理的控制器所應(yīng)具有的管理權(quán)限等級(jí)；所述第一交換機(jī)為所述至少一個(gè)交換機(jī)中的任一交換機(jī)，所述第一控制器為與所述第一交換機(jī)相連接的一個(gè)或多個(gè)控制器中的任一控制器，所述第一流表項(xiàng)為所述第一控制器發(fā)起的管理指令中攜帶的任一待創(chuàng)建流表項(xiàng)或所述第一交換機(jī)中存儲(chǔ)的任一已創(chuàng)建流表項(xiàng)；

所述第一交換機(jī)將所述第一控制器相對(duì)所述第一交換機(jī)的管理權(quán)限等級(jí)和所述第一流表項(xiàng)對(duì)應(yīng)于所述第一控制器發(fā)起的管理指令的安全等級(jí)進(jìn)行比對(duì)，若確定所述第一控制器相對(duì)所述第一交換機(jī)的管理權(quán)限等級(jí)不低于所述第一流表項(xiàng)對(duì)應(yīng)于所述第一控制器發(fā)起的管理指令的安全等級(jí)，則確定所述第一控制器具備對(duì)所述第一流表項(xiàng)進(jìn)行相應(yīng)管理的權(quán)限，并根據(jù)所述第一控制器發(fā)起的管理指令對(duì)所述第一流表項(xiàng)進(jìn)行相應(yīng)管理。