随流检测方法、装置及系统与流程

本技术涉及通信，特别涉及一种随流检测方法、装置及系统。

背景技术：

1、数据中心网络一般包括：互联网接入区，隔离区(demilitarized zone，dmz)和互联网应用区。其中，互联网接入区通常包括出口路由器、负载均衡设备以及外网防火墙等设备。dmz通常包括汇聚交换机、内网防火墙、网络应用防火墙(web application firewall，waf)和入侵防御系统(intrusion prevention system，ips)等设备。互联网应用区通常包括：waf、核心交换机和应用服务器等。

2、外部的客户端设备访问部署于互联网应用区的业务(也称为数据中心南北向业务)，需要依次跨越互联网接入区和隔离区中的众多网络设备。当数据中心南北向业务受损时，需要对导致业务受损的故障点进行定位。但是，由于数据中心南北向业务的访问路径较长，因此对故障点进行定位时的难度较高。

技术实现思路

1、本技术提供了一种随流检测方法、装置及系统，可以解决对数据中心网络中的故障点进行定位时的难度较高的技术问题。

2、第一方面，提供了一种随流检测方法，应用于数据中心网络的第一边界设备，该第一边界设备用于连接第一应用设备。该方法包括：接收来自第一应用设备的第一报文，并在该第一报文中封装第一带内流信息测量(in-situ flow information telemetry，ifit)信息，得到第二报文。之后，即可转发该第二报文。

3、其中，该第一ifit信息包括第一标记，该第一标记用于指示该第一ifit信息由第一边界设备封装。该第二报文用于供接收到第二报文的转发设备基于该第一ifit信息执行随流检测，以及供该数据中心网络的第二边界设备基于该第一标记剥离第一ifit信息。其中，该第二边界设备用于连接第二应用设备，该第一应用设备为客户端设备和应用服务器中的一个，该第二应用设备为客户端设备和应用服务器中的另一个。

4、在本技术提供的方案中，由于数据中心网络中的转发设备能够基于第一边界设备封装的第一ifit信息对第一报文所属的业务流执行随流检测，因此可以便于分析器基于转发设备的随流检测结果准确定位数据中心网络中的故障点。又由于该第一ifit信息中还包括第一标记，因此第二边界设备能够基于该第一标记剥离报文中的第一ifit信息后，再将报文转发至第二应用设备。由此，可以避免该第一边界设备额外封装的第一ifit影响第二应用设备对报文的正常处理。

5、可选地，在该第一报文中封装第一ifit信息的过程可以包括：在该第一报文中封装目的选项头(destination options header，doh)，该doh中包括该第一ifit信息。

6、可选地，该第一ifit信息中的头类型指示(header type indicator，hti)字段中可以携带有该第一标记。或者，该第一ifit信息中的保留字段可以携带该第一标记。

7、可选地，在该第一报文中封装第一ifit信息的过程可以包括：若第一应用设备未在第一报文中封装ifit信息，则在该第一报文中封装第一ifit信息；或者，若基于ifit信任策略确定第一应用设备在第一报文中封装的ifit信息无效，则在该第一报文中封装第一ifit信息。

8、本技术提供的方案在，由于第一应用设备也具备在第一报文中封装ifit信息的功能，因此第一边界设备可以在确定第一应用设备未封装ifit信息时，再封装第一ifit信息，以避免ifit信息的重复封装。或者，第一边界设备可以在确定该第一应用设备封装的ifit信息无效时，再封装第一ifit信息，以确保数据中心网络中的转发设备能够基于该第一ifit信息，执行随流检测。

9、可选地，在该第一报文中封装第一ifit信息的过程可以包括：基于该第一报文与随流检测策略匹配，在该第一报文中封装第一ifit信息。

10、基于该随流检测策略，第一边界设备能够仅在特定的业务流的报文中封装ifit信息，也即是，数据中心网络中的设备可以仅对特定的业务流进行随流检测。由此，可以避免对所有业务流均进行随流检测而占用过多的网络资源。

11、可选地，该方法还可以包括：接收来自第二边界设备的第三报文，该第三报文中封装有第二ifit信息，且该第二ifit信息中包括第二标记，该第二标记用于指示该第二ifit信息由该第二边界设备封装。之后，基于该第二标记剥离该第三报文中的第二ifit信息，得到第四报文，并将该第四报文转发至第一应用设备。

12、由于该第二ifit信息中还包括第二标记，因此第一边界设备能够基于该第二标记剥离报文中的第二ifit信息后，再将报文转发至第一应用设备。由此，可以避免该第二边界设备额外封装的第二ifit影响第一应用设备对报文的正常处理。

13、可选地，在转发该第二报文之前，该方法还可以包括：基于该第一ifit信息对该第二报文进行随流检测。

14、在本技术提供的方案中，第一边界设备也可以对第二报文进行随流检测，并可以将随流检测的结果上报至分析器。由此，可以便于分析器准确定位数据中心网络中的故障位置。

15、可选地，该方法还可以包括：接收来自第一应用设备的第五报文，该第五报文中包括第一应用设备封装的第三ifit信息；若基于信任策略确定该第三ifit信息有效，则基于该第三ifit信息对第五报文进行随流检测，并转发该第五报文。

16、本技术提供的方案中，第一边界设备还能够在确定第一应用设备封装的第三ifit信息有效时，基于该第三ifit信息执行随流检测。由此，有效提高了随流检测的灵活性和可靠性。

17、第二方面，提供了一种随流检测方法，应用于数据中心网络的第二边界设备，该第二边界设备用于连接第二应用设备，该方法包括：接收来自第一边界设备的第二报文，该第二报文中封装有第一ifit信息，该第一ifit信息包括第一标记，该第一标记用于指示该第一ifit信息由该第一边界设备封装。之后，基于该第一标记剥离第一ifit信息，得到第一报文，并将该第一报文转发至第二应用设备。其中，该第一边界设备用于连接第一应用设备，该第一应用设备为客户端设备和应用服务器中的一个，该第二应用设备为客户端设备和应用服务器中的另一个。

18、可选地，该方法还可以包括：接收来自第二应用设备的第四报文，在该第四报文中封装第二ifit信息，得到第三报文，并转发该第三报文。其中，该第二ifit信息包括第二标记，该第二标记用于指示第二ifit信息由第二边界设备封装，该第三报文用于供接收到第三报文的转发设备基于该第二ifit信息执行随流检测，以及供第一边界设备基于该第二标记剥离第二ifit信息。

19、可选地，在将该第一报文转发至第二应用设备之前，该方法还可以包括：基于该第一ifit信息对第二报文进行随流检测。

20、可选地，该方法还可以包括：接收来自第一边界设备的第五报文，该第五报文中封装有第三ifit信息，该第三ifit信息包括第三标记，该第三标记用于指示该第三ifit信息由第一应用设备封装。之后，若基于信任策略确定该第三ifit信息有效，则基于该第三ifit信息对该第五报文进行随流检测，并将该第五报文转发至第二应用设备。

21、第三方面，提供了一种随流检测方法，应用于数据中心网络的转发设备，该转发设备连接在第一边界设备和第二边界设备之间。该方法包括：接收来自第一边界设备的第二报文，该第二报文中封装有第一ifit信息，该第一ifit信息包括第一标记，该第一标记用于指示该第一ifit信息由第一边界设备封装。之后，基于该第一ifit信息对第二报文进行随流检测，并将该第二报文转发至第二边界设备，以供第二边界设备基于该第一标记剥离第一ifit信息。

22、可选地，该方法还可以包括：接收来自第二边界设备的第三报文，该第三报文中封装有第二ifit信息，且该第二ifit信息中包括第二标记，该第二标记用于指示该第二ifit信息由第二边界设备封装。之后，基于该第二ifit信息对第三报文进行随流检测，并将该第三报文转发至第一边界设备，以供该第一边界设备基于该第二标记剥离第二ifit信息。

23、可选地，该方法还可以包括：接收来自第一边界设备的第五报文，该第五报文中封装有第三ifit信息，该第三ifit信息包括第三标记，该第三标记用于指示该第三ifit信息由第一应用设备封装。之后，若基于信任策略确定该第三ifit信息有效，则基于该第三ifit信息对第五报文进行随流检测，并将该第五报文转发至该第二边界设备。

24、第四方面，提供了一种网络设备，该网络设备可以是数据中心网络中的第一边界设备、第二边界设备或转发设备。并且，该网络设备包括至少一个模块，该至少一个模块可以用于实现上述任一方面提供的随流检测方法。

25、第五方面，提供了一种网络设备，该网络设备可以是数据中心网络中的第一边界设备、第二边界设备或转发设备。并且，该网络设备包括：存储器，处理器及存储在存储器上并能够在处理器上运行的计算机程序，处理器执行计算机程序时实现如上述任一方面提供的随流检测方法。

26、第六方面，提供了一种计算机可读存储介质，该计算机可读存储介质中存储有指令，该指令由处理器执行以实现如上述任一方面提供的随流检测方法。

27、第七方面，提供了一种包含指令的计算机程序产品，该指令由处理器执行以实现如上述任一方面提供的随流检测方法。

28、第八方面，提供了一种随流检测系统，该随流检测系统包括第一边界设备，第二边界设备，以及连接在第一边界设备和第二边界设备之间的转发设备。其中该第一边界设备用于实现上述第一方面提供的随流检测方法；该第二边界设备用于实现上述第二方面提供的随流检测方法；该转发设备用于实现上述第三方面提供的随流检测方法。

29、第九方面，提供了一种芯片，该芯片可以用于实现上述任一方面所提供的随流检测方法。

30、综上所述，本技术提供了一种随流检测方法、装置及系统。本技术提供的方案中，由于第一边界设备能够在第一报文中封装第一ifit信息，因此数据中心网络中的转发设备即可基于该第一ifit信息对第一报文所属的业务流执行随流检测。由此，可以便于分析器基于转发设备的随流检测结果准确定位数据中心网络中的故障点。又由于该第一ifit信息中还包括第一标记，因此第二边界设备能够基于该第一标记剥离报文中的第一ifit信息后，再将报文转发至第二应用设备。由此，可以避免该第一边界设备额外封装的第一ifit影响第二应用设备对报文的正常处理。