CN110061897A - 虚拟网络隧道内流量数据获取方法与系统 - Google Patents

Abstract

一种虚拟网络隧道内流量数据获取方法与系统，方法主要是通过修正运行于交换机内数据流查表达到目的，当多个执行软件交换机的主机之间通过虚拟网络传递信息时，交换机可以取得隧道内数据流的信息，以达到监控、计量与管理隧道内数据流的目的。其中，由一主机中运行的虚拟机产生封包，封包于主机中逻辑通信端口以一隧道协议封装，经由虚拟网络隧道传送到交换机，于交换机卸装封包时，可根据封包表头查找一数据流查表，以获取隧道内流量数据，之后经重新封装后传送到目的地主机所建立的逻辑通信端口，由目的地主机卸装后得到封包的原始数据。

Description

虚拟网络隧道内流量数据获取方法与系统

技术领域

本公开涉及一种获取网络流量数据的方法与系统，特别涉及获取虚拟网络环境中节点之间隧道内流量数据的方法与系统。

背景技术

软件定义网络(Software-Defined Networks，SDN)为一种新一代的网络架构，其利用集中式的控制器(controller)取代过往分布式网络系统中交换机(switch)的控制平面(control plane)，软件定义网络让其中的交换机只需负责数据平面(data plane)的部分，使得集中式的控制器可以达到对控制需求的优化。

软件定义网络采用的集中式控制器可以实现拓扑(topology)的优化与优选的路径规划等。此外通过一种封包转送的开放流(OpenFlow)协议使得控制器和交换机之间的沟通有一个标准且公开的准则，如此一来就不用受限于各家开发厂商自定义的规范，进而使得网络管理者可以撰写或是优化自己想要的控制器的各种应用(applications)，进而达到具有多功能性的应用模块。

开放流协议提供统一的沟通接口，使控制平面与数据平面能正常沟通，其中控制平面采用数据流查表(Flow Table)控管数据平面，且可直接控管数据平面，执行如信息转送(forwarding)与查找(lookups)的动作，形成一种数据流记录(flow entry)，数据平面则依此数据流查表判断、执行。

现行数据中心(data center)常采用软件定义网络(SDN)作为运行的架构，建构虚拟网络，在虚拟网络中建构多个服务用户的虚拟机。不过，虚拟网络的建立是通过隧道(tunnel)技术来实现的，虚拟机之间传送的数据会在一个隧道的起点与终点进行封包的封装与拆装，以致于对于一台处在网络中的交换机而言，它无法辨别一个隧道内不同的数据流，无法让管理者监控其中流动的数据流进而控管流量与优化网络带宽使用。

发明内容

鉴于现有技术无法监视交换机之间隧道内流量的问题，本公开涉及一种虚拟网络隧道内流量数据获取方法与系统，方法让网络交换机(switch)能够辨别隧道内不同的数据流，并可应用在SDN(软件定义网络)交换机上，SDN交换机支持开放流协议，能与SDN控制器进行沟通，能够对隧道内指定的数据流限速。

在一实施例中，虚拟网络隧道内流量数据获取方法应用于一交换机内，方法包括运行有软件交换机的一个节点，如交换机，接收由第一主机中运行的虚拟机产生的封包，封包于此第一主机内执行的软件交换机建立的逻辑通信端口以一隧道协议封装，经由一虚拟网络隧道传送到交换机。

进一步地，于交换机的输入逻辑通信端口卸装封包后，可根据封包表头查找一数据流查表，以获取隧道内流量数据，可以统计隧道内数据流、执行计量以管理隧道内数据流。之后，于交换机的输出逻辑通信端口重新以隧道协议封装封包，重新封装封包时，修改封包表头，加载交换机的信息与目的地主机的信息等。

进一步地，重新封装的封包通过另一虚拟网络隧道传送到目的地主机中软件交换机所建立的逻辑通信端口，再由目的地的软件交换机的逻辑通信端口接收经重新封装的封包，卸装封包而得到封包的原始数据。

根据另一实施例，本公开提出执行虚拟网络隧道内流量数据获取方法的系统，系统中包括有交换机，并通过虚拟网络连接多个主机，其中包括第一主机，其中运行第一虚拟机，执行第一软件交换机，与交换机之间建立第一虚拟网络隧道，其中第二主机运行第二虚拟机，执行第二软件交换机，与交换机之间建立第二虚拟网络隧道。由交换机中运行的软件交换机程序执行虚拟网络隧道内流量数据获取方法包括有，接收由第一虚拟机产生的封包，封包在其逻辑通信端口以特定隧道协议封装，并经由一虚拟网络隧道传送到交换机，之后，经交换机卸装后，根据封包表头查找一数据流查表，以获取隧道内流量数据，其目的如统计隧道内数据流、执行计量以管理隧道内数据流。

进一步地，实现获取隧道内流量数据的目的后，重新封装封包，再经另一虚拟网络隧道传送到目的地，如第二软件交换机所建立的逻辑通信端口，在此通信埠(端口)卸装封包，使第二虚拟机可以得到封包的原始数据。

附图说明

图1所示为应用隧道运行机制的虚拟网络与系统示意图；

图2所示为应用隧道运行机制的虚拟网络与系统示意图；

图3所示流程描述封包转送处理步骤；

图4所示为虚拟网络上各节点形成的网络系统示意图；

图5显示为运行于网络系统中一软件交换机内的数据流查表范例；

图6所示为虚拟网络隧道内流量数据获取方法的实施例流程图；

图7所示为运行虚拟网络隧道内流量数据获取方法的虚拟网络系统实施例示意图；

图8显示为运行于网络系统中一软件交换机内修正后数据流查表范例；

图9所示为运行虚拟网络隧道内流量数据获取方法的虚拟网络系统再一实施例示意图。

具体实施方式

软件定义网络(Software-Defined Network，SDN)采用的集中式控制器(SDNcontroller)可以实现拓扑(topology)的优化与优选的路径规划等，其中通过开放流(OpenFlow)协议让控制器和SDN交换机之间以一个标准且公开的准则通信，其中SDN交换机采用数据流查表(Flow Table)控管数据平面(data plane)，执行如信息传送路径、转送(forwarding)与查找(lookups)的动作，形成一种数据流记录(flow entry)，数据平面则依此数据流查表判断、执行，也能让网络管理者可以撰写或是优化自己想要的控制器的各种应用(applications)，进而达到具有多功能性的应用模块。

现行数据中心常采用软件定义网络(SDN)作为运行的架构，SDN网络将数据平面(data plane)与控制平面(control plane)分开，其利用集中式的控制器(controller)取代过往分布式网络系统中交换机(switch)的控制平面，软件定义网络让其中的交换机只需负责数据平面的部分，使得集中式的控制器可以达到对控制需求的优化。

在数据中心里，用户(subscriber)可以建立属于自己的虚拟网络(VirtualNetwork)，并将自己的虚拟机(VM)连接上这个虚拟网络，让虚拟机之间能够通过这个虚拟网络互相传送数据。然而，虚拟网络的建立是通过隧道(tunnel)技术来实现的，虚拟机之间传送的数据会在一个隧道的起点与终点进行封包的封装(Encapsulation)与拆装(Decapsulation)，以致于对于一台处在网络中的交换机而言，原本是无法辨别一个隧道内不同的数据流，也因此无法进行监控与流量控制。而本公开所提出的虚拟网络隧道内流量数据获取方法与系统，能够让网络交换机(switch)能够辨别隧道内不同的数据流，并可应用在SDN(软件定义网络)交换机上，SDN交换机支持开放流(OpenFlow)协议而与SDN控制器进行沟通，能够对隧道内指定的数据流限速。并且在特定云端操作系统(如OpenStack)布署的环境中进行效能测量，以能准确记录每个隧道内数据流的网络带宽使用量的信息，且这样的应用与现行运行在应用层(application layer)的方式不同，并不会对交换机的整体效能造成过大的负担。

其中应用的技术为特定网络交换机之间的通信协议，如开放流(OpenFlow)协议，开放流协议主要使用三种用于通信的信息(messagetypes)，包括封包输入(packet-in)、数据流编辑(flow-mod)与封包输出(packet-out)。

运行开放流协议的交换机(如SDN交换机)先与运行开放流协议的控制器(如SDN控制器)进行联机，其中交换机采用数据流查表(Flow Table)执行如信息转送(forwarding)与查找(lookups)的动作，形成数据流记录(flow entry)。在预先状态下，数据流查表内容预先设定为空，并设定为若无适合数据流记录，会请控制器进行协助。

在交换机与控制器联机后，有一流量需经由交换机传送到其他主机，当此交换机接收到新的数据流，会查找内存中的数据流查表，如果在数据流查表中有符合(matched)的数据流记录，交换机执行数据流记录的动作(action)，并更新查表中数据流记录的统计值；如果在数据流查表中没有符合的数据流记录，交换机产生“封包输入(packet-in)”信息，将接收到的数据流放入封包输入的信息封包中，其中包括流量信息，传送到控制器，控制器使用其控制逻辑(control logic)产生并传送“数据流编辑(flow-mod)”信息，以及“封包输出(packet-out)”信息给交换机，让交换机加入由数据流编辑信息封包承载的新的数据流记录，使得后续相关的数据流可以符合这个新增的数据流记录，就不用产生封包输入信息而要控制器处理相关内容。

因此，在此数据流记录的技术方案下，交换机内处理器可以不用重复处理相似的数据流以及与控制器之间的往来而影响效能。

运行虚拟网络隧道内流量数据获取方法与系统的数据中心采用一种隧道运行机制，如一种虚拟区域网扩展(VXLAN，Virtual Extensible LAN)协定，另有一种GRE协定，但在此并不赘述。现有网络系统架构可参考图1所示应用某种隧道运行机制的虚拟网络与系统示意图。

根据示意图，第一服务器11与第二服务器12都运行有虚拟机(VM)以及软件交换机(OVS，Open vSwitch，支持OpenFlow)，分别为第一虚拟机111与第一软件交换机113，以及第二虚拟机121与第二软件交换机123，两个服务器(11、12)以虚拟区域网扩展(VXLAN)实现一种虚拟网络的隧道协议(tunnel protocol)，例如图示服务器(11、12)之间分别以第一隧道端点101与第二隧道端点102实现虚拟区域网扩展隧道端点(VXLAN Tunnel Endpoint、VTEP)联系，并设定接口(socket)以通信与转送封包。

对于隧道内传送的数据流(In-Tunnel Flow，ITF)的监控技术可使用一种采样流(Sampled Flow，sFlow)技术，采样流技术以一采样率(sampling rate)采样封包，并分析封包中前N个字节数据，一般默认N为128。但是，为了避免运行过高采样率而降低系统效能，或是过低采样率而错误，每一个系统将以运行在一适当的采样率下，并可统计流量。一个网络封包所承载的数据一般来说可以分为两个部分，包括控制信息，也就是数据表头(header)，如此例原始第一封包131中ETH、IP等信息，分别表示封包类型与传输协议，以及数据本身，也就是酬载(payload)，如第一封包131中的DATA1。一旦经过图示的虚拟网络传送时，所述虚拟区域网扩展隧道协议将第一封包再封装一次，形成第二封包132，此例示意地表示第二封包132中的数据表头为ETH、IP、UDP以及运行在此虚拟区域网上的虚拟区域网扩展的封装表头“VXLAN”，加上所封装的原始第一封包131内容DATA2。

虚拟区域网扩展隧道协议运行时，提供24位的虚拟区域网扩展隧道标识符(VNI)范围，能提供多虚拟主机租赁的能力，相关云端服务可以将用户区隔开。各服务器(11、12)分别运行第一虚拟机111与第二虚拟机121，而每个服务器可以运行多个虚拟机。当两个虚拟机要通信，需要运行在同一个VNI中。于是，虚拟网络系统可以根据VNI区隔用户，使得用户即使使用了相同的实体通信端口所赋予的IP地址，也不会相互影响。相互传递的数据形成隧道内数据流(ITF)。举例来说，从第一虚拟机111传送ICMP封包到第二虚拟机121，ICMP封包将在第一隧道端点101被封装，封包的外层表头(outer header)为有关第一隧道端点101与第二隧道端点102的信息，如上述第二封包132，之后在第二隧道端点102拆装，中间若有交换机，需要学习各隧道端点(Tunnel Endpoint)的MAC(MediaAccess Control)地址，而非虚拟机的MAC地址。

为了要获取虚拟网络隧道内流量数据，在第一服务器11与第二服务器12之间设一交换机20，如图2显示的应用此隧道运行机制的虚拟网络与系统示意图。

交换机20，如SDN交换机，设于架构在虚拟网络上的第一服务器11、第二服务器12与OpenStack控制器22之间，通过OpenStack控制器22运行云端作业环境，其中运行控制器软件交换机221；OpenStack控制器22同样以虚拟区域网扩展(VXLAN)实现一种虚拟网络的隧道协议(tunnelprotocol)。交换机20与SDN控制器24以开放流协议通信，以传递控制信号与封包相关信息，以运行软件定义网络。第一服务器11、第二服务器12与OpenStack控制器22，甚至是实体交换机20内，都运行有软件交换机。

第一服务器11内除了运行至少一个第一虚拟机111外，也运行了第一软件交换机113，第二服务器12运行有第二虚拟机121与第二软件交换机123，OpenStack控制器22内运行一控制器软件交换机221。第一软件交换机113与第二软件交换机123之间以虚拟区域网扩展建立一条虚拟隧道，第二软件交换机123与控制器软件交换机221之间以虚拟区域网扩展建立一条虚拟隧道，控制器软件交换机221与第一软件交换机113之间以虚拟区域网扩展建立一条虚拟隧道，如第一服务器11以及第二服务器12之间分别以第一隧道端点101与第二隧道端点102实现虚拟区域网扩展隧道端点(VTEP)联系，与OpenStack控制器22的第三隧道端点103之间也通过交换机20实现虚拟区域网扩展隧道端点，同理，OpenStack控制器22与各虚拟机(111、121)之间传送的封包也于第三隧道端点103封装，再于目的端拆装。以上三条虚拟隧道都经过交换机20，此三条虚拟隧道为虚拟网络中的逻辑链接(logicallinks)。

在OpenStack操作系统实现云端服务的虚拟网络中，各虚拟机之间需要有相同的虚拟区域网扩展隧道标识符(VNI)才能进行通信，因此虚拟网络系统可以根据VNI区隔用户。在此补充一点，虚拟网络中以运行云端操作系统的OpenStack控制器实现云端服务，例如：运算、网通和存储等，然而所述虚拟网络隧道内流量数据获取方法并非限定在此云端操作系统中，而可以同样实现在VMware和微软的虚拟化平台上。

相关封包的转送处理流程如图3所示，步骤包括，首先建立联机(步骤S301)，传输的双方需互相发送初始信息，信息带有双方所支持通信协议(如SDN下的OpenFlow)；在联机建立后，双方会继续使用回声(Echo)信息确认联机是否存在(步骤S303)。当流量进入交换机时，交换机会查找数据流查表(步骤S305)，找出符合封包表头资信的数据流记录。

若数据流查表数据为空，使交换机发出封包输入(Packet-in)信息，这个信息会带有流量封包信息，并请求SDN控制器协助处理(步骤S307)。当SDN控制器接收封包输入信息后，以封包输出(Packet-out)告知交换机将封包导至对应服务器或主机(步骤S309)，使封包转送到指定的通信埠(目的地)，SDN控制器同时以数据流编辑(Flow-mod)根据此次转送封包学习的内容(如来源与目的地的MAC地址)建立新的数据流记录(步骤S311)，此数据流记录即包含如何处理此类型封包的信息，使交换机之后不需再发送封包输入请求SDN控制器的协助。

在虚拟网络中，每个服务器运行软件交换机(OVS)，并建立逻辑通信端口(logicalport)，而不同服务器中的软件交换机的逻辑通信端口之间建立在此虚拟网络的隧道，原始封包在此虚拟网络上传递时，将于此隧道以特定隧道协议中再次封装，产生新的表头。如此，会使得网络交换机无法看到(监控)经此隧道再次封装的隧道内数据流，因此提出虚拟网络隧道内流量数据获取方法与系统。

本公开所提出的虚拟网络隧道内流量数据获取方法可应用于具有控制器机制的网络系统中，并可运行在混合式网络交换机(例如混合传统与SDN)中，其中实施例可以应用在云端操作系统(如OpenStack)，以建构云服务，例如实现一个提供多人虚拟主机服务的数据中心。在此云端操作系统中，以软件模块建构虚拟网络，具有多个虚拟节点(node)，各节点执行网络代理程序(networking agent)，于本公开所公开的实施例，节点如运行虚拟机的服务器或主机，以及运行特定交换机程序(软件交换机)的主机或是实体交换机，而执行网络代理程序的网络节点彼此之间将建立运行在虚拟网络上的隧道(tunnel)，这是虚拟网络中的逻辑链接(logicallinks)。

可参考以下范例，如图4所示为在一云端操作系统的下建立的虚拟网络上的节点，多个节点形成一网络系统，其中至少包括有主机、交换机等节点，运行于其中的数据流查表可参考图5。以下范例以第一主机与第二主机描述，而实际应用适用多个主机互传信息的情况。

图例中第一主机41中运行第一虚拟机(VM)(MAC：00：00：01)411，在OpenStack控制器43实现云端操作系统架构下通过运行于各节点内的网络代理程序实现虚拟网络，此例可为执行Open vSwitch(OVS)实现第一软件交换机413，软件交换机程序建立逻辑通信端口，包括通信埠编号1000与通信埠编号20，成为虚拟区域网扩展实现的隧道(隧道标识符VNI61)的端点的一个。

第二主机42中运行第二虚拟机(MAC：00：00：02)421以及第二软件交换机423，软件交换机程序建立逻辑通信端口，包括通信埠编号2000与通信埠编号30，成为虚拟区域网扩展实现的隧道的另一端点。两端的虚拟网络隧道端点即实现此虚拟区域网扩展实现的隧道(隧道标识符VNI61)，并共同连接到一个中间交换机(intermediate switch)44。

第一主机41与第二主机42分别运行第一虚拟机411与第二虚拟机421，使得两个主机之间建构了在虚拟网络上的虚拟区域网扩展实现的隧道，可简称虚拟网络隧道，此例设定隧道标识符61(VNI 61)。使得第一虚拟机411与第二虚拟机421之间往来的封包在第一软件交换机413的通信埠编号1000上封装(encapsulate)成符合虚拟网络隧道中通信协议的封包，如符合前述实施例所提到的虚拟区域网扩展(VXLAN)封包。第一软件交换机413产生的封包(其中表头记载来源与目的地网络地址、MAC、通信埠编号、封包形式与内容等)经过交换机44的路由转送后到达第二软件交换机423的通信埠编号2000，并在此逻辑通信端口上卸装(decapsulate)。

上述虚拟网络隧道架构在主机(41、42)与交换机(44)之间的实体网络上，形成运行于多个逻辑通信端口之间的逻辑联机(logical links)，在此架构下，使得整体系统具有极大的可扩充性。所述交换机44可为SDN交换机，通过开放流协议连接SDN控制器45，使得控制信号与响应信号可以顺利传递。OpenStack控制器43内运行一控制器软件交换机431，控制器软件交换机431的通信端口编号40与第一软件交换机413的通信埠编号20形成一条虚拟网络隧道，控制器软件交换机431的通信端口编号50与第二软件交换机423的通信埠编号30形成一条虚拟网络隧道，使得Openstack控制器43的信息可以顺利传递在虚拟网络中。

当有封包在虚拟网络隧道中传输，将以符合此虚拟网络隧道的协议封装封包内容，因此，原本封包上会再以符合此虚拟网络隧道协议的机制封装一次，然而，此机制并未让其中交换机(44)可以有效监控隧道内流量(ITF)。

在虚拟网络中各逻辑通信端口、交换机、虚拟网络隧道内传输的封包依据如图5显示运行于上述虚拟网络系统中一软件交换机内的数据流查表(Flow Table)运行。以下范例为上述第二软件交换机(423)内的数据流查表。

数据流查表中表0(Table 0)中有几笔数据流记录(Flow Entries)，每笔记录包括有一个匹配字段(match field)，此匹配字段是通信埠，根据封包是从第二软件交换机(423)的哪个通信埠(30或2000)进入，符合的数据流记录会将封包转向相对应的表。例如，当接收到封包的来源是内部虚拟机，符合通信埠编号1，即转向表2；若封包来源是以上范例中第二主机(42)中软件交换机建立的逻辑通信端口编号2000，即转向表4。

在表2中，此表用以区隔封包的传输方式是单播(unicast)或是多播(multicast)，若为单播封包，数据流查表显示将转向表20；同样地，若为多播封包，则以表22继续处理。

表4根据封包中的虚拟网络隧道的标识符(TUNNEL_ID，或为范例所称VNI)，而设定封包的虚拟区域网标识符(VLAN_VID)，并将封包转向表10。其中虚拟网络隧道标识符是用以使得封包在隧道中链接特定逻辑通信端口，当封包在某一通信埠接收，对照此表4，VNI为61，则根据此VNI编号赋予一个虚拟区域网标识符(1)，并转向表10。虚拟区域网标识符则是用来分辨在虚拟网络中所分成的多个子域，每个子网(子域)会以一个虚拟机执行一个软件交换机。

表10为一个学习的事件，此例显示为从隧道内封包学习虚拟区域网编号(VLAN)与MAC地址，加入数据流记录至表20，并设定输出通信埠(1)。加入表20的记录包括有两个匹配字段(match field)，如VLAN_VID与目的地MAC，以及三个动作，如解除封包的VLAN_VID、根据封包中虚拟区域网标识符而设定VNI 61与转送封包要到的输出通信埠编号2000。

表22功能是转送多播封包到指定某些输出通信埠，动作包括解除VLAN_VID、设定VNI 61，以及设定输出通信埠为2000与30，也就是上述范例中第二软件交换机(423)的逻辑通信端口。

然而，当设于主机之间的交换机无法看到传递于虚拟网络上被隧道所封装的数据流(封装技术如VXLAN、GRE等)，本公开所提出虚拟网络隧道内流量数据获取方法即提供一个取得封包数据流信息的方法，并能进一步监控隧道内流量，当在封包卸装后取得封包数据时，可以执行“计量/统计(metering)”与“控制/限流(limit)”等工作，而目的的一个是要监控隧道内数据流、统计与对流量限速，另一目的是，可以在一个隧道内区隔不同的数据流，并记录数据流的使用信息。

虚拟网络隧道内流量数据获取方法可通过修正运行于软件交换机(OVS)内数据流查表达到目的，使得交换机可以取得隧道内数据流的使用信息，更准确计量封包，以达到监控、计量与管理隧道内数据流的目的，方法实施例流程如图6所示，并可同时参考图7所示的建构于虚拟网络上的多个节点形成的网络系统，以及图8对应运行的数据流查表。

根据虚拟网络隧道内流量数据获取方法实施例的一个，实施隧道内流量数据获取的方法，需通过修改虚拟网络上各节点的软件交换机设定，以两个新的虚拟网络隧道(如VXLAN隧道)取代原本的一个虚拟网络隧道，并使虚拟网络上两个主机之间的交换机也建立虚拟网络隧道的两个端点。

可参考图7实施例，其中显示有一交换机70、多个主机(41、42)以及控制器(43、45)，由OpenStack控制器43中运行的云端操作系统布署一个云端服务，建构虚拟网络，交换机70在一实施例中为SDN交换机，配合SDN控制器45运行。其中多个主机至少包括第一主机41与第二主机42，第一主机41与第二主机42分别与交换机70建立一条虚拟网络隧道(VNI61、VNI 2150)，其中隧道标识符VNI 2150即取代原本的VNI 61(如图4所示)，交换机70其中运行一软件交换机程序，执行虚拟网络隧道内流量数据获取方法，也建立两个对应的逻辑通信端口(通信端口编号5000与6000)，实施例即为两个虚拟区域网扩展隧道端点(VTEP)。

方法步骤开始时，参考图7所示的网络系统，由第一主机41中第一虚拟机411传送封包到第二主机42的第二虚拟机421，封包数据在第一主机41运行的第一软件交换机413建立的逻辑通信端口(通信端口编号3000)封装，实施例显示封包以一隧道协定封装，如虚拟区域网扩展(VXLAN)隧道协议(步骤S601)，再经由第一软件交换机413与交换机70之间的第一虚拟网络隧道(隧道标识符VNI 61)，以及交换机70到第二软件交换机423之间的第二虚拟网络隧道(VNI 2150)，到达第二主机42运行的第二软件交换机423建立的逻辑通信端口(通信端口编号4000)，并进行卸装。

举例来说，原始封包封装时，为ICMP封包，封包的内容依照其形态、通信协议、来源与目的地地址与酬载(payload)为“ETH-IP-ICMPpayload”，进入虚拟网络隧道(如VXLANtunnel)前，在第一软件交换机413的通信埠编号3000再次封装，原始封包内容成为这次封装的酬载，依照其形态、通信协议、来源与目的地地址与酬载成为“ETH-IP-UDP-VXLAN‘ETH-IP-ICMP payload’”，经交换机70卸装、重新封装，经虚拟网络隧道(VNI 2150)传送到第二软件交换机423，并卸装后还原原始封包内容“ETH-IP-ICMP payload”。

从第一虚拟机411传送封包到第二虚拟机421的期间，封包先以虚拟区域网扩展(VXLAN)隧道协议封装，进入第一虚拟网络隧道VNI 61中，交换机70内的软件交换机以一输入逻辑通信端口(通信端口编号5000)从第一虚拟网络隧道(VNI 61)接收到封包，以对应协议卸装(步骤S603)，并查找交换机70内的数据流查表(步骤S605)。

图8显示第二软件交换机423内的数据流查表已经在方法流程运行前根据虚拟网络各点的设定而更新，也就是在设定以上虚拟网络各节点中软件交换机时，同时也将新的设定更新(加入或删除)数据流查表中。例如，当第二主机42中第二软件交换机423建立其逻辑通信端口(通信端口编号4000)时，这个新的逻辑通信端口也与交换机70之间建立一个新的虚拟网络隧道(VNI 2150)，可称第二虚拟网络隧道。同时，也在图8显示的数据流查表中的表0加入第四笔数据流记录，其中记载通信端口编号4000与转向表4的记录(entry)；并在表4中加入第二笔数据流记录，其中记载虚拟网络号码VNI 2150与设定的虚拟区域网编号(VLAN_VID(1))与输出至通信埠编号1，通信埠编号1通往第二主机42的第二虚拟机421。同理的修正可适用第一软件交换机413的数据流查表(在此并不赘述)。

以SDN交换机为例，这时，在交换机70内运行的软件交换机与SDN控制器45通信，两者之间可以开放流协议运行，SDN控制器45因此可以从数据流查表中获得数据流信息，包括各笔封包信息(步骤S607)，能统计隧道内数据流、执行计量以管理隧道内数据流，包括控制隧道内数据流的传输速率，如限流(步骤S609)。

交换机70接着根据封包表头记载的目的地地址进行转送(步骤S611)，同时根据数据流查表決定输出通信埠(步骤S613)。

之后，封包在交换机70的一输出逻辑通信端口重新封装，包括修改封包表头，加载交换机70的信息与目的地主机的信息(步骤S615)，通过此交换机70的输出逻辑通信端口(通信端口编号6000)输出(步骤S617)，经虚拟网络隧道VNI 2150传送到第二软件交换机423，在其逻辑通信端口(通信端口编号4000)卸装(步骤S619)。

根据图8显示的数据流查表范例，此为运行于图7第二软件交换机(423)内的数据流查表，表0中每笔记录包括有一个匹配字段，此匹配字段是通信埠，根据封包是从第二软件交换机423的哪个通信埠进入，符合的数据流记录会将封包转向相对应的表。例如，当接收到封包的来源是内部虚拟机，符合通信埠编号1，即转向表2；若封包来源是以上范例中第二主机(42)中软件交换机建立的逻辑通信端口编号4000，即转向表4。

在表2中，此表用以区隔封包的传输方式是单播(unicast)或是多播(multicast)，若为单播封包，数据流查表显示将转向表20；同样地，若为多播封包，则以表22继续处理。

表4根据封包中的虚拟网络隧道的标识符(VNI)，而设定封包的虚拟区域网标识符(VLAN_VID)，并将封包转向表10。当封包在某一通信埠接收，对照此表4，VNI为61，则根据此VNI编号赋予一个虚拟区域网标识符(VLAN_VID(1))，并转向表10；若VNI为新建的2150，赋予虚拟区域网标识符为1(VLAN_VID(1))，以及输出通信埠编号为1，转向内部虚拟机。

表10为一个学习的事件，此例显示为从隧道内封包学习虚拟区域网编号(VLAN)与MAC地址，加入数据流记录至表20，并设定输出通信埠(1)。表20的记录有两笔，第一笔优先级为2的记录是OpenStack系统加入，第二笔优先级为5的记录是本方法加入，各笔包括有两个匹配字段，有VLAN_VID与目的地MAC地址，以及三个动作。包括解除封包的VLAN_VID、设定VNI 61与输出通信埠编号2000，或是设定新增的VNI2150与输出通信埠编号4000。此例中，优先级为5的记录相对于优先级为2的记录具有更高的优先执行顺序，因此对于一个带有VLAN_VID 1、目的地地址MAC：00：00：01的封包，此封包会匹配优先级为5的记录，并且执行此记录的动作。

表22功能是转送多播封包到指定某些输出通信埠，动作包括解除VLAN_VID、设定VNI 61，以及设定输出通信埠为2000与30；或是转向一个群表(1)，此例群表(1)有更高优先级，群表(1)表示了两个封包路径，分别转送封包到指定的输出端口，第一路径是对封包解除VLAN_VID、设定VNI 2150与第二软件交换机上的输出通信埠4000；第二路径是解除VLAN_VID、设定VNI 61与第二软件交换机上的输出通信埠30。

如此，在以上流程实施例中查找数据流查表的步骤中，SDN控制器45可从交换机70取得运行于软件交换机内的数据流查表的信息。此类应用于集中式网络系统的控制器(如SDN控制器)可以从所联机的多个交换机取得所有数据，包括数据流查表，特别是经过虚拟网络隧道内流量数据获取方法取得隧道内数据流的信息，并能执行修改、统计或是删除数据流查表内的记录(entry)。并因为得到隧道内数据流的信息，而能执行计量与流量管理(如限流)的工作，使其有效控制整个网络。

举例来说，当虚拟网络隧道内流量数据获取方法应用数据中心，控制整个网络系统的交换机(实体与软件交换机)的控制器可以掌握整个网络的数据流，带宽管理包括通过各交换机的数据流查表的管理而能针对不同节点、不同用户给予不同的使用带宽、限制整体流量、限制用户数量、传输速率与上线时间等。

图9所示为运行的虚拟网络系统再一实施例示意图，其中以三个主机示意地表示多个主机运行隧道内流量数据获取方法的实施方式。

图中第一主机91、第二主机92与第三主机93连接到一个交换机90，交换机90中运行一个软件交换机(OVS)，另可以SDN交换机与SDN控制器实现。第一主机91、第二主机92与第三主机93分别运行第一虚拟机911(MAC：00：00：01)、第二虚拟机921(MAC：00：00：02)与第三虚拟机931(MAC：00：00：03)，原本运行于虚拟区域网扩展隧道标识符61(VNI 61)的虚拟网络上。为了要让交换机90可以顺利监控隧道内数据流，交换机90与第一主机91、第二主机92与第三主机93分别运行的第一软件交换机913、第二软件交换机923与第三软件交换机933建立不同的虚拟网络隧道，也分别赋予不同的隧道标识符。

其中各个联机上都设有一对虚拟网络隧道(彼此之间可设有优先级)，包括交换机90的逻辑通信端口(编号4000)与第一软件交换机913上逻辑通信端口(编号3000)之间的VNI 5001与VNI 61；交换机90的逻辑通信端口(编号5000)与第二软件交换机923上逻辑通信端口(编号3000)之间的VNI 5002与VNI 5003；交换机90的逻辑通信端口(编号6000)与第三软件交换机933上逻辑通信端口(编号3000)之间的VNI 5004与VNI5005。

举例来说，第一主机91中第一虚拟机911产生封包，欲传送到第三主机93的第三虚拟机931，封包在通信端口编号3000的逻辑通信端口封装，经隧道VNI 61传送到交换机90的通信端口编号4000的逻辑通信端口，经卸装后得到封包内容，查找数据流查表，决定输出封包的通信埠，如交换机90上通信端口编号6000的逻辑通信端口，改变封包表头后重新封装，再经隧道VNI 5004传送到第三软件交换机933上通信端口编号3000的逻辑通信端口，再卸装后得到封包内容。如此，交换机90可以通过隧道内流量数据获取方法监控第一主机91与第三主机93之间往来的数据流。

本公开所提出的虚拟网络隧道内流量数据获取方法与系统并不排除可应用于其他符合以上描述的通信协议的其他协议。

综上所述，根据以上实施例所描述的虚拟网络隧道内流量数据获取方法与系统，隧道内流量数据获取方法可通过修正运行于软件交换机(OVS)内数据流查表达到目的，若有符合数据流查表，执行其中封包转送；若没有符合，通过SDN控制器或软件交换机建立数据流记录，使得交换机可以取得隧道内数据流的使用信息，更准确计量封包，以达到监控、计量与管理隧道内数据流的目的。

而以上所述仅为本发明的可行的优选实施例，并不因此局限本发明的专利范围，故凡是运用本发明说明书及图示内容所作出的等效结构变化，均同理包含于本发明的范围内，特此说明。

Claims (16)

1.一种虚拟网络隧道内流量数据获取方法，应用于一交换机内，其特征在于，所述方法包括：

接收由一第一主机中运行的第一虚拟机产生的封包，该封包于该第一主机内执行的一第一软件交换机建立的逻辑通信端口以一隧道协议封装，经由一第一虚拟网络隧道传送到该交换机；

于该交换机的一输入逻辑通信端口卸装该封包；

根据封包表头查找一数据流查表，以获取隧道内流量数据；

于该交换机的一输出逻辑通信端口重新以该隧道协议封装该封包；以及

通过一第二虚拟网络隧道传送到一第二主机中一第二软件交换机所建立的逻辑通信端口；

其中，由该第二软件交换机的逻辑通信端口接收经重新封装的该封包，并卸装该封包，该第二主机中运行的一第二虚拟机得到该封包的原始数据。

2.如权利要求1所述的虚拟网络隧道内流量数据获取方法，其特征在于，所述第一虚拟网络隧道设有一隧道标识符，与该第二虚拟网络隧道的隧道标识符不同。

3.如权利要求2所述的虚拟网络隧道内流量数据获取方法，其特征在于，于重新封装该封包时，修改该封包表头，加载该交换机的信息与目的地主机的信息。

4.如权利要求1所述的虚拟网络隧道内流量数据获取方法，其特征在于，所述数据流查表根据该第一主机与该第二主机内软件交换机的设定更新，包括根据该第二主机中该第二软件交换机所建立的逻辑通信端口以及该第二虚拟网络隧道加入新的数据流记录。

5.如权利要求1所述的虚拟网络隧道内流量数据获取方法，其特征在于，于查找该数据流查表后，统计隧道内数据流、执行计量以管理隧道内数据流。

6.如权利要求5所述的虚拟网络隧道内流量数据获取方法，其特征在于，查找该数据流查表以获取隧道内流量数据由连接该交换机的一控制器执行。

7.如权利要求6所述的虚拟网络隧道内流量数据获取方法，其特征在于，所述交换机为一软件定义网络交换机，该控制器为一软件定义网络控制器，该交换机与该控制器之间以一开放流协议运行。

8.如权利要求1至7中任一权利要求所述的虚拟网络隧道内流量数据获取方法，其特征在于，所述数据流查表包括有多个表，具有包括一个或多个匹配字段的表，用以查询进入该第一虚拟网络隧道或该第二虚拟网络隧道内的封包表头记载符合各表的数据流记录。

9.如权利要求8所述的虚拟网络隧道内流量数据获取方法，其特征在于，还具有用以区隔封包的传输方式是单播或是多播的表。

10.如权利要求9所述的虚拟网络隧道内流量数据获取方法，其特征在于，还具有用以匹配虚拟网络隧道的标识符的表，以对照虚拟网络隧道的标识符赋予一个虚拟区域网标识符。

11.如权利要求10所述的虚拟网络隧道内流量数据获取方法，其特征在于，还具有从隧道内封包学习虚拟区域网编号与MAC地址学习而加入数据流记录的表。

12.如权利要求11所述的虚拟网络隧道内流量数据获取方法，其特征在于，还具有解除该封包的虚拟区域网标识符、设定虚拟网络隧道的标识符与决定输出通信埠的表。

13.一种执行一虚拟网络隧道内流量数据获取方法的系统，其特征在于，所述系统包括：

一交换机，与多个主机建构一虚拟网络，所述多个主机至少包括一第一主机与一第二主机；

其中，该第一主机运行一第一虚拟机，执行一第一软件交换机，与该交换机之间建立一第一虚拟网络隧道；该第二主机，运行一第二虚拟机，执行一第二软件交换机，与该交换机之间建立一第二虚拟网络隧道；

其中，该交换机中运行的一软件交换机程序执行该虚拟网络隧道内流量数据获取方法，包括：

接收由该第一虚拟机产生的封包，该封包于该第一软件交换机建立的逻辑通信端口以一隧道协议封装，经由该第一虚拟网络隧道传送到该交换机；

于该交换机的一输入逻辑通信端口卸装该封包；

根据封包表头查找一数据流查表，以获取隧道内流量数据；

于该交换机的一输出逻辑通信端口重新以该隧道协议封装该封包；以及

通过该第二虚拟网络隧道传送到该第二软件交换机所建立的逻辑通信端口；

其中，由该第二软件交换机的逻辑通信端口接收经重新封装的该封包，并卸装该封包，使该第二虚拟机得到该封包的原始数据。

14.如权利要求13所述的系统，其特征在于，还包括一控制器，连接该交换机，查找该数据流查表以获取隧道内流量数据由该控制器执行。

15.如权利要求14所述的系统，其特征在于，所述交换机为一软件定义网络交换机，该控制器为一软件定义网络控制器，该交换机与该控制器之间以一开放流协议运行。

16.如权利要求13至15中任一权利要求所述的系统，其特征在于，所述虚拟网络中以运行一云端操作系统的OpenStack控制器实现云端服务。