[发明专利]一种虚拟化网络环境中镜像网络流量控制协议

权利要求书

1.一种虚拟化网络环境中基于软件定义的镜像网络流量控制协议，其特征在于，该协议能够适应功能上解耦合且分布式部署的镜像流量采集、镜像流量分发和镜像流量控制的系统结构，镜像流量采集器节点/虚拟机被部署在用户的业务网络环境中，其主要功能是捕获虚拟化环境中的镜像流量，在根据协议所指定的目的进行转发；镜像流量分发器部署在非业务网络环境中，即不需要考虑网络负载对用户业务网络环境正常网络通信的影响，其功能是根据协议所指定的多目的的流量分析设备进行流量复制和分发；镜像流量中心控制器对整个镜像网络流量的转发逻辑进行统一的控制，提供软件定义的接口。

2.根据权利要求1所述的镜像网络流量控制协议，其整体工作流程为：

1)在镜像流量采集器节点捕获到数据包后，会在本地的导流流表中查找数据包所代表的流所对应的流表项，若找不到对应匹配项，则表明该流所对应的导流规则还未从镜像流量中心控制器下发，则需要向控制中心请求该规则；

2)镜像流量采集器节点向镜像流量中心控制器节点发送导流流表项请求协议，请求对应的导流流表项；

3)在镜像流量采集器节点发出导流流表项请求后，尚未接收到镜像流量中心控制器节点下发的流表项之前，先按照默认导流规则进行导流，默认规则为将该流的前n个数据包导出给镜像流量控制中心；

4)镜像流量中心控制器节点接收到导流流表项请求报文后，基于报文内容对本地数据库进行检索，查找预先配置和定义的该流对对应的导流规则，并基于查找结果生成对应的流表项规则；

5)若无法找到对应的导流规则，则由镜像流量中心控制器向发送请求的镜像流量采集器发送协议分析请求；

6)收到协议分析请求的镜像流量采集器将该流的完整数据包上报至镜像流量中心控制器；

7)镜像流量中心控制器分析获得的上报数据包的内容，分析应用层协议，并基于系统的配置生成对应的导流的规则；

8)若该流所对应的流分析设备是单一设备时，镜像流量中心控制器节点直接向请求该规则的镜像流量采集器节点下发导流规则；

9)镜像流量采集器节点在接收到下发来的导流规则后，更新本地的流表，并按照新的导流规则将流量导出到对应的流分析设备；

10)若该流所对应的流分析设备超过一个设备时，镜像流量中心控制器节点选择一个合适的镜像流量分发器节点，作为导流目的，并向请求该规则的镜像流量采集器节点下发以该镜像流量分发器节点为目的的导流规则；

11)镜像流量采集器节点在接收到下发来的导流规则后，更新本地的流表，并按照新的导流规则将流量导出到对应的镜像流量分发器节点；

12)镜像流量中心控制器节点基于流分析设备的目的和对所需要的镜像流量的要求，向被选作导流目的的镜像流量分发器节点下发流分发规则；

13)镜像流量分发器节点在接收到流分发规则后，更新本地流表，并在接收到从镜像流量采集器节点导出来的流量后，基于流分发规则表进行流量的分发。

3.根据权利要求2所述的镜像网络流量控制协议的整体工作流程，所述导流规则表被存储在镜像流量采集器节点的内存中，每个数据包在处理时都需要基于数据包的源MAC、目的MAC、源IP、目的IP、端口号和VLANID来检索该数据包所对应的网络流在该表中的对应的表项，以基于表项对数据包进行处理，其中：动作ID指定需要执行的动作，目前支持丢弃和导流两种动作；封装IP、封装VLAN是在导流时根据用户网络环境提供的将数据包导出时需要构造的数据封装格式；目的MAC地址的指定是可选项，在没有SDN网络支持的环境下，且需要直接将流量转发到安全设备而不是流量分发节点时需要指定，统计标志指定该流的流量和数据包个数是否需要进行统计和上报给管理中心，失效时间是该流表项的失效时间，系统中将启用一个对应的计时器，每次该流表项被匹配后，对应的计时器将被重置为该流表项中的失效时间，若超过失效时间的周期内都没有属于该流表项的数据包得到匹配，则将删除该流表项。