一种vpn流量监控方法及装置的制造方法

一种vpn流量监控方法及装置的制造方法
【专利摘要】本发明提供一种VPN流量监控方法及装置，该方法包括：PE设备在确定接收的报文为VPN报文时，生成携带VPN标识的MPLS报文，该VPN标识用于表示VPN报文所属的VPN网络；PE设备将MPLS报文发送给P设备；P设备获取MPLS报文中携带的VPN标识，根据VPN标识统计对应VPN网络的流量，即实现P设备对VPN流量的监控。
【专利说明】
一种VPN流量监控方法及装置
技术领域
[0001 ]本发明涉及网络通信技术领域，尤其涉及一种VPN流量监控方法及装置。
【背景技术】
[0002]MPLS(Mult1-Protocol Label Switching，多协议标签交换)是目前应用比较广泛的一种骨干网技术。基于MPLS的VPN(Virtual Private Network，虚拟专用网)的基本结构包括:CE(Customer Edge，用户网络边缘设备)设备、PE(Provider Edge，服务提供商边缘设备)设备以及P(Provider，服务提供商核心设备)设备。
[0003]在以上三种设备中，只有PE设备真正参与VPN业务部署，配置和管理VPN业务，因此，在PE设备上容易实现对VPN流量的监控；而P设备由于没有配置VPN，无法感知VPN的存在，因此，无法进行VPN流量监控。

【发明内容】

[0004]本发明的目的在于提供一种VPN流量监控方法及装置，用以在P设备上实现VPN流量监控。
[0005]为实现上述发明目的，本发明提供了技术方案:
[0006]本发明提供一种VPN流量监控方法，应用于PE设备，所述方法包括:
[0007]接收报文；
[0008]确定接收的报文是否为VPN报文；
[0009]当所述接收的报文为VPN报文时，生成携带VPN标识的多协议标签交换MPLS报文，所述VPN标识用于表示所述VPN报文所属的VPN网络；
[0010]将所述MPLS报文发送给服务提供商核心设备P设备，以使P设备根据接收的MPLS报文对VPN流量进行监控。
[0011 ]本发明还提供一种VPN流量监控方法，应用于P设备，所述方法包括:
[0012]接收PE设备根据VPN报文生成的MPLS报文，所述MPLS报文携带VPN标识，所述VPN标识用于表示所述VPN报文所属的VPN网络；
[0013]获取所述MPLS报文中携带的VPN标识；
[0014]根据所述VPN标识统计对应VPN网络的流量。
[0015]本发明还提供一种VPN流量监控装置，应用于PE设备，所述装置包括:
[0016]接收单元，用于接收报文；
[00?7]确定单元，用于确定接收的报文是否为VPN报文；
[0018]生成单元，用于当所述接收的报文为VPN报文时，生成携带VPN标识的多协议标签交换MPLS报文，所述VPN标识用于表示所述VPN报文所属的VPN网络；
[0019]发送单元，用于将所述MPLS报文发送给服务提供商核心设备P设备，以使P设备根据接收的MPLS报文对VPN流量进行监控。
[0020]本发明还提供一种VPN流量监控装置，应用于P设备，所述装置包括:
[0021]接收单元，用于接收服务提供商网络边缘PE设备根据VPN报文生成的MPLS报文，所述MPLS报文携带VPN标识，所述VPN标识用于表示所述VPN报文所属的VPN网络；
[0022]获取单元，用于获取所述MPLS报文中携带的VPN标识；
[0023I 统计单元，用于根据所述VPN标识统计对应VPN网络的流量。
[0024]由以上描述可以看出，本发明由PE设备对VPN报文进行识别，再将识别出的VPN报文的VPN标识通过MPLS报文发送给P设备，P设备根据VPN标识识别VPN报文，从而实现对VPN流量的监控。
【附图说明】
[0025]图1是本发明实施例示出的一种VPN流量监控方法流程图；
[0026]图2是本发明实施例示出的另一种VPN流量监控方法流程图；
[0027]图3是本发明实施例示出的基于MPLS的VPN组网示意图；
[0028]图4是本发明实施例示出的PE设备/P设备的结构示意图；
[0029]图5是本发明实施例示出的一种VPN流量监控装置的结构示意图；
[0030]图6是本发明实施例示出的另一种VPN流量监控装置的结构示意图。
【具体实施方式】
[0031]这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本发明相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本发明的一些方面相一致的装置和方法的例子。
[0032]在本发明使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本发明。在本发明和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
[0033]应当理解，尽管在本发明可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本发明范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
[0034]本发明实施例提出一种VPN流量监控方法，该方法由PE设备对VPN报文进行识别，再将识别出的VPN报文的VPN标识通过MPLS报文的发送给P设备，P设备根据VPN标识识别VPN报文，从而实现对VPN流量的监控。
[0035]参见图1，为本发明VPN流量监控方法的一个实施例流程图，该实施例从PE设备侧对VPN流量监控过程进行描述。
[0036]步骤101，接收报文。
[0037]步骤102，确定接收的报文是否为VPN报文。
[0038]在一种实施方式中，PE设备可通过定义ACL策略识别VPN报文，该ACL策略允许VPN网络的VPN报文通过。[0039 ] 例如，ACL编号3000，该ACL的规则为允许匹配VPN实例I的流量通过。
[0040]PE设备接收报文后，判断接收的报文是否匹配已定义的ACL策略。当接收的报文匹配ACL策略时，确定接收的报文为VPN报文。同时，根据ACL策略允许匹配的VPN报文通过，SP向P设备传输。
[0041 ] 在另一种实施方式中，可通过Netstream报文在绑定VPN的接口上获取VPN报文的VPN ID(例如，vpn-1nstance I)，识别不同的VPN报文。
[0042]步骤103，当所述接收的报文为VPN报文时，生成携带VPN标识的MPLS报文。
[0043]本发明实施例是基于MPLS的VPN，因此，PE设备对步骤102确定的VPN报文需要遵循MPLS协议，生成MPLS报文，并在该MPLS报文中携带VPN标识，用以表示VPN报文所属的VPN网络。
[0044]在一种实施方式中，可在前述采用ACL策略识别VPN报文的基础上，通过配置QoS(Quality of Service，服务质量)策略实现对VPN标识的设置。QoS策略配置过程如下:
[0045]首先，定义流分类，该流分类用于定义匹配ACL策略的VPN报文。
[0046]例如，匹配ACL 3000的VPN报文归为流分类I。
[0047]然后，定义流行为，该流行为用于设置VPN标识。
[0048]例如，定义流行为I，流行为I的动作为设置VPN标识为I。
[0049]建立流分类与流行为的绑定关系。
[0050]例如，定义QoS策略I，该QoS策略I为流分类I指定流行为I，即，对流分类I的VPN报文设置VPN标识为I。
[0051 ] 在PE设备配置了VPN的接口上应用上述绑定关系，即应用QoS策略。
[0052]例如，在PE设备连接CE设备(对应一个VPN网络)的接口 GigabitEthernet3/0/l上应用QoS策略I。
[0053]因此，当PE设备在应用了QoS策略的接口上接收到匹配ACL的VPN报文时，根据QoS策略完成对VPN标识的设置。
[0054]在另一种实施方式中，可直接在MPLS报文中添加前述步骤102识别出来的VPN报文的VPN标识。
[0055]步骤104，将所述MPLS报文发送给P设备。
[0056]将步骤101?步骤103处理后的MPLS报文发送给P设备，由P设备根据MPLS报文对VPN流量进行监控，具体参见P设备侧的描述。
[0057]参见图2，为本发明VPN流量监控方法的另一个实施例流程图，该实施例从P设备侧对VPN流量监控过程进行描述。
[0058]步骤201，接收PE设备根据VPN报文生成的MPLS报文。
[0059]如前所述，PE设备针对不同VPN网络的VPN报文设置不同的VPN标识，并携带在生成的MPLS报文中，该VPN标识用于表示VPN报文所属的VPN网络。P设备支持MPLS协议，因此，可识别接收的MPLS报文。
[0060]步骤202，获取所述MPLS报文中携带的VPN标识。
[0061 ] P设备可通过获取VPN标识，区分来自不同VPN网络的VPN报文。
[0062]步骤203，根据所述VPN标识统计对应VPN网络的流量。
[0063]具体地，P设备可通过配置QoS策略实现对VPN流量的监控。QoS策略配置过程如下:
[0064]首先，定义流分类，该流分类用于定义匹配VPN标识的VPN报文。
[0065]例如，将VPN标识为I的MPLS报文归为流分类2。
[0066]然后，定义流行为，该流行为用于允许报文通过。
[0067]例如，定义流行为2，流行为2的动作为允许报文通过。
[0068]建立流分类与流行为的绑定关系。
[0069]例如，绑定关系可以为，定义QoS策略2，该QoS策略2为流分类2指定流行为2，8卩，允许VPN标识为I的MPLS报文通过。
[0070]在P设备的出接口上应用上述绑定关系，即应用QoS策略。
[0071]例如，在P设备的出接口 GigabitEthernet4/0/2上应用QoS策略2。
[0072]P设备通过监控接口下匹配所述流分类并执行与之绑定的流行为的VPN流量，从而统计出不同VPN网络的VPN流量。
[0073]由上述描述可以看出，本发明实施例由PE设备对VPN流量进行识别，并将代表不同VPN网络的VPN标识携带在MPLS报文中，从而使不能直接识别VPN流量，但是可以识别MPLS报文的P设备根据MPLS报文中携带的VPN标识，识别来自不同VPN网络的VPN流量，因此，可针对不同VPN网络进行流量统计。
[0074]参见图3，为本发明实施例示出的一种基于MPLS的VPN组网示意图。该组网包括CE设备(CE I?CE4)、PE设备(PEI和PE2)以及P设备。该组网承载VPNl和VPN2的流量传输。现以该VPN组网为例，详细介绍VPN流量监控过程。
[0075 ] 假设，VPNl的流量从S i te (站点)I流向S i te4; VPN2的流量从S i te 2流向S i te 3。
[0076]在PEl的接口G3/0/1配置VPNl的实例vpn-1nstance I，在接口G3/0/2配置VPN2的实例vpn-1nstance 2。
[0077]定义ACL3000，允许匹配实例vpn-1nstance I的报文通过;定义ACL3001，允许匹配实例vpn-1nstance 2的报文通过。
[0078]定义流分类classifier I，匹配ACL3000的VPN报文归入classif ier I;定义流分类 classifier 2，匹配 ACL3001 的 VPN 报文归入 classif ier 2。
[0079]定义流行为behav1r I，设置VPN标识为I;定义流行为behav1r 2，设置VPN标识为为2。
[0080]定义QoS 策略 policy I，绑定 classif ier I 与 behav1r I，即，对 PEl 从接口 G3/0/1接收到的匹配vpn-1nstance I的报文，设置VPN标识为为I;定义QoS策略policy 2，绑定classifier 2与behav1r 2，即，对PEl从接口G3/0/2接收到的匹配vpn-1nstance 2的报文，设置VPN标识为为2。
[0081]在接口G3/0/1上应用QoS策略policy I;在接口G3/0/2上应用QoS策略policy 2。
[0082]在完成上述配置后，PEl对从接口 G3/0/1接收到的VPNl网络的VPN报文，执行QoS策略PoIicy I，在生成的MPLS报文中携带VPN标识I，代表来自VPNl网络的VPN报文。同理，PEl从接口G3/0/2接收到的VPN2网络的VPN报文，执行QoS策略policy 2，在生成的MPLS报文中携带VPN标识2，代表来自VPN2网络的VPN报文。
[0083]将MPLS报文发送给P设备。
[0084]P设备同样进行QoS配置:
[0085]定义流分类classif ier 3，将携带VPN标识I的MPLS报文归入classif ier 3;定义流分类classif ier 4，将携带VPN标识2的MPLS报文归入classif ier 4。
[0086]定义流行为behav1r 3，允许报文通过。
[0087]定义QoS策略policy3，绑定classifier 3与behav1r 3，即，允许携带VPN标识I的MPLS报文通过；定义QoS策略policy 4，绑定classif ier 4与behav1r 3，即，允许携带VPN标识2的MPLS报文通过。
[0088]在接口G4/0/2上应用QoS策略policy3和policy 4。
[0089]在完成上述配置以后，P设备可通过监控接口 G4/0/2，分别对携带VPN标识I的MPLS报文(VPNl网络的VPN报文)，以及携带VPN标识2的MPLS报文(VPN2网络的VPN报文)进行流量统计。
[0090]与前述VPN流量监控方法的实施例相对应，本发明还提供了VPN流量监控装置的实施例。
[0091]本发明VPN流量监控装置的实施例可以应用在PE设备或P设备上。装置实施例可以通过软件实现，也可以通过硬件或者软硬件结合的方式实现。以软件实现为例，作为一个逻辑意义上的装置，是通过其所在设备的处理器运行存储器中对应的计算机程序指令形成的。从硬件层面而言，如图4所示，为本发明VPN流量监控装置所在设备的一种硬件结构图，除了图4所示的处理器以及非易失性存储器之外，实施例中装置所在的设备通常根据该设备的实际功能，还可以包括其他硬件，对此不再赘述。
[0092]请参考图5，为本发明一个实施例中的VPN流量监控装置的结构示意图。该VPN流量监控装置包括接收单元501、确定单元502、生成单元503以及发送单元504，其中:
[0093]接收单元501，用于接收报文；
[0094]确定单元502，用于确定接收的报文是否为VPN报文；
[0095]生成单元503，用于当所述接收的报文为VPN报文时，生成携带VPN标识的多协议标签交换MPLS报文，所述VPN标识用于表示所述VPN报文所属的VPN网络；
[0096]发送单元504，用于将所述MPLS报文发送给服务提供商核心设备P设备，以使P设备根据接收的MPLS报文对VPN流量进行监控。
[0097]进一步地，所述装置还包括:
[0098]定义单元，用于在所述确定单元502确定接收的报文是否为VPN报文之前，定义ACL策略，所述ACL策略用于允许VPN网络的VPN报文通过；
[0099]所述确定单元502，具体用于判断接收的报文是否匹配所述ACL策略；当所述接收的报文匹配所述ACL策略时，确定所述接收的报文为VPN报文。
[0100]进一步地，所述装置还包括:
[0101]配置单元，用于在所述生成单元503生成携带VPN标识的MPLS报文之前，定义流分类，所述流分类用于定义匹配ACL策略的VPN报文;定义流行为，所述流行为用于设置VPN标识;建立所述流分类与所述流行为的绑定关系;在接口上应用所述绑定关系。
[0102]请参考图6，为本发明另一个实施例中的VPN流量监控装置的结构示意图。该VPN流量监控装置包括接收单元601、获取单元602以及统计单元603，其中:
[0103]接收单元601，用于接收服务提供商网络边缘PE设备根据VPN报文生成的MPLS报文，所述MPLS报文携带VPN标识，所述VPN标识用于表示所述VPN报文所属的VPN网络；
[0104]获取单元602，用于获取所述MPLS报文中携带的VPN标识；
[0105]统计单元603，用于根据所述VPN标识统计对应VPN网络的流量。
[0106]进一步地，所述装置还包括:
[0107]配置单元，用于在所述统计单元603根据所述VPN标识统计对应VPN网络的流量之前，定义流分类，所述流分类用于定义匹配所述VPN标识的VPN报文;定义流行为，所述流行为用于允许报文通过;建立所述流分类与所述流行为的绑定关系;在接口上应用所述绑定关系;
[0108]所述统计单元603，具体用于监控所述接口下匹配所述流分类、执行所述流行为的
VPN流量。
[0109]上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程，在此不再赘述。
[0110]对于装置实施例而言，由于其基本对应于方法实施例，所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本发明方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。
[0111]以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明保护的范围之内。
【主权项】
1.一种虚拟专用网VPN流量监控方法，应用于服务提供商网络边缘PE设备，其特征在于，所述方法包括: 接收报文； 确定接收的报文是否为VPN报文； 当所述接收的报文为VPN报文时，生成携带VPN标识的多协议标签交换MPLS报文，所述VPN标识用于表示所述VPN报文所属的VPN网络； 将所述MPLS报文发送给服务提供商核心设备P设备，以使P设备根据接收的MPLS报文对VPN流量进行监控。2.如权利要求1所述的方法，其特征在于，所述确定接收的报文是否为VPN报文之前，还包括: 定义ACL策略，所述ACL策略用于允许VPN网络的VPN报文通过； 所述确定接收的报文是否为VPN报文，包括: 判断接收的报文是否匹配所述ACL策略； 当所述接收的报文匹配所述ACL策略时，确定所述接收的报文为VPN报文。3.如权利要求2所述的方法，其特征在于，所述生成携带VPN标识的MPLS报文之前，还包括: 定义流分类，所述流分类用于定义匹配ACL策略的VPN报文； 定义流行为，所述流行为用于设置VPN标识； 建立所述流分类与所述流行为的绑定关系； 在接口上应用所述绑定关系。4.一种虚拟专用网VPN流量监控方法，应用于服务提供商核心设备P设备，其特征在于，所述方法包括: 接收服务提供商网络边缘PE设备根据VPN报文生成的MPLS报文，所述MPLS报文携带VPN标识，所述VPN标识用于表示所述VPN报文所属的VPN网络； 获取所述MPLS报文中携带的VPN标识； 根据所述VPN标识统计对应VPN网络的流量。5.如权利要求4所述的方法，其特征在于，所述根据所述VPN标识统计对应VPN网络的流量之前，还包括: 定义流分类，所述流分类用于定义匹配所述VPN标识的VPN报文； 定义流行为，所述流行为用于允许报文通过； 建立所述流分类与所述流行为的绑定关系； 在接口上应用所述绑定关系； 所述根据所述VPN标识统计对应VPN网络的流量，包括: 监控所述接口下匹配所述流分类、执行所述流行为的VPN流量。6.—种虚拟专用网VPN流量监控装置，应用于服务提供商网络边缘PE设备，其特征在于，所述装置包括: 接收单元，用于接收报文； 确定单元，用于确定接收的报文是否为VPN报文； 生成单元，用于当所述接收的报文为VPN报文时，生成携带VPN标识的多协议标签交换MPLS报文，所述VPN标识用于表示所述VPN报文所属的VPN网络； 发送单元，用于将所述MPLS报文发送给服务提供商核心设备P设备，以使P设备根据接收的MPLS报文对VPN流量进行监控。7.如权利要求6所述的装置，其特征在于，所述装置还包括: 定义单元，用于在所述确定单元确定接收的报文是否为VPN报文之前，定义ACL策略，所述ACL策略用于允许VPN网络的VPN报文通过； 所述确定单元，具体用于判断接收的报文是否匹配所述ACL策略；当所述接收的报文匹配所述ACL策略时，确定所述接收的报文为VPN报文。8.如权利要求7所述的装置，其特征在于，所述装置还包括: 配置单元，用于在所述生成单元生成携带VPN标识的MPLS报文之前，定义流分类，所述流分类用于定义匹配ACL策略的VPN报文；定义流行为，所述流行为用于设置VPN标识；建立所述流分类与所述流行为的绑定关系;在接口上应用所述绑定关系。9.一种虚拟专用网VPN流量监控装置，应用于服务提供商核心设备P设备，其特征在于，所述装置包括: 接收单元，用于接收服务提供商网络边缘PE设备根据VPN报文生成的MPLS报文，所述MPLS报文携带VPN标识，所述VPN标识用于表示所述VPN报文所属的VPN网络； 获取单元，用于获取所述MPLS报文中携带的VPN标识； 统计单元，用于根据所述VPN标识统计对应VPN网络的流量。10.如权利要求9所述的装置，其特征在于，所述装置还包括: 配置单元，用于在所述统计单元根据所述VPN标识统计对应VPN网络的流量之前，定义流分类，所述流分类用于定义匹配所述VPN标识的VPN报文;定义流行为，所述流行为用于允许报文通过;建立所述流分类与所述流行为的绑定关系;在接口上应用所述绑定关系；所述统计单元，具体用于监控所述接口下匹配所述流分类、执行所述流行为的VPN流量。
【文档编号】H04L12/46GK106059887SQ201610532799
【公开日】2016年10月26日
【申请日】2016年6月30日
【发明人】刘兴安
【申请人】杭州华三通信技术有限公司