[发明专利]一种流规则的检测和处理的方法

说明书

本发明提供一种流规则的检测和处理的方法，通过控制器对发送方发送的第一流规则与原有的流规则进行不一致性的检测，在现有的冲突检测的基础上，增加包含和包含于的不一致性的检测，并确定与第一流规则存在冲突、包含或包含于的关系的第二流规则，并基于冲突、包含或包含于的关系对第一流规则或者第二流规则进行处理，从而避免了由于包含或包含于的不一致性导致的需要人工参与处理的情况，提高了对流规则的不一致性的处理效率，以及通过对流规则的不一致性的处理，减少了OVS中的流表容量，控制器中需要维护的流规则的数量也减少了，提升了整个SDN系统的运行效率。

技术领域

本发明涉及通信技术领域，更具体地，涉及一种流规则的检测和处理的方法。

背景技术

基于Openflow协议的软件定义网络(Software Defined Network，简称为SDN)架构中，应用程序可以根据使用者设置的流规则通过控制器向数据转发设备下达包含有流规则的流表，从而完成改变数据包中某个字段或者控制转发出口的功能。流规则通常是为了实现某种网络功能由人工制定，为完成不同网络功能可能会制定不同的流规则。由于流规则的制定者可能是多个，完成的功能也有不同，这些流规则可能是互相兼容的，也可能是有矛盾冲突的。而作为典型的流规则驱动型网络，SDN网络中流规则一致性的确保，对于网络功能的正常运行至关重要。

数据转发设备不具备流规则分析能力，只是简单按照流规则匹配执行，控制器在下发流规则之前必须经过严密精确的检测分析处理，从而保证流规则能够有效实施。针对SDN中流规则的检测分析处理，目前研究者给出的解决方案的主要思路包括两种：(1)基于应用程序的优先级，对流规则的安全等级进行划分；(2)采用形式化和数学分析方法，对不同流规则之间和冲突性进行检测分析处理。

由于目前控制器对下发的流规则的检测分析处理，其主要目的是避免流规则之间的矛盾冲突，因此仅对流规则进行冲突性的检测分析处理，但是，流规则之间还存在其它不一致性的情况，而目前则没有对除了冲突之外的其它不一致性的情况进行检测分析处理的方法，对除了冲突之外的其它不一致性的情况，或者是提交上层管理员处理，增加了人工操作；或者采用默认全部保留的处理方式，导致虚拟交换机(Open VSwitch，OVS)中的流表容量增加，控制器中需要维护的流规则的数量也增加了，降低了整个SDN系统的运行效率。

发明内容

为了克服上述问题或者至少部分地解决上述问题，本发明提供一种流规则的检测和处理的方法。

根据本发明的一个方面，提供一种流规则的检测和处理的方法，其特征在于，包括：接收发送方发送的第一流规则；在原有的流规则中确定第二流规则，第二流规则与第一流规则存在包含、包含于或冲突的关系；若确定第一流规则包含第二流规则，则将第一流规则替换第二流规则；若确定第一流规则包含于第二流规则，则删除第一流规则；若确定第一流规则与第二流规则冲突，则根据第一流规则与第二流规则的安全等级进行处理。

其中，在原有的流规则中确定第二流规则，包括：将第一流规则逐一与原有的每一流规则进行比较；将与第一流规则中存在匹配域等同但是动作不同，或者与第一流规则中存在匹配域交叉的流规则确定为第二流规则。

其中，确定第一流规则包含第二流规则，包括：通过确定第二流规则中每一匹配域包含于或等同于第一流规则中对应的匹配域，且第一流规则中存在匹配域不等同于第二流规则中对应的匹配域，并且第二流规则中每一匹配域与第一流规则中对应的匹配域的动作相同，以确定第一流规则包含第二流规则。

其中，确定第一流规则包含于第二流规则，包括：通过确定第一流规则中每一匹配域包含于或等同于第二流规则中对应的匹配域，且第二流规则中存在匹配域不等同于第一流规则中对应的匹配域，并且第一流规则中每一匹配域与第二流规则中对应的匹配域的动作相同，以确定第一流规则包含于第二流规则。