本發明涉及一種數據包轉發單元(202)，用于基于一組數據包轉發規則在軟件定義網絡中轉發數據包。所述數據包轉發單元(202)包括：存儲器(202b)，用于存儲所述一組數據包轉發規則和一組訪問規則；訪問控制實體(202a)，用于基于所述一組訪問規則控制對所述一組數據包轉發規則的訪問。

技術領域

本發明大體涉及軟件定義網絡。更具體地說，本發明涉及軟件定義網絡中的數據包轉發單元。

背景技術

在傳統網絡中，路由器和交換機等網絡轉發元件包含數據面功能(data plane，簡稱D面)以及控制面(control plane，簡稱C面)功能。軟件定義網絡(software definednetworking，簡稱SDN)是一種網絡設計和管理方法，它將控制面與網絡的轉發面分離，從而實現其獨立處理。可以集中管理控制面，以使控制面協議的開發更簡單快捷。軟件定義網絡將網絡設備定義為流處理設備，表示為交換機。在這些交換機的基礎上，SDN可以將經典管理和控制面智能集中在一個邏輯設備中，該邏輯設備也稱為控制器(也稱為SDN控制器)。通用抽象和本地可用數據使控制和管理應用的開發更簡便。由于控制面的集中化，網絡功能遷移到控制器，例如，它們可以實現為在控制器上運行的控制應用(control application，簡稱cAPP)。例如，在路由時，傳統交換機運行鏈路狀態分配協議和路由(路徑)計算，而支持SDN的交換機僅將它們的鏈路狀態分發給控制器，然后控制器執行路徑計算。通過設置適當的流規則，可以在交換機中使用這些路徑。

圖1示出了SDN架構100的圖示。在該網絡中，SDN控制器108是關鍵組件之一。通過所謂的南向應用編程接口(即南向API)，SDN控制器108可以與基礎設施層中的網絡元件(即多個交換機102)進行通信，并且將必要數據轉發至這些交換機102并從這些交換機中轉發必要數據，以構建網絡狀態的集中視圖。通過所謂的“北向API”，SDN控制器108可以向多個SDN控制應用104a-c(即，在SDN控制器108上運行的SDN cAPP)呈現集中視圖，從而使這些控制應用104a-c能夠執行其邏輯并操縱網絡狀態。南向API可以使用OpenFlow(OF)協議來實現。OF交換機抽象層是協議所做的關鍵假設，流和流表的概念是該抽象層的核心。流本質上是數據包的任意序列，它們共享通用的一組第2層-第3層(L2-L3)協議比特(例如，目的地為相同互聯網協議(Internet Protocol，簡稱IP)地址的數據包)，而交換機的流表是與該交換機相關的所有流的集合。流表中的每個流表項與一組操作相關聯，當輸入數據包與流表項匹配時，應執行這些操作。SDN控制器108和交換機102之間的通信信道通常稱為控制信道。它可以在邏輯上實現為SDN控制器108和交換機102之間的傳輸層安全(transportlayer security，簡稱TLS)或傳輸控制協議(transmission control protocol，簡稱TCP)連接。因此，術語“控制連接”也與“控制信道”具有相同的含義。

軟件定義網絡(更具體地說是基于OF的SDN)被認為是可以發展下一代移動網絡架構設計的關鍵技術之一，因為它具有簡單性和網絡可編程性特征(例如，參見NGMNAlliance，“5G白皮書”，2015年2月17日)。下一代移動網絡的其中一個目標是支持網絡切片概念。網絡切片主要針對移動核心網的分區，其中網絡切片被定義為來自SDN基礎設施的資源集合以及支持特定用途的通信服務要求的一組控制應用(control application，簡稱cAPP)，例如，機器類通信(machine type communication，簡稱MTC)、車聯網(vehicle-to-X，簡稱V2X)、移動寬帶(mobile broadband，簡稱MBB)等。對于一個網絡切片，可以有一個或多個SDN cAPP，它們可以提供不同的網絡服務。來自不同切片的資源可以共享同一個支持SDN的基礎設施，并且這些切片可能具有不同的cAPP并具有發送到SDN控制面的不同請求，以便操作基礎設施。