CN108449210A - 一种eigrp路由网路故障监测系统 - Google Patents

Abstract

本发明公开了一种EIGRP路由故障监测系统，属于网络监测领域。该系统包括路由报文采集组件PR，和被监测的EIGRP路由网络中的核心路由直连，负责从EIGRP网络中采集路由报文，将采集到的路由报文传输给实时分析组件PG；实时分析组件PG，接收来自一个或多个路由报文采集组件PR的路由报文，并通过接收到的路由报文对网络进行实时分析；实现了对EIGRP路由协议进行实时监控和告警。该系统还可以包括离线分析组件EIGRPScan，基于实时分析组件PG保存的路由报文或从路由报文采集组件接收到的路由报文进行离线分析，可以对EIGRP路由网路的行为、故障和异常进行离线深入分析。

Description

一种EIGRP路由网路故障监测系统

技术领域

本发明涉及网络监控领域，尤其涉及一种EIGRP路由网络故障监测系统。

背景技术

近年来，随着因特网技术的快速发展，人们在使用因特网的同时，也越来越多地开始关注网络的使用感受，这促使网络服务运营商对所使用网络的可靠性、鲁棒性和安全性提出了更高的要求，他们希望可以随时对网络性能进行实时监测、预警并及时对网络中可能或已经发生的异常和故障进行恢复。路由网络是整个网络可以正常运行的关键，因此对路由网络的监测就显得非常重要。

由于存在跳数限制、不支持VLSM和非连续网络、带宽消耗大等缺点，传统的距离矢量路由协议(如RIP和IGRP)已不适用于解决当前网络实际需求。为了解决这些问题，在IGRP(Interior Gateway Routing Protocol，内部网关路由协议)的基础上提出了一种新型路由协议—增强型内部网关路由协议(Enhanced Interior Gateway Protocol，EIGRP)，EIGRP路由协议不仅是一种距离矢量协议，它还具有链路状态协议的相关特性，相比于IGRP协议，EIGRP收敛速度更快，带宽消耗更少；也因为EIGRP部署简单、鲁棒性好，常被应用在一些安全性、可靠性、稳定性和伸缩性要求高的场所中，例如银行系统、军事系统中。

但是现有技术中，大多数的研究集中在将EIGRP与开放式最短路径优先OSPF(OpenShortest Path First)路由协议进行比较分析这一方面，或只是在网络流量监测等领域简单的对EIGRP路由协议进行研究，并不存在对EIGRP路由网络进行有效管理和操作的监测技术，以及需要的监测系统具有稳定、可扩展且使用灵活的特点。而为了适应实际应用的需求，需要一种可以广泛应用的域内路由协议EIGRP的监测系统。

发明内容

本发明提供了一种EIGRP路由网络的故障监测系统，以解决现有技术中不能对EIGRP路由网络进行灵活高效管理和操作的技术问题。

为解决上述技术问题，本发明采用的一个技术方案是提供一种增强型内部网关路由协议EIGRP路由网络故障监测系统，该系统包括路由报文采集组件和实时分析组件；其中：路由报文采集组件，和被监测的EIGRP路由网络中的核心路由直接连接，负责从所述EIGRP路由网络中采集路由报文，将采集到的路由报文传输给实时分析组件；实时分析组件，接收来自一个或多个路由报文采集组件的路由报文，通过接收的所述路由报文实时监测分析出现的网络故障。

在本发明EIGRP路由网络故障监测系统的另一实施例中，所述路由报文采集组件与被监测的EIGRP路由网络中的核心路由直接连接的方式包括：窃听模式、主机模式、完全邻接模式和/或部分邻接模式。

在本发明EIGRP路由网络故障监测系统的另一实施例中，所述实时分析组件使用不断接收到的路由报文维护一个EIGRP路由网络的拓扑模型，并支持对所述被监测的EIGRP路由网络的网络拓扑实时查询。

在本发明EIGRP路由网络故障监测系统的另一实施例中，所述实时分析组件实时监测分析的网络故障包括：所述EIGRP路由网络的拓扑图发生变化、网络元件频繁发生震荡和/或网络中出现异常行为。

在本发明EIGRP路由网络故障监测系统的另一实施例中，所述实时分析组件根据监测分析的所述网络故障，向控制台对应发出的告警信息包括：网络拓扑改变告警信息、网络元件振荡告警信息和/或网络异常行为告警信息。

在本发明EIGRP路由网络故障监测系统的另一实施例中，所述网络拓扑模型包括6个构件，分别是工作域、路由器、参数项、子网项、接口和链路。

在本发明EIGRP路由网络故障监测系统的另一实施例中，所述实时分析组件在进行实时分析的同时，对接收的所述路由报文进行保存。

在本发明EIGRP路由网络故障监测系统的另一实施例中，所述监测系统进一步还包括离线分析组件，其基于所述实时分析组件保存的路由报文进行离线分析；或其接收路由报文采集组件发送的路由报文，并基于接收的路由报文进行离线分析。

在本发明EIGRP路由网络故障监测系统的另一实施例中，所述离线分析组件包括流量分类模块、模型拓扑更改模块、路由仿真模块、统计报告模块以及数据源关联模块。

在本发明EIGRP路由网络故障监测系统的另一实施例中，所述离线分析组件对所述路由报文的分析方法包括解析路由报文、测试路由报文和分析路由报文。

本发明的有益效果是：本发明提供的一种EIGRP路由网络故障监测系统，该系统包括路由报文采集组件、实时分析组件和/或离线分析组件。该监测系统实现了对EIGRP路由网络故障的实时监测，且可以根据需要定时或非定时进行深入全面地离线分析，满足了网络管理员在时间和可靠度方面对网络提出的要求；另外，通过设置相互独立分离的功能组件，使得不同组件功能简化，同时可以被独立重复使用，提高了系统的整体可靠性、可扩展性以及高效率性。

附图说明

图1是本发明应用的EIGRP路由协议的四个主要部件的示意图；

图2是根据本发明EIGRP路由网络的故障检测系统的一实施例；

图3是根据本发明EIGRP路由网络的故障检测系统的另一实施例；

图4是本发明中路由报文采集组件和EIGRP路由网络直连方式的示意图；

图5是本发明故障监测系统中实时分析组件PG维护的路由网络拓扑模型示意图；

图6是本发明中故障监测系统中离线分析组件EIGRPScan包含的功能模块示意图。

具体实施方式

为了便于理解本发明，下面结合附图和具体实施例，对本发明进行更详细的说明。附图中给出了本发明的较佳的实施例。但是，本发明可以以许多不同的形式来实现，并不限于本说明书所描述的实施例。相反地，提供这些实施例的目的是使对本发明的公开内容的理解更加透彻全面。

需要说明的是，除非另有定义，本说明书所使用的所有的技术和科学术语与属于本发明的技术领域的技术人员通常理解的含义相同。在本发明的说明书中所使用的术语只是为了描述具体的实施例的目的，不是用于限制本发明。本说明书所使用的术语“和/或”包括一个或多个相关的所列项目的任意的和所有的组合。

EIGRP路由协议是一种具有链路状态协议行为特性的距离矢量协议，距离矢量协议是路由器之间共享路由器所知道的所有信息，但仅仅限于直连的邻接路由器之间共享；而链路状态协议虽然只通告它们直连链路的信息，但是链路状态协议可以在它们的路由选择域内的所有路由器上共享这些信息。当路由网络发生变化时，通过非周期的、部分的和有边界的EIGRP更新将距离矢量传送给它直连的邻接路由器。“非周期的”是指EIGRP更新不会按照事先约定好的时间间隔定期发送，只有EIGRP路由网络拓扑结构发生变化或度量值改变时才发送EIGRP更新；“部分的”指发送EIGRP更新时，更新中不包含没有发生改变的路由条目，只会更新发生变化的路由条目；“有边界的”指只有受到影响的邻接路由器才会收到EIGRP更新，而不是路由网络中的所有路由器。这种更新特性使得EIGRP路由协议只需要占用较少的带宽即可以正常运行，这个优点在一些带宽低费用高的网络中运行时非常重要。

图1显示了本发明应用的EIGRP路由协议的主要部件，该EIGRP路由协议包括4个基本组成组件，分别是：(a)依赖于协议的模块11；(b)扩散更新算法DUAL(DUAL，DiffusingUpdate Algorithm)12；(c)邻居发现和恢复13；(d)可靠传输协议RTP(RTP，ReliableTransport Protocol)14。如图1所示，可靠传输协议RTP 14和邻居发现和恢复13是使扩散更新算法DUAL 12正确操作的更低层次上的协议，扩散更新算法DUAL 12可以在多个可路由的协议上执行路由计算。

可靠传输协议RTP 14负责保证EIGRP数据包有序地传递给所有的邻接路由器，支持多播和单播路由报文的混合传输。路由网络中只有一部分EIGRP路由报文需要可靠传输，其余则不需要，为了提高效率，只有在必要时才进行可靠传输。例如，在具有组播功能的多路访问网络(如以太网)中，不需要将HELLO数据包可靠地发送给所有邻居。所以EIGRP路由协议在发送一个单一的多播HELLO数据包时，会在数据包中有标明指示，通知接收方这个路由报文不需要被确认。其它类型的路由报文，例如UPDATE这种非常重要的路由报文，当接收方收到时需要进行确认，保证路由报文的可靠传输。可靠传输协议为了保证在不同速度链路情况下的收敛时间较低，规定当未确认的数据包挂起时，快速发送多播数据包。

邻居发现和恢复13是路由器动态学习其直连网络中邻接路由器的过程。路由器通过周期性的发送只有首部的HELLO路由报文的方式来实现邻接路由器异常的及时发现，只要接收到由邻接路由器发送的HELLO数据包时，路由器就可以确定邻接路由器可达并且运行正常，从而与邻接路由器正常交换路由信息。

扩散更新算法DUAL 12是一种距离矢量协议，用于代替在其它距离矢量路由协议中使用的Bellman‐Ford或Ford‐Fulkerson算法。DUAL有限状态机体现了所有路由计算的决策过程，追踪所有邻接路由器通告的路由条目。DUAL通过称为matrix的距离信息来选择有效的无环路径，基于可达的后继路由器中选择要插入路由表中的路由。后继路由器是用于数据报文转发的邻接路由器，可以使数据报文以最短路径到达最终目的路由器，并且该最短路径中无环。当没有候选后继路由器，且邻接路由器通告目的地时，此时需要开始重新计算最短路径，这是一个新的后继路由器确认的过程。重新计算路由路径所消耗的时间会对收敛时间产生影响，尽管路由路径重新计算不会频繁发生，但还是应该避免不必要的时间消耗。当EIGRP路由网络拓扑发生变化时，DUAL将测试可达的后继路由器，如果存在可行的后继路由器，它将使用它找到的任何东西，以避免不必要的重新计算。

依赖于协议的模块11负责特定协议的网络层，依赖于协议的模块11支持IP、IPX、APPLETALK三种网络层协议，即可以为IP、IPX、APPLETALK计算路由，这增加了EIGRP的应用范围。例如，IP模块负责发送和接收封装在IP中的EIGRP数据包。IP模块负责解析EIGRP数据包，并通知DUAL已接收的新信息。IP需要DUAL做出路由决定，并将结果存储在路由器中的路由表中。IP负责重新分配其他IP路由协议学到的路由。

图2显示了本发明EIGRP路由网络故障监测系统一实施例的架构图。在图2中，所述的EIGRP路由网络监测系统包括2个组件：路由报文采集组件PR(Packets Reflector，PR)21：和被监测的EIGRP路由网络23中的核心路由器直连，负责从EIGRP路由网络23中采集路由报文，将采集到的路由报文传输给实时分析组件PG 22(Packets aGgregator，PG)；实时分析组件PG 22：接收来自一个或多个路由报文采集组件PR 21的路由报文，并通过这些接收到的路由报文对网络进行实时分析。

在图2中，被监测的EIGRP路由网络23根据其规模的大小以及路由器地理位置的分布情况，将该EIGRP路由网络23划分为多个不同的AS区域(在EIGRP网络中，当网络规模较大时，可以将网络划分为多个独立的AS区域以便管理)，如图2中的AS‐0、AS‐1、AS‐2三个区域。在每个AS区域中，会存在一个核心路由器，通过该核心路由器，可以最大限度地获取该AS区域中的路由报文。路由报文采集组件PR 21和EIGRP路由网络23中各个AS域中的核心路由器连接，以便全面获取EIGRP路由网络数据包，使实时分析组件PG 22能够准确、及时地对网络故障进行识别。随着EIGRP路由网络23规模的增大，路由报文采集组件的数量也会相适应的增加，通常，根据与其连接的AS区域规模大小，可以设置一个路由报文采集组件PR 21对应一个AS区域，也可以设置一个路由报文采集组件PR 21对应多个AS区域。

图2所示的EIGRP路由网络故障监测系统，实现了对EIGRP路由网络的全面监测，最大限度地获取了EIGRP路由网络中的路由报文，为网络管理人员等实时提供了网络故障和异常的分析信息。

优选地，路由报文采集组件PR 21和实时分析组件PG 22由不同的硬件设备实现，且通过TCP连接，用于在两者之间传输路由报文采集组件PR 21采集的路由报文。

优选地，实时分析组件PG 21在实时分析的同时，基于不断接收的路由报文维护一个EIGRP路由网络的拓扑模型。图3显示了本发明EIGRP路由网络故障监测系统另一实施例的架构图。在图3中，所述的EIGRP路由网络监测系统包括3个组件：路由报文采集组件PR31：和被监测EIGRP路由网络34中的核心路由器直连，负责从EIGRP网络34中采集路由报文，将采集到的路由报文传输给实时分析组件PG 32；实时分析组件PG 32：接收来自一个或多个路由报文采集组件PR 31的路由报文，通过这些接收到的路由报文对网络进行实时分析；离线分析组件EIGRPScan 33：基于实时分析组件PG 32保存的数据进行详细和深入地离线分析，或接收路由报文采集组件PR 31发送的路由报文，并基于接收的路由报文进行离线分析。

在图3中，EIGRP路由网络34根据其规模的大小以及路由器地理位置的分布情况，将该EIGRP路由网络34划分为多个不同的AS区域，如图3中的AS‐0、AS‐1、AS‐2三个区域。在每个AS区域中，会存在一个核心路由器，通过该核心路由器，可以最大限度地获取该AS区域中的路由报文。路由报文采集组件PR 31和EIGRP路由网络中各个AS域中的核心路由器连接，以便全面获取EIGRP路由网络数据包，使实时分析组件PG 32能够准确、及时地对网络故障进行识别。随着EIGRP路由网络规模的增大，路由报文采集组件的数量也会相适应的增加，通常，根据与其连接的AS区域规模大小，可以设置一个路由报文采集组件PR 31对应一个AS区域，也可以设置一个路由报文采集组件PR 31对应多个AS区域。

图3所示的EIGRP路由网络监测系统，实现了对EIGRP路由网络的监测，一方面可以对网络故障和异常提供实时分析信息，另一方面可以以定时或非定时的方式对保存的网络信息进行全面和深入地离线分析，获取EIGRP网络的更详尽、全面的异常或故障信息，满足了网络管理人员在时间和精准度上对所使用网络的故障或异常信息的分析监测需求。

优选地，实时分析组件PG 31在实时分析的同时，基于不断接收的路由报文维护一个EIGRP路由网络的拓扑模型。优选地，路由报文采集组件PR 31和实时分析组件PG 32由不同的硬件设备实现，且通过TCP连接，用于在两者之间传输路由报文采集组件PR 31采集的路由报文。

优选地，实时分析组件PG 32和离线分析组件EIGRPScan 33由相同硬件设备上的不同模块实现，其中实时分析组件PG 32通过不同的进程并行实现实时分析功能和路由报文保存功能。

优选地，实时分析组件PG 32和离线分析组件EIGRPScan 33由不同的硬件设备实现，便于根据现有软硬件资源合理配置上述两个组件的安装位置。此时，离线分析组件EIGRPScan 33基于从路由报文采集组件PR 31接收到的路由报文进行离线分析，而不是基于实时分析组件PG 32保存的路由报文进行离线分析。

将EIGRP路由故障监测系统中各个部分设置为独立部分的设计具有多种优势：首先，每个组件可以被独立地重复使用，这样避免了不同组件之间的相互干扰，提高了系统的可靠性和鲁棒性。例如我们可以随意操作实时分析组件PG 32但是不会对路由报文采集组件PR 31造成任何影响；将实时分析组件PG 32与离线分析组件EIGRPScan 33功能划分为两个独立部分也具有其相应的益处：实时分析组件PG部分的实时分析功能，要求具有高可靠性(即24×7h可用性)和高效率性，这需要仔细分析实时分析组件PG部分需要支持哪些功能才能满足要求；另一方面，离线分析组件EIGRPScan需要高效处理大量数据，并提供用户查询档案功能，且离线分析组件EIGRPScan在具体支持何种分析功能方面有一定的自由度；尽管实时分析和离线分析作为单独组件实现，但这两个组件之间是相辅相成的关系，提供实时分析的系统也同时支持离线分析功能。

其次，实时分析组件PG可以选择性地接收处理路由报文采集组件PR捕获的EIGRP路由报文，例如只处理来自EIGRP网络某一特定AS域的路由报文，这样实时分析的处理速度和效率得到了大幅提升，路由故障监测系统的实时分析针对性也更强。

优选地，使用路由报文采集组件PR采集路由网络中路由报文时，需要被部署至被监测路由网络核心路由的邻接位置，因此路由报文采集组件PR结构通常比较简单，且具有良好的可靠性。如图2和图3所示，被监测的EIGRP路由网络由多个AS域组成，因此在实际部署时，需要部署多个路由报文采集组件PR才足以覆盖整个路由网络；当路由网络中AS域不位于同一机房，而是地理上广泛分布，此时就需要设置多个路由报文采集组件PR探针，以便于采集EIGRP网络数据。

优选的，路由报文采集组件PR支持安装应用程序，以便于根据网络系统规模增大等原因，对路由报文采集组件PR进行升级，从而提升路由报文采集组件PR的数据处理能力。

图4给出了路由报文采集组件PR 41与被监测EIGRP路由网络42中的核心路由器的直连方式，其包括窃听模式431、主机模式432、完全邻接模式433和部分邻接模式434共4种模式。在图4中，网络管理人员可以根据具体应用的需要，从4中模式中选择其中任何一种方式用于连接路由报文采集组件PR 41和被监测EIGRP路由网络42中的核心路由器，增加了路由报文采集组件PR接入EIGRP路由网络的灵活度。

在本发明的另一具体实施例中，路由报文采集组件PR从EIGRP路由网络中捕获路由报文并提供给实时分析组件PG和离线分析组件EIGRPScan。由于EIGRP路由协议中DUAL扩散更新算法、可靠传输协议和邻居发现和恢复等机制的存在，路由网络中路由报文即使在路由器受损的情况下也可以正常、可靠通信。因此，在采集路由网络中路由报文时，路由报文采集组件PR需要与被监测EIGRP路由网络中的核心路由器直连。

优选地，路由报文采集组件PR通过窃听模式与被监测EIGRP路由网络中的核心路由器直连。从路由网络中采集路由报文的一个方法是在网络链路中使用一个分接头，在二层交换机上进行物理分接或者端口转发。我们通常将这种采集路由报文的模式称为wire‐tap模式，即窃听模式；如果通过正确的方式完成部署，则可以完全被动的方式捕获路由报文。

优选地，路由报文采集组件PR通过主机模式与被监测EIGRP路由网络中的核心路由器直连。路由报文数据在EIGRP路由网络中通过多播或单播方式在网络中传输，因此，在EIGRP网络中，路由报文采集组件PR可以通过加入EIGRP网络来接收、采集路由报文，我们将这种采集路由报文的方式称为主机模式。在这种模式下，路由报文采集组件PR中的探针设备不需要与EIGRP路由网络中被监测的路由器建立任何形式邻接关系，路由报文采集组件PR对于EIGRP网络中的路由器完全不可见，这对于任何被动监测系统都是最理想情况。

优选地，路由报文采集组件PR通过完全邻接模式与被监测EIGRP路由网络中的核心路由器直连。路由报文采集组件PR在不发送多播路由报文的点到点链路中，必须与被监测路由器建立完整的邻接关系才能正常采集路由报文，我们称这种方式为完全邻接模式。在这种模式下，路由报文采集组件PR在EIGRP路由网络中对于路由器是可见的。而确保路由报文采集组件PR对路由网络的影响最小化是至关重要的，且最重要的是，EIGRP路由网络中的路由器不会通过路由报文采集组件PR向其它路由器转发路由报文。为了使PR对路由网络的影响最小，一方面对路由器合理配置，分配较高的EIGRP权重，并在链路上设置严格的访问控制链表和路由过滤器；另一方面，路由报文采集组件PR与被监测路由器直连时，无法发送路由报文；因此，从路由报文采集组件PR到它所直连路由器之间的链路在被监测的EIGRP路由网络拓扑图中不存在。由于EIGRP路由协议在数据转发时只使用一条链路进行数据转发，这就保证路由报文采集组件PR与路由器之间的链路不会用于数据转发。

优选地，路由报文采集组件PR通过部分邻接模式与被监测EIGRP路由网络中的核心路由器直连。路由报文采集组件PR与路由器之间的邻接关系在完全邻接模式下发生震荡时，为了防止在路由网络中发生路由重新计算，我们可以使路由报文采集组件PR与路由器的邻接关系处于的“中间”状态，这样与路由报文采集组件PR相关的链路就不会被路由器计算在内，并且仍然会向路由报文采集组件PR发送路由报文，我们将这种模式称为部分邻接模式。为了使路由报文采集组件PR与被监测路由器处于邻接关系建立的中间状态，路由报文采集组件PR与路由器相连后，在邻接关系建立的初始化阶段向路由器描述一个UPDATE路由报文“幽灵”(即不存在的UPDATE路由报文)，并将这个幽灵数据包不发送给被监测路由器。此时路由报文采集组件PR与路由器无法建立完整的邻接关系，永远都将处于邻接关系初始化阶段。由于路由报文采集组件PR与路由器只是部分邻接关系，路由网络中其它路由器不会受到路由报文采集组件PR不稳定性的影响，因此该模式是一种非常理想的选择。

通过上述提供的4种连接方式，为路由报文采集组件PR接入被监测EIGRP路由网络提供了较高的灵活度，方便网络管理人员根据实际情况需要自由选择接入方式。

在本发明的另一实施例中，所述实时分析组件实时监测分析的网络故障包括：所述EIGRP路由网络的拓扑图发生变化、网络元件频繁发生震荡和/或网络中出现异常行为。因此，所述实时分析组件根据监测分析的所述网络故障，向控制台对应发出的告警信息包括：网络拓扑改变告警信息、网络元件振荡告警信息和/或网络异常行为告警信息。

优选地，实时分析组件PG实时向控制台输出相应的告警信息。实时分析组件PG用于对从数据采集组件PR传输来的路由报文进行实时分析，当监测到被监测EIGRP路由网络出现异常行为、即将发生故障或者路由网络拓扑图发生变化时，实时分析组件PG会向控制台输出相应的网络拓扑改变告警信息，这些信息可以帮助网络管理员更加实时、有效地解决网络中出现的故障和异常，提高用户的网络使用体验。

优选地，实时分析组件PG其维护并更新被监测路由网络拓扑的快照以识别网络拓扑的变化和异常行为。具体地，通过将实时分析组件维护的EIGRP路由网络拓扑模型进行固定间隔的快照以获取所述被监测路由网络拓扑的快照。当接收到路由报文信息时，根据保存的被检测路由网络拓扑的快照来识别网络拓扑的变化和异常行为。

优选地，实时分析组件PG向控制台输出的实时告警信息中，每条告警信息包含时间戳、消息类型以及属性信息，时间戳表示网络异常或者网络拓扑图变化的发生时间；消息类型用于识别网络中相应事件或问题的类型，例如当路由器中的EIGRP进程关闭时，发出标有“ROUTER DOWN”的告警信息；属性信息提供该告警信息的更多细节，例如，如果信息类型为“ROUTER DOWN”，则属性中会包含相关联路由器的路由器ID。

优选地，实时分析组件PG向控制台输出的告警信息共有3类。

(1)网络拓扑改变告警信息：实时分析组件PG向控制台推送路由网络拓扑改变告警信息时，说明被监测EIGRP路由网络拓扑发生改变，某些路由器状态发生了改变，这些信息帮助网络运营商发现网络中的问题，并验证他们的各种网络维护操作是否正确。

(2)网络元件振荡告警信息：这类消息是针对频繁发生震荡的网络元件(例如路由器、链路等)创建的，这类消息常在多个拓扑改变消息之后出现，例如，连续多个“ROUTERUP”和“ROUTER DOWN”后面常会紧跟着出现“ROUTER FLAP”信息。这些消息可以及早引起网络管理员的注意，并且也是网络稳定性的早期预警标志。

(3)网络异常行为告警信息：当实时分析组件PG观察到的行为与EIGRP路由协议的正常行为不符时，就会产生这类告警信息。通常这类消息指路由器中所装系统的配置错误。

通过输出的多种类型的告警信息，网络管理员可以有效区分不同时间点的网络故障信息，便于网络管理员对出现的网络告警信息进行有效统计，进一步完善网络中的故障信息，且使得网络维护人员更有针对性的进行网络维护。

图5公开了本发明中的实时分析组件PG维护和更新的网络拓扑模型的组成部分。实时分析组件PG通过拓扑模型来生成告警信息，并支持对所监控网络的网络拓扑实时查询。其中所述的实时查询包括，例如“区域A中有多少台路由器？”或“区域B在区域A中有多少个接口？”等。这需要一个可以更新和查询的模型，并且可以扩展到由数百个路由器和数千个链路组成的网络。

图5显示了实时分析组件PG中维护和更新的网络拓扑模型具体包含的对象，在图5展示了网络拓扑模型中六类对象之间的包含关系，其中所述的六类组成对象分别为：

(1)工作域Area 51：代表1个EIGRP域(即一个AS域)；

(2)路由器Router 52：代表一个路由器；

(3)参数项Area_Router 53：代表路由器某个特定区域的参数；

(4)子网项Ntw 54：表示子网或子网前缀；

(5)接口Interface 55：代表路由器中的一个接口；

(6)链路Link 56：代表拓扑中的单向加权链路。其中，监测系统将EIGRP路由网络内的链路分为三类：表示路由器子网对之间的区域内链路或路由网络中路由器之间的链路；表示由边界路由器注入的汇总路由区域间链路；表示重新分布到EIGRP外部路由的外部链路。每条链路本端和远端都是以上其他五类之一的对象。

在图5中，拓扑模型中的最高级别由代表路由AS域的一组Area对象组成，每个Area对象包含一组表示关联区域所有子网的Ntw对象。由于每个Area_Router对象表示路由器的区域特定参数，因此它包含一个Router对象和一个Area对象。拓扑模型中对象的添加、搜索和删除操作通过散列表实现，可以方便的扩展到大型网络。

具体地，当接收到来自路由报文采集组件PR的路由报文后，实时分析组件PG就会更新网络拓扑模型中的相关部分。例如，当实时分析组件PG收到路由报文时，实时分析组件PG就会更新表示路由器区域参数的Area_Router对象，这可能导致接口的添加或删除，或接口管理权重的改变。路由报文也可能会导致添加或删除Area_Router对象。

实时分析组件PG网络拓扑模型可以快速识别验证震荡网络节点并显示相关的震荡信息。实时分析组件PG中有两个可调节的参数n和t，n表示某个网络节点在时间片段t内开关的次数。当一个网络节点在时间t内发生了大于等于n次的开关，实时分析组件PG就会认为这个路由器发生了震荡，通过将EIGRP路由网路拓扑图中每个节点映射到网络拓扑模型的特定对象上来确认节点是否震荡，这个映射在图5中适当的对象下面以“flappingxxx”的形式表示。

图6展示了本发明中的离线分析组件EIGRPScan的组成部分。离线分析组件EIGRPScan 60用于对存档的路由报文数据进行离线分析，具体地，离线分析组件EIGRPScan60包括五个功能模块：

流量分类模块61：该模块用于对存档数据进行多种方式的分类。例如，该功能模块允许将路由报文分类为新的和重复的实例，也可以利用该功能模块进行企业网络案例分析研究。

模型拓扑更改模块62：当使用由点边构成的网络图表示EIGRP路由拓扑模型时，该模块可以将EIGRP动态模型建模为网络图，顶点、边的添加或删除等变化会同步在网络图中展现。此外，该模块允许用户通过将每个更改保存为单个拓扑更改记录来分析这些改变，每个这样的记录包含改变的拓扑元素(顶点/边缘)的信息。例如，路由器被视为顶点，记录包含EIGRP路由器ID；又如，一对路由器之间的链路被视为边缘，对应的记录使用两端的Router‐id来标识链路。

路由仿真模块63：该模块支持在给定的时间点基于路由报文档案重建任何给定路由器的路由表。对于一系列拓扑更改，仿真EIGRP路由模块63还支持对相应路由表的更改。总之，仿真EIGRP路由模块63支持在给定的时间内确定通过EIGRP路由网络中AS域的端到端路径，并查看路径在一段时间响应网络事件的方式。

统计报告模块64：该模块支持生成相关统计数据，并在给定的时间间隔内报告特定的EIGRP动态和异常情况。例如计算给定时间段内发生变化的新的和重复的路由报文数量。

数据源关联模块65：该模块可以实时从上述其他4个模块中获取相应的关于EIGRP路由网络的数据，并将这些数据和其他数据源进行关联，以便于现有的其他网络的故障和异常信息来分析EIGRP网络中的故障和异常情况。例如将EIGRP数据与SNMP统计数据、思科网络流量统计数据、故障数据(SNMP陷阱和系统日志)、网络清单和拓扑数据(路由器配置文件)、其他动态路由协议网络数据(例如BGP路由网络更新等)和维护数据(例如工作流日志等)进行关联。

图6展示的5个模块，可以被单独使用也可以被整体使用，其一方面可以使EIGRP的数据被充分可以利用，另一方面可以帮助网络管理人员详尽了解EIGRP的变化、异常信息，使得网络管理员可以精准地解决网络问题。

优选地，离线分析组件EIGRPScan 60通过执行三个步骤来分析每个路由报文数据：解析路由报文，根据查询表达式测试路由报文，如果满足查询则分析路由报文。实时分析组件EIGRPScan 60允许用户指定查询表达式和报文记录执行的分析类型。解析步骤将每一条存档的EIGRP路由报文数据记录转换为规范形式，查询表达式应用于规范形式。使用规范形式可以很容易地使实时分析组件EIGRPScan 60的功能适用于本地格式以外的路由报文数据存档格式。实时分析组件EIGRPScan 60使用数据流扫描库，高效地进行每种数据类型的规范形式转换。实时分析组件EIGRPScan还允许通过执行类似的三步骤过程来进一步分析从存档数据中导出的信息，例如拓扑和路由条目变化。

综上所述，本发明提出了一种EIGRP路由网络的监测系统，其包括路由报文采集组件PR、实时分析组件PG和/或离线分析组件EIGRPScan，通过上述独立组件之间的相互协作运行，实现了EIGRP路由网络故障的实时监控、告警，另一方面其还可以根据需要定时或非定时的对存档的路由报文进行全面和深入地离线分析，以提供更为详尽的故障信息，使得网络管理员能快速、及时、有效地处理网络中的故障或异常，进而提高用于使用网络的使用体验。

以上所述仅为本发明的实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。

Claims (10)

1.一种EIGRP路由网络故障监测系统，其特征在于，该系统包括路由报文采集组件和实时分析组件；其中：

路由报文采集组件，和被监测的EIGRP路由网络中的核心路由直接连接，负责从所述EIGRP路由网络中采集路由报文，将采集到的路由报文传输给实时分析组件；

实时分析组件，接收来自一个或多个路由报文采集组件的路由报文，通过接收的所述路由报文实时监测分析出现的网络故障。

2.根据权利要求1所述的EIGRP路由网络故障监测系统，其特征在于，所述路由报文采集组件与被监测的EIGRP路由网络中的核心路由直接连接的方式包括：窃听模式、主机模式、完全邻接模式和/或部分邻接模式。

3.根据权利要求2所述的EIGRP路由网络故障监测系统，其特征在于，所述实时分析组件使用不断接收到的路由报文维护一个EIGRP路由网络的拓扑模型，并支持对所述被监测的EIGRP路由网络的网络拓扑实时查询。

4.根据权利要求3所述的EIGRP路由网络故障监测系统，其特征在于，所述实时分析组件实时监测分析的网络故障包括：所述EIGRP路由网络的拓扑图发生变化、网络元件频繁发生震荡和/或网络中出现异常行为。

5.根据权利要求4所述的EIGRP路由网络故障监测系统，其特征在于，所述实时分析组件根据监测分析的所述网络故障，向控制台对应发出的告警信息包括：网络拓扑改变告警信息、网络元件振荡告警信息和/或网络异常行为告警信息。

6.根据权利要求3所述的EIGRP路由网络故障监测系统，其特征在于，所述网络拓扑模型包括6个构件，分别是工作域、路由器、参数项、子网项、接口和链路。

7.根据权利要求1‐6任一项所述的EIGRP路由网络故障监测系统，其特征在于，所述实时分析组件在进行实时分析的同时，对接收的所述路由报文进行保存。

8.根据权利要求7所述的EIGRP路由网络故障监测系统，其特征在于，所述监测系统进一步还包括离线分析组件，其基于所述实时分析组件保存的路由报文进行离线分析；或其接收路由报文采集组件发送的路由报文，并基于接收的路由报文进行离线分析。

9.根据权利要求8所述的EIGRP路由网络故障监测系统，其特征在于，所述离线分析组件包括流量分类模块、模型拓扑更改模块、路由仿真模块、统计报告模块以及数据源关联模块。

10.根据权利要求9所述的EIGRP路由网络故障监测系统，其特征在于，所述离线分析组件对所述路由报文的分析方法包括解析路由报文、测试路由报文和分析路由报文。