CN102576345A - 网络流的动态管理 - Google Patents
网络流的动态管理 Download PDFInfo
- Publication number
- CN102576345A CN102576345A CN2010800062629A CN201080006262A CN102576345A CN 102576345 A CN102576345 A CN 102576345A CN 2010800062629 A CN2010800062629 A CN 2010800062629A CN 201080006262 A CN201080006262 A CN 201080006262A CN 102576345 A CN102576345 A CN 102576345A
- Authority
- CN
- China
- Prior art keywords
- flow
- subscriber
- network
- policy
- stream
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0894—Policy-based network configuration management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/50—Network service management, e.g. ensuring proper service fulfilment according to agreements
- H04L41/5003—Managing SLA; Interaction between SLA and QoS
- H04L41/5019—Ensuring fulfilment of SLA
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/50—Network service management, e.g. ensuring proper service fulfilment according to agreements
- H04L41/5061—Network service management, e.g. ensuring proper service fulfilment according to agreements characterised by the interaction between service providers and their network customers, e.g. customer relationship management
- H04L41/5067—Customer-centric QoS measurements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0805—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability
- H04L43/0817—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability by checking functioning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0681—Configuration of triggering conditions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0893—Assignment of logical groups to network elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0895—Configuration of virtualised networks or elements, e.g. virtualised network function or OpenFlow elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/50—Network service management, e.g. ensuring proper service fulfilment according to agreements
- H04L41/5003—Managing SLA; Interaction between SLA and QoS
- H04L41/5009—Determining service level performance parameters or violations of service level contracts, e.g. violations of agreed response time or mean time between failures [MTBF]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/02—Capturing of monitoring data
- H04L43/026—Capturing of monitoring data using flow identification
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Environmental & Geological Engineering (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
多个流网络元件在订户级监测多个订户的网络流。流网络元件向组织流记录的收集器导出流记录。策略客户端将流记录相关,并且确定任何网络流是否违反流策略定义。如果违反流策略定义,则策略客户端向策略服务器传送指示对给定违反流要采用什么动作的策略动作。策略服务器为对应违反流的订户指配流策略。所指配流策略则传送给具有那个违反流的流网络元件,并且那个流网络元件安装流策略。
Description
技术领域
本发明的实施例涉及网络处理领域,更具体来说,涉及网络流的动态管理。
背景技术
网络流机制提供关于流经网络设备(例如路由器)的分组的统计。网络流是通常在某个时间间隔期间从一点传送到另一点(例如,一个IP地址到另一个IP地址、一个端口到另一个端口、标签交换等等)的一系列分组。网络流能够通过许多方式来定义。通常,属于特定流的所有分组具有一组共同性质。例如,共同性质可包括相同分组报头字段(例如源IP地址和/或目标IP地址)、传输报头字段(例如源UDP或TCP端口和/或目标UDP或TCP端口)、应用报头字段(例如实时协议(RTP)报头字段)、分组的一个或多个特性(例如MPLS标签的数量等)和/或从分组处理得出的一个或多个字段(例如下一跳IP地址、输出接口等)。
存在若干IP流测量和导出技术,以便在端口级或虚拟路由器级监测流,并且在各种网络级实体提供统计。通常,在这类网络流机制中,一个或多个路由器监测在端口和/或虚拟路由器上流动的分组,并且向远程装置发送流记录供收集和进一步处理。路由器可在许多情况下输出流记录。例如,路由器可在确定对应流已完成时输出流记录。确定流已完成可通过流时效来实现(例如,路由器保持时效计数器或每个流,并且当路由器观测现有流的新业务时,它重置时效计数器)。作为另一个示例,TCP流中的TCP会话终止可促使路由器导出对应流记录。作为又一个示例,路由器可配置成即使流仍然在进行中也以固定间隔来输出流记录。关于特定路由器或多个路由器的统计(例如网络视图)可从远程装置中存储的统计来得到。在订户级通常没有保存流记录。
附图说明
通过参照用来说明本发明的实施例的以下描述和附图,可以最透彻地了解本发明。附图中:
图1是示出按照本发明的一个实施例的示范网络流管理系统的数据流图;
图2是示出在按照本发明的一个实施例的网络流管理系统中使用的示范流网络元件的数据流图;
图3是示出在按照本发明的一个实施例的网络流管理系统中使用的示范收集器的数据流图;
图4是示出在按照本发明的一个实施例的网络流管理系统中使用的示范组合AAA和策略服务器的数据流图;
图5示出按照本发明的一个实施例的网络流管理系统的观测点的各个层;
图6A示出按照本发明的一个实施例的示范网络流结构;
图6B示出按照本发明的一个实施例的流记录的示范结构;
图7示出按照本发明的一个实施例的示范策略定义结构;以及
图8是示出按照本发明的一个实施例的网络流管理系统的概念图。
具体实施方式
在以下描述中提出许多具体细节。但是大家理解,即使没有这些具体细节也可实施本发明的实施例。在其它情况下,没有详细示出众所周知的电路、结构和技术,以免影响对本描述的理解。通过所包含的描述,本领域的技术人员将能够实现适当的功能性而无需过分实验。
说明书中提到“一个实施例”、“实施例”、“示例实施例”等等指示所述的实施例可包括特定特征、结构或特性,但可能不一定每一个实施例都包括该特定特征、结构或特性。此外,这类词语不一定指同一个实施例。此外,在结合一个实施例来描述特定特征、结构或特性时,无论是否明确描述,均认为结合其它实施例来实现这种特征、结构或特性是处于本领域的技术人员的知识范围之内的。
在以下描述和权利要求书中,可使用术语“耦合”和“连接”及其派生。应当理解,这些术语不是要作为彼此的同义词。“耦合”用于指示彼此可以处于或者彼此可以不处于直接物理或电接触的两个或更多元件相互协作或交互。“连接”用于指示相互耦合的两个或更多元件之间的通信的建立。
附图所示的技术能够使用在一个或多个电子装置(例如计算机端站、网络元件等)上存储和运行的代码及数据来实现。这类电子装置使用诸如机器可读存储介质(例如磁盘、光盘、随机存取存储器、只读存储器、闪速存储器装置、相变存储器)和机器可读通信介质(例如电、光、声或其它形式的传播信号-诸如载波、红外信号、数字信号等)之类的机器可读介质来存储和传递(在内部和/或通过网络与其它计算装置)代码和数据。另外,这类电子装置通常包括一组一个或多个处理器,该组一个或多个处理器耦合到诸如存储装置、一个或多个用户输入/输出装置(例如键盘、触摸屏和/或显示器)和网络连接之类的一个或多个其它组件。该组处理器与其它组件的耦合通常通过一个或多个总线和桥接器(又称作总线控制器)。存储装置以及携带网络业务的信号分别表示一个或多个机器可读存储介质和机器可读通信介质。因此,给定电子装置的存储装置通常存储供该电子装置的该组一个或多个处理器上运行的代码和/或数据。当然,本发明的一个实施例的一个或多个部分可使用软件、固件和/或硬件的不同组合来实现。
本文所使用的“网络元件”(例如路由器、交换机、桥接器等)是包括硬件和软件的一件连网设备,它与网络上的其它设备(例如其它网络元件、计算机端站等)在通信上互连。一些网络元件是“多服务网络元件”,它们提供对多个连网功能(例如路由选择、桥接、交换、第2层聚集和/或订户管理)的支持和/或提供对多个应用服务(例如数据、语音和视频)的支持。订户计算机端站(例如工作站、膝上型计算机、掌上型计算机、移动电话、智能电话、多媒体电话、便携媒体播放器、GPS单元、游戏系统、机顶盒等)访问通过因特网所提供的内容/服务和/或置于因特网上的虚拟专用网络(VPN)上提供的内容/服务。内容和/或服务通常由属于服务或内容提供商的一个或多个服务器计算机端站来提供,并且可包括公开网页(免费内容、店面、搜索服务等)、私人网页(例如提供电子邮件服务的用户名/密码访问网页等)、通过VPN的公司网络等等。通常,订户计算机端站(例如通过(有线或无线)耦合到接入网的客户驻地设备)耦合到边缘网络元件,边缘网络元件(例如通过到其它边缘网络元件的一个或多个核心网络元件)耦合到服务器计算机端站。
一些网络元件支持多个上下文的配置。本文所使用的“各上下文”包括虚拟网络元件的一个或多个实例(例如虚拟路由器、虚拟交换机或虚拟桥接器)。各上下文通常与网络元件上配置的其它上下文共享系统资源(例如存储器、处理周期等),但仍然是可独立管理的。例如,在多个虚拟路由器的情况下,虚拟路由器的每个可共享系统资源,但是在其管理域、AAA(认证、授权和记帐)名称空间、IP地址和路由选择数据库方面与其它虚拟路由器分开。多个上下文可在边缘网络元件中用于为内容和/或服务提供商的订户提供直接网络访问和/或不同的服务类。作为另一个示例,在多个虚拟交换机的情况下,各虚拟交换机可共享系统资源,但是各虚拟交换机保存其自身的转发表,转发表例如可用于将媒体接入控制(MAC)地址映射到虚拟电路。
在某些网络元件中,可配置多个“接口”。本文所使用的“各接口”是逻辑实体,通常配置为提供较高层协议和服务信息(例如第3层寻址)的上下文的一部分,并且与物理端口和物理电路无关。AAA(认证、授权和记帐)可通过诸如RADIUS(远程认证拨号用户服务)或DIAMETER服务器之类的内部或外部服务器来提供。服务器提供订户的订户记录,所述订户的订户记录除其它订户配置要求之外还标识在网络元件中应当将对应订户绑定到哪一个上下文(例如哪一个虚拟路由器)。本文所使用的“绑定”形成物理实体(例如端口、信道等)或逻辑实体(例如接口、虚拟电路、订户电路等)与通过其将网络协议(例如路由选择协议、桥接协议)配置用于给定上下文的较高层协议接口之间的关联。当某个较高层协议接口经过配置并且与物理实体关联时,订户数据在那个物理实体上流动。作为一个概括示例,订户计算机端站可通过多个服务边缘网络元件(支持多个上下文(例如多个虚拟路由器)、接口和AAA)耦合(例如通过接入网),多个服务边缘网络元件耦合到与服务/内容提供商的服务器计算机站耦合的核心网络元件。此外,执行AAA处理以识别订户的订户记录,该订户记录标识那个订户的业务应当与其绑定的网络元件中的一个或多个虚拟路由器,并且携带那个订户的业务的物理实体(例如电路)与那个虚拟路由器的接口绑定。
描述用于网络流管理系统的方法和设备。在本发明的一个实施例中,网络流管理系统包括收集器和与组合AAA和策略服务器耦合的流网络元件。流网络元件在订户级处包括的各个观测点级监测网络流。流网络元件向收集器导出订户流记录。收集器组织那些记录,并且策略客户端基于策略定义为订户指配策略动作。将策略动作传送给组合AAA和策略服务器,组合AAA和策略服务器向订户指配一个或多个策略,并且将那些策略传送给流网络元件。流网络元件向订户业务应用那些策略。
图1是示出按照本发明的一个实施例的示范网络流管理系统100的数据流图。网络流管理系统100包括各与收集器120耦合的流网络元件110、112和114以及与流网络元件110和收集器120耦合的组合AAA和策略服务器130。本文所使用的“流网络元件”是参与网络流管理系统并且观测流的网络元件。订户计算机端站105与流网络元件110耦合。虽然在本发明的一个实施例中,网络元件112和114还与组合AAA和策略服务器130耦合,但是在本发明的备选实施例中,网络元件112和114与不同的组合AAA和策略服务器耦合。应当理解,图1所示的流网络元件的数量、收集器的数量以及组合AAA和策略服务器的数量是示范性的,并且在本文所述的本发明的实施例中可使用任何不同数量的流网络元件、收集器和/或组合AAA和策略服务器。
流网络元件110包括认证、授权和记帐(AAA)客户端模块150、观测和计量模块140以及导出模块145。流网络元件110端接订户(订户是服务的最终用户)。例如,流网络元件110端接订户计算机端站105的业务。因此,订户网络业务在网络元件110处被接收并且由网络元件110传送。这些订户可以是固定订户(例如DHCP、L2VPN、CLIPS、PPP、PPPoE、VOIP、L2TP等)和/或移动订户(例如移动IP、WiFi、WiMAX、GSM、CDMA等等)。流网络元件110包括各订户的订户记录。例如,流网络元件110将包括与订户计算机端站105对应的订户记录。订户记录定义与该订户关联的一组属性,包括订户标识符(例如用户名、电子邮件地址等)、密码、认证、接入控制、速率限制和策略信息。AAA客户端模块150通常在来自订户的初始连接请求期间或者在来自那个订户的重新授权请求期间向组合AAA和策略服务器(例如组合AAA和策略服务器130)请求订户记录。AAA客户端模块150还结合组合AAA和策略服务器来执行记帐更新。
流网络元件110包括订户电路的概念。订户电路是一种逻辑构造,它唯一地标识流网络元件110中的订户会话,并且通常对于会话的生命期存在。通常,在初始认证期间将订户指配给特定订户电路。因此,在经过认证之后,将订户计算机端站105指配给采用订户电路标识符可识别的订户电路。
观测和计量模块140在观测点监测网络流。观测点可以是订户电路(例如监测与订户关联的流)、订户电路中的所识别流、逻辑电路(一组订户电路)、虚拟路由器、上下文、物理端口等等。按照观测简档通过观测点对观测和计量模块140编程。观测简档指示对特定订户采用的网络流监测参数。例如,观测简档可包括流定义图,流定义图指示要监测的网络流(例如,诸如数据、语音或视频之类的网络流类型、一组应用、诸如VoIP、视频点播、VPN、IPTV、P2P、FTP之类的特定应用类型或者子应用(例如在应用类型中来自特定IP地址或者发送到特定IP地址的业务))和/或要为那个订户进行编程的观测点。通常,对于单个订户,观测简档将指示在指配给那个订户的订户电路上对单个订户级观测点进行编程。
将被监测流信息传递给导出模块145,导出模块145与观测和计量模块140耦合。导出模块周期地向收集器120导出被监测流信息(例如作为流记录)。本文所使用的“流记录”包括关于在观测点观测的特定流的信息。流记录可包含流的所测量性质(例如在流中观测的字节和分组数量等)和/或流的特性性质(例如源IP地址、目标IP地址、流开始和完成的时间戳、第3层路由选择信息(例如下一跳IP地址、源和目标IP掩码)等等)。
收集器120包括收集模块155和策略客户端模块160。收集模块155收集来自流网络元件(例如流网络元件110、112和114)的流数据(例如流记录)、组织流数据并且可过滤该数据。所组织数据将在收集器上存储一定时间量,并且由策略客户端模块160用于确定是否将策略动作指配给某个流。
组合AAA和策略服务器130包括AAA服务器模块132、订户记录180、策略服务器模块135和流策略137。AAA服务器模块132接收并且响应来自流网络元件的AAA消息。例如,AAA服务器模块132可接收订户的认证请求(例如来自AAA客户端模块150),并且采用该订户的连接的属性(例如接入控制、速率限制、策略信息等)进行响应。策略服务器模块135基于所接收策略动作和流策略137向订户指配策略,这在本文中稍后更详细地描述。
将描述图1的操作,使得该订户与订户计算机端站105对应。在操作1,AAA服务器模块132向网络元件110传送该订户的观测简档。按照本发明的一个实施例,响应来自该订户的初始认证请求(例如响应来自订户计算机端站105的连接请求)而执行操作1。例如,在AAA客户端模块150接收来自订户的初始认证请求时,AAA客户端模块150向组合AAA和策略服务器130中的AAA服务器模块132传送认证请求。在本发明的一个实施例中,AAA客户端模块150包括那个订户的观测简档请求连同认证请求。在本发明的另一个实施例中,AAA服务器模块132将采用该订户的观测简档进行响应(如果一个观测简档与那个订户关联),而不管AAA客户端模块150是否明确请求观测简档。在本发明的另一个实施例中,在对该订户最初授权之后的某个时间执行操作1。
图4是示出按照本发明的一个实施例的网络流管理系统100的组合AAA和策略服务器130的示范实施例的数据流图。图4中的操作与图1中所述的操作对应。另外,参照图1所述的某些操作在图4中已经扩展。例如,图1中所述的操作1与图4中的操作1.1、1.2和1.3对应。如图4所示,组合AAA和策略服务器130包括AAA服务器模块132、策略服务器模块135、订户记录180、一个或多个观测简档430和流策略137(它包括一个或多个流准入控制简档450和一个或多个流模板440)。
参照图4,在操作1.1,AAA服务器模块132从AAA客户端模块150接收对于(例如与订户计算机端站105对应的)特定订户的观测简档的请求。请求通过唯一订户标识符(例如,电话号码、电子邮件地址、用户名/密码组合等)来标识订户。在操作1.2,AAA服务器模块132访问订户记录180,以便访问与请求中包含的订户标识符对应的订户记录。各订户记录可包括观测简档或者备选地与观测简档关联。观测简档430存储在组合AAA和策略服务器中。不同观测简档可指示流网络元件监测不同观测点和/或不同流。按照本发明的一个实施例,观测简档430由网络流管理系统100的操作员来定义,并且应用于订户记录180中的不同订户记录。按照本发明的一个实施例,基于订户的识别码(例如基于订户的类型、订户的服务级、向那个订户提供服务的服务提供商等)将观测简档动态地应用于特定订户记录。按照本发明的一个实施例,如果订户的属性发生变化(例如订户变更其服务级),则观测简档可被动态地更新并且提供给流网络元件110。
假定存在该订户的订户记录,并且该订户记录指示观测简档与该订户关联,则AAA服务器模块130在操作1.3将那个观测简档传送给流网络元件110的AAA客户端模块150。在本发明的一个实施例中,将该订户的订户记录连同观测简档(例如观测简档包含在订户记录中)一起传送给AAA客户端模块150,而在本发明的另一个实施例中,仅将观测简档传送给AAA客户端模块150。观测简档连同订户标识符一起传送。
参照图1,AAA客户端模块150接收观测简档,并且在操作2安装那个简档。图2是示出按照本发明的一个实施例的网络流管理系统100的流网络元件110的示范实施例的数据流图。流网络元件110包括与观测和计量模块140耦合的AAA客户端模块150,观测和计量模块140与导出模块145耦合。AAA模块还包括接收进程210、电路映射进程220、流管理组件安装模块230和订户记录240。观测和计量模块140包括一个或多个已编程观测点250和流识别模块255。导出模块145包括一个或多个流记录170。另外,流网络元件110包括向导出模块145提供应用特定要求的一个或多个专用进程260(例如VoIP进程、VoD进程、IPTV进程、P2P进程等)。
在操作2.1,接收进程210接收从组合AAA和策略服务器130传送的该订户的观测简档。如上所述,观测简档连同订户标识符一起传送。在操作2.2,电路映射进程220将那个订户标识符映射到电路标识符(电路标识符标识与那个订户关联的订户电路)。在识别那个订户的订户电路之后,将观测简档传递给流管理组件安装模块230供安装。流管理组件安装模块230确定在流网络元件110上是否支持那个观测简档。如果不支持观测简档,则流管理组件安装模块230采取备选动作(例如发出告警以显示错误消息,通知组合AAA和策略服务器关于该错误,丢弃分组而不作进一步处理等等)。如果支持观测简档,则在操作2.3,流管理组件安装模块230通过基于观测简档对订户的一个或多个观测点250进行编程来安装那个观测简档。
如前面所述,可在不同级对观测点250进行编程。图5示出能够在按照本发明的一个实施例的网络流管理系统100中使用的观测点的各个级。流网络元件110包括多个物理端口(例如线路卡上的端口),各端口能够仅具有与另一个网络元件的单个物理连接。各物理连接可以是观测点。另外,在各物理连接中,可存在一个或多个逻辑电路。这些逻辑电路的每个也能够是观测点(这称作在逻辑电路级进行观测)。这些逻辑电路的每个可包括一个或多个订户电路,其中的每个能够是观测点(这称作在订户级进行观测)。
物理层电路510(例如VLAN电路、QinQ电路、永久虚拟电路(PVC)、交换虚拟电路(SVC)、数据链路连接标识符(DLCI)电路等)包括逻辑电路520和530,并且逻辑电路530包括订户电路540A-540N。可分开监测每个订户电路(例如订户级流观测点260),可分开监测各逻辑电路(例如逻辑电路级观测点570),和/或可监测物理电路510(例如端口级流观测点580)。应当理解,单个订户级流观测点560适用于单个订户(即,订户级流观测点对于特定订户是唯一的)。与订户计算机端站105对应的订户的观测简档指示观测点应当放置于与订户计算机端站105关联的订户电路上。
又参照图1,在为那个订户安装观测简档之后的某个时间,在操作3,观测和计量模块140在已编程观测点上监测与那个订户关联的流。应当理解,流的网络业务可以是入口业务、出口业务或者双向业务(例如,该业务可从订户计算机端站105传送、打算送往订户计算机端站105或者它们两者)。
在图1的操作4,导出模块145向收集器120导出那些被监测流记录。在本发明的不同实施例中,流记录可采用不同协议来导出(例如使用IPFIX(IP流信息导出)协议,在RFC(请求注释)5101“Specification of IP Flow Information Export(IPFIX)Protocolfor the Exchange of IP Traffic Flow Information”(2008年1月)等中定义)。参照图2,所观测分组(至少所观测分组的报头)由流识别模块255来访问。流识别模块255基于那些分组的标识来组织所观测分组。流识别模块255可取决于对应于流的应用以不同方式来识别流。例如,对于某些应用,流识别模块255可通过仅检查分组的报头(例如源地址、目标地址、协议类型等)来确定流。对于其它应用,流识别模块255可通过检查分组的报头以及附加信息(例如装置接口、控制平面信息等)来确定流。
在本发明的一个实施例中,除了识别流之外,流识别模块255还按照应用类型将流分类。例如,流识别模块255可根据应用是否为数据应用、语音应用、视频应用等等将流分类。作为另一个示例,流识别模块255可基于特定应用类型(例如VoIP、VoD、VPN、IPTV、P2P、FTP等)将流分类。
流识别模块255基于在观测点250所观测的分组来创建流记录270。按照本发明的一个实施例,为与订户计算机端站105对应的订户安装的观测简档指示流识别模块255将对其创建流记录的分组类型(例如,观测简档将包括流定义图)。例如,流识别模块255可为一种类型的应用(例如数据应用、语音应用和/或视频应用)、特定应用(例如VoIP、VoD、VPN、IPTV)或者子应用(例如从某些源接收的业务、发送给某些目的地的业务等)创建流记录。如果在观测点上监测的分组不匹配流定义图其中之一,则不会创建流记录。流识别模块255还可对流记录270的每个添加流标识符。
按照本发明的一个实施例,流识别模块255仅创建特定订户的观测简档所指示(例如由观测简档中的流定义图所指示)的分组的流记录。例如,如果观测简档指示流识别模块255只应当监测特定订户的VoIP分组,则观测简档仅创建与那个订户关联的VoIP分组(入口或出口)的流记录。与那个订户关联的不是VoIP分组的所有其它分组没有对应流记录。
将流记录270传递给导出模块145,导出模块145存储流记录270,直到流记录270被传送给收集器120。在本发明的不同实施例中,流记录270能够通过不同方式导出到收集器120,包括以周期性间隔的导出和/或基于事件的导出(例如基于流时效、会话终止、固定间隔、导出分组满(已经达到其流记录界限的分组)等)。
另外,导出模块145可聚集流记录(例如基于应用类型等)。例如,如果在给定应用的分组之间经过数秒(例如观测和计量模块140在15秒内尚未接收到VoIP分组),则这可触发导出模块145导出流记录(该经过可指示流完成)。
应用特定进程260可提供用于导出流记录270的应用特定规则(例如何时导出记录、用于导出记录的触发等)。另外,应用特定进程260可将通常在数据路径上不可得到的信息添加到流记录270。例如,MobileIP进程可向流记录270添加诸如订户的移动次数、失败的重新注册尝试之类的控制统计。
应当理解,各观测点可具有不同的流记录。例如,如果在订户流级(例如订户级流观测点560)进行观测,则流记录仅与那个订户对应。在这种情况下,订户级流记录包括标识流记录所属的订户的信息(例如订户电路标识符、订户标识符(例如用户名/密码、电子邮件地址、电话号码等等)。作为另一个示例,如果在逻辑电路流级(例如逻辑电路级流观测点570)进行观测,则流仅与那个逻辑电路(通常为多个订户)对应。作为又一个示例,如果在端口级进行观测,则流将与那个端口(例如端口级流观测点580)上监测的业务对应。
因此,在操作4.1,流识别模块按照观测简档来识别被监测业务中的流,并且创建那些所识别流的流记录270。之后的某个时间,在操作4.2,导出模块145向收集器120导出那些所创建流记录270。
在本发明的一些实施例中,除了导出流记录之外,流网络元件110还向收集器传送流网络元件110特定的信息。例如,流网络元件110可传送当前支持的订户数量、当前带宽使用等。
又参照图1,在操作5,收集器120接收和组织所接收流记录。图3是示出按照本发明的一个实施例的收集器120的示范实施例的数据流图。如图3所示,收集器120包括收集模块155、策略客户端模块160和一个或多个流结构390。收集模块155包括流记录接收进程356和流聚集进程358。策略客户端模块160包括策略引擎322和策略动作传输模块356。本文中稍后更详细描述它们的每个。
参照图3,在操作5.1,收集模块155的流记录接收进程356接收从导出模块145传送的流记录。在接收到流记录之后的某个时间,在操作5.2,流聚集进程358聚集那些流记录。将基于从其中接收到流记录的流网络元件以及流记录中包含的流记录标识符来聚集流记录。例如,流收集器120可周期地接收给定流的流记录,并且更新该流结构390以反映所接收流记录。因此,收集器120把来自参与流网络元件(例如流网络元件110)的流记录的历史存储在流结构390中。
在操作5.3,收集模块155采用所聚集记录来更新一个或多个流结构390。图6A示出按照本发明的一个实施例的示范网络流结构。流结构390包括网络元件结构610。流网络元件结构610包括基于收集器从其中接收流记录的流网络元件的数量的N个条目。流网络元件条目的每个指向分开的订户结构620。各订户结构620包括基于具有从那个流网络元件生成的流记录的唯一订户的数量的N个条目。订户结构620中的各条目指向流记录结构630。每个流记录结构630包括基于特定订户具有的流数量的N个条目。
图6B示出按照本发明的一个实施例的示范流记录680。流记录680包括流标识符字段635、字节数量字段640、分组数量字段650、第一分组时间戳字段660和最后分组时间戳字段670。应当理解,每次更新流记录时都将更新最后分组时间戳字段670。
又参照图1,策略客户端模块160基于流和/或订户其中之一来确定指配策略动作。策略客户端模块160还将策略动作传送给组合AAA和策略服务器130。参照图3,在操作6.1,(在策略客户端模块160中的)策略引擎322访问流结构390中存储的流记录,并且基于(存储在策略定义结构324中的)策略定义来确定是否指配策略动作。按照本发明的一个实施例,策略客户端模块160周期地访问流结构390中的流记录,并且针对策略定义结构324中存储的策略定义将那些流记录相关。
策略动作可用于指示要对订户的网络参数采用某个动作。网络参数可包括连接属性(例如带宽值、接入控制列表、策略值等)和/或能够直接影响流记帐和/或流监测的控制平面参数(例如会话超时、空闲超时、隧道抑制时间(tunnel hold-down time)等)。受影响网络参数可以是包含在订户的订户记录中的和/或对于流网络元件是本地的而没有包含在订户记录中的属性。作为举例,策略动作可修改与订户关联的连接速率(例如增加或降低下载或上载速率),阻止来自给定应用类型的分组(例如SMTP分组、TCP分组、FTP分组),抑制来自给定应用类型的分组(例如SMTP分组、TCP分组、P2P分组)等等。
例如,图7示出按照本发明的一个实施例的示范策略定义结构324。策略定义结构324包括名称字段710、规则字段720和策略动作字段730。如图7所示,策略定义结构724包括拒绝服务(DoS)攻击的策略定义。例如,如果订户正在每秒传送大量TCP SYN消息而没有建立连接,则规则可将订户识别为DoS攻击者(当然,应当理解,可通过其它方式来识别DoS攻击)。一旦对于给定流违反那个规则,则策略动作字段730指示流网络元件应当丢弃来自那个订户(来自那个订户的源IP地址)的所有分组。作为另一个示例,如果每秒大量TCP SYN消息正在由订户接收,则规则可将该订户识别为DoS受害者。如果违反那个规则,则策略动作字段730指示该流网络元件应当滤出打算送往该订户的所有TCP SYN分组。作为又一个示例,如果订户正在每秒传送大量SMTP消息,则规则可将该订户识别为垃圾邮件发送者(发送大量多余电子邮件的人)。如果违反这个规则,则策略动作字段730指示该流网络元件应当抵制(bring down)该订户。应当理解,网络流可同时违反多个策略定义。
应当理解,图7所示的策略定义是示范性的,并且其它备选策略定义可与本文所述的本发明的实施例配合使用(例如P2P(端到端)应用策略定义、使用较大量带宽并且能够根据网络流来识别的其它应用等等)。在本发明的一些实施例中,策略定义可定义成包括诸如“基于流量的计费”和/或“基于时间的计费”之类的计费策略定义。基于流量的计费可用于需要较高级QoS和较少量等待时间的那些应用(例如VoIP、IPTV、互动游戏等等)。可按照与诸如web浏览之类的不太关键应用不同的费率来对这些应用计费。基于时间的计费可用于根据使用进行的时间以不同方式来对订户收费。例如,高峰时间使用的计费可高于在非高峰时间使用的计费。应当理解,满足计费策略定义的订户的网络业务不受超出为了那个网络业务对订户计费范围之外的影响。
在本发明的一个实施例中,网络流管理系统的操作员(例如参与流网络元件的操作员)配置策略定义结构中存储的策略定义。例如,参与网络流管理系统100、向收集器导出流记录的每个流网络元件可具有不同的策略定义结构。也就是说,一个网络元件的网络流策略不一定与另一个网络元件的网络流策略相同。
在策略引擎622确定来自订户(例如订户计算机端站105)的流记录已经满足规则并且触发策略动作的应用之后的某个时间,在操作6.2,策略引擎指配由策略定义结构324所指示的策略动作。应当理解,单个流记录可触发多个策略动作的应用。以后的某个时间,在操作6.3,策略动作传输模块356向组合AAA和策略服务器130传送策略动作。
又参照图1,组合AAA和策略服务器130的策略服务器模块132接收由策略客户端模块160传送的策略动作,并且基于那些策略动作和流策略137向订户记录指配策略。参照图4,在操作7.1,策略服务器模块135接收从策略客户端模块160传送的策略动作。在操作7.2,策略服务器模块135基于策略动作和流策略137来指配一个或多个策略。流策略137包括一个或多个流准入控制简档450以及一个或多个流模板440。流准入控制简档包括在订户级采用的策略。也就是说,流准入控制简档通常将影响与订户关联的所有流的网络资源。相比之下,流模板是在流级的策略。例如,流模板将影响与订户关联的单个流。应当理解,一个或多个流模板可应用于单个订户。另外,流准入控制简档可单独地或者与一个或多个流模板结合地应用于订户。
图8是示出对于按照本发明的一个实施例的网络流管理系统中的订户电路应用策略的概念图。如图8所示,流网络元件110包括订户电路840。将订户电路840指配给一个订户(例如计算机端站105)。应用特定流810A-810N在订户电路840上流动。应用特定流810A-810N的每个包括多个流。例如,应用特定流810A-810N分别包括流420A_A-420N_A至420A_N-420N_N。虽然未示出,但是在订户电路840上已经对观测点进行编程。
网络元件110向收集器120传送与订户电路840对应的流记录。如上所述,收集器组织流记录,确定所识别流是否违反策略定义,并且向组合AAA和策略服务器130传送策略动作。组合AAA和策略服务器130向订户应用流准入控制简档和/或流模板。如图8所示,组合AAA和策略服务器130为订户电路840指配流准入控制简档以及为流840B_N指配流模板。
按照本发明的一个实施例,向特定订户所指配的策略存储在那个订户的订户记录中。因此,参照图4,在为订户指配策略之后的某个时间,在操作7.3,采用所指配策略来更新与订户对应的订户记录。在操作7.3,策略服务器模块135通知AAA服务器模块132关于已更新订户记录。之后的某个时间,在操作8,AAA服务器模块132将策略传送给端接订户的流网络元件(例如流网络元件110)。虽然在本发明的一个实施例中,将订户的完整订户记录传送给流网络元件,但是在本发明的备选实施例中,仅将策略传送给流网络元件。按照本发明的一个实施例,经由AAA消息中包含的厂商特定属性(VSA)来传送策略。
又参照图1,流网络元件110接收从组合AAA和策略服务器130传送的策略,并且在操作9安装那些策略。参照图2更详细地描述安装进程。参照图2,在操作9.1,AAA客户端模块150接收从组合AAA和策略服务器130传送的策略。与参照操作2.2所述相似,在操作9.2,电路映射进程220将(随策略的传输一起包含的)订户标识符映射到与那个订户标识符关联的电路标识符。在识别该订户的订户电路之后,将策略传递给流管理组件安装模块230供安装。在确定所述一个或多个策略由流网络元件110支持之后,流管理组件安装模块230安装所述一个或多个策略(操作9.4)。另外,流管理组件安装模块230更新订户的订户记录以反映所述一个或多个策略。
某些网络流策略可引起在流网络元件110中发出告警。例如,如果要从系统删除特定订户(例如,如果那个订户已经发送大量多余电子邮件),则可发出告警。可记录网络流网络元件上应用的网络流策略。
又参照图1,在操作10,观测和计量模块140按照策略来采用动作。例如,如果策略限制能够由订户计算机端站105发送的分组的类型,则观测和计量模块140可丢弃它在订户的对应订户电路上观测的受到限制的那些分组。
作为一个示例,网络流管理系统100可用于自适应地管理VoIP订户的带宽。由于VoIP流需要保证的带宽(这样不丢掉呼叫并且存在可接受的等待时间量),所以典型网络元件预先保留带宽,并且根据需要来使用该带宽。应当理解,这可引起带宽的不充分使用,因为如果没有使用带宽的全部量,则那个带宽无法用于其它目的。但是,在本文所述的本发明的实施例中,可自适应地管理带宽。
例如,流网络元件110观测VoIP流,并且向收集器120(具体是收集模块155)导出VoIP流记录。VoIP流记录可包括源IP地址和目标IP地址、源端口和目标端口、所使用的协议、QoS要求等等。收集模块155识别VoIP流,并且按照订户来组织那些VoIP流。除了VoIP流之外,收集模块155还接收并且组织其它应用的流记录。收集模块155存储流记录,并且能够(例如基于在给定时间所传送/接收的分组和/或字节的数量)确定哪些流(哪些非VoIP流)(因而哪些订户)在一段时间相对地使用最大带宽。例如,P2P(端对端)流通常使用较大百分比的可用带宽。收集模块155还可跟踪流网络元件110上的带宽使用(流网络元件110可周期地向收集器120传送当前带宽)。收集模块155能够基于当前带宽使用检测到流网络元件110无法容纳新VoIP流但能够选择使用大百分比的带宽的非VoIP流的一个或多个,并且通知策略客户端模块160将策略动作指配给那些非VoIP流,以便降低那些所选非VoIP流的带宽。策略客户端模块160将策略动作传送给组合AAA和策略服务器130,组合AAA和策略服务器130为那些流指配策略(例如使用流模板440或者流准入控制简档450),并且将策略传送给流网络元件110。使用这个进程,流网络元件110可自适应地管理带宽,以便在流网络元件110上更好地利用带宽。当然,应当理解,这只是一个示例,并且许多其它应用是本文所述的本发明的实施例所考虑的。
可通过许多方式来删除已安装网络流策略。例如,操作员可删除任何已安装网络流策略。作为另一个示例,在本发明的一个实施例中,某些策略(例如流模板440的某些流模板和/或流准入控制简档450的某些流准入控制简档)包括终止参数。例如,流策略终止参数可基于时间(例如在给定时间之后删除策略的应用)、基于事件(例如,如果已经停止引起违反策略规则的原因)、基于计数器(例如,在处理N个分组、流或违反流之后删除策略的应用)等等。
虽然本发明的实施例已经描述作为分开的实体的流网络元件(例如流网络元件110、112和114)、收集器120以及组合AAA和策略服务器130,但是在本发明的备选实施例中,这些组件的一个或多个位于同一个实体中(例如,流网络元件可与收集器和/或组合AAA和策略服务器相结合,收集器可与组合AAA和策略服务器相结合,等等)。
虽然本发明的实施例已经描述作为组合AAA服务器和策略服务器的组合AAA和策略服务器130,但是在本发明的备选实施例中,AAA服务器与策略服务器分开。
在本发明的一些实施例中,策略客户端模块是与收集器分开的实体(例如,策略客户端模块160位于与收集器120分开的实体中)。在这些实施例中,收集器周期地向策略客户端模块160传送聚集流记录。
在本发明的一个实施例中,流网络元件110包括一个或多个控制卡和多个线路卡。在线路卡的(例如分组处理ASIC(PPA)、分组处理核等)分组处理单元上对观测点进行编程。通常,订户电路与单个线路卡关联。如上所述,在本发明的一些实施例中,订户是移动订户(例如使用移动IP、WiFi、WiMAX、GSM、CDMA等的订户)。由于订户是移动的,并且可在物理上移动位置,所以其订户连接可在流网络元件上移动。例如,移动订户通常耦合到与流网络元件的某个线路卡耦合的基站。移动订户的移动可促使订户耦合到可与流网络元件的不同线路卡耦合的不同基站。在本发明的实施例中,流网络元件在必要时(例如,如果订户在会话生命期期间从流网络元件上一个物理点(例如线路卡、端口等)移动到另一个物理点)动态地改变移动订户的观测点。
除了观测订户网络流之外,在本发明的一些实施例中,在流网络元件上对观测点进行编程,以便监测与其它网络元件关联的流。对于本文所述的本发明的实施例,类似于观测与订户关联的流,可将策略应用于与其它网络元件关联的流。
因此,与典型网络流监测技术不同,本发明的实施例包括在订户级和逻辑电路级监测网络流,并且可基于被监测流在订户级采用动作(流策略动作)。因此,可为个别订户生成网络流记录,并且可基于其个别流记录为那些订户采用动作。这允许对网络流的更细粒化的监测和管理。
虽然图中的流程图示出本发明的某些实施例执行的操作的特定顺序,但是应当理解,这种顺序是示范性的(例如备选实施例可按照不同顺序来执行操作、组合某些操作、重叠某些操作等等)。
虽然按照若干实施例描述了本发明,但本领域的技术人员会知道,本发明并不局限于所述实施例,而是可在所附权利要求书的精神和范围之内,经过修改和变更来实施。因此,本描述被看作是说明性而不是限制性的。
Claims (24)
1.一种由网络流管理系统中的流网络元件执行的方法,所述方法包括:
在订户级监测多个订户的网络流;
导出与所述多个订户关联的流记录,其中每个流记录包括关于所述流记录属于所述多个订户中的哪一个订户的标识;
接收通过针对多个策略规则定义应用所述所导出流记录来指配的一个或多个流策略,其中每个所接收流策略识别由于违反一个或多个策略规则而对于与所述多个订户其中之一关联的网络参数采用的动作;以及
应用所述一个或多个流策略,其中每个所应用流策略修改与所述多个订户其中之一关联的所述网络参数的至少一部分。
2.如权利要求1所述的方法,其中,所述网络参数包括诸如带宽值、接入控制列表和策略值的连接属性以及诸如阻止或抑制给定应用类型的分组之类的控制属性。
3.如权利要求1所述的方法,其中,接收和应用至少两个流策略,并且其中所述所应用流策略中的至少一个所应用流策略影响第一订户的所有网络业务,而其中所述所应用流策略中的至少另一个流策略仅影响第二订户的单个网络流。
4.如权利要求1所述的方法,其中,所述多个订户中的至少一个订户是移动订户,以及所述多个订户中的至少一个订户是固定订户。
5.如权利要求1所述的方法,还包括:
对于所述多个订户中的每个订户,从AAA服务器接收与所述订户关联的观测简档,所述观测简档指示所述订户的网络流监测参数;
按照所述所接收观测简档对多个订户级流观测点进行编程。
6.如权利要求5所述的方法,其中,作为来自所述订户的认证或重新认证请求的一部分接收所述观测简档,并且其中所述观测简档关联到与所述订户关联的订户记录。
7.如权利要求5所述的方法,其中,各观测简档的所述网络流监测参数指示要监测与所述订户关联的多个网络流中的哪一些网络流。
8.一种网络流管理系统,包括:
多个流网络元件,所述流网络元件中的每个流网络元件包括:
认证、授权和记帐(AAA)客户端模块,用于从AAA服务器接收与订户关联的观测简档,并且基于所述观测简档对于与所述订户关联的观测点进行编程,
与所述AAA模块耦合的观测和计量模块,所述观测和计量模块用于基于所述已编程观测点来观测网络流,以及
与所述观测和计量模块耦合的导出模块,所述导出模块用于向收集器传送与所述所观测网络流对应的网络流记录;
所述收集器与所述多个流网络元件耦合,所述收集器包括收集模块和策略客户端模块,
所述收集模块用于接收所述所传送流记录,并且组织所述所接收网络流记录,以及
所述策略客户端模块与所述收集模块耦合,所述策略客户端模块用于基于所述所组织网络流记录和多个策略定义来创建策略动作,以及用于向策略服务器传送那些策略动作,其中各策略动作包括关于所述策略动作用于所述多个流网络元件中的哪一个流网络元件以及哪一个订户的指示;
组合AAA和策略服务器,所述组合AAA和策略服务器与所述收集器和所述多个流网络元件耦合,所述组合AAA和策略服务器包括AAA服务器和策略服务器,所述策略服务器包括多个网络流策略,所述组合AAA和策略服务器用于执行下列步骤:基于所述所接收策略动作向所述多个流网络元件指配网络流策略,以及
将所述所指配网络流策略传送给所述策略动作所指示的流网络元件;以及
其中接收网络流策略的每个流网络元件要安装那个网络流策略,其中所述已安装网络流策略修改订户的网络参数。
9.如权利要求8所述的网络流管理系统,其中,各观测简档包括特定订户的一组一个或多个网络流监测参数,并且每个已编程观测点是订户级流观测点。
10.如权利要求8所述的网络流管理系统,其中,经修改的所述网络参数包括其中包含带宽值、接入控制列表和策略值的连接属性以及其中包含阻止或抑制给定应用类型的分组的控制属性中的一个或多个。
11.如权利要求8所述的网络流管理系统,其中,所述组合AAA和策略服务器指配影响所述订户的所有网络业务的流策略。
12.如权利要求8所述的网络流管理系统,其中,所述组合AAA和策略服务器指配仅影响所述订户的某些流的流策略。
13.如权利要求8所述的网络流管理系统,其中,所述多个订户中的至少一个订户是移动订户,以及所述多个订户中的至少一个订户是固定订户。
14.如权利要求8所述的网络流管理系统,还包括用于更新已经确定为违反策略规则的那些订户的订户记录以便反映所述策略动作的AAA服务器。
15.如权利要求8所述的网络流管理系统,还包括用于在来自所述多个流网络元件的请求时传递所述观测简档的AAA服务器。
16.一种用于网络流管理系统的方法,所述网络流管理系统包括一个或多个流网络元件、与所述一个或多个网络元件耦合的收集器、与所述收集器耦合的策略客户端、与所述策略客户端耦合的策略服务器以及与所述策略服务器和所述一个或多个流网络元件耦合的认证、授权和记帐(AAA)服务器,所述方法包括:
所述一个或多个流网络元件中的每个流网络元件端接多个订户,每个流网络元件执行下列步骤:
从所述AAA服务器接收各与那个流网络元件上端接的订户关联并且各指示订户的网络流监测参数的多个观测简档,
按照所述所接收观测简档对多个观测点进行编程,
在所述已编程观测点监测网络流,以及
向所述收集器导出与所述被监测网络流对应的流记录;
所述收集器根据流网络元件和订户来组织那些网络流记录;
所述策略客户端针对多个策略定义将所述所组织流记录相关,以便确定所述订户的所述网络流是否违反任何策略规则以及对每个违反要采取的一个或多个动作,其中响应确定订户的网络流已经违反策略规则而向策略服务器传送那个订户的一个或多个策略动作,每个所传送策略动作包括关于所述策略动作用于所述一个或多个流网络元件中的哪一个流网络元件以及哪一个订户的指示;
所述策略服务器用于基于从所述策略客户端接收的策略动作为所述订户指配网络流策略,其中各网络流策略将修改订户的网络参数;
所述AAA服务器用于向所述一个或多个流网络元件传送所述所指配网络流策略;以及
所述一个或多个流网络元件安装所述网络流策略。
17.如权利要求16所述的方法,其中,每个已编程观测点是对于单个订户唯一的订户级流观测点,以及其中所述网络流监测参数。
18.如权利要求16所述的方法,其中,所述网络流监测参数包括一个或多个网络流类型、一个或多个应用类型和一个或多个子应用类型。
19.如权利要求16所述的方法,其中,所述经修改的网络参数包括其中包含带宽值、接入控制列表和策略值的连接属性以及其中包含阻止或抑制给定应用类型的分组的控制属性中的一个或多个。
20.如权利要求16所述的方法,其中,所述网络流策略包括流准入控制简档和流模板,其中每个流准入控制简档影响单个订户的所有网络业务,以及其中每个流模板仅影响单个订户的单个流。
21.如权利要求16所述的方法,其中,每个流网络元件端接移动订户和固定订户。
22.如权利要求16所述的方法,其中,所述收集器和所述策略客户端在第一网络元件上实现,而所述AAA服务器和所述策略服务器在第二网络元件上实现。
23.如权利要求16所述的方法,其中,所述收集器、策略客户端、AAA服务器和所述策略服务器在同一网络元件上实现。
24.如权利要求16所述的方法,其中,所述收集器在第一网络元件上实现,所述策略客户端在第二网络元件上实现,所述AAA服务器在第三网络元件上实现,以及所述策略服务器在第四网络元件上实现。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US12/360,080 US8274895B2 (en) | 2009-01-26 | 2009-01-26 | Dynamic management of network flows |
US12/360080 | 2009-01-26 | ||
PCT/US2010/022146 WO2010085821A2 (en) | 2009-01-26 | 2010-01-26 | Dynamic management of network flows |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102576345A true CN102576345A (zh) | 2012-07-11 |
CN102576345B CN102576345B (zh) | 2016-04-13 |
Family
ID=42354073
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201080006262.9A Active CN102576345B (zh) | 2009-01-26 | 2010-01-26 | 网络流的动态管理 |
Country Status (4)
Country | Link |
---|---|
US (2) | US8274895B2 (zh) |
EP (1) | EP2433401B1 (zh) |
CN (1) | CN102576345B (zh) |
WO (1) | WO2010085821A2 (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103546451A (zh) * | 2012-07-16 | 2014-01-29 | 国际商业机器公司 | 基于流的覆盖网络 |
CN107431663A (zh) * | 2015-03-25 | 2017-12-01 | 思科技术公司 | 网络流量分类 |
CN111526035A (zh) * | 2014-03-10 | 2020-08-11 | 埃创网络解决方案公司 | 分布式智能电网处理 |
Families Citing this family (89)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7343413B2 (en) | 2000-03-21 | 2008-03-11 | F5 Networks, Inc. | Method and system for optimizing a network by independently scaling control segments and data flow |
US7856661B1 (en) | 2005-07-14 | 2010-12-21 | Mcafee, Inc. | Classification of software on networked systems |
US7757269B1 (en) | 2006-02-02 | 2010-07-13 | Mcafee, Inc. | Enforcing alignment of approved changes and deployed changes in the software change life-cycle |
US7895573B1 (en) | 2006-03-27 | 2011-02-22 | Mcafee, Inc. | Execution environment file inventory |
US9003292B2 (en) * | 2006-07-06 | 2015-04-07 | LiveAction, Inc. | System and method for network topology and flow visualization |
US9424154B2 (en) | 2007-01-10 | 2016-08-23 | Mcafee, Inc. | Method of and system for computer system state checks |
US8332929B1 (en) | 2007-01-10 | 2012-12-11 | Mcafee, Inc. | Method and apparatus for process enforced configuration management |
US8274895B2 (en) * | 2009-01-26 | 2012-09-25 | Telefonaktiebolaget L M Ericsson (Publ) | Dynamic management of network flows |
FR2941831B1 (fr) * | 2009-02-05 | 2011-03-04 | Ipanema Technologies | Procede de gestion des echanges de flux de donnees dans un reseau de telecommunication autonomique |
US8396960B2 (en) * | 2009-05-08 | 2013-03-12 | Canon Kabushiki Kaisha | Efficient network utilization using multiple physical interfaces |
US8243602B2 (en) | 2009-05-30 | 2012-08-14 | Telefonaktiebolaget L M Ericsson (Publ) | Dynamically configuring attributes of a parent circuit on a network element |
US7929514B2 (en) * | 2009-06-30 | 2011-04-19 | Alcatel-Lucent Usa Inc. | Method and apparatus for mobile flow record generation and analysis |
US8381284B2 (en) | 2009-08-21 | 2013-02-19 | Mcafee, Inc. | System and method for enforcing security policies in a virtual environment |
US10721269B1 (en) | 2009-11-06 | 2020-07-21 | F5 Networks, Inc. | Methods and system for returning requests with javascript for clients before passing a request to a server |
US10015286B1 (en) | 2010-06-23 | 2018-07-03 | F5 Networks, Inc. | System and method for proxying HTTP single sign on across network domains |
US8347100B1 (en) | 2010-07-14 | 2013-01-01 | F5 Networks, Inc. | Methods for DNSSEC proxying and deployment amelioration and systems thereof |
US8925101B2 (en) | 2010-07-28 | 2014-12-30 | Mcafee, Inc. | System and method for local protection against malicious software |
US8938800B2 (en) | 2010-07-28 | 2015-01-20 | Mcafee, Inc. | System and method for network level protection against malicious software |
US9554276B2 (en) | 2010-10-29 | 2017-01-24 | F5 Networks, Inc. | System and method for on the fly protocol conversion in obtaining policy enforcement information |
US10135831B2 (en) | 2011-01-28 | 2018-11-20 | F5 Networks, Inc. | System and method for combining an access control system with a traffic management system |
US9112830B2 (en) | 2011-02-23 | 2015-08-18 | Mcafee, Inc. | System and method for interlocking a host and a gateway |
US9594881B2 (en) | 2011-09-09 | 2017-03-14 | Mcafee, Inc. | System and method for passive threat detection using virtual memory inspection |
US9204481B2 (en) * | 2011-10-07 | 2015-12-01 | Futurewei Technologies, Inc. | System and method for transmitting uplink data associated with downlink multiple point transmission |
US8800024B2 (en) | 2011-10-17 | 2014-08-05 | Mcafee, Inc. | System and method for host-initiated firewall discovery in a network environment |
US8713668B2 (en) * | 2011-10-17 | 2014-04-29 | Mcafee, Inc. | System and method for redirected firewall discovery in a network environment |
US9270766B2 (en) | 2011-12-30 | 2016-02-23 | F5 Networks, Inc. | Methods for identifying network traffic characteristics to correlate and manage one or more subsequent flows and devices thereof |
US10230566B1 (en) | 2012-02-17 | 2019-03-12 | F5 Networks, Inc. | Methods for dynamically constructing a service principal name and devices thereof |
US9231879B1 (en) | 2012-02-20 | 2016-01-05 | F5 Networks, Inc. | Methods for policy-based network traffic queue management and devices thereof |
US8739272B1 (en) | 2012-04-02 | 2014-05-27 | Mcafee, Inc. | System and method for interlocking a host and a gateway |
US9065767B2 (en) * | 2012-04-03 | 2015-06-23 | Cisco Technology, Inc. | System and method for reducing netflow traffic in a network environment |
US9313048B2 (en) | 2012-04-04 | 2016-04-12 | Cisco Technology, Inc. | Location aware virtual service provisioning in a hybrid cloud environment |
EP2853074B1 (en) | 2012-04-27 | 2021-03-24 | F5 Networks, Inc | Methods for optimizing service of content requests and devices thereof |
US9407450B2 (en) * | 2012-05-01 | 2016-08-02 | Cisco Technnology, Inc. | Method and apparatus for providing tenant information for network flows |
US10033587B2 (en) | 2012-11-09 | 2018-07-24 | At&T Intellectual Property I, L.P. | Controlling network traffic using acceleration policies |
US9794130B2 (en) * | 2012-12-13 | 2017-10-17 | Coriant Operations, Inc. | System, apparatus, procedure, and computer program product for planning and simulating an internet protocol network |
US8973146B2 (en) | 2012-12-27 | 2015-03-03 | Mcafee, Inc. | Herd based scan avoidance system in a network environment |
US10033644B2 (en) | 2013-02-12 | 2018-07-24 | Adara Networks, Inc. | Controlling congestion controlled flows |
US10375155B1 (en) | 2013-02-19 | 2019-08-06 | F5 Networks, Inc. | System and method for achieving hardware acceleration for asymmetric flow connections |
US9282019B2 (en) | 2013-07-12 | 2016-03-08 | Nicira, Inc. | Tracing logical network packets through physical network |
US9344349B2 (en) | 2013-07-12 | 2016-05-17 | Nicira, Inc. | Tracing network packets by a cluster of network controllers |
EP3061030A4 (en) | 2013-10-24 | 2017-04-19 | McAfee, Inc. | Agent assisted malicious application blocking in a network environment |
US10187317B1 (en) | 2013-11-15 | 2019-01-22 | F5 Networks, Inc. | Methods for traffic rate control and devices thereof |
US9350677B2 (en) * | 2014-01-16 | 2016-05-24 | International Business Machines Corporation | Controller based network resource management |
US9906452B1 (en) * | 2014-05-29 | 2018-02-27 | F5 Networks, Inc. | Assisting application classification using predicted subscriber behavior |
US10015143B1 (en) | 2014-06-05 | 2018-07-03 | F5 Networks, Inc. | Methods for securing one or more license entitlement grants and devices thereof |
US11838851B1 (en) | 2014-07-15 | 2023-12-05 | F5, Inc. | Methods for managing L7 traffic classification and devices thereof |
CN104093135B (zh) * | 2014-07-18 | 2018-03-16 | 新华三技术有限公司 | 一种radius认证计费速率调整方法及装置 |
US9531672B1 (en) * | 2014-07-30 | 2016-12-27 | Palo Alto Networks, Inc. | Network device implementing two-stage flow information aggregation |
US10122630B1 (en) | 2014-08-15 | 2018-11-06 | F5 Networks, Inc. | Methods for network traffic presteering and devices thereof |
US20160065476A1 (en) * | 2014-09-03 | 2016-03-03 | Cisco Technology, Inc. | Access network capacity monitoring and planning based on flow characteristics in a network environment |
US10153940B2 (en) | 2014-09-16 | 2018-12-11 | CloudGenix, Inc. | Methods and systems for detection of asymmetric network data traffic and associated network devices |
US10469342B2 (en) * | 2014-10-10 | 2019-11-05 | Nicira, Inc. | Logical network traffic analysis |
US10182013B1 (en) | 2014-12-01 | 2019-01-15 | F5 Networks, Inc. | Methods for managing progressive image delivery and devices thereof |
US11895138B1 (en) | 2015-02-02 | 2024-02-06 | F5, Inc. | Methods for improving web scanner accuracy and devices thereof |
US9800507B2 (en) * | 2015-02-10 | 2017-10-24 | Verizon Patent And Licensing Inc. | Application-based path computation |
US10834065B1 (en) | 2015-03-31 | 2020-11-10 | F5 Networks, Inc. | Methods for SSL protected NTLM re-authentication and devices thereof |
US11350254B1 (en) | 2015-05-05 | 2022-05-31 | F5, Inc. | Methods for enforcing compliance policies and devices thereof |
US10505818B1 (en) | 2015-05-05 | 2019-12-10 | F5 Networks. Inc. | Methods for analyzing and load balancing based on server health and devices thereof |
US10063451B2 (en) * | 2015-09-28 | 2018-08-28 | Juniper Networks, Inc. | Providing application metadata using export protocols in computer networks |
US11757946B1 (en) | 2015-12-22 | 2023-09-12 | F5, Inc. | Methods for analyzing network traffic and enforcing network policies and devices thereof |
US10404698B1 (en) | 2016-01-15 | 2019-09-03 | F5 Networks, Inc. | Methods for adaptive organization of web application access points in webtops and devices thereof |
US11178150B1 (en) | 2016-01-20 | 2021-11-16 | F5 Networks, Inc. | Methods for enforcing access control list based on managed application and devices thereof |
US10797888B1 (en) | 2016-01-20 | 2020-10-06 | F5 Networks, Inc. | Methods for secured SCEP enrollment for client devices and devices thereof |
US9578050B1 (en) * | 2016-01-29 | 2017-02-21 | International Business Machines Corporation | Service delivery controller for learning network security services |
US9979637B2 (en) * | 2016-06-07 | 2018-05-22 | Dell Products L.P. | Network flow management system |
US10791088B1 (en) | 2016-06-17 | 2020-09-29 | F5 Networks, Inc. | Methods for disaggregating subscribers via DHCP address translation and devices thereof |
US10505792B1 (en) | 2016-11-02 | 2019-12-10 | F5 Networks, Inc. | Methods for facilitating network traffic analytics and devices thereof |
US10673704B2 (en) * | 2017-02-15 | 2020-06-02 | Arista Networks, Inc. | System and method of dynamic hardware policer allocation |
US10805239B2 (en) | 2017-03-07 | 2020-10-13 | Nicira, Inc. | Visualization of path between logical network endpoints |
US10812266B1 (en) | 2017-03-17 | 2020-10-20 | F5 Networks, Inc. | Methods for managing security tokens based on security violations and devices thereof |
US10972453B1 (en) | 2017-05-03 | 2021-04-06 | F5 Networks, Inc. | Methods for token refreshment based on single sign-on (SSO) for federated identity environments and devices thereof |
US11122042B1 (en) | 2017-05-12 | 2021-09-14 | F5 Networks, Inc. | Methods for dynamically managing user access control and devices thereof |
US11343237B1 (en) | 2017-05-12 | 2022-05-24 | F5, Inc. | Methods for managing a federated identity environment using security and access control data and devices thereof |
US11122083B1 (en) | 2017-09-08 | 2021-09-14 | F5 Networks, Inc. | Methods for managing network connections based on DNS data and network policies and devices thereof |
US10608887B2 (en) | 2017-10-06 | 2020-03-31 | Nicira, Inc. | Using packet tracing tool to automatically execute packet capture operations |
US11128700B2 (en) * | 2018-01-26 | 2021-09-21 | Cisco Technology, Inc. | Load balancing configuration based on traffic flow telemetry |
US10931768B2 (en) * | 2018-08-28 | 2021-02-23 | Cujo LLC | Determining active application usage through a network traffic hub |
US11283699B2 (en) | 2020-01-17 | 2022-03-22 | Vmware, Inc. | Practical overlay network latency measurement in datacenter |
US11570090B2 (en) | 2020-07-29 | 2023-01-31 | Vmware, Inc. | Flow tracing operation in container cluster |
US11196628B1 (en) | 2020-07-29 | 2021-12-07 | Vmware, Inc. | Monitoring container clusters |
US11558426B2 (en) | 2020-07-29 | 2023-01-17 | Vmware, Inc. | Connection tracking for container cluster |
US11736436B2 (en) | 2020-12-31 | 2023-08-22 | Vmware, Inc. | Identifying routes with indirect addressing in a datacenter |
US11336533B1 (en) | 2021-01-08 | 2022-05-17 | Vmware, Inc. | Network visualization of correlations between logical elements and associated physical elements |
US11146468B1 (en) * | 2021-03-08 | 2021-10-12 | Pensando Systems Inc. | Intelligent export of network information |
US11687210B2 (en) | 2021-07-05 | 2023-06-27 | Vmware, Inc. | Criteria-based expansion of group nodes in a network topology visualization |
US11711278B2 (en) | 2021-07-24 | 2023-07-25 | Vmware, Inc. | Visualization of flow trace operation across multiple sites |
US11855862B2 (en) | 2021-09-17 | 2023-12-26 | Vmware, Inc. | Tagging packets for monitoring and analysis |
US11743122B1 (en) * | 2022-03-30 | 2023-08-29 | Amazon Technologies, Inc. | Network change verification based on observed network flows |
US20240223454A1 (en) * | 2022-12-30 | 2024-07-04 | Juniper Networks, Inc. | Network policy validation |
Family Cites Families (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7290283B2 (en) * | 2001-01-31 | 2007-10-30 | Lancope, Inc. | Network port profiling |
US7145871B2 (en) * | 2002-03-02 | 2006-12-05 | At&T Corp. | Automatic router configuration based on traffic and service level agreements |
WO2003107190A1 (en) * | 2002-06-13 | 2003-12-24 | Netscout Systems, Inc. | Real-time network performance monitoring system |
US7254114B1 (en) * | 2002-08-26 | 2007-08-07 | Juniper Networks, Inc. | Network router having integrated flow accounting and packet interception |
US7760730B2 (en) * | 2004-06-15 | 2010-07-20 | Oracle America, Inc. | Rule set verification |
US7782793B2 (en) | 2005-09-15 | 2010-08-24 | Alcatel Lucent | Statistical trace-based methods for real-time traffic classification |
JP4547340B2 (ja) * | 2006-01-30 | 2010-09-22 | アラクサラネットワークス株式会社 | トラフィック制御方式、装置及びシステム |
US20070217335A1 (en) * | 2006-03-16 | 2007-09-20 | Utstarcom, Inc. | Method and apparatus to facilitate communication resource usage control |
US8000242B2 (en) * | 2006-07-06 | 2011-08-16 | Alcatel Lucent | Reducing packet loss for a packet data service during congestion in a transport network |
CN101119321B (zh) * | 2007-09-29 | 2010-11-03 | 杭州华三通信技术有限公司 | 网络流量分类处理方法及网络流量分类处理装置 |
US8484327B2 (en) * | 2007-11-07 | 2013-07-09 | Mcafee, Inc. | Method and system for generic real time management of devices on computers connected to a network |
US8179799B2 (en) * | 2007-11-30 | 2012-05-15 | Solarwinds Worldwide, Llc | Method for partitioning network flows based on their time information |
US8601113B2 (en) * | 2007-11-30 | 2013-12-03 | Solarwinds Worldwide, Llc | Method for summarizing flow information from network devices |
US8274895B2 (en) * | 2009-01-26 | 2012-09-25 | Telefonaktiebolaget L M Ericsson (Publ) | Dynamic management of network flows |
-
2009
- 2009-01-26 US US12/360,080 patent/US8274895B2/en active Active
-
2010
- 2010-01-26 EP EP10734018.4A patent/EP2433401B1/en active Active
- 2010-01-26 CN CN201080006262.9A patent/CN102576345B/zh active Active
- 2010-01-26 WO PCT/US2010/022146 patent/WO2010085821A2/en active Application Filing
-
2012
- 2012-08-29 US US13/598,468 patent/US20130021906A1/en not_active Abandoned
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103546451A (zh) * | 2012-07-16 | 2014-01-29 | 国际商业机器公司 | 基于流的覆盖网络 |
US10158563B2 (en) | 2012-07-16 | 2018-12-18 | International Business Machines Corporation | Flow based overlay network |
CN111526035A (zh) * | 2014-03-10 | 2020-08-11 | 埃创网络解决方案公司 | 分布式智能电网处理 |
CN107431663A (zh) * | 2015-03-25 | 2017-12-01 | 思科技术公司 | 网络流量分类 |
Also Published As
Publication number | Publication date |
---|---|
EP2433401A2 (en) | 2012-03-28 |
EP2433401A4 (en) | 2015-07-29 |
CN102576345B (zh) | 2016-04-13 |
WO2010085821A3 (en) | 2012-02-23 |
EP2433401B1 (en) | 2017-01-04 |
WO2010085821A2 (en) | 2010-07-29 |
US20100188976A1 (en) | 2010-07-29 |
US20130021906A1 (en) | 2013-01-24 |
US8274895B2 (en) | 2012-09-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102576345B (zh) | 网络流的动态管理 | |
US11750477B2 (en) | Adaptive ambient services | |
EP3691309B1 (en) | Adaptive ambient services | |
US9007913B2 (en) | Dynamically configuring attributes of a parent circuit on a network element | |
TWI520639B (zh) | 動態地產生服務群組之方法、裝置與系統 | |
US9021081B2 (en) | System and method for collecting individualized network usage data in a personal hotspot wireless network | |
CN105264835B (zh) | Gre隧道实现方法、接入设备和汇聚网关 | |
US20170091204A1 (en) | Analytics for a distributed network | |
US20120303796A1 (en) | Mapping accounting avps to monitoring keys for wireline subscriber management | |
CA2787061C (en) | Mobile device agent and method redirecting traffic flows for selected applications and providing side information to network element | |
KR20120123558A (ko) | 보안 인프라스트럭처를 제공하는 방법, 시스템 및 장치 | |
CN101433051B (zh) | 将主机与基于用户和服务的需求相关联的方法和设备 | |
US20120303795A1 (en) | Qos control in wireline subscriber management | |
CN102215155A (zh) | 一种家庭网络的资源接纳控制方法及系统 | |
CN117336175A (zh) | 计算机网络系统,计算机联网方法及计算机可读存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |