CN115086213B - 在软件定义网络环境下的流量镜像方法及装置 - Google Patents

在软件定义网络环境下的流量镜像方法及装置 Download PDF

Info

Publication number
CN115086213B
CN115086213B CN202210651081.6A CN202210651081A CN115086213B CN 115086213 B CN115086213 B CN 115086213B CN 202210651081 A CN202210651081 A CN 202210651081A CN 115086213 B CN115086213 B CN 115086213B
Authority
CN
China
Prior art keywords
analyzer
information
group
mirrored
analyzers
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210651081.6A
Other languages
English (en)
Other versions
CN115086213A (zh
Inventor
请求不公布姓名
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Jiangsu Anchao Cloud Software Co Ltd
Original Assignee
Jiangsu Anchao Cloud Software Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Jiangsu Anchao Cloud Software Co Ltd filed Critical Jiangsu Anchao Cloud Software Co Ltd
Priority to CN202210651081.6A priority Critical patent/CN115086213B/zh
Publication of CN115086213A publication Critical patent/CN115086213A/zh
Application granted granted Critical
Publication of CN115086213B publication Critical patent/CN115086213B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/50Testing arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0823Errors, e.g. transmission errors
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/12Network monitoring probes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Environmental & Geological Engineering (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Stored Programmes (AREA)

Abstract

本申请公开了在软件定义网络环境下的流量镜像方法,软件定义网络包括SDN控制器和分析器组,SDN控制器包括控制面和转发面,分析器组包括复数个分析器,方法包括:获取分析器组信息和待镜像需求信息,并发送至SDN控制器的控制面;控制面将接收的分析器组信息和待镜像需求信息发送至SDN控制器的转发面;转发面检测分析器组中分析器的状态,并生成分析器状态信息;控制面接收分析器状态信息,并根据分析器状态信息更新分析器组信息,更新的分析器组信息用于供转发面将待镜像需求信息对应的镜像流量转发至分析器组的分析器。本申请提高了流量镜像的稳定性。

Description

在软件定义网络环境下的流量镜像方法及装置
技术领域
本申请涉及云计算领域,尤其是涉及在软件定义网络环境下的流量镜像方法及装置。
背景技术
流量镜像(Traffic Mirroring),也称为流量影子(Traffic Shadowing),是通过一定的配置将线上的真实流量复制一份到安全中心的分析器或者深度报文检测(DeepPacket Inspection,DPI)设备中,通过流量镜像转发以达到在不影响线上服务的情况下对流量或请求内容做具体分析的目的,再根据流量分析的结果反向对真实流量加以策略影响。
软件定义网络(Software Defined Network,SDN)是一种架构,它抽象了网络的不同可区分的层,使网络变得敏捷和灵活,SDN的目标是通过使企业和服务提供商能够快速响应不断变化的业务需求来改进网络控制。SDN的架构模型包括协同应用层、控制层和转发层,也即:在SDN网络环境下,控制面和转发面分离。作为网络大脑的控制面掌控着整个网络的拓扑以及数据流向。当前的流量镜像技术,一般是基于网元的端口镜像和基于策略的流量镜像。端口镜像就是将云环境中某一个虚机的接口的所有流量镜像到分析器中;基于策略的流量镜像就是将数据流应用于具体的策略,来判断是否需要镜像此类流量。
在生产环境中,流量分析器作为独立装置,可能遇到软件的故障,也可能遇到硬件的问题,比如网卡的故障或者分析软件故障。如上所述,如果分析器的网卡故障或者分析器软件故障,很可能造成需要分析的流量没有能力被分析。那么在这段时间内,网络环境中的恶意流量不能被检测到,从而使得云环境安全受到挑战。另外一方面,分析器的处理能力毕竟有限,对于大流量的流量处理也有一定的瓶颈。鉴于此,有必要对现有SDN结构进行改进。
发明内容
本申请的目的在于对SDN结构进行改进,保证在部分流量分析器出现故障的情况下可以正常进行网络流量分析。
本申请的目的采用以下技术方案实现:
第一方面,提出一种在软件定义网络环境下的流量镜像方法,软件定义网络(SDN)包括SDN控制器和分析器组,SDN控制器包括控制面和转发面,分析器组包括复数个分析器,方法包括:获取分析器组信息和待镜像需求信息,并发送至SDN控制器的控制面;控制面将接收的分析器组信息和待镜像需求信息发送至SDN控制器的转发面;转发面检测分析器组中分析器的状态,并生成分析器状态信息;控制面接收分析器状态信息,并根据分析器状态信息更新分析器组信息,更新的分析器组信息用于供转发面将待镜像需求信息对应的镜像流量转发至分析器组的至少一个分析器。
在一些可选地实施例中,分析器状态信息包括分析器下线、分析器异常或分析器激活。
在一些可选地实施例中,方法还包括:控制面将更新的分析器组信息发送至转发面;转发面将更新的分析器组信息发送至分析器组;分析器组根据更新的分析器组信息,选取激活状态的分析器发送镜像流量。
在一些可选地实施例中,激活状态的分析器通过镜像流量的类型确定。
在一些可选地实施例中,方法还包括:控制面将更新的分析器组信息发送至转发面;转发面将更新的分析器组信息发送至分析器组;分析器组根据更新的分析器组信息,选取每个分析器发送镜像流量。
在一些可选地实施例中,分析器为云环境中的虚拟机,虚拟机包含IP地址和MAC地址,控制面能够根据虚拟机的IP和MAC地址标记下一跳标签。
在一些可选地实施例中,控制面能够根据分析器的生命周期动态维护分析器组的成员。
在一些可选地实施例中,方法还包括:分析器对镜像流量进行深度数据包检测生成检测结果,并根据检测结果生成安全策略。
在一些可选地实施例中,响应于检测结果为镜像流量存在安全威胁,通过所述安全策略来阻断镜像流量。
在一些可选地实施例中,方法还包括:获取流量镜像的配置;根据流量镜像的配置,确定镜像流量需再次被镜像或无需重复被镜像。
第二方面,提出一种在软件定义网络环境下的流量镜像装置,装置与分析器组连接,分析器组包括复数个分析器,装置包括:
获取模块,用于根据外部指令获取分析器组信息和待镜像需求信息;
控制模块,与获取模块连接,用于接收获取模块发送的分析器组信息和待镜像需求信息;用于检测分析器组中分析器的状态,并生成分析器状态信息;用于根据分析器状态信息更新分析器组信息,更新的分析器组信息用于将待镜像需求信息对应的镜像流量转发至分析器组的至少一个分析器。
在一些可选地实施例中,分析器状态信息包括分析器下线、分析器异常或分析器激活,控制模块还用于:将更新的分析器组信息发送至分析器组,分析器组能够根据更新的分析器组信息选取激活状态的分析器发送镜像流量。
在一些可选地实施例中,控制模块还用于:将更新的分析器组信息发送至分析器组,分析器组能够根据更新的分析器组信息,选取每个分析器发送镜像流量。
在一些可选地实施例中,分析器为云环境中的虚拟机,虚拟机包含IP地址和MAC地址,控制模块能够根据虚拟机的IP和MAC地址标记下一跳标签。
在一些可选地实施例中,控制模块能够根据分析器的生命周期动态维护分析器组的成员。
在一些可选地实施例中,分析器用于对镜像流量进行深度数据包检测生成检测结果,并根据检测结果生成安全策略,所述安全策略用于在检测结果为镜像流量存在安全威胁时,阻断镜像流量。
在一些可选地实施例中,控制模块还用于:获取流量镜像的配置;根据流量镜像的配置,确定镜像流量需再次被镜像或无需重复被镜像。
本申请实施中,软件定义网络包括SDN控制器和分析器组,SDN控制器包括控制面和转发面,分析器组包括复数个分析器,将分析器以分析器组的方式呈现,网络流量的镜像目的地为一个分析器组,保证用户网络特定部署条件下在部分流量分析器出现故障的情况下,也可以正常进行网络流量分析,提高了云环境的工作稳定性。
附图说明
下面结合附图和实施例对本申请进一步说明。
图1是本申请一实施例的在软件定义网络环境下的流量镜像方法流程示意图;
图2是现有技术中端口镜像对应的网络结构示意图;
图3是本申请一实施例的以广播形式构建的分析器组结构示意图;
图4是以广播形式构建的分析器组在软件定义网络环境下的流量镜像方法流程示意图;
图5是现有技术中策略镜像对应的网络结构示意图;
图6是本申请另一实施例的以ECMP形式构建的分析器组结构示意图;
图7是以ECMP形式构建的分析器组在软件定义网络环境下的流量镜像方法流程示意图;
图8是本申请一实施例的在Web服务场景下的流量镜像结构示意图;
图9是本申请一实施例的在Web服务场景下的流量镜像方法流程示意图;
图10是本申请一实施例的在软件定义网络环境下的流量镜像装置结构示意图;
图11是本申请实施例提供的一种电子设备的结构图;
图12是本申请实施例提供的一种用于实现流水线构建的程序产品的结构图。
如下将参考如附图中所示的本教导的示例性实施例更详细地描述本教导。虽然结合各种实施例和示例描述了本教导,但本教导并不旨在限于这些实施例。
具体实施方式
如本领域技术人员将认识到的,本教导包含各种替代、修改和等同物。能够访问本文中的教导的本领域普通技术人员将认识到在本文所述的本公开的范围内的附加实施方式、修改和实施例以及其它使用领域。说明书中对“一个实施例”或“实施例”的引用是指结合实施例描述的特定特征、结构或特点包括在教导的至少一个实施例中。说明书中各处出现的短语“在一个实施例中”不一定都指同一个实施例。应当理解的是,本教导的方法的各个步骤可以以任何次序和/或同时执行,只要教导保持可操作即可。此外,应当理解的是,本教导的装置和方法可以包括任何数量或所有所描述的实施例,只要教导保持可操作即可。
本申请所涉及的技术方案能够实现用户与设备的交互,所指设备包括但不限于用户设备、网络设备、或用户设备与网络设备通过网络相集成所构成的设备。用户设备包括但不限于任何一种可与用户进行人机交互,如通过触摸板进行人机交互的移动电子产品,例如:智能手机、平板电脑等,所述移动电子产品可以采用任意操作系统,如Android操作系统、iOS操作系统等。其中,网络设备包括一种能够按照事先设定或存储的指令,自动进行数值计算和信息处理的电子设备,其硬件包括但不限于微处理器、专用集成电路(Application Specific Integrated Circuit,ASIC)、可编程逻辑器件(ProgrammableLogic Device,PLD)、现场可编程门阵列(Field Programmable Gate Array,FPGA)、数字信号处理器(Digital Signal Processor,DSP)、嵌入式设备等。网络设备包括但不限于计算机、网络主机、单个网络服务器、多个网络服务器集或多个服务器构成的云;在此,云由基于云计算(Cloud Computing)的大量计算机或网络服务器构成,其中,云计算是分布式计算的一种,由一群松散耦合的计算机集组成的一个虚拟超级计算机。所述网络包括但不限于互联网、广域网、城域网、局域网、VPN网络、无线自组织网络(Ad Hoc Network)等。优选地,设备还可以是运行于所述用户设备、网络设备、或用户设备与网络设备、网络设备、触摸终端或网络设备与触摸终端通过网络相集成所构成的设备上的程序。
如前所述,现有SDN架构在生产环境中,流量分析器作为独立装置,通常会遇到软件的故障或者硬件的问题,比如:网卡的故障、分析软件故障。如果分析器的网卡故障或者分析器软件故障,会造成需要分析的流量没有能力被分析。在这段时间内,网络环境中的恶意流量不能被检测到,从而使得云环境安全受到挑战。另外一方面,分析器的处理能力毕竟有限,对于大流量的流量处理也有一定的瓶颈。基于此,本申请提出一种改进的在软件定义网络环境下的流量镜像方法,以在系统故障状态下能够保证流量镜像的正常运行。
下面,结合附图以及具体实施方式,对本申请做进一步描述,需要说明的是,在不相冲突的前提下,以下描述的各实施例之间或各技术特征之间可以任意组合形成新的实施例。
如图1所示,为本申请一实施例的在软件定义网络环境下的流量镜像方法,其包括步骤S101-S104。其中软件定义网络包括SDN控制器和分析器组,SDN控制器包括控制面和转发面,分析器组包括复数个分析器。
步骤S101,获取分析器组信息和待镜像需求信息,并发送至SDN控制器的控制面。即将分析器组信息和待镜像需求信息发送至SDN控制器的控制面。
示例性地,每一个分析器可以被定义为云环境中的虚拟机,虚拟机包含网际协议(Internet Protocol,IP)地址和媒体访问控制(Media Access Control,MAC)地址。虚拟机的IP和MAC地址能够供SDN控制器标记其下一跳标签。例如:可以使用多协议标签交换(Multi-Protocol Label Switching,MPLS)标签标记虚机接口。云环境可以是私有云、社区云、公有云和混合云中的一种或多种的组合。云环境提供的服务可以是基础设施级服务(Infrastructure as a Service,IaaS),平台级服务(Platform-as-a-Service,PaaS)和软件级服务(Software-as-a-Service,SaaS)等。
可选地,SDN控制器包括协同应用层、控制面(层)、转发面(层)。其中,协同应用层体现用户意图的各种上层应用程序,该应用程序称为协同层应用程序。示例性地,应用可包括运营支撑系统(Operation Support System,OSS)、Openstack等。控制面用于负责网络的内部交换路径和边界业务路由的生成,并用于负责处理网络状态变化事件。示例性地,当发生链路故障、节点故障、网络拥塞等网络状态变化时,控制面会根据这些网络状态的变化调整网络交换路径和业务路由,使网络始终仍然保持正常的服务状态。可选地,控制面的接口设置为:通过南向控制接口和转发层交互;北向业务接口和协同应用层交互。
转发面可由转发器和连接器的线路构成基础转发网络,用于负责执行用户数据的转发,转发过程中所需要的转发表项可通过控制面生成。可选地,转发层可包括系统转发引擎,由转发引擎负责根据控制面下发的转发数据进行报文转发。转发面和控制面之间通过控制接口交互,转发面既能上报网络资源信息和状态,还能接收控制层下发的转发信息。
分析器组能够通过用户配置输入,例如用户可以通过外接输入设备输入用户指令,以完成用户配置命令的输入。云环境中流量产生,SDN控制器能够匹配到镜像需求。
将分析器组信息和待镜像需求信息发送至SDN控制器的控制面可包括:在构建分析器组后,在配置面记录配置,将需要镜像的网元或者流量信息发送给控制面。控制面能够根据各分析器生命周期动态维护分析器组的成员,例如:通过生命状态检查定期监控分析器生命状态。
步骤S102,控制面将接收的分析器组信息和待镜像需求信息发送至SDN控制器的转发面。
步骤S103,转发面检测分析器组中分析器的状态,并生成分析器状态信息。可选地,分析器状态信息包括分析器下线、分析器异常或分析器激活。
步骤S104,控制面接收分析器状态信息,并根据分析器状态信息更新分析器组信息,更新的分析器组信息用于供转发面将待镜像需求信息对应的镜像流量转发至分析器组的至少一个分析器。
本申请实施例中,将分析器以分析器组的方式呈现。网络流量的镜像目的地为一个分析器组,保证用户网络特定部署条件下在部分流量分析器出现故障的情况下,也可以正常进行网络流量分析,提高了云环境的工作稳定性。分析器组的构建方式可以是广播方式,镜像的流量发往分析器组中的每一个分析器;或者,分析器组的构建方式可以是等价路由负载分担(Equal Cost Multi-Path,ECMP)方式,镜像的流量发往分析器组中的任意一个激活状态的分析器。
在一个实施例中,如图2所示为现有技术中端口镜像对应的网络结构示意图。其中,IF1、IF2、IF3分别为虚拟机接口;IF1、IF2为镜像源端口对应的服务器IP地址为1.1.1.0/24;IF3为被镜像端口,对应的服务器IP地址为2.2.2.0/24;被镜像端口IF3创建对应的分析器地址为3.3.3.100。被镜像端口IF3所有进出的流量都会镜像到地址为3.3.3.100的分析器。在此实施例中,当IF1、IF2或者云环境中任意其他接口有流量到达IF3,或者IF3有任何流量去往云环境中其他接口,IF3的流量都会被镜像到其对应的分析器3.3.3.100。
在一个实施例中,如图3所示为本申请实施例以广播形式构建的分析器组结构示意图。IF1、IF2、IF3分别为虚拟机接口;IF1、IF2为镜像源端口(例如云环境中的接口)对应的服务器IP地址为1.1.1.0/24;IF3为被镜像端口,对应的服务器IP地址为2.2.2.0/24根据分析器组的类型,通过广播方式,被镜像端口IF3所有的流量会被镜像到分析器组中所有的分析器。在此实施例中,被镜像端口IF3的流量会被镜像到分析器组所包含的地址为3.3.3.100、3.3.3.110和3.3.3.120的分析器。在此实施例中,IF1、IF2能够与IF3通信。该IF3作为被镜像的端口,经过IF3的所有流量都会被镜像到分析器。
对应的,图4为与图3对应的在软件定义网络环境下的流量镜像方法。其包括步骤S401-S406。
步骤S401,获取分析器组信息和待镜像需求信息,并发送至SDN控制器的控制面。
步骤S402,控制面将接收的分析器组信息和待镜像需求信息发送至转发面。
步骤S403,转发面检测分析器组中分析器的状态,并生成分析器状态信息。
步骤S404,控制面接收分析器状态信息,并根据分析器状态信息更新分析器组信息,更新的分析器组信息用于供转发面将待镜像需求信息对应的镜像流量转发至分析器组的每个分析器。
步骤S405,控制面将更新的分析器组信息发送至转发面,且转发面将更新的分析器组信息发送至分析器组。
步骤S406,分析器组根据更新的分析器组信息,选取每个分析器发送镜像流量。
在一个实施例中,如图5所示,为现有技术中策略镜像对应的网络结构示意图。IF1、IF2、IF3分别为虚拟机接口;IF1、IF2为镜像源端口对应的网络地址为1.1.1.0/24;IF3对应的网络地址为2.2.2.0/24。IF1、IF2与IF3之间通过报文形式通讯,当检测到有报文出现,根据规则去匹配到特定的流量,继而通过策略镜像将匹配到规则的流量镜像到分析器。请继续参考附图5,规则设定为Policy A,当匹配到规则(满足规则)的流量,该匹配到的流量会被镜像到地址为3.3.3.4的分析器。
在一个实施例中,如图6所示,为以ECMP形式构建的分析器组结构示意图。IF1、IF2、IF3分别为虚拟机接口;IF1、IF2为镜像源端口对应的网络地址为1.1.1.0/24;IF3对应的网络地址为2.2.2.0/24。IF1、IF2与IF3之间通过报文形式通讯,当检测到有报文出现,根据规则Policy A去匹配到特定的流量,并将匹配到规则的流量镜像到经过HASH算法选出的分析器。本申请实施例中,报文采用等价多路径路由(Equal-Cost Multi-Path Routing,ECMP)类型,实时进行ECMP监测(mirrored),从被镜像虚机过来的流量可以根据哈希(HASH)算法将流量镜像到分析器组中的一个分析器。该分析器组种包括地址分别为3.3.3.4的分析器、3.3.3.5的分析器和3.3.3.6的分析器。示例性地,HASH算法可以接受的参数可以是网络报文的协议类型,源、目IP地址,以及源、目端口等五元组。可以理解的,本申请实施例中,对于报文类型和内容不做具体限制。在其他实施例中,可根据网络中不同报文,将流量镜像到分析器组中不同的分析器。示例性的,本申请实施例中报文具体为ICMP(InternetControl Message Protocol)Internet控制报文协议,该报文协议包括IP头部、ICMP头部和ICMP报文。进一步的,通过IP头部的Protocol值可确定ICMP报文,ICMP头部中的类型(Type)域用于说明ICMP报文的作用及格式,代码(Code)域用于详细说明某种ICMP报文的类型,所有数据都在ICMP头部后面。
对应的,图7为与图6对应的在软件定义网络环境下的流量镜像方法。其包括步骤S701-S705。
步骤S701,获取分析器组信息和待镜像需求信息,并发送至SDN控制器的控制面。
步骤S702,控制面将接收的分析器组信息和待镜像需求信息发送至转发面。
步骤S703,转发面检测分析器组中分析器的状态,并生成分析器状态信息。
步骤S704,控制面将更新的分析器组信息发送至转发面,且转发面将更新的分析器组信息发送至分析器组。
步骤S705,分析器组根据更新的分析器组信息,选取激活状态的分析器发送镜像流量。示例性地,激活状态的分析器通过镜像流量的类型确定。
本申请能够为云环境云环境中的服务设置流量镜像,云环境中的服务可包括云查询、云存储、云计算、云安全等中的一种或者多种的组合。其可包括如下步骤:
1)用户配置分析器组,以及需要镜像的网元或者流量信息发送给SDN控制器的控制面;
2)控制面将分析器组信息以及镜像需求下发给SDN控制器的转发面;
3)云环境中流量产生,匹配到镜像需求,流量被镜像到分析器组,且分析器组根据其类型,将流量转发到具体分析器;
4)转发面检测到分析器组中的分析器下线后者异常后,将状态信息上报给控制器,控制器根据分析器状态更新分析器组信息给转发面。
如图8为本申请一实施例的在Web服务场景下的流量镜像结构示意图。该系统包括用户终端、SDN控制器、分析器组以及Web服务器(server)等四部分,其中:用户终端与SDN控制器连接用于供用户输入用户指令,根据该用户指令能够获取用户配置的分析器组信息和待镜像需求信息;SDN控制器同时连接分析器组以及Web服务器。更具体的,SDN控制器可包括控制面和与控制面连接的转发面,且控制面与用户终端连接,转发面连接Web服务器和分析器组。更具体的,控制面提供的北向接口给用户输入配置,其可以是REST API,或者是基于REST API做的配置页面。
与图8相对应的,图9为本申请一实施例的在Web服务场景下的流量镜像流程示意图。
步骤S901,获取分析器组信息和待镜像需求信息,并发送至SDN控制器的控制面。可选地,对应图8中的①,用户能够通过用户终端配置分析器组、需要镜像的网元或者流量信息。分析器组作为独立资源,可以有多个的分析器组成,每一个分析器可以被定义为云环境中的虚拟机,包含IP地址和MAC地址。SDN控制面能够根据虚拟机的IP和MAC地址标记其下一跳标签,例如可以是用MPLS标签标记虚机接口。构建分析器组后,在配置面记录配置。控制面根据各分析器生命周期动态维护分析器组的成员,例如通过生命状态检查定期监控分析器生命状态。示例性地,定义分析器组的类型,可以是广播方式或者是ECMP方式。在此实施例中,配置面作为SDN控制器的控制面的一部分,能够接受用户配置以及将用户配置转化为控制面中配置的机制。
步骤S902,控制面将接收的分析器组信息和待镜像需求信息发送至转发面。对应图8中的②,控制面将分析器组信息和待镜像需求信息传输至转发面。在此实施例中,各转发面之间通过通道(tunnel)进行通信。
步骤S903,转发面检测分析器组中分析器的状态,并生成分析器状态信息。可选地,对应图8中的③,对于端口镜像对应的网络结构,端口的所有流量都发往分析器组,数据面/转发面根据分析器组的类型,选择下一跳分析器。例如,广播类型组成的分析器组,端口能够将报文发往所有分析器。或者,对于ECMP类型的分析器组,可以基于报文四层端口、IP地址、协议类型选择分析器组中的一个分析器发送报文。
步骤S904,控制面接收分析器状态信息,并根据分析器状态信息更新分析器组信息,更新的分析器组信息用于供转发面将待镜像需求信息对应的镜像流量转发至分析器组。对应图8中的④,控制面接收转发面发来的分析器状态信息,并根据分析器状态信息更新分析器组信息。
步骤S905,分析器对镜像流量进行深度数据包检测(Deep Packet Inspection,DPI)生成检测结果,并根据检测结果生成安全策略。可选地,可响应于检测结果为(被认为)镜像流量存在安全威胁,通过所述安全策略来阻断镜像流量。在此实施例中,分析器接受被镜像报文,DPI分析后对流量作出特定处理。例如,安全策略可以是在保留当前节点端口的前提下,对端口设置安全组阻断流量。又例如,安全策略是将当前端口对应的网卡剔除。还例如,,安全策略是将存在威胁的端口对应网络云主机为宕机。
在一实施例中,还可包括获取流量镜像的配置,以及根据流量镜像的配置,确定镜像流量需再次被镜像或无需重复被镜像。转发面检测到分析器组中的分析器下线后者异常后,将状态信息上报给控制器。SDN控制器根据分析器状态更新分析器组信息给转发面。本申请实施例中,分析器接受被镜像报文,DPI分析后对流量作出特定处理。例如,在保留当前节点端口的前提下,对端口设置安全组阻断流量,被阻断的流量根据流量镜像的配置选择要不要再次被镜像,提高云环境的镜像效率和准确率。转发面检测到分析器组中的分析器下线后者异常后,将状态信息上报给控制器,控制器根据分析器状态更新分析器组信息给转发面,保证分析器组的信息实时更新。
与前述在软件定义网络环境下的流量镜像方法相对应,本申请还提出一种在软件定义网络环境下的流量镜像装置,装置与分析器组连接,分析器组包括复数个分析器。示例性地,如图10所示为在软件定义网络环境下的流量镜像装置结构示意图,其包括获取模块1010和控制模块1020。其中,获取模块1010用于根据外部指令获取分析器组信息和待镜像需求信息;控制模块1020与获取模块1010连接,用于接收获取模块1010发送的分析器组信息和待镜像需求信息;控制模块1020用于检测分析器组中分析器的状态,并生成分析器状态信息;控制模块1020还用于根据分析器状态信息更新分析器组信息,更新的分析器组信息用于将待镜像需求信息对应的镜像流量转发至分析器组的至少一个分析器。
可选地,分析器状态信息包括分析器下线、分析器异常或分析器激活,控制模块1020还用于:将更新的分析器组信息发送至分析器组,分析器组能够根据更新的分析器组信息选取激活状态的分析器发送镜像流量。
可选地,控制模块1020还用于:将更新的分析器组信息发送至分析器组,分析器组能够根据更新的分析器组信息,选取每个分析器发送镜像流量。
可选地,分析器为云环境中的虚拟机,虚拟机包含IP地址和MAC地址,控制模块能够根据虚拟机的IP和MAC地址标记下一跳标签。
可选地,控制模块1020能够根据分析器的生命周期动态维护分析器组的成员。
可选地,分析器用于对镜像流量进行深度数据包检测生成检测结果,安全策略用于在检测结果为镜像流量存在安全威胁时,阻断镜像流量。
可选地,控制模块还用于:获取流量镜像的配置;根据流量镜像的配置,确定镜像流量需再次被镜像或无需重复被镜像。
本申请实施例中,将分析器以分析器组的方式呈现。网络流量的镜像目的地为一个分析器组,保证用户网络特定部署条件下在部分流量分析器出现故障的情况下,也可以正常进行网络流量分析,提高了云环境的工作稳定性。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,如:多个单元或组件可以结合,或可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性的、机械的或其它形式的。
上述作为分离部件说明的单元可以是、或也可以不是物理上分开的,作为单元显示的部件可以是、或也可以不是物理单元,即可以位于一个地方,也可以分布到多个网络单元上;可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。
另外,在本申请各实施例中的各功能单元可以全部集成在一个处理单元中,也可以是各单元分别单独作为一个单元,也可以两个或两个以上单元集成在一个单元中;上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
参见图11,本申请实施例还提供了一种电子设备200,电子设备200包括至少一个存储器210、至少一个处理器220以及连接不同平台系统的总线230。
存储器210可以包括易失性存储器形式的可读介质,例如随机存取存储器(RAM)211和/或高速缓存存储器212,还可以进一步包括只读存储器(ROM)213。其中,存储器210还存储有计算机程序,计算机程序可以被处理器220执行,使得处理器220执行:检测分析器组中分析器的状态,并生成分析器状态信息;根据分析器状态信息更新分析器组信息,更新的分析器组信息用于将待镜像需求信息对应的镜像流量转发至分析器组的至少一个分析器。处理器220还可执行将更新的分析器组信息发送至分析器组,分析器组能够根据更新的分析器组信息,选取每个分析器发送镜像流量。处理器220还可执行根据分析器的生命周期动态维护分析器组的成员。
存储器210还可以包括具有一组(至少一个)程序模块215的程序/实用工具214,这样的程序模块215包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。相应的,处理器220可以执行上述计算机程序,以及可以执行程序/实用工具214。
总线230可以为表示几类总线结构中的一种或多种,包括存储器总线或者存储器控制器、外围总线、图形加速端口、处理器或者使用多种总线结构中的任意总线结构的局域总线。
电子设备200也可以与一个或多个外部设备240例如键盘、指向设备、蓝牙设备等通信,还可与一个或者多个能够与该电子设备200交互的设备通信,和/或与使得该电子设备200能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口250进行。并且,电子设备200还可以通过网络适配器260与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。网络适配器260可以通过总线230与电子设备200的其它模块通信。应当明白,尽管图中未示出,可以结合电子设备200使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理器、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储平台等。
图12示出了本实施例提供的用于实现上述方法的程序产品300,其可以采用便携式紧凑盘只读存储器(CD-ROM)并包括程序代码,并可以在终端设备,例如个人电脑上运行:获取分析器组信息和待镜像需求信息,并将分析器组信息和待镜像需求信息发送至SDN控制器的控制面;控制面将接收的分析器组信息和待镜像需求信息发送至SDN控制器的转发面;转发面检测分析器组中分析器的状态,并生成分析器状态信息;控制面接收分析器状态信息,并根据分析器状态信息更新分析器组信息,更新的分析器组信息用于供转发面将待镜像需求信息对应的镜像流量转发至分析器组的至少一个分析器。
程序产品300执行程序时还能实现:控制面将更新的分析器组信息发送至转发面;转发面将更新的分析器组信息发送至分析器组;分析器组根据更新的分析器组信息,选取激活状态的分析器发送镜像流量。或者,程序产品300执行程序时还能实现:控制面将更新的分析器组信息发送至转发面;转发面将更新的分析器组信息发送至分析器组;分析器组根据更新的分析器组信息,选取每个分析器发送镜像流量。可选地,分析器对镜像流量进行深度数据包检测生成检测结果,并根据检测结果生成安全策略。可选地,程序产品30执行程序时还能实现:获取流量镜像的配置;根据流量镜像的配置,确定镜像流量需再次被镜像或无需重复被镜像。本申请实施例中,SDN控制器包括控制面和转发面,分析器组包括复数个分析器,将分析器以分析器组的方式呈现,网络流量的镜像目的地为一个分析器组,保证用户网络特定部署条件下在部分流量分析器出现故障的情况下,也可以正常进行网络流量分析,提高了云环境的工作稳定性。
本申请的程序产品300不限于此,在本申请中,可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。程序产品300可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
计算机可读存储介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读存储介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。可读存储介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。可以以一种或多种程序设计语言的任意组合来编写用于执行本申请操作的程序代码,程序设计语言包括面向对象的程序设计语言诸如Java、C++等,还包括常规的过程式程序设计语言诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
本申请从使用目的上、效能上、进步及新颖性等观点进行阐述,其设置有的实用进步性,已符合专利法所强调的功能增进及使用要件,本申请以上的说明及附图,仅为本申请的较佳实施例而已,并非以此局限本申请,因此,凡一切与本申请构造,装置,特征等近似、雷同的,即凡依本申请专利申请范围所作的等同替换或修饰等,皆应属本申请的专利申请保护的范围之内。

Claims (10)

1.一种在软件定义网络环境下的流量镜像方法,所述软件定义网络(SDN)包括SDN控制器和分析器组,所述SDN控制器包括控制面和转发面,所述分析器组包括复数个分析器,其特征在于,方法包括:
获取分析器组信息和待镜像需求信息,并发送至所述SDN控制器的控制面;
所述控制面将接收的所述分析器组信息和所述待镜像需求信息发送至所述SDN控制器的转发面;
所述转发面检测所述分析器组中分析器的状态,并生成分析器状态信息;
所述控制面接收所述分析器状态信息,并根据所述分析器状态信息更新所述分析器组信息,更新的分析器组信息用于供所述转发面将所述待镜像需求信息对应的镜像流量转发至所述分析器组的至少一个分析器;
所述控制面将更新的分析器组信息发送至所述转发面;
所述转发面将更新的分析器组信息发送至所述分析器组;
所述分析器组根据更新的分析器组信息,选取每个分析器发送镜像流量;
所述分析器对所述镜像流量进行深度数据包检测生成检测结果,并根据检测结果生成安全策略;
获取流量镜像的配置;
根据所述流量镜像的配置,确定所述镜像流量需再次被镜像或无需重复被镜像。
2.根据权利要求1所述的在软件定义网络环境下的流量镜像方法,其特征在于,所述分析器状态信息包括分析器下线、分析器异常或分析器激活。
3.根据权利要求1所述的在软件定义网络环境下的流量镜像方法,其特征在于,所述方法还包括:
所述控制面将更新的分析器组信息发送至所述转发面;
所述转发面将更新的分析器组信息发送至所述分析器组;
所述分析器组根据更新的分析器组信息,选取激活状态的分析器发送镜像流量。
4.根据权利要求3所述的在软件定义网络环境下的流量镜像方法,其特征在于,所述激活状态的分析器通过镜像流量的类型确定。
5.根据权利要求2或4所述的在软件定义网络环境下的流量镜像方法,其特征在于,所述分析器为云环境中的虚拟机,所述虚拟机包含IP地址和MAC地址,所述控制面能够根据虚拟机的IP和MAC地址标记下一跳标签。
6.根据权利要求1所述的在软件定义网络环境下的流量镜像方法,其特征在于,所述控制面能够根据所述分析器的生命周期动态维护所述分析器组的成员。
7.一种在软件定义网络环境下的流量镜像装置,所述装置与分析器组连接,所述分析器组包括复数个分析器,其特征在于,所述装置包括:
获取模块,用于根据外部指令获取分析器组信息和待镜像需求信息;
控制模块,与所述获取模块连接,用于接收所述获取模块发送的所述分析器组信息和所述待镜像需求信息;用于检测所述分析器组中分析器的状态,并生成分析器状态信息;用于根据所述分析器状态信息更新所述分析器组信息,更新的分析器组信息用于将所述待镜像需求信息对应的镜像流量转发至所述分析器组的至少一个分析器;用于将更新的分析器组信息发送至所述分析器组,所述分析器组能够根据更新的分析器组信息,选取每个分析器发送镜像流量;
其中,所述分析器对所述镜像流量进行深度数据包检测生成检测结果,并根据检测结果生成安全策略;控制模块还用于获取流量镜像的配置,根据所述流量镜像的配置,确定所述镜像流量需再次被镜像或无需重复被镜像。
8.根据权利要求7所述的在软件定义网络环境下的流量镜像装置,其特征在于,所述分析器状态信息包括分析器下线、分析器异常或分析器激活,所述控制模块还用于:
将更新的分析器组信息发送至所述分析器组,所述分析器组能够根据更新的分析器组信息选取激活状态的分析器发送镜像流量。
9.根据权利要求8所述的在软件定义网络环境下的流量镜像装置,其特征在于,所述分析器为云环境中的虚拟机,所述虚拟机包含IP地址和MAC地址,所述控制模块能够根据虚拟机的IP和MAC地址标记下一跳标签。
10.根据权利要求9所述的在软件定义网络环境下的流量镜像装置,其特征在于,所述控制模块能够根据所述分析器的生命周期动态维护所述分析器组的成员。
CN202210651081.6A 2022-06-09 2022-06-09 在软件定义网络环境下的流量镜像方法及装置 Active CN115086213B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210651081.6A CN115086213B (zh) 2022-06-09 2022-06-09 在软件定义网络环境下的流量镜像方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210651081.6A CN115086213B (zh) 2022-06-09 2022-06-09 在软件定义网络环境下的流量镜像方法及装置

Publications (2)

Publication Number Publication Date
CN115086213A CN115086213A (zh) 2022-09-20
CN115086213B true CN115086213B (zh) 2023-08-29

Family

ID=83250746

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210651081.6A Active CN115086213B (zh) 2022-06-09 2022-06-09 在软件定义网络环境下的流量镜像方法及装置

Country Status (1)

Country Link
CN (1) CN115086213B (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3001884A1 (de) * 2013-08-23 2016-04-06 Siemens Aktiengesellschaft Verfahren, vorrichtung und system zur überwachung einer sicherheits-netzübergangseinheit
CN106254176A (zh) * 2016-07-29 2016-12-21 浪潮(北京)电子信息产业有限公司 一种基于openvswitch的流量镜像方法
CN113612785A (zh) * 2021-08-09 2021-11-05 华云数据控股集团有限公司 基于sdn的防护系统及其控制方法
CN113867886A (zh) * 2021-08-30 2021-12-31 济南浪潮数据技术有限公司 一种分布式虚拟交换机端口镜像的方法、装置及存储介质

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10893100B2 (en) * 2015-03-12 2021-01-12 International Business Machines Corporation Providing agentless application performance monitoring (APM) to tenant applications by leveraging software-defined networking (SDN)

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3001884A1 (de) * 2013-08-23 2016-04-06 Siemens Aktiengesellschaft Verfahren, vorrichtung und system zur überwachung einer sicherheits-netzübergangseinheit
CN106254176A (zh) * 2016-07-29 2016-12-21 浪潮(北京)电子信息产业有限公司 一种基于openvswitch的流量镜像方法
CN113612785A (zh) * 2021-08-09 2021-11-05 华云数据控股集团有限公司 基于sdn的防护系统及其控制方法
CN113867886A (zh) * 2021-08-30 2021-12-31 济南浪潮数据技术有限公司 一种分布式虚拟交换机端口镜像的方法、装置及存储介质

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
"对网络管理中网络流量监测的探讨";李茂盛;《信息与电脑(理论版)》;第87-89页 *

Also Published As

Publication number Publication date
CN115086213A (zh) 2022-09-20

Similar Documents

Publication Publication Date Title
US10855575B2 (en) Adaptive traffic routing in a software-defined wide area network
US10389634B2 (en) Multiple active L3 gateways for logical networks
US10142226B1 (en) Direct network connectivity with scalable forwarding and routing fleets
US9503371B2 (en) High availability L3 gateways for logical networks
EP3934206B1 (en) Scalable control plane for telemetry data collection within a distributed computing system
US9094297B2 (en) Wide area network monitoring
CN105191230B (zh) 标签交换路径的下一跳入口保护
EP3624401B1 (en) Systems and methods for non-intrusive network performance monitoring
CN112737871B (zh) 链路故障检测方法、装置、计算机设备及存储介质
Ochoa-Aday et al. Self-healing and SDN: bridging the gap
US20240129223A1 (en) Systems and methods for data plane validation of multiple paths in a network
Wang et al. CFR: A cooperative link failure recovery scheme in software‐defined networks
CN115086213B (zh) 在软件定义网络环境下的流量镜像方法及装置
Jin et al. FAVE: Bandwidth-aware failover in virtualized SDN for clouds
Muthumanikandan et al. Switch failure detection in software-defined networks
US10243785B1 (en) Active monitoring of border network fabrics
CN117882340A (zh) 为网络节点的客户端未知晓滚动进行的协调重连接
WO2022212050A1 (en) Route discovery for failure detection in computer networks
US20190273810A1 (en) Diffusing packets to identify faulty network apparatuses in multipath inter-data center networks
US11431617B2 (en) Operations, administration, and management/maintenance response replication
US20240146643A1 (en) Virtual testing of network resiliency
CN116389350A (zh) 数据中心网络的路由探测方法及装置
CN116057901A (zh) 使用ip路由集群的互联网最后一英里中断检测
CN118101529A (zh) 数据转发设备分析方法、装置、设备和存储介质
Ngai et al. Control-Plane based Failure Detection for Highly Available Software-Defined Network

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant