專利名稱:一種利用Netflow采集及統計VPN流量的方法
技術領域:
本發明涉及通信領域,尤其涉及一種利用網絡流Netflow(正TF RFC3954 定義的標準)采集及統計VPN (Virtual Private Network,虛擬專用網絡)流 量的方法。
背景技術:
近年來,互聯網在全球的迅速發展和各種應用的快速普及,使得其已成 為人們日常工作生活中不可或缺的信息承載工具。然而,伴隨著互聯網的正 常應用流量,網絡上形形色色的異常流量也隨之而來,影響到互聯網的正常 運行,威脅到用戶主機的安全和正常使用。
從網絡運營管理的角度出發,需要對網絡中的流量進行管理和監控,根 據流量進行計費,對互聯網流量的特征進行深入分析,分析"R文特征,識別 出異常流量,進而規劃出相應的針對措施,實施流量工程和優化網絡結構, 從而確保用戶的服務質量。
近年來,Netflow V9協議(RFC3954-Cisco Systems Netflow Services Export Version 9)已經被廣泛采用,不少數據設備廠商都實現了 Netflow V9 協議,并利用其對流量進行采集。
Netflow是一種數據交換方式,其工作原理是網絡設備依據一定的采 樣策略對其轉發的數據進行采集并生成Netflow緩存,隨后同樣的數據基于 緩存信息在同 一 個數據流中進行傳輸,不再匹配相關的訪問控制等策略, Netflow緩存中同時包含了后續數據的統計信息。網絡設備依據數據流的老 化策略,將緩存的數據流信息按Netflow V9報文格式發送給Netflow流量 收集設備,由Netflow流量收集設備進行進一步的分析。
傳統的一個Netflow數據流被定義為一個在源IP地址和目的IP地址間傳輸的單向數據包流,且其中所有數據包具有共同的傳輸層、源/目的端口 號和協議號。
根據MPLS ( Multi-Protocol Label Switching,多協議標簽交換協議)進 4亍VPN組網時,L3 VPN (三層虛擬局域網)在入口 PE (ProviderEdge,月l 務提供商邊緣節點)根據接入的VRF (Virtual Routing Forwarding,虛擬路 由轉發表),封裝私網標簽和公網標簽并轉發到遠端出口 PE。
但在實際組網環境下,可能存在多個遠端PE屬于同 一個VPN的情況。 此時,運營商就需要統計入口 PE到某個特定遠端PE路徑上的流量情況, 精確統計VPN內部的流量,進行報文分析。但根據傳統的Netflow IP報文 五元組信息(源/目的IP地址、源/目的端口號及協議號)無法統計屬于不同 VPN的數據包流,也無法統計同一個VPN內部到不同遠端PE設備的數據 包流量。
發明內容
本發明要解決的技術問題是提供一種利用Netflow采集及統計VPN流 量的方法,使傳統的基于IP五元組的Netflow數據流信息統計能擴展到VPN 內到某特定遠端PE的數據流信息統計。
為解決上述問題,本發明提供了一種利用網絡流Netflow采集及統計虛 擬專用網絡VPN流量的方法,包括
在入口服務提供商邊緣節點PE上配置VPN路由表信息,所述路由表中 保存接入端口 VPN標識與遠端PE標識的對應關系;且將擴展后的攜帶有 VPN標識與遠端PE標識的Netflow V9模板報文發送給上層管理服務器;
所述入口 PE對流入其中的數據流進行采樣,根據所述數據流的接入端 口獲得對應VPN標識,結合所述VPN路由表信息,獲得遠端PE的標識并 緩存采樣得到的數據包信息;
所述入口 PE對所述數據包信息按照擴展后的Netflow V9模板進行組包 并將組包后得到的采樣報文發送給所述上層管理服務器;
所述上層管理服務器根據擴展后的Netflow V9模板報文對所述采樣報
5文進4亍解析,統計出VPN流量。
進一步地,上述方法還可具有以下特征
所述入口 PE對流入其中的數據流進行采樣,包括
所述入口 PE上配置有采樣比,所述入口 PE根據所述采樣比對流入其 中的數據流進行采樣。
進一步地,上述方法還可具有以下特征
緩存采樣得到的數據包信息,包括將所述采樣得到的數據包信息緩存 到與該數據包屬于同一數據流的數據包的信息所在的緩存區,其中,屬于同 一數據流的數據包具有相同的VPN標識、遠端PE標識及IP五元組信息。
進一步地,上述方法還可具有以下特征
所述數據包信息包括該數據包的流量信息、流向信息及VPN標識和遠 端PE標識。
進一步地,上述方法還可具有以下特征
所述入口 PE上配置有老化策略;
在所述入口 PE對所述數據包信息按照擴展后的Netflow V9格式進行組 包前還包括以下步驟
所述入口 PE判斷是否已滿足老化策略,若滿足,對緩存的屬于同一數 據流的數據包信息執行后續組包過程;否則,更新采樣信息,繼續對流入其 中的數據流進行采樣。
進一步地,上述方法還可具有以下特征
所述采樣信息包括以下任意一個或任意組合流統計信息、累加報文數、 字節數、流更新時間、采樣時間。
進一步地,上述方法還可具有以下特征
所述VPN標識為所述VPN的名稱信息,所述遠端PE標識為所述遠端 PE的地址信息。
采用本發明后,通過擴充Netflow V9協議中報文模版格式,將傳統的
6基于IP五元組的Netflow數據流信息統計能擴展到針對VPN內到某條遠端 特定PE的數據流信息統計,為運營商分析VPN內網絡流量、報文特征提供 一個有力工具,運營商可以利用統計結果優化MPLS VPN網絡中對流量的 管理,針對性的進行部署網絡優化,實施流量工程,識別出異常流量,并對 異常流量實施流監管,從而更精細化地保證了用戶的服務質量.
