CN117499274A - 基于弹性公网ip的流量监控方法、装置、设备及介质 - Google Patents
基于弹性公网ip的流量监控方法、装置、设备及介质 Download PDFInfo
- Publication number
- CN117499274A CN117499274A CN202311363116.7A CN202311363116A CN117499274A CN 117499274 A CN117499274 A CN 117499274A CN 202311363116 A CN202311363116 A CN 202311363116A CN 117499274 A CN117499274 A CN 117499274A
- Authority
- CN
- China
- Prior art keywords
- flow
- target
- virtual machine
- forwarded
- traffic
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000012544 monitoring process Methods 0.000 title claims abstract description 61
- 238000000034 method Methods 0.000 title claims abstract description 54
- 238000006243 chemical reaction Methods 0.000 claims abstract description 49
- 238000004891 communication Methods 0.000 claims abstract description 16
- 238000012806 monitoring device Methods 0.000 claims description 16
- 238000004590 computer program Methods 0.000 claims description 10
- 230000002457 bidirectional effect Effects 0.000 abstract description 6
- 238000013433 optimization analysis Methods 0.000 abstract description 6
- 238000010586 diagram Methods 0.000 description 6
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000013519 translation Methods 0.000 description 3
- 101000652292 Homo sapiens Serotonin N-acetyltransferase Proteins 0.000 description 2
- 102100030547 Serotonin N-acetyltransferase Human genes 0.000 description 2
- 230000006978 adaptation Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0876—Network utilisation, e.g. volume of load or congestion level
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/20—Arrangements for monitoring or testing data switching networks the monitoring system or the monitored elements being virtualised, abstracted or software-defined entities, e.g. SDN or NFV
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/50—Testing arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Environmental & Geological Engineering (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于弹性公网IP的流量监控方法、装置、设备及介质,涉及云计算技术领域,该方法包括:利用OpenFlow虚拟机,获取交换机的目标流量;对目标流量进行网络地址转换,得到待转发流量,并在计量表记录待转发流量的流量信息;通过交换机对待转发流量进行转发,完成目标虚拟机与外部网络的通信;采集监控计量表记录的流量信息;本发明令利用OpenFlow虚拟机完成内网IP与弹性公网IP的网络地址转换和转换后的流量记录,便捷地实现通过预设弹性公网IP地址访问内网虚拟机和内网虚拟机访问外部网络的双向流量监控,为后续云服务的网络安全和性能优化分析提供数据基础。
Description
技术领域
本发明涉及云计算技术领域,特别涉及一种基于弹性公网IP的流量监控方法、装置、设备及计算机可读存储介质。
背景技术
云计算是把计算、网络、存储等资源的虚拟化抽象,为用户提供了更方便的资源使用方式,以及对资源的灵活扩展能力。混合云是云计算领域重要的应用模式之一,其结合了公有云和私有云的优势,为企业提供了更加灵活、方便、快捷和高效的云计算服务。从安全性和可扩展性的角度来看,用户通常有混合云应用的需求。例如,企业可以将私密数据和业务运行在私有云上,而对外提供的公共服务则部署在公有云上。这要求公有云能够实现外部与内部环境的访问,并监控使用的流量情况。网络流量监控是一种重要的网络监控技术,它能够实时监测网络中的流量、负载和性能等信息,为网络管理员和开发人员提供有价值的信息。
网络流量监控具有以下特点:实时性、准确性、可靠性和可扩展性。它能够提高网络性能,及时发现问题,并帮助管理和维护网络设备。通过监控网络流量,管理员可以及时识别异常流量或网络瓶颈,并采取相应的措施来优化网络性能和保障用户体验。云计算和混合云应用为企业带来了巨大的灵活性和便利性,而网络流量监控作为一种重要的技术手段,对于确保网络安全、优化性能和提供高质量的云服务至关重要。
因此,如何能够便捷地对内网虚拟机的流量进行监控,为后续云服务的网络安全和性能优化分析提供数据基础,是现今急需解决的问题。
发明内容
本发明的目的是提供一种基于弹性公网IP的流量监控方法、装置、设备及计算机可读存储介质,以便捷地对内网虚拟机的流量进行监控,为后续云服务的网络安全和性能优化分析提供数据基础。
为解决上述技术问题,本发明提供一种基于弹性公网IP的流量监控方法,包括:
利用OpenFlow虚拟机,获取交换机的目标流量;其中,所述目标流量的源IP为目标虚拟机的IP地址或目的IP为目标虚拟机对应的预设弹性公网IP地址,所述目标虚拟机为虚拟局域网或虚拟扩展局域网内的任一虚拟机;
对所述目标流量进行网络地址转换,得到待转发流量,并在计量表记录所述待转发流量的流量信息;其中,若所述目标流量的源IP为所述目标虚拟机的IP地址,则所述待转发流量的源IP为所述预设弹性公网IP地址;若所述目标流量的目的IP为所述预设弹性公网IP地址,则所述待转发流量的目的IP为所述目标虚拟机的IP地址;
通过所述交换机对所述待转发流量进行转发,完成所述目标虚拟机与外部网络的通信;
采集监控所述计量表记录的所述流量信息。
在一些实施例中,所述对所述目标流量进行网络地址转换,得到待转发流量,并在计量表记录所述待转发流量的流量信息,包括:
根据OpenFlow流表规则,对所述目标流量进行网络地址转换,得到所述待转发流量,并在所述计量表记录所述待转发流量的流量信息。
在一些实施例中,所述目标流量的源IP为所述目标虚拟机的IP地址时,所述根据OpenFlow流表规则,对所述目标流量进行网络地址转换,得到所述待转发流量,并在所述计量表记录所述待转发流量的流量信息,包括:
利用OpenFlow虚拟机的流表,将所述目标流量的源mac地址修改为目的mac地址,将所述目标流量的目的mac地址修改为所述交换机对应的mac地址,并将所述目标流量的源IP修改为所述预设弹性公网IP地址,得到所述待转发流量;
根据所述流表内配置的所述待转发流量对应的计量表标识,利用所述计量表标识对应的计量表对所述待转发流量的流量信息进行记录;
将所述待转发流量发送到所述交换机。
在一些实施例中,所述目标流量的目的IP为所述预设弹性公网IP地址时,所述根据OpenFlow流表规则,对所述目标流量进行网络地址转换,得到所述待转发流量,并在所述计量表记录所述待转发流量的流量信息,包括:
利用OpenFlow虚拟机的流表,将所述目标流量的源mac地址修改为目的mac地址,将所述目标流量的目的mac地址修改为所述交换机对应的mac地址,并将所述目标流量的目的IP修改为所述目标虚拟机的IP地址,得到所述待转发流量;
根据所述流表内配置的所述待转发流量对应的计量表标识,利用所述计量表标识对应的计量表对所述待转发流量的流量信息进行记录;
将所述待转发流量发送到所述交换机。
在一些实施例中,所述流量信息包括流量类型、IP地址信息和端口信息中的至少一项。
在一些实施例中,所述利用OpenFlow虚拟机,获取交换机的目标流量,包括:
云计算管理平台服务器利用所述OpenFlow虚拟机,接收所述交换机发送的目标流量;其中,所述交换机分别与所述云计算管理平台服务器和云计算服务器连接,所述云计算服务器内设置所述目标虚拟机。
在一些实施例中,所述采集监控所述计量表记录的所述流量信息,包括:
按预设时间间隔采集所述计量表记录的所述流量信息。
本发明还提供了一种基于弹性公网IP的流量监控装置,包括:
流量获取模块,用于利用OpenFlow虚拟机,获取交换机的目标流量;其中,所述目标流量的源IP为目标虚拟机的IP地址或目的IP为目标虚拟机对应的预设弹性公网IP地址,所述目标虚拟机为虚拟局域网或虚拟扩展局域网内的任一虚拟机;
流量转换模块,用于对所述目标流量进行网络地址转换,得到待转发流量,并在计量表记录所述待转发流量的流量信息;其中,若所述目标流量的源IP为所述目标虚拟机的IP地址,则所述待转发流量的源IP为所述预设弹性公网IP地址;若所述目标流量的目的IP为所述预设弹性公网IP地址,则所述待转发流量的目的IP为所述目标虚拟机的IP地址;
流量转发模块,用于通过所述交换机对所述待转发流量进行转发,完成所述目标虚拟机与外部网络的通信;
流量监控模块,用于采集监控所述计量表记录的所述流量信息。
本发明还提供了一种基于弹性公网IP的流量监控设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如上述所述的基于弹性公网IP的流量监控方法的步骤。
此外,本发明还提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上述所述的基于弹性公网IP的流量监控方法的步骤。
本发明所提供的一种基于弹性公网IP的流量监控方法,包括:利用OpenFlow虚拟机,获取交换机的目标流量;其中,目标流量的源IP为目标虚拟机的IP地址或目的IP为目标虚拟机对应的预设弹性公网IP地址,目标虚拟机为虚拟局域网或虚拟扩展局域网内的任一虚拟机;对目标流量进行网络地址转换,得到待转发流量,并在计量表记录待转发流量的流量信息;其中,若目标流量的源IP为目标虚拟机的IP地址,则待转发流量的源IP为预设弹性公网IP地址;若目标流量的目的IP为预设弹性公网IP地址,则待转发流量的目的IP为目标虚拟机的IP地址;通过交换机对待转发流量进行转发,完成目标虚拟机与外部网络的通信;采集监控计量表记录的流量信息;
可见,本发明通过对目标流量进行网络地址转换,得到待转发流量,并在计量表记录待转发流量的流量信息,使得基于预设弹性公网IP地址的流量转发的路径均会经过OpenFlow虚拟机,能够利用OpenFlow虚拟机完成内网IP与弹性公网IP的网络地址转换和转换后的流量记录,便捷地实现通过预设弹性公网IP地址访问内网虚拟机和内网虚拟机访问外部网络的双向流量监控,为后续云服务的网络安全和性能优化分析提供数据基础。此外,本发明还提供了一种基于弹性公网IP的流量监控装置、设备及计算机可读存储介质,同样具有上述有益效果。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本发明实施例所提供的一种基于弹性公网IP的流量监控方法的流程图;
图2为本发明实施例所提供的另一种基于弹性公网IP的流量监控方法的流程示意图;
图3为本发明实施例所提供的一种基于弹性公网IP的流量监控装置的结构框图;
图4为本发明实施例所提供的一种基于弹性公网IP的流量监控设备的结构示意图;
图5为本发明实施例所提供的一种计算机可读存储介质的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参考图1,图1为本发明实施例所提供的一种基于弹性公网IP的流量监控方法的流程图;该方法可以包括:
步骤101:利用OpenFlow虚拟机,获取交换机的目标流量;其中,目标流量的源IP为目标虚拟机的IP地址或目的IP为目标虚拟机对应的预设弹性公网IP地址,目标虚拟机为虚拟局域网或虚拟扩展局域网内的任一虚拟机。
可以理解的是,本实施例中的OpenFlow(一种网络协议)虚拟机可以为基于OpenFlow的虚拟机(如图2中的OpenFlow转发虚机)。本实施例中的交换机的目标流量可以为交换机获取的源IP为目标虚拟机的IP地址的流量(即目标虚拟机访问外部网络的流量)或目的IP为目标虚拟机对应的预设弹性公网IP地址的流量(即外部网络通过预设弹性公网IP地址访问目标虚拟机的流量)。
相应的,本实施例中的目标虚拟机可以为虚拟局域网(Virtual Local AreaNetwork,VLAN)或虚拟扩展局域网(Virtual eXtensible Local Area Network,VXLAN)内的任一虚拟机(即内网虚拟机),如基于OpenStack(一种开源的云计算操作系统)公有云或私有云平台的服务器(即云计算服务器)内建立的内网虚拟机(如图2中的内网虚机资源)。本实施例中预设弹性公网IP(Internet Protocol,网协)地址可以为预先设置的目标虚拟机对应的弹性公网IP地址,如预先设置虚拟局域网内每个虚拟机各自对应的预设弹性公网IP地址;或预先设置虚拟局域网对应的预设弹性公网IP地址,即该虚拟局域网内虚拟机对应的预设弹性公网IP地址。
对应的,本实施例是以每个目标流量的转发和流量监控为例进行的展示,对于多个流量的转发和流量监控,可以采用与本实施例所提供方法相同或相似的方式实现,本实施例对此不做任何限制。
需要说明的是,本实施例所提供的方法可以应用于与交换机连接的用于流量监控的设备(如云计算管理平台服务器);例如,交换机分别与云计算管理平台服务器和云计算服务器连接,云计算服务器内设置目标虚拟机;云计算管理平台服务器的处理器可以执行本实施例所提供的方法的步骤,实现云计算服务器内目标虚拟机通过弹性公网IP与外部网络通信的双向流量监控。本实施例所提供的方法也可以应用于交换机,即交换机内可以部署OpenFlow虚拟机,交换机的处理器可以执行本实施例所提供的方法的步骤,实现连接的服务器(如云计算服务器)内的目标虚拟机通过弹性公网IP与外部网络通信的双向流量监控。
对应的,对于本步骤中处理器利用OpenFlow虚拟机,获取交换机的目标流量的具体方式,可以由设计人员自行设置,如OpenFlow虚拟机部署在云计算管理平台服务器内时,云计算管理平台服务器可以利用OpenFlow虚拟机,接收交换机发送的目标流量;其中,交换机分别与云计算管理平台服务器和云计算服务器连接,云计算服务器内设置目标虚拟机。OpenFlow虚拟机部署在交换机时,交换机的OpenFlow虚拟机可以直接获取交换机从外部网络或云计算服务器接收的目标流量。本实施例对此不做任何限制。
步骤102:对目标流量进行网络地址转换,得到待转发流量,并在计量表记录待转发流量的流量信息;其中,若目标流量的源IP为目标虚拟机的IP地址,则待转发流量的源IP为预设弹性公网IP地址;若目标流量的目的IP为预设弹性公网IP地址,则待转发流量的目的IP为目标虚拟机的IP地址。
可以理解的是,本步骤中处理器可以利用OpenFlow虚拟机,对目标流量进行网络地址转换,得到待转发流量,并在OpenFlow的Meter(计量)表记录待转发流量的流量信息,实现内网IP(即目标虚拟机的IP地址)与公网IP(即预设弹性公网IP地址)的NAT(NetworkAddress Translation,络地址转换)转换,并记录转换后的流量。
对应的,本实施例采用OpenFlow进行流量的监控,具有灵活性:Meter表可以自定义配置,以记录需要监控的流量信息,适应不同的监控需求;实时性:Mete表可以实时监测流量;可追踪性:通过Mete表的记录内容可以追踪每个流量的详细信息,帮助了解流量的来源、去向和影响等内容。
相应的,对于本实施例中Meter记录待转发流量的流量信息的具体内容,即需要监控的流量的内容,可以由设计人员根据使用场景和用户需求自行设置,如流量信息可以包括目标流量的流量类型、IP地址信息(如目的IP和/或源IP)和端口信息中的至少一项,如流量信息可以包括流量类型、IP地址信息和端口信息。流量信息还可以包括交换机接收的总字节数与流量数据包发送到控制器的总字节数之差;例如,OpenFlow协议中,流量统计涉及多个计数器,其中包括byte_in_count和byte_count;byte_in_count表示在一个特定的流表项上,从交换机接收的总字节数,即交换机接收的总字节数;byte_count表示在一个特定的流表项上,匹配的流量数据包发送到控制器的总字节数,其只统计由于流量数据包匹配失败而被发送到控制器的数据包的字节数。假设byte_in_count的值为514302760,而byte_count的值为5390850;这意味着在这个流表项上,共有514302760个字节的流量数据包被交换机接收,但只有5390850个字节的流量数据包因匹配失败而被发送到控制器;通常情况下,交换机会根据流表项的匹配规则对流量数据包进行处理,并尽可能地在交换机内部进行转发,而不需要发送到控制器;只有当数据包无法由交换机处理时,才会被发送到控制器进行进一步处理或决策。因此,通过计算byte_in_count减去byte_count,可以得到在这个流表项上由交换机直接转发的流量数据包的字节数,这个字节数,可以作为需要监控的流量数据。
对应的,对于本步骤中处理器对目标流量进行网络地址转换,得到待转发流量,并在计量表记录待转发流量的流量信息的具体方式,可以由设计人员根据使用场景和用户需求自行设置,如根据OpenFlow流表规则,对目标流量进行网络地址转换,得到待转发流量,并在计量表记录待转发流量的流量信息。也就是说,本实施例中可以在OpenFlow虚拟机内配置流表规则(即OpenFlow流表规则),使处理器可以利用OpenFlow虚拟机,根据OpenFlow流表规则,完成目标流量的网络地址转换(如源地址转换SNAT和目的地址转换DNAT),并通过Meter表记录流量信息,将转换的流量通过交换机进行转发。
举例来说,以valn网络100,100.122.1.1/24下的内网虚拟机(即目标虚拟机)向外部的公网上的一台客户端设备(如主机)发送访问报文(即目标流量)为例展示流量转发及实现流量监控的路径与详细过程,内网虚拟机的IP地址为100.122.1.20,OpenFlow虚拟机实现Nat转换后的弹性公网IP地址为10.110.65.20,客户端设备的IP地址为10.110.65.10。
内网虚拟机请求报文过程可以如下:vlan网络下的内网虚拟机向客户端设备发起通信,假设对端IP地址10.110.65.10,则报文首先被送往vlan100的交换机上;交换机上配置的vlan的网关,在收到报文后根据配置的策略,将源IP是100.122.1.20,目的IP是10.110.65.10的报文,发送到OpenFlow虚拟机上;当OpenFlow虚拟机收到转发的报文,根据流表规则,首先下发流表1,将源mac地址改成目的mac地址,将目的mac地址改为交换机上能收到流量的mac地址,确保二层流量能从OpenFlow虚拟机到交换机上,将源IP改为10.110.65.20,给流表的元数写入write_metadata:0xaaaa,在后续流表项中使用这些值进行匹配,将数据匹配给表5,设置表5的metadata为0xaaaa,根据metadata值来匹配表1对应的流量,然后设置动作actions=meter:1,将匹配的数据包发送到meter ID为1的Meter表进行处理,使用Meter表的对过来的流量进行测量和记录,然后将流量发送到交换机上,完成到IP地址为10.110.65.10的客户端设备的通信;之后可以通过crontab(一种Linux操作系统中的用来定期执行程序的命令)定时任务,实时采集Meter表记录的流量信息。
也就是说,目标流量的源IP为目标虚拟机的IP地址时,步骤102中处理器可以利用OpenFlow虚拟机的流表,将目标流量的源mac地址修改为目的mac地址,将目标流量的目的mac地址修改为交换机对应的mac地址,并将目标流量的源IP修改为预设弹性公网IP地址,得到待转发流量;根据流表内配置的待转发流量对应的计量表标识,利用计量表标识(如计量表ID)对应的计量表对待转发流量的流量信息进行记录;将待转发流量发送到交换机。
客户端设备的应答报文过程可以如下:IP地址为10.110.65.10的客户端设备给内网虚拟机回复的报文时,会将目的IP是10.110.65.20的流量发送到交换机上;交换机配置策略路由,将该报文流导流到OpenFlow虚拟机上;OpenFlow虚拟机收到该流量后,下发流表1的数据匹配目的IP是10.110.65.20的流量数据包进行流表匹配,将流量数据包的源mac地址改为目的mac地址,将目的mac地址改为交换机上二层流量能到的mac地址,目的IP改成内网虚拟机的IP地址(100.122.1.20),给流表的元数写入write_metadata:0xbbbbbb,在后续流表项中使用这些值进行匹配,将数据匹配给表2,设置表2的metadata为0xbbbbbb,根据metadata值来匹配表2对应的流量,然后设置动作actions=meter:2,将匹配的流量数据包发送到meter ID为2的Meter表进行处理,使用Meter表的对过来的流量进行测量和记录,然后将数据包发送到交换机上,完成到内网虚拟机的通信;之后可以通过crontab命令定时任务,实时采集Meter表记录的流量信息。
也就是说,目标流量的目的IP为预设弹性公网IP地址时,步骤102中处理器可以根据OpenFlow流表规则,对目标流量进行网络地址转换,得到待转发流量,并在计量表记录待转发流量的流量信息,包括:利用OpenFlow虚拟机的流表,将目标流量的源mac地址修改为目的mac地址,将目标流量的目的mac地址修改为交换机对应的mac地址,并将目标流量的目的IP修改为目标虚拟机的IP地址,得到待转发流量;根据流表内配置的待转发流量对应的计量表标识,利用计量表标识对应的计量表对待转发流量的流量信息进行记录;将待转发流量发送到交换机。
步骤103:通过交换机对待转发流量进行转发,完成目标虚拟机与外部网络的通信。
可以理解的是,本实施例中交换机可以根据路由匹配规则,将OpenFlow虚拟机转换后的待转发流量发送到目的IP,实现目标虚拟机与外部网络的通信。
对应的,对于本实施例中处理器通过交换机对待转发流量进行转发,完成目标虚拟机与外部网络的通信的具体方式,可以由设计人员自行设置,如目标流量的源IP为目标虚拟机的IP地址,即待转发流量的源IP为预设弹性公网IP地址时,OpenFlow虚拟机可以将待转发流量发送到交换机,使交换机将待转发流量转发到外部网络,实现目标虚拟机到外部网络的通信;目标流量的源IP为预设弹性公网IP地址,即待转发流量的源IP为目标虚拟机的IP地址时,OpenFlow虚拟机可以将待转发流量发送到交换机,使交换机将待转发流量转发到目标虚拟机,实现外部网络到目标虚拟机的通信。
举例来说,创建一个valn网络100,100.122.1.1/24,并在其网络下创建一台IP地址为100.122.1.20的虚拟机(即内网虚拟机),使用的弹性公网IP地址为10.110.65.10;OpenFlow虚拟机实现NAT转换及流量监控的过程可以如下:1、配置交换机网络,将IP地址为100.122.1.20的虚拟机的流量通过交换机导入到OpenFlow虚拟机的内部;2、OpenFlow虚拟机配置流表规则,实现SNAT转换,并利用Meter表记录流量信息;3、将转换后的流量扔到交换机上;4、交换机根据路由匹配规则,将OpenFlow虚拟机导入的流量向外部的公网发送流量数据包;5、对于公网访问的流量,目的地址假设为公网IP地址10.110.65.10,将交换机接收的流量导入到OpenFlow虚拟机上;6、OpenFlow虚拟机根据目的IP为10.110.65.10的流量数据包,下发流表进行匹配修改,完成DNAT转换,并通过Meter表记录流量信息,将转换的流量发送交换机上;7、交换机根据流量数据包的信息,将流量数据包扔回到IP地址为100.122.1.20的虚拟机上。
步骤104:采集监控计量表记录的流量信息。
对应的,对于本实施例中处理器采集监控计量表记录的流量信息的具体方式,可以由设计人员自行设置,如处理器可以按预设时间间隔采集计量表记录的流量信息;例如,通过crontab定时任务,按预设时间间隔采集计量表记录的流量信息。处理器也可以在OpenFlow虚拟机每次将转换得到待转发流量后,采集该待转发流量对应的计量表记录的流量信息。本实施例对此不做任何限制。
进一步的,本步骤中处理器可以采集监控计量表记录的目标流量信息;其中,目标流量信息可以为部分流量信息,即采集监控的流量的信息可以为计量表中记录的流量的部分信息。
本实施例中,本发明实施例通过对目标流量进行网络地址转换,得到待转发流量,并在计量表记录待转发流量的流量信息,使得基于预设弹性公网IP地址的流量转发的路径均会经过OpenFlow虚拟机,能够利用OpenFlow虚拟机完成内网IP与弹性公网IP的网络地址转换和转换后的流量记录,便捷地实现通过预设弹性公网IP地址访问内网虚拟机和内网虚拟机访问外部网络的双向流量监控,为后续云服务的网络安全和性能优化分析提供数据基础。
相应于上面的方法实施例,本发明实施例还提供了一种基于弹性公网IP的流量监控装置,下文描述的一种基于弹性公网IP的流量监控装置与上文描述的一种基于弹性公网IP的流量监控方法可相互对应参照。
请参考图3,图3为本发明实施例所提供的一种基于弹性公网IP的流量监控装置的结构框图。该装置可以包括:
流量获取模块10,用于利用OpenFlow虚拟机,获取交换机的目标流量;其中,目标流量的源IP为目标虚拟机的IP地址或目的IP为目标虚拟机对应的预设弹性公网IP地址,目标虚拟机为虚拟局域网或虚拟扩展局域网内的任一虚拟机;
流量转换模块20,用于对目标流量进行网络地址转换,得到待转发流量,并在计量表记录待转发流量的流量信息;其中,若目标流量的源IP为目标虚拟机的IP地址,则待转发流量的源IP为预设弹性公网IP地址;若目标流量的目的IP为预设弹性公网IP地址,则待转发流量的目的IP为目标虚拟机的IP地址;
流量转发模块30,用于通过交换机对待转发流量进行转发,完成目标虚拟机与外部网络的通信;
流量监控模块40,用于采集监控计量表记录的流量信息。
在一些实施例中,流量转换模块20可以具体用于根据OpenFlow流表规则,对目标流量进行网络地址转换,得到待转发流量,并在计量表记录待转发流量的流量信息。
在一些实施例中,目标流量的源IP为目标虚拟机的IP地址时,流量转换模块20可以包括:
第一转换模块,用于利用OpenFlow虚拟机的流表,将目标流量的源mac地址修改为目的mac地址,将目标流量的目的mac地址修改为交换机对应的mac地址,并将目标流量的源IP修改为预设弹性公网IP地址,得到待转发流量;
第一记录模块,用于根据流表内配置的待转发流量对应的计量表标识,利用计量表标识对应的计量表对待转发流量的流量信息进行记录;
第一发送模块,用于将待转发流量发送到交换机。
在一些实施例中,目标流量的目的IP为预设弹性公网IP地址时,流量转换模块20可以包括:
第二转换模块,用于利用OpenFlow虚拟机的流表,将目标流量的源mac地址修改为目的mac地址,将目标流量的目的mac地址修改为交换机对应的mac地址,并将目标流量的目的IP修改为目标虚拟机的IP地址,得到待转发流量;
第二记录模块,用于根据流表内配置的待转发流量对应的计量表标识,利用计量表标识对应的计量表对待转发流量的流量信息进行记录;
第二发送模块,用于将待转发流量发送到交换机。
在一些实施例中,流量信息包括流量类型、IP地址信息和端口信息中的至少一项。
在一些实施例中,该流量监控装置应用于云计算管理平台服务器,流量获取模块10具体用于利用OpenFlow虚拟机,接收交换机发送的目标流量;其中,交换机分别与云计算管理平台服务器和云计算服务器连接,云计算服务器内设置目标虚拟机。
在一些实施例中,流量监控模块40具体用于按预设时间间隔采集计量表记录的流量信息。
本实施例中,本发明实施例通过流量转换模块20对目标流量进行网络地址转换,得到待转发流量,并在计量表记录待转发流量的流量信息,使得基于预设弹性公网IP地址的流量转发的路径均会经过OpenFlow虚拟机,能够利用OpenFlow虚拟机完成内网IP与弹性公网IP的网络地址转换和转换后的流量记录,便捷地实现通过预设弹性公网IP地址访问内网虚拟机和内网虚拟机访问外部网络的双向流量监控,为后续云服务的网络安全和性能优化分析提供数据基础。
相应于上面的方法实施例,本发明实施例还提供了一种基于弹性公网IP的流量监控设备,下文描述的一种基于弹性公网IP的流量监控设备与上文描述的一种基于弹性公网IP的流量监控方法可相互对应参照。
请参考图4,图4为本发明实施例所提供的一种基于弹性公网IP的流量监控设备的结构示意图。该设备可以包括:
存储器D1,用于存储计算机程序;
处理器D2,用于执行计算机程序时实现上述方法实施例所提供的基于弹性公网IP的流量监控方法的步骤。
其中,本实施例所提供的基于弹性公网IP的流量监控设备可以具体为与交换机连接的设备,如云计算管理平台服务器;例如,流量监控设备为云计算管理平台服务器时,交换机分别与云计算管理平台服务器和云计算服务器连接,云计算服务器内设置目标虚拟机,云计算管理平台服务器内设置OpenFlow虚拟机。本实施例所提供的流量监控设备也可以具体为交换机,本实施例对此不做任何限制。
相应于上面的方法实施例,本发明实施例还提供了一种计算机可读存储介质,下文描述的一种计算机可读存储介质与上文描述的一种基于弹性公网IP的流量监控方法可相互对应参照。
请参考图5,图5为本发明实施例所提供的一种计算机可读存储介质的结构示意图。该计算机可读存储介质50上存储有计算机程序51,计算机程序51被处理器执行时实现如上述方法实施例所提供的基于弹性公网IP的流量监控方法的步骤。
该计算机可读存储介质60具体可以为U盘、移动硬盘、只读存储器(Read-OnlyMemory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可存储程序代码的存储介质。
说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置、设备及计算机可读存储介质而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
以上对本发明所提供的一种基于弹性公网IP的流量监控方法、装置、设备及计算机可读存储介质进行了详细介绍。本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以对本发明进行若干改进和修饰,这些改进和修饰也落入本发明权利要求的保护范围内。
Claims (10)
1.一种基于弹性公网IP的流量监控方法,其特征在于,包括:
利用OpenFlow虚拟机,获取交换机的目标流量;其中,所述目标流量的源IP为目标虚拟机的IP地址或目的IP为目标虚拟机对应的预设弹性公网IP地址,所述目标虚拟机为虚拟局域网或虚拟扩展局域网内的任一虚拟机;
对所述目标流量进行网络地址转换,得到待转发流量,并在计量表记录所述待转发流量的流量信息;其中,若所述目标流量的源IP为所述目标虚拟机的IP地址,则所述待转发流量的源IP为所述预设弹性公网IP地址;若所述目标流量的目的IP为所述预设弹性公网IP地址,则所述待转发流量的目的IP为所述目标虚拟机的IP地址;
通过所述交换机对所述待转发流量进行转发,完成所述目标虚拟机与外部网络的通信;
采集监控所述计量表记录的所述流量信息。
2.根据权利要求1所述的基于弹性公网IP的流量监控方法,其特征在于,所述对所述目标流量进行网络地址转换,得到待转发流量,并在计量表记录所述待转发流量的流量信息,包括:
根据OpenFlow流表规则,对所述目标流量进行网络地址转换,得到所述待转发流量,并在所述计量表记录所述待转发流量的流量信息。
3.根据权利要求2所述的基于弹性公网IP的流量监控方法,其特征在于,所述目标流量的源IP为所述目标虚拟机的IP地址时,所述根据OpenFlow流表规则,对所述目标流量进行网络地址转换,得到所述待转发流量,并在所述计量表记录所述待转发流量的流量信息,包括:
利用OpenFlow虚拟机的流表,将所述目标流量的源mac地址修改为目的mac地址,将所述目标流量的目的mac地址修改为所述交换机对应的mac地址,并将所述目标流量的源IP修改为所述预设弹性公网IP地址,得到所述待转发流量;
根据所述流表内配置的所述待转发流量对应的计量表标识,利用所述计量表标识对应的计量表对所述待转发流量的流量信息进行记录;
将所述待转发流量发送到所述交换机。
4.根据权利要求2所述的基于弹性公网IP的流量监控方法,其特征在于,所述目标流量的目的IP为所述预设弹性公网IP地址时,所述根据OpenFlow流表规则,对所述目标流量进行网络地址转换,得到所述待转发流量,并在所述计量表记录所述待转发流量的流量信息,包括:
利用OpenFlow虚拟机的流表,将所述目标流量的源mac地址修改为目的mac地址,将所述目标流量的目的mac地址修改为所述交换机对应的mac地址,并将所述目标流量的目的IP修改为所述目标虚拟机的IP地址,得到所述待转发流量;
根据所述流表内配置的所述待转发流量对应的计量表标识,利用所述计量表标识对应的计量表对所述待转发流量的流量信息进行记录;
将所述待转发流量发送到所述交换机。
5.根据权利要求1所述的基于弹性公网IP的流量监控方法,其特征在于,所述流量信息包括流量类型、IP地址信息和端口信息中的至少一项。
6.根据权利要求1所述的基于弹性公网IP的流量监控方法,其特征在于,所述利用OpenFlow虚拟机,获取交换机的目标流量,包括:
云计算管理平台服务器利用所述OpenFlow虚拟机,接收所述交换机发送的目标流量;其中,所述交换机分别与所述云计算管理平台服务器和云计算服务器连接,所述云计算服务器内设置所述目标虚拟机。
7.根据权利要求1所述的基于弹性公网IP的流量监控方法,其特征在于,所述采集监控所述计量表记录的所述流量信息,包括:
按预设时间间隔采集所述计量表记录的所述流量信息。
8.一种基于弹性公网IP的流量监控装置,其特征在于,包括:
流量获取模块,用于利用OpenFlow虚拟机,获取交换机的目标流量;其中,所述目标流量的源IP为目标虚拟机的IP地址或目的IP为目标虚拟机对应的预设弹性公网IP地址,所述目标虚拟机为虚拟局域网或虚拟扩展局域网内的任一虚拟机;
流量转换模块,用于对所述目标流量进行网络地址转换,得到待转发流量,并在计量表记录所述待转发流量的流量信息;其中,若所述目标流量的源IP为所述目标虚拟机的IP地址,则所述待转发流量的源IP为所述预设弹性公网IP地址;若所述目标流量的目的IP为所述预设弹性公网IP地址,则所述待转发流量的目的IP为所述目标虚拟机的IP地址;
流量转发模块,用于通过所述交换机对所述待转发流量进行转发,完成所述目标虚拟机与外部网络的通信;
流量监控模块,用于采集监控所述计量表记录的所述流量信息。
9.一种基于弹性公网IP的流量监控设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至7任一项所述的基于弹性公网IP的流量监控方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的基于弹性公网IP的流量监控方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311363116.7A CN117499274A (zh) | 2023-10-20 | 2023-10-20 | 基于弹性公网ip的流量监控方法、装置、设备及介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311363116.7A CN117499274A (zh) | 2023-10-20 | 2023-10-20 | 基于弹性公网ip的流量监控方法、装置、设备及介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117499274A true CN117499274A (zh) | 2024-02-02 |
Family
ID=89677320
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311363116.7A Pending CN117499274A (zh) | 2023-10-20 | 2023-10-20 | 基于弹性公网ip的流量监控方法、装置、设备及介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117499274A (zh) |
-
2023
- 2023-10-20 CN CN202311363116.7A patent/CN117499274A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10917322B2 (en) | Network traffic tracking using encapsulation protocol | |
CN107094090B (zh) | 针对虚拟网络分组流的物理路径确定 | |
US8266088B2 (en) | Tracking policy decisions in a network | |
US9898317B2 (en) | Physical path determination for virtual network packet flows | |
US10033602B1 (en) | Network health management using metrics from encapsulation protocol endpoints | |
US8654765B2 (en) | Distributed network flow exporter | |
JP2018088716A (ja) | ソフトウェア定義ネットワークにおけるパテントレイテンシの監視 | |
US20070058631A1 (en) | Distributed network management | |
Suárez-Varela et al. | Towards a NetFlow implementation for OpenFlow software-defined networks | |
US11336545B2 (en) | Network device measurements employing white boxes | |
CN114389792B (zh) | 一种web日志nat前后关联方法及系统 | |
CN109639796A (zh) | 一种负载均衡实现方法、装置、设备及可读存储介质 | |
Plonka et al. | Assessing performance of Internet services on IPv6 | |
US11665078B1 (en) | Discovery and tracing of external services | |
CN106301844B (zh) | 一种实现日志传输的方法及装置 | |
US20050283639A1 (en) | Path analysis tool and method in a data transmission network including several internet autonomous systems | |
US20230327983A1 (en) | Performance measurement in a segment routing network | |
KR20220029142A (ko) | Sdn 컨트롤러 서버 및 이의 sdn 기반 네트워크 트래픽 사용량 분석 방법 | |
TW201519598A (zh) | 用以建構網路結構部署圖之處理系統及其方法與內儲網路結構部署分析程式之電腦程式產品 | |
CN117499274A (zh) | 基于弹性公网ip的流量监控方法、装置、设备及介质 | |
US10904123B2 (en) | Trace routing in virtual networks | |
Wang et al. | TeleScope: Flow-level video telemetry using SDN | |
US10887204B2 (en) | Network infrastructure management | |
WO2023191162A1 (ko) | 컨테이너 기반 네트워크 라이브 스트림을 분석할 수 있는 데이터 처리 장치 및 방법 | |
US20230164063A1 (en) | Network path detection and monitoring |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |