本發(fā)明一般地涉及網絡運維技術領域技術領域，并且具體地，涉及網絡流量控制方案。

背景技術：

隨著互聯(lián)網的普及，對網絡流量的監(jiān)控成為網絡運行及維護中的重要組成部分。為了不影響網絡中正常的數(shù)據(jù)發(fā)送，同時對網絡流量進行分析，通常采用的方法是交換機的端口鏡像，也就是把交換機鏈路中實際傳輸?shù)牧髁客耆珡椭频侥硞€目的地，然后由網絡管理員在目的地通過分析鏡像流量來找出網絡存在問題的原因，包括在后臺針對網絡中的數(shù)據(jù)流向、吞吐性能、故障排錯以及安全異常等進行分析。

然而，目前的端口鏡像分析包括將鏡像流量路由至遠程位置，封裝后的鏡像流量與正常的流量共享同一鏈路資源，這將影響網絡中正常轉發(fā)的流量。

因此，所期望的是設計一種簡單易行且低成本的網絡流量控制方案，以減輕或避免用于網絡分析的鏡像流量對正常流量的干擾。

技術實現(xiàn)要素：

有鑒于此，本發(fā)明提供了一種網絡流量控制方案，可改善上述問題。

一方面，本發(fā)明提供了一種網絡流量控制方法，其包括：對網絡中傳輸?shù)膱笪倪M行鏡像；為所述報文的鏡像流量進行路由封裝；以及從本地導出經路由封裝的鏡像流量。

如上所述的方法，其中，從本地導出經路由封裝的鏡像流量包括在本地設備上為經路由封裝的鏡像流量預留端口，并且從所述預留端口導出經路由封裝的鏡像流量。

如上所述的方法，其中，從所述預留端口導出經路由封裝的鏡像流量包括為所述預留端口靜態(tài)綁定ip地址，并且將與所述預留端口綁定的ip地址作為所述經路由封裝的鏡像流量的目的地址。

如上所述的方法，其中，所述本地設備為三層交換機。

如上所述的方法，從本地導出經路由封裝的鏡像流量包括從本地將經路由封裝的鏡像流量傳送至流量匯聚設備，其中所述流量匯聚設備與網絡分析設備通信連接。

如上所述的方法，其中，所述路由封裝包含所述報文的描述信息。

如上所述的方法，其中，所述路由封裝包含針對所述報文的描述信息的索引。

如上所述的方法，其中，所述路由封裝采用封裝遠程端口鏡像erspan報文的形式，并且將所述erspan報文中的會話標識字段作為所述索引。

另一方面，本發(fā)明還提供了一種交換機設備，其包括：鏡像模塊，用于對網絡中傳輸?shù)膱笪倪M行鏡像；封裝模塊，用于為所述報文的鏡像流量進行路由封裝；以及導出模塊，用于從本地導出經路由封裝的鏡像流量。

附圖說明

本發(fā)明的前述和其他目標、特征和優(yōu)點根據(jù)下面對本發(fā)明的實施例的更具體的說明將是顯而易見的，這些實施例在附圖中被示意。

圖1是根據(jù)本發(fā)明一個示例的網絡流量控制方法的示意流程圖。

圖2是根據(jù)本發(fā)明的另一示例的網絡流量控制方法的示意應用場景。

圖3是根據(jù)本發(fā)明一個示例的交換機設備的示意框圖。

具體實施方式

現(xiàn)在參照附圖描述本發(fā)明的示意性示例，相同的附圖標號表示相同的元件。下文描述的各示例有助于本領域技術人員透徹理解本發(fā)明，且各示例意在示例而非限制。圖中各元件、部件、模塊、裝置及設備本體的圖示僅示意性表明存在這些元件、部件、模塊、裝置及設備本體同時亦表明它們之間的相對關系，但并不用以限定它們的具體形狀；流程圖中各步驟的關系也不以所給出的順序為限，可根據(jù)實際應用進行調整但不脫離本申請的保護范圍。

圖1是根據(jù)本發(fā)明一個示例的網絡流量控制方法的示意流程圖。圖1所示的方法可以例如在交換機設備中實施。如圖1所示，首先在步驟11中對網絡中傳輸?shù)膱笪倪M行鏡像。在一些示例中，這可以例如采用交換機的端口鏡像過程，即把交換機的源端口的流量完全復制一份。生成鏡像的主要目的是為了供網絡管理員通過對報文鏡像進行分析來找出網絡存在問題的原因。生成鏡像的報文可以例如由網絡管理員指定，或者由交換機或者與交換機通信連接的處理系統(tǒng)按照預先設定的條件來自動生成。

接著，在步驟13中，為所生成的鏡像流量進行路由封裝，使得這些鏡像流量能夠在網絡中被路由到遠端的網絡分析設備。另一方面，在這些路由封裝的報頭中還可以包含或與原始報文相關的各種描述信息或者包含針對這些描述信息的索引，這對于云網絡環(huán)境尤其有用。云網絡是承載云平臺虛擬化應用的網絡。云網絡流量具有虛擬化、動態(tài)化等特點。虛擬化是指存在邏輯的訪問流量與實際的物理流量，每個物理端口可能承載多個虛擬主機的流量。動態(tài)化指的是虛擬主機是可以動態(tài)遷移的，因此其網絡流量也會隨之進行遷移，不固定于某一物理端口。通過在路由封裝中包含被鏡像的報文的描述信息或者包含針對這些描述信息的索引，能夠使得網絡管理員更準確和高效地對網絡流量情況進行分析。具體地，報文的描述信息可以例如包括報文的租戶信息、路徑信息、虛擬網絡組信息等中的一個或多個。

在一個示例中，可以采用封裝遠程端口鏡像erspan報文的形式對報文鏡像進行路由封裝。在采用erspan報文的情況下，可以將所述erspan報文中的會話標識字段作為所述索引。例如，可以在對報文鏡像進行erspan報文封裝的過程中，將erspan報頭中的會話標識（在session_id字段中）與報文的描述信息一起存儲成關聯(lián)表。由此，網絡分析設備在收到erspan報文之后可以根據(jù)其中的會話標識來提取描述信息，以供網絡管理員在分析過程中使用。

在常規(guī)的系統(tǒng)中，這些經路由封裝的鏡像流量將與正常流量一起在網絡中進行傳輸，從而可能造成網絡擁塞。相比之下，在圖1的示例中，步驟15包括從本地導出經路由封裝的鏡像流量。

在一些示例中，可以在本地的交換機設備上為經路由封裝的鏡像流量預留端口，并且從預留端口導出經路由封裝的鏡像流量。例如，可以為預留端口靜態(tài)綁定ip地址，并且將與預留端口綁定的ip地址作為經路由封裝的鏡像流量的目的地址。

本地設備可以例如是三層交換機，因此可以對鏡像流量提供路由。然而，在本發(fā)明中，規(guī)定將所有原本要路由到遠端網絡分析設備的鏡像流量全部從本地導出，從而避免了鏡像流量在交換機鏈路中對正常流量造成的影響。鏡像流量只會占用預留的接口帶寬，而超出部分可以被直接丟棄，從而不會溢出或侵占其他的鏈路資源。同時，又可以利用路由封裝使得鏡像流量攜帶與報文相關的描述信息，從而相對于一般的本地流量鏡像具有更好的靈活性與可關聯(lián)性，這在云網絡場景下尤其適用。

圖2是根據(jù)本發(fā)明的另一示例的網絡流量控制方法的示意應用場景。如圖1所示，從本地導出經路由封裝的鏡像流量可以是從本地將經路由封裝的鏡像流量傳送至流量匯聚設備（諸如tap設備），而該流量匯聚設備又與網絡分析設備通信連接。圖2所示的交換機中的加深部分表示預留端口。來自不同交換機的鏡像流量可以通過tap設備進行流量匯聚，最終導入到網絡分析設備中進行流量分析。

本發(fā)明所提供的網路流量控制方案能夠提升對鏡像流量影響的可控程度，尤其是例如erspan封裝的報文。通過利用本發(fā)明的方法，經路由封裝的鏡像流量將被限制在本地交換機，避免其占用上行鏈路帶寬，并且通過為鏡像流量預留固定的端口信道，可以將鏡像流量限定在可控范圍內，從而防止溢出，大大增加網絡及相關設備的穩(wěn)定性。此外，通過本發(fā)明的方法可以在限制erspan方式的鏡像流量對網絡鏈路的影響的同時，利用其相對于本地鏡像流量更優(yōu)的靈活性與可關聯(lián)性，從而為管理員提供更多對于流量分析有用的信息，提高網絡流量監(jiān)控的效率。如上所述，這在云網絡場景下尤其適用。

圖3是根據(jù)本發(fā)明一個示例的交換機設備的示意框圖。如圖3所示，交換機設備300包括鏡像模塊31、封裝模塊33以及導出模塊35。具體地，鏡像模塊被配置用于對網絡中傳輸?shù)膱笪倪M行鏡像；封裝模塊33被配置用于為該報文的鏡像流量進行路由封裝；導出模塊35被配置用于從本地導出經路由封裝的鏡像流量。

在本說明書中省去了對一般的交換機設備的其他構造的描述，以避免不必要的冗余。但本領域技術人員能夠理解圖3所示的結構能夠被集成在任何已有或待開發(fā)的交換機設備中。圖3所示的交換機設備能夠被配置為實現(xiàn)上文所描述的任何與本發(fā)明所提供的、在交換機設備處實現(xiàn)的相關操作。本領域技術人員能夠理解，圖3所示的模塊劃分僅是示意性的，這些模塊能夠按照具體實現(xiàn)來集成或進一步劃分，并且以任何軟件或硬件的形式來實現(xiàn)。

應當說明的是，以上具體實施方式僅用以說明本發(fā)明的技術方案而非對其進行限制。盡管參照上述具體實施方式對本發(fā)明進行了詳細的說明，本領域的普通技術人員應當理解，依然可以對本發(fā)明的具體實施方式進行修改或對部分技術特征進行等同替換而不脫離本發(fā)明的實質，其均涵蓋在本發(fā)明請求保護的范圍中。