软件定义网络报文监控方法和sdn控制器、交换设备的制造方法
【技术领域】
[0001] 本发明涉及通信技术领域,特别是涉及一种软件定义网络报文监控方法和SDN控 制器、交换设备。
【背景技术】
[0002] SDN(Software Def ined Network,软件定义网络)网络中的拓扑由SDN控制器维 护,SDN交换设备之间的转发路径由SDN控制器根据拓扑计算得到,主机之间的转发流表也 是由SDN控制器下发到指定的SDN交换设备上。SDN控制器也可以对某个主机进行实时的 流量监控,只要将该主机发出的报文或者发送到该主机的报文封装为SDN Packet-in报文 发送到SDN控制器即可,由SDN控制器统一解析报文内容。也可以在SDN交换设备上部署 传统的监控协议(如基于采样的流量监控技术sFlow),由SDN交换设备上的监控客户端和 监控服务器独立进行报文交互,监控客户端和监控服务器之间通过用户数据报协议(User Datagram Protocol,UDP)报文传递监控数据包。
[0003] SDN交换设备将被监控主机的数据报文封装在Packet-in报文中上送SDN控制器 可以完成对主机的监控,但是会占用SDN控制器的存储和中央处理器(Central Processing Unit,CPU)资源,尤其在被监控主机数量比较多时,SDN控制器的负担就会过重,影响SDN网 络的正常效率;直接在SDN交换设备上部署传统的监控协议需要在SDN交换设备上配置传 统的路由协议,影响SDN控制器对网络的完全控制,当主机在网络中发生迀移时还需要重 新在接入交换设备上配置传统的监控协议,使用场景比较受限。
【发明内容】
[0004] 有鉴于此,本发明提出了一种SDN网络报文监控方法和SDN控制器、交换设备,有 效解决了现有技术中SDN控制器存储监控数据导致的负担过重、或依赖监控协议实现监控 控制的问题。
[0005] 本发明提出的技术方案是:
[0006] 一种SDN网络报文监控方法,该方法应用于SDN网络,SDN网络包括SDN控制器和 SDN交换设备,SDN交换设备支持多级流表,该方法包括:
[0007] SDN控制器确定镜像隧道,该镜像隧道是被监控主机所在的源SDN交换设备与监 控服务器所在的目的SDN交换设备之间的隧道;
[0008] 所述SDN控制器分别为所述镜像隧道上的所述源SDN交换设备、所述目的SDN交 换设备创建并下发表ID为1的镜像流表,使所述源SDN交换设备以及所述目的SDN交换设 备接收到所述镜像流表后,分别根据表ID为1将镜像流表保存在多级流表的第一级流表 中。
[0009] 一种SDN控制器,该SDN控制器所在的SDN网络还包括SDN交换设备,SDN交换设 备支持多级流表,该SDN控制器包括:
[0010] 镜像隧道确定模块,用于确定镜像隧道,镜像隧道是被监控主机所在的源SDN交 换设备与监控服务器所在的目的SDN交换设备之间的隧道;
[0011] 流表创建模块,用于分别为镜像隧道上的源SDN交换设备、目的SDN交换设备创建 并下发表ID为1的镜像流表,使源SDN交换设备以及目的SDN交换设备接收到镜像流表后, 分别根据表ID为1将镜像流表保存在多级流表的第一级流表中。
[0012] 一种SDN交换设备,该SDN交换设备支持多级流表,当所述SDN交换设备为SDN控 制器创建的镜像隧道上的源SDN交换设备或目的SDN交换设备时,该设备包括:
[0013] 接收模块,用于接收SDN控制器创建并下发的表ID为1的镜像流表;
[0014] 存储模块,用于根据表ID为1将镜像流表保存在多级流表的第一级流表中;
[0015] 接收模块还用于,接收目的主机信息或源主机信息是被监控主机的地址信息的原 始数据报文。
[0016] 综上,本发明提出了一种SDN网络报文监控方法,SDN控制器在源SDN交换设备与 目的SDN交换设备之间建立镜像隧道,当源SDN交换设备监控到被监控主机发出的原始数 据报文、或发送给被监控主机的原始数据报文后,复制监控到的原始数据报文,将复制的数 据报文进行封装并添加镜像标签得到封装报文,然后将携带镜像标签的封装报文通过镜像 隧道转发给目的SDN交换设备,使得目的SDN交换设备剥离镜像标签并解封装该封装报文, 得到复制的数据报文,并将该复制的数据报文发送给监控服务器,实现对被监控主机的流 量监控。该方法不需要占用SDN控制器的内存和CPU资源,不会影响SDN控制器的工作效 率,也不必依赖监控协议,能够高效便捷的实现对被监控主机的流量监控。
【附图说明】
[0017] 图1为本发明实施例的流程图;
[0018] 图2为本发明方法实施例的OpenFlow网络结构图;
[0019] 图3为方法实施例的流程图;
[0020] 图4为本发明实施例的SDN控制器结构图;
[0021] 图5为本发明实施例的SDN交换设备结构图。
【具体实施方式】
[0022] 现有技术SDN网络中进行流量监控时,一种方法通过将被监控主机发出的原始数 据报文或者发送到被监控主机的原始数据报文封装为SDN Packet-in报文发送到SDN控制 器,由SDN控制器统一解析报文内容;另一种方法是通过在SDN交换设备上部署传统的监控 协议,由SDN交换设备上的监控客户端和监控服务器独立进行报文交互。然而第一种方法 会占用SDN控制器的存储和CPU资源,尤其在被监控主机数量比较多时,SDN控制器的负担 就会过重,影响SDN网络的正常效率;第二种方法需要在SDN交换设备上配置传统的路由协 议,影响SDN控制器对网络的完全控制,当主机在网络中发生迀移时还需要重新在接入交 换设备上配置传统的监控协议,使用场景比较受限。
[0023] 为解决上述技术问题,本发明提出一种SDN网络报文监控的方法,本发明实施例 的技术方案是:
[0024] 如图1所示,本发明一种SDN网络报文监控的方法应用于SDN控制器上,SDN控制 器执行以下步骤:
[0025] 步骤101 :SDN控制器确定镜像隧道,该镜像隧道是被监控主机所在的源SDN交换 设备与监控服务器所在的目的SDN交换设备之间的隧道。
[0026] 本步骤中,SDN控制器将被监控主机所在的SDN交换设备确定为源SDN交换设备, 将监控服务器所在的SDN交换设备确定为目的SDN交换设备,并根据拓扑在源SDN交换设 备与目的SDN交换设备之间建立一条镜像隧道,该镜像隧道上除源SDN交换设备和目的SDN 交换设备外,还可能存在其他中间SDN交换设备。
[0027] 步骤102 :SDN控制器分别为镜像隧道上的源SDN交换设备、目的SDN交换设备创 建并下发表ID为1的镜像流表,使源SDN交换设备以及目的SDN交换设备接收到镜像流表 后,分别根据表ID为1将镜像流表保存在多级流表的第一级流表中。
[0028] 本步骤中,SDN控制器分别为镜像隧道上的源SDN交换设备、目的SDN交换设备创 建并下发镜像流表。
[0029] 具体地,SDN控制器为源SDN交换设备创建表ID为1的镜像流表,该镜像流表的 表ID为1,使得源SDN交换设备将该镜像流表保存在多级流表的第一级流表中。该表ID为 1的镜像流表的匹配项是被监控主机的地址信息,动作项是复制原始数据报文、将复制的数 据报文进行