[发明专利]用于控制交换机以捕获和监视网络流量的系统和方法

说明书

本申请要求于2015年2月10日提交的美国专利申请No.14/618,635的优先权，该申请的内容整体上通过引用并入本文。

技术领域

本发明涉及通信网络，更具体而言涉及具有由控制器控制的网络交换机的通信网络。

背景技术

基于分组的网络(诸如互联网和连接到互联网的本地数据网络)包括网络交换机。网络交换机用于将分组从分组源转发到分组目的地。这些分组有时可以被称为帧。

使用一个供应商的装备来控制另一个供应商的交换机会是困难的或不可能的。这是因为，一个供应商的交换机装备可能使用与另一个供应商的交换机装备不同的操作系统和控制过程集合。为了解决与控制不同类型的交换机平台相关联的挑战，已经开发出了跨平台协议。这些协议允许对否则将不兼容的交换机的集中控制。

跨平台控制器客户端可以包括在网络中的交换机上。控制器客户端能够经网络路径与对应的控制器服务器进行通信。因为控制器客户端可以在各种交换机硬件上实现，所以单个控制器有可能控制可能否则将不兼容的交换机设备。

常常期望监视流经网络的网络流量。常规的网络监视常常利用介于网络交换机之间的一个或多个网络分接头。网络分接头包括直接耦合到监视设备并复制在网络交换机之间流动的网络流量的监视器端口。被复制的网络流量经由监视器端口提供给监视设备。但是，随着网络的规模和复杂性增加，使用这种布置监视网络会具有挑战性。例如，为了监视多个网络位置处的网络流量，必须在每个网络位置提供网络分接头和对应的监视设备，这增加了成本并导致网络监视资源的低效使用。

因此，可以期望能够为网络提供改进的网络流量监视能力。

发明内容

分组转发网络可以包括交换机，其执行网络转发操作，以在耦合到分组转发网络的终端主机之间转发网络流量(例如，网络分组)。流量分析网络可以耦合到分组转发网络，用于对由转发网络转发的网络分组执行网络流量监视操作。

控制器可以控制转发网络中的交换机，以实现期望的网络转发路径，其用于在终端主机之间转发网络分组。控制器可以配置网络中的交换机，以形成一个或多个交换机端口组(例如，链路聚合组)。例如，控制器可以向交换机提供链路聚合映射信息，该信息识别链路聚合组和对应的交换机端口。控制器可以识别连接到流量分析网络的交换机中至少一个上的一组交换机端口。控制器可以控制转发网络的所选交换机，以将在转发网络的终端主机之间转发的网络分组的至少一部分复制到所识别的一组交换机端口，而不干扰转发网络的分组转发操作。

控制器可以定义监视会话(例如，在终端主机之间转发的网络分组的子集)，在该会话上使用流量分析网络执行网络流量监视操作(例如，要监视的网络流量的所选源和/或目的地地址等)。控制器可以为监视会话定义所选目的地(例如，特定的流量分析网络或系统，以及连接到流量分析网络的交换机端口的对应组)。控制器可以控制网络中的至少一个交换机，以通过复制网络分组的所选子集来生成镜像网络分组，并且可以控制交换机将镜像网络分组转发到连接到流量分析网络的所识别的一组交换机端口。

例如，控制器可以控制所选交换机通过为转发表提供流表条目来实现期望的网络转发路径，并且可以控制所选交换机通过为交换机上与转发表分离的镜像表提供流表条目来生成并转发镜像网络分组。镜像表条目可以包括在要被监视的所转发的网络分组的所选子集上匹配的匹配字段。控制器可以向位于所选交换机和连接到流量监视网络的交换机端口组之间的居间交换机提供至少一个转发流表条目。转发流表条目可以具有在由所选交换机生成的镜像网络分组上匹配的匹配字段，以及指示居间交换机将由所选交换机生成的镜像网络分组转发到所识别的一组交换机端口的动作字段。

如果期望，那么镜像表条目可以指示所选交换机使用所选隧道标识符来封装镜像网络分组，并且居间交换机可以向所识别的一组交换机端口转发具有所选隧道标识符的分组。控制器可以控制交换机，以在交换机和任何期望数量的流量监视网络之间实现任何期望数量的网络隧道。如果期望，那么控制器可以指示交换机复制、封装和转发要捕获的网络流量的入口和出口版本。以这种方式，控制器可以控制交换机执行高效且健壮的网络流量监视操作，而不管流量监视网络连接到转发网络上什么地方(并且不管对网络的任何潜在改变)，并且不干扰通过网络的正常分组转发操作。

通过附图和以下详细描述，本发明的其它特征及其性质和各种优点将更加显然。

附图说明

图1是根据本发明的实施例的、包括控制器和分组转发系统的说明性网络的图。