WO2009117920A1

WO2009117920A1 - 网络流量采样方法和系统

Info

Publication number: WO2009117920A1
Application number: PCT/CN2009/070746
Authority: WO
Inventors: 武绍芸
Original assignee: 华为技术有限公司
Priority date: 2008-03-28
Filing date: 2009-03-11
Publication date: 2009-10-01
Also published as: CN101547112A

Description

网络流量采样方法和系统本申请要求于 2008年 03月 28日提交中国专利局、申请号为 200810084268.2、发明名称为 "网络流量采样方法和系统" 的中国专利申请的优先权，其全部内容通过引用结合在本申请中。技术领域

本发明涉及通信领域，特别涉及网络流量采样方法和系统。背景技术

Internet 的高速发展为用户提供了更高的带宽和可预测的服务质量（QoS， Quality of Service) , 同时用户也需要对网络进行更细致的管理和计费，为此需要相应的技术支持这种需求。采样技术作为一种基于网络流信息的统计与发布技术，可以对网络中的通信量和资源使用情况进行分类和统计，典型的采样技术如网络流采样技术（Netstream) , 它可以基于各种业务和不同的 QoS进行管理和计费。 Netstream技术主要包括二个逻辑功能：网络流数据输出（NDE， Netstream Data Export ) 网络流数据收集（NDC， Netstream Data Collect )、网络流数据分析（NDA， Netstream Data Analyze )。 DE功能用于对网络流按照符合时间或包数据条件的流统计信息进行采集，流统计信息可以是流的数量或报文本身，并将统计信息输出给具有 DC功能的设备，输出前也可以对数据进行一些处理，例如聚合； NDC功能由应用程序实现，可以收集多个经过具有 NDE功能的设备处理后输出的数据，并对这些数据进行解析，之后对数据进行过滤和聚合，再把经过处理的数据收集到数据库中，可供具有 DA功能的设备进行解析；具有 DA功能的设备即具备网络流量分析的功能，从具有 DC功能的设备中提取统计数据，进行后续处理，为各种业务提供依据，例如网络规划，攻击监测等，具有图形化用户界面，使用户可以获取、显示和分析从具有 DC功能的设备收集的数据。

现有技术中，很多网络转发设备支持采样功能， DE的功能在这些网络转发设备如路由器或交换机上完成， NDC的功能则放置在网络上的其他服务器完成。对具有 DE功能的设备来说，需要按一定规则完成网络流量的采集，例如每 1000个包采一个报文或者每 lms采一个报文等，完成采集后，将采集到的报文按一定的封装规范从指定的观察端口中发送出去，传递至具有 DC功能的设备。该指定的观察端口为直连的端口，不能通过公共网络传送至远端。具有 DC功能的设备在收到来自具有 NDE功能的设备输出的报文之后，对这些原始流按照一定规则进行聚合操作，例如按 TCP的端口号做聚合等，形成聚合流，然后存储在数据库中，等待 NDA分析。这种采样过稈可以认为是一个简单的分布式， DE功能主要负责采集， DC功能主要负责聚合。

上述采样过程存在的主要问题是处理能力不足， DC功能一般由服务器完成，处理能力有限，当具有 NDE功能的设备采集得到的流量很大时，难以及时处理，随着网络规模的不断扩大，这种方法逐渐不能符合要求。

为克服上述缺点，很多网络转发设备提供商都在自身的转发设备上提供了 DC的功能，采样模型对应地发生了变化：对网络转发设备而言，首先完成 DE的功能，即完成采集功能；其次，网络转发设备还实现了部分 DC的功能，这时采集到的原始流在网络转发设备上直接进行聚合，聚合后发给 DC服务器； DC服务器此时主要实现存储的功能，等待具有 NDA功能的设备进行分析。由于 NDE功能和 NDC的功能要在一台设备上同时完成，因此对设备要求较高，一般来说，都会把 DC的功能集中在一块聚合单板上实现，而在目前的分布式转发系统中，转发和其他相关功能是在不同的单板上实现的。

改进后的采样技术存在如下问题：由于需要购买额外的高性能聚合单板而使成本提高；因为每台需要支持聚合的设备都需要增加一块聚合单板，所以当用户需要提高采样能力时，需要改动网络转发设备，影响扩展性和灵活性; DE与 NDC的功能在一台设备上同时完成，无法实现 NDC在远端聚合的功能，从而不能合理运用网络资源来降低运营成本。发明内容

为了实现当用户需要提高采样能力时，无需改动网络转发设备，提高扩展性和灵活性，降低成本，同时实现 NDC在远端聚合的功能，本发明实施例提供了一种网络流量采样方法和系统。所述技术方案如下：

—种网络流量采样方法，所述方法包括：

根据设定规则采集网络流量，通过外部网络发送所述网络流量；

接收所述网络流量，根据预设规则对所述网络流量进行聚合；

根据用户需要对聚合后的网络流量进行分析。

本发明实施例还提供了一种网络流量采样系统，所述系统包括：

第一网络转发设备，用于根据设定规则采集网络流量；第二网络转发设备，与所述第一网络转发设备通过外部网络连接，用于接收所述网络流量，根据预设规则对所述网络流量进行聚合；

网络流量分析设备，用于根据用户需要对聚合后的网络流量进行分析。

本发明实施例提供的技术方案的有益效果是：

本发明实施例通过多台网络转发设备支持 DE与 DC功能，且此二种功能不要求在一台网络转发设备上完成，无需为每台设备增加高性能聚合单板，降低成本；当用户需要提高采样能力时，无需改动每台网络转发设备，只要按需增加不同功能的设备即可，有利于扩展与灵活应用；由于 NDE功能与 NDC功能不要求在一台设备上完成，通过网络可以实现 NDC在远端聚合的功能，充分使用网络资源从而降低运营成本。附图说明

图 1是本发明实施例 1提供的网络流量采样方法流程图；

图 2是本发明实施例 2提供的网络流量采样系统结构示意图；

图 3是本发明实施例 2提供的具体应用示意图。具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明实施方式作进一步地详细描述。

本发明实施例提供的技术方案，通过多台网络转发设备支持 DE功能与 DC功能，且此二种功能不要求在一台网络转发设备上完成，无需为每台设备增加高性能聚合单板，降低成本；由于 NDE功能与 DC功能不要求在一台设备上完成，通过网络可以实现 NDC 在远端聚合的功能，充分使用网络资源从而降低运营成本。其中，方法包括：

根据设定规则采集网络流量，通过外部网络发送该网络流量；

接收该网络流量，根据预设规则对该网络流量进行聚合；

根据用户需要对聚合后的网络流量进行分析。

其中，外部网络为公共网，可以通过多协议标签交换隧道传送该网络流量，也可以通过网络协议承载的隧道传送该网络流量。

将具有 DC功能的设备聚合后的网络流量存储至具有存储功能的 NDC服务器（NDC Sever) ,实现了聚合功能与存储功能的分布式进行，与 DE、 DC分布式地完成采样功能。

实施例 1 参见图 1，为本实施例提供的网络流量采样方法流程图，该方法包括：

步骤 101: 具有 DE功能的设备根据设定规则采集网络流量。

DE功能由网络转发设备通过配置 DE功能的对应参数，或通过网络管理输入命令对该功能进行使能，网络转发设备可以选择路由器或交换机。网络转发设备按照 DE的逻辑功能根据设定规则，例如每 1000个包采一个报文，或者每 1ms采一个报文等时间或数量的规则对流量进行采集；多台网络转发设备可均具有 DE功能，且可以同时并行完成 NDE 功能。

步骤 102: 将具有 DE 功能的设备采集到的流量通过多协议标签交换（MPLS, Multiprotocol Label Switch) 隧道传至具有 DC功能的设备端。

由具有 DE功能的设备采集到的流量连同报文信息一起重新封装，封装可以通过人工静态配置或动态学习等协议进行，封装之后才能通过 MPLS隧道传至具有 DC功能的设备端。本步骤中利用外网将由 DE功能采集到的流量传递至 DC功能端，实现 DE功能与 NDC功能的分布式结构。

步骤 103:具有 DC功能的设备接收具有 DE功能的设备发来的流量，并按照规则进行聚合。

DC功能由网络转发设备通过配置 NDC功能的对应参数，或通过网络管理输入命令对该功能进行使能，网络转发设备可以选择路由器或交换机。网络转发设备按照 NDC的逻辑功能根据设定规则对具有 DE 功能的设备发来的流量进行聚合，该规则可以是相同的 TCP端口号或相同的目的 IP地址等。本步骤中多台网络转发设备均可以支持 NDC功能，且 DC功能可在这些网络转发设备上并行实现。

上述步骤中， DE功能与 NDC功能均由网络转发设备实现，且均由多台网络转发设备支持 NDE功能或 NDC功能，不同的网络转发设备可以完成不同的 NDE或者 NDC功能， DE功能进行流量采集， NDC功能进行流量聚合。由此，不同的任务可以分布在不同的区域完成，实现 DE功能与 DC功能的分布式结构，并实现远端聚合。

步骤 104: 具有 DC功能的设备将聚合后的流量发给 DC服务器， DC服务器存储聚合后的流量。

其中，支持 NDC功能的网络转发设备将聚合后的流量直接发送至 DC服务器（NDC Sever) , NDC Sever可以是普通的服务器，其数量可以是一台或一组；一台或一组 NDC Sever 将聚合后的流量收集到数据库中进行存储，等待后续步骤的执行。

步骤 105: 具有 DA功能的设备对聚合后的网络流量进行分析。 DA具有网络流量分析功能，从支持 NDC存储功能的 NDC Sever中提取统计数据， NDA根据用户的需要进行后续处理，为各种业务提供依据，例如网络规划，攻击监测等。

上述实施例中，具有 NDE功能的设备与具有 DC功能的设备支持 M:N的模式，其中 Μ,Ν均为大于等于 1的正整数，即可以是一台支持 NDE功能的设备对应一台支持 NDC功能的设备，也可以是一台支持 NDE功能的设备对应多台支持 NDC功能的设备，还可以是多台支持 NDE功能的设备对应一台支持 NDC功能的设备，或者是多台支持 NDE功能的设备对应多台支持 NDC功能的设备。以上模式可以通过人为对设备的配置灵活实现。如此进行，可以使结合 DE、 NDC及 NDA三种功能的采样模式扩展到大规模的网络例如某个电信运营商，或者分布式的网络例如在几个不同的地域都有分布的公司。另外，具有 DE功能的设备采集流量后，通过 MPLS隧道将流量发送到具有 DC功能的设备，这样利用公网连接 DE功能设备与 DC功能设备有较好的通用性与保密性，配置简单。

实施例 2

如图 2所示，本实施例提供了一种网络流量采样系统，包括：

第一网络转发设备 21，用于根据设定规则采集网络流量；

第二网络转发设备 22，与第一网络转发设备 21通过外部网络连接，用于接收网络流量，根据预设规则对网络流量进行聚合；

网络流量分析设备 23，用于根据用户需要对聚合后的网络流量进行分析。

其中，第一网络转发设备 21 为具有 NDE功能的设备，第二网络转发设备 22为具有 NDC功能的设备，此二功能不在同一网络转发设备上实现。在具体实现过程中，可以通过配置网络转发设备的参数使其完成不同的功能。第一网络转发设备 21与第二网络转发设备 22通过外部网络连接通信。第一网络转发设备 21与第二网络转发设备 22均可以由路由器或交换机实现。

系统还可以包括网络流量存储设备，用于存储聚合后的网络流量，等待网络流量分析设备分析，即完成了 NDC Sever的功能，具体可以由服务器实现，且服务器的数量不限，可以是多台。

图 3为本发明实施例提供的的具体应用示意图。如图 3所示，分布式流量采样方法主要由 NDE、 NDC和 NDA三部分组成， NDE和 NDC功能均由网络转发设备实现，不同的设备完成不同的功能， DE功能实现对流量进行采集， DC功能实现对流量进行聚合， NDC Sever的功能是实现对聚合后流量进行存储， NDA功能进行分析。其中，总公司可以只在上海设置 NDC Sever和具有 NDA功能的设备，利用总公司维护的路由器作为具有 NDC功能的设备 NDC1、 NDC2及 NDC3等；具有 NDE功能的设备 NDE1可由北京分公司使用的路由器实现， DE2和 NDE3由广州分公司使用的路由器实现；通过租用运营商的承载网，在实现公司虚拟专用网（VPN， Virtal Private Network) 通信的同时，也可以将分公司的采样数据传递到总公司进行统一处理。具有 DE功能的设备与具有 DC功能的设备之间的传输由公共网络实现。网络流量的传送方式的选择可以是多样的，本应用中选用电信网承载的 MPLS 隧道，也可以选用 IP 网络承载的通用路由封装（GRE， Generic Routing Encapsulation) 隧道或第二层隧道协议（L2TP， Layer 2 Tunneling Protocol) 等实现。

本实施例由于采集、聚合、存储和分析都是分布式进行的，每台设备只处理其中的一部分，因此此时每部分功能的性能可以得到保障；通过使用 DE功能在远端聚合的方式形成分布式采样模型，合理运用网络资源，降低运营成本。由于采集与聚合不要求在一台设备上完成，而是分布在网络各个结点上，因此不需要用户的每台设备都支持全部的采样功能，充分使用网络中各个设备的资源；本实施例的 DE、 NDC、 NDC server, DA功能均支持多台设备，由于 NDC server和 DA可以将数据缓存于数据库，不需要增设设备提高处理速率；同时这些完成不同功能的设备可以分散在各个不同的区域，应用灵活。另外，当用户需要提高采样能力时，也只需按需增加 DE功能设备或者 DC功能设备，不需改动全部的网络设备，利于扩展。本发明实施例可以通过软件实现，相应的软件可以存储在可读取的存储介质中，例如计算机的硬盘、光盘或软盘中。

以上所述仅为本发明的较佳实施例，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

权利要求书

1 . 一种网络流量采样方法，其特征在于，所述方法包括：

根据用户需要对聚合后的网络流量进行分析。

2. 根据权利要求 1所述的网络流量采样方法，其特征在于，所述通过外部网络发送所述网络流量包括：

通过多协议标签交换隧道传送所述网络流量。

3. 根据权利要求 1所述的网络流量采样方法，其特征在于，所述通过外部网络发送所述网络流量包括：

通过网络协议承载的隧道传送所述网络流量。

4. 根据权利要求 1所述的网络流量采样方法，其特征在于，所述根据用户需要对聚合后的网络流量进行分析之前还包括：

存储所述聚合后的网络流量，等待分析。

5. 一种网络流量采样系统，其特征在于，所述系统包括：

第一网络转发设备，用于根据设定规则采集网络流量；

第二网络转发设备，与所述第一网络转发设备通过外部网络连接，用于接收所述网络流量，根据预设规则对所述网络流量进行聚合；

6. 根据权利要求 5所述的网络流量采样系统，其特征在于，所述第一网络转发设备具体为路由器或交换机。

7. 根据权利要求 5所述的网络流量采样系统，其特征在于，所述第二网络转发设备具体为路 ώ器或交换机。

8. 根据权利要求 5所述的网络流量采样系统，其特征在于，所述系统还包括：网络流量存储设备，用于存储所述聚合后的网络流量，等待所述网络流量分析设备分析。

9. 根据权利要求 5所述的网络流量采样系统，其特征在于，所述系统包括至少一个第一网络转发设备和至少一个第二网络转发设备。