CN106357534A - 一种基于sdn的流量监控系统及方法 - Google Patents
一种基于sdn的流量监控系统及方法 Download PDFInfo
- Publication number
- CN106357534A CN106357534A CN201610718009.5A CN201610718009A CN106357534A CN 106357534 A CN106357534 A CN 106357534A CN 201610718009 A CN201610718009 A CN 201610718009A CN 106357534 A CN106357534 A CN 106357534A
- Authority
- CN
- China
- Prior art keywords
- sdn
- port
- flow
- forwarding unit
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/38—Flow based routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/04—Network management architectures or arrangements
- H04L41/046—Network management architectures or arrangements comprising network management agents or mobile agents therefor
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0876—Network utilisation, e.g. volume of load or congestion level
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Environmental & Geological Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例提供了一种基于SDN的流量监控系统及方法,该系统包括SDN控制器、若干SDN转发设备、生产网络、TAP/SPAN端口以及分流端口、传送端口;该方法通过在交换机上部署SDN控制器以及SDN转发设备,将用户生产网络中的流量数据包通过TAP/SPAN端口导入到SDN流量监控系统中的SDN转发设备的分流端口上,再通过外部流量监控设备或软件对所述流量数据进行统计。该系统及方法在用户网络架构和流量分析工具之间部署一层流量捕获平台,按需捕获各网段的流量,并分发到相关的安全设备和监控设备上,将不受到不同地域采集或分析设备性能不足处理大数据流量的限制。
Description
技术领域
本发明涉及数据通信领域的SDN技术,特别涉及一种基于SDN的网络流量监控系统及监控方法。
背景技术
随着互联网技术的快速发展,网络应用范围不断扩大,网络结构和网络应用越来越复杂,这使得网络出现各种问题的可能性增大,同时管理网络的难度也增大。掌握网络通信情况的最佳办法是对网络数据流进行全面采集。目前主要有两种基于硬件的全流量采集方式,一种是常见的交换机端口分析器(SPAN)功能,另一种是在网络中串接TAP设备的方式。传统的分析设备的部署方式存在许多劣势,如不同种类的流量监控设备部署在各网络处进行分析,容易形成信息孤岛,导致信息分散,互不相通,大大降低了流量监控工具的利用率,无法做到全网全局监控。于是出现了网络数据包代理(NPB)设备,能够将多台SPAN、TAP设备上的流量汇聚到一起,并对流量进行汇聚、复制、过滤、去重等简单操作。但NPB设备是专有硬件,价格昂贵,对流量了解程度有限。且随着网络的不断扩展,需要购买更多的NPB设备,且各个NPB设备之间也是孤立的,需要对其进行逐设备的管理,造成了管理和维护的困难。
发明内容
为了解决上述问题,本发明提供了一种基于SDN的流量监控系统及方法,用户可自主选择交换机厂商,降低了成本;并且用户可以根据需求扩展监控网络,以极低的成本实现流量监控扩容。
本发明提供的一种基于SDN的流量监控系统,该系统包括SDN控制器、若干SDN转发设备、生产网络、TAP/SPAN端口以及分流端口、传送端口;
所述SDN控制器与SDN转发设备进行数据交互,用于配置系统的分流策略;
所述SDN转发设备用于接收生产网络中的流量数据包,并根据匹配的分流策略将流量数据包引入到相应的分流端口上;
所述TAP/SPAN端口为生产网络与所述监控系统的信息交互端口,所述流量数据包通过TAP/SPAN端口从生产网络进入到所述监控系统中的SDN转发设备上;
所述分流端口为SDN转发设备上的连接到生产网络中TAP/SPAN端口以及需要对流量进行监控的端口上的特定端口;
所述传送端口为SDN转发设备上用于将从分流端口进入SDN监控网络中的经处理后的相应的流量传递给相应的外部监控工具中的特定端口。
进一步的,如果所述流量数据包首次进入SDN转发设备,没有找到相应的分流策略流表,则所述SDN转发设备将所述流量数据包发送给SDN控制器,所述SDN控制器对数据包进行匹配分流策略并将相应的分流策略以流表的形式下发给对应的SDN转发设备,进入SDN转发设备的流量数据包按照流表项进行数据转发。
作为一种优选所述流量监控系统设置有显示装置,用于人机交互。
本发明还提供一种基于SDN的流量监控方法,该方法通过在交换机上部署SDN控制器以及SDN转发设备,将用户生产网络中的流量数据包通过TAP/SPAN端口导入到SDN流量监控系统中的SDN转发设备的分流端口上,再通过外部流量监控设备或软件对所述流量数据进行统计。
进一步的,当所述流量数据包首次进入SDN转发设备,SDN转发设备将收到的数据包发送给SDN控制器,SDN控制器根据用户配置的分流策略,对数据包进行解析生成相应的流表并将流表下发到SDN转发设备,数据包按照流表被转发到不同的传送端口。
更进一步的,所述SDN控制器根据用户配置的分流策略的具体过程为:
第一步,配置策略基本信息;
第二步,配置匹配规则;
第三步,配置分流接口,将分流接口的名称添加到策略流表中;
第四步,配置传送接口,将传送接口的名称添加到策略流表中。
更进一步的,在配置策略基本信息时,配置策略的转发、未激活、速率统计、流量捕获基本信息。
更进一步的,在配置匹配规则时,设置以太网类型、IP协议、IP-DSCP、VLAN、源地址端口、目的地址端口、偏移量信息等。
更进一步的,每个分流策略可包含多个分流端口和传送端口;与所述分流端口相关的任意策略中的规则相匹配的流量被转发到策略中定义的所有的传送接口。
本发明采用以上技术方案与现有技术相比,具有以下技术效果:
基于SDN的流量监控系统是全新设计的新一代网络数据包代理(NPB),旨在打造一种全方位监视连接结构来克服目前基于NPB的监控解决方案所面临的难题。基于SDN的流量监控系统在不改变用户网络架构的情况下,在用户网络架构和流量分析工具之间部署一层流量捕获平台,按需捕获各网段的流量,并分发到相关的安全设备和监控设备上,将不受到不同地域采集或分析设备性能不足处理大数据流量的限制。基于SDN的流量监控系统将用户网络中的SPAN、TAP设备上的流量导入到SDN白牌交换机中,通过SDN控制器进行集中控制,流量可以随意复制以供分析。
用户可自主选择交换机厂商,降低了成本。并且用户可以根据需求扩展监控网络,以极低的成本实现流量监控扩容。通过SDN控制器,用户可以轻松完成集中式配置、监控和故障排除,降低了复杂性。只需使用SDN流量监控系统这一个平台即可管理所有的硬件设备和转发策略。用户可随时接入和更换监控分析工具。
附图说明
图1为本发明的整体架构图;
图2 流量监控流程图。
具体实施方式
本发明提供空一种基于SDN的流量监控系统及方法,为使本发明的目的,技术方案及效果更加清楚,明确,以及参照附图并举实例对本发明进一步详细说明。应当理解,此处所描述的具体实施仅用以解释本发明,并不用于限定本发明。
发明的一个方面,如图1所示,提供一种基于SDN的流量监控系统,该系统包括SDN控制器、若干SDN转发设备、生产网络、TAP/SPAN端口以及分流端口、传送端口;
所述SDN控制器与SDN转发设备进行数据交互,用于配置系统的分流策略;
所述SDN转发设备用于接收生产网络中的流量数据包,并根据匹配的分流策略将流量数据包引入到相应的分流端口上;
所述TAP/SPAN端口为生产网络与所述监控系统的信息交互端口,所述流量数据包通过TAP/SPAN端口从生产网络进入到所述监控系统中的SDN转发设备上;
所述分流端口为SDN转发设备上的连接到生产网络中TAP/SPAN端口以及需要对流量进行监控的端口上的特定端口。
传送端口为SDN转发设备上用于将从分流端口进入SDN监控网络中的经处理后的相应的流量传递给相应的外部监控工具中的特定端口。
如果所述流量数据包首次进入SDN转发设备,没有找到相应的分流策略流表,则所述SDN转发设备将所述流量数据包发送给SDN控制器,所述SDN控制器对数据包进行匹配分流策略并将相应的分流策略以流表的形式下发给对应的SDN转发设备,进入SDN转发设备的流量数据包按照流表项进行数据转发。
所述流量监控系统设置有显示装置,用于人机交互。
一种基于SDN的流量监控方法,该方法通过在交换机上部署SDN控制器以及SDN转发设备,将用户生产网络中的流量数据包通过TAP/SPAN端口导入到SDN流量监控系统中的SDN转发设备的分流端口上,再通过外部流量监控设备或软件对所述流量数据进行统计。
当所述流量数据包首次进入SDN转发设备,SDN转发设备将收到的数据包发送给SDN控制器,SDN控制器根据用户配置的分流策略,对数据包进行解析生成相应的流表并将流表下发到SDN转发设备,数据包按照流表被转发到不同的传送端口。
所述SDN控制器根据用户配置的分流策略的具体过程为:
第一步,配置策略基本信息;配置策略名称为policy1,动作为转发。
第二步,配置匹配规则;新增匹配规则序号1,以太网类型选择IPv4,IP协议选择TCP,IP-DSCP设置为46,设置VLAN范围为100~200,设置源IP地址为172.171.3.0/26,目的IP地址为192.168.5.0/30,设置偏移量L3-start的值为4。这样匹配规则1就创建好了,还可以再增加一条序号为2的匹配规则。
第三步,配置分流接口,将分流接口的名称添加到策略流表中;添加分流接口的接口名称,交换机DPID,交换机别名以及相应的接口。可以添加多个分流接口。
第四步,配置传送接口,将传送接口的名称添加到策略流表中。交换机DPID,交换机别名以及相应的接口。可以添加多个传送接口。
设置完成后,点击创建按钮。则在控制器中成功创建了该策略policy1。
在配置策略基本信息时,配置策略的转发、未激活、速率统计、流量捕获基本信息。
在配置匹配规则时,设置以太网类型、IP协议、IP-DSCP、VLAN、源地址端口、目的地址端口、偏移量信息。
每个分流策略包含多个分流端口和传送端口;与所述分流端口相关的任意策略中的规则相匹配的流量被转发到策略中定义的所有的传送接口。
生产网络中的流量通过TAP/SPAN端口导入到SDN流量监控系统中的SDN转发设备的分流端口上。数据包首次进入SDN转发设备后,查询相应的流表,没有找到相应的流表,SDN转发设备会将该数据包发送给SDN控制器,SDN控制器根据分流策略中配置的各个参数,对数据包进行匹配,相应的数据包匹配了策略policy1,然后SDN控制器将相应的策略policy1以流表的形式下发给SDN转发设备,进入SDN转发设备的相应的流量数据包按照流表项进行数据转发,导出到相应的数据分析监控工具中。
以上所述仅为本发明的实施方式,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (9)
1.一种基于SDN的流量监控系统,其特征在于,该系统包括SDN控制器、若干SDN转发设备、生产网络、TAP/SPAN端口以及分流端口、传送端口;
所述SDN控制器与SDN转发设备进行数据交互,用于配置系统的分流策略;
所述SDN转发设备用于接收生产网络中的流量数据包,并根据匹配的分流策略将流量数据包引入到相应的分流端口上;
所述TAP/SPAN端口为生产网络与所述监控系统的信息交互端口,所述流量数据包通过TAP/SPAN端口从生产网络进入到所述监控系统中的SDN转发设备上;
所述分流端口为SDN转发设备上的连接到所述TAP/SPAN端口以及需要对流量进行监控的端口上的特定端口;
所述传送端口为SDN转发设备上用于将从分流端口进入SDN监控网络中的经处理后的相应的流量数据传递给相应的外部监控工具中。
2.根据权利要求1所述的一种基于SDN的流量监控系统,其特征在于,如果所述流量数据包首次进入SDN转发设备,没有找到相应的分流策略流表,则所述SDN转发设备将所述流量数据包发送给SDN控制器,所述SDN控制器对数据包进行匹配分流策略并将相应的分流策略以流表的形式下发给对应的SDN转发设备,进入SDN转发设备的流量数据包按照流表项进行数据转发。
3.根据权利要求1或2所述的一种基于SDN的流量监控系统,其特征在于,所述流量监控系统设置有显示装置,用于人机交互。
4.一种基于SDN的流量监控方法,其特征在于,该方法通过在交换机上部署SDN控制器以及SDN转发设备,将用户生产网络中的流量数据包通过TAP/SPAN端口导入到SDN流量监控系统中的SDN转发设备的分流端口上,再通过外部流量监控设备或软件对所述流量数据进行统计。
5.根据权利要求5所述的一种基于SDN的流量监控方法,其特征在于,当所述流量数据包首次进入SDN转发设备,SDN转发设备将收到的数据包发送给SDN控制器,SDN控制器根据用户配置的分流策略,对数据包进行解析生成相应的流表并将流表下发到SDN转发设备,数据包按照流表被转发到不同的传送端口。
6.根据权利要求5所述的一种基于SDN的流量监控方法,其特征在于,所述SDN控制器根据用户配置的分流策略的具体过程为:
第一步,配置策略基本信息;
第二步,配置匹配规则;
第三步,配置分流接口,将分流接口的名称添加到策略流表中;
第四步,配置传送接口,将传送接口的名称添加到策略流表中。
7.根据权利要求6所述的一种基于SDN的流量监控方法,其特征在于,在配置策略基本信息时,配置策略的转发、未激活、速率统计、流量捕获基本信息。
8.根据权利要求6所述的一种基于SDN的流量监控方法,其特征在于,在配置匹配规则时,设置以太网类型、IP协议、IP-DSCP、VLAN、源地址端口、目的地址端口、偏移量信息等。
9.根据权利要求6所述的一种基于SDN的流量监控方法,其特征在于,每个分流策略可包含多个分流端口和传送端口;与所述分流端口相关的任意策略中的规则相匹配的流量被转发到策略中定义的所有的传送接口。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610718009.5A CN106357534A (zh) | 2016-08-25 | 2016-08-25 | 一种基于sdn的流量监控系统及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610718009.5A CN106357534A (zh) | 2016-08-25 | 2016-08-25 | 一种基于sdn的流量监控系统及方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN106357534A true CN106357534A (zh) | 2017-01-25 |
Family
ID=57844793
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610718009.5A Pending CN106357534A (zh) | 2016-08-25 | 2016-08-25 | 一种基于sdn的流量监控系统及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106357534A (zh) |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107404421A (zh) * | 2017-09-18 | 2017-11-28 | 赛尔网络有限公司 | 流量监测、监管方法及系统 |
CN107633004A (zh) * | 2017-08-07 | 2018-01-26 | 国网新疆电力公司信息通信公司 | 数据监控方法及装置 |
CN108173695A (zh) * | 2017-12-29 | 2018-06-15 | 深信服网络科技(深圳)有限公司 | 一种云环境下流量监控系统及方法 |
CN108566342A (zh) * | 2018-04-12 | 2018-09-21 | 国家计算机网络与信息安全管理中心 | 基于sdn架构的多业务流量分流系统及分流数据处理方法 |
CN108809752A (zh) * | 2018-04-27 | 2018-11-13 | 广州西麦科技股份有限公司 | 一种网络流量的自适应监控方法、装置、npb设备及介质 |
CN110011927A (zh) * | 2019-03-19 | 2019-07-12 | 西安交通大学 | 一种基于sdn网络的流量捕获方法与系统 |
WO2020093737A1 (zh) * | 2018-11-09 | 2020-05-14 | 深圳市中兴微电子技术有限公司 | 一种报文处理方法及装置、存储介质、光网络终端 |
CN112165487A (zh) * | 2020-09-27 | 2021-01-01 | 上海万向区块链股份公司 | 基于zeek的分布式网络安全、性能检测方法及系统 |
CN112565023A (zh) * | 2020-12-28 | 2021-03-26 | 广州西麦科技股份有限公司 | 一种基于Telemetry流量采集技术的流量可视化系统和方法 |
CN114124810A (zh) * | 2021-11-26 | 2022-03-01 | 江苏省未来网络创新研究院 | 一种基于SDN与openfalcon架构的虚拟试验平台试验流量监控方法 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103986663A (zh) * | 2014-05-08 | 2014-08-13 | 中国联合网络通信集团有限公司 | 数据中心及其实现数据处理的方法和网络控制器 |
-
2016
- 2016-08-25 CN CN201610718009.5A patent/CN106357534A/zh active Pending
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103986663A (zh) * | 2014-05-08 | 2014-08-13 | 中国联合网络通信集团有限公司 | 数据中心及其实现数据处理的方法和网络控制器 |
Non-Patent Citations (1)
Title |
---|
杨帅等: "基于SDN的流量监控研究", 《信息通信技术》 * |
Cited By (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107633004A (zh) * | 2017-08-07 | 2018-01-26 | 国网新疆电力公司信息通信公司 | 数据监控方法及装置 |
CN107404421A (zh) * | 2017-09-18 | 2017-11-28 | 赛尔网络有限公司 | 流量监测、监管方法及系统 |
CN108173695A (zh) * | 2017-12-29 | 2018-06-15 | 深信服网络科技(深圳)有限公司 | 一种云环境下流量监控系统及方法 |
CN108173695B (zh) * | 2017-12-29 | 2021-10-19 | 深信服科技股份有限公司 | 一种云环境下流量监控系统及方法 |
CN108566342A (zh) * | 2018-04-12 | 2018-09-21 | 国家计算机网络与信息安全管理中心 | 基于sdn架构的多业务流量分流系统及分流数据处理方法 |
CN108809752A (zh) * | 2018-04-27 | 2018-11-13 | 广州西麦科技股份有限公司 | 一种网络流量的自适应监控方法、装置、npb设备及介质 |
CN108809752B (zh) * | 2018-04-27 | 2020-09-08 | 广州西麦科技股份有限公司 | 一种网络流量的自适应监控方法、装置、npb设备及介质 |
CN111181857B (zh) * | 2018-11-09 | 2020-12-29 | 深圳市中兴微电子技术有限公司 | 一种报文处理方法及装置、存储介质、光网络终端 |
WO2020093737A1 (zh) * | 2018-11-09 | 2020-05-14 | 深圳市中兴微电子技术有限公司 | 一种报文处理方法及装置、存储介质、光网络终端 |
CN111181857A (zh) * | 2018-11-09 | 2020-05-19 | 深圳市中兴微电子技术有限公司 | 一种报文处理方法及装置、存储介质、光网络终端 |
CN110011927B (zh) * | 2019-03-19 | 2020-08-14 | 西安交通大学 | 一种基于sdn网络的流量捕获方法与系统 |
CN110011927A (zh) * | 2019-03-19 | 2019-07-12 | 西安交通大学 | 一种基于sdn网络的流量捕获方法与系统 |
CN112165487A (zh) * | 2020-09-27 | 2021-01-01 | 上海万向区块链股份公司 | 基于zeek的分布式网络安全、性能检测方法及系统 |
CN112165487B (zh) * | 2020-09-27 | 2022-07-15 | 上海万向区块链股份公司 | 基于zeek的分布式网络安全、性能检测方法及系统 |
CN112565023A (zh) * | 2020-12-28 | 2021-03-26 | 广州西麦科技股份有限公司 | 一种基于Telemetry流量采集技术的流量可视化系统和方法 |
CN114124810A (zh) * | 2021-11-26 | 2022-03-01 | 江苏省未来网络创新研究院 | 一种基于SDN与openfalcon架构的虚拟试验平台试验流量监控方法 |
CN114124810B (zh) * | 2021-11-26 | 2023-11-17 | 江苏省未来网络创新研究院 | 一种基于SDN与openfalcon架构的虚拟试验平台试验流量监控方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106357534A (zh) | 一种基于sdn的流量监控系统及方法 | |
CN103326884B (zh) | Sdn网络中结合流检测和包检测的业务流感知系统及方法 | |
CN104579968B (zh) | Sdn交换机获取精确流表项方法及sdn交换机、控制器、系统 | |
CN107404421A (zh) | 流量监测、监管方法及系统 | |
CN106605392A (zh) | 用于使用控制器在网络上进行操作的系统和方法 | |
CN107431642A (zh) | 用于控制交换机以捕获和监视网络流量的系统和方法 | |
US20150263889A1 (en) | Network packet broker | |
CN103812930B (zh) | 一种资源调度的方法及装置 | |
CN106789157B (zh) | 堆叠系统及堆叠交换机的硬件资源管理方法 | |
CN107453884A (zh) | 一种网络设备的服务质量检测方法和装置 | |
CN105099916B (zh) | 开放流路由交换设备及其对数据报文的处理方法 | |
CN105827487A (zh) | 一种sdn网络报文流统计方法、处理方法及sdn网络系统 | |
CN104660520B (zh) | 分组处理装置 | |
CN110493079A (zh) | 工业以太网交换机的生产自动化测试方法 | |
CN108566342A (zh) | 基于sdn架构的多业务流量分流系统及分流数据处理方法 | |
CN109327342A (zh) | 一种基于任务驱动的自适应sdn仿真系统及仿真平台 | |
CN109510777B (zh) | 流表编排方法、装置及sdn控制器 | |
CN108647043A (zh) | 一种命令行输入的实现方法及系统 | |
CN110290092A (zh) | 一种基于可编程交换机的sdn网络配置管理方法 | |
CN105119911A (zh) | 一种基于sdn流的安全认证方法及系统 | |
CN103200101A (zh) | 基于交换芯片的openflow多表查询的方法及装置 | |
CN110048912A (zh) | 光电跨层网络监测系统、数据处理方法及装置 | |
CN109617830A (zh) | 一种视联网中实时演示业务的方法和装置 | |
CN107979647A (zh) | 一种实现无缆存储式地震仪的数据回收方法 | |
CN105516116B (zh) | 一种基于ForCES控制件控制OpenFlow交换机的系统及协议转换方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170125 |