WO2015101119A1

WO2015101119A1 - 一种流表匹配的方法、装置和OpenFlow交换***

Info

Publication number: WO2015101119A1
Application number: PCT/CN2014/092170
Authority: WO
Inventors: 冯强; 沈伟锋; 赵秀楚
Original assignee: 华为技术有限公司
Priority date: 2013-12-30
Filing date: 2014-11-25
Publication date: 2015-07-09
Also published as: CN104753885B; US20160308759A1; US9887912B2; CN104753885A

Abstract

　本发明公开了一种流表匹配的方法、装置和OpenFlow交换***，以在不改变现有硬件逻辑和标准协议的基础上实现任意数据流中任意字段的匹配。所述方法包括：接收控制器针对第一流表下发的跳转指令和匹配指令；在所述第一流表中建立第一流表项；接收所述控制器针对所述第二流表下发的流模式消息；在所述第二流表中建立第二流表项。本发明为实现真正灵活的可编程软件定义网络奠定了基础，可协助网络服务运营商降低资本性支出和运营性支出，并且使得传统的IP网络具备更灵活的面向实时业务的网络抽象和管理能力。

Description

一种流表匹配的方法、装置和OpenFlow交换***

技术领域

本发明涉及数据交换领域，具体涉及一种流表匹配的方法、装置和OpenFlow交换***。

背景技术

开放流(OpenFlow)技术允许对一个网络进行编程，好像这个网络就是一台计算机一样。OpenFlow和软件定义网络(Software Defined Network，简称SDN)可将物理网络的抽象层直接提供给控制元件，允许通过软件设置和操作网络，OpenFlow技术的核心思想是将原本完全由交换机/路由器控制的数据包转发过程，转化为由OpenFlow交换机(OpenFlow Switch)和控制服务器(Controller)分别完成的独立过程。

OpenFlow交换机由流表(Flow Table)、安全通道和OpenFlow协议三部分组成，其中，流表由匹配域(Match Field)、计数器(Counters)和指令集(Instructions)组成，用于存储数据包的转发规则，安全通道是连接OpenFlow交换机到控制器的接口，而OpenFlow协议用来描述控制器和交换机之间交互所用信息的标准。OpenFlow交换机在OpenFlow网络中执行来自OpenFlow控制器的命令，根据控制器下发的流规则对收到的数据包进行转发。当OpenFlow交换机对于某一个收到的数据包无法找到对应的转发规则时，则将该数据包转发给控制器，由控制器决定该包的转发动作，并下发新的转发规则到OpenFlow交换机。

现有的OpenFlow交换机所进行的数据包匹配只能基于有限的字段进行，即，其流表的匹配域不能动态更新。例如，假设流表的匹配域只有协议规定的字段A、字段B或字段C三个字段用于数据包的匹配，当一个数据包中用于表征该数据包对应的数据流的特征字段是字段D，即不是字段A、字段B和字段C三个字段中的任意一个时，若OpenFlow交换机进行数据包的匹配，则需要将流表的匹配域扩展至字段A、字段B、字段C和字段D。这一扩展往往需要付出一定的代价，例如，重新更改硬件逻辑，对当前软件和/ 或硬件进行升级。

可见，现有的Switch匹配域不能动态更新，如果需要更新匹配域，则当前软硬件必须要升级才能支持，无法满足业务需求。

发明内容

本发明实施例提供一种流表匹配的方法、装置和OpenFlow交换***，以在不改变现有硬件逻辑和标准协议的基础上实现任意数据流中任意字段的匹配。

第一方面，一种流表匹配的方法，包括：接收控制器针对第一流表下发的跳转指令和匹配指令，所述匹配指令用于指示将匹配字段映射为映射值，并将所述映射值写入元数据Metadata域，传递给第二流表，所述匹配指令中包含用于将所述匹配字段映射为所述映射值的参数，所述跳转指令用于指示跳转的第二流表；

在所述第一流表中建立第一流表项，所述第一流表项的指令集为所述跳转指令和所述匹配指令，其中，所述匹配指令用于交换机收到数据包后，根据所述匹配指令中包含的用于将所述匹配字段映射为所述映射值的参数，将所述匹配字段映射为映射值Mp，并将所述映射值Mp写入元数据Metadata域，所述跳转指令用于跳转到所述第二流表，将所述数据包和所述元数据Metadata域中写入的所述映射值Mp传递给所述第二流表；

接收所述控制器针对所述第二流表下发的流模式消息，所述流模式消息包含行为指令和用于匹配所述匹配字段的元数据Metadata值；

在所述第二流表中建立第二流表项，所述第二流表项的指令集为所述行为指令，所述第二流表项的匹配域为所述元数据Metedata值，其中，所述第二流表项的匹配域用于与所述映射值Mp进行匹配，所述行为指令用于根据匹配结果，对所述数据包进行处理。

第二方面，一种流表匹配的方法，所述方法包括：接收控制器针对第一流表下发的第一跳转指令和第一匹配指令，所述第一匹配指令用于指示将第一匹配字段映射为第一映射值，并将所述第一映射值写入元数据Metadata域，传递给第二流表，所述第一匹配指令中包含用于将所述第一匹配字段映射为所述第一映射值的参数，所述第一跳转指令用于指示跳转的第二流表，其中，需要匹配的字段包含Nb个字节，且Nb＝n*Nm，n为大于1的整数，Nm等于流表的元数据Metadata域可包含的最大字节数，所述第一匹配字段为所述需要匹配的字段中的第1字节至第Nm字节；

在所述第一流表中建立第一流表项，所述第一流表项的指令集为所述第一跳转指令和所述第一匹配指令，其中，所述第一匹配指令用于交换机收到数据包后，根据所述第一匹配指令中包含的用于将所述第一匹配字段映射为所述第一映射值的参数，将所述第一匹配字段映射为第一映射值Mp1，并将所述第一映射值Mp1写入所述第一流表的的元数据Metadata域，所述第一跳转指令用于跳转到所述第二流表，将所述数据包和所述第一流表的的元数据Metadata域中写入的所述第一映射值Mp1传递给所述第二流表；

接收所述控制器针对n-1个流表下发的n-1个流模式消息，其中，针对第i个流表下发第i个流模式消息，n≥i≥2，所述第i个流模式消息中包含第i个跳转指令、第i个匹配指令和用于匹配第i个匹配字段的第i个元数据Metadata值，所述第i个匹配指令用于指示将所述第i个匹配字段映射为第i个映射值，所述第i个匹配字段为所述需要匹配的字段中的第(i-1)*Nm+1字节至第i*Nm个字节，所述第i个匹配指令中包含用于将所述第i个匹配字段映射为所述第i个映射值的参数，所述第i个跳转指令用于指示跳转的下一流表，所述第二流表为第2个流表，所述第i个流表的下一流表为第i+1个流表，所述第n个流表的下一流表为最终流表；

在所述n-1个流表中建立n-1个流表项，其中，在所述第i个流表中建立第i个流表项，所述第i个流表项的匹配域为所述第i个元数据Metedata值，所述第i个流表项的指令集为所述第i个跳转指令和所述第i个匹配指令，所述第i个流表项的匹配域用于与第i-1个映射值Mpi-1进行匹配，并根据匹配结果，执行所述第i个跳转指令和所述第i个匹配指令，所述第一映射值Mp1为第1个映射值Mp1，所述第i个匹配指令用于根据所述第i个匹配指令中包含的用于将所述第i个匹配字段映射为所述第i个映射值的参数，将所述第i个匹配字段映射为第i个映射值Mpi，并将所述第i个映射值Mpi写入所述第i个流表的元数据Metadata域，所述第i个跳转指令用于跳转到所述第i个流表的下一流表，将所述数据包和所述第i个流表的元数据Metadata域中写入的所述第i个映射值Mpi传递给所述第i个流表的下一流表；

接收所述控制器针对所述最终流表下发的最终流模式消息，所述最终流模式消息包含行为指令和用于匹配第n个匹配字段的第n个元数据Metadata值；

在所述最终流表中建立最终流表项，所述最终流表项的指令集为所述行为指令，所述最终流表项的匹配域为所述第n个元数据Metedata值，其中，所述最终流表项的匹配域用于与所述第n个映射值Mpn进行匹配，所述行为指令用于根据匹配结果，对所述数据包进行处理。

第三方面，一种流表匹配的装置，所述装置包括：第一接收模块，用于接收控制器针对第一流表下发的跳转指令和匹配指令，所述匹配指令用于指示将匹配字段映射为映射值，并将所述映射值写入元数据Metadata域，传递给第二流表，所述匹配指令中包含用于将所述匹配字段映射为所述映射值的参数，所述跳转指令用于指示跳转的第二流表；

第一建立模块，用于在所述第一流表中建立第一流表项，所述第一流表项的指令集为所述跳转指令和所述匹配指令，其中，所述匹配指令用于交换机收到数据包后，根据所述匹配指令中包含的用于将所述匹配字段映射为所述映射值的参数，将所述匹配字段映射为映射值Mp，并将所述映射值Mp写入元数据Metadata域，所述跳转指令用于跳转到所述第二流表，将所述数据包和所述元数据Metadata域中写入的所述映射值Mp传递给所述第二流表；

第二接收模块，用于接收所述控制器针对所述第二流表下发的流模式消息，所述流模式消息包含行为指令和用于匹配所述匹配字段的元数据Metadata值；

第二建立模块，用于在所述第二流表中建立第二流表项，所述第二流表项的指令集为所述行为指令，所述第二流表项的匹配域为所述元数据Metedata值，其中，所述第二流表项的匹配域用于与所述映射值Mp进行匹配，所述行为指令用于根据匹配结果，对所述数据包进行处理。

第四方面，一种流表匹配的装置，所述装置包括：第三接收模块，用于接收控制器针对第一流表下发的第一跳转指令和第一匹配指令，所述第一匹配指令用于指示将第一匹配字段映射为第一映射值，并将所述第一映射值写入元数据Metadata域，传递给第二流表，所述第一匹配指令中包含用于将所述第一匹配字段映射为所述第一映射值的参数，所述第一跳转指令用于指示跳转的第二流表，其中，需要匹配的字段包含Nb个字节，且Nb＝n*Nm，n 为大于1的整数，Nm等于流表的元数据Metadata域可包含的最大字节数，所述第一匹配字段为所述需要匹配的字段中的第1字节至第Nm字节；

第三建立模块，用于在所述第一流表中建立第一流表项，所述第一流表项的指令集为所述第一跳转指令和所述第一匹配指令，其中，所述第一匹配指令用于交换机收到数据包后，根据所述第一匹配指令中包含的用于将所述第一匹配字段映射为所述第一映射值的参数，将所述第一匹配字段映射为第一映射值Mp1，并将所述第一映射值Mp1写入所述第一流表的的元数据Metadata域，所述第一跳转指令用于跳转到所述第二流表，将所述数据包和所述第一流表的的元数据Metadata域中写入的所述第一映射值Mp1传递给所述第二流表；

第四接收模块，用于接收所述控制器针对n-1个流表下发的n-1个流模式消息，其中，针对第i个流表下发第i个流模式消息，n≥i≥2，所述第i个流模式消息中包含第i个跳转指令、第i个匹配指令和用于匹配第i个匹配字段的第i个元数据Metadata值，所述第i个匹配指令用于指示将所述第i个匹配字段映射为第i个映射值，所述第i个匹配字段为所述需要匹配的字段中的第(i-1)*Nm+1字节至第i*Nm个字节，所述第i个匹配指令中包含用于将所述第i个匹配字段映射为所述第i个映射值的参数，所述第i个跳转指令用于指示跳转的下一流表，所述第二流表为第2个流表，所述第i个流表的下一流表为第i+1个流表，所述第n个流表的下一流表为最终流表；

第四建立模块，用于在所述n-1个流表中建立n-1个流表项，其中，在所述第i个流表中建立第i个流表项，所述第i个流表项的匹配域为所述第i个元数据Metedata值，所述第i个流表项的指令集为所述第i个跳转指令和所述第i个匹配指令，所述第i个流表项的匹配域用于与第i-1个映射值Mpi-1进行匹配，并根据匹配结果，执行所述第i个跳转指令和所述第i个匹配指令，所述第一映射值Mp1为第1个映射值Mp1，所述第i个匹配指令用于根据所述第i个匹配指令中包含的用于将所述第i个匹配字段映射为所述第i个映射值的参数，将所述第i个匹配字段映射为第i个映射值Mpi，并将所述第i个映射值Mpi写入所述第i个流表的元数据Metadata域，所述第i个跳转指令用于跳转到所述第i个流表的下一流表，将所述数据包和所述第i个流表的元数据Metadata域中写入的所述第i个映射值Mpi传递给所述第i个流表的下一流表；

第五接收模块，用于接收所述控制器针对所述最终流表下发的最终流模式消息，所述最终流模式消息包含行为指令和用于匹配第n个匹配字段的第n个元数据Metadata值；

第五建立模块，用于在所述最终流表中建立最终流表项，所述最终流表项的指令集为所述行为指令，所述最终流表项的匹配域为所述第n个元数据Metedata值，其中，所述最终流表项的匹配域用于与所述第n个映射值Mpn进行匹配，所述行为指令用于根据匹配结果，对所述数据包进行处理。

第五方面，一种OpenFlow交换***，所述交换***包括交换机和控制器，所述交换机包括第一接收模块、第一建立模块、第二接收模块和第二建立模块；

所述控制器，用于向所述交换机下发针对第一流表的跳转指令和匹配指令，以及向所述交换机下发针对所述第二流表的流模式消息，所述匹配指令用于指示将匹配字段映射为映射值，并将所述映射值写入元数据Metadata域，传递给第二流表，所述匹配指令中包含用于将所述匹配字段映射为所述映射值的参数，所述跳转指令用于指示跳转的第二流表，所述流模式消息包含行为指令和用于匹配所述匹配字段的元数据Metadata值；

所述第一接收模块，用于所述接收控制器针对第一流表下发的所述跳转指令和匹配指令；

所述第一建立模块，用于在所述第一流表中建立第一流表项，所述第一流表项的指令集为所述跳转指令和所述匹配指令，其中，所述匹配指令用于交换机收到数据包后，根据所述匹配指令中包含的用于将所述匹配字段映射为所述映射值的参数，将所述匹配字段映射为映射值Mp，并将所述映射值Mp写入元数据Metadata域，所述跳转指令用于跳转到所述第二流表，将所述数据包和所述元数据Metadata域中写入的所述映射值Mp传递给所述第二流表；

所述第二接收模块，用于接收所述控制器针对所述第二流表下发的所述流模式消息；

所述第二建立模块，用于在所述第二流表中建立第二流表项，所述第二流表项的指令集为所述行为指令，所述第二流表项的匹配域为所述元数据Metedata值，其中，所述第二流表项的匹配域用于与所述映射值Mp进行匹配，所述行为指令用于根据匹配结果，对所述数据包进行处理。

第六方面，一种OpenFlow交换***，所述交换***包括交换机和控制器，所述交换机包括第三接收模块、第三建立模块、第四接收模块、第四建立模块、第五接收模块和第五建立模块；

所述控制器，用于向所述交换机下发针对第一流表的第一跳转指令和第一匹配指令，向所述交换机下发针对n-1个流表的n-1个流模式消息，以及向所述交换机下发针对最终流表的最终流模式消息，所述第一匹配指令用于指示将第一匹配字段映射为第一映射值，并将所述第一映射值写入元数据Metadata域，传递给第二流表，所述第一匹配指令中包含用于将所述第一匹配字段映射为所述第一映射值的参数，所述第一跳转指令用于指示跳转的第二流表，其中，需要匹配的字段包含Nb个字节，且Nb＝n*Nm，n为大于1的整数，Nm等于流表的元数据Metadata域可包含的最大字节数，所述第一匹配字段为所述需要匹配的字段中的第1字节至第Nm字节，所述针对第i个流表下发第i个流模式消息，n≥i≥2，所述第i个流模式消息中包含第i个跳转指令、第i个匹配指令和用于匹配第i个匹配字段的第i个元数据Metadata值，所述第i个匹配指令用于指示将所述第i个匹配字段映射为第i个映射值，所述第i个匹配字段为所述需要匹配的字段中的第(i-1)*Nm+1字节至第i*Nm个字节，所述第i个匹配指令中包含用于将所述第i个匹配字段映射为所述第i个映射值的参数，所述第i个跳转指令用于指示跳转的下一流表，所述第二流表为第2个流表，所述第i个流表的下一流表为第i+1个流表，所述第n个流表的下一流表为最终流表，所述最终流模式消息包含行为指令和用于匹配第n个匹配字段的第n个元数据Metadata值；

所述第三接收模块，用于接收所述控制器针对第一流表下发的所述第一跳转指令和第一匹配指令；

所述第三建立模块，用于在所述第一流表中建立第一流表项，所述第一流表项的指令集为所述第一跳转指令和所述第一匹配指令，其中，所述第一匹配指令用于交换机收到数据包后，根据所述第一匹配指令中包含的用于将所述第一匹配字段映射为所述第一映射值的参数，将所述第一匹配字段映射为第一映射值Mp1，并将所述第一映射值Mp1写入所述第一流表的的元数据Metadata域，所述第一跳转指令用于跳转到所述第二流表，将所述数据包和所述第一流表的的元数据Metadata域中写入的所述第一映射值Mp1传递给所述第二流表；

所述第四接收模块，用于接收所述控制器针对n-1个流表下发的所述n-1个流模式消息；

所述第四建立模块，用于在所述n-1个流表中建立n-1个流表项，其中，在所述第i个流表中建立第i个流表项，所述第i个流表项的匹配域为所述第i个元数据Metedata值，所述第i个流表项的指令集为所述第i个跳转指令和所述第i个匹配指令，所述第i个流表项的匹配域用于与第i-1个映射值Mpi-1进行匹配，并根据匹配结果，执行所述第i个跳转指令和所述第i个匹配指令，所述第一映射值Mp1为第1个映射值Mp1，所述第i个匹配指令用于根据所述第i个匹配指令中包含的用于将所述第i个匹配字段映射为所述第i个映射值的参数，将所述第i个匹配字段映射为第i个映射值Mpi，并将所述第i个映射值Mpi写入所述第i个流表的元数据Metadata域，所述第i个跳转指令用于跳转到所述第i个流表的下一流表，将所述数据包和所述第i个流表的元数据Metadata域中写入的所述第i个映射值Mpi传递给所述第i个流表的下一流表；

所述第五接收模块，用于接收所述控制器针对所述最终流表下发的所述最终流模式消息；

所述第五建立模块，用于在所述最终流表中建立最终流表项，所述最终流表项的指令集为所述行为指令，所述最终流表项的匹配域为所述第n个元数据Metedata值，其中，所述最终流表项的匹配域用于与所述第n个映射值Mpn进行匹配，所述行为指令用于根据匹配结果，对所述数据包进行处理。

从上述本发明实施例可知，匹配指令包含的参数是用于将匹配字段映射为映射值的参数，而匹配字段可以为除标准协议规定可匹配的字段之外的任意字段，通过将所述匹配字段映射为映射值，便可将控制器下发的元数据Metadata值与该映射值匹配。因此，与现有POF技术对OpenFlow协议规定的指令集进行了完全颠覆、实现起来工作量大相比，本发明实施例提供的方法在不改变现有的硬件逻辑和OpenFlow标准协议的基础上提供了动态拓展协议支持的方式，增强了数据流的可管理性，当在出现新的应用/协议需要处理时，无需进行硬件升级，而只是通过软件方式即可做到平滑支持。由于无需改变现有的硬件逻辑而是通过软件方式实现了流表匹配域匹配范围的扩大，因此也为实现真正灵活的可编程软件定义网络奠定了基础，可协助网络服务运营商降低资本性支出和运营性支出，并且使得传统的IP网络具备更灵活的面向实时业务的网络抽象和管理能力。

附图说明

图1是本发明实施例提供的流表匹配的方法的基本流程示意图；

图2是本发明实施例提供的控制器是向第一流表Table N—1下发用于将匹配字段映射为映射值的参数并向第一流表Table N—1的下一流表Table N即第二流表下发行为指令和用于匹配匹配字段的元数据Metadata值示意图；

图3是本发明实施例提供的将匹配字段映射为映射值Mp的示意图；

图4是本发明另一实施例提供的流表匹配的方法的基本流程示意图；

图5是本发明实施例提供的流表匹配的装置的基本逻辑结构示意图；

图6是本发明另一实施例提供的流表匹配的装置的基本逻辑结构示意图；

图7是本发明实施例提供的OpenFlow交换***逻辑结构示意图；

图8是本发明另一实施例提供的OpenFlow交换***逻辑结构示意图。

具体实施方式

本发明实施例提供一种流表匹配的方法，包括：接收控制器针对第一流表下发的跳转指令和匹配指令，所述匹配指令用于指示将匹配字段映射为映射值，并将所述映射值写入元数据Metadata域，传递给第二流表，所述匹配指令中包含用于将所述匹配字段映射为所述映射值的参数，所述跳转指令用于指示跳转的第二流表；在所述第一流表中建立第一流表项，所述第一流表项的指令集为所述跳转指令和所述匹配指令，其中，所述匹配指令用于交换机收到数据包后，根据所述匹配指令中包含的用于将所述匹配字段映射为所述映射值的参数，将所述匹配字段映射为映射值Mp，并将所述映射值Mp写入元数据Metadata域，所述跳转指令用于跳转到所述第二流表，将所述数据包和所述元数据Metadata域中写入的所述映射值Mp传递给所述第二流表；接收所述控制器针对所述第二流表下发的流模式消息，所述流模式消息包含行为指令和用于匹配所述匹配字段的元数据Metadata值；在所述第二流表中建立第二流表项，所述第二流表项的指令集为所述行为指令，所述第二流表项的匹配域为所述元数据Metedata值，其中，所述第二流表项的匹配域用于与所述映射值Mp进行匹配，所述行为指令用于根据匹配结果，对所述数据包进行处理。本发明实施例还提供相应的一种流表匹配的装置和OpenFlow交换***。以下分别进行详细说明。

本发明实施例的流表匹配的方法可应用于OpenFlow交换机以及由OpenFlow交换机和OpenFlow控制器构成的OpenFlow交换***，其执行主体可以是OpenFlow交换机，基本流程可参考图1，主要包括步骤S101至步骤S104：

S101，接收控制器针对第一流表下发的跳转指令和匹配指令。

控制器针对第一流表下发的匹配指令用于指示将匹配字段映射为映射值，并将映射所得映射值写入元数据Metadata域，传递给第二流表，匹配指令中包含用于将匹配字段映射为映射值的参数，而跳转指令用于指示跳转的第二流表。

在本发明实施例中，流表(Flow Table)均指的是OpenFlow交换机中维护的流表，流表(Flow Table)与OpenFlow标准协议定义的流表类似，例如，都包含匹配域(Match Field)、计数器(Counters)和指令集(Instructions)，流表构成交换机的组成部分，交换机指的是OpenFlow交换机，控制器指的是OpenFlow控制器。在本发明实施例中，匹配字段既可以是待匹配数据流中标准协议规定可匹配的字段，又可以是待匹配数据流中除标准协议规定可匹配的字段之外的任意字段。例如，OpenFlow标准协议规定可匹配的字段可能只有IP地址、端口号和MAC地址等有限的几个字段，然而，有些数据流仅仅使用上述标准协议规定可匹配的字段仍然无法进行匹配或识别，可能需要用于标识该数据流的特征值来识别。本发明实施例中，可以事先将各种数据流中的匹配字段(例如，唯一标识该数据流的特征值)对应的元数据Metadata值计算出来，由OpenFlow控制器在本端维护这一元数据Metadata值，即，OpenFlow控制器维护有与每一种数据流唯一对应的元数据Metadata值。

S102，在第一流表中建立第一流表项，所述第一流表项的指令集为跳转指令和匹配指令。

如前所述，匹配指令中包含用于将匹配字段映射为映射值的参数，其主要包括掩码、匹配字段在所述匹配字段所属数据包的起始位置、匹配字段在所述匹配字段所属数据包的偏移字节数和所述匹配字段所属数据包所属数据流的流标识。匹配指令的作用在于交换机收到数据包后，根据匹配指令中包含的用于将匹配字段映射为映射值的参数，将匹配字段映射为映射值Mp，并将所述映射值Mp写入元数据Metadata域，跳转指令用于跳转到第二流表，将数据包和元数据Metadata域中写入的映射值Mp传递给所述第二流表。

在收到控制器针对第一流表下发的跳转指令和匹配指令后，交换机可在第一流表中建立第一流表项。在本发明实施例中，控制器下发的匹配指令可以是一个结构体(struct)。假设该结构体的名字为ofp_instruction_proto_ext，则作为本发明一个实施例，匹配指令可以如下所示：

struct ofp_instruction_proto_ext

{

int16_t type；

int16_t len；

int8_t pad[4]；

uint8_t serial_no；

uint8_t match_ext_num；

struct match_ext match_ext_value[OFP_MAX_PROTO_EXT_LEN]；

}；

上述结构体ofp_instruction_proto_ext中，match_ext_value为数量是常量值OFP_MAX_PROTO_EXT_LEN(例如，OFP_MAX_PROTO_EXT_LEN等于7)的结构体，每一个结构体表示一个字节的匹配域，具体可支持的拓展匹配域多少由交换机(Switch)支持的抽象Metadata值的长度进行定义，具体地，结构体match_ext_value定义如下：

struct match_ext_value

{

enum start_position position；

uint16_t offset；

uint8_t bitmask；

uint8_t Reserved；

}；

在上述以结构体ofp_instruction_proto_ext表示的匹配指令中，前述实施例提及的用于将匹配字段映射为映射值Mp的参数包括bitmask、position、offset和serial_no，其中：

bitmask表示掩码，用于判决匹配字段中哪几位有效；

position表示匹配字段在该匹配字段所属数据包的起始位置，数据结构类型为枚举类型，结构体为常用的且位置确定的TCP/IP数据包中字段的起始字节数，该字段结合offset定位到匹配字段域在其所属数据包中的具***置，position的结构体示意如下：

struct start_position

{

LINK_DATA_START＝0；

MAC_DST＝0；

MAC_SRC＝6；

MAC_DATA_START＝14；

IP_SRC＝26；

IP_DST＝30；

IP_DATA_START＝34；

UDP_DATA_START＝42；

}；

offset表示匹配匹配字段在该匹配匹配字段所属数据包的偏移字节数；

serial_no表示数据流序列号，也就是匹配字段所属数据包所属数据流的流标识，用于控制器(Controller)根据数据流的分类分配不同的序列号以表示不同的数据流，以便对数据流进行管理，serial_no的长度为uint8，即可以表示256种不同的流类型；

match_ext_num表示实际填充的结构体match_ext_value的数量。

作为本发明一个实施例，交换机收到数据包后，根据匹配指令中包含的用于将匹配字段映射为映射值的参数，将匹配字段映射为映射值Mp，包括如下步骤S1021至步骤S1023：

S1021，按照起始位置和偏移字节数定位匹配字段在收到的数据包的位置，提取所述匹配字段。

例如，若某个匹配字段在其所属数据包的起始位置position是第2个字节，在其所属数据包的偏移字节数offset是3字节，则提取该数据包的第2至4字节的内容，就是匹配字段。

S1022，将步骤S1021中提取的匹配字段与掩码进行逻辑“与”运算。

S1023，将流标识填充至连续字节组的首字节以及将逻辑“与”运算的运算结果依次复制至所述连续字节组的余下字节，将所述被填充和复制完毕后的所述连续字节组的内容作为所述映射值Mp，所述连续字节组为N个字节的数据，N为流表的元数据Metadata域可包含的最大字节数。

考虑到目前OpenFlow标准协议中元数据Metadata域包含的字节数为8个字节，因此，在本发明实施例中，连续字节组可以是连续8个字节组成的字节组，将匹配字段所属数据包所属数据流的流标识serial_no填充至连续字节组的首字节以及步骤S1022逻辑“与”运算的运算结果依次复制至该连续字节组的余下字节可以是：将匹配字段所属数据包所属数据流的流标识serial_no填充至8个字节的首字节即byte1以及步骤S1022逻辑“与”运算的运算结果依次复制至这8个字节的余下字节即byte2、byte3、byte4、byte5、byte6、byte7和byte8，将被填充和复制完毕后的8个字节的内容作为映射值Mp。

对于连续字节组可以是连续8个字节组成的字节组的实施例，步骤S1021至步骤S1023的过程如附图3所示，其中，单向箭头表示复制这一操作。

由步骤S1023得到的映射值Mp可以写入元数据Metadata域中，并且随收到的数据包一起传递给至第二流表。

S103，接收所述控制器针对所述第二流表下发的流模式消息，所述流模式消息包含行为指令和用于匹配所述匹配字段的元数据Metadata值。

由于控制器维护有与每一种数据流唯一对应的Metadata值，因此，控制器向跳转指令所指示的第二流表下发的流模式(Flow Mod)消息可包含行为指令和用于匹配匹配字段的元数据Metadata值。在附图2示例的两个流表即Table N—1和Table N中，假设Table N—1表示前述实施例的第一流表，Table N表示前述实施例的第二流表。Table N—1中的指令集(Instructions)就包含控制器向Table N—1下发的跳转指令和匹配指令，假设此处的跳转指令使用Goto-Table表示，匹配指令使用Proto-Ext表示，则实际上Goto-Table的值可赋予第二流表的序号N，即Goto-Table＝N表示处理完Table N—1后，跳转至Table N；而Proto-Ext是基于现有的OpenFlow标准协议指令集新增的匹配指令。跳转指令Goto-Table所指示的下一流表即Table N中，其匹配域(Match Fields)包含的就是控制器下发的用于匹配所述匹配字段的元数据Metadata 值。

S104，在第二流表中建立第二流表项。

交换机在接收到控制器针对第二流表下发的流模式消息后，在第二流表中建立的第二流表项，其指令集为控制器针对第二流表下发的流模式消息所包含的行为指令，其中，第二流表项的匹配域中的内容为元数据Metedata值，其用于与映射值Mp进行匹配，行为指令用于根据匹配结果，对数据包进行处理。

如前所述，控制器向第一流表下发的匹配指令中包含用于将匹配字段映射为映射值的参数，并且所得到的映射值Mp传递至第二流表，而流模式消息包含的行为指令和用于匹配匹配字段的元数据Metadata值是下发给跳转指令所指示的第二流表。例如，如附图2所示，控制器是向流表Table N—1下发用于将匹配字段映射为映射值的参数，向流表Table N下发行为指令和用于匹配匹配字段的元数据Metadata值，将经由步骤S103所收到的元数据Metadata值与传递至第二流表的映射值Mp匹配是在访问流表Table N时才开始执行，而不是在访问流表Table N—1时执行。

若经由步骤S103所收到的元数据Metadata值与传递至第二流表的映射值Mp匹配成功，则按照向第二流表下发的行为指令执行对收到的数据包的操作，例如，将该数据包丢弃(drop)、修改(modify)、转发至端口(forward to port)或转发至控制器(forward to controller)，等等。

从上述本发明实施例提供的流表匹配的方法可知，匹配指令包含的参数是用于将匹配字段映射为映射值的参数，而匹配字段可以为除标准协议规定可匹配的字段之外的任意字段，通过将所述匹配字段映射为映射值，便可将控制器下发的元数据Metadata值与该映射值匹配。因此，与现有POF技术对OpenFlow协议规定的指令集进行了完全颠覆、实现起来工作量大相比，本发明实施例提供的方法在不改变现有的硬件逻辑和OpenFlow标准协议的基础上提供了动态拓展协议支持的方式，增强了数据流的可管理性，当在出现新的应用/协议需要处理时，无需进行硬件升级，而只是通过软件方式即可做到平滑支持。由于无需改变现有的硬件逻辑而是通过软件方式实现了流表匹配域匹配范围的扩大，因此也为实现真正灵活的可编程软件定义网络奠定了基础，可协助网络服务运营商降低资本性支出和运营性支出，并且使得传统的IP网络具备更灵活的面向实时业务的网络抽象和管理能力。

以下以禁止即时通信软件QQ这一应用场景为例，对上述本发明实施例提供的流表匹配的方法进行进一步说明。

使用常规的ACL对QQ这一类型的流进行过滤或者通过过滤QQ登录服务器的IP地址，在功能上受到了很大限制。这是因为，QQ流被常规的ACL过滤后，QQ会采用基于TCP的80和443端口进行通信，因此无法禁止这种采用公知端口的私有协议通信，而过滤QQ登录服务器的IP地址，则由于服务器很多，并且每增加一台服务器都需要及时获取到它的IP，然后加到ACL里，所以也不是有效的办法。由此可见，要彻底禁止QQ，需要做到：1、根据QQ应用协议数据流特征来识别其所属协议类型，即找出其应用协议的特征码；2、使用更为灵活的包过滤工具匹配QQ数据包，并执行过滤操作。

对于找出QQ应用协议的特征码，可以通过抓包工具实现。首先分析UDP应用协议的QQ数据包。可打开Wireshark抓包工具，然后运行QQ进行登录，Wireshark很快就抓到协议为UDP和OICQ的数据包。首先定位到IP协议头，得知IP协议头长度为20字节(byte)，后面UDP头长度8个byte，其中包括端口号4000和8000，之后就是QQ信息的数据字段，开始1个byte为0x02，是OICQ包的协议标识(flag)，后面2个byte即0x262f标识QQ的版本号，表示当前的QQ版本是2011正式版，接在0x262f后面的2个byte是命令字段，用于QQ登录的命令取值为0xba。因此，可以将偏移量(offset)为28的协议标识0x02和偏移量(offset)为31的命令值0xba作为QQ应用协议是UDP时的特征码。

其次是分析TCP数据包。无论是使用HTTP还是SSL协议，QQ消息里都有协议标识字段+版本字段：0x02262f，用于登录的消息字段是前面相邻的0x0059，所以将偏移量(offset)为40和0x005902作为QQ应用协议是TCP时的特征码。

以QQ应用协议是UDP为例(QQ应用协议是TCP分析方法类似)，提取到上述QQ应用协议是UDP时的特征码以后，对于UDP类型的QQ数据包，流模式(Flow Mod)消息包含的以结构体match_ext_value表示的指令如下：

struct match_ext_value[0]

{

enum start_position position＝IP_DATA_START；

uint16_t offset＝28；

uint8_t bitmask＝0xff；

uint8_t Reserved；

}；

struct match_ext_value[1]

{

enum start_position position＝IP_DATA_START；

uint16_t offset＝31；

uint8_t bitmask＝0xff；

uint8_t Reserved；

}；

QQ这一应用的流标识及数据流序列号serial_no是0x11，根据上述结构体match_ext_value[0]或match_ext_value[1]中的bitmask和offset，采用附图1示例的步骤S1021至步骤S1023的计算方法，得到QQ应用协议是UDP时的特征码对应的映射值为0x1102ba0000000000，与当前流表的下一流表中保存的匹配域的抽象Metadata值0x1102ba0000000000可以匹配，则执行指令集(Actions)中的指令即将该QQ数据包丢弃。

上述实施例说明的是单级流表对应的流表匹配的方法，一个流表最大支持8个字节的协议拓展。实际上，本发明实施例还提供多个流表级联时流表匹配的方法，多个流表级联以扩大流表匹配域匹配范围的应用场景在于：某种待匹配数据流的匹配字段所包含的字节数过多，例如，多于7个字节，将该匹配字段映射为映射值后，该映射值所包含的字节数大于目前OpenFlow标准协议中元数据Metadata值包含的字节数，因此，仅仅依靠一个流表中的元数据Metadata值无法完成匹配。为了解决这一问题，，本发明另一实施例提供另一种流表匹配的方法，其执行主体仍然是Openflow交换***中的交换机，主要流程可参阅附图4，包括步骤S401至步骤S406，详细说明如下：

S401，接收控制器针对第一流表下发的第一跳转指令和第一匹配指令。

在本实施例中，交换机接收控制器针对第一流表下发的第一跳转指令和第一匹配指令与附图1示例的步骤S101中交换机接收控制器针对第一流表下发的跳转指令和匹配指令类似，即，第一匹配指令用于指示将第一匹配字段映射为第一映射值，并将所述第一映射值写入元数据Metadata域，传递给第二流表，第一匹配指令中包含用于将第一匹配字段映射为第一映射值的参数，第一跳转指令用于指示跳转的第二流表，其中，需要匹配的字段包含N_b个字节，且N_b＝n*Nm，n为大于1的整数，Nm等于流表的元数据Metadata域可包含的最大字节数，第一匹配字段为所述需要匹配的字段中的第1字节至第Nm字节。

S402，在第一流表中建立第一流表项。

在本实施例中，交换机收到控制器针对第一流表下发的第一跳转指令和第一匹配指令后，在第一流表中建立第一流表项与附图1示例的步骤S102中在第一流表中建立第一流表项类似，即，第一流表项的指令集为第一跳转指令和所述第一匹配指令，其中，第一匹配指令用于交换机收到数据包后，根据第一匹配指令中包含的用于将第一匹配字段映射为所述第一映射值的参数，将第一匹配字段映射为第一映射值Mp1，并将所述第一映射值Mp1写入第一流表的的元数据Metadata域，第一跳转指令用于跳转到第二流表，将所述数据包和所述第一流表的的元数据Metadata域中写入的所述第一映射值Mp1传递给所述第二流表。

其中，将第一匹配字段映射为所述第一映射值的参数包括：第一掩码、所述第一匹配字段在所述第一匹配字段所属数据包的第一起始位置、所述第一匹配字段在所述第一匹配字段所属数据包的第一偏移字节数和所述第一匹配字段所属数据包所属数据流的第一流标识，而根据第一匹配指令中包含的用于将第一匹配字段映射为所述第一映射值的参数，将所述第一匹配字段映射为第一映射值Mp1，包括如下步骤S4021至步骤S4023：

S4021，按照第一起始位置和第一偏移字节数定位第一匹配字段在收到的数据包的位置，提取第一匹配字段。

S4022，将经由步骤S4021提取的所述第一匹配字段与所述第一掩码进行逻辑“与”运算。

S4023，将所述第一流标识填充至第一连续字节组的首字节以及将所述逻辑“与”运算的运算结果依次复制至所述第一连续字节组的余下字节，将所述被填充和复制完毕后的所述第一连续字节组的内容作为所述第一映射值Mp1，所述第一连续字节组为N个字节的数据，N为流表的元数据Metadata域可包含的最大字节数。

由步骤S4023得到的第一映射值Mp1可以写入元数据Metadata域中，并且随收到的数据包一起传递给至第二流表。

S403，接收控制器针对n-1个流表下发的n-1个流模式消息。

在本实施例中，控制器针对n-1个流表下发n-1个流模式消息是针对n-1个流表中每一个流表下发n-1个流模式消息中的每一个流模式消息，即，针对第i个流表下发第i个流模式消息，其中，2≤i≤n。在本实施例中，针对第i个流表下发第i个流模式消息与附图1示例的步骤S103中针对第二流表下发的流模式消息类似，即，第i个流模式消息中包含第i个跳转指令、第i个匹配指令和用于匹配第i个匹配字段的第i个元数据Metadata值，所述第i个匹配指令用于指示将所述第i个匹配字段映射为第i个映射值。

与附图1示例不同的是，在本实施例中，第i个匹配字段为需要匹配的字段中的第(i-1)*Nm+1字节至第i*Nm个字节，第i个匹配指令中包含用于将所述第i个匹配字段映射为所述第i个映射值的参数，所述第i个跳转指令用于指示跳转的下一流表，所述第二流表为第2个流表，所述第i个流表的下一流表为第i+1个流表，所述第n个流表的下一流表为最终流表。

S404，在n-1个流表中建立n-1个流表项。

在本实施例中，交换机在n-1个流表中建立n-1个流表项是在n-1个流表中每一个流表建立一个流表项，即，在第i个流表中建立第i个流表项，所述第i个流表项的匹配域为第i个元数据Metedata值，所述第i个流表项的指令集为所述第i个跳转指令和所述第i个匹配指令。

与附图1示例的单级流表匹配不同的是，在本实施例中，第i个流表项的匹配域用于与第i-1个映射值Mpi-1进行匹配，并根据匹配结果，执行所述第i个跳转指令和所述第i个匹配指令，所述第一映射值Mp1为第1个映射值Mp1，所述第i个匹配指令用于根据所述第i个匹配指令中包含的用于将所述第i个匹配字段映射为所述第i个映射值的参数，将所述第i个匹配字段映射为第i个映射值Mpi，并将所述第i个映射值Mpi写入所述第i个流表的元数据Metadata域，所述第i个跳转指令用于跳转到所述第i个流表的下一流表，将所述数据包和所述第i个流表的元数据Metadata域中写入的所述第i个映射值Mpi传递给所述第i个流表的下一流表。

在本实施例中，第i个匹配指令中包含用于将第i个匹配字段映射为第i个映射值的参数包括第i掩码、所述第i个匹配字段在所述第i个匹配字段所属数据包的第i起始位置、所述第i个匹配字段在所述第i个匹配字段所属数据包的第i偏移字节数和所述第i个匹配字段所属数据包所属数据流的第i流标识。作为本发明一个实施例，根据第i个匹配指令中包含的用于将第i个匹配字段映射为第i个映射值的参数，将所述第i个匹配字段映射为第i个映射值Mpi，包括如下步骤S4041至步骤S4043：

S4041，按照第i起始位置和第i偏移字节数定位第i个一匹配字段在收到的数据包的位置，提取第i个匹配字段。

S4042，将提取的第i个匹配字段与第i掩码进行逻辑“与”运算。

S4043，将第i流标识填充至第i连续字节组的首字节以及将步骤S4042中逻辑“与”运算的运算结果依次复制至所述第i连续字节组的余下字节，将所述被填充和复制完毕后的所述第i连续字节组的内容作为所述第i个映射值Mpi，所述第i连续字节组为N个字节的数据。

由步骤S4023得到的映射值Mpi可以写入第i个流表的元数据Metadata域中，并且随收到的数据包一起传递给至第i个流表的下一流表即第i+1个流表。

S405，接收控制器针对最终流表下发的最终流模式消息。

最终流模式消息包含用于匹配第n个匹配字段的第n个元数据Metadata值和行为指令，该行为指令表示访问至最终流表时所执行的动作。

S406，在最终流表中建立最终流表项。

最终流表项的指令集为行为指令，最终流表项的匹配域为第n个元数据Metedata值，其中，最终流表项的匹配域用于：将第n个元数据Metedata值与步骤S405中控制器针对最终流表下发的最终流模式消息中包含的第n个映射值Mpn进行匹配，行为指令用于根据匹配结果，对数据包进行处理，例如，将该数据包丢弃(drop)、修改(modify)、转发至端口(forward to port) 或转发至控制器(forward to controller)，等等。

以下以禁止微信这一应用为例，对上述本发明实施例提供的针对多级流表级联时流表匹配的方法进行进一步说明。

微信这一应用的应用协议的特征码是包含21个字节的特征码，假设该特征码如下：第一字节(byte1)＝0x01，第二字节(byte2)＝0x02，第三字节(byte3)＝0x03，第四字节(byte4)＝0x04，….，第二十一字节(byte21)＝0x21，Openflow控制器预先定义微信这一应用的类型为0x22。

由于微信的应用协议的特征码包含21个字节，经Openflow控制器计算，需要21/7＝3级流表，即至少需要三个流表级联(以下简称为三级流表)才能对该应用进行匹配，包括如下步骤S1至步骤S6：

S1，Openflow控制器向Openflow交换机下发针对第一流表的第一跳转指令和第一匹配指令。

Openflow控制器下发的第一匹配指令包含用于将第一匹配字段映射为第一映射值Mp1的参数，而第一跳转指令用于指示跳转至三级流表的第二流表(记为Table N+1)；

S2，Openflow交换机在Table N中建立第一流表项。

在Table N中建立的第一流表项的指令集为Openflow控制器下发的第一跳转指令和第一匹配指令，其中，第一匹配指令用于指示Openflow交换机，在微信的数据包经过三级流表的第一流表(记为Table N)时，将第一匹配字段即包含21个字节的特征码的前7个字节映射为第一映射值Mp1，第一跳转指令用于跳转到所述第二流表，将数据包和写入元数据Metadata域的第一映射值Mp1传递给三级流表中的第二流表(记为Table N+1)。

S3，接收Openflow控制器针对三级流表的第二流表和第三流表下发的2个流模式消息。

针对第二流表下发第2个流模式消息，针对第三流表(记为Table N+2) 下发第3个流模式消息，其中，第2个流模式消息中包含第2个跳转指令、第2个匹配指令和用于匹配第2个匹配字段的第2个元数据Metadata值，第2个匹配指令用于指示将第2个匹配字段即包含21个字节的特征码的中间7个字节映射为第2个映射值Mp2，第2个匹配指令中包含用于将第2个匹配字段映射为第2个映射值Mp2的参数，第2个跳转指令用于指示跳转的下一流表；第3个流模式消息中包含第3个跳转指令、第3个匹配指令和用于匹配第3个匹配字段的第3个元数据Metadata值，第3个匹配指令用于指示将第3个匹配字段即包含21个字节的特征码的最后7个字节映射为第3个映射值Mp3，第3个匹配指令中包含用于将第3个匹配字段映射为第3个映射值Mp3的参数，第3个跳转指令用于指示跳转的下一流表即最终流表，第2个元数据Metadata值为0x2201020304050607，第3个元数据Metadata值为0x2208091011121314。

S4，在三级流表中的余下2个流表中建立2个流表项。

Openflow交换机在第2个流表中建立第2个流表项，在第3个流表中建立第3个流表项，第2个流表项的指令集为第2个跳转指令和第2个匹配指令，第2个流表项的匹配域为第2个元数据Metedata值即0x2201020304050607，Openflow交换机根据第2个匹配指令，将0x2201020304050607与第一映射值Mp1进行匹配配，并根据匹配结果，执行第2个跳转指令和第2个匹配指令，第2个匹配指令用于Openflow交换机根据第2个匹配指令中包含的用于将第2个匹配字段映射为第2个映射值Mp2的参数，将第2个匹配字段映射为第2个映射值Mp2，并将第2个映射值Mp2写入第2个流表的元数据Metadata域，第2个跳转指令用于跳转到第2个流表的下一流表即三级流表的第三流表(记为Table N+2)，将微信数据包和第2个流表的元数据Metadata域中写入的第二映射值Mp2传递给第2个流表的下一流表即三级流表的第三流表，第2个流表即三级流表的第二流表Table N+1；第3个流表项的指令集为第3个跳转指令和第3个匹配指令，第3个流表项的匹配域为第3个元数据Metedata值即 0x2208091011121314，第3个流表项的匹配域用于与第二映射值Mp2进行匹配，Openflow交换机根据第3个匹配指令，将0x2208091011121314与第二映射值Mp2进行匹配配，并根据匹配结果，执行第3个跳转指令和第3个匹配指令，第3个匹配指令用于根据第3个匹配指令中包含的用于将第3个匹配字段映射为第2个映射值Mp2的参数，将第3个匹配字段映射为第2个映射值Mp3，并将第2个映射值Mp3写入第3个流表的元数据Metadata域，第3个跳转指令用于跳转到第3个流表的下一流表即最终流表，将微信数据包和第3个流表的元数据Metadata域中写入的第三映射值Mp3传递给第3个流表的下一流表即最终流表。

S5，接收Openflow控制器针对最终流表下发的最终流模式消息。

针对最终流表下发的最终流模式消息中包含行为指令和用于匹配第3个匹配字段的第4个元数据Metadata值即0x2215161718192021。按照本应用场景的目的即禁止微信这一应用，最终流模式消息中包含的行为指令是丢弃(drop)数据包。

S6，在最终流表中建立最终流表项。

最终流表项的指令集为Openflow控制器针对最终流表下发的最终流模式消息所包含的行为指令，最终流表项的匹配域为第4个元数据Metadata值即0x2215161718192021。Openflow交换机在最终流表中建立最终流表项后，将最终流表项的匹配域的元数据Metadata值即0x2215161718192021与传递过来的第三映射值Mp3进行匹配。

若上述匹配成功，则按照行为指令，将执行对数据包丢弃(drop)的操作，即拦截了微信的数据包，实现了禁止微信这一应用的目的。

下面对用于执行上述流表匹配的方法的本发明实施例的流表匹配的装置进行说明，其基本逻辑结构参考图5。为了便于说明，仅仅示出了与本发明实施例相关的部分。图5示例的流表匹配的装置可以是OpenFlow网络中的交换机，主要包括第一接收模块501、第一建立模块502、第二接收模块503和第二建立模块504，各模块详细说明如下：

第一接收模块501，用于接收控制器针对第一流表下发的跳转指令和匹配指令，所述匹配指令用于指示将匹配字段映射为映射值，并将所述映射值写入元数据Metadata域，传递给第二流表，所述匹配指令中包含用于将所述匹配字段映射为所述映射值的参数，所述跳转指令用于指示跳转的第二流表；

第一建立模块502，用于在所述第一流表中建立第一流表项，所述第一流表项的指令集为所述跳转指令和所述匹配指令，其中，所述匹配指令用于交换机收到数据包后，根据所述匹配指令中包含的用于将所述匹配字段映射为所述映射值的参数，将所述匹配字段映射为映射值Mp，并将所述映射值Mp写入元数据Metadata域，所述跳转指令用于跳转到所述第二流表，将所述数据包和所述元数据Metadata域中写入的所述映射值Mp传递给所述第二流表；

第二接收模块503，用于接收所述控制器针对所述第二流表下发的流模式消息，所述流模式消息包含行为指令和用于匹配所述匹配字段的元数据Metadata值；

第二建立模块504，用于在所述第二流表中建立第二流表项，所述第二流表项的指令集为所述行为指令，所述第二流表项的匹配域为所述元数据Metedata值，其中，所述第二流表项的匹配域用于与所述映射值Mp进行匹配，所述行为指令用于根据匹配结果，对所述数据包进行处理。

需要说明的是，以上附图5示例的流表匹配的装置的实施方式中，各功能模块的划分仅是举例说明，实际应用中可以根据需要，例如相应硬件的配置要求或者软件的实现的便利考虑，而将上述功能分配由不同的功能模块完成，即将所述流表匹配的装置的内部结构划分成不同的功能模块，以完成以上描述的全部或者部分功能。而且，实际应用中，本实施例中的相应的功能模块可以是由相应的硬件实现，也可以由相应的硬件执行相应的软件完成，例如，前述的第一接收模块，可以是具有执行前述接收控制器针对第一流表下发的跳转指令和匹配指令的硬件，例如第一接收器，也可以是能够执行相应计算机程序从而完成前述功能的一般处理器或者其他硬件设备；再如前述的第一建立模块，可以是具有执行前述在所述第一流表中建立第一流表项功能的硬件，例如第一建立器，也可以是能够执行相应计算机程序从而完成前述功能的一般处理器或者其他硬件设备(本说明书提供的各个实施例都可应用上述描述原则)。

在附图5示例的流表匹配的装置中，匹配指令中包含的用于将所述匹配字段映射为所述映射值的参数包括：掩码、所述匹配字段在所述匹配字段所属数据包的起始位置、所述匹配字段在所述匹配字段所属数据包的偏移字节数和所述匹配字段所属数据包所属数据流的流标识；而根据所述匹配指令中包含的用于将所述匹配字段映射为所述映射值的参数，将所述匹配字段映射为映射值Mp，包括：按照所述起始位置和所述偏移字节数定位所述匹配字段在所述收到的数据包的位置，提取所述匹配字段；将提取的所述匹配字段与所述掩码进行逻辑“与”运算；将所述流标识填充至连续字节组的首字节以及将所述逻辑“与”运算的运算结果依次复制至所述连续字节组的余下字节，将所述被填充和复制完毕后的所述连续字节组的内容作为所述映射值Mp，所述连续字节组为N个字节的数据，N为流表的元数据Metadata域可包含的最大字节数。

请参阅附图6，是本发明另一实施例提供的流表匹配的装置，可用于多个流表级联的情形。为了便于说明，仅仅示出了与本发明实施例相关的部分。图6示例的流表匹配的装置可以是OpenFlow网络中的交换机，主要包括第三接收模块601、第三建立模块602、第四接收模块603、第四建立模块604、第五接收模块605和第五建立模块606，各模块详细说明如下：

第三接收模块601，用于接收控制器针对第一流表下发的第一跳转指令和第一匹配指令，所述第一匹配指令用于指示将第一匹配字段映射为第一映射值，并将所述第一映射值写入元数据Metadata域，传递给第二流表，所述第一匹配指令中包含用于将所述第一匹配字段映射为所述第一映射值的参数，所述第一跳转指令用于指示跳转的第二流表，其中，需要匹配的字段包含N_b个字节，且N_b＝n*Nm，n为大于1的整数，Nm等于流表的元数据Metadata域可包含的最大字节数，所述第一匹配字段为所述需要匹配的字段中的第1字节至第Nm字节；

第三建立模块602，用于在所述第一流表中建立第一流表项，所述第一流表项的指令集为所述第一跳转指令和所述第一匹配指令，其中，所述第一匹配指令用于交换机收到数据包后，根据所述第一匹配指令中包含的用于将所述第一匹配字段映射为所述第一映射值的参数，将所述第一匹配字段映射为第一映射值Mp1，并将所述第一映射值Mp1写入所述第一流表的的元数据Metadata域，所述第一跳转指令用于跳转到所述第二流表，将所述数据包和所述第一流表的的元数据Metadata域中写入的所述第一映射值Mp1传递给所述第二流表；

第四接收模块603，用于接收所述控制器针对n-1个流表下发的n-1个流模式消息，其中，针对第i个流表下发第i个流模式消息，n≥i≥2，所述第i个流模式消息中包含第i个跳转指令、第i个匹配指令和用于匹配第i个匹配字段的第i个元数据Metadata值，所述第i个匹配指令用于指示将所述第i个匹配字段映射为第i个映射值，所述第i个匹配字段为所述需要匹配的字段中的第(i-1)*Nm+1字节至第i*Nm个字节，所述第i个匹配指令中包含用于将所述第i个匹配字段映射为所述第i个映射值的参数，所述第i个跳转指令用于指示跳转的下一流表，所述第二流表为第2个流表，所述第i个流表的下一流表为第i+1个流表，所述第n个流表的下一流表为最终流表；

第四建立模块604，用于在所述n-1个流表中建立n-1个流表项，其中，在所述第i个流表中建立第i个流表项，所述第i个流表项的匹配域为所述第i个元数据Metedata值，所述第i个流表项的指令集为所述第i个跳转指令和所述第i个匹配指令，所述第i个流表项的匹配域用于与第i-1个映射值Mpi-1进行匹配，并根据匹配结果，执行所述第i个跳转指令和所述第i个匹配指令，所述第一映射值Mp1为第1个映射值Mp1，所述第i个匹配指令用于根据所述第i个匹配指令中包含的用于将所述第i个匹配字段映射为所述第i个映射值的参数，将所述第i个匹配字段映射为第i个映射值Mpi，并将所述第i个映射值Mpi写入所述第i个流表的元数据Metadata域，所述第i个跳转指令用于跳转到所述第i个流表的下一流表，将所述数据包和所述第i个流表的元数据Metadata域中写入的所述第i个映射值Mpi传递给所述第i个流表的下一流表；

第五接收模块605，用于接收所述控制器针对所述最终流表下发的最终流模式消息，所述最终流模式消息包含行为指令和用于匹配第n个匹配字段的第n个元数据Metadata值；

第五建立模块606，用于在所述最终流表中建立最终流表项，所述最终流表项的指令集为所述行为指令，所述最终流表项的匹配域为所述第n个元数据Metedata值，其中，所述最终流表项的匹配域用于与所述第n个映射值Mpn进行匹配，所述行为指令用于根据匹配结果，对所述数据包进行处理。

在附图6示例的流表匹配的装置中，第一匹配指令中包含的用于将所述第一匹配字段映射为所述第一映射值的参数包括：第一掩码、所述第一匹配字段在所述第一匹配字段所属数据包的第一起始位置、所述第一匹配字段在所述第一匹配字段所属数据包的第一偏移字节数和所述第一匹配字段所属数据包所属数据流的第一流标识，则所述根据所述第一匹配指令中包含的用于将所述第一匹配字段映射为所述第一映射值的参数，将所述第一匹配字段映射为第一映射值Mp1，包括：按照所述第一起始位置和所述第一偏移字节数定位所述第一匹配字段在所述收到的数据包的位置，提取所述第一匹配字段；将提取的所述第一匹配字段与所述第一掩码进行逻辑“与”运算；将所述第一流标识填充至第一连续字节组的首字节以及将所述逻辑“与”运算的运算结果依次复制至所述第一连续字节组的余下字节，将所述被填充和复制完毕后的所述第一连续字节组的内容作为所述第一映射值Mp1，所述第一连续字节组为N个字节的数据，N为流表的元数据Metadata域可包含的最大字节数。

第i个匹配指令中包含用于将所述第i个匹配字段映射为所述第i个映射值的参数包括：第i掩码、所述第i个匹配字段在所述第i个匹配字段所属数据包的第i起始位置、所述第i个匹配字段在所述第i个匹配字段所属数据包的第i偏移字节数和所述第i个匹配字段所属数据包所属数据流的第i流标识，则所述根据所述第i个匹配指令中包含的用于将所述第i个匹配字段映射为所述第i个映射值的参数，将所述第i个匹配字段映射为第i个映射值Mpi，包括：按照所述第i起始位置和所述第i偏移字节数定位所述第i个一匹配字段在所述收到的数据包的位置，提取所述第i个匹配字段；将提取的所述第i个匹配字段与所述第i掩码进行逻辑“与”运算；将所述第i流标识填充至第i连续字节组的首字节以及将所述逻辑“与”运算的运算结果依次复制至所述第i连续字节组的余下字节，将所述被填充和复制完毕后的所述第i连续字节组的内容作为所述第i个映射值Mpi，所述第i连续字节组为N个字节的数据。

请参阅附图7，是本发明实施例提供的OpenFlow交换***。为了便于说明，仅仅示出了与本发明实施例相关的部分。附图7示例的OpenFlow交换***包括交换机702和控制器701，其中，交换机702可以是前述附图5示例的流表匹配的装置。交换机702主要包括第一接收模块501、第一建立模块502、第二接收模块503和第二建立模块504，各模块详细说明如下：

控制器701，用于向交换机702下发针对第一流表的跳转指令和匹配指令，以及向交换机702下发针对第二流表的流模式消息，所述匹配指令用于指示将匹配字段映射为映射值，并将所述映射值写入元数据Metadata域，传递给所述第二流表，所述匹配指令中包含用于将所述匹配字段映射为所述映射值的参数，所述跳转指令用于指示跳转的第二流表，所述流模式消息包含行为指令和用于匹配所述匹配字段的元数据Metadata值；

第一接收模块501，用于接收控制器针对第一流表下发的跳转指令和匹配指令；

第二接收模块503，用于接收所述控制器701针对所述第二流表下发的流模式消息，所述流模式消息包含行为指令和用于匹配所述匹配字段的元数据Metadata值；

在附图7示例的OpenFlow交换***中，匹配指令中包含的用于将所述匹配字段映射为所述映射值的参数包括：掩码、所述匹配字段在所述匹配字段所属数据包的起始位置、所述匹配字段在所述匹配字段所属数据包的偏移字节数和所述匹配字段所属数据包所属数据流的流标识；而根据所述匹配指令中包含的用于将所述匹配字段映射为所述映射值的参数，将所述匹配字段映射为映射值Mp，包括：按照所述起始位置和所述偏移字节数定位所述匹配字段在所述收到的数据包的位置，提取所述匹配字段；将提取的所述匹配字段与所述掩码进行逻辑“与”运算；将所述流标识填充至连续字节组的首字节以及将所述逻辑“与”运算的运算结果依次复制至所述连续字节组的余下字节，将所述被填充和复制完毕后的所述连续字节组的内容作为所述映射值Mp，所述连续字节组为N个字节的数据，N为流表的元数据Metadata域可包含的最大字节数。

请参阅附图8，是本发明另一实施例提供的OpenFlow交换***。为了便于说明，仅仅示出了与本发明实施例相关的部分。附图8示例的OpenFlow交换***包括交换机802和控制器801，其中，交换机802可以是前述附图6示例的扩大流表匹配域匹配范围的装置。交换机802主要包括第三接收模块601、第三建立模块602、第四接收模块603、第四建立模块604、第五接收模块605和第五建立模块606，各模块详细说明如下：

控制器801，用于向交换机802下发针对第一流表的第一跳转指令和第一匹配指令，向交换机802下发针对n-1个流表的n-1个流模式消息，以及向交换机802下发针对最终流表的最终流模式消息，所述第一匹配指令用于指示将第一匹配字段映射为第一映射值，并将所述第一映射值写入元数据Metadata域，传递给第二流表，所述第一匹配指令中包含用于将所述第一匹配字段映射为所述第一映射值的参数，所述第一跳转指令用于指示跳转的第二流表，其中，需要匹配的字段包含N_b个字节，且N_b＝n*Nm，n为大于1的整数，Nm等于流表的元数据Metadata域可包含的最大字节数，所述第一匹配字段为所述需要匹配的字段中的第1字节至第Nm字节，所述针对第i个流表下发第i个流模式消息，n≥i≥2，所述第i个流模式消息中包含第i个跳转指令、第i个匹配指令和用于匹配第i个匹配字段的第i个元数据Metadata值，所述第i个匹配指令用于指示将所述第i个匹配字段映射为第i个映射值，所述第i个匹配字段为所述需要匹配的字段中的第(i-1)*Nm+1字节至第i*Nm个字节，所述第i个匹配指令中包含用于将所述第i个匹配字段映射为所述第i个映射值的参数，所述第i 个跳转指令用于指示跳转的下一流表，所述第二流表为第2个流表，所述第i个流表的下一流表为第i+1个流表，所述第n个流表的下一流表为最终流表，所述最终流模式消息包含行为指令和用于匹配第n个匹配字段的第n个元数据Metadata值；

第三接收模块601，用于接收控制器801针对第一流表下发的所述第一跳转指令和第一匹配指令；

第三建立模块602，用于在第一流表中建立第一流表项，所述第一流表项的指令集为所述第一跳转指令和所述第一匹配指令，其中，所述第一匹配指令用于交换机收到数据包后，根据所述第一匹配指令中包含的用于将所述第一匹配字段映射为所述第一映射值的参数，将所述第一匹配字段映射为第一映射值Mp1，并将所述第一映射值Mp1写入所述第一流表的的元数据Metadata域，所述第一跳转指令用于跳转到所述第二流表，将所述数据包和所述第一流表的的元数据Metadata域中写入的所述第一映射值Mp1传递给所述第二流表；

第四接收模块603，用于接收控制器801针对n-1个流表下发的所述n-1个流模式消息；

第五接收模块605，用于接收控制器801针对所述最终流表下发的所述最终流模式消息；

在附图8示例的OpenFlow交换***中，第一匹配指令中包含的用于将所述第一匹配字段映射为所述第一映射值的参数包括：第一掩码、所述第一匹配字段在所述第一匹配字段所属数据包的第一起始位置、所述第一匹配字段在所述第一匹配字段所属数据包的第一偏移字节数和所述第一匹配字段所属数据包所属数据流的第一流标识，则所述根据所述第一匹配指令中包含的用于将所述第一匹配字段映射为所述第一映射值的参数，将所述第一匹配字段映射为第一映射值Mp1，包括：按照所述第一起始位置和所述第一偏移字节数定位所述第一匹配字段在所述收到的数据包的位置，提取所述第一匹配字段；将提取的所述第一匹配字段与所述第一掩码进行逻辑“与”运算；将所述第一流标识填充至第一连续字节组的首字节以及将所述逻辑“与”运算的运算结果依次复制至所述第一连续字节组的余下字节，将所述被填充和复制完毕后的所述第一连续字节组的内容作为所述第一映射值Mp1，所述第一连续字节组为N个字节的数据，N为流表的元数据Metadata域可包含的最大字节数。

需要说明的是，上述装置各模块/单元之间的信息交互、执行过程等内容，由于与本发明方法实施例基于同一构思，其带来的技术效果与本发明方法实施例相同，具体内容可参见本发明方法实施例中的叙述，此处不再赘述。

本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成，该程序可以存储于一计算机可读存储介质中，存储介质可以包括：只读存储器(ROM，Read Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁盘或光盘等。

以上对本发明实施例所提供的流表匹配的方法、装置和OpenFlow交换***进行了详细介绍，本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。

Claims

一种流表匹配的方法，其特征在于，所述方法包括：

接收控制器针对第一流表下发的跳转指令和匹配指令，所述匹配指令用于指示将匹配字段映射为映射值，并将所述映射值写入元数据Metadata域，传递给第二流表，所述匹配指令中包含用于将所述匹配字段映射为所述映射值的参数，所述跳转指令用于指示跳转的第二流表；

在所述第一流表中建立第一流表项，所述第一流表项的指令集为所述跳转指令和所述匹配指令，其中，所述匹配指令用于交换机收到数据包后，根据所述匹配指令中包含的用于将所述匹配字段映射为所述映射值的参数，将所述匹配字段映射为映射值Mp，并将所述映射值Mp写入元数据Metadata域，所述跳转指令用于跳转到所述第二流表，将所述数据包和所述元数据Metadata域中写入的所述映射值Mp传递给所述第二流表；

接收所述控制器针对所述第二流表下发的流模式消息，所述流模式消息包含行为指令和用于匹配所述匹配字段的元数据Metadata值；

在所述第二流表中建立第二流表项，所述第二流表项的指令集为所述行为指令，所述第二流表项的匹配域为所述元数据Metedata值，其中，所述第二流表项的匹配域用于与所述映射值Mp进行匹配，所述行为指令用于根据匹配结果，对所述数据包进行处理。
根据权利要求1所述的方法，其特征在于，所述匹配指令中包含的用于将所述匹配字段映射为所述映射值的参数包括：掩码、所述匹配字段在所述匹配字段所属数据包的起始位置、所述匹配字段在所述匹配字段所属数据包的偏移字节数和所述匹配字段所属数据包所属数据流的流标识；

所述根据所述匹配指令中包含的用于将所述匹配字段映射为所述映射值的参数，将所述匹配字段映射为映射值Mp，包括：

按照所述起始位置和所述偏移字节数定位所述匹配字段在所述收到的数据包的位置，提取所述匹配字段；

将提取的所述匹配字段与所述掩码进行逻辑“与”运算；

将所述流标识填充至连续字节组的首字节以及将所述逻辑“与”运算的运算结果依次复制至所述连续字节组的余下字节，将所述被填充和复制完毕后的所述连续字节组的内容作为所述映射值Mp，所述连续字节组为N个字节的数据，N为流表的元数据Metadata域可包含的最大字节数。
一种流表匹配的方法，其特征在于，所述方法包括：

接收控制器针对第一流表下发的第一跳转指令和第一匹配指令，所述第一匹配指令用于指示将第一匹配字段映射为第一映射值，并将所述第一映射值写入元数据Metadata域，传递给第二流表，所述第一匹配指令中包含用于将所述第一匹配字段映射为所述第一映射值的参数，所述第一跳转指令用于指示跳转的第二流表，其中，需要匹配的字段包含Nb个字节，且Nb＝n*Nm，n为大于1的整数，Nm等于流表的元数据Metadata域可包含的最大字节数，所述第一匹配字段为所述需要匹配的字段中的第1字节至第Nm字节；

在所述第一流表中建立第一流表项，所述第一流表项的指令集为所述第一跳转指令和所述第一匹配指令，其中，所述第一匹配指令用于交换机收到数据包后，根据所述第一匹配指令中包含的用于将所述第一匹配字段映射为所述第一映射值的参数，将所述第一匹配字段映射为第一映射值Mp1，并将所述第一映射值Mp1写入所述第一流表的的元数据Metadata域，所述第一跳转指令用于跳转到所述第二流表，将所述数据包和所述第一流表的的元数据Metadata域中写入的所述第一映射值Mp1传递给所述第二流表；

接收所述控制器针对n-1个流表下发的n-1个流模式消息，其中，针对第i个流表下发第i个流模式消息，n≥i≥2，所述第i个流模式消息中包含第i个跳转指令、第i个匹配指令和用于匹配第i个匹配字段的第i个元数据Metadata值，所述第i个匹配指令用于指示将所述第i个匹配字段映射为第i个映射值，所述第i个匹配字段为所述需要匹配的字段中的第(i-1)*Nm+1字节至第i*Nm个字节，所述第i个匹配指令中包含用于将所述第i个匹配字段映射为所述第i个映射值的参数，所述第i个跳转指令用于指示跳转的下一流表，所述第二流表为第2个流表，所述第i个流表的下一流表为第i+1个流表，所述第n个流表的下一流表为最终流表；

在所述n-1个流表中建立n-1个流表项，其中，在所述第i个流表中建立第i个流表项，所述第i个流表项的匹配域为所述第i个元数据Metedata值，所述第i个流表项的指令集为所述第i个跳转指令和所述第i个匹配指令，所述第i个流表项的匹配域用于与第i-1个映射值Mpi-1进行匹配，并根据匹配结果，执行所述第i个跳转指令和所述第i个匹配指令，所述第一映射值Mp1为第1个映射值Mp1，所述第i个匹配指令用于根据所述第i个匹配指令中包含的用于将所述第i个匹配字段映射为所述第i个映射值的参数，将所述第i个匹配字段映射为第i个映射值Mpi，并将所述第i个映射值Mpi写入所述第i个流表的元数据Metadata域，所述第i个跳转指令用于跳转到所述第i个流表的下一流表，将所述数据包和所述第i个流表的元数据Metadata域中写入的所述第i个映射值Mpi传递给所述第i个流表的下一流表；

接收所述控制器针对所述最终流表下发的最终流模式消息，所述最终流模式消息包含行为指令和用于匹配第n个匹配字段的第n个元数据Metadata值；

在所述最终流表中建立最终流表项，所述最终流表项的指令集为所述行为指令，所述最终流表项的匹配域为所述第n个元数据Metedata值，其中，所述最终流表项的匹配域用于与所述第n个映射值Mpn进行匹配，所述行为指令用于根据匹配结果，对所述数据包进行处理。
根据权利要求3所述的方法，其特征在于，所述第一匹配指令中包含的用于将所述第一匹配字段映射为所述第一映射值的参数包括：第一掩码、所述第一匹配字段在所述第一匹配字段所属数据包的第一起始位置、所述第一匹配字段在所述第一匹配字段所属数据包的第一偏移字节数和所述第一匹配字段所属数据包所属数据流的第一流标识，则所述根据所述第一匹配指令中包含的用于将所述第一匹配字段映射为所述第一映射值的参数，将所述第一匹配字段映射为第一映射值Mp1，包括：

按照所述第一起始位置和所述第一偏移字节数定位所述第一匹配字段在所述收到的数据包的位置，提取所述第一匹配字段；

将提取的所述第一匹配字段与所述第一掩码进行逻辑“与”运算；

将所述第一流标识填充至第一连续字节组的首字节以及将所述逻辑“与”运算的运算结果依次复制至所述第一连续字节组的余下字节，将所述被填充和复制完毕后的所述第一连续字节组的内容作为所述第一映射值Mp1，所述第一连续字节组为N个字节的数据，N为流表的元数据Metadata域可包含的最大字节数；

所述第i个匹配指令中包含用于将所述第i个匹配字段映射为所述第i 个映射值的参数包括：第i掩码、所述第i个匹配字段在所述第i个匹配字段所属数据包的第i起始位置、所述第i个匹配字段在所述第i个匹配字段所属数据包的第i偏移字节数和所述第i个匹配字段所属数据包所属数据流的第i流标识，则所述根据所述第i个匹配指令中包含的用于将所述第i个匹配字段映射为所述第i个映射值的参数，将所述第i个匹配字段映射为第i个映射值Mpi，包括：

按照所述第i起始位置和所述第i偏移字节数定位所述第i个一匹配字段在所述收到的数据包的位置，提取所述第i个匹配字段；

将提取的所述第i个匹配字段与所述第i掩码进行逻辑“与”运算；

将所述第i流标识填充至第i连续字节组的首字节以及将所述逻辑“与”运算的运算结果依次复制至所述第i连续字节组的余下字节，将所述被填充和复制完毕后的所述第i连续字节组的内容作为所述第i个映射值Mpi，所述第i连续字节组为N个字节的数据。
一种流表匹配的装置，其特征在于，所述装置包括：

第一接收模块，用于接收控制器针对第一流表下发的跳转指令和匹配指令，所述匹配指令用于指示将匹配字段映射为映射值，并将所述映射值写入元数据Metadata域，传递给第二流表，所述匹配指令中包含用于将所述匹配字段映射为所述映射值的参数，所述跳转指令用于指示跳转的第二流表；

第一建立模块，用于在所述第一流表中建立第一流表项，所述第一流表项的指令集为所述跳转指令和所述匹配指令，其中，所述匹配指令用于交换机收到数据包后，根据所述匹配指令中包含的用于将所述匹配字段映射为所述映射值的参数，将所述匹配字段映射为映射值Mp，并将所述映射值Mp写入元数据Metadata域，所述跳转指令用于跳转到所述第二流表，将所述数据包和所述元数据Metadata域中写入的所述映射值Mp传递给所述第二流表；

第二接收模块，用于接收所述控制器针对所述第二流表下发的流模式消息，所述流模式消息包含行为指令和用于匹配所述匹配字段的元数据Metadata值；

第二建立模块，用于在所述第二流表中建立第二流表项，所述第二流表项的指令集为所述行为指令，所述第二流表项的匹配域为所述元数据Metedata值，其中，所述第二流表项的匹配域用于与所述映射值Mp进行匹配，所述行为指令用于根据匹配结果，对所述数据包进行处理。
根据权利要求5所述的装置，其特征在于，所述匹配指令中包含的用于将所述匹配字段映射为所述映射值的参数包括：掩码、所述匹配字段在所述匹配字段所属数据包的起始位置、所述匹配字段在所述匹配字段所属数据包的偏移字节数和所述匹配字段所属数据包所属数据流的流标识；

所述根据所述匹配指令中包含的用于将所述匹配字段映射为所述映射值的参数，将所述匹配字段映射为映射值Mp，包括：按照所述起始位置和所述偏移字节数定位所述匹配字段在所述收到的数据包的位置，提取所述匹配字段；将提取的所述匹配字段与所述掩码进行逻辑“与”运算；将所述流标识填充至连续字节组的首字节以及将所述逻辑“与”运算的运算结果依次复制至所述连续字节组的余下字节，将所述被填充和复制完毕后的所述连续字节组的内容作为所述映射值Mp，所述连续字节组为N个字节的数据，N为流表的元数据Metadata域可包含的最大字节数。
一种流表匹配的装置，其特征在于，所述装置包括：

第三接收模块，用于接收控制器针对第一流表下发的第一跳转指令和第一匹配指令，所述第一匹配指令用于指示将第一匹配字段映射为第一映射值，并将所述第一映射值写入元数据Metadata域，传递给第二流表，所述第一匹配指令中包含用于将所述第一匹配字段映射为所述第一映射值的参数，所述第一跳转指令用于指示跳转的第二流表，其中，需要匹配的字段包含Nb个字节，且Nb＝n*Nm，n为大于1的整数，Nm等于流表的元数据Metadata域可包含的最大字节数，所述第一匹配字段为所述需要匹配的字段中的第1字节至第Nm字节；

第三建立模块，用于在所述第一流表中建立第一流表项，所述第一流表项的指令集为所述第一跳转指令和所述第一匹配指令，其中，所述第一匹配指令用于交换机收到数据包后，根据所述第一匹配指令中包含的用于将所述第一匹配字段映射为所述第一映射值的参数，将所述第一匹配字段映射为第一映射值Mp1，并将所述第一映射值Mp1写入所述第一流表的的元数据Metadata域，所述第一跳转指令用于跳转到所述第二流表，将所述数据包和所述第一流表的的元数据Metadata域中写入的所述第一映射值Mp1传递给所述第二流表；

第四接收模块，用于接收所述控制器针对n-1个流表下发的n-1个流模式消息，其中，针对第i个流表下发第i个流模式消息，n≥i≥2，所述第i个流模式消息中包含第i个跳转指令、第i个匹配指令和用于匹配第i个匹配字段的第i个元数据Metadata值，所述第i个匹配指令用于指示将所述第i个匹配字段映射为第i个映射值，所述第i个匹配字段为所述需要匹配的字段中的第(i-1)*Nm+1字节至第i*Nm个字节，所述第i个匹配指令中包含用于将所述第i个匹配字段映射为所述第i个映射值的参数，所述第i个跳转指令用于指示跳转的下一流表，所述第二流表为第2个流表，所述第i个流表的下一流表为第i+1个流表，所述第n个流表的下一流表为最终流表；

第四建立模块，用于在所述n-1个流表中建立n-1个流表项，其中，在所述第i个流表中建立第i个流表项，所述第i个流表项的匹配域为所述第i个元数据Metedata值，所述第i个流表项的指令集为所述第i个跳转指令和所述第i个匹配指令，所述第i个流表项的匹配域用于与第i-1个映射值Mpi-1进行匹配，并根据匹配结果，执行所述第i个跳转指令和所述第i个匹配指令，所述第一映射值Mp1为第1个映射值Mp1，所述第i个匹配指令用于根据所述第i个匹配指令中包含的用于将所述第i个匹配字段映射为所述第i个映射值的参数，将所述第i个匹配字段映射为第i个映射值Mpi，并将所述第i个映射值Mpi写入所述第i个流表的元数据Metadata域，所述第i个跳转指令用于跳转到所述第i个流表的下一流表，将所述数据包和所述第i个流表的元数据Metadata域中写入的所述第i个映射值Mpi传递给所述第i个流表的下一流表；

第五接收模块，用于接收所述控制器针对所述最终流表下发的最终流模式消息，所述最终流模式消息包含行为指令和用于匹配第n个匹配字段的第n个元数据Metadata值；

第五建立模块，用于在所述最终流表中建立最终流表项，所述最终流表项的指令集为所述行为指令，所述最终流表项的匹配域为所述第n个元数据Metedata值，其中，所述最终流表项的匹配域用于与所述第n个映射值Mpn进行匹配，所述行为指令用于根据匹配结果，对所述数据包进行处理。
根据权利要求7所述的装置，其特征在于，所述第一匹配指令中包含的用于将所述第一匹配字段映射为所述第一映射值的参数包括：第一掩码、所述第一匹配字段在所述第一匹配字段所属数据包的第一起始位置、所述第一匹配字段在所述第一匹配字段所属数据包的第一偏移字节数和所述第一匹配字段所属数据包所属数据流的第一流标识，则所述根据所述第一匹配指令中包含的用于将所述第一匹配字段映射为所述第一映射值的参数，将所述第一匹配字段映射为第一映射值Mp1，包括：

按照所述第一起始位置和所述第一偏移字节数定位所述第一匹配字段在所述收到的数据包的位置，提取所述第一匹配字段；

将提取的所述第一匹配字段与所述第一掩码进行逻辑“与”运算；

将所述第一流标识填充至第一连续字节组的首字节以及将所述逻辑“与”运算的运算结果依次复制至所述第一连续字节组的余下字节，将所述被填充和复制完毕后的所述第一连续字节组的内容作为所述第一映射值Mp1，所述第一连续字节组为N个字节的数据，N为流表的元数据Metadata域可包含的最大字节数；

所述第i个匹配指令中包含用于将所述第i个匹配字段映射为所述第i个映射值的参数包括：第i掩码、所述第i个匹配字段在所述第i个匹配字段所属数据包的第i起始位置、所述第i个匹配字段在所述第i个匹配字段所属数据包的第i偏移字节数和所述第i个匹配字段所属数据包所属数据流的第i流标识，则所述根据所述第i个匹配指令中包含的用于将所述第i个匹配字段映射为所述第i个映射值的参数，将所述第i个匹配字段映射为第i个映射值Mpi，包括：

按照所述第i起始位置和所述第i偏移字节数定位所述第i个一匹配字段在所述收到的数据包的位置，提取所述第i个匹配字段；

将提取的所述第i个匹配字段与所述第i掩码进行逻辑“与”运算；

将所述第i流标识填充至第i连续字节组的首字节以及将所述逻辑“与”运算的运算结果依次复制至所述第i连续字节组的余下字节，将所述被填充和复制完毕后的所述第i连续字节组的内容作为所述第i个映射值Mpi，所述第i连续字节组为N个字节的数据。
一种OpenFlow交换***，其特征在于，所述***包括交换机和控制器，所述交换机包括第一接收模块、第一建立模块、第二接收模块和第二建立模块；

所述控制器，用于向所述交换机下发针对第一流表的跳转指令和匹配指令，以及向所述交换机下发针对第二流表的流模式消息，所述匹配指令用于指示将匹配字段映射为映射值，并将所述映射值写入元数据Metadata域，传递给所述第二流表，所述匹配指令中包含用于将所述匹配字段映射为所述映射值的参数，所述跳转指令用于指示跳转的第二流表，所述流模式消息包含行为指令和用于匹配所述匹配字段的元数据Metadata值；

所述第一接收模块，用于所述接收控制器针对第一流表下发的所述跳转指令和匹配指令；

所述第一建立模块，用于在所述第一流表中建立第一流表项，所述第一流表项的指令集为所述跳转指令和所述匹配指令，其中，所述匹配指令用于交换机收到数据包后，根据所述匹配指令中包含的用于将所述匹配字段映射为所述映射值的参数，将所述匹配字段映射为映射值Mp，并将所述映射值Mp写入元数据Metadata域，所述跳转指令用于跳转到所述第二流表，将所述数据包和所述元数据Metadata域中写入的所述映射值Mp传递给所述第二流表；

所述第二接收模块，用于接收所述控制器针对所述第二流表下发的所述流模式消息；

所述第二建立模块，用于在所述第二流表中建立第二流表项，所述第二流表项的指令集为所述行为指令，所述第二流表项的匹配域为所述元数据Metedata值，其中，所述第二流表项的匹配域用于与所述映射值Mp进行匹配，所述行为指令用于根据匹配结果，对所述数据包进行处理。
根据权利要求9所述的交换***，其特征在于，所述匹配指令中包含的用于将所述匹配字段映射为所述映射值的参数包括：掩码、所述匹配字段在所述匹配字段所属数据包的起始位置、所述匹配字段在所述匹配字段所属数据包的偏移字节数和所述匹配字段所属数据包所属数据流的流标识；

所述根据所述匹配指令中包含的用于将所述匹配字段映射为所述映射值的参数，将所述匹配字段映射为映射值Mp，包括：按照所述起始位置和所述偏移字节数定位所述匹配字段在所述收到的数据包的位置，提取所述匹配字段；将提取的所述匹配字段与所述掩码进行逻辑“与”运算；将所述流标识填充至连续字节组的首字节以及将所述逻辑“与”运算的运算结果依次复制至所述连续字节组的余下字节，将所述被填充和复制完毕后的所述连续字节组的内容作为所述映射值Mp，所述连续字节组为N个字节的数据，N为流表的元数据Metadata域可包含的最大字节数。
一种OpenFlow交换***，其特征在于，所述***包括交换机和控制器，所述交换机包括第三接收模块、第三建立模块、第四接收模块、第四建立模块、第五接收模块和第五建立模块；

所述控制器，用于向所述交换机下发针对第一流表的第一跳转指令和第一匹配指令，向所述交换机下发针对n-1个流表的n-1个流模式消息，以及向所述交换机下发针对最终流表的最终流模式消息，所述第一匹配指令用于指示将第一匹配字段映射为第一映射值，并将所述第一映射值写入元数据Metadata域，传递给第二流表，所述第一匹配指令中包含用于将所述第一匹配字段映射为所述第一映射值的参数，所述第一跳转指令用于指示跳转的第二流表，其中，需要匹配的字段包含Nb个字节，且Nb＝n*Nm，n为大于1的整数，Nm等于流表的元数据Metadata域可包含的最大字节数，所述第一匹配字段为所述需要匹配的字段中的第1字节至第Nm字节，所述针对第i个流表下发第i个流模式消息，n≥i≥2，所述第i个流模式消息中包含第i个跳转指令、第i个匹配指令和用于匹配第i个匹配字段的第i个元数据Metadata值，所述第i个匹配指令用于指示将所述第i个匹配字段映射为第i个映射值，所述第i个匹配字段为所述需要匹配的字段中的第(i-1)*Nm+1字节至第i*Nm个字节，所述第i个匹配指令中包含用于将所述第i个匹配字段映射为所述第i个映射值的参数，所述第i个跳转指令用于指示跳转的下一流表，所述第二流表为第2个流表，所述第i个流表的下一流表为第i+1个流表，所述第n个流表的下一流表为最终流表，所述最终流模式消息包含行为指令和用于匹配第n个匹配字段的第n个元数据Metadata值；

所述第三接收模块，用于接收所述控制器针对第一流表下发的所述第一跳转指令和第一匹配指令；

所述第三建立模块，用于在所述第一流表中建立第一流表项，所述第一流表项的指令集为所述第一跳转指令和所述第一匹配指令，其中，所述第一匹配指令用于交换机收到数据包后，根据所述第一匹配指令中包含的用于将所述第一匹配字段映射为所述第一映射值的参数，将所述第一匹配字段映射为第一映射值Mp1，并将所述第一映射值Mp1写入所述第一流表的的元数据Metadata域，所述第一跳转指令用于跳转到所述第二流表，将所述数据包和所述第一流表的的元数据Metadata域中写入的所述第一映射值Mp1传递给所述第二流表；

所述第四接收模块，用于接收所述控制器针对n-1个流表下发的所述n-1 个流模式消息；

所述第四建立模块，用于在所述n-1个流表中建立n-1个流表项，其中，在所述第i个流表中建立第i个流表项，所述第i个流表项的匹配域为所述第i个元数据Metedata值，所述第i个流表项的指令集为所述第i个跳转指令和所述第i个匹配指令，所述第i个流表项的匹配域用于与第i-1个映射值Mpi-1进行匹配，并根据匹配结果，执行所述第i个跳转指令和所述第i个匹配指令，所述第一映射值Mp1为第1个映射值Mp1，所述第i个匹配指令用于根据所述第i个匹配指令中包含的用于将所述第i个匹配字段映射为所述第i个映射值的参数，将所述第i个匹配字段映射为第i个映射值Mpi，并将所述第i个映射值Mpi写入所述第i个流表的元数据Metadata域，所述第i个跳转指令用于跳转到所述第i个流表的下一流表，将所述数据包和所述第i个流表的元数据Metadata域中写入的所述第i个映射值Mpi传递给所述第i个流表的下一流表；

所述第五接收模块，用于接收所述控制器针对所述最终流表下发的所述最终流模式消息；

所述第五建立模块，用于在所述最终流表中建立最终流表项，所述最终流表项的指令集为所述行为指令，所述最终流表项的匹配域为所述第n个元数据Metedata值，其中，所述最终流表项的匹配域用于与所述第n个映射值Mpn进行匹配，所述行为指令用于根据匹配结果，对所述数据包进行处理。
根据权利要求11所述的交换***，其特征在于，所述第一匹配指令中包含的用于将所述第一匹配字段映射为所述第一映射值的参数包括：第一掩码、所述第一匹配字段在所述第一匹配字段所属数据包的第一起始位置、所述第一匹配字段在所述第一匹配字段所属数据包的第一偏移字节数和所述第一匹配字段所属数据包所属数据流的第一流标识，则所述根据所述第一匹配指令中包含的用于将所述第一匹配字段映射为所述第一映射值的参数，将所述第一匹配字段映射为第一映射值Mp1，包括：

按照所述第一起始位置和所述第一偏移字节数定位所述第一匹配字段在所述收到的数据包的位置，提取所述第一匹配字段；

将提取的所述第一匹配字段与所述第一掩码进行逻辑“与”运算；

将所述第一流标识填充至第一连续字节组的首字节以及将所述逻辑 “与”运算的运算结果依次复制至所述第一连续字节组的余下字节，将所述被填充和复制完毕后的所述第一连续字节组的内容作为所述第一映射值Mp1，所述第一连续字节组为N个字节的数据，N为流表的元数据Metadata域可包含的最大字节数；

所述第i个匹配指令中包含用于将所述第i个匹配字段映射为所述第i个映射值的参数包括：第i掩码、所述第i个匹配字段在所述第i个匹配字段所属数据包的第i起始位置、所述第i个匹配字段在所述第i个匹配字段所属数据包的第i偏移字节数和所述第i个匹配字段所属数据包所属数据流的第i流标识，则所述根据所述第i个匹配指令中包含的用于将所述第i个匹配字段映射为所述第i个映射值的参数，将所述第i个匹配字段映射为第i个映射值Mpi，包括：

按照所述第i起始位置和所述第i偏移字节数定位所述第i个一匹配字段在所述收到的数据包的位置，提取所述第i个匹配字段；

将提取的所述第i个匹配字段与所述第i掩码进行逻辑“与”运算；

将所述第i流标识填充至第i连续字节组的首字节以及将所述逻辑“与”运算的运算结果依次复制至所述第i连续字节组的余下字节，将所述被填充和复制完毕后的所述第i连续字节组的内容作为所述第i个映射值Mpi，所述第i连续字节组为N个字节的数据。