策略衝突解決方法以及裝置製造方法

2023-05-28 16:52:41 1

策略衝突解決方法以及裝置製造方法
【專利摘要】本申請公開了一種策略衝突解決方法以及裝置。所述方法包括：接收第一控制策略並將所述第一控制策略分解成m條第一規則，以及，接收第二控制策略並將所述第二控制策略分解成n條第二規則；對每條所述第一規則取反以得到第一反規則，對每條所述第二規則取反以得到第二反規則，分別將每條所述第一反規則與每條所述第二反規則按照規則合成原則生成相應的第一執行規則；刪除所述無效規則，並將剩餘的所述第一執行規則作為有效第一執行規則，將每條所述有效第一執行規則取反後根據所述第一轉發設備支持的協議轉化為所述第一轉發設備相應的轉發表項。通過上述方式，能夠解決策略衝突。
【專利說明】策略衝突解決方法以及裝置

【技術領域】
[0001] 本申請涉及通信領域，特別是涉及策略衝突解決方法以及裝置。

【背景技術】
[0002] 軟體定義網絡（Software Defined Network, SDN)是一種新型網絡架構，與傳統網 絡所採用的查找IP路由相比，SDN/OpenFlow能夠實現網絡流量的靈活控制，為核心網絡及 應用的創新提供良好的平臺，是今後網絡架構發展的方向。
[0003] 如圖1所示，SDN通常包括控制器110以及轉發設備120兩部分。控制器110分 別與網絡中的每一個轉發設備120連接，網絡中的轉發設備120之間拓撲連接。控制器110 負責對網絡進行集中控制，即控制器110接收到控制策略後，根據控制策略生成轉發路徑， 為各個轉發設備120生成轉發表項。轉發設備120在接收到轉發表項後，根據接收到的轉 發表項對用戶終端發送的報文進行匹配和轉發。
[0004] 但是，在一些情況下，控制器110接收到的一些策略之間可能會存在衝突。
[0005] 例如，研發部門的日常工作涉及到公司的機密，研發部門是嚴禁訪問外部網絡的， 只能訪問公司的內部網絡。所以，管理員針對研發部門的性質，可能會給控制器下發策略1， 該策略1作用於轉發設備S0,由轉發設備S0將滿足策略1的用戶終端的報文轉發給SDN中 的其他轉發設備，再由其他轉發設備轉發到相應網絡如外部網絡或內部網絡：
[0006] 策略1 :研發部門伺服器不能訪問外部網絡，所有研發部門的員工可以從轉發設 備S1訪問公司的內部網絡。
[0007] 同時，對於研發部門中的預研小組，他們必須訪問外部網絡才能進行資料收集工 作。所以，管理員針對預研小組的性質，可能會給控制器下發策略2,該策略2也作用於轉發 設備S0,由轉發設備S0滿足策略2的用戶終端的報文轉發給SDN中的其他轉發設備，再由 其他轉發設備轉發到相應網絡如外部網絡或內部網絡：
[0008] 策略2 :預研小組伺服器不能訪問安全殼（Secure Shell, SSH)服務，預研小組員 工可以通過轉發設備S2訪問外部網絡。
[0009] 從上面的兩條策略可以分析出，按照設想，預研小組員工應該能訪問外部網絡。但 是，實際上，由於預研小組是研發部門的一部分，在策略1中，是禁止所有的研發部門的員 工訪問外部網絡的。控制器110接收到這兩條衝突的控制策略後，控制器110無法進行處 理，於是，控制器110隻能將優先級別最高的策略轉化為轉發表項發送給轉發設備S0,使得 轉發設備S0隻根據優先級別最高的策略轉發報文。針對研發部門下發的策略1優先級高 於針對預研小組下發的策略2,所以，轉發設備S0隻會根據策略1轉發報文，卻不會根據策 略2轉發報文，導致預研小組一直無法訪問外部網絡。


【發明內容】

[0010] 本申請提供一種策略衝突解決方法以及裝置，能夠解決策略衝突。
