CN107682275A - 报文监控方法及装置 - Google Patents
报文监控方法及装置 Download PDFInfo
- Publication number
- CN107682275A CN107682275A CN201610620508.0A CN201610620508A CN107682275A CN 107682275 A CN107682275 A CN 107682275A CN 201610620508 A CN201610620508 A CN 201610620508A CN 107682275 A CN107682275 A CN 107682275A
- Authority
- CN
- China
- Prior art keywords
- forwarding
- address
- message
- vtep
- main frame
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/02—Capturing of monitoring data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
- H04L45/745—Address table lookup; Address filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/70—Admission control; Resource allocation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Abstract
本申请提供一种报文监控方法及装置,其中,该方法包括:接收报文;若该报文为来自本地被监控主机的用户报文,则根据匹配的第一转发表项的执行动作,将报文镜像进行VXLAN封装后发送给监控服务器接入的远端VTEP,或者将报文镜像发送给本地监控服务器;若该报文为本地主机发往被监控主机的用户报文,则根据匹配的第二转发表项的执行动作,将报文镜像进行VXLAN封装后发送给监控服务器接入的远端VTEP,或者将报文镜像发送给本地监控服务器;若该报文为来自远端VTEP、且携带监控服务器标识的VXLAN报文,则根据匹配的第三转发表项的执行动作,对VXLAN报文解封装后发送给本地监控服务器。
Description
技术领域
本申请涉及网络通信技术领域,特别涉及一种报文监控方法及装置。
背景技术
SDN(Software Defined Network,软件定义网络)是一种新型网络架构,其核心思想是将网络设备的控制层面与转发层面分离,以实现对网络数据流的灵活控制,为核心网络及应用的创新提供良好的平台。
在SDN网络中,控制器可以监控VM(Virtual Machine,虚拟机)的报文,具体方法如下:
控制器向被监控的VM接入的VTEP(VXLAN Tunnel End Point,VXLAN隧道端点)发送Openflow(开放流)流表项,该流表项用于将源地址或者目的地址为该VM的地址的用户报文进行镜像,并将镜像报文转发给控制器。该VTEP保存接收到的流表项,后续,在接收到用户报文之后,将该用户报文的源地址或者目的地址与该流表项进行匹配,若匹配,则将该用户报文进行镜像,并将镜像报文转发给控制器,由控制器对该用户报文进行监控。
通过上述方法,可以由该VTEP将该VM发出的用户报文、以及发往该VM的用户报文镜像一份转发给控制器进行监控。
上述方法中,所有被监控的VM的所有数据流都需要转发给控制器进行监控,当被监控的VM的数量较多,和/或被监控的VM的数据流的流量较大时,会占用控制器较多的CPU(Central Processing Unit,中央处理单元)资源,从而影响控制器的性能。
发明内容
有鉴于此,本申请提供一种报文监控方法及装置。
具体地,本申请是通过如下技术方案实现的:
一方面,提供了一种报文监控方法,该方法应用于VTEP,该方法包括:
接收报文;
若该报文为来自本地被监控主机的用户报文,则根据匹配的第一转发表项的执行动作,将报文镜像进行VXLAN封装后发送给监控服务器接入的远端VTEP,或者将报文镜像发送给本地监控服务器;
若该报文为本地主机发往被监控主机的用户报文,则根据匹配的第二转发表项的执行动作,将报文镜像进行VXLAN封装后发送给监控服务器接入的远端VTEP,或者将报文镜像发送给本地监控服务器;其中,报文镜像进行VXLAN封装后携带监控服务器标识;
若该报文为来自远端VTEP、且携带监控服务器标识的VXLAN报文,则根据匹配的第三转发表项的执行动作,对该VXLAN报文解封装后发送给本地监控服务器。
另一方面,还提供了一种报文监控装置,该装置应用于VTEP中,该装置包括:
接收模块,用于接收报文;
封装发送模块,用于若接收模块接收到的报文为来自本地被监控主机的用户报文,则根据匹配的第一转发表项的执行动作,将报文镜像进行VXLAN封装后发送给监控服务器接入的远端VTEP,或者将报文镜像发送给本地监控服务器;还用于若接收模块接收到的报文为本地主机发往被监控主机的用户报文,则根据匹配的第二转发表项的执行动作,将报文镜像进行VXLAN封装后发送给监控服务器接入的远端VTEP,或者将报文镜像发送给本地监控服务器;其中,报文镜像进行VXLAN封装后携带监控服务器标识;
解封装发送模块,用于若接收模块接收到的报文为来自远端VTEP、且携带监控服务器标识的VXLAN报文,则根据匹配的第三转发表项的执行动作,对VXLAN报文解封装后发送给本地监控服务器。
通过本申请的以上技术方案,被监控主机连接的VTEP在接收到被监控主机发出的用户报文之后,会根据匹配的第一转发表项的执行动作,对该用户报文的镜像进行VXLAN封装后发送给监控服务器接入的远端VTEP,或者将该用户报文的镜像发送给本地监控服务器;被监控主机未接入的VTEP在接收到本地主机发往被监控主机的用户报文之后,会根据匹配的第二转发表项的执行动作,将该用户报文的镜像进行VXLAN封装后发送给监控服务器接入的远端VTEP,或者将该用户报文的镜像发送给本地监控服务器,其中,该用户报文的镜像进行VXLAN封装后携带监控服务器标识;监控服务器接入的VTEP在接收到来自远端VTEP、且携带监控服务器标识的VXLAN报文之后,会根据匹配的第三转发表项的执行动作,对该VXLAN报文解封装后发送给本地监控服务器,从而,实现了对被监控主机发出的报文以及发往被监控主机的报文的监控。
在上述技术方案中,无需由控制器进行监控,控制器只需直接向监控服务器获取监控结果即可,从而节约了控制器的CPU资源,提高了控制器的性能。
附图说明
图1是本申请一示例性实施例示出的SDN网络的组网示意图;
图2是本申请一示例性实施例示出的被监控主机接入的VTEP接收到监控配置信息之后,执行的转发表项配置过程的流程图;
图3是本申请一示例性实施例示出的扩展后的VXLAN头的格式示意图;
图4是本申请一示例性实施例示出的携带监控配置信息的BGP报文的格式示意图;
图5是本申请一示例性实施例示出的被监控主机未接入的VTEP接收到监控配置信息之后,执行的转发表项配置过程的流程图;
图6是本申请一示例性实施例示出的VTEP接收到用户报文之后,对该用户报文进行转发的处理流程图;
图7是本申请一示例性实施例示出的VTEP在接收到VXLAN报文之后,对该VXLAN报文进行转发的处理流程图;
图8是本申请一示例性实施例示出的VTEP接收到监控服务器的地址之后,对转发表项进行更新的处理流程图;
图9是图1中的VM10发生了迁移后的组网示意图;
图10是图9中的SERV1发生了迁移后的组网示意图;
图11是本申请一示例性实施例示出的VTEP的硬件结构示意图;
图12是本申请一示例性实施例示出的报文监控装置的一种结构示意图;
图13是本申请一示例性实施例示出的报文监控装置的另一种结构示意图;
图14是本申请一示例性实施例示出的报文监控装置的又一种结构示意图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
为了解决现有技术中存在的由控制器对被监控的VM的报文进行监控,从而占用了控制器较多的CPU资源,影响了控制器的性能的问题,本申请以下实施例中提供了一种报文监控方法,以及一种可以应用该方法的报文监控装置。
在本申请实施例中,在如图1所示的SDN网络中应用EVPN(Ethernet VirtualPrivate Network,以太网虚拟专用网络)技术,即,由EVPN作为SDN网络的承载网,在控制平面上采用BGP(Border Gateway Protocol,边界网关协议)通告路由信息,在数据平面上采用VXLAN封装方式转发用户报文。
由此,本申请实施例的报文监控方法包括以下内容:
在SDN网络中,控制器能够向各个VTEP获取该VTEP连接的主机的信息,其中,该主机的信息中包括:该主机的IP(Internet Protocol,因特网协议)地址、MAC(Media AccessControl,媒体访问控制)地址、以及该主机所处的物理位置信息,该物理位置信息具体可以是该主机接入的VTEP的标识(ID)和该VTEP上连接该主机的用户端口的ID。上述主机可以是VM,也可以是物理设备,本申请对此不做限定。
控制器通过可视化界面提供SDN网络的网络架构,从而,用户可以通过点击等方式指定被监控主机,以及,指定负责监控该被监控主机的报文的监控服务器;其中,被监控主机和监控服务器可以连接在同一VTEP上,也可以连接在不同VTEP上,本申请对此不做限定。
在检测到携带有被监控主机的ID和监控服务器的ID的监控指令之后,控制器向被监控主机接入的VTEP发送监控配置信息,该监控配置信息中至少包括:被监控主机的地址和所属的VXLAN ID(标识)、监控服务器的地址、以及该监控服务器的ID,其中,上述地址可以包括MAC地址和/或IP地址。监控服务器ID是控制器为监控服务器分配的唯一标识。在实际实施过程中,控制器可以通过NETCONF(网络配置)协议,向被监控主机接入的VTEP发送监控配置信息。
被监控主机接入的VTEP接收到控制器发来的监控配置信息之后,保存该监控配置信息,并且执行如图2所示的步骤:
步骤S101,根据该监控配置信息中携带的监控服务器的地址,判断该监控服务器是否连接在本VTEP上,若是,则本VTEP既是被监控主机接入的VTEP也是监控服务器接入的VTEP,执行步骤S102,否则,执行步骤S103;
步骤S102,在本地转发表中配置第一转发表项和第三转发表项,其中,该第一转发表项的匹配规则(match rule)为报文源地址为该被监控主机的地址(IP地址或MAC地址),执行动作(action)为对用户报文进行镜像,将镜像报文发送给本地的该监控服务器,该第三转发表项的匹配规则为VXLAN报文中携带监控服务器的ID,执行动作为对VXLAN报文解封装后发送给本地的监控服务器;
在实际实施过程中,由于该监控服务器连接在本VTEP上,因此,本VTEP根据该监控服务器的地址即可确定出本VTEP上连接该监控服务器的用户端口,通过该用户端口即可将该镜像报文发送给该监控服务器。
步骤S103,在本地转发表中配置第一转发表项,其中,该第一转发表项的匹配规则为报文源地址为该被监控主机的地址(IP地址或MAC地址),执行动作为对用户报文进行镜像,将镜像报文进行VXLAN封装后发送给监控服务器接入的远端VTEP,其中,进行VXLAN封装后得到的VXLAN报文携带监控服务器的ID。
在实际实施过程中,根据该监控服务器的ID对镜像报文进行VXLAN封装后,将封装得到的VXLAN报文发送给该监控服务器接入的远端VTEP。可见,VXLAN报文中需要携带监控服务器的ID,为此,本申请实施例对VXLAN报文的VXLAN头进行了扩展,扩展后的VXLAN头的格式如图3所示,其中的HOST ID字段用于携带监控服务器的ID。
从而,通过上述步骤S101~步骤S103,被监控主机接入且监控服务器接入的VTEP会执行步骤S102,不仅要配置第一转发表项,还要配置第三转发表项,而被监控主机接入且监控服务器未接入的VTEP会执行步骤S103,仅配置第一转发表项。
另外,在接收到控制器发来的监控配置信息之后,被监控主机接入的VTEP还会将该监控配置信息发送给该监控配置信息中携带的VXLAN内的所有远端VTEP。在实际实施过程中,由于在控制层面上采用BGP,因此,该监控配置信息会携带在BGP报文中在该VXLAN内泛洪,从而,泛洪给该VXLAN内的所有远端VTEP。
其中,上述携带有监控配置信息的BGP报文的格式示意图如图4所示,其中,SourceMAC Address字段用于携带被监控主机的MAC地址,Source IP Address字段用于携带被监控主机的IP地址,Monitor MAC Address字段用于携带监控服务器的MAC地址,Monitor IPAddress字段用于携带监控服务器的IP地址,HOST ID字段用于携带监控服务器的ID。
被监控主机未接入的VTEP在接收到监控配置信息之后,保存该监控配置信息,并且,还会执行如图5所示的步骤:
步骤S201,根据该监控配置信息中携带的监控服务器的地址,判断该监控服务器是否连接在本VTEP上,若否,则执行步骤S202,若是,说明本VTEP是监控服务器接入的VTEP,则执行步骤S203;
步骤S202,在本地转发表中配置第二转发表项,其中,该第二转发表项的匹配规则为报文目的地址为被监控主机的地址,执行动作为对用户报文进行镜像,对镜像报文进行VXLAN封装后发送给该监控服务器接入的VTEP,其中,进行VXLAN封装后得到的VXLAN报文携带监控服务器的ID;
步骤S203,在本地转发表中配置第二转发表项和第三转发表项,其中,该第二转发表项的匹配规则为报文目的地址为被监控主机的地址,执行动作为对用户报文进行镜像,将镜像报文发送给本地的监控服务器,该第三转发表项的匹配规则为VXLAN报文中携带监控服务器的ID,执行动作为对VXLAN报文解封装后发送给本地的监控服务器。
从而,通过上述步骤S201~步骤S203,被监控主机未接入且监控服务器未接入的VTEP会执行步骤S202仅配置第二转发表项,而被监控主机未接入且监控服务器接入的VTEP会执行步骤S203,不仅要配置第二转发表项,还要配置第三转发表项。
至此,被监控主机接入且监控服务器未接入的VTEP配置第一转发表项,被监控主机接入且监控服务器接入的VTEP配置第一转发表项和第三转发表项,被监控主机未接入且监控服务器未接入的VTEP配置第二转发表项,被监控主机未接入且监控服务器接入的VTEP配置了第二转发表项和第三转发表项。
后续,任一VTEP接收到用户报文之后,会执行如图6所示的步骤:
步骤S301,在接收到用户报文之后,将用户报文的源地址与第一转发表项进行匹配;
步骤S302,判断是否命中该第一转发表项,若是,则执行步骤S303,否则,执行步骤S304;
步骤S303,根据匹配的第一转发表项的执行动作,将该用户报文进行镜像,将镜像报文进行VXLAN封装后发送给监控服务器接入的远端VTEP,或者将镜像报文发送给本地的监控服务器;之后推出本流程。
其中,在步骤S303中会根据监控服务器的ID对镜像报文进行VXLAN封装,并将封装得到VXLAN报文发送给监控服务器接入的远端VTEP。
步骤S304,将该用户报文的目的地址与第二转发表项进行匹配;
步骤S305,判断是否命中该第二转发表项,若是,则执行步骤S306,否则,退出本流程;
步骤S306,根据匹配的第二转发表项的执行动作,对该用户报文进行镜像,将镜像报文进行VXLAN封装后发送给监控服务器接入的远端VTEP,或者将镜像报文发送给本地的监控服务器;
其中,在步骤S306中会根据监控服务器的ID对镜像报文进行VXLAN封装,并将封装得到VXLAN报文发送给监控服务器接入的远端VTEP。
从而,通过上述步骤S301~步骤S306,被监控主机接入的VTEP会将被监控主机发出的用户报文的镜像报文后通过VXLAN隧道发送给监控服务器接入的远端VTEP,或者将该用户报文的镜像报文发送给本地的监控服务器;被监控主机未接入的VTEP会将本地主机发往被监控主机的用户报文的镜像报文,通过VXLAN隧道发送给监控服务器接入的远端VTEP,或者将该用户报文的镜像报文发送给本地的监控服务器。
从而,任一VTEP在接收到VXLAN报文之后,会执行如图7所示的步骤:
步骤S401,在接收到VXLAN报文之后,将该VXLAN报文与第三转发表项进行匹配;
步骤S402,判断该VXLAN报文是否命中第三转发表项,若是,则执行步骤S403,否则,退出本流程;
步骤S403,根据匹配的第三转发表项的执行动作,对该VXLAN报文解封装后发送给本地的监控服务器。
具体的,在步骤S403中,会对该VXLAN报文进行解封装,并将解封装得到的用户报文通过本VTEP上连接该监控服务器的用户端口转发给该监控服务器,从而,由该监控服务器对该用户报文进行监控。
在上述实施例的方法中,被监控主机连接的VTEP在接收到被监控主机发出的用户报文之后,会根据匹配的第一转发表项的执行动作,对该用户报文的镜像进行VXLAN封装后发送给监控服务器接入的远端VTEP,或者将该用户报文的镜像发送给本地监控服务器;被监控主机未接入的VTEP在接收到本地主机发往被监控主机的用户报文之后,会根据匹配的第二转发表项的执行动作,将该用户报文的镜像进行VXLAN封装后发送给监控服务器接入的远端VTEP,或者将该用户报文的镜像发送给本地监控服务器,其中,该用户报文的镜像进行VXLAN封装后携带监控服务器标识;监控服务器接入的VTEP在接收到来自远端VTEP、且携带监控服务器标识的VXLAN报文之后,会根据匹配的第三转发表项的执行动作,对该VXLAN报文解封装后发送给本地监控服务器,从而,实现了对被监控主机发出的报文以及发往被监控主机的报文的监控。
在上述方法中,无需由控制器进行监控,控制器只需直接向监控服务器获取监控结果即可,从而节约了控制器的CPU资源,提高了控制器的性能。
需要注意的是:在实际实施过程中,任一VTEP既可以作为被监控主机接入的VTEP,也可以作为被监控主机未接入的VTEP,还可以作为监控服务器接入的VTEP,当该VTEP作为不同角色的VTEP时,可以执行相应的操作。
由于在SDN网络中VM可以发生迁移,因此,当被监控主机发生迁移时,VTEP在检测到该被监控主机迁入本VTEP之后,会通过BGP报文向该VM所属VXLAN内的所有远端VTEP发送被监控主机的地址,并且,在本地转发表中查找匹配规则中报文目的地址为该被监控主机的地址的第二转发表项,将查找到的第二转发表项更新为匹配规则中报文源地址为该被监控主机地址的第一转发表项。
远端VTEP接收到携带有该被监控主机的地址的BGP报文之后,会在判断出该被监控主机是从本VTEP迁出时,在本地转发表中查找匹配规则中报文源地址为该被监控主机地址的第一转发表项,将查找到的第一转发表项更新为匹配规则中报文目的地址为该被监控主机的地址的第二转发表项。从而,该远端VTEP成为该被监控主机未接入的VTEP。
其中,检测被监控主机迁入本VTEP的具体方法可以是:在接收到VM迁移后发出的携带有该VM的地址的ARP(Address Resolution Protocol,地址解析协议)报文之后,根据本地保存的监控配置信息,确定该VM是被监控主机,并且,更新该MAC地址对应的MAC表项,此时,如果发现更新前该MAC地址对应于VXLAN隧道,而更新后对应于本地用户端口,则可以确定该被监控主机是迁入本VTEP的。
判断被监控主机是从本VTEP迁出的具体方法可以是:在接收到携带有VM的地址的BGP报文之后,根据本地保存的监控配置信息,确定该VM是被监控主机,并且,更新该MAC地址对应的MAC表项,此时,如果发现更新前该MAC地址对应于本地用户端口,而更新后对应于VXLAN隧道,则可以确定该被监控主机是从本VTEP迁出的。
另外,当监控服务器发生迁移时,VTEP在检测到监控服务器迁入本VTEP之后,会通过BGP报文向该监控服务器所属VXLAN内的所有远端VTEP发送该监控服务器的地址;根据本地保存的监控配置信息,确认该监控服务器对应的被监控主机的地址和该监控服务器的标识;然后,在本地转发表中查找匹配规则中报文源地址为该被监控主机的地址的第一转发表项,或者,匹配规则中报文目的地址为该被监控主机的地址的第二转发表项,将查找到的第一转发表项或第二转发表项的执行动作更新为将报文镜像发送给本地的该监控服务器;在本地转发表中配置第三转发表项,其中,匹配规则中的监控服务器标识为迁入本VTEP的该监控服务器的标识。
远端VTEP在接收到携带有该监控服务器的地址的BGP报文之后,会执行如图8所示的操作:
步骤S501,根据本地保存的监控配置信息,确认该监控服务器对应的被监控主机的地址和该监控服务器的标识;
步骤S502,判断该监控服务器是否从本VTEP迁出,若是,则执行步骤S503,否则,执行步骤S505;
步骤S503,在本地转发表中查找匹配规则中报文源地址为该被监控主机的地址的第一转发表项,或者,匹配规则中报文目的地址为该被监控主机的地址的第二转发表项,将查找到的第一转发表项或第二转发表项的执行动作更新为将报文镜像进行VXLAN封装后发送给该监控服务器迁入的远端VTEP;
步骤S504,在本地转发表中查找匹配规则中包含该监控服务器的标识的第三转发表项并删除;
步骤S505,在本地转发表中查找匹配规则中报文源地址为该被监控主机的地址的第一转发表项,或者,匹配规则中报文目的地址为该被监控主机的地址的第二转发表项,将查找到的第一转发表项或第二转发表项的执行动作更新为将报文镜像进行VXLAN封装后发送给该监控服务器迁入的远端VTEP。
其中,检测监控服务器迁入本VTEP的具体方法可以是:在接收到VM迁移后发出的携带有该VM的地址的ARP(Address Resolution Protocol,地址解析协议)报文之后,根据本地保存的监控配置信息,确定该VM是监控服务器,并且,更新该MAC地址对应的MAC表项,此时,如果发现更新前该MAC地址对应于VXLAN隧道,而更新后对应于本地用户端口,则可以确定该监控服务器是迁入本VTEP的。
判断监控服务器是从本VTEP迁出的具体方法可以是:在接收到携带有VM的地址的BGP报文之后,根据本地保存的监控配置信息,确定该VM是监控服务器,并且,更新该MAC地址对应的MAC表项,此时,如果发现更新前该MAC地址对应于本地用户端口,而更新后对应于VXLAN隧道,则可以确定该监控服务器是从本VTEP迁出的。
在上述实施例的方法中,当被监控主机和监控服务器发生了迁移时,各个VTEP会动态的更新本VTEP上的第一转发表项、第二转发表项和第三转发表项,从而,能够实现被监控主机和监控服务器发生迁移时的报文监控。
以如图1所示的SDN网络为例进行说明,在该SDN网络中应用EVPN技术,VM1~VM4同属于VXLAN1,VTEP4连接了1个监控服务器SERV1,VTEP1~VTEP4中的任意两个VTEP之间建立了VXLAN隧道。控制器和各个VTEP之间建立了NETCONF协议连接,用于传输监控配置信息。SERV1的ID为HOST ID1,各个VM的MAC地址表示为VM-MAC、IP地址表示为VM-IP,各个VTEP的MAC地址表示为VTEP-MAC、IP地址表示为VTEP-IP。
控制器通过NETCONF协议向VTEP1发送监控配置信息,其中,该监控配置信息中包括:被监控主机VM10的MAC地址、IP地址和所属VXLAN,监控服务器SERV1的MAC地址和IP地址,以及HOST ID1。
VTEP1接收到该监控配置信息之后,保存该监控配置信息,在本地转发表中配置如表1-1第2行所示的第一转发表项,并将该监控配置信息通过BGP报文发送给VXLAN1内的VTEP2~VTEP4。
表1-1
VTEP2和VTEP3通过BGP报文接收到该监控配置信息之后,保存该监控配置信息,在本地转发表中配置如表2-1第2行所示的第二转发表项;VTEP4通过BGP报文接收到该监控配置信息之后,保存该监控配置信息,在本地转发表中配置如表3-1第2行所示的第二转发表项和如表3-1第3行所示的第三转发表项。
表2-1
表3-1
VM10要访问VM30时,发出源IP地址为VM10-IP、目的IP地址为VM30-IP的用户报文。VTEP1接收到该用户报文后,一方面根据该用户报文的目的IP地址进行查表转发,从而,对该用户报文进行VXLAN封装后,将VXLAN报文转发给VTEP3;另一方面,将该用户报文与如表1-1第2行所示的第一转发表项进行匹配,结果命中该第一转发表项,则对该用户报文进行镜像,根据HOST ID1对镜像报文进行VXLAN封装后,将封装得到的VXLAN报文发送给VTEP4。
VTEP4接收到该VXLAN报文后,将该VXLAN报文与如表3-1第3行所示的第三转发表项进行匹配,结果是命中该第三转发表项,则对该VXLAN报文进行解封装得到用户报文,将该用户报文发送给SERV1,由SERV1对该用户报文进行监控。
VTEP3接收到VXLAN报文后,进行解封装得到用户报文,并将该用户报文转发给VM30。VM30接收到该用户报文后,应答源IP地址为VM30-IP、目的IP地址为VM10-IP的用户报文。VTEP3接收到该用户报文之后,一方面,根据该用户报文的目的IP地址进行查表转发,从而,对该用户报文进行VXLAN封装后,将封装得到的VXLAN报文转发给VTEP1;另一方面,将该用户报文与如表2-1第2行所示的第二转发表项进行匹配,结果是命中该第二转发表项,则对该用户报文进行镜像,根据HOST ID1对镜像报文进行VXLAN封装后发送给VTEP4。
VTEP4接收到该VXLAN报文后,将该VXLAN报文与如表3-1第3行所示的第三转发表项进行匹配,结果是命中该第三转发表项,则对该VXLAN报文进行解封装得到用户报文,将该用户报文发送给SERV1,由SERV1对该用户报文进行监控。
按照上述过程,SERV1实现了对VM10发出的用户报文和发往VM10的用户报文的监控。控制器只需定期向SERV1获取监控结果即可。
后续,当VM10从VTEP1迁移到了VTEP2时,如图9所示,VTEP2检测到VM10迁移到本VTEP之后,根据本地保存的监控配置信息,确定VM10是被监控主机,则通过BGP报文向VTEP1、VTEP3和VTEP4发送VM10的MAC地址VM10-MAC和IP地址VM10-IP,并且,将如表2-1第2行所示的第二转发表项,更新为匹配规则是报文源地址为VM10的IP地址VM10-IP的第一转发表项,该第一转发表项如表2-2第2行所示。
表2-2
VTEP1在接收到VTEP2通过BGP报文发来的VM10的MAC地址和IP地址之后,根据本地保存的监控配置信息,确定VM10是被监控主机,则在判断出VM10是从本VTEP迁出时,将如表1-1第2行所示的第一转发表项,更新为匹配规则是报文目的地址为VM10-IP的第二转发表项,该第二转发表项如表1-2第2行所示。
而VTEP3和VTEP4在接收到VTEP2通过BGP报文发来的VM10的MAC地址和IP地址之后,根据本地保存的监控配置信息,确定VM10是被监控主机,然而,判断出VM10不是从本VTEP迁出,则不会对第二转发表项进行更新。
表1-2
当监控服务器SERV1从VTEP4迁移到VTEP3时,如图10所示,VTEP3在检测到SERV1迁移到本VTEP之后,根据本地保存的监控配置信息,确定SERV1是监控服务器,并确定出SERV1的ID为HOST ID1、以及对应的被监控主机VM10的MAC地址和IP地址,然后,通过BGP报文向VTEP1、VTEP2、VTEP4发送SERV1的地址,并且,将如表2-1第2行所示的第二转发表项更新为如表4-1第2行所示;另外,VTEP3还会在本地转发表中配置如表4-1第3行所示的第三转发表项。
表4-1
VTEP4在接收到VTEP3通过BGP报文发来的SERV1的地址之后,根据本地保存的监控配置信息,确定SERV1是监控服务器,并确定出SERV1的ID为HOST ID1、以及对应的被监控主机VM10的MAC地址和IP地址,然后,在判断出SERV1是从本VTEP迁出时,将如表3-1第2行所示的第二转发表项更新为如表3-2第2行所示;并且,删除如表3-1第3行所示的第三转发表项。
表3-2
VTEP1在接收到VTEP3通过BGP报文发来的SERV1的地址之后,根据本地保存的监控配置信息,确定SERV1是监控服务器,并确定出SERV1的ID为HOST ID1、以及对应的被监控主机VM10的MAC地址和IP地址,然后,在判断出SERV1不是从本VTEP迁出时,将如表1-2第2行所示的第二转发表项更新为如表1-3第2行所示。
表1-3
VTEP2在接收到VTEP3通过BGP报文发来的SERV1的地址之后,根据本地保存的监控配置信息,确定SERV1是监控服务器,并确定出SERV1的ID为HOST ID1、以及对应的被监控主机VM10的MAC地址和IP地址,然后,在判断出SERV1不是从本VTEP迁出时,将如表2-2第2行所示的第一转发表项更新为如表2-3第2行所示。
表2-3
与前述报文监控方法的实施例相对应,本申请还提供了报文监控装置的实施例。
本申请报文监控装置60的实施例可以应用在VTEP上。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在VTEP的处理器10将非易失性存储器50中对应的计算机程序指令读取到内存40中运行形成的。从硬件层面而言,如图11所示,为本申请报文监控装置60所在VTEP的一种硬件结构图,除了图11所示的处理器10、内部总线20、网络接口30、内存40、以及非易失性存储器50之外,实施例中装置所在的VTEP通常根据该VTEP的实际功能,还可以包括其他硬件,对此不再赘述。
请参考图12,本申请实施例的报文监控装置60中包括:接收模块601、封装发送模块602和解封装发送模块603,其中:
接收模块601,用于接收报文;
封装发送模块602,用于若接收模块601接收到的报文为来自本地被监控主机的用户报文,则根据匹配的第一转发表项的执行动作,将报文镜像进行VXLAN封装后发送给监控服务器接入的远端VTEP,或者将报文镜像发送给本地监控服务器;还用于若接收模块601接收到的报文为本地主机发往被监控主机的用户报文,则根据匹配的第二转发表项的执行动作,将报文镜像进行VXLAN封装后发送给监控服务器接入的远端VTEP,或者将报文镜像发送给本地监控服务器;其中,报文镜像进行VXLAN封装后携带监控服务器标识;
解封装发送模块603,用于若接收模块601接收到的报文为来自远端VTEP、且携带监控服务器标识的VXLAN报文,则根据匹配的第三转发表项的执行动作,对该VXLAN报文解封装后发送给本地监控服务器。
其中,来自本地被监控主机的用户报文的源地址与匹配的第一转发表项的匹配规则中的报文源地址相同;本地主机发往被监控主机的用户报文的目的地址与匹配的第二转发表项的匹配规则中的报文目的地址相同;VXLAN报文携带的监控服务器标识与匹配的第三转发表项的匹配规则中的监控服务器标识相同。
如图13所示,上述报文监控装置60中还包括:配置模块604和信息发送模块605,其中:
接收模块601,还用于当本VTEP为被监控主机接入的VTEP时,用于接收控制器发来的监控配置信息,其中,该监控配置信息中至少包括:被监控主机的地址和所属的VXLAN标识、监控服务器的地址、以及监控服务器标识;还用于当本VTEP为被监控主机未接入的VTEP时,接收远端VTEP发送的监控配置信息;还用于当本VTEP为监控服务器接入的VTEP时,接收远端VTEP发送的监控配置信息;
配置模块604,用于在接收模块601接收到控制器发来的监控配置信息之后,在本地转发表中配置第一转发表项;还用于当本VTEP为被监控主机未接入的VTEP时,在接收模块601接收到远端VTEP发送的监控配置信息之后,在本地转发表中配置第二转发表项;还用于当本VTEP为监控服务器接入的VTEP时,在接收模块601接收到远端VTEP发送的监控配置信息之后,在本地转发表中配置第三转发表项;
信息发送模块605,用于在接收模块601接收到控制器发来的监控配置信息之后,将该监控配置信息发送给所有远端VTEP。
如图13所示,上述报文监控装置60还包括:查找更新模块606,其中:
信息发送模块605,还用于在检测到被监控主机迁入本VTEP之后,向所有远端VTEP发送被监控主机的地址;
查找更新模块606,用于在检测到被监控主机迁入本VTEP之后,在本地转发表中查找匹配规则中报文目的地址为该被监控主机的地址的第二转发表项,将查找到的第二转发表项更新为匹配规则中报文源地址为该被监控主机地址的第一转发表项。
如图13所示,上述报文监控装置60中还包括:判断模块607和查找更新模块606,其中:
接收模块601,还用于接收远端VTEP发来的被监控主机的地址;
判断模块607,用于在接收模块601接收到远端VTEP发来的被监控主机的地址之后,判断该被监控主机是否从本VTEP迁出;
查找更新模块606,用于若判断模块606的判断结果是该被监控主机是从本VTEP迁出,则在本地转发表中查找匹配规则中报文源地址为该被监控主机地址的第一转发表项,将查找到的第一转发表项更新为匹配规则中报文目的地址为该被监控主机的地址的第二转发表项。
如图14所示,上述报文监控装置60中还包括:确认模块608和查找更新模块606,其中:
信息发送模块605,还用于在检测到监控服务器迁入本VTEP之后,向所有远端VTEP发送该监控服务器的地址;
确认模块608,用于在检测到监控服务器迁入本VTEP之后,确认该监控服务器对应的被监控主机的地址和该监控服务器的标识;
查找更新模块606,用于在确认模块608确认该监控服务器对应的被监控主机的地址之后,在本地转发表中查找匹配规则中报文源地址为该被监控主机的地址的第一转发表项,或者,匹配规则中报文目的地址为该被监控主机的地址的第二转发表项,将查找到的第一转发表项或第二转发表项的执行动作更新为将报文镜像发送给本地的该监控服务器;
配置模块604,还用于在确认模块608确认该监控服务器对应的该监控服务器的标识之后,在本地转发表中配置第三转发表项,其中,匹配规则中的监控服务器标识为迁入本VTEP的该监控服务器的标识。
如图14所示,上述报文监控装置60中还包括:确认模块608、判断模块607和查找更新模块606,其中:
接收模块601,还用于接收远端VTEP发来的监控服务器的地址;
确认模块608,用于在接收模块601接收到远端VTEP发来的监控服务器的地址之后,确认该监控服务器对应的被监控主机的地址和该监控服务器的标识;
判断模块607,用于在接收模块601接收到远端VTEP发来的监控服务器的地址之后,判断该监控服务器是否从本VTEP迁出;
查找更新模块606,用于若判断模块607的判断结果是该监控服务器是从本VTEP迁出,则在确认模块608确认该监控服务器对应的被监控主机的地址和该监控服务器的标识之后,在本地转发表中查找匹配规则中报文源地址为该被监控主机的地址的第一转发表项,或者,匹配规则中报文目的地址为该被监控主机的地址的第二转发表项,将查找到的第一转发表项或第二转发表项的执行动作更新为将报文镜像进行VXLAN封装后发送给该监控服务器迁入的远端VTEP,在本地转发表中查找匹配规则中包含该监控服务器的标识的第三转发表项并删除;还用于若判断模块607的判断结果是该监控服务器不是从本VTEP迁出,则在确认模块608确认该监控服务器对应的被监控主机的地址之后,在本地转发表中查找匹配规则中报文源地址为该被监控主机的地址的第一转发表项,或者,匹配规则中报文目的地址为该被监控主机的地址的第二转发表项,将查找到的第一转发表项或第二转发表项的执行动作更新为将报文镜像进行VXLAN封装后发送给该监控服务器迁入的远端VTEP。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (14)
1.一种报文监控方法,其特征在于,所述方法应用于可扩展虚拟局域网络VXLAN隧道端点VTEP,所述方法包括:
接收报文;
若所述报文为来自本地被监控主机的用户报文,则根据匹配的第一转发表项的执行动作,将报文镜像进行VXLAN封装后发送给监控服务器接入的远端VTEP,或者将报文镜像发送给本地监控服务器;
若所述报文为本地主机发往被监控主机的用户报文,则根据匹配的第二转发表项的执行动作,将报文镜像进行VXLAN封装后发送给监控服务器接入的远端VTEP,或者将报文镜像发送给本地监控服务器;其中,所述报文镜像进行VXLAN封装后携带监控服务器标识;
若所述报文为来自远端VTEP、且携带监控服务器标识的VXLAN报文,则根据匹配的第三转发表项的执行动作,对所述VXLAN报文解封装后发送给本地监控服务器。
2.根据权利要求1所述的方法,其特征在于,
所述来自本地被监控主机的用户报文的源地址与所述匹配的第一转发表项的匹配规则中的报文源地址相同;
所述本地主机发往被监控主机的用户报文的目的地址与所述匹配的第二转发表项的匹配规则中的报文目的地址相同;
所述VXLAN报文携带的监控服务器标识与所述匹配的第三转发表项的匹配规则中的监控服务器标识相同。
3.根据权利要求2所述的方法,其特征在于,在接收报文之前,还包括:
所述被监控主机接入的VTEP接收并保存控制器发来的监控配置信息,在本地转发表中配置所述第一转发表项,并将所述监控配置信息发送给所有远端VTEP;
所述被监控主机未接入的VTEP接收远端VTEP发送的所述监控配置信息,在本地转发表中配置所述第二转发表项;
所述监控服务器接入的VTEP接收所述远端VTEP发送的所述监控配置信息,在本地转发表中配置所述第三转发表项;
其中,所述监控配置信息中至少包括:被监控主机的地址和所属的VXLAN标识、监控服务器的地址、以及监控服务器标识。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
在检测到被监控主机迁入本VTEP之后,向所有远端VTEP发送被监控主机的地址;
在本地转发表中查找匹配规则中报文目的地址为该被监控主机的地址的第二转发表项,将查找到的第二转发表项更新为匹配规则中报文源地址为该被监控主机地址的第一转发表项。
5.根据权利要求3所述的方法,其特征在于,所述方法还包括:
在接收到远端VTEP发来的被监控主机的地址之后,判断该被监控主机是否从本VTEP迁出;
若是,则在本地转发表中查找匹配规则中报文源地址为该被监控主机地址的第一转发表项,将查找到的第一转发表项更新为匹配规则中报文目的地址为该被监控主机的地址的第二转发表项。
6.根据权利要求3所述的方法,其特征在于,所述方法还包括:
在检测到监控服务器迁入本VTEP之后,向所有远端VTEP发送该监控服务器的地址;
确认该监控服务器对应的被监控主机的地址和该监控服务器的标识;
在本地转发表中查找匹配规则中报文源地址为该被监控主机的地址的第一转发表项,或者,匹配规则中报文目的地址为该被监控主机的地址的第二转发表项,将查找到的第一转发表项或第二转发表项的执行动作更新为将报文镜像发送给本地的该监控服务器;
在本地转发表中配置第三转发表项,其中,匹配规则中的监控服务器标识为迁入本VTEP的该监控服务器的标识。
7.根据权利要求3所述的方法,其特征在于,所述方法还包括:
在接收到远端VTEP发来的监控服务器的地址之后,确认该监控服务器对应的被监控主机的地址和该监控服务器的标识;
判断该监控服务器是否从本VTEP迁出;
若是,则在本地转发表中查找匹配规则中报文源地址为该被监控主机的地址的第一转发表项,或者,匹配规则中报文目的地址为该被监控主机的地址的第二转发表项,将查找到的第一转发表项或第二转发表项的执行动作更新为将报文镜像进行VXLAN封装后发送给该监控服务器迁入的远端VTEP;在本地转发表中查找匹配规则中包含该监控服务器的标识的第三转发表项并删除;
若否,则在本地转发表中查找匹配规则中报文源地址为该被监控主机的地址的第一转发表项,或者,匹配规则中报文目的地址为该被监控主机的地址的第二转发表项,将查找到的第一转发表项或第二转发表项的执行动作更新为将报文镜像进行VXLAN封装后发送给该监控服务器迁入的远端VTEP。
8.一种报文监控装置,其特征在于,所述装置应用于可扩展虚拟局域网络VXLAN隧道端点VTEP中,所述装置包括:
接收模块,用于接收报文;
封装发送模块,用于若所述接收模块接收到的报文为来自本地被监控主机的用户报文,则根据匹配的第一转发表项的执行动作,将报文镜像进行VXLAN封装后发送给监控服务器接入的远端VTEP,或者将报文镜像发送给本地监控服务器;还用于若所述接收模块接收到的报文为本地主机发往被监控主机的用户报文,则根据匹配的第二转发表项的执行动作,将报文镜像进行VXLAN封装后发送给监控服务器接入的远端VTEP,或者将报文镜像发送给本地监控服务器;其中,所述报文镜像进行VXLAN封装后携带监控服务器标识;
解封装发送模块,用于若所述接收模块接收到的报文为来自远端VTEP、且携带监控服务器标识的VXLAN报文,则根据匹配的第三转发表项的执行动作,对所述VXLAN报文解封装后发送给本地监控服务器。
9.根据权利要求8所述的装置,其特征在于,
所述来自本地被监控主机的用户报文的源地址与所述匹配的第一转发表项的匹配规则中的报文源地址相同;
所述本地主机发往被监控主机的用户报文的目的地址与所述匹配的第二转发表项的匹配规则中的报文目的地址相同;
所述VXLAN报文携带的监控服务器标识与所述匹配的第三转发表项的匹配规则中的监控服务器标识相同。
10.根据权利要求9所述的装置,其特征在于,所述装置还包括:配置模块和信息发送模块,其中:
所述接收模块,还用于当本VTEP为所述被监控主机接入的VTEP时,用于接收控制器发来的监控配置信息,其中,所述监控配置信息中至少包括:被监控主机的地址和所属的VXLAN标识、监控服务器的地址、以及监控服务器标识;还用于当本VTEP为所述被监控主机未接入的VTEP时,接收远端VTEP发送的所述监控配置信息;还用于当本VTEP为所述监控服务器接入的VTEP时,接收远端VTEP发送的所述监控配置信息;
所述配置模块,用于在所述接收模块接收到所述控制器发来的监控配置信息之后,在本地转发表中配置所述第一转发表项;还用于当本VTEP为所述被监控主机未接入的VTEP时,在所述接收模块接收到远端VTEP发送的所述监控配置信息之后,在本地转发表中配置所述第二转发表项;还用于当本VTEP为所述监控服务器接入的VTEP时,在所述接收模块接收到远端VTEP发送的所述监控配置信息之后,在本地转发表中配置所述第三转发表项;
所述信息发送模块,用于在所述接收模块接收到所述控制器发来的监控配置信息之后,将所述监控配置信息发送给所有远端VTEP。
11.根据权利要求10所述的装置,其特征在于,所述装置还包括:查找更新模块,其中:
所述信息发送模块,还用于在检测到被监控主机迁入本VTEP之后,向所有远端VTEP发送被监控主机的地址;
所述查找更新模块,用于在检测到被监控主机迁入本VTEP之后,在本地转发表中查找匹配规则中报文目的地址为该被监控主机的地址的第二转发表项,将查找到的第二转发表项更新为匹配规则中报文源地址为该被监控主机地址的第一转发表项。
12.根据权利要求10所述的装置,其特征在于,所述装置还包括:判断模块和查找更新模块,其中:
所述接收模块,还用于接收远端VTEP发来的被监控主机的地址;
所述判断模块,用于在所述接收模块接收到远端VTEP发来的被监控主机的地址之后,判断该被监控主机是否从本VTEP迁出;
所述查找更新模块,用于若所述判断模块的判断结果是该被监控主机是从本VTEP迁出,则在本地转发表中查找匹配规则中报文源地址为该被监控主机地址的第一转发表项,将查找到的第一转发表项更新为匹配规则中报文目的地址为该被监控主机的地址的第二转发表项。
13.根据权利要求10所述的装置,其特征在于,所述装置还包括:确认模块和查找更新模块,其中:
所述信息发送模块,还用于在检测到监控服务器迁入本VTEP之后,向所有远端VTEP发送该监控服务器的地址;
所述确认模块,用于在检测到监控服务器迁入本VTEP之后,确认该监控服务器对应的被监控主机的地址和该监控服务器的标识;
所述查找更新模块,用于在所述确认模块确认该监控服务器对应的被监控主机的地址之后,在本地转发表中查找匹配规则中报文源地址为该被监控主机的地址的第一转发表项,或者,匹配规则中报文目的地址为该被监控主机的地址的第二转发表项,将查找到的第一转发表项或第二转发表项的执行动作更新为将报文镜像发送给本地的该监控服务器;
所述配置模块,还用于在所述确认模块确认该监控服务器对应的该监控服务器的标识之后,在本地转发表中配置第三转发表项,其中,匹配规则中的监控服务器标识为迁入本VTEP的该监控服务器的标识。
14.根据权利要求10所述的装置,其特征在于,所述装置还包括:确认模块、判断模块和查找更新模块,其中:
所述接收模块,还用于接收远端VTEP发来的监控服务器的地址;
所述确认模块,用于在所述接收模块接收到远端VTEP发来的监控服务器的地址之后,确认该监控服务器对应的被监控主机的地址和该监控服务器的标识;
所述判断模块,用于在所述接收模块接收到远端VTEP发来的监控服务器的地址之后,判断该监控服务器是否从本VTEP迁出;
所述查找更新模块,用于若所述判断模块的判断结果是该监控服务器是从本VTEP迁出,则在所述确认模块确认该监控服务器对应的被监控主机的地址和该监控服务器的标识之后,在本地转发表中查找匹配规则中报文源地址为该被监控主机的地址的第一转发表项,或者,匹配规则中报文目的地址为该被监控主机的地址的第二转发表项,将查找到的第一转发表项或第二转发表项的执行动作更新为将报文镜像进行VXLAN封装后发送给该监控服务器迁入的远端VTEP,在本地转发表中查找匹配规则中包含该监控服务器的标识的第三转发表项并删除;还用于若所述判断模块的判断结果是该监控服务器不是从本VTEP迁出,则在所述确认模块确认该监控服务器对应的被监控主机的地址之后,在本地转发表中查找匹配规则中报文源地址为该被监控主机的地址的第一转发表项,或者,匹配规则中报文目的地址为该被监控主机的地址的第二转发表项,将查找到的第一转发表项或第二转发表项的执行动作更新为将报文镜像进行VXLAN封装后发送给该监控服务器迁入的远端VTEP。
Priority Applications (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610620508.0A CN107682275B (zh) | 2016-08-01 | 2016-08-01 | 报文监控方法及装置 |
| PCT/CN2017/095387 WO2018024187A1 (zh) | 2016-08-01 | 2017-08-01 | 报文监控 |
| JP2019505173A JP6928076B2 (ja) | 2016-08-01 | 2017-08-01 | パケット監視 |
| EP17836369.3A EP3493477B1 (en) | 2016-08-01 | 2017-08-01 | Message monitoring |
| US16/322,387 US10938679B2 (en) | 2016-08-01 | 2017-08-01 | Packet monitoring |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610620508.0A CN107682275B (zh) | 2016-08-01 | 2016-08-01 | 报文监控方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107682275A true CN107682275A (zh) | 2018-02-09 |
| CN107682275B CN107682275B (zh) | 2020-08-04 |
Family
ID=61072773
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610620508.0A Active CN107682275B (zh) | 2016-08-01 | 2016-08-01 | 报文监控方法及装置 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US10938679B2 (zh) |
| EP (1) | EP3493477B1 (zh) |
| JP (1) | JP6928076B2 (zh) |
| CN (1) | CN107682275B (zh) |
| WO (1) | WO2018024187A1 (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108418740A (zh) * | 2018-02-28 | 2018-08-17 | 新华三技术有限公司 | 报文处理方法及装置 |
| CN110719215A (zh) * | 2019-10-21 | 2020-01-21 | 北京百度网讯科技有限公司 | 虚拟网络的流信息采集方法及装置 |
| JP2020205571A (ja) * | 2019-06-19 | 2020-12-24 | 富士通株式会社 | 情報処理システム、情報処理装置、及び情報処理プログラム |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107317832B (zh) * | 2016-04-27 | 2020-01-03 | 新华三技术有限公司 | 报文转发方法及装置 |
| CN110661714B (zh) * | 2018-06-30 | 2022-06-28 | 华为技术有限公司 | 发送bgp消息的方法、接收bgp消息的方法以及设备 |
| US11477270B1 (en) * | 2021-07-06 | 2022-10-18 | Vmware, Inc. | Seamless hand-off of data traffic in public cloud environments |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104618194A (zh) * | 2015-02-15 | 2015-05-13 | 杭州华三通信技术有限公司 | 软件定义网络报文监控方法和sdn控制器、交换设备 |
| CN105099922A (zh) * | 2015-06-18 | 2015-11-25 | 杭州华三通信技术有限公司 | 一种跨虚拟可扩展局域网的数据报文转发方法和装置 |
| US9203755B1 (en) * | 2011-09-27 | 2015-12-01 | Cisco Technology, Inc. | Error message monitoring in a network environment |
| CN105337884A (zh) * | 2015-09-25 | 2016-02-17 | 盛科网络(苏州)有限公司 | 基于逻辑端口实现多级报文编辑业务控制的方法及装置 |
| CN105471740A (zh) * | 2014-07-09 | 2016-04-06 | 杭州华三通信技术有限公司 | 基于软件定义网络的网关迁徙处理方法及装置 |
| CN105591955A (zh) * | 2015-10-30 | 2016-05-18 | 杭州华三通信技术有限公司 | 一种报文传输的方法和装置 |
Family Cites Families (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7486674B2 (en) * | 2003-04-28 | 2009-02-03 | Alcatel-Lucent Usa Inc. | Data mirroring in a service |
| CN101043387A (zh) | 2007-03-22 | 2007-09-26 | 杭州华三通信技术有限公司 | 远程镜像实现方法、远程监控设备及实现远程镜像的系统 |
| CN101252475A (zh) | 2008-03-28 | 2008-08-27 | 中兴通讯股份有限公司 | 报文镜像方法及装置 |
| RU2541113C2 (ru) | 2010-10-15 | 2015-02-10 | Нек Корпорейшн | Система коммутаторов и способ централизованного управления мониторингом |
| EP2858317B1 (en) | 2012-05-31 | 2017-07-12 | Nec Corporation | Control device, communication system, switch control method and program |
| US9621508B2 (en) * | 2013-08-20 | 2017-04-11 | Arista Networks, Inc. | System and method for sharing VXLAN table information with a network controller |
| US9612854B2 (en) * | 2013-12-18 | 2017-04-04 | Telefonaktiebolaget Lm Ericsson (Publ) | System and method for virtualizing a remote device |
| KR102122949B1 (ko) * | 2014-01-24 | 2020-06-16 | 한국전자통신연구원 | 네트워크를 통해 연결된 세그먼트들을 관리하는 방법 및 장치 |
| US9548873B2 (en) * | 2014-02-10 | 2017-01-17 | Brocade Communications Systems, Inc. | Virtual extensible LAN tunnel keepalives |
| US9794079B2 (en) * | 2014-03-31 | 2017-10-17 | Nicira, Inc. | Replicating broadcast, unknown-unicast, and multicast traffic in overlay logical networks bridged with physical networks |
| JPWO2016017737A1 (ja) | 2014-07-31 | 2017-05-18 | 日本電気株式会社 | スイッチ、オーバーレイネットワークシステム、通信方法及びプログラム |
| JP2016100799A (ja) | 2014-11-25 | 2016-05-30 | 株式会社日立製作所 | 監視システムおよび監視方法 |
| JP6557097B2 (ja) * | 2015-09-01 | 2019-08-07 | 日本電気株式会社 | 仮想ネットワーク監視システム、仮想ネットワーク監視方法、及び、プログラム |
| US10200278B2 (en) * | 2016-03-02 | 2019-02-05 | Arista Networks, Inc. | Network management system control service for VXLAN on an MLAG domain |
| JP6990097B2 (ja) | 2017-11-30 | 2022-01-12 | 三菱重工業株式会社 | 液体金属ナトリウムの回収方法及び回収装置 |
-
2016
- 2016-08-01 CN CN201610620508.0A patent/CN107682275B/zh active Active
-
2017
- 2017-08-01 US US16/322,387 patent/US10938679B2/en active Active
- 2017-08-01 EP EP17836369.3A patent/EP3493477B1/en active Active
- 2017-08-01 WO PCT/CN2017/095387 patent/WO2018024187A1/zh unknown
- 2017-08-01 JP JP2019505173A patent/JP6928076B2/ja active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9203755B1 (en) * | 2011-09-27 | 2015-12-01 | Cisco Technology, Inc. | Error message monitoring in a network environment |
| CN105471740A (zh) * | 2014-07-09 | 2016-04-06 | 杭州华三通信技术有限公司 | 基于软件定义网络的网关迁徙处理方法及装置 |
| CN104618194A (zh) * | 2015-02-15 | 2015-05-13 | 杭州华三通信技术有限公司 | 软件定义网络报文监控方法和sdn控制器、交换设备 |
| CN105099922A (zh) * | 2015-06-18 | 2015-11-25 | 杭州华三通信技术有限公司 | 一种跨虚拟可扩展局域网的数据报文转发方法和装置 |
| CN105337884A (zh) * | 2015-09-25 | 2016-02-17 | 盛科网络(苏州)有限公司 | 基于逻辑端口实现多级报文编辑业务控制的方法及装置 |
| CN105591955A (zh) * | 2015-10-30 | 2016-05-18 | 杭州华三通信技术有限公司 | 一种报文传输的方法和装置 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108418740A (zh) * | 2018-02-28 | 2018-08-17 | 新华三技术有限公司 | 报文处理方法及装置 |
| CN108418740B (zh) * | 2018-02-28 | 2020-09-08 | 新华三技术有限公司 | 报文处理方法及装置 |
| JP2020205571A (ja) * | 2019-06-19 | 2020-12-24 | 富士通株式会社 | 情報処理システム、情報処理装置、及び情報処理プログラム |
| JP7226123B2 (ja) | 2019-06-19 | 2023-02-21 | 富士通株式会社 | 情報処理システム、情報処理装置、及び情報処理プログラム |
| CN110719215A (zh) * | 2019-10-21 | 2020-01-21 | 北京百度网讯科技有限公司 | 虚拟网络的流信息采集方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2019523608A (ja) | 2019-08-22 |
| US10938679B2 (en) | 2021-03-02 |
| EP3493477B1 (en) | 2022-05-04 |
| EP3493477A1 (en) | 2019-06-05 |
| CN107682275B (zh) | 2020-08-04 |
| US20200186447A1 (en) | 2020-06-11 |
| JP6928076B2 (ja) | 2021-09-01 |
| WO2018024187A1 (zh) | 2018-02-08 |
| EP3493477A4 (en) | 2019-06-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10296370B2 (en) | Port mirroring in a virtualized computing environment | |
| US10237177B2 (en) | Transfer device and transfer system | |
| CN107682275A (zh) | 报文监控方法及装置 | |
| US10320664B2 (en) | Cloud overlay for operations administration and management | |
| JP5991424B2 (ja) | パケット書換装置、制御装置、通信システム、パケット送信方法及びプログラム | |
| US10432426B2 (en) | Port mirroring in a virtualized computing environment | |
| CN106233673B (zh) | 用于网络服务插入的设备和方法 | |
| US10536362B2 (en) | Configuring traffic flow monitoring in virtualized computing environments | |
| US20200036608A1 (en) | Context-aware network introspection in software-defined networking (sdn) environments | |
| WO2016066119A1 (en) | Deployment of virtual extensible local area network | |
| US11627080B2 (en) | Service insertion in public cloud environments | |
| CN106878048A (zh) | 故障处理方法及装置 | |
| US11470071B2 (en) | Authentication for logical overlay network traffic | |
| CN105763440A (zh) | 一种报文转发的方法和装置 | |
| US10931552B1 (en) | Connectivity check with service insertion | |
| US11652717B2 (en) | Simulation-based cross-cloud connectivity checks | |
| CN106059923A (zh) | 一种报文转发方法及装置 | |
| CN106878136A (zh) | 一种报文转发方法及装置 | |
| US11695665B2 (en) | Cross-cloud connectivity checks | |
| US9356803B2 (en) | Field aware virtual connection discovery | |
| US11546242B2 (en) | Logical overlay tunnel monitoring | |
| CN106878106A (zh) | 一种可达性检测方法及装置 | |
| CN106878066A (zh) | 故障检测方法及装置 | |
| CN113709016B (zh) | 通信系统以及通信方法、装置、设备和存储介质 | |
| US11349736B1 (en) | Flow-based latency measurement for logical overlay network traffic |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |