专利名称:一种针对报文进行采样的方法及装置的制作方法
技术领域:
本发明涉及通讯技术领域,特别是涉及一种针对报文进行采样的方法及装置。
背景技术:
随着网络的快速发展以及相关网络应用的普及,互联网已成为人们日常工作生活中必不可缺的一部分。然而,网络上形形色色的异常流量和病毒攻击也随之而来,影响到正常业务运行和用户的个人信息的安全。因此,网络监控技术应运而生,它对网络管理、 网络安全以及流量监测的作用都很重要,需要及时将网络出现的异常流量提供给专业的网管,进行下一步的预防和处理,以保证网络的正常运行。现有的流采样(SFLOW,Sampled Flow)技术可以针对进入或流出某个端口、VLAN(Virtual Local Area Network,虚拟局域)或某块线卡的所有业务流量,按照预先设定的采样率进行采样,并将采样报文发往分析端。SFLOW技术内嵌于网络处理器内部,完全由硬件完成,不会对网络处理器的线速处理本身有任何影响;而且SFLOW也是按照一定的采样率进行采样,不会将无关报文送至分析端,一定程度上减少了分析端的过多负担。但是,这种技术的缺陷是采样的数据流是针对进出某个端口,或属于某个VLAN,或是整块线卡的所有流量,不能对某种类型的业务流进行定期的监控。在实际应用中,当设备间开启检测协议时,如快速CFM(Connectivity Fault Management,连接故障管理)或 BFD (Bidirectional Forwarding Detection,双向转发检测),检测报文每隔3. 3ms发送一个,此时采样得到的往往可能都是检测报文,不能实时捕捉到想要检测的数据报文,因而不具备参考价值。
发明内容
本发明要解决的技术问题是提供一种针对报文进行采样的方法及装置,用以解决现有技术中采样得到的可能都是检测报文,不能实时捕捉到想要检测的数据报文的问题。为解决上述技术问题,一方面,本发明提供一种针对报文进行采样的方法,所述方法包括以下步骤端口接收到报文时,提取所述报文的特征信息,根据所述特征信息,获取与所述报文对应的预先设定门限值;端口接收到报文时,随机产生一个随机值;当所述随机值大于所述门限值时,对所述报文进行采样。进一步,根据所述特征信息,获取与所述报文对应的预先设定门限值,具体包括以下步骤根据所述特征信息,确定逻辑端口表索引;根据所述逻辑端口表索引,查找逻辑端口表,获取采样门限值索引;
根据所述采样门限值索引,查找采样门限设定表,获取所述门限值。进一步,对所述报文进行采样,具体为复制所述报文,将所述复制报文发送给分析处理装置处理。
4
进一步,所述门限值根据预先设定的采样率进行确定。进一步,所述特征信息为以下各项中的一项或多项报文进入的端口信息、报文携带的VLAN信息、VLAN优先级信息、转发标签信息、报文的源MAC地址和目的MAC地址、IP源地址和目的地址、TCP端口号。另一方面,本发明还提供一种针对报文进行采样的装置,所述装置包括门限值获取单元,用于在端口接收到报文时,提取所述报文的特征信息,根据所述特征信息,获取与所述报文对应的预先设定门限值;随机值产生单元,用于在端口接收到报文时,随机产生一个随机值;采样单元,用于当所述随机值大于所述门限值时,对所述报文进行采样。进一步,所述门限值获取单元进一步包括逻辑端口表索引确定子单元,用于根据所述特征信息,确定逻辑端口表索引;门限值索引获取子单元,用于根据所述逻辑端口表索引,查找逻辑端口表,获取采样门限值索引;门限值获取子单元,用于根据所述采样门限值索引,查找采样门限设定表,获取所述门限值。进一步,所述采样单元包括复制子单元,用于复制所述报文;发送子单元,用于将所述复制报文发送给分析处理装置处理。进一步,所述门限值根据预先设定的采样率进行确定。进一步,所述特征信息为以下各项中的一项或多项报文进入的端口信息、报文携带的VLAN信息、VLAN优先级信息、转发标签信息、报文的源MAC地址和目的MAC地址、IP源地址和目的地址、TCP端口号。本发明有益效果如下本发明通过从大量进入系统的报文中,提取到需要监测的报文的特征信息,针对某种业务的报文进行采样,按照一定的采样率将报文送至分析终端进行处理,可以减少大量数据报文给分析端带来的冲击,避免无关流量带来的影响,并对正常转发的原始报文不会带来任何影响;同时,也大大降低了分析端分析和处理的复杂度。
图1是本发明实施例中一种针对报文进行采样的方法的流程图;图2是本发明实施例中一种针对报文进行采样的装置的结构示意图;图3是本发明实施例中另一种针对报文进行采样的装置的结构示意图。
具体实施例方式为了解决现有技术中采样得到的可能都是检测报文,不能实时捕捉到想要检测的数据报文的问题,本发明提供了一种针对报文进行采样的方法及装置,以下结合附图以及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不限定本发明。如图1所示,本发明实施例涉及一种针对报文进行采样的方法,包括以下步骤
步骤S101,端口接收到报文时,提取所述报文的特征信息,根据所述特征信息,获取与所述报文对应的预先设定门限值;本步骤中,具体包括以下步骤步骤S1011,根据端口接收的报文,提取其特征信息,并确定逻辑端口表索引。端口收到的数据流,既包括数据报文,也包括检测报文。需要说明的是,报文的特征信息包括以下各项中的一个或多个报文进入的端口 (PORT)信息、报文携带的VLAN信息(包含单层TAG或双层TAG的情况),VLAN优先级信息、 转发标签信息、报文的源MAC地址和目的MAC地址、IP源地址和目的地址、TCP端口号等。 特征信息的提取工作分为两个阶段一是解析报文中的特征信息,解析出来的特征信息可能并不一定都会被提取,具体提取报文中的哪些特征信息,要结合当前所需进行的报文转发流程进行选择;二是将报文送入相应的转发处理流程,并提取其中一个或几个特征信息作为逻辑端口(LOGIC PORT)表的索引。比如,对于一个二层转发的报文,需要获取报文进入的PORT信息以及携带的VLAN信息;对于一个普通三层转发的报文,需要获取报文的目的 IP ;对于一个标签转发的报文,需要获取报文中携带的标签信息。步骤S1012,根据提取的逻辑端口表的索引,查找逻辑端口表,获得采样门限值的索引。具体而言,引入逻辑端口表的概念,目的就是将原先进入端口的各种业务的数据按照其所含的特征信息进行分类,并以此作为索引创建逻辑端口表。这样不同的报文,就对应有不同的逻辑端口表,每条业务流对应的逻辑端口表都是唯一的。步骤S1013,根据获得的采样门限值索弓丨,查找采样门限设定表,获得一个阈值 (即采样门限值,简称门限值)。采样门限设定表是预先设定好的,首先根据采样率设置采样门限值,然后根据采样门限值配置采样门限设定表。采样门限值的设定是根据预先设定的采样率并按照一定的规则来确定的,采样率不同,门限值设定的也不同。一定规则,是指采样率与采样门限值之间的换算规则,该规则可以根据不同的报文或不同的系统设置不同。采样率表示每隔多少个报文,进行一次采样行为。当不进行采样时,通常将采样门限值设置为为一个32位的最大值,即 OxFFFFFFFF。步骤S102,端口接收到报文时,随机产生一个随机值;本步骤中,端口接收到每个报文,会触发生成一个32位的随机值。该随机值是硬件按随机算法生成。硬件通常为具有该功能的芯片即可。随机算法与采样率进行关联,需要在保证采样率的前提采用的任意的随机算法,产生随机值。步骤S103,当所述随机值大于所述门限值时,对所述报文进行采样。本步骤中,将得到的随机值和采样门限值进行比较,如果随机值大于门限值,则需对该报文进行采样,具体步骤是复制该报文,将复制后的报文送至分析处理装置处理;如果随机值小于等于门限值,则不需进行采样处理。具体而言,当没有开启采样功能时,随机值恒小于或等于门限值,则不会对报文进行采样;当开启采样功能,并设定一定的采样率后,相应地,会设定一个门限值,则当随机值大于门限值时,对该报文进行采样。
由于本专利的主要目的在于对报文的采样,因此,对报文采样后的处理,任何分析处理方法均可,例如,通过对报文中的信息进行提取分析,用于进行流量判断、数据包是否丢失,数据包转发是否出错,以及针对上述情况的相应处理。在此,本专利不再详细描述。需要说明的是,对原始报文进行复制,将复制的报文采样至分析处理装置处理,在此过程中对原始报文的正常转发过程不产生影响。由上述描述可见,上述实施例针对指定数据流进行采样的方法,在保证不影响到正常数据转发的前提下,能对进入系统的报文根据其特征信息进行采样,具有明确的目的性和针对性,避免了大量无关报文的干扰,减轻了分析终端的分析和处理的复杂度。另外,如图2所示,本发明实施例还涉及一种实现上述方法的针对报文进行采样的装置,所述装置包括门限值获取单元201,用于在端口接收到报文时,提取所述报文的特征信息,根据所述特征信息,获取与所述报文对应的预先设定门限值;随机值产生单元202,用于在端口接收到报文时,随机产生一个随机值;采样单元203,用于当所述随机值大于所述门限值时,对所述报文进行采样。为达更佳技术效果,本发明实施例还涉及一种实现上述方法的针对报文进行采样的装置,所述装置包括门限值获取单元301,用于在端口接收到报文时,提取所述报文的特征信息,根据所述特征信息,获取与所述报文对应的预先设定门限值。门限值根据预先设定的采样率进行确定。所述特征信息为以下各项中的一项或多项报文进入的端口信息、报文携带的 VLAN信息、VLAN优先级信息、转发标签信息、报文的源MAC地址和目的MAC地址、IP源地址和目的地址、TCP端口号。随机值产生单元302,用于在端口接收到报文时,随机产生一个随机值。随机值产生单元302是嵌入到系统内部的,每个报文进入系统后,都会访问该模块,并触发硬件按随机算法返回一个32位的随机值。采样单元303,用于当所述随机值大于所述门限值时,对所述报文进行采样。其中,门限值获取单元301进一步包括逻辑端口表索引确定子单元3011,用于根据所述特征信息,确定逻辑端口表索引;门限值索引获取子单元3012,用于根据所述逻辑端口表索引,查找逻辑端口表,获取采样门限值索引;门限值获取子单元3013,用于根据所述采样门限值索引,查找采样门限设定表,获取所述门限值。采样单元303还包括复制子单元3031,用于复制所述报文;采样单元303判定随机值大于门限值时,会产生一个报文复制消息通知复制子单元3031将原始报文复制一份;发送子单元3032,用于将所述复制报文发送给分析处理装置处理。由于本专利的主要目的在于对报文的采样,因此,分析处理装置处理对报文采样后的处理,任何分析处理方法均可,例如,通过对报文中的信息进行提取分析,用于进行流量判断、数据包是否丢失,数据包转发是否出错,以及针对上述情况的相应处理。在此,本专
7利不再详细描述。由上述实施例可以看出,本发明实施例根据收到的数据报文,提取报文中的特征信息,使用特征信息作为逻辑端口的索引,获取逻辑端口表中对应的采样门限索引,根据得到的门限值和相应触发硬件而得到的随机值比较的结果,来决定是否对该报文进行采样并送至分析端。可以从大量进入系统的报文中,提取到需要监测的报文的特征信息,针对某种业务的报文进行采样,按照一定的采样率将报文送至分析终端进行处理,可以减少大量数据报文给分析端带来的冲击,避免无关流量带来的影响,并对正常转发的原始报文不会带来任何影响;同时,也大大降低了分析端分析和处理的复杂度。尽管为示例目的,已经公开了本发明的优选实施例,本领域的技术人员将意识到各种改进、增加和取代也是可能的,因此,本发明的范围应当不限于上述实施例。
权利要求
1.一种针对报文进行采样的方法,其特征在于,所述方法包括以下步骤端口接收到报文时,提取所述报文的特征信息,根据所述特征信息,获取与所述报文对应的预先设定门限值;端口接收到报文时,随机产生一个随机值; 当所述随机值大于所述门限值时,对所述报文进行采样。
2.如权利要求1所述的针对报文进行采样的方法,其特征在于,根据所述特征信息,获取与所述报文对应的预先设定门限值,具体包括以下步骤根据所述特征信息,确定逻辑端口表索引; 根据所述逻辑端口表索引,查找逻辑端口表,获取采样门限值索引; 根据所述采样门限值索弓I,查找采样门限设定表,获取所述门限值。
3.如权利要求1或2所述的针对报文进行采样的方法,其特征在于,对所述报文进行采样,具体为复制所述报文,将所述复制报文发送给分析处理装置处理。
4.如权利要求1所述的针对报文进行采样的方法,其特征在于,所述门限值根据预先设定的采样率进行确定。
5.如权利要求1所述的针对报文进行采样的方法,其特征在于,所述特征信息为以下各项中的一项或多项报文进入的端口信息、报文携带的VLAN信息、VLAN优先级信息、转发标签信息、报文的源MAC地址和目的MAC地址、IP源地址和目的地址、TCP端口号。
6.一种针对报文进行采样的装置,其特征在于,所述装置包括门限值获取单元,用于在端口接收到报文时,提取所述报文的特征信息,根据所述特征信息,获取与所述报文对应的预先设定门限值;随机值产生单元,用于在端口接收到报文时,随机产生一个随机值; 采样单元,用于当所述随机值大于所述门限值时,对所述报文进行采样。
7.如权利要求6所述的针对报文进行采样的装置,其特征在于,所述门限值获取单元进一步包括逻辑端口表索引确定子单元,用于根据所述特征信息,确定逻辑端口表索引; 门限值索引获取子单元,用于根据所述逻辑端口表索引,查找逻辑端口表,获取采样门限值索引;门限值获取子单元,用于根据所述采样门限值索引,查找采样门限设定表,获取所述门限值。
8.如权利要求6或7所述的针对报文进行采样的装置,其特征在于,所述采样单元包括复制子单元,用于复制所述报文;发送子单元,用于将所述复制报文发送给分析处理装置处理。
9.如权利要求6所述的针对报文进行采样的装置,其特征在于,所述门限值根据预先设定的采样率进行确定。
10.如权利要求6所述的针对报文进行采样的装置,其特征在于,所述特征信息为以下各项中的一项或多项报文进入的端口信息、报文携带的VLAN信息、VLAN优先级信息、转发标签信息、报文的源MAC地址和目的MAC地址、IP源地址和目的地址、TCP端口号。
全文摘要
本发明公开了一种针对报文进行采样的方法及装置,所述方法包括以下步骤端口接收到报文时,提取所述报文的特征信息,根据所述特征信息,获取与所述报文对应的预先设定门限值;端口接收到报文时,随机产生一个随机值;当所述随机值大于所述门限值时,对所述报文进行采样。本发明通过从大量进入系统的报文中,提取到需要监测的报文的特征信息,针对某种业务的报文进行采样,按照一定的采样率将报文送至分析终端进行处理,可以减少大量数据报文给分析端带来的冲击,避免无关流量带来的影响,并对正常转发的原始报文不会带来任何影响;同时,也大大降低了分析端分析和处理的复杂度。
文档编号H04L12/56GK102223261SQ20111012729
公开日2011年10月19日 申请日期2011年5月17日 优先权日2011年5月17日
发明者周佳, 程银魁, 钱勇 申请人:中兴通讯股份有限公司