[发明专利]流表控制方法、装置、交换机和控制器

说明书

技术领域

本申请涉及网络通信技术领域，更具体的说是涉及一种流表控制方法、装置、交换机和控制器。

背景技术

软件定义网络（Software Defined Network,SDN），是一种新型网络架构，其通过将网络设备的控制层与转发层分离开来，实现了网络流量的灵活控制，提高了网络的管理效率，为核心网络及应用的创新提供了良好的平台。

OpenFlow是实现软件定义网络的典型技术之一。基于OpenFlow技术的软件定义网络中的网元设备主要包括OpenFlow控制器（OpenFlow Controller）以及OpenFlow交换机（OpenFlow Switch）。交换机中包括一个或多个流表，流表由很多流表项组成，每一流表项即为一流规则。流规则由控制器生成并下发至交换机中，交换机接收到数据时，通过将接收数据在流表中查询，进行流表匹配，根据匹配的流规则中规定的执行操作，进行数据转发等处理操作。

控制器与交换机之间存在基于TCP（Transmission Control Protocol，传输控制协议）、UDP（User Datagram Protocol，用户数据报协议）或TLS（Transport Layer Security，安全传输层协议）等建立的控制连接，控制器通过该控制连接可以控制交换机中的流表，包括流规则的查询、删除、修改等，从而实现对数据转发等处理操作的控制。

在实际工作过程中，控制器与交换机之间的控制连接可能会发生中断，数据面临传输不安全的风险。

发明内容

本申请提供了一种流表控制方法、装置、交换机和控制器，用以降低由于控制器与交换机之间的控制连接中断导致的数据传输不安全的风险。

为实现上述目的，本申请提供如下技术方案：

第一方面，提供了一种流表控制方法，包括：

交换机检测与控制器的控制连接状态；

当检测到所述控制连接失效时，将流表中的待处理流规则进行处理，使得所述待处理流规则不与接收到的数据进行匹配。

在所述第一方面的第一种可能实现方式中，所述将流表中的待处理流规则进行处理，使得所述待处理流规则不与接收到的数据进行匹配包括：

从所述控制连接失效时刻开始，经过预设的第一失效控制时间，若未接收到流表中的待处理流规则匹配的数据，或者经过预设的第二失效控制时间，将所述待处理流规则进行处理，使得所述待处理流规则不与接收到的数据进行匹配。

结合所述第一方面或所述第一方面的第一种可能实现方式，还提供了所述第一方面的第二种可能实现方式，所述将流表中的待处理流规则进行处理，使得所述待处理流规则不与接收到的数据进行匹配包括：

删除所述待处理流规则，使得所述待处理流规则不与接收到的数据进行匹配。

结合所述第一方面或所述第一方面的第一种可能实现方式，还提供了所述第一方面的第三种可能实现方式，所述将流表中的待处理流规则进行处理，使得所述待处理流规则不与接收到的数据进行匹配之后，，所述方法还包括：

检测到所述控制连接恢复时，将所述待处理流规则进行处理，使得所述待处理流规则恢复与接收到的数据进行匹配。

结合所述第一方面或所述第一方面的上述任意一种可能实现方式，还提供了所述第一方面的第五种可能实现方式，所述将流表中的待处理流规则进行处理，使得所述待处理流规则不与接收到的数据进行匹配包括：

按照所述控制器发送的失效控制信息，将所述流表中的待处理流规则进行处理，使得所述待处理流规则不与接收到的数据进行匹配。

结合所述第一方面的第五种可能实现方式，还提供了所述第一方面的第六种可能实现方式，所述失效控制信息包括所述第一失效控制时间和所述第二失效控制时间的时间参数值。

结合所述第一方面的第五种可能实现方式，还提供了所述第一方面的第七种可能实现方式，所述失效控制信息为所述控制器发送的所述待处理流规则的安装消息中携带的。

结合所述第一方面的第五种可能实现方式，还提供了所述第一方面的第八种可能实现方式，所述待处理流规则为所述流表中的全部流规则或者至少部分流规则，所述失效控制信息为所述控制器发送的流表配置消息中携带的。

第二方面，提供了一种流表控制方法，包括：

控制器通过与交换机的控制连接向所述交换机发送失效控制信息，所述失效控制信息用于触发所述交换机当检测到所述控制连接失效时，将流表中的待处理流规则进行处理，使得所述待处理流规则不与接收到的数据进行匹配。