CN117527542A - 随流检测方法、装置及系统 - Google Patents

Abstract

本申请提供了一种随流检测方法、装置及系统，属于通信技术领域。在本申请提供的方案中，由于第一边界设备能够在第一报文中封装第一IFIT信息，因此数据中心网络中的转发设备即可基于该第一IFIT信息对第一报文所属的业务流执行随流检测。由此，可以便于分析器基于转发设备的随流检测结果准确定位数据中心网络中的故障点。又由于该第一IFIT信息中还包括第一标记，因此第二边界设备能够基于该第一标记剥离报文中的第一IFIT信息后，再将报文转发至第二应用设备。由此，可以避免该第一边界设备额外封装的第一IFIT影响第二应用设备对报文的正常处理。

Description

随流检测方法、装置及系统

技术领域

本申请涉及通信技术领域，特别涉及一种随流检测方法、装置及系统。

背景技术

数据中心网络一般包括：互联网接入区，隔离区(demilitarized zone，DMZ)和互联网应用区。其中，互联网接入区通常包括出口路由器、负载均衡设备以及外网防火墙等设备。DMZ通常包括汇聚交换机、内网防火墙、网络应用防火墙(web application firewall，WAF)和入侵防御系统(intrusion prevention system，IPS)等设备。互联网应用区通常包括：WAF、核心交换机和应用服务器等。

外部的客户端设备访问部署于互联网应用区的业务(也称为数据中心南北向业务)，需要依次跨越互联网接入区和隔离区中的众多网络设备。当数据中心南北向业务受损时，需要对导致业务受损的故障点进行定位。但是，由于数据中心南北向业务的访问路径较长，因此对故障点进行定位时的难度较高。

发明内容

本申请提供了一种随流检测方法、装置及系统，可以解决对数据中心网络中的故障点进行定位时的难度较高的技术问题。

第一方面，提供了一种随流检测方法，应用于数据中心网络的第一边界设备，该第一边界设备用于连接第一应用设备。该方法包括：接收来自第一应用设备的第一报文，并在该第一报文中封装第一带内流信息测量(in-situ flow information telemetry，IFIT)信息，得到第二报文。之后，即可转发该第二报文。

其中，该第一IFIT信息包括第一标记，该第一标记用于指示该第一IFIT信息由第一边界设备封装。该第二报文用于供接收到第二报文的转发设备基于该第一IFIT信息执行随流检测，以及供该数据中心网络的第二边界设备基于该第一标记剥离第一IFIT信息。其中，该第二边界设备用于连接第二应用设备，该第一应用设备为客户端设备和应用服务器中的一个，该第二应用设备为客户端设备和应用服务器中的另一个。

在本申请提供的方案中，由于数据中心网络中的转发设备能够基于第一边界设备封装的第一IFIT信息对第一报文所属的业务流执行随流检测，因此可以便于分析器基于转发设备的随流检测结果准确定位数据中心网络中的故障点。又由于该第一IFIT信息中还包括第一标记，因此第二边界设备能够基于该第一标记剥离报文中的第一IFIT信息后，再将报文转发至第二应用设备。由此，可以避免该第一边界设备额外封装的第一IFIT影响第二应用设备对报文的正常处理。

可选地，在该第一报文中封装第一IFIT信息的过程可以包括：在该第一报文中封装目的选项头(destination options header，DOH)，该DOH中包括该第一IFIT信息。

可选地，该第一IFIT信息中的头类型指示(header type indicator，HTI)字段中可以携带有该第一标记。或者，该第一IFIT信息中的保留字段可以携带该第一标记。

可选地，在该第一报文中封装第一IFIT信息的过程可以包括：若第一应用设备未在第一报文中封装IFIT信息，则在该第一报文中封装第一IFIT信息；或者，若基于IFIT信任策略确定第一应用设备在第一报文中封装的IFIT信息无效，则在该第一报文中封装第一IFIT信息。

本申请提供的方案在，由于第一应用设备也具备在第一报文中封装IFIT信息的功能，因此第一边界设备可以在确定第一应用设备未封装IFIT信息时，再封装第一IFIT信息，以避免IFIT信息的重复封装。或者，第一边界设备可以在确定该第一应用设备封装的IFIT信息无效时，再封装第一IFIT信息，以确保数据中心网络中的转发设备能够基于该第一IFIT信息，执行随流检测。

可选地，在该第一报文中封装第一IFIT信息的过程可以包括：基于该第一报文与随流检测策略匹配，在该第一报文中封装第一IFIT信息。

基于该随流检测策略，第一边界设备能够仅在特定的业务流的报文中封装IFIT信息，也即是，数据中心网络中的设备可以仅对特定的业务流进行随流检测。由此，可以避免对所有业务流均进行随流检测而占用过多的网络资源。

可选地，该方法还可以包括：接收来自第二边界设备的第三报文，该第三报文中封装有第二IFIT信息，且该第二IFIT信息中包括第二标记，该第二标记用于指示该第二IFIT信息由该第二边界设备封装。之后，基于该第二标记剥离该第三报文中的第二IFIT信息，得到第四报文，并将该第四报文转发至第一应用设备。

由于该第二IFIT信息中还包括第二标记，因此第一边界设备能够基于该第二标记剥离报文中的第二IFIT信息后，再将报文转发至第一应用设备。由此，可以避免该第二边界设备额外封装的第二IFIT影响第一应用设备对报文的正常处理。

可选地，在转发该第二报文之前，该方法还可以包括：基于该第一IFIT信息对该第二报文进行随流检测。

在本申请提供的方案中，第一边界设备也可以对第二报文进行随流检测，并可以将随流检测的结果上报至分析器。由此，可以便于分析器准确定位数据中心网络中的故障位置。

可选地，该方法还可以包括：接收来自第一应用设备的第五报文，该第五报文中包括第一应用设备封装的第三IFIT信息；若基于信任策略确定该第三IFIT信息有效，则基于该第三IFIT信息对第五报文进行随流检测，并转发该第五报文。

本申请提供的方案中，第一边界设备还能够在确定第一应用设备封装的第三IFIT信息有效时，基于该第三IFIT信息执行随流检测。由此，有效提高了随流检测的灵活性和可靠性。

第二方面，提供了一种随流检测方法，应用于数据中心网络的第二边界设备，该第二边界设备用于连接第二应用设备，该方法包括：接收来自第一边界设备的第二报文，该第二报文中封装有第一IFIT信息，该第一IFIT信息包括第一标记，该第一标记用于指示该第一IFIT信息由该第一边界设备封装。之后，基于该第一标记剥离第一IFIT信息，得到第一报文，并将该第一报文转发至第二应用设备。其中，该第一边界设备用于连接第一应用设备，该第一应用设备为客户端设备和应用服务器中的一个，该第二应用设备为客户端设备和应用服务器中的另一个。

可选地，该方法还可以包括：接收来自第二应用设备的第四报文，在该第四报文中封装第二IFIT信息，得到第三报文，并转发该第三报文。其中，该第二IFIT信息包括第二标记，该第二标记用于指示第二IFIT信息由第二边界设备封装，该第三报文用于供接收到第三报文的转发设备基于该第二IFIT信息执行随流检测，以及供第一边界设备基于该第二标记剥离第二IFIT信息。

可选地，在将该第一报文转发至第二应用设备之前，该方法还可以包括：基于该第一IFIT信息对第二报文进行随流检测。

可选地，该方法还可以包括：接收来自第一边界设备的第五报文，该第五报文中封装有第三IFIT信息，该第三IFIT信息包括第三标记，该第三标记用于指示该第三IFIT信息由第一应用设备封装。之后，若基于信任策略确定该第三IFIT信息有效，则基于该第三IFIT信息对该第五报文进行随流检测，并将该第五报文转发至第二应用设备。

第三方面，提供了一种随流检测方法，应用于数据中心网络的转发设备，该转发设备连接在第一边界设备和第二边界设备之间。该方法包括：接收来自第一边界设备的第二报文，该第二报文中封装有第一IFIT信息，该第一IFIT信息包括第一标记，该第一标记用于指示该第一IFIT信息由第一边界设备封装。之后，基于该第一IFIT信息对第二报文进行随流检测，并将该第二报文转发至第二边界设备，以供第二边界设备基于该第一标记剥离第一IFIT信息。

可选地，该方法还可以包括：接收来自第二边界设备的第三报文，该第三报文中封装有第二IFIT信息，且该第二IFIT信息中包括第二标记，该第二标记用于指示该第二IFIT信息由第二边界设备封装。之后，基于该第二IFIT信息对第三报文进行随流检测，并将该第三报文转发至第一边界设备，以供该第一边界设备基于该第二标记剥离第二IFIT信息。

可选地，该方法还可以包括：接收来自第一边界设备的第五报文，该第五报文中封装有第三IFIT信息，该第三IFIT信息包括第三标记，该第三标记用于指示该第三IFIT信息由第一应用设备封装。之后，若基于信任策略确定该第三IFIT信息有效，则基于该第三IFIT信息对第五报文进行随流检测，并将该第五报文转发至该第二边界设备。

第四方面，提供了一种网络设备，该网络设备可以是数据中心网络中的第一边界设备、第二边界设备或转发设备。并且，该网络设备包括至少一个模块，该至少一个模块可以用于实现上述任一方面提供的随流检测方法。

第五方面，提供了一种网络设备，该网络设备可以是数据中心网络中的第一边界设备、第二边界设备或转发设备。并且，该网络设备包括：存储器，处理器及存储在存储器上并能够在处理器上运行的计算机程序，处理器执行计算机程序时实现如上述任一方面提供的随流检测方法。

第六方面，提供了一种计算机可读存储介质，该计算机可读存储介质中存储有指令，该指令由处理器执行以实现如上述任一方面提供的随流检测方法。

第七方面，提供了一种包含指令的计算机程序产品，该指令由处理器执行以实现如上述任一方面提供的随流检测方法。

第八方面，提供了一种随流检测系统，该随流检测系统包括第一边界设备，第二边界设备，以及连接在第一边界设备和第二边界设备之间的转发设备。其中该第一边界设备用于实现上述第一方面提供的随流检测方法；该第二边界设备用于实现上述第二方面提供的随流检测方法；该转发设备用于实现上述第三方面提供的随流检测方法。

第九方面，提供了一种芯片，该芯片可以用于实现上述任一方面所提供的随流检测方法。

综上所述，本申请提供了一种随流检测方法、装置及系统。本申请提供的方案中，由于第一边界设备能够在第一报文中封装第一IFIT信息，因此数据中心网络中的转发设备即可基于该第一IFIT信息对第一报文所属的业务流执行随流检测。由此，可以便于分析器基于转发设备的随流检测结果准确定位数据中心网络中的故障点。又由于该第一IFIT信息中还包括第一标记，因此第二边界设备能够基于该第一标记剥离报文中的第一IFIT信息后，再将报文转发至第二应用设备。由此，可以避免该第一边界设备额外封装的第一IFIT影响第二应用设备对报文的正常处理。

附图说明

图1是本申请实施例提供的一种数据中心网络的结构示意图；

图2是本申请实施例提供的另一种数据中心网络的结构示意图；

图3是本申请实施例提供的一种随流检测方法的流程图；

图4是本申请实施例提供的在第一报文中封装IFIT信息的示意图；

图5是本申请实施例提供的另一种随流检测方法的流程图；

图6是本申请实施例提供的一种第一边界设备执行的随流检测方法的流程图；

图7是本申请实施例提供的一种转发设备执行的随流检测方法的流程图；

图8是本申请实施例提供的一种第二边界设备执行的随流检测方法的流程图；

图9是本申请实施例提供的一种第一边界设备的结构示意图；

图10是本申请实施例提供的一种转发设备的结构示意图；

图11是本申请实施例提供的一种第二边界设备的结构示意图；

图12是本申请实施例提供的一种网络设备的结构示意图；

图13是本申请实施例提供的另一种网络设备的结构示意图；

图14是本申请实施例提供的一种随流检测系统的结构示意图。

具体实施方式

下面结合附图详细介绍本申请实施例提供的随流检测方法、装置及系统。

图1是本申请实施例提供的一种数据中心网络的结构示意图，如图1所示，该数据中心网络可以包括外网接口区(也称互联网接入区)，DMZ区和互联网应用区。其中，外网接口区包括抗分布式拒绝服务攻击(Anti-distributed denial of service，Anti-DDoS)设备、出口路由器R、全局业务负载均衡(global server load balance，GSLB)设备、链路负载均衡(link load balance，LLB)设备、外网防火墙和汇聚交换机。该DMZ区包括汇聚交换机，以及与该汇聚交换机连接的内网防火墙(firewall，FW)、业务负载均衡(server loadbalance，SLB)设备、入侵防御系统(intrusion prevention system，IPS)和网络应用防火墙(web application firewall，WAF)。此外，该DMZ区还可以包括接入交换机和WEB前置服务器。该互联网应用区可以包括：WAF、核心交换机、接入交换机以及应用服务器等。

图2是本申请实施例提供的另一种数据中心网络的结构示意图。如图2所示，该数据中心网络是可以包括互联网接入区，互联网接入区安全资源池和互联网DMZ应用区。其中，互联网接入区安全资源池和互联网DMZ应用区可以是对DMZ区进行划分得到的。参考图2，该互联网接入区可以包括出口路由器R、DDOS设备、LLB和核心交换机。该互联网接入区安全资源池可以包括：接入交换机、安全套接字层(secure socket layer，SSL)卸载设备、防火墙、SLB设备、WAF和IPS。该互联网DMZ应用区可以包括汇聚交换机、接入交换机和应用服务器，该应用服务器可以是WEB前置服务器。该互联网DMZ应用区中的汇聚交换机也可以称为边界叶子(border leaf，BL)设备，该安全资源池和互联网DMZ应用区中的接入交换机也可以称为业务叶子(server leaf，SL)设备。

结合图1和图2可以看出，客户端设备可以通过互联网服务提供商(Internetservice provider，ISP)接入至数据中心网络，并可以通过数据中心网络中的各级网络设备访问应用服务器。下文以图1所示的数据中心网络为例，对客户端设备访问应用服务器的过程进行介绍。

步骤1、客户端设备向域名系统(domain name system，DNS)请求所访问的应用服务器的IP地址。

步骤2、GSLB作为DNS向客户端设备反馈DMZ区中的SLB设备的地址。

步骤3、客户端设备发送访问请求，该访问请求的目的地址为SLB设备的地址。

步骤4、SLB设备接收到访问请求后，将该访问请求的目的地址修改为应用服务器的地址，并发送至WEB前置服务器。其中，该DMZ区的汇聚交换机可以使访问请求依次经过IPS、WAF和接入交换机后，到达WEB前置服务器。

步骤5、WEB前置服务器访问互联网应用区的应用服务器。

步骤6、应用服务器向WEB前置服务器反馈访问数据。

步骤7、WEB前置服务器将访问数据推送至客户端设备。

基于上述访问流程可知，客户端设备访问应用服务器中的业务时，需要依次跨越互联网接入区和DMZ区中的众多网络设备。由于该访问路径较长，因此对数据中心网络中的故障点进行定位时的难度较高。

相关技术中，通常会在互联网应用区的交换网络(也称Fabric)中部署流量监控策略，该交换网络中的交换机可以监控传输控制协议(transmission control protocol，TCP)三次握手过程中的特征报文，并将特征报文上送至网络分析器进行分析。但是，该方案仅能够对交换网络内部的业务流进行监测，无法实现数据中心网络的全流分析，即无法实现对业务流在数据中心网络中的全路径的监测分析。并且，该方案基于五元组区分业务流，业务流经过SLB设备或FW进行地址转换后，无法被识别为同一条业务流。其中，FW可以对业务流的IP地址进行网络地址转换(network address translation，NAT)处理。

相关技术中还可以在数据中心网络中的边界路由器(或边界交换机上)旁挂探针。该边界路由器能够将业务流的报文流镜像到探针进行全流采集，并由探针进行流量分析，且分析结果能够上送到流量分析系统进行呈现。但是，该方案需要部署多个探针，效率较低。并且，该方案也基于五元组进行业务流的分析，如果业务流的地址发生变化，则业务流的识别难度加大。此外，该方案对于加密报文的分析也存在一定的局限性。

本申请实施例提供了一种随流检测方法，该方法可以应用于诸如图1或图2所示的数据中心网络。该数据中心网络包括第一边界设备，第二边界设备，以及连接在该第一边界设备和第二边界设备之间的转发设备。其中，第一边界设备用于连接第一应用设备，第二边界设备用于连接第二应用设备。该第一应用设备为客户端设备和应用服务器中的一个，该第二应用设备为客户端设备和应用服务器中的另一个。其中，应用服务器可以包括数据库服务器和前置服务器等。

可以理解的是，该第一边界设备、第二边界设备和转发设备均可以为路由器或交换机等用于转发报文的设备。并且，该第一边界设备和第二边界设备中的一个可以称为头节点，另一个可以称为尾节点，该转发设备则可以称为中间节点。

示例的，参考图1，该第一边界设备可以为出口路由器R；该第二边界设备可以为用于连接WEB前置服务器的接入交换机，或者用于连接应用服务器的接入交换机；该转发设备可以包括汇聚交换机和核心交换机等。或者，参考图2，该第一边界设备可以为用于连接应用服务器的接入交换机，该第二边界设备可以为出口路由器R，该转发设备可以包括核心交换机、汇聚交换机和接入交换机等。

参考图3，本申请实施例提供的随流检测方法包括：

步骤101、第一边界设备接收来自第一应用设备的第一报文。

在本申请实施例中，该第一应用设备可以为客户端设备，该第一报文可以是客户端设备发送至应用服务器的报文。或者，该第一应用设备可以是应用服务器，该第一报文可以是应用服务器发送至客户端设备的报文。

步骤102、第一边界设备在该第一报文中封装第一IFIT信息，得到第二报文。

第一边界设备接收到该第一报文后，为了便于数据中心网络中的转发设备和第二边界设备对该第一报文所属的业务流进行检测，可以在该第一报文中封装第一IFIT信息，得到第二报文。并且，该第一IFIT信息可以包括第一标记，该第一标记可以用于指示该第一IFIT信息由该第一边界设备封装。

在本申请实施例中，该第一报文可以是互联网协议第6版(Internet protocolversion 6，IPv6)报文。如图4所示，该IPv6可以包括IPv6头和载荷(payload)。其中，IPv6头包括如下字段：版本(version)、流分类(traffic class，TC)、流标签(flow label)、载荷长度(payload length)、下一头部(next header)、跳数限制(hop limit)、源地址(sourceaddress，SA)和目的地址(destination address，DA)。

可选地，第一边界设备可以在第一报文中插入IPv6扩展头，并通过该IPv6扩展头携带IFIT信息。其中，该IPv6扩展头可以为DOH。如图4所示，该DOH中携带的第一IFIT信息可以包括：流指令指示(flow instruction indicator，FII)字段、流指令头(flowinstruction header，FIH)字段以及流指令扩展头(flow instruction extensionheader，FIEH)字段。

参考图4和表1，该FII字段可以包括如下字段：下一头部、扩展头长度(headerextension length，Hdr Ext Len)、选项类型(option type)和选项数据长度(opt dataLen)，该4个字段的长度均为8比特(bit)。FIH字段可以包括如下字段：长度为20bit的流标识(flow ID)、长度为1bit的丢包标记(loss flag，L)、长度为1bit的时延标记(delayflag，D)、两个长度为1bit的保留(reserved，R)字段以及长度为8bit的HTI。FIEH字段可以包括如下字段：长度为20bit的流标识扩展(flow ID Ext)字段、保留字段、反向标记(reverse Flag，V)字段、长度为3bit的检测周期(period，P)字段、长度为8bit的目的IP(destination IP，DIP)掩码(mask)字段以及长度为8bit的源IP(source IP，SIP)掩码字段。

表1

作为一种可能的示例，该第一IFIT信息中的HTI字段可以携带有该第一标记。参考表1，该第一IFIT信息中的HTI字段的取值范围为0x00-0xFF，其中取值为0x00-0x04时的含义已有定义。由于该0x00-0x04可以由HTI字段中位于低位的前3个比特表示，因此在本申请实施例中，该第一标记可以由HTI字段中位于低位的第x比特表示，x为大于等于4，且小于等于8的整数。也即是，可以由HTI字段中位于高位的前5个比特中的任一比特携带第一标记。并且，该第x个比特的取值为1时，可以表示HTI字段中携带有第一标识。

可以理解的是，在该示例中，边界设备和转发设备在读取HTI字段时，可以基于HTI字段中位于低位的前3个比特的取值确定是否执行端到端检测或逐跳检测，以及确定FIEH是否有效。并且，可以基于位于低位的第x比特的取值确定HTI字段是否携带第一标记。

作为另一种可能的示例，该第一IFIT信息中的保留字段可以携带该第一标记。例如，参考图4和表1，可以通过FIH字段或FIEH字段中的保留字段携带该第一标记。

可选地，该第一边界设备中预先配置有随流检测策略，该随流检测策略中定义了需要进行随流检测的业务流的特征(例如五元组)。第一边界设备接收到第一报文后，可以检测该第一报文是否与该随流检测策略匹配。若第一报文与该随流检测策略匹配，则第一边界设备可以确定需要对该第一报文所属的业务流进行随流检测，因此可以在该第一报文中封装第一IFIT信息。若第一报文不与该随流检测策略匹配，则第一边界设备无需在第一报文中封装第一IFIT信息，而是可以直接转发该第一报文。其中，该随流检测策略可以是控制器下发的，也可以是运维人员手动配置的。

基于该随流检测策略，第一边界设备能够仅在特定的业务流的报文中封装IFIT信息，也即是，数据中心网络中的设备可以仅对特定的业务流进行随流检测。由此，可以避免对所有业务流均进行随流检测而占用过多的网络资源。

可以理解的是，在本申请实施例中，第一应用设备也具备在其所发送的第一报文中封装IFIT信息的功能。基于此，第一边界设备接收到第一报文后，还可以先检测该第一应用设备是否已经在第一报文中封装了IFIT信息。

在一种可能的实现方式中，若第一应用设备未在第一报文中封装IFIT信息，则第一边界设备可以在该第一报文中封装第一IFIT信息。若第一应用设备已经在第一报文中封装IFIT信息，则第一边界设备可以无需在该第一报文中封装第一IFIT信息，以避免IFIT信息的重复封装。

在另一种可能的实现方式中，若第一应用设备已经在第一报文中封装IFIT信息，则第一边界设备还可以基于预先配置的信任策略确定该第一应用设备在第一报文中封装的IFIT信息是否有效。第一边界设备若确定该IFIT信息无效(即不信任该第一应用设备封装的IFIT信息)，则可以重新在该第一报文中封装第一IFIT信息，以确保数据中心网络中的转发设备能够基于该第一IFIT信息执行随流检测。若第一边界设备确定该IFIT信息有效(即信任该第一应用设备封装的IFIT信息)，则无需再在该第一报文中封装第一IFIT信息。其中，该信任策略可以是控制器下发的，或者可以是运维人员手动配置的。

步骤103、第一边界设备向转发设备转发该第二报文。

在本申请实施例中，第一边界设备在第一报文中封装第一IFIT信息，得到第二报文后，即可向转发设备转发该第二报文。该第二报文用于供接收到第二报文的转发设备基于该第一IFIT信息对第一报文所属业务流执行随流检测，以及供第二边界设备基于该第一标记剥离第一IFIT信息。

可以理解的是，第一边界设备在转发第二报文之前，还可以基于该第一IFIT信息对第一报文所属的业务流进行随流检测，并可以将随流检测的结果上报至分析器。例如，第一边界设备可以对该第一报文所属的业务流进行丢包和/或时延统计，并将统计结果上报至分析器。

步骤104、转发设备基于第二报文中的第一IFIT信息对该第二报文所属的业务流进行随流检测。

转发设备接收到来自第一边界设备的第二报文后，即可基于该第二报文中封装的第一IFIT信息对该第二报文所属的业务流进行随流检测。

可选地，转发设备可以先基于该第一IFIT信息确定是否需要对第二报文所属的业务流执行逐跳检测。转发设备若确定需要执行逐跳检测，则可以基于该第一IFIT信息进行随流检测，并可以将随流检测的结果上报至分析器。例如，可以对该第二报文所属的业务流进行丢包和/或时延统计，并将统计结果上报至分析器。转发设备若确定无需执行逐跳检测，则无需对该第二报文所属的业务流进行随流检测，而是可以直接转发第二报文。示例的，转发设备可以基于第一IFIT信息中的HTI字段确定是否需要执行逐跳检测。

可以理解的是，若该第二报文中还包括第一应用设备封装的IFIT信息，则转发设备还可以基于预先配置的信任策略确定该第一应用设备封装的IFIT信息是否有效。转发设备若确定该IFIT信息有效，则还可以基于该IFIT信息对第二报文所属的业务流进行随流检测。若转发设备确定该IFIT信息无效，则可以忽略该IFIT信息。

还可以理解的是，第一应用设备在第一报文中封装的IFIT信息中可以包括第三标记，该第三标记用于指示该IFIT信息由第一应用设备封装，且该第三标记与第一标记不同。相应的，转发设备接收到第二报文后，可以基于IFIT信息中封装的第三标记，确定该IFIT信息由第一应用设备封装，进而可以基于该信任策略判断是否信任该第一应用设备封装的IFIT信息。

步骤105、转发设备将该第二报文转发至第二边界设备。

转发设备对第二报文所属的业务流执行完随流检测后，即可将该第二报文转发至第二边界设备。

步骤106、第二边界设备基于第一IFIT信息中的第一标记剥离该第一IFIT信息，得到第一报文。

第二边界设备接收到转发设备转发的来自第一边界设备的第二报文后，可以基于该第二报文中第一IFIT信息中的第一标记，确定该第一IFIT信息由第一边界设备封装。因此，第二边界设备可以剥离该第一IFIT信息，得到第一报文。

示例的，假设该第二报文中的IPv6扩展头(例如DOH)中携带有第一IFIT信息，则第二边界设备可以直接剥离该IPv6扩展头。

步骤107、第二边界设备向第二应用设备转发该第一报文。

第二边界设备剥离第二报文中的第一IFIT信息，得到第一报文后，即可将该第一报文转发至第二应用设备。例如，可以转发至应用服务器。在本申请实施例中，由于该第一IFIT信息是由数据中心网络中的第一边界设备封装的，因此在将报文转发至第二应用设备之前，还需将该第一IFIT信息剥离，以避免该边界设备额外封装的第一IFIT影响第二应用设备对报文的正常处理。

可以理解的是，第二边界设备在剥离该第一IFIT信息之前，还可以基于该第一IFIT信息对第二报文所属的业务流进行随流检测，并可以将随流检测的结果上报至分析器。例如，第二边界设备可以对该第二报文所属的业务流进行丢包和/或时延统计，并将统计结果上报至分析器。相应的，分析器即可基于接收到的统计结果(例如第一边界设备、转发设备和第二边界设备上报的统计结果)，准确定位数据中心网络中的故障位置。并且，分析器还可以呈现业务流的业务路径和随流检测的结果，从而实现业务流的传输质量的实时可视。其中，分析器呈现的随流检测的结果可以包括丢包结果。若该数据中心网络中的边界设备和转发设备还支持1588v2时钟协议，则该随流检测的结果还可以包括时延数据。

还可以理解的是，若该第二报文中还包括第一应用设备封装的IFIT信息，则第二边界设备还可以基于预先配置的信任策略确定该第一应用设备封装的IFIT信息是否有效。第二边界设备若确定该IFIT信息有效，则还可以基于该IFIT信息对该第二报文所属的业务流进行随流检测。若第二边界设备确定该IFIT信息无效，则可以忽略该IFIT信息。并且，第二边界设备无需剥离该第一应用设备封装的IFIT信息。

还可以理解的是，第一边界设备封装的第一IFIT信息中的流标识能够唯一标识业务流，即使业务流经过SLB设备或FW进行地址转换，导致IP地址发生变化后，仍然可以被数据中心网络中的第二边界设备和转发设备，以及分析器识别为同一条业务流。由此，可以实现对业务流在整个数据中心网络中的传输性能的精确监测，进而便于对数据中心网络中的故障位置进行精确定位。

此外，由于第一边界设备可以在数据流的第一报文中封装扩展IPv6头，并通过该扩展IPv6头携带第一IFIT信息，因此第二边界设备和转发设备仅需基于报文的扩展IPv6头即可实现对报文的随流检测。也即是，该随流检测的过程无需对报文中携带的数据(即载荷)进行解析。基于此，对于加密业务流，本申请实施例提供的方案也能够实现有效的随流检测。

综上所述，本申请实施例提供了一种随流检测方法。由于第一边界设备能够在第一报文中封装第一IFIT信息，因此数据中心网络中的转发设备即可基于该第一IFIT信息对第一报文所属的业务流执行随流检测。由此，可以便于分析器基于转发设备的随流检测结果准确定位数据中心网络中的故障点。又由于该第一IFIT信息中还包括第一标记，因此第二边界设备能够基于该第一标记剥离报文中的第一IFIT信息后，再将报文转发至第二应用设备。由此，可以避免该第一边界设备额外封装的第一IFIT影响第二应用设备对报文的正常处理。

本申请实施例提供了另一种随流检测方法，该方法可以应用于诸如图1或图2所示的数据中心网络。该数据中心网络包括第一边界设备，第二边界设备，以及连接在该第一边界设备和第二边界设备之间的转发设备。其中，第一边界设备用于连接第一应用设备，第二边界设备用于连接第二应用设备。该第一应用设备为客户端设备和应用服务器中的一个，该第二应用设备为客户端设备和应用服务器中的另一个。参考图5，该随流检测方法包括：

步骤201、第二边界设备接收来自第二应用设备的第四报文。

假设该第二应用设备为应用服务器，则该第二边界设备可以接收到应用服务器发送的第四报文，该第四报文的目的地址可以为客户端设备的地址。也即是，该第四报文可以为应用服务器发往客户端设备的报文。

步骤202、第二边界设备在该第四报文中封装第二IFIT信息，得到第三报文。

在本申请实施例中，为了便于数据中心网络中的转发设备对该第四报文所属的业务流进行随流检测，第二边界设备可以在第四报文中封装第二IFIT信息，得到第三报文。其中，该第二IFIT信息中包括第二标记，该第二标记可以用于指示第二IFIT信息由第二边界设备封装。

示例的，第二边界设备可以在第四报文中封装扩展IPv6头(例如DOH)，并通过该扩展IPv6头携带第二IFIT信息。并且，该第二IFIT信息中的HTI字段中可以携带有该第二标记。例如，HTI字段中位于低位的第x比特可以携带第二标记，且该第二标记的取值可以为1。也即是，当第三报文中HTI字段中的第x比特的取值为1时，可以表示该第二IFIT信息由第二边界设备封装。其中，x可以为大于等于4，且小于等于8的整数。

可选地，该第二边界设备中预先配置有随流检测策略，该随流检测策略中定义了需要进行随流检测的业务流的特征。第二边界设备接收到第四报文后，可以检测该第四报文是否与该随流检测策略匹配。若第四报文与该随流检测策略匹配，则第二边界设备可以在该第四报文中封装第二IFIT信息。若第四报文不与该随流检测策略匹配，则第二边界设备无需在第一报文中封装第一IFIT信息，而是可以直接转发该第一报文。

可以理解的是，在本申请实施例中，第二应用设备也具备在其所发送的第四报文中封装IFIT信息的功能。基于此，第二边界设备接收到第四报文后，还可以先检测该第二应用设备是否已经在第四报文中封装了IFIT信息。

在一种可能的实现方式中，若第二应用设备未在第四报文中封装IFIT信息，则第二边界设备可以在该第四报文中封装第二IFIT信息。若第二应用设备已经在第四报文中封装了IFIT信息，则第二边界设备可以无需再在该第四报文中封装第二IFIT信息，以避免IFIT信息的重复封装。

在另一种可能的实现方式中，若第二应用设备已经在第四报文中封装IFIT信息，则第二边界设备还可以基于预先配置的信任策略确定该第二应用设备在第四报文中封装的IFIT信息是否有效。若第二边界设备确定该IFIT信息无效，则可以重新在该第四报文中封装第二IFIT信息。若第二边界设备确定该IFIT信息有效，则无需再在该第四报文中封装第二IFIT信息。

可以理解的是，该第二边界设备在第四报文中封装第二IFIT信息的过程，可以与第一边界设备在第一报文中封装第一IFIT信息的过程相同。因此，该步骤202的实现过程可以参考上述步骤102的相关描述，此处不再赘述。

步骤203、第二边界设备向转发设备转发该第三报文。

第二边界设备在第四报文中封装第二IFIT信息，得到第三报文后，即可向转发设备转发该第三报文。可以理解的是，第二边界设备转发该第三报文之前，还可以对该第三报文所属的业务流进行随流检测，并可以将随流检测的结果上报至分析器。

步骤204、转发设备基于第三报文中的第二IFIT信息对该第三报文所属的业务流进行随流检测。

转发设备接收到第二边界设备发送的第三报文后，即可基于该第三报文中的第二IFIT信息，对该第三报文所属的业务流进行随流检测。

可选地，转发设备可以先基于该第二IFIT信息确定是否需要对第三报文所属的业务流执行逐跳检测。转发设备若确定需要执行逐跳检测，则可以基于该第二IFIT信息进行随流检测，并可以将随流检测的结果上报至分析器。转发设备若确定无需执行逐跳检测，则无需对该第三报文所属的业务流进行随流检测，而是可以直接转发该第三报文。

可以理解的是，若该第三报文中还包括第二应用设备封装的IFIT信息，则转发设备还可以基于预先配置的信任策略确定该第二应用设备封装的IFIT信息是否有效。转发设备若确定该IFIT信息有效，则还可以基于该IFIT信息对第三报文所属的业务流进行随流检测，并可以将随流检测的结果上报至分析器。若转发设备确定该IFIT信息无效，则可以忽略该IFIT信息。

还可以理解的是，第二应用设备在第三报文中封装的IFIT信息中可以包括第四标记，该第四标记用于指示该IFIT信息由第二应用设备封装，且该第四标记与第二标记不同。相应的，转发设备接收到第三报文后，可以基于IFIT信息中封装的第四标记，确定该IFIT信息由第二应用设备封装，进而可以基于该信任策略判断是否信任该第二应用设备封装的IFIT信息。其中，该第四标记与前文所述的第三标记可以相同，也可以不同。

步骤205、转发设备将该第三报文转发至第一边界设备。

转发设备对第三报文所属的业务流执行完随流检测后，即可将该第三报文转发至第一边界设备。

步骤206、第一边界设备基于第二IFIT信息中的第二标记剥离该第二IFIT信息，得到第四报文。

第一边界设备接收到转发设备转发的来自第二边界设备的第三报文后，可以基于该第三报文中第二IFIT信息中的第二标记，确定该第二IFIT信息由第二边界设备封装。因此，第一边界设备可以剥离该第二IFIT信息，得到第四报文。

示例的，假设该第三报文中的IPv6扩展头(例如DOH)中携带有第二IFIT信息，则第一边界设备可以直接剥离该IPv6扩展头。

步骤207、第一边界设备向第一应用设备转发该第四报文。

第一边界设备剥离第三报文中的第二IFIT信息，得到第四报文后，即可将该第四文转发至第一应用设备。例如，可以将第四报文转发至客户端设备。在本申请实施例中，由于该第二IFIT信息是由数据中心网络中的第二边界设备封装的，因此在将报文转发至第一应用设备之前，还需将该第二IFIT信息剥离，以避免该第二边界设备额外封装的第二IFIT影响第一应用设备对报文的正常处理。

可以理解的是，第一边界设备在剥离该第二IFIT信息，还可以基于该第二IFIT信息对第三报文所属的业务流进行随流检测，并可以将随流检测的结果上报至分析器。例如，第一边界设备可以对该第三报文所属的业务流进行丢包和/或时延统计，并将统计结果上报至分析器。相应的，分析器即可基于接收到的统计结果(例如第一边界设备、转发设备和第二边界设备上报的统计结果)，准确定位数据中心网络中的故障位置。并且，分析器还可以显示业务流的业务路径和随流检测的结果，从而实现业务流的传输质量的实时可视。

还可以理解的是，若该第三报文中还包括第二应用设备封装的IFIT信息，则第一边界设备还可以基于预先配置的信任策略确定该第二应用设备封装的IFIT信息是否有效。若第一边界设备确定该IFIT信息有效，则还可以基于该IFIT信息对该第三报文所属的业务流进行随流检测。若第一边界设备确定该IFIT信息无效，则可以忽略该IFIT信息。并且，第一边界设备无需剥离该第二应用设备封装的IFIT信息。

步骤208、第一边界设备接收来自该第一应用设备的第五报文。

在本申请实施例中，第一边界设备可以接收来自第一应用设备的第五报文，该第五报文中封装有第三IFIT信息，该第三IFIT信息包括第三标记。该第三标记可以用于指示该第三IFIT信息由第一应用设备封装。

示例的，该第三IFIT信息中的HTI字段可以携带第三标记。例如，HTI字段中位于低位的第x比特可以携带第三标记，且该第三标记的取值可以为0。也即是，当第五报文中HTI字段中的第x比特的取值为0时，可以表示该第三IFIT信息由第一应用设备封装。其中，x为大于等于4，且小于等于8的整数。

步骤209、第一边界设备若基于信任策略确定该第五报文中的第三IFIT信息有效，则基于该第三IFIT信息对第五报文所属的业务流进行随流检测。

在本申请实施例中，第一边界设备中预先配置有信任策略。第一边界设备基于第三标记确定出该第三IFIT信息由第一应用设备封装后，可以先基于该信任策略确定该第一应用设备封装的第三IFIT信息是否有效，即是否信任该第三IFIT信息。若第一边界设备确定该第三IFIT信息有效，则可以基于该第三IFIT信息对第五报文所属的业务流进行随流检测。若第一边界设备确定该第三IFIT信息无效，则可以忽略该第三IFIT信息，并可以直接转发该第五报文。

由于第一边界设备还能够在确定第一应用设备封装的第三IFIT信息有效时，基于该第三IFIT信息执行随流检测，因此有效提高了随流检测的灵活性和可靠性。

步骤210、第一边界设备将该第五报文转发至转发设备。

第一边界设备对第五报文所属的业务流进行随流检测后，或者确定第五报文中封装的第三IFIT信息无效后，即可将该第五报文转发至转发设备。

步骤211、转发设备若基于信任策略确定该第五报文中的第三IFIT信息有效，则基于该第三IFIT信息对第五报文进行随流检测。

在本申请实施例中，转发设备中预先配置有信任策略。转发设备基于第三标记确定出该第三IFIT信息由第一应用设备封装后，可以先基于该信任策略确定该第一应用设备封装的第三IFIT信息是否有效。若转发设备确定该第三IFIT信息有效，则可以基于该第三IFIT信息对第五报文所属的业务流进行随流检测。若转发设备确定该第三IFIT信息无效，则可以忽略该第三IFIT信息，并可以直接转发该第五报文。

步骤212、转发设备将该第五报文转发至第二边界设备。

转发设备对第五报文所属的业务流进行随流检测后，或者确定第五报文中封装的第三IFIT信息无效后，即可将该第五报文转发至第二边界设备。

步骤213、第二边界设备若基于信任策略确定该第五报文中的第三IFIT信息有效，则基于该第三IFIT信息对第五报文进行随流检测。

第二边界设备中预先配置有信任策略。第二边界设备基于第三标记确定出该第三IFIT信息由第一应用设备封装后，可以先基于该信任策略确定该第三IFIT信息是否有效。若第二边界设备确定该第三IFIT信息有效，则可以基于该第三IFIT信息对第五报文所属的业务流进行随流检测。若第二边界设备确定该第三IFIT信息无效，则可以忽略该第三IFIT信息，并可以直接转发该第五报文。

步骤214、第二边界设备将该第五报文转发至第二应用设备。

第二边界设备对第五报文所属的业务流进行随流检测后，或者确定第五报文中的第三IFIT信息无效后，即可将该第五报文转发至第二应用设备。也即是，第二边界设备无需剥离该第一应用设备封装的第三IFIT信息。

示例的，参考图2，对于客户端设备发送至应用服务器的业务流，出口路由器R可以在该业务流的报文中封装IFIT信息，且SL设备可以剥离该IFIT信息。对于应用服务器发送至客户端设备的业务流，SL设备可以在该业务流的报文中封装IFIT信息，且出口路由器R可以剥离该IFIT信息。并且，在该业务流的转发过程中，边界设备和转发设备(即图2中标星号的设备)均可以基于该IFIT信息，对业务流进行随流检测，并将随流检测的结果上报至分析器。

参考图2还可以看出，安全资源池中的安全设备(例如防火墙、WAF和IPS等)可以不识别该IFIT信息，例如可以不识别扩展报文头。并且，该安全设备能够对包含该扩展报文头的报文中的payload进行解析，以校验该报文的安全性。

可以理解的是，本申请实施例提供的随流检测方法中的各个步骤可以根据情况增减，各个步骤之间的执行顺序也可以根据情况调整。例如，上述步骤207至步骤214可以在步骤206之前执行，或者可以根据情况删除。或者，上述步骤201至步骤205也可以根据情况删除。

综上所述，本申请实施例提供了一种随流检测方法。由于第一边界设备能够在第一报文中封装第一IFIT信息，因此数据中心网络中的转发设备即可基于该第一IFIT信息对第一报文所属的业务流执行随流检测。由此，可以便于分析器基于转发设备上报的随流检测的结果准确定位数据中心网络中的故障点的位置，并可以实时呈现业务流在各个节点的质量，实现业务流路径可视。又由于该第一IFIT信息中还包括第一标记，因此第二边界设备能够基于该第一标记剥离报文中的第一IFIT信息后，再将报文转发至第二应用设备。由此，可以避免该第一边界设备额外封装的第一IFIT影响第二应用设备对报文的正常处理。

下文以第一边界设备为数据中心网络的入口设备为例，对该第一边界设备执行随流检测方法的流程进行介绍。如图6所示，该方法包括：

步骤301、接收第一应用设备发送的报文。

步骤302、检测该报文中是否携带IFIT信息。

例如，第一边界设备可以检测接收到的报文中是否封装有IPv6扩展头，进而检测该IPv6扩展头中是否携带IFIT信息。若该报文中携带IFIT信息，则第一边界设备可以执行步骤303；若该报文中未携带IFIT信息，则第一边界设备可以执行步骤304。

步骤303、检测报文中携带的IFIT信息是否有效。

若该报文中携带IFIT信息，则第一边界设备可以基于预先配置的信任策略，检测该报文中携带的IFIT信息是否有效，即判断是否信任该第一应用设备封装的IFIT信息。若第一边界设备确定该IFIT信息无效，则可以执行步骤304；若第一边界设备确定该IFIT信息有效，则可以执行步骤306。

步骤304、检测报文是否匹配随流检测策略。

第一边界设备若确定该报文中未封装IFIT信息，或者报文中已封装的IFIT信息无效，则可以继续检测该报文是否与预先配置的随流检测策略匹配。若该报文与随流检测策略匹配，则第一边界设备可以执行步骤305；若该报文不与随流检测策略匹配，则第一边界设备可以执行步骤307。

步骤305、在报文中封装IFIT信息。

第一边界设备若确定该报文与随流检测策略匹配，则可以在报文中封装IFIT信息，该IFIT信息中可以包括第一标记，该第一标记用于指示该IFIT信息由第一边界设备封装。

步骤306、基于IFIT信息执行随流检测。

在上述步骤303中，若第一边界设备确定第一应用设备封装的IFIT信息有效，则可以基于该第一应用设备封装的IFIT信息，对该报文所属的业务流进行随流检测，并可以将检测结果上报至分析器。

或者，在上述步骤305之后，第一边界设备可以基于其自身封装的IFIT信息，对该报文所属的业务流进行随流检测，并可以将检测结果上报至分析器。

步骤307、转发报文。

在上述步骤304中，若第一边界设备确定该报文不与随流检测策略匹配，则可以直接转发该报文。或者，在上述步骤306之后，即第一边界设备执行完随流检测后，即可转发该报文。

下文对转发设备执行随流检测方法的流程进行介绍。如图7所示，该方法包括：

步骤401、接收边界设备发送的报文。

该报文可以是第一边界设备发送的，也可以是第二边界设备发送的。

步骤402、检测报文中是否携带IFIT信息。

例如，转发设备可以检测接收到的报文中是否封装有IPv6扩展头，进而检测该IPv6扩展头中是否携带IFIT信息。若该报文中携带IFIT信息，则转发设备可以执行步骤403；若该报文中未携带IFIT信息，则转发设备可以直接执行步骤407。

步骤403、检测IFIT信息是否由边界设备封装。

若该报文中携带IFIT信息，则转发设备可以继续检测该IFIT信息是否由边界设备封装。若该IFIT信息中包括第一标记或第二标记，则转发设备可以确定该IFIT信息由边界设备封装，并可以执行步骤405。若该IFIT信息中包括第三标记，则转发设备可以确定该IFIT信息由应用设备封装，并可以执行步骤404。

步骤404、检测报文中携带的IFIT信息是否有效。

若转发设备确定该IFIT信息由应用设备封装，则可以基于预先配置的信任策略，检测该报文中携带的IFIT信息是否有效，即判断是否信任该应用设备封装的IFIT信息。若转发设备确定该IFIT信息无效，则可以执行步骤407；若转发设备确定该IFIT信息有效，则可以继续执行步骤405。

步骤405、检测是否执行逐跳检测。

在上述步骤403中，转发设备若确定该IFIT信息由边界设备封装，则可以基于该IFIT信息判断是否需要对报文所属的业务流执行逐跳检测。在上述步骤404中，转发设备若确定该应用设备封装的IFIT信息有效，则也可以基于该IFIT信息判断是否需要对报文所属的业务流执行逐跳检测。

例如，转发设备可以基于IFIT信息中的HTI字段确定是否需要执行逐跳检测。若需要执行逐跳检测，则转发设备可以执行步骤406；若无需执行逐跳检测，则转发设备可以执行步骤407。

步骤406、基于IFIT信息执行随流检测。

转发设备若确定需要执行逐跳检测，则可以基于该报文中封装的IFIT信息，对该报文所属的业务流进行随流检测，并可以将检测结果上报至分析器。

步骤407、转发报文。

在上述步骤406之后，即转发设备执行完随流检测后，即可向边界设备转发该报文。或者，在上述步骤404中，若转发设备确定该报文中携带的IFIT信息无效，则也可以直接转发该报文。又或者，在上述步骤405中，若转发设备确定无需执行逐跳检测，则也可以直接转发该报文。

下文以第二边界设备为数据中心网络的出口设备为例，对该第二边界设备执行随流检测方法的流程进行介绍。如图8所示，该方法包括：

步骤501、接收转发设备发送的报文。

该转发设备发送的报文来自第一边界设备。

步骤502、检测报文中是否携带IFIT信息。

例如，第二边界设备可以检测接收到的报文中是否封装有IPv6扩展头，进而检测该IPv6扩展头中是否携带IFIT信息。若该报文中携带IFIT信息，则第二边界设备可以继续执行步骤503；若该报文中未携带IFIT信息，则第二边界设备可以直接执行步骤507。

步骤503、检测IFIT信息是否由第一边界设备封装。

若该报文中携带IFIT信息，则第二边界设备可以继续检测该IFIT信息是否由第一边界设备封装。若该IFIT信息中包括第一标记，则第二边界设备可以确定该IFIT信息由第一边界设备封装，并可以继续执行步骤504。若该IFIT信息中包括第三标记，则第二边界设备可以确定该IFIT信息由第一应用设备封装，并可以继续执行步骤505。

步骤504、基于IFIT信息执行随流检测后，剥离该IFIT信息。

第二边界设备若确定该IFIT信息由第一边界设备封装，则可以基于该IFIT信息对报文所属的业务流执行逐跳检测，并可以将检测结果上报至分析器。之后，第二边界设备即可剥离该IFIT信息，并执行步骤507。

步骤505、检测报文中携带的IFIT信息是否有效。

若第二边界设备确定该IFIT信息由第一应用设备封装，则可以基于预先配置的信任策略，检测该报文中携带的IFIT信息是否有效，即判断是否信任该第一应用设备封装的IFIT信息。若第二边界设备确定该IFIT信息有效，则可以执行步骤506；若第二边界设备确定该IFIT信息无效，则可以执行步骤507。

步骤506、基于IFIT信息执行随流检测。

第二边界设备若确定该第一应用设备封装的IFIT信息有效，则可以基于该IFIT信息，对该报文所属的业务流进行随流检测，并可以将检测结果上报至分析器。

步骤507、转发报文。

在上述步骤506之后，即第二边界设备执行完随流检测后，即可向第二应用设备转发该报文。或者，在上述步骤504之后，即第二边界设备剥离IFIT信息后，即可向第二应用设备转发该报文。又或者，在上述步骤502中，若第二边界设备确定接收到的报文中未封装IFIT信息，则也可以直接向第二应用设备转发该报文。

图9是本申请实施例提供的一种第一边界设备的结构示意图，该第一边界设备可以应用于诸如图1或图2所示的数据中心网络，且用于连接第一应用设备。并且，该第一边界设备可以实现上述方法实施例提供的随流检测方法中，由第一边界设备执行的步骤。如图9所示，该第一边界设备包括：

接收模块601，用于接收来自第一应用设备的第一报文。该接收模块601的功能实现可以参考上述方法实施例中步骤101和步骤301的相关描述。

封装模块602，用于在该第一报文中封装第一IFIT信息，得到第二报文。该第一IFIT信息包括第一标记，该第一标记用于指示该第一IFIT信息由第一边界设备封装。该封装模块602的功能实现可以参考上述方法实施例中步骤102和步骤305的相关描述。

转发模块603，用于转发该第二报文，以供接收到该第二报文的转发设备基于该第一IFIT信息执行随流检测，以及供数据中心网络的第二边界设备基于该第一标记剥离该第一IFIT信息，该第二边界设备用于连接第二应用设备。

其中，该第一应用设备为客户端设备和应用服务器中的一个，该第二应用设备为该客户端设备和应用服务器中的另一个。该转发模块603的功能实现可以参考上述方法实施例中步骤103和步骤307的相关描述。

可选地，该封装模块602，可以用于在第一报文中封装DOH，该DOH包括第一IFIT信息。

可选地，该第一IFIT信息中的HTI字段中携带有该第一标记。

可选地，该封装模块602，可以用于若第一应用设备未在第一报文中封装IFIT信息，则在该第一报文中封装第一IFIT信息；或者，若基于IFIT信任策略确定第一应用设备在第一报文中封装的IFIT信息无效，则在该第一报文中封装第一IFIT信息。该封装模块602的功能实现还可以参考上述方法实施例中步骤302和步骤303的相关描述。

可选地，该封装模块602，可以用于基于该第一报文与随流检测策略匹配，在该第一报文中封装第一IFIT信息。该封装模块602的功能实现还可以参考上述方法实施例中步骤304的相关描述。

可选地，该接收模块601，还用于接收来自第二边界设备的第三报文。该第三报文中封装有第二IFIT信息，且该第二IFIT信息中包括第二标记，该第二标记用于指示该第二IFIT信息由该第二边界设备封装。该接收模块601的功能实现还可以参考上述方法实施例中步骤205的相关描述。

继续参考图9，该第一边界设备还可以包括：

剥离模块604，用于基于该第二标记剥离第三报文中的第二IFIT信息，得到第四报文。该剥离模块604的功能实现可以参考上述方法实施例中步骤206的相关描述。

该转发模块603，还用于将该第四报文转发至第一应用设备。该转发模块603的功能实现还可以参考上述方法实施例中步骤207的相关描述。

可选地，如图9所示，该第一边界设备还包括：

检测模块605，用于在转发模块603转发该第二报文之前，基于该第一IFIT信息对第二报文进行随流检测。该检测模块605的功能实现可以参考上述方法实施例中步骤306的相关描述。

可选地，该接收模块601，还用于接收来自第一应用设备的第五报文，该第五报文中包括该第一应用设备封装的第三IFIT信息。该接收模块601的功能实现还可以参考上述方法实施例中步骤208的相关描述。

该检测模块605，还可以用于若基于信任策略确定该第三IFIT信息有效，则基于该第三IFIT信息对第五报文进行随流检测。该检测模块605的功能实现还可以参考上述方法实施例中步骤209的相关描述。

该转发模块603，还用于转发该第五报文。该转发模块603的功能实现还可以参考上述方法实施例中步骤210的相关描述。

综上所述，本申请实施例提供了一种第一边界设备。由于该第一边界设备能够在第一报文中封装第一IFIT信息，因此数据中心网络中的转发设备即可基于该第一IFIT信息对第一报文所属的业务流执行随流检测。由此，可以便于分析器基于转发设备的随流检测结果准确定位数据中心网络中的故障点。又由于该第一IFIT信息中还包括第一标记，因此第二边界设备能够基于该第一标记剥离报文中的第一IFIT信息后，再将报文转发至第二应用设备。由此，可以避免该第一边界设备额外封装的第一IFIT影响第二应用设备对报文的正常处理。

图10是本申请实施例提供的一种第二边界设备的结构示意图，该第二边界设备可以应用于诸如图1或图2所示的数据中心网络，且用于连接第二应用设备。并且，该第二边界设备可以实现上述方法实施例提供的随流检测方法中，由第二边界设备执行的步骤。如图10所示，该第二边界设备包括：

接收模块701，用于接收来自第一边界设备的第二报文，该第二报文中封装有第一IFIT信息。该第一IFIT信息包括第一标记，该第一标记用于指示第一IFIT信息由第一边界设备封装。该接收模块701的功能实现可以参考上述方法实施例中步骤105和步骤501的相关描述。

剥离模块702，用于基于该第一标记剥离第一IFIT信息，得到第一报文。该剥离模块702的功能实现可以参考上述方法实施例中步骤106和步骤504的相关描述。

转发模块703，用于将该第一报文转发至该第二应用设备。该转发模块703的功能实现可以参考上述方法实施例中步骤107和步骤507的相关描述。

其中，该第一边界设备用于连接第一应用设备，该第一应用设备为客户端设备和应用服务器中的一个，该第二应用设备为该客户端设备和应用服务器中的另一个。

可选地，该接收模块701，还可以用于接收来自第二应用设备的第四报文。该接收模块701的功能实现还可以参考上述方法实施例中步骤201的相关描述。

可选地，如图10所示，该第二边界设备还可以包括：

封装模块704，用于在该第四报文中封装第二IFIT信息，得到第三报文，该第二IFIT信息包括第二标记，该第二标记用于指示第二IFIT信息由第二边界设备封装。该封装模块704的功能实现可以参考上述方法实施例中步骤202的相关描述。

该转发模块703，还可以用于转发第三报文，以供接收到该第三报文的转发设备基于该第二IFIT信息执行随流检测，以及供第一边界设备基于该第二标记剥离第二IFIT信息。该转发模块703的功能实现还可以参考上述方法实施例中步骤203的相关描述。

可选地，如图10所示，该第二边界设备还可以包括：

检测模块705，用于在该转发模块703将第一报文转发至第二应用设备之前，基于该第一IFIT信息对第二报文进行随流检测。该检测模块705的功能实现可以参考上述方法实施例中步骤506的相关描述。

可选地，该接收模块701，还可以用于接收来自第一边界设备的第五报文，该第五报文中封装有第三IFIT信息，该第三IFIT信息包括第三标记，该第三标记可以用于指示第三IFIT信息由第一应用设备封装。该接收模块701的功能实现还可以参考上述方法实施例中步骤212的相关描述。

该检测模块705，还可以用于若基于信任策略确定该第三IFIT信息有效，则基于该第三IFIT信息对该第五报文进行随流检测。该检测模块705的功能实现还可以参考上述方法实施例中步骤213的相关描述。

该转发模块703，还可以用于将该第五报文转发至第二应用设备。该转发模块703的功能实现还可以参考上述方法实施例中步骤214的相关描述。

综上所述，本申请实施例提供了一种第二边界设备。由于该第一边界设备能够在报文中封装第一IFIT信息，且该第一IFIT信息中包括第一标记，因此第二边界设备能够基于该第一标记剥离报文中的第一IFIT信息后，再将报文转发至第二应用设备。由此，可以避免该第一边界设备额外封装的第一IFIT影响第二应用设备对报文的正常处理。

图11是本申请实施例提供的一种转发设备的结构示意图，该转发设备可以应用于诸如图1或图2所示的数据中心网络，且连接在第一边界设备和第二边界设备之间。并且，该转发设备可以实现上述方法实施例提供的随流检测方法中，由转发设备执行的步骤。如图11所示，该转发设备包括：

接收模块801，用于接收来自第一边界设备的第二报文，该第二报文中封装有第一IFIT信息，该第一IFIT信息包括第一标记，该第一标记用于指示该第一IFIT信息由第一边界设备封装。该接收模块801的功能实现可以参考上述方法实施例中步骤103和步骤401的相关描述。

检测模块802，用于基于该第一IFIT信息对该第二报文进行随流检测。该检测模块802的功能实现可以参考上述方法实施例中步骤104和步骤406的相关描述。

转发模块803，用于将该第二报文转发至第二边界设备，以供第二边界设备基于该第一标记剥离第一IFIT信息。该转发模块803的功能实现可以参考上述方法实施例中步骤105和步骤407的相关描述。

可选地，该接收模块801，还可以用于接收来自第二边界设备的第三报文，该第三报文中封装有第二IFIT信息，且该第二IFIT信息中包括第二标记，该第二标记用于指示第二IFIT信息由该第二边界设备封装。该接收模块801的功能实现还可以参考上述方法实施例中步骤203的相关描述。

该检测模块802，还可以用于基于该第二IFIT信息对该第三报文进行随流检测。该检测模块802的功能实现还可以参考上述方法实施例中步骤204的相关描述。

该转发模块803，还可以用于将该第三报文转发至该第一边界设备。该转发模块803的功能实现还可以参考上述方法实施例中步骤205的相关描述。

可选地，该接收模块801，还可以用于接收来自该第一边界设备的第五报文，该第五报文中封装有第三IFIT信息，该第三IFIT信息包括第三标记，该第三标记用于指示第三IFIT信息由第一应用设备封装。该接收模块801的功能实现还可以参考上述方法实施例中步骤210的相关描述。

该检测模块802，还可以用于若基于信任策略确定该第三IFIT信息有效，则基于该第三IFIT信息对第五报文进行随流检测。该检测模块802的功能实现还可以参考上述方法实施例中步骤211的相关描述。

该转发模块803，还可以用于将该第五报文转发至该第二边界设备，以供第二边界设备基于该第一标记剥离第一IFIT信息。该转发模块803的功能实现还可以参考上述方法实施例中步骤212的相关描述。

综上所述，本申请实施例提供了一种转发设备。由于第一边界设备能够在报文中封装第一IFIT信息，因此该转发设备即可基于该第一IFIT信息对报文所属的业务流执行随流检测。由此，可以便于分析器基于转发设备的随流检测结果准确定位数据中心网络中的故障点。又由于该第一IFIT信息中还包括第一标记，因此第二边界设备能够基于该第一标记剥离报文中的第一IFIT信息后，再将报文转发至第二应用设备。由此，可以避免该第一边界设备额外封装的第一IFIT影响第二应用设备对报文的正常处理。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的第一边界设备、第二边界设备、转发设备以及各模块的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

应理解的是，本申请实施例提供的第一边界设备、第二边界设备和转发设备还可以用特定应用集成电路(application-specific integrated circuit，ASIC)实现，或可编程逻辑器件(programmable logic device，PLD)实现，上述PLD可以是复杂程序逻辑器件(complex programmable logical device，CPLD)，现场可编程门阵列(field-programmable gate array，FPGA)，通用阵列逻辑(generic array logic，GAL)或其任意组合。此外，也可以通过软件实现上述方法实施例提供的随流检测方法，当通过软件实现上述方法实施例提供的随流检测方法时，该第一边界设备、第二边界设备和转发设备中的功能模块也可以为软件模块。

图12是本申请实施例提供的一种网络设备的结构示意图。该网络设备可以应用于诸如图1或图2所示的数据中心网络，且该网络设备可以是该数据中心网络中的第一边界设备、第二边界设备或转发设备。参考图12，该网络设备包括：处理器901、存储器902、网络接口903和总线904。

其中，存储器902中存储有计算机程序9021，计算机程序9021用于实现各种应用功能。处理器901用于执行该计算机程序9021以实现上述方法实施例提供的随流检测方法。例如，可以实现上述方法实施例中由第一边界设备、第二边界设备或转发设备执行的步骤。并且，该处理器901执行该计算机程序9021还可以实现图9至图11中任一附图所示的各个模块的功能。

处理器901可以是中央处理器(central processing unit，CPU)，该处理器901还可以是其他通用处理器、数字信号处理器(digital signal processor，DSP)、ASIC、FPGA、图形处理器(graphics processing unit，GPU)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者是任何常规的处理器。

存储器902可以是易失性存储器或非易失性存储器，或可包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器(read-only memory，ROM)、可编程只读存储器(programmable ROM，PROM)、可擦除可编程只读存储器(erasable PROM，EPROM)、电可擦除可编程只读存储器(electrically EPROM，EEPROM)或闪存。易失性存储器可以是随机存取存储器(random access memory，RAM)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的RAM可用，例如静态随机存取存储器(static RAM，SRAM)、动态随机存取存储器(dynamic RAM，DRAM)、同步动态随机存取存储器(synchronous DRAM，SDRAM)、双倍数据速率同步动态随机存取存储器(double data date SDRAM，DDR SDRAM)、增强型同步动态随机存取存储器(enhanced SDRAM，ESDRAM)、同步连接动态随机存取存储器(synchlink DRAM，SLDRAM)和直接内存总线随机存取存储器(direct rambus RAM，DRRAM)。

网络接口903可以为多个，且网络接口903用于实现与其他设备之间的通信连接(可以是有线或者无线)。其中，在本申请实施例中，网络接口903用于收发报文。其中，其他设备可以是终端、服务器、VM等设备或其它网络设备。

总线904用于连接处理器901、存储器902和网络接口903。并且，总线904除包括数据总线之外，还可以包括电源总线、控制总线和状态信号总线等。但是为了清楚说明起见，在图中将各种总线都标为总线904。

图13是本申请实施例提供的另一种网络设备的结构示意图。该网络设备可以应用于诸如图1或图2所示的数据中心网络，且该网络设备可以是该数据中心网络中的第一边界设备、第二边界设备或转发设备。如图13所示，该网络设备可以包括：主控板1001和至少一个接口板(接口板也称为线卡或业务板)，例如图13中示出了接口板1002和接口板1003。多个接口板的情况下网络设备还可以包括交换网板1004，该交换网板1004用于完成各接口板之间的数据交换。

其中，主控板1001也称为主处理单元(main processing unit，MPU)或路由处理卡(route processor card)，主控板1001用于完成系统管理、设备维护和协议处理等功能。主控板1001上主要有3类功能单元：系统管理控制单元、系统时钟单元和系统维护单元。主控板1001包括：中央处理器10011和存储器10012。

接口板1002和1003也称为线路接口单元卡(line processing unit，LPU)、线卡(line card)或业务板，接口板用于提供各种业务接口，并实现报文的转发。其中，接口板所提供的业务接口可以包括：基于SONET/SDH的数据包(packet over SONET/SDH，POS)接口、千兆以太网(gigabit Ethernet，GE)接口和异步传输模式(asynchronous transfer mode，ATM)接口等。其中，SONET是指同步光纤网络(synchronous optical network)，SDH是指同步数字体系(synchronous digital hierarchy)。主控板1001、接口板1002以及接口板1003之间通过系统总线与系统背板相连以实现互通。如图13所示，接口板1002上包括一个或多个中央处理器10021。中央处理器10021用于对接口板1002进行控制管理并与主控板1001上的中央处理器10011进行通信，以及接口板1002。接口板1002上的存储器10024用于存储转发表项，网络处理器10022可以通过查找存储器10024中存储的转发表项进行报文的转发。存储器10024还可以用于存储程序代码。

该接口板1002还包括一个或多个物理接口卡10023，该一个或多个物理接口卡10023用于接收上一跳节点发送的报文，并根据中央处理器10021的指示向下一跳节点发送处理后的报文。

此外，可以理解的是，图13中的接口板1002中的中央处理器10021和/或网络处理器10022可以是专用硬件或芯片，如可以采用ASIC来实现上述功能，这种实现方式即为通常所说的转发面采用专用硬件或芯片处理的方式。在另外的实施方式中，所述中央处理器10021和/或网络处理器10022也可以采用通用的处理器，如通用的CPU来实现以上描述的功能。

此外应理解的是，主控板1001可能有一块或多块，有多块的时候可以包括主用主控板和备用主控板。接口板可能有一块或多块，该网络设备的数据处理能力越强，提供的接口板越多。如图13所示，网络设备包括接口板1002和接口板1003。当采用分布式的转发机制时，接口板1003的结构与接口板1002的结构基本相同，且接口板1003上的操作与接口板1002的操作基本相似，为了简洁，不再赘述。网络设备具有多块接口板的情况下，该多块接口板之间可以通过一块或多块交换网板1004通信，且可以实现负荷分担和冗余备份，以提供大容量的数据交换和处理能力。

在集中式转发架构下，该网络设备可以不需要交换网板1004，接口板承担整个系统的业务数据的处理功能。所以，分布式架构的网络设备的数据接入和处理能力要大于集中式架构的网络设备。具体采用哪种架构，取决于具体的组网部署场景，此处不做任何限定。

在本申请实施例中，存储器10012和存储器10024可以是ROM或可存储静态信息和指令的其它类型的静态存储设备，也可以是RAM或者可存储信息和指令的其它类型的动态存储设备，还可以是EEPROM、只读光盘(compact disc read-only Memory，CD-ROM)或其它光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘或者其它磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其它介质，但不限于此。接口板1002中的存储器10024可以是独立存在，并通过通信总线与中央处理器10021相连接；或者，存储器10024也可以和中央处理器10021集成在一起。主控板1001中的存储器10012可以是独立存在，并通过通信总线与中央处理器10011相连接；或者，存储器10012也可以和中央处理器10011集成在一起。

存储器10024中存储的程序代码，由中央处理器10021来控制执行，存储器10012存储的程序代码，由中央处理器10011来控制执行。该中央处理器10021和/或中央处理器10011可以通过执行程序代码来实现上述实施例所提供的随流检测方法。例如，可以实现上述方法实施例中由第一边界设备、第二边界设备或转发设备执行的步骤。存储器10024和/或存储器10012存储的程序代码中可以包括一个或多个软件单元，这一个或多个软件单元可以为图9至图11中任一附图所示的功能模块。

在本申请实施例中，该物理接口卡10023，可以是使用任何收发器一类的装置，用于与其它设备或通信网络通信，如以太网，无线接入网(radio access network，RAN)，无线局域网(wireless local area networks，WLAN)等。

本申请实施例还提供了一种计算机可读存储介质，该计算机可读存储介质中存储有指令，该指令由处理器执行以实现上述方法实施例提供的随流检测方法。例如，可以实现上述方法实施例中由第一边界设备、第二边界设备或转发设备执行的步骤。

本申请实施例还提供了一种包含指令的计算机程序产品，该指令由处理器执行以实现上述方法实施例提供的随流检测方法。例如，可以实现上述方法实施例中由第一边界设备、第二边界设备或转发设备执行的步骤。

本申请实施例还提供了一种随流检测系统，如图14所示，该系统包括：第一边界设备10，第二边界设备20，以及连接在该第一边界设备10和第二边界设备20之间的转发设备30。

其中，该第一边界设备10可以用于实现上述方法实施例中由第一边界设备执行的步骤，并且，该第一边界设备10的结构可以参考图9、图12或图13。

该第二边界设备20可以用于实现上述方法实施例中由第二边界设备执行的步骤，并且，该第二边界设备20的结构可以参考图10、图12或图13。

该转发设备30可以用于实现上述方法实施例中由转发设备执行的步骤，并且，该转发设备30的结构可以参考图11、图12或图13。

可选地，如图2所示，该系统还可以包括：控制器和分析器。其中，该控制器可以用于向第一边界设备10和第二边界设备20下发随流检测策略。该控制器还可以用于向第一边界设备10、第二边界设备20和转发设备30下发信任策略。

该分析器可以用于接收第一边界设备10、第二边界设备20和转发设备30上报的随流检测的结果，并可以基于该随流检测的结果对数据中心网络中的故障进行定位。并且，该分析器还可以基于呈现业务流的业务路径，以及随流检测的结果。

本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成，也可以通过程序来指令相关的硬件完成，所述的程序可以存储于一种计算机可读存储介质中，上述提到的存储介质可以是只读存储器，磁盘或光盘等。

在本申请实施例中，术语“第一”、“第二”和“第三”仅用于描述目的，而不能理解为指示或暗示相对重要性。

本申请中术语“和/或”，仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。另外，本文中字符“/”，一般表示前后关联对象是一种“或”的关系。

以上所述仅为本申请的可选实施例，并不用以限制本申请，凡在本申请的构思和原则之内，所作的任何修改、等同替换、改进等，均应包含在本申请的保护范围之内。

Claims (19)

1.一种随流检测方法，其特征在于，应用于数据中心网络的第一边界设备，所述第一边界设备用于连接第一应用设备；所述方法包括：

接收来自所述第一应用设备的第一报文；

在所述第一报文中封装第一带内流信息测量IFIT信息，得到第二报文，所述第一IFIT信息包括第一标记，所述第一标记用于指示所述第一IFIT信息由所述第一边界设备封装；

转发所述第二报文，以供接收到所述第二报文的转发设备基于所述第一IFIT信息执行随流检测，以及供所述数据中心网络的第二边界设备基于所述第一标记剥离所述第一IFIT信息，所述第二边界设备用于连接第二应用设备；

其中，所述第一应用设备为客户端设备和应用服务器中的一个，所述第二应用设备为所述客户端设备和应用服务器中的另一个。

2.根据权利要求1所述的方法，其特征在于，所述在所述第一报文中封装第一带内流信息测量IFIT信息，包括：

在所述第一报文中封装目的选项头DOH，所述DOH包括所述第一IFIT信息。

3.根据权利要求1或2所述的方法，其特征在于，所述第一IFIT信息中的头类型指示HTI字段中携带有所述第一标记。

4.根据权利要求1至3任一所述的方法，其特征在于，在所述第一报文中封装第一IFIT信息，包括：

若所述第一应用设备未在所述第一报文中封装IFIT信息，则在所述第一报文中封装所述第一IFIT信息；

或者，若基于IFIT信任策略确定所述第一应用设备在所述第一报文中封装的IFIT信息无效，则在所述第一报文中封装所述第一IFIT信息。

5.根据权利要求1至4任一所述的方法，其特征在于，在所述第一报文中封装第一IFIT信息，包括：

基于所述第一报文与随流检测策略匹配，在所述第一报文中封装第一IFIT信息。

6.根据权利要求1至5任一所述的方法，其特征在于，所述方法还包括：

接收来自所述第二边界设备的第三报文，所述第三报文中封装有第二IFIT信息，且所述第二IFIT信息中包括第二标记，所述第二标记用于指示所述第二IFIT信息由所述第二边界设备封装；

基于所述第二标记剥离所述第三报文中的所述第二IFIT信息，得到第四报文；

将所述第四报文转发至所述第一应用设备。

7.根据权利要求1至6任一所述的方法，其特征在于，在所述转发所述第二报文之前，所述方法还包括：

基于所述第一IFIT信息对所述第二报文进行随流检测。

8.根据权利要求1至7任一所述的方法，其特征在于，所述方法还包括：

接收来自所述第一应用设备的第五报文，所述第五报文中包括所述第一应用设备封装的第三IFIT信息；

若基于信任策略确定所述第三IFIT信息有效，则基于所述第三IFIT信息对所述第五报文进行随流检测；

转发所述第五报文。

9.一种随流检测方法，其特征在于，应用于数据中心网络的第二边界设备，所述第二边界设备用于连接第二应用设备；所述方法包括：

接收来自第一边界设备的第二报文，所述第二报文中封装有第一带内流信息测量IFIT信息，所述第一IFIT信息包括第一标记，所述第一标记用于指示所述第一IFIT信息由所述第一边界设备封装；

基于所述第一标记剥离所述第一IFIT信息，得到第一报文；

将所述第一报文转发至所述第二应用设备；

其中，所述第一边界设备用于连接第一应用设备，所述第一应用设备为客户端设备和应用服务器中的一个，所述第二应用设备为所述客户端设备和应用服务器中的另一个。

10.根据权利要求9所述的方法，其特征在于，所述方法还包括：

接收来自所述第二应用设备的第四报文；

在所述第四报文中封装第二IFIT信息，得到第三报文，所述第二IFIT信息包括第二标记，所述第二标记用于指示所述第二IFIT信息由所述第二边界设备封装；

转发所述第三报文，以供接收到所述第三报文的转发设备基于所述第二IFIT信息执行随流检测，以及供所述第一边界设备基于所述第二标记剥离所述第二IFIT信息。

11.根据权利要求9或10所述的方法，其特征在于，在将所述第一报文转发至所述第二应用设备之前，所述方法还包括：

基于所述第一IFIT信息对所述第二报文进行随流检测。

12.根据权利要求9至11任一所述的方法，其特征在于，所述方法还包括：

接收来自所述第一边界设备的第五报文，所述第五报文中封装有第三IFIT信息，所述第三IFIT信息包括第三标记，所述第三标记用于指示所述第三IFIT信息由所述第一应用设备封装；

若基于信任策略确定所述第三IFIT信息有效，则基于所述第三IFIT信息对所述第五报文进行随流检测；

将所述第五报文转发至所述第二应用设备。

13.一种随流检测方法，其特征在于，应用于数据中心网络的转发设备，所述转发设备连接在第一边界设备和第二边界设备之间；所述方法包括：

接收来自所述第一边界设备的第二报文，所述第二报文中封装有第一IFIT信息，所述第一IFIT信息包括第一标记，所述第一标记用于指示所述第一IFIT信息由所述第一边界设备封装；

基于所述第一IFIT信息对所述第二报文进行随流检测；

将所述第二报文转发至所述第二边界设备，以供所述第二边界设备基于所述第一标记剥离所述第一IFIT信息。

14.根据权利要求13所述的方法，其特征在于，所述方法还包括：

接收来自所述第二边界设备的第三报文，所述第三报文中封装有第二IFIT信息，且所述第二IFIT信息中包括第二标记，所述第二标记用于指示所述第二IFIT信息由所述第二边界设备封装；

基于所述第二IFIT信息对所述第三报文进行随流检测；

将所述第三报文转发至所述第一边界设备，以供所述第一边界设备基于所述第二标记剥离所述第二IFIT信息。

15.根据权利要求13或14所述的方法，其特征在于，所述方法还包括：

接收来自所述第一边界设备的第五报文，所述第五报文中封装有第三IFIT信息，所述第三IFIT信息包括第三标记，所述第三标记用于指示所述第三IFIT信息由第一应用设备封装；

若基于信任策略确定所述第三IFIT信息有效，则基于所述第三IFIT信息对所述第五报文进行随流检测；

将所述第五报文转发至所述第二边界设备。

16.一种网络设备，其特征在于，所述网络设备包括：存储器，处理器及存储在所述存储器上并能够在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现如权利要求1至15任一所述的方法。

17.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质中存储有指令，所述指令由处理器执行以实现如权利要求1至15任一所述的方法。

18.一种包含指令的计算机程序产品，其特征在于，所述指令由处理器执行以实现如权利要求1至15任一所述的方法。

19.一种随流检测系统，其特征在于，所述系统包括：第一边界设备，第二边界设备，以及连接在第一边界设备和第二边界设备之间的转发设备；

其中，所述第一边界设备用于实现如权利要求1至8任一所述的方法；

所述第二边界设备用于实现如权利要求9至12任一所述的方法；

所述转发设备用于实现如权利要求13至15任一所述的方法。