CN100583830C - 流量采集和分析的方法和装置 - Google Patents
流量采集和分析的方法和装置 Download PDFInfo
- Publication number
- CN100583830C CN100583830C CN200710087459A CN200710087459A CN100583830C CN 100583830 C CN100583830 C CN 100583830C CN 200710087459 A CN200710087459 A CN 200710087459A CN 200710087459 A CN200710087459 A CN 200710087459A CN 100583830 C CN100583830 C CN 100583830C
- Authority
- CN
- China
- Prior art keywords
- stream packet
- bgp
- net stream
- bgp routing
- analysis
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种流量采集和分析的方法和装置,属于网络通讯领域。为了解决现有技术中流量采集和分析对上层网流分析系统的要求非常高的问题,本发明提供了一种流量采集和分析的方法和装置。所述方法包括:学习BGP路由信息,采集网流报文;在学习到的BGP路由信息中查找到与当前流量相应的BGP路由,并将该BGP路由与网流报文进行比对,若网流报文中包含该BGP路由中的信息,则计算所述网流报文。所述装置包括:学习模块、采集模块和分析模块。本发明能够方便地统计出基于BGP路由的流量特征(如AS-PATH上的每条流量),简化了上层软件按路由路径汇总流量的分析复杂性。
Description
技术领域
本发明涉及网络通讯领域,特别涉及一种流量采集和分析的方法和装置。
背景技术
在IP(Internet Protocol,因特网协议)/MPLS(Multi-Protocl Label Switching,多协议标记交换)网络中,当客户需要查看从一个AS(Autonomous System,自治系统)到下一跳AS的流量,或者需要了解相同团体属性内不同的AS之间的业务流量信息时,需要对基于路由信息的网络流量进行统计和分析。现有技术采用在网流报文中增加BGP(Border GatewayProtocol,边界网关协议)路由属性字段进行标识,由上层网流分析系统根据这个标识进行分析和汇总得到AS-PATH(路径)的流量特征。参见图1,网络中有三个自治系统,AS100、AS200和AS300,采集器通过BR(Border Router,边界路由器)采集AS的流量信息,并传给分析器,分析器经过统计、分析和汇总得出AS流量信息。通常BR在OPTION(选项)报文中增加AS采样模式信息,当AS采样模式为第一种模式时,OPTION报文的七元组中携带了AS-PATH的源端AS和终端AS的IP地址和端口号等信息,相应地,上层网流分析系统可以得到源端AS和终端AS之间的流量信息;当AS采样模式为第二种模式时,OPTION报文的七元组中携带了AP-PATH的源端AS和终端AS的前一跳AS的IP地址和端口号等信息,相应地,上层网流分析系统可以得到源端AS和终端AS的前一跳AS之间的流量信息。
由于上层网流分析系统无法预先知道网络中的AS-PATH信息,如果要获得AS-PATH中任意两个AS之间的流量信息,则需要对AS-PATH中的每个AS的BR都采集流量,而且还要从采集到的网流报文中获得AS-PATH的信息,并按AS-PATH信息对网流报文做非常复杂的流量汇总工作,因此上述现有技术对上层网流分析系统的分析能力、统计能力和汇总能力等要求非常高,而且工作量非常庞大,不易实现。
发明内容
为了解决现有技术中流量采集和分析对上层网流分析系统的要求非常高的问题,本发明实施例提供了一种流量采集和分析的方法和装置。
所述方法包括:
学习BGP路由信息,采集网流报文;在所述BGP路由信息中查找到与当前流量相应的BGP路由,并根据所述BGP路由中的BGP路由属性确定所述当前流量对应的网流报文特征,将所述网流报文特征与采集到的网流报文进行比对,若所述网流报文包含所述网流报文特征,则计算所述网流报文。
所述装置包括:
学习模块,用于学习BGP路由信息;
采集模块,用于采集网流报文;
分析模块,包括查找单元和处理单元,所述查找单元用于在所述学习模块学习到的BGP路由信息中查找到与当前流量相应的BGP路由,所述处理单元用于根据所述BGP路由中的BGP路由属性确定所述当前流量对应的网流报文特征,将所述网流报文特征与所述采集模块采集到的网流报文进行比对,若所述网流报文包含所述网流报文特征,则计算所述网流报文。
本发明实施例能够方便地统计出基于BGP路由的流量特征(如AS-PATH上的每条流量),上层软件不用针对每个网流报文去分析BGP路由信息,而是预先学习到BGP路由信息,然后根据流量分析需求在预先学习到的BGP路由信息中匹配到与当前流量相应的BGP路由,并根据该BGP路由与采集到的网流报文进行比对的结果统计流量,从而简化了上层软件通过从网流报文中获取路由信息的方式,来统计基于BGP路由流量的过程的复杂性。
附图说明
图1是现有技术中流量采集和分析的示意图;
图2是本发明实施例流量采集和分析的方法流程图;
图3是本发明实施例流量采集示意图;
图4是本发明实施例流量采集和分析的装置结构图。
具体实施方式
下面结合附图和具体实施例对本发明作进一步说明,但本发明不局限于下面的实施例。
本发明实施例通过使用采集器预先学习到BGP路由信息,分析器搜索匹配到相应的BGP路由信息后进行流量统计,避免了上层软件根据网流报文中的片断路由信息来汇总AS-PATH流量的复杂性,方便地按BGP路由信息统计AS之间的流量。
参见图2,本发明实施例提供了一种流量采集和分析的方法,具体包括以下步骤:
步骤101:采用支持BGP路由学习能力的采集器通过路由协议预先学习BGP路由信息,并根据需要对采集器进行部署,让采集器能够采集到相应的AS间网流报文;部署时根据采集器性能可以一个BR对应一个采集器,也可以多个BR对应一个采集器;
通过路由协议学习BGP路由信息是指在采集器和BR上同时使能BGP路由协议,采集器通过BGP路由协议交互来学习BGP路由信息;
步骤102:采集器将学习到的BGP路由信息保存在一个路由表中;学习到的BGP路由信息中包含AS-PATH、下一跳和团体属性等BGP路由属性;
以图3所示的网络为例,采集器学习到一条BGP路由并保存在路由表中,如表1所示:
| Network(网段地址) | NextHop(下一跳) | MED | LocPrf | PerfVal | AS-Path | Origin |
| 200.1.1.2/24 | 9.1.3.1 | 0 | 100 | 0 | AS200->AS100 | i |
表1
步骤103:采集器进行流量采集,即接收与采集器相连的BR发来的网流报文,采集到的网流报文包含七元组(源IP地址、目的IP地址和端口号等)和BGP路由属性等信息;
步骤104:分析器根据当前的流量分析需求在上述路由表中进行搜索,匹配到与当前流量相应的BGP路由,所述BGP路由中包含BGP路由属性;
步骤105:根据BGP路由属性确定当前流量对应的网流报文特征;
步骤106:用得到的网流报文特征与采集到的网流报文进行比对,如果网流报文中包含所述网流报文特征,则计算该网流报文进行流量统计,即统计符合当前流量分析需求的网流报文,例如,在当前流量所统计的网流报文个数的基础上加1,将采集到的网流报文统计进去,从而完成按BGP路由进行流量统计。
分析器匹配到的BGP路由可以为一条或多条,将每条BGP路由中的一个或多个路由属性作为该条BGP路由对应的网流报文特征,作为与网流报文比对的依据;当匹配到多条BGP路由时,相应地,会生成多个网流报文特征,则共同作为与网流报文比对的依据,分析器在比对网流报文时,只要采集到的网流报文中包含其中的一个网流报文特征,就进行流量统计;如果所有网流报文特征均不在采集到的网流报文中,表明该网流报文不符合当前流量分析需求,则不进行流量统计。
例如,参见图3,假设当前需要统计AS200到AS100的流量,由于采集器预先学习了BGP路由信息,并保存了表1所示的一条BGP路由,因此采集器从该条路由可以获知,从AS200去往AS100的流量需要通过下一跳9.1.3.1,才能到达目的网段地址200.1.1.2/24;采集器采集到网流报文后,首先根据AS-Path信息AS200->AS100,搜索路由表,匹配到表1所示的BGP路由后,根据该BGP路由中的BGP路由属性确定出当前流量对应的网流报文特征,即把目的IP地址为200.1.1.2/24,且下一跳为9.1.3.1组合起来作为网流报文特征,然后将该网流报文特征与采集到的网流报文进行比对,如果网流报文中包含相同的信息,即网流报文中的目的IP地址也为200.1.1.2/24,且下一跳也为9.1.3.1,则将该网流报文统计到AS200到AS100的流量中;否则,认为该网流报文不是AS200到AS100的流量报文,不进行统计。
上述过程中采集器通过路由协议学习BGP路由的方式可以由采集器读取BR上的BGP路由文件或BGP MIB(Management Information Base,管理信息库)文件的方式来替换,考虑到BR上的BGP路由文件或BGP MIB文件可能会不断更新,进一步地,还可以增加定时同步的步骤:设置定时器使采集器读取BR上的BGP路由文件或BGP MIB文件的时间和这些文件更新的时间同步,从而保证读取到的文件内容都是最新的。
参见图4,本发明实施例还提供了一种流量采集和分析的装置,具体包括:
(1)学习模块,用于学习BGP路由信息;
(2)采集模块,用于采集网流报文;
(3)分析模块,用于在学习模块学习到的BGP路由信息中查找到与当前流量相应的BGP路由,并将该BGP路由与采集到的网流报文进行比对,若网流报文包含该BGP路由中的信息,则计算该网流报文。
上述学习模块具体包括:
1)配置单元,用于在所述装置和边界路由器上同时使能BGP路由协议;
2)学习单元,用于通过BGP路由协议交互来学习BGP路由信息。
上述学习模块还可以通过读取边界路由器的BGP路由文件或BGP MIB文件来学习BGP路由信息。
上述分析模块具体包括:
1)查找单元,用于在学习模块学习到的BGP路由信息中查找到与当前流量相应的BGP路由;
2)处理单元,用于根据查找单元找到的BGP路由中的BGP路由属性,确定当前流量对应的网流报文特征,将网流报文特征与采集模块采集到的网流报文进行比对,若网流报文包含网流报文特征,则计算该网流报文。
本发明实施例中的分析器和采集器在物理上可以分布在不同的服务器上,也可以分布在一台服务器上。
本发明实施例可以利用软件实现,如利用C、C++或JAVA等语言编程实现,相应的软件可以存储在可读取的存储介质中,如服务器的硬盘、内存或光盘中。
本发明实施例简化了上层软件按路由路径汇总流量的分析复杂性,能够方便地统计出基于BGP路由的流量特征(如AS-PATH上的每条流量),从而可以进行有效和及时的流量监控;还可以在此基础上开发病毒攻击监测或离线模拟网络流量状态等应用。
以上所述的实施例,只是本发明较优选的具体实施方式,本领域的技术人员在本发明技术方案范围内进行的通常变化和替换都应包含在本发明的保护范围内。
Claims (7)
1.一种流量采集和分析的方法,其特征在于,所述方法包括:
学习BGP路由信息,采集网流报文;在所述BGP路由信息中查找到与当前流量相应的BGP路由,并根据所述BGP路由中的BGP路由属性确定所述当前流量对应的网流报文特征,将所述网流报文特征与采集到的网流报文进行比对,若所述网流报文包含所述网流报文特征,则计算所述网流报文。
2.根据权利要求1所述的流量采集和分析的方法,其特征在于,所述学习BGP路由信息的步骤具体包括:
在采集器和边界路由器上同时使能BGP路由协议,所述采集器通过BGP路由协议交互来学习BGP路由信息。
3.根据权利要求1所述的流量采集和分析的方法,其特征在于,所述方法通过读取边界路由器的BGP路由文件或BGP管理信息库文件来学习BGP路由信息。
4.根据权利要求1所述的流量采集和分析的方法,其特征在于,根据所述BGP路由中的BGP路由属性确定所述当前流量对应的网流报文特征的步骤具体为:
将所述BGP路由中的一个或者多个路由属性作为报文特征。
5.一种流量采集和分析的装置,其特征在于,所述装置包括:
学习模块,用于学习BGP路由信息;
采集模块,用于采集网流报文;
分析模块,包括查找单元和处理单元,所述查找单元用于在所述学习模块学习到的BGP路由信息中查找到与当前流量相应的BGP路由,所述处理单元用于根据所述BGP路由中的BGP路由属性确定所述当前流量对应的网流报文特征,将所述网流报文特征与采集到的网流报文进行比对,若所述网流报文包含所述网流报文特征,则计算所述网流报文。
6.根据权利要求5所述的流量采集和分析的装置,其特征在于,所述学习模块包括:
配置单元,用于在所述装置和边界路由器上同时使能BGP路由协议;
学习单元,用于通过BGP路由协议交互来学习BGP路由信息。
7.根据权利要求5所述的流量采集和分析的装置,其特征在于,所述学习模块通过读取边界路由器的BGP路由文件或BGP管理信息库文件来学习BGP路由信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200710087459A CN100583830C (zh) | 2007-03-19 | 2007-03-19 | 流量采集和分析的方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200710087459A CN100583830C (zh) | 2007-03-19 | 2007-03-19 | 流量采集和分析的方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101043453A CN101043453A (zh) | 2007-09-26 |
| CN100583830C true CN100583830C (zh) | 2010-01-20 |
Family
ID=38808661
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200710087459A Active CN100583830C (zh) | 2007-03-19 | 2007-03-19 | 流量采集和分析的方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100583830C (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101159656B (zh) | 2007-11-12 | 2011-05-11 | 华为技术有限公司 | 一种报文采样的方法、系统及设备 |
| CN101197784B (zh) * | 2007-12-28 | 2010-12-08 | 华为技术有限公司 | 一种提供网流bgp属性的方法、装置及系统 |
| CN101605069B (zh) * | 2009-06-30 | 2011-06-08 | 杭州华三通信技术有限公司 | 一种采集流量信息的方法和装置 |
| CN105871602B (zh) * | 2016-03-29 | 2019-10-18 | 华为技术有限公司 | 一种统计流量的控制方法、装置和系统 |
| CN109088769B (zh) * | 2018-08-18 | 2021-05-07 | 国网山西省电力公司信息通信分公司 | 一种诊断mpls-vpn数据报文的装置 |
| CN111211979B (zh) * | 2018-11-22 | 2022-04-01 | 中国移动通信集团河北有限公司 | 流量管理方法、装置、设备及介质 |
| CN113746654B (zh) * | 2020-05-29 | 2024-01-12 | 中国移动通信集团河北有限公司 | 一种IPv6地址管理和流量分析的方法和装置 |
| CN113660146B (zh) * | 2021-10-20 | 2021-12-21 | 成都数默科技有限公司 | 一种网络边界流量采集方法、装置及存储介质 |
-
2007
- 2007-03-19 CN CN200710087459A patent/CN100583830C/zh active Active
Non-Patent Citations (2)
| Title |
|---|
| AS间BGP路由策略及其验证方法研究. 翟鹏.山东科技大学硕士学位论文. 2005 |
| AS间BGP路由策略及其验证方法研究. 翟鹏.山东科技大学硕士学位论文. 2005 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101043453A (zh) | 2007-09-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100583830C (zh) | 流量采集和分析的方法和装置 | |
| EP2556632B1 (en) | Real-time adaptive processing of network data packets for analysis | |
| CN103338150B (zh) | 信息通信网络体系结构建立方法、装置、服务器和路由器 | |
| JP4341413B2 (ja) | 統計収集装置を備えたパケット転送装置および統計収集方法 | |
| US8526325B2 (en) | Detecting and identifying connectivity in a network | |
| CN101729391B (zh) | 获取链路汇聚组信息的方法、节点和系统 | |
| EP3496346B1 (en) | Data message forwarding method and apparatus | |
| CN110351286B (zh) | 一种软件定义网络中链路洪泛攻击检测响应机制 | |
| US7420929B1 (en) | Adaptive network flow analysis | |
| CN113746654B (zh) | 一种IPv6地址管理和流量分析的方法和装置 | |
| CN102668467A (zh) | 计算机系统和监视计算机系统的方法 | |
| CA2848360A1 (en) | Network-wide flow monitoring in split architecture networks | |
| CN1875585A (zh) | 利用mac限制来控制动态未知l2泛滥 | |
| US20190312813A1 (en) | Analyzing network traffic by enriching inbound network flows with exit data | |
| CN107994942B (zh) | 一种光宽带接入网业务资源树拓扑发现方法 | |
| CN101931559A (zh) | 展现访问业务流量分布的方法 | |
| CN110365553A (zh) | 一种基于SDN的IPv6网络流量监控方法及系统 | |
| CN101521630B (zh) | 一种网络流量的分析方法和设备 | |
| EP1906590B1 (en) | System and method for network analysis | |
| US20110176419A1 (en) | Analysis and control of traffic based on identified packet control functions | |
| CN113037542B (zh) | 一种基于软件定义网络的云网络拓扑构建方法 | |
| JP6407092B2 (ja) | 負荷分散装置、負荷分散方法及びプログラム | |
| Bühler et al. | Enhancing global network monitoring with magnifier | |
| CN116346576A (zh) | 一种用于信息网管故障的智能溯源方法及装置 | |
| JP4846663B2 (ja) | Ipパケット追跡装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |