專利名稱:一種流量監控的方法、設備和系統的制作方法
技術領域:
本發明涉及電通信技術領域,尤其涉及一種流量監控的方法、設備和系統。
背景技術:
近年來,網絡應用極大豐富,出現了許多新的協議,例如,點對點(P2P, Pointer to Pointer )、 Skype ( —種即時通信軟件)。隨之而來的,對新應用的檢
測和控制需求也相應地出現。然而,傳統路由器雖然能夠對數據報文進行各 種控制,卻缺乏對應用層數據報文的識別能力。雖然新出現的深度報文檢測 設備(DPI, Deep Packet Inspection)能夠識別業務,性能卻是一個較大的瓶 頸,如果串路到網絡當中,會引入一個新的故障點。
現有技術中的流量監控方案,是通過DPI設備進行部分數據報文的識別, 識別完后的數據報文不再送來,控制設備(如路由器)根據接收到的策略配 置功能執行數據報文控制。
在對現有技術的研究和實踐過程中,發明人發現,采用這種流量監控方 法,DPI設備需要處理的流量較少,但是由于業務的豐富多樣,控制設備需要 進行靈活的策略識別和應用,才能對盡可能多的業務進行監測和控制,因此 增加了實現復雜度。
發明內容
本發明實施例要解決的技術問題是提供一種流量控制方法、設備和系統, 能夠靈活地對應用層數據報文進行檢測和控制。
為解決上述技術問題,本發明實施例所提供的流量控制方法、設備和系 統實施例是通過以下技術方案實現的
本發明實施例提供了 一種流量監控方法,該方法包括
深度報文檢測DPI設備從控制設備獲取數據報文,并從配置的數據報文 控制策略中選取所述數據報文對應的策略并發送到控制設備,使得控制設備 根據所述策略執行數據報文控制。
本發明實施例提供了一種流量監控系統,該系統包括深度報文檢測DPI
設備、控制設備,其中
DPI設備,用于從控制設備獲取數據報文,從配置的數據報文控制策略中 選取所述數據報文對應的策略并發送到控制設備;
控制設備,用于向DPI檢測設備發送數據報文,并根據DPI設備發送的 策略執行數據報文控制。
本發明實施例還提供了一種深度報文檢測DPI設備,該設備包括數據 報文獲取單元、策略選取單元、策略發送單元,其中
數據報文獲取單元,用于獲取數據報文;
策略選取單元,用于當數據報文獲取單元獲取到數據報文時,從配置的 數據報文控制策略中選取所述數據報文對應的策略;
策略發送單元,用于將策略選取單元選取的策略發送出去。
從以上技術方案可以看出,DPI設備從控制設備獲取數據報文,并從配置 的數據報文控制策略中選取所述數據報文對應的策略并發送到控制設備,由 控制設備根據DPI設備發送的策略執行數據報文控制,使得數據報文檢測和 復雜的策略與數據報文控制分開,即DPI設備負責識別業務和策略識別分配, 而由控制設備負責策略實施,因此,可以充分發揮DPI設備識別業務的能力, 同時,可以降低對控制設備的要求,可以實現非常靈活的基于應用層數據報 文的檢測和控制,并且,由于不會對現有網絡拓樸造成任何影響,利于擴展 應用。
為了更清楚地說明本發明實施例或現有技術中的技術方案,下面將對實 施例或現有技術描述中所需要使用的附圖作簡單地介紹,顯而易見地,下面 描述中的附圖僅僅是本發明的 一些實施例,對于本領域普通技術人員來講, 在不付出創造性勞動性的前提下,還可以根據這些附圖獲得其他的附圖。
圖1為本發明實施例一中流量監控方法流程圖2為本發明實施例二中流量監控方法流程圖3為本發明實施例三中流量監控系統結構示意圖4為本發明實施例四中流量監控系統結構示意圖5為本發明實施例五中DPI設備結構示意圖; 圖6為本發明實施例六中DPI設備結構示意圖。
具體實施例方式
下面將結合本發明實施例中的附圖,對本發明實施例中的技術方案進行 清楚、完整地描述,顯然,所描述的實施例僅僅是本發明一部分實施例,而 不是全部的實施例。基于本發明中的實施例,本領域普通技術人員在沒有作 出創造性勞動前提下所獲得的所有其他實施例,都屬于本發明保護的范圍。
本發明實施例提供了一種流量監控的方法、系統和設備,用于實現對應 用層數據報文的檢測和控制。本申請文件中所述的流量監控包括對數據報文 的檢測和數據報文的控制兩個方面。
參照圖1,為本發明實施例一中流量監控方法流程圖,以下通過具體步驟 進4亍詳細i兌明
步驟ll、 DPI設備從控制設備獲取數據報文;
在光網絡中DPI設備可以從控制設備上的光纖分光得到數據報文,也可 以由DPI設備從控制設備端口鏡像得到數據報文,或者由DPI設備從控制設 備對數據報文進行選擇性復制得到部分數據報文。
進行數據報文控制的控制設備具體可以由路由器、防火墻、寬帶接入服 務器(BRAS, Broadband Remote Access Server)等設備實現。
步驟12、 DPI設備從配置的數據報文控制策略中選取所述數據報文所對 應的策略;
數據報文控制策略可以預先配置在DPI設備上,當然,由于基于應用層 的數據報文控制策略的復雜性和靈活性,可以從一個專門策略配置的策略配 置設備上獲取數據報文控制策略。
基于應用層的數據報文控制策略,可以包括對某種應用,如P2P數據報 文的控制,對某類用戶例如網吧用戶的控制,基于用戶的某種應用的控制, 例如,所有用戶的P2P下載帶寬不超過100kbps,基于某個會話的數據報文控 制,例如拒絕服務攻擊(DoS, Deny of Service)數據報文攻擊等,也可以是 對某種應用的數據報文控制策略,對某類用戶群的數據報文控制策略,基于 用戶的總流量控制策略等等。這些數據報文控制策略,基于傳統的路由器的訪問控制列表(ACL, Access Control List)難以實現,而在DPI設備等數據報文識別設備上容易實現,由 DPI設備應用判決后,變成一個個對每個會話流的控制策略,DPI設備可以根 據配置的數據報文控制策略來決策并轉變為針對所述的業務每個會話流的數 據報文所對應的策略。具體可以通過控制設備與DPI設備交互傳遞策略動作 定義、會話流信息以及會話流綁定的策略信息的方法來實現應用層數據報文 的才全測和控制。
因此,可以充分發揮DPI設備對應用層數據"^艮文的識別能力,同時,由 于將DPI設備作為旁路設備,因此,不會對現有網絡拓樸造成影響,利于擴 展應用。
步驟13、 DPI設備將選取的策略發送到控制設備;
步驟14、控制設備根據DPI設備發送的策略執行數據報文控制。
路由器、防火墻等控制設備可以實現如下功能
1、 基于數據報文的處理,數據報文由一系列的會話流組成,因此,可以 通過維護 一 個會話流表,記錄對每個會話流的狀態;
2、 實現各種策略動作,例如承諾接入速率(CAR, Committed Access Rate)、數據報文整形(Shaping )、數據報文阻斷(Block )、數據報文重定向
(redirect),數據沖艮文復制(duplicate)。
由于控制設備僅負責數據報文控制策略的實施,不需要進行策略判決等 復雜的策略處理,因此,可以最大限度地保持控制設備的處理速度。
從該實施例可以看出,將應用層數據^J:的控制與復雜的策略判決分開, 即dpi設備負責數據報文的識別和策略識別分配,而由控制設備進行策略實
施,可以充分發揮DPI設備對應用層數據報文的識別能力,并且降低對控制
設備的要求,可以實現非常靈活的基于應用層數據報文檢測和控制,并且,
由于不會對現有網絡拓樸造成任何影響,利于擴展應用,而且,DPI設備與控 制設備之間的接口可以標準化,方便第三方使用。 以下通過一個具體的應用場景進行詳細il明
參照圖2,為本發明實施例二中流量監控方法流程圖,DPI設備從策略配 置設備獲取數據報文控制策略,可以實現所有單用戶P2P帶寬控制和P2P總流量帶寬控制,以下通過具體步驟進行詳細描述
