網(wǎng)絡(luò)系統(tǒng)及其交換方法
【專利摘要】本發(fā)明在開放流的流交換機等中執(zhí)行精細的流監(jiān)視而未增加控制器上的負荷��。具體而言����,交換機向控制器發(fā)送包含使用采樣裝置而提取的分組信息的控制消息�?�?刂破鞣治鼋邮盏南?�,并且如果消息是高流速率流量���,則控制器通過配置交換機的流條目而從待采樣的流量中去除流量�。通過精細化待采樣的流量�,控制器可以有選擇地提取具體流量并且向異常檢測設(shè)備等有選擇地交換流。
【專利說明】網(wǎng)絡(luò)系統(tǒng)及其交換方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種網(wǎng)絡(luò)系統(tǒng)�����,具體地涉及一種執(zhí)行分組采樣的網(wǎng)絡(luò)系統(tǒng)����。
【背景技術(shù)】
[0002]在提供有交換節(jié)點、比如在因特網(wǎng)等中使用的分組交換機(下文稱為“交換機”)的網(wǎng)絡(luò)中���,通過分組復(fù)用來傳送不同流量�����,并且各種異?����?赡苡捎诰哂挟惓P袨榈牧髁康奈廴径霈F(xiàn)�����。
[0003]在這樣的分組網(wǎng)絡(luò)中�,提出一種用于將流定義為與相似服務(wù)有關(guān)的流量的合并,按流為單位定義交換機以及執(zhí)行流量的精細控制的方法�。
[0004]作為這樣的流量控制方法,可以提到使用如下開放流(Open Flow)技術(shù)的開放流網(wǎng)絡(luò)系統(tǒng)��,該開放流技術(shù)通過從控制器控制交換機來執(zhí)行網(wǎng)絡(luò)的路徑控制��。非專利文獻I詳細公開了開放流技術(shù)�。
[0005]應(yīng)當(dāng)注意���,開放流網(wǎng)絡(luò)系統(tǒng)僅為如下C/U (控制平面/用戶平面)離散型網(wǎng)絡(luò)系統(tǒng)的示例���,在該C/U離散型網(wǎng)絡(luò)系統(tǒng)中,節(jié)點設(shè)備(用戶平面)由外部控制器設(shè)備(控制平面)控制�����。
[0006][關(guān)于開放流網(wǎng)絡(luò)系統(tǒng)的描述]
[0007]在開放流網(wǎng)絡(luò)系統(tǒng)中,通過諸如0FC(開放流控制器)的控制器對諸如OFS(開放流交換機)的交換機的流表的操作來控制交換機的行為����。控制器和交換機由安全信道連接���,控制器利用該安全信道通過使用符合開放流協(xié)議的控制消息來控制交換機���。
[0008]開放流網(wǎng)絡(luò)系統(tǒng)中的交換機意味著構(gòu)成開放流網(wǎng)絡(luò)系統(tǒng)并且在控制器的控制之下的邊緣交換機或者核心交換機。定義開放流網(wǎng)絡(luò)中的從在輸入側(cè)的邊緣交換機中分組的接收到從輸出側(cè)的邊緣交換機的發(fā)送的電流序列�,并且符合這一定義的一組分組稱為流。
[0009]可以讀取分組作為幀�。分組與幀之間的不同僅在于rou(協(xié)議數(shù)據(jù)單元)的不同,PDu是由協(xié)議操縱的數(shù)據(jù)單元�。分組是tcp/ip(傳輸控制協(xié)議/網(wǎng)際協(xié)議)的rou。在另一方面�����,幀是以太網(wǎng)(注冊商標(biāo))的rou��。
[0010]流表是這樣的表�,在該表中注冊流條目,在該流條目中定義將對符合預(yù)定匹配條件(規(guī)則)的分組(通信數(shù)據(jù))執(zhí)行的預(yù)定動作。
[0011]用包括在分組的每個協(xié)議層的首部區(qū)域中的如下若干組合來定義并且可以通過這些組合來區(qū)分流條目的規(guī)則����,這些組合使用目的地地址、源地址���、目的地端口和源端口中的一些或者所有�����。應(yīng)當(dāng)注意���,上述地址包括MAC(介質(zhì)訪問控制)地址和IP(網(wǎng)際協(xié)議)地址。另外�,除了上述各項之外,還可以使用入口端口的信息作為流條目規(guī)則����。
[0012]流條目的動作意味著“向指定的端口輸出”����、“放棄”、“轉(zhuǎn)換首部”等���。例如��,如果示出標(biāo)識信息(輸出端口號等)作為流條目動作���,則交換機向?qū)?yīng)端口輸出分組��,或者如果未示出輸出端口的標(biāo)識信息���,則交換機放棄分組?����;蛘?,如果在流條目動作中示出首部信息,則交換機基于首部信息轉(zhuǎn)換分組的首部�����。
[0013]開放流網(wǎng)絡(luò)系統(tǒng)中的交換機對符合流條目規(guī)則的一組分組執(zhí)行流條目動作�����。[0014]開放流網(wǎng)絡(luò)系統(tǒng)中的交換機可以執(zhí)行按流為單位的精細交換處理��、按流為單位的流量控制以及流量監(jiān)視。然而有如下問題�����,該問題為在對如下架構(gòu)中的流執(zhí)行精細控制時控制目標(biāo)增加并且控制的處理負荷增加�����,在該架構(gòu)中����,執(zhí)行分組處理、比如開放流的傳送處理單元以及控制處理單元在邏輯上被分離��。
[0015]在另一方面����,可以通過增加流粒度(分段單位)來減少控制部的處理負荷;然而可以僅按流粒度為單位進行統(tǒng)計���,并且不可以監(jiān)視由交換機設(shè)置為流和高速傳送的分組的細節(jié)。
[0016]作為流監(jiān)視技術(shù)的示例�����,分組采樣技術(shù)是已知的。例如�����,“s流(sFlow)”���、“網(wǎng)流(NetFlow) ”等是已知的�����。通過分組采樣的流量監(jiān)視通過用某個概率對通過的分組進行采樣��、監(jiān)視分組的流以及根據(jù)出現(xiàn)概率推斷原始流量數(shù)量來執(zhí)行對總流量的監(jiān)視���。
[0017]分組采樣由于概率處理而適合于在流量數(shù)量中占大比率的流量的監(jiān)視而不適合于小流量監(jiān)視。
[0018]作為上述方法的改進方法�,在專利文獻I (日本特開平專利公開2009-77136)中公
開一種流量信息提供裝置、一種流量信息獲取裝置�、一種流量信息收集系統(tǒng)、一種流量信息提供程序���、一種流量信息獲取程序和一種流量信息收集方法���。
[0019]在專利文獻I中建議通過組合具有不同采樣率的若干監(jiān)視來監(jiān)視希望的流量�。
[0020]然而����,僅通過用分組采樣收集流量信息不能實現(xiàn)流量控制。因此���,希望有一種由交換機進行與流量控制組合的方法�。
[0021]引用列表
[0022][專利文獻]
[0023][PLT I]
[0024]日本特開平專利公開2009-77136
[0025][非專利文獻]
[0026][NPL I]
[0027]“OpenFlow:Enabling Innovation in Campus Networks (開放流:支持校園網(wǎng)絡(luò)中的創(chuàng)新)”���,2008年3月14日���,Nick MkKeown等,互聯(lián)網(wǎng)(URL:http: //www.0penflowswitch.0rg//documents/openfI ow~wp-latest.pdf)
[0028][NPL2]
[0029]“OpenFlow Switch Specif ication, Versionl.0.0 (開放流交換機規(guī)范��,版本1.0.0) ”, 2009 年 12 月 31 日���,互聯(lián)網(wǎng)(URL:http: //w ww.0penf lowswitch.0rg/documents/openflow-spec-vl.0.0.pdf)
【發(fā)明內(nèi)容】
[0030]需要一種對開放流的流交換機等執(zhí)行精細流監(jiān)視而未增加控制器的負荷的方法����。
[0031]與本發(fā)明有關(guān)的一種網(wǎng)絡(luò)系統(tǒng)包括:交換機和控制器���,控制器向交換機的流表設(shè)置流條目����,向流條目定義用來將分組作為流統(tǒng)一控制的規(guī)則和動作�。交換機根據(jù)流表設(shè)置確定是否對接收的分組執(zhí)行采樣處理,并且在對接收的分組執(zhí)行采樣處理的情況下通知控制器采樣結(jié)果���??刂破黜憫?yīng)于采樣結(jié)果更新流表并且縮減用于執(zhí)行采樣處理的分組�����。
[0032]與本發(fā)明有關(guān)的一種控制器包括:向交換機的流表設(shè)置流條目的設(shè)備���,向流條目定義用來將分組作為流統(tǒng)一控制的規(guī)則和動作��;產(chǎn)生根據(jù)流表設(shè)置對接收的分組執(zhí)行采樣處理的采樣結(jié)果的設(shè)備��;以及響應(yīng)于采樣結(jié)果更新流表并且縮減用于執(zhí)行采樣處理的分組的設(shè)備�。
[0033]與本發(fā)明有關(guān)的一種交換機包括:響應(yīng)于來自控制器的控制向交換機本身的流表設(shè)置流條目的設(shè)備��,向流條目定義用來將分組作為流統(tǒng)一控制的規(guī)則和動作�����;根據(jù)流表設(shè)置確定是否對接收的分組執(zhí)行采樣處理的設(shè)備;以及在對接收的分組執(zhí)行采樣處理的情況下通知控制器采樣結(jié)果的設(shè)備�。
[0034]在與本發(fā)明有關(guān)的一種交換方法中,控制器向交換機的流表設(shè)置流條目���,向流條目定義用來將分組作為流統(tǒng)一控制的規(guī)則和動作���。交換機根據(jù)流表設(shè)置確定是否對接收的分組執(zhí)行采樣處理并且在對接收的分組執(zhí)行采樣處理的情況下通知控制器采樣結(jié)果??刂破黜憫?yīng)于采樣結(jié)果更新流表并且縮減用于執(zhí)行采樣處理的分組。
[0035]與本發(fā)明有關(guān)的一種程序是一種用于使控制器和交換機執(zhí)行上述交換方法中的過程的程序��。應(yīng)當(dāng)注意��,可以在記錄設(shè)備或者記錄介質(zhì)中存儲與本發(fā)明有關(guān)的程序��。
[0036]開放流中的流交換機等可以有選擇地分析在流量中隱藏的具有大帶寬并旦難以分析的流�����。
【專利附圖】
【附圖說明】
[0037]圖1是示出與本發(fā)明有關(guān)的網(wǎng)絡(luò)系統(tǒng)的配置示例的框圖�����。
[0038]圖2是用于說明關(guān)于與本發(fā)明有關(guān)的網(wǎng)絡(luò)系統(tǒng)的示例性實施例的圖。
[0039]圖3是用于說明關(guān)于與本發(fā)明有關(guān)的交換機的基本操作的流程圖����。
[0040]圖4A是示出其中設(shè)置一個流作為初始流的狀態(tài)的圖。
[0041]圖4B是示出其中設(shè)置初始流和無采樣的流的狀態(tài)的圖����。
[0042]圖5是示出FLO��、FL1����、FL2和FL3的流量數(shù)量分布的示例的圖。
【具體實施方式】
[0043]<示例性實施例>
[0044]以下將通過參照附圖描述本發(fā)明的示例性實施例�。
[0045]本發(fā)明的目標(biāo)是⑶分離型的網(wǎng)絡(luò)系統(tǒng)。在這里��,以作為⑶分離型網(wǎng)絡(luò)系統(tǒng)之一的開放流網(wǎng)絡(luò)系統(tǒng)為例進行說明�����。應(yīng)當(dāng)注意���,事實上���,本發(fā)明不限于開放流網(wǎng)絡(luò)系統(tǒng)���。
[0046][系統(tǒng)配置]
[0047]如圖1中所示,與本發(fā)明有關(guān)的網(wǎng)絡(luò)系統(tǒng)包括交換機10和控制器20��。
[0048]交換機10是基于流表執(zhí)行交換處理的開放流交換機���。
[0049]控制器20是設(shè)置流表并且控制交換機的行為的開放流控制器��。例如控制器20是執(zhí)行軟件以作為開放流控制器實施功能的服務(wù)器裝置���。
[0050]交換機10和控制器20經(jīng)由控制線連接??刂凭€用來發(fā)送和接收符合開放流協(xié)議的控制消息。
[0051][交換機配置]
[0052]交換機10具有接收部11�、交換處理部12、流表13�、采樣處理部14、動作執(zhí)行部15�、發(fā)送部16和控制處理部17。[0053]接收部11經(jīng)由接收線從外部接收分組����。接收線與接收部11具有的多個接口(輸入端口數(shù)目)一起存在�����。接收部11經(jīng)由接收線接收分組并且向交換處理部12傳遞接收的分組����。
[0054]交換處理部12在緩沖器中存儲接收的分組��,提取接收的分組的首部字段值并且基于提取的首部字段值生成流表13的搜索鍵�����。交換處理部12使用生成的搜索鍵來在流表
13中執(zhí)行搜索�。在搜索鍵命中(對應(yīng))流表13中的流條目中的任何一個流條目的情況下�,交換處理部12根據(jù)流表條目的動作向采樣處理部14、動作執(zhí)行部15��、發(fā)送部16或者控制處理部17之中的一個發(fā)送接收的分組�����。流條目的動作可以是指定輸出端口���、轉(zhuǎn)換輸出分組首部�����、向控制線輸出或者放棄分組等�。應(yīng)當(dāng)注意,輸出端口意味著發(fā)送端口��。
[0055]在這里����,在指定“采樣指令:是”作為流表13的流條目動作的情況下,交換處理部12向采樣處理部14傳遞接收的分組�。也就是說,對接收的分組執(zhí)行采樣處理�。或者���,在指定“采樣指令:否”作為流表13的流條目動作的情況下��,交換處理部12向動作執(zhí)行部15傳遞接收的分組�。也就是說�����,未對接收的分組執(zhí)行采樣處理���,并且執(zhí)行確定的動作�����。另外�����,在流表13中無對應(yīng)的流的情況下���,交換處理部12向發(fā)送部16傳遞接收的分組��。也就是說,輸出接收的分組作為不與流對應(yīng)的普通分組���。
[0056]在流表13中設(shè)置分組的示出流和動作作為流條目的首部字段值的集合���。在這里,分組的首部字段值是流條目的規(guī)則�����。應(yīng)當(dāng)注意�����,可以說明分組的首部字段值的如下部分(或者全部)來在流表13中設(shè)置流條目規(guī)則,該部分(或者全部)通過用正規(guī)表達式或者通配符�、比如示出流。
[0057]采樣處理部14用指定的采樣率執(zhí)行分組的采樣�����。例如采樣處理部14在某個間隔(每一定時間�����、每一定數(shù)目的分組)收集一個分組以執(zhí)行統(tǒng)計分析�����。然后��,采樣處理部14向動作執(zhí)行部15傳遞分組���。在這里��,采樣處理部14可以隨著分組一起向動作執(zhí)行部15傳遞采樣結(jié)果���。
[0058]動作執(zhí)行部15對分組執(zhí)行確定的動作�����。例如�,動作執(zhí)行部15執(zhí)行首部的轉(zhuǎn)換�、向預(yù)定發(fā)送線發(fā)送或者放棄分組,以作為對分組的動作����。在這里,動作執(zhí)行部15可以獨立提取分組的首部字段��,基于提取的首部字段在流表13中搜索���,確定對接收的分組的動作以及執(zhí)行確定的動作����?����;蛘?��,動作執(zhí)行部15也可以在從采樣處理部14隨著分組一起接收采樣結(jié)果的情況下響應(yīng)于采樣結(jié)果改變對分組的動作����。
[0059]發(fā)送部16經(jīng)由發(fā)送線向外部發(fā)送分組����。發(fā)送線與發(fā)送部16具有的多個接口(輸出端口數(shù)目)一起存在。應(yīng)當(dāng)注意���,發(fā)送部16的輸出端口之一可以經(jīng)由控制線連接到控制器20�����。在這一情況下���,在控制器20側(cè)上有與發(fā)送部16的輸出端口對應(yīng)的輸入端口。也就是說���,發(fā)送部16將輸出分組向發(fā)送線和控制線輸出���。
[0060]控制處理部17控制整個交換機的操作?�?刂铺幚聿?7也執(zhí)行與控制器20 —起發(fā)送和接收控制消息并且根據(jù)來自控制器20的控制消息來執(zhí)行流表13的設(shè)置����。
[0061][控制器配置]
[0062]控制器20具有控制處理部21����。
[0063]控制處理部21控制整個控制器的操作�����??刂铺幚聿?1也執(zhí)行與交換機10—起發(fā)送和接收控制消息并且通過控制消息的使用來執(zhí)行在交換機10中設(shè)置流表13。例如��,控制消息����、比如流更新(FlOwMod)用來執(zhí)行在交換機10中向流表13注冊或者更新流條目。也就是說���,控制處理部21執(zhí)行與交換機10的控制有關(guān)的過程���。
[0064]控制處理部21經(jīng)由控制線接收控制消息����、比如分組信息或者分組查詢��,確定是否傳送分組并且在允許傳送分組的情況下確定交換機10的傳送過程的內(nèi)容并且經(jīng)由交換機10中的控制處理部17執(zhí)行流表13的設(shè)置���。
[0065][兩種流條目注冊方法]
[0066]在開放流網(wǎng)絡(luò)系統(tǒng)中,在交換機的流表中注冊流條目的方法分類為兩大類型:第一個是“前攝類型”而第二個是“反應(yīng)類型”�。
[0067]在“前攝類型”的情況下,控制器“預(yù)先(在數(shù)據(jù)通信開始之前)”計算確定的一組分組(流)的路徑并且在交換機的流表中注冊流條目���。也就是說�,這里所謂的“前攝類型”是指控制器獨立執(zhí)行的“預(yù)先流條目注冊”����。
[0068]在“反應(yīng)類型”的情況下,控制器在從交換機接收關(guān)于第一個分組(無對應(yīng)的流條目的新分組)時計算對應(yīng)的一組分組(流)的路徑并且在交換機的流表中注冊流條目���。也就是說�����,這里所謂的“反應(yīng)類型”是指控制器響應(yīng)于來自交換機的查詢而執(zhí)行的“實時流條
目注冊”���。
[0069]在本發(fā)明中,可以使用“前攝類型”或者“反應(yīng)類型”中的任何一個。
[0070]在采用“前攝類型”的情況下�,控制器20的控制處理部21預(yù)先(在數(shù)據(jù)通信開始之前)確定用于標(biāo)識被預(yù)計到達交換機10的確定的分組的首部字段值和將對這一個分組執(zhí)行的動作并且使用控制消息以執(zhí)行交換機10的流表的設(shè)置。
[0071]在采用“反應(yīng)類型”的情況下��,控制器20的控制處理部21在從交換機10接收關(guān)于分組的查詢時確定用于標(biāo)識這一個分組的首部字段值和將對這一個分組執(zhí)行的動作并且使用控制消息以執(zhí)行交換機10的流表的設(shè)置����。
[0072][硬件示例]
[0073]下文將描述用于實施與本發(fā)明有關(guān)的網(wǎng)絡(luò)系統(tǒng)的硬件的詳細示例。
[0074]作為交換機10的示例��,可以考慮網(wǎng)絡(luò)交換機����、路由器、代理�����、網(wǎng)關(guān)�����、防火墻�、負荷平衡器、分組整形器����、SCADA (監(jiān)督控制和數(shù)據(jù)采集)、網(wǎng)守�����、基站���、AP (接入點)��、CS (通信衛(wèi)星)或者具有多個通信端口的計算機等�。交換機10也可以是在物理機器中構(gòu)造的VM (虛擬機)實現(xiàn)的虛擬交換機��。
[0075]作為控制器20的示例�,假設(shè)是計算機、比如PC (個人計算機)��、電器��、瘦客戶端服務(wù)器��、工作站�、主機、超級計算機等����?����?刂破?0也可以是在計算機上安裝的擴展板或者在物理機器中構(gòu)造的VM (虛擬機)�。
[0076]交換機10和控制器20由基于用于執(zhí)行預(yù)定過程的程序進行驅(qū)動的處理器�、存儲程序和每種數(shù)據(jù)的存儲器以及用于連接到網(wǎng)絡(luò)的通信Ι/F(接口)來實現(xiàn)。
[0077]作為上述處理器的示例��,可以考慮CPU(中央處理單元)����、NP(網(wǎng)絡(luò)處理器)、微處理器��、微控制器����、LSI (大規(guī)模集成)等。
[0078]作為上述存儲器的示例�,可以考慮半導(dǎo)體存儲器設(shè)備、比如RAM(隨機存取存儲器)����、R0M(只讀存儲器)�、EEPROM(電可擦除可編程只讀存儲器)或者閃存���,輔助存儲設(shè)備�����、比如HDD (硬盤驅(qū)動)或者SSD (固態(tài)驅(qū)動),可去除盤��、比如DVD (數(shù)字萬用盤)或者存儲介質(zhì)���、比如SD卡(安全數(shù)字記憶卡)�����。
[0079]應(yīng)當(dāng)注意�����,可以集成上述處理器和上述存儲器��。例如�,正在發(fā)展將微處理器等集成到一個芯片中�����。因此,可以考慮其中安裝在計算機等上的一個芯片的微計算機具有處理器和存儲器的情況�����。
[0080]作為用于通信的上述接口的示例��,可以考慮半導(dǎo)體集成電路如與網(wǎng)絡(luò)通信對應(yīng)的板(母板�、I/o板)和芯片、網(wǎng)絡(luò)適配器如NIC(網(wǎng)絡(luò)接口卡)和相似的擴展卡�、通信設(shè)備如天線、通信端口如連接器等�����。
[0081]作為網(wǎng)絡(luò)的示例�����,也可以考慮因特網(wǎng)�、LAN(局域網(wǎng))、無線LAN�����、WAN(廣域網(wǎng))、主干網(wǎng)����、有線電視線、固定電話網(wǎng)絡(luò)���、移動電話網(wǎng)絡(luò)��、WiMAX(IEEE802.16a)�����、3G(第3代)、租賃線���、IrDA (紅外線數(shù)據(jù)協(xié)會)�����、藍牙(注冊商標(biāo))����、串行通信線�����、數(shù)據(jù)總線等。
[0082]作為接收部11和發(fā)送部16的示例��,假設(shè)是上述通信接口�����。
[0083]作為交換處理部12����、采樣處理部14、動作執(zhí)行部15����、控制處理部17和控制處理部21的示例,假設(shè)是上述處理器���。應(yīng)當(dāng)注意��,交換處理部12����、采樣處理部14、動作執(zhí)行部15��、控制處理部17和控制處理部21可以是上述處理器和上述存儲器的組合�。具體而言,控制處理部17和控制處理部21可以是上述處理器�、上述存儲器和上述通信接口的組合。交換處理部12���、采樣處理部14���、動作執(zhí)行部15、控制處理部17和控制處理部21也可以是模塊�、部件、獨占設(shè)備或者用于啟動/調(diào)用這些設(shè)備的程序�。
[0084]作為用于存儲流表13的存儲器區(qū)域的示例�,假設(shè)是上述存儲器。
[0085]應(yīng)當(dāng)注意��,事實上�,本發(fā)明不受上述示例限制。
[0086][基本概念]
[0087]參照圖2說明在交換機���、控制器和流之間的關(guān)系以及當(dāng)在交換機中設(shè)置多個流條目時的操作的概念�����。
[0088]在圖2中�����,網(wǎng)絡(luò)包括交換機10(10_i��,i = I至η���,η =交換機數(shù)目)和控制器20��。
[0089]交換機10(10_i�����,i = I至η)中的每個交換機與以上公開的交換機10相同�?�?刂破?0與以上公開的控制器20相同��。
[0090]交換機10(10_i���,i = I至η)中的每個交換機經(jīng)由控制線連接到控制器20并且根據(jù)來自控制器20的流表設(shè)置指令(控制消息)設(shè)置流表13���。
[0091]每個交換機10使用從接收線接收的分組的首部字段值的組合作為搜索鍵以在流表13中執(zhí)行搜索�,如果有命中的流條目則分類到對應(yīng)的流并且執(zhí)行由該流條目指定的動作�。
[0092]在這里,交換機10-1將接收的分組分類成FLO至FL3�。應(yīng)當(dāng)注意,F(xiàn)L示出流���。向那些流(FL0至FL3)指定用于執(zhí)行采樣(采樣處理)和預(yù)定輸出端口(輸出動作)的意圖或者指示作為動作�。
[0093]交換機10-1在那些FLO至FL3之中向FLO應(yīng)用采樣處理并且經(jīng)由控制線向控制器20傳送以概率1/Ν與分組采樣目標(biāo)匹配的分組的信息(采樣分組信息)����。也就是說,交換機10-1用每N個分組有一個分組的比率收集FLO的分組����,并且經(jīng)由控制線向控制器20傳送收集的分組的信息。應(yīng)當(dāng)注意����,交換機10-1可以經(jīng)由控制線向控制器20傳送從收集的分組(采樣分組)拷貝(復(fù)制)的分組作為收集的分組信息��。
[0094]交換機10-1向FLO至FL3中的每個應(yīng)用與FLO的輸出動作相似的動作�,向指示的輸出端口輸出分組以經(jīng)由該輸出端口向發(fā)送線發(fā)送。
[0095]除了交換機10-1之外的交換機10也執(zhí)行與上述處理相似的處理,經(jīng)由控制線向控制器20傳送與FLO對應(yīng)的流的分組(與分組采樣目標(biāo)匹配的分組)的信息���,并且從輸出端口向發(fā)送線發(fā)送與FLl至FL3對應(yīng)的流的分組(未與分組采樣目標(biāo)匹配的分組)���。
[0096]在這里,流FLl至FL3是在FLO的流集合中包括的一組流��。也就是說����,F(xiàn)LO至FL3中的每個示出屬于FLO的流集合的分組。
[0097]參照圖3說明交換機的基本操作�����。
[0098](I)步驟 SlOl
[0099]交換機10接收分組����、提取接收的分組的首部字段值并且生成用于搜索流的搜索鍵。
[0100]⑵步驟SlO2
[0101]交換機10使用搜索鍵以在流表中搜索���。
[0102]⑶步驟SlO3
[0103]交換機10在搜索鍵命中流表13的流條目中的任何一個流條目(在步驟S102中為是)的情況下驗證是否有作為命中的流條目的動作而指示的采樣指定�����。
[0104](4)步驟 S104
[0105]交換機10在有采樣指定(在步驟S103中為是)的情況下用指定的采樣率(1/N)對流執(zhí)行采樣處理���。也就是說���,交換機10對流的分組進行計數(shù)并且執(zhí)行每N個分組有一個分組的采樣。
[0106](5)步驟 SlO5
[0107]交換機10驗證分組是否與分組采樣目標(biāo)匹配�。也就是說,交換機10驗證分組是否是在N個分組之中的一個分組���。
[0108](6)步驟 SlO6
[0109]交換機10在分組與分組采樣目標(biāo)匹配的情況下執(zhí)行第一指定的動作���。例如,作為第一指定的動作���,在指定向控制器20傳送分組的情況下�����,交換機用1/N的概率向控制器20傳送在流中包括的分組的信息�����?��?刂破?0分析分組的信息,在具有大的流數(shù)量的流量的情況下在交換機10中執(zhí)行流條目13的設(shè)置的更新(添加/更新流條目)�,并且從采樣目標(biāo)排除非必需流量。因而控制器20縮減采樣目標(biāo)的流量并且有選擇地提取流量��。
[0110]⑵步驟SlO7
[0111]交換機10在分組未與分組采樣目標(biāo)的情況下執(zhí)行第二指定的動作�。例如,在規(guī)定向預(yù)定端口輸出作為第二指定的動作的情況下���,交換機10向端口輸出流并且向發(fā)送線發(fā)送��。
[0112](8)步驟 S108
[0113]交換機10在無采樣指示(在步驟S103中為否)的情況下根據(jù)指定的動作傳送分組��。
[0114](9)步驟 SlO9
[0115]交換機10也在搜索鍵未命中流表13的流條目(在步驟S102中為否)的情況下根據(jù)預(yù)定默認條目的動作(默認動作)傳送分組�。
[0116]應(yīng)當(dāng)注意�����,默認條目是數(shù)目未指定的初始設(shè)置目標(biāo)分組(或者所有分組)的流條目��??梢酝ㄟ^表達分組的首部字段值的如下部分(或者全部)來標(biāo)定數(shù)目未指定的分組,該部分(或者全部)利用正規(guī)表達式或者通配符���、比如示出流�����。默認條目具有更低優(yōu)先級����;如果有命中的其他流條目,則命中的流條目優(yōu)先��。也就是說�,默認條目是僅在無命中的流條目存在的情況下命中的流條目。在默認條目中命中的分組是不與流對應(yīng)的普通分組��。
[0117]例如����,在規(guī)定向控制器20傳送分組作為默認動作的情況下,交換機10向控制器20傳送未在流表13中命中并且關(guān)于傳送過程未知的分組�。控制器20對分組執(zhí)行處理并且根據(jù)需要執(zhí)行設(shè)置交換機10的流表13的過程(“反應(yīng)類型”)�。
[0118]或者,在規(guī)定向某個端口輸出作為默認動作的情況下��,交換機10向端口輸出分組并且向發(fā)送線發(fā)送(“前攝類型”)����。
[0119][僅初始流]
[0120]參照圖4A說明其中設(shè)置一個流作為初始流的狀態(tài)��。
[0121]在流表13中設(shè)置與FLO對應(yīng)的流條目。在與FLO對應(yīng)的流條目中�,定義“動作I”為“在用采樣率(1/N)與分組采樣目標(biāo)匹配的情況下向控制器20傳送;在無匹配的情況下向輸出目的地I輸出”���。另外�����,在輸出時定義“動作2”為“執(zhí)行首部轉(zhuǎn)換”���。
[0122]因此,交換處理部12在用采樣率(1/N)與分組采樣目標(biāo)匹配的情況下向控制器20而在無匹配的情況下向輸出目的地I傳送命中與FLO對應(yīng)的流條目的接收的分組�。另外,在輸出時執(zhí)行“首部轉(zhuǎn)換”作為“動作2”�����。
[0123]FLO示出某個網(wǎng)絡(luò)地址組的集合��。假設(shè)���,例如是來自網(wǎng)絡(luò)��、比如“IPSA(網(wǎng)際協(xié)議源地址)=10.0.0.0/8”的流集合命中與FLO對應(yīng)的流條目并且另外可以劃分成多個流集
八
口 ο
[0124][初始流+無采樣的流]
[0125]參照圖4B說明如下狀態(tài)����,在該狀態(tài)中,在流表13中設(shè)置根據(jù)通過采樣從FLO向控制器20發(fā)送的分組的信息而從作為FLl的采樣目標(biāo)排除的流��。
[0126]在流表13中設(shè)置FLl作為具有比FLO的流條目更高的優(yōu)先級的流條目��。接收的分組即使在包含于FLO和FLl 二者中的情況下仍然命中與FLl對應(yīng)的流條目��。在與FLl對應(yīng)的流條目中��,定義“向輸出目的地I輸出”作為“動作I ”���。另外�,在輸出時定義“執(zhí)行首部轉(zhuǎn)換”作為“動作2”�。
[0127]因此,交換處理部12向輸出目的地I輸出命中與FLl對應(yīng)的流條目的所有接收的分組而未執(zhí)行采樣處理�。另外,在輸出時執(zhí)行“首部轉(zhuǎn)換”作為“動作2”�����。
[0128]通過執(zhí)行上述動作,在FLO中包括的分組之中�����,可以從作為FLl的采樣目標(biāo)中排除具有大帶寬并且易于與分組采樣目標(biāo)匹配的流�����。
[0129]類似地�����,通過設(shè)置通過采樣向控制器20發(fā)送的分組作為FL2和FL3��,它們?yōu)榉遣蓸幽繕?biāo)的流���,命中FLO的流條目的流量變成相對少量流量的集合;并且通過由控制器20或者分析設(shè)備分析這一流量��,精細(分段)的流檢查變得有可能��。
[0130]也就是說�,為了在命中FLO的流條目的分組之中排除從一開始就不是采樣目標(biāo)的分組而使用FLl至FL3的流條目。具體而言,對在從“命中FLO的流條目的分組”中排除“命中FLl至FL3的流條目的分組”之后保留的分組執(zhí)行采樣���。
[0131]因此�,在流條目規(guī)則之中����,F(xiàn)Ll至FL3的流條目規(guī)則在分組的示出流的首部字段值上比FLO的流條目規(guī)則更多限制。
[0132]例如��,在FLO的流條目規(guī)則為“IPSA = 10.0.0.*/8”的情況下�����,可以通過設(shè)置FLl的流條目規(guī)則為“IPSA = 10.0.0.1/8”��、FL2的流條目規(guī)則為“IPSA = 10.0.0.2/8”和FL3的流條目規(guī)則為“IPSA = 10.0.0.3/8”來從“命中FLO的流條目的分組”中排除“命中FLl至FL3的流條目的分組”�。
[0133]在這里,流條目優(yōu)先級的數(shù)量關(guān)系是“默認條目< FLO < FLl至FL3'“FL1至FL3”的流條目優(yōu)先級的數(shù)量關(guān)系依賴于設(shè)置����。
[0134]參照圖5說明FLO、FLl��、FL2和FL3的流量數(shù)量分布的示例���。
[0135]圖5中的曲線示出在水平軸中取FLO的流集合中的首部組合而在豎直軸中取每個流量數(shù)量的情況下的流量數(shù)量的分布��。
[0136]在這里����,交換機10通過對FLO進行采樣來向控制器20發(fā)送分組。作為結(jié)果�����,控制器20在交換機10中的流表13中設(shè)置流條目����、比如FL1�����、FL2和FL3��。通過如上執(zhí)行����,在FLO的流集合之中未在FL1、FL2和FL3中包括的區(qū)域變成FLO的目標(biāo)��。
[0137]通過分析(FL0、FL1�����、FL2和FL3的)那些流量��,有可能有選擇地分析流量中隱藏的具有大帶寬并且難以分析的流����。
[0138]交換機10根據(jù)流的匹配(在流條目中命中的情況下)和分組采樣的匹配(在分組采樣中匹配的情況下)來改變分組傳送過程中的目的地。
[0139]具體而言���,交換機10向控制器20傳送在分組采樣中匹配的分組����。
[0140]控制器20基于通過采樣而獲得的流信息在交換機10的流表13中設(shè)置流條目并且從采樣目標(biāo)中排除以使采樣目標(biāo)限于更精細流的流量�����。
[0141][總結(jié)]
[0142]如以上公開的那樣�,在本發(fā)明中,交換機向控制器發(fā)送如下控制消息����,該控制消息包括通過采樣過程而提取的分組的信息��?���?刂破鞣治鼋邮盏南⒉⑶以诰哂写髷?shù)量的流的流量的情況下通過設(shè)置交換機的流條目來從采樣目標(biāo)中排除非必需流量����。通過縮減采樣目標(biāo)的流量,控制器可以有選擇地提取精細流量�,并且變得有可能有選擇地向異常檢測裝置等交換對應(yīng)的流(向異常檢測裝置等交換傳送目的地)。
[0143]〈附錄〉
[0144]也可以描述上述示例實施例的部分或者全部為以下附錄�����。應(yīng)當(dāng)注意����,事實上�,本發(fā)明不受以下描述的示例所限制。
[0145](附錄I)
[0146]一種控制器�����,包括:
[0147]被配置用于在交換機的流表中設(shè)置流條目的設(shè)備�,向所述流條目定義用來將分組作為流統(tǒng)一控制的規(guī)則和動作��;
[0148]被配置用于從所述交換機接收根據(jù)所述流表設(shè)置對接收的分組執(zhí)行的采樣處理的采樣結(jié)果的設(shè)備��;以及
[0149]被配置用于響應(yīng)于所述采樣結(jié)果更新所述流表并且縮減用于執(zhí)行采樣處理的分組的設(shè)備���。
[0150](附錄2)
[0151]根據(jù)附錄I所述的控制器,進一步包括:
[0152]被配置用于向所述流表設(shè)置與用于執(zhí)行采樣處理的流有關(guān)的流條目��、與未用于執(zhí)行采樣處理的流有關(guān)的流條目和與不對應(yīng)于流的普通分組有關(guān)的默認條目的設(shè)備��。
[0153](附錄3)[0154]根據(jù)附錄2所述的控制器����,進一步包括:
[0155]被配置用于基于所述交換機通知的分組的信息并且以比與用于執(zhí)行采樣處理的流有關(guān)的流條目更高的優(yōu)先級在流表中設(shè)置與從用于執(zhí)行采樣處理的分組中新近被排除出采樣處理的流有關(guān)的流條目,并且從與用于執(zhí)行采樣處理的流對應(yīng)的分組中排除與被排除出采樣處理的流對應(yīng)的分組的設(shè)備����。
[0156](附錄4)
[0157]一種交換機,包括:
[0158]被配置用于響應(yīng)于來自控制器的控制在所述交換機的流表中設(shè)置流條目的設(shè)備�,向所述流條目定義用來將分組作為流統(tǒng)一控制的規(guī)則和動作;
[0159]被配置用于根據(jù)所述流表設(shè)置確定是否對接收的分組執(zhí)行采樣處理的設(shè)備�����;以及
[0160]被配置用于在對所述接收的分組執(zhí)行采樣處理的情況下通知所述控制器采樣結(jié)果的設(shè)備����。
[0161](附錄5)
[0162]根據(jù)附錄4所述的交換機�����,進一步包括:
[0163]被配置用于將接收的分組分類為與用于執(zhí)行采樣處理的流對應(yīng)的分組���、與未用于執(zhí)行采樣處理的流對應(yīng)的分組或者不與流對應(yīng)的普通分組的設(shè)備;
[0164]被配置用于通知所述控制器與用于執(zhí)行采樣處理的流對應(yīng)的分組的信息的設(shè)備����;以及
[0165]被配置用于轉(zhuǎn)換與用于執(zhí)行采樣處理的流對應(yīng)的分組和與未用于執(zhí)行采樣處理的流對應(yīng)的分組的首部信息的設(shè)備。
[0166](附錄6)
[0167]根據(jù)附錄5所述的交換機����,進一步包括:
[0168]被配置用于響應(yīng)于基于分組信息的來自控制器的控制并且以比與用于執(zhí)行采樣處理的流有關(guān)的流條目更高的優(yōu)先級在流表中設(shè)置與從用于執(zhí)行采樣處理的分組中新近被排除出采樣處理的流有關(guān)的流條目的設(shè)備;以及
[0169]被配置用于根據(jù)所述流表設(shè)置從與用于執(zhí)行采樣處理的流對應(yīng)的分組排除與被排除出采樣處理的流對應(yīng)的分組的設(shè)備�����。
[0170](備注)
[0171]以上已經(jīng)公開本發(fā)明的示例實施例�����;但是在事實上�,本發(fā)明不受上述示例性實施例限制并且包括在未脫離本發(fā)明的實質(zhì)的范圍中包括若干變化。
[0172]應(yīng)當(dāng)注意�,本發(fā)明基于日本專利申請2011-060389要求優(yōu)先權(quán),因此通過這一引用在本發(fā)明中并入日本專利申請2011-060389的公開內(nèi)容����。
【權(quán)利要求】
1.一種網(wǎng)絡(luò)系統(tǒng),包括: 交換機�����;以及 控制器��,被配置用于在所述交換機的流表中設(shè)置流條目��,在所述流條目中定義用來將分組作為流統(tǒng)一控制的規(guī)則和動作����; 其中所述交換機根據(jù)所述流表設(shè)置而確定是否對接收的分組執(zhí)行采樣處理,以及在對所述接收的分組執(zhí)行采樣處理的情況下通知所述控制器采樣結(jié)果����,并且 其中所述控制器根據(jù)所述采樣結(jié)果而更新所述流表,并且縮減用于執(zhí)行采樣處理的分組�。
2.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)系統(tǒng), 其中所述控制器包括: 被配置用于設(shè)置與用于執(zhí)行采樣處理的流有關(guān)的流條目����、與未用于執(zhí)行采樣處理的流有關(guān)的流條目和與不對應(yīng)于流的普通分組有關(guān)的默認流條目的裝置��,并且其中所述交換機包括: 被配置用于將接收的分組分類為與用于執(zhí)行采樣處理的流對應(yīng)的分組�、與未用于執(zhí)行采樣處理的流對應(yīng)的分組或者不與流對應(yīng)的普通分組的裝置�����; 被配置用于通知所述控制器與用于執(zhí)行所述采樣處理的流對應(yīng)的分組的信息的裝置��;. 被配置用于轉(zhuǎn)換與用于執(zhí)行所述采樣處理的流對應(yīng)的分組和與未用于執(zhí)行所述采樣處理的流對應(yīng)的分組二者的首部信息的裝置��;以及被配置用于輸出分組的裝置��。
3.根據(jù)權(quán)利要求2所述的網(wǎng)絡(luò)系統(tǒng)�����, 其中所述控制器進一步包括: 被配置用于基于從所述交換機通知的分組的信息并且以比與用于執(zhí)行采樣處理的流有關(guān)的流條目更高的優(yōu)先級����,在所述流表中設(shè)置與從用于執(zhí)行所述采樣處理的流中新近被排除出所述采樣處理的流有關(guān)的流條目,并且從與用于執(zhí)行所述采樣處理的流對應(yīng)的分組中排除與被排除出所述采樣處理的流對應(yīng)的分組的裝置���。
4.一種控制器����,包括: 被配置用于在交換機的流表中設(shè)置流條目的裝置��,在所述流條目中定義用來將分組作為流統(tǒng)一控制的規(guī)則和動作����; 被配置用于在根據(jù)所述流表設(shè)置而對接收的分組執(zhí)行采樣處理的情況下,從所述交換機接收采樣結(jié)果的裝置�;以及 被配置用于響應(yīng)于所述采樣結(jié)果而更新所述流表,并且縮減用于執(zhí)行采樣處理的分組的裝置�����。
5.一種交換機��,包括: 被配置用于響應(yīng)于來自控制器的控制向所述交換機的流表設(shè)置流條目的裝置�,在所述流條目中定義用來將分組作為流統(tǒng)一控制的規(guī)則和動作; 被配置用于根據(jù)所述流表設(shè)置確定是否對接收的分組執(zhí)行采樣處理的裝置����;以及 被配置用于在對所述接收的分組執(zhí)行采樣處理的情況下,通知所述控制器采樣結(jié)果的>j-U ρ?α裝直����。
6.—種交換方法,包括: 控制器在交換機的流表中設(shè)置流條目���,在所述流條目中定義用來將分組作為流統(tǒng)一控制的規(guī)則和動作; 所述交換機根據(jù)所述流表設(shè)置而確定是否對接收的分組執(zhí)行采樣處理����,并且在對所述接收的分組執(zhí)行采樣處理的情況下通知所述控制器采樣結(jié)果,以及 所述控制器響應(yīng)于所述采樣結(jié)果而更新所述流表�����,并且縮減用于執(zhí)行采樣處理的分組���。
7.根據(jù)權(quán)利要求6所述的交換方法���,包括: 所述控制器在所述流表中設(shè)置與用于執(zhí)行采樣處理的流有關(guān)的流條目、與未用于執(zhí)行采樣處理的流有關(guān)的流條目和與不有關(guān)于流的普通分組有關(guān)的默認條目��; 所述交換機根據(jù)所述流表設(shè)置而將接收的分組分類為與用于執(zhí)行采樣處理的流對應(yīng)的分組�����、與未用于執(zhí)行采樣處理的流對應(yīng)的分組或者不與流對應(yīng)的普通分組���; 所述交換機通知所述控制器與用于執(zhí)行所述采樣處理的流對應(yīng)的分組的信息���; 所述交換機轉(zhuǎn)換與用于執(zhí)行所述采樣處理的流對應(yīng)的分組和與未用于執(zhí)行所述采樣處理的流對應(yīng)的分組的首部信息���;以及所述交換機輸出分組�。
8.根據(jù)權(quán)利要求7所述的交換方法,進一步包括: 所述控制器基于從所述交換機通知的分組的信息并且以比與用于執(zhí)行采樣處理的流有關(guān)的流條目更高的優(yōu)先級���,在所述流表中設(shè)置與從用于執(zhí)行所述采樣處理的流中新近被排除出所述采樣處理的流有關(guān)的流條目�����;并且 所述控制器從與用于執(zhí)行所述采樣處理的流對應(yīng)的分組中排除與被排除出所述采樣處理的流對應(yīng)的分組�����。
9.一種記錄介質(zhì)���,在所述記錄介質(zhì)中存儲用于使控制器執(zhí)行方法的程序,所述方法包括: 在交換機的流表中設(shè)置流條目的步驟�,在所述流條目中定義用來將分組作為流統(tǒng)一控制的規(guī)則和動作; 從所述交換機接收根據(jù)所述流表設(shè)置而對接收的分組執(zhí)行的采樣處理的采樣結(jié)果的步驟�;以及 響應(yīng)于所述采樣結(jié)果而更新所述流表,并且縮減用于執(zhí)行采樣處理的分組的步驟。
10.一種記錄介質(zhì)�����,在所述記錄介質(zhì)中存儲用于使交換機執(zhí)行方法的程序�����,所述方法包括: 響應(yīng)于來自控制器的控制而在所述交換機的流表中設(shè)置流條目的步驟�,在所述流條目中定義用來將分組作為流統(tǒng)一控制的規(guī)則和動作; 根據(jù)所述流表設(shè)置而確定是否對接收的分組執(zhí)行采樣處理的步驟�����;以及 在對所述接收的分組執(zhí)行采樣處理的情況下通知所述控制器采樣結(jié)果的步驟�����。
【文檔編號】H04L12/931GK103444132SQ201280013961
【公開日】2013年12月11日 申請日期:2012年1月18日 優(yōu)先權(quán)日:2011年3月18日
【發(fā)明者】上野洋史 申請人:日本電氣株式會社