数据转发的控制系统、方法、电子设备及存储介质.pdf

《数据转发的控制系统、方法、电子设备及存储介质.pdf》由会员分享，可在线阅读，更多相关《数据转发的控制系统、方法、电子设备及存储介质.pdf（16页完成版）》请在专利查询网上搜索。

1、(19)中华人民共和国国家知识产权局 (12)发明专利申请 (10)申请公布号 (43)申请公布日 (21)申请号 202010059609.1 (22)申请日 2020.01.19 (71)申请人 中移 （杭州） 信息技术有限公司 地址 310011 浙江省杭州市五常街道余杭 塘路1600号A01号楼 申请人 中国移动通信集团有限公司 (72)发明人 吴琪尹彬 (74)专利代理机构 上海晨皓知识产权代理事务 所(普通合伙) 31260 代理人 成丽杰 (51)Int.Cl. H04L 29/06(2006.01) H04L 12/931(2013.01) (54)发明名称 数据转发的控制系统。

2、、 方法、 电子设备及存 储介质 (57)摘要 本发明公开了一种数据转发的控制系统、 方 法、 电子设备及存储介质。 数据转发的控制系统， 包括转发平面和控制平面， 包括： 转发平面包括 转发模块； 控制平面包括转发判断模块和转发控 制模块， 且转发判断模块与转发控制模块位于同 一控制平面； 转发模块用于， 接收待转发的数据 报文， 将数据报文通过转发控制模块转发给转发 判断模块； 转发判断模块用于， 分析数据报文制 定转发策略， 将转发策略反馈给转发控制模块； 转发控制模块用于， 根据转发策略制定控制策略 流表， 将控制策略流表下发给转发模块； 转发模 块还用于， 根据控制策略流表中的操作指。

3、令， 对 数据报文进行处理。 由同一个控制平面去做统一 的转发策略下发， 实现真正意义上的转控分离。 权利要求书2页 说明书9页 附图4页 CN 111294344 A 2020.06.16 CN 111294344 A 1.一种数据转发的控制系统， 包括转发平面和控制平面， 其特征在于， 包括： 所述转发平面包括转发模块； 所述控制平面包括转发判断模块和转发控制模块， 且所 述转发判断模块与所述转发控制模块位于同一控制平面； 所述转发模块用于， 接收待转发的数据报文， 将所述数据报文通过所述转发控制模块 转发给所述转发判断模块； 所述转发判断模块用于， 分析所述数据报文制定转发策略， 将所述。

4、转发策略反馈给所 述转发控制模块； 所述转发控制模块用于， 根据所述转发策略制定控制策略流表， 将所述控制策略流表 下发给所述转发模块； 所述转发模块还用于， 根据所述控制策略流表中的操作指令， 对所述数据报文进行处 理。 2.根据权利要求1所述的数据转发的控制系统， 其特征在于， 所述控制策略流表包括： 流表所属表项、 优先级、 匹配域和操作指令； 其中， 所述匹配域用于， 对所述数据报文进行匹配； 所述操作指令用于， 对所述数据报 文进行处理的指令； 所述流表所属表项从0开始整数递增； 从所述流表所属表项为0的控制策略流表开始匹配， 检索所述优先级最高的控制策略 流表， 并根据所述优先级最。

5、高的控制策略流表中的操作指令对所述数据报文进行处理。 3.根据权利要求2所述的数据转发的控制系统， 其特征在于， 所述转发模块包括： 预处理单元， 用于提取所述数据报文的特征值； 存储单元， 用于存储所述转发控制模块下发的所述控制策略流表； 处理单元， 用于对所述特征值对应的所述控制策略流表中的操作指令， 对所述数据报 文进行处理。 4.根据权利要求1所述的数据转发的控制系统， 其特征在于， 所述转发控制模块还包 括： 过滤单元， 所述过滤单元用于判断所述数据报文是否满足预设过滤规则， 将满足所述预 设过滤规则的所述数据报文转发给所述转发判断模块。 5.根据权利要求1-4任一项所述的数据转发的。

6、控制系统， 其特征在于， 包括： 所述转发控制模块为SDN控制器， 所述转发模块为虚拟交换机Open vSwitch； 其中， 所述SDN控制器通过openflow协议下发所述控制策略流表， 所述Open vSwitch通 过在openflow协议下接收所述控制策略流表， 对所述数据报文进行处理。 6.一种数据转发的控制方法， 应用于转发模块， 其特征在于， 包括： 接收待转发的数据报文， 将所述数据报文发送给转发控制模块； 接收所述转发控制模块反馈的控制策略流表； 其中， 所述控制策略流表中包含所述数 据报文的操作指令； 依据所述操作指令， 对所述数据报文进行处理。 7.根据权利要求6所述的。

7、数据转发的控制方法， 其特征在于， 接收待转发的数据报文， 将所述数据报文发送给控制模块， 具体包括： 接受待转发的所述数据报文， 提取所述数据报文的特征值； 根据所述特征值， 从流表所属表项为0的控制策略流表开始匹配， 检索对应地优先级最 高的控制策略流表， 依据所述控制策略流表， 所述数据报文进行处理。 权利要求书 1/2 页 2 CN 111294344 A 2 8.一种数据转发的控制方法， 应用于转发控制模块， 其特征在于， 包括： 接收转发模块发送的数据报文并发送给转发判断模块； 接收所述转发判断模块反馈的转发策略； 其中， 所述转发策略为所述转发判断模块根 据分析所述数据报文获得；。

8、 根据所述转发策略制定控制策略流表， 并将所述控制策略流表反馈给转发模块。 9.一种电子设备， 其特征在于， 包括： 至少一个处理器； 以及， 与所述至少一个处理器通信连接的存储器； 其中， 所述存储器存储有可被所述至少一个处理器执行的指令， 所述指令被所述至少 一个处理器执行， 以使所述至少一个处理器能够执行如权利要求6至8中任一项所述的数据 转发的控制方法。 10.一种可读性存储介质， 存储有计算机程序， 其特征在于， 所述计算机程序被处理器 执行时实现权利要求6至8中任一项所述的数据转发的控制方法。 权利要求书 2/2 页 3 CN 111294344 A 3 数据转发的控制系统、 方法。

9、、 电子设备及存储介质 技术领域 0001 本发明实施方式涉及网络安全转发领域， 特别涉及一种数据转发的控制系统、 方 法、 电子设备及存储介质。 背景技术 0002 近年来， 网路新业务层出不穷， 有流媒体、 音视频聊天、 互动在线游戏和虚拟现实 等。 这些新业务的普及为运营商吸纳了大量的客户资源， 同时也对网络的底层流量模型和 上层应用模式产生了什么很大的冲击， 带来带宽管理、 内容计费、 信息安全、 舆论管控等一 系列新的问题。 新业务的数据流量是相当巨大的， 在很大程度上加重了网络拥塞， 降低网络 性能， 劣化了网络服务质量， 妨碍了正常的网络业务的开展和关键应用的普及， 同时给网络 。

10、的信息安全监测管理带来了极大的挑战。 0003 在新一代网络趋势下， 为了能实现对网络安全管控， 构建 “可运营、 可管理、 安全” 的网络， 诸如DPI(Deep Packet Inspection， 深度包检测)、 防火墙等网络安全技术越来越 得到重视。 这些网络安全技术可以独立地看成是一个网络安全转发模块， 比如在上网行为 管控中， 将DPI模块作为网络安全转发模块， 对数据包进行深度解析， 根据预配置的策略， 给 出数据包的转发策略。 0004 然而， 发明人发现： 现有技术通过引用控制器实现对网络资源的统一查看、 管理， 但是网络安全转发模块依然独立于控制器所在的控制平面， 一方面，。

11、 两个控制系统会造成 控制策略不统一， 从而引起转发出错； 另一方面， 转发设备需要将报文发送给控制器， 还需 要复制报文发送给网络安全转发模块， 占用网络资源。 发明内容 0005 本发明实施方式的目的在于提供一种数据转发的控制系统、 方法、 电子设备及存 储介质， 将目前网络中的安全转发模块从转发平面中解耦出来， 集成到控制器所在的控制 平面上， 由同一个控制平面去做统一的转发策略的下发， 实现真正意义上的转控分离。 0006 为解决上述技术问题， 本发明的实施方式提供了一种数据转发的控制系统， 包括： 转发平面和控制平面， 包括： 转发平面包括转发模块； 控制平面包括转发判断模块和转发控。

12、 制模块， 且转发判断模块与转发控制模块位于同一控制平面； 转发模块用于， 接收待转发的 数据报文， 将数据报文通过转发控制模块转发给转发判断模块； 转发判断模块用于， 分析数 据报文制定转发策略， 将转发策略反馈给转发控制模块； 转发控制模块用于， 根据转发策略 制定控制策略流表， 将控制策略流表下发给转发模块； 转发模块还用于， 根据控制策略流表 中的操作指令， 对数据报文进行处理。 0007 本发明的实施方式还提供了一种数据转发的控制方法， 应用于转发模块， 包括： 接 收待转发的数据报文， 将数据报文发送给转发控制模块； 接收转发控制模块反馈的控制策 略流表； 其中， 控制策略流表中包。

13、含数据报文的操作指令； 依据操作指令， 对数据报文进行 处理。 说明书 1/9 页 4 CN 111294344 A 4 0008 本发明的实施方式还提供了一种数据转发的控制方法， 应用于转发控制模块， 包 括： 接收转发模块发送的数据报文并发送给转发判断模块； 接收转发判断模块反馈的转发 策略； 其中， 转发策略为转发判断模块根据分析数据报文获得； 根据转发策略制定控制策略 流表， 并将控制策略流表反馈给转发模块。 0009 本发明的实施方式还提供了一种电子设备， 包括： 至少一个处理器； 以及， 与至少 一个处理器通信连接的存储器； 其中， 存储器存储有可被至少一个处理器执行的指令， 指令。

14、 被至少一个处理器执行， 以使至少一个处理器能够执行上述数据转发的控制方法。 0010 本发明的实施方式还提供了一种可读性存储介质， 存储有计算机程序， 计算机程 序被处理器执行时实现上述数据转发的控制方法。 0011 本发明实施方式相对于现有技术而言， 设计了一种将转发控制模块和转发判断模 块放置在同一个控制平面的架构， 便于集中式策略的下发； 通过将转发控制模块和转发判 断模块集成在同一个控制平面上， 解决了两个控制系统会造成控制策略不统一， 从而引起 的转发出错的问题。 0012 另外， 控制策略流表包括： 流表所属表项、 优先级、 匹配域和操作指令； 其中， 匹配 域用于， 对数据报文。

15、进行匹配； 操作指令用于， 对数据报文进行处理的指令； 流表所属表项 从 0开始整数递增； 从流表所属表项为0的控制策略流表开始匹配， 检索优先级最高的控制 策略流表， 并根据优先级最高的控制策略流表中的操作指令对数据报文进行处理。 通过设 计一种流表格式， 根据流表所属表项依次进行处理， 相同流表所属表项的流表优先检索处 理优先级高的流表， 同时控制策略流表中还集成了转发策略， 通过控制器下发控制策略流 表， 通过一个控制系统， 实现数据报文有条理的转发， 使得转发系统更具稳定性。 0013 另外， 转发模块还包括： 预处理单元， 用于提取数据报文的特征值； 存储单元， 用于 存储转发控制模。

16、块下发的控制策略流表； 处理单元， 用于对特征值对应的控制策略流表中 的操作指令， 对数据报文进行处理。 通过预处理单元获取数据报文的特征值， 检索与特征值 相应的优先级最高的控制策略流表， 从而实现不同特征值的第一个数据报文上送转发控制 模块， 相同特征值的数据包除了第一个数据报文外， 其余数据报文会直接在转发平面匹配 控制策略流表进行处理， 极大地提高数据报文的转发效率。 0014 另外， 转发控制模块还包括： 过滤单元， 过滤单元用于判断数据报文是否满足预设 过滤规则， 将满足预设过滤规则的数据报文转发给转发判断模块。 转发控制模块中设置过 滤单元， 对数据报文是否满足预设过滤规则进行判。

17、断， 可以避免所有数据报文都调用转发 判断模块， 提高控制平面的处理效率。 0015 另外， 转发控制模块为SDN控制器， 转发模块为虚拟交换机Open vSwitch； 其中， SDN 控制器通过openflow协议下发控制策略流表， Open vSwitch通过在openflow协议下接 收控制策略流表， 对数据报文进行处理。 转发模块为集成的Open vSwitch(OVS软件)， 即转 发平面采用OVS软件转发， 提高了系统的灵活性和通用性， 便于系统在同平台之间的移植； 同时， OVS软件应用在x86架构下， 以OVS软件和x86架构为载体， 使得系统更具有通用性和 扩展性。 附图说。

18、明 0016 一个或多个实施方式通过与之对应的附图中的图片进行示例性说明， 这些示例性 说明书 2/9 页 5 CN 111294344 A 5 说明并不构成对实施方式的限定， 附图中具有相同参考数字标号的元件表示为类似的元 件， 除非有特别申明， 附图中的图不构成比例限制。 0017 图1是根据本发明第一实施方式中的数据转发控制系统的结构示意图； 0018 图2是根据本发明第一实施方式中数据转发控制系统中信息交互的示意图； 0019 图3是根据本发明第二实施方式中数据转发控制系统中信息交互的示意图； 0020 图4是根据本发明第三实施方式中数据转发的控制方法应用于转发模块的流程 图； 002。

19、1 图5是根据本发明第四实施方式中数据转发的控制方法应用于转发控制模块的流 程图； 0022 图6是根据本发明第五实施方式中提供的电子设备的结构示意图。 具体实施方式 0023 为使本发明实施方式的目的、 技术方案和优点更加清楚， 下面将结合附图对本发 明的各实施方式进行详细的阐述。 然而， 本领域的普通技术人员可以理解， 在本发明各实施 方式中， 为了使读者更好地理解本申请而提出了许多技术细节。 但是， 即使没有这些技术细 节和基于以下各实施方式的种种变化和修改， 也可以实现本申请所要求保护的技术方案。 以下各个实施方式的划分是为了描述方便， 不应对本发明的具体实现方式构成任何限定， 各个实。

20、施方式在不矛盾的前提下可以相互结合， 相互引用。 0024 本发明的第一实施方式涉及一种数据转发的控制系统， 本实施方式在于： 包括转 发平面和控制平面， 包括： 转发平面和控制平面， 包括： 转发平面包括转发模块； 控制平面包 括转发判断模块和转发控制模块， 且转发判断模块与转发控制模块位于同一控制平面； 转 发模块用于， 接收待转发的数据报文， 将数据报文通过转发控制模块转发给转发判断模块； 转发判断模块用于， 分析数据报文制定转发策略， 将转发策略反馈给转发控制模块； 转发控 制模块用于， 根据转发策略制定控制策略流表， 将控制策略流表下发给转发模块； 转发模块 还用于， 根据控制策略流。

21、表中的操作指令， 对数据报文进行处理。 0025 本发明设计了一种将转发控制模块和转发判断模块放置在同一个控制平面的架 构， 便于集中式策略的下发； 通过将转发控制模块和转发判断模块集成在同一个控制平面 上， 解决了两个控制系统会造成控制策略不统一， 从而引起的转发出错的问题。 0026 下面对本实施方式的数据转发的控制系统的实现细节进行具体的说明。 0027 本实施方式中的数据转发的控制系统的结构示意图， 如图1所示； 本实施方式中的 数据转发的控制系统的信息交互的示意图， 如图2所示。 0028 参考图1， 数据转发的控制系统， 包括转发平面101和控制平面102； 具体包括： 转发 平面。

22、101包括转发模块111， 控制平面102包括转发控制模块112和转发判断模块122， 且转发 判断模块122与转发控制模块112位于同一控制平面102。 0029 需要说明的是， 本发明实施方式中， 转发控制模块112为SDN控制器， 转发模块111 为虚拟交换机Open vSwitch(OVS软件)； 其中， SDN控制器通过openflow协议下发控制策略 流表； OVS软件通过在openflow协议下接收控制策略流表， 对数据报文进行处理。 转发模块 111为Open vSwitch(OVS软件)， 即转发平面采用OVS软件转发， 提高了系统的灵活性和通用 性， 便于系统在同平台之间的。

23、移植； 同时， OVS软件应用在x86架构下， 以OVS软件和x86架构 说明书 3/9 页 6 CN 111294344 A 6 为载体， 由于OVS软件是通用的开源软件， 更加具有通用性， 在x86服务器上部署， 方便实现 NFV虚拟化， 还能够灵活的部署在不同的平台， 使得系统更具有通用性和扩展性。 0030 本发明第一实施方式所涉及的控制系统， 采用转控分离的方式， 由转发平面101和 控制平面102组成， 控制平面102包括转发控制模块112， 即控制器； 转发判断模块122， 即从 转发设备中独立出来的网络安全转发模块； 网络安全转发模块和控制器集成在同一个控制 平面 102上， 。

24、解决了因多个控制策略存在而造成的系统转发混乱的问题。 0031 转发平面101将待转发的数据报文发送给控制平面102， 控制平面102会根据数据 报文制定转发策略， 并生成控制策略流表， 控制策略流表通过openflow协议下发给转发平 面101 中的转发模块； 其中， 转发模块为虚拟交换机Open vSwitch； OVS软件接收控制策略 流表， 并根据控制策略流表， 对数据报文进行处理。 需要说明的是， 在本实施例中， 对数据报 文进行处理包括对数据报文进行转发、 对数据报文进行修改、 将数据报文传递到下一级所 属控制策略流表或对数据报文进行丢弃。 0032 参考图2， 转发模块111用于。

25、， 接收待转发的数据报文， 将数据报文通过转发控制模 块 112转发给转发判断模块122。 0033 具体地， 转发模块111用于执行步骤S1， 接收待转发的数据报文； 转发模块111还用 于执行步骤S3， 将收到的待转发的数据报文上传到转发控制模块112； 转发控制模块112用 于执行步骤S5， 将收到的数据报文转发给转发判断模块122。 步骤S3和步骤S5即转发模块 111 将数据报文通过转发控制模块121发送到转发判断模块122。 0034 需要说明的是， 在本实施方式中， 转发控制模块还包括： 过滤单元， 过滤单元用于 判断数据报文是否满足预设过滤规则， 将满足预设过滤规则的数据报文转。

26、发给转发判断模 块， 转发控制模块还用于执行步骤S4， 基于预设过滤规则进行过滤。 0035 具体地， 转发控制模块112在接收到数据报文之后， 会根据转发控制模块112预先 存储的预设过滤过滤规则进行判断， 若数据报文满足预设过滤规则， 再将数据报文转发给 转发判断模块122。 转发控制模块112中设置过滤单元， 对数据报文是否满足预设过滤规则 进行判断， 可以避免所有数据报文都调用转发判断模块122， 提高控制平面的处理效率。 还 需要说明的是， 预设过滤规则可以为SIP等规则。 在一个具体地例子中， SDN控制器在接收到 转发模块111发送的数据报文之后， SDN控制器按照SIP规则对数。

27、据报文进行判断， 若数据报 文满足SIP规则， 则将数据报文转发给转发判断模块122。 0036 转发判断模块122用于执行步骤S6， 制定转发策略； 转发判断模块122还用于执行 步骤 S7， 将转发策略反馈给转发控制模块112 0037 具体地， 转发判断模块122分析数据报文制定转发策略， 将转发策略反馈给转发控 制模块112。 0038 转发判断模块122即从现有技术中转发设备中独立出来的网络安全转发模块； 转 发判断模块122所接收到数据报文是通过转发模块111转发， 间接经过转发控制模块112得 到的。 不同于现有技术中， 转发设备依然需要将报文复制再发送到网络安全转发模块， 节约。

28、 了网络资源。 同时， 将转发控制模块112和转发判断模块122集成在一个控制平面102上， 将 两个控制系统集成一个控制系统， 解决了因多个控制策略不统一而造成的转发混乱、 系统 容易出错的问题。 0039 转发控制模块112用于执行步骤S8， 指定控制策略流表； 转发控制模块112还用于 说明书 4/9 页 7 CN 111294344 A 7 执行步骤S9， 将控制策略流表发送给转发模块111。 0040 具体地， 转发控制模块112根据转发策略制定控制策略流表， 并将控制策略流表下 发给转发模块111。 0041 转发模块111用于执行步骤S10， 转发。 0042 具体地， 转发模块。

29、111依据控制策略流表中的操作指令， 对数据报文进行处理。 0043 本发明实施方式相对于现有技术而言， 设计了一种将转发控制模块和转发判断模 块放置在同一个控制平面的架构， 便于集中式策略的下发。 通过把转发控制模块和转发判 断模块集成在同一个控制平面上， 解决了两个控制系统会造成控制策略不统一， 从而引起 的转发出错的问题。 0044 值得一提的是， 本实施方式中所涉及到的各模块均为逻辑模块， 在实际应用中， 一 个逻辑单元可以是一个物理单元， 也可以是一个物理单元的一部分， 还可以以多个物理单 元的组合实现。 此外， 为了突出本发明的创新部分， 本实施方式中并没有将与解决本发明所 提出的。

30、技术问题关系不太密切的单元引入， 但这并不表明本实施方式中不存在其它的单 元。 0045 本发明的第二实施方式涉及一种数据转发数据的控制系统。 第二实施方式与第一 实施方式大致相同， 其主要区别之处在于， 在第二实施方式中， 转发模块还用于获取数据报 文的特征值， 从流表所属表项为0的控制策略流表开始匹配， 检索对应于特征这的优先级最 高的控制策略流表， 从而实现不同特征值的数据报文首包上传， 极大地提高数据报文的转 发效率。 0046 下面对本实施方式数据转发的控制系统的实现细节进行具体的说明。 0047 在本实施方式中， 转发模块还包括： 预处理单元， 用于提取数据报文的特征值。 存 储单。

31、元， 用于存储转发控制模块下发的所述控制策略流表； 处理单元， 用于对所述特征值对 应的所述控制策略流表中的操作指令， 对所述数据报文进行处理。 0048 具体地， 本实施方式中， 控制策略流表包括： 流表所属表项、 优先级、 匹配域和操作 指令； 其中， 匹配域用于， 对数据报文进行匹配； 操作指令用于， 对数据报文进行处理的指 令； 流表所属表项值从0开始整数递增， 从流表所属表项为0的控制策略流表开始匹配， 检索 优先级最高的控制策略流表， 并根据优先级最高的控制策略流表中的操作指令对数据报文 进行处理。 具体地， SDN控制器在OVS软件上电的时候， 就会下发一条默认流表， 如下所示：。

32、 0049 所述流表所属表项 流表优先级 匹配域 操作指令 table0 Priority1 any actions上送到转发控制模块 0050 默认流表处于第一级流表(table0)， 优先级较低(Priority1)， 匹配域any表 示可以匹配所有的数据报文， 动作是上送到转发控制模块。 根据openflow流表规则， 数据报 文进入转发平面101之后， 会首先匹配第一级流表， 同时因为默认流表的匹配域是所有， 但 是其优先级较低， 即数据报文在不能匹配到第一级流表中优先级较高的控制策略流表时， 就会依据默认流表， 执行actions上送到转发控制模块112。 0051 转发控制模块11。

33、2在后期制定的控制策略流表如下所示： 说明书 5/9 页 8 CN 111294344 A 8 0052 0053 即， 上送到转发控制模块112的数据报文会获取一个与特征值对应的控制策略流 表， 此时的控制策略流表依旧属于第一级流表， 但是其优先级较高， 与数据报文的特征值匹 配， 数据报文根据该控制策略流表的操作指令进行处理。 0054 本实施方式中的数据转发的控制系统的信息交互示意图， 如图3所示。 与第一实施 方式的差异在于步骤S2， 判断是否为不同特征值的首包。 0055 具体地， 经过以上方式流表设计， 若此时转发模块111接收到新的待转发的数据报 文， 首先会获取该数据报文的特征。

34、值， 然后检索与该特征值对应的优先级最高的控制策略 流表， 即转发模块111中并没有对应于该特征值优先级较高的流表， 该数据包则会匹配默认 流表， 执行上送转发控制模块112的操作指令， 从而获取与特征值有关的高优先级控制策略 流表进行处理； 若该特征值为出现过的特征值， 即转发模块111中存储有与该特征值对应的 控制策略流表， 对该数据报文直接按照该控制策略流表中的操作指令进行处理。 0056 具体地， 如果转发判断模块122解析完报文之后给出的转发策略是转发， 那么转发 控制模块112会再根据其他策略模块的结果， 决定数据报文是直接从相应的接口转发， 还是 匹配下一级流表， 进行进一步的数。

35、据包处理。 如果是从相应的接口转发， 那么转发控制模块 112 一方面会将该数据包直接转发出去， 另一方面， 会下发相应的控制策略流表； 同样的， 如果数据报文需要做进一步的处理， 那么转发控制模块112也会对数据报文进行相应的处 理， 并下发转发策略流表给OVS软件， 指导数据报文进行下一级流表的匹配处理。 0057 在一个具体地例子中， 从流表所属表项为0的控制策略流表开始匹配， 检索优先级 最高的控制策略流表， 并依据此控制策略流表中的操作指令对数据报文进行处理， 如果操 作指令中有goto下一级流表， 则转向流表所属表项为1的控制策略流表； 否则执行其他操作 指令(操作指令中如果有ou。

36、tput行动， 则发送数据报文， 如果有drop行动， 则丢弃数据报文) 0058 需要说明的是， 上述两个操作流表的举例说明是为了让本领域技术人员更加清楚 本发明实施方式的工作流程， 并不构成限定， 在具体应用过程中， 可以根据具体应用场景重 新定义各个参数， 采用类似参数形式设计的流表格式， 都应该属于本发明的保护范围内。 0059 通过预处理单元获取数据报文的特征值， 检索与特征值相对应的优先级最高的控 制策略流表， 实现不同特征值的第一个数据报文上送转发控制模块112， 相同特征值的数据 包除了第一个数据报文外， 其余数据报文会直接在转发平面101匹配控制策略流表进行处 理， 极大地提。

37、高数据报文的转发效率。 同时转控分离的方式能极大的降低后期转发判断模 块122的升级难度； 对网络集中式的控制方式也使得配置、 管理更加的容易。 0060 值得一提的是， 本实施方式中所涉及到的各模块均为逻辑模块， 在实际应用中， 一 个逻辑单元可以是一个物理单元， 也可以是一个物理单元的一部分， 还可以以多个物理单 元的组合实现。 此外， 为了突出本发明的创新部分， 本实施方式中并没有将与解决本发明所 提出的技术问题关系不太密切的单元引入， 但这并不表明本实施方式中不存在其它的单 说明书 6/9 页 9 CN 111294344 A 9 元。 0061 本发明第三实施方式涉及一种数据转发的控。

38、制方法， 应用于转发模块， 包括： 接收 待转发的数据报文， 将数据报文发送给转发控制模块； 接收转发控制模块反馈的控制策略 流表； 其中， 控制策略流表中包含数据报文的操作指令； 依据操作指令， 对数据报文进行处 理。 0062 下面对本实施方式数据转发的控制方法的实现细节进行具体的说明， 具体流程参 考图4， 包括： 0063 步骤201， 接收待转发的数据报文。 0064 具体地， 接收待转发的数据报文， 将数据报文发送给转发控制模块； 0065 需要说明的是， 在本实施方式中， 在将数据报文发送给转发控制模块之前， 先要执 行步骤202， 提取特征值， 具体如下： 0066 提取数据报。

39、文的特征值， 检索与特征值相对应的优先级最高的控制策略流表， 按 照控制策略流表中的操作指令， 对数据报文进行处理。 通过获取数据报文的特征值， 实现不 同特征值的第一个数据报文上送转发控制模块， 相同特征值的数据报文除了第一个数据报 文外， 其余数据报文会直接在转发平面匹配流表进行处理， 极大地提高数据报文的转发效 率。 0067 步骤203， 接收反馈的控制策略流表； 步骤204， 转发数据报文。 0068 接收转发控制模块反馈的控制策略流表； 其中， 所述控制策略流表中包含所述数 据报文的操作指令； 依据所述操作指令， 对数据报文进行处理。 0069 具体地， 若数据报文发送给了转发控制。

40、模块， 则等待转发控制模块反馈的控制策 略流表， 根据控制策略流表中的操作指令对数据报文进行处理； 若数据报文并没有发送给 转发控制模块， 直接按照已存储的控制策略流表进行处理。 0070 上面各种方法的步骤划分， 只是为了描述清楚， 实现时可以合并为一个步骤或者 对某些步骤进行拆分， 分解为多个步骤， 只要包括相同的逻辑关系， 都在本专利的保护范围 内； 对算法中或者流程中添加无关紧要的修改或者引入无关紧要的设计， 但不改变其算法 和流程的核心设计都在该专利的保护范围内。 0071 不难发现， 本实施方式为与第一实施方式和第二实施方式相对应的方法实施方 式， 本实施方式可与第一实施方式和第二。

41、实施方式互相配合实施。 第一实施方式和第二实 施方式中提到的相关技术细节在本实施方式中依然有效， 为了减少重复， 这里不再赘述。 相 应地， 本实施方式中提到的相关技术细节也可应用在第一实施方式和第二实施方式中。 0072 本发明第四实施方式涉及一种数据转发的控制方法， 应用于转发控制模块， 包括： 接收转发模块发送的数据报文并发送给转发判断模块； 接收所述转发判断模块反馈的转发 策略； 其中， 所述转发策略为所述转发判断模块根据分析所述数据报文获得； 根据所述转发 策略制定控制策略流表， 并将所述控制策略流表反馈给转发模块。 0073 下面对本实施方式数据转发的控制方法的实现细节进行具体的说。

42、明， 具体流程参 考图5， 包括： 0074 步骤301， 接收待转发的数据报文。 0075 接收转发模块发送的数据报文并发送给转发判断模块。 转发判断模块即安全转发 控制模块， 用于对数据报文的转发进行判断是否进行处理。 说明书 7/9 页 10 CN 111294344 A 10 0076 需要说明的是， 在本实施方式中， 在将数据报文转发给转发判断模块之前， 还包括 步骤 302， 依据预设过滤规则进行过滤， 具体如下： 0077 判断数据报文是否满足预设过滤规则， 将满足预设过滤规则的数据报文转发给转 发判断模块。 对数据报文是否满足预设过滤规则进行判断， 可以避免所有数据报文都调用 。

43、转发判断模块， 提高控制平面的处理效率。 0078 步骤303， 转发数据报文， 接收反馈的转发策略； 步骤304， 制定控制策略流表。 0079 接收转发策略， 其中， 转发策略为转发判断模块根据分析数据报文获取； 根据转发 策略制定控制策略流表， 并将控制策略流表反馈给转发模块。 使转发模块依据控制策略流 表对数据报文进行处理。 0080 上面各种方法的步骤划分， 只是为了描述清楚， 实现时可以合并为一个步骤或者 对某些步骤进行拆分， 分解为多个步骤， 只要包括相同的逻辑关系， 都在本专利的保护范围 内； 对算法中或者流程中添加无关紧要的修改或者引入无关紧要的设计， 但不改变其算法 和流程。

44、的核心设计都在该专利的保护范围内。 0081 不难发现， 本实施方式为与第一实施方式和第二实施方式相对应的方法实施方 式， 本实施方式可与第一实施方式和第二实施方式互相配合实施。 第一实施方式和第二实 施方式中提到的相关技术细节在本实施方式中依然有效， 为了减少重复， 这里不再赘述。 相 应地， 本实施方式中提到的相关技术细节也可应用在第一实施方式和第二实施方式中。 0082 本发明第五实施方式涉及一种电子设备， 该设备具体结构如图6所示。 包括至少一 个处理器402； 以及， 与至少一个处理器402通信连接的存储器401。 其中， 存储器401存储有 可被至少一个处理器402执行的指令， 指。

45、令被至少一个处理器402执行， 以使至少一个处理 器 402能够执行上述实施方式中的数据转发的控制方法。 0083 本实施方式中， 处理器402以中央处理器(Central Processing Unit， CPU)为例， 存储器 401以可读写存储器(Random Access Memory， RAM)为例。 处理器402、 存储器401可 以通过总线或者其他方式连接， 图6中以通过总线连接为例。 存储器401作为一种非易失性 计算机可读存储介质， 可用于存储非易失性软件程序、 非易失性计算机可执行程序以及模 块， 如本申请实施方式中实现设备状态检测方法的程序就存储于存储器401中。 处理器。

46、402 通过运行存储在存储器401中的非易失性软件程序、 指令以及模块， 从而执行设备的各种功 能应用以及数据处理， 即实现上述数据报文的转发控制方法。 0084 存储器401可以包括存储程序区和存储数据区， 其中， 存储程序区可存储操作系 统、 至少一个功能所需要的应用程序； 存储数据区可存储选项列表等。 此外， 存储器401可以 包括高速随机存取存储器， 还可以包括非易失性存储器， 例如至少一个磁盘存储器件、 闪存 器件、 或其他非易失性固态存储器件。 在一些实施方式中， 存储器401可选包括相对于处理 器402 远程设置的存储器， 这些远程存储器可以通过网络连接至外接设备。 0085 一。

47、个或者多个程序模块存储在存储器401中， 当被一个或者多个处理器402执行 时， 执行上述任意方法实施方式中的数据转发的控制方法。 0086 上述产品可执行本申请实施方式所提供的方法， 具备执行方法相应的功能模块和 有益效果， 未在本实施方式中详尽描述的技术细节， 可参见本申请其他实施方式所提供的 方法。 0087 本发明第六实施方式涉及一种计算机可读存储介质， 存储有计算机程序。 计算机 说明书 8/9 页 11 CN 111294344 A 11 程序被处理器执行时实现上述方法实施方式。 0088 即， 本领域技术人员可以理解， 实现上述实施方式方法中的全部或部分步骤是可 以通过程序来指令。

48、相关的硬件来完成， 该程序存储在一个存储介质中， 包括若干指令用以 使得一个设备(可以是单片机， 芯片等)或处理器(processor)执行本申请各个实施方式方 法的全部或部分步骤。 而前述的存储介质包括： U盘、 移动硬盘、 只读存储器(ROM， Read-Only Memory)、 随机存取存储器(RAM， Random Access Memory)、 磁碟或者光盘等各种可以存储程 序代码的介质。 0089 本领域的普通技术人员可以理解， 上述各实施方式是实现本发明的具体实施方 式， 而在实际应用中， 可以在形式上和细节上对其作各种改变， 而不偏离本发明的精神和范 围。 说明书 9/9 页 12 CN 111294344 A 12 图1 图2 说明书附图 1/4 页 13 CN 111294344 A 13 图3 说明书附图 2/4 页 14 CN 111294344 A 14 图4 说明书附图 3/4 页 15 CN 111294344 A 15 图5 图6 说明书附图 4/4 页 16 CN 111294344 A 16 。