专利名称:验证带有应用认知的端到端服务配置的带内机制的制作方法
技术领域:
本发明一般涉及使用深度包检测(DPI)的基于包的通信。
背景技术:
在其现有形式中,DPI是一种计算机网络包过滤,在包经过检测点时其检查包的数 据部分和/或头部,搜索与协议的不符之处、病毒、垃圾邮件、入侵或预定义的准则,以确定 该包是否可以经过或是否需要被路由到不同目的地,或者用于收集统计信息的目的。DPI有 时也被称为内容检测或内容处理。DPI与浅层包检测(通常仅被称为包检测)相对,浅层包 检测仅检查包的头部。DPI设备具有查看OSI模型的2至7层的能力。这包括头部和数据协议结构以及 消息的实际有效负载。DPI将基于签名数据库来标识和分类业务,从而实现比仅基于头信息 的分类更精细的控制,所述签名数据库包括从包的数据部分提取的信息。被分类的包可被重定向、标记/标志(见QoS)、阻挡、限速以及当然向网络中的报 告代理报告。通过这种方式,不同分类的HTTP错误可以被标识和转发,以用于分析。许多 DPI设备可以标识包流(而不是逐包分析),从而实现基于累积的流信息的控制动作。DPI使电话和电缆公司容易了解用户在线接收来自电子邮件、去往网站、共享音 乐、视频和软件下载的信息的包,如网络分析工具所会做的。这是电缆运营商和ISP用于根 据流经它们网络的业务动态地分配带宽的方法。因而,例如与Web浏览相比,可以向VoIP 呼叫分配更高的优先权。DPI也越来越多地被用于安全设备中以分析流,并且将它们与策略进行比较,然后 合理地处理所述业务(即,阻挡、允许、限速、标志优先级、镜像到另一设备用于更多分析或 报告)。由于DPI设备查看每个包,它可被ISP用来根据用户基础提供或阻挡关于用户的服 务。本发明的上述目标和优势说明了可通过各种示例性实施例实现并且不是只在穷 举或限制可以实现的可能优势的那些。因而,各种示例性实施例的这些以及其他目标和优 势将通过此处的说明书显而易见,或者可以通过实践各种示例性实施例来获知,如此处所 体现的或鉴于对本领域技术人员显而易见的任何变化所修改的。相应地,本发明在于此处 显示的以及在各种示例性实施例中描述的新颖方法、配置、组合以及改进。
发明内容
遗憾的是,在现有形式中,DPI和相关系统不能提供验证带有应用认知的端到端服 务配置的带内机制。考虑到当前对验证带有应用认知的端到端服务配置的带内机制的需 求,这里呈现了对各种示例性实施例的简要概述。在下文旨在突出和介绍所述各种示例性 实施例的一些方面的概述中,可以进行一些简化和省略,但不限制本发明的范围。对优选示 例性实施例的详细描述适于使本领域普通技术人员制定和使用随后部分中的发明概念。各种示例性实施例有效地配置SP网络中的路由器,尤其是关于应用层处的业务
3流的处理。这被视为有利于提供的应用层服务。 目前,该能力并不存在。有可能使用单独的DPI系统在客户层进行配置验证,但这 并不提供想要的应用层粒度,并且不提供数据平面转发验证。因而,各种示例性实施例使得 能够在所述客户层处进行具有想要的应用层粒度量的配置验证。 为解决此处描述的问题,各种示例性实施例包括一种新类型的服务ping包。此处 被称为应用特有的服务Ping包。该类型的包包括正被所述包测试或模拟的应用的指示。这允许DPI设备仅从一个 包就快速确定所涉及的应用。如果当包到达其目的地时该包要被环回到其源处,以实现双向数据平面验证,特 别是双向不经过相同路径时,指定要收集用于应用或其任何部分的何种类型的配置信息的 任何相关联的应用参数,包括涉及应用于所述包的动态业务策略的配置,也可以被包括在 所述包以及环回指示中,所述任何相关联的应用参数用于验证处理所述包的网络路由器中 的这种策略的配置。相应地,在各种示例性实施例中,为给定应用的给定业务流创建应用特有的服务 Ping包,所述给定业务流诸如从一个客户到另一客户的业务流。在包括产生包的源或提供 商边缘设备接口的任何点处,所述应用特有的服务Ping包被注入到所述网络中。所述应用 特有的服务Ping包然后穿越网络到达可以包括另一提供商边缘设备接口的预定目的地, 或所述应用业务的最终目的地。在各种示例性实施例中,当所述应用特有的服务ping包穿越所述网络时,它收集 关于在它穿越时应用于它的应用配置/依赖于流的业务处理策略的信息。这些策略可以是 静态的和动态的。在各种示例性实施例中,所述包中收集的所述信息可以来自能够提供这种信息的 所有节点或者仅来自所述包中指定的节点,以包括所请求的信息。在各种示例性实施例中, 将所述收集的信息与所述给定业务流的预期结果进行比较,以验证所述给定业务流在穿越 所述网络时经过的所述路由器的配置。在各种示例性实施例中,在所述另一提供商边缘设 备接口处开始重复以上描述的过程中的步骤的一个或多个,并且在朝向其它接口的相反方 向发送另一包或者相同的环回包,以实施例如对数据平面的连续性检查。
为了更好地理解各种示例性实施例,参考附图,在所述附图中图1是用于验证带有应用认知的端到端服务配置的带内机制的示例性系统的示 意图;图2是用于验证带有应用认知的端到端服务配置的带内机制的示例性应用特有 的服务Ping包的分片示意图;图3是用于应用特有的服务ping包的示例性应用标识字段的示意图,所述应用特 有的服务Ping包用于验证带有应用认知的端到端服务配置的带内机制;图4是用于与系统和方法一起使用的示例性应用映射表的分片示意图,所述系统 和方法用于验证带有应用认知的端到端服务配置的带内机制;以及图5是验证带有应用认知的端到端服务配置的示例性方法的流程图。
具体实施例方式现在参考附图,公开了各种示例性实施例的广泛方面,在所述附图中,相同引用标 记是指相同组件或步骤。图1是用于验证带有应用认知的端到端服务配置的带内机制的示例性系统100的 示意图。系统100中的通信在客户A与客户B之间流经网络单元A、通信网络110和网络单 元B0网络单元A包括路由器A和DPI Α。同样,网络单元B包括路由器B和DPI B。然 而,应当注意,在各种示例性实施例中,网络单元A本身是DPI。同样,在各种示例性实施例 中,网络单元B本身是DPI。换言之,网络单元A可以采用任何可能形式,只要它具有DPI或是DPI。网络单元 B同样如此。同样,网络单元A和网络单元B具有诸如QoS、监管(policing)、对包进行标注 等等的应用处理,以及影响包在通信网络110中穿越的路径的DSCP。还应当注意,此处描述的本发明将在包含多于一个的任意数量的DPI的系统100 中工作。为简单起见,示例性系统100中仅示出两个DPI。它们是DPI A和DPI B。在示例性系统100中,路由器A被示出为具有网络接口(NI)NIl和NI2。同样,路 由器B被示出为具有NI3和NI4。应当显而易见的是,在排除路由器A和路由器B的系统 100的实施例中,Nil、NI2、NI3和NI4被适当地重新放置。在各种示例性实施例中,Nil、 NI2、NI3和NI4中的一个或多个是提供商边缘设备接口。在各种示例性实施例中,多个客户可以被直接或者间接通过另一网络连接到提供 商边缘设备接口 NIl和NI4,所述另一网络包括但不限于网桥、交换机或路由器。应用业务 可以是任意点对点、点对多点、多点对点或多点对多点性质的。现在将结合图2-5更为详细地描述本发明。结合图2-5,将参考图1以及其中示出 的单元,进一步扩展结合示例性系统100示出的结构的功能和相互关系。图2是用于验证带有应用认知的端到端服务配置的带内机制的示例性应用特有 的服务Ping包200的分片示意图。示例性ping包200包括标准DPI流ID 210、特定ping 包ID 215、DPI特定包ID 220和应用ID 230。在一些实施例中,可以不要求DPI特定包ID 220,特定ping包ID 215和应用ID 230的组合就可以满足。DPI特定包ID 220和应用ID 230是之前未被包括在其它已知形式的ping包中的 Ping包200的一部分。标准DPI流ID 210表示DPI通常标识特定流所要求的信息。为简 单起见,图2中省略示例性包200中在标准DPI流ID 210前面的内容。这通过图2的分片 部分表示。在示例性应用特有的服务ping包200中,DPI特定包ID 220位于标准DPI流ID 210和特定ping包ID 215之后。在示例性应用特有的服务ping包200中,DPI特定包ID 220表示这样的信息,所述信息使得诸如DPI A或DPI B的DPI能够认识到应用特有的服务 ping包200是要由该专用或任何DPI单元处理的特定种类的DPI包。在一些实施例中,处 理包的DPI标识可以不是DPI特定包ID的一部分,而是包中任何其它字段的一部分,所述 任何其它字段像标准DPI流ID 210或应用ID 230或特定ping包ID 215。可以根据任何 当前已知的或本领域以后开发的技术,来实现该信息。
5
应用ID 230表示应用特有的数据,所述应用特有的数据将包进行分类,就像它属 于预先确定的应用。然而,由于DPI特定包ID 220或特定ping包ID 215 (当不需要特定 包ID 220时)的缘故,示例性应用特有的服务ping包200能够通过仅使用单个包就将所 标识的应用关联到DPI。这是对之前已知的用于标识应用的技术的重大改进,因为所有这种 技术要求在可以标识相关联的应用前检测多个包。图3是用于应用特有的服务ping包的示例性应用标识字段230的示意图,所述应 用特有的服务Ping包用于验证带有应用认知的端到端服务配置的带内机制。示例性应用 标识字段230包括类型字段233、长度字段236和值字段239。在各种示例性实施例中,类型字段233被用来标识所标识应用所属的应用的类 型。在各种示例性实施例中,长度字段236标识相关联的长度。在各种示例性实施例中,值字段239包含信息的值,所述信息与由示例性应用ID 字段230标识的应用相关联。值字段239的内容的例子包括应用代码点和应用数据点。在 各种示例性实施例中,应用ID字段230承载多于一个的类型长度值(TLV)字段。相应地, 在各种示例性实施例中,应用ID字段230包括通过DPI定义应用标识和处理的嵌套TLV字 段。同样,在各种示例性实施例中,应用ID字段230包括对应于例如多个应用、单个应用的 多个子集、或其组合的多个应用ID。还应当显而易见的是,在各种示例性实施例中,根据不 同于TLV目前已知的或以后开发的任何格式,对应用ID字段230中的信息进行编码。图4是用于与系统和方法一起使用的示例性应用映射表400的分片示意图,所述 系统和方法用于验证带有应用认知的端到端服务配置的带内机制。映射表400包括两列。 第一列是打有标签的应用ID。第二列是打有标签的应用名称。如图所示,应用映射表400包含三行数据。第一行具有应用ID 1。第二行具有应 用ID 2。第三行具有应用ID 3。应当显而易见的是,所示出的应用ID极其简单。因而,同 样应当显而易见的是,可以使用任意值或字符串来对应应用ID列中的应用。在应用映射表400中,用于应用名称的字段留空。然而,应当显而易见的是,映射 表400的实际实现将包括应用名称列中的名称,所述名称对应表400的每行中的对应应用 ID。应用映射表400被分片来表示可被包括在应用映射表400中的任何数量的应用 ID。下面将结合图5更详细地描述应用映射表400的使用。图5是验证带有应用认知的端到端服务配置的示例性方法500的流程图。方法 500在步骤505开始,并继续步骤515。在步骤515,构建,即形成带有头应用信息(info)的服务ping包。在各种示例性 实施例中,步骤515的服务ping包对应以上结合至少图2和图3描述的应用特有的ping 包 200。在步骤525,向系统100中的目的地转发步骤515中构建的服务ping包。在各种 示例性实施例中,这包括在客户A或沿着至客户B的通信路径的包括诸如Nil、NI2、NI3、 NI4的网络接口的任何接口处被注入即加载到网络中的服务ping包。接下来,在步骤530, 确定是否要实施应用特有的处理。当在步骤530确定不实施应用特有的处理时,方法500返回到步骤525,在步骤 525,服务ping包被继续向目的地转发。当在步骤530确定要实施应用特有的处理时,方法500继续到步骤535。然后,在步骤535,在网络单元的一个或多个网络接口处,例如网络单 元A的NI1、NI2或网络单元B的NI3、NI4处,确定静态应用配置信息。在步骤545,将步骤535中确定的静态应用配置信息插入到服务ping包中。在步 骤555,确定要应用于该流的策略。在各种示例性实施例中,步骤555中确定的策略是从策 略查找表中确定的。然后,在步骤565,将步骤555中确定的策略插入到服务ping包中。影响给定流的策略的例子会是相对该流的时间的该流的量。例如,当深夜通过网 络的其它业务一般不多时,给定系统可以允许更大量的特定流。确定策略和将策略插入服 务ping包中对应于另外讨论的动态配置信息。在步骤570,确定是否已到达ping包的目的地。当在步骤570确定没有到达目的 地时,方法500返回到步骤525,在步骤525,继续向ping目的地转发服务ping包。当在步 骤570确定已到达目的地时,方法500继续步骤575。在步骤575,从网络中提取服务ping包。为简单起见,步骤575仅被示为紧跟步骤 570。然而,应当显而易见的是,在各种示例性实施例中,可在前述步骤的任何一个或多个之 后从网络提取服务Ping包。在步骤575后,方法500继续步骤595,在步骤595,方法500结束。尽管已特别参考其特定示例性方面详细描述了各种示例性实施例,应当理解,本 发明还能有其他实施例,并且其细节在各个明显方面能够进行修改。对本领域技术人员容 易显而易见的是,在本发明的精神和范围内,可以做出变化和修改。相应地,上述公开、说明 书和附图仅用于说明性目的,绝不限制本发明,本发明仅由权利要求限定。
权利要求
一种验证带有应用认知的端到端服务配置的方法,所述方法包括构建具有应用标识字段的应用特有的服务ping包,所述应用标识字段标识所述应用特有的服务ping包对应的应用;向网络中的目的地转发所述应用特有的服务ping包;在网络单元的网络接口处确定关于所述应用特有的服务ping包对应的应用的静态配置信息;将所述静态配置信息插入到所述应用特有的服务ping包中;确定应用于包括所述应用特有的服务ping包的流的至少一个策略;将所述至少一个策略插入到所述应用特有的服务ping包中;以及从所述网络提取所述服务ping包。
2.根据权利要求1所述的验证带有应用认知的端到端服务配置的方法,其中,从所述网络提取所述服务ping包可以在所述构建、转发、确定、收集和插入步骤 的至少一个后发生。
3.根据权利要求1所述的验证带有应用认知的端到端服务配置的方法,进一步包括 在网络接口处将所述应用特有的服务ping包插入到所述网络中。
4.根据权利要求1所述的验证带有应用认知的端到端服务配置的方法,进一步包括 确定是否已到达所述目的节点以及是否未到达所述目的节点;重复所述转发、确定、收集和插入步骤。
5.根据权利要求1所述的验证带有应用认知的端到端服务配置的方法,进一步包括 将所述静态配置信息与预期结果进行比较;以及通过所述比较验证所述网络中的一个或多个路由器的配置,其中,所述应用特有的服务ping包已穿越所述网络中的所述一个或多个路由器。
6.根据权利要求1所述的验证带有应用认知的端到端服务配置的方法,进一步包括 指定要在所述应用特有的服务ping包中包括何种类型的信息,其中,可选地,从由静态信息子集、动态信息子集以及静态信息和动态信息子集组成的 组中选择要在所述应用特有的服务ping包中包括的信息的类型。
7.根据权利要求1所述的验证带有应用认知的端到端服务配置的方法,进一步包括 在客户接口处将所述应用特有的服务ping包插入到所述网络中。
8.根据权利要求1所述的验证带有应用认知的端到端服务配置的方法,其中,在所述网络中的预定点处提取所述应用特有的服务ping包,或者在所述网络中 的预定点处环回所述应用特有的服务ping包。
9.根据权利要求1所述的验证带有应用认知的端到端服务配置的方法,进一步包括 使用所述网络中的DPI单元的特定子集沿通信路径处理所述应用特有的服务ping包。
10.根据权利要求1所述的验证带有应用认知的端到端服务配置的方法,进一步包括 通过包括所述网络中要处理所述应用特有的服务Ping包的节点的Id,使用所述应用特有的服务Ping包来指定所述网络中要处理所述应用特有的服务ping包的所述节点的子集, 其中,所述网络中要处理所述应用特有的服务ping包的节点的Id可选地是所述应用 特有的服务ping包中从由ping目的地、应用ID和特定包ID组成的列表中选择的字段的 一部分。
全文摘要
一种验证带有应用认知的端到端服务配置的方法,该方法包括以下步骤中的一个或多个构建具有应用标识字段的应用特有的服务ping包,所述应用标识字段标识所述应用特有的服务ping包对应的应用;向网络中的目的地转发所述应用特有的服务ping包;在网络单元的网络接口处确定关于所述应用特有的服务ping包对应的应用的静态配置信息;将所述静态配置信息插入到所述应用特有的服务ping包中;确定应用于包括所述应用特有的服务ping包的流的至少一个策略;将所述至少一个策略插入到所述应用特有的服务ping包中;以及从所述网络提取所述服务ping包。
文档编号H04L12/24GK101960782SQ200980106831
公开日2011年1月26日 申请日期2009年2月17日 优先权日2008年2月29日
发明者A·佩雷斯, A·多尔加诺, S·E·莫林 申请人:阿尔卡特朗讯公司