专利名称:网络流量采样方法和系统的制作方法
技术领域:
本发明涉及通信领域,特别涉及网络流量采样方法和系统。
背景技术:
Internet的高速发展为用户提供了更高的带宽和可预测的服务质量(QoS, Quality of Service),同时用户也需要对网络进行更细致的管理和计费,为此需要相应的技术支持这种 需求。采样技术作为一种基于网络流信息的统计与发布技术,可以对网络中的通信量和资源 使用情况进行分类和统计,典型的采样技术如网络流采样技术(Netstream),它可以基于各 种业务和不同的QoS进行管理和计费。Netstreani技术主要包括二个逻辑功能网络流数据 输出(NDE, Netstream Data Export)、网络流数据收集(NDC, Netstream Data Collect)、 网络流数据分析(NDA, Netstream Data Analyze)。 NDE功能用于对网络流按照符合时间或 包数据条件的流统讣信息进行采集,流统计信息可以是流的数量或报文本身,并将统计信息 输出给具有NDC功能的设备,输出前也可以对数据进行一些处理,例如聚合NDC功能由应 用程序实现,可以收集多个经过具有NDE功能的设备处理后输出的数据,并对这些数据进行 解析,之后对数据进行过滤和聚合,再把经过处理的数据收集到数据库中,可供具有NDA功 能的设备进行解析;NDA是网络流量分析的功能,从具有NDC功能的设备中提取统计数据, 进行后续处理,为各种业务提供依据,例如网络规划,攻击监测等,具有图形化用户界面, 使用户可以获取、显示和分析从具有NDC功能的设备收集的数据。
现有技术中,很多网络转发设备支持采样功能,NDE的功能在这些网络转发设备如路由器 或交换机上完成,NDC的功能则放置在网络上的其他服务器完成。对具有冊E功能的设备来说, 需要按一定规则完成网络流量的采集,例如每1000个包采一个报文或者每lms采一个报文等, 完成采集后,将采集到的报文按一定的封装规范从指定的观察端口中发送出去,传递至具有 NDC功能的设备。该指定的观察端口为直连的端口,不能通过公共网络传送至远端。具有NDC 功能的设备在收到来自具有NDE功能的设备输出的报文之后,对这些原始流按照 一定规则进行 聚合操作,例如按TCP的端口号做聚合等,形成聚合流,然后存储在数据库中,等待NDA分析。 这种采样过程可以认为是一个简单的分布式,NDE功能主要负责采集,NDC功能主要负责聚合。上述采样过程存在的主要问题是处理能力不足,NDC功能一般由服务器完成,处理能力有 限,当具有NDE功能的设备采集得到的流量很大时,难以及时处理,随着网络规模的不断扩大, 这种方法逐渐不能符合要求。
为克服上述缺点,很多网络转发设备提供商都在自身的转发设备上提供了NDC的功能,采 样模型对应地发生了变化对网络转发设备而言,首先完成NDE的功能,即完成采集功能;其 次,网络转发设备还实现了部分NDC的功能,这时采集到的原始流在网络转发设备上直接进行 聚合,聚舍后发给NDC服务器;NDC服务器此时主要实现存储的功能,等待具有NDA功能的设备 进行分析。由于NDE功能和NDC的功能要在一台设备上同时完成,因此对设备要求较高, 一般 来说,都会把NDC的功能集中在一块聚合单板上实现,而在目前的分布式转发系统中,转发和 其他相关功能是在不同的单板上实现的。
改进后的采样技术存在如下问题由于需要购买额外的高性能聚合单板而使成本提高; 因为每台需要支持聚合的设备都需要增加一块聚合单板,所以当用户需要提高采样能力时, 需要改动网络转发设备,影响扩展性和灵活性;NDE与NDC的功能在一台设备上同时完成, 无法实现NDC在远端聚合的功能,从而不能合理运用网络资源来降低运营成本。
发明内容
为了卖现当用户需要提高采样能力时,无需改动网络转发设备,提高扩展性和灵活性, 降低成本,同时实现NDC在远端聚合的功能,本发明实施例提供了一种网络流量采样方法和 系统。所述技术方案如下-.
一种网络流量采样方法,所述方法包括
根据设定规则采集网络流量,通过外部网络发送所述网络流量; 接收所述网络流量,根据预设规则对所述网络流量进行聚合; 根据用户需要对聚合后的网络流量进行分析。
本发明实施例还提供了一种网络流量采样系统,所述系统包括 第一网络转发设备,用于根据设定规则采集网络流量;
第二网络转发设备,与所述第一网络转发设备通过外部网络连接,用于接收所述网络流 量,根据预设规则对所述网络流量进行聚合;
网络流量分析设备,用于根据用户需要对聚合后的网络流量进行分析。 本发明实施例提供的技术方案的有益效果是
本发明实施例通过多台网络转发设备支持NDE与NDC功能,且此二种功能不要求在一台网络转发设备上完成,无需为每台设备增加高性能聚合单板,降低成本;当用户需要提高采 样能力时,无需改动每台网络转发设备,只要按需增加不同功能的设备即可,有利于扩展与 灵活应用;由于NDE功能与NDC功能不要求在一台设备上完成,通过网络可以实现NDC在远 端聚合的功能,充分使用网络资源从而降低运营成本。
图1是本发明实施例1提供的网络流量采样方法流程图2是本发明实施例2提供的网络流量采样系统结构示意图3是本发明实施例2提供的具体应用示意图。
具体实施例方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进 一步地详细描述。
本发明实施例提供的技术方案,通过多台网络转发设备支持NDE功能与NDC功能,且此 二种功能不要求在一台网络转发设备上完成,无需为每台设备增加高性能聚合单板,降低成 本;由于NDE功能与NDC功能不要求在一台设备上完成,通过网络可以实现NDC在远端聚合 的功能,充分使用网络资源从而降低运营成本。其中,方法包括
根据设定规则采集网络流量,通过外部网络发送该网络流量;
接收该网络流量,根据预设规则对该网络流量进行聚合;
根据用户需要对聚合后的网络流量进行分析。
其中,外部网络为公共网,可以通过多协议标签交换隧道传送该网络流量,也可以通过 网络协议承载的隧道传送该网络流量。
将具有NDC功能的设备聚合后的网络流量存储至具有存储功能的NDC服务器(NDC Sever),实现了聚合功能与存储功能的分布式进行,与NDE、 NDC分布式地完成采样功能。
实施例1
本实施例提供一种网络流量采样方法,包括
参见图l,本实施例网络流量采样方法包括
步骤101:具有NDE功能的设备根据设定规则采集网络流量。
NDE功能由网络转发设备通过配置NDE功能的对应参数或通过网络管理输入命令对该功 能进行使能,网络转发设备可以选择路由器或交换机。网络转发设备按照NDE的逻辑功能根据设定规则例如每1000个包采一个报文或者每lms采一个报文等时间或数量的规则对流量进 行采集;多台网络转发设备可均具有冊E功能,且可以同时并行完成NDE功能。
步骤102:将具有NDE功能的设备采集到的流量通过多协议标签交换(MPLS, Multiprotocol Label Switch)隧道传至具有NDC功能的设备端。
由具有NDE功能的设备采集到的流量连同报文信息一起重新封装,封装可以通过人工静 态配置或动态学习等协议进行,封装之后才能通过MPLS隧道传至具有NDC功能的设备端。本 步骤中利用外网将由NDE功能采集到的流量传递至NDC功能端,实现NDE功能与NDC功能的 分布式结构。
步骤'103:具有NDC功能的设备接收具有NDE功能的设备发来的流量,并按照规则进行
麥A
沐PI o
NDC功能由网络转发设备通过配置NDC功能的对应参数或通过网络管理输入命令对该功 能进行使能,网络设备可以选择路由器或交换机。网络转发设备按照NDC的逻辑功能根据设 定规则对具有NDE功能的设备发来的流量进行聚合,该规则可以是相同的TCP端口号或相同 的目的IP地址等。本步骤中多台网络转发设备均可以支持NDC功能,且NDC功能可在这些网 络转发设备上并行实现。
上述步骤中,NDE功能与NDC功能均由网络转发设备实现,且均由多台网络设备支持NDE 功能或NDC功能,不同的网络转发设备可以完成不同的NDE或者NDC功能,NDE功能进行流 量采集,卵C功能进行流量聚合。由此,不同的任务可以分布在不同的区域完成,实现NDE 功能与NDC功能的分布式结构,并实现远端聚合。
步骤104:具有NDC功能的设备将聚合后的流量发给NDC服务器,NDC服务器存储聚合后 的流量。
其中,支持NDC功能的网络转发设备将聚合后的流量直接发送至NDC服务器(NDC Sever), NDC Sever可以是普通的服务器,其数量可以是一台或一组; 一台或一组NDC Sever将聚合 后的流量收集到数据库中进行存储,等待后续步骤的执行。
歩骤105:具有NDA功能的设备对聚合后的网络流量进行分析。
NDA具有网络流量分析功能,从支持NDC存储功能的NDC Sever中提取统计数据,NDA根 据用户的需要进行后续处理,为各种业务提供依据,例如网络规划,攻击监测等。
上述k施例中,具有NDE功能的设备与具有NDC功能的设备支持M:N的模式,其中M, N 均为大于等于1的正整数,即可以是一台支持NDE功能的设备对应一台支持NDC功能的设备, 也可以是一台支持NDE功能的设备对应多台支持NDC功能的设备,还可以是多台支持NDE功能的设备对应一台支持NDC功能的设备,或者是多台支持NDE功能的设备对应多台支持NDC 功能的设备。以上模式可以通过人为对设备的配置灵活实现。如此进行,可以使结合NDE、 NDC及NDA三种功能的采样模式扩展到大规模的网络例如某个电信运营商,或者分布式的网 络例如在几个不同的地域都有分布的公司。另外,具有NDE功能的设备采集流量后,通过MPLS 隧道将流量发送到具有NDC功能的设备,这样利用公网连接NDE功能设备与NDC功能设备有 较好的通用性与保密性,配置简单。 实施例2
如图2所示,本实施例还提供了一种网络流量采样系统,包括 第一网络转发设备,用于根据设定规则采集网络流量;
第二网络转发设备,与第一网络转发设备通过外部网络连接,用于接收网络流量,根据 预设规则对网络流量进行聚合;
网络流量分析设备,用于根据用户需要对聚合后的网络流量进行分析。
其中,第一网络转发设备为具有NDE功能的设备,第二网络转发设备为具有NDC功能的 设备,此二功能不在同一网络转发设备上实现。在具体实现过程中,可以通过配置网络转发 设备的参数使其完成不同的功能。第一网络转发设备与第二网络转发设备通过外部网络连接 通信。第一网络转发设备与第二网络转发设备均可以由路由器或交换机实现。
系统还可以包括网络流量存储设备,用于存储聚合后的网络流量,等待网络流量分析设 备分析,即完成了 NDC Sever的功能,具休可以由服务器实现,且服务器的数量不限,可以 是多台。
图3为本实施例提供的的具体应用示意图。如图3所不,分布式流量采样方法主要由NDE、 NDC和NDA三部分组成,NDE和NDC均由网络转发设备实现,不同的设备完成不同的功能,NDE 功能实现对流量进行采集,NDC功能实现对流量进行聚合,NDC Sever功能实现对聚合后流量 进行存储,NDA功能进行分析。其中,总公司可以只在上海设置NDC Sever和具有NDA功能 的设备,利用总公司维护的路由器作为具有NDC功能的设备NDC1、 NDC2及NDC3等;具有NDE 功能的设备NDE1可由北京分公司使用的路由器实现,NDE2和NDE3由广州分公司使用的路由 器实现;通过租用运营商的承载网,在实现公司虚拟专用网(VPN, Virtal Private Network) 通信的同时,也可以将分公司的采样数据传递到总公司进行统一处理。具有NDE功能的设备 与具有NDC功能的设备之间的传输由公共网络实现。网络流量的传送方式的选择可以是多样 的,本应用中选用电信网承载的MPLS隧道,也可以选用IP网络承载的通用路由封装(GRE, Generic RouUng Encapsulation)隧道或第二层隧道幼'议(L2TP , Layer 2 TunnelingProtocol)等实现。
本实施例由于采集、聚合、存储和分析都是分布式进行的,每台设备只处理其中的一部 分,因此此时每部分功能的性能可以得到保障;通过使用NDE功能在远端聚合的方式形成分布 式采样模型,合理运用网络资源,降低运营成本。由于采集与聚合不要求在一台设备上完成, 而是分布在网络各个结点上,因此不需要用户的每台设备都支持全部的采样功能,充分使用 网络中各个设备的资源;本实施例的NDE、 NDC、 NDCserver、 NDA功能均支持多台设备,由于 NDCserver和NDA可以将数据缓存于数据库,不需要增设设备提高处理速率;同时这些完成不 同功能的设备可以分散在各个不同的区域,应用灵活。另外,当用户需要提高采样能力时, 也只需按需增加NDE功能设备或者NDC功能设备,不需改动全部的网络设备,利于扩展。
本发明实施例可以通过软件实现,相应的软件可以存储在可读取的存储介质中,例如计 算机的硬盘、光盘或软盘中。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之 内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
权利要求
1. 一种网络流量采样方法,其特征在于,所述方法包括根据设定规则采集网络流量,通过外部网络发送所述网络流量;接收所述网络流量,根据预设规则对所述网络流量进行聚合;根据用户需要对聚合后的网络流量进行分析。
2. 根据权利要求l所述的网络流量采样方法,其特征在于,所述通过外部网络发送所述 网络流量包括通过多协议标签交换隧道传送所述网络流量。
3. 根据权利要求l所述的网络流量采样方法,其特征在于,所述通过外部网络发送所述 网络流量包括通过陶络协议承载的隧道传送所述网络流量。
4. 根据权利要求l所述的网络流量采样方法,其特征在于,所述根据用户需要对聚合后 的网络流量进行分析之前还包括存储所述聚合后的网络流量,等待分析。
5. —种网络流量采样系统,其特征在于,所述系统包括 第一网络转发设备,用于根据设定规则采集网络流量;第二网络转发设备,与所述第一网络转发设备通过外部网络连接,用于接收所述网络流 量,根据预设规则对所述网络流量进行聚合;网络流量分析设备,用于根据用户需要对聚合后的网络流量进行分析。
6. 根据权利要求5所述的网络流量采样系统,其特征在于,所述第一网络转发设备具体 为路由器或交换机。
7. 根据权利要求5所述的网络流量采样系统,其特征在于,所述第二网络转发设备具体 为路由器或交换机。
8. 根据权利要求5所述的网络流量采样系统,其特征在于,所述系统还包括 网络流量存储设备,用于存储所述聚合后的网络流量,等待所述网络流量分析设备分析。
9. 根据权利要求5所述的网络流量采样系统,其特征在于,所述系统包括至少一个第一 网络转发设备和至少一个第二网络转发设备。
全文摘要
本发明公开了一种网络流量采样方法和系统,属于通信领域。所述方法包括根据设定规则采集网络流量,通过外部网络发送网络流量;接收网络流量,根据预设规则对网络流量进行聚合;根据用户需要对聚合后的网络流量进行分析。所述网络流量采样系统包括第一网络转发设备、第二网络转发设备及网络流量分析设备。本发明将第一网络转发设备与第二网络转发设备完成不同的网络流量处理功能,并通过外部网络连接二者使其通信,使设备成本降低,有利于扩展与灵活应用,并且通过使用网络资源实现远端聚合而降低运营成本。
文档编号H04L12/24GK101547112SQ200810084268
公开日2009年9月30日 申请日期2008年3月28日 优先权日2008年3月28日
发明者武绍芸 申请人:华为技术有限公司