本公開提供了一種網絡訪問控制方法和裝置；其中，該方法應用于虛擬交換機，該虛擬交換機中設置有至少兩級流表；每個流表包含至少一個業務特性對應的表項；該方法包括：在當前流表中，按照當前流表包含的業務特性查找當前流量對應的第一匹配表項；檢查第一匹配表項中的動作是否指示進行下級流表的匹配；如果是，在下級流表中，按照下級流表包含的業務特性查找當前流量對應的第二匹配表項，并按照第二匹配表項中的動作對當前流量進行訪問控制。本公開可以增強網絡訪問控制可擴展性。

技術領域

本公開涉及云計算技術領域，尤其是涉及一種網絡訪問控制方法和裝置。

背景技術

虛擬交換機(Vswitch)是一種軟件形式的交換部件，通過軟件方式實現物理交換機的二層網絡功能；較為常用的一種虛擬交換機是OVS(OpenVswitch，開源虛擬交換機)。

虛擬交換機通過查詢數據轉發流表對流量進行訪問控制。該流表中，保存有多項與用戶的網絡控制需求相匹配的轉發表項。虛擬交換機接收到流量時，會將該流量與流表中的表項進行逐一匹配，并根據命中表項中記載的動作處理該流量。當用戶需要增加需求時，流表會進行更新；每增加一種控制功能，可能需要對該流表中的表項進行整體改動；隨著用戶需求越來越多，流表會變得非常冗長，可讀性差，更新流表工作量越來越大，導致流表后續可優化和可擴展性較差。

發明內容

有鑒于此，本公開的目的在于提供一種網絡訪問控制方法和裝置，以增強網絡訪問控制可擴展性。

為了實現上述目的，本公開采用的技術方案如下：

第一方面，本公開提供了一種網絡訪問控制方法，該方法應用于虛擬交換機，虛擬交換機中設置有至少兩級流表；每個流表包含至少一個業務特性對應的表項；該方法包括：在當前流表中，按照當前流表包含的業務特性查找當前流量對應的第一匹配表項；檢查第一匹配表項中的動作是否指示進行下級流表的匹配；如果是，在下級流表中，按照下級流表包含的業務特性查找當前流量對應的第二匹配表項，并按照第二匹配表項中的動作對當前流量進行訪問控制。

第二方面，本公開提供了一種網絡訪問控制裝置，該裝置設置于虛擬交換機，虛擬交換機中設置有至少兩級流表；每個流表包含至少一個業務特性對應的表項；該裝置包括：查找模塊，用于在當前流表中，按照當前流表包含的業務特性查找當前流量對應的第一匹配表項；檢查模塊，用于檢查第一匹配表項中的動作是否指示進行下級流表的匹配；訪問控制模塊，用于如果第一匹配表項中的動作指示進行下級流表的匹配，在下級流表中，按照下級流表包含的業務特性查找當前流量對應的第二匹配表項，并按照第二匹配表項中的動作對當前流量進行訪問控制。

第三方面，本公開實施方式提供了一種服務器，包括處理器和機器可讀存儲介質，所述機器可讀存儲介質存儲有能夠被所述處理器執行的機器可執行指令，所述處理器執行所述機器可執行指令以實現上述網絡訪問控制方法。

第四方面，本公開實施方式提供了一種機器可讀存儲介質，所述機器可讀存儲介質存儲有機器可執行指令，所述機器可執行指令在被處理器調用和執行時，所述機器可執行指令促使所述處理器實現上述網絡訪問控制方法。

上述網絡訪問控制方法、裝置、服務器和機器可讀存儲介質，虛擬交換機設置有至少兩級流表，每個流表包含各自的業務特性，在進行網絡訪問控制過程中，按照當前流表包含的業務特性查找當前流量對應的第一匹配表項；如果第一匹配表項中的動作指示進行下級流表的匹配，則按照下級流表包含的業務特性查找當前流量對應的第二匹配表項，并按照第二匹配表項中的動作對當前流量進行訪問控制，這種流表分級方式，在有新業務特性增加時，可以建立在原有流表基礎上擴展新的流表，增強了網絡訪問控制擴展性。

同時，該方式通過至少兩級流表進行訪問控制時，只需按照表項指示的動作跳轉流表并進行下級流表的匹配即可，無需反復多次遍歷流表，提高了表項查詢的效率。