圖1為本發明實施例中利用Netflow采集及統計VPN流量的方法流程
圖2為本發明實施例中一種典型的組網環境圖。
具體實施例方式
下面將結合附圖及實施例對本發明的技術方案進行更詳細的說明。
利用Netflow V9可擴展模版的特性,本發明提出一種模版格式,并定 期發送給上層管理服務器,上層管理服務器根據該模版定義的數據格式來解 析后續收到的數據報文,以達到統計VPN流量信息的目的。
在對流入入口 PE中的數據流進行釆集之前,該入口 PE上應配置有 Netflow報文版本(本發明要求配置V9版本)、老化策略等參數,還配置 有VPN路由表信息,該路由表中保存有各接入端口 VPN標識與遠端PE標 識的對應關系,且該入口 PE上還有緩存區,用于緩存采集到的數據包信息。
如圖l所示,包括以下步驟
101:入口 PE對流入其中的數據流進行采樣,該采樣過程可以為隨機采 樣或根據其上配置的采樣比進行采樣,采樣比即為采樣報文與轉發報文的比 例,如轉發1000個報文時采樣1個凈艮文;
102:該入口 PE根據該數據流的接入端口得到VPN標識(如VPN NAME),并利用其上保存的VPN路由表信息,對應的獲得與該VPN標識 對應的遠端PE的標識(如遠端PE的地址信息)后,緩存采樣得到的數據 包的信息,其中,數據包的信息包括數據包的流量信息、流向信息及VPN
7標識和遠端PE標識;優選地,可以將該數據包的信息存入與該數據包屬于 同一數據流的數據包的信息所在的緩存區,其中,同一數據流的數據包具有 相同VPN標識、遠端PE標識及IP五元組信息;
在完成步驟102后,即可認為已完成了一次數據包信息的采集過程,而 再執行下述步驟后,即為統計過程。
103: 判斷是否已滿足上述老化策略,若是,執行步驟105,否則執行 步驟104;
104:更新采樣信息(如流統計信息、累加報文數、字節數、流更新時 間及采樣時間中的任意一個或任意組合),然后執行步驟101;
105:對緩存區中屬于同一數據流的數據包的信息按照擴展后的Netflow V9的格式進行組包,將組包后得到的采樣報文發送給上層管理服務器。擴 展后的Netflow V9格式的采樣報文中應攜帶數據流的VPN標識及遠端PE 標識,其模板可采用表l所示的格式。
表1擴充后的Netflow V9采樣報文的數據格式
FlowSet ID = 0Length =字段數
TemplateID=1025Field Count = 14
Field Type 1 =200 ( VPN一NAME )Field Length 1=32
Field Type 2 = 201 (IPV4一RPE一ADDR)Field Length 2 = 4
Field Type 3 = 8 (IPV4—SRC一ADDR)Field Length 2 = 4
Field Type 4 =12 (IPV4一DST一ADDR)Field Length 4 = 4
Field Type 5 =21 (LAST—SWITCHED)Field Length 5 = 4
Field Type 6 =22 ( FIRST—SWITCHED )Field Length 6 = 4
Field Type 7=1 (IN_BYTES )Field Length 7 = 4
Field Type 8 =2 (IN_PACKETS )Field Length 8 = 4
Field Type 9 =7 (L4—SRC—PORT)Field Length 9 = 2
Field Type 10=11 ( L4_DST_PORT )Field Length 10 = 2
8Field Type 11 =4 ( PROTOCOL )Field Length 11 = 1
Field Type 12 =6 ( TCP—FLAGS )Field Length 12= 1
Field Type 13 =60 (IP—PROