[发明专利]数据转发的控制系统、方法、电子设备及存储介质

说明书

本发明公开了一种数据转发的控制系统、方法、电子设备及存储介质。数据转发的控制系统，包括转发平面和控制平面，包括：转发平面包括转发模块；控制平面包括转发判断模块和转发控制模块，且转发判断模块与转发控制模块位于同一控制平面；转发模块用于，接收待转发的数据报文，将数据报文通过转发控制模块转发给转发判断模块；转发判断模块用于，分析数据报文制定转发策略，将转发策略反馈给转发控制模块；转发控制模块用于，根据转发策略制定控制策略流表，将控制策略流表下发给转发模块；转发模块还用于，根据控制策略流表中的操作指令，对数据报文进行处理。由同一个控制平面去做统一的转发策略下发，实现真正意义上的转控分离。

技术领域

本发明实施方式涉及网络安全转发领域，特别涉及一种数据转发的控制系统、方法、电子设备及存储介质。

背景技术

近年来，网路新业务层出不穷，有流媒体、音视频聊天、互动在线游戏和虚拟现实等。这些新业务的普及为运营商吸纳了大量的客户资源，同时也对网络的底层流量模型和上层应用模式产生了什么很大的冲击，带来带宽管理、内容计费、信息安全、舆论管控等一系列新的问题。新业务的数据流量是相当巨大的，在很大程度上加重了网络拥塞，降低网络性能，劣化了网络服务质量，妨碍了正常的网络业务的开展和关键应用的普及，同时给网络的信息安全监测管理带来了极大的挑战。

在新一代网络趋势下，为了能实现对网络安全管控，构建“可运营、可管理、安全”的网络，诸如DPI(Deep Packet Inspection，深度包检测)、防火墙等网络安全技术越来越得到重视。这些网络安全技术可以独立地看成是一个网络安全转发模块，比如在上网行为管控中，将DPI模块作为网络安全转发模块，对数据包进行深度解析，根据预配置的策略，给出数据包的转发策略。

然而，发明人发现：现有技术通过引用控制器实现对网络资源的统一查看、管理，但是网络安全转发模块依然独立于控制器所在的控制平面，一方面，两个控制系统会造成控制策略不统一，从而引起转发出错；另一方面，转发设备需要将报文发送给控制器，还需要复制报文发送给网络安全转发模块，占用网络资源。

发明内容

本发明实施方式的目的在于提供一种数据转发的控制系统、方法、电子设备及存储介质，将目前网络中的安全转发模块从转发平面中解耦出来，集成到控制器所在的控制平面上，由同一个控制平面去做统一的转发策略的下发，实现真正意义上的转控分离。

为解决上述技术问题，本发明的实施方式提供了一种数据转发的控制系统，包括：转发平面和控制平面，包括：转发平面包括转发模块；控制平面包括转发判断模块和转发控制模块，且转发判断模块与转发控制模块位于同一控制平面；转发模块用于，接收待转发的数据报文，将数据报文通过转发控制模块转发给转发判断模块；转发判断模块用于，分析数据报文制定转发策略，将转发策略反馈给转发控制模块；转发控制模块用于，根据转发策略制定控制策略流表，将控制策略流表下发给转发模块；转发模块还用于，根据控制策略流表中的操作指令，对数据报文进行处理。

本发明的实施方式还提供了一种数据转发的控制方法，应用于转发模块，包括：接收待转发的数据报文，将数据报文发送给转发控制模块；接收转发控制模块反馈的控制策略流表；其中，控制策略流表中包含数据报文的操作指令；依据操作指令，对数据报文进行处理。

本发明的实施方式还提供了一种数据转发的控制方法，应用于转发控制模块，包括：接收转发模块发送的数据报文并发送给转发判断模块；接收转发判断模块反馈的转发策略；其中，转发策略为转发判断模块根据分析数据报文获得；根据转发策略制定控制策略流表，并将控制策略流表反馈给转发模块。

本发明的实施方式还提供了一种电子设备，包括：至少一个处理器；以及，与至少一个处理器通信连接的存储器；其中，存储器存储有可被至少一个处理器执行的指令，指令被至少一个处理器执行，以使至少一个处理器能够执行上述数据转发的控制方法。