本發(fā)明涉及數(shù)據(jù)通信領(lǐng)域的SDN技術(shù)，特別涉及一種基于SDN的網(wǎng)絡(luò)流量監(jiān)控系統(tǒng)及監(jiān)控方法。

背景技術(shù)：

隨著互聯(lián)網(wǎng)技術(shù)的快速發(fā)展，網(wǎng)絡(luò)應(yīng)用范圍不斷擴(kuò)大，網(wǎng)絡(luò)結(jié)構(gòu)和網(wǎng)絡(luò)應(yīng)用越來(lái)越復(fù)雜，這使得網(wǎng)絡(luò)出現(xiàn)各種問(wèn)題的可能性增大，同時(shí)管理網(wǎng)絡(luò)的難度也增大。掌握網(wǎng)絡(luò)通信情況的最佳辦法是對(duì)網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行全面采集。目前主要有兩種基于硬件的全流量采集方式，一種是常見(jiàn)的交換機(jī)端口分析器（SPAN）功能，另一種是在網(wǎng)絡(luò)中串接TAP設(shè)備的方式。傳統(tǒng)的分析設(shè)備的部署方式存在許多劣勢(shì)，如不同種類的流量監(jiān)控設(shè)備部署在各網(wǎng)絡(luò)處進(jìn)行分析，容易形成信息孤島，導(dǎo)致信息分散，互不相通，大大降低了流量監(jiān)控工具的利用率，無(wú)法做到全網(wǎng)全局監(jiān)控。于是出現(xiàn)了網(wǎng)絡(luò)數(shù)據(jù)包代理（NPB）設(shè)備，能夠?qū)⒍嗯_(tái)SPAN、TAP設(shè)備上的流量匯聚到一起，并對(duì)流量進(jìn)行匯聚、復(fù)制、過(guò)濾、去重等簡(jiǎn)單操作。但NPB設(shè)備是專有硬件，價(jià)格昂貴，對(duì)流量了解程度有限。且隨著網(wǎng)絡(luò)的不斷擴(kuò)展，需要購(gòu)買更多的NPB設(shè)備，且各個(gè)NPB設(shè)備之間也是孤立的，需要對(duì)其進(jìn)行逐設(shè)備的管理，造成了管理和維護(hù)的困難。

技術(shù)實(shí)現(xiàn)要素：

為了解決上述問(wèn)題，本發(fā)明提供了一種基于SDN的流量監(jiān)控系統(tǒng)及方法，用戶可自主選擇交換機(jī)廠商，降低了成本；并且用戶可以根據(jù)需求擴(kuò)展監(jiān)控網(wǎng)絡(luò)，以極低的成本實(shí)現(xiàn)流量監(jiān)控?cái)U(kuò)容。

本發(fā)明提供的一種基于SDN的流量監(jiān)控系統(tǒng)，該系統(tǒng)包括SDN控制器、若干SDN轉(zhuǎn)發(fā)設(shè)備、生產(chǎn)網(wǎng)絡(luò)、TAP/SPAN端口以及分流端口、傳送端口；

所述SDN控制器與SDN轉(zhuǎn)發(fā)設(shè)備進(jìn)行數(shù)據(jù)交互，用于配置系統(tǒng)的分流策略；

所述SDN轉(zhuǎn)發(fā)設(shè)備用于接收生產(chǎn)網(wǎng)絡(luò)中的流量數(shù)據(jù)包，并根據(jù)匹配的分流策略將流量數(shù)據(jù)包引入到相應(yīng)的分流端口上；

所述TAP/SPAN端口為生產(chǎn)網(wǎng)絡(luò)與所述監(jiān)控系統(tǒng)的信息交互端口，所述流量數(shù)據(jù)包通過(guò)TAP/SPAN端口從生產(chǎn)網(wǎng)絡(luò)進(jìn)入到所述監(jiān)控系統(tǒng)中的SDN轉(zhuǎn)發(fā)設(shè)備上；

所述分流端口為SDN轉(zhuǎn)發(fā)設(shè)備上的連接到生產(chǎn)網(wǎng)絡(luò)中TAP/SPAN端口以及需要對(duì)流量進(jìn)行監(jiān)控的端口上的特定端口；

所述傳送端口為SDN轉(zhuǎn)發(fā)設(shè)備上用于將從分流端口進(jìn)入SDN監(jiān)控網(wǎng)絡(luò)中的經(jīng)處理后的相應(yīng)的流量傳遞給相應(yīng)的外部監(jiān)控工具中的特定端口。

進(jìn)一步的，如果所述流量數(shù)據(jù)包首次進(jìn)入SDN轉(zhuǎn)發(fā)設(shè)備，沒(méi)有找到相應(yīng)的分流策略流表，則所述SDN轉(zhuǎn)發(fā)設(shè)備將所述流量數(shù)據(jù)包發(fā)送給SDN控制器，所述SDN控制器對(duì)數(shù)據(jù)包進(jìn)行匹配分流策略并將相應(yīng)的分流策略以流表的形式下發(fā)給對(duì)應(yīng)的SDN轉(zhuǎn)發(fā)設(shè)備，進(jìn)入SDN轉(zhuǎn)發(fā)設(shè)備的流量數(shù)據(jù)包按照流表項(xiàng)進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)。

作為一種優(yōu)選所述流量監(jiān)控系統(tǒng)設(shè)置有顯示裝置，用于人機(jī)交互。

本發(fā)明還提供一種基于SDN的流量監(jiān)控方法，該方法通過(guò)在交換機(jī)上部署SDN控制器以及SDN轉(zhuǎn)發(fā)設(shè)備，將用戶生產(chǎn)網(wǎng)絡(luò)中的流量數(shù)據(jù)包通過(guò)TAP/SPAN端口導(dǎo)入到SDN流量監(jiān)控系統(tǒng)中的SDN轉(zhuǎn)發(fā)設(shè)備的分流端口上，再通過(guò)外部流量監(jiān)控設(shè)備或軟件對(duì)所述流量數(shù)據(jù)進(jìn)行統(tǒng)計(jì)。

進(jìn)一步的，當(dāng)所述流量數(shù)據(jù)包首次進(jìn)入SDN轉(zhuǎn)發(fā)設(shè)備，SDN轉(zhuǎn)發(fā)設(shè)備將收到的數(shù)據(jù)包發(fā)送給SDN控制器，SDN控制器根據(jù)用戶配置的分流策略，對(duì)數(shù)據(jù)包進(jìn)行解析生成相應(yīng)的流表并將流表下發(fā)到SDN轉(zhuǎn)發(fā)設(shè)備，數(shù)據(jù)包按照流表被轉(zhuǎn)發(fā)到不同的傳送端口。

更進(jìn)一步的，所述SDN控制器根據(jù)用戶配置的分流策略的具體過(guò)程為：

第一步，配置策略基本信息；

第二步，配置匹配規(guī)則；

第三步，配置分流接口，將分流接口的名稱添加到策略流表中；

第四步，配置傳送接口，將傳送接口的名稱添加到策略流表中。

更進(jìn)一步的，在配置策略基本信息時(shí)，配置策略的轉(zhuǎn)發(fā)、未激活、速率統(tǒng)計(jì)、流量捕獲基本信息。

更進(jìn)一步的，在配置匹配規(guī)則時(shí)，設(shè)置以太網(wǎng)類型、IP協(xié)議、IP-DSCP、VLAN、源地址端口、目的地址端口、偏移量信息等。

更進(jìn)一步的，每個(gè)分流策略可包含多個(gè)分流端口和傳送端口；與所述分流端口相關(guān)的任意策略中的規(guī)則相匹配的流量被轉(zhuǎn)發(fā)到策略中定義的所有的傳送接口。

本發(fā)明采用以上技術(shù)方案與現(xiàn)有技術(shù)相比，具有以下技術(shù)效果：

基于SDN的流量監(jiān)控系統(tǒng)是全新設(shè)計(jì)的新一代網(wǎng)絡(luò)數(shù)據(jù)包代理（NPB），旨在打造一種全方位監(jiān)視連接結(jié)構(gòu)來(lái)克服目前基于NPB的監(jiān)控解決方案所面臨的難題?；赟DN的流量監(jiān)控系統(tǒng)在不改變用戶網(wǎng)絡(luò)架構(gòu)的情況下，在用戶網(wǎng)絡(luò)架構(gòu)和流量分析工具之間部署一層流量捕獲平臺(tái)，按需捕獲各網(wǎng)段的流量，并分發(fā)到相關(guān)的安全設(shè)備和監(jiān)控設(shè)備上，將不受到不同地域采集或分析設(shè)備性能不足處理大數(shù)據(jù)流量的限制?；赟DN的流量監(jiān)控系統(tǒng)將用戶網(wǎng)絡(luò)中的SPAN、TAP設(shè)備上的流量導(dǎo)入到SDN白牌交換機(jī)中，通過(guò)SDN控制器進(jìn)行集中控制，流量可以隨意復(fù)制以供分析。

用戶可自主選擇交換機(jī)廠商，降低了成本。并且用戶可以根據(jù)需求擴(kuò)展監(jiān)控網(wǎng)絡(luò)，以極低的成本實(shí)現(xiàn)流量監(jiān)控?cái)U(kuò)容。通過(guò)SDN控制器，用戶可以輕松完成集中式配置、監(jiān)控和故障排除，降低了復(fù)雜性。只需使用SDN流量監(jiān)控系統(tǒng)這一個(gè)平臺(tái)即可管理所有的硬件設(shè)備和轉(zhuǎn)發(fā)策略。用戶可隨時(shí)接入和更換監(jiān)控分析工具。

附圖說(shuō)明

圖1為本發(fā)明的整體架構(gòu)圖；

圖2 流量監(jiān)控流程圖。

具體實(shí)施方式

本發(fā)明提供空一種基于SDN的流量監(jiān)控系統(tǒng)及方法，為使本發(fā)明的目的，技術(shù)方案及效果更加清楚，明確，以及參照附圖并舉實(shí)例對(duì)本發(fā)明進(jìn)一步詳細(xì)說(shuō)明。應(yīng)當(dāng)理解，此處所描述的具體實(shí)施僅用以解釋本發(fā)明，并不用于限定本發(fā)明。

發(fā)明的一個(gè)方面，如圖1所示，提供一種基于SDN的流量監(jiān)控系統(tǒng)，該系統(tǒng)包括SDN控制器、若干SDN轉(zhuǎn)發(fā)設(shè)備、生產(chǎn)網(wǎng)絡(luò)、TAP/SPAN端口以及分流端口、傳送端口；

所述SDN控制器與SDN轉(zhuǎn)發(fā)設(shè)備進(jìn)行數(shù)據(jù)交互，用于配置系統(tǒng)的分流策略；

所述SDN轉(zhuǎn)發(fā)設(shè)備用于接收生產(chǎn)網(wǎng)絡(luò)中的流量數(shù)據(jù)包，并根據(jù)匹配的分流策略將流量數(shù)據(jù)包引入到相應(yīng)的分流端口上；

所述TAP/SPAN端口為生產(chǎn)網(wǎng)絡(luò)與所述監(jiān)控系統(tǒng)的信息交互端口，所述流量數(shù)據(jù)包通過(guò)TAP/SPAN端口從生產(chǎn)網(wǎng)絡(luò)進(jìn)入到所述監(jiān)控系統(tǒng)中的SDN轉(zhuǎn)發(fā)設(shè)備上；

所述分流端口為SDN轉(zhuǎn)發(fā)設(shè)備上的連接到生產(chǎn)網(wǎng)絡(luò)中TAP/SPAN端口以及需要對(duì)流量進(jìn)行監(jiān)控的端口上的特定端口。

傳送端口為SDN轉(zhuǎn)發(fā)設(shè)備上用于將從分流端口進(jìn)入SDN監(jiān)控網(wǎng)絡(luò)中的經(jīng)處理后的相應(yīng)的流量傳遞給相應(yīng)的外部監(jiān)控工具中的特定端口。

如果所述流量數(shù)據(jù)包首次進(jìn)入SDN轉(zhuǎn)發(fā)設(shè)備，沒(méi)有找到相應(yīng)的分流策略流表，則所述SDN轉(zhuǎn)發(fā)設(shè)備將所述流量數(shù)據(jù)包發(fā)送給SDN控制器，所述SDN控制器對(duì)數(shù)據(jù)包進(jìn)行匹配分流策略并將相應(yīng)的分流策略以流表的形式下發(fā)給對(duì)應(yīng)的SDN轉(zhuǎn)發(fā)設(shè)備，進(jìn)入SDN轉(zhuǎn)發(fā)設(shè)備的流量數(shù)據(jù)包按照流表項(xiàng)進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)。

所述流量監(jiān)控系統(tǒng)設(shè)置有顯示裝置，用于人機(jī)交互。

一種基于SDN的流量監(jiān)控方法，該方法通過(guò)在交換機(jī)上部署SDN控制器以及SDN轉(zhuǎn)發(fā)設(shè)備，將用戶生產(chǎn)網(wǎng)絡(luò)中的流量數(shù)據(jù)包通過(guò)TAP/SPAN端口導(dǎo)入到SDN流量監(jiān)控系統(tǒng)中的SDN轉(zhuǎn)發(fā)設(shè)備的分流端口上，再通過(guò)外部流量監(jiān)控設(shè)備或軟件對(duì)所述流量數(shù)據(jù)進(jìn)行統(tǒng)計(jì)。

當(dāng)所述流量數(shù)據(jù)包首次進(jìn)入SDN轉(zhuǎn)發(fā)設(shè)備，SDN轉(zhuǎn)發(fā)設(shè)備將收到的數(shù)據(jù)包發(fā)送給SDN控制器，SDN控制器根據(jù)用戶配置的分流策略，對(duì)數(shù)據(jù)包進(jìn)行解析生成相應(yīng)的流表并將流表下發(fā)到SDN轉(zhuǎn)發(fā)設(shè)備，數(shù)據(jù)包按照流表被轉(zhuǎn)發(fā)到不同的傳送端口。

所述SDN控制器根據(jù)用戶配置的分流策略的具體過(guò)程為：

第一步，配置策略基本信息；配置策略名稱為policy1，動(dòng)作為轉(zhuǎn)發(fā)。

第二步，配置匹配規(guī)則；新增匹配規(guī)則序號(hào)1，以太網(wǎng)類型選擇IPv4，IP協(xié)議選擇TCP，IP-DSCP設(shè)置為46，設(shè)置VLAN范圍為100~200，設(shè)置源IP地址為172.171.3.0/26，目的IP地址為192.168.5.0/30，設(shè)置偏移量L3-start的值為4。這樣匹配規(guī)則1就創(chuàng)建好了，還可以再增加一條序號(hào)為2的匹配規(guī)則。

第三步，配置分流接口，將分流接口的名稱添加到策略流表中；添加分流接口的接口名稱，交換機(jī)DPID，交換機(jī)別名以及相應(yīng)的接口?？梢蕴砑佣鄠€(gè)分流接口。

第四步，配置傳送接口，將傳送接口的名稱添加到策略流表中。交換機(jī)DPID，交換機(jī)別名以及相應(yīng)的接口?？梢蕴砑佣鄠€(gè)傳送接口。

設(shè)置完成后，點(diǎn)擊創(chuàng)建按鈕。則在控制器中成功創(chuàng)建了該策略policy1。

在配置策略基本信息時(shí)，配置策略的轉(zhuǎn)發(fā)、未激活、速率統(tǒng)計(jì)、流量捕獲基本信息。

在配置匹配規(guī)則時(shí)，設(shè)置以太網(wǎng)類型、IP協(xié)議、IP-DSCP、VLAN、源地址端口、目的地址端口、偏移量信息。

每個(gè)分流策略包含多個(gè)分流端口和傳送端口；與所述分流端口相關(guān)的任意策略中的規(guī)則相匹配的流量被轉(zhuǎn)發(fā)到策略中定義的所有的傳送接口。

生產(chǎn)網(wǎng)絡(luò)中的流量通過(guò)TAP/SPAN端口導(dǎo)入到SDN流量監(jiān)控系統(tǒng)中的SDN轉(zhuǎn)發(fā)設(shè)備的分流端口上。數(shù)據(jù)包首次進(jìn)入SDN轉(zhuǎn)發(fā)設(shè)備后，查詢相應(yīng)的流表，沒(méi)有找到相應(yīng)的流表，SDN轉(zhuǎn)發(fā)設(shè)備會(huì)將該數(shù)據(jù)包發(fā)送給SDN控制器，SDN控制器根據(jù)分流策略中配置的各個(gè)參數(shù)，對(duì)數(shù)據(jù)包進(jìn)行匹配，相應(yīng)的數(shù)據(jù)包匹配了策略policy1，然后SDN控制器將相應(yīng)的策略policy1以流表的形式下發(fā)給SDN轉(zhuǎn)發(fā)設(shè)備，進(jìn)入SDN轉(zhuǎn)發(fā)設(shè)備的相應(yīng)的流量數(shù)據(jù)包按照流表項(xiàng)進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)，導(dǎo)出到相應(yīng)的數(shù)據(jù)分析監(jiān)控工具中。

以上所述僅為本發(fā)明的實(shí)施方式，并非因此限制本發(fā)明的專利范圍，凡是利用本發(fā)明說(shuō)明書(shū)及附圖內(nèi)容所作的等效結(jié)構(gòu)或等效流程變換，或直接或間接運(yùn)用在其他相關(guān)的技術(shù)領(lǐng)域，均同理包括在本發(fā)明的專利保護(hù)范圍內(nèi)。