[0011] 本申請第一方面提供一種策略衝突解決方法，所述方法包括：接收第一控制策略 並將所述第一控制策略分解成m條第一規則，以及，接收第二控制策略並將所述第二控制 策略分解成η條第二規則，其中，m，η為自然數，所述第一控制策略和所述第二控制策略均 作用於第一轉發設備，所述第一規則和第二規則均包括匹配域和動作；對每條所述第一規 則取反以得到第一反規則，對每條所述第二規則取反以得到第二反規則，分別將每條所述 第一反規則與每條所述第二反規則按照規則合成原則生成相應的第一執行規則，其中，所 述規則合成原則包括：由匹配域類型相同的第一反規則的匹配域與第二反規則的匹配域間 的交集或匹配域類型不同的第一反規則的匹配域與第二反規則的匹配域間的併集，以及第 一反規則的動作與所述第二反規則的動作的交集組成所述第一執行規則，並將匹配域類型 相同的第一反規則的匹配域與第二反規則的匹配域之間沒有交集的第一執行規則作為無 效規則；刪除所述無效規則，並將剩餘的所述第一執行規則作為有效第一執行規則，將每條 所述有效第一執行規則取反後根據所述第一轉發設備支持的協議轉化為所述第一轉發設 備相應的轉發表項。
[0012] 結合第一方面，本申請第一方面的第一種可能的實施方式中，對每條所述第一規 則取反即令所述第一規則的匹配域不變、所述第一規則的動作取反，對每條所述第二規則 取反即令所述第一規則的匹配域不變、所述第一規則的動作取反。
[0013] 結合第一方面的第一種可能的實施方式，本申請第一方面的第二種可能的實施方 式中，所述分別將每條所述第一反規則與每條所述第二反規則按照規則合成原則生成相應 的第一執行規則，包括：將每條所述第一反規則作為元素並按照第一規則的優先級順序排 列以構成第一矩陣，所述第一矩陣為列矩陣，將每條所述第二反規則作為元素並按照第二 規則的優先級順序排列以構成第二矩陣，所述第二矩陣為行矩陣，令所述第一矩陣與所述 第二矩陣相乘得到第一執行規則矩陣，將第一執行規則矩陣中每對相乘的所述第一反規則 與所述第二反規則按照所述規則合成原則生成相應的第一執行規則，其中所述第一執行規 則矩陣的第一執行規則的優先級為先按照矩陣的列順序排列，同列的則按照矩陣的行順序 排列。
[0014] 結合第一方面的第二種可能的實施方式，本申請第一方面的第三種可能的實施方 式中，所述分解成m條第一規則之後還包括：新增一條第一匹配規則作為優先級最低的第 一規則；所述分解成η條第二規則之後還包括：新增一條第二匹配規則作為優先級最低的 第二規則；其中，所述第一匹配規則和第二匹配規則的匹配域均為通配符，動作均為丟棄。
[0015] 結合第一方面的第二種可能的實施方式，本申請第一方面的第四種可能的實施方 式中，所述將剩餘的所述第一執行規則作為有效第一執行規則包括：比較剩餘的每兩條第 一執行規則的匹配域，如果其中一條第一執行規則的匹配域覆蓋另一條第一執行規則的匹 配域，則將匹配域較小的第一執行規則刪除；如果兩條第一執行規則的匹配域相同，則將優 先級較低的第一執行規則刪除，將所述匹配域較小的第一執行規則和所述優先級較低的第 一執行規則刪除後剩餘的第一執行規則作為有效第一執行規則。
[0016] 結合第一方面的第二或四種可能的實施方式，本申請第一方面的第五種可能的實 施方式中，所述方法還包括：接收第三控制策略並將所述第三控制策略分解成k條第三規 則，k為自然數，所述第三控制策略與所述第一、第二控制策略均作用於所述第一轉發設備； 對每條所述有效第一執行規則取反以得到每條第一反執行規則，對每條所述第三規則取反 以得到每條第三反規則；將每條所述第一反執行規則作為元素並按照第一執行規則的優先 級順序排列以構成第三矩陣，所述第三矩陣為列矩陣，將每條所述第三反規則作為元素並 按照第三規則的優先級順序排列以構成第四矩陣，所述第四矩陣為行矩陣，令所述第三矩 陣與所述第四矩陣相乘得到第二執行規則矩陣，分別將第二執行規則矩陣中的每對相乘的 所述第一反執行規則與所述第三反規則按照所述規則合成原則生成相應的第二執行規則， 其中，所述規則合成原則還包括：由匹配域類型相同的第一反執行規則的匹配域與第三反 規則的匹配域間的交集或匹配域類型不同的第一反執行規則的匹配域與第三反規則的匹 配域間的併集，以及第一反執行規則的動作與所述第三反規則的動作的交集組成所述第二 執行規則，並將匹配域類型相同的第一反執行規則的匹配域與第三反規則的匹配域之間沒 有交集的第二執行規則作為無效規則；刪除所述無效規則，並將剩餘的每條所述第二執行 規則取反後根據所述第一轉發設備支持的協議轉化為所述第一轉發設備相應的轉發表項。
[0017] 本申請第二方面提供一種策略衝突解決裝置，包括：接收模塊、合成模塊以及刪除 模塊，所述接收模塊用於接收第一控制策略並將所述第一控制策略分解成m條第一規則， 以及，接收第二控制策略並將所述第二控制策略分解成η條第二規則，其中，m，η為自然數， 所述第一控制策略和所述第二控制策略均作用於第一轉發設備，所述第一規則和第二規則 均包括匹配域和動作，所述接收模塊將所述m條第一規則以及所述η條第二規則發送給所 述合成模塊；所述合成模塊用於接收所述m條第一規則以及所述η條第二規則，對每條所述 第一規則取反以得到第一反規則，對每條所述第二規則取反以得到第二反規則，分別將每 條所述第一反規則與每條所述第二反規則按照規則合成原則生成相應的第一執行規則，其 中，所述規則合成原則包括：由匹配域類型相同的第一反規則的匹配域與第二反規則的匹 配域間的交集或匹配域類型不同的第一反規則的匹配域與第二反規則的匹配域間的併集， 以及第一反規則的動作與所述第二反規則的動作的交集組成所述第一執行規則，並將匹配 域類型相同的第一反規則的匹配域與第二反規則的匹配域之間沒有交集的第一執行規則 作為無效規則，所述合成模塊將合成的第一執行規則發送給所述刪除模塊；所述刪除模塊 用於接收所述合成的第一執行規則，刪除所述無效規則，並將剩餘的所述第一執行規則作 為有效第一執行規則，將每條所述有效第一執行規則取反後根據所述第一轉發設備支持的 協議轉化為所述第一轉發設備相應的轉發表項。
[0018] 結合第二方面，本申請第二方面的第一種可能的實施方式中，對所述第一規則取 反即令所述第一規則的匹配域不變、所述第一規則的動作取反，對所述第二規則取反即令 所述第二規則的匹配域不變、所述第二規則的動作取反。
[0019] 結合第二方面的第一種可能的實施方式，本申請第二方面的第二種可能的實施方 式中，所述合成模塊還用於將每條所述第一反規則作為元素並按照第一規則的優先級順序 排列以構成第一矩陣，所述第一矩陣為列矩陣，將每條所述第二反規則作為元素並按照第 二規則的優先級順序排列以構成第二矩陣，所述第二矩陣為行矩陣，令所述第一矩陣與所 述第二矩陣相乘得到第一執行規則矩陣，將第一執行規則矩陣中每對相乘的所述第一反規 則與所述第二反規則按照所述規則合成原則生成相應的第一執行規則，其中所述第一執行 規則矩陣的第一執行規則的優先級為先按照矩陣的列順序排列，同列的則按照矩陣的行順 序排列。
[0020] 結合第二方面的第二種可能的實施方式，本申請第二方面的第三種可能的實施方 式中，所述合成模塊還用於在所述分解成m條第一規則之後，新增一條第一匹配規則作為 優先級最低的第一規則；在所述分解成η條第二規則之後，新增一條第二匹配規則作為優 先級最低的第二規則；其中，所述第一匹配規則和第二匹配規則的匹配域均為通配符，動作 均為丟棄。
[0021] 結合第二方面的第二種可能的實施方式，本申請第二方面的第四種可能的實施方 式中，所述合成模塊還用於在刪除所述無效規則之後，比較剩餘的每兩條第一執行規則的 匹配域，如果其中一條第一執行規則的匹配域覆蓋另一條第一執行規則的匹配域，則將匹 配域較小的第一執行規則刪除；如果兩條第一執行規則的匹配域相同，則將優先級別較低 的第一執行規則刪除，將所述匹配域較小的第一執行規則和所述優先級較低的第一執行規 則刪除後剩餘的第一執行規則作為有效第一執行規則。
[0022] 結合第二方面的第二或四種可能的實施方式，本申請第二方面的第五種可能的實 施方式中，所述接收模塊還用於接收第三控制策略並將所述第三控制策略分解成k條第三 規則，k為自然數，所述第三控制策略與所述第一、第二控制策略均作用於所述第一轉發設 備，所述接收模塊將所述k條第三規則發送給所述合成模塊；所述合成模塊還用於接收所 述k條第三規則，對每條所述有效第一執行規則取反以得到每條第一反執行規則，對每條 所述第三規則取反以得到每條第三反規則，將每條所述第一反執行規則作為元素並按照第 一執行規則的優先級順序排列以構成第三矩陣，所述第三矩陣為列矩陣，將每條所述第三 反規則作為元素並按照第三規則的優先級順序排列以構成第四矩陣，所述第四矩陣為行矩 陣，令所述第三矩陣與所述第四矩陣相乘得到第二執行規則矩陣，分別將第二執行規則矩 陣中的每對相乘的所述第一反執行規則與所述第三反規則按照所述規則合成原則生成相 應的第二執行規則，其中，所述規則合成原則還包括：由匹配域類型相同的第一反執行規則 的匹配域與第三反規則的匹配域間的交集或匹配域類型不同的第一反執行規則的匹配域 與第三反規則的匹配域間的併集，以及第一反執行規則的動作與所述第三反規則的動作的 交集組成所述第二執行規則，並將匹配域類型相同的第一反執行規則的匹配域與第三反規 則的匹配域之間沒有交集的第二執行規則作為無效規則，所述合成模塊將合成的第二執行 規則發送給所述刪除模塊；所述刪除模塊還用於接收所述合成的第二執行規則，刪除所述 無效規則，並將剩餘的每條所述第二執行規則取反後根據所述第一轉發設備支持的協議轉 化為所述第一轉發設備相應的轉發表項。
[0023] 上述方案中，通過將第一控制策略分解成m條第一規則，將第二控制策略分解成η 條第二規則，並根據規則合成原則來將每條第一規則和第二規則進行合成，由於該規則合 成原則會將匹配域類型相同的第一反規則的匹配域與第二反規則的匹配域之間沒有交集 的第一執行規則作為無效規則，上述定義的無效規則即為導致第一、第二控制策略衝突的 規則部分，故通過將存在衝突的無效規則刪除，避免了第一控制策略和第二控制策略間存 在的衝突規則情況，即解決了策略衝突問題，使得第一轉發既能執行第一控制策略也能執 行第二控制策略。

【專利附圖】

【附圖說明】
[0024] 圖1是現有技術軟體定義網絡一實施方式的結構示意圖；
[0025] 圖2是本申請策略衝突解決方法一實施方式的流程圖；
[0026] 圖3是本申請策略衝突解決方法另一實施方式的流程圖；
[0027] 圖4是本申請策略衝突解決裝置一實施方式的結構示意圖；
[0028] 圖5是本申請控制器一實施方式的結構示意圖。

【具體實施方式】
[0029] 以下描述中，為了說明而不是為了限定，提出了諸如特定系統結構、接口、技術之 類的具體細節，以便透徹理解本申請。然而，本領域的技術人員應當清楚，在沒有這些具體 細節的其它實施方式中也可以實現本申請。在其它情況中，省略對眾所周知的裝置、電路以 及方法的詳細說明，以免不必要的細節妨礙本申請的描述。
[0030] 參閱圖2,圖2是本申請策略衝突解決方法一實施方式的流程圖。圖2中各步驟的 執行主體可以是SDN中的控制器，也可以是SDN中的協同層中的伺服器。下面以控制器作 為執行主體來舉例，包括：
[0031] 210 :控制器接收第一控制策略並將所述第一控制策略分解成m條第一規則，以 及，接收第二控制策略並將所述第二控制策略分解成η條第二規則，其中，m，η為自然數，所 述第一控制策略和所述第二控制策略均作用於第一轉發設備，即第一轉發設備既需要根據 第一控制策略轉發相應報文，也需要根據第二控制策略轉發相應報文。所述第一規則和第 二規則均包括匹配域和動作。
[0032] 下面以【背景技術】中提到的兩條策略分別作為第一控制策略和第二控制策略為例 進行說明。其中，分解原則是拆分成功能最小的策略原子，即拆封出來的規則不能再拆分為 止。
[0033] 控制器接收到作用於第一轉發設備S0的第一控制策略"研發部門伺服器不能 訪問外部網絡，所有研發部門的員工可以從轉發設備S1訪問公司的內部網絡"，其中，研 發部門的員工的IP位址位於網段10. 〇. 0.0/8(即網段10. 0.0. 1?10. 255. 255. 255)， "\"表示除了，研發部門伺服器的IP位址為10.0.0. 1，U表示為或者，埠 80用於訪 問外部網絡，-MSI}表示通過轉發設備S1。所以，第一控制策略可描述為：SrcAddr : 10. (λ 0· 0/8\(SrcAddr :1(λ (λ (λ 1 U DstPort :80)->{Sl}。控制器對第一控制策略進行分 解，可以得到三條第一規則：
[0034] (1)研發部門伺服器10. 0. 0. 1不能通過轉發設備S1以訪問外部網絡。
[0035] 第一規則A1 :SrcAddr :10. 0. 0. 1 :{}，其中，{}中的內容為空，表示丟棄的意思。其 中，本申請中的丟棄即為不執行該控制策略中的所有動作，如第一控制策略的動作為去往 S1，由第一控制策略的分解得到的第一規則中的丟棄動作則為不去往S1。
[0036] (2)研發部門員工不能通過轉發設備S1以訪問外部網絡。
[0037] 第一規則 A2 :DstPort :80 : {}。
[0038] (3)研發部門員工通過轉發設備S1訪問內部網絡。
[0039] 第一規則 A3 :SrcAddr :10.0.0.0/8 :{S1}，其中，{S1}表示去往 S1。
[0040] 控制器接收到作用於第一轉發設備S0的第二控制策略"預研小組伺服器不能訪 問SSH服務，預研小組員工可以通過轉發設備S2訪問外部網絡"，其中，預研小組員工的IP 地址位於網段10. 2. 0· 0/16(即網段10. 2. 0· 1?10. 2. 255. 255)，"\"表示除了，預研服務 器的IP位址為10. 2.0. 1，U表示為或者，埠 22用於訪問SSH服務。所以，第二控制策略 可描述為：SrcAddr : 10. 2. 0· 0/16\ (SrcAddr : 10. 2. 0· 1 U DstPort :22) -> {S2}。控制器對 第二控制策略進行分解，可以得到三條第二規則：
[0041] (1)預研伺服器10. 2. 0. 1不能通過轉發設備S2以訪問SSH服務。
[0042] 第二規則B1 :SrcAddr :10. 2. 0. 1 :{}，其中，{}中的內容為空，表示丟棄的意思。
[0043] (2)預研員工不能通過轉發設備S2以訪問SSH服務。
[0044] 第二規則 B2 :DstPort :22 :
[0045] (3)預研員工從轉發設備S2訪問外部網絡。
[0046] 第二規則 B3 :SrcAddr :10· 2. 0· 0/16 : {S2}
[0047] 可以理解的是，按照第一控制策略的描述可知，第一規則的優先級依序為 A1>A2>A3 ;按照第二控制策略的描述可知，第二規則的優先級依序為B1>B2>B3。
[0048] 為了達到完全覆蓋的效果，可在第一規則和第二規則中均新增一條優先級最低的 匹配規則，該匹配規則的匹配域為通配符，動作為丟棄。具體如新增一條第一匹配規則作為 第一規則A4 : ，該第一規則表示：凡是沒和第一規則Al、A2以及A3的匹配域匹配的報 文都進行丟棄；新增一條第二匹配規則作為第二規則Μ : 該第二規則表示：凡是沒和 第二規則Bl、Β2以及Β3的匹配域匹配的報文都進行丟棄。
[0049] 220:控制器對每條所述第一規則取反以得到第一反規則，對每條所述第二規則取 反以得到第二反規則，分別將每條所述第一反規則與每條所述第二反規則按照規則合成原 則生成相應的第一執行規則，其中，所述規則合成原則包括：由匹配域類型相同的第一反規 則的匹配域與第二反規則的匹配域間的交集或匹配域類型不同的第一反規則的匹配域與 第二反規則的匹配域間的併集，以及第一反規則的動作與所述第二反規則的動作的交集組 成所述第一執行規則，並將匹配域類型相同的第一反規則的匹配域與第二反規則的匹配域 之間沒有交集的第一執行規則作為無效規則。
[0050] 控制器對上述四條第一規則取反以得到四條第一反規則。其中，對第一規則取反 即令第一規則的匹配域不變、第一規則的動作取反。可以理解的是，控制策略的所有動作的 集合即為該控制策略分解得到的動作的全集，故對其中動作取反即為執行該控制策略中除 該動作外的剩餘動作。對於控制策略分解得到的規則的動作為{}，即表示丟棄，即不執行該 規則所屬的控制策略中的所有動作，故取反為執行該規則所屬的控制策略中的所有動作。 如第一控制策略分解得到的第一規則的動作為{}，其動作取反即為執行第一控制策略中的 所有動作即去往S1。具體如下：
[0051] 第一反規則 Cl :SrcAddr :10. 0. 0. 1 :{S1}，其中，{S1}表示去往 S1 的意思。
[0052] 第一反規則 C2 :DstPort :80 : {S1}。
[0053] 第一反規則C3 :SrcAddr :10· 0· 0· 0/8

【權利要求】
1. 一種策略衝突解決方法，其特徵在於，所述方法包括： 接收第一控制策略並將所述第一控制策略分解成m條第一規則，以及，接收第二控制 策略並將所述第二控制策略分解成η條第二規則，其中，m，η為自然數，所述第一控制策略 和所述第二控制策略均作用於第一轉發設備，所述第一規則和第二規則均包括匹配域和動 作； 對每條所述第一規則取反以得到第一反規則，對每條所述第二規則取反以得到第二反 規則，分別將每條所述第一反規則與每條所述第二反規則按照規則合成原則生成相應的第 一執行規則，其中，所述規則合成原則包括：由匹配域類型相同的第一反規則的匹配域與第 二反規則的匹配域間的交集或匹配域類型不同的第一反規則的匹配域與第二反規則的匹 配域間的併集，以及第一反規則的動作與所述第二反規則的動作的交集組成所述第一執行 規則，並將匹配域類型相同的第一反規則的匹配域與第二反規則的匹配域之間沒有交集的 第一執行規則作為無效規則； 刪除所述無效規則，並將剩餘的所述第一執行規則作為有效第一執行規則，將每條所 述有效第一執行規則取反後根據所述第一轉發設備支持的協議轉化為所述第一轉發設備 相應的轉發表項。
2. 根據權利要求1所述的方法，其特徵在於， 對每條所述第一規則取反即令所述第一規則的匹配域不變、所述第一規則的動作取 反，對每條所述第二規則取反即令所述第一規則的匹配域不變、所述第一規則的動作取反。
3. 根據權利要求2所述的方法，其特徵在於，所述分別將每條所述第一反規則與每條 所述第二反規則按照規則合成原則生成相應的第一執行規則，包括： 將每條所述第一反規則作為元素並按照第一規則的優先級順序排列以構成第一矩陣， 所述第一矩陣為列矩陣，將每條所述第二反規則作為元素並按照第二規則的優先級順序排 列以構成第二矩陣，所述第二矩陣為行矩陣，令所述第一矩陣與所述第二矩陣相乘得到第 一執行規則矩陣，將第一執行規則矩陣中每對相乘的所述第一反規則與所述第二反規則按 照所述規則合成原則生成相應的第一執行規則，其中所述第一執行規則矩陣的第一執行規 則的優先級為先按照矩陣的列順序排列，同列的則按照矩陣的行順序排列。
4. 根據權利要求3所述的方法，其特徵在於， 所述分解成m條第一規則之後還包括：新增一條第一匹配規則作為優先級最低的第一 規則； 所述分解成η條第二規則之後還包括：新增一條第二匹配規則作為優先級最低的第二 規則； 其中，所述第一匹配規則和第二匹配規則的匹配域均為通配符，動作均為丟棄。
5. 根據權利要求3所述的方法，其特徵在於，所述將剩餘的所述第一執行規則作為有 效第一執行規則包括： 比較剩餘的每兩條第一執行規則的匹配域，如果其中一條第一執行規則的匹配域覆蓋 另一條第一執行規則的匹配域，則將匹配域較小的第一執行規則刪除；如果兩條第一執行 規則的匹配域相同，則將優先級較低的第一執行規則刪除，將所述匹配域較小的第一執行 規則和所述優先級較低的第一執行規則刪除後剩餘的第一執行規則作為有效第一執行規 則。
6. 根據權利要求3或5所述的方法，其特徵在於，所述方法還包括： 接收第三控制策略並將所述第三控制策略分解成k條第三規則，k為自然數，所述第三 控制策略與所述第一、第二控制策略均作用於所述第一轉發設備； 對每條所述有效第一執行規則取反以得到每條第一反執行規則，對每條所述第三規則 取反以得到每條第三反規則； 將每條所述第一反執行規則作為元素並按照第一執行規則的優先級順序排列以構成 第三矩陣，所述第三矩陣為列矩陣，將每條所述第三反規則作為元素並按照第三規則的優 先級順序排列以構成第四矩陣，所述第四矩陣為行矩陣，令所述第三矩陣與所述第四矩陣 相乘得到第二執行規則矩陣，分別將第二執行規則矩陣中的每對相乘的所述第一反執行規 則與所述第三反規則按照所述規則合成原則生成相應的第二執行規則，其中，所述規則合 成原則還包括：由匹配域類型相同的第一反執行規則的匹配域與第三反規則的匹配域間的 交集或匹配域類型不同的第一反執行規則的匹配域與第三反規則的匹配域間的併集，以及 第一反執行規則的動作與所述第三反規則的動作的交集組成所述第二執行規則，並將匹配 域類型相同的第一反執行規則的匹配域與第三反規則的匹配域之間沒有交集的第二執行 規則作為無效規則； 刪除所述無效規則，並將剩餘的每條所述第二執行規則取反後根據所述第一轉發設備 支持的協議轉化為所述第一轉發設備相應的轉發表項。
7. -種策略衝突解決裝置，其特徵在於，包括：接收模塊、合成模塊以及刪除模塊， 所述接收模塊用於接收第一控制策略並將所述第一控制策略分解成m條第一規則，以 及，接收第二控制策略並將所述第二控制策略分解成η條第二規則，其中，m，η為自然數，所 述第一控制策略和所述第二控制策略均作用於第一轉發設備，所述第一規則和第二規則均 包括匹配域和動作，所述接收模塊將所述m條第一規則以及所述η條第二規則發送給所述 合成模塊； 所述合成模塊用於接收所述m條第一規則以及所述η條第二規則，對每條所述第一規 則取反以得到第一反規則，對每條所述第二規則取反以得到第二反規則，分別將每條所述 第一反規則與每條所述第二反規則按照規則合成原則生成相應的第一執行規則，其中，所 述規則合成原則包括：由匹配域類型相同的第一反規則的匹配域與第二反規則的匹配域間 的交集或匹配域類型不同的第一反規則的匹配域與第二反規則的匹配域間的併集，以及第 一反規則的動作與所述第二反規則的動作的交集組成所述第一執行規則，並將匹配域類型 相同的第一反規則的匹配域與第二反規則的匹配域之間沒有交集的第一執行規則作為無 效規則，所述合成模塊將合成的第一執行規則發送給所述刪除模塊； 所述刪除模塊用於接收所述合成的第一執行規則，刪除所述無效規則，並將剩餘的所 述第一執行規則作為有效第一執行規則，將每條所述有效第一執行規則取反後根據所述第 一轉發設備支持的協議轉化為所述第一轉發設備相應的轉發表項。
8. 根據權利要求7所述的裝置，其特徵在於， 對所述第一規則取反即令所述第一規則的匹配域不變、所述第一規則的動作取反，對 所述第二規則取反即令所述第二規則的匹配域不變、所述第二規則的動作取反。
9. 根據權利要求8所述的裝置，其特徵在於，所述合成模塊還用於將每條所述第一反 規則作為元素並按照第一規則的優先級順序排列以構成第一矩陣，所述第一矩陣為列矩 陣，將每條所述第二反規則作為元素並按照第二規則的優先級順序排列以構成第二矩陣， 所述第二矩陣為行矩陣，令所述第一矩陣與所述第二矩陣相乘得到第一執行規則矩陣，將 第一執行規則矩陣中每對相乘的所述第一反規則與所述第二反規則按照所述規則合成原 則生成相應的第一執行規則，其中所述第一執行規則矩陣的第一執行規則的優先級為先按 照矩陣的列順序排列，同列的則按照矩陣的行順序排列。
10. 根據權利要求9所述的裝置，其特徵在於，所述合成模塊還用於在所述分解成m條 第一規則之後，新增一條第一匹配規則作為優先級最低的第一規則；在所述分解成η條第 二規則之後，新增一條第二匹配規則作為優先級最低的第二規則； 其中，所述第一匹配規則和第二匹配規則的匹配域均為通配符，動作均為丟棄。
11. 根據權利要求9所述的裝置，其特徵在於，所述合成模塊還用於在刪除所述無效規 則之後，比較剩餘的每兩條第一執行規則的匹配域，如果其中一條第一執行規則的匹配域 覆蓋另一條第一執行規則的匹配域，則將匹配域較小的第一執行規則刪除；如果兩條第一 執行規則的匹配域相同，則將優先級別較低的第一執行規則刪除，將所述匹配域較小的第 一執行規則和所述優先級較低的第一執行規則刪除後剩餘的第一執行規則作為有效第一 執行規則。
12. 根據權利要求9或11所述的裝置，其特徵在於， 所述接收模塊還用於接收第三控制策略並將所述第三控制策略分解成k條第三規則， k為自然數，所述第三控制策略與所述第一、第二控制策略均作用於所述第一轉發設備，所 述接收模塊將所述k條第三規則發送給所述合成模塊； 所述合成模塊還用於接收所述k條第三規則，對每條所述有效第一執行規則取反以得 到每條第一反執行規則，對每條所述第三規則取反以得到每條第三反規則，將每條所述第 一反執行規則作為元素並按照第一執行規則的優先級順序排列以構成第三矩陣，所述第三 矩陣為列矩陣，將每條所述第三反規則作為元素並按照第三規則的優先級順序排列以構成 第四矩陣，所述第四矩陣為行矩陣，令所述第三矩陣與所述第四矩陣相乘得到第二執行規 則矩陣，分別將第二執行規則矩陣中的每對相乘的所述第一反執行規則與所述第三反規則 按照所述規則合成原則生成相應的第二執行規則，其中，所述規則合成原則還包括：由匹配 域類型相同的第一反執行規則的匹配域與第三反規則的匹配域間的交集或匹配域類型不 同的第一反執行規則的匹配域與第三反規則的匹配域間的併集，以及第一反執行規則的動 作與所述第三反規則的動作的交集組成所述第二執行規則，並將匹配域類型相同的第一反 執行規則的匹配域與第三反規則的匹配域之間沒有交集的第二執行規則作為無效規則，所 述合成模塊將合成的第二執行規則發送給所述刪除模塊； 所述刪除模塊還用於接收所述合成的第二執行規則，刪除所述無效規則，並將剩餘的 每條所述第二執行規則取反後根據所述第一轉發設備支持的協議轉化為所述第一轉發設 備相應的轉發表項。
【文檔編號】H04L12/813GK104104615SQ201410348832
【公開日】2014年10月15日 申請日期:2014年7月21日 優先權日:2014年7月21日
【發明者】董雯霞, 林程勇, 丁萬夫, 李鳳凱 申請人:華為技術有限公司