TW201933837A - 虛擬網路隧道內流量資料擷取方法與系統 - Google Patents

虛擬網路隧道內流量資料擷取方法與系統 Download PDF

Info

Publication number
TW201933837A
TW201933837A TW107102051A TW107102051A TW201933837A TW 201933837 A TW201933837 A TW 201933837A TW 107102051 A TW107102051 A TW 107102051A TW 107102051 A TW107102051 A TW 107102051A TW 201933837 A TW201933837 A TW 201933837A
Authority
TW
Taiwan
Prior art keywords
switch
tunnel
packet
virtual network
virtual
Prior art date
Application number
TW107102051A
Other languages
English (en)
Inventor
王協源
林旻諺
Original Assignee
思銳科技股份有限公司
國立交通大學
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 思銳科技股份有限公司, 國立交通大學 filed Critical 思銳科技股份有限公司
Priority to TW107102051A priority Critical patent/TW201933837A/zh
Priority to CN201810095021.4A priority patent/CN110061897A/zh
Priority to US16/052,587 priority patent/US20190230039A1/en
Publication of TW201933837A publication Critical patent/TW201933837A/zh

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4633Interconnection of networks using encapsulation techniques, e.g. tunneling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2441Traffic characterised by specific attributes, e.g. priority or QoS relying on flow classification, e.g. using integrated services [IntServ]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2483Traffic characterised by specific attributes, e.g. priority or QoS involving identification of individual flows
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/20Support for services
    • H04L49/201Multicast operation; Broadcast operation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/35Switches specially adapted for specific applications
    • H04L49/354Switches specially adapted for specific applications for supporting virtual local area networks [VLAN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/70Virtual switches
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0464Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload using hop-by-hop encryption, i.e. wherein an intermediate entity decrypts the information and re-encrypts it before forwarding it
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4604LAN interconnection over a backbone network, e.g. Internet, Frame Relay
    • H04L2012/4629LAN interconnection over a backbone network, e.g. Internet, Frame Relay using multilayer switching, e.g. layer 3 switching
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/026Capturing of monitoring data using flow identification
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/25Routing or path finding in a switch fabric

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

一種虛擬網路隧道內流量資料擷取方法與系統,方法主要是通過修正運行於交換機內資料流查表達到目的,當多個執行軟體交換機的主機之間通過虛擬網路傳遞訊息時,交換機可以取得隧道內資料流的資訊,以達到監控、計量與管理隧道內資料流的目的。其中,由一主機中運行的虛擬機器產生封包,封包於主機中邏輯通訊埠以一隧道協定封裝,經由虛擬網路隧道傳送到交換機,於交換機卸裝封包時,可根據封包表頭查找一資料流查表,以擷取隧道內流量資料,之後經重新封裝後傳送到目的地主機所建立的邏輯通訊埠,由目的地主機卸裝後得到封包的原始資料。

Description

虛擬網路隧道內流量資料擷取方法與系統
揭露書公開一種擷取網路流量資料的方法與系統,特別是指擷取虛擬網路環境中節點之間隧道內流量資料的方法與系統。
軟體定義網路(Software-Defined Networks,SDN)為一種新一代的網路架構,其利用集中式的控制器(controller)取代過往分散式網路系統中交換機(switch)的控制平面(control plane),軟體定義網路讓其中的交換機只需負責資料平面(data plane)的部分,使得集中式的控制器可以達到對控制需求的優化。
軟體定義網路採用的集中式控制器可以實現拓樸(topology)的優化與較佳的路徑規劃等。此外通過一種封包轉送的開放流(OpenFlow)協定使得控制器和交換機之間的溝通有一個標準且公開的準則,如此一來就不用受限於各家開發廠商自訂的規範,進而使得網路管理者可以撰寫或是優化自己想要的控制器的各種應用(applications),進而達到具多功能性的應用模組。
開放流協定提供統一的溝通介面,使控制平面與資料平面能正常溝通,其中控制平面採用資料流查表(Flow Table)控管資料平面,且可直接控管資料平面,執行如信息轉送(forwarding)與查找(lookups)的動作,形成一種資料流記錄(flow entry),資料平面則依此資料流查表判斷、執行。
現行資料中心(data center)常採用軟體定義網路(SDN)作為運作的架構,建構虛擬網路,在虛擬網路中建構多個服務用戶的虛擬機器。不過,虛擬網路的建立是透過隧道(tunnel)技術來達成,虛擬機器之間傳送的資料會在一個隧道的起點與終點進行封包的封裝與拆裝,以致於對於一台處在網路中的交換機而言,它無法辨別一個隧道內不同的資料流,無法讓管理者監控其中流動的資料流進而控管流量與優化網路頻寬使用。
有鑑於習知技術無法監視交換機之間隧道內流量的問題,揭露書公開一種虛擬網路隧道內流量資料擷取方法與系統,方法讓網路交換機(switch)能夠辨別隧道內不同的資料流,並可應用在SDN(軟體定義網路)交換機上,SDN交換機支援開放流協定,能與SDN控制器進行溝通,能夠對隧道內指定的資料流限速。
在一實施例中,虛擬網路隧道內流量資料擷取方法應用於一交換機內,方法包括運行有軟體交換機的一個節點,如交換機,接收由第一主機中運行的虛擬機器產生的封包,封包於此第一主機內執行的軟體交換機建立的邏輯通訊埠以一隧道協定封裝,經由一虛擬網路隧道傳送到交換機。
於交換機的輸入邏輯通訊埠卸裝封包後,可根據封包表頭查找一資料流查表,以擷取隧道內流量資料,可以統計隧道內資料流、執行計量以管理隧道內資料流。之後,於交換機的輸出邏輯通訊埠重新以隧道協定封裝封包,重新封裝封包時,修改封包表頭,載入交換機的資訊與目的地主機的資訊等。
接著,重新封裝的封包通過另一虛擬網路隧道傳送到目的地主機中軟體交換機所建立的邏輯通訊埠,再由目的地的軟體交換機的邏輯通訊埠接收經重新封裝的封包,卸裝封包而得到封包的原始資料。
根據另一實施例,揭露書提出執行虛擬網路隧道內流量資料擷取方法的系統,系統中包括有交換機,並通過虛擬網路連接多個主機,其中包括第一主機,其中運行第一虛擬機器,執行第一軟體交換機,與交換機之間建立第一虛擬網路隧道,其中第二主機運行第二虛擬機器,執行第二軟體交換機,與交換機之間建立第二虛擬網路隧道。由交換機中運行的軟體交換機程式執行虛擬網路隧道內流量資料擷取方法包括有,接收由第一虛擬機器產生的封包,封包在其邏輯通訊埠以特定隧道協定封裝,並經由一虛擬網路隧道傳送到交換機,之後,經交換機卸裝後,根據封包表頭查找一資料流查表,以擷取隧道內流量資料,其目的如統計隧道內資料流、執行計量以管理隧道內資料流。
達成擷取隧道內流量資料的目的後,重新封裝封包,再經另一虛擬網路隧道傳送到目的地,如第二軟體交換機所建立的邏輯通訊埠,在此通訊埠卸裝封包,使第二虛擬機器可以得到封包的原始資料。
為了能更進一步瞭解本發明為達成既定目的所採取之技術、方法及功效,請參閱以下有關本發明之詳細說明、圖式,相信本發明之目的、特徵與特點,當可由此得以深入且具體之瞭解,然而所附圖式僅提供參考與說明用,並非用來對本發明加以限制者。
11‧‧‧第一伺服器
111‧‧‧第一虛擬機器
113‧‧‧第一軟體交換機
101‧‧‧第一隧道端點
12‧‧‧第二伺服器
121‧‧‧第二虛擬機器
123‧‧‧第二軟體交換機
102‧‧‧第二隧道端點
103‧‧‧第三隧道端點
131‧‧‧第一封包
132‧‧‧第二封包
20‧‧‧交換機
22‧‧‧OpenStack控制器
201‧‧‧第一連線
202‧‧‧第二連線
203‧‧‧第三連線
221‧‧‧控制器軟體交換機
24‧‧‧SDN控制器
41‧‧‧第一主機
411‧‧‧第一虛擬機器
413‧‧‧第一軟體交換機
42‧‧‧第二主機
421‧‧‧第二虛擬機器
423‧‧‧第二軟體交換機
44‧‧‧交換機
43‧‧‧OpenStack控制器
431‧‧‧控制器軟體交換機
45‧‧‧SDN控制器
70‧‧‧交換機
91‧‧‧第一主機
911‧‧‧第一虛擬機器
913‧‧‧第一軟體交換機
92‧‧‧第二主機
921‧‧‧第二虛擬機器
923‧‧‧第二軟體交換機
93‧‧‧第三主機
931‧‧‧第三虛擬機器
933‧‧‧第三軟體交換機
90‧‧‧交換機
步驟S301~S311‧‧‧封包處理流程
步驟S601~S619‧‧‧封包處理流程
圖1所示為應用隧道運行機制的虛擬網路與系統示意圖;圖2所示為應用隧道運行機制的虛擬網路與系統示意圖;圖3所示流程描述封包轉送處理步驟;圖4所示為虛擬網路上各節點形成的網路系統示意圖;圖5顯示為運行於網路系統中一軟體交換機內的資料流查表範例; 圖6所示為虛擬網路隧道內流量資料擷取方法的實施例流程圖;圖7所示為運行虛擬網路隧道內流量資料擷取方法的虛擬網路系統實施例示意圖;圖8顯示為運行於網路系統中一軟體交換機內修正後資料流查表範例;圖9所示為運行虛擬網路隧道內流量資料擷取方法的虛擬網路系統再一實施例示意圖。
軟體定義網路(Software-Defined Network,SDN)採用的集中式控制器(SDN controller)可以實現拓樸(topology)的優化與較佳的路徑規劃等,其中通過開放流(OpenFlow)協定讓控制器和SDN交換機之間以一個標準且公開的準則通訊,其中SDN交換機採用資料流查表(Flow Table)控管資料平面(data plane),執行如信息傳送路徑、轉送(forwarding)與查找(lookups)的動作,形成一種資料流記錄(flow entry),資料平面則依此資料流查表判斷、執行,也能讓網路管理者可以撰寫或是優化自己想要的控制器的各種應用(applications),進而達到具多功能性的應用模組。
現行資料中心常採用軟體定義網路(SDN)作為運作的架構,SDN網路將資料平面(data plane)與控制平面(control plane)分開,其利用集中式的控制器(controller)取代過往分散式網路系統中交換機(switch)的控制平面,軟體定義網路讓其中的交換機只需負責資料平面的部分,使得集中式的控制器可以達到對控制需求的優化。
在資料中心裡,用戶(subscriber)可以建立屬於自己的虛擬網路(Virtual Network),並將自己的虛擬機器(VM)連接上這個 虛擬網路,讓虛擬機器之間能夠透過這個虛擬網路互相傳送資料。然而,虛擬網路的建立是透過隧道(tunnel)技術來達成,虛擬機器之間傳送的資料會在一個隧道的起點與終點進行封包的封裝(Encapsulation)與拆裝(Decapsulation),以致於對於一台處在網路中的交換機而言,原本是無法辨別一個隧道內不同的資料流,也因此無法進行監控與流量控制。而揭露書所提出的虛擬網路隧道內流量資料擷取方法與系統,能夠讓網路交換機(switch)能夠辨別隧道內不同的資料流,並可應用在SDN(軟體定義網路)交換機上,SDN交換機支援開放流(OpenFlow)協定而與SDN控制器進行溝通,能夠對隧道內指定的資料流限速。並且在特定雲端作業系統(如OpenStack)佈署的環境中進行效能量測,以能準確紀錄每個隧道內資料流的網路頻寬使用量的資訊,且這樣的應用與現行運行在應用層(application layer)的方式不同,並不會對交換機的整體效能造成過大的負擔。
其中應用的技術為特定網路交換機之間的通訊協定,如開放流(OpenFlow)協定,開放流協定主要使用三種用於通信的信息(message types),包括封包輸入(packet-in)、資料流編輯(flow-mod)與封包輸出(packet-out)。
運行開放流協定的交換機(如SDN交換機)先與運行開放流協定的控制器(如SDN控制器)進行連線,其中交換機採用資料流查表(Flow Table)執行如信息轉送(forwarding)與查找(lookups)的動作,形成資料流記錄(flow entry)。在預先狀態下,資料流查表內容預先設定為空,並設定為若無適合資料流記錄,會請控制器進行協助。
在交換機與控制器連線後,有一流量需經由交換機傳送到其他主機,當此交換機接收到新的資料流,會查找記憶體中的資料流查表,如果在資料流查表中有符合(matched)的資料流記錄,交換機執行資料流記錄的動作(action),並更新查表中資料流記 錄的統計值;如果在資料流查表中沒有符合的資料流記錄,交換機產生「封包輸入(packet-in)」信息,將接收到的資料流放入封包輸入的訊息封包中,其中包括流量資訊,傳送到控制器,控制器使用其控制邏輯(control logic)產生並傳送「資料流編輯(flow-mod)」信息,以及「封包輸出(packet-out)」信息給交換機,讓交換機加入由資料流編輯信息封包承載的新的資料流記錄,使得後續相關的資料流可以符合這個新增的資料流記錄,就不用產生封包輸入信息而要控制器處理相關內容。
因此,在此資料流記錄的技術方案下,交換機內處理器可以不用重複處理相似的資料流以及與控制器之間的往來而影響效能。
運行虛擬網路隧道內流量資料擷取方法與系統的資料中心採用一種隧道運行機制,如一種虛擬區域網路擴展(VXLAN,Virtual Extensible LAN)協定,另有一種GRE協定,但在此並不贅述。習知網路系統架構可參考圖1所示應用某種隧道運行機制的虛擬網路與系統示意圖。
根據示意圖,第一伺服器11與第二伺服器12皆運行有虛擬機器(VM)以及軟體交換機(OVS,Open vSwitch,支援OpenFlow),分別為第一虛擬機器111與第一軟體交換機113,以及第二虛擬機器121與第二軟體交換機123,兩個伺服器(11,12)以虛擬區域網路擴展(VXLAN)實現一種虛擬網路的隧道協定(tunnel protocol),例如圖示伺服器(11,12)之間分別以第一隧道端點101與第二隧道端點102實現虛擬區域網路擴展隧道端點(VXLAN Tunnel Endpoint,VTEP)聯繫,並設定接口(socket)以通訊與轉送封包。
對於隧道內傳送的資料流(In-Tunnel Flow,ITF)的監控技術可使用一種採樣流(Sampled Flow,sFlow)技術,採樣流技術以一採樣率(sampling rate)採樣封包,並分析封包中前N個位元 組資料,一般預設N為128。但是,為了避免運行過高採樣率而降低系統效能,或是過低採樣率而錯誤,每一個系統將以運行在一適當的採樣率下,並可統計流量。一個網路封包所承載的資料一般來說可以分為兩個部分,包括控制信息,也就是資料表頭(header),如此例原始第一封包131中ETH、IP等資訊,分別表示封包類型與傳輸協定,以及資料本身,也就是酬載(payload),如第一封包131中的DATA1。一旦經過圖示的虛擬網路傳送時,所述虛擬區域網路擴展隧道協定將第一封包再封裝一次,形成第二封包132,此例示意表示第二封包132中的資料表頭為ETH、IP、UDP以及運行在此虛擬區域網路上的虛擬區域網路擴展的封裝表頭「VXLAN」,加上所封裝的原始第一封包131內容DATA2。
虛擬區域網路擴展隧道協定運行時,提供24位元的虛擬區域網路擴展隧道識別碼(VNI)範圍,能提供多虛擬主機租賃的能力,相關雲端服務可以將用戶區隔開。各伺服器(11,12)分別運行第一虛擬機器111與第二虛擬機器121,而每個伺服器可以運行多個虛擬機器。當兩個虛擬機器要通訊,需要運行在同一個VNI中。於是,虛擬網路系統可以根據VNI區隔用戶,使得用戶即使使用了相同的實體通訊埠所賦予的IP位址,也不會相互影響。相互傳遞的數據形成隧道內資料流(ITF)。舉例來說,從第一虛擬機器111傳送ICMP封包到第二虛擬機器121,ICMP封包將在第一隧道端點101被封裝,封包的外層表頭(outer header)為有關第一隧道端點101與第二隧道端點102的資訊,如上述第二封包132,之後在第二隧道端點102拆裝,中間若有交換機,需要學習個隧道端點(Tunnel Endpoint)的MAC(Media Access Control)位址,而非虛擬機器的MAC位址。
為了要擷取虛擬網路隧道內流量資料,在第一伺服器11與第二伺服器12之間設一交換機20,如圖2顯示的應用此隧道運行機制的虛擬網路與系統示意圖。
交換機20,如SDN交換機,設於架構在虛擬網路上的第一伺服器11、第二伺服器12與OpenStack控制器22之間,通過OpenStack控制器22運行雲端作業環境,其中運行控制器軟體交換機221;OpenStack控制器22同樣以虛擬區域網路擴展(VXLAN)實現一種虛擬網路的隧道協定(tunnel protocol)。交換機20與SDN控制器24以開放流協定通訊,以傳遞控制訊號與封包相關訊息,以運行軟體定義網路。第一伺服器11、第二伺服器12與OpenStack控制器22,甚至是實體交換機20內,皆運行有軟體交換機。
第一伺服器11內除了運行至少一個第一虛擬機器111外,亦運行了第一軟體交換機113,第二伺服器12運行有第二虛擬機器121與第二軟體交換機123,OpenStack控制器22內運行一控制器軟體交換機221。第一軟體交換機113與第二軟體交換機123之間以虛擬區域網路擴展建立一條虛擬隧道,第二軟體交換機123與控制器軟體交換機221之間以虛擬區域網路擴展建立一條虛擬隧道,控制器軟體交換機221與第一軟體交換機113之間以虛擬區域網路擴展建立一條虛擬隧道,如第一伺服器11以及第二伺服器12之間分別以第一隧道端點101與第二隧道端點102實現虛擬區域網路擴展隧道端點(VTEP)聯繫,與OpenStack控制器22的第三隧道端點103之間也通過交換機20實現虛擬區域網路擴展隧道端點,同理,OpenStack控制器22與各虛擬機器(111,121)之間傳送的封包也於第三隧道端點103封裝,再於目的端拆裝。以上三條虛擬隧道皆經過交換機20,此三條虛擬隧道為虛擬網路中的邏輯連結(logical links)。
在OpenStack作業系統實現雲端服務的虛擬網路中,各虛擬機器之間需要有相同的虛擬區域網路擴展隧道識別碼(VNI)才能進行通訊,因此虛擬網路系統可以根據VNI區隔用戶。在此補充一點,虛擬網路中以運行雲端作業系統的OpenStack控制器實現雲端服務,例如:運算、網通和儲存等,然而所述虛擬網路隧道 內流量資料擷取方法並非限定在此雲端作業系統中,而可以同樣實現在VMware和微軟的虛擬化平臺上。
相關封包的轉送處理流程如圖3所示,步驟包括,首先建立連線(步驟S301),傳輸的雙方需互相發送初始訊息,訊息帶有雙方所支援通訊協定(如SDN下的OpenFlow);在連線建立後,雙方會繼續使用回聲(Echo)訊息確認連線是否存在(步驟S303)。當流量進入交換機時,交換機會查找資料流查表(步驟S305),找出符合封包表頭資訊的資料流記錄。
若資料流查表資料為空,使交換機發出封包輸入(Packet-in)訊息,這個訊息會帶有流量封包資訊,並請求SDN控制器協助處理(步驟S307)。當SDN控制器接收封包輸入訊息後,以封包輸出(Packet-out)告知交換機將封包導至對應伺服器或主機(步驟S309),使封包轉送到指定的通訊埠(目的地),SDN控制器同時以資料流編輯(Flow-mod)根據此次轉送封包學習的內容(如來源與目的地的MAC位址)建立新的資料流記錄(步驟S311),此資料流記錄即包含如何處理此類型封包的資訊,使交換機之後不需再發送封包輸入請求SDN控制器的協助。
在虛擬網路中,每個伺服器運行軟體交換機(OVS),並建立邏輯通訊埠(logical port),而不同伺服器中的軟體交換機的邏輯通訊埠之間建立在此虛擬網路的隧道,原始封包在此虛擬網路上傳遞時,將於此隧道以特定隧道協定中再次封裝,產生新的表頭。如此,會使得網路交換機無法看到(監控)經此隧道再次封裝的隧道內資料流,因此提出虛擬網路隧道內流量資料擷取方法與系統。
揭露書所提出的虛擬網路隧道內流量資料擷取方法可應用於具有控制器機制的網路系統中,並可運行在混合式網路交換機(例如混合傳統與SDN)中,其中實施例可以應用在雲端作業系統(如OpenStack),以建構雲服務,例如實現一個提供多人虛擬主機服 務的資料中心。在此雲端作業系統中,以軟體模組建構虛擬網路,具有多個虛擬節點(node),各節點執行網路代理程式(networking agent),於揭露書所揭示的實施例,節點如運行虛擬機器的伺服器或主機,以及運行特定交換機程式(軟體交換機)的主機或是實體交換機,而執行網路代理程式的網路節點彼此之間將建立運行在虛擬網路上的隧道(tunnel),這是虛擬網路中的邏輯連結(logical links)。
可參考以下範例,如圖4所示為在一雲端作業系統之下建立的虛擬網路上的節點,多個節點形成一網路系統,其中至少包括有主機、交換機等節點,運行於其中的資料流查表可參考圖5。以下範例以第一主機與第二主機描述,而實際應用適用多個主機互傳訊息的情況。
圖例中第一主機41中運行第一虛擬機器(VM)(MAC:00:00:01)411,在OpenStack控制器43實現雲端作業系統架構下通過運行於各節點內的網路代理程式實現虛擬網路,此例可為執行Open vSwitch(OVS)實現第一軟體交換機413,軟體交換機程式建立邏輯通訊埠,包括通訊埠編號1000與通訊埠編號20,成為虛擬區域網路擴展實現的隧道(隧道識別碼VNI 61)的端點之一。
第二主機42中運行第二虛擬機器(MAC:00:00:02)421以及第二軟體交換機423,軟體交換機程式建立邏輯通訊埠,包括通訊埠編號2000與通訊埠編號30,成為虛擬區域網路擴展實現的隧道的另一端點。兩端的虛擬網路隧道端點即實現此虛擬區域網路擴展實現的隧道(隧道識別碼VNI 61),並共同連接到一個中間交換機(intermediate switch)44。
第一主機41與第二主機42分別運行第一虛擬機器411與第二虛擬機器421,使得兩個主機之間建構了在虛擬網路上的虛擬區域網路擴展實現的隧道,可簡稱虛擬網路隧道,此例設定隧道識 別碼61(VNI 61)。使得第一虛擬機器411與第二虛擬機器421之間往來的封包在第一軟體交換機413的通訊埠編號1000上封裝(encapsulate)成符合虛擬網路隧道中通訊協定的封包,如符合前述實施例所提到的虛擬區域網路擴展(VXLAN)封包。第一軟體交換機413產生的封包(其中表頭記載來源與目的地網路位址、MAC、通訊埠編號、封包形式與內容等)經過交換機44的路由轉送後到達第二軟體交換機423的通訊埠編號2000,並在此邏輯通訊埠上卸裝(decapsulate)。
上述虛擬網路隧道係架構在主機(41,42)與交換機(44)之間的實體網路上,形成運行於多個邏輯通訊埠之間的邏輯連線(logical links),在此架構下,使得整體系統具有極大的可擴充性。所述交換機44可為SDN交換機,通過開放流協定連接SDN控制器45,使得控制訊號與回應訊號可以順利傳遞。OpenStack控制器43內運行一控制器軟體交換機431,控制器軟體交換機431的通訊埠編號40與第一軟體交換機413的通訊埠編號20形成一條虛擬網路隧道,控制器軟體交換機431的通訊埠編號50與第二軟體交換機423的通訊埠編號30形成一條虛擬網路隧道,使得Openstack控制器43的訊息可以順利傳遞在虛擬網路中。
當有封包在虛擬網路隧道中傳輸,將以符合此虛擬網路隧道的協定封裝封包內容,因此,原本封包上會再以符合此虛擬網路隧道協定的機制封裝一次,然而,此機制並未讓其中交換機(44)可以有效監控隧道內流量(ITF)。
在虛擬網路中各邏輯通訊埠、交換機、虛擬網路隧道內傳輸的封包依據如圖5顯示運行於上述虛擬網路系統中一軟體交換機內的資料流查表(Flow Table)運作。以下範例為上述第二軟體交換機(423)內的資料流查表。
資料流查表中表0(Table 0)中有幾筆資料流記錄(Flow Entries),每筆記錄包括有一個匹配欄位(match field),此匹配欄 位是通訊埠,根據封包是從第二軟體交換機(423)的哪個通訊埠(30或2000)進入,符合的資料流記錄會將封包轉向相對應的表。例如,當接收到封包的來源是內部虛擬機器,符合通訊埠編號1,即轉向表2;若封包來源是以上範例中第二主機(42)中軟體交換機建立的邏輯通訊埠編號2000,即轉向表4。
在表2中,此表用以區隔封包的傳輸方式是單播(unicast)或是多播(multicast),若為單播封包,資料流查表顯示將轉向表20;同樣地,若為多播封包,則以表22繼續處理。
表4根據封包中的虛擬網路隧道的識別碼(TUNNEL_ID,或為範例所稱VNI),而設定封包的虛擬區域網路識別碼(VLAN_VID),並將封包轉向表10。其中虛擬網路隧道識別碼是用以使得封包在隧道中連結特定邏輯通訊埠,當封包在某一通訊埠接收,對照此表4,VNI為61,則根據此VNI編號賦予一個虛擬區域網路識別碼(1),並轉向表10。虛擬區域網路識別碼則是用來分辨在虛擬網路中所分成的多個子網域,每個子網路會以一個虛擬機器執行一個軟體交換機。
表10為一個學習的事件,此例顯示為從隧道內封包學習虛擬區域網路編號(VLAN)與MAC位址,加入資料流記錄至表20,並設定輸出通訊埠(1)。加入表20的記錄包括有兩個匹配欄位(match field),如VLAN_VID與目的地MAC,以及三個動作,如解除封包的VLAN_VID、根據封包中虛擬區域網路識別碼而設定VNI 61與轉送封包要到的輸出通訊埠編號2000。
表22功能是轉送多播封包到指定某些輸出通訊埠,動作包括解除VLAN_VID、設定VNI 61,以及設定輸出通訊埠為2000與30,也就是上述範例中第二軟體交換機(423)的邏輯通訊埠。
然而,當設於主機之間的交換機無法看到傳遞於虛擬網路上被隧道所封裝的資料流(封裝技術如VXLAN、GRE等),揭露書所提出虛擬網路隧道內流量資料擷取方法即提供一個取得封包資 料流資訊的方法,並能進一步監控隧道內流量,當在封包卸裝後取得封包資料時,可以執行「計量/統計(metering)」與「控制/限流(limit)」等工作,而目的之一是要監控隧道內資料流、統計與對流量限速,另一目的是,可以在一個隧道內區隔不同的資料流,並記錄資料流的使用資訊。
虛擬網路隧道內流量資料擷取方法可通過修正運行於軟體交換機(OVS)內資料流查表達到目的,使得交換機可以取得隧道內資料流的使用資訊,更準確計量封包,以達到監控、計量與管理隧道內資料流的目的,方法實施例流程如圖6所示,並可同時參考圖7所示的建構於虛擬網路上的多個節點形成的網路系統,以及圖8對應運行的資料流查表。
根據虛擬網路隧道內流量資料擷取方法實施例之一,實施隧道內流量資料擷取的方法,需通過修改虛擬網路上各節點的軟體交換機設定,以兩個新的虛擬網路隧道(如VXLAN隧道)取代原本的一個虛擬網路隧道,並使虛擬網路上兩個主機之間的交換機也建立虛擬網路隧道的兩個端點。
可參考圖7實施例,其中顯示有一交換機70、多個主機(41,42)以及控制器(43,45),由OpenStack控制器43中運行的雲端作業系統佈署一個雲端服務,建構虛擬網路,交換機70在一實施例中為SDN交換機,配合SDN控制器45運作。其中多個主機至少包括第一主機41與第二主機42,第一主機41與第二主機42分別與交換機70建立一條虛擬網路隧道(VNI 61、VNI 2150),其中隧道識別碼VNI 2150即取代原本的VNI 61(如圖4所示),交換機70其中運行一軟體交換機程式,執行虛擬網路隧道內流量資料擷取方法,也建立兩個對應的邏輯通訊埠(通訊埠編號5000與6000),實施例即為兩個虛擬區域網路擴展隧道端點(VTEP)。
方法步驟開始時,參考圖7所示的網路系統,由第一主機41中第一虛擬機器411傳送封包到第二主機42的第二虛擬機器 421,封包資料在第一主機41運行的第一軟體交換機413建立的邏輯通訊埠(通訊埠編號3000)封裝,實施例顯示封包以一隧道協定封裝,如虛擬區域網路擴展(VXLAN)隧道協定(步驟S601),再經由第一軟體交換機413與交換機70之間的第一虛擬網路隧道(隧道識別碼VNI 61),以及交換機70到第二軟體交換機423之間的第二虛擬網路隧道(VNI 2150),到達第二主機42運行的第二軟體交換機423建立的邏輯通訊埠(通訊埠編號4000),並進行卸裝。
舉例來說,原始封包封裝時,為ICMP封包,封包的內容依照其型態、通訊協定、來源與目的地位址與酬載(payload)為「ETH-IP-ICMP payload」,進入虛擬網路隧道(如VXLAN tunnel)前,在第一軟體交換機413的通訊埠編號3000再次封裝,原始封包內容成為這次封裝的酬載,依照其型態、通訊協定、來源與目的地位址與酬載成為『ETH-IP-UDP-VXLAN「ETH-IP-ICMP payload」』,經交換機70卸裝、重新封裝,經虛擬網路隧道(VNI 2150)傳送到第二軟體交換機423,並卸裝後還原原始封包內容「ETH-IP-ICMP payload」。
從第一虛擬機器411傳送封包到第二虛擬機器421的期間,封包先以虛擬區域網路擴展(VXLAN)隧道協定封裝,進入第一虛擬網路隧道VNI 61中,交換機70內的軟體交換機以一輸入邏輯通訊埠(通訊埠編號5000)從第一虛擬網路隧道(VNI 61)接收到封包,以對應協定卸裝(步驟S603),並查找交換機70內的資料流查表(步驟S605)。
圖8顯示第二軟體交換機423內的資料流查表已經在方法流程運行前根據虛擬網路各點的設定而更新,也就是在設定以上虛擬網路各節點中軟體交換機時,同時也將新的設定更新(加入或刪除)資料流查表中。例如,當第二主機42中第二軟體交換機423建立其邏輯通訊埠(通訊埠編號4000)時,這個新的邏輯通訊埠 也與交換機70之間建立一個新的虛擬網路隧道(VNI 2150),可稱第二虛擬網路隧道。同時,也在圖8顯示的資料流查表中的表0加入第四筆資料流記錄,其中記載通訊埠編號4000與轉向表4的記錄(entry);並在表4中加入第二筆資料流記錄,其中記載虛擬網路編號VNI 2150與設定的虛擬區域網路編號(VLAN_VID(1))與輸出至通訊埠編號1,通訊埠編號1通往第二主機42的第二虛擬機器421。同理的修正可適用第一軟體交換機413的資料流查表(在此並不贅述)。
以SDN交換機為例,這時,在交換機70內運行的軟體交換機與SDN控制器45通訊,兩者之間可以開放流協定運行,SDN控制器45因此可以從資料流查表中獲得資料流資訊,包括各筆封包資訊(步驟S607),能統計隧道內資料流、執行計量以管理隧道內資料流,包括控制隧道內資料流的傳輸速率,如限流(步驟S609)。
交換機70接著根據封包表頭記載的目的地位址進行轉送(步驟S611),同時根據資料流查表決定輸出通訊埠(步驟S613)。
之後,封包在交換機70的一輸出邏輯通訊埠重新封裝,包括修改封包表頭,載入交換機70的資訊與目的地主機的資訊(步驟S615),通過此交換機70的輸出邏輯通訊埠(通訊埠編號6000)輸出(步驟S617),經虛擬網路隧道VNI 2150傳送到第二軟體交換機423,在其邏輯通訊埠(通訊埠編號4000)卸裝(步驟S619)。
根據圖8顯示的資料流查表範例,此為運行於圖7第二軟體交換機(423)內的資料流查表,表0中每筆記錄包括有一個匹配欄位,此匹配欄位是通訊埠,根據封包是從第二軟體交換機423的哪個通訊埠進入,符合的資料流記錄會將封包轉向相對應的表。例如,當接收到封包的來源是內部虛擬機器,符合通訊埠編號1,即轉向表2;若封包來源是以上範例中第二主機(42)中軟體交換機建立的邏輯通訊埠編號4000,即轉向表4。
在表2中,此表用以區隔封包的傳輸方式是單播(unicast)或是多播(multicast),若為單播封包,資料流查表顯示將轉向表20;同樣地,若為多播封包,則以表22繼續處理。
表4根據封包中的虛擬網路隧道的識別碼(VNI),而設定封包的虛擬區域網路識別碼(VLAN_VID),並將封包轉向表10。當封包在某一通訊埠接收,對照此表4,VNI為61,則根據此VNI編號賦予一個虛擬區域網路識別碼(VLAN_VID(1)),並轉向表10;若VNI為新建的2150,賦予虛擬區域網路識別碼為1(VLAN_VID(1)),以及輸出通訊埠編號為1,轉向內部虛擬機器。
表10為一個學習的事件,此例顯示為從隧道內封包學習虛擬區域網路編號(VLAN)與MAC位址,加入資料流記錄至表20,並設定輸出通訊埠(1)。表20的記錄有兩筆,第一筆優先順序為2的記錄是OpenStack系統加入,第二筆優先順序為5的記錄是本方法加入,各筆包括有兩個匹配欄位,有VLAN_VID與目的地MAC位址,以及三個動作。包括解除封包的VLAN_VID、設定VNI 61與輸出通訊埠編號2000,或是設定新增的VNI 2150與輸出通訊埠編號4000。此例中,優先順序為5的記錄相對於優先順序為2的記錄具有更高的優先執行順序,因此對於一個帶有VLAN_VID 1、目的地位址MAC:00:00:01的封包,此封包會匹配優先順序為5的記錄,並且執行此記錄的動作。
表22功能是轉送多播封包到指定某些輸出通訊埠,動作包括解除VLAN_VID、設定VNI 61,以及設定輸出通訊埠為2000與30;或是轉向一個群表(1),此例群表(1)有更高優先順序,群表(1)表示了兩個封包路徑,分別轉送封包到指定的輸出埠,第一路徑是對封包解除VLAN_VID、設定VNI 2150與第二軟體交換機上的輸出通訊埠4000;第二路徑是解除VLAN_VID、設定VNI 61與第二軟體交換機上的輸出通訊埠30。
如此,在以上流程實施例中查找資料流查表的步驟中,SDN 控制器45可從交換機70取得運行於軟體交換機內的資料流查表的資訊。此類應用於集中式網路系統的控制器(如SDN控制器)可以從所連線的多個交換機取得所有資料,包括資料流查表,特別是經過虛擬網路隧道內流量資料擷取方法取得隧道內資料流的資訊,並能執行修改、統計或是刪除資料流查表內的記錄(entry)。並因為得到隧道內資料流的資訊,而能執行計量與流量管理(如限流)的工作,使其有效控制整個網路。
舉例來說,當虛擬網路隧道內流量資料擷取方法應用資料中心,控制整個網路系統的交換機(實體與軟體交換機)的控制器可以掌握整個網路的資料流,頻寬管理包括通過各交換機的資料流查表的管理而能針對不同節點、不同用戶給予不同的使用頻寬、限制整體流量、限制用戶數量、傳輸速率與上線時間等。
圖9所示為運行的虛擬網路系統再一實施例示意圖,其中以三個主機示意表示多個主機運行隧道內流量資料擷取方法的實施態樣。
圖中第一主機91、第二主機92與第三主機93連接到一個交換機90,交換機90中運行一個軟體交換機(OVS),另可以SDN交換機與SDN控制器實現。第一主機91、第二主機92與第三主機93分別運行第一虛擬機器911(MAC:00:00:01)、第二虛擬機器921(MAC:00:00:02)與第三虛擬機器931(MAC:00:00:03),原本運行於虛擬區域網路擴展隧道識別碼61(VNI 61)的虛擬網路上。為了要讓交換機90可以順利監控隧道內資料流,交換機90與第一主機91、第二主機92與第三主機93分別運行的第一軟體交換機913、第二軟體交換機923與第三軟體交換機933建立不同的虛擬網路隧道,也分別賦予不同的隧道識別碼。
其中各個連線上都設有一對虛擬網路隧道(彼此之間可設有優先順序),包括交換機90的邏輯通訊埠(編號4000)與第一軟體交換機913上邏輯通訊埠(編號3000)之間的VNI 5001與VNI 61;交換機90的邏輯通訊埠(編號5000)與第二軟體交換機923上邏輯通訊埠(編號3000)之間的VNI 5002與VNI 5003;交換機90的邏輯通訊埠(編號6000)與第三軟體交換機933上邏輯通訊埠(編號3000)之間的VNI 5004與VNI 5005。
舉例來說,第一主機91中第一虛擬機器911產生封包,欲傳送到第三主機93的第三虛擬機器931,封包在通訊埠編號3000的邏輯通訊埠封裝,經隧道VNI 61傳送到交換機90的通訊埠編號4000的邏輯通訊埠,經卸裝後得到封包內容,查找資料流查表,決定輸出封包的通訊埠,如交換機90上通訊埠編號6000的邏輯通訊埠,改變封包表頭後重新封裝,再經隧道VNI 5004傳送到第三軟體交換機933上通訊埠編號3000的邏輯通訊埠,再卸裝後得到封包內容。如此,交換機90可以通過隧道內流量資料擷取方法監控第一主機91與第三主機93之間往來的資料流。
揭露書所提出的虛擬網路隧道內流量資料擷取方法與系統並不排除可應用於其他符合以上描述的通訊協定的其他協定。
綜上所述,根據以上實施例所描述的虛擬網路隧道內流量資料擷取方法與系統,隧道內流量資料擷取方法可通過修正運行於軟體交換機(OVS)內資料流查表達到目的,若有符合資料流查表,執行其中封包轉送;若沒有符合,通過SDN控制器或軟體交換機建立資料流記錄,使得交換機可以取得隧道內資料流的使用資訊,更準確計量封包,以達到監控、計量與管理隧道內資料流的目的。
惟以上所述僅為本發明之較佳可行實施例,非因此即侷限本發明之專利範圍,故舉凡運用本發明說明書及圖示內容所為之等效結構變化,均同理包含於本發明之範圍內,合予陳明。

Claims (16)

  1. 一種虛擬網路隧道內流量資料擷取方法,應用於一交換機內,該方法包括:接收由一第一主機中運行的第一虛擬機器產生的封包,該封包於該第一主機內執行的一第一軟體交換機建立的邏輯通訊埠以一隧道協定封裝,經由一第一虛擬網路隧道傳送到該交換機;於該交換機的一輸入邏輯通訊埠卸裝該封包;根據該封包表頭查找一資料流查表,以擷取隧道內流量資料;於該交換機的一輸出邏輯通訊埠重新以該隧道協定封裝該封包;以及通過一第二虛擬網路隧道傳送到一第二主機中一第二軟體交換機所建立的邏輯通訊埠;其中,由該第二軟體交換機的邏輯通訊埠接收經重新封裝的該封包,並卸裝該封包,該第二主機中運行的一第二虛擬機器得到該封包的原始資料。
  2. 如請求項1所述的虛擬網路隧道內流量資料擷取方法,其中該第一虛擬網路隧道設有一隧道識別碼,與該第二虛擬網路隧道的隧道識別碼不同。
  3. 如請求項2所述的虛擬網路隧道內流量資料擷取方法,其中,於重新封裝該封包時,修改該封包表頭,載入該交換機的資訊與目的地主機的資訊。
  4. 如請求項1所述的虛擬網路隧道內流量資料擷取方法,其中該資料流查表根據該第一主機與該第二主機內軟體交換機的設定更新,包括根據該第二主機中該第二軟體交換機所建立的邏輯通訊埠以及該第二虛擬網路隧道加入新的資料流記錄。
  5. 如請求項1所述的虛擬網路隧道內流量資料擷取方法,其中,於查找該資料流查表後,統計隧道內資料流、執行計量以管理隧道內資料流。
  6. 如請求項5所述的虛擬網路隧道內流量資料擷取方法,其中查找該資料流查表以擷取隧道內流量資料係由連接該交換機的一控制器執行。
  7. 如請求項6所述的虛擬網路隧道內流量資料擷取方法,其中該交換機為一軟體定義網路交換機,該控制器為一軟體定義網路控制器,該交換機與該控制器之間以一開放流協定運行。
  8. 如請求項1至7其中之一所述的虛擬網路隧道內流量資料擷取方法,其中該資料流查表包括有多個表,具有包括一或多個匹配欄位的表,用以查詢進入該第一或第二虛擬網路隧道內的封包表頭記載符合各表的資料流記錄。
  9. 如請求項8所述的虛擬網路隧道內流量資料擷取方法,其中更具有用以區隔封包的傳輸方式是單播或是多播的表。
  10. 如請求項9所述的虛擬網路隧道內流量資料擷取方法,其中更具有用以匹配虛擬網路隧道的識別碼的表,以對照虛擬網路隧道的識別碼賦予一個虛擬區域網路識別碼。
  11. 如請求項10所述的虛擬網路隧道內流量資料擷取方法,其中更具有從隧道內封包學習虛擬區域網路編號與MAC位址學習而加入資料流記錄的表。
  12. 如請求項11所述的虛擬網路隧道內流量資料擷取方法,其中更具有解除該封包的虛擬區域網路識別碼、設定虛擬網路隧道的識別碼與決定輸出通訊埠的表。
  13. 一種執行一虛擬網路隧道內流量資料擷取方法的系統,包括:一交換機,與多個主機建構一虛擬網路,該多個主機至少包括一第一主機與一第二主機;其中,該第一主機運行一第一虛擬機器,執行一第一軟 體交換機,與該交換機之間建立一第一虛擬網路隧道;該第二主機,運行一第二虛擬機器,執行一第二軟體交換機,與該交換機之間建立一第二虛擬網路隧道;其中,該交換機中運行的一軟體交換機程式執行該虛擬網路隧道內流量資料擷取方法,包括:接收由該第一虛擬機器產生的封包,該封包於該第一軟體交換機建立的邏輯通訊埠以一隧道協定封裝,經由該第一虛擬網路隧道傳送到該交換機;於該交換機的一輸入邏輯通訊埠卸裝該封包;根據該封包表頭查找一資料流查表,以擷取隧道內流量資料;於該交換機的一輸出邏輯通訊埠重新以該隧道協定封裝該封包;以及通過該第二虛擬網路隧道傳送到該第二軟體交換機所建立的邏輯通訊埠;其中,由該第二軟體交換機的邏輯通訊埠接收經重新封裝的該封包,並卸裝該封包,使該第二虛擬機器得到該封包的原始資料。
  14. 如請求項13所述的系統,更包括一控制器,連接該交換機,查找該資料流查表以擷取隧道內流量資料係由該控制器執行。
  15. 如請求項14所述的系統,其中該交換機為一軟體定義網路交換機,該控制器為一軟體定義網路控制器,該交換機與該控制器之間以一開放流協定運行。
  16. 如請求項13至15其中之一所述的系統,其中該虛擬網路中以運行一雲端作業系統的OpenStack控制器實現雲端服務。
TW107102051A 2018-01-19 2018-01-19 虛擬網路隧道內流量資料擷取方法與系統 TW201933837A (zh)

Priority Applications (3)

Application Number Priority Date Filing Date Title
TW107102051A TW201933837A (zh) 2018-01-19 2018-01-19 虛擬網路隧道內流量資料擷取方法與系統
CN201810095021.4A CN110061897A (zh) 2018-01-19 2018-01-31 虚拟网络隧道内流量数据获取方法与系统
US16/052,587 US20190230039A1 (en) 2018-01-19 2018-08-01 Method and system for extracting in-tunnel flow data over a virtual network

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
TW107102051A TW201933837A (zh) 2018-01-19 2018-01-19 虛擬網路隧道內流量資料擷取方法與系統

Publications (1)

Publication Number Publication Date
TW201933837A true TW201933837A (zh) 2019-08-16

Family

ID=67298315

Family Applications (1)

Application Number Title Priority Date Filing Date
TW107102051A TW201933837A (zh) 2018-01-19 2018-01-19 虛擬網路隧道內流量資料擷取方法與系統

Country Status (3)

Country Link
US (1) US20190230039A1 (zh)
CN (1) CN110061897A (zh)
TW (1) TW201933837A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI779798B (zh) * 2021-06-17 2022-10-01 新加坡商瑞昱新加坡有限公司 網路裝置及其媒體存取控制位址學習方法

Families Citing this family (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7293728B2 (ja) * 2019-03-01 2023-06-20 日本電気株式会社 パケットカプセル化方法およびパケットカプセル化装置
US11444877B2 (en) * 2019-03-18 2022-09-13 At&T Intellectual Property I, L.P. Packet flow identification with reduced decode operations
US11323287B2 (en) * 2019-07-18 2022-05-03 International Business Machines Corporation Link layer method of configuring a bare-metal server in a virtual network
US10938728B2 (en) * 2019-07-24 2021-03-02 Cisco Technology, Inc. High performance for efficient auto-scaling of stateful service
CN112913170A (zh) * 2019-10-01 2021-06-04 柏思科技有限公司 发送和接收互联网协议分组上的传输控制协议段的改进方法和系统
CN111555975B (zh) * 2020-03-20 2022-11-08 视联动力信息技术股份有限公司 一种数据发送方法、装置、电子设备及存储介质
CN111726305B (zh) * 2020-06-18 2021-03-16 广州市品高软件股份有限公司 一种面向虚拟机的多级流表管控方法及系统
CN112737850B (zh) * 2020-12-30 2023-03-24 杭州迪普科技股份有限公司 一种互斥访问的方法及装置
US11310146B1 (en) * 2021-03-27 2022-04-19 Netflow, UAB System and method for optimal multiserver VPN routing
CN113452551B (zh) * 2021-06-11 2022-07-08 烽火通信科技股份有限公司 Vxlan隧道拓扑监控方法、装置、设备及存储介质
US20230198805A1 (en) * 2021-12-17 2023-06-22 Arris Enterprises Llc Assignment of vxlan network identifiers and data planes
CN114338507B (zh) * 2021-12-23 2022-11-22 武汉绿色网络信息服务有限责任公司 一种实现改变云网关系统中流量转发路径的方法和装置
CN114465956B (zh) * 2022-04-11 2022-08-23 北京金山云网络技术有限公司 虚拟机流量限速的方法、装置、电子设备及存储介质
CN115134315B (zh) * 2022-09-01 2022-12-02 珠海星云智联科技有限公司 报文转发方法及相关装置
CN115883490A (zh) * 2022-11-29 2023-03-31 电子科技大学 基于sdn的分布式计算通信一体化调度方法及相关组件

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103414626A (zh) * 2013-08-28 2013-11-27 盛科网络(苏州)有限公司 基于网络虚拟化的报文处理方法及装置
US9912612B2 (en) * 2013-10-28 2018-03-06 Brocade Communications Systems LLC Extended ethernet fabric switches
CN103916314A (zh) * 2013-12-26 2014-07-09 杭州华为数字技术有限公司 报文转发控制方法和相关装置及物理主机
US10250529B2 (en) * 2014-07-21 2019-04-02 Big Switch Networks, Inc. Systems and methods for performing logical network forwarding using a controller
JP6434821B2 (ja) * 2015-02-19 2018-12-05 アラクサラネットワークス株式会社 通信装置及び通信方法
CN104702479B (zh) * 2015-03-10 2018-08-24 新华三技术有限公司 Sdn网络中建立隧道的方法和装置
US10038627B2 (en) * 2016-05-31 2018-07-31 Brocade Communications Systems LLC Selective rule management based on traffic visibility in a tunnel
CN106789667B (zh) * 2016-11-21 2021-01-01 华为技术有限公司 一种数据转发方法、相关设备及系统
CN107135134B (zh) * 2017-03-29 2019-09-13 广东网金控股股份有限公司 基于虚拟交换机和sdn技术的私用网络接入方法和系统

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI779798B (zh) * 2021-06-17 2022-10-01 新加坡商瑞昱新加坡有限公司 網路裝置及其媒體存取控制位址學習方法

Also Published As

Publication number Publication date
US20190230039A1 (en) 2019-07-25
CN110061897A (zh) 2019-07-26

Similar Documents

Publication Publication Date Title
TW201933837A (zh) 虛擬網路隧道內流量資料擷取方法與系統
US11240065B2 (en) NSH encapsulation for traffic steering
US10237177B2 (en) Transfer device and transfer system
US20240179107A1 (en) Managing network traffic in virtual switches based on logical port identifiers
EP3248331B1 (en) Method for controlling switches to capture and monitor network traffic
US8964569B2 (en) Generic monitoring packet handling mechanism for OpenFlow 1.1
US9331936B2 (en) Switch fabric support for overlay network features
US9590820B1 (en) Methods and apparatus for improving load balancing in overlay networks
US9215175B2 (en) Computer system including controller and plurality of switches and communication method in computer system
US9686137B2 (en) Method and system for identifying an outgoing interface using openflow protocol
US8645567B2 (en) Method and system for packet filtering for local host-management controller pass-through communication via network controller
EP2843906B1 (en) Method, apparatus, and system for data transmission
US9036636B1 (en) System and methods for managing network packet broadcasting
EP2974230B1 (en) Common agent framework for network devices
US20200145317A1 (en) Control apparatus, communication system, tunnel endpoint control method, and program
WO2013185715A1 (zh) 一种实现虚拟网络的方法和虚拟网络
US9008080B1 (en) Systems and methods for controlling switches to monitor network traffic
EP3844911B1 (en) Systems and methods for generating network flow information
WO2018001242A1 (zh) 一种数据报文处理方法及装置
CN106878136A (zh) 一种报文转发方法及装置
US9385951B2 (en) Apparatus and method for controlling packet transfer based on registered destination information
CN110022263B (zh) 一种数据传输的方法及相关装置
US20120170581A1 (en) Policy homomorphic network extension
WO2020125650A1 (zh) 报文采样方法及解封装方法、节点、系统及存储介质
JPWO2015052854A1 (ja) トラフィック管理システムおよびトラフィック管理方法