CN111294344A - 数据转发的控制系统、方法、电子设备及存储介质 - Google Patents
数据转发的控制系统、方法、电子设备及存储介质 Download PDFInfo
- Publication number
- CN111294344A CN111294344A CN202010059609.1A CN202010059609A CN111294344A CN 111294344 A CN111294344 A CN 111294344A CN 202010059609 A CN202010059609 A CN 202010059609A CN 111294344 A CN111294344 A CN 111294344A
- Authority
- CN
- China
- Prior art keywords
- forwarding
- control
- module
- flow table
- data message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/70—Virtual switches
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种数据转发的控制系统、方法、电子设备及存储介质。数据转发的控制系统,包括转发平面和控制平面,包括:转发平面包括转发模块;控制平面包括转发判断模块和转发控制模块,且转发判断模块与转发控制模块位于同一控制平面;转发模块用于,接收待转发的数据报文,将数据报文通过转发控制模块转发给转发判断模块;转发判断模块用于,分析数据报文制定转发策略,将转发策略反馈给转发控制模块;转发控制模块用于,根据转发策略制定控制策略流表,将控制策略流表下发给转发模块;转发模块还用于,根据控制策略流表中的操作指令,对数据报文进行处理。由同一个控制平面去做统一的转发策略下发,实现真正意义上的转控分离。
Description
技术领域
本发明实施方式涉及网络安全转发领域,特别涉及一种数据转发的控制系统、方法、电子设备及存储介质。
背景技术
近年来,网路新业务层出不穷,有流媒体、音视频聊天、互动在线游戏和虚拟现实等。这些新业务的普及为运营商吸纳了大量的客户资源,同时也对网络的底层流量模型和上层应用模式产生了什么很大的冲击,带来带宽管理、内容计费、信息安全、舆论管控等一系列新的问题。新业务的数据流量是相当巨大的,在很大程度上加重了网络拥塞,降低网络性能,劣化了网络服务质量,妨碍了正常的网络业务的开展和关键应用的普及,同时给网络的信息安全监测管理带来了极大的挑战。
在新一代网络趋势下,为了能实现对网络安全管控,构建“可运营、可管理、安全”的网络,诸如DPI(Deep Packet Inspection,深度包检测)、防火墙等网络安全技术越来越得到重视。这些网络安全技术可以独立地看成是一个网络安全转发模块,比如在上网行为管控中,将DPI模块作为网络安全转发模块,对数据包进行深度解析,根据预配置的策略,给出数据包的转发策略。
然而,发明人发现:现有技术通过引用控制器实现对网络资源的统一查看、管理,但是网络安全转发模块依然独立于控制器所在的控制平面,一方面,两个控制系统会造成控制策略不统一,从而引起转发出错;另一方面,转发设备需要将报文发送给控制器,还需要复制报文发送给网络安全转发模块,占用网络资源。
发明内容
本发明实施方式的目的在于提供一种数据转发的控制系统、方法、电子设备及存储介质,将目前网络中的安全转发模块从转发平面中解耦出来,集成到控制器所在的控制平面上,由同一个控制平面去做统一的转发策略的下发,实现真正意义上的转控分离。
为解决上述技术问题,本发明的实施方式提供了一种数据转发的控制系统,包括:转发平面和控制平面,包括:转发平面包括转发模块;控制平面包括转发判断模块和转发控制模块,且转发判断模块与转发控制模块位于同一控制平面;转发模块用于,接收待转发的数据报文,将数据报文通过转发控制模块转发给转发判断模块;转发判断模块用于,分析数据报文制定转发策略,将转发策略反馈给转发控制模块;转发控制模块用于,根据转发策略制定控制策略流表,将控制策略流表下发给转发模块;转发模块还用于,根据控制策略流表中的操作指令,对数据报文进行处理。
本发明的实施方式还提供了一种数据转发的控制方法,应用于转发模块,包括:接收待转发的数据报文,将数据报文发送给转发控制模块;接收转发控制模块反馈的控制策略流表;其中,控制策略流表中包含数据报文的操作指令;依据操作指令,对数据报文进行处理。
本发明的实施方式还提供了一种数据转发的控制方法,应用于转发控制模块,包括:接收转发模块发送的数据报文并发送给转发判断模块;接收转发判断模块反馈的转发策略;其中,转发策略为转发判断模块根据分析数据报文获得;根据转发策略制定控制策略流表,并将控制策略流表反馈给转发模块。
本发明的实施方式还提供了一种电子设备,包括:至少一个处理器;以及,与至少一个处理器通信连接的存储器;其中,存储器存储有可被至少一个处理器执行的指令,指令被至少一个处理器执行,以使至少一个处理器能够执行上述数据转发的控制方法。
本发明的实施方式还提供了一种可读性存储介质,存储有计算机程序,计算机程序被处理器执行时实现上述数据转发的控制方法。
本发明实施方式相对于现有技术而言,设计了一种将转发控制模块和转发判断模块放置在同一个控制平面的架构,便于集中式策略的下发;通过将转发控制模块和转发判断模块集成在同一个控制平面上,解决了两个控制系统会造成控制策略不统一,从而引起的转发出错的问题。
另外,控制策略流表包括:流表所属表项、优先级、匹配域和操作指令;其中,匹配域用于,对数据报文进行匹配;操作指令用于,对数据报文进行处理的指令;流表所属表项从 0开始整数递增;从流表所属表项为0的控制策略流表开始匹配,检索优先级最高的控制策略流表,并根据优先级最高的控制策略流表中的操作指令对数据报文进行处理。通过设计一种流表格式,根据流表所属表项依次进行处理,相同流表所属表项的流表优先检索处理优先级高的流表,同时控制策略流表中还集成了转发策略,通过控制器下发控制策略流表,通过一个控制系统,实现数据报文有条理的转发,使得转发系统更具稳定性。
另外,转发模块还包括:预处理单元,用于提取数据报文的特征值;存储单元,用于存储转发控制模块下发的控制策略流表;处理单元,用于对特征值对应的控制策略流表中的操作指令,对数据报文进行处理。通过预处理单元获取数据报文的特征值,检索与特征值相应的优先级最高的控制策略流表,从而实现不同特征值的第一个数据报文上送转发控制模块,相同特征值的数据包除了第一个数据报文外,其余数据报文会直接在转发平面匹配控制策略流表进行处理,极大地提高数据报文的转发效率。
另外,转发控制模块还包括:过滤单元,过滤单元用于判断数据报文是否满足预设过滤规则,将满足预设过滤规则的数据报文转发给转发判断模块。转发控制模块中设置过滤单元,对数据报文是否满足预设过滤规则进行判断,可以避免所有数据报文都调用转发判断模块,提高控制平面的处理效率。
另外,转发控制模块为SDN控制器,转发模块为虚拟交换机Open vSwitch;其中,SDN 控制器通过openflow协议下发控制策略流表,Open vSwitch通过在openflow协议下接收控制策略流表,对数据报文进行处理。转发模块为集成的Open vSwitch(OVS软件),即转发平面采用OVS软件转发,提高了系统的灵活性和通用性,便于系统在同平台之间的移植;同时, OVS软件应用在x86架构下,以OVS软件和x86架构为载体,使得系统更具有通用性和扩展性。
附图说明
一个或多个实施方式通过与之对应的附图中的图片进行示例性说明,这些示例性说明并不构成对实施方式的限定,附图中具有相同参考数字标号的元件表示为类似的元件,除非有特别申明,附图中的图不构成比例限制。
图1是根据本发明第一实施方式中的数据转发控制系统的结构示意图;
图2是根据本发明第一实施方式中数据转发控制系统中信息交互的示意图;
图3是根据本发明第二实施方式中数据转发控制系统中信息交互的示意图;
图4是根据本发明第三实施方式中数据转发的控制方法应用于转发模块的流程图;
图5是根据本发明第四实施方式中数据转发的控制方法应用于转发控制模块的流程图;
图6是根据本发明第五实施方式中提供的电子设备的结构示意图。
具体实施方式
为使本发明实施方式的目的、技术方案和优点更加清楚,下面将结合附图对本发明的各实施方式进行详细的阐述。然而,本领域的普通技术人员可以理解,在本发明各实施方式中,为了使读者更好地理解本申请而提出了许多技术细节。但是,即使没有这些技术细节和基于以下各实施方式的种种变化和修改,也可以实现本申请所要求保护的技术方案。以下各个实施方式的划分是为了描述方便,不应对本发明的具体实现方式构成任何限定,各个实施方式在不矛盾的前提下可以相互结合,相互引用。
本发明的第一实施方式涉及一种数据转发的控制系统,本实施方式在于:包括转发平面和控制平面,包括:转发平面和控制平面,包括:转发平面包括转发模块;控制平面包括转发判断模块和转发控制模块,且转发判断模块与转发控制模块位于同一控制平面;转发模块用于,接收待转发的数据报文,将数据报文通过转发控制模块转发给转发判断模块;转发判断模块用于,分析数据报文制定转发策略,将转发策略反馈给转发控制模块;转发控制模块用于,根据转发策略制定控制策略流表,将控制策略流表下发给转发模块;转发模块还用于,根据控制策略流表中的操作指令,对数据报文进行处理。
本发明设计了一种将转发控制模块和转发判断模块放置在同一个控制平面的架构,便于集中式策略的下发;通过将转发控制模块和转发判断模块集成在同一个控制平面上,解决了两个控制系统会造成控制策略不统一,从而引起的转发出错的问题。
下面对本实施方式的数据转发的控制系统的实现细节进行具体的说明。
本实施方式中的数据转发的控制系统的结构示意图,如图1所示;本实施方式中的数据转发的控制系统的信息交互的示意图,如图2所示。
参考图1,数据转发的控制系统,包括转发平面101和控制平面102;具体包括:转发平面101包括转发模块111,控制平面102包括转发控制模块112和转发判断模块122,且转发判断模块122与转发控制模块112位于同一控制平面102。
需要说明的是,本发明实施方式中,转发控制模块112为SDN控制器,转发模块111为虚拟交换机Open vSwitch(OVS软件);其中,SDN控制器通过openflow协议下发控制策略流表;OVS软件通过在openflow协议下接收控制策略流表,对数据报文进行处理。转发模块111为Open vSwitch(OVS软件),即转发平面采用OVS软件转发,提高了系统的灵活性和通用性,便于系统在同平台之间的移植;同时,OVS软件应用在x86架构下,以OVS软件和x86架构为载体,由于OVS软件是通用的开源软件,更加具有通用性,在x86服务器上部署,方便实现NFV虚拟化,还能够灵活的部署在不同的平台,使得系统更具有通用性和扩展性。
本发明第一实施方式所涉及的控制系统,采用转控分离的方式,由转发平面101和控制平面102组成,控制平面102包括转发控制模块112,即控制器;转发判断模块122,即从转发设备中独立出来的网络安全转发模块;网络安全转发模块和控制器集成在同一个控制平面 102上,解决了因多个控制策略存在而造成的系统转发混乱的问题。
转发平面101将待转发的数据报文发送给控制平面102,控制平面102会根据数据报文制定转发策略,并生成控制策略流表,控制策略流表通过openflow协议下发给转发平面101 中的转发模块;其中,转发模块为虚拟交换机Open vSwitch;OVS软件接收控制策略流表,并根据控制策略流表,对数据报文进行处理。需要说明的是,在本实施例中,对数据报文进行处理包括对数据报文进行转发、对数据报文进行修改、将数据报文传递到下一级所属控制策略流表或对数据报文进行丢弃。
参考图2,转发模块111用于,接收待转发的数据报文,将数据报文通过转发控制模块 112转发给转发判断模块122。
具体地,转发模块111用于执行步骤S1,接收待转发的数据报文;转发模块111还用于执行步骤S3,将收到的待转发的数据报文上传到转发控制模块112;转发控制模块112用于执行步骤S5,将收到的数据报文转发给转发判断模块122。步骤S3和步骤S5即转发模块111 将数据报文通过转发控制模块121发送到转发判断模块122。
需要说明的是,在本实施方式中,转发控制模块还包括:过滤单元,过滤单元用于判断数据报文是否满足预设过滤规则,将满足预设过滤规则的数据报文转发给转发判断模块,转发控制模块还用于执行步骤S4,基于预设过滤规则进行过滤。
具体地,转发控制模块112在接收到数据报文之后,会根据转发控制模块112预先存储的预设过滤过滤规则进行判断,若数据报文满足预设过滤规则,再将数据报文转发给转发判断模块122。转发控制模块112中设置过滤单元,对数据报文是否满足预设过滤规则进行判断,可以避免所有数据报文都调用转发判断模块122,提高控制平面的处理效率。还需要说明的是,预设过滤规则可以为SIP等规则。在一个具体地例子中,SDN控制器在接收到转发模块111发送的数据报文之后,SDN控制器按照SIP规则对数据报文进行判断,若数据报文满足SIP规则,则将数据报文转发给转发判断模块122。
转发判断模块122用于执行步骤S6,制定转发策略;转发判断模块122还用于执行步骤 S7,将转发策略反馈给转发控制模块112
具体地,转发判断模块122分析数据报文制定转发策略,将转发策略反馈给转发控制模块112。
转发判断模块122即从现有技术中转发设备中独立出来的网络安全转发模块;转发判断模块122所接收到数据报文是通过转发模块111转发,间接经过转发控制模块112得到的。不同于现有技术中,转发设备依然需要将报文复制再发送到网络安全转发模块,节约了网络资源。同时,将转发控制模块112和转发判断模块122集成在一个控制平面102上,将两个控制系统集成一个控制系统,解决了因多个控制策略不统一而造成的转发混乱、系统容易出错的问题。
转发控制模块112用于执行步骤S8,指定控制策略流表;转发控制模块112还用于执行步骤S9,将控制策略流表发送给转发模块111。
具体地,转发控制模块112根据转发策略制定控制策略流表,并将控制策略流表下发给转发模块111。
转发模块111用于执行步骤S10,转发。
具体地,转发模块111依据控制策略流表中的操作指令,对数据报文进行处理。
本发明实施方式相对于现有技术而言,设计了一种将转发控制模块和转发判断模块放置在同一个控制平面的架构,便于集中式策略的下发。通过把转发控制模块和转发判断模块集成在同一个控制平面上,解决了两个控制系统会造成控制策略不统一,从而引起的转发出错的问题。
值得一提的是,本实施方式中所涉及到的各模块均为逻辑模块,在实际应用中,一个逻辑单元可以是一个物理单元,也可以是一个物理单元的一部分,还可以以多个物理单元的组合实现。此外,为了突出本发明的创新部分,本实施方式中并没有将与解决本发明所提出的技术问题关系不太密切的单元引入,但这并不表明本实施方式中不存在其它的单元。
本发明的第二实施方式涉及一种数据转发数据的控制系统。第二实施方式与第一实施方式大致相同,其主要区别之处在于,在第二实施方式中,转发模块还用于获取数据报文的特征值,从流表所属表项为0的控制策略流表开始匹配,检索对应于特征这的优先级最高的控制策略流表,从而实现不同特征值的数据报文首包上传,极大地提高数据报文的转发效率。
下面对本实施方式数据转发的控制系统的实现细节进行具体的说明。
在本实施方式中,转发模块还包括:预处理单元,用于提取数据报文的特征值。存储单元,用于存储转发控制模块下发的所述控制策略流表;处理单元,用于对所述特征值对应的所述控制策略流表中的操作指令,对所述数据报文进行处理。
具体地,本实施方式中,控制策略流表包括:流表所属表项、优先级、匹配域和操作指令;其中,匹配域用于,对数据报文进行匹配;操作指令用于,对数据报文进行处理的指令;流表所属表项值从0开始整数递增,从流表所属表项为0的控制策略流表开始匹配,检索优先级最高的控制策略流表,并根据优先级最高的控制策略流表中的操作指令对数据报文进行处理。具体地,SDN控制器在OVS软件上电的时候,就会下发一条默认流表,如下所示:
| 所述流表所属表项 | 流表优先级 | 匹配域 | 操作指令 |
| table=0 | Priority=1 | any | actions=上送到转发控制模块 |
默认流表处于第一级流表(table=0),优先级较低(Priority=1),匹配域any表示可以匹配所有的数据报文,动作是上送到转发控制模块。根据openflow流表规则,数据报文进入转发平面101之后,会首先匹配第一级流表,同时因为默认流表的匹配域是所有,但是其优先级较低,即数据报文在不能匹配到第一级流表中优先级较高的控制策略流表时,就会依据默认流表,执行actions=上送到转发控制模块112。
转发控制模块112在后期制定的控制策略流表如下所示:
即,上送到转发控制模块112的数据报文会获取一个与特征值对应的控制策略流表,此时的控制策略流表依旧属于第一级流表,但是其优先级较高,与数据报文的特征值匹配,数据报文根据该控制策略流表的操作指令进行处理。
本实施方式中的数据转发的控制系统的信息交互示意图,如图3所示。与第一实施方式的差异在于步骤S2,判断是否为不同特征值的首包。
具体地,经过以上方式流表设计,若此时转发模块111接收到新的待转发的数据报文,首先会获取该数据报文的特征值,然后检索与该特征值对应的优先级最高的控制策略流表,即转发模块111中并没有对应于该特征值优先级较高的流表,该数据包则会匹配默认流表,执行上送转发控制模块112的操作指令,从而获取与特征值有关的高优先级控制策略流表进行处理;若该特征值为出现过的特征值,即转发模块111中存储有与该特征值对应的控制策略流表,对该数据报文直接按照该控制策略流表中的操作指令进行处理。
具体地,如果转发判断模块122解析完报文之后给出的转发策略是转发,那么转发控制模块112会再根据其他策略模块的结果,决定数据报文是直接从相应的接口转发,还是匹配下一级流表,进行进一步的数据包处理。如果是从相应的接口转发,那么转发控制模块112 一方面会将该数据包直接转发出去,另一方面,会下发相应的控制策略流表;同样的,如果数据报文需要做进一步的处理,那么转发控制模块112也会对数据报文进行相应的处理,并下发转发策略流表给OVS软件,指导数据报文进行下一级流表的匹配处理。
在一个具体地例子中,从流表所属表项为0的控制策略流表开始匹配,检索优先级最高的控制策略流表,并依据此控制策略流表中的操作指令对数据报文进行处理,如果操作指令中有goto下一级流表,则转向流表所属表项为1的控制策略流表;否则执行其他操作指令(操作指令中如果有output行动,则发送数据报文,如果有drop行动,则丢弃数据报文)
需要说明的是,上述两个操作流表的举例说明是为了让本领域技术人员更加清楚本发明实施方式的工作流程,并不构成限定,在具体应用过程中,可以根据具体应用场景重新定义各个参数,采用类似参数形式设计的流表格式,都应该属于本发明的保护范围内。
通过预处理单元获取数据报文的特征值,检索与特征值相对应的优先级最高的控制策略流表,实现不同特征值的第一个数据报文上送转发控制模块112,相同特征值的数据包除了第一个数据报文外,其余数据报文会直接在转发平面101匹配控制策略流表进行处理,极大地提高数据报文的转发效率。同时转控分离的方式能极大的降低后期转发判断模块122的升级难度;对网络集中式的控制方式也使得配置、管理更加的容易。
值得一提的是,本实施方式中所涉及到的各模块均为逻辑模块,在实际应用中,一个逻辑单元可以是一个物理单元,也可以是一个物理单元的一部分,还可以以多个物理单元的组合实现。此外,为了突出本发明的创新部分,本实施方式中并没有将与解决本发明所提出的技术问题关系不太密切的单元引入,但这并不表明本实施方式中不存在其它的单元。
本发明第三实施方式涉及一种数据转发的控制方法,应用于转发模块,包括:接收待转发的数据报文,将数据报文发送给转发控制模块;接收转发控制模块反馈的控制策略流表;其中,控制策略流表中包含数据报文的操作指令;依据操作指令,对数据报文进行处理。
下面对本实施方式数据转发的控制方法的实现细节进行具体的说明,具体流程参考图4,包括:
步骤201,接收待转发的数据报文。
具体地,接收待转发的数据报文,将数据报文发送给转发控制模块;
需要说明的是,在本实施方式中,在将数据报文发送给转发控制模块之前,先要执行步骤202,提取特征值,具体如下:
提取数据报文的特征值,检索与特征值相对应的优先级最高的控制策略流表,按照控制策略流表中的操作指令,对数据报文进行处理。通过获取数据报文的特征值,实现不同特征值的第一个数据报文上送转发控制模块,相同特征值的数据报文除了第一个数据报文外,其余数据报文会直接在转发平面匹配流表进行处理,极大地提高数据报文的转发效率。
步骤203,接收反馈的控制策略流表;步骤204,转发数据报文。
接收转发控制模块反馈的控制策略流表;其中,所述控制策略流表中包含所述数据报文的操作指令;依据所述操作指令,对数据报文进行处理。
具体地,若数据报文发送给了转发控制模块,则等待转发控制模块反馈的控制策略流表,根据控制策略流表中的操作指令对数据报文进行处理;若数据报文并没有发送给转发控制模块,直接按照已存储的控制策略流表进行处理。
上面各种方法的步骤划分,只是为了描述清楚,实现时可以合并为一个步骤或者对某些步骤进行拆分,分解为多个步骤,只要包括相同的逻辑关系,都在本专利的保护范围内;对算法中或者流程中添加无关紧要的修改或者引入无关紧要的设计,但不改变其算法和流程的核心设计都在该专利的保护范围内。
不难发现,本实施方式为与第一实施方式和第二实施方式相对应的方法实施方式,本实施方式可与第一实施方式和第二实施方式互相配合实施。第一实施方式和第二实施方式中提到的相关技术细节在本实施方式中依然有效,为了减少重复,这里不再赘述。相应地,本实施方式中提到的相关技术细节也可应用在第一实施方式和第二实施方式中。
本发明第四实施方式涉及一种数据转发的控制方法,应用于转发控制模块,包括:接收转发模块发送的数据报文并发送给转发判断模块;接收所述转发判断模块反馈的转发策略;其中,所述转发策略为所述转发判断模块根据分析所述数据报文获得;根据所述转发策略制定控制策略流表,并将所述控制策略流表反馈给转发模块。
下面对本实施方式数据转发的控制方法的实现细节进行具体的说明,具体流程参考图5,包括:
步骤301,接收待转发的数据报文。
接收转发模块发送的数据报文并发送给转发判断模块。转发判断模块即安全转发控制模块,用于对数据报文的转发进行判断是否进行处理。
需要说明的是,在本实施方式中,在将数据报文转发给转发判断模块之前,还包括步骤 302,依据预设过滤规则进行过滤,具体如下:
判断数据报文是否满足预设过滤规则,将满足预设过滤规则的数据报文转发给转发判断模块。对数据报文是否满足预设过滤规则进行判断,可以避免所有数据报文都调用转发判断模块,提高控制平面的处理效率。
步骤303,转发数据报文,接收反馈的转发策略;步骤304,制定控制策略流表。
接收转发策略,其中,转发策略为转发判断模块根据分析数据报文获取;根据转发策略制定控制策略流表,并将控制策略流表反馈给转发模块。使转发模块依据控制策略流表对数据报文进行处理。
上面各种方法的步骤划分,只是为了描述清楚,实现时可以合并为一个步骤或者对某些步骤进行拆分,分解为多个步骤,只要包括相同的逻辑关系,都在本专利的保护范围内;对算法中或者流程中添加无关紧要的修改或者引入无关紧要的设计,但不改变其算法和流程的核心设计都在该专利的保护范围内。
不难发现,本实施方式为与第一实施方式和第二实施方式相对应的方法实施方式,本实施方式可与第一实施方式和第二实施方式互相配合实施。第一实施方式和第二实施方式中提到的相关技术细节在本实施方式中依然有效,为了减少重复,这里不再赘述。相应地,本实施方式中提到的相关技术细节也可应用在第一实施方式和第二实施方式中。
本发明第五实施方式涉及一种电子设备,该设备具体结构如图6所示。包括至少一个处理器402;以及,与至少一个处理器402通信连接的存储器401。其中,存储器401存储有可被至少一个处理器402执行的指令,指令被至少一个处理器402执行,以使至少一个处理器 402能够执行上述实施方式中的数据转发的控制方法。
本实施方式中,处理器402以中央处理器(Central Processing Unit,CPU)为例,存储器 401以可读写存储器(Random Access Memory,RAM)为例。处理器402、存储器401可以通过总线或者其他方式连接,图6中以通过总线连接为例。存储器401作为一种非易失性计算机可读存储介质,可用于存储非易失性软件程序、非易失性计算机可执行程序以及模块,如本申请实施方式中实现设备状态检测方法的程序就存储于存储器401中。处理器402通过运行存储在存储器401中的非易失性软件程序、指令以及模块,从而执行设备的各种功能应用以及数据处理,即实现上述数据报文的转发控制方法。
存储器401可以包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需要的应用程序;存储数据区可存储选项列表等。此外,存储器401可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实施方式中,存储器401可选包括相对于处理器402 远程设置的存储器,这些远程存储器可以通过网络连接至外接设备。
一个或者多个程序模块存储在存储器401中,当被一个或者多个处理器402执行时,执行上述任意方法实施方式中的数据转发的控制方法。
上述产品可执行本申请实施方式所提供的方法,具备执行方法相应的功能模块和有益效果,未在本实施方式中详尽描述的技术细节,可参见本申请其他实施方式所提供的方法。
本发明第六实施方式涉及一种计算机可读存储介质,存储有计算机程序。计算机程序被处理器执行时实现上述方法实施方式。
即,本领域技术人员可以理解,实现上述实施方式方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,该程序存储在一个存储介质中,包括若干指令用以使得一个设备(可以是单片机,芯片等)或处理器(processor)执行本申请各个实施方式方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
本领域的普通技术人员可以理解,上述各实施方式是实现本发明的具体实施方式,而在实际应用中,可以在形式上和细节上对其作各种改变,而不偏离本发明的精神和范围。
Claims (10)
1.一种数据转发的控制系统,包括转发平面和控制平面,其特征在于,包括:
所述转发平面包括转发模块;所述控制平面包括转发判断模块和转发控制模块,且所述转发判断模块与所述转发控制模块位于同一控制平面;
所述转发模块用于,接收待转发的数据报文,将所述数据报文通过所述转发控制模块转发给所述转发判断模块;
所述转发判断模块用于,分析所述数据报文制定转发策略,将所述转发策略反馈给所述转发控制模块;
所述转发控制模块用于,根据所述转发策略制定控制策略流表,将所述控制策略流表下发给所述转发模块;
所述转发模块还用于,根据所述控制策略流表中的操作指令,对所述数据报文进行处理。
2.根据权利要求1所述的数据转发的控制系统,其特征在于,所述控制策略流表包括:流表所属表项、优先级、匹配域和操作指令;
其中,所述匹配域用于,对所述数据报文进行匹配;所述操作指令用于,对所述数据报文进行处理的指令;所述流表所属表项从0开始整数递增;
从所述流表所属表项为0的控制策略流表开始匹配,检索所述优先级最高的控制策略流表,并根据所述优先级最高的控制策略流表中的操作指令对所述数据报文进行处理。
3.根据权利要求2所述的数据转发的控制系统,其特征在于,所述转发模块包括:
预处理单元,用于提取所述数据报文的特征值;
存储单元,用于存储所述转发控制模块下发的所述控制策略流表;
处理单元,用于对所述特征值对应的所述控制策略流表中的操作指令,对所述数据报文进行处理。
4.根据权利要求1所述的数据转发的控制系统,其特征在于,所述转发控制模块还包括:过滤单元,所述过滤单元用于判断所述数据报文是否满足预设过滤规则,将满足所述预设过滤规则的所述数据报文转发给所述转发判断模块。
5.根据权利要求1-4任一项所述的数据转发的控制系统,其特征在于,包括:
所述转发控制模块为SDN控制器,所述转发模块为虚拟交换机Open vSwitch;
其中,所述SDN控制器通过openflow协议下发所述控制策略流表,所述Open vSwitch通过在openflow协议下接收所述控制策略流表,对所述数据报文进行处理。
6.一种数据转发的控制方法,应用于转发模块,其特征在于,包括:
接收待转发的数据报文,将所述数据报文发送给转发控制模块;
接收所述转发控制模块反馈的控制策略流表;其中,所述控制策略流表中包含所述数据报文的操作指令;
依据所述操作指令,对所述数据报文进行处理。
7.根据权利要求6所述的数据转发的控制方法,其特征在于,接收待转发的数据报文,将所述数据报文发送给控制模块,具体包括:
接受待转发的所述数据报文,提取所述数据报文的特征值;
根据所述特征值,从流表所属表项为0的控制策略流表开始匹配,检索对应地优先级最高的控制策略流表,依据所述控制策略流表,所述数据报文进行处理。
8.一种数据转发的控制方法,应用于转发控制模块,其特征在于,包括:
接收转发模块发送的数据报文并发送给转发判断模块;
接收所述转发判断模块反馈的转发策略;其中,所述转发策略为所述转发判断模块根据分析所述数据报文获得;
根据所述转发策略制定控制策略流表,并将所述控制策略流表反馈给转发模块。
9.一种电子设备,其特征在于,包括:
至少一个处理器;以及,与所述至少一个处理器通信连接的存储器;
其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行如权利要求6至8中任一项所述的数据转发的控制方法。
10.一种可读性存储介质,存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求6至8中任一项所述的数据转发的控制方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010059609.1A CN111294344A (zh) | 2020-01-19 | 2020-01-19 | 数据转发的控制系统、方法、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010059609.1A CN111294344A (zh) | 2020-01-19 | 2020-01-19 | 数据转发的控制系统、方法、电子设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111294344A true CN111294344A (zh) | 2020-06-16 |
Family
ID=71021203
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010059609.1A Pending CN111294344A (zh) | 2020-01-19 | 2020-01-19 | 数据转发的控制系统、方法、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111294344A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111817917A (zh) * | 2020-07-03 | 2020-10-23 | 中移(杭州)信息技术有限公司 | 一种深度包检测的方法、装置、服务器及存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103051557A (zh) * | 2012-12-27 | 2013-04-17 | 华为技术有限公司 | 数据流处理方法及系统、控制器、交换设备 |
| CN104158753A (zh) * | 2014-06-12 | 2014-11-19 | 南京工程学院 | 基于软件定义网络的动态流调度方法及系统 |
| CN105429974A (zh) * | 2015-11-10 | 2016-03-23 | 南京邮电大学 | 一种面向sdn的入侵防御系统和方法 |
| CN107770174A (zh) * | 2017-10-23 | 2018-03-06 | 上海微波技术研究所(中国电子科技集团公司第五十研究所) | 一种面向sdn网络的入侵防御系统和方法 |
| CN108259367A (zh) * | 2018-01-11 | 2018-07-06 | 重庆邮电大学 | 一种基于软件定义网络的服务感知的流策略定制方法 |
| US20190215305A1 (en) * | 2016-08-10 | 2019-07-11 | Nokia Solution And Networks Oy | Anomaly Detection in Software Defined Networking |
-
2020
- 2020-01-19 CN CN202010059609.1A patent/CN111294344A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103051557A (zh) * | 2012-12-27 | 2013-04-17 | 华为技术有限公司 | 数据流处理方法及系统、控制器、交换设备 |
| CN104158753A (zh) * | 2014-06-12 | 2014-11-19 | 南京工程学院 | 基于软件定义网络的动态流调度方法及系统 |
| CN105429974A (zh) * | 2015-11-10 | 2016-03-23 | 南京邮电大学 | 一种面向sdn的入侵防御系统和方法 |
| US20190215305A1 (en) * | 2016-08-10 | 2019-07-11 | Nokia Solution And Networks Oy | Anomaly Detection in Software Defined Networking |
| CN107770174A (zh) * | 2017-10-23 | 2018-03-06 | 上海微波技术研究所(中国电子科技集团公司第五十研究所) | 一种面向sdn网络的入侵防御系统和方法 |
| CN108259367A (zh) * | 2018-01-11 | 2018-07-06 | 重庆邮电大学 | 一种基于软件定义网络的服务感知的流策略定制方法 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111817917A (zh) * | 2020-07-03 | 2020-10-23 | 中移(杭州)信息技术有限公司 | 一种深度包检测的方法、装置、服务器及存储介质 |
| CN111817917B (zh) * | 2020-07-03 | 2021-12-24 | 中移(杭州)信息技术有限公司 | 一种深度包检测的方法、装置、服务器及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10659342B2 (en) | Flow entry configuration method, apparatus, and system | |
| US10305783B2 (en) | Packet control method, switch, and controller | |
| CN106656801B (zh) | 业务流的转发路径的重定向方法、装置和业务流转发系统 | |
| US10091054B2 (en) | Controlling forwarding devices in software defined networks | |
| US9742667B2 (en) | Packet processing method, device and system | |
| CN107070613B (zh) | 分布式网络环境下数据可靠传输方法 | |
| EP2482497B1 (en) | Data forwarding method, data processing method, system and device thereof | |
| US9124526B2 (en) | Switch system, and data forwarding method | |
| WO2014194677A1 (zh) | 一种业务流程的控制方法及网络设备 | |
| EP3844911B1 (en) | Systems and methods for generating network flow information | |
| CN107566237B (zh) | 一种数据报文处理方法及装置 | |
| EP3101842B1 (en) | Method, system and computer readable medium for network management automation | |
| US11646976B2 (en) | Establishment of fast forwarding table | |
| CN113098851B (zh) | 虚拟防火墙的实现方法、装置、系统、设备和介质 | |
| WO2021063254A1 (zh) | 一种信息处理方法、相关设备及计算机存储介质 | |
| CN111984561A (zh) | 一种bmc的ipmi命令处理方法、系统、设备以及介质 | |
| CN115225734A (zh) | 一种报文处理方法和网络设备 | |
| US20220094613A1 (en) | Message sampling method, decapsulation method, node, system and storage medium | |
| CN111294344A (zh) | 数据转发的控制系统、方法、电子设备及存储介质 | |
| US9077662B2 (en) | Service linkage control system and method | |
| CN104796340A (zh) | 一种组播数据传输方法和设备 | |
| CN111224756B (zh) | 确定数据传输异常的方法、装置、存储介质及电子设备 | |
| CN112671662A (zh) | 数据流加速方法、电子设备和存储介质 | |
| EP4340318A1 (en) | Routing obtaining method and apparatus, storage medium, and electronic apparatus | |
| US11881997B1 (en) | Determining reorder commands for remote reordering of policy rules |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200616 |