步驟21、策略配置設備發送單用戶P2P控制策略和P2P總流量帶寬控制
例如,策略配置設備發送的數據報文控制策略包括以下兩種1、發送的 單用戶P2P控制策略為P2P下載帶寬100kbps; 2、 P2P總流量帶寬控制策 略為300Mbps。
步驟22、 DPI設備收到策略配置設備發送的數據報文控制策略,配置成 本地的數據報文控制策略;
例如,將接收到的"單用戶P2P控制策略為P2P下載帶寬100kbps; P2P 總數據報文帶寬控制策略為300Mbps"進行編譯即可配置成本地的數據報文 控制策略。
可以理解的是,DPI設備也可以從策略配置設備主動獲取所述數據報文控 制策略。數據報文控制策略也可預先配置在DPI設備上,即所述策略配置功 能的裝置可以集成在DPI設備上。
同時,對"P2P總流量帶寬控制策略為300Mbps",生成一個限流動作 TrafficBW—ID20=3OOMbps,發送給控制設備。
步驟23、 DPI設備從控制設備獲取數據報文;
控制設備收到用戶的數據報文后,可以通過光纖分光、端口鏡像或者選 擇性復制必要的數據報文的方式,把數據報文轉發到DPI設備上,同時,控 制設備在本地建立會話流表,維護會話流的狀態。
步驟24、 DPI設備對數據報文進行識別,識別后選取對應的策略,并生 成對應的消息發送給控制設備;
如果應用為P2P,發現需要對該會話流對應的用戶100.1.1.1的P2P數據 報文作小于等于100kbps的限制,而且其P2P總流量也需要作小于等于 300Mbps的限制,則生成兩個兩條消息發送給控制設備消息1、限流動作 TrafficBW_ID100=100kbps;消息2、該會話流的識別信息五元組(源網際 協議(IP, International Protocol)地址、目的IP地址、源TCP/UDP端口號、 目的傳車敘控制協i義/用戶凝:據才艮協"漢(TCP/UDP, Transfer Control Protocol/User Datagram Protocol)端口號、IP協議號),限流動作TrafficB W_ID 100,限流動作TrafficBW_ID20。
可以理解的是,"P2P總數據報文帶寬控制策略為300Mbps"也可以在 本步驟中在檢測到數據報文后再發送給控制設備。不過,由于基本上數據報 文中的每個報文都可能用到"P2P總數據報文帶寬控制策略為300Mbps"這 一策略,因此,在步驟22中下發可以滿足每個數據報文的需要。
步驟25、控制設備收到消息后,對該會話流的每一個報文,執行策略控 制動作;
具體的,執行"TrafficBW_ID100=100kbps,,和"TrafficBW_ID20=300Mbps 兩個動作,控制用戶lOO.l丄l的P2P數據報文不高于100kbps,并將總的數 據報文控制在300Mbps以下。
步驟26、當該會話流老化后,將會話流的相關信息從控制設備和DPI設 備中刪除。
可以看出,在具體實施中,也可以由控制設備和DPI設備通過交互傳遞 策略動作定義、會話流信息以及與會話流綁定的策略信息的方法,來實現應 用層數據報文檢測和控制。這時,控制設備要有執行策略動作的能力,例如, 對于CAR這個動作,控制設備就要能夠實現CAR的算法,且要支持一定數 量的CAR算法實現單元,例如10000個,每個算法單元編號,ID=1~ 10000。 算法單元的具體參數,需要DPI設備根據收到的策略來具體設置,有的設置 是在數據報文到達前就預先設置好的,例如步驟22的策略;有的是動態下發 的,例如步驟24里的消息1。
以下簡要介紹一下在上述流量監控的過程中,DPI設備具體是如何進行策 略判決的,即進行策略的識別和分配在DPI設備上,會對上報的數據報文 進行策略的搜索和匹配,例如用戶100.1.1.1的數據報文報上來后,在本地搜 索匹配策略時,會發現符合"單用戶P2P下載帶寬100kbps"和"總P2P帶 寬300Mbps"這兩條策略。對于第一條策略,因為用戶100.1.1.1之前并未 收到過,因此相應的CAR算法單元在控制設備上還沒有建立,因此需要先下 發一條消息建立該單元,也就是步驟24里的第一條消息。而由于第二條策略 是對總的P2P帶寬控制策略,因此第二條策略的CAR算法單元,無需等報文 到來就可以先下發的,所以在步驟22中就先下發了。
從該實施例可以看出,由DPI設備識別控制設備上基于應用層的數據報 文,并根據配置的數據報文控制策略生成對應的策略動作,并發送到控制設 備,由控制設備按照策略動作執行策略控制,可以充分發揮DPI設備基于應 用層的數據報文識別能力,可以實現非常靈活的基于應用層的數據報文檢測
和控制,并降低對控制設備的要求;并且,由于DPI設備作為旁路設備,因
此不會對網絡拓樸造成任何影響,利于擴展應用;DPI設備和控制設備之間的
接口可以標準化,利于第三方的應用。
以下對上述流量監控方法所采用的系統和設備進行對應描述
參照圖3,為本發明實施例三中流量監控系統結構示意圖,該系統中,直
接在DPI設備上進行策略配置,該系統包括DPI設備31、控制設備32,其
中
DPI設備31,用于從控制設備32獲取數據報文,從配置的數據報文控制 策略中選取所述數據報文對應的策略并發送到控制設備32;
控制設備32,用于根據DPI設備31發送的策略執行數據報文控制。
可以看出,本實施例中,數據報文控制與數據報文檢測分開,DPI設備負 責檢測應用層的數據報文,控制設備負責對應用層數據報文采取控制動作; 并且,數據報文控制與復雜的策略判決分開,即DPI設備負責策略識別以及 分配,而控制設備負責策略實施,總之,控制設備僅負責策略的實施,因而, 可以降低對控制設備的要求,同時,可以發揮DPI設備應用層識別能力,因 而可以實現非常靈活地實現應用層數據報文檢測以及控制。而由于DPI設備 為旁路設備,不會對現有網絡拓樸造成任何影響,利用推廣應用;并且,DPI 設備和控制設備之間的接口可以標準化,可以方便第三方使用。
可以理解的是,也可以由專門的策略配置設備進行策略配置,并將配置 的策略發送到DPI設備上;或者由DPI設備主動向DPI設備發送請求獲取數 據報文控制策略,進行策略更新。
參照圖4,為本發明實施例四中流量監控系統結構示意圖,在實施例三基 礎上,還可包括策略配置設備41,用于配置數據^^文控制策略并發送到所述 DPI設備31。
以下對上述流量監控系統所采用的DPI設備通過具體實施例進行詳細描
述
參照圖5,為本發明實施例五中DPI設備結構示意圖,該DPI設備包括 數據報文獲取單元51、策略選取單元52、策略發送單元53,其中 數據報文獲取單元51 ,用于獲取數據報文;
策略選取單元52,用于當流量獲取單元51獲取到數據報文時,從配置的 數據報文控制策略中選取所述數據報文對應的策略;
策略發送單元53,用于將策略選取單元53選取的策略發送出去。
可見,該DPI設備用于獲取數據報文,從配置的數據報文控制策略中選 取所述數據報文對應的策略并發送給相應的控制設備執行數據報文控制,可 以充分發揮DPI設備的識別應用層數據報文的功能,可以實現非常靈活的應 用數據報文檢測和控制。
可以理解的是,上述DPI設備也可以從專門的策略配置設備獲取數據報 文控制的策略,并根據獲取的數據報文選取對應的策略后發送到控制設備, 由控制設備執行相應的數據報文控制功能,參照圖6,為本發明實施例六中 DPI設備結構示意圖,在實施例五基礎上,可以擴展策略獲取單元61,用于 獲取配置的數據報文控制策略。策略獲取單元61可以從策略配置設備中獲取 配置的數據報文控制策略,也可以由策略配置設備主動發送所述數據報文控 制策略。
是可以通過程序來指令相關的硬件完成,所述的程序可以存儲于一種計算機
可讀存儲介質中,該程序在執行時,包括如下步驟
深度報文檢測DPI設備從控制設備獲取數據報文,并從配置的數據報文
控制策略中選取所述數據報文對應的策略并發送到控制設備,使得控制設備
根據所述策略執行數據報文控制。
上述提到的存儲介質可以是只讀存儲器,磁盤或光盤等。
以上對本發明所提供的 一種流量監控的方法、設備和系統進行了詳細介
紹,對于本領域的一般技術人員,依據本發明實施例的思想,在具體實施方
式及應用范圍上均會有改變之處,綜上所述,本說明書內容不應理解為對本
發明的限制。
權利要求
1、一種流量監控方法,其特征在于,包括深度報文檢測DPI設備從控制設備獲取數據報文,并從配置的數據報文控制策略中選取所述數據報文對應的策略并發送到控制設備,使得控制設備根據所述策略執行數據報文控制。
2、 如權利要求1所述的流量監控方法,其特征在于,所述DPI設備從控 制設備獲取數據報文的方法具體為所述DPI設備從控制設備上的光纖分光得到數據報文;或者,所述DPI設備從所述控制設備端口鏡像得到數據報文;或者,所述DPI設備從所述控制設備進行選擇性復制得到部分數據報文。
3、 如權利要求1或2所述的流量監控方法,其特征在于,所述配置的數 據報文控制策略包括對某種應用的數據報文控制策略、對某類用戶群的數據報文控制策略、 基于用戶的總流量控制策略、基于用戶的某種應用的數據報文控制策略、基 于某個會話的數據報文控制策略其中至少 一種。
4、 如權利要求l或2所述的流量監控方法,其特征在于,所述控制設備 根據所述策略執行數據報文控制包括以下至少 一種維護 一個會話流表,記錄對每個會話流的狀態;根據DPI設備發送的策略執行策略動作。
5、 一種流量監控系統,其特征在于,包括深度報文檢測DPI設備、控 制設備,其中DPI設備,用于從控制設備獲取數據報文,從配置的數據報文控制策略中 選取所述數據報文對應的策略并發送到控制設備;控制設備,用于向DPI檢測設備發送數據報文,并根據DPI設備發送的 策略執行數據報文控制。
6、 如權利要求5所述的流量監控系統,其特征在于,所述系統還包括 策略配置設備,用于配置數據報文控制策略并發送到所述DPI設備。
7、 一種深度報文檢測DPI設備,包括數據報文獲取單元、策略選取單 元、策略發送單元,其中數據報文獲取單元,用于獲取數據報文;策略選取單元,用于當數據報文獲取單元獲取到數據報文時,從配置的 數據報文控制策略中選取所述數據報文對應的策略;策略發送單元,用于將策略選取單元選取的策略發送出去。
8、 如權利要求7所述的DPI設備,其特征在于,還包括策略獲取單元, 用于從策略配置設備獲取所述配置的數據報文控制策略。
9、 如權利要求7或8所述的DPI設備,其特征在于,所述配置的數據報 文控制策略包括對某種應用的數據報文控制策略、對某類用戶群的數據報文控制策略、 基于用戶的總流量控制策略、基于用戶的某種應用的數據報文控制策略、基 于某個會話的數據報文控制策略其中至少 一種。
全文摘要
本發明實施例公開了一種流量監控的方法、設備和系統。本發明實施例方法包括深度報文檢測DPI設備從控制設備獲取數據報文,并從配置的數據報文控制策略中選取所述數據報文對應的策略并發送到控制設備,使得控制設備根據所述策略執行數據報文控制。以上方法以及對應的系統和設備可以充分發揮DPI設備識別業務的能力,同時,可以降低對控制設備的要求,可以實現非常靈活的基于應用層數據報文的檢測和控制,并且,由于不會對現有網絡拓撲造成任何影響,利于擴展應用。
文檔編號H04L12/26GK101350781SQ20081014407
公開日2009年1月21日 申請日期2008年7月31日 優先權日2008年7月31日
發明者鷹 熊 申請人:成都市華為賽門鐵克科技有限公司