一种基于SDN的流量监控系统及方法与流程

本发明涉及数据通信领域的SDN技术，特别涉及一种基于SDN的网络流量监控系统及监控方法。

背景技术：

随着互联网技术的快速发展，网络应用范围不断扩大，网络结构和网络应用越来越复杂，这使得网络出现各种问题的可能性增大，同时管理网络的难度也增大。掌握网络通信情况的最佳办法是对网络数据流进行全面采集。目前主要有两种基于硬件的全流量采集方式，一种是常见的交换机端口分析器（SPAN）功能，另一种是在网络中串接TAP设备的方式。传统的分析设备的部署方式存在许多劣势，如不同种类的流量监控设备部署在各网络处进行分析，容易形成信息孤岛，导致信息分散，互不相通，大大降低了流量监控工具的利用率，无法做到全网全局监控。于是出现了网络数据包代理（NPB）设备，能够将多台SPAN、TAP设备上的流量汇聚到一起，并对流量进行汇聚、复制、过滤、去重等简单操作。但NPB设备是专有硬件，价格昂贵，对流量了解程度有限。且随着网络的不断扩展，需要购买更多的NPB设备，且各个NPB设备之间也是孤立的，需要对其进行逐设备的管理，造成了管理和维护的困难。

技术实现要素：

为了解决上述问题，本发明提供了一种基于SDN的流量监控系统及方法，用户可自主选择交换机厂商，降低了成本；并且用户可以根据需求扩展监控网络，以极低的成本实现流量监控扩容。

本发明提供的一种基于SDN的流量监控系统，该系统包括SDN控制器、若干SDN转发设备、生产网络、TAP/SPAN端口以及分流端口、传送端口；

所述SDN控制器与SDN转发设备进行数据交互，用于配置系统的分流策略；

所述SDN转发设备用于接收生产网络中的流量数据包，并根据匹配的分流策略将流量数据包引入到相应的分流端口上；

所述TAP/SPAN端口为生产网络与所述监控系统的信息交互端口，所述流量数据包通过TAP/SPAN端口从生产网络进入到所述监控系统中的SDN转发设备上；

所述分流端口为SDN转发设备上的连接到生产网络中TAP/SPAN端口以及需要对流量进行监控的端口上的特定端口；

所述传送端口为SDN转发设备上用于将从分流端口进入SDN监控网络中的经处理后的相应的流量传递给相应的外部监控工具中的特定端口。

进一步的，如果所述流量数据包首次进入SDN转发设备，没有找到相应的分流策略流表，则所述SDN转发设备将所述流量数据包发送给SDN控制器，所述SDN控制器对数据包进行匹配分流策略并将相应的分流策略以流表的形式下发给对应的SDN转发设备，进入SDN转发设备的流量数据包按照流表项进行数据转发。

作为一种优选所述流量监控系统设置有显示装置，用于人机交互。

本发明还提供一种基于SDN的流量监控方法，该方法通过在交换机上部署SDN控制器以及SDN转发设备，将用户生产网络中的流量数据包通过TAP/SPAN端口导入到SDN流量监控系统中的SDN转发设备的分流端口上，再通过外部流量监控设备或软件对所述流量数据进行统计。

进一步的，当所述流量数据包首次进入SDN转发设备，SDN转发设备将收到的数据包发送给SDN控制器，SDN控制器根据用户配置的分流策略，对数据包进行解析生成相应的流表并将流表下发到SDN转发设备，数据包按照流表被转发到不同的传送端口。

更进一步的，所述SDN控制器根据用户配置的分流策略的具体过程为：

第一步，配置策略基本信息；

第二步，配置匹配规则；

第三步，配置分流接口，将分流接口的名称添加到策略流表中；

第四步，配置传送接口，将传送接口的名称添加到策略流表中。

更进一步的，在配置策略基本信息时，配置策略的转发、未激活、速率统计、流量捕获基本信息。

更进一步的，在配置匹配规则时，设置以太网类型、IP协议、IP-DSCP、VLAN、源地址端口、目的地址端口、偏移量信息等。

更进一步的，每个分流策略可包含多个分流端口和传送端口；与所述分流端口相关的任意策略中的规则相匹配的流量被转发到策略中定义的所有的传送接口。

本发明采用以上技术方案与现有技术相比，具有以下技术效果：

基于SDN的流量监控系统是全新设计的新一代网络数据包代理（NPB），旨在打造一种全方位监视连接结构来克服目前基于NPB的监控解决方案所面临的难题。基于SDN的流量监控系统在不改变用户网络架构的情况下，在用户网络架构和流量分析工具之间部署一层流量捕获平台，按需捕获各网段的流量，并分发到相关的安全设备和监控设备上，将不受到不同地域采集或分析设备性能不足处理大数据流量的限制。基于SDN的流量监控系统将用户网络中的SPAN、TAP设备上的流量导入到SDN白牌交换机中，通过SDN控制器进行集中控制，流量可以随意复制以供分析。

用户可自主选择交换机厂商，降低了成本。并且用户可以根据需求扩展监控网络，以极低的成本实现流量监控扩容。通过SDN控制器，用户可以轻松完成集中式配置、监控和故障排除，降低了复杂性。只需使用SDN流量监控系统这一个平台即可管理所有的硬件设备和转发策略。用户可随时接入和更换监控分析工具。

附图说明

图1为本发明的整体架构图；

图2 流量监控流程图。

具体实施方式

本发明提供空一种基于SDN的流量监控系统及方法，为使本发明的目的，技术方案及效果更加清楚，明确，以及参照附图并举实例对本发明进一步详细说明。应当理解，此处所描述的具体实施仅用以解释本发明，并不用于限定本发明。

发明的一个方面，如图1所示，提供一种基于SDN的流量监控系统，该系统包括SDN控制器、若干SDN转发设备、生产网络、TAP/SPAN端口以及分流端口、传送端口；

所述SDN控制器与SDN转发设备进行数据交互，用于配置系统的分流策略；

所述SDN转发设备用于接收生产网络中的流量数据包，并根据匹配的分流策略将流量数据包引入到相应的分流端口上；

所述TAP/SPAN端口为生产网络与所述监控系统的信息交互端口，所述流量数据包通过TAP/SPAN端口从生产网络进入到所述监控系统中的SDN转发设备上；

所述分流端口为SDN转发设备上的连接到生产网络中TAP/SPAN端口以及需要对流量进行监控的端口上的特定端口。

传送端口为SDN转发设备上用于将从分流端口进入SDN监控网络中的经处理后的相应的流量传递给相应的外部监控工具中的特定端口。

如果所述流量数据包首次进入SDN转发设备，没有找到相应的分流策略流表，则所述SDN转发设备将所述流量数据包发送给SDN控制器，所述SDN控制器对数据包进行匹配分流策略并将相应的分流策略以流表的形式下发给对应的SDN转发设备，进入SDN转发设备的流量数据包按照流表项进行数据转发。

所述流量监控系统设置有显示装置，用于人机交互。

一种基于SDN的流量监控方法，该方法通过在交换机上部署SDN控制器以及SDN转发设备，将用户生产网络中的流量数据包通过TAP/SPAN端口导入到SDN流量监控系统中的SDN转发设备的分流端口上，再通过外部流量监控设备或软件对所述流量数据进行统计。

当所述流量数据包首次进入SDN转发设备，SDN转发设备将收到的数据包发送给SDN控制器，SDN控制器根据用户配置的分流策略，对数据包进行解析生成相应的流表并将流表下发到SDN转发设备，数据包按照流表被转发到不同的传送端口。

所述SDN控制器根据用户配置的分流策略的具体过程为：

第一步，配置策略基本信息；配置策略名称为policy1，动作为转发。

第二步，配置匹配规则；新增匹配规则序号1，以太网类型选择IPv4，IP协议选择TCP，IP-DSCP设置为46，设置VLAN范围为100~200，设置源IP地址为172.171.3.0/26，目的IP地址为192.168.5.0/30，设置偏移量L3-start的值为4。这样匹配规则1就创建好了，还可以再增加一条序号为2的匹配规则。

第三步，配置分流接口，将分流接口的名称添加到策略流表中；添加分流接口的接口名称，交换机DPID，交换机别名以及相应的接口。可以添加多个分流接口。

第四步，配置传送接口，将传送接口的名称添加到策略流表中。交换机DPID，交换机别名以及相应的接口。可以添加多个传送接口。

设置完成后，点击创建按钮。则在控制器中成功创建了该策略policy1。

在配置策略基本信息时，配置策略的转发、未激活、速率统计、流量捕获基本信息。

在配置匹配规则时，设置以太网类型、IP协议、IP-DSCP、VLAN、源地址端口、目的地址端口、偏移量信息。

每个分流策略包含多个分流端口和传送端口；与所述分流端口相关的任意策略中的规则相匹配的流量被转发到策略中定义的所有的传送接口。

生产网络中的流量通过TAP/SPAN端口导入到SDN流量监控系统中的SDN转发设备的分流端口上。数据包首次进入SDN转发设备后，查询相应的流表，没有找到相应的流表，SDN转发设备会将该数据包发送给SDN控制器，SDN控制器根据分流策略中配置的各个参数，对数据包进行匹配，相应的数据包匹配了策略policy1，然后SDN控制器将相应的策略policy1以流表的形式下发给SDN转发设备，进入SDN转发设备的相应的流量数据包按照流表项进行数据转发，导出到相应的数据分析监控工具中。

以上所述仅为本发明的实施方式，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。