This paper describes a tracking system for investigating network behavior. In operation, each switch in the network (or each switch in a subset of switches) can determine whether each of the original packets it handles satisfies one or more packet detection rules. If satisfied, the switch generates a mirrored packet and sends the packet to a load balancer multiplexer, and the load balancer multiplexer turns the mirrored packet forward to the processing module for further analysis. Packet detection rules managed by switches can be designed to select subsets of packets of the most interest based on any environment specific target. As a consequence of this behavior, the tracking system can effectively and quickly point out undesired (and expected) behavior of the network without being overwhelmed by too much information.
【技术实现步骤摘要】
【国外来华专利技术】收集和分析所选择的网络流量
技术介绍
通常难以确定发生在网络内的故障和其它异常事件的原因。这种困难产生于现代网络的复杂性,加上这样的网络在任何给定时间处理的大量信息。有经验的分析者可以通过调查网络的那些假定为最有可能故障的组件(例如,通过检查由那些组件记录的控制信息)的行为来解决这个问题。然而,分析者不能确保被审查的信息将揭示问题的根源。分析者可以扩大分析范围以解决这个问题,但是这样的策略可以导致太多的信息压倒分析者。
技术实现思路
本文描述了用于调查网络的行为的跟踪系统。在操作中,网络中的每个交换机(或网络中的至少一些交换机中的每个交换机)可以确定其处理的每个原始分组是否满足一个或多个分组检测规则。如果满足,则交换机可以生成镜像分组。镜像分组至少包括原始分组中的信息的子集。然后,交换机可以将镜像分组转发给负载平衡复用器。交换机还将原始分组以未改变的形式发送给由原始分组指定的目标目的地。在接收镜像分组时,基于至少一个负载平衡考虑,复用器可以从候选处理模块集合中选择处理模块。然后,复用器向所选择的处理模块发送镜像分组,其中使用一个或多个处理引擎对其分析。考虑任何应用特定的目标,由交换机托管的分组检测规则可以被设计为选择被认为是高兴趣值的分组的子集。作为该行为的结果,在分析者不被太多的信息压倒的情况下,跟踪系统可以有效地并且快速地指出网络的不期望的(和潜在期望的)行为。上述方法可以表现在各种类型的系统、设备、组件、方法、计算机可读存储介质、数据结构、图形用户界面呈现、制品等中。提供本
技术实现思路
来以简化的形式介绍概念的选择;这些概念在下面的具体实施方式中进一步描述。本专 ...
【技术保护点】
一种用于从网络收集分组的方法,包括:在网络内的交换机处接收原始分组;确定是否将所述原始分组镜像;在做出将所述原始分组镜像的决定的情况下,基于所述原始分组生成镜像分组,所述镜像分组至少包括在所述原始分组中提供的信息的子集;向负载平衡复用器发送所述镜像分组;以及向由所述原始分组指定的目标目的地发送所述原始分组。
【技术特征摘要】
【国外来华专利技术】2014.09.03 US 14/475,9271.一种用于从网络收集分组的方法,包括:在网络内的交换机处接收原始分组;确定是否将所述原始分组镜像;在做出将所述原始分组镜像的决定的情况下,基于所述原始分组生成镜像分组,所述镜像分组至少包括在所述原始分组中提供的信息的子集;向负载平衡复用器发送所述镜像分组;以及向由所述原始分组指定的目标目的地发送所述原始分组。2.根据权利要求1所述的方法,其中所述确定是否将所述原始分组镜像包括:关于分组检测规则来分析所述原始分组;确定所述原始分组是否满足所述分组检测规则;以及如果所述原始分组满足所述分组检测规则,则生成将所述原始分组镜像的指令。3.根据权利要求2所述的方法,其中所述分组检测规则指定表示指定协议相关特性的每个原始分组要被镜像。4.根据权利要求2所述的方法,其中所述分组检测规则指定来源于指定应用的每个原始分组要被镜像。5.根据权利要求2所述的方法,其中所述分组检测规则对应于用户创建的分组检测规则,并且其中所述用户创建的分组检测规则指定满足用户指定匹配条件的每个原始分组要被镜像。6.根据权利要求2所述的方法,其中所述分组检测规则指定以下每个原始分组要被镜像,所述每个原始分组表示在处理所述分组时所述交换机遇到指定条件。7.根据权利要求1所述的方法,还包括:基于至少一个负载平衡考虑,从复用器候选的集合中选择所述复用器。8.根据权利要求1所述的方法,其中所述复用器是硬件实现的复用器。9.一个或多个用于分析从网络收集的分组的计算设备,包括:接口模块,用于从至少一个处理模块接收多个镜像分组,在原始分组满足分组检测规则集合中...
【专利技术属性】
技术研发人员:张铭,吕国晗,袁利华,
申请(专利权)人:微软技术许可有限责任公司,
类型:发明
国别省市:美国,US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。