[发明专利]一种虚拟化网络环境中镜像网络流量控制方法

摘要

一种虚拟化网络环境中基于软件定义的镜像网络流量控制协议，其特征在于，该协议能够适应功能上解耦合且分布式部署的镜像流量采集、镜像流量分发和镜像流量控制的系统结构，镜像流量采集器节点/虚拟机被部署在用户的业务网络环境中，其主要功能是捕获虚拟化环境中的镜像流量，在根据协议所指定的目的进行转发；镜像流量分发器部署在非业务网络环境中，即不需要考虑网络负载对用户业务网络环境正常网络通信的影响，其功能是根据协议所指定的多目的的流量分析设备进行流量复制和分发；镜像流量中心控制器对整个镜像网络流量的转发逻辑进行统一的控制，提供软件定义的接口。

主权项

1.一种虚拟化网络环境中基于软件定义的镜像网络流量控制方法，其特征在于，该方法能够适应功能上解耦合且分布式部署的镜像流量采集、镜像流量分发和镜像流量控制的系统结构，镜像流量采集器节点/虚拟机被部署在用户的业务网络环境中，其主要功能是捕获虚拟化环境中的镜像流量，再根据该方法所指定的目的进行转发；镜像流量分发器部署在非业务网络环境中，即不需要考虑网络负载对用户业务网络环境正常网络通信的影响，其功能是根据该方法所指定的多目的的流量分析设备进行流量复制和分发；镜像流量中心控制器对整个镜像网络流量的转发逻辑进行统一的控制，提供软件定义的接口，其整体工作流程为：1)在镜像流量采集器节点捕获到数据包后，会在本地的导流流表中查找数据包所代表的流所对应的流表项，若找不到对应匹配项，则表明该流所对应的导流规则还未从镜像流量中心控制器下发，则需要向控制中心请求该规则；2)镜像流量采集器节点向镜像流量中心控制器节点发送导流流表项请求协议，请求对应的导流流表项；3)在镜像流量采集器节点发出导流流表项请求后，尚未接收到镜像流量中心控制器节点下发的流表项之前，先按照默认导流规则进行导流，默认规则为将该流的前n个数据包导出给镜像流量控制中心；4)镜像流量中心控制器节点接收到导流流表项请求报文后，基于报文内容对本地数据库进行检索，查找预先配置和定义的该流对对应的导流规则，并基于查找结果生成对应的流表项规则；5)若无法找到对应的导流规则，则由镜像流量中心控制器向发送请求的镜像流量采集器发送协议分析请求；6)收到协议分析请求的镜像流量采集器将该流的完整数据包上报至镜像流量中心控制器；7)镜像流量中心控制器分析获得的上报数据包的内容，分析应用层协议，并基于系统的配置生成对应的导流的规则；8)若该流所对应的流分析设备是单一设备时，镜像流量中心控制器节点直接向请求该规则的镜像流量采集器节点下发导流规则；9)镜像流量采集器节点在接收到下发来的导流规则后，更新本地的流表，并按照新的导流规则将流量导出到对应的流分析设备；10)若该流所对应的流分析设备超过一个设备时，镜像流量中心控制器节点选择一个合适的镜像流量分发器节点，作为导流目的，并向请求该规则的镜像流量采集器节点下发以该镜像流量分发器节点为目的的导流规则；11)镜像流量采集器节点在接收到下发来的导流规则后，更新本地的流表，并按照新的导流规则将流量导出到对应的镜像流量分发器节点；12)镜像流量中心控制器节点基于流分析设备的目的和对所需要的镜像流量的要求，向被选作导流目的的镜像流量分发器节点下发流分发规则；13)镜像流量分发器节点在接收到流分发规则后，更新本地流表，并在接收到从镜像流量采集器节点导出来的流量后，基于流分发规则表进行流量的分发。