[发明专利]一种基于以太帧的带内遥测方法及带内遥测系统

说明书

本发明公开一种基于以太帧的带内遥测方法及带内遥测系统，所述带内遥测方法包括以下步骤：步骤一，在网络节点间建立IPsec隧道；步骤二，在所述IPsec隧道内部各节点之间使用叠加MACsec协议的MACINT对报文数据进行封装，将封装的报文数据在IPsec隧道内的节点中进行转发；步骤三，通过SDN控制器下发该IPsec隧道与对应MACsec协议相关的密钥。

技术领域

本发明属于IP网络技术领域，尤其涉及一种基于以太帧的带内遥测方法。

背景技术

当前网络中，为了对报文进行观测，通常使用INT（In-band Network Telemetry）技术。目前，业界常用的是P4+INT。为了实现INT，通常定义一组INT元数据，该数据在交换机/路由器/NFV网元上被加入到报文中。该元数据主要包括以下内容：

交换机信息：交换机ID；报文进入信息：入口端口号、进入时的时间戳；报文发出信息：出口端口号、在设备中停留的时间、出口端口的链路利用率；缓冲区信息。

INT Header的位置没有特意指定，但目前的实现中多有以下几种：

INT over VXLAN（作为VXLAN option，每个GPE extension）； INT over Geneve（作为Geneve option）；INT over NSH（作为NSH option）；INT over TCP（作为TCP option或payload）；INT over UDP（作为UDP payload）。

上述的INT封装，在实际使用中存在以下两个问题：

1、INT报文信息作为明文直接加入到报文中，暴露了中间设备的关键信息（比如缓冲区等），容易被非法用户利用并攻击，如图1所示：非法用户在获取到报文信息后，就知道了对应路径上交换机的流量信息，可以对设备做针对性攻击。

2、若报文是IPsec加密报文，INT如果封装在内部，则由于加密的缘故，无法针对路径内的交换机做INT功能，如果封装在外部，则同样存在1中的问题，如图2所示：图中，C、D两点由于被IPsec隧道覆盖，因此无法添加INT头。

发明内容

针对上述技术问题，本发明通过定义一种新的以太类型，结合 MACsec协议，解决INT报文的安全问题，以及IPsec封装下导致中间节点无法封装INT头的问题。

为了实现以上目的，本发明采用以下技术方案：

本发明一种基于以太帧的带内遥测方法，所述带内遥测方法包括以下步骤：

步骤一，在网络节点间建立IPsec隧道；

步骤二，在所述IPsec隧道内部各节点之间使用叠加MACsec协议的MACINT技术对报文数据进行封装，将封装的报文数据在IPsec隧道内的节点中进行转发；

步骤三，通过SDN控制器下发该IPsec隧道与对应MACsec协议相关的密钥。

进一步的，所述步骤二具体包括以下步骤：

步骤2.1，通过IPsec隧道封装报文将数据进行封装，隧道外层源IP为IPsec隧道起始端节点的IP地址，记为IP-A，目的IP为目的端节点的IP地址，记为IP-B；

步骤2.2，在IPsec隧道起始端节点加上MACINT头，填写本设备相关的INT信息；

步骤2.3，在IPsec隧道起始端节点添加MACsec协议，并对报文加密后发送给IPsec隧道路径的第二节点；