CN105591834B - Vxlan中的流量监控方法和装置 - Google Patents
Vxlan中的流量监控方法和装置 Download PDFInfo
- Publication number
- CN105591834B CN105591834B CN201510406620.XA CN201510406620A CN105591834B CN 105591834 B CN105591834 B CN 105591834B CN 201510406620 A CN201510406620 A CN 201510406620A CN 105591834 B CN105591834 B CN 105591834B
- Authority
- CN
- China
- Prior art keywords
- data message
- information
- vxlan
- traffic monitoring
- list item
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供了VXLAN中的流量监控方法和装置。本发明中,源接入设备不管接收的是经由VXLAN封装的数据报文还是未经由VXLAN封装的数据报文,其都会按照本地存在的与数据报文携带的源VM信息和目的VM信息匹配的流量监控表项对数据报文所属的业务进行流量监控,实现了基于VM中业务的流量监控,能够精准地反映VM的信息,防止VM的业务异常。
Description
技术领域
本申请涉及网络通信技术,特别涉及虚拟扩展局域网(VXLAN:VirtualeXtensible Local Area Network)中的流量监控方法和装置。
背景技术
VXLAN,是一种将二层报文用三层协议进行封装的技术,主要原理为: 引入一个用户数据包协议(UDP:User Datagram Protocol)格式的外层隧道, 作为数据路径层,而原有的报文数据作为净荷来传输。
VXLAN中被转发的报文在外部增加了VXLAN封装,VXLAN封装共占 用50个字节。VXLAN封装的报文中,有内层封装和外层封装。内层封装是 指原始报文中除了内部净荷之外的内部封装,具体包含内层以太头(Inner Ethernet Header)、内层IP头(Inner IPHeader)、内层UDP/TCP头等。外 层封装是指VXLAN封装,具体包含外部以太头(OuterEthernet Header)、 外部IP头(Outer IP Header)、外部UDP头(Outer UDP Header)、VXLAN头(VXLAN Header)。图1示出了VXLAN封装的报文中的外层封装和内 层封装。
在现有的流量监控机制中,一般都是通过匹配VXLAN封装中的部分参 数进行流量监控。比如,匹配VXLAN封装中外部以太头中的源MAC地址、 目的MAC地址、外部IP头中的外层源IP地址、目的MAC地址、外部UDP 头(Outer UDP Header)中的外层源端口号等。
在VXLAN中支持大量的虚拟机(VM:Virtual Machine),多个不同 VM发送的流量可能会共用同一个VXLAN封装,如此,现有流量监控中匹 配VXLAN封装中的部分参数进行流量监控无法精准地反映VM的信息比如VM下的哪一个业务等,更甚,如果某一个VM的业务流量出现异常,而单 纯地匹配VXLAN封装中的部分参数进行流量监控是无法监控出来的。
发明内容
本申请提供了VXLAN中的流量监控方法和装置,以实现VXLAN中反 映VM信息的流量监控。
本申请提供的技术方案包括:
一种虚拟扩展局域网VXLAN中的流量监控方法,该方法应用于与源VM 连接的接入设备,包括:
接收来自所述源VM发送的数据报文;
在接收的数据报文为经由VXLAN封装的第一数据报文时,若确定本地存在 与第一数据报文携带的源VM信息和目的VM信息匹配的第一流量监控表项, 则按照第一流量监控表项中的流动作对第一数据报文所属的业务进行流量监 控,并对第一数据报文的VXLAN封装做以下修改:修改VXLAN头内被指定 的保留字段的数值为用于表示流量监控匹配的设定值,转发VXLAN封装被修 改后的第一数据报文;
在接收的数据报文为未经由VXLAN封装的第二数据报文时,若确定本地存 在与第二数据报文携带的源VM信息和目的VM信息匹配的第二流量监控表项, 则按照第二流量监控表项中的流动作为对第二数据报文所属的业务进行流量监 控,对第二数据报文进行VXLAN封装并转发VXLAN封装后的数据报文, VXLAN封装中VXLAN头内被指定的保留字段的数值为用于表示流量监控匹 配的设定值;
在第一设定时间到达时,将流量监控结果发送至流量监控设备。
一种虚拟扩展局域网VXLAN中的流量监控方法,该方法应用于目的VM 连接的接入设备、介于源VM连接的接入设备和目的VM连接的接入设备之间 的中间设备,该方法包括:
接收经由VXLAN封装的数据报文;
识别VXLAN封装中被指定的保留字段的数值为用于表示流量监控匹配的 设定值,按照本地存在的与所述设定值匹配的流量监控表项中的流动作对接收 的数据报文所属的业务进行流量监控;
在第二设定时间到达时,将流量监控结果发送至流量监控设备。
一种虚拟扩展局域网VXLAN中虚拟机VM的流量监控装置,该装置应用 于接入设备,包括:
第一接收单元,用于接收本地连接的VM作为源VM发送的数据报文;
第一流量监控单元,用于在所述第一接收单元接收的数据报文为经由 VXLAN封装的第一数据报文时,若确定本地存在与第一数据报文携带的源VM 信息和目的VM信息匹配的第一流量监控表项,则按照第一流量监控表项中的 流动作对第一数据报文所属的业务进行流量监控,并对第一数据报文的VXLAN 封装做以下修改:修改VXLAN头内被指定的保留字段的数值为用于表示流量 监控匹配的设定值,转发VXLAN封装被修改后的第一数据报文;以及,在所 述第一接收单元接收的数据报文为未经由VXLAN封装的第二数据报文时,若确定本地存在与第二数据报文携带的源VM信息和目的VM信息匹配的第二流 量监控表项,则按照第二流量监控表项中的流动作为对第二数据报文所属的业 务进行流量监控,对第二数据报文进行VXLAN封装并转发VXLAN封装后的 数据报文,VXLAN封装中VXLAN头内被指定的保留字段的数值为用于表示 流量监控匹配的设定值;
第一监控结果发送单元,用于在第一设定时间到达时,将流量监控结果发送 至流量监控设备。
一种虚拟扩展局域网VXLAN中虚拟机VM的流量监控装置,该装置应用 于目的VM连接的接入设备、介于源VM连接的接入设备和目的VM连接的接 入设备之间的中间设备,包括:
第二接收单元,用于接收经由VXLAN封装的数据报文;
第二流量监控单元,用于识别VXLAN封装中被指定的保留字段为用于表示 流量监控匹配的设定值,按照本地存在的与所述设定值匹配的流量监控表项中 的流动作对接收的数据报文所属的业务进行流量监控;
第二监控结果发送单元,用于在第二设定时间到达时,将流量监控结果发送 至流量监控设备。
由以上技术方案可以看出,本发明中,接入设备不管接收的是经由VXLAN 封装的数据报文还是未经由VXLAN封装的数据报文,其都会按照本地存在的 与数据报文携带的源VM信息和目的VM信息匹配的流量监控表项对数据报文 所属的业务进行流量监控,实现了基于VM中某一业务的流量监控,能够精准 地反映VM的信息,更甚,如果源VM的业务流量出现异常,而本发明通过 对源VM执行流量监控能够监控出来,防止业务异常。
附图说明
图1为VXLAN封装的报文中外层封装和内层封装的结构示意图;
图2为本发明提供的方法流程图;
图3为本发明提供的网络中转设备的处理流程图;
图4为本发明提供的实施例组网图;
图5为本发明提供的装置结构图;
图6为本发明提供的另一装置结构图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面结合附图和具体 实施例对本发明进行详细描述。
本发明提供的方法包括图2所示的流程:
参见图2,图2为本发明提供的方法流程图。该方法应用于源VM连接 的接入设备。具体地,这里的接入设备是指与源VM所处服务器直连的接入 设备,可简称源接入设备。
如图2所示,该方法可包括以下步骤:
步骤201,源接入设备接收来自源VM发送的数据报文。
本步骤201中,源接入设备接收的数据报文具体有以下两种形式:
形式1:经由VXLAN封装的数据报文,记为第一数据报文。
在VXLAN中,如果服务器上虚拟出的虚拟交换机支持VXLAN封装, 则源VM发送的数据报文经由虚拟交换机时会被添加VXLAN封装并通过物 理网卡向外转发,该VXLAN封装的结构如图1所示。如此,源接入设备接 收的数据报文就是经由VXLAN封装的数据报文。
形式2:未经由VXLAN封装的数据报文,记为第二数据报文。
在VXLAN中,如果服务器上虚拟出的虚拟交换机不支持VXLAN封 装,则源VM发送的数据报文通过物理网卡转发时未添加VXLAN封装,如 此,源接入设备接收的数据报文就是源VM发送的原始数据报文,只包含内 层封装,并不包含VXLAN封装。
源接入设备接收的数据报文的形式不同,其执行的操作也就不同。具体 地,源接入设备在接收的数据报文为形式1描述的第一数据报文时,执行步 骤202,在接收的数据报文为形式2描述的第二数据报文时,执行步骤203。
步骤202,源接入设备在接收的数据报文为经由VXLAN封装的第一数 据报文时,若确定本地存在与第一数据报文携带的源VM信息和目的VM信 息匹配的第一流量监控表项,则按照第一流量监控表项中的流动作对第一数 据报文所属的业务进行流量监控,并对第一数据报文的VXLAN封装做以下 修改:修改VXLAN头内被指定的保留字段的数值为用于表示流量监控匹配 的设定值,转发VXLAN封装被修改后的第一数据报文。
作为本发明的一个优选实施例,本步骤202中的第一流量监控表项可不 仅仅匹配第一数据报文携带的源VM信息和目的VM信息,也可进一步匹配 第一数据报文的VXLAN封装中的部分参数,下面描述如何确定第一流量监 控表项:
具体地,步骤202中第一流量监控表项可通过步骤a1至步骤a3确定:
步骤a1,从第一数据报文的VXLAN封装中解析出目标封装信息。
这里,目标封装信息即为上面描述的VXLAN封装中的部分参数,结合 图1所示的VXLAN封装,这里的目标封装信息具体实现时可包含VXLAN 封装中外部IP头的源IP地址、VXLAN头中VXLAN标识(VNID)。
步骤a2,从第一数据报文的内层封装中解析出源VM信息和目的VM信息。
结合图1所示的内层封装,这里的源VM信息具体实现时可包含内层IP 头的源IP地址、内层UDP/TCP头的源端口号;目的VM信息包含内层IP头 的目的IP地址、内层UDP/TCP头的目的端口号。
步骤a3,以目标封装信息、源VM信息、以及目的VM信息为第一关键 字在本地流量监控表项中查找到匹配条件为所述第一关键字的流量监控表 项,将该查找到的流量监控表项作为第一流量监控表项。
通过步骤a1至步骤a3,能够保证本步骤202中的第一流量监控表项可不 仅仅匹配数据报文携带的源VM信息和目的VM信息,也可进一步匹配数据 报文的VXLAN封装中的部分参数。
本步骤202中,VXLAN封装中VXLAN头内被指定的保留字段可根据实 际需求预先指定。如图1所示的VXLAN封装,VXLAN封装中的VXLAN 头包含多个保留字段,这里可指定其中任一个保留字段。作为本发明的一个 实施例,本发明以VXLAN头内被指定的保留字段为VXLAN头内的第一个保 留字段,以下均以VXLAN头内被指定的保留字段为VXLAN头内的第一个保 留字段为例描述。还有,用于表示流量监控匹配的设定值可预先设置,本发明 并不具体限定。
本步骤202中,按照第一流量监控表项中的流动作对第一数据报文所属 的业务进行流量监控包括:统计第一数据报文所属业务的流量信息并确定第 一数据报文的转发路径参数。这里,业务的流量信息可包含业务中报文的数 量、报文发送的速度等,本发明并不具体限定。还有,作为本发明的一个实 施例,这里第一数据报文的转发路径参数包含:接入设备的设备标识、接入 设备收到第一数据报文的端口的标识。之所以还确定第一数据报文的转发路 径参数,原因是能够在流量监控设备上不光体现出业务的流量,还体现出该 业务流量的转发路径。
在步骤202中,转发VXLAN封装被修改后的第一数据报文具体实现时 可参考现有VXLAN封装的报文的转发方式,比如为:以VXLAN封装中外 层IP头中目的IP地址为关键字在本地路由表中查找出端口,如果查找到的出 端口为1个,则直接通过该查找到的出端口转发VXLAN封装被修改后的第一 数据报文,如果查找到的出端口的数量大于1,则对VXLAN封装中外层UDP 头内的源UDP端口号进行哈希运算,依据哈希结果从查找到的出端口中选择一个出端口转发VXLAN封装被修改后的第一数据报文
以上对步骤202进行了描述。
步骤203,在接收的数据报文为未经由VXLAN封装的第二数据报文时, 若确定本地存在与第二数据报文携带的源VM信息和目的VM信息匹配的第二 流量监控表项,则按照第二流量监控表项中的流动作为对第二数据报文所属的 业务进行流量监控,对第二数据报文进行VXLAN封装并转发VXLAN封装后 的数据报文,VXLAN封装中VXLAN头内被指定的保留字段的数值为用于表 示流量监控匹配的设定值。
作为本发明的一个实施例,步骤203中,第二流量监控表项可通过以下步 骤确定:
从第二数据报文的内层封装中解析出源VM信息和目的VM信息;以源VM 信息和目的VM信息为第二关键字在本地流量监控表项中查找到匹配条件为第 二关键字的流量监控表项,将该查找到的流量监控表项作为第二流量监控表项。 如上描述,这里的源VM信息包含内层IP头的源IP地址、内层UDP/TCP头 的源端口号,目的VM信息包含内层IP头的目的IP地址、内层UDP/TCP头 的目的端口号。
本步骤203中,按照第二流量监控表项中的流动作为对第二数据报文所属的 业务进行流量监控类似步骤202,具体为:统计第二数据报文所属业务的流量信 息并确定第二数据报文的转发路径参数,第二数据报文的转发路径参数包含: 接入设备的设备标识、接入设备收到第二数据报文的端口的标识。
本步骤203中,对第二数据报文进行VXLAN封装并转发VXLAN封装后的 第二数据报文具体可为:
利用第二数据报文的报文特征参数比如目的IP地址等计算用于VXLAN封 装的外层UDP头中的源UDP端口号,并依据第二数据报文的内层IP头中的 目的IP地址查找到对应的VXLAN封装表项,利用计算出的源UDP端口号和 查找到的VXLAN封装表项中的VXLAN封装信息对第二数据报文进行VXLAN 封装并通过查找到VXLAN封装表项中的出端口转发。这里VXLAN封装中外 层UDP头中的源UDP端口号为计算出的源UDP端口号。本发明中,第二数 据报文的VXLAN封装不完全等同于现有的VXLAN封装,其需要设置VXLAN 封装中VXLAN头内被指定的保留字段(如上举例的第一个保留字段)内的数 值为用于表示流量监控匹配的设定值。
以上对步骤203进行了描述。
步骤204,在第一设定时间到达时,将流量监控结果发送至流量监控设 备。
这里的第一设定时间可根据实际情况设置,本发明并不具体限定。
至此,完成图2所示的流程描述。
需要说明的是,在图2所示流程的步骤202中,如果接入设备本地不存 在第一流量监控表项,或者步骤203中接入设备本地不存在第二流量监控表 项,则可按照现有的数据报文转发流程执行,这里不再赘述。
在图2所示流程中,接入设备在步骤202中发送VXLAN封装被修改后 的第一数据报文后,或者接入设备在步骤203中发送VXLAN封装后的第二 数据报文后,目的VM连接的接入设备、介于源VM连接的接入设备和目的 VM连接的接入设备之间的中间设备会接收到经由VXLAN封装的数据报文 (具体为上述的第一数据报文或者第二数据报文)。当目的VM连接的接入 设备、介于源VM连接的接入设备和目的VM连接的接入设备之间的中间设 备接收的经由VXLAN封装的数据报文后,会执行图3所示的流程。
参见图3,图3为本发明提供的另一流量监控处理流程图。当目的VM 连接的接入设备、介于源VM连接的接入设备和目的VM连接的接入设备之 间的中间设备接收的经由VXLAN封装的数据报文后,执行以下步骤:
步骤301,接收经由VXLAN封装的数据报文。
步骤302,识别VXLAN封装中被指定的保留字段的数值为用于表示流量监 控匹配的设定值,按照本地存在的与所述设定值匹配的流量监控表项中的流动 作对接收的数据报文所属的业务进行流量监控。
如上举例描述的被指定的保留字段为VXLAN头内的第一个保留字段,这 里步骤302具体为:识别VXLAN封装中VXLAN头内的第一个保留字段的数 值,在第一个保留字段的数值为用于表示流量监控匹配的设定值时,意味着该 数据报文在源VM连接的接入设备已匹配了源VM信息和目的VM信息,此时 可按照本地存在的与设定值匹配的流量监控表项中的流动作对接收的数据报文 所属的业务进行流量监控。这里,设定值匹配的流量监控表项可预先设置。
具体地,步骤302中按照本地存在的与设定值匹配的流量监控表项中的流动 作对接收的数据报文所属的业务进行流量监控包括:统计所述数据报文所属业 务的流量信息并确定数据报文的转发路径参数,这里的转发路径参数包含:本 设备的设备标识、收到数据报文的端口的标识。
步骤303,在第二设定时间到达时,将流量监控结果发送至流量监控设 备。
本发明中,第二设定时间独立于上述的第一设定时间,两者可相同也可不 同,本发明并不具体限定。
至此,完成图3所示的流程。
需要说明的是,在图3所示流程的步骤302中,如果识别出VXLAN封 装中被指定的保留字段的数值不为用于表示流量监控匹配的设定值,则可按 照现有的数据报文转发流程执行。
需要说明的是,本发明中,图2、图3中描述的流量监控设备可为组网 中额外增加的一个用于流量监控的网络设备,也可为组网中一个配置了流量 监控功能的网络设备,本发明并不具体限定。
当流量监控设备收到流量监控结果后,就会对流量监控设备进行分析, 因为该流量监控设备是针对VM上某一业务的,因此,该流量监控设备能够 精准地反映VM上某一业务的相关信息,更甚,如果VM的业务流量出现异 常,本发明通过流量监控结果中的转发路径参数能监控出来流量异常,还能 够进一步确定出丢包位置。
下面通过一个具体实施例结合图2和图3所示流程进行描述:
参见图4,图4为本发明提供的实施例组网图。在图4中,VM1、VM2 是服务器(Server)1虚拟出的虚拟机,VM3、VM4为服务器2虚拟出的虚 拟机,VM5、VM6为服务器3虚拟出的虚拟机,VM7、VM8为服务器4虚 拟出的虚拟机。
在图4中,以VM1作为源VM向目的VM以VM5为例发送用于安全防 汛业务的数据报文为例,假如服务器1上的虚拟交换机(图4未示出)支持 VXLAN封装,则VM1发送的数据报文经由虚拟交换机时会被添加VXLAN 封装并通过物理网卡向外转发。为便于描述,这里将该VXLAN封装的数据 报文简称报文01。
网络设备21作为VM1连接的接入设备,其发现接收的报文01经由 VXLAN封装,从VXLAN封装中解析出目标封装信息即源IP地址和 VNID,以及从内层封装中解析出VM1信息和VM5信息,其中,VM1信息 包括VM1的IP地址和源TCP端口号,VM5信息包含内层IP头的目的IP 地址即VM5的IP地址、内层UDP/TCP头的目的端口号。
网络设备21在本地流量监控表项中查找匹配条件为该解析出的目标封 装信息、VM1信息和VM5信息的流量监控表项;
网络设备21在未查找到流量监控表项时,按照现有报文转发流程转发 接收的报文01。这里不重点描述。
网络设备21在查找到流量监控表项时,按照查找到的流量监控表项中 的流动作统计报文01所属的安全通讯业务的流量信息,以及,确定报文01 的转发路径参数。这里的流量信息主要包含报文数量、报文大小、报文速度 等;这里的转发路径参数包含:网络设备21的设备标识、网络设备21收到 报文01的端口的标识;
同时,网络设备21还对报文01的VXLAN封装做以下修改:修改 VXLAN封装中VXLAN头内被指定的保留字段(以第一个保留字段为例) 中的数值为用于表示流量监控匹配的设定值(以255为例描述),转发 VXLAN封装被修改后的报文01。为便于描述,这里将VXLAN封装被修改 后的报文01称为报文02。
网络设备21之后在第一设定时间到达时,将统计的流量监控结果发送 至流量监控设备。这里的流量监控结果包含上述的流量信息和转发路径参 数。
网络设备31,其为汇聚层网络设备,接收到报文02,确定VXLAN封装 中被指定的保留字段的数值为用于表示流量监控匹配的设定值255,按照本 地存在的与设定值255匹配的流量监控表项中的流动作对报文02所属的安全 通讯业务执行如下流量监控:统计报文02所属安全通讯业务的流量信息并 确定报文02的转发路径参数,这里转发路径参数包含:网络设备31的设备 标识、网络设备31收到报文02的端口的标识。
网络设备31依据报文02的VXLAN封装中外层IP头的外层目的IP地址确定到达该外层目的IP地址的路径,结果发现该路径不止一条,比如为 三条等价路径,基于此,网络设备31对报文02的VXLAN封装中外层UDP 头的UDP源端口号进行哈希运算,依据哈希结果从三条等价路径中找到与 哈希结果对应的一条路径转发收到的报文02。
网络设备31之后在第二设定时间到达时,将统计的流量监控结果发送 至流量监控设备。这里的流量监控结果包含上述的流量信息和转发路径参 数。
网络设备41,其为网关设备,接收到报文02,确定VXLAN封装中被指 定的保留字段的数值为用于表示流量监控匹配的设定值255,按照本地存在 的与设定值255匹配的流量监控表项中的流动作对报文02所属的安全通讯业 务执行如下流量监控:统计报文02所属安全通讯业务的流量信息并确定报 文02的转发路径参数,这里转发路径参数包含:网络设备41的设备标识、 网络设备41收到报文02的端口的标识。
网络设备41依据报文02的VXLAN封装中外层IP头的外层目的IP地 址确定到达该外层目的IP地址的路径,结果发现该路径不止一条,比如为 多条等价路径,基于此,网络设备41对报文02的VXLAN封装中外层UDP 头的UDP源端口号进行哈希运算,依据哈希结果从多条等价路径中找到与 哈希结果对应的一条路径转发收到的报文02。
网络设备41之后在第二设定时间到达时,将统计的流量监控结果发送 至流量监控设备。
网络设备33,其为汇聚层网络设备,接收到报文02,确定VXLAN封装 中被指定的保留字段的数值为用于表示流量监控匹配的设定值255,按照本 地存在的与设定值255匹配的流量监控表项中的流动作对报文02所属的安全 通讯业务执行如下流量监控:统计报文02所属安全通讯业务的流量信息并 确定报文02的转发路径参数,这里转发路径参数包含:网络设备33的设备 标识、网络设备33收到报文02的端口的标识。
网络设备33依据报文02的VXLAN封装中外层IP头的外层目的IP地 址确定到达该外层目的IP地址的路径,结果发现该路径仅为一条,直接通 过该路径转发收到的报文02。
网络设备33之后在第二设定时间到达时,将统计的流量监控结果发送 至流量监控设备。
网络设备22,其为VM5的接入设备,接收到报文02,确定VXLAN封 装中被指定的保留字段的数值为用于表示流量监控匹配的设定值255,按照 本地存在的与设定值255匹配的流量监控表项中的流动作对报文02所属的安 全通讯业务执行如下流量监控:统计报文02所属安全通讯业务的流量信息 并确定报文02的转发路径参数,这里转发路径参数包含:网络设备22的设 备标识、网络设备22收到报文02的端口的标识。
网络设备22发现VXLAN封装中外层IP头中目的IP地址为本设备的IP 地址,则对报文02进行VXLAN解封装。为便于描述,这里将VXLAN解封 装后的报文02记为报文03。
网络设备22向VM5发送报文03。
网络设备22之后在第二设定时间到达时,将统计的流量监控结果发送 至流量监控设备。
流量监控设备依据接收的流量监控结果监控VM1发送的报文01的转发 情况。即最终实现了基于VM信息的流量监控。
至此,完成上述实施例的描述。
以上对本发明提供的方法进行了描述,下面对本发明提供的装置进行描 述:
参见图5,图5为本发明提供的装置结构图。该装置应用于接入设备,如图 5所示,可包括:
第一接收单元,用于接收本地连接的VM作为源VM发送的数据报文;
第一流量监控单元,用于在所述第一接收单元接收的数据报文为经由 VXLAN封装的第一数据报文时,若确定本地存在与第一数据报文携带的源VM 信息和目的VM信息匹配的第一流量监控表项,则按照第一流量监控表项中的 流动作对第一数据报文所属的业务进行流量监控,并对第一数据报文的VXLAN 封装做以下修改:修改VXLAN头内被指定的保留字段的数值为用于表示流量 监控匹配的设定值,转发VXLAN封装被修改后的第一数据报文;以及,在所 述第一接收单元接收的数据报文为未经由VXLAN封装的第二数据报文时,若确定本地存在与第二数据报文携带的源VM信息和目的VM信息匹配的第二流 量监控表项,则按照第二流量监控表项中的流动作为对第二数据报文所属的业 务进行流量监控,对第二数据报文进行VXLAN封装并转发VXLAN封装后的 数据报文,VXLAN封装中VXLAN头内被指定的保留字段的数值为用于表示 流量监控匹配的设定值;
第一监控结果发送单元,用于在第一设定时间到达时,将流量监控结果发送 至流量监控设备。
优选地,第一流量监控单元通过以下步骤确定本地存在与第一数据报文携带 的源VM信息和目的VM信息匹配的第一流量监控表项:从第一数据报文的 VXLAN封装中解析出目标封装信息;目标封装信息包含VXLAN封装中外部 IP头的源IP地址、VXLAN头中VXLAN标识VNID;从第一数据报文的内层 封装中解析出源VM信息和目的VM信息;以目标封装信息、源VM信息、以 及目的VM信息为第一关键字在本地流量监控表项中查找到匹配条件为所述第 一关键字的流量监控表项,将该查找到的流量监控表项作为所述第一流量监控 表项;
所述第一流量监控单元通过以下步骤确定本地存在与第二数据报文携带的 源VM信息和目的VM信息匹配的第二流量监控表项:从第二数据报文的内层 封装中解析出源VM信息和目的VM信息;以源VM信息和目的VM信息为第 二关键字在本地流量监控表项中查找到匹配条件为第二关键字的流量监控表 项,将该查找到的流量监控表项作为第二流量监控表项;
其中,源VM信息包含内层IP头的源IP地址、内层UDP/TCP头的源端 口号,目的VM信息包含内层IP头的目的IP地址、内层UDP/TCP头的目的 端口号。
优选地,所述第一流量监控单元按照第一流量监控表项中的流动作对第一数 据报文所属的业务进行流量监控包括:统计第一数据报文所属业务的流量信息 并确定第一数据报文的转发路径参数,所述转发路径参数包含:本接入设备的 设备标识、收到第一数据报文的端口的标识;
所述第一流量监控单元按照第二流量监控表项中的流动作为对第二数据报 文所属的业务进行流量监控包括:统计第二数据报文所属业务的流量信息并确 定第二数据报文的转发路径参数,转发路径参数包含:本接入设备的设备标识、 收到第二数据报文的端口的标识。
至此,完成图5所示的装置结构描述。
参见图6,图6为本发明提供的另一装置结构图。该装置应用于目的VM连 接的接入设备、介于源VM连接的接入设备和目的VM连接的接入设备之间的 中间设备。
如图6所示,该装置可包括:
第二接收单元,用于接收经由VXLAN封装的数据报文;
第二流量监控单元,用于识别VXLAN封装中被指定的保留字段为用于表示 流量监控匹配的设定值,按照本地存在的与所述设定值匹配的流量监控表项中 的流动作对接收的数据报文所属的业务进行流量监控;
第二监控结果发送单元,用于在第二设定时间到达时,将流量监控结果发送 至流量监控设备。
优选地,所述第二流量监控单元按照本地存在的与设定值匹配的流量监控表 项中的流动作对接收的数据报文所属的业务进行流量监控包括:统计所述数据 报文所属业务的流量信息并确定所述数据报文的转发路径参数,所述转发路径 参数包含:本设备的设备标识、收到数据报文的端口的标识。
至此,完成图6所示的装置结构描述。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在 本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含 在本发明保护的范围之内。
Claims (11)
1.一种虚拟扩展局域网VXLAN中的流量监控方法,其特征在于,该方法应用于与源VM连接的接入设备,包括:
接收来自所述源VM发送的数据报文;
在接收的数据报文为经由VXLAN封装的第一数据报文时,若确定本地存在与第一数据报文携带的源VM信息和目的VM信息匹配的第一流量监控表项,则按照第一流量监控表项中的流动作对第一数据报文所属的业务进行流量监控,并对第一数据报文的VXLAN封装做以下修改:修改VXLAN头内被指定的保留字段的数值为用于表示流量监控匹配的设定值,转发VXLAN封装被修改后的第一数据报文;
在接收的数据报文为未经由VXLAN封装的第二数据报文时,若确定本地存在与第二数据报文携带的源VM信息和目的VM信息匹配的第二流量监控表项,则按照第二流量监控表项中的流动作为对第二数据报文所属的业务进行流量监控,对第二数据报文进行VXLAN封装并转发VXLAN封装后的数据报文,VXLAN封装中VXLAN头内被指定的保留字段的数值为用于表示流量监控匹配的设定值;
在第一设定时间到达时,将流量监控结果发送至流量监控设备。
2.根据权利要求1所述的方法,其特征在于,所述确定本地存在与第一数据报文携带的源VM信息和目的VM信息匹配的第一流量监控表项包括:
从第一数据报文的VXLAN封装中解析出目标封装信息;目标封装信息包含VXLAN封装中外部IP头的源IP地址、VXLAN头中VXLAN标识VNID;
从第一数据报文的内层封装中解析出源VM信息和目的VM信息;源VM信息包含内层IP头的源IP地址、内层UDP/TCP头的源端口号,目的VM信息包含内层IP头的目的IP地址、内层UDP/TCP头的目的端口号;
以目标封装信息、源VM信息、以及目的VM信息为第一关键字在本地流量监控表项中查找到匹配条件为所述第一关键字的流量监控表项,将该查找到的流量监控表项作为所述第一流量监控表项。
3.根据权利要求1所述的方法,其特征在于,所述确定本地存在与第二数据报文携带的源VM信息和目的VM信息匹配的第二流量监控表项包括:
从第二数据报文的内层封装中解析出源VM信息和目的VM信息;源VM信息包含内层IP头的源IP地址、内层UDP/TCP头的源端口号,目的VM信息包含内层IP头的目的IP地址、内层UDP/TCP头的目的端口号;
以源VM信息和目的VM信息为第二关键字在本地流量监控表项中查找到匹配条件为第二关键字的流量监控表项,将该查找到的流量监控表项作为第二流量监控表项。
4.根据权利要求2或3所述的方法,其特征在于,所述按照第一流量监控表项中的流动作对第一数据报文所属的业务进行流量监控包括:统计第一数据报文所属业务的流量信息并确定第一数据报文的转发路径参数,所述转发路径参数包含:本接入设备的设备标识、收到第一数据报文的端口的标识;
所述按照第二流量监控表项中的流动作为对第二数据报文所属的业务进行流量监控包括:统计第二数据报文所属业务的流量信息并确定第二数据报文的转发路径参数,所述转发路径参数包含:本接入设备的设备标识、收到第二数据报文的端口的标识。
5.一种虚拟扩展局域网VXLAN中的流量监控方法,其特征在于,该方法应用于目的VM连接的接入设备、介于源VM连接的接入设备和目的VM连接的接入设备之间的中间设备,该方法包括:
接收经由VXLAN封装的数据报文;
识别VXLAN封装中被指定的保留字段的数值为用于表示流量监控匹配的设定值,按照本地存在的与所述设定值匹配的流量监控表项中的流动作对接收的数据报文所属的业务进行流量监控;
在第二设定时间到达时,将流量监控结果发送至流量监控设备。
6.根据权利要求5所述的方法,其特征在于,所述按照本地存在的与设定值匹配的流量监控表项中的流动作对接收的数据报文所属的业务进行流量监控包括:统计所述数据报文所属业务的流量信息并确定所述数据报文的转发路径参数,所述转发路径参数包含:本设备的设备标识、收到数据报文的端口的标识。
7.一种虚拟扩展局域网VXLAN中虚拟机VM的流量监控装置,其特征在于,该装置应用于接入设备,包括:
第一接收单元,用于接收本地连接的VM作为源VM发送的数据报文;
第一流量监控单元,用于在所述第一接收单元接收的数据报文为经由VXLAN封装的第一数据报文时,若确定本地存在与第一数据报文携带的源VM信息和目的VM信息匹配的第一流量监控表项,则按照第一流量监控表项中的流动作对第一数据报文所属的业务进行流量监控,并对第一数据报文的VXLAN封装做以下修改:修改VXLAN头内被指定的保留字段的数值为用于表示流量监控匹配的设定值,转发VXLAN封装被修改后的第一数据报文;以及,在所述第一接收单元接收的数据报文为未经由VXLAN封装的第二数据报文时,若确定本地存在与第二数据报文携带的源VM信息和目的VM信息匹配的第二流量监控表项,则按照第二流量监控表项中的流动作为对第二数据报文所属的业务进行流量监控,对第二数据报文进行VXLAN封装并转发VXLAN封装后的数据报文,VXLAN封装中VXLAN头内被指定的保留字段的数值为用于表示流量监控匹配的设定值;
第一监控结果发送单元,用于在第一设定时间到达时,将流量监控结果发送至流量监控设备。
8.根据权利要求7所述的装置,其特征在于,所述第一流量监控单元通过以下步骤确定本地存在与第一数据报文携带的源VM信息和目的VM信息匹配的第一流量监控表项:从第一数据报文的VXLAN封装中解析出目标封装信息;目标封装信息包含VXLAN封装中外部IP头的源IP地址、VXLAN头中VXLAN标识VNID;从第一数据报文的内层封装中解析出源VM信息和目的VM信息;以目标封装信息、源VM信息、以及目的VM信息为第一关键字在本地流量监控表项中查找到匹配条件为所述第一关键字的流量监控表项,将该查找到的流量监控表项作为所述第一流量监控表项;
所述第一流量监控单元通过以下步骤确定本地存在与第二数据报文携带的源VM信息和目的VM信息匹配的第二流量监控表项:从第二数据报文的内层封装中解析出源VM信息和目的VM信息;以源VM信息和目的VM信息为第二关键字在本地流量监控表项中查找到匹配条件为第二关键字的流量监控表项,将该查找到的流量监控表项作为第二流量监控表项;
其中,源VM信息包含内层IP头的源IP地址、内层UDP/TCP头的源端口号,目的VM信息包含内层IP头的目的IP地址、内层UDP/TCP头的目的端口号。
9.根据权利要求8所述的装置,其特征在于,所述第一流量监控单元按照第一流量监控表项中的流动作对第一数据报文所属的业务进行流量监控包括:统计第一数据报文所属业务的流量信息并确定第一数据报文的转发路径参数,所述转发路径参数包含:本接入设备的设备标识、收到第一数据报文的端口的标识;
所述第一流量监控单元按照第二流量监控表项中的流动作为对第二数据报文所属的业务进行流量监控包括:统计第二数据报文所属业务的流量信息并确定第二数据报文的转发路径参数,转发路径参数包含:本接入设备的设备标识、收到第二数据报文的端口的标识。
10.一种虚拟扩展局域网VXLAN中虚拟机VM的流量监控装置,其特征在于,该装置应用于目的VM连接的接入设备、介于源VM连接的接入设备和目的VM连接的接入设备之间的中间设备,包括:
第二接收单元,用于接收经由VXLAN封装的数据报文;
第二流量监控单元,用于识别VXLAN封装中被指定的保留字段为用于表示流量监控匹配的设定值,按照本地存在的与所述设定值匹配的流量监控表项中的流动作对接收的数据报文所属的业务进行流量监控;
第二监控结果发送单元,用于在第二设定时间到达时,将流量监控结果发送至流量监控设备。
11.根据权利要求10所述的装置,其特征在于,所述第二流量监控单元按照本地存在的与设定值匹配的流量监控表项中的流动作对接收的数据报文所属的业务进行流量监控包括:统计所述数据报文所属业务的流量信息并确定所述数据报文的转发路径参数,所述转发路径参数包含:本设备的设备标识、收到数据报文的端口的标识。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510406620.XA CN105591834B (zh) | 2015-07-10 | 2015-07-10 | Vxlan中的流量监控方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510406620.XA CN105591834B (zh) | 2015-07-10 | 2015-07-10 | Vxlan中的流量监控方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105591834A CN105591834A (zh) | 2016-05-18 |
| CN105591834B true CN105591834B (zh) | 2018-12-11 |
Family
ID=55931091
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510406620.XA Active CN105591834B (zh) | 2015-07-10 | 2015-07-10 | Vxlan中的流量监控方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105591834B (zh) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107645431B (zh) | 2016-07-20 | 2020-08-04 | 新华三技术有限公司 | 报文转发方法及装置 |
| CN106534278A (zh) * | 2016-11-01 | 2017-03-22 | 锐捷网络股份有限公司 | 一种报文转发方法及交换设备 |
| WO2018094616A1 (zh) * | 2016-11-23 | 2018-05-31 | 华为技术有限公司 | 监测虚拟网络的方法、设备和虚拟网络*** |
| CN107342908B (zh) * | 2016-11-30 | 2021-02-19 | 新华三技术有限公司 | 一种发送双向转发检测报文的方法和装置 |
| CN108418765B (zh) * | 2018-04-08 | 2021-09-17 | 苏州盛科通信股份有限公司 | 远程流量监控负载分担的芯片实现方法和装置 |
| CN109413221A (zh) * | 2018-10-23 | 2019-03-01 | 新华三技术有限公司 | 地址分配方法及装置 |
| CN111835644B (zh) * | 2019-04-23 | 2021-11-19 | 华为技术有限公司 | 报文转发方法及交换机 |
| CN115190077B (zh) * | 2021-03-22 | 2023-09-22 | 阿里巴巴(中国)有限公司 | 控制方法、装置及计算设备 |
| CN113704059B (zh) * | 2021-08-17 | 2024-05-28 | 深信服科技股份有限公司 | 业务资产的防护方法、装置、电子设备和存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103095546A (zh) * | 2013-01-28 | 2013-05-08 | 华为技术有限公司 | 一种处理报文的方法、装置及数据中心网络 |
| CN104170331A (zh) * | 2012-04-09 | 2014-11-26 | 华为技术有限公司 | 用于vxlan的l3网关 |
| CN104734986A (zh) * | 2013-12-19 | 2015-06-24 | 华为技术有限公司 | 一种报文转发方法和装置 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9451056B2 (en) * | 2012-06-29 | 2016-09-20 | Avaya Inc. | Method for mapping packets to network virtualization instances |
| US8931046B2 (en) * | 2012-10-30 | 2015-01-06 | Stateless Networks, Inc. | System and method for securing virtualized networks |
-
2015
- 2015-07-10 CN CN201510406620.XA patent/CN105591834B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104170331A (zh) * | 2012-04-09 | 2014-11-26 | 华为技术有限公司 | 用于vxlan的l3网关 |
| CN103095546A (zh) * | 2013-01-28 | 2013-05-08 | 华为技术有限公司 | 一种处理报文的方法、装置及数据中心网络 |
| CN104734986A (zh) * | 2013-12-19 | 2015-06-24 | 华为技术有限公司 | 一种报文转发方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105591834A (zh) | 2016-05-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105591834B (zh) | Vxlan中的流量监控方法和装置 | |
| EP3958521A1 (en) | Method and apparatus for providing service for service flow | |
| CN108307434B (zh) | 用于流控制的方法和设备 | |
| US10382309B2 (en) | Method and apparatus for tracing paths in service function chains | |
| CN106233673B (zh) | 用于网络服务***的设备和方法 | |
| CN104022953B (zh) | 基于开放流Openflow的报文转发方法和装置 | |
| US8966240B2 (en) | Enabling packet handling information in the clear for MACSEC protected frames | |
| US9590820B1 (en) | Methods and apparatus for improving load balancing in overlay networks | |
| EP3346661A1 (en) | Path detection method and device | |
| US9237124B2 (en) | Scaling of virtual machine addresses in datacenters | |
| US10601610B2 (en) | Tunnel-level fragmentation and reassembly based on tunnel context | |
| US11522795B1 (en) | End to end application identification and analytics of tunnel encapsulated traffic in the underlay | |
| US20140029451A1 (en) | Monitoring virtualized network | |
| US9985892B1 (en) | System and method for providing congestion notification in layer 3 networks | |
| CN107181663A (zh) | 一种报文处理方法、相关设备及计算机可读存储介质 | |
| CN107872332B (zh) | 一种报文转发路径的探测方法及相关装置 | |
| CN106330597B (zh) | Vxlan隧道端点vtep之间的路径可达检测方法和装置 | |
| CN109428782B (zh) | 网络监控的方法和设备 | |
| WO2016107379A1 (zh) | 一种发送报文的方法和装置 | |
| CN106341333B (zh) | 应用于vxlan中的丢包定位方法和装置 | |
| CN113472650A (zh) | 报文处理方法、设备、***及存储介质 | |
| WO2018150223A1 (en) | A method and system for identification of traffic flows causing network congestion in centralized control plane networks | |
| JP6222505B2 (ja) | 入力パラメータを生成するための方法および装置 | |
| CN105763659B (zh) | 一种IPv6隧道报文封装方法及*** | |
| CN111770049B (zh) | 全局缓存变量及报文信息存储方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant after: Xinhua three Technology Co., Ltd. Address before: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant before: Huasan Communication Technology Co., Ltd. |
|
| CB02 | Change of applicant information | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |