用于控制分组流的转发路径的通信系统、通信设备、控制器和方法以及程序

摘要

一种通信系统，包括：控制分组转发的通信设备，和根据来自该通信设备的请求设置用于分组转发的第一表条目的控制器。通信设备根据用于识别所接收分组的规则，确定是根据所述第一表条目转发所接收分组还是根据由所述通信设备设置的第二表条目转发所接收分组。可以减少用于控制路径的控制器的负荷。

说明书

技术领域

相关申请的交叉引用

本发明基于2010年11月22日提交的日本专利申请号2010-260272 的优先权，其公开的全文以引用方式并入本文。

本发明涉及用于控制分组流的转发路径的通信系统、通信设备、 控制器和方法以及程序，并且具体地涉及用于控制分组流的转发路径 的通信系统、通信设备、控制器和方法以及程序，使用根据与所接收 分组兼容的处理规则处理所接收分组的通信设备实现通信。

背景技术

近年来，已经提出了称为开放流(OpenFlow)的技术(参考专利 文献1和非专利文献1和2)。开放流把通信看作端对端的流，并针对每 个流执行路径控制、失败恢复、负载平衡和优化。在非专利文献2中定 义了其规范的开放流交换机包括用于与作为控制设备的开放流控制器 进行通信的安全信道，并根据由开放流控制器合适地添加或改写的流 表而操作。在流表中，针对每个流定义了与分组首部相匹配的一组匹 配规则(首部字段)、流统计信息(计数器)和定义处理的内容的动作 (动作)(参考图19)。

使用开放流技术的通信系统1可以由例如与开放流控制器相对应 的控制器114和开放流交换机(在下文中称为“OFS”)121至123和131 至133构成，如图20中所示。

例如，当通信终端140开始与通信终端142通信时，系统如图21中 所示操作。当接收到由通信终端140发送的分组时，OFS 121在流表中 搜索具有与所接收分组的首部信息兼容的匹配规则的条目。如果搜索 的结果是没有找到与所接收分组匹配的条目，OFS 121在缓冲所接收分 组后，经由安全信道向控制器114发送配备有关于所接收分组的信息的 新流检测通知(Packet-In)消息，并请求控制器114基于所接收分组 的发送者和接收者来确定该分组的路径。控制器114从新流检测通知的 信息中将通信终端142指定为分组的目的地，发送流条目(处理规则) 设置(FlowMod)消息以设置流条目，在OFS中实现该路径上的通信终 端140和通信终端142之间的通信。OFS 121使用流表中存储的条目作为 处理规则，转发缓冲的分组。因为对应的条目已经存在，转发随后的 分组流不需要请求控制器114确定路径。

此外，专利文献2公开了用于配置分层网络的方法，该配置将构成 网络的设备之间的连接状态识别为分层结构，并基于包括分层信息的 拓扑信息。专利文献2陈述了：管理每层的服务器或具有服务器功能的 信息中继设备确定通过服务器或信息中继设备下游侧的接口与该服务 器或信息中继设备相连的下游中继设备可用的识别信息，并向该下游 中继设备通知所确定的识别信息以便实现分层网络配置中的有效地址 分配。

引用列表

专利文献

PTL 1：国际公开号WO 2008/095010A1

PTL 2：日本专利公开号JP2005-340983A

非专利文献

NPL 1：McKeown，Nick等，″OpenFlow：Enabling Innovation in Campus Networks，″[在线]，[2010年10月6日搜索]，Internet<URL： http://www.openflowswitch.org/documents/openflow-wp-latest.p df>

NPL 2：″OpenFlow Switch Specification″版本1.0.0.(Wire Protocol 0x01)[2010年10月6日搜索]，Internet<URL： http://www.openflowswitch.org/documents/openflow-spec-v1.0.0 .pdf>

发明内容

技术问题

本发明给出以下分析。

如使用图20和21所描述的，在例如开放流的集中控制系统中，来 自许多OFS的新流检测通知(Packet-In)消息可能聚集，增加例如开 放流控制器的集中控制器的负荷。此外，当控制器的负荷增加并且处 理规则的设置延迟时，迫使已经接收到随后分组的OFS发出新流检测通 知(Packet-In)消息，这可能产生所增加的负荷维持的情形。

已经在考虑到上述境况后实现了本发明，其目的是提供用于控制 分组流的转发路径的通信系统、通信设备、控制器和方法以及程序， 能够缓解集中控制通信系统中(例如上述开放流技术)的单独的通信 设备发出的路径解决请求的集中度。

针对问题的技术方案

根据本发明的第一方案，提供了一种通信系统，包括控制分组转 发的至少一个通信设备和根据来自通信设备的请求设置用于分组转发 的第一表条目的控制器，并且所述通信设备基于用于识别所接收分组 的规则，确定是根据所述第一表条目转发所接收分组还是根据所述通 信设备设置的第二表条目转发所接收分组。

根据本发明的第二方案，提供了一种通信设备，包括用于请求控 制通信设备的控制器设置用于分组转发的第一表条目的装置，以及用 于基于用于识别所接收分组的规则，确定是根据所述第一表条目转发 所接收分组还是根据由所述通信设备设置的第二表条目转发所接收分 组的装置。

根据本发明的第三方案，提供了一种通信方法，包括以下步骤： 使控制分组转发的通信设备基于用于识别所接收分组的规则，确定是 根据由控制所述通信设备的控制器设置的第一表条目转发所接收分 组，还是根据由所述通信设备设置的第二表条目转发所接收分组；当 所述通信设备确定根据所述第一表条目转发所接收分组时，使通信设 备请求所述控制器设置所述第一表条目。本方法与特定的机器(即， 控制分组转发的通信设备)捆绑在一起。

根据本发明的第四方案，提供了一种程序，使安装在控制分组转 发的通信设备上的计算机执行以下处理：基于用于识别所接收分组的 规则，确定是根据由控制所述通信设备的控制器设置的第一表条目转 发所接收分组，还是根据由所述通信设备设置的第二表条目转发所接 收分组；当确定根据所述第一表条目转发所接收分组时，请求所述控 制器设置所述第一表条目。此外，此程序可以存储在非临时的计算机 可读存储介质中。换句话说，可以以计算机程序产品体现本发明。

发明的有益效果

根据本发明，使通信设备能够承担控制器的控制负荷的一部分并 减少其负荷。

附图说明

图1是示出了本发明的第一示例性实施例的通信系统的配置示例 的示意图。

图2是示出了本发明的第一示例性实施例的表的配置示例的示意 图。

图3是用于解释本发明的第一示例性实施例的操作示例的示意图。

图4是用于解释本发明的第一示例性实施例的操作示例的示意图。

图5是示出了本发明的第一示例性实施例的通信设备210的配置示 例的示意图。

图6示出了本发明的第一示例性实施例的控制器100的配置示例的 示意图。

图7示出了本发明的第一示例性实施例的通信系统的配置示例的 示意图。

图8示出了本发明的第二示例性实施例的通信系统的配置示例的 示意图。

图9示出了本发明的第二示例性实施例的控制器的配置示例的示 意图。

图10示出了本发明的第二示例性实施例的中间控制器的配置示例 的示意图。

图11示出了本发明的第二示例性实施例的操作示例(授权范围的 通知)的序列图。

图12是示出了本发明的第二示例性实施例的控制器向中间控制器 授予权利的范围的示例的示意图。

图13是示出了本发明的第二示例性实施例的控制器向中间控制器 授予权利的范围的另一示例的示意图。

图14示出了本发明的第二示例性实施例的操作示例(在授权范围 内转发分组)的序列图。

图15示出了本发明的第二示例性实施例的中间控制器的操作示例 的流程图。

图16示出了本发明的第二示例性实施例的操作示例(在授权范围 之外转发分组)的序列图。

图17是用于解释本发明的第三示例性实施例的示意图。

图18是用于解释本发明的第四示例性实施例的示意图。

图19是示出了非专利文献2中描述的流条目的配置示例的示意图。

图20是用于解释非专利文献1和2的通信系统的配置示例的示意 图。

图21是用于解释非专利文献1和2的通信系统的操作示例的序列 图。

具体实施方式

(第一示例性实施例)

