CN114422297B - 一种多场景虚拟网络流量监控方法、系统、终端及介质 - Google Patents

一种多场景虚拟网络流量监控方法、系统、终端及介质 Download PDF

Info

Publication number
CN114422297B
CN114422297B CN202210010750.1A CN202210010750A CN114422297B CN 114422297 B CN114422297 B CN 114422297B CN 202210010750 A CN202210010750 A CN 202210010750A CN 114422297 B CN114422297 B CN 114422297B
Authority
CN
China
Prior art keywords
port
physical
switch
mirror image
physical switch
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210010750.1A
Other languages
English (en)
Other versions
CN114422297A (zh
Inventor
张鸿飞
董永楠
刘智强
马然
潘月来
周昊阳
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Tianyi Enhua Technology Co ltd
Original Assignee
Beijing Tianyi Enhua Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Tianyi Enhua Technology Co ltd filed Critical Beijing Tianyi Enhua Technology Co ltd
Priority to CN202210010750.1A priority Critical patent/CN114422297B/zh
Publication of CN114422297A publication Critical patent/CN114422297A/zh
Application granted granted Critical
Publication of CN114422297B publication Critical patent/CN114422297B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4633Interconnection of networks using encapsulation techniques, e.g. tunneling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1095Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请涉及一种多场景虚拟网络流量监控方法、系统、终端及介质,方法包括以下步骤:基于物理主机上的主机端口和物理交换机的第一端口建立物理主机和物理交换机之间的物理连接线路;基于预先建立的虚拟机新建第一端口镜像,得到第一镜像流量,为第一端口镜像配置第一标识,基于第一标识将第一镜像流量传输至物理交换机;对物理交换机进行初步配置,建立分布式交换机与物理交换机之间的连接;基于物理交换机新建第二端口镜像,对第二端口镜像进行配置,得到第二镜像流量;通过第二端口建立物理交换机与监控服务器的物理连接,将第二镜像流量传输至监控服务器。本申请具有在使用网络流量镜像进行网络流量监控时,节省端口资源的效果。

Description

一种多场景虚拟网络流量监控方法、系统、终端及介质
技术领域
本申请涉及网络靶场网络流量监控的技术领域,尤其是涉及一种多场景虚拟网络流量监控方法、系统、终端及介质。
背景技术
在网络靶场中,为了实现多个场景模拟需求,需要使用服务器来搭建各种服务。为了节省资源,一般采用虚拟机方式部署,在虚拟机中创建对应服务。网络靶场需要对监测受训团队的攻击手法进行评分,因此需要采集网络流量数据进行分析。
目前普遍采用网络流量镜像方式实现网络流量监控。对交换机进行配置,将需要监测的端口流量数据镜像到某一个固定端口,这个端口连接监控服务器,监控服务器接收到数据后再进行分析。
在采用网络流量镜像方式进行网络流量监控时,物理主机需要连接物理交换机进行组网,需要连接两根网线,一根用于虚拟机正常网络流量流通,另外一根用于虚拟机网络流量镜像使用,这么做的目的是为了防止镜像出的网络流量不影响正常的网络流量传输。
针对上述中的相关技术,发明人认为,网络靶场为了满足多样性,需要构建多个虚拟网络场景,采用网络流量镜像方式进行网络流量监控时,若为一个虚拟网络场景,则需要通过两根网线连接物理主机和物理交换机来进行组网,分别占用物理主机和物理交换机上的两个端口;当构建多个虚拟网络场景时,占用的端口资源更多,若物理主机和物理交换机上端口不足时,还需要进行扩容处理,十分不便,因此需要改进。
发明内容
为了在使用网络流量镜像进行网络流量监控时,节省端口资源,从而适用多个虚拟网络场景,本申请提供一种多场景虚拟网络流量监控方法、系统、终端及介质。
第一方面,本申请提供一种多场景虚拟网络流量监控方法,采用如下的技术方案:
一种多场景虚拟网络流量监控方法,应用于多场景虚拟网络流量监控系统,所述系统包括物理主机、分布式交换机、物理交换机以及监控服务器,所述方法包括以下步骤:
基于所述物理主机上的主机端口和所述物理交换机的第一端口建立所述物理主机和所述物理交换机之间的物理连接线路;
基于预先建立的虚拟机新建第一端口镜像,将对所述分布式交换机和所述物理主机之间的网络流量进行镜像,得到第一镜像流量,在分布式交换机中为所述第一端口镜像配置第一标识,基于所述第一标识将所述第一镜像流量传输至所述物理交换机;
对所述物理交换机进行初步配置,建立所述分布式交换机与所述物理交换机之间的连接;
基于所述物理交换机新建第二端口镜像,对所述第二端口镜像进行配置,使得所述第二端口镜像能够对所述分布式交换机与所述物理交换机的网络流量进行镜像,得到第二镜像流量,并将所述第二镜像流量传输至所述物理交换机的第二端口,通过所述第二端口建立所述物理交换机与所述监控服务器的物理连接,将所述第二镜像流量传输至所述监控服务器。
通过采用上述技术方案,物理连接物理主机和物理交换机,在预设的虚拟机上构建第一端口镜像,并对第一端口镜像进行配置,使得第一端口镜像对分布式交换机和物理主机之间的网络流量数据包进行镜像处理,得到第一镜像流量,通过对第一端口镜像封装第一标识,使得第一镜像流量与正常网络流量进行物理隔离,并能够在同一根网线中传输至物理交换机的第一端口,从而减少了网线的数量,即减少了端口的使用数量。在物理交换机上新建第二端口镜像,对第一端口中的网络流量数据进行镜像处理,得到第二镜像流量,连接物理主机和监控服务器,使得监控服务器能够获取第二镜像流量进行分析。本申请对第一端口镜像配置第一标识,使得第一镜像流量和正常网络流量进行物理隔离,并能够在同一根网线中进行传输,从而减少了端口的使用数量,节约了端口资源。
可选的,所述在分布式交换机中为所述第一端口镜像配置第一标识,基于所述第一标识传输所述第一镜像流量包括以下步骤:
将所述第一端口镜像类型配置为远程镜像源;
为所述第一端口镜像封装第一VLAN ID;
配置所述第一端口镜像的镜像目标为所述物理主机与所述物理交换机之间的物理连接线路;
将所述第一镜像流量通过所述物理连接线路传输至所述物理交换机。
通过采用上述技术方案,使得第一镜像流量能够以特殊的VLAN进行传输,与正常网络流量数据包进行隔离,减少了第一镜像流量对正常网络流量的影响。
可选的,所述对所述物理交换机进行初步配置,建立所述分布式交换机与所述物理交换机之间的连接包括以下步骤:
在所述物理交换机上配置所述第一端口为TRUNK模式;
控制所述物理交换机和所述物理主机之间能够进行除第一VLAN ID之外的VLAN的通讯。
可选的,所述基于所述物理交换机新建第二端口镜像,对所述第二端口镜像进行配置包括以下步骤:
在所述物理交换机上配置第二端口镜像;
配置所述第二端口镜像的输入端为所述第一端口;
配置所述第二端口镜像的输出端为所述物理交换机的第二端口。
通过采用上述技术方案,第二端口镜像能够对第一端口的流量进行镜像处理,得到第二镜像流量。
第二方面,本申请提供一种多场景虚拟网络监控系统,采用如下的技术方案:
一种多场景虚拟网络流量监控系统,包括物理主机、分布式交换机、物理交换机以及监控服务器,其特征在于,还包括:
预处理模块,所述预处理模块用于基于所述物理主机上的主机端口和所述物理交换机的第一端口建立所述物理主机和所述物理交换机之间的物理连接线路;
分布式交换机配置模块,所述分布式交换机配置模块用于基于预先建立的虚拟机新建第一端口镜像,将对所述分布式交换机和所述物理主机之间的网络流量进行镜像,得到第一镜像流量,在分布式交换机中为所述第一端口镜像配置第一标识,基于所述第一标识将所述第一镜像流量传输至所述物理交换机;
物理交换机配置模块,所述物理交换机配置模块用于对所述物理交换机上的第一端口进行第一配置,使得通过所述第一端口对所述物理主机与所述分布式交换机之间的网络流量进行镜像处理;
所述物理交换机配置模块还用于对所述物理交换机上的第二端口进行第二配置,使得通过所述第二端口能够对所述分布式交换机与所述物理交换机的网络流量进行镜像处理,得到第二镜像流量;
以及连接模块,所述连接模块用于通过所述第二端口建立所述物理交换机与所述监控服务器的物理连接,将所述第二镜像流量传输至所述监控服务器。
通过采用上述技术方案,预处理模块通过网线连接物理主机和物理交换机,分布式交换机配置模块在预设的虚拟机上构建第一端口镜像,并对第一端口镜像进行配置,使得第一端口镜像对分布式交换机和物理主机之间的网络流量数据包进行镜像处理,得到第一镜像流量,通过对第一端口镜像配置第一标识,使得第一镜像流量与正常网络流量进行物理隔离,并能够在同一根网线中传输至物理交换机的第一端口,从而减少了网线的数量,即减少了端口的使用数量。物理交换机配置模块在物理交换机上新建第二端口镜像,并将第二端口镜像的输入端设置为第一端口,输出端设置为第二端口,使得第二端口镜像对第一端口中的网络流量数据进行镜像处理,得到第二镜像流量,连接模块连接第二端口和监控服务器,使得监控服务器获取第二镜像流量进行分析。本申请对第一端口镜像配置第一标识,使得第一镜像流量和正常网络流量能够在同一根网线中进行传输,从而减少了端口的使用数量,节约了端口资源。
可选的,所述分布式交换机配置模块包括:
第一配置单元,所述第一配置单元用于将所述第一端口镜像类型配置为远程镜像源;
封装单元,所述封装单元用于为所述第一端口镜像配置第一VLAN ID;
第二配置单元,所述第二配置单元用于配置所述第一端口镜像的镜像目标为所述物理主机与所述物理交换机之间的物理连接线路。
可选的,所述物理交换配置模块包括:
设置单元,所述设置单元用于将所述第一端口和所述主机端口设置为TRUNK模式,使得所述物理交换机和所述物理主机之间能够进行除第一VLAN ID之外的VLAN进行通讯。
可选的,所述物理交换配置模块还包括:
连接单元,所述连接单元用于在所述物理交换机建立第二端口镜像,配置所述第二端口镜像的输入端为所述第一端口,配置所述第二端口镜像的输出端为所述物理交换机上的第二端口;
所述连接单元还用与将第二端口与所述监控服务器进行连接。
第三方面,本申请提供一种终端设备,采用如下的技术方案:
一种终端设备,包括存储器、处理器及存储在存储器中并能够在处理器上运行的计算机程序,所述处理器加载并执行计算机程序时,采用了上述的多场景虚拟网络流量监控方法。
通过采用上述技术方案,通过将上述的多场景虚拟网络流量监控方法生成计算机程序,并存储于存储器中,以被处理器加载并执行,从而,根据存储器及处理器制作终端设备,方便使用。
第四方面,本申请提供一种计算机可读存储介质,采用如下的技术方案:
一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机程序,所述计算机程序被处理器加载并执行时,采用了上述的多场景虚拟网络流量监控方法。
通过采用上述技术方案,通过将上述的多场景虚拟网络流量监控方法生成计算机程序,并存储于计算机可读存储介质中,以被处理器加载并执行,通过计算机可读存储介质,方便计算机程序的可读及存储。
附图说明
图1是本申请实施例中现有技术的连接结构示意图。
图2是本申请实施例一种多场景虚拟网络监控系统的连接结构示意图。
图3是本申请实施例一种多场景虚拟网络监控系统的模块连接示意图。
图4是本申请实施例一种多场景虚拟网络监控方法的整体流程示意图。
图5是本申请实施例一种多场景虚拟网络监控方法中步骤S201-步骤S204的流程示意图。
图6是本申请实施例一种多场景虚拟网络监控方法中步骤S301-步骤S302的流程示意图。
图7是本申请实施例一种多场景虚拟网络监控方法中步骤S401-步骤S403的流程示意图。
附图标记说明:
1、物理主机;2、分布式交换机;3、物理交换机;4、监控服务器;5、预处理模块;6、分布式交换机配置模块;61、第一配置单元;62、第二配置单元;63、封装单元;7、物理交换机配置模块;71、设置单元;72、连接单元;8、连接模块。
具体实施方式
以下结合附图1-7对本申请作进一步详细说明。
参照图1,为现有技术中的多场景虚拟网络监控系统,包括物理主机、分布式交换机、物理交换机以及监控服务器,在进行流量镜像监控时,分别需要用到物理主机上的两个端口和物理交换机上的三个端口,其中,物理主机上第一端口和物理交换机上的第一端口通过网线进行物理连接,分布式交换机通过物理主机上的第二端口对物理主机和物理交换机之间的网络流量进行镜像处理,并将镜像流量传输至物理交换机的第二端口,物理交换机再通过第三端口将镜像流量传输至监控服务器,对镜像流量进行分析。
值得一提的是,为了方便阐述,本实施例以构建两个虚拟网络场景为例,同时采用VMware vSphere 6.7商业产品来实现,该方案使用VMware vSphere 6.7软件套装中ESXI进行资源虚拟化,vCenter配置和管理虚拟化IT 环境的中央点,在其他实施例中也可以采用其他不同的实现方式。
本申请实施例公开一种多场景虚拟网络监控系统,参照图2和图3,包括物理主机1、分布式交换机2、物理交换机3以及监控服务器4,同时,还包括预处理模块5、分布式交换机配置模块6、物理交换机配置模块7以及连接模块8,其中,预处理模块5用于物理连接物理主机1和物理交换机3,分布式交换机配置模块6用于对分布式交换机2进行配置,物理交换机配置模块7用于对物理交换机3进行配置,连接模块8用于连接物理交换机3与监控服务器4,从而使得监控服务器4能够对物理交换机3中的镜像网络流量进行监控和分析。
具体地,参照图2和图3,预处理模块5中,通过网线连接物理交换机3和物理主机1,在本实施例中,使用网线连接物理主机1的主机端口和物理交换机3的第一端口,从而实现物理主机1和物理交换机3之间的网络物理连接。
具体地,参照图2和图3,分布式交换机配置模块6包括第一配置单元61、第二配置单元62以及封装单元63,其中,第一配置单元61用基于预先建立的虚拟机新建第一端口镜像,并对第一端口镜像类型进行配置,在本实施例中,第一配置单元61将第一端口镜像类型配置为远程镜像源,用于将网络流量数据包从分布式端口镜像到物理主机1的特定上行链路端口。
封装单元63用于对第一端口镜像进行封装,在本实施例中,封装单元63将第一端口镜像配置第一VLAN ID,例如VLAN ID 1000,第二配置单元62配置第一端口镜像的源为镜像虚拟机,并将第一端口镜像的镜像目标配置为上行链路,也即物理主机1和物理交换机3之间的物理连接线路,并生成第一镜像流量。为第一端口镜像配置指定VLAN ID 1000,能够将第一镜像流量能够与正常网络流量数据包区分开传输,同时又使用同一根网线,减少了端口使用数量,节省了端口资源。
具体地,参照图2和图3,物理交换机配置模块7包括设置单元71和连接单元72,其中,设置单元71用于对物理交换机3进行第一配置,在本实施例中,设置单元71在物理交换机3上配置第一端口的端口模式为TRUNK模式,同时将物理主机1上的主机端口的端口模式同样设置为TRUNK模式。
将第一端口和主机端口的模式设置为TRUNK模式的原因如下:如果交换机与交换机之间存在多条链路,交换机每增加一个VLAN,交换机与交换机就会增加一条链路。这样会存在链路浪费,就产生了DTP ( dynamic trunk protocols),采用TRUNK后,所有的VLAN都走一条线,在建立物理交换机3与物理主机1之间的连接时,能够减少链路浪费。
TRUNK模式 的作用:
(1)传输 VLAN;
(2)数据在TRUNK链路上传输要打标签,数据在离开TRUNK 链路时要脱标签;
(3)通过TRUNK的标签可以区分不同的流量;
(4)TRUNK工作在数据链路层(只能识别 mac 地址),不能实现不同VLAN之间的通信。
具体地,设置单元71还指定VLAN在主机端口和第一端口之间传输,在本实施例中,指定的VLAN不包括VLAN ID 1000,因此,能够使得正常网络流量数据包通过主机端口和第二端口进行传输。
具体地,连接单元72用于在物理交换机3内配置第二端口镜像,且配置第二端口镜像的输入端设置为物理交换机3的第一端口,输出端设置为物理交换机3的第二端口。这样设置的目的是通过第二端口将第一端口中的流量数据包镜像到第二端口,得到第二镜像流量。
其中,参照图2和图3,连接模块8通过网线将第二端口和监控服务器4进行物理连接,即可将第二镜像流量传输至监控服务器4,对第二镜像流量进行监控和分析。
本申请实施例一种多场景虚拟网络监控系统的实施原理为:预处理模块5通过网线连接物理主机1和物理交换机3,分布式交换机配置模块6在预设的虚拟机上构建第一端口镜像,并对第一端口镜像进行配置,使得第一端口镜像对分布式交换机2和物理主机1之间的网络流量数据包进行镜像处理,得到第一镜像流量,通过对第一端口镜像封装VLAN ID1000,使得第一镜像流量与正常网络流量进行物理隔离,并能够在同一根网线中传输至物理交换机3的第一端口,从而减少了网线的数量,即减少了端口的使用数量。物理交换机配置模块7在物理交换机3上新建第二端口镜像,并将第二端口镜像的输入端设置为第一端口,输出端设置为第二端口,对第一端口中的网络流量数据进行镜像处理,得到第二镜像流量,连接模块8连接第二端口和监控服务器4,使得监控服务器4获取第二镜像流量进行分析。本申请对第一端口镜像配置特殊VLAN ID,使得第一镜像流量和正常网络流量能够在同一根网线中进行传输,从而减少了端口的使用数量,节约了端口资源。
本申请实施例还公开一种一种多场景虚拟网络监控方法,应用于上述的多场景虚拟网络监控系统,参照图4,包括以下步骤:
S101、基于物理主机上的主机端口和物理交换机的第一端口建立物理主机和物理交换机之间的物理连接线路;
S102、基于预先建立的虚拟机新建第一端口镜像,将对分布式交换机和物理主机之间的网络流量进行镜像,得到第一镜像流量,在分布式交换机中为第一端口镜像配置第一标识,基于第一标识将第一镜像流量传输至物理交换机;
S103、对物理交换机进行初步配置,建立分布式交换机与物理交换机之间的连接;
S104、基于物理交换机新建第二端口镜像,对第二端口镜像进行配置,使得第二端口镜像能够对分布式交换机与物理交换机的网络流量进行镜像,得到第二镜像流量,并将第二镜像流量传输至物理交换机的第二端口,通过第二端口建立物理交换机与监控服务器的物理连接,将第二镜像流量传输至监控服务器。
其中,步骤S101中,通过网线连接物理交换机和物理主机,在本实施例中,使用网线连接物理主机的主机端口和物理交换机的第一端口,从而实现物理主机和物理交换机之间的网络物理连接。
其中,步骤S102中,基于预先建立的虚拟机新建第一端口镜像,根据第一端口镜像对物理主机和分布式交换机之间的网络流量数据包进行镜像,得到第一镜像流量。参照图5,对第一端口镜像类型进行配置具体包括以下步骤:
S201、将第一端口镜像类型配置为远程镜像源;
S202、为第一端口镜像封装第一VLAN ID;
S203、配置第一端口镜像的镜像目标为物理主机与物理交换机之间的物理连接线路;
S204、将第一镜像流量通过物理连接线路传输至物理交换机。
具体地,在本实施例中,将第一端口镜像类型配置为远程镜像源,用于将网络流量数据包从分布式端口镜像到物理主机的特定上行链路端口。
在本实施例中,为第一端口镜像配置第一VLAN ID,例如VLAN ID 1000,配置第一端口镜像的源为镜像虚拟机,并将第一端口镜像的镜像目标配置为上行链路,也即物理主机和物理交换机之间的物理连接线路,并生成第一镜像流量。为第一端口镜像配置指定VLAN ID 1000,能够将第一镜像流量能够与正常网络流量数据包区分开传输至物理交换机的第一端口,同时又使用同一根网线,减少了端口使用数量,节省了端口资源。
其中,步骤S103中,在物理交换机上新建第二端口镜像,参照图6,具体包括以下步骤:
S301、在物理交换机上配置第一端口为TRUNK模式;
S302、控制物理交换机和物理主机之间能够进行除第一VLAN ID之外的VLAN的通讯。
具体地,在物理交换机上配置第一端口的端口模式为TRUNK模式,同时将物理主机上的主机端口的端口模式同样设置为TRUNK模式。
将第一端口和主机端口的模式设置为TRUNK模式的原因如下:如果交换机与交换机之间存在多条链路,交换机每增加一个VLAN,交换机与交换机就会增加一条链路。这样会存在链路浪费,就产生了DTP ( dynamic trunk protocols),采用TRUNK后,所有的VLAN都走一条线,在建立物理交换机与物理主机之间的连接时,能够减少链路浪费。
TRUNK模式 的作用:
(1)传输 VLAN;
(2)数据在TRUNK链路上传输要打标签,数据在离开TRUNK 链路时要脱标签;
(3)通过TRUNK的标签可以区分不同的流量;
(4)TRUNK工作在数据链路层(只能识别 mac 地址),不能实现不同VLAN之间的通信。
更具体地,指定VLAN在主机端口和第一端口之间传输,在本实施例中,指定VLAN不包括VLAN ID 1000,这样设置能够使得正常网络流量数据包通过主机端口和第二端口进行传输。
其中,步骤S104中,在物理交换机上配置第二端口镜像,使得使得第二端口镜像能够对分布式交换机与物理交换机的网络流量进行镜像,得到第二镜像流量。参照,7,对第二端口镜像进行配置包括以下步骤:
S401、在物理交换机上配置第二端口镜像;
S402、配置第二端口镜像的输入端为第一端口;
S403、配置第二端口镜像的输出端为物理交换机的第二端口。
具体地,在物理交换机内配置第二端口镜像,且配置第二端口镜像的输入端设置为物理交换机的第一端口,输出端设置为物理交换机的第二端口。这样设置的目的是通过第二端口将第一端口中的流量数据包镜像到第二端口,得到第二镜像流量,通过第二端口即可将第二镜像流量传输至监控服务器。在本实施例中,采用网线连接第二端口和监控服务器,监控服务器在获取第二镜像流量后,对第二镜像流量进行监控和分析。
本申请实施例还公开一种终端设备,包括存储器、处理器以及存储在存储器中并能够在处理器上运行的计算机程序,其中,处理器执行计算机程序时,采用了上述实施例中的多场景虚拟网络监控方法。
其中,终端设备可以采用台式电脑、笔记本电脑或者云端服务器等计算机设备,并且,终端设备包括但不限于处理器以及存储器,例如,终端设备还可以包括输入输出设备、网络接入设备以及总线等。
其中,处理器可以采用中央处理单元(CPU),当然,根据实际的使用情况,也可以采用其他通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现成可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等,通用处理器可以采用微处理器或者任何常规的处理器等,本申请对此不做限制。
其中,存储器可以为终端设备的内部存储单元,例如,终端设备的硬盘或者内存,也可以为终端设备的外部存储设备,例如,终端设备上配备的插接式硬盘、智能存储卡(SMC)、安全数字卡(SD)或者闪存卡(FC)等,并且,存储器还可以为终端设备的内部存储单元与外部存储设备的组合,存储器用于存储计算机程序以及终端设备所需的其他程序和数据,存储器还可以用于暂时地存储已经输出或者将要输出的数据,本申请对此不做限制。
其中,通过本终端设备,将上述实施例中的多场景虚拟网络监控方法存储于终端设备的存储器中,并且,被加载并执行于终端设备的处理器上,方便使用。
本申请实施例还公开一种计算机可读存储介质,并且,计算机可读存储介质存储有计算机程序,其中,计算机程序被处理器执行时,采用了上述实施例中的多场景虚拟网络监控方法。
其中,计算机程序可以存储于计算机可读介质中,计算机程序包括计算机程序代码,计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间件形式等,计算机可读介质包括能够携带计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM)、随机存取存储器(RAM)、电载波信号、电信信号以及软件分发介质等,需要说明的是,计算机可读介质包括但不限于上述元器件。
其中,通过本计算机可读存储介质,将上述实施例中的多场景虚拟网络监控方法存储于计算机可读存储介质中,并且,被加载并执行于处理器上,以方便上述方法的存储及应用。
以上均为本申请的较佳实施例,并非依此限制本申请的保护范围,故:凡依本申请的结构、形状、原理所做的等效变化,均应涵盖于本申请的保护范围之内。

Claims (4)

1.一种多场景虚拟网络流量监控方法,应用于多场景虚拟网络流量监控系统,所述系统包括物理主机、分布式交换机、物理交换机以及监控服务器,其特征在于,所述方法包括以下步骤:
基于所述物理主机上的主机端口和所述物理交换机的第一端口建立所述物理主机和所述物理交换机之间的物理连接线路;
基于预先建立的虚拟机新建第一端口镜像,将对所述分布式交换机和所述物理主机之间的网络流量进行镜像,得到第一镜像流量,在分布式交换机中为所述第一端口镜像配置第一标识,基于所述第一标识将所述第一镜像流量传输至所述物理交换机;
对所述物理交换机进行初步配置,建立所述分布式交换机与所述物理交换机之间的连接;
基于所述物理交换机新建第二端口镜像,对所述第二端口镜像进行配置,使得所述第二端口镜像能够对所述分布式交换机与所述物理交换机的网络流量进行镜像,得到第二镜像流量,并将所述第二镜像流量传输至所述物理交换机的第二端口,通过所述第二端口建立所述物理交换机与所述监控服务器的物理连接,将所述第二镜像流量传输至所述监控服务器;
其中,所述在分布式交换机中为所述第一端口镜像配置第一标识,基于所述第一标识传输所述第一镜像流量包括以下步骤:
将所述第一端口镜像类型配置为远程镜像源;
为所述第一端口镜像封装第一VLAN ID;
配置所述第一端口镜像的镜像目标为所述物理主机与所述物理交换机之间的物理连接线路;
将所述第一镜像流量通过所述物理连接线路传输至所述物理交换机;
其中,所述对所述物理交换机进行初步配置,建立所述分布式交换机与所述物理交换机之间的连接包括以下步骤:
在所述物理交换机上配置所述第一端口为TRUNK模式;
控制所述物理交换机和所述物理主机之间能够进行除第一VLAN ID之外的VLAN的通讯;
其中,所述基于所述物理交换机新建第二端口镜像,对所述第二端口镜像进行配置包括以下步骤:
在所述物理交换机上配置第二端口镜像;
配置所述第二端口镜像的输入端为所述第一端口;
配置所述第二端口镜像的输出端为所述物理交换机的第二端口。
2.一种多场景虚拟网络流量监控系统,包括物理主机(1)、分布式交换机(2)、物理交换机(3)以及监控服务器(4),其特征在于,还包括:
预处理模块(5),所述预处理模块(5)用于基于所述物理主机(1)上的主机端口和所述物理交换机(3)的第一端口建立所述物理主机(1)和所述物理交换机(3)之间的物理连接线路;
分布式交换机配置模块(6),所述分布式交换机配置模块(6)用于基于预先建立的虚拟机新建第一端口镜像,将对所述分布式交换机(2)和所述物理主机(1)之间的网络流量进行镜像,得到第一镜像流量,在分布式交换机(2)中为所述第一端口镜像配置第一标识,基于所述第一标识将所述第一镜像流量传输至所述物理交换机(3);
物理交换机配置模块(7),所述物理交换机配置模块(7)用于对所述物理交换机(3)上的第一端口进行第一配置,使得通过所述第一端口对所述物理主机(1)与所述分布式交换机(2)之间的网络流量进行镜像处理;
所述物理交换机配置模块(7)还用于对所述物理交换机(3)上的第二端口进行第二配置,使得通过所述第二端口能够对所述分布式交换机(2)与所述物理交换机(3)的网络流量进行镜像处理,得到第二镜像流量;
以及连接模块(8),所述连接模块(8)用于通过所述第二端口建立所述物理交换机(3)与所述监控服务器(4)的物理连接,将所述第二镜像流量传输至所述监控服务器(4);
其中,所述分布式交换机配置模块(6)包括:
第一配置单元(61),所述第一配置单元(61)用于将所述第一端口镜像类型配置为远程镜像源;
封装单元(63),所述封装单元(63)用于为所述第一端口镜像配置第一VLAN ID;
第二配置单元(62),所述第二配置单元(62)用于配置所述第一端口镜像的镜像目标为所述物理主机(1)与所述物理交换机(3)之间的物理连接线路;
其中,所述物理交换配置模块包括:
设置单元(71),所述设置单元(71)用于将所述第一端口和所述主机端口设置为TRUNK模式,使得所述物理交换机(3)和所述物理主机(1)之间能够进行除第一VLAN ID之外的VLAN进行通讯;
其中,所述物理交换配置模块还包括:
连接单元(72),所述连接单元(72)用于在所述物理交换机(3)建立第二端口镜像,配置所述第二端口镜像的输入端为所述第一端口,配置所述第二端口镜像的输出端为所述物理交换机(3)上的第二端口;
所述连接单元(72)还用与将第二端口与所述监控服务器(4)进行连接。
3.一种终端设备,包括存储器、处理器及存储在存储器中并能够在处理器上运行的计算机程序,其特征在于,所述处理器加载并执行计算机程序时,采用了权利要求1所述的方法。
4.一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机程序,其特征在于,所述计算机程序被处理器加载并执行时,采用了权利要求1所述的方法。
CN202210010750.1A 2022-01-05 2022-01-05 一种多场景虚拟网络流量监控方法、系统、终端及介质 Active CN114422297B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210010750.1A CN114422297B (zh) 2022-01-05 2022-01-05 一种多场景虚拟网络流量监控方法、系统、终端及介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210010750.1A CN114422297B (zh) 2022-01-05 2022-01-05 一种多场景虚拟网络流量监控方法、系统、终端及介质

Publications (2)

Publication Number Publication Date
CN114422297A CN114422297A (zh) 2022-04-29
CN114422297B true CN114422297B (zh) 2024-03-26

Family

ID=81270938

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210010750.1A Active CN114422297B (zh) 2022-01-05 2022-01-05 一种多场景虚拟网络流量监控方法、系统、终端及介质

Country Status (1)

Country Link
CN (1) CN114422297B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116112399A (zh) * 2022-12-23 2023-05-12 中核武汉核电运行技术股份有限公司 一种工控网络流量解析系统

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102340447A (zh) * 2011-09-06 2012-02-01 神州数码网络(北京)有限公司 一种远程端口镜像实现系统及方法
CN105743734A (zh) * 2016-01-22 2016-07-06 北京航空航天大学 虚拟机镜像流量传输的控制方法和装置
CN107592216A (zh) * 2017-09-01 2018-01-16 湖南合天智汇信息技术有限公司 一种支持多场景实验隔离的虚实网络融合仿真方法
CN108900384A (zh) * 2018-07-20 2018-11-27 新华三云计算技术有限公司 网络流量监控方法、装置及系统、计算机可读存储介质
CN112187674A (zh) * 2020-08-26 2021-01-05 广州锦行网络科技有限公司 支持IPv4和IPv6双栈混合的网络结构和组网方法

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140010096A1 (en) * 2012-07-09 2014-01-09 International Business Machines Corporation Port mirroring in distributed switching systems
US9749328B2 (en) * 2014-05-22 2017-08-29 International Business Machines Corporation Access control list-based port mirroring techniques
TWI664838B (zh) * 2017-12-14 2019-07-01 財團法人工業技術研究院 在一網路中監測傳輸量的方法及裝置

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102340447A (zh) * 2011-09-06 2012-02-01 神州数码网络(北京)有限公司 一种远程端口镜像实现系统及方法
CN105743734A (zh) * 2016-01-22 2016-07-06 北京航空航天大学 虚拟机镜像流量传输的控制方法和装置
CN107592216A (zh) * 2017-09-01 2018-01-16 湖南合天智汇信息技术有限公司 一种支持多场景实验隔离的虚实网络融合仿真方法
CN108900384A (zh) * 2018-07-20 2018-11-27 新华三云计算技术有限公司 网络流量监控方法、装置及系统、计算机可读存储介质
CN112187674A (zh) * 2020-08-26 2021-01-05 广州锦行网络科技有限公司 支持IPv4和IPv6双栈混合的网络结构和组网方法

Also Published As

Publication number Publication date
CN114422297A (zh) 2022-04-29

Similar Documents

Publication Publication Date Title
US10698717B2 (en) Accelerator virtualization method and apparatus, and centralized resource manager
US20200213222A1 (en) Network Interface Card, Computing Device, and Data Packet Processing Method
EP3442319B1 (en) Multi-node system-fan-control switch
CN109074330B (zh) 网络接口卡、计算设备以及数据包处理方法
CN109617735B (zh) 云计算数据中心系统、网关、服务器及报文处理方法
CN109302466B (zh) 数据处理方法、相关设备及计算机存储介质
US9678912B2 (en) Pass-through converged network adaptor (CNA) using existing ethernet switching device
US10191121B2 (en) System and method for voltage regulator self-burn-in test
US20130298126A1 (en) Computer-readable recording medium and data relay device
CN108337192B (zh) 一种云数据中心中报文通信方法和装置
CN108228309B (zh) 基于虚拟机的数据包发送和接收方法及装置
CN113228567B (zh) 一种信息处理的方法、装置和信息处理系统
CN109412922B (zh) 一种传输报文的方法、转发设备、控制器及系统
US20150049640A1 (en) Data transmission controlling device and method for controlling data transmission
CN112787913B (zh) 智能网卡组件、物理机、云服务系统以及报文发送方法
US11726938B2 (en) Communications for field programmable gate array device
CN105190530A (zh) 传输硬件渲染的图形数据
CN114422297B (zh) 一种多场景虚拟网络流量监控方法、系统、终端及介质
TW201828651A (zh) 使用wol的系統復原
US11604670B2 (en) Virtual machine live migration method, apparatus, and system
US10333837B2 (en) Virtual network switch system and method of constructing the same
CN114422296B (zh) 一种多场景虚拟网络构建系统、方法、终端及存储介质
WO2024027194A1 (zh) 报文转发方法、设备、系统及存储介质
CN110147344B (zh) 在多个物理机之间通信的方法、装置、存储介质和系统
CN116170373A (zh) 异构虚拟网络的通信系统、方法、设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant