WO2018024187A1

WO2018024187A1 - 报文监控

Info

Publication number: WO2018024187A1
Application number: PCT/CN2017/095387
Authority: WO
Inventors: 宋小恒
Original assignee: 新华三技术有限公司
Priority date: 2016-08-01
Filing date: 2017-08-01
Publication date: 2018-02-08
Also published as: CN107682275A; US20200186447A1; JP6928076B2; EP3493477A4; US10938679B2; CN107682275B; EP3493477B1; EP3493477A1; JP2019523608A

Abstract

VTEP接收报文；若该报文为来自本地被监控主机的用户报文，则根据匹配的第一转发表项的执行动作，将报文镜像进行VXLAN封装后发送给监控服务器接入的远端VTEP，或者将报文镜像发送给本地监控服务器；若该报文为本地主机发往被监控主机的用户报文，则根据匹配的第二转发表项的执行动作，将报文镜像进行VXLAN封装后发送给监控服务器接入的远端VTEP，或者将报文镜像发送给本地监控服务器；若该报文为来自远端VTEP、且携带监控服务器标识的VXLAN报文，则根据匹配的第三转发表项的执行动作，对VXLAN报文解封装后发送给本地监控服务器。

Description

报文监控

相关申请的交叉引用

本专利申请要求于2016年8月1日提交的、申请号为201610620508.0、发明名称为“报文监控方法及装置”的中国专利申请的优先权，该申请的全文以引用的方式并入本文中。

背景技术

SDN(Software Defined Network，软件定义网络)网络中，控制器可对VM(Virtual Machine，虚拟机)的报文进行监控的过程为：控制器向被监控的VM接入的VTEP(VXLAN Tunnel End Point，VXLAN隧道端点)发送Openflow(开放流)流表项。该VTEP在接收到用户报文之后，可将该用户报文的源地址或者目的地址与该流表项进行匹配。若匹配，则将该用户报文进行镜像，并将得到的镜像报文转发给控制器。

通过上述过程，VTEP将被监控VM发出的用户报文、以及发往该VM的用户报文镜像一份转发给控制器进行监控。

附图说明

图1是本公开一示例性实施例示出的SDN的组网示意图；

图2是本公开一示例性实施例示出的被监控主机接入的VTEP接收到监控配置信息之后，执行的转发表项配置过程的流程图；

图3是本公开一示例性实施例示出的扩展后的VXLAN头的格式示意图；

图4是本公开一示例性实施例示出的携带监控配置信息的BGP报文的格式示意图；

图5是本公开一示例性实施例示出的被监控主机未接入的VTEP接收到监控配置信息之后，执行的转发表项配置过程的流程图；

图6是本公开一示例性实施例示出的VTEP接收到报文之后，对该报文进行转发的处理流程图；

图7是本公开一示例性实施例示出的VTEP接收到用户报文之后，对该用户报文进行转发的处理流程图；

图8是本公开一示例性实施例示出的VTEP在接收到VXLAN报文之后，对该VXLAN报文进行转发的处理流程图；

图9是本公开一示例性实施例示出的VTEP接收到监控服务器的地址之后，对转发表项进行更新的处理流程图；

图10是图1中的VM10发生了迁移后的组网示意图；

图11是图10中的SERV21发生了迁移后的组网示意图；

图12是本公开一示例性实施例示出的VTEP的硬件结构示意图；

图13是本公开一示例性实施例示出的VTEP的一种结构示意图；

图14是本公开一示例性实施例示出的VTEP的另一种结构示意图；

图15是本公开一示例性实施例示出的VTEP的又一种结构示意图。

具体实施方式

这里将结合附图详细地对示例性实施例进行说明。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本公开相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本公开的一些方面相一致的装置和方法的例子。

在本公开使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本公开。在本公开和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。

应当理解，尽管在本公开可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本公开范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。

在背景技术描述的报文监控方法中，所有被监控的VM的数据流都需要转发给控制器进行监控。当被监控的VM的数量较多，和/或被监控的VM的数据流的流量较大时，会占用控制器较多的CPU(Central Processing Unit，中央处理单元)资源，从而影响控制器的性能。

因此，本公开以下实施例中提供了一种报文监控方法，以及一种可以应用该方法的VTEP。

在本公开实施例中，在如图1所示的SDN中应用EVPN(Ethernet Virtual Private Network，以太网虚拟专用网络)技术。即，由EVPN作为SDN的承载网，在控制平面上采用BGP(Border Gateway Protocol，边界网关协议)通告路由信息，在数据平面上采用VXLAN封装方式转发用户报文。

在如图1所示的SDN中，包括控制器100、路由器R 10和R 20、以及VTEP 101至104。其中，各个VTEP上连接的主机可以是VM也可以是物理设备，本公开对此不作限定。例如，VM 210至240以及服务器SERV 21分别连接至各个VTEP。

由此，本公开实施例的报文监控方法包括以下内容：

在SDN中，控制器100能够从各个VTEP获取该VTEP连接的主机的信息，其中，该主机的信息中包括：该主机的IP(Internet Protocol，因特网协议)地址、MAC(Media Access Control，媒体访问控制)地址、以及该主机所处的物理位置信息，该物理位置信息具体可以是该主机接入的VTEP的标识(ID)和该VTEP上连接该主机的用户端口的ID。

控制器100通过可视化界面提供SDN的网络架构，从而，用户可以通过点击等方式指定被监控主机，以及，指定负责监控该被监控主机的监控服务器；其中，被监控主机和监控服务器可以连接在同一VTEP上，也可以连接在不同VTEP上，本公开对此不做限定。

在接收到携带有被监控主机的ID和监控服务器的ID的监控指令之后，控制器100向被监控主机接入的VTEP发送监控配置信息，该监控配置信息中至少包括：被监控主机的地址和所属的VXLAN ID(标识)、监控服务器的地址、以及该监控服务器的ID，其中，上述地址可以包括MAC地址和/或IP地址。监控服务器的ID是控制器为监控服务器分配的唯一标识。在实际实施过程中，控制器可以通过NETCONF(网络配置)协议，向被监控主机接入的VTEP发送监控配置信息。

被监控主机接入的VTEP接收到控制器100发来的监控配置信息之后，保存该监控配置信息，并且执行如图2所示的步骤：

步骤S101，根据该监控配置信息中携带的监控服务器的地址，判断该监控服务器是否连接在本VTEP上，若是，则本VTEP既是被监控主机接入的VTEP也是监控服务器接入的VTEP，执行步骤S102，否则，执行步骤S103。

步骤S102，在本地转发表中配置第一转发表项和第三转发表项。其中，该第一转发表项的匹配规则(match rule)为：报文源地址为该被监控主机的地址(IP地址或MAC地址)。该第一转发表项的执行动作(action)为：对用户报文进行镜像，将镜像报文发送给本地的监控服务器。该第三转发表项的匹配规则为：VXLAN报文中携带监控服务器的ID。该第三转发表项的执行动作为：对VXLAN报文解封装后发送给本地的监控服务器。

在实际实施过程中，VTEP根据该监控服务器的地址即可确定出本VTEP上连接该监控服务器的用户端口，通过该用户端口即可将该镜像报文发送给该监控服务器。

步骤S103，在本地转发表中配置第一转发表项。其中，该第一转发表项的匹配规则为报文源地址为该被监控主机的地址(IP地址或MAC地址)。该第一转发表项的执行动作为：对用户报文进行镜像，将镜像报文进行VXLAN封装后发送给监控服务器接入的远端VTEP，其中，进行VXLAN封装后得到的VXLAN报文携带监控服务器的ID。

在实际实施过程中，将该监控服务器的ID与镜像报文一起进行VXLAN封装后，将封装得到的VXLAN报文发送给该监控服务器接入的远端VTEP。可见，VXLAN报文中需要携带监控服务器的ID，为此，本公开实施例对VXLAN报文的VXLAN头进行了扩展，扩展后的VXLAN头的格式如图3所示，其中的HOST ID字段用于携带监控服务器的ID。

从而，通过上述步骤S101～步骤S103，被监控主机接入且监控服务器接入的VTEP不仅要配置第一转发表项，还要配置第三转发表项；而被监控主机接入且监控服务器未接入的VTEP，仅配置第一转发表项。

另外，在接收到控制器100发来的监控配置信息之后，被监控主机接入的VTEP还会将该监控配置信息发送给该监控配置信息中携带的VXLAN内的所有远端VTEP。在实际实施过程中，由于在控制层面上采用BGP，因此，该监控配置信息会携带在BGP报文中在该VXLAN内泛洪，从而，泛洪给该VXLAN内的所有远端VTEP。

其中，上述携带有监控配置信息的BGP报文的格式如图4所示意，其中，Source MAC Address字段用于携带被监控主机的MAC地址，Source IP Address字段用于携带被监控主机的IP地址，Monitor MAC Address字段用于携带监控服务器的MAC地址，Monitor IP Address字段用于携带监控服务器的IP地址，HOST ID字段用于携带监控服务器的ID。

被监控主机未接入的远端VTEP在接收到监控配置信息之后，保存该监控配置信息，并且，还会执行如图5所示的步骤：

步骤S201，根据该监控配置信息中携带的监控服务器的地址，判断该监控服务器是否连接在本VTEP上，若否，则执行步骤S202，若是，说明本VTEP是监控服务器接入的VTEP，则执行步骤S203。

步骤S202，在本地转发表中配置第二转发表项。其中，该第二转发表项的匹配规则为：报文目的地址为被监控主机的地址。该第二转发表项的执行动作为：对用户报文进行镜像，对镜像报文进行VXLAN封装后发送给该监控服务器接入的远端VTEP，其中，进行VXLAN封装后得到的VXLAN报文携带监控服务器的ID。

步骤S203，在本地转发表中配置第二转发表项和第三转发表项。其中，该第二转发表项的匹配规则为：报文目的地址为被监控主机的地址。该第二转发表项的执行动作为：对用户报文进行镜像，将镜像报文发送给本地的监控服务器。该第三转发表项的匹配规则为：VXLAN报文中携带监控服务器的ID。该第三转发表项的执行动作为：对VXLAN报文解封装后发送给本地的监控服务器。

从而，通过上述步骤S201～步骤S203，被监控主机未接入且监控服务器未接入的VTEP仅配置第二转发表项，而被监控主机未接入且监控服务器接入的VTEP不仅要配置第二转发表项，还要配置第三转发表项。

至此，被监控主机接入且监控服务器未接入的VTEP配置第一转发表项，被监控主机接入且监控服务器接入的VTEP配置第一转发表项和第三转发表项，被监控主机未接入且监控服务器未接入的VTEP配置第二转发表项，被监控主机未接入且监控服务器接入的VTEP配置第二转发表项和第三转发表项。

参见图6，图6是本公开一示例性实施例示出的VTEP接收到报文之后，对该报文进行转发的处理流程图。

步骤S301，VTEP可接收到报文。

步骤S302，VTEP可确定该报文的类型。

若该报文为来自本地被监控主机的用户报文，则流程进行到步骤S303。在步骤S303，VTEP根据匹配的第一转发表项，将报文镜像并进行VXLAN封装后发送给监控服务器接入的远端VTEP，或者将报文镜像发送给本地监控服务器。

若该报文为本地主机发往被监控主机的用户报文，则流程进行到步骤S304。在步骤S304，VTEP根据匹配的第二转发表项，将报文镜像并进行VXLAN封装后发送给监控服务器接入的远端VTEP，或者将报文镜像发送给本地监控服务器。

若该报文为来自远端VTEP、且携带监控服务器的标识的VXLAN报文，则流程进行到步骤S305。在步骤S305中，VTEP根据匹配的第三转发表项，对所述VXLAN报文解封装后发送给本地监控服务器。

若VTEP为被监控主机接入的VTEP，则在步骤S302中VTEP通过判断该报文是否命中该第一转发表项来确定该报文的类型。若该报文命中该第一转发表项，则VTEP明确该报文为来自本地被监控主机的用户报文，并执行步骤S303中的操作。

其中，在步骤S303中会将监控服务器的ID与镜像报文一起进行VXLAN封装，并将封装得到的VXLAN报文发送给监控服务器接入的远端VTEP。

若VTEP为被监控主机未接入的VTEP，则在步骤S302中VTEP通过判断该报文是否命中第二转发表项来确定该报文的类型。若该报文命中该第二转发表项，则VTEP明确该报文为来自本地主机的用户报文，并执行步骤S304中的操作。

其中，在步骤S304中，在对报文镜像进行VXLAN封装时，会将监控服务器的ID与镜像报文一起进行VXLAN封装，并将封装得到的VXLAN报文发送给监控服务器接入的远端VTEP。

若VTEP为监控服务器接入的VTEP，则在步骤S302中VTEP通过判断该报文是否命中第三转发表项来确定该报文的类型。若该报文命中该第三转发表项，VTEP可明确该报文是来自远端VTEP、且携带监控服务器的标识的VXLAN报文，并执行步骤S305中的操作。

在实际实施中，在步骤S302中，VTEP在确定报文的类型时，首先会判断该报文是用户报文还是VXLAN报文。例如，VTEP可以确定接收到该报文的端口是用户侧端口还是公网侧端口，如果端口是用户侧端口，则说明该报文是虚拟机发来的用户报文，如果端口是公网侧端口，则说明该报文是通过VXLAN隧道接收的VXLAN报文。然后，VTEP将接收的用户报文或VXLAN报文与本地的转发表项进行匹配。

在本公开的示例中，还存在与被监控主机接入同一VTEP的本地主机向该被监控主机发送报文的情况。结合图7来描述在该情况下VTEP接收到用户报文之后执行的操作。

步骤S401，VTEP在接收到用户报文之后，将用户报文的源地址与第一转发表项进行匹配；

步骤S402，VTEP判断是否命中该第一转发表项，若是，则明确用户报文为来自本地被监控主机的用户报文，并执行步骤S403，否则，执行步骤S404；

步骤S403，VTEP根据匹配的第一转发表项，将该用户报文进行镜像，将镜像报文进行VXLAN封装后发送给监控服务器接入的远端VTEP，或者将镜像报文发送给本地的监控服务器；之后退出本流程。

其中，在步骤S403中会将监控服务器的ID与镜像报文一起进行VXLAN封装，并将封装后的VXLAN报文发送给监控服务器接入的远端VTEP。

步骤S404，VTEP将该用户报文的目的地址与第二转发表项进行匹配；

步骤S405，VTEP判断是否命中该第二转发表项，若是，则明确用户报文为来自本地主机的用户报文，并执行步骤S406，否则，退出本流程。

步骤S406，VTEP根据匹配的第二转发表项的执行动作，对该用户报文进行镜像，将镜像报文进行VXLAN封装后发送给监控服务器接入的远端VTEP，或者将镜像报文发送给本地的监控服务器。

其中，在步骤S406中会将监控服务器的ID与镜像报文一起进行VXLAN封装，并将封装得到的VXLAN报文发送给监控服务器接入的远端VTEP。

从而，通过上述步骤S401～步骤S406，被监控主机接入的VTEP会将被监控主机发出的用户报文的镜像报文后通过VXLAN隧道发送给监控服务器接入的远端VTEP，或者将该用户报文的镜像报文发送给本地的监控服务器；VTEP会将本地主机发往被监控主机的用户报文的镜像报文，通过VXLAN隧道发送给监控服务器接入的远端VTEP，或者将该用户报文的镜像报文发送给本地的监控服务器。

VTEP在接收到VXLAN报文之后执行的步骤如图8所示：

步骤S501，VTEP在接收到VXLAN报文之后，将该VXLAN报文与第三转发表项进行匹配；

步骤S502，VTEP判断该VXLAN报文是否命中第三转发表项，若是，则明确该VXLAN报文为来自远端VTEP、且携带监控服务器的标识的VXLAN报文，并执行步骤S503，否则，退出本流程；

步骤S503，VTEP根据匹配的第三转发表项，对该VXLAN报文解封装后发送给本地的监控服务器。

具体的，在步骤S503中，VTEP会对该VXLAN报文进行解封装，并将解封装得到的用户报文通过本VTEP上连接该监控服务器的用户端口转发给该监控服务器，从而，由该监控服务器对该用户报文进行监控。

在上述实施例的方法中，被监控主机连接的VTEP在接收到被监控主机发出的用户报文之后，会根据匹配的第一转发表项的执行动作，对该用户报文的镜像进行VXLAN封装后发送给监控服务器接入的远端VTEP，或者将该用户报文的镜像发送给本地监控服务器；被监控主机未接入的VTEP在接收到本地主机发往被监控主机的用户报文之后，会根据匹配的第二转发表项的执行动作，将该用户报文的镜像进行VXLAN封装后发送给监控服务器接入的远端VTEP，或者将该用户报文的镜像发送给本地监控服务器，其中，该用户报文的镜像进行VXLAN封装后携带监控服务器标识；监控服务器接入的VTEP在接收到来自远端VTEP、且携带监控服务器标识的VXLAN报文之后，会根据匹配的第三转发表项的执行动作，对该VXLAN报文解封装后发送给本地监控服务器，从而，实现了对被监控主机发出的报文以及发往被监控主机的报文的监控。

在上述方法中，无需由控制器进行监控，控制器可向监控服务器获取监控结果即可，从而节约了控制器的CPU资源，提高了控制器的性能。

需要注意的是：在实际实施过程中，VTEP既可以作为被监控主机接入的VTEP，也可以作为被监控主机未接入的VTEP，还可以作为监控服务器接入的VTEP，当该VTEP作为不同角色的VTEP时，可以执行相应的操作。

由于在SDN中VM可以发生迁移，因此，当被监控主机发生迁移时，VTEP在检测到该被监控主机迁入本VTEP之后，会通过BGP报文向该VM所属VXLAN内的所有远端VTEP发送被监控主机的地址，并且，在本地转发表中查找匹配规则中报文目的地址为该被监控主机的地址的第二转发表项，将查找到的第二转发表项更新为匹配规则中报文源地址为该被监控主机地址的第一转发表项。

远端VTEP(即，被监控主机当前未接入的VTEP)接收到携带有该被监控主机的地址的BGP报文之后，会判断该被监控主机是否是从本VTEP迁出。在判断出该被监控主机是从本VTEP迁出时，在本地转发表中查找匹配规则中报文源地址为该被监控主机地址的第一转发表项，将查找到的第一转发表项更新为匹配规则中报文目的地址为该被监控主机的地址的第二转发表项。从而，该远端VTEP成为该被监控主机未接入的VTEP。

其中，检测被监控主机迁入本VTEP的具体方法可以是：在接收到VM迁移后发出的携带有该VM的地址的ARP(Address Resolution Protocol，地址解析协议)报文之后，根据本地保存的监控配置信息，确定该VM是被监控主机；并且，更新该MAC地址对应的MAC表项；此时，如果发现更新前该MAC地址对应于VXLAN隧道，而更新后对应于本地用户端口，则可以确定该被监控主机是迁入本VTEP的。

判断被监控主机是从本VTEP迁出的具体方法可以是：在接收到携带有VM的地址的BGP 报文之后，根据本地保存的监控配置信息，确定该VM是被监控主机；并且，更新该MAC地址对应的MAC表项；此时，如果发现更新前该MAC地址对应于本地用户端口，而更新后对应于VXLAN隧道，则可以确定该被监控主机是从本VTEP迁出的。

另外，当监控服务器发生迁移时，VTEP在检测到监控服务器迁入本VTEP之后，会通过BGP报文向该监控服务器所属VXLAN内的所有远端VTEP发送该监控服务器的地址；根据本地保存的监控配置信息，确认该监控服务器对应的被监控主机的地址和该监控服务器的标识；然后，在本地转发表中查找匹配规则中报文源地址为该被监控主机的地址的第一转发表项，或者，匹配规则中报文目的地址为该被监控主机的地址的第二转发表项，将查找到的第一转发表项或第二转发表项的执行动作更新为将报文镜像发送给本地的该监控服务器；在本地转发表中配置第三转发表项，其中，匹配规则中的监控服务器标识为迁入本VTEP的该监控服务器的标识。

远端VTEP(即，监控服务器当前未接入的VTEP)在接收到携带有该监控服务器的地址的BGP报文之后，会执行如图9所示的操作：

步骤S601，VTEP根据本地保存的监控配置信息，确认该监控服务器对应的被监控主机的地址和该监控服务器的标识；

步骤S602，VTEP判断该监控服务器是否从本VTEP迁出，若是，则执行步骤S603和S504，否则，执行步骤S605；

步骤S603，VTEP在本地转发表中查找匹配规则中报文源地址为该被监控主机的地址的第一转发表项，或者，匹配规则中报文目的地址为该被监控主机的地址的第二转发表项，将查找到的第一转发表项或第二转发表项的执行动作更新为将报文镜像进行VXLAN封装后发送给该监控服务器迁入的VTEP；

步骤S604，VTEP在本地转发表中查找匹配规则中包含该监控服务器的标识的第三转发表项并删除；

步骤S605，VTEP在本地转发表中查找匹配规则中报文源地址为该被监控主机的地址的第一转发表项，或者，匹配规则中报文目的地址为该被监控主机的地址的第二转发表项，将查找到的第一转发表项或第二转发表项的执行动作更新为将报文镜像进行VXLAN封装后发送给该监控服务器迁入的VTEP。

其中，检测监控服务器迁入本VTEP的具体方法可以是：在接收到VM迁移后发出的携带有该VM的地址的ARP(Address Resolution Protocol，地址解析协议)报文之后，根据本地保存的监控配置信息，确定该VM是监控服务器，并且，更新该MAC地址对应的MAC表项，此时，如果发现更新前该MAC地址对应于VXLAN隧道，而更新后对应于本地用户端口，则可以确定该监控服务器是迁入本VTEP的。

判断监控服务器是从本VTEP迁出的具体方法可以是：在接收到携带有VM的地址的BGP报文之后，根据本地保存的监控配置信息，确定该VM是监控服务器，并且，更新该MAC地址对应的MAC表项，此时，如果发现更新前该MAC地址对应于本地用户端口，而更新后对应于VXLAN隧道，则可以确定该监控服务器是从本VTEP迁出的。

在上述实施例的方法中，当被监控主机和监控服务器发生了迁移时，各个VTEP会动态的更新本VTEP上的第一转发表项、第二转发表项和第三转发表项，从而，能够实现被监控主机和监控服务器发生迁移时的报文监控。

以如图1所示的SDN为例进行说明，在该SDN中应用EVPN技术，VM210～VM240同属于VXLAN1，VTEP104连接了1个监控服务器SERV21，VTEP101～VTEP104中的任意两个VTEP之间建立了VXLAN隧道。控制器100和各个VTEP之间建立了NETCONF协议连接，用于传输监控配置信息。SERV21的ID为HOST ID1，各个VM的MAC地址表示为VM-MAC、IP地址表示为VM-IP，各个VTEP的MAC地址表示为VTEP-MAC、IP地址表示为VTEP-IP。

控制器100通过NETCONF协议向VTEP101发送监控配置信息，其中，该监控配置信息中包括：被监控主机VM210的MAC地址、IP地址和所属VXLAN，监控服务器SERV21的MAC地址和IP地址，以及HOST ID1。

VTEP101接收到该监控配置信息之后，保存该监控配置信息，在本地转发表中配置如表1-1第2行所示的第一转发表项，并将该监控配置信息通过BGP报文发送给VXLAN1内的VTEP102～VTEP104。

表1-1

VTEP102和VTEP103通过BGP报文接收到该监控配置信息之后，保存该监控配置信息，在本地转发表中配置如表2-1第2行所示的第二转发表项；VTEP104通过BGP报文接收到该监控配置信息之后，保存该监控配置信息，在本地转发表中配置如表3-1第2行所示的第二转发表项和如表3-1第3行所示的第三转发表项。

表2-1

表3-1

VM210要访问VM230时，发出源IP地址为VM210-IP、目的IP地址为VM230-IP的用户报文。VTEP101接收到该用户报文后，一方面根据该用户报文的目的IP地址进行查表转发，从而，对该用户报文进行VXLAN封装后，将VXLAN报文转发给VTEP103；另一方面，将该用户报文与如表1-1第2行所示的第一转发表项进行匹配，结果命中该第一转发表项，则对该用户报文进行镜像，将HOST ID1与镜像报文一起进行VXLAN封装后，将封装得到的VXLAN报文发送给VTEP104。

VTEP104接收到该VXLAN报文后，将该VXLAN报文与如表3-1第3行所示的第三转发表项进行匹配，结果是命中该第三转发表项，则对该VXLAN报文进行解封装得到用户报文，将该用户报文发送给SERV21，由SERV21对该用户报文进行监控。

VTEP103接收到VXLAN报文后，进行解封装得到用户报文，并将该用户报文转发给VM230。VM230接收到该用户报文后，应答源IP地址为VM230-IP、目的IP地址为VM210-IP的用户报文。VTEP103接收到该用户报文之后，一方面，根据该用户报文的目的IP地址进行查表转发，从而，对该用户报文进行VXLAN封装后，将封装得到的VXLAN报文转发给VTEP101；另一方面，将该用户报文与如表2-1第2行所示的第二转发表项进行匹配，结果是命中该第二转发表项，则对该用户报文进行镜像，将HOST ID1与镜像报文一起进行VXLAN封装后发送给VTEP104。

按照上述过程，SERV21实现了对VM210发出的用户报文和发往VM210的用户报文的监控。控制器定期向SERV21获取监控结果即可。

后续，当VM210从VTEP101迁移到了VTEP102时，如图10所示，VTEP102检测到VM210迁移到本VTEP之后，根据本地保存的监控配置信息，确定VM210是被监控主机，则通过BGP报文向VTEP101、VTEP103和VTEP104发送VM210的MAC地址VM210-MAC和IP地址VM210-IP，并且，将如表2-1第2行所示的第二转发表项，更新为匹配规则是报文源地址为VM210的IP地址VM210-IP的第一转发表项，该第一转发表项如表2-2第2行所示。

表2-2

VTEP101在接收到VTEP102通过BGP报文发来的VM210的MAC地址和IP地址之后，根据本地保存的监控配置信息，确定VM210是被监控主机，则在判断出VM210是从本VTEP迁出时，将如表1-1第2行所示的第一转发表项，更新为匹配规则是报文目的地址为VM210-IP的第二转发表项，该第二转发表项如表1-2第2行所示。

而VTEP103和VTEP104在接收到VTEP102通过BGP报文发来的VM210的MAC地址和IP地址之后，根据本地保存的监控配置信息，确定VM210是被监控主机，然而，判断出VM210不是从本VTEP迁出，则不会对第二转发表项进行更新。

表1-2

当监控服务器SERV21从VTEP104迁移到VTEP103时，如图11所示，VTEP103在检测到SERV21迁移到本VTEP之后，根据本地保存的监控配置信息，确定SERV21是监控服务器，并确定出SERV21的ID为HOST ID1、以及对应的被监控主机VM210的MAC地址和IP地址，然后，通过BGP报文向VTEP101、VTEP102、VTEP104发送SERV21的地址，并且，将如表2-1第2行所示的第二转发表项更新为如表4-1第2行所示；另外，VTEP103还会在本地转发表中配置如表4-1第3行所示的第三转发表项。

表4-1

VTEP104在接收到VTEP103通过BGP报文发来的SERV21的地址之后，根据本地保存的监控配置信息，确定SERV21是监控服务器，并确定出SERV21的ID为HOST ID1、以及对应的被监控主机VM210的MAC地址和IP地址，然后，在判断出SERV21是从本VTEP迁出时，将如表3-1第2行所示的第二转发表项更新为如表3-2第2行所示；并且，删除如表3-1第3行所示的第三转发表项。

表3-2

VTEP101在接收到VTEP103通过BGP报文发来的SERV21的地址之后，根据本地保存的监控配置信息，确定SERV21是监控服务器，并确定出SERV21的ID为HOST ID1、以及对应的被监控主机VM210的MAC地址和IP地址，然后，在判断出SERV21不是从本

VTEP迁出时，将如表1-2第2行所示的第二转发表项更新为如表1-3第2行所示。

表1-3

VTEP102在接收到VTEP103通过BGP报文发来的SERV21的地址之后，根据本地保存的监控配置信息，确定SERV21是监控服务器，并确定出SERV21的ID为HOST ID1、以及对应的被监控主机VM210的MAC地址和IP地址，然后，在判断出SERV21不是从本VTEP迁出时，将如表2-2第2行所示的第一转发表项更新为如表2-3第2行所示。

表2-3

与前述报文监控方法的实施例相对应，本公开还提供了该报文监控方法所应用的VTEP的实施例。

图12为本公开示例提供的一种VTEP的硬件结构示意图。该VTEP可包括处理器1201、存储有机器可执行指令的机器可读存储介质1202。处理器1201与机器可读存储介质1202可经由系统总线1203通信。并且，通过读取并执行机器可读存储介质1202中与报文监控逻辑对应的机器可执行指令，处理器1201可执行上文描述的报文监控方法。

本文中提到的机器可读存储介质1202可以是任何电子、磁性、光学或其它物理存储装置，可以包含或存储信息，如可执行指令、数据，等等。例如，机器可读存储介质可以是：RAM(Radom Access Memory，随机存取存储器)、易失存储器、非易失性存储器、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、dvd等)，或者类似的存储介质，或者它们的组合。

请参考图13，从功能上划分，上述报文监控逻辑中包括：接收模块1301、封装发送模块1302和解封装发送模块1303。

在这种情况下，接收模块1301，用于接收报文。

封装发送模块1302，用于若接收模块1301接收到的报文为来自本地被监控主机的用户报文，则根据匹配的第一转发表项的执行动作，将报文镜像进行VXLAN封装后发送给监控服务器接入的远端VTEP，或者将报文镜像发送给本地监控服务器；还用于若接收模块1301接收到的报文为本地主机发往被监控主机的用户报文，则根据匹配的第二转发表项的执行动作，将报文镜像进行VXLAN封装后发送给监控服务器接入的远端VTEP，或者将报文镜像发送给本地监控服务器；其中，报文镜像进行VXLAN封装后携带监控服务器标识。

解封装发送模块1303，用于若接收模块1301接收到的报文为来自远端VTEP、且携带监控服务器标识的VXLAN报文，则根据匹配的第三转发表项的执行动作，对该VXLAN报文解封装后发送给本地监控服务器。

其中，来自本地被监控主机的用户报文的源地址与匹配的第一转发表项的匹配规则中的报文源地址相同；本地主机发往被监控主机的用户报文的目的地址与匹配的第二转发表项的匹配规则中的报文目的地址相同；VXLAN报文携带的监控服务器标识与匹配的第三转发表项的匹配规则中的监控服务器标识相同。

如图14所示，上述报文监控逻辑中还包括：配置模块1404和信息发送模块1405。

在这种情况下，接收模块1301，还用于当本VTEP为被监控主机接入的VTEP时，用于接收控制器发来的监控配置信息，其中，该监控配置信息中至少包括：被监控主机的地址和所属的VXLAN标识、监控服务器的地址、以及监控服务器标识；还用于当本VTEP为被监控主机未接入的VTEP时，接收远端VTEP发送的监控配置信息；还用于当本VTEP为监控服务器接入的VTEP时，接收远端VTEP发送的监控配置信息。

配置模块1404，用于在接收模块1301接收到控制器发来的监控配置信息之后，在本地转发表中配置第一转发表项；还用于当本VTEP为被监控主机未接入的VTEP时，在接收模块1301接收到远端VTEP发送的监控配置信息之后，在本地转发表中配置第二转发表项；还用于当本VTEP为监控服务器接入的VTEP时，在接收模块1301接收到远端VTEP发送的监控配置信息之后，在本地转发表中配置第三转发表项。

信息发送模块1405，用于在接收模块1301接收到控制器发来的监控配置信息之后，将该监控配置信息发送给所有远端VTEP。

如图14所示，上述报文监控逻辑还包括：查找更新模块1406。

在这种情况下，信息发送模块1405，还用于在检测到被监控主机迁入本VTEP之后，向所有远端VTEP发送被监控主机的地址。

查找更新模块1406，用于在检测到被监控主机迁入本VTEP之后，在本地转发表中查找匹配规则中报文目的地址为该被监控主机的地址的第二转发表项，将查找到的第二转发表项更新为匹配规则中报文源地址为该被监控主机地址的第一转发表项。

如图14所示，上述报文监控逻辑中还包括：判断模块1407。

在这种情况下，接收模块1301，还用于接收远端VTEP发来的被监控主机的地址。

判断模块1407，用于在接收模块1301接收到远端VTEP发来的被监控主机的地址之后，判断该被监控主机是否从本VTEP迁出。

查找更新模块1406，用于若判断模块1406的判断结果是该被监控主机是从本VTEP迁出，则在本地转发表中查找匹配规则中报文源地址为该被监控主机地址的第一转发表项，将查找到的第一转发表项更新为匹配规则中报文目的地址为该被监控主机的地址的第二转发表项。

如图15所示，上述报文监控逻辑中还包括：确认模块1508。

在这种情况下，信息发送模块1405，还用于在检测到监控服务器迁入本VTEP之后，向所有远端VTEP发送该监控服务器的地址。

确认模块1508，用于在检测到监控服务器迁入本VTEP之后，确认该监控服务器对应的被监控主机的地址和该监控服务器的标识。

查找更新模块1406，用于在确认模块1508确认该监控服务器对应的被监控主机的地址之后，在本地转发表中查找匹配规则中报文源地址为该被监控主机的地址的第一转发表项，或者，匹配规则中报文目的地址为该被监控主机的地址的第二转发表项，将查找到的第一转发表项或第二转发表项的执行动作更新为将报文镜像发送给本地的该监控服务器。

配置模块1404，还用于在确认模块1508确认该监控服务器对应的该监控服务器的标识之后，在本地转发表中配置第三转发表项，其中，匹配规则中的监控服务器标识为迁入本VTEP的该监控服务器的标识。

如图15所示，上述报文监控逻辑中还包括：确认模块1508。

在这种情况下，接收模块1301，还用于接收远端VTEP发来的监控服务器的地址。

确认模块1508，用于在接收模块1301接收到远端VTEP发来的监控服务器的地址之后，确认该监控服务器对应的被监控主机的地址和该监控服务器的标识。

判断模块1407，用于在接收模块1301接收到远端VTEP发来的监控服务器的地址之后，判断该监控服务器是否从本VTEP迁出。

查找更新模块1406，用于若判断模块1407的判断结果是该监控服务器是从本VTEP迁出，则在确认模块1508确认该监控服务器对应的被监控主机的地址和该监控服务器的标识之后，在本地转发表中查找匹配规则中报文源地址为该被监控主机的地址的第一转发表项，或者，匹配规则中报文目的地址为该被监控主机的地址的第二转发表项，将查找到的第一转发表项或第二转发表项的执行动作更新为将报文镜像进行VXLAN封装后发送给该监控服务器迁入的远端VTEP，在本地转发表中查找匹配规则中包含该监控服务器的标识的第三转发表项并删除；查找更新模块1406，还用于若判断模块1407的判断结果是该监控服务器不是从本VTEP迁出，则在确认模块1508确认该监控服务器对应的被监控主机的地址之后，在本地转发表中查找匹配规则中报文源地址为该被监控主机的地址的第一转发表项，或者，匹配规则中报文目的地址为该被监控主机的地址的第二转发表项，将查找到的第一转发表项或第二转发表项的执行动作更新为将报文镜像进行VXLAN封装后发送给该监控服务器迁入的远端VTEP。

上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程，在此不再赘述。

对于装置实施例而言，由于其基本对应于方法实施例，所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本公开方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

以上所述仅为本公开的较佳实施例而已，并不用以限制本公开，凡在本公开的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本公开保护的范围之内。

Claims

一种报文监控方法，包括：

可扩展虚拟局域网络VXLAN隧道端点VTEP接收报文；

若所述报文为来自本地被监控主机的用户报文，则所述VTEP根据与所述报文匹配的第一转发表项，将报文镜像并进行VXLAN封装后发送给监控服务器接入的远端VTEP，或者将报文镜像发送给本地监控服务器；

若所述报文为本地主机发往所述被监控主机的用户报文，则所述VTEP根据与所述报文匹配的第二转发表项，将报文镜像并进行VXLAN封装后发送给监控服务器接入的远端VTEP，或者将报文镜像发送给本地监控服务器；

若所述报文为来自远端VTEP、且携带所述监控服务器的标识的VXLAN报文，则所述VTEP根据与所述报文匹配的第三转发表项，对所述VXLAN报文解封装后发送给本地监控服务器。
根据权利要求1所述的方法，其中，

所述来自本地被监控主机的用户报文的源地址与所述第一转发表项的匹配规则中的报文源地址相同；

所述本地主机发往所述被监控主机的用户报文的目的地址与所述第二转发表项的匹配规则中的报文目的地址相同；

所述VXLAN报文携带的所述监控服务器的标识与所述第三转发表项的匹配规则中的监控服务器标识相同。
根据权利要求2所述的方法，还包括：

所述被监控主机接入的VTEP接收控制器发来的监控配置信息，在本地转发表中配置所述第一转发表项，并将所述监控配置信息发送给所有远端VTEP；

所述被监控主机未接入的VTEP接收远端VTEP发送的所述监控配置信息，在本地转发表中配置所述第二转发表项；

所述监控服务器接入的VTEP接收所述远端VTEP发送的所述监控配置信息，在本地转发表中配置所述第三转发表项；

其中，所述监控配置信息中至少包括：所述被监控主机的地址和所属的VXLAN标识、所述监控服务器的地址、以及所述监控服务器标识。
根据权利要求3所述的方法，还包括：

所述VTEP在检测到所述被监控主机迁入本VTEP之后，向所有远端VTEP发送所述被监控主机的地址；

所述VTEP在本地转发表中查找匹配规则中报文目的地址为该被监控主机的地址的第二转发表项；

所述VTEP将查找到的第二转发表项更新为匹配规则中报文源地址为该被监控主机地址的第一转发表项。
根据权利要求3所述的方法，还包括：

所述VTEP在接收到远端VTEP发来的被监控主机的地址之后，判断该被监控主机是否从本VTEP迁出；

若该被监控主机是从本VTEP迁出，

所述VTEP在本地转发表中查找匹配规则中报文源地址为该被监控主机地址的第一转发表项，

所述VTEP将查找到的第一转发表项更新为匹配规则中报文目的地址为该被监控主机的地址的第二转发表项。
根据权利要求3所述的方法，还包括：

所述VTEP在检测到所述监控服务器迁入本VTEP之后，向所有远端VTEP发送该监控服务器的地址；

所述VTEP确认该监控服务器对应的被监控主机的地址和该监控服务器的标识；

所述VTEP在本地转发表中查找匹配规则中报文源地址为该被监控主机的地址的第一转发表项，或者，匹配规则中报文目的地址为该被监控主机的地址的第二转发表项，

所述VTEP将查找到的第一转发表项或第二转发表项的执行动作更新为将报文镜像发送给所述监控服务器；

所述VTEP在本地转发表中配置第三转发表项，其中，所述第三转发表项中的匹配规则中的监控服务器标识为迁入本VTEP的该监控服务器的标识。
根据权利要求3所述的方法，还包括：

所述VTEP在接收到远端VTEP发来的监控服务器的地址之后，确认该监控服务器对应的被监控主机的地址和该监控服务器的标识；

所述VTEP判断该监控服务器是否从本VTEP迁出；

若所述监控服务器是从本VTEP迁出，

所述VTEP在本地转发表中查找匹配规则中报文源地址为该被监控主机的地址的第一转发表项，或者，匹配规则中报文目的地址为该被监控主机的地址的第二转发表项，

所述VTEP将查找到的第一转发表项或第二转发表项的执行动作更新为将报文镜像进行VXLAN封装后发送给该监控服务器迁入的远端VTEP，

所述VTEP在本地转发表中查找匹配规则中包含该监控服务器的标识的第三转发表项并删除；

若所述监控服务器不是从本VTEP迁出，

所述VTEP在本地转发表中查找匹配规则中报文源地址为该被监控主机的地址的第一转发表项，或者，匹配规则中报文目的地址为该被监控主机的地址的第二转发表项，

所述VTEP将查找到的第一转发表项或第二转发表项的执行动作更新为将报文镜像进行VXLAN封装后发送给该监控服务器迁入的远端VTEP。
一种可扩展虚拟局域网络VXLAN隧道端点VTEP，包括处理器和机器可读存储介质，所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令，所述处理器被所述机器可执行指令促使：

接收报文；

若所述报文为来自本地被监控主机的用户报文，则根据匹配的第一转发表项，将报文镜像并进行VXLAN封装后发送给监控服务器接入的远端VTEP，或者将报文镜像发送给本地监控服务器；

若所述报文为本地主机发往所述被监控主机的用户报文，则根据匹配的第二转发表项，将报文镜像并进行VXLAN封装后发送给监控服务器接入的远端VTEP，或者将报文镜像发送给本地监控服务器；

若所述报文为来自远端VTEP、且携带所述监控服务器的标识的VXLAN报文，则根据匹配的第三转发表项，对所述VXLAN报文解封装后发送给本地监控服务器。
根据权利要求8所述的VTEP，其中，

所述来自本地被监控主机的用户报文的源地址与所述匹配的第一转发表项的匹配规则中的报文源地址相同；

所述本地主机发往所述被监控主机的用户报文的目的地址与所述匹配的第二转发表项的匹配规则中的报文目的地址相同；

所述VXLAN报文携带的所述监控服务器的标识与所述匹配的第三转发表项的匹配规则中的监控服务器标识相同。
根据权利要求9所述的VTEP，其中，所述处理器被所述机器可执行指令促使：

所述VTEP作为所述被监控主机接入的VTEP的情况下，

接收并保存控制器发来的监控配置信息，在本地转发表中配置所述第一转发表项，并将所述监控配置信息发送给所有远端VTEP；

所述VTEP作为所述被监控主机未接入的VTEP的情况下，

接收远端VTEP发送的所述监控配置信息，在本地转发表中配置所述第二转发表项；

所述VTEP作为所述监控服务器接入的VTEP的情况下，

接收所述远端VTEP发送的所述监控配置信息，在本地转发表中配置所述第三转发表项；

其中，所述监控配置信息中至少包括：所述被监控主机的地址和所属的VXLAN标识、所述监控服务器的地址、以及所述监控服务器标识。
根据权利要求10所述的VTEP，其中，所述处理器被所述机器可执行指令促使：

在检测到所述被监控主机迁入本VTEP之后，向所有远端VTEP发送所述被监控主机的地址；

在本地转发表中查找匹配规则中报文目的地址为该被监控主机的地址的第二转发表项；

将查找到的第二转发表项更新为匹配规则中报文源地址为该被监控主机地址的第一转发表项。
根据权利要求10所述的VTEP，其中，所述处理器被所述机器可执行指令促使：

在接收到远端VTEP发来的被监控主机的地址之后，判断该被监控主机是否从本VTEP迁出；

若该被监控主机是从本VTEP迁出，

在本地转发表中查找匹配规则中报文源地址为该被监控主机地址的第一转发表项，

将查找到的第一转发表项更新为匹配规则中报文目的地址为该被监控主机的地址的第二转发表项。
根据权利要求10所述的VTEP，其中，所述处理器被所述机器可执行指令促使：

在检测到所述监控服务器迁入本VTEP之后，向所有远端VTEP发送该监控服务器的地址；

确认该监控服务器对应的被监控主机的地址和该监控服务器的标识；

在本地转发表中查找匹配规则中报文源地址为该被监控主机的地址的第一转发表项，或者，匹配规则中报文目的地址为该被监控主机的地址的第二转发表项，

将查找到的第一转发表项或第二转发表项的执行动作更新为将报文镜像发送给所述监控服务器；

在本地转发表中配置第三转发表项，其中，所述第三转发表项中的匹配规则中的监控服务器标识为迁入本VTEP的该监控服务器的标识。
根据权利要求10所述的VTEP，其中，所述处理器被所述机器可执行指令促使：

在接收到远端VTEP发来的监控服务器的地址之后，确认该监控服务器对应的被监控主机的地址和该监控服务器的标识；

判断该监控服务器是否从本VTEP迁出；

若所述监控服务器是从本VTEP迁出，

在本地转发表中查找匹配规则中报文源地址为该被监控主机的地址的第一转发表项，或者，匹配规则中报文目的地址为该被监控主机的地址的第二转发表项，

将查找到的第一转发表项或第二转发表项的执行动作更新为将报文镜像进行VXLAN封装后发送给该监控服务器迁入的远端VTEP，

在本地转发表中查找匹配规则中包含该监控服务器的标识的第三转发表项并删除；

若所述监控服务器不是从本VTEP迁出，

在本地转发表中查找匹配规则中报文源地址为该被监控主机的地址的第一转发表项，或者，匹配规则中报文目的地址为该被监控主机的地址的第二转发表项，

将查找到的第一转发表项或第二转发表项的执行动作更新为将报文镜像进行VXLAN封装后发送给该监控服务器迁入的远端VTEP。