专利名称:一种流量监控的方法、设备和系统的制作方法
技术领域:
本发明涉及电通信技术领域,尤其涉及一种流量监控的方法、设备和系统。
背景技术:
近年来,网络应用极大丰富,出现了许多新的协议,例如,点对点(P2P, Pointer to Pointer )、 Skype ( —种即时通信软件)。随之而来的,对新应用的检
测和控制需求也相应地出现。然而,传统路由器虽然能够对数据报文进行各 种控制,却缺乏对应用层数据报文的识别能力。虽然新出现的深度报文检测 设备(DPI, Deep Packet Inspection)能够识别业务,性能却是一个较大的瓶 颈,如果串路到网络当中,会引入一个新的故障点。
现有技术中的流量监控方案,是通过DPI设备进行部分数据报文的识别, 识别完后的数据报文不再送来,控制设备(如路由器)根据接收到的策略配 置功能执行数据报文控制。
在对现有技术的研究和实践过程中,发明人发现,采用这种流量监控方 法,DPI设备需要处理的流量较少,但是由于业务的丰富多样,控制设备需要 进行灵活的策略识别和应用,才能对尽可能多的业务进行监测和控制,因此 增加了实现复杂度。
发明内容
本发明实施例要解决的技术问题是提供一种流量控制方法、设备和系统, 能够灵活地对应用层数据报文进行检测和控制。
为解决上述技术问题,本发明实施例所提供的流量控制方法、设备和系 统实施例是通过以下技术方案实现的
本发明实施例提供了 一种流量监控方法,该方法包括
深度报文检测DPI设备从控制设备获取数据报文,并从配置的数据报文 控制策略中选取所述数据报文对应的策略并发送到控制设备,使得控制设备 根据所述策略执行数据报文控制。
本发明实施例提供了一种流量监控系统,该系统包括深度报文检测DPI
设备、控制设备,其中
DPI设备,用于从控制设备获取数据报文,从配置的数据报文控制策略中 选取所述数据报文对应的策略并发送到控制设备;
控制设备,用于向DPI检测设备发送数据报文,并根据DPI设备发送的 策略执行数据报文控制。
本发明实施例还提供了一种深度报文检测DPI设备,该设备包括数据 报文获取单元、策略选取单元、策略发送单元,其中
数据报文获取单元,用于获取数据报文;
策略选取单元,用于当数据报文获取单元获取到数据报文时,从配置的 数据报文控制策略中选取所述数据报文对应的策略;
策略发送单元,用于将策略选取单元选取的策略发送出去。
从以上技术方案可以看出,DPI设备从控制设备获取数据报文,并从配置 的数据报文控制策略中选取所述数据报文对应的策略并发送到控制设备,由 控制设备根据DPI设备发送的策略执行数据报文控制,使得数据报文检测和 复杂的策略与数据报文控制分开,即DPI设备负责识别业务和策略识别分配, 而由控制设备负责策略实施,因此,可以充分发挥DPI设备识别业务的能力, 同时,可以降低对控制设备的要求,可以实现非常灵活的基于应用层数据报 文的检测和控制,并且,由于不会对现有网络拓朴造成任何影响,利于扩展 应用。
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实 施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面 描述中的附图仅仅是本发明的 一些实施例,对于本领域普通技术人员来讲, 在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例一中流量监控方法流程图2为本发明实施例二中流量监控方法流程图3为本发明实施例三中流量监控系统结构示意图4为本发明实施例四中流量监控系统结构示意图5为本发明实施例五中DPI设备结构示意图; 图6为本发明实施例六中DPI设备结构示意图。
具体实施例方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行 清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而 不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作 出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例提供了一种流量监控的方法、系统和设备,用于实现对应 用层数据报文的检测和控制。本申请文件中所述的流量监控包括对数据报文 的检测和数据报文的控制两个方面。
参照图1,为本发明实施例一中流量监控方法流程图,以下通过具体步骤 进4亍详细i兌明
步骤ll、 DPI设备从控制设备获取数据报文;
在光网络中DPI设备可以从控制设备上的光纤分光得到数据报文,也可 以由DPI设备从控制设备端口镜像得到数据报文,或者由DPI设备从控制设 备对数据报文进行选择性复制得到部分数据报文。
进行数据报文控制的控制设备具体可以由路由器、防火墙、宽带接入服 务器(BRAS, Broadband Remote Access Server)等设备实现。
步骤12、 DPI设备从配置的数据报文控制策略中选取所述数据报文所对 应的策略;
数据报文控制策略可以预先配置在DPI设备上,当然,由于基于应用层 的数据报文控制策略的复杂性和灵活性,可以从一个专门策略配置的策略配 置设备上获取数据报文控制策略。
基于应用层的数据报文控制策略,可以包括对某种应用,如P2P数据报 文的控制,对某类用户例如网吧用户的控制,基于用户的某种应用的控制, 例如,所有用户的P2P下载带宽不超过100kbps,基于某个会话的数据报文控 制,例如拒绝服务攻击(DoS, Deny of Service)数据报文攻击等,也可以是 对某种应用的数据报文控制策略,对某类用户群的数据报文控制策略,基于 用户的总流量控制策略等等。这些数据报文控制策略,基于传统的路由器的访问控制列表(ACL, Access Control List)难以实现,而在DPI设备等数据报文识别设备上容易实现,由 DPI设备应用判决后,变成一个个对每个会话流的控制策略,DPI设备可以根 据配置的数据报文控制策略来决策并转变为针对所述的业务每个会话流的数 据报文所对应的策略。具体可以通过控制设备与DPI设备交互传递策略动作 定义、会话流信息以及会话流绑定的策略信息的方法来实现应用层数据报文 的才全测和控制。
因此,可以充分发挥DPI设备对应用层数据"^艮文的识别能力,同时,由 于将DPI设备作为旁路设备,因此,不会对现有网络拓朴造成影响,利于扩 展应用。
步骤13、 DPI设备将选取的策略发送到控制设备;
步骤14、控制设备根据DPI设备发送的策略执行数据报文控制。
路由器、防火墙等控制设备可以实现如下功能
1、 基于数据报文的处理,数据报文由一系列的会话流组成,因此,可以 通过维护 一 个会话流表,记录对每个会话流的状态;
2、 实现各种策略动作,例如承诺接入速率(CAR, Committed Access Rate)、数据报文整形(Shaping )、数据报文阻断(Block )、数据报文重定向
(redirect),数据冲艮文复制(duplicate)。
由于控制设备仅负责数据报文控制策略的实施,不需要进行策略判决等 复杂的策略处理,因此,可以最大限度地保持控制设备的处理速度。
从该实施例可以看出,将应用层数据^J:的控制与复杂的策略判决分开, 即dpi设备负责数据报文的识别和策略识别分配,而由控制设备进行策略实
施,可以充分发挥DPI设备对应用层数据报文的识别能力,并且降低对控制
设备的要求,可以实现非常灵活的基于应用层数据报文检测和控制,并且,
由于不会对现有网络拓朴造成任何影响,利于扩展应用,而且,DPI设备与控 制设备之间的接口可以标准化,方便第三方使用。 以下通过一个具体的应用场景进行详细il明
参照图2,为本发明实施例二中流量监控方法流程图,DPI设备从策略配 置设备获取数据报文控制策略,可以实现所有单用户P2P带宽控制和P2P总流量带宽控制,以下通过具体步骤进行详细描述
步骤21、策略配置设备发送单用户P2P控制策略和P2P总流量带宽控制
例如,策略配置设备发送的数据报文控制策略包括以下两种1、发送的 单用户P2P控制策略为P2P下载带宽100kbps; 2、 P2P总流量带宽控制策 略为300Mbps。
步骤22、 DPI设备收到策略配置设备发送的数据报文控制策略,配置成 本地的数据报文控制策略;
例如,将接收到的"单用户P2P控制策略为P2P下载带宽100kbps; P2P 总数据报文带宽控制策略为300Mbps"进行编译即可配置成本地的数据报文 控制策略。
可以理解的是,DPI设备也可以从策略配置设备主动获取所述数据报文控 制策略。数据报文控制策略也可预先配置在DPI设备上,即所述策略配置功 能的装置可以集成在DPI设备上。
同时,对"P2P总流量带宽控制策略为300Mbps",生成一个限流动作 TrafficBW—ID20=3OOMbps,发送给控制设备。
步骤23、 DPI设备从控制设备获取数据报文;
控制设备收到用户的数据报文后,可以通过光纤分光、端口镜像或者选 择性复制必要的数据报文的方式,把数据报文转发到DPI设备上,同时,控 制设备在本地建立会话流表,维护会话流的状态。
步骤24、 DPI设备对数据报文进行识别,识别后选取对应的策略,并生 成对应的消息发送给控制设备;
如果应用为P2P,发现需要对该会话流对应的用户100.1.1.1的P2P数据 报文作小于等于100kbps的限制,而且其P2P总流量也需要作小于等于 300Mbps的限制,则生成两个两条消息发送给控制设备消息1、限流动作 TrafficBW_ID100=100kbps;消息2、该会话流的识别信息五元组(源网际 协议(IP, International Protocol)地址、目的IP地址、源TCP/UDP端口号、 目的传车叙控制协i义/用户凝:据才艮协"汉(TCP/UDP, Transfer Control Protocol/User Datagram Protocol)端口号、IP协议号),限流动作TrafficB W_ID 100,限流动作TrafficBW_ID20。
可以理解的是,"P2P总数据报文带宽控制策略为300Mbps"也可以在 本步骤中在检测到数据报文后再发送给控制设备。不过,由于基本上数据报 文中的每个报文都可能用到"P2P总数据报文带宽控制策略为300Mbps"这 一策略,因此,在步骤22中下发可以满足每个数据报文的需要。
步骤25、控制设备收到消息后,对该会话流的每一个报文,执行策略控 制动作;
具体的,执行"TrafficBW_ID100=100kbps,,和"TrafficBW_ID20=300Mbps 两个动作,控制用户lOO.l丄l的P2P数据报文不高于100kbps,并将总的数 据报文控制在300Mbps以下。
步骤26、当该会话流老化后,将会话流的相关信息从控制设备和DPI设 备中删除。
可以看出,在具体实施中,也可以由控制设备和DPI设备通过交互传递 策略动作定义、会话流信息以及与会话流绑定的策略信息的方法,来实现应 用层数据报文检测和控制。这时,控制设备要有执行策略动作的能力,例如, 对于CAR这个动作,控制设备就要能够实现CAR的算法,且要支持一定数 量的CAR算法实现单元,例如10000个,每个算法单元编号,ID=1~ 10000。 算法单元的具体参数,需要DPI设备根据收到的策略来具体设置,有的设置 是在数据报文到达前就预先设置好的,例如步骤22的策略;有的是动态下发 的,例如步骤24里的消息1。
以下简要介绍一下在上述流量监控的过程中,DPI设备具体是如何进行策 略判决的,即进行策略的识别和分配在DPI设备上,会对上报的数据报文 进行策略的搜索和匹配,例如用户100.1.1.1的数据报文报上来后,在本地搜 索匹配策略时,会发现符合"单用户P2P下载带宽100kbps"和"总P2P带 宽300Mbps"这两条策略。对于第一条策略,因为用户100.1.1.1之前并未 收到过,因此相应的CAR算法单元在控制设备上还没有建立,因此需要先下 发一条消息建立该单元,也就是步骤24里的第一条消息。而由于第二条策略 是对总的P2P带宽控制策略,因此第二条策略的CAR算法单元,无需等报文 到来就可以先下发的,所以在步骤22中就先下发了。
从该实施例可以看出,由DPI设备识别控制设备上基于应用层的数据报 文,并根据配置的数据报文控制策略生成对应的策略动作,并发送到控制设 备,由控制设备按照策略动作执行策略控制,可以充分发挥DPI设备基于应 用层的数据报文识别能力,可以实现非常灵活的基于应用层的数据报文检测
和控制,并降低对控制设备的要求;并且,由于DPI设备作为旁路设备,因
此不会对网络拓朴造成任何影响,利于扩展应用;DPI设备和控制设备之间的
接口可以标准化,利于第三方的应用。
以下对上述流量监控方法所采用的系统和设备进行对应描述
参照图3,为本发明实施例三中流量监控系统结构示意图,该系统中,直
接在DPI设备上进行策略配置,该系统包括DPI设备31、控制设备32,其
中
DPI设备31,用于从控制设备32获取数据报文,从配置的数据报文控制 策略中选取所述数据报文对应的策略并发送到控制设备32;
控制设备32,用于根据DPI设备31发送的策略执行数据报文控制。
可以看出,本实施例中,数据报文控制与数据报文检测分开,DPI设备负 责检测应用层的数据报文,控制设备负责对应用层数据报文采取控制动作; 并且,数据报文控制与复杂的策略判决分开,即DPI设备负责策略识别以及 分配,而控制设备负责策略实施,总之,控制设备仅负责策略的实施,因而, 可以降低对控制设备的要求,同时,可以发挥DPI设备应用层识别能力,因 而可以实现非常灵活地实现应用层数据报文检测以及控制。而由于DPI设备 为旁路设备,不会对现有网络拓朴造成任何影响,利用推广应用;并且,DPI 设备和控制设备之间的接口可以标准化,可以方便第三方使用。
可以理解的是,也可以由专门的策略配置设备进行策略配置,并将配置 的策略发送到DPI设备上;或者由DPI设备主动向DPI设备发送请求获取数 据报文控制策略,进行策略更新。
参照图4,为本发明实施例四中流量监控系统结构示意图,在实施例三基 础上,还可包括策略配置设备41,用于配置数据^^文控制策略并发送到所述 DPI设备31。
以下对上述流量监控系统所采用的DPI设备通过具体实施例进行详细描
述
参照图5,为本发明实施例五中DPI设备结构示意图,该DPI设备包括 数据报文获取单元51、策略选取单元52、策略发送单元53,其中 数据报文获取单元51 ,用于获取数据报文;
策略选取单元52,用于当流量获取单元51获取到数据报文时,从配置的 数据报文控制策略中选取所述数据报文对应的策略;
策略发送单元53,用于将策略选取单元53选取的策略发送出去。
可见,该DPI设备用于获取数据报文,从配置的数据报文控制策略中选 取所述数据报文对应的策略并发送给相应的控制设备执行数据报文控制,可 以充分发挥DPI设备的识别应用层数据报文的功能,可以实现非常灵活的应 用数据报文检测和控制。
可以理解的是,上述DPI设备也可以从专门的策略配置设备获取数据报 文控制的策略,并根据获取的数据报文选取对应的策略后发送到控制设备, 由控制设备执行相应的数据报文控制功能,参照图6,为本发明实施例六中 DPI设备结构示意图,在实施例五基础上,可以扩展策略获取单元61,用于 获取配置的数据报文控制策略。策略获取单元61可以从策略配置设备中获取 配置的数据报文控制策略,也可以由策略配置设备主动发送所述数据报文控 制策略。
是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机
可读存储介质中,该程序在执行时,包括如下步骤
深度报文检测DPI设备从控制设备获取数据报文,并从配置的数据报文
控制策略中选取所述数据报文对应的策略并发送到控制设备,使得控制设备
根据所述策略执行数据报文控制。
上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上对本发明所提供的 一种流量监控的方法、设备和系统进行了详细介
绍,对于本领域的一般技术人员,依据本发明实施例的思想,在具体实施方
式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本
发明的限制。
权利要求
1、一种流量监控方法,其特征在于,包括深度报文检测DPI设备从控制设备获取数据报文,并从配置的数据报文控制策略中选取所述数据报文对应的策略并发送到控制设备,使得控制设备根据所述策略执行数据报文控制。
2、 如权利要求1所述的流量监控方法,其特征在于,所述DPI设备从控 制设备获取数据报文的方法具体为所述DPI设备从控制设备上的光纤分光得到数据报文;或者,所述DPI设备从所述控制设备端口镜像得到数据报文;或者,所述DPI设备从所述控制设备进行选择性复制得到部分数据报文。
3、 如权利要求1或2所述的流量监控方法,其特征在于,所述配置的数 据报文控制策略包括对某种应用的数据报文控制策略、对某类用户群的数据报文控制策略、 基于用户的总流量控制策略、基于用户的某种应用的数据报文控制策略、基 于某个会话的数据报文控制策略其中至少 一种。
4、 如权利要求l或2所述的流量监控方法,其特征在于,所述控制设备 根据所述策略执行数据报文控制包括以下至少 一种维护 一个会话流表,记录对每个会话流的状态;根据DPI设备发送的策略执行策略动作。
5、 一种流量监控系统,其特征在于,包括深度报文检测DPI设备、控 制设备,其中DPI设备,用于从控制设备获取数据报文,从配置的数据报文控制策略中 选取所述数据报文对应的策略并发送到控制设备;控制设备,用于向DPI检测设备发送数据报文,并根据DPI设备发送的 策略执行数据报文控制。
6、 如权利要求5所述的流量监控系统,其特征在于,所述系统还包括 策略配置设备,用于配置数据报文控制策略并发送到所述DPI设备。
7、 一种深度报文检测DPI设备,包括数据报文获取单元、策略选取单 元、策略发送单元,其中数据报文获取单元,用于获取数据报文;策略选取单元,用于当数据报文获取单元获取到数据报文时,从配置的 数据报文控制策略中选取所述数据报文对应的策略;策略发送单元,用于将策略选取单元选取的策略发送出去。
8、 如权利要求7所述的DPI设备,其特征在于,还包括策略获取单元, 用于从策略配置设备获取所述配置的数据报文控制策略。
9、 如权利要求7或8所述的DPI设备,其特征在于,所述配置的数据报 文控制策略包括对某种应用的数据报文控制策略、对某类用户群的数据报文控制策略、 基于用户的总流量控制策略、基于用户的某种应用的数据报文控制策略、基 于某个会话的数据报文控制策略其中至少 一种。
全文摘要
本发明实施例公开了一种流量监控的方法、设备和系统。本发明实施例方法包括深度报文检测DPI设备从控制设备获取数据报文,并从配置的数据报文控制策略中选取所述数据报文对应的策略并发送到控制设备,使得控制设备根据所述策略执行数据报文控制。以上方法以及对应的系统和设备可以充分发挥DPI设备识别业务的能力,同时,可以降低对控制设备的要求,可以实现非常灵活的基于应用层数据报文的检测和控制,并且,由于不会对现有网络拓扑造成任何影响,利于扩展应用。
文档编号H04L12/26GK101350781SQ20081014407
公开日2009年1月21日 申请日期2008年7月31日 优先权日2008年7月31日
发明者鹰 熊 申请人:成都市华为赛门铁克科技有限公司