本發明公開了一種面向虛擬機的多級流表管控方法及系統。面向虛擬機的多級流表管控方法，包括：生成port?mac綁定流表規則，并下發至流表0；注冊空閑的流表N，并將所述port?mac綁定流表規則下發至所述流表N；生成多級流表分發規則，并下發至流表1；當報文進入Openflow交換機時，根據流表0的port?mac綁定流表規則確定該報文為虛擬機發出時，然后根據流表1的多級流表分發規則將所述報文的流表轉發至對應的流表N。本發明的管控方法及系統將Openflow交換機的流表通過虛擬機Mac地址與虛擬機接入網卡Mac地址作為虛擬機網絡資源的唯一標識，實現SDN控制器快速的索引與資源分配，通過以虛擬機Mac地址作為多級流表分發的關鍵匹配項，從而可以起到防止虛擬機惡意修改Mac地址的作用。

技術領域

本發明屬于網絡通信設備領域，尤其是一種面向虛擬機的多級流表管控方法及系統。

背景技術

遵循OpenFlow標準的OpenFlow交換機，內置了多級流表處理邏輯，而每一級流表包含有多個流表規則。F多級流表是按照數字順序排列的，起始索引號從0開始，任何進入到OpenFlow交換機的報文都會從Table 0開始處理,根據Openflow標準協議Openflow交換機Flow Table ID可用范圍是0-253，共254個Flow Table。

當報文進入流表處理時，報文會被逐次地依據Priority(優先級)與該流表里的所有流表規則進行匹配，當發現匹配成功的流表規則時，該流表規則相關聯的InstructionsSet將會被執行，Instructions可以通過Goto Table指令將該報文轉發到后續的其他流表處理，或者通過Drop指令將報文轉發，或者通過Set field指令修改報文內容，或通過output port指令將報文轉發至指定網口，或者封裝成packet-in消息發送給SDN控制器。

假若報文在一個流表里沒有發現能夠匹配成功的流表規則，那么這叫作一次Table Miss，至于發生Table Miss后的動作取決于這個流表的配置：1)直接丟棄，2)繼續轉發給后續的流表，3)封裝成packet-in消息發送給SDN控制器。

如圖1所示，根據Openflow標準的多級流表邏輯特性，結合云計算虛擬網絡的業務特性，通過對多級流表的管理，可有效提升Openflow執行效率以及管理邏輯的清晰度，目前業界對多級流表的管理普遍采用以下幾種方法：

1)只采用一級Flow Table

將所有流表規則都放在同一級流表中，通過prority控制流表的執行次序。這樣方式，如果某個虛擬機的流表規則過多，會直接影響其他統一計算節點虛擬機的網絡轉發性能。

2)根據網絡協議分配Flow Table

通過Flow Table0的流表規則完成按網絡協議，如TCP協議、UDP協議、ICMP協議、ARP協議通過Goto Table指令轉發到不同的Flow Table，這樣的方案可以避免某單一協議流表過多，導致其他報文協議的性能受損，有效隔離不同網絡協議之間的性能損耗，但是避免某個虛擬機的流表規則，而導致其他虛擬機的網絡轉發性能受損。

3)根據云網絡業務功能分配Flow Table

云網絡的業務功能，如安全組、ACL、Subnet、NAT、Vpc、Route等，通過流水線的方式，將云網絡的業務功能，分配到不同的Flow Table中，這樣的方案可提升云網絡的管理性，但是依然無法解決某個虛擬機的流表規則，而導致其他虛擬機的網絡轉發性能受損問題。

發明內容

本發明的目的在于提供一種面向虛擬機的多級流表管控方法及系統，以防止虛擬機惡意修改Mac地址。

為此，本發明提供了一種面向虛擬機的多級流表管控方法，包括：