CN105743734A - 虚拟机镜像流量传输的控制方法和装置 - Google Patents
虚拟机镜像流量传输的控制方法和装置 Download PDFInfo
- Publication number
- CN105743734A CN105743734A CN201610045169.8A CN201610045169A CN105743734A CN 105743734 A CN105743734 A CN 105743734A CN 201610045169 A CN201610045169 A CN 201610045169A CN 105743734 A CN105743734 A CN 105743734A
- Authority
- CN
- China
- Prior art keywords
- virtual switch
- virtual
- mirror image
- switch
- image flow
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/02—Capturing of monitoring data
- H04L43/026—Capturing of monitoring data using flow identification
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/20—Support for services
- H04L49/208—Port mirroring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/70—Virtual switches
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Abstract
本发明提供了一种虚拟机镜像流量传输的控制方法和装置,该方法包括:创建第一虚拟交换机和第二虚拟交换机的端口,并将第一虚拟交换机和第二虚拟交换机进行连接;设置第一虚拟交换机和第二虚拟交换机的镜像端口,并对在第一虚拟交换机上的镜像端口进行相关的配置;将第二虚拟交换机设置为openflow交换机;对第二虚拟交换机配置第一预设流表规则,使第二虚拟交换机执行第一预设流表规则,将从镜像端口传输过来的镜像流量的首部字段进行修改,并通过被监控虚拟机所属物理机上的物理网卡将修改后的镜像流量发送给物理交换机,物理交换机将修改后的镜像流量转发给监控设备。该方法不需要另行增加物理网卡,对物理交换机的硬件要求低,有效节省了成本。
Description
技术领域
本发明实施例涉及网络流量监控技术领域,尤其涉及一种虚拟机镜像流量传输的控制方法和装置。
背景技术
随着网络技术的发展,云计算技术被广泛的应用,在应用云技术的私有云、公有云的网络流量不断增大,对于网络中的管理控制,服务质量,拓展性等的要求也越来越高,因此对于整网流量的监控也就越发重要。
镜像技术已成为目前监控网络流量的常用手段。镜像技术是将交换机上的应当被监控的流量复制一份并且将复制的流量发送到监控设备的技术。通过端口镜像可以在监控设备上获取被镜像端口的流量,以便进行网络的流量分析、错误诊断等。
目前,对于流量的监控提出的方法主要有交换端口分析方法(SwitchedPortAnalyzer,简称:SPAN)、远端交换端口分析方法(RemoteSwitchedPortAnalyzer,简称:RSPAN)以及增强远程交换端口分析方法(EnhancedRemoteSwitchedPortAnalyze,简称:ERSPAN)。这三种对流量的监控方法主要是对物理机流量的监控。在云环境下,为了实现对物理机中的虚拟机的监控,在上述对物理机的监控方法进行改进,得到对虚拟机的流量进行监控的方法。
图5为现有技术中采用SPAN方法对虚拟机的流量进行监控的拓扑图。在采用SPAN方法对物理机进行流量监控时,被镜像端口和监控端口都处于同一物理交换机上,并且源端口可以是交换机的一个或多个端口,SPAN方法能够镜像物理交换机上任意端口的流量,并将镜像流量传递到连接在该物理交换机上的监控设备上。其中被镜像流量可以是进入某些端口的流量,也可以是从某些端口出去的流量。为了实现采用SPAN方法对虚拟机进行流量监控,如图5所示,由于SPAN方法要求监控设备与被监控设备接入在同一个交换机上,那么在满足物理机中的虚拟机通过物理网卡0正常数据交换的情况下,需要在物理机上再安装一个物理网卡1,然后将监控设备通过物理网卡1与物理机连接。而这种方法的代价太大,且需要大量的人工操作管理。
图6为现有技术中采用RSPAN方法对虚拟机的流量进行监控的拓扑图。在采用RSPAN方法对物理机的流量进行监控时,被镜像端口和监控端口处于不同物理交换机,通过镜像VLAN技术将镜像流量从源物理交换机通过中间物理交换机传输到监控设备上。其具体方法为:将被监控流量流入或流出的端口所在的镜像源设备、与监控设备所连接的镜像目的设备以及两设备之间构成镜像流量通路的所有中间设备组成一个虚拟局域网,镜像源设备对被原始监控流报文基础上封装一个802.1Q协议规定的镜像VLAN标签,封装后的镜像流量在镜像VLAN中被转发到目的设备,镜像目的设备接收到携带有镜像VLAN标签的镜像流量后,剥离其中携带的镜像VLAN标签,将其还原为原始被监控流量发送给监控设备进行监控。但该方法如果要对源端口的进出流量都需要镜像时,要关闭源物理交换机、中间物理交换机、目的物理交换机的镜像VLAN接口上的MAC学习功能,否则会造成镜像流量无法转发到目的监控设备的现象。如图6所示,该图为采用RSPAN方法对虚拟机进行流量监控的拓扑图,图6中采用VLAN=10作为镜像流量所在的VLAN,采用物理网卡0满足虚拟机的正常数据交换。为了采用RSPAN方法对虚拟机进行流量监控,需要额外的一个或几个端口作为镜像端口,与普通的数据交换端口隔离开,而这同样需要额外的安装物理网卡1,同时造成一半的物理交换机的端口作为镜像VLAN通路被占用,并且无法克服RSPAN技术的固有缺点,即需要在所有物理交换机的镜像VLAN接口上关闭MAC学习功能,而这需要大量的人工操作去配置。
图7为现有技术中采用ERSPAN方法对虚拟机的流量进行监控的拓扑图。在采用ERSPAN方法对物理机的流量进行监控时,被镜像端口和监控端口处于不同物理交换机上。通过将镜像报文封装在GRE报文中,通过GRE隧道送达目的设备。其具体方法为:在接入物理交换机的镜像端口将镜像报文加一层GRE报文的报头,把原镜像报文封装在GRE报文内部,而GRE报文由被监控的物理机所在的接入物理交换机发往监控设备的接入物理交换机。而在监控设备连接的接入物理交换机上将接收的GRE报文进行解封装,将解封装后的报文发往监控设备上,从而实现监控功能。但该方法需要接入物理交换机的芯片支持对报文的封装与解封装功能。如图7所示,该图为采用ERSPAN方法对虚拟机进行流量监控的拓扑图,为了采用ERSPAN方法对虚拟机进行流量监控,在通过物理网卡0满足虚拟机正常数据交换的情况下,同样需要额外的安装物理网卡1,并且同样对物理交换机的硬件要求比较大,即需要物理交换机支持GRE的封装与解封装功能。
发明内容
本发明实施例提供一种虚拟机镜像流量传输的控制方法和装置,该方法不需要另行增加物理网卡进行与外部物理交换机的连接,避免了因物理交换机的MAC地址学习功能而导致镜像流量无法转发到目的监控设备的现象,有效减少了人工操作,对物理交换机的硬件要求低,有效节省了成本。
本发明实施例提供一种虚拟机镜像流量传输的控制方法,包括:
创建第一虚拟交换机和第二虚拟交换机的端口,并将第一虚拟交换机和第二虚拟交换机进行连接;
设置第一虚拟交换机和第二虚拟交换机的镜像端口,并对在所述第一虚拟交换机上的镜像端口进行相关的配置;
将第二虚拟交换机设置为openflow交换机;
对所述第二虚拟交换机配置第一预设流表规则,使所述第二虚拟交换机执行第一预设流表规则,将从镜像端口传输过来的镜像流量的首部字段进行修改,并通过被监控虚拟机所属物理机上的物理网卡将修改后的镜像流量发送给物理交换机,所述物理交换机将所述修改后的镜像流量转发给监控设备。
本发明实施例提供一种虚拟机镜像流量传输的控制装置,包括:
创建模块,用于创建第一虚拟交换机和第二虚拟交换机的端口;
连接模块,用于将第一虚拟交换机和第二虚拟交换机进行连接;
设置模块,用于设置第一虚拟交换机和第二虚拟交换机的镜像端口,并对在所述第一虚拟交换机上的镜像端口进行相关的配置;
所述设置模块,还用于将第二虚拟交换机设置为openflow交换机;
配置模块,用于对所述第二虚拟交换机配置第一预设流表规则,使所述第二虚拟交换机执行第一预设流表规则,将从镜像端口传输过来的镜像流量的首部字段进行修改,并通过被监控虚拟机所属物理机上的物理网卡将修改后的镜像流量发送给物理交换机,所述物理交换机将所述修改后的镜像流量转发给监控设备。
本发明实施例提供一种虚拟机镜像流量传输的控制方法和装置,该方法包括:创建第一虚拟交换机和第二虚拟交换机的端口,并将第一虚拟交换机和第二虚拟交换机进行连接;设置第一虚拟交换机和第二虚拟交换机的镜像端口,并对在第一虚拟交换机上的镜像端口进行相关的配置;将第二虚拟交换机设置为openflow交换机;对第二虚拟交换机配置第一预设流表规则,使第二虚拟交换机执行第一预设流表规则,将从镜像端口传输过来的镜像流量的首部字段进行修改,并通过被监控虚拟机所属物理机上的物理网卡将修改后的镜像流量发送给物理交换机,物理交换机将修改后的镜像流量转发给监控设备。该方法不需要另行增加物理网卡进行与外部物理交换机的连接,避免了因物理交换机的MAC地址学习功能而导致镜像流量无法转发到目的监控设备的现象,有效减少了人工操作,对物理交换机的硬件要求低,有效节省了成本。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明虚拟机镜像流量传输的控制方法对应的拓扑图;
图2为本发明虚拟机镜像流量传输的控制方法实施例一的流程图;
图3为本发明虚拟机镜像流量传输的控制方法实施例二的流程图;
图4为本发明虚拟机镜像流量传输的控制装置实施例一的结构示意图;
图5为现有技术中采用SPAN方法对虚拟机的流量进行监控的拓扑图;
图6为现有技术中采用RSPAN方法对虚拟机的流量进行监控的拓扑图;
图7为现有技术中采用ERSPAN方法对虚拟机的流量进行监控的拓扑图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明虚拟流量的监控方法对应的拓扑图,图2为本发明虚拟机镜像流量传输的控制方法实施例一的流程图。如图1和图2所示,本发明的执行主体为计算机或服务器,则本实施例提供的虚拟机镜像流量传输的控制方法包括:
步骤201,创建第一虚拟交换机和第二虚拟交换机的端口,并将第一虚拟交换机和第二虚拟交换机进行连接。
本实施例中,如图1所示,创建第一虚拟交换机102和第二虚拟交换机103的端口后,将第一虚拟交换机102和第二虚拟交换机103通过端口进行连接。
在第一虚拟交换机102和第二虚拟交换机103进行连接后,第一虚拟交换机102和第二虚拟交换机103之间可进行流量的转发。
本实施实例中,第一虚拟交换机102通过除与第二虚拟交换机103连接的端口外的其他端口与物理机10上的虚拟机进行连接,图1中只示意出了该物理机10有两个虚拟机,分别为第一虚拟机101a和第二虚拟机101b。
本实施例中,第二虚拟交换机103通过除与第一交换虚拟机102连接的端口外的其他端口与物理机10上的物理网卡104进行连接,以与外部的物理交换机进行流量的转发。图1中示意出的外部的物理交换机为两个,分别为第一物理交换机11和第二物理交换机12。第一物理交换机11和第二物理交换机12用于对流量的转发。第一物理交换机11或物理交换机12与监控设备13连接,用于将镜像流量转发给监控设备13。第一物理交换机11或第二物理交换机12与数据交换设备14连接,用于将虚拟机的流量转发到数据交换设备的虚拟机中,以进行正常的数据交换。其中,外部设置的物理交换机的个数不做限定,外部物理交换机与监控设备、数据交换设备的连接结构不做限定。其中,数据交换设备可以为另一物理机。
本实施例中,第一虚拟交换机102和第二虚拟交换机103都为OpenVswitch,该种虚拟交换机是高质量多层虚拟交换机,其使用开源Apache2.0许可协议。
本实施例中,被监控虚拟机可以为同一虚拟局域网段内的一个或多个虚拟机。如第一虚拟交换机配置被监控虚拟机为VLAN=1的多个虚拟机,形成多机流量监控,被监控虚拟机也可以为一个虚拟机,形成单机流量监控。
步骤202,设置第一虚拟交换机和第二虚拟交换机的镜像端口,并对在第一虚拟交换机上的镜像端口进行相关的配置。
本实施例中,在第一虚拟交换机102和第二虚拟交换机103连接的端口中,选择任一个做为镜像端口,该镜像端口用于对镜像流量的转发。如设置第一虚拟交换机102中的2号端口做为镜像端口102b,设置第二虚拟交换机103的2号端口做为镜像端口103b。
本实施例中,由于第二虚拟交换机103的镜像端口只是逻辑上的镜像端口,所以不需要相关的配置,第一虚拟交换机102镜像端口不止是逻辑上的镜像端口,所以是需要相关配置工作的。
步骤203,将第二虚拟交换机设置为openflow交换机。
本实施例中,openflow交换机将原来完全由物理交换机/路由器控制的报文转发过程转化为由OpenFlow交换机和控制服务器来共同完成,从而实现了流量转发和路由控制的分离。控制器可以通过事先规定好的接口操作来控制OpenFlow交换机中的流表,从而达到控制流量转发的目的。
openflow交换机能够根据配置的流表规则,完成流量的转发,而流表规则可根据数据链路层,IP层,传输层的首部来指定,该流表规则并没写在硬件上。
举例说明为:一条配置的流表规则为表1所示,该条流表规则表示:当接收到11:22:33:44:55:66设备转发的数据帧,且该数据帧的源设备是10.0.0.3发送的,如果是这一条数据帧,将其源ip地址改为192.168.0.3,并从openflow交换机的15号端口发出。
表1:一条配置的流表规则
| 流表匹配项 | ip_src=10.0.0.3mac_src=11:22:33:44:55:66 |
| 行为: | mod_ip_src:192.168.0.3,output:15 |
所以,本实施例中,将第二虚拟交换103机设置为openflow交换机,该第二虚拟交换机103能够执行配置的流表规则,修改转发流量首部的一些字段,如源端口地址,目的端口地址,源IP地址,目的IP地址,源MAC地址,目的MAC地址等。
步骤204,对第二虚拟交换机配置第一预设流表规则,使第二虚拟交换机执行第一预设流表规则,将从镜像端口传输过来的镜像流量的首部字段进行修改,并通过被监控虚拟机所属物理机上的物理网卡将修改后的镜像流量发送给物理交换机,物理交换机将修改后的镜像流量转发给监控设备。
进一步地,本实施例中,第一预设流表规则具体为:若第二虚拟交换机103接收到从镜像端口传输过来的镜像流量时,将流量中的源MAC地址修改为被监控虚拟机所属物理机的MAC地址,将目的MAC地址修改为监控设备的MAC地址。
具体地,本实施例中,需要对单个虚拟机或多个虚拟机进行流量监控时,第一虚拟交换机102镜像与监控虚拟机连接的端口流量,并将镜像流量通过镜像端口发送给第二虚拟交换机103,第二虚拟交换机103接收到从镜像端口传输过来的镜像流量后,执行第一预设流表规则,将镜像流量首部字段中的源MAC地址修改为被监控虚拟机所属物理机的MAC地址,将镜像流量首部字段中的目的MAC地址修改为监控设备的MAC地址,将进行源地址和目的地址修改后的镜像流量通过被监控虚拟机所属物理机10上的物理网卡104发送给物理交换机,物理交换机在接收到镜像流量后,根据镜像流量中的源MAC地址和目的MAC地址将流量转发给与其连接的监控设备13。
本实施例中,从镜像端口传输过来的镜像流量的源MAC地址为被监控虚拟机的MAC地址,镜像流量的目的MAC地址为与被监控虚拟机进行数据交换的另一虚拟机的MAC地址,进行数据交换的另一虚拟机可位于另一台物理机上。
本实施例提供的虚拟机镜像流量传输的控制方法,由于将从镜像端口传输过来的镜像流量的源MAC地址和目的MAC地址进行了修改,所以在第二虚拟交换机103接收到被监控虚拟机与其他虚拟机进行数据交换的数据交换流量时,该数据交换流量中的源MAC地址和目的MAC地址和修改后的镜像流量中的源MAC地址和目的MAC地址是不同的,所以数据交换流量和镜像流量都可以通过一个物理网卡104发送给外部的物理交换机,物理交换机可以根据数据交换流量中的目的MAC地址将数据交换流量发送给另一物理机中的虚拟机,也可根据镜像流量中的目的MAC地址将镜像流量发送给监控设备13。所以本实施例提供的虚拟机镜像流量传输的控制方法,不需要另行增加物理网卡进行与外部物理交换机的连接,并且通过物理机进行镜像流量转发时,由于数据交换流量中的源MAC地址和镜像流量中的MAC地址是不同的,所以不需要关闭物理交换机的镜像VLAN接口上的MAC学习功能,避免了因物理交换机的MAC地址学习功能而导致镜像流量无法转发到目的监控设备的现象,有效减少了人工操作,也不需要物理交换机支持GRE的封装与解封装功能,所以对物理交换机的硬件要求低,有效节省了成本。
图3为本发明虚拟机镜像流量传输的控制方法实施例二的流程图,如图3所示,本实施例在本发明实施例一的基础上,对图1中的本发明虚拟机镜像流量传输的控制方法对应的拓扑图进行全面介绍,则本实施例提供的虚拟机镜像流量传输的控制方法包括:
步骤301,创建第一虚拟交换机和第二虚拟交换机的端口,并将第一虚拟交换机和第二虚拟交换机进行连接。
本实施例中,步骤301和本发明虚拟机镜像流量传输的控制方法实施例一的步骤201相同,在此不再一一赘述。
步骤302,设置第一虚拟交换机和第二虚拟交换机的镜像端口和数据交换端口,并对在第一虚拟交换机上的镜像端口进行相关的配置。
本实施例中,在第一虚拟交换机102和第二虚拟交换机103连接的端口中,选择任一个做为镜像端口,在除镜像端口外的两个虚拟交换机互连的其他端口中,选择另一端口做为数据交换端口,该镜像端口用于对镜像流量的转发。数据交换端口用于被监控虚拟机与其他虚拟机进行通信时正常的数据转发。如设置第一虚拟交换机102中的2号端口做为镜像端口102b,第一虚拟交换机102中的1号端口做为数据交换端口102a,设置第二虚拟交换机103的2号端口做为镜像端口103b,第二虚拟交换机103的1号端口做为数据交换端口103a。
步骤303,将第二虚拟交换机设置为openflow交换机。
本实施例中,步骤303和本发明实施例一的步骤203相同,在此不再一一赘述。
步骤304,对第二虚拟交换机配置第一预设流表规则和第二预设流表规则,以使第二虚拟交换机在接收到从镜像端口传输过来的镜像流量时执行第一预设流表规则,对镜像流量首部字段中的源MAC和目的MAC地址进行修改,接收到从数据交换端口传输过来的数据交换流量时,根据第二预设流表规则,保持数据交换流量中的源MAC地址和目的MAC地址不变,物理交换机根据目的MAC地址将镜像流量转发给监控设备或将数据交换流量发送给数据交换设备。
本实施例中,第一预设流表规则为:若第二虚拟交换机103接收到从镜像端口传输过来的镜像流量时,将镜像流量中的源MAC地址修改为被监控虚拟机所属物理机的MAC地址,将镜像流量中的目的MAC地址修改为监控设备的MAC地址。
具体地,本实施例中,对第二虚拟交换机103配置第一预设流表规则,使第二虚拟交换机103根据第一预设流表规则,将镜像端口传输过来的镜像流量中的首部字段的源MAC地址修改为被监控虚拟机所属物理机10的MAC地址,将所述镜像流量中的首部字段的目的MAC地址修改为监控设备13的MAC地址,通过被监控虚拟机所属物理机10上的物理网卡104发送给物理交换机,物理交换机根据镜像流量中的目的MAC地址即监控设备13的MAC地址将镜像流量转发给监控设备13,以使监控设备13对镜像流量进行监控。
进一步地,本实施例中,第二预设流表规则,具体为:若第二虚拟交换机接收到从数据交换端口传输过来的数据交换流量时,保持所述数据交换流量中的源MAC地址和目的MAC地址不变。
其中,监控设备为IDS设备,它能够对网络传输的流量进行实时监控,并在发现可以传输时发出报警或采取主动反应措施的网络安全设备。
进一步地,本实施例中,对第二虚拟交换机103配置第二预设流表规则,使第二虚拟交换机103执行第二预设流表规则,保持数据交换端口传输过来的数据交换流量中的源MAC地址和目的MAC地址不变,并通过被监控虚拟机所属物理机10上的物理网卡104发送给物理交换机,物理交换机根据数据交换流量中的目的MAC地址将数据交换流量转发给目的虚拟机所属的数据交换设备14,该数据交换设备14在通过其中的虚拟交换机将数据交换流量转发给目的虚拟机。其中,数据交换设备14可以为另一台物理机。数据交换流量中的源MAC地址为被监控虚拟机,目的MAC地址为与被监控虚拟机进行数据交换的目的虚拟机的MAC地址。
本实施例提供的虚拟机镜像流量传输的控制方法,通过设置第一虚拟交换机102和第二虚拟交换机103的镜像端口和数据交换端口,并对在第一虚拟交换机上的镜像端口进行相关的配置,将第二虚拟交换机103设置为openflow交换机,对第二虚拟交换机103配置第一预设流表规则和第二预设流表规则,以使第二虚拟交换机在接收到从镜像端口103b传输过来的镜像流量时根据第一预设流表规则,对镜像流量中的源MAC和目的MAC地址进行修改,接收到从数据交换端口103a传输过来的数据交换流量时,根据第二预设规则,保持数据交换流量中的源MAC地址和目的MAC地址不变,物理交换机根据目的MAC地址将镜像流量转发给监控设备13,将数据交换流量发送给数据交换设备14。能够使数据交换流量和镜像流量都可以通过一个物理网卡104发送给外部的物理交换机,所以不需要另行增加物理网卡进行与外部物理交换机的连接,并且通过物理交换机对数据交换流量或镜像流量进行转发时,所以不需要关闭物理交换机的镜像VLAN接口上的MAC学习功能,避免了因物理交换机的MAC地址学习功能而导致镜像流量无法转发到目的监控设备的现象,有效减少了人工操作,也不需要物理交换机支持GRE的封装与解封装功能,所以对物理交换机的硬件要求低,有效节省了成本。
图4为本发明虚拟机镜像流量传输的控制装置实施例一的结构示意图,如图4所示,本实施例提供的虚拟机镜像流量传输的控制装置包括:创建模块401,连接模块402,设置模块403和配置模块404。
其中,创建模块401,用于创建第一虚拟交换机和第二虚拟交换机的端口,并对在第一虚拟交换机上的镜像端口进行相关的配置。连接模块402,用于将第一虚拟交换机和第二虚拟交换机进行连接。设置模块403,用于设置第一虚拟交换机和第二虚拟交换机的镜像端口。设置模块403,还用于将第二虚拟交换机设置为openflow交换机。配置模块404,用于对第二虚拟交换机配置第一预设流表规则,使第二虚拟交换机执行第一预设流表规则,将从镜像端口传输过来的镜像流量的首部字段进行修改,并通过被监控虚拟机所属物理机上的物理网卡将修改后的镜像流量发送给物理交换机,物理交换机将修改后的镜像流量转发给监控设备。
本实施例提供的虚拟机镜像流量传输的控制装置可以执行图2所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
进一步地,本实施例提供的虚拟机镜像流量传输的控制装置中,第一预设流表规则具体为:
若第二虚拟交换机接收到从镜像端口传输过来的镜像流量时,将所述镜像流量中的源MAC地址修改为被监控虚拟机所属物理机的MAC地址,将所述镜像流量中的目的MAC地址修改为监控设备的MAC地址。
进一步地,设置模块403,还用于所述连接模块将第一虚拟交换机和第二虚拟交换机进行连接后,设置第一虚拟交换机和第二虚拟交换机的数据交换端口。所述配置模块404,还用于对所述第二虚拟交换机配置第二预设流表规则,使所述第二虚拟交换机执行第二预设流表规则,将从数据交换端口传输过来的数据交换流量通过被监控虚拟机所属物理机上的物理网卡发送给物理交换机,所述物理交换机将所述数据交换流量转发给数据交换设备。
进一步地,本实施例提供的虚拟机镜像流量传输的控制装置中,第二预设流表规则具体为:
若第二虚拟交换机接收到从数据交换端口传输过来的数据交换流量时,保持所述数据交换流量中的源MAC地址和目的MAC地址不变。
进一步地,所述被监控虚拟机包括:同一虚拟局域网段内的一个或多个虚拟机。
进一步地,本实施例提供的虚拟机镜像流量传输的控制装置可以执行图3所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
本领域普通技术人员可以理解:实现上述各方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于一计算机可读取存储介质中。该程序在执行时,执行包括上述各方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
Claims (10)
1.一种虚拟机镜像流量传输的控制方法,其特征在于,包括:
创建第一虚拟交换机和第二虚拟交换机的端口,并将第一虚拟交换机和第二虚拟交换机进行连接;
设置第一虚拟交换机和第二虚拟交换机的镜像端口,并对在所述第一虚拟交换机上的镜像端口进行相关的配置;
将第二虚拟交换机设置为openflow交换机;
对所述第二虚拟交换机配置第一预设流表规则,使所述第二虚拟交换机执行第一预设流表规则,将从镜像端口传输过来的镜像流量的首部字段进行修改,并通过被监控虚拟机所属物理机上的物理网卡将修改后的镜像流量发送给物理交换机,所述物理交换机将所述修改后的镜像流量转发给监控设备。
2.根据权利要求1所述的方法,其特征在于,所述第一预设流表规则具体为:
若第二虚拟交换机接收到从镜像端口传输过来的镜像流量时,将所述镜像流量中的源MAC地址修改为被监控虚拟机所属物理机的MAC地址,将所述镜像流量中的目的MAC地址修改为监控设备的MAC地址。
3.根据权利要求1所述的方法,其特征在于,所述将第一虚拟交换机和第二虚拟交换机进行连接后,还包括:
设置第一虚拟交换机和第二虚拟交换机的数据交换端口;
对所述第二虚拟交换机配置第二预设流表规则,使所述第二虚拟交换机执行第二预设流表规则,将从数据交换端口传输过来的数据交换流量通过被监控虚拟机所属物理机上的物理网卡发送给物理交换机,所述物理交换机将所述数据交换流量转发给数据交换设备。
4.根据权利要求3所述的方法,其特征在于,所述第二预设流表规则具体为:
若第二虚拟交换机接收到从数据交换端口传输过来的数据交换流量时,保持所述数据交换流量中的源MAC地址和目的MAC地址不变。
5.根据权利要求1-4任一项所述的方法,其特征在于,所述被监控虚拟机包括:同一虚拟局域网段内的一个或多个虚拟机。
6.一种虚拟机镜像流量传输的控制装置,其特征在于,包括:
创建模块,用于创建第一虚拟交换机和第二虚拟交换机的端口;
连接模块,用于将第一虚拟交换机和第二虚拟交换机进行连接;
设置模块,用于设置第一虚拟交换机和第二虚拟交换机的镜像端口,并对在所述第一虚拟交换机上的镜像端口进行相关的配置;
所述设置模块,还用于将第二虚拟交换机设置为openflow交换机;
配置模块,用于对所述第二虚拟交换机配置第一预设流表规则,使所述第二虚拟交换机执行第一预设流表规则,将从镜像端口传输过来的镜像流量的首部字段进行修改,并通过被监控虚拟机所属物理机上的物理网卡将修改后的镜像流量发送给物理交换机,所述物理交换机将所述修改后的镜像流量转发给监控设备。
7.根据权利要求6所述的装置,其特征在于,所述第一预设流表规则具体为:
若第二虚拟交换机接收到从镜像端口传输过来的镜像流量时,将所述镜像流量中的源MAC地址修改为被监控虚拟机所属物理机的MAC地址,将所述镜像流量中的目的MAC地址修改为监控设备的MAC地址。
8.根据权利要求6所述的装置,其特征在于,所述设置模块,还用于所述连接模块将第一虚拟交换机和第二虚拟交换机进行连接后,设置第一虚拟交换机和第二虚拟交换机的数据交换端口;
所述配置模块,还用于对所述第二虚拟交换机配置第二预设流表规则,使所述第二虚拟交换机执行第二预设流表规则,将从数据交换端口传输过来的数据交换流量通过被监控虚拟机所属物理机上的物理网卡发送给物理交换机,所述物理交换机将所述数据交换流量转发给数据交换设备。
9.根据权利要求8所述的装置,其特征在于,所述第二预设流表规则具体为:
若第二虚拟交换机接收到从数据交换端口传输过来的数据交换流量时,保持所述数据交换流量中的源MAC地址和目的MAC地址不变。
10.根据权利要求6-9任一项所述的装置,其特征在于,所述被监控虚拟机包括:同一虚拟局域网段内的一个或多个虚拟机。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610045169.8A CN105743734B (zh) | 2016-01-22 | 2016-01-22 | 虚拟机镜像流量传输的控制方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610045169.8A CN105743734B (zh) | 2016-01-22 | 2016-01-22 | 虚拟机镜像流量传输的控制方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105743734A true CN105743734A (zh) | 2016-07-06 |
| CN105743734B CN105743734B (zh) | 2019-02-01 |
Family
ID=56247609
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610045169.8A Active CN105743734B (zh) | 2016-01-22 | 2016-01-22 | 虚拟机镜像流量传输的控制方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105743734B (zh) |
Cited By (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106254176A (zh) * | 2016-07-29 | 2016-12-21 | 浪潮(北京)电子信息产业有限公司 | 一种基于openvswitch的流量镜像方法 |
| CN106936737A (zh) * | 2017-04-24 | 2017-07-07 | 北京星网锐捷网络技术有限公司 | 基于网络设备的端口镜像实现方法及装置 |
| CN107544835A (zh) * | 2017-08-21 | 2018-01-05 | 新华三云计算技术有限公司 | 一种虚拟机业务网口的检测方法和装置 |
| CN107864061A (zh) * | 2017-11-15 | 2018-03-30 | 北京易讯通信息技术股份有限公司 | 一种在私有云中虚拟机端口限速和镜像的方法 |
| WO2018121406A1 (zh) * | 2016-12-29 | 2018-07-05 | 中国银联股份有限公司 | 基于sdn的报文镜像方法及网络流量监控管理系统 |
| CN109120554A (zh) * | 2018-09-25 | 2019-01-01 | 杭州迪普科技股份有限公司 | 一种基于true镜像的流镜像方法和交换设备 |
| CN111224899A (zh) * | 2019-10-31 | 2020-06-02 | 北京浪潮数据技术有限公司 | 一种虚拟端口的流量镜像方法、装置、设备及介质 |
| CN111478862A (zh) * | 2020-03-09 | 2020-07-31 | 邦彦技术股份有限公司 | 远程数据镜像处理系统和方法 |
| CN111756651A (zh) * | 2020-06-19 | 2020-10-09 | 浪潮电子信息产业股份有限公司 | 一种流量传输方法、装置、设备、介质 |
| CN111885068A (zh) * | 2020-07-28 | 2020-11-03 | 杭州默安科技有限公司 | 一种旁路部署的流量分发方法及其系统 |
| CN111913782A (zh) * | 2020-07-29 | 2020-11-10 | 上海云轴信息科技有限公司 | 一种基于隧道技术实现虚拟机流量镜像的方法与设备 |
| CN112437124A (zh) * | 2020-11-09 | 2021-03-02 | 北京金山云网络技术有限公司 | 流量镜像请求的处理方法、装置及负载均衡服务器 |
| CN113300917A (zh) * | 2021-07-27 | 2021-08-24 | 苏州浪潮智能科技有限公司 | Open Stack租户网络的流量监控方法、装置 |
| CN113518047A (zh) * | 2021-04-09 | 2021-10-19 | 北京安盟信息技术股份有限公司 | 一种网络流量复制方法、交换机及应用 |
| CN113992699A (zh) * | 2021-10-28 | 2022-01-28 | 上海格尔安全科技有限公司 | 一种基于网卡镜像的跨网络全流量数据监管方法 |
| CN114172854A (zh) * | 2021-11-30 | 2022-03-11 | 新华三大数据技术有限公司 | 报文镜像、镜像配置方法、虚拟交换机及镜像配置装置 |
| CN114422297A (zh) * | 2022-01-05 | 2022-04-29 | 北京天一恩华科技股份有限公司 | 一种多场景虚拟网络流量监控方法、系统、终端及介质 |
| CN114553798A (zh) * | 2022-01-14 | 2022-05-27 | 奇安信科技集团股份有限公司 | 流量镜像方法、装置、电子设备、介质及产品 |
| CN114884905A (zh) * | 2022-04-18 | 2022-08-09 | 深信服科技股份有限公司 | 一种流量镜像方法、装置、设备和计算机存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090097406A1 (en) * | 2003-08-05 | 2009-04-16 | Scalent Systems, Inc. | Method and apparatus for achieving dynamic capacity and high availability in multi-stage data networks using adaptive flow-based routing |
| CN103973481A (zh) * | 2014-04-21 | 2014-08-06 | 蓝盾信息安全技术股份有限公司 | 一种基于sdn的云计算数据中心的审计系统及方法 |
| CN104767685A (zh) * | 2015-04-17 | 2015-07-08 | 杭州华三通信技术有限公司 | 一种流量转发方法和装置 |
| CN105141677A (zh) * | 2015-08-12 | 2015-12-09 | 上海斐讯数据通信技术有限公司 | 基于sdn的镜像方法及系统 |
-
2016
- 2016-01-22 CN CN201610045169.8A patent/CN105743734B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090097406A1 (en) * | 2003-08-05 | 2009-04-16 | Scalent Systems, Inc. | Method and apparatus for achieving dynamic capacity and high availability in multi-stage data networks using adaptive flow-based routing |
| CN103973481A (zh) * | 2014-04-21 | 2014-08-06 | 蓝盾信息安全技术股份有限公司 | 一种基于sdn的云计算数据中心的审计系统及方法 |
| CN104767685A (zh) * | 2015-04-17 | 2015-07-08 | 杭州华三通信技术有限公司 | 一种流量转发方法和装置 |
| CN105141677A (zh) * | 2015-08-12 | 2015-12-09 | 上海斐讯数据通信技术有限公司 | 基于sdn的镜像方法及系统 |
Cited By (29)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106254176A (zh) * | 2016-07-29 | 2016-12-21 | 浪潮(北京)电子信息产业有限公司 | 一种基于openvswitch的流量镜像方法 |
| CN106254176B (zh) * | 2016-07-29 | 2019-09-24 | 浪潮(北京)电子信息产业有限公司 | 一种基于openvswitch的流量镜像方法 |
| TWI677218B (zh) * | 2016-12-29 | 2019-11-11 | 大陸商中國銀聯股份有限公司 | 基於sdn的封包鏡像方法及網路流量監控管理系統 |
| US11088965B2 (en) | 2016-12-29 | 2021-08-10 | China Unionpay Co., Ltd. | SDN-based packet mirroring method, and network traffic monitoring and management system |
| WO2018121406A1 (zh) * | 2016-12-29 | 2018-07-05 | 中国银联股份有限公司 | 基于sdn的报文镜像方法及网络流量监控管理系统 |
| CN106936737A (zh) * | 2017-04-24 | 2017-07-07 | 北京星网锐捷网络技术有限公司 | 基于网络设备的端口镜像实现方法及装置 |
| CN106936737B (zh) * | 2017-04-24 | 2020-01-21 | 北京星网锐捷网络技术有限公司 | 基于网络设备的端口镜像实现方法及装置 |
| CN107544835B (zh) * | 2017-08-21 | 2020-04-28 | 新华三云计算技术有限公司 | 一种虚拟机业务网口的检测方法和装置 |
| CN107544835A (zh) * | 2017-08-21 | 2018-01-05 | 新华三云计算技术有限公司 | 一种虚拟机业务网口的检测方法和装置 |
| CN107864061A (zh) * | 2017-11-15 | 2018-03-30 | 北京易讯通信息技术股份有限公司 | 一种在私有云中虚拟机端口限速和镜像的方法 |
| CN109120554A (zh) * | 2018-09-25 | 2019-01-01 | 杭州迪普科技股份有限公司 | 一种基于true镜像的流镜像方法和交换设备 |
| CN111224899A (zh) * | 2019-10-31 | 2020-06-02 | 北京浪潮数据技术有限公司 | 一种虚拟端口的流量镜像方法、装置、设备及介质 |
| CN111478862A (zh) * | 2020-03-09 | 2020-07-31 | 邦彦技术股份有限公司 | 远程数据镜像处理系统和方法 |
| CN111756651A (zh) * | 2020-06-19 | 2020-10-09 | 浪潮电子信息产业股份有限公司 | 一种流量传输方法、装置、设备、介质 |
| CN111885068A (zh) * | 2020-07-28 | 2020-11-03 | 杭州默安科技有限公司 | 一种旁路部署的流量分发方法及其系统 |
| CN111913782A (zh) * | 2020-07-29 | 2020-11-10 | 上海云轴信息科技有限公司 | 一种基于隧道技术实现虚拟机流量镜像的方法与设备 |
| CN112437124A (zh) * | 2020-11-09 | 2021-03-02 | 北京金山云网络技术有限公司 | 流量镜像请求的处理方法、装置及负载均衡服务器 |
| CN112437124B (zh) * | 2020-11-09 | 2022-05-06 | 北京金山云网络技术有限公司 | 流量镜像请求的处理方法、装置及负载均衡服务器 |
| CN113518047A (zh) * | 2021-04-09 | 2021-10-19 | 北京安盟信息技术股份有限公司 | 一种网络流量复制方法、交换机及应用 |
| CN113300917A (zh) * | 2021-07-27 | 2021-08-24 | 苏州浪潮智能科技有限公司 | Open Stack租户网络的流量监控方法、装置 |
| CN113300917B (zh) * | 2021-07-27 | 2021-10-15 | 苏州浪潮智能科技有限公司 | Open Stack租户网络的流量监控方法、装置 |
| CN113992699A (zh) * | 2021-10-28 | 2022-01-28 | 上海格尔安全科技有限公司 | 一种基于网卡镜像的跨网络全流量数据监管方法 |
| CN114172854B (zh) * | 2021-11-30 | 2024-03-19 | 新华三大数据技术有限公司 | 报文镜像、镜像配置方法、虚拟交换机及镜像配置装置 |
| CN114172854A (zh) * | 2021-11-30 | 2022-03-11 | 新华三大数据技术有限公司 | 报文镜像、镜像配置方法、虚拟交换机及镜像配置装置 |
| CN114422297A (zh) * | 2022-01-05 | 2022-04-29 | 北京天一恩华科技股份有限公司 | 一种多场景虚拟网络流量监控方法、系统、终端及介质 |
| CN114422297B (zh) * | 2022-01-05 | 2024-03-26 | 北京天一恩华科技股份有限公司 | 一种多场景虚拟网络流量监控方法、系统、终端及介质 |
| CN114553798A (zh) * | 2022-01-14 | 2022-05-27 | 奇安信科技集团股份有限公司 | 流量镜像方法、装置、电子设备、介质及产品 |
| CN114884905A (zh) * | 2022-04-18 | 2022-08-09 | 深信服科技股份有限公司 | 一种流量镜像方法、装置、设备和计算机存储介质 |
| CN114884905B (zh) * | 2022-04-18 | 2023-11-07 | 深信服科技股份有限公司 | 一种流量镜像方法、装置、设备和计算机存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105743734B (zh) | 2019-02-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105743734A (zh) | 虚拟机镜像流量传输的控制方法和装置 | |
| CN107431642B (zh) | 用于控制交换机以捕获和监视网络流量的系统和方法 | |
| CN104980349B (zh) | 中继系统以及交换机装置 | |
| JP4229121B2 (ja) | ネットワークシステム、スパニングツリー構成方法及び構成プログラム、スパニングツリー構成ノード | |
| US11025537B2 (en) | Multiple RSTP domain separation | |
| US10225186B2 (en) | Statistical multiplexing of inline network tools | |
| US9504016B2 (en) | Optimized multicast routing in a Clos-like network | |
| RU2388160C2 (ru) | Кольцевая сеть, устройство связи и способ оперативного управления, используемый для кольцевой сети и устройства связи | |
| CN102301663A (zh) | 一种报文处理方法及相关设备 | |
| TW201640866A (zh) | 基於軟體定義網路的資料中心網路系統及其封包傳送方法、位址解析方法與路由控制器 | |
| CN101822006A (zh) | 在包括多个交换机的集群交换机中设置抽象层 | |
| JP2008078893A (ja) | ネットワークの冗長方法及び中位スイッチ装置 | |
| CN103391250A (zh) | 静态trill路由方法和系统 | |
| CN103475583B (zh) | 清除媒体接入控制转发表项的方法和设备 | |
| TW201349800A (zh) | 擴展網橋之系統及其方法 | |
| CN103152267A (zh) | 路由管理方法及路由方法及网络控制器及路由器 | |
| CN103944828A (zh) | 一种协议报文的传输方法和设备 | |
| US8989194B1 (en) | Systems and methods for improving network redundancy and for facile initialization in a centrally-controlled network | |
| CN105656796A (zh) | 实现虚拟扩展局域网三层转发的方法和装置 | |
| CN104168209A (zh) | 多接入sdn网络报文转发方法和控制器 | |
| US20130322285A1 (en) | Network Switching Device for Quantifying Available Service-Level Capacity of a Network For Projected Network Traffic | |
| CN109120492B (zh) | 一种存储单元、源交换机、报文转发方法及镜像系统 | |
| CN107911297A (zh) | 一种sdn网络带内控制通道建立方法及设备 | |
| US8675669B2 (en) | Policy homomorphic network extension | |
| CN105493454B (zh) | 用于实现双活接入trill园区边缘的方法和设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |