本发明涉及互联网技术领域,具体涉及一种在一级设备上对骨干网多种vpn流量采集分析的系统。
本发明同时涉及在一级设备上对骨干网多种vpn流量采集分析的方法。
背景技术:
随着网络带宽的高速增长与网络技术的快速发展,电信、联通、移动骨干网中vpn流量类型多、量级大、呈快速增长态势,不同vpn流量间存在相同子网流量的问题也越发突出,对此一级设备一直缺少能准确、高效地筛选出目标vpn流量的方法。现有技术中只能够匹配vpn字段或五元组以筛选目标vpn流量,但该方案的准确率较低。
故,需要一种新的技术方案以解决上述问题。
技术实现要素:
本发明的目的在于:提供一种多种vpn流量的采集分析系统,用以解决难以vpn流量类型越来越多的情况下如何准确、高效地筛选出目标vpn流量的问题。
本发明同时提供多种vpn流量的采集分析方法,同样用以解决如何准确、高效地筛选出目标vpn流量的问题。
为达到上述目的,本发明多种vpn流量的采集分析系统可采用如下技术方案:
一种多种vpn流量的采集分析系统,包括:
vpn用户模块,用以构建vpn用户表及分析流量;vpn用户表的键值为vpn类型、vpn类型对应的mpls标签值或vlan标识或dlci,结果为vpn用户;分析流量即从vpn流量中获取vpn类型,提取vpn字段,组键值,查vpn用户表;若查中,提取vpn用户信息;
六元组模块,用以构建六元组规则表及分析vpn用户模块提取vpn用户信息后的vpn流量;其中六元组规则表:键值为vpn用户、源ip、目的ip、源端口、目的端口、协议类型,结果为对流量进行的处理策略;分析vpn用户模块提取vpn用户信息后的vpn流量即提取五元组,提取vpn用户信息,查询六元组规则表;若命中,提取流量处理策略信息,进行后续处理。
有益效果:本发明提供的骨干网多种vpn流量的采集分析系统中,引入vpn用户概念,每台设备可有多个vpn用户,每个用户可一对多映射多个mpls、vlan、framerelay,既能有效屏蔽vpn差异性,相比多对多映射,又能有效降低空间复杂度,使用六元组规则(vpn用户、源ip、目的ip、源端口、目的端口、协议类型),能够同时匹配vpn和五元组字段,可精准标识出目标vpn流量,显著提高流量采集分析的准确率。
其中,六元组包括vpn用户、源ip、目的ip、源端口、目的端口、协议类型。五元组包括源ip地址、源端口、目的ip地址、目的端口、协议类型。
进一步的,vpn用户模块配置一个或多个vpn用户,每个vpn用户一对多对应多个相同或不同类型的vpn。
本发明提供的多种vpn流量的采集分析方法可采用以下技术方案,包括以下步骤:
(1)、构建vpn用户表及分析流量;vpn用户表的键值为vpn类型、vpn类型对应的mpls标签值或vlan标识或dlci,结果为vpn用户;分析流量即从vpn流量中获取vpn类型,提取vpn字段,组键值,查vpn用户表;若查中,提取vpn用户信息;
(2)、构建六元组规则表及分析vpn用户模块提取vpn用户信息后的vpn流量;其中六元组规则表:键值为vpn用户、源ip、目的ip、源端口、目的端口、协议类型,结果为对流量进行的处理策略;分析vpn用户模块提取vpn用户信息后的vpn流量即提取五元组,提取vpn用户信息,查询六元组规则表;若命中,提取流量处理策略信息,进行后续处理。
有益效果:本发明提供的多种vpn流量的采集分析方法中,引入vpn用户概念,每台设备可有多个vpn用户,每个用户可一对多映射多个mpls、vlan、framerelay,既能有效屏蔽vpn差异性,相比多对多映射,又能有效降低空间复杂度,使用六元组规则(vpn用户、源ip、目的ip、源端口、目的端口、协议类型),能够同时匹配vpn和五元组字段,可精准标识出目标vpn流量,显著提高流量采集分析的准确率。
本发明提供的多种vpn流量的采集分析方法还可以采用以下技术方案,包括以下步骤:
步骤101,根据需要配置一个或多个vpn用户,每个vpn用户配置相关mpls标签值或vlan标识或dlci;
步骤102,根据需要配置一条或多条六元组规则;
步骤103,流量从骨干网进入设备数据包处理模块;
步骤104,分析报文,识别是否为vpn,如果是,则执行步骤106,否则执行步骤105;
步骤105,其它不相关处理流程;
步骤106,识别vpn类型,提取类型及相应的mpls标签值或vlan标识或dlci,组建vpn用户表键值;
步骤107,查询vpn用户表,如果命中,执行步骤108;否则执行步骤105;
步骤108,提取vpn用户信息,解析流量,提取源ip、目的ip、源端口、目的端口、协议类型,组建六元组规则表键值;
步骤109,查询六元组规则表,如果命中,执行步骤110;否则执行步骤105;
步骤110,提取流量处理策略,并依此进行后续处理。
有益效果:本发明提供的多种vpn流量的采集分析方法中,引入vpn用户概念,每台设备可有多个vpn用户,每个用户可一对多映射多个mpls、vlan、framerelay,既能有效屏蔽vpn差异性,相比多对多映射,又能有效降低空间复杂度,使用六元组规则(vpn用户、源ip、目的ip、源端口、目的端口、协议类型),能够同时匹配vpn和五元组字段,可精准标识出目标vpn流量,显著提高流量采集分析的准确率。
附图说明
图1为本发明的多种vpn流量采集分析处理流程图。
具体实施方式
下面结合附图对进行说明。
实施例一
可参考图1,实施例一提供一种多种vpn流量的采集分析系统,主要应用于骨干网,尤其是多个网络供应商提供的vpn流量类型多、量级大的情况。该多种vpn流量的采集分析系统包括:
vpn用户模块,用以构建vpn用户表及分析流量;vpn用户表的键值为vpn类型、vpn类型对应的mpls标签值或vlan标识或dlci,结果为vpn用户;分析流量即从vpn流量中获取vpn类型,提取vpn字段,组键值,查vpn用户表;若查中,提取vpn用户信息;vpn用户模块配置一个或多个vpn用户,每个vpn用户一对多对应多个相同或不同类型的vpn。
六元组模块,用以构建六元组规则表及分析vpn用户模块提取vpn用户信息后的vpn流量;其中六元组规则表:键值为vpn用户、源ip、目的ip、源端口、目的端口、协议类型,结果为对流量进行的处理策略;分析vpn用户模块提取vpn用户信息后的vpn流量即提取五元组,提取vpn用户信息,查询六元组规则表;若命中,提取流量处理策略信息,进行后续处理。
其中,六元组包括vpn用户、源ip、目的ip、源端口、目的端口、协议类型。五元组包括源ip地址、源端口、目的ip地址、目的端口、协议类型。
实施例二
对应上述采集分析系统,该实施例二提供一骨干网多种vpn流量的采集分析方法,包括:
(1)、构建vpn用户表及分析流量;vpn用户表的键值为vpn类型、vpn类型对应的mpls标签值或vlan标识或dlci,结果为vpn用户;分析流量即从vpn流量中获取vpn类型,提取vpn字段,组键值,查vpn用户表;若查中,提取vpn用户信息;
(2)、构建六元组规则表及分析vpn用户模块提取vpn用户信息后的vpn流量;其中六元组规则表:键值为vpn用户、源ip、目的ip、源端口、目的端口、协议类型,结果为对流量进行的处理策略;分析vpn用户模块提取vpn用户信息后的vpn流量即提取五元组,提取vpn用户信息,查询六元组规则表;若命中,提取流量处理策略信息,进行后续处理。
实施例三
请结合图1所示,本实施例提供一种多种vpn流量的采集分析方法,包括以下步骤:
步骤101,根据需要配置一个或多个vpn用户,每个vpn用户配置相关mpls标签值或vlan标识或dlci;
步骤102,根据需要配置一条或多条六元组规则;
步骤103,流量从骨干网进入设备数据包处理模块;
步骤104,分析报文,识别是否为vpn,如果是,则执行步骤106,否则执行步骤105;
步骤105,其它不相关处理流程;
步骤106,识别vpn类型,提取类型及相应的mpls标签值或vlan标识或dlci,组建vpn用户表键值;
步骤107,查询vpn用户表,如果命中,执行步骤108;否则执行步骤105;
步骤108,提取vpn用户信息,解析流量,提取源ip、目的ip、源端口、目的端口、协议类型,组建六元组规则表键值;
步骤109,查询六元组规则表,如果命中,执行步骤110;否则执行步骤105;
步骤110,提取流量处理策略,并依此进行后续处理。
本发明中针对以往只匹配vpn字段或五元组方案的低准确率,vpn多样性带来的差异性,兼顾提高存储效率,本文提出一种“以vpn用户映射vpn子网,屏蔽vpn流量差异性,以六元组规则(vpn用户、源ip、目的ip、源端口、目的端口、协议类型)精确标识一个采集分析目标”的解决方案。其中,引入vpn用户概念,每台设备可有多个vpn用户,每个用户可一对多映射多个mpls、vlan、framerelay,既能有效屏蔽vpn差异性,相比多对多映射,又能有效降低空间复杂度。
引入六元组概念:vpn用户、源ip、目的ip、源端口、目的端口、协议;同时匹配vpn和五元组字段,可精准标识出目标vpn流量,显著提高流量采集分析的准确率。