将描述本发明的第一示例性实施例。图1示出了通信系统，该通 信系统包括控制分组的转发路径的控制器100和多个通信设备210至 240。在此通信系统中，每个通信设备基于用于识别分组的规则识别所 接收分组，并确定其是根据控制器设置的规则转发所接收分组，还是 根据控制器没有设置的另一规则转发所接收分组。应当注意，为了简 洁和便于理解的目的，将在此概述中使用的附图标记加入元件中，它 们不将本发明限于所示出的实施例。

在图1中，通信设备210保存用于转发所接收的分组的表2000。 表2000保存至少两种条目：控制器设置的条目A和通信设备设置的条 目B。

控制器100根据来自通信设备210的请求产生条目A，并将所产 生的条目A设置到通信设备210保存的表2000中。例如，当接收到表 2000不能识别转发方法的新分组时，通信设备210请求控制器设置与 针对转发此新分组的方法相对应的条目。

此外，通信设备210自主地将条目B设置到表2000中。例如，通 信设备210通过基于例如RIP(路由信息协议)和OSPF(开放最短路 径优先)的路由协议与相邻通信设备220和240交换信息，将条目B 设置到表2000中。此外，例如，通信设备210通过得知所接收分组的 源MAC地址和已经接收到该分组的端口之间的联系，产生条目B并将 条目B设置在表2000中。其他通信设备220至240使用类似的方法设 置条目B。然而，通信设备210至240用来设置条目B所使用的方法 不限于这些。

图1示出了将条目A和条目B设置到表2000中的示例。将两个条 目设置到一个单个的表2000中促进了实现。在由硬件执行查阅表2000 的分组处理的情况下，通过以将条目A和B设置到单个的表2000中的 方式实现系统，可以有效地执行参考表2000的处理。

然而，如图2所示，每个通信设备可以保存由控制器设置的条目 A表2000-1和由通信设备210至240设置的条目B表2000-2。应当注 意，表的配置不限于图1和2中所示出的配置。

通信设备210基于用于识别所接收分组的识别规则，确定是根据 表2000中的条目A转发所接收分组还是根据表2000中的条目B转发 所接收分组。

根据本发明所应用的系统、如何向控制器和通信设备分配角色以 及是否需要宽区域集中控制，可以通过合适地合并分组的源/目的地和 分组的类型来设置识别规则。

例如，识别规则可以被配置为使得认识到应当将所接收分组在预 定的网络域内转发还是跨越多个网络域转发。换句话说，例如处于第 一网络和第二网络之间的边界上的通信设备(边缘节点)根据控制器 100转发所接收分组，并且在第一网络中传输数据的通信设备(核心 节点)自主地转发所接收分组。此外，识别规则可以被配置为使得辨 别所接收分组是否是预定的类型。此外，识别规则可以被配置为使得 辨别所接收分组是否与预定的源信息或目的地信息相关。然而，应当 注意，识别规则不限于此。

参考图3和4，描述图1所示出的通信系统的操作示例。应当注 意，本发明的操作不限于图3和4中所示出的操作。

图3示出了如图1所示的表2000包括条目A和B的情况的操作示 例。在图3中，识别规则包括在每个条目中。表2000具有多个条目A 和多个条目B。通信设备210将所接收分组的首部和表2000中每个条 目的识别规则作比较。当所述首部与任意识别规则匹配时，通信设备 210根据与此识别规则相对应的条目中所定义的转发方法转发所接收 分组。在此示例中，将所接收分组的首部和识别规则作比较，然而不 限于此，可以将所接收分组中的任意信息与识别规则作比较。

例如，当所接收分组与图3中的识别规则A-2匹配时，通信设备 210根据转发方法A-2转发所接收分组。此外，当所接收分组与图3 中的识别规则B-1匹配时，通信设备210根据转发方法B-1转发所接 收分组。

例如，当在表2000中不存在具有匹配识别规则的条目时，通信设 备210请求控制器100设置条目。

在上述操作示例中，通信设备210基于识别规则确定是根据由控 制器设置的条目A转发所接收分组还是根据由通信设备自主地设置的 条目B转发所接收分组。

图4示出了以下情况的操作示例：通信设备210具有存储由控制 器设置的条目A的表2000-1和存储由通信设备210自主地设置的条目 B的表2000-2，如图2所示。

通信设备210将所接收分组的首部和识别规则作比较，并确定是 查阅存储条目A的表2000-1还是查阅存储条目B的表2000-2。在此 示例中，将所接收分组的首部和识别规则作比较，然而不限于此，可 以将所接收分组中的任意信息与识别规则作比较。

条目A和B包括匹配规则，用于确定应当根据表中的哪个条目转 发所接收分组。此外，条目A和B还包括与匹配规则相对应的转发方 法。通信设备210将所接收分组的首部与每个条目的匹配规则作比较， 然后根据所匹配的条目的转发方法转发该分组。例如，匹配规则定义 分组的目的地的网络信息，并且当所接收分组的目的地匹配此网络信 息时，从该转发方法中定义的端口(指向目的地的端口)转发所接收 分组。在此示例中，将所接收分组的首部和匹配规则作比较，然而不 限于此，可以将所接收分组中的任意信息与匹配规则作比较。

此外，例如当通信设备210查阅表2000-1并且在表2000-1中不 存在具有匹配所接收分组的匹配规则的条目时，通信设备210请求控 制器100设置条目。

在上述操作示例中，通信设备210基于识别规则确定是根据由控 制器设置的条目A转发所接收分组还是根据由通信设备自主地设置的 条目B转发所接收分组。

参考图5和6，描述控制器100和通信设备210的配置示例。注 意的是，本发明不限于图5和6中所示出的配置实例。

图5示出了通信设备210的配置示例。注意的是，可以相同地配 置其他通信设备220至240。通信单元2104与控制器100通信。例如， 通信单元2104请求控制器100设置条目或接收与控制器100发送的条 目相关的信息。存储单元2105保存表2000和识别规则。分组处理单 元2100查阅存储单元2105保存的表2000和识别规则，并执行分组处 理，例如转发所接收分组、丢弃分组和重写分组首部。分组处理单元 2100包括条目设置单元2101、分组识别单元2102和判断单元2103。 条目设置单元2101基于预定的路由协议(例如RIP和OSPF)与相邻 的通信设备交换路由信息，并将条目设置到由存储单元2105保存的表 中。此外，条目设置单元2101通过得知所接收分组的源MAC地址和已 经接收到该分组的端口之间的联系，产生条目并将所产生的条目设置 在表中。分组识别单元2102基于存储单元2105保存的识别规则，识 别所接收分组。判断单元2103取决于分组识别单元2102的识别结果， 确定是根据由控制器100设置的条目处理所接收分组，还是根据由条 目设置单元2101设置的条目处理所接收分组。

图6示出了控制器100的配置示例。通信单元1001与通信设备 210通信。例如，通信单元1001从通信设备210接收用于设置条目的 请求，并向通信设备210发送与条目相关的信息。条目DB 1003存储 要设置在通信设备210中的条目候选。拓扑管理单元1005基于从通信 设备210至240收集的通信设备的连接关系，建立网络拓扑信息。计 算单元1004查阅由拓扑管理单元1005建立的网络拓扑信息，产生分 组的转发路径上由通信设备执行的分组处理方法和用于指定处理方法 的执行目标分组的匹配规则，以及产生要存储在条目DB中的条目。条 目管理单元1002将由计算单元1004产生的条目存储到条目DB 1003 中。此外，条目管理单元1002从条目DB 1003中存储的条目中选择要 用于通信设备210设置的条目。识别规则管理单元1006管理用于通信 设备210识别所接收分组的识别规则。例如，当表被配置为如图3中 的示例时，识别规则管理单元1006设置条目DB 1003的条目A中的识 别规则，并设置与通信设备210中的条目B相对应的识别规则。此外， 例如，当表被配置为如图4中的示例时，识别规则管理单元1006向通 信设备210通知识别规则。

例如，识别规则管理单元1006基于授予通信设备210的权利的范 围，产生识别规则，并为通信设备210设置识别规则。例如，当要在 预定网络域中转发所接收分组时，识别规则管理单元1006向通信设备 210授权，而当跨越多个网络域转发所接收分组时不进行授权。当所 接收分组属于控制器100未授予的权利的范围时，通信设备210根据 控制器100设置的条目处理所接收分组。当所接收分组属于控制器100 授予的权利的范围时，通信设备210自主地在其中设置条目。此外， 识别规则管理单元1006考虑控制器100的负荷以及控制器100和通信 设备210之间的拥塞状态，确定授予通信设备210的权利的范围，并 基于该范围产生识别规则。在这种配置中，当例如控制器100的负荷 高时，识别规则管理单元1006可以扩展授予通信设备210的权利的范 围。通过扩展授予通信设备210的权利的范围，面向控制器210的条 目设置请求的个数减少，从而减少了控制器100的负荷。

例如，当在表2000中不存在与所接收分组相对应的条目时，通信 设备210向控制器100发送条目设置请求。注意的是，通信设备210 根据将识别规则管理单元1006设置的识别规则和所接收分组作比较 的结果，确定是否向控制器100发送条目设置请求。换句话说，当所 接收分组在控制器100授予的权利的范围之外时，通信设备210向控 制器100发送条目设置请求。因此，控制器100的负荷可以降低。

在本发明中，控制器100可以将设置一些类型的条目A授权给图 7中所示的通信设备210至240。与控制器100设置所有类型的条目A 相比，控制器100的负荷降低。通信设备210至240在控制器1000 授权给它们的范围之内设置表2000中的条目A。就条目A的设置来说，，通信设备210使用例如识别规则来确定情况是否处于控制器100 授予的权利的范围之内。例如，通信设备210基于识别规则识别所接 收分组，并确定当所接收分组的类型与预定情况匹配时，对于条目A 的设置，控制器100授权该情况。

如所述，通过不请求控制器100控制所有分组的转发路径并让通 信设备承担部分(一些)责任，减少控制器100的负荷变为可能。根 据本发明所应用的系统、如何向控制器和通信设备分配角色以及是否 需要宽区域集中控制，可以通过合适地合并分组的源/目的地和分组的 类型来设置识别条件。

(第二示例性实施例)

接下来，参考附图详细描述本发明的第二示例性实施例。图8是 示出了本发明的第二示例性实施例的通信系统的配置的示意图。图8 示出了通信系统1的配置，通信系统1包括通信子系统2和3以及控 制这些通信子系统中的中间控制器12和13的控制器11。此外，通信 设备140至142与通信系统1相连。

此外，图8中控制器11、中间控制器12和13以及分组转发设 备21至23和31至33之间的虚线指示控制信道。作为控制协议，可 以使用非专利文献2中的开放流协议。

此外，在下文中假定通信子系统2(或3)是由中间控制器12(或 13)和三个分组转发设备21至23(或31至33)构成。图8中的配置 用于简化本发明的解释，图8中所示出的元件的个数和连接关系不限 于图8中的示例。

图9是示出了图8中所示出的控制器11的详细配置的示意图。图 9示出了配置，包括：与中间控制器12和13通信的通信单元51、控 制消息处理单元52、路径/动作计算单元53、中间控制器管理单元54、 拓扑管理单元55、流终止点管理单元56、处理规则管理单元57、处 理规则存储单元58、授权范围管理单元59和授权范围存储单元60。 以下描述这些单元的操作。

控制消息处理单元52分析从中间控制器12和13接收的控制消 息，并向控制器11中的对应处理装置给予控制消息信息。

路径/动作计算单元53基于关于流终止点管理单元56管理的流终 点的信息和由拓扑管理单元55建立的网络拓扑信息，导出分组的转发 路径和在该转发路径上作为虚拟分组转发装置操作的中间控制器执行 的动作。

中间控制器管理单元54管理控制器11控制的中间控制器12和 13的能力(例如，与通信终端和其他中间控制器管理的通信子系统相 连的端口的个数和类型，以及所支持的动作的类型等)。

拓扑管理单元55基于经由通信单元51收集的、由中间控制器12 和13管理的通信子系统之间的连接关系，建立网络拓扑信息。

流终点管理单元56管理用于指定在通信系统1中发生的流的终点 的信息。在当前示例性实施例中，流终点管理单元56将附着在可以连 接通信终端的端口的IP子网信息作为用于指定流终点的信息管理，然 而作为流终点而管理的信息不限于此。例如，作为用于指定流终点的 信息而管理的其他信息可以是外部节点的位置信息(能够指定哪个外 部节点与哪个通信设备的哪个端口相连的信息)。例如，可以基于来自 中间控制器12和13的分组转发能力通知和转发功能能力更新消息(在 下文中描述)，管理用于指定流终点的信息。

处理规则管理单元57管理在哪个中间控制器中设置哪种类型的 处理规则。更具体地，处理规则管理单元57将由路径/动作计算单元 53计算的结果作为处理规则注册在处理规则存储单元58中，并将该 处理规则设置在中间控制器12和13中。此外，基于来自中间控制器 12和13的处理规则设置通知和处理规则删除通知，当在中间控制器 12和13中所设置的处理规则改变时，处理规则管理单元57更新处理 规则存储单元58的对应内容。

此外，如果控制器11不需要保存处理规则时，可以省略处理规则 存储单元58。此外，可以使用在外部服务器中分离地提供处理规则存 储单元58的配置。

授权范围管理单元59管理允许每个中间控制器12和13自主地控 制转发路径的分组流的范围(与上述“识别条件”相对应；在下文的 以下示例性实施例中称为“授权范围”)。更具体地，当向中间控制器 12和13建立控制信道时，授权范围管理单元59确定授权范围，将其 注册到授权范围存储单元60中，在中间控制器12和13中设置授权范 围，并通过更新授权范围存储单元60的内容支持由于通信子系统之间 的拓扑改变而使授权范围改变的情形。此外，在图9中示出的示例中 的控制器11中提供授权范围存储单元60，然而，可以在外部服务器 中分离地提供授权范围存储单元60。

此外，在本示例性实施例中，将输入端口信息、输出端口信息和 由每个中间控制器12和13管理的通信子系统的流范围用作授权范围。 输入端口信息是流入通信子系统的流的输入端口信息。输出端口信息 是流出通信子系统的流的输出端口信息。流范围是指示在通信子系统 中流动的流的范围的信息，由源和目的地MAC(介质访问控制)地址、 源和目的IP地址以及源和目的地L4(层4)端口信息指定。在下文中 使用图12和13详细描述授权范围。

此外，在本示例性实施例中，授权范围管理单元59具有策略，该 策略用于创建允许中间控制器12和13控制通信子系统中任何通信的 转发路径的权限范围。

可以通过以下配置实现上述控制器11：将中间控制器管理单元54 和授权范围管理单元59加入作为基础的非专利文献1中描述的开放流 控制器中。

此外，可以通过使构成控制器11的计算机使用其硬件执行上述每 个处理的计算机程序实现图9中示出的控制器11的每个单元(处理装 置)。程序可以记录在计算机可读的非瞬时记录介质上。在这种情况下， 程序操作计算机作为功能性单元(或装置)，该功能性单元操作预期的 (已编程的)处理或步骤，从整体上构成控制器。

图10是示出了图2中的中间控制器12(或13)的详细配置的示 意图。图10示出了配置，包括：与中间控制器21至23和31至33 通信的通信单元51、控制消息处理单元52、路径/动作计算单元53、 中间控制器管理单元61、拓扑管理单元55、流终止点管理单元56、 处理规则管理单元57、处理规则存储单元58、授权范围管理单元59、 授权范围存储单元60和虚拟分组转发设备单元62。以下描述这些单 元的操作。

控制消息处理单元52分析从分组转发设备21至23和31至33 接收的控制消息，并向中间控制器12(或13)中的对应处理装置给予 控制消息信息。

路径/动作计算单元53通过来自分组转发设备的新流检测通知 (分组输入)消息，基于用于设置处理规则的请求，确认新检测分组 流是否属于由授权范围管理单元59管理的授权范围，如果其属于授权 范围，路径/动作计算单元53基于关于流终点管理单元56管理的流终 点的信息和由拓扑管理单元55建立的网络拓扑信息，导出分组的转发 路径和在该转发路径上分组转发设备执行的动作。另一方面，当新检 测分组流不属于授权范围时，路径/动作计算单元53请求控制器11 与虚拟分组转发设备单元62合作设置处理规则。此外，在经由虚拟分 组转发设备单元62从控制器11接收到用于设置处理规则的指令之后， 路径/动作计算单元53根据从处理器11接收的处理规则，导出分组的 转发路径和分组转发设备在该转发路径上执行的动作。

分组转发设备管理单元61管理中间控制器12(或13)控制的分 组转发设备的能力(例如，端口的个数和类型，以及所支持的动作的 类型等)。

拓扑管理单元55基于经由通信单元51收集的分组转发功能的连 接关系，建立网络拓扑信息。

流终点管理单元56管理用于指定在通信子系统中发生的流的终 点的信息。在当前示例性实施例中，流终点管理单元56将附着在可以 连接通信终端的端口的IP子网信息作为用于指定流终点的信息而管 理，然而作为流终点管理的信息不限于此，如控制器11的情况中那样。 可以基于例如来自分组转发设备的转发功能能力通知消息(在下文中 描述)合适地更新用于指定流终点的信息。

处理规则管理单元57管理在哪个分组转发设备中设置哪种类型。 更具体地，处理规则管理单元57将由路径/动作计算单元53计算的结 果作为处理规则注册在处理规则存储单元58中，并将该处理规则设置 在对应的分组转发设备中。此外，基于来自分组转发设备的处理规则 删除通知，当在分组转发设备中所设置的处理规则改变时，处理规则 管理单元57更新处理规则存储单元58的对应内容。

此外，如果中间控制器12(或13)不需要保存处理规则，可以省 略处理规则存储单元58。此外，可以使用在外部服务器中分离地提供 处理规则存储单元58的配置。

授权范围管理单元59管理控制器11授予的权利的范围。更具体 地，当在授权范围存储单元60中建立到控制器11的控制信道时，授 权范围管理单元59注册所通知的授权范围。此外，当由于通信子系统 之间的拓扑改变控制器11更新授权范围时，授权范围管理单元59更 新授权范围存储单元60的对应内容。注意的是，可以在外部服务器中 分离地提供授权范围存储单元60。

此外，在当前示例性实施例中，将输入端口信息、输出端口信息 和由每个中间控制器12和13管理的通信子系统的流范围用作授权范 围。输入端口信息是流入通信子系统的流的输入端口信息。输出端口 信息是流出通信子系统的流的输出端口信息。流范围是指示在通信子 系统中流动的流的范围的信息，由源和目的地MAC(介质访问控制) 地址、源和目的IP地址以及源和目的地L4(层4)端口信息指定。在 下文中使用图12和13详细描述授权范围。

虚拟分组转发设备单元62管理由一个或多个分组转发设备21至 23(或31至33)构成的通信子系统2(或3)，作为一个逻辑分组转 发设备。更具体地，与分组转发设备管理单元61和拓扑管理单元55 协作，虚拟分组转发设备单元62检测可与外部通信功能(例如属于其 他通信子系统的通信终端和分组转发设备)相连的端口组，并形成配 备有这些端口组的虚拟分组转发设备。当中间控制器12(或13)建立 到控制器11的控制信道时，虚拟分组转发设备单元62向控制器11 通知分组转发能力，由中间控制器12(或13)管理的通信子系统2(或 3)作为一个虚拟分组转发设备。此外，基于来自路径/动作计算单元 53的请求，虚拟分组转发设备单元62请求控制器11设置处理规则。 此外，当从控制器11接收到处理规则设置消息时，虚拟分组转发设备 单元62转换针对通信子系统的消息并请求路径/动作计算单元53设置 处理规则。

可以通过以下配置实现上述中间控制器12(或13)：将授权范围 管理单元59和虚拟分组转发设备单元62加入作为基础的非专利文献 1中描述的开放流控制器中。

此外，可以通过使构成中间控制器12的计算机使用其硬件执行上 述每个处理的计算机程序实现图10中示出的中间控制器12(或13) 的每个单元(处理装置)。程序可以记录在计算机可读的非瞬时记录介 质上。在这种情况下，程序操作计算机作为功能性单元(或装置)，该 功能性单元操作预期的(已编程的)处理或步骤，从整体上构成控制 器。

当接收到分组时，转发设备21至23和31至33在存储处理规则 的处理规则存储单元中搜索具有匹配所接收分组的匹配规则的处理规 则条目，并根据与处理规则相关联的动作执行处理(例如，向特定端 口转发、扩散、丢弃，等等)。

此外，每次当分组转发设备21至23和31至33处理分组时，其 重新设置对应的处理规则条目的动作字段中的定时器(到时信息)。一 旦定时器指示“0”，分组转发设备21至23和31至33就从处理规则 存储单元中删除对应的处理规则。这可以避免执行在剩余的不确定的 和非计划的动作中不再使用的处理规则。

此外，可以以和非专利文献1中的开放流交换机相同的配置实现 上述分组转发设备21至23和31至33。

接下来，参考附图详细描述本示例性实施例的整体操作。描述中 间控制器12建立到分组转发设备21至23的控制信道的一系列步骤和 中间控制器12建立到控制器11的控制信道的一系列步骤。

图11是示出了本发明的第二示例性实施例的操作(授权范围的通 知)的序列图。参考图11，中间控制器12首先建立到分组转发设备 21至22的控制信道(步骤S001和S003)，然后建立到控制器11的控 制信道(步骤S005)。此外，在图11中示出的示例中，中间控制器12 此后建立到分组转发设备23的控制信道(步骤S008)，改变通信子系 统2的配置，并向控制器11通知此改变(步骤S010)。

在图11中的序列之后，以下描述中间控制器12建立每个控制信 道的步骤以及其后过程。分组转发设备21与通信子系统2相连并建立 到中间控制器12的控制信道(S001)。这里所建立的控制信道是使用 针对控制信道的端口号的例如TCP(传输控制协议)或SSL(安全套接 字层)连接。然后，分组转发设备21通过转发能力通知消息向中间控 制器12通知关于其自身的信息(步骤S002)。

这里，由分组转发设备21发送的信息的示例是分组分组转发设备 自身的识别符(在此情况中是分组转发设备21)、关于每个端口的信 息和关于所支持动作的信息。作为分组转发设备的识别符，可以发送 例如IP地址。IP地址是分组转发设备的识别符的示例，并且可以发 送除了IP地址以外的信息作为识别符。端口信息的示例是分组转发设 备的每个端口的端口识别符、与每个端口相连的链路的类型以及和与 每个端口相连的链路的类型相关的信息。例如，端口个数可以用作端 口识别符。链路类型信息是例如指示具有不同帧类型的链路类型的信 息，例如以太网(注册商标)和光纤信道。取决于链路类型，与链路 相关的信息的内容发生改变。例如，当链路类型是以太网时，与链路 相关的信息的示例是MAC地址、所支持的通信速率和通信方法(例如 全双工、半双工等)。与链路相关的信息可以称为链路属性信息。除了 通常的分组转发，动作信息的示例是MAC地址转换、IP地址转换和L4 端口个数转换。

此外，可以使用在非专利文献2中作为特征请求的响应的特征回 复消息作为转发能力通知消息。

在从分组转发设备21接收到转发能力通知消息时，中间控制器 12将其内容存储在分组转发设备管理单元61中。

然后，中间控制器12遵循相同的过程，建立到分组转发设备22 的控制信道，并将分组转发设备22的转发能力存储在分组转发设备管 理单元61中(步骤S003和S004)。

然后，中间控制器12搜索通信子系统2的拓扑作为用于建立到控 制器11的控制信道的预先准备，并将结果存储在拓扑管理单元55中 (图1中省略)。一旦已经更新了拓扑信息，虚拟分组转发设备单元 62形成由分组转发设备21和22建立的通信子系统2，作为一个虚拟 分组转发设备。这里形成的虚拟分组转发设备具有两个端口。端口之 一是通信子系统2用于连接图8中通信终端140所使用的端口，通信 子系统2使用另一端口是用于连接分组转发设备31。这里，假定将1 和2作为端口号赋予它们。

在形成虚拟分组转发设备(其自身和分组转发设备21和22构成 通信子系统2)之后，中间控制器12建立到控制器11的控制信道(步 骤S005)，并通过转发能力通知消息向控制器11通知与虚拟分组转发 设备相关的信息(步骤S006)。此时，中间控制器12通知其是中间控 制器的事实。

在获取与中间控制器12的虚拟分组转发设备相关的信息时，控制 器11将信息存储到中间控制器管理单元54中。然后，当新注册或更 新中间控制器12的虚拟分组转发设备信息时，控制器11中的授权范 围管理单元59确定中间控制器12可以自由地控制路径的授权范围， 并通过授权范围消息向中间控制器12通知此授权范围(步骤S007)。

在当前示例性实施例中，在步骤S007中通知图12中示出的授权 范围。在图12中示出的示例中，基于与具有“1”和“2”作为端口号 的虚拟分组转发设备相关的信息，通知其中输入端口信息和输出端口 信息都是“1”并且流范围是“任意”(不指定任何目标)的授权范围。

在获取授权范围时，中间控制器12将其存储在授权范围管理单元 59中。

然后，当分组转发设备23尝试建立到中间控制器12的控制信道 时，中间控制器12遵循与分组转发设备21和22相同的过程建立到分 组转发设备23的控制信道(步骤S008)，并将分组转发设备23的转 发能力存储到分组转发设备管理单元61中(步骤S009)。然后，中间 控制器12再次搜索拓扑，并在检测到拓扑信息更新时，中间控制器 12再次形成虚拟分组转发设备并向控制器11通知与虚拟分组转发设 备相关的最近的信息(步骤S010)。

这里形成的虚拟分组转发设备具有四个端口。第一端口与图8中 的通信终端140相连，第二端口与分组转发设备31相连，第三端口与 分组转发设备33相连，并且第四端口与通信终端141相连。这里，假 定将1至4作为端口号赋予每个端口。

当检测到与中间控制器12的虚拟分组转发设备相关的信息的更 新时，控制器11重新确定授权范围，并通过授权消息向中间控制器 12通知该授权范围(步骤S011)。

在当前示例性实施例中，在步骤S011中通知图13中示出的授权 范围。在图13中示出的示例中，基于与将“3”和“4”加入“1”和 “2”作为之前的端口号的虚拟分组转发设备相关的信息，通知其中输 入端口信息和输出端口信息是“1”和“4”并且流范围是“任意” (不指定任何目标)的授权范围。换句话说，在当前示例性实施例中， 授予了允许中间控制器12自主地确定封闭在通信子系统中的任意通 信(通信终端之间的通信在通信子系统中完成)的转发路径的权利。

接下来，描述在已经建立控制信道之后的通信流。图14是示出了 图8中示出的通信终端140和141之间的通信流的序列图。注意的是， 图8中的通信终端140和141与通信子系统2中的分组转发设备21 和23分别相连。换句话说，通信终端140和141之间的通信是封闭在 通信子系统中的。

参考图14，通信终端140首先向通信终端141发送数据分组(步 骤S101)。在接收到数据分组时，分组转发设备21查阅处理规则存储 单元并搜索匹配所接收分组的处理规则条目。然而，因为此分组是从 通信终端140向通信终端141发送的第一分组，不存在匹配的处理规 则。因此，分组转发设备21缓冲所接收分组并向中间控制器12发送 新流检测通知(Packet-In消息)(步骤S102)。

此新流检测通知包括用于创建处理规则所需要的信息(例如MAC 地址、IP地址、端口号(每个包括发送者和接收者的))和分组接收 端口信息。

此外，分组转发设备21缓冲所接收分组并在上述步骤S102中向 中间控制器12仅发送用于创建处理规则所需的信息，然而，分组转发 设备21可以简单地向中间控制器12发送所接收的分组。

在接收到新流检测通知时，中间控制器12确定该分组流是否是应 当由中间控制器12控制的流，并计算和创建路径，如图15所示。这 里，因为如上所述通信终端140和141之间的通信封闭在通信子系统 之中，中间控制器12将处理规则设置在作为路径上的分组转发设备的 分组转发设备21和23中(步骤S103)。非专利文献2中的流修改消 息可以用于设置处理规则。

此外，中间控制器12向控制器11通知处理规则集合作为处理规 则设置通知。优选地，可以将这里通知的处理规则转换为与虚拟分组 转发设备单元62形成的虚拟分组转发设备相对应的处理规则。

在已经在分组转发设备21和23中设置了处理规则之后，分组转 发设备21根据处理规则中的动作字段的内容转发所缓冲的分组。因为 在此分组的转发路径上的分组转发设备21之后的分组转发设备23中 已经设置了处理规则，按照分组转发设备21和23的顺序转发此分组， 然后此分组到达通信终端141。

这里描述已经接收到新流检测通知的中间控制器12的操作。图 15是示出了已经接收到新流检测通知的中间控制器12的操作的流程 图。

参考图15，在接收到新流检测通知时(步骤S201)，中间控制器 12根据该新流检测通知中包括的信息指定已经检测到该新流的分组 转发设备及其输入端口，并检查该输入端口是否属于授权范围中定义 的输入端口信息(步骤S202)。已经检测到该新流的分组转发设备是 分组转发设备21，并且其输入端口是与通信终端140相连的具有端口 号“1”的端口。因此，在步骤S202中确定该流是在授权范围以内(控 制目标流)。

然后，中间控制器12检查随后接收的数据分组是否在授权范围中 定义的流范围内(步骤S203)。因为将流范围设置为不指定任何目标 的“任意”(如图13所示)，在步骤S203中确定数据分组是在授权范 围以内(控制目标流)。

然后，中间控制器12检查根据流终点管理单元56的管理信息和 所接收数据分组的目的地IP地址指定的数据分组的输出目的地是否 属于授权范围中定义的输出端口(步骤S204)。数据分组的目的地是 终端141，并且输出目的地是具有与通信终端141相连的分组转发设 备23的端口号“4”的端口。因此，在步骤S204中确定该数据分组的 输出目的地是在授权范围以内(控制目标流)。

在确定所接收的数据分组是在所描述的授权范围以内(控制目标 流)时，中间控制器12计算路径并创建处理规则(步骤S205)。这里， 假定计算其中按照分组转发设备21和23的顺序转发分组的路径是计 算结果。此外，假定中间控制器12创建具有以下匹配规则的处理规则： 该匹配规则要求源MAC地址和源IP地址是通信终端140的源MAC地址 和源IP地址，并且要求目的地MAC地址和目的地IP地址是通信终端 140的目的地MAC地址和目的地IP地址，以及执行沿着所计算路径转 发对应的分组的动作。

然后，中间控制器12设置所创建的处理规则(步骤S206)并向 控制器11发送处理规则设置通知(步骤S207)。此外，中间控制器12 将分组转发设备21和23中的处理规则集合经由处理规则管理单元57 注册到处理规则存储单元58中。

如果在步骤S202至S204中确定任意一项不在授权范围(控制目 标流)内，中间控制器12向控制器11发送新流检测通知。优选地， 可以将在新流检测通知中包括的分组转发设备的识别信息和输入端口 信息转换为与中间控制器12的虚拟分组转发设备单元62形成的虚拟 分组转发设备相对应的信息。针对此后的操作，如开始处使用图21 所描述，控制器11计算分组的转发路径，创建处理规则并将其设置到 每个分组转发设备中。

然后，参考图16，其是示出了图8中示出的通信终端140和141 之间的通信流的序列图。图8中的通信终端140与通信子系统2的分 组转发设备21相连，应当注意，图8中的通信终端142与通信子系统 3的分组转发设备32相连。换句话说，通信终端140和142之间的通 信不是封闭在通信子系统中。

首先，通信终端140向通信终端142发送数据分组(步骤S301)。 因为在此情况中也不存在匹配处理规则，分组转发设备21如同在图 13中的情况一样缓冲所接收的分组，并向中间控制器12发送新流检 测通知(步骤S302)。

如图15中流程图所示，在接收到新流检测通知时，中间控制器 12确定该分组流是否是应当由中间控制器12控制的流。如上所述， 因为通信终端140和142之间的通信在通信子系统中不封闭(输出端 口在中间控制器12的权利范围之外)，如图15中步骤S208所指示， 中间控制器12向控制器11发送新流检测通知(步骤S303)。

此外，优选地将新流检测通知中包括的分组转发设备的识别信息 和输入端口信息转换为与中间控制器12的虚拟分组转发设备单元62 形成的虚拟分组转发设备相对应的信息。

因为控制器11将每个通信子系统2和3认作一个单个虚拟分组转 发设备，在接收到新流检测通知时，控制器11计算分组的转发路径并 新创建要设置的处理规则。这里，假定计算按照与通信子系统2对应 的虚拟分组转发设备和与通信子系统3对应的虚拟分组转发设备的顺 序转发分组的路径作为路径计算的结果。此外，假定中间控制器11 决定匹配规则，该匹配规则规定源MAC地址和源IP地址是通信终端 140的源MAC地址和源IP地址，并且规定目的地MAC地址和目的地IP 地址是通信终端142的目的地MAC地址和目的地IP地址，并创建具有 沿着所计算路径转发分组的动作的处理规则。

控制器11将处理规则设置到作为分组转发路径上的中间控制器 的中间控制器12和13中(步骤S304)。控制器11经由处理规则管理 单元57将处理规则设置到处理规则存储单元58中。

当从控制器11接收到处理规则设置消息时，中间控制器12和13 使用虚拟分组转发设备单元62和路径/动作计算单元53转换用于其自 身控制的通信子系统的处理规则(从虚拟分组转发设备的处理规则转 换到实际的和单独的分组转发设备的处理规则)，并将所转换的处理规 则设置到分组转发设备中(步骤S305)。

在已经在分组转发设备中设置了处理规则之后，分组转发设备21 根据该处理规则转发所缓冲的分组(步骤S306-1)。因为在此分组的 转发路径上的分组转发设备中已经设置了处理规则，按照分组转发设 备21、22、31和32的顺序转发此分组，然后此分组到达通信终端142 (步骤S306-2至306-4)。类似地，根据设置的处理规则转发随后的 分组流(步骤S307-1至307-4)。

如所述，根据本发明的示例性实施例，可以减少控制器每个单元 的控制负荷(第一效果)。原因是，控制器是分层的和分散的，以便在 多个控制器之间分配用于控制分组的转发路径的负荷。

此外，根据本发明的示例性实施例，可以实现分组流的路径控制， 其不能或不应当通过仅使用低等级的控制器保存的本地网络信息来计 算(第二效果)。原因是，高等级控制器将能够或应当与低等级控制器 保存的本地网络信息寻址的范围规定为允许低等级控制器控制路径的 范围(授权范围)，并且高等级控制器控制超过此范围的路径。

此外，根据本发明的示例性实施例，可以实现详细的路径控制(第 三效果)。原因是，高等级控制器控制通信子系统层上的路径并仅规定 分组流的输入和输出(参考与虚拟分组转发设备相关的上面的描述)， 而由于高等级控制器仅规定授权范围的事实，低等级控制器可以执行 更详细的路径控制，其中允许低等级控制器控制路径，而不规定如何 处理每个单独的分组流。此时，通过让低等级控制器考虑每个低等级 控制器管理的范围中的网络状态执行路径控制，可以实现考虑随时改 变的网络状态的路径控制。

此外，根据本发明的示例性实施例，因为高等级控制器基于处理 规则(流条目)设置消息指定分组流的输入和输出，并且已经接收到 此指定的中间控制器基于处理规则(流条目)设置消息控制分组转发 设备，如果不存在确定所连接的分组转发设备是否是虚拟设备的需要， 高等级控制器可以基本地被配置为非专利文献2中的开放流控制器和 开放流交换机。

此外，针对分组转发设备，可以使用非专利文献2中的开放流交 换机的基本配置。

(第三示例性实施例)

