技術領域

本申請涉及通信領域，特別是涉及策略沖突解決方法以及裝置。

背景技術

軟件定義網絡(Software?Defined?Network，SDN)是一種新型網絡架構，與傳統網絡所采用的查找IP路由相比，SDN/OpenFlow能夠實現網絡流量的靈活控制，為核心網絡及應用的創新提供良好的平臺，是今后網絡架構發展的方向。

如圖1所示，SDN通常包括控制器110以及轉發設備120兩部分?？刂破?10分別與網絡中的每一個轉發設備120連接，網絡中的轉發設備120之間拓撲連接?？刂破?10負責對網絡進行集中控制，即控制器110接收到控制策略后，根據控制策略生成轉發路徑，為各個轉發設備120生成轉發表項。轉發設備120在接收到轉發表項后，根據接收到的轉發表項對用戶終端發送的報文進行匹配和轉發。

但是，在一些情況下，控制器110接收到的一些策略之間可能會存在沖突。

例如，研發部門的日常工作涉及到公司的機密，研發部門是嚴禁訪問外部網絡的，只能訪問公司的內部網絡。所以，管理員針對研發部門的性質，可能會給控制器下發策略1，該策略1作用于轉發設備S0，由轉發設備S0將滿足策略1的用戶終端的報文轉發給SDN中的其他轉發設備，再由其他轉發設備轉發到相應網絡如外部網絡或內部網絡：

策略1：研發部門服務器不能訪問外部網絡，所有研發部門的員工可以從轉發設備S1訪問公司的內部網絡。

同時，對于研發部門中的預研小組，他們必須訪問外部網絡才能進行資料收集工作。所以，管理員針對預研小組的性質，可能會給控制器下發策略2，該策略2也作用于轉發設備S0，由轉發設備S0滿足策略2的用戶終端的報文轉發給SDN中的其他轉發設備，再由其他轉發設備轉發到相應網絡如外部網絡或內部網絡：

策略2：預研小組服務器不能訪問安全殼(Secure?Shell，SSH)服務，預研小組員工可以通過轉發設備S2訪問外部網絡。

從上面的兩條策略可以分析出，按照設想，預研小組員工應該能訪問外部網絡。但是，實際上，由于預研小組是研發部門的一部分，在策略1中，是禁止所有的研發部門的員工訪問外部網絡的?？刂破?10接收到這兩條沖突的控制策略后，控制器110無法進行處理，于是，控制器110只能將優先級別最高的策略轉化為轉發表項發送給轉發設備S0，使得轉發設備S0只根據優先級別最高的策略轉發報文。針對研發部門下發的策略1優先級高于針對預研小組下發的策略2，所以，轉發設備S0只會根據策略1轉發報文，卻不會根據策略2轉發報文，導致預研小組一直無法訪問外部網絡。

發明內容

本申請提供一種策略沖突解決方法以及裝置，能夠解決策略沖突。

本申請第一方面提供一種策略沖突解決方法，所述方法包括：接收第一控制策略并將所述第一控制策略分解成m條第一規則，以及，接收第二控制策略并將所述第二控制策略分解成n條第二規則，其中，m,n為自然數，所述第一控制策略和所述第二控制策略均作用于第一轉發設備，所述第一規則和第二規則均包括匹配域和動作；對每條所述第一規則取反以得到第一反規則，對每條所述第二規則取反以得到第二反規則，分別將每條所述第一反規則與每條所述第二反規則按照規則合成原則生成相應的第一執行規則，其中，所述規則合成原則包括：由匹配域類型相同的第一反規則的匹配域與第二反規則的匹配域間的交集或匹配域類型不同的第一反規則的匹配域與第二反規則的匹配域間的并集，以及第一反規則的動作與所述第二反規則的動作的交集組成所述第一執行規則，并將匹配域類型相同的第一反規則的匹配域與第二反規則的匹配域之間沒有交集的第一執行規則作為無效規則；刪除所述無效規則，并將剩余的所述第一執行規則作為有效第一執行規則，將每條所述有效第一執行規則取反后根據所述第一轉發設備支持的協議轉化為所述第一轉發設備相應的轉發表項。

結合第一方面，本申請第一方面的第一種可能的實施方式中，對每條所述第一規則取反即令所述第一規則的匹配域不變、所述第一規則的動作取反，對每條所述第二規則取反即令所述第一規則的匹配域不變、所述第一規則的動作取反。