[发明专利]一种虚拟网络环境中镜像网络流量的管理系统和控制方法

摘要

一种虚拟化网络环境中对镜像网络流量的管理系统和基于软件定义的镜像流量管理和控制方法，本发明的镜像网络流量管理和监控系统包括镜像网络流量中心控制节点，虚拟化镜像流量管理节点，虚拟化镜像流量分发节点。利用镜像网络流量中心控制节点进行全局管控、利用靠近业务虚拟机部署的虚拟化镜像流量管理节点实现数据包捕获和按流表动作转发、利用靠近安全设备部署的虚拟化镜像流量分发节点实现数据包的按安全业务复制和分发。本发明具有全局视角的最优化镜像流量导出策略，镜像流量调度敏捷、完整，且镜像流量管理节点只占用很少的计算资源。

主权项

1.一种镜像网络流量的管理系统，其特征在于，包括镜像流量中心控制节点，其用于进行全局管控；镜像流量管理节点，其用于实现数据包捕获和按流表动作转发；镜像流量分发节点，其用于实现数据包的按安全业务复制和分发；在所述镜像流量中心控制节点中包括镜像流量策略可视化配置模块、镜像流量管理节点管理模块、流量策略管理模块、流量负载统计监控模块、网络拓扑监控模块、流量策略决策模块、流量策略通信模块；在所述镜像流量管理节点和所述镜像流量分发节点中包括镜像流量策略控制代理模块、本地流表管理模块、流表执行模块、流量复制模块、流量统计模块、流量过滤模块、流量封装模块、虚拟机系统内零拷贝数据包收发模块、虚拟化系统流量镜像模块，其中，所述镜像流量管理节点管理模块，用于管理整个系统中所有的镜像流量管理节点和镜像流量分发节点，提供包括节点的注册、监控、部署、销毁操作，所述镜像流量策略管理模块，用于提供对用户所设定流量策略的查看、检索、新增、修改、复制和删除的功能，对接数据库的操作，所述流量负载统计监控模块，用于监控每个镜像流量管理节点所转发出去的流量，若发现某节点所在环境流量达到阈值，则下发流量策略停止流量的转发，以保证业务系统的资源使用，所述网络拓扑监控模块，用于监控业务网络中业务虚拟机和旁路安全设备的拓扑变化情况，当发现业务虚拟机的拓扑发生变化时，通知下发流量策略，更新相关的镜像流量管理节点中的流表项，当发现旁路安全设备的拓扑发生变化时，下发流量策略，更新相关的镜像流量管理节点和镜像流分发节点中的流表项，所述流量策略决策模块，用于在收到镜像流量管理节点或镜像流量分发节点所发出的流量策略请求后，根据已经配置的流量策略信息生成流量转发策略；在生成流量策略时会综合考虑流量统计的负载情况、源端和目的端的去重、需要过滤的IP或协议的白名单、是否需要进行流量分发多重因素，所述流量策略通信模块，用于接收镜像流量管理节点的流量策略请求，并将生成的流量策略下发到镜像流量管理节点，所述镜像流量策略控制代理模块，用于向流量中心控制节点发送流量策略请求，并接受流量中心控制节点下发的流量策略，所述本地流表管理模块，用于将接收流量策略存储到流转发表中，并执行流表项老化更新，所述流表执行模块，用于根据所接收到的数据包查找到相应的流表项，并根据流表项指定的行为调用具体的执行模块，或在无法找到相应的流表项时向流量策略控制代理模块提交流量策略请求，所述流量复制模块，用于执行对数据包的复制，提供对流表执行模块的调用接口，所述流量统计模块，用于执行对所捕获和所转发的数据包的流量统计，并定期向镜像网络流量中心控制节点进行上报，所述流量过滤模块，用于执行对数据包的过滤判断，提供对流表执行模块的调用接口，所述流量封装模块，用于提供对数据包的修改目的MAC地址和VLAN封装，提供对流表执行模块的调用接口，所述虚拟机系统内零拷贝数据包收发模块，用于在镜像流量管理节点和镜像流量分发节点内提供从虚拟网卡缓冲区到用户态的数据包零拷贝读写，所述虚拟化系统流量镜像模块，用于通过虚拟化和虚拟网络管理系统提供的API接口，把虚拟交换机上需要监控的业务虚拟机的流量镜像到镜像流量管理节点的抓包端口上，所述虚拟化系统零拷贝数据包发送模块，用于镜像流量分发节点的虚拟网卡缓冲区到安全资源池的物理网卡缓冲区之间提供数据包的零拷贝写操作。