[发明专利]一种虚拟化网络环境中镜像网络流量控制协议

说明书

一种虚拟化网络环境中基于软件定义的镜像网络流量控制协议，其特征在于，该协议能够适应功能上解耦合且分布式部署的镜像流量采集、镜像流量分发和镜像流量控制的系统结构，镜像流量采集器节点/虚拟机被部署在用户的业务网络环境中，其主要功能是捕获虚拟化环境中的镜像流量，在根据协议所指定的目的进行转发；镜像流量分发器部署在非业务网络环境中，即不需要考虑网络负载对用户业务网络环境正常网络通信的影响，其功能是根据协议所指定的多目的的流量分析设备进行流量复制和分发；镜像流量中心控制器对整个镜像网络流量的转发逻辑进行统一的控制，提供软件定义的接口。

技术领域

本发明涉及信息安全技术领域，尤其涉及虚拟化网络环境中对镜像网络流量的控制方案和控制协议。

背景技术

在虚拟化网络环境中，虚拟网络边界是由虚拟机和隔离边界的隔离方案如VLAN或VXLAN构成，而物理网络边界仍然是传统的基于物理网络交换机和网络链路组成。这就使得一个由虚拟机组成的网络的虚拟网络边界和物理网络边界不一致。传统物理安全设备从物理网络边界(物理交换机的上行端口)镜像网络流量时，就无法获得一个完整的虚拟网络边界所对应的网络流量。虚拟机间可以通过虚拟交换机直接通信，而不把流量转发到物理网络链路上，这部分流量也无法被物理安全设备直接监控到。

为了解决在虚拟网络环境中的网络流量监控的盲区问题，现在常用的技术手段是通过配置虚拟交换机或利用安装在虚拟化环境中的虚拟机把需要监控的网络流量从虚拟化环境中导出到物理链路上来。其中通过配置虚拟机交换机的流量导出方案可以解决虚拟间通信流量不出到物理链路上而无法被捕获的问题，但是仍然存在由于虚拟网络边界和物理网络边界不一致而导致的无法捕获一个完整的虚拟网络边界的流量的问题。通过虚拟机将虚拟交换机上的流量捕获再导出来将是一种更加合理且被越来越多安全厂商所接受的方案。

软件定义网络(SoftwareDefinedNetworks，SDN)是近年来提出的一种利用解耦网络硬件的控制层、转发层和数据层来实现对网络流量高灵活性转发控制的新的网络控制架构。为了支持软件定义的灵活性，无法由单一的物理交换机来完成对某个网络流的转发控制，因为单一物理交换机缺少足够的网络全局拓扑信息的支持，因此在软件定义网络的环境中，需要将控制权限进行集中化的管理，以转发节点向控制节点询问转发策略，控制节点下发转发策略的方式来进行执行。软件定义网络是一种技术思想，Openflow是其中最具有代表性的SDN的具体实现技术之一。