一種利用Netflow採集及統計VPN流量的方法
2023-09-13 20:17:55
專利名稱:一種利用Netflow採集及統計VPN流量的方法
技術領域:
本發明涉及通信領域,尤其涉及一種利用網絡流Netflow(正TF RFC3954 定義的標準)採集及統計VPN (Virtual Private Network,虛擬專用網絡)流 量的方法。
背景技術:
近年來,網際網路在全球的迅速發展和各種應用的快速普及,使得其已成 為人們日常工作生活中不可或缺的信息承載工具。然而,伴隨著網際網路的正 常應用流量,網絡上形形色色的異常流量也隨之而來,影響到網際網路的正常 運行,威脅到用戶主機的安全和正常使用。
從網絡運營管理的角度出發,需要對網絡中的流量進行管理和監控,根 據流量進行計費,對網際網路流量的特徵進行深入分析,分析"R文特徵,識別 出異常流量,進而規劃出相應的針對措施,實施流量工程和優化網絡結構, 從而確保用戶的服務質量。
近年來,Netflow V9協議(RFC3954-Cisco Systems Netflow Services Export Version 9)已經被廣泛採用,不少數據設備廠商都實現了 Netflow V9 協議,並利用其對流量進行採集。
Netflow是一種數據交換方式,其工作原理是網絡設備依據一定的採 樣策略對其轉發的數據進行採集並生成Netflow緩存,隨後同樣的數據基於 緩存信息在同 一 個數據流中進行傳輸,不再匹配相關的訪問控制等策略, Netflow緩存中同時包含了後續數據的統計信息。網絡設備依據數據流的老 化策略,將緩存的數據流信息按Netflow V9報文格式發送給Netflow流量 收集設備,由Netflow流量收集設備進行進一步的分析。
傳統的一個Netflow數據流被定義為一個在源IP位址和目的IP位址間傳輸的單向數據包流,且其中所有數據包具有共同的傳輸層、源/目的埠 號和協議號。
根據MPLS ( Multi-Protocol Label Switching,多協議標籤交換協議)進 4亍VPN組網時,L3 VPN (三層虛擬區域網)在入口 PE (ProviderEdge,月l 務提供商邊緣節點)根據接入的VRF (Virtual Routing Forwarding,虛擬路 由轉發表),封裝私網標籤和公網標籤並轉發到遠端出口 PE。
但在實際組網環境下,可能存在多個遠端PE屬於同 一個VPN的情況。 此時,運營商就需要統計入口 PE到某個特定遠端PE路徑上的流量情況, 精確統計VPN內部的流量,進行報文分析。但根據傳統的Netflow IP報文 五元組信息(源/目的IP位址、源/目的埠號及協議號)無法統計屬於不同 VPN的數據包流,也無法統計同一個VPN內部到不同遠端PE設備的數據 包流量。
發明內容
本發明要解決的技術問題是提供一種利用Netflow採集及統計VPN流 量的方法,使傳統的基於IP五元組的Netflow數據流信息統計能擴展到VPN 內到某特定遠端PE的數據流信息統計。
為解決上述問題,本發明提供了一種利用網絡流Netflow採集及統計虛 擬專用網絡VPN流量的方法,包括
在入口服務提供商邊緣節點PE上配置VPN路由表信息,所述路由表中 保存接入埠 VPN標識與遠端PE標識的對應關係;且將擴展後的攜帶有 VPN標識與遠端PE標識的Netflow V9模板報文發送給上層管理伺服器;
所述入口 PE對流入其中的數據流進行採樣,根據所述數據流的接入端 口獲得對應VPN標識,結合所述VPN路由表信息,獲得遠端PE的標識並 緩存採樣得到的數據包信息;
所述入口 PE對所述數據包信息按照擴展後的Netflow V9模板進行組包 並將組包後得到的採樣報文發送給所述上層管理伺服器;
所述上層管理伺服器根據擴展後的Netflow V9模板報文對所述採樣報
5文進4亍解析,統計出VPN流量。
進一步地,上述方法還可具有以下特徵
所述入口 PE對流入其中的數據流進行採樣,包括
所述入口 PE上配置有採樣比,所述入口 PE根據所述採樣比對流入其 中的數據流進行採樣。
進一步地,上述方法還可具有以下特徵
緩存採樣得到的數據包信息,包括將所述採樣得到的數據包信息緩存 到與該數據包屬於同一數據流的數據包的信息所在的緩存區,其中,屬於同 一數據流的數據包具有相同的VPN標識、遠端PE標識及IP五元組信息。
進一步地,上述方法還可具有以下特徵
所述數據包信息包括該數據包的流量信息、流向信息及VPN標識和遠 端PE標識。
進一步地,上述方法還可具有以下特徵
所述入口 PE上配置有老化策略;
在所述入口 PE對所述數據包信息按照擴展後的Netflow V9格式進行組 包前還包括以下步驟
所述入口 PE判斷是否已滿足老化策略,若滿足,對緩存的屬於同一數 據流的數據包信息執行後續組包過程;否則,更新採樣信息,繼續對流入其 中的數據流進行採樣。
進一步地,上述方法還可具有以下特徵
所述採樣信息包括以下任意一個或任意組合流統計信息、累加報文數、 字節數、流更新時間、採樣時間。
進一步地,上述方法還可具有以下特徵
所述VPN標識為所述VPN的名稱信息,所述遠端PE標識為所述遠端 PE的地址信息。
採用本發明後,通過擴充Netflow V9協議中報文模版格式,將傳統的
6基於IP五元組的Netflow數據流信息統計能擴展到針對VPN內到某條遠端 特定PE的數據流信息統計,為運營商分析VPN內網絡流量、報文特徵提供 一個有力工具,運營商可以利用統計結果優化MPLS VPN網絡中對流量的 管理,針對性的進行部署網絡優化,實施流量工程,識別出異常流量,並對 異常流量實施流監管,從而更精細化地保證了用戶的服務質量.
圖1為本發明實施例中利用Netflow採集及統計VPN流量的方法流程
圖2為本發明實施例中一種典型的組網環境圖。
具體實施例方式
下面將結合附圖及實施例對本發明的技術方案進行更詳細的說明。
利用Netflow V9可擴展模版的特性,本發明提出一種模版格式,並定 期發送給上層管理伺服器,上層管理伺服器根據該模版定義的數據格式來解 析後續收到的數據報文,以達到統計VPN流量信息的目的。
在對流入入口 PE中的數據流進行釆集之前,該入口 PE上應配置有 Netflow報文版本(本發明要求配置V9版本)、老化策略等參數,還配置 有VPN路由表信息,該路由表中保存有各接入埠 VPN標識與遠端PE標 識的對應關係,且該入口 PE上還有緩存區,用於緩存採集到的數據包信息。
如圖l所示,包括以下步驟
101:入口 PE對流入其中的數據流進行採樣,該採樣過程可以為隨機採 樣或根據其上配置的採樣比進行採樣,採樣比即為採樣報文與轉發報文的比 例,如轉發1000個報文時採樣1個淨艮文;
102:該入口 PE根據該數據流的接入埠得到VPN標識(如VPN NAME),並利用其上保存的VPN路由表信息,對應的獲得與該VPN標識 對應的遠端PE的標識(如遠端PE的地址信息)後,緩存採樣得到的數據 包的信息,其中,數據包的信息包括數據包的流量信息、流向信息及VPN
7標識和遠端PE標識;優選地,可以將該數據包的信息存入與該數據包屬於 同一數據流的數據包的信息所在的緩存區,其中,同一數據流的數據包具有 相同VPN標識、遠端PE標識及IP五元組信息;
在完成步驟102後,即可認為已完成了一次數據包信息的採集過程,而 再執行下述步驟後,即為統計過程。
103: 判斷是否已滿足上述老化策略,若是,執行步驟105,否則執行 步驟104;
104:更新採樣信息(如流統計信息、累加報文數、字節數、流更新時 間及採樣時間中的任意一個或任意組合),然後執行步驟101;
105:對緩存區中屬於同一數據流的數據包的信息按照擴展後的Netflow V9的格式進行組包,將組包後得到的採樣報文發送給上層管理伺服器。擴 展後的Netflow V9格式的採樣報文中應攜帶數據流的VPN標識及遠端PE 標識,其模板可採用表l所示的格式。
表1擴充後的Netflow V9採樣報文的數據格式
FlowSet ID = 0Length =欄位數
TemplateID=1025Field Count = 14
Field Type 1 =200 ( VPN一NAME )Field Length 1=32
Field Type 2 = 201 (IPV4一RPE一ADDR)Field Length 2 = 4
Field Type 3 = 8 (IPV4—SRC一ADDR)Field Length 2 = 4
Field Type 4 =12 (IPV4一DST一ADDR)Field Length 4 = 4
Field Type 5 =21 (LAST—SWITCHED)Field Length 5 = 4
Field Type 6 =22 ( FIRST—SWITCHED )Field Length 6 = 4
Field Type 7=1 (IN_BYTES )Field Length 7 = 4
Field Type 8 =2 (IN_PACKETS )Field Length 8 = 4
Field Type 9 =7 (L4—SRC—PORT)Field Length 9 = 2
Field Type 10=11 ( L4_DST_PORT )Field Length 10 = 2
8Field Type 11 =4 ( PROTOCOL )Field Length 11 = 1
Field Type 12 =6 ( TCP—FLAGS )Field Length 12= 1
Field Type 13 =60 (IP—PROTOCOL—VERSION )Field Length 13 = 1
Field Type 12=5 ( TOS )Field Length 14= 1
其中,模版中每個欄位的長度為2個字節;VPN一NAME (即VPN標識) 為運營商為用戶接入網絡配置的可識別字符串,是用戶虛擬區域網的識別標 志,長度為1 32個英文字符;IPV4—RPE一ADDR為MPLS VPN為虛擬局域 網絡中的遠端PE的IP位址(即遠端PE標識)。由於入口 PE會重複的向 上層管理伺服器發送攜帶如表1所示的採樣報文數據格式信息的數據包模 板,因此,上層管理伺服器會根據接收到的數據包模板對入口 PE上送的採 樣報文進行分析。
綜上所述,依據入口 PE的VPN標識和遠端PE的標識再加上數據包的 IP五元組信息對採樣到的數據包進行流量區分,細化了流量分類的粒度,可 以精確統計某條VPN中到某個遠端PE的流量信息。
圖2示出了典型的MPLS VPN組網環境。其中,用戶網絡A通過運營 商設備PE1作為VPNA接入運營商網絡,中間通過MPLS骨幹網進行公網 傳輸。遠端的PE2接入用戶網絡C, PE3接入用戶網絡B,而用戶網絡A、 B及C同屬於VPN A,則VPN A中的數據流有兩條路徑,分別為PEl至PE2 及PE1至PE3, PEl可以通過上述方法分別採集到這兩條路徑的流量信息並 發送給上層管理伺服器,由上層管理伺服器統計出各條路徑的VPN流量信 息。
當然,本發明還可有其他多種實施例,在不背離本發明精神及其實質的 形,但這些相應的改變和變形都應屬於本發明所附的權利要求的保護範圍。
9
權利要求
1、一種利用網絡流Netflow採集及統計虛擬專用網絡VPN流量的方法,其特徵在於,在入口服務提供商邊緣節點PE上配置VPN路由表信息,所述路由表中保存接入埠VPN標識與遠端PE標識的對應關係;且將擴展後的攜帶有VPN標識與遠端PE標識的Netflow V9模板報文發送給上層管理伺服器;所述入口PE對流入其中的數據流進行採樣,根據所述數據流的接入埠獲得對應VPN標識,結合所述VPN路由表信息,獲得遠端PE的標識並緩存採樣得到的數據包信息;所述入口PE對所述數據包信息按照擴展後的Netflow V9模板進行組包並將組包後得到的採樣報文發送給所述上層管理伺服器;所述上層管理伺服器根據擴展後的Netflow V9模板報文對所述採樣報文進行解析,統計出VPN流量。
2、 如權利要求1所述的方法,其特徵在於,所述入口 PE對流入其中 的數據流進行採樣,包括所述入口 PE上配置有採樣比,所述入口 PE根據所述採樣比對流入其 中的數據流進行採樣。
3、 如權利要求l所述的方法,其特徵在於,緩存採樣得到的數據包信息,包括將所述採樣得到的數據包信息緩存 到與該數據包屬於同一數據流的數據包的信息所在的緩存區,其中,屬於同 一數據流的數據包具有相同的VPN標識、遠端PE標識及IP五元組信息。
4、 如權利要求1或3所述的方法,其特徵在於,所述數據包信息包括該數據包的流量信息、流向信息及VPN標識和遠 端PE標識。
5、 如權利要求3所述的方法,其特徵在於, 所述入口 PE上配置有老化策略;在所述入口 PE對所述數據包信息按照擴展後的Netflow V9格式進行組 包前還包括以下步驟所述入口 PE判斷是否已滿足老化策略,若滿足,對緩存的屬於同一數 據流的數據包信息扭^亍後續組包過程;否則,更新採樣信息,繼續對流入其 中的數據流進行採樣。
6、 如權利要求5所述的方法,其特徵在於,所述採樣信息包括以下任意一個或任意組合流統計信息、累加報文數、 字節數、流更新時間、採樣時間。
7、 如權利要求1或3所述的方法,其特徵在於,所述VPN標識為所述VPN的名稱信息,所述遠端PE標識為所述遠端 PE的地址信息。
全文摘要
一種利用網絡流Netflow採集及統計虛擬專用網絡VPN流量的方法,包括在入口服務提供商邊緣節點PE上配置VPN路由表信息,其中保存接入埠VPN標識與遠端PE標識的對應關係;且將擴展後的攜帶有VPN標識與遠端PE標識的Netflow V9模板報文發送給上層管理伺服器;入口PE對流入其中的數據流進行採樣,根據該數據流的接入埠獲得對應VPN標識,結合VPN路由表信息,獲得遠端PE的標識並緩存採樣得到的數據包信息;對數據包信息按照擴展後的Netflow V9模板進行組包得到的採樣報文後發送給上層管理伺服器;上層管理伺服器根據上述模板報文對採樣報文進行解析,統計出VPN流量。
文檔編號H04L12/56GK101488925SQ20091012632
公開日2009年7月22日 申請日期2009年3月3日 優先權日2009年3月3日
發明者陶文強 申請人:中興通訊股份有限公司