具体实施方式

除非另有定义，本文所使用的所有的技术和科学术语与属于本申请的技术领域的技术人员通常理解的含义相同；本文中在申请的说明书中所使用的术语只是为了描述具体的实施例的目的，不是旨在于限制本申请；本申请的说明书和权利要求书及上述附图说明中的术语“包括”和“具有”以及它们的任何变形，意图在于覆盖不排他的包含。本申请的说明书和权利要求书或上述附图中的术语“第一”、“第二”等是用于区别不同对象，而不是用于描述特定顺序。

在本文中提及“实施例”意味着，结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例，也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员显式地和隐式地理解的是，本文所描述的实施例可以与其它实施例相结合。

为了使本技术领域的人员更好地理解本申请方案，下面将结合附图，对本申请实施例中的技术方案进行清楚、完整地描述。

如图1所示，系统架构100可以包括第一终端设备101、第二终端设备102、第三终端设备103，网络104和服务器105。网络104用以在第一终端设备101、第二终端设备102、第三终端设备103和服务器105之间提供通信链路的介质。网络104可以包括各种连接类型，例如有线、无线通信链路或者光纤电缆等等。

用户可以使用第一终端设备101、第二终端设备102、第三终端设备103通过网络104与服务器105交互，以接收或发送消息等。第一终端设备101、第二终端设备102、第三终端设备103上可以安装有各种通讯客户端应用，例如网页浏览器应用、购物类应用、搜索类应用、即时通信工具、邮箱客户端、社交平台软件等。

第一终端设备101、第二终端设备102、第三终端设备103可以是具有显示屏并且支持网页浏览的各种电子设备，包括但不限于智能手机、平板电脑、电子书阅读器、MP3播放器( Moving Picture E基于路由表和流表使用外置过滤器的QoSpertsGroup Audio LayerIII，动态影像专家压缩标准音频层面3 )、MP4( Moving PictureE基于路由表和流表使用外置过滤器的QoSperts Group Audio Layer IV，动态影像专家压缩标准音频层面4 )播放器、膝上型便携计算机和台式计算机等等。

服务器105可以是提供各种服务的服务器，例如对第一终端设备101、第二终端设备102、第三终端设备103上显示的页面提供支持的后台服务器。

需要说明的是，本申请实施例所提供的基于路由表和流表使用外置过滤器的QoS方法一般由服务器/终端设备执行，相应地，基于路由表和流表使用外置过滤器的QoS装置一般设置于服务器/终端设备中。

应该理解，图1中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要，可以具有任意数目的终端设备、网络和服务器。

继续参考图2，示出了根据本申请的基于路由表和流表使用外置过滤器的QoS的方法的一个实施例的流程图。所述的基于路由表和流表使用外置过滤器的QoS方法，包括以下步骤：

步骤S201，配置路由表和流表，根据配置的路由表和流表，把三层互联接口放置于所述路由表中，通过所述流表，把二层网关接口匹配到所述路由表进行处理。

图5是图2中采用的路由表和流表配置流程图。如图5所示，在本实施例中，配置路由表和流表的步骤还包括：

步骤S301，将QoS设备至少配置一个in2out接口和一个out2in接口，建立第一路由表vrf0和第二路由表vrf1，把in2out接口配置在第二路由表vrf1中，把out2in接口配置在第一路由表vrf0中；

步骤S302，在第二路由表vrf1中添加默认路由，通过out2in接口发出下一跳为公网网关，在第一路由表vrf0中添加32位的EIP回程路由，通过in2out接口发出；

步骤S303，创建回环接口loopback，在所述回环接口上配置对应网段的网关地址；

步骤S304，回环接口loopback通过虚拟局域网VLAN与in2out接口桥接；

步骤S305，创建第一流表，匹配IP报文，设置IP报文的路由表为第二路由表vrf1；

步骤S306，创建第二流表，匹配所述IP报文的源IP，查找到对应的QoS规则进行限速；

步骤S307，创建第三流表，匹配所述IP报文的目标IP，查找到对应的QoS规则进行限速；

步骤S308，把第二流表应用到in2out接口，把第一流表和第二流表应用到环接口loopback，把第三流表应用到out2in接口。

在本实施例中，基于路由表和流表使用外置过滤器的QoS方法运行于其上的电子设备(例如图1所示的服务器/终端设备)可以通过有线连接方式或者无线连接方式，接收基于路由表和流表使用外置过滤器的QoS请求。需要指出的是，上述无线连接方式可以包括但不限于3G/4G/5G连接、WiFi连接、蓝牙连接、WiMA基于路由表和流表使用外置过滤器的QoS连接、Zigbee连接、UWB( ultra wideband )连接、以及其他现在已知或将来开发的无线连接方式。

在本实施例中，根据路由表和流表的配置，把三层互联接口放置于所述路由表中，通过所述流表，把二层网关接口匹配到所述路由表进行处理还包括步骤：建立路由表和三层互联接口和二层网关接口之间的映射关系。例如in2out是设置为路由vrf1的，那从in2out进来的流量就会去路由表vrf1查找路由并转发，loop0没有设置它的路由表，那么默认就是路由表vrf0的，但是因为流表是优先于路由表进行处理的，从loop0进来的流量，会在流表当中设置了这个报文之后去查找的路由表可以为指定的另一个。

步骤S202，把经过所述三层互联接口或者二层网关接口的内部流量，按照QoS规则，转发至外置过滤器中。

在本实施例中，把经过所述三层互联接口或者二层网关接口的内部流量，按照QoS规则，转发至外置过滤器中的步骤可以根据二层流量和三层流量来区分，进行不同的流程转发流程。图4是图2中采用的二层流量数据转发过程中数据走向的一种具体实施方式的流程图。如图4所示，如二层流量的数据转发流程具体包括：

报文由与QoS设备直接二层互联的内部虚拟机VM，送到虚拟机VM网关net/len gw；

报文从in2out接口进入，并通过虚拟局域网vlan送到回环接口loopback；

回环接口loopback匹配第一流表，把报文的路由表设为第二路由表vrf1；

报文匹配第二流表，按照QoS规则进行限速；

允许通行的报文，查找第二路由表vrf1，匹配到默认路由，把报文通过out2in接口送到公网网关；

公网网关把报文送到过滤器进行策略过滤；

允许通行的报文由防火墙送回公网网关；

公网网关把报文送回out2in接口；

out2in接口匹配第三流表，按照QoS规则进行限速；

允许通行的报文，查找第一路由表vrf0，匹配到回程路由，回程路由的发出口为回程接口loopback；

报文通过回程接口loopback发出，通过虚拟局域网vlan把报文通过in2out接口送发到对应的虚拟机VM。

QoS设备既可以提供三层接入也可以提供二层接入，三层接入指的是接收的流量是通过另一台路由器转发过来的，二层接入指的是直接和虚拟机VM二层互联，比如虚拟机VM的IP地址为192.168.0.100/24，那么QoS设备将会设置192.168.0.1/24这个网关地址，而网关地址将会设置到loopback接口上，loopback再通过桥接的方式连接QoS设备的真正物理接口in2out，也可以桥接至物理接口in2out的虚拟接口vlan上。虚拟机VM需要往互联网发送报文时，需要首先将报文发到它的网关，即QoS设备上的loopback接口上的网关地址。

图3是图2中采用的三层流量数据转发过程中数据走向的一种具体实施方式的流程图。如图3所示，三层流量的数据转发流程具体包括：

虚拟机发出的报文，经过路由器路由至QoS设备的in2out接口；

In2out接口匹配第二流表，按照QoS规则进行限速处理；

允许通行的报文查找第二路由表vrf1，匹配到默认路由，把报文通过out2in接口送到公网网关；

公网网关把报文送到过滤器进行策略过滤；

允许通行的报文由防火墙送回公网网关；

公网网关把报文送到out2in接口；

out2in接口匹配第三流表，按照QoS规则进行限速处理；

允许通行的报文查找第一路由表vrf0，匹配到回程路由，把报文通过in2out接口发到对应的虚拟机VM。

把经过所述三层互联接口或者二层网关接口的内部流量，按照QOS规则，转发至外置过滤器中的步骤具体包括：

报文由与QOS设备直接二层互联的内部虚拟机VM，送到虚拟机VM网关net/len gw；

报文从in2out接口进入，并通过虚拟局域网vlan送到回环接口loopback；

回环接口loopback匹配第一流表，把报文的路由表设为第二路由表vrf1；

报文匹配第二流表，按照QoS规则进行限速；

允许通行的报文，查找第二路由表vrf1，匹配到默认路由，把报文通过out2in接口送到公网网关；

公网网关把报文送到过滤器进行策略过滤；

允许通行的报文由防火墙送回公网网关；

公网网关把报文送回out2in接口；

out2in接口匹配第三流表，按照QoS规则进行限速；

允许通行的报文，查找第一路由表vrf0，匹配到回程路由，回程路由的发出口为回程接口loopback；

报文通过回程接口loopback发出，通过虚拟局域网vlan把报文通过in2out接口送发到对应的虚拟机VM。

在所述把经过所述三层互联接口或者二层网关接口的内部流量，按照QoS规则，转发至外置过滤器中的步骤之后还包括：

将经过所述三层互联接口或者二层网关接口的内部流量，按照QoS规则，进行过滤的网络流量信息存储至区块链中。

二层互联的网关接口的流量处理方式，是没有办法通过直接只设置路由表的方法，把网关接口上的流量通过默认路由转发的，因为网关接口配置了网关地址如192.168.0.1/24之后，那么它所属的路由表天然就会存在192.168.0.0/24的直连路由，假如不使用流表去设置它处理的流量，经过它处理的报文，就将会匹配直连路由并转发，所以需要使用流表把经过它处理的流量先设置到另外的路表由去。本申请通过区分二层流量和三层流程，采取不同的数据转发机制，减少了数据转发的时间。

图6是根据本申请的基于路由表和流表使用外置过滤器的QoS方法的另一个实施例的流程图。如图6所示，一种基于路由表和流表使用外置过滤器的QoS方法，流量传送的步骤是：

S401，In2out接口接收到流量；

S402，判断所接收到的流量是否属于二层流量，如果是，则进入步骤S403，如果否，则进入步骤S406；

S403，通过vlan送至loopback回环接口；

S404，匹配流表1；

S405，把报文设置vrf1；

S406，匹配流表2；

S407，找到QoS进行限速处理；

S408，判断是否允许当前流量通行，如果是，则进入步骤S409，如果否，则进入步骤S414丢弃该报文；

S409，查找vrf1，使用默认路由；

S410，通过out2in接口发送至公网网关；

S411，由公网网关发送至防火墙，进行策略过滤；

S412，判断是否允许通行，如果是，则进入步骤S413，否则，则进入步骤S414；

S413，防火墙把报文发回公网网关，再发至out2in接口，执行步骤S415；

S414，丢弃该报文。

S415，out2in接收到流量；

S416，匹配流表3；

S417，找到QoS进行限速处理；

S418，判断是否允许通行，如果运行通行，则进入步骤S419，否则进入步骤S414；

S419，查找vrf0，找到回程路由；

S420，判断是否需要从回环接口loopback发出，如果是，则进入步骤S421，否则进入步骤S422；

S421，发至回环接口loopback，再通过vlan发至in2out接口；

S422，由in2out接口发出。

需要强调的是，为进一步保证上述经过过滤的网络流量信息的私密和安全性，上述经过过滤的网络流量信息还可以存储于一区块链的节点中。

本申请所指区块链是分布式数据存储、点对点传输、共识机制、加密算法等计算机技术的新型应用模式。区块链(Blockchain)，本质上是一个去中心化的数据库，是一串使用密码学方法相关联产生的数据块，每一个数据块中包含了一批次网络交易的信息，用于验证其信息的有效性(防伪)和生成下一个区块。区块链可以包括区块链底层平台、平台产品服务层以及应用服务层等。

本申请可用于众多通用或专用的计算机系统环境或配置中。例如：个人计算机、服务器计算机、手持设备或便携式设备、平板型设备、多处理器系统、基于微处理器的系统、置顶盒、可编程的消费电子设备、网络PC、小型计算机、大型计算机、包括以上任何系统或设备的分布式计算环境等等。本申请可以在由计算机执行的计算机可执行指令的一般上下文中描述，例如程序模块。一般地，程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本申请，在这些分布式计算环境中，由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中，程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机可读指令来指令相关的硬件来完成，该计算机可读指令可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，前述的存储介质可为磁碟、光盘、只读存储记忆体（Read-Only Memory，ROM）等非易失性存储介质，或随机存储记忆体（Random Access Memory，RAM）等。

应该理解的是，虽然附图的流程图中的各个步骤按照箭头的指示依次显示，但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明，这些步骤的执行并没有严格的顺序限制，其可以以其他的顺序执行。而且，附图的流程图中的至少一部分步骤可以包括多个子步骤或者多个阶段，这些子步骤或者阶段并不必然是在同一时刻执行完成，而是可以在不同的时刻执行，其执行顺序也不必然是依次进行，而是可以与其他步骤或者其他步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。

进一步参考图7，作为对上述图2所示方法的实现，本申请提供了一种基于路由表和流表使用外置过滤器的QoS装置的一个实施例，该装置与图2所示的方法相对应，该装置具体可以应用于各种电子设备中。

如图4所示，本实施例所述的基于路由表和流表使用外置过滤器的QoS装置400包括：配置模块401、转发模块402。其中：配置模块401，用于配置路由表和流表，根据配置的配置路由表和流表，把三层互联接口放置于所述路由表中，通过所述流表，把二层网关接口匹配到所述路由表进行处理；转发模块402，用于把经过所述三层互联接口或者二层网关接口的内部流量，按照QoS规则，转发至外置过滤器中。

在本实施例的一些可选的实现方式中，配置模块401还可以包括：

接口、路由表配置模块411，用于将QoS设备至少配置一个in2out接口和一个out2in接口，建立第一路由表vrf0和第二路由表vrf1，把in2out接口配置在第二路由表vrf1中，把out2in接口配置在第一路由表vrf0中，在第二路由表vrf1中添加默认路由，通过out2in接口发出下一跳为公网网关，在第一路由表vrf0中添加32位的EIP回程路由，通过in2out接口发出，

创建回环接口loopback，在所述回环接口上配置对应网段的网关地址，

回环接口loopback通过虚拟局域网VLAN与in2out接口桥接；

流表配置模块412，用于创建第一流表，匹配IP报文，设置IP报文的路由表为第二路由表vrf1，

创建第二流表，匹配所述IP报文的源IP，查找到对应的QoS规则进行限速，

创建第三流表，匹配所述IP报文的目标IP，查找到对应的QoS规则进行限速，

把第二流表应用到in2out接口，把第一流表和第二流表应用到环接口loopback，把第三流表应用到out2in接口。

采用本实施例，通过把QoS设备的in2out接口和out2in接口分别放置在不同的虚拟路由转发vrf表中，in2out接口属于的虚拟路由转发表vrf只进行默认路由转发，out2in接口属于的虚拟路由转发表vrf负责EIP的回程路由转发，再把二层网关回环loopback接口，通过流表把其收到的报文设置为虚拟路由转发表vrf1，即使是二层的报文，也可以首先进行默认路由的转发，通过这样的方式把内部的所有流量都先转发至公网网关，由此流量全部先转入外部的防火墙过滤器，通过防火墙统一进行过滤，再回转至公网网关和QoS设备，QoS设备在out2in接口查找虚拟路由转发vrf0，把报文送到回环接口loopback，或者直接由in2out接口发出至对应的虚拟机VM。通过这样的方法，内部所有的流量都能够先通过外部的防火墙，通过流表和路由表的方法性能较高，而且灵活扩展，比如可以根据内部的策略，可以选择性地把某部分流量送至外部防火墙，直接设置虚拟路由转发vrf1即可以，或者设置流表1的匹配规则。

为解决上述技术问题，本申请实施例还提供计算机设备。具体请参阅图8，图8为本实施例计算机设备基本结构框图。

所述计算机设备6包括通过系统总线相互通信连接存储器61、处理器62、网络接口63。需要指出的是，图中仅示出了具有组件61-63的计算机设备6，但是应理解的是，并不要求实施所有示出的组件，可以替代的实施更多或者更少的组件。其中，本技术领域技术人员可以理解，这里的计算机设备是一种能够按照事先设定或存储的指令，自动进行数值计算和/或信息处理的设备，其硬件包括但不限于微处理器、专用集成电路(ApplicationSpecific Integrated Circuit，ASIC)、可编程门阵列(Field－Programmable GateArray，FPGA)、数字处理器 (Digital Signal Processor，DSP)、嵌入式设备等。

所述计算机设备可以是桌上型计算机、笔记本、掌上电脑及云端服务器等计算设备。所述计算机设备可以与用户通过键盘、鼠标、遥控器、触摸板或声控设备等方式进行人机交互。

所述存储器61至少包括一种类型的可读存储介质，所述可读存储介质包括闪存、硬盘、多媒体卡、卡型存储器（例如，SD或D基于路由表和流表使用外置过滤器的QoS存储器等）、随机访问存储器（RAM）、静态随机访问存储器（SRAM）、只读存储器（ROM）、电可擦除可编程只读存储器（EEPROM）、可编程只读存储器（PROM）、磁性存储器、磁盘、光盘等。在一些实施例中，所述存储器61可以是所述计算机设备6的内部存储单元，例如该计算机设备6的硬盘或内存。在另一些实施例中，所述存储器61也可以是所述计算机设备6的外部存储设备，例如该计算机设备6上配备的插接式硬盘，智能存储卡（Smart Media Card, SMC），安全数字（Secure Digital, SD）卡，闪存卡（Flash Card）等。当然，所述存储器61还可以既包括所述计算机设备6的内部存储单元也包括其外部存储设备。本实施例中，所述存储器61通常用于存储安装于所述计算机设备6的操作系统和各类应用软件，例如基于路由表和流表使用外置过滤器的QoS方法的计算机可读指令等。此外，所述存储器61还可以用于暂时地存储已经输出或者将要输出的各类数据。

所述处理器62在一些实施例中可以是中央处理器（Central Processing Unit，CPU）、控制器、微控制器、微处理器、或其他数据处理芯片。该处理器62通常用于控制所述计算机设备6的总体操作。本实施例中，所述处理器62用于运行所述存储器61中存储的计算机可读指令或者处理数据，例如运行所述基于路由表和流表使用外置过滤器的QoS方法的计算机可读指令。

所述网络接口63可包括无线网络接口或有线网络接口，该网络接口63通常用于在所述计算机设备6与其他电子设备之间建立通信连接。

采用本实施例，通过把QoS设备的in2out接口和out2in接口分别放置在不同的虚拟路由转发vrf表中，in2out接口属于的虚拟路由转发表vrf只进行默认路由转发，out2in接口属于的虚拟路由转发表vrf负责EIP的回程路由转发，再把二层网关回环loopback接口，通过流表把其收到的报文设置为虚拟路由转发表vrf1，即使是二层的报文，也可以首先进行默认路由的转发，通过这样的方式把内部的所有流量都先转发至公网网关，由此流量全部先转入外部的防火墙过滤器，通过防火墙统一进行过滤，再回转至公网网关和QoS设备，QoS设备在out2in接口查找虚拟路由转发vrf0，把报文送到回环接口loopback，或者直接由in2out接口发出至对应的虚拟机VM。通过这样的方法，内部所有的流量都能够先通过外部的防火墙，通过流表和路由表的方法性能较高，而且灵活扩展，比如可以根据内部的策略，可以选择性地把某部分流量送至外部防火墙，直接设置虚拟路由转发vrf1即可以，或者设置流表1的匹配规则。

本申请还提供了另一种实施方式，即提供一种计算机可读存储介质，所述计算机可读存储介质存储有计算机可读指令，所述计算机可读指令可被至少一个处理器执行，以使所述至少一个处理器执行如上述的基于路由表和流表使用外置过滤器的QoS方法的步骤。

采用本实施例，通过把QoS设备的in2out接口和out2in接口分别放置在不同的虚拟路由转发vrf表中，in2out接口属于的虚拟路由转发表vrf只进行默认路由转发，out2in接口属于的虚拟路由转发表vrf负责EIP的回程路由转发，再把二层网关回环loopback接口，通过流表把其收到的报文设置为虚拟路由转发表vrf1，即使是二层的报文，也可以首先进行默认路由的转发，通过这样的方式把内部的所有流量都先转发至公网网关，由此流量全部先转入外部的防火墙过滤器，通过防火墙统一进行过滤，再回转至公网网关和QoS设备，QoS设备在out2in接口查找虚拟路由转发vrf0，把报文送到回环接口loopback，或者直接由in2out接口发出至对应的虚拟机VM。通过这样的方法，内部所有的流量都能够先通过外部的防火墙，通过流表和路由表的方法性能较高，而且灵活扩展，比如可以根据内部的策略，可以选择性地把某部分流量送至外部防火墙，直接设置虚拟路由转发vrf1即可以，或者设置流表1的匹配规则。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质（如ROM/RAM、磁碟、光盘）中，包括若干指令用以使得一台终端设备（可以是手机，计算机，服务器，空调器，或者网络设备等）执行本申请各个实施例所述的方法。

显然，以上所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例，附图中给出了本申请的较佳实施例，但并不限制本申请的专利范围。本申请可以以许多不同的形式来实现，相反地，提供这些实施例的目的是使对本申请的公开内容的理解更加透彻全面。尽管参照前述实施例对本申请进行了详细的说明，对于本领域的技术人员来而言，其依然可以对前述各具体实施方式所记载的技术方案进行修改，或者对其中部分技术特征进行等效替换。凡是利用本申请说明书及附图内容所做的等效结构，直接或间接运用在其他相关的技术领域，均同理在本申请专利保护范围之内。