本發明提供了一種基于Open vSwitch實現面向應用路由的方法，所述方法包括：接收并識別應用協議；將所述應用協議與端口號組成鍵值對；根據所述鍵值對以及鍵值對中的端口號確定所述應用協議的類型；根據所述應用協議的類型下發所對應的策略。本發明還提供了一種基于Open vSwitch實現面向應用路由的裝置。本發明結合應用識別技術和基于Open vSwitch的流表規則，將識別的應用特征信息轉化為流表規則，通過Openflow協議下發到Open vSwitch，從而控制設備流量，其流表規則實現簡單，并且便于網絡控制統一規劃處理，當應用特征信息發生變化時，能夠及時更新處理，不依賴于TCAM。

技術領域

本發明涉及數據流量控制領域，尤其涉及一種基于Open vSwitch實現面向應用路由的方法及裝置。

背景技術

隨著網絡應用的不斷更新，網絡應用的問題越來越復雜，對網絡應用的流量區分處理的需求越發重要。對于某些不受控的應用必須加以識別并且控制其流量，否則會擠占正常的網絡資源，影響企業的正常工作。

傳統網絡基于數據包的特征或類型來識別應用，并控制數據包的轉發行為，從而達到控制應用流量的目的。網絡中的數據包類型有很多比如HTTP,TELNET等數據包，這些傳統應用都使用著默認的保留端口，例如HTTP使用80端口，TELNET使用23端口等等。基于端口映射機制對應用層協議進行識別，控制其數據包的出口，從而達到流量控制的目的。

除此之外還有基于DPI(Deep Packet Inspection 深度包檢測)和DFI(Deep FlowInspection 深度流檢測)實現的應用識別技術，基于這些識別結果下發對應的ACL規則，從而達到控制應用流量的目的。

其中控制流量的手段主要是通過ACL利用TCAM硬件來實現，TCAM (ternarycontent addressable memory)是一種三態內容尋址存儲器，主要用于快速查找ACL、路由等表項。

目前已有的方法是通過應用識別技術識別對應的應用，然后下發相應的ACL規則，從而達到控制應用流量的目的，但是目前ACL的實現必須依賴于TCAM硬件，如果TCAM耗盡，那么可能會通過cpu來轉發，減低數據包轉發性能。當應用特征發生變化時，在傳統方法中不能及時根據應用特征重新配置策略路由。從而可能會導致不可控應用擠占網絡資源，影響正常工作。

發明內容

為解決上述技術問題之一，本發明提供了一種基于Open vSwitch實現面向應用路由的方法，所述方法包括：

接收并識別應用協議；

將所述應用協議與端口號組成鍵值對；

根據所述鍵值對以及鍵值對中的端口號確定所述應用協議的類型；

根據所述應用協議的類型下發所對應的策略。

優選地，所述接收并識別應用協議的過程包括：

接收應用協議；

判斷所述應用協議的端口號是否為固定不變，是，則采用端口方式識別所述應用協議，否，則采用DPI特征識別方式識別所述應用協議。

優選地，所述根據所述鍵值對以及鍵值對中的端口號確定所述應用協議的類型的過程包括：

根據所述鍵值對中的端口號獲取預先存儲的應用協議與端口之間的對應關系；

判斷所述預先存儲的應用協議與端口之間的對應關系中是否存在所述鍵值對中端口號與應用協議之間的對應關系，否，則所述應用協議的類型為新，將所述鍵值對存儲在所述預先存儲的應用協議與端口之間的對應關系中。

優選地，所述根據所述鍵值對以及鍵值對中的端口號確定所述應用協議的類型的過程還包括：