CN106953737A - 在计算机网络内使用输出协议提供应用元数据 - Google Patents
在计算机网络内使用输出协议提供应用元数据 Download PDFInfo
- Publication number
- CN106953737A CN106953737A CN201610855794.9A CN201610855794A CN106953737A CN 106953737 A CN106953737 A CN 106953737A CN 201610855794 A CN201610855794 A CN 201610855794A CN 106953737 A CN106953737 A CN 106953737A
- Authority
- CN
- China
- Prior art keywords
- network
- application metadata
- subset
- ipfix
- type
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
- H04L67/561—Adding application-functional data or data for application control, e.g. adding metadata
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0895—Configuration of virtualised networks or elements, e.g. virtualised network function or OpenFlow elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
- H04L41/0806—Configuration setting for initial configuration or provisioning, e.g. plug-and-play
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/085—Retrieval of network configuration; Tracking network configuration history
- H04L41/0853—Retrieval of network configuration; Tracking network configuration history by actively collecting configuration information or by backing up configuration information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/02—Capturing of monitoring data
- H04L43/028—Capturing of monitoring data by filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/11—Identifying congestion
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/03—Protocol definition or specification
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
- H04L41/0813—Configuration setting characterised by the conditions triggering a change of settings
- H04L41/082—Configuration setting characterised by the conditions triggering a change of settings the condition being updates or upgrades of network functionality
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Library & Information Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
总体上,描述了用于在计算机网络内使用互联网协议流信息eXport(IPFIX)协议提供应用元数据的技术。在一个实例中,包括处理器和存储器的第一网络装置可以执行所述技术。所述处理器可以被配置成确定所述第一网络装置具有能力通过分析网络数据包来检测的应用元数据的类型。所述应用元数据可以包括表示由交换数据包的网络过程所使用的网络协议的数据。所述存储器可以被配置成储存所述应用元数据。所述处理器可以进一步被配置成执行IPFIX协议,以将应用元数据的类型通知给被配置成收集应用元数据的子集的第二网络装置。
Description
技术领域
本公开涉及计算机网络,并且更具体而言,涉及将网络服务应用于通过计算机网络的网络流量中。
背景技术
计算机网络由一组节点和使一个节点和另一个节点连接的一组链路构成。例如,计算机网络可以由一组路由器构成,而这组链路可以是在路由器之间的电缆。在网络中的第一节点给在网络中的第二节点发送消息时,该消息可以穿过很多链路和很多节点。在消息从第一节点向第二节点传播的同时穿过的这组链路和节点称为通过网络的路径。
网络流量可以沿着这些路径传播,穿过路由器,除了沿着该路径路由网络流量以外,所述路由器还可以执行一个或多个操作。一个这种操作可以包括一般的流(flow)特有的信息聚集。即,路由器可以收集关于网络流量的流的信息。流可以由所谓的五元组识别,五元组包括源地址、源端口、目的地地址、目的地端口以及协议。流信息可以包括关于流量负荷的统计,例如,每分钟每个流的数据包的数量或者每分钟每个流的数据量。作为一个实例,路由器可以收集流信息,以提供对网络流量负荷的局部洞察。
使用输出协议,路由器可以输出流信息。输出协议的实例包括在请求注释(RFC)7011-7015内限定的互联网协议流信息输出(IPFIX)协议。路由器可以输出流信息,以允许多个不同的操作。例如,路由器可以将流信息输出给中央管理装置(例如,软件限定的网络控制器),以允许重定向交通流量,以避免部分由输出的流信息识别的拥塞。
发明内容
总体上,描述了用于在计算机网络内使用输出协议提供应用元数据的技术。诸如网络安全设备等网络装置可以动态确定可用于通过输出协议输出的应用元数据。作为一个实例,能够执行深度包检测(DPI)的路由器可以识别应用元数据。同样,路由器可以确定DPI识别DPI能够检测的不同类型的应用元数据的能力。然后,路由器可以使用输出协议,将不同类型的应用元数据通知给收集器装置。然后,一个或多个收集器装置可以使用输出协议请求应用元数据的某个子集或者可能所有类型。
在这方面,所述技术能够在输出装置(例如,以上路由器)与收集器装置(例如,软件限定的网络控制器)之间动态互动,以允许收集应用元数据的子集。发生应用元数据的动态互动和后续请求,而非如前面通过IPFIX和其他输出协议所提供的推送模型,该模型将流信息从输出装置中发送给收集器装置,具有很少的或者没有能力请求流信息的特定子集。应用元数据的动态互动和协商可以克服输出障碍,与流信息的尺寸相比,这是远远更大量(在尺寸方面)的应用元数据。以上技术可以利用IPFIX协议(或其他输出协议),来在输出装置与收集器装置之间提供动态互动,以提供输出装置提供应用元数据的可能标准的方法。
在一个实例中,包括处理器和存储器的第一网络装置可以执行所述技术。处理器可以被配置成确定所述第一网络装置具有能力通过分析网络数据包来检测的应用元数据的类型。所述应用元数据可以包括表示由交换数据包的网络过程所使用的网络协议的数据。存储器可以被配置成储存所述应用元数据。处理器可以进一步被配置成执行IPFIX协议,以将应用元数据的类型通知给被配置成收集应用元数据的子集的第二网络装置。
在另一个实例中,一种方法包括由被配置成通过互联网协议流信息eXport(IPFIX)协议输出应用元数据的第一网络装置确定所述第一网络装置具有能力通过分析网络数据包来检测的应用元数据的类型。所述应用元数据包括表示由交换数据包的网络过程所使用的网络协议的数据。所述方法进一步包括由所述第一网络装置执行IPFIX协议,以将应用元数据的类型通知给被配置成收集应用元数据的子集的第二网络装置。
在另一个实例中,一种方法包括由第一网络装置通过互联网协议流信息eXport(IPFIX)协议接收通知。所述通知通知第二网络装置能够通过分析网络流量来检测的应用元数据的类型。所述方法进一步包括通过IPFIX协议输出所述应用元数据,所述应用元数据包括表示由交换数据包的网络过程所使用的网络协议的数据。所述方法还包括由所述第一网络装置确定所述第一网络装置被配置成收集的应用元数据的类型的子集。而且,所述方法包括由所述第一网络装置执行IPFIX协议,以请求所述第二网络装置将应用元数据的类型的子集输出给所述第一网络装置。
在另一个实例中,一种第一网络装置包括接口,其被配置成通过互联网协议流信息eXport(IPFIX)协议接收通知。所述通知通知第二网络装置能够通过分析网络流量来检测并且通过IPFIX协议输出的应用元数据的类型。所述应用元数据包括表示由交换数据包的网络过程所使用的网络协议的数据。第一网络装置进一步包括一个或多个处理器,其被配置成确定所述第一网络装置被配置成收集的应用元数据的类型的子集,并且执行IPFIX协议,以请求所述第二网络装置将通知的应用元数据的类型的子集输出给所述第一网络装置。
在附图和以下描述中陈述本发明的一个或多个实施方式的细节。通过描述和附图并且通过权利要求,本发明的其他特征、目标以及优点显而易见。
附图说明
图1是示出根据在本文中描述的技术的实例网络系统的方框图;
图2是进一步详细示出被配置成执行在本公开中描述的技术的各个方面的实例网络装置的方框图;
图3是示出在执行在本公开中描述的技术的各个方面时收集器和输出器网络装置的实例操作的流程图。
图4是示出根据在本公开中描述的技术的各个方面在生成模板时网络装置的实例操作的流程图。
在附图和本文中,相似的参考字符表示相似的部件。
具体实施方式
图1示出被配置成执行在本文中描述的技术的实例网络系统。图1的实例网络系统包括服务提供商网络2,该网络用作专用网络,以将基于数据包的网络服务提供给用户装置16。即,服务提供商网络2为用户装置16提供网络接入的认证和建立,使得用户装置可以开始与分组数据网络(PDN)12交换数据包,该分组数据网络可以表示附图提供商的内部基于数据包的网络或者外部基于数据包的网络,例如,互联网。
在图1的实例中,服务提供商网络2包括接入网络6(“接入网络6”),其通过包括网关8的服务提供商核心网络7给PDN 12提供连接。服务提供商核心网络7和PDN 12提供可用于由用户装置16请求和使用的基于数据包的服务。作为实例,核心网络7和/或PDN 12可以提供例如批量数据传送、网络电话(VoIP)、交互式网络电视(IPTV)、短消息服务(SMS)、无线应用协议(WAP)服务或客户专用服务。
分组数据网络12可以包括例如局域网(LAN)、广域网(WAN)、互联网、虚拟LAN(VLAN)、企业LAN、层3虚拟专用网络(L3VPN)、由运营接入网络6的服务提供商运营的互联网协议(IP)内联网、企业IP网络或其某个组合。在各种实施方式中,PDN 12连接至公共WAN、互联网或者其他网络。分组数据网络12执行一个或多个分组数据协议(PDP),例如,IP(IPv4和/或Ipv6)、X.25或点对点协议(PPP),以能够基于数据包传输PDN 12服务。
用户装置16通过接入网络6连接至网关8,以接收与用户服务的连接,用于由用户装置16托管的应用。用户可以表示例如企业、住宅用户或移动用户。用户装置16可以表示例如个人电脑、膝上型电脑或与用户相关联的其他类型的计算装置。此外,用户装置16可以包括通过无线接入网络(RAN)4访问服务提供商网络2的数据服务的移动装置。实例移动用户装置包括移动电话、具有例如3G无线卡的膝上型或台式电脑、无线功能的上网本、视频游戏装置、寻呼机、智能电话、个人数字助理(PDA)等。
每个用户装置16可以被配置成执行各种软件应用,例如,文字处理和其他办公支持软件、网络浏览软件、支持语音呼叫、视频游戏、视频会议以及电子邮件的软件等。用户装置16通过包括有线和/或无线通信链路的接入链路连接至接入网络6。在本文中使用的术语“通信链路”包括任何形式的传输介质(有线或无线的),并且可以包括中间节点,例如,网络装置。举例而言,每个接入链路可以包括例如非对称的DSL网络、WiMAX、T-1线路、综合业务数字网络(ISDN)、有线以太网或蜂窝无线链路。
网络服务提供商操作或者在某些情况下出租接入网络6的部件,以在用户装置16与网关8之间提供分组传送。接入网络6表示聚集一个或多个用户的数据流量的网络,用于传输给服务提供商的服务提供商核心网络7和/或从其中传输。接入网络6包括网络节点,这些节点执行通信协议,以传输控制和用户数据,以促进在用户装置16与网关8之间的通信。接入网络6可以包括宽带接入网络、网络、无线LAN、公用交换电话网(PSTN)、或其他类型的接入网络,并且可以包括或者提供蜂窝接入网络的连接性,例如,图1的无线接入网络(RAN)4。接入网络6的实例还可以包括符合通用移动通信系统(UMTS)架构、称为长期演进(LTE)的UMTS的演进、由互联网工程任务组(IETF)标准化的移动IP、以及由第三代合作伙伴项目(3GPP)、第三代合作伙伴项目2(3GPP/2)以及全球微波接入互操作性(WiMAX)论坛提出的其他标准的网络。
服务提供商核心网络7(在后文中“核心网络7”)给连接至接入网络6的用户装置16提供基于数据包的连接,用于访问PDN 12。核心网络7可以表示服务提供商拥有和运营的公共网络,以使多个网络互连,这些网络可以包括接入网络6。核心网络7可以实现多协议标记交换(MPLS)转发,并且在这种情况下,可以称为MPLS网络或MPLS骨干网。在某些情况下,核心网络7表示多个互连的自主系统,例如,互联网,其提供来自一个或多个服务提供商的服务。PDN 12可以表示耦合至核心网络7的边缘网络,例如,通过用户边缘装置,例如,用户边缘开关或路由器。PDN 12可以包括数据中心。
在包括电话线/宽带接入网络的网络2的实例中,例如,网关8可以表示宽带网络网关(BNG)、宽带远程接入服务器(BRAS)、MPLS提供商边缘(PE)路由器、核心路由器或网关、或电缆调制解调器终端系统(CMTS)。在包括作为接入网络6的蜂窝接入网络的网络2的实例中,网关8可以表示移动网关,例如,网关通用分组无线业务(GPRS)服务节点(GGSN)、接入网关(aGW)或分组数据网络(PDN)网关(PGW)。在其他实例中,相对于网关8描述的功能可以在开关、服务卡或其他网络部件或元件内实现。核心网络7可以提供到符合不同的接入类型(有线的和无线的)的多个不同的接入网络6的访问,例如,蜂窝/GPRS/UMTS、宽带或其他电话线等。
管理至少一部分网络2的网络服务提供商通常为与访问服务提供商网络的装置(例如,用户装置16)相关联的用户提供服务。所提供的服务可以包括例如传统的互联网接入、网络电话(VoIP)、视频和多媒体服务以及安全服务。如上面相对于接入网络6所述,核心网络7可以支持多种类型的接入网络基础设施,其连接至服务提供商网络接入网关,以提供到所提供的服务的访问。在某些情况下,网络系统2可以包括连接至具有不同架构的多个不同接入网络6的用户装置16。
通常,通过给网关8发送会话请求,任何一个或多个用户装置16可以请求授权和数据服务。反过来,网关8通常访问认证、授权和计费(AAA)服务器11,以认证请求网络接入的用户装置。一旦认证,多个用户装置16中的任一个就可以朝着服务提供商核心网络7发送用户数据流量,以便访问和接收由PDN 12提供的服务,并且这种数据包穿过网关8,作为至少一个数据包流的一部分。在图1示出的流27表示来自任何一个或多个用户装置16的并且通过网关8引向PDN 12的一个或多个上游或“上行链路”数据包流,这是来自用户的流量的PDN12的下一跳。由PDN 12发源的下游或“下行链路”流被引向用户装置16(在图1未示出)。
术语“数据包流”、“交通流”或仅仅“流”表示源自特定的源装置并且发送给特定的目的地装置的一组数据包。服务流量可以包括多个不同的流。例如在上游(由一个用户装置16起源的)或下游(指定用于一个用户装置16)方向的数据包的单个流可以由以下五元组(“五元组”)识别:<源网络地址、目的地网络地址、源端口、目的地端口、协议>。该五元组通常识别与所接收的数据包对应的数据包流。n元组表示从五元组中提取的任何n个项目。例如,数据包的2元组可以表示数据包的<源网络地址、目的地网络地址>或<源网络地址、源端口>的组合。而且,在对服务提供商网络2认证并且建立通信会话用于接收数据服务时,用户装置可以引起多个数据包流。虽然相对于五元组或n元组进行了描述,但是除了或者作为五元组或n元组的替换物,任何数量的不同项目还可以用于识别流,例如,VLAN ID、VxLAN ID、VRF ID、逻辑系统ID、区域、接口等。
服务控制网关20用作服务复合体9的网关,以锚定(anchor)动态服务选择和应用到数据包流的传送。服务控制网关20可以根据在本文中描述的技术执行流量检测、策略执行以及服务操纵。服务控制网关20可以通过策略接口提供用户意识的、装置意识的、和/或应用意识的流量检测和颗粒(granular)流量操纵功能。例如,服务控制网关20可以包括集成的L4-L7深度包检测(DPI)。在某些情况下,服务控制网关20可以与其他嵌入的网络功能(例如,载体级NAT和防火墙/负荷平衡器)组合,以将服务复合体9的元件整合成单个网络部件。
服务提供商网络2进一步包括收集器25。收集器25可以表示一个或多装置,其被配置成收集应用元数据。如在图1的实例中所示,收集器25可以包括具有服务节点10A–10B(统称为“服务节点10”)的集群的服务复合体9,这些节点为相应的网络服务提供执行环境。即,每个服务节点10应用一个或多个服务。作为实例,服务节点10可以应用数据包流的防火墙和安全服务、载体级网络地址转换(CG-NAT)、媒体优化(语音/视频)、IPSec/VPN服务、深度包检测(DPI)、HTTP过滤、家长控制、高速缓存和内容传送服务、网络意识/应用、计数、计费、收费、以及负荷平衡、或者给网络流量应用的其他类型的服务。每个服务节点10通过这种方式表示服务实例。虽然仅仅示出了两个服务节点10,但是服务复合体9可以包括数千个这种服务节点10,每个服务节点给数据流量提供一个或多个服务。
每个服务节点10可以可选择地称为“服务点”、“增值服务(VAS)点”或节点、“网络功能虚拟化(NFV)节点”。网络功能虚拟化涉及在虚拟机内(而非在物理硬件设备上)的网络功能的编配和管理,例如,防火墙、入侵检测或预防系统(IDS/IPS)、深度包检测(DPI)、高速缓存、广域网(WAN)优化等。在服务提供商网络内的网络功能虚拟化可以给边缘网络提供增值服务(VAS),例如,企业边缘网络、宽带服务管理边缘网络以及移动边缘网络。图1的接入网络6是用于图1的网络提供商网络2的边缘网络的实例。
服务控制网关20可以表示物理网关路由器或开关,其将服务复合体9的虚拟网络连接至物理网络,例如,核心网络9、互联网、客户VPN(例如,L3VPN)、另一个数据中心,或连接至非虚拟服务器。在这种实例中,服务复合体9可以包括层2(L2)和层3(L3)切换和路由元件,这些元件在虚拟环境内执行一个或多个服务节点10的服务器(未示出)之间提供点对点连接性。即,一个或多个服务节点10可以在虚拟计算环境中作为虚拟机运行。而且,计算环境可以包括通用计算装置的可扩展集群,例如,x86基于处理器的服务器。作为另一个实例,服务节点10可以包括通用计算装置和专用设备的组合。在一些实例中,服务控制网关20表示在服务复合体9内执行的服务器、处理、虚拟机或控制器。
在虚拟化时,由服务节点10提供的单独网络服务可以通过分配虚拟化存储器、处理器使用、储存和网络策略并且通过增加额外负荷平衡的虚拟机来水平地扩展,仅仅与在现代数据中心内一样。在一个实例中,服务复合体9包括实现工业标准协议的一组互连的、高性能的、但是现成的基于数据包的路由器和开关。在一个实例中,服务复合体9可以包括现成的元件,这些元件提供通过以太网的互联网协议(IP)(IpoE)点对点连接性。
在示出的实例中,收集器25还包括软件限定的网络(SDN)控制器19。SDN控制器19可以提供高级控制器,用于配置和管理服务提供商网络2(例如,网关8、服务控制网关20、核心网络7以及服务节点10)的路由和切换基础设施。SDN控制器19提供逻辑地并且在某些情况下物理地集中式控制器,用于在服务复合体内促进操作一个或多个虚拟网络。在某些情况下,SDN控制器19在增值服务复合体9的操作环境内管理部署虚拟机。SDN控制器19与服务控制网关20通信,以规定用于实现服务数据的信息,例如,虚拟路由和转发实例配置。
由SDN控制器19提供的服务链信息可以规定由服务节点10提供的增值服务、用于沿着服务路径隧穿或者传输(例如,MPLS或IP隧道)数据包流的流量工程信息(例如,标签或下一跳)、速率限制、服务类型(TOS)标记、或规定用于使数据包流与服务链匹配的标准的数据包分类器的任何组合和排序。在于2013年6月5日提交的题为“PHYSICAL PATHDETERMINATION FOR VIRTUAL NETWORK PACKET FLOWS”的国际申请号PCT/US2013/044378中,可找到关于SDN控制器的额外信息,该控制器作为虚拟网络控制器与服务复合体9的其他装置或其他软件限定的网络相结合操作,该申请通过引证结合于此,犹如在本文中完全陈述的一样。
虽然收集器9显示为表示一个或多个服务节点10和SDN控制器19,但是收集器9可以仅仅包括服务节点10、仅仅包括SDN控制器19、或服务节点和SDN控制器的任何组合。收集器9还可以包括在图1的实例中未示出的其他装置或单元。收集器9可以通常表示任何类型的网络装置,其被配置成通过输出协议(例如,互联网协议流信息eXport(IPFIX))收集(或者换言之,消耗)由服务控制网关20输出的信息。
在由IPFIX互联网工程任务组(IETF)工作组发布的一系列请求注释(RFC)中可以找出关于IPFIX协议的更多信息。IPFIX协议的基础可在日期为2013年9月的题为“Specification of the IP Flow Information Export(IPFIX)Protocol for theExchange of Flow Information”的RFC 7011中找到,其全部内容通过引证结合于此,犹如全部陈述的一样。IPFIX协议的信息模型可在日期为2013年9月的题为“Information Modelfor IP Flow Information Export(IPFIX)”的RFC 7012中找到,其全部内容通过引证结合于此,犹如全部陈述的一样。用于限定IPFIX协议的信息元素的指南可在日期为2013年9月的题为“Guidelines for Authors and Reviewers of IP Flow Information Export(IPFIX)Information Elements”的RFC 7013中找到,其全部内容通过引证结合于此,犹如全部陈述的一样。IPFIX协议的流选择技术可在日期为2013年9月的题为“Flow SelectionTechniques”的RFC 7014中找到,其全部内容通过引证结合于此,犹如全部陈述的一样。IPFIX协议的流聚集的讨论可在日期为2013年9月的题为“Flow Aggregation for the IPFlow Information Export(IPFIX)Protocol”的RFC7014中找到,其全部内容通过引证结合于此,犹如全部陈述的一样。IPFIX信息元素的输出类型信息的讨论可在日期为2009年7月的题为“Exporting Type Information for IP Flow Information Export(IPFIX)Information Elements”的RFC 5610中找到,其全部内容通过引证结合于此,犹如全部陈述的一样。在IPFIX中输出数据的方式的讨论可在日期为2011年7月的题为“Export ofStructured Data in IP Flow Information Export(IPFIX)”的RFC 6313中找到,其全部内容通过引证结合于此,犹如全部陈述的一样。
如在图1的实例中进一步所示,服务控制网关20可以包括输出单元30和DPI单元32。输出单元30可以表示被配置成执行输出协议(例如,IPFIX协议)的单元。在一些实例中,输出单元30可以被配置成将应用元数据输出给收集器25。在这个背景下,应用可以限定为由交换数据包的网络过程使用的网络协议(例如,网络应用、对等应用、文件传输、电子邮件应用等)。在一些实例中,应用可以由其他标准表征,其中的一些标准是专用的。专用实例包括对特定领域的网络应用、每个用户特定的流量、具有特定编码器/解码器(“编解码器”)的视频应用等。在日期为2012年9月的题为“Cisco Systems Export of ApplicationInformation in IP Flow Information Export(IPFIX)”的RFC 6759中,可以找到关于应用信息的输出的更多信息,其全部内容通过引证结合于此,犹如全部陈述的一样。通常,应用元数据可以包括与在网络层(也称为层3或L3,考虑网络层是在计算网络的开放式系统互连(OSI)模型中的第三层)之上交换数据或控制信息的任何应用相关的信息。
DPI单元32可以表示被配置成相对于网络流27执行深度包检测(DPI)的单元,以获得应用元数据和任何其他元数据(包括流信息),例如,为了通过服务复合体9提供服务的目的。输出单元30可以与DPI单元32连接,以获得由DPI单元32从网络流27中提取的应用元数据。输出单元30可以将应用元数据输出给收集器25。
应用元数据允许网络(例如,服务提供商网络2)支持应用环境。换言之,网络越来越多地利用应用元数据来提供应用和应用状态的“意识”,以使网络能够潜在地更好地增强用户体验,管理资源并且理解网络行为。
应用元数据的实例可以包括超文本传输协议(HTTP)统一资源标识符(URI)、对等网络的对等(例如,对等)、网站的用户登录信息、或任何数量的其他类型的应用元数据。应用元数据还可以包括域名服务(DNS)请求细节或DNS响应细节、聊天通讯数据(例如,登录ID、文件、上传的视频等)、以及网上邮件应用数据(例如,登录ID、文件、上传的视频等)。举例而言,服务提供商网络2可以利用大量应用元数据来支持或增强多个增值服务(VAS)和与分析、网络安全、分布式拒绝服务(DDOS)防止、体验质量、服务质量、以及基于策略的收费相关的产品供应。
使用由输出单元30执行的IPFIX,服务控制网关20可以将一个或多个上述不同类型的应用元数据输出给收集器25。然而,收集器25可以执行不同的服务,这可以仅仅需要总体应用元数据的某个子集。考虑大量应用以及对应的应用元数据,试图将所有应用元数据输出给每个收集器,可能造成不必要地消耗服务控制网关20的资源(例如,计算和储存资源)以及更大的带宽消耗。而且,接收这种潜在大量的应用元数据,可能造成收集器25潜在浪费过滤应用元数据,以识别与每个收集器25提供的这个特定或这些特定的服务相关的应用元数据的子集。
虽然IPFIX协议提供了明确的机构,通过该机构,从网络中输出流信息,限定可以输出的数据包和会话属性,并且限定可以输出的新数据类型,但是IPFIX协议目前不允许通过解决应用元数据的可能扩展的并且增长的性质的方式来输出应用元数据的方式。未解决该问题可能造成在IPFIX协议内限定几千个新信息元素。相似的输出协议还可能遭受相同的问题。此外,应用可以继续演变,具有更新的应用版本,并且可以出现产生额外应用元数据的新应用。结果,可能难以通过时间约束的方式包含更新的应用元数据,作为标准的信息元素。
而且,IPFIX协议(以及很多相似的输出协议中的每个)不提供标准的方式,通过该方式,一个收集器25可以动态配置服务控制网关20,以输出仅仅与一个收集器25相关的应用元数据。从一个不同的角度来重述,IPFIX协议可以不允许在输出器与收集器25之间交互,使得收集器25可以与服务控制网关20的输出单元30通信。在一些实例中,输出单元30与收集器25单向通信。在一些实例中,收集器25可以使用IPFIX协议(或其他相似的输出协议)不支持的带外通信来通信。
根据在本文中描述的技术并且如图1所示,服务控制网关20可以发布使用IPFIX协议(或其他相似的输出协议)的应用元数据检测能力。为了发布或者换言之通知应用元数据检测能力,服务控制网关20可以确定服务控制网关20可以具有能力通过分析网络数据包(例如,与流27相关联)检测的应用元数据的类型。服务控制网关20可以调用输出单元30,该输出单元可以查询DPI单元32,来确定服务控制网关20具有能力检测的应用元数据的类型。
换言之,DPI单元32可以包括DPI引擎以及相关联的库,所述库将DPI引擎配置成检测广泛的信息,包括应用信息。DPI单元32可以具有能力通过软件或应用签名更新来提升其在线检测能力。输出单元30可以与DPI单元32连接,以识别表示第一网络装置(例如,服务控制网关20)具有能力检测的应用元数据的类型的应用元数据检测能力。在确定应用元数据的类型之后,服务控制网关20的输出单元30可以执行输出协议,以向收集器25通知或换言之发布应用元数据的类型,这可以表示被配置成收集应用元数据的子集的网络装置。在图1的实例中,该通告显示为通知33。
收集器25可以接收通过IPFIX协议发送的通知33。然后,每个收集器25可以确定每个收集器25被配置成收集的应用元数据的通知类型的子集。换言之,管理员或其他网络运营商可以将每个收集器25配置成收集能够被通知的应用元数据的所有可用类型的不同子集。在接收通知33时,收集器25可以比较应用元数据类型(AMT)的相应配置的子集和应用元数据的通知类型,并且基于每个相应配置的子集和通知的应用元数据类型的交叉,确定要输出的通知的应用元数据类型的子集。
然后,每个收集器25可以请求服务控制网关20的输出单元30输出通知的应用元数据类型的子集。收集器可以通过私有的带外通信或者通过扩展IPFIX协议来发出请求,如在本文中所述。在图1的实例中,请求显示为请求35。在一些实例中,请求35可以请求应用元数据的类型的子集,并且包括要生成对应的应用元数据的时间的指示。在一些实例中,请求35请求用于特定应用的应用元数据的类型的子集。在这方面,收集器25可以请求输出单元30仅仅输出与和传输或者促进传输其相应服务或功能相关的应用元数据类型的子集对应的通知的应用数据的子集。换言之,收集器25可以通过IPFIX协议接收与所请求的应用元数据的类型的子集对应的应用元数据的一部分子集,其中,在输出单元30收集与请求的子集对应的应用元数据的整个子集之前,发送应用元数据的这部分子集。
响应于通过IPFIX协议接收请求35,输出单元30可以给提供请求35的每个收集器25获取通知的应用元数据类型的请求子集。为了获得请求子集,输出单元30可以聚集子集,从子集中去除任何冗余或者重叠的应用元数据。输出单元30可以接下来与DPI单元32接合(连接,interface),以将DPI单元32配置成监控流27并且提取与通知的应用元数据类型的请求子集对应的应用元数据的聚集子集。
DPI单元32可以处理网络流27的单独数据包,以提取应用元数据的聚集子集。DPI单元32可以将应用元数据的聚集子集提供给输出单元30,该输出单元可以基于应用元数据类型的聚集子集,为请求的收集器25生成应用元数据的请求子集。输出单元30执行IPFIX协议,以将通知的应用元数据的每个请求子集传送给请求的收集器25。在图1的实例中,应用元数据的输出子集显示为输出子集37。
在这方面,所述技术可使由服务控制网关20和收集器25执行的IPFIX协议能够动态发现装置应用元数据检测能力并且彼此接合,以将服务控制网关20(或任何其他应用元数据输出装置,例如,网关8或另一个路由器、开关、防火墙、或服务提供商网络2的其他网络装置)配置成仅仅提供与收集器25提供的服务相关的应用元数据的子集。考虑通知33、请求35以及输出的子集37的性质是基于模板的消息,所述技术进一步允许为特定的一个收集器25生成各种版本的定制模板的方式。通过在IPFIX协议内促进该动态定制,所述技术可以提升新增值服务,包括DPI过程,并且可能在软件限定的网络(SDN)和虚拟化环境内促进生长。
图2是进一步详细示出根据在本公开中描述的技术的实例网络装置的方框图。网络装置40可以表示图1的服务控制网关20的实例示例。网络装置40包括耦合至通过一个或多个通信链路传输和接收分组数据的一个或多个网络接口卡52(“NIC 52”)的控制单元50。
作为一个实例,控制单元50表示至少一个处理器,其执行软件指令,例如,用于限定软件或计算机程序的指令,储存到有形的计算机可读介质(在图2未示出)中,例如,储存介质(例如,磁盘驱动器或光盘驱动器)、或存储器(例如,闪速存储器、随机存取存储器或RAM)、或任何其他类型的易失性或非易失性存储器,该存储器储存指令,以促使可编程处理器执行在本文中描述的技术。可选地或者此外,控制单元50可以表示专用软件,例如,一个或多个集成电路、一个或多个专用集成电路(ASIC)、一个或多个专用处理器(ASSP)、一个或多个现场可编程门阵列(FPGA)、或专用硬件的一个或多个以上实例的任何组合。
网络装置80可以表示一个收集器25的实例示例。网络装置80包括控制单元90,该控制单元与网络装置40的控制单元50可以相似并且可能基本上相似,其相似之处在于,控制单元90可以表示有形的计算机可读存储器和一个或多个处理器,在执行储存到有形的计算机可读存储器中的软件指令时,所述处理器被配置成和/或专用软件被配置成执行在本公开中描述的技术。
如在图2的实例中进一步所示,网络装置40的控制单元50包括控制平面单元52和服务平面单元54。换言之,控制单元50可以分成三个逻辑或物理“平面”,以包括第一控制或路由平面(控制平面单元52)、第二数据或转发平面(为了方便说明的目的,未示出)以及第三服务平面(服务平面单元54)。在这方面,控制单元50可以在逻辑上(例如,作为在同一组硬件元件上执行的单独软件实例)、在物理上(例如,作为静态实现在硬件中的功能或者动态执行软件或计算机程序以实现功能的单独物理专用硬件)或者通过逻辑和物理实现方式的某种组合实现三个单独的功能,例如,路由、转发以及服务功能。在某些实例中,控制平面单元52可以在逻辑上实现服务平面54,这是因为提供服务平面单元54,作为在控制平面单元52内执行的虚拟服务平面。在该虚拟化的服务平面实现方式中,控制平面单元52可以被视为执行归因于服务平面单元54的功能。
控制单元50的控制平面单元52可以提供网络装置40(为了实例的目的,假设网络装置40是路由器)的路由功能。在这方面,控制平面单元52可以表示控制单元50的硬件或者硬件和软件的组合,控制单元实现通过其可以确定路由信息(在图2的实例中未示出)的路由协议(在图2的实例中未示出)。路由信息可以包括限定网络(例如,网络7)的拓扑的信息。控制平面单元52可以解决由路由信息限定的拓扑,以通过网络7选择或确定一个或多个路由。控制平面单元52可以使用这些路由更新数据平面,其中,数据平面保持这些路由,作为转发信息(在图2的实例中未示出)。转发或数据平面可以表示根据转发信息转发网络流量的控制单元50的硬件或者硬件和软件的组合。
服务平面单元54可以表示负责提供和管理一个或多个服务(例如,DPI服务)的控制单元50的硬件或者硬件和软件的组合。控制单元50的服务平面单元54为服务相关的模块(例如,DPI单元32)提供操作环境。如上所述,DPI单元32表示被配置成执行深度包检测和其他应用元数据检测的单元。DPI单元32可以包括服务引擎34和相关联的库36。服务引擎34可以表示被配置成执行库36以执行深度包检测并且从而检测应用元数据55的硬件或者硬件和软件的组合。
如在图1的实例中所示,控制平面单元52可以包括输出单元30。如上面作为一个实例所述,输出单元30可以执行IPFIX协议。在这方面,输出单元30可以包括或者实现IPFIX协议单元56。换言之,IPFIX协议单元56可以表示被配置成执行上面引用的IPFIX协议的单元。IPFIX协议单元56可以包括多个功能单元(在一些实例中,可以作为专用硬件或硬件和软件的组合来实现),例如,广告商58、模板生成管理员60、会话管理员62以及输出器64。
网络装置80(也可以称为“收集器网络装置80”)的控制单元90可以包括收集器单元92,其被配置成从收集器网络装置80的角度实现输出协议。在图2的实例中示出的收集器单元92可以包括(通过与输出单元30相同的方式)IPFIX协议单元94。收集器单元92的IPFIX协议单元94可以包括与IPFIX协议单元56相似的多个功能单元,例如,通知处理器96、请求生成器98以及元数据收集器100。
虽然在图2的实例中从特定的输出器和收集器的角度来看显示为仅仅包括单元,但是IPFIX协议单元56还可以包括IPFIX协议单元94的单元96-100,而IPFIX协议单元94还可以包括IPFIX协议单元56单元58-64。在这两个单元56和94从收集器和输出器的角度来看都包括单元时,IPFIX协议单元56可以与IPFIX协议单元94相似(如果不基本上相似)。在网络装置40和80在输出器和收集器中起作用的实例中,IPFIX协议单元56和94都可以包括这两个角度。
在操作时,收集器单元92的IPFIX协议单元94使用传输控制协议(TCP)、用户数据报协议(UDP)或流控制传输协议(STCP)中的一个,连接至输出单元30的IPFIX协议单元56。根据选择以上哪个协议,IPFIX协议的操作可以具有略微的变化。然而,为了实例的目的,在本文中假设IPFIX协议单元94使用TCP连接至IPFIX协议单元56。下面为UDP记录以下TCP工作流的变化。SCTP工作流与下面描述的TCP工作流相似。IPFIX协议单元94可以使用TCP连接至IPFIX协议单元56(通过限定的TCP端口)。术语传输会话和IPFIX会话还用于表示由上述任一个机构(TCP/UDP/SCTP)连接。
响应于建立IPFIX会话的IPFIX协议单元94,IPFIX协议单元56调用广告商58。广告商58生成通知应用元数据检测能力的通知(通告)33,这可以表示DPI单元30能够检测不同类型的应用元数据。应用元数据的类型可以由应用类型(或者换言之,标识符)以及相应的元数据类型(或者换言之,标识符)识别。为了生成通知33,广告商58可以查询DPI单元30,以确定网络装置40具有能力检测的应用元数据。广告商58可以在IPFIX会话上将通知33转发给IPFIX协议单元94。
IPFIX协议单元94可以接收通知33,并且调用通知处理器96。通知处理器96表示被配置成处理通知33的单元。通知处理器96可以被配置成确定网络装置80被配置成收集的通知的应用元数据类型的子集(例如,作为要收集的配置的应用元数据类型和通知的应用元数据类型的交叉)。通知处理器96可以将通知的应用元数据的确定的子集提供给IPFIX协议单元94的请求发生器98。请求发生器98可以表示被配置成基于通知的应用元数据类型的确定的子集生成请求35的单元。请求发生器98可以通过传输会话将请求35发送给IPFIX协议单元56,以有效地请求IPFIX协议单元56将与通知的应用元数据类型的子集对应的应用元数据输出给网络装置80。
由于UDP是无连接的协议,所以在通过TCP和UDP的连接之间出现变化。同样,在IPFIX协议单元94通过UDP连接至IPFIX协议单元56时,提供可以接收通知的连接细节。基于接收的信息,IPFIX协议单元56可以发送通知33。为了提供该信息,IPFIX协议单元94用作输出器,并且发送具有目的地Ipv4地址和目的地端口或目的地Ipv6地址和目的地端口信息元素的模板,然后,发送具有实际目的地值的数据记录。在这种情况下,IPFIX协议单元56可以用作收集器,并且储存关于可以向哪里发送通知的目的地地址信息。
响应于接收请求35,IPFIX协议单元56可以调用模板生成管理器60。模板生成管理器60表示被配置成生成新模板的处理请求35的单元,模板生成管理器60可以通过IPFIX会话发送该模板,以确认请求35。在图2的实例中,确认显示为响应61。例如,在发生错误时,模板生成管理器60可以发送错误消息,而非确认,在这种情况下,响应61可以表示错误消息。
模板生成管理器60可以与DPI单元32接合,以表示DPI单元32要生成与在请求35中规定的应用元数据类型的请求子集对应的应用元数据55。在请求35中规定的应用元数据类型的请求子集已经由DPI单元32生成的实例中(由于网络装置80或某个其他收集器的IPFIX协议单元94的前一个请求),由于DPI单元32已经生成了与应用元数据类型的请求子集对应的请求的应用元数据,所以模板生成管理器60可以不与DPI单元32接合,以将DPI单元32配置成生成应用元数据55的请求子集。模板生成管理器60可以通过以上方式相对于每个新IPFIX会话操作。
在相对于请求配置传输会话并且可能将DPI单元32配置成生成通知的应用元数据的请求子集之后,IPFIX协议单元56可以调用会话管理器62,以管理建立的IPFIX会话。会话管理器62可以表示单元,其被配置成引导数据包从流27中通过DPI单元32的服务引擎34并且储存因处理流27的数据包的服务引擎34而生成的应用元数据55。然后,会话管理器62可以解析应用元数据55,以生成与应用元数据类型的请求子集对应的通知的应用元数据。会话管理器62可以将通知的应用元数据的子集提供给输出器64。
输出器64表示单元,其被配置成将通知的应用元数据的子集作为一个或多个IPFIX数据记录37输出给网络装置80的IPFIX协议单元94。IPFIX协议单元94可以调用元数据收集器100。元数据收集器100可以表示单元,其被配置成根据IPFIX协议收集IPFIX数据记录37并且解析所述记录,以提取通知的应用元数据的子集。元数据收集器100可以提供通知的应用元数据的子集,作为应用元数据101。
如在图2的实例中进一步所示,控制单元90包括服务单元102,其可以表示被配置成执行上述任何服务(包括增值服务)的一个或多个服务单元。服务单元102可以处理应用元数据101,以促进传送其相应服务。例如,假设网络装置80表示在图1示出的SDN控制器19,则服务单元102可以表示基于表示网络7的拓扑的路由信息生成转发信息的一个或多个路由服务。服务单元102可以处理应用元数据101,以识别相对于网络7应用的配置变化。配置变化可以包括影响在网络7内转发流27的路由配置变化。在该实例中,安全单元102可以与网络7(例如,为了方便说明的目的,在图1的实例中未示出的网络7的路由器)接合,以部署配置变化。
在假设网络装置80表示被配置成相对于与网络装置40接合的网络7应用网络安全服务的网络安全装置的另一个实例中,服务单元102可以表示一个或多个网络安全服务。在该实例中,服务单元102处理应用元数据101,以识别对网络的安全威胁。服务单元102可以与网络7接合,以部署识别的安全威胁的对策。对策可以包括隔离在提供安全威胁时识别的流27的数据包,丢弃在提供安全威胁时识别的流27等。
上面讨论了在建立新会话并且请求通知的应用元数据的单个子集时IPFIX协议单元56和94通常可以怎样接合。在操作时,网络装置80可以给应用元数据的不同子集发出多个请求。下面提供了网络装置40的IPFIX协议单元56可以使用称为“模板”的IPFIX协议,在多个请求的背景下并且具体而言在IPFIX协议的背景下,与IPFIX协议单元94交互。虽然相对于IPFIX协议描述了,但是如上所述,可以相对于任何输出协议执行技术。
IPFIX协议单元56的广告商58可以通过上述方式操作,以输出通知33。更具体而言,通知33可以发送一系列模板,作为下面描述的信息元素的聚合。为了清晰期间,信息元素由其名称描述。然而,应注意的是,实际发送机构由发送描述信息元素id和长度的IPFIX模板、然后在RFC5610(其提供信息元素的数据类型)中限定的“信息元素数据类型模板”、然后由该信息元素的实际数据/值构成的数据记录构成。“信息元素数据类型模板”可以要求用于私人信息元素。首先,这种聚合可以称为“输出器Hello模板”,在与收集器单元92建立传输会话时,这由输出单元30发送。在以下表格中限定输出器hello模板33的实例。在所有模板表格中,说明术语基本列表、子模板列表以及子模板多列表对应于在RFC 6313内限定的结构:
通告33还可以包括以下“应用类别模板”,广告商58发送该模板,以指示DPI单元32具有能力检测的各种应用类别、子类别以及组(或者换言之,类型)。
信息元素描述 | 备注 |
应用类别名称的基本列表 | 在RFC 6759中提及的标准信息元素 |
应用组名称的基本列表 | 在RFC 6759中提及的标准信息元素 |
应用子类别名称的基本列表 | 在RFC 6759中提及的标准信息元素 |
通告33还可以包括以下“流量匹配模板”,广告商58发送该模板,以指示要进行应用元数据的DPI处理和提取的流的各种匹配标准。如前所述,在下面提及字段名称的同时,首先发送所有IPFIX模板,然后,为在RFC 5610中限定的非标准私人信息元素发送“信息元素数据类型模板”,然后,发送由该信息元素的实际数据/值构成的数据记录。根据输出器能力,流量匹配模板可以改变。
信息元素描述 | 备注 |
源IPv4前缀 | IANA限定的标准信息元素 |
源Ipv6前缀 | IANA限定的标准信息元素 |
协议 | IANA限定的标准信息元素 |
目的地IPv4前缀 | IANA限定的标准信息元素 |
目的地Ipv6前缀 | IANA限定的标准信息元素 |
源端口 | IANA限定的标准信息元素 |
目的地端口 | IANA限定的标准信息元素 |
用户名 | 私人字符串数据类型 |
VRF/逻辑系统实例 | IANA限定的标准信息元素 |
接口ID | IANA限定的标准信息元素 |
Vlan Id | IANA限定的标准信息元素 |
Vxlan id | IANA限定的标准信息元素 |
通知33还可以包括以下“应用信息模板”,广告商58发送该模板,以指示DPI单元32被配置成检测的各种应用类型。
通知33还可以包括以下“应用元数据信息模板”,广告商58发送该模板,以指示DPI单元32被配置成检测的各种应用元数据类型。如前所述,在下面提及字段名称的同时,首先发送所有IPFIX模板,然后,为在RFC 5610中限定的非标准私人信息元素发送“信息元素数据类型模板”,然后,发送由该信息元素的实际数据/值构成的数据记录。
IPFIX协议单元94的通知处理器96可以接收通知33并且确定IPFIX协议单元94被配置成收集的所通知的应用元数据类型的子集。然后,请求发生器98可以通过上述方式生成请求35。请求35可以包括以下“应用元数据请求模板”。
考虑IPFIX协议的单向性质,请求发生器98可以形成请求35。虽然是部分收集器,但是请求发生器98用作输出器,以发送出请求发生器98被配置成收集的应用元数据的细节。为了输出请求发生器98被配置成收集的应用元数据,请求发生器98发送限定一个或多个以下元素的模板:收集器地址、用于匹配标准的元素列表、应用元数据元素的列表以及标准信息元素的列表。请求发生器98还发送识别匹配元素的选择模板。请求发生器98还可以发送多个数据记录,其中,每个数据记录可以包括用于以上信息元素的值。
对于每个IPFIX数据类型,模板生成管理器60可以例示称为“应用信息元素数据模板”的模板。“应用信息元素数据模板”可以包括以下:信息元素Id(标记为请求的应用元数据的私人信息元素)以及信息元素数据类型。模板生成管理器60可以在接收请求35上执行一个或多个以下活动:
1)对于特定的IPFIX会话,并且对于每个请求的新应用元数据,确定是否存在私人生成的信息元素ID。在不存在私人生成的信息元素ID时,生成新信息元素ID。此外,确定信息元素ID的数据类型是否可以映射到一个现有“应用信息元素数据模板”中。在信息元素ID的数据类型不能映射到现有“应用信息元素数据模板”中时,生成新模板,否则重新使用相同的模板。
2)对于在匹配标准中使用的任何信息元素,生成另一个模板。
3)对于任何其他标准的信息元素,生成另一个模板。
4)生成新子模板多列表,包括在1-3中的所有模板。
5)生成下面更详细描述的响应模板。
例如,假设请求35请求以下应用元数据类型SMTP_BANNER、HTTP_URI以及八位字节计数,用于目的地地址与192.168.1.1匹配的会话。为了说明的目的,假设请求ID是100。这可以造成发送出模板、选项模板以及相关联的数据记录,如上所述。为了说明的目的,假设“到信息元素ID的应用元数据”模板具有ID 500。模板生成管理器60可以执行一个或多个以下活动:
1)检查是否已经给SMTP_BANNER分配了私人信息元素ID。如果未分配,则生成该ID。为了说明的目的,假设私人信息元素ID是5000。进一步,确定SMTP_BANNER是否可以映射到“应用信息元素数据模板”中。为了说明的目的,假设模板生成管理器已经为具有ID 300的字符串类型数据创建“应用信息元素数据模板”。由于SMTP_BANNER具有类型字符串的数据,所以映射到该模板中。
2)同样,对于HTTP_URI,再次确定是否分配了私人信息元素ID。如果未分配,则生成一个ID,例如,9000。由于HTTP_URI也具有类型字符串,所以将HTTP URI映射到具有ID300的模板中。
3)生成模板ID,例如,602,用于与标准元素匹配。
4)为其他标准信息元素生成模板ID,例如,603,在该实例中,可以包括八位字节计数。
5)生成另模板ID,例如,604,这可以识别具有模板ID 300、602以及603的多列表类型的子模板,作为子模板可以由其构成的不同模板。
6)生成响应模板,例如,具有模板ID 705。模板705的数据记录可以包括响应ID100(例如,请求35使用的请求ID)和作为604的应用数据模板ID。
模板生成管理器60将所有模板300、602、603、604以及705发送给请求发生器98。它也发送模板705的数据记录。模板705的数据记录看起来像这样:
删除请求对应于增加请求。通过发送删除请求模板并且然后发送数据记录,请求发生器98可以请求删除。删除请求模板由根据请求创建的应用数据模板id构成。在看到删除请求时,输出器单元30撤销为该请求创建的所有独特模板。可以将DPI引擎重新配置成停止分析应用或应用元数据,其中,没有活动的收集器。作为以上请求的说明,删除数据记录看起来像这样:
“删除应用元数据”
信息元素描述 | 备注 |
应用数据模板id=604 | 为请求生成的多列表模板的Id |
由于具有每个应用元数据具有其自身的模板的多列表模板,所以确保可以支持一生成就发送应用元数据的推送模型。数据记录将仅仅由找出的应用元数据的细节构成。进一步,这种设置还确保可以支持交易等级推送模型,其中,对于具有不同的交易语义的应用,可以输出为交易收集的所有元数据。由于具有子模板多列表,所以还可以记录和发送相同数据的多个实例。
通过发送具有以下错误模板的响应61,模板生成管理器60还可以回应错误。
虽然描述为由输出单元30发送,但是收集器单元92还可以发送包括以上错误模板的消息,以传送在通知33内的任何错误或任何其他通信。
在这方面,技术可以促进一开放的且标准的方法,通过该方法来请求和接收应用和应用元数据信息。技术可以提供新DPI市场,并且可能促进开发SDN和虚拟化环境。
图3是示出在执行在本公开中描述的技术的各个方面时图2的网络装置40和80的示例性操作的流程图。首先,包含在收集器网络装置80内的收集器单元92的IPFIX协议单元94通过作为一个实例的TCP连接至包含在输出网络装置40内的输出单元30的IPFIX协议单元56(150)。响应于IPFIX协议单元94建立TCP会话,IPFIX协议单元56调用广告商58。广告商58生成通知33,其通过通知的应用元数据类型(AMT)的形式通知应用元数据检测能力(152)。广告商58可以通过TCP会话将通知33转发给IPFIX协议单元94(154)。
IPFIX协议单元94可以接收通知33,并且调用通知处理器96。通知处理器96处理通知33,以确定网络装置80被配置成收集的通知的应用元数据类型的子集(156)。通知处理器96可以将通知的应用元数据类型的确定的子集提供给IPFIX协议单元94的请求发生器98。请求发生器98可以基于通知的应用元数据类型的确定的子集生成请求35(158)。请求发生器98可以通过TCP会话将请求35发送给IPFIX协议单元56,以有效地请求IPFIX协议单元56将与通知的应用元数据类型对应的通知的应用元数据(AM)的子集输出给网络装置80(160)。
响应于接收请求35,IPFIX协议单元56可以调用模板生成管理器60。模板生成管理器60处理请求35,以生成反映通知的应用元数据类型的请求子集的新模板(162)。模板生成管理器60还可以通过TCP会话传输新模板,以确认请求35,如上面更详细地所述(164)。模板生成管理器60还可以与DPI单元32接合,以表示DPI单元32要生成与在请求35中规定的应用元数据类型的请求子集对应的应用元数据55(166)。
在请求35中规定的应用元数据的请求子集已经由DPI单元32生成的实例中(由于网络装置80或某个其他收集器的IPFIX协议单元94的前一个请求),模板生成管理器60不与DPI单元32接合,以在DPI单元32已经生成请求的应用元数据时,将DPI单元32配置成生成应用元数据55的请求子集。
在相对于请求来配置TCP会话并且可能将DPI单元32配置成生成通知的应用元数据的请求子集之后,IPFIX协议单元56可以调用会话管理器62,以管理建立的TCP会话。会话管理器62可以表示单元,其被配置成引导数据包从流27中通过DPI单元32的服务引擎34并且储存因服务引擎34处理流27的数据包而生成的应用元数据55。然后,会话管理器62可以解析应用元数据55,以生成与应用元数据类型的请求子集对应的通知的应用元数据的请求子集。在这方面,会话管理器62可以与DPI单元32一起处理数据包流27,以确定通知的应用元数据的请求子集(168)。会话管理器62可以将通知的应用元数据的请求子集提供给输出器64(170)。
输出器64将通知的应用元数据的请求子集作为一个或多个记录37输出给网络装置80的IPFIX协议单元94。IPFIX协议单元94可以响应于接收记录37,调用元数据收集器100。元数据收集器100可以根据IPFIX协议收集记录37并且解析记录37,以提取通知的应用元数据的请求子集。元数据收集器100可以给服务单元102提供通知的应用元数据的请求子集,作为应用元数据101(172)。如上面更详细地所描述的,服务单元102可以基于通知的应用元数据的请求子集,提供服务(174)。
图4是示出根据在本公开中描述的技术的各个方面在生成模板时网络装置的实例操作的流程图。作为一个实例,网络装置40可以执行以下模板生成技术。尤其地,作为一个实例,网络装置40的模板生成管理器60可以执行下面描述的模板生成技术。
模板生成管理器60可以接收应用元数据的请求35(200)。对于特定的IPFIX会话,并且响应于请求35,模板生成管理器60可以确定是否存在信息元素ID(202)。在已经存在信息元素ID时(“YES”204),模板生成管理器60可以使用现有信息元素ID(206)。在不存在信息元素ID时(“NO”204),模板生成管理器60可以生成新信息元素ID(208)。
此外,模板生成管理器60可以确定信息元素ID的数据类型是否可以映射到一个现有“应用信息元素数据模板”中(210)。在可以映射信息元素ID的数据类型(例如,数据类型与现有“应用信息元素数据模板”的数据类型相同)(“YES”210)时,模板生成管理器60可以将信息元素ID映射到现有应用信息元素数据模板中。在信息元素ID的数据类型不能映射到现有“应用信息元素数据模板”(“NO”210)中时,模板生成管理器60可以生成新应用信息元素数据模板(214),并且将信息元素映射到新应用信息元素数据模板中。应用信息元素数据模板可以称为第一模板。
模板生成管理器60还可以给在匹配标准中使用的任何信息元素生成第二模板,如上面更详细地所描述的(216)。模板生成管理器60可以进一步为任何其他标准信息元素生成第三模板(218)。模板生成管理器60可以接下来生成新子模板多列表,包括第一、第二以及第三模板(220)。模板生成管理器60可以基于模板多列表,生成响应模板,如上面更详细地所描述的(222)。
在本文中描述的技术可以在硬件、软件、固件或其任何组合内实现。作为模块、单元或元件描述的各种特征可以在集成逻辑装置内共同地或者作为离散的但是互操作的逻辑装置或其他硬件装置单独地实现。在某些情况下,电子电路的各种特征可以作为一个或多个集成电路装置实现,例如,集成电路芯片或芯片组。
如果在硬件内实现,则本公开可以涉及一种设备,例如,处理器或集成电路装置,例如,集成电路芯片或芯片组。可替换地或者此外,如果在软件或固件内实现,则这些技术可以至少部分由包括指令的计算机可读数据储存介质实现,在执行时,这些指令促使处理器执行上面描述的一种或多种方法。例如,计算机可读数据储存介质可以储存这种指令,以由处理器执行。
计算机可读介质可以形成一部分计算机程序产品,该产品可以包括封装材料。计算机可读介质可以包括计算机可读储存介质,例如,随机存取存储器(RAM)、只读存储器(ROM)、非易失性随机存取存储器(NVRAM)、电可擦可编程只读存储器(EEPROM)、闪速存储器、磁或光学数据储存介质等。在一些实例中,制品可以包括一个或多个计算机可读储存介质。
在一些实例中,计算机可读储存介质可以包括永久性介质。术语“永久性”可以表示储存介质不在载波或传播信号内体现。在某些实例中,永久性储存介质可以储存可以随着时间改变的数据(例如,在RAM或高速缓冲存储器内)。
代码或指令可以是由包括一个或多个处理器的处理电路执行的软件和/或固件,例如,一个或多个数字信号处理器(DSP)、通用微处理器、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或其他等效的集成或离散逻辑电路。因此,在本文中使用的术语“处理器”可以表示任何上述结构或者适合于实现在本文中描述的技术的任何其他结构。此外,在一些方面,可以在软件模块或硬件模块内提供在本公开中描述的功能。
描述了各种实施方式。这些和其他实施方式在以下实例的范围内。
Claims (28)
1.一种方法,包括:
由被配置成通过互联网协议流信息eXport(IPFIX)协议输出应用元数据的第一网络装置确定所述第一网络装置具有能力通过分析网络数据包来检测的应用元数据的类型,所述应用元数据包括表示由交换数据包的网络过程所使用的网络协议的数据;并且
由所述第一网络装置执行IPFIX协议,以将所述应用元数据的类型通知给被配置成收集所述应用元数据的子集的第二网络装置。
2.根据权利要求1所述的方法,进一步包括:
由所述第一网络装置并且从所述第二网络装置中通过所述IPFIX协议接收对于至少部分与所述第二网络装置被配置成收集的应用元数据的子集对应的应用元数据的类型的子集的请求;并且
由所述第一网络装置执行所述IPFIX协议,以将所述应用元数据的子集输出给所述第二网络装置,所述应用元数据的子集与所请求的所述应用元数据类型的子集对应。
3.根据权利要求1和2的任何组合所述的方法,
其中,所述通知包括第一IPFIX模板以及将所述应用元数据的类型规定为应用标识符和应用元数据标识符的列表的相关联的数据记录,并且
其中,所述请求包括第二IPFIX模板以及将所请求的所述应用元数据的类型的子集规定为一个或多个应用标识符和一个或多个应用元数据标识符的列表的相关联的数据记录。
4.根据权利要求1所述的方法,
其中,所述第一网络装置包括深度包检测(DPI)单元,其被配置成分析网络数据包,以检测应用元数据,并且
其中,确定所述应用元数据的类型,包括分析所述DPI单元,
以确定所述第一网络装置具有能力检测的应用元数据。
5.根据权利要求4所述的方法,进一步包括:
在执行IPFIX协议,以通知应用元数据的类型之后,动态升级所述DPI单元,以检测额外类型的应用元数据;
重新分析所述DPI单元,以确定所述第一网络装置具有能力检测的更新的应用元数据,所述更新的应用元数据包括额外类型的应用元数据;并且
执行IPFIX协议,以将额外类型的应用元数据通知给所述第二网络装置。
6.根据权利要求4和5的任何组合所述的方法,进一步包括:
接收所述第二网络装置的修改所述第二网络装置的原始请求的应用元数据的类型的子集的后续请求;
基于所述后续请求,修改由所述原始请求所请求的应用元数据的类型的子集,以确定所述应用元数据的类型的修改的子集;并且执行所述IPFIX协议,以将应用元数据的修改的子集输出给所述第二网络装置,所述应用元数据的修改的子集与所述应用元数据的类型的修改的子集对应。
7.一种第一网络装置,其被配置成通过互联网协议流信息eXport(IPFIX)协议输出应用元数据,所述第一网络装置包括:
一个或多个处理器,其被配置成确定所述第一网络装置具有能力通过分析网络数据包来检测的应用元数据的类型,所述应用元数据包括表示交换数据包的网络过程所使用的网络协议的数据;以及存储器,其被配置成储存所述应用元数据,
其中,所述一个或多个处理器进一步被配置成执行所述IPFIX协议,以将应用元数据的类型通知给被配置成收集所述应用元数据的子集的第二网络装置。
8.根据权利要求7所述的第一网络装置,其中,所述一个或多个处理器进一步被配置成:从所述第二网络装置中通过所述IPFIX协议接收对于至少部分与所述第二网络装置被配置成收集的应用元数据的子集对应的应用元数据的类型的子集的请求;并且执行所述IPFIX协议,以将应用元数据的子集输出给所述第二网络装置,所述应用元数据的子集与所请求的所述应用元数据类型的子集对应。
9.根据权利要求7和8的任何组合所述的第一网络装置,
其中,所述通知包括第一IPFIX模板以及将所述应用元数据的类型规定为应用标识符和应用元数据标识符的列表的相关联的数据记录,并且
其中,所述请求包括第二IPFIX模板以及将所请求的所述应用元数据的类型的子集规定为一个或多个应用标识符和一个或多个应用元数据标识符的列表的相关联的数据记录。
10.根据权利要求7所述的第一网络装置,进一步包括深度包检测(DPI)单元,其被配置成分析网络数据包,以检测应用元数据,
其中,所述一个或多个处理器被配置成与所述DPI单元连接,以确定所述第一网络装置具有能力检测的应用元数据。
11.根据权利要求10所述的第一网络装置,
其中,在执行IPFIX协议以通知所述应用元数据的类型之后,动态升级所述DPI单元,以检测额外类型的应用元数据;并且
其中,所述一个或多个处理器再次与所述DPI单元连接,以确定所述第一网络装置具有能力检测的更新的应用元数据,所述更新的应用元数据包括额外类型的应用元数据,并且执行所述IPFIX协议,以将额外类型的应用元数据通知给所述第二网络装置。
12.根据权利要求7、8、10以及11的任何组合所述的第一网络装置,其中,所述一个或多个处理器进一步被配置成:接收所述第二网络装置的修改所述第二网络装置的原始请求的应用元数据的类型的子集的后续请求;基于所述后续请求,修改由所述原始请求所请求的应用元数据的类型的子集,以确定所述应用元数据的类型的修改的子集;并且执行所述IPFIX协议,以将应用元数据的修改的子集输出给所述第二网络装置,所述应用元数据的修改的子集与所述应用元数据的类型的修改的子集对应。
13.一种方法,包括:
由第一网络装置通过互联网协议流信息eXport(IPFIX)协议接收通知,所述通知通知第二网络装置能够通过分析网络流量来检测并且通过所述IPFIX协议输出的应用元数据的类型,所述应用元数据包括由表示交换数据包的网络过程所使用的网络协议的数据;
由所述第一网络装置确定所述第一网络装置被配置成收集的应用元数据的类型的子集;并且
由所述第一网络装置执行所述IPFIX协议,以请求所述第二网络装置将应用元数据的类型的子集输出给所述第一网络装置。
14.根据权利要求13所述的方法,
其中,所述通知包括第一IPFIX模板以及将所述应用元数据的类型规定为应用标识符和应用元数据标识符的列表的相关联的数据记录,并且
其中,所述请求包括第二IPFIX模板以及将所请求的所述应用元数据的类型的子集规定为一个或多个应用标识符和一个或多个应用元数据标识符的列表的相关联的数据记录。
15.根据权利要求13所述的方法,进一步包括:
通过所述IPFIX协议接收与所请求的应用元数据的类型的子集对应的应用元数据的子集;并且
处理所述应用元数据的子集。
16.根据权利要求13-15中任一项所述的方法,
其中,所述第一网络装置包括软件限定的网络控制器装置,所述网络控制器装置配置所述第二网络装置连接的网络,并且
其中,处理所述应用元数据的子集,包括处理所述应用元数据的子集,以识别相对于所述网络待应用的配置变化,并且
其中,所述方法进一步包括与所述网络连接,以部署所述配置变化。
17.根据权利要求13-15中的任何组合所述的方法,
其中,所述第一网络装置包括网络安全装置,其被配置成相对于所述第二网络装置连接的网络,应用网络安全服务,
其中,处理所述应用元数据的子集包括处理所述应用元数据的子集,以识别对网络的安全威胁,并且
其中,所述方法进一步包括与所述网络连接,以部署对所识别的安全威胁的对策。
18.根据权利要求13所述的方法,进一步包括:
执行所述IPFIX协议,以向所述第二网络装置发出后续请求,所述后续请求修改原始请求的应用元数据的类型的子集;并且
通过所述IPFIX协议,接收所述第二网络装置的应用元数据的修改的子集,所述应用元数据的修改的子集与所述应用元数据的类型的修改的子集对应。
19.根据权利要求13所述的方法,进一步包括:
通过所述IPFIX协议,接收来自所述第二网络装置的更新的通知,除了通过所述通知来通知的所述应用元数据的类型以外,所述更新的通知还包括所述第二网络装置能够检测的额外类型的应用元数据;
确定所述第一网络装置被配置成收集的应用元数据的类型的额外子集;
执行所述IPFIX协议,以请求额外类型的应用元数据的子集。
20.根据权利要求13-15、18以及19的任何组合所述的方法,其中,所述请求进一步包括对应的应用元数据何时将被生成的指示。
21.根据权利要求13-15、18以及19的任何组合所述的方法,进一步包括:通过所述IPFIX协议,接收与所请求的所述应用元数据的类型的子集对应的应用元数据的一部分子集,其中,在所述第二网络装置收集与所请求的子集对应的应用元数据的整个子集之前,发送所述应用元数据的这部分子集。
22.一种第一网络装置,包括:
接口,其被配置成通过互联网协议流信息eXport(IPFIX)协议接收通知,所述通知通知第二网络装置能够通过分析网络流量来检测并且通过IPFIX协议输出的应用元数据的类型,并且所述应用元数据包括表示由交换数据包的网络过程所使用的网络协议的数据;以及
一个或多个处理器,其被配置成确定所述第一网络装置被配置成收集的应用元数据的类型的子集,并且执行所述IPFIX协议,以请求所述第二网络装置将通知的应用元数据的类型的子集输出给所述第一网络装置。
23.根据权利要求22所述的第一网络装置,
其中,所述通知包括第一IPFIX模板以及将所述应用元数据的类型规定为应用标识符和应用元数据标识符的列表的相关联的数据记录,并且
其中,所述请求包括第二IPFIX模板以及将所请求的所述应用元数据的类型的子集规定为一个或多个应用标识符和一个或多个应用元数据标识符的列表的相关联的数据记录。
24.根据权利要求22所述的第一网络装置,其中,所述一个或多个处理器进一步被配置成通过所述IPFIX协议接收与所请求的应用元数据的类型的子集对应的应用元数据的子集;并且处理所述应用元数据的子集。
25.根据权利要求22-24中的任何组合所述的第一网络装置,
其中,所述第一网络装置包括软件限定的网络控制器装置,其配置所述第二网络装置连接的网络,并且
其中,所述一个或多个处理器被配置成处理所述应用元数据的子集,以识别相对于所述网络待应用的配置变化,并且与所述网络连接,以部署所述配置变化。
26.根据权利要求22-24中的任何组合所述的第一网络装置,
其中,所述第一网络装置包括网络安全装置,其被配置成相对于所述第二网络装置连接的网络,应用网络安全服务,并且
其中,所述一个或多个处理器被配置成处理所述应用元数据的子集,以识别对网络的安全威胁,并且与所述网络连接,以部署对所识别的安全威胁的对策。
27.根据权利要求22所述的第一网络装置,其中,所述一个或多个处理器进一步被配置成执行所述IPFIX协议,以向所述第二网络装置发出后续请求,所述后续请求修改原始请求的应用元数据的类型的子集;并且通过IPFIX协议,接收来自所述第二网络装置的应用元数据的修改的子集,所述应用元数据的修改的子集与所述应用元数据的类型的修改的子集对应。
28.根据权利要求22所述的第一网络装置,其中,所述一个或多个处理器进一步被配置成通过所述IPFIX协议,接收来自所述第二网络装置的更新的通知,除了通过所述通知来通知的应用元数据的类型以外,所述更新的通知还包括所述第二网络装置能够检测的额外类型的应用元数据;确定所述第一网络装置被配置成收集的应用元数据的类型的额外子集;并且执行所述IPFIX协议,以请求额外类型的应用元数据的子集。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US14/868,206 | 2015-09-28 | ||
US14/868,206 US10063451B2 (en) | 2015-09-28 | 2015-09-28 | Providing application metadata using export protocols in computer networks |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106953737A true CN106953737A (zh) | 2017-07-14 |
CN106953737B CN106953737B (zh) | 2020-11-20 |
Family
ID=57144760
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610855794.9A Active CN106953737B (zh) | 2015-09-28 | 2016-09-27 | 在计算机网络内使用输出协议提供应用元数据 |
Country Status (3)
Country | Link |
---|---|
US (1) | US10063451B2 (zh) |
EP (1) | EP3148118B1 (zh) |
CN (1) | CN106953737B (zh) |
Families Citing this family (20)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10148594B2 (en) | 2015-12-31 | 2018-12-04 | Fortinet, Inc. | Application based conditional forwarding and load balancing in a software defined networking (SDN) architecture |
US10075393B2 (en) * | 2015-12-31 | 2018-09-11 | Fortinet, Inc. | Packet routing using a software-defined networking (SDN) switch |
KR102476126B1 (ko) * | 2016-12-30 | 2022-12-12 | 비트디펜더 네덜란드 비.브이. | 고속 분석을 위한 네트워크 트래픽 준비 시스템 |
US10389630B2 (en) | 2017-06-30 | 2019-08-20 | Futurewei Technologies, Inc. | Monitoring, measuring, analyzing communication flows between identities in an identity-enabled network using IPFIX extensions |
US10320688B2 (en) * | 2017-06-30 | 2019-06-11 | Futurewei Technologies, Inc. | Aggregating flows by endpoint category |
CN110620675A (zh) * | 2018-06-20 | 2019-12-27 | 佛山市顺德区美的电热电器制造有限公司 | 一种信息处理方法、装置和计算机存储介质 |
US20210083941A1 (en) * | 2019-09-12 | 2021-03-18 | Oracle International Corporation | System and method for use of dynamic templates with a network traffic flow information protocol |
US11736447B2 (en) * | 2020-07-23 | 2023-08-22 | Dell Products L.P. | Method and system for optimizing access to data nodes of a data cluster using a data access gateway and metadata mapping based bidding in an accelerator pool |
US11936624B2 (en) | 2020-07-23 | 2024-03-19 | Dell Products L.P. | Method and system for optimizing access to data nodes of a data cluster using a data access gateway and bidding counters |
US11882098B2 (en) * | 2020-07-23 | 2024-01-23 | Dell Products L.P. | Method and system for optimizing access to data nodes of a data cluster using a data access gateway and metadata mapping based bidding |
US11895093B2 (en) * | 2020-07-23 | 2024-02-06 | Dell Products L.P. | Method and system for optimizing access to data nodes of a data cluster using a data access gateway |
US11606719B2 (en) | 2020-09-24 | 2023-03-14 | Juniper Networks, Inc. | Application identification and path selection at a wireless access point for local network traffic breakout |
US11950139B2 (en) | 2020-08-07 | 2024-04-02 | Juniper Networks, Inc. | Application identification and path selection at a wireless access point for local network traffic breakout |
US11526284B2 (en) | 2020-08-14 | 2022-12-13 | Dell Products L.P. | Method and system for storing data in a multiple data cluster system |
US11785048B2 (en) | 2020-10-30 | 2023-10-10 | Palo Alto Networks, Inc. | Consistent monitoring and analytics for security insights for network and security functions for a security service |
EP3993331B1 (en) * | 2020-10-30 | 2023-05-03 | Palo Alto Networks, Inc. | Flow metadata exchanges between network and security functions for a security service |
US11095612B1 (en) | 2020-10-30 | 2021-08-17 | Palo Alto Networks, Inc. | Flow metadata exchanges between network and security functions for a security service |
CN112867046B (zh) * | 2021-03-02 | 2024-05-14 | 浪潮通信技术有限公司 | 一种基于模拟仿真核心网测试upf网元功能的方法 |
US11627061B1 (en) * | 2022-02-24 | 2023-04-11 | Microsoft Technology Licensing, Llc | Packet capture using VXLAN encapsulation |
US11996981B2 (en) * | 2022-08-11 | 2024-05-28 | Cisco Technology, Inc. | Options template transport for software defined wide area networks |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20090222924A1 (en) * | 2006-03-02 | 2009-09-03 | International Business Machines Corporation | Operating a network monitoring entity |
CN101877655A (zh) * | 2009-04-30 | 2010-11-03 | 华为技术有限公司 | 网络管理系统、网管服务器和方法 |
CN102427480A (zh) * | 2011-12-31 | 2012-04-25 | 北京新媒传信科技有限公司 | 一种多应用服务平台系统中的应用访问方法 |
US20140304393A1 (en) * | 2013-04-06 | 2014-10-09 | Citrix Systems, Inc. | Systems and methods for exporting application details using appflow |
CN104115463A (zh) * | 2011-11-07 | 2014-10-22 | 网络流逻辑公司 | 用于处理网络元数据的流式传输方法和系统 |
EP2804344A1 (en) * | 2013-05-15 | 2014-11-19 | Tellabs Oy | A network element of a software-defined network |
Family Cites Families (19)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP2090021B1 (fr) * | 2006-10-26 | 2012-12-05 | France Télécom | Procede de supervision d'une pluralite d'equipements dans un reseau de communication |
US7761471B1 (en) * | 2007-10-16 | 2010-07-20 | Jpmorgan Chase Bank, N.A. | Document management techniques to account for user-specific patterns in document metadata |
US8274895B2 (en) * | 2009-01-26 | 2012-09-25 | Telefonaktiebolaget L M Ericsson (Publ) | Dynamic management of network flows |
US8739157B2 (en) * | 2010-08-26 | 2014-05-27 | Adobe Systems Incorporated | System and method for managing cloud deployment configuration of an application |
US9244951B2 (en) * | 2012-03-08 | 2016-01-26 | International Business Machines Corporation | Managing tenant-specific data sets in a multi-tenant environment |
US9065767B2 (en) * | 2012-04-03 | 2015-06-23 | Cisco Technology, Inc. | System and method for reducing netflow traffic in a network environment |
US9064216B2 (en) | 2012-06-06 | 2015-06-23 | Juniper Networks, Inc. | Identifying likely faulty components in a distributed system |
US9077631B2 (en) * | 2012-10-04 | 2015-07-07 | Verizon Patent And Licensing Inc. | Network capacity planning |
US9438488B2 (en) * | 2012-11-09 | 2016-09-06 | Citrix Systems, Inc. | Systems and methods for appflow for datastream |
EP2959658A1 (en) * | 2013-02-22 | 2015-12-30 | Adaptive Mobile Security Limited | Dynamic traffic steering system and method in a network |
US9230213B2 (en) * | 2013-03-15 | 2016-01-05 | Extreme Networks, Inc. | Device and related method for scoring applications running on a network |
US9130826B2 (en) * | 2013-03-15 | 2015-09-08 | Enterasys Networks, Inc. | System and related method for network monitoring and control based on applications |
US20150039749A1 (en) * | 2013-08-01 | 2015-02-05 | Alcatel-Lucent Canada Inc. | Detecting traffic anomalies based on application-aware rolling baseline aggregates |
US9736321B2 (en) * | 2014-05-29 | 2017-08-15 | International Business Machines Corporation | Changing a data stream characteristic based on a data usage rate |
US9244978B2 (en) * | 2014-06-11 | 2016-01-26 | Oracle International Corporation | Custom partitioning of a data stream |
EP3163892A4 (en) * | 2014-06-30 | 2017-11-08 | LG Electronics Inc. | Broadcast receiving device, method of operating broadcast receiving device, linking device for linking to broadcast receiving device, and method of operating linking device |
US20150381737A1 (en) * | 2014-06-30 | 2015-12-31 | Davra Networks Limited | Gateway device and a gateway system for an internet-of-things environment |
US9800507B2 (en) * | 2015-02-10 | 2017-10-24 | Verizon Patent And Licensing Inc. | Application-based path computation |
US20160321410A1 (en) * | 2015-04-30 | 2016-11-03 | Mckesson Corporation | Generating Patient Eligibility Data Indicative of Patient Eligibility for Healthcare Services Using Claim Transaction Data |
-
2015
- 2015-09-28 US US14/868,206 patent/US10063451B2/en active Active
-
2016
- 2016-09-27 CN CN201610855794.9A patent/CN106953737B/zh active Active
- 2016-09-27 EP EP16190749.8A patent/EP3148118B1/en active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20090222924A1 (en) * | 2006-03-02 | 2009-09-03 | International Business Machines Corporation | Operating a network monitoring entity |
CN101877655A (zh) * | 2009-04-30 | 2010-11-03 | 华为技术有限公司 | 网络管理系统、网管服务器和方法 |
CN104115463A (zh) * | 2011-11-07 | 2014-10-22 | 网络流逻辑公司 | 用于处理网络元数据的流式传输方法和系统 |
CN102427480A (zh) * | 2011-12-31 | 2012-04-25 | 北京新媒传信科技有限公司 | 一种多应用服务平台系统中的应用访问方法 |
US20140304393A1 (en) * | 2013-04-06 | 2014-10-09 | Citrix Systems, Inc. | Systems and methods for exporting application details using appflow |
EP2804344A1 (en) * | 2013-05-15 | 2014-11-19 | Tellabs Oy | A network element of a software-defined network |
Non-Patent Citations (2)
Title |
---|
CISCO SYSTEMS, INC.: "Cisco Systems Export of Application Information in IP Flow Information Export (IPFIX)", 《HTTPS://TOOLS.IETF.ORG/HTML/RFC6759》 * |
RADEK BOCH: "Nástroje pro monitoring, řízení a optimalizaci aplikačního provozu v Intelligent WAN architektuře", 《HTTPS://WWW.CISCO.COM/C/DAM/ASSETS/GLOBAL/CZ/EVENTS/2015/CISCOCONNECT/PDF/TECH-WAN-3-MONITORING_HQOS_OPTIMALIZACE-RBOCH.PDF》 * |
Also Published As
Publication number | Publication date |
---|---|
EP3148118B1 (en) | 2019-07-10 |
CN106953737B (zh) | 2020-11-20 |
EP3148118A1 (en) | 2017-03-29 |
US20170093681A1 (en) | 2017-03-30 |
US10063451B2 (en) | 2018-08-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106953737A (zh) | 在计算机网络内使用输出协议提供应用元数据 | |
CN104519121B (zh) | 计算机网络内的会话感知服务链 | |
CN107566440B (zh) | 软件定义的网络环境中服务的自动发现和自动扩缩 | |
US10742770B2 (en) | Monitoring services key performance indicators using TWAMP for SDN and NFV architectures | |
CN107409089A (zh) | 业务功能注册机制和能力索引编制 | |
EP3759870B1 (en) | Network slicing with smart contracts | |
CN106464742A (zh) | 用于基于云的服务交换的可编程网络平台 | |
CN105306333A (zh) | 跨越多个网络的服务链接 | |
CN105637819B (zh) | 用于传输广播数据的方法和系统 | |
US9820316B2 (en) | Preventing asymmetric routing using network tunneling | |
KR101746105B1 (ko) | 서비스 체이닝이 가능한 오픈플로우 스위치 | |
WO2021110894A1 (en) | Providing interface between network management and slice management | |
CN107135185A (zh) | 一种攻击处理方法、设备及系统 | |
Hyun et al. | A VoLTE traffic classification method in LTE network | |
KR101739100B1 (ko) | 서비스 체이닝 가능한 오픈플로우 스위치 제어 방법 및 그 제어기 | |
TW201526588A (zh) | 用於本地與遠端處理時之設備控制分隔的系統及其方法 | |
CN107040442A (zh) | 通信方法、通信系统和城域传送网的缓存路由器 | |
KR20160116621A (ko) | 오픈플로우 스위치의 서비스 체이닝 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
CB02 | Change of applicant information |
Address after: California, USA Applicant after: Juniper Networks, Inc. Address before: California, USA Applicant before: Jungle network |
|
CB02 | Change of applicant information | ||
GR01 | Patent grant | ||
GR01 | Patent grant |