[发明专利]网络访问控制方法和装置

说明书

本公开提供了一种网络访问控制方法和装置；其中，该方法应用于虚拟交换机，该虚拟交换机中设置有至少两级流表；每个流表包含至少一个业务特性对应的表项；该方法包括：在当前流表中，按照当前流表包含的业务特性查找当前流量对应的第一匹配表项；检查第一匹配表项中的动作是否指示进行下级流表的匹配；如果是，在下级流表中，按照下级流表包含的业务特性查找当前流量对应的第二匹配表项，并按照第二匹配表项中的动作对当前流量进行访问控制。本公开可以增强网络访问控制可扩展性。

技术领域

本公开涉及云计算技术领域，尤其是涉及一种网络访问控制方法和装置。

背景技术

虚拟交换机(Vswitch)是一种软件形式的交换部件，通过软件方式实现物理交换机的二层网络功能；较为常用的一种虚拟交换机是OVS(OpenVswitch，开源虚拟交换机)。

虚拟交换机通过查询数据转发流表对流量进行访问控制。该流表中，保存有多项与用户的网络控制需求相匹配的转发表项。虚拟交换机接收到流量时，会将该流量与流表中的表项进行逐一匹配，并根据命中表项中记载的动作处理该流量。当用户需要增加需求时，流表会进行更新；每增加一种控制功能，可能需要对该流表中的表项进行整体改动；随着用户需求越来越多，流表会变得非常冗长，可读性差，更新流表工作量越来越大，导致流表后续可优化和可扩展性较差。

发明内容

有鉴于此，本公开的目的在于提供一种网络访问控制方法和装置，以增强网络访问控制可扩展性。

为了实现上述目的，本公开采用的技术方案如下：

第一方面，本公开提供了一种网络访问控制方法，该方法应用于虚拟交换机，虚拟交换机中设置有至少两级流表；每个流表包含至少一个业务特性对应的表项；该方法包括：在当前流表中，按照当前流表包含的业务特性查找当前流量对应的第一匹配表项；检查第一匹配表项中的动作是否指示进行下级流表的匹配；如果是，在下级流表中，按照下级流表包含的业务特性查找当前流量对应的第二匹配表项，并按照第二匹配表项中的动作对当前流量进行访问控制。

第二方面，本公开提供了一种网络访问控制装置，该装置设置于虚拟交换机，虚拟交换机中设置有至少两级流表；每个流表包含至少一个业务特性对应的表项；该装置包括：查找模块，用于在当前流表中，按照当前流表包含的业务特性查找当前流量对应的第一匹配表项；检查模块，用于检查第一匹配表项中的动作是否指示进行下级流表的匹配；访问控制模块，用于如果第一匹配表项中的动作指示进行下级流表的匹配，在下级流表中，按照下级流表包含的业务特性查找当前流量对应的第二匹配表项，并按照第二匹配表项中的动作对当前流量进行访问控制。

第三方面，本公开实施方式提供了一种服务器，包括处理器和机器可读存储介质，所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令，所述处理器执行所述机器可执行指令以实现上述网络访问控制方法。

第四方面，本公开实施方式提供了一种机器可读存储介质，所述机器可读存储介质存储有机器可执行指令，所述机器可执行指令在被处理器调用和执行时，所述机器可执行指令促使所述处理器实现上述网络访问控制方法。

上述网络访问控制方法、装置、服务器和机器可读存储介质，虚拟交换机设置有至少两级流表，每个流表包含各自的业务特性，在进行网络访问控制过程中，按照当前流表包含的业务特性查找当前流量对应的第一匹配表项；如果第一匹配表项中的动作指示进行下级流表的匹配，则按照下级流表包含的业务特性查找当前流量对应的第二匹配表项，并按照第二匹配表项中的动作对当前流量进行访问控制，这种流表分级方式，在有新业务特性增加时，可以建立在原有流表基础上扩展新的流表，增强了网络访问控制扩展性。

同时，该方式通过至少两级流表进行访问控制时，只需按照表项指示的动作跳转流表并进行下级流表的匹配即可，无需反复多次遍历流表，提高了表项查询的效率。