接下来，参考附图详细描述将本发明应用到移动回程系统中的第 三示例性实施例。图17是用于解释本发明的第三示例性实施例的示意 图。

参考图17，在本发明的第三示例性实施例的通信系统1中，示出 了与第一和第二示例性实施例中的控制器11和100相对应的控制器 111和具有第一和第二示例性实施例的通信设备、分组转发设备和中 间控制器的功能的OFS 121至123和131至133。

支持无线技术(例如长期演进(LTE)和WiMax)的基站150、与 基站150合作向通信终端提供通信服务的接入网关(GW)152以及当 基站加入和链接时远程地设置新基站151的引导服务器153与当前示 例性实施例的通信系统1相连。

这里，其类型是数据分组的分组在向作为中间控制器操作的OFS 授予的权利范围中。详细地，输入端口信息是“任意”，输出端口信 息是“任意”，流范围声明：具有“17”作为IP首部中协议号指示用 户数据报协议(UDP)以及具有“2152”作为目的地端口号的分组流， 以识别流经LTE的回程的GPRS隧道协议(GTP)的数据分组，或具有 “47”作为IP首部中的协议号指示一般路由封装(GRE)的流，以识 别流经WiMax的回程的GRE分组。

针对这些分组，作为中间控制器而操作的每个OFS的路径控制策 略是：使用路径控制协议(例如开放最短路径优先(OSPF))并基于与 周围的OFS合作建立的路由表，转发这些分组。

根据上述本发明的第三示例性实施例，每个OFS执行流经回程系 统的数据分组(例如，图17中的基站150和接入GW152之间交换的 GTP或GRE数据分组)的路径的自主和分散控制，并且当其他种类的 业务发生时(例如当加入新基站151时用于新基站151访问引导服务 器153的业务，或来自作出非法接入的终端的业务)，高等级控制器 111在确定是否允许通信并且允许通信变为可能之后，设置路径。换 句话说，不像在第二示例性实施例中基于通信端点(即通信是否封闭 在通信子系统中)授予权利范围，可以根据业务类型授予权利范围。

(第四示例性实施例)

接下来，参考附图详细描述将本发明应用到宽分布数据中心系统 的第四示例性实施例。图18是用于解释本发明的第四示例性实施例的 示意图。

参考图18，在处理规则的第四示例性实施例的通信系统1中，示 出了与第一和第二示例性实施例中的控制器11和100相对应的控制器 111和具有第一和第二示例性实施例的通信设备、分组转发设备和中 间控制器的功能的OFS 121至124，以及向通信终端140和141提供 服务的服务器171和172。

在路由器网络中分散地布置OFS 121至124，并在OFS之间建立 IP隧道。此时，OFS将OFS之间建立的IP隧道虚拟地看作物理端口。 用这种配置，可以虚拟地建立覆盖路由器网络的宽分布数据中心系统。

此外，OFS 121至124向周围的路由器网络宣告：向服务器171 和172发送的分组应当向OFS 121至124转发。因为此，向接近通信 终端140和141的OFS发送用于通信终端140和141访问宽分布数据 中心系统的分组。

这里，授予作为中间控制器而操作的OFS的权利范围将输入端口 信息设置为“任意”，将输出端口信息设置为“任意”，并且将流范 围设置为“源和目的地的IP地址不是服务器171和172的分组”。

此外，针对这些分组流(向服务器171和172发送或来自服务器 171和172)，作为中间控制器而操作的每个OFS的路径控制策略是： 使用路径控制协议(例如SOPF)并基于与周围的OFS合作建立的路由 表，转发这些分组。

用这种配置，可以通过高等级控制器111控制用于接入宽分布数 据中心系统的分组流的路径，并且每个OFS可以执行其他分组流的路 径的自主和分散控制。

已经描述了本发明的示例性实施例，然而，本发明不限于上述示 例性实施例，并且在本发明的基本技术概念的范围中可以加入进一步 的修改、替换和调整。例如，在第二示例性实施例中，在控制器11 和分组转发设备之间仅存在一层中间控制器，然而，可以使用如下配 置：提供多层，并且高等级中间控制器向低等级中间控制器授予权力 (控制目标分组流)。

此外，通信设备、中间控制器、由中间控制器管理的分组转发设 备(OFS)以及上述示例性实施例中OFS的个数仅是示例，并不限于任 何特定的个数。

此外，在上述示例性实施例中，分组转发设备中数据分组的到达 触发每个控制器开始设置处理规则，然而，可以由除了数据分组的接 收之外的其他事件触发处理规则的设置。

此外，例如在第一示例性实施例中，中间控制器通过查阅识别条 件(授权范围)确定分组转发设备已经针对其发送用于设置处理规则 的请求的分组是否属于识别条件(授权范围)，用来识别其控制目标分 组流。如果该分组属于授权范围，则中间控制器控制该分组的路径， 如果该分组不属于授权范围，中间控制器遵从于高等级控制器。然而， 中间控制器配备的信息可以使用识别条件，用于识别不是中间控制器 的控制目标的分组流(未授权范围)。在此情况下，中间控制器确定针 对其已经作出用于设置处理规则的请求的分组流是否属于未授权范 围，如果属于，中间控制器遵从于高等级控制器，而如果不属于，中 间控制器控制其路径。

此外，在上述示例性实施例中，控制器11向中间控制器通知授权 范围，然而，可以通过另一功能(例如网络管理功能等)执行向中间 控制器通知授权范围的任务。

此外，在上述示例性实施例中，控制器向中间控制器通知授权范 围，然而，可以连同其一起通知其他信息，例如所允许的动作和路径 计算/选择策略。

此外，在上述示例性实施例中，经由中间控制器控制通信系统中 所有分组转发设备，然而，通信系统可以被配置为以下方式：中间控 制器控制一些分组转发设备而控制器直接控制其他分组转发设备。

此外，在第四示例性实施例中，服务器的IP地址用于指定授权范 围，然而，也可以使用子网。

已经假定路径控制目标分组是以太网帧而作出本发明的解释，然 而，本发明也可以应用于不包括以太网首部的IP分组。换句话说，本 发明不限于通信协议。

此外，专利文献和非专利文献的每个公开的全文以引用方式并入 本文中。应当注意，本发明的其他目的、特征和方案在整个公开中变 得明显，可以在不背离这里公开的和所附权利要求所请求保护的本发 明的主旨和范围的情况下作出修改。

也应当注意，所公开的和/或所请求保护的要素、事项和/或项目 可以落入上述修改中。

最后，总结本发明的模式。

(模式1)

一种通信系统，包括：

控制器，控制分组流的转发路径；以及

至少一个通信设备，确定是请求所述控制器控制分组流的所述转 发路径，还是通过查阅用于识别应当由所述通信设备控制的分组流的 识别条件来控制所述分组流的所述转发路径。

(模式2)

根据模式1所述的通信系统，其中

所述控制器和所述通信设备通过将处理规则设置在分组转发设备 中来控制分组流的所述转发路径，所述分组转发设备包括根据与应用 到分组的处理相关联的处理规则和用于指定应用处理的分组的匹配规 则处理所接收分组的分组处理单元。

(模式3)

根据模式2所述的通信系统，其中

当从所述分组转发设备接收到用于设置所述处理规则的请求时， 所述通信设备确定是请求所述控制器控制分组流的所述转发路径，还 是取决于用于设置所述处理规则的请求是否与识别条件匹配而控制所 述分组流的所述转发路径。

(模式4)

根据模式1到3中任意一项所述的通信系统，其中，

所述通信设备包括分组处理单元，所述分组处理单元根据与应用 到分组的处理相关联的处理规则和用于指定应用处理的分组的匹配规 则，处理所接收分组。

(模式5)

根据模式4所述的通信系统，其中

当接收到不与任何匹配规则相对应的分组时(所述匹配规则用于 识别应用所述处理规则的分组)，所述通信设备确定是请求所述控制器 控制分组流的所述转发路径还是取决于所接收分组是否与识别条件匹 配而控制所述分组流的所述转发路径。

(模式6)

根据模式1到5中任意一项所述的通信系统，其中，

将确定分组流是否在布置有通信设备的通信子系统中转发的条件 设置为识别条件。

(模式7)

根据模式1到5中任意一项所述的通信系统，其中，

将确定分组类型是否是预定类型的条件设置为识别条件。

(模式8)

根据模式1到5中任意一项所述的通信系统，其中，

将确定分组的源或目的地是否是预定的源或目的地的条件设置为 识别条件。

(模式9)

根据模式1到8中任意一项所述的通信系统，其中，

通过控制布置有通信设备的通信子系统中的分组转发设备，所述 通信设备构成虚拟分组转发设备。

(模式10)

根据模式9所述的通信系统，其中

所述控制器向所述通信设备发送用于虚拟分组转发设备的处理规 则；以及

所述通信设备将从所述控制器接收的所述处理规则转换为用于布 置有所述通信设备的所述通信子系统中的分组转发设备的处理规则。

(模式11)

根据模式1到10中任意一项所述的通信系统，其中，

所述识别条件由任意以下信息要素构成：输入端口信息，指示首 先接收分组的通信设备的范围和其输入端口的范围；输出端口信息， 指示所述分组的所述输出目的地的范围；以及流范围信息，指示变成 控制目标的流的范围。

(模式12)

一种通信系统，包括：

至少一个分组转发设备，包括分组处理单元，所述分组处理单元 根据与应用到分组的处理相关联的处理规则和用于指定应用处理的分 组的匹配规则，处理所接收分组；

至少一个中间控制器，将处理规则设置到所述分组转发设备中；

高等级控制器，控制所述中间控制器；以及

所述中间控制器确定是请求所述高等级控制器控制分组流的所述 转发路径，还是通过查阅用于识别应当由所述中间控制器控制的分组 流的识别条件来控制所述分组流的所述转发路径。

(模式13)

一种通信系统，包括：

多个分组转发设备，包括分组处理单元，所述分组处理单元根据 与应用到分组的处理相关联的处理规则和用于指定应用处理的分组的 匹配规则，处理所接收分组；

控制器，将处理规则设置到所述分组转发设备中；以及

设备，作为所述分组转发设备之外的中间控制器而操作，所述设 备确定是请求所述控制器控制分组流的所述转发路径，还是通过查阅 用于识别应当由所述通信设备控制的分组流的识别条件来控制所述分 组流的所述转发路径。

(模式14)

一种通信设备，确定是请求所述控制器控制分组流的所述转发路 径，还是通过查阅用于识别应当由所述通信设备控制的分组流的识别 条件来控制所述分组流的所述转发路径。

(模式15)

根据模式14所述的通信设备，通过将处理规则设置在分组转发设 备中来控制分组流的所述转发路径，所述分组转发设备包括分组处理 单元，所述分组处理单元根据与应用到分组的处理相关联的处理规则 和用于指定应用处理的分组的匹配规则处理所接收分组。

(模式16)

根据模式15所述的通信设备，当从所述分组转发设备接收到用于 设置所述处理规则的请求时，所述通信设备确定是请求所述控制器控 制分组流的所述转发路径还是取决于用于设置所述处理规则的请求是 否与识别条件匹配来控制所述分组流的所述转发路径。

(模式17)

根据模式14至16中任意一项所述的通信设备，包括处理单元， 所述处理单元根据与应用到分组的处理相关联的处理规则和用于指定 应用处理的分组的匹配规则来处理所接收分组。

(模式18)

根据模式17所述的通信设备，当接收到不与任何用于识别应用处 理规则的分组的匹配规则相对应的分组时，所述通信设备确定是请求 所述控制器是控制分组流的所述转发路径还是取决于所接收分组是否 与识别条件匹配来控制所述分组流的所述转发路径。

(模式19)

根据模式14至18中任意一项所述的通信设备，其中，

将确定分组流是否在布置有通信设备的通信子系统中转发的条件 设置为识别条件。

(模式20)

根据模式14至18中任意一项所述的通信设备，其中，

将确定分组类型是否是预定类型的条件设置为识别条件。

(模式21)

根据模式14至18中任意一项所述的通信设备，其中，

将确定分组的源或目的地是否是预定的源或目的地的条件设置为 识别条件。

(模式22)

根据模式14至21中任意一项所述的通信设备，通过控制布置有 所述通信设备的通信子系统中的分组转发设备，构成至少一个虚拟分 组转发设备。

(模式23)

根据模式22所述的通信设备，将从所述控制器接收的用于虚拟分 组转发设备的处理规则转换为用于布置有所述通信设备的所述通信子 系统中的分组转发设备的处理规则。

(模式24)

根据模式14至23中任意一项所述的通信设备，其中，

所述识别条件由任意以下信息要素构成：输入端口信息，指示首 先接收分组的通信设备的范围和其输入端口的范围；输出端口信息， 指示所述分组的所述输出目的地的范围；以及流范围信息，指示变成 控制目标的流的范围。

(模式25)

一种控制器，通过控制分组转发设备，向构成虚拟分组转发设备 的通信设备发送用于虚拟分组转发设备的处理规则，控制分组流的转 发路径。

(模式26)

根据模式25所述的控制器，设置用于所述通信设备的识别条件 (设置向所述通信设备授予的权利的范围)。

(模式27)

一种用于控制分组流的转发路径的方法，包括以下步骤：

使与控制分组流的转发路径的控制器相连的至少一个通信设备接 收用于识别应当由所述通信设备控制的分组流的识别条件的设置；以 及

使所述通信设备确定是请求所述控制器控制分组流的转发路径还 是通过查阅识别条件来控制所述分组流的所述转发路径。

(模式28)

一种程序，使与控制分组流的转发路径的控制器相连的通信设备 执行以下处理：

当所述通信设备通过查阅用于识别应当由所述通信设备控制的分 组流的识别条件而确定请求所述控制器控制所述分组流的所述转发路 径时，请求所述控制器控制分组流的所述转发路径；以及

当所述通信设备通过查阅所述识别条件而确定控制所述分组流的 所述转发路径时，控制分组流的所述转发路径。

附图标记列表

1：通信系统

2、3：通信子系统

11、100、111、114：控制器

12、13、112、113：中间控制器

21至23、31至33：分组转发设备

51：通信单元

52：控制消息处理单元

53：路径/动作计算单元

54：中间控制器管理单元

55：拓扑管理单元

56：流终点管理单元

57：处理规则管理单元

58：处理规则存储单元

59：授权范围管理单元

60：授权范围存储单元

61：分组转发设备管理单元

62：虚拟分组转发设备单元

121至124、131至133：开放流交换机(OFS)

140至142：通信终端

150：基站

151：新基站

152：接入网关(GW)

153：引导服务器

160至162：路由器网络

171、172：服务器

210至240：通信设备

310至330：通信终端

1001：通信单元

1002：条目管理单元

1003：条目数据库(条目DB)

1004：计算单元

1005：拓扑管理单元

1006：识别规则管理单元

2000、2000-1、2000-2：表

2100：分组处理单元

2101：条目设置单元

2102：分组识别单元

2103：判断单元

2104：通信单元

2105：存储单元