[发明专利]一种基于SDN的IPv6网络流量监控方法及系统

权利要求书

1.一种基于SDN的IPv6网络流量监控方法，其特征在于，包括以下步骤：

S0，网络初始化；

S1，SDN控制器通过拓扑管理模块和设备管理模块维护全局网络拓扑信息和设备信息；

S2，用户向SDN控制器中输入细粒度的监控策略，并通过SDN控制器的监控策略处理模块将监控策略转换为网络中的监控目标；

S3，判断监控目标是否为终端主机，若是则进入步骤S4，反之，则进入步骤S5；

S4，SDN控制器查询设备信息表，确定监控设备以及终端主机的位置信息，通过路由计算模块计算并存储从终端主机到监控设备的最短路径，再进入步骤S6；

S5，SDN控制器查询设备信息表，确定监控设备、源节点和目的节点的位置信息，通过路由计算模块计算从源节点到目的节点的最短路径，再从该最短路径上寻找距离监控设备最近的点，并存储该点到监控设备的最短路径，再进入步骤S6；

S6，SDN控制器通过转发规则安装模块依据细粒度的监控策略向最短路径上的交换机安装流转发规则，交换机根据转发规则将监控目标的流量信息转发到监控设备；

S7，监控设备收集流量信息并进行分析，给出结果；监控设备包括入侵检测系统、防火墙设备以及网络流量分析设备，所述入侵检测系统用于通过指定网络中数据包的各个字段对IPv6网络传输进行即时监视，所述防火墙设备用于控制IPv6数据包的进出，所述网络流量分析设备用于分析监控目标的流量信息。

2.根据权利要求1所述的基于SDN的IPv6网络流量监控方法，其特征在于，所述步骤S1，SDN控制器通过拓扑管理模块和设备管理模块维护全局网络拓扑信息和设备信息具体分为如下步骤：

S1A，SDN控制器通过周期性发送链路层发现协议LLDP数据包，并结合SDN控制器中的拓扑管理模块动态的维护全局网络拓扑信息；

S1B，SDN控制器通过设备管理模块跟踪网络中的监控设备和终端主机的设备信息，并将两者的位置信息存入设备信息表中。

3.根据权利要求2所述的基于SDN的IPv6网络流量监控方法，其特征在于，所述步骤S1A中全局网络拓扑信息包括节点和链路信息；

和/或，步骤S1B中监控设备和终端主机的设备信息通过设备管理模块监控网络中的Packet_In消息实现，设备信息包括网络中终端主机的MAC地址、IPv6地址、与终端主机直接相连的交换机DPID和端口Port。

4.根据权利要求2所述的基于SDN的IPv6网络流量监控方法，其特征在于，所述步骤S1B中设备信息表由设备名称、终端MAC地址、IPv6地址、交换机DPID和端口Port五部分组成。

5.根据权利要求1至4中任一项所述的基于SDN的IPv6网络流量监控方法，其特征在于，所述步骤S2中监控策略处理模块调用拓扑管理模块中的拓扑信息，将用户输入的监控策略转换为网络中终端主机或者链路信息，供路由计算模块调用。

6.根据权利要求1至4中任一项所述的基于SDN的IPv6网络流量监控方法，其特征在于，所述步骤S4中，终端主机到监控设备的最短路径根据迪杰斯特拉Dijkstra算法计算得到，路径上的交换机信息由交换机DPID确定。

7.根据权利要求1至4中任一项所述的基于SDN的IPv6网络流量监控方法，其特征在于，所述步骤S5中，源节点到目的节点的转发路径由Dijkstra算法计算得到，根据路径上的交换机信息，分别计算每个交换机到监控设备的最短路径，并记录路径长度，从而确定离监控设备最近的交换机，并存储该交换机到监控设备最短路径上的所有交换机信息。

8.根据权利要求1至4中任一项所述的基于SDN的IPv6网络流量监控方法，其特征在于，所述步骤S6中，SDN控制器下发的流转发规则通过Flow_Mod消息实现。

9.一种基于SDN的IPv6网络流量监控系统，其特征在于，包括SDN控制器、交换机和终端设备：

所述交换机与SDN控制器相连，用于实现网络中IPv6数据包的转发；

所述终端设备包括基于IPv6协议的终端主机和用于网络流量监控的监控设备，所述终端主机和监控设备均与交换机相连；

所述SDN控制器用于对网络中IPv6数据包转发路径实现控制，包括拓扑管理模块、设备管理模块、监控策略处理模块、路由计算模块和转发规则安装模块，所述拓扑管理模块用于维护全局网络拓扑信息；所述设备管理模块用于跟踪网络中的监控设备和终端主机的信息，并将其位置信息进行存储；所述监控策略处理模块用于将监控策略转换为网络中的监控目标；所述路由计算模块用于计算监控目标到监控设备的最短路径，并存储该路径上的交换机信息；所述转发规则安装模块用于向最短路径上的交换机中安装流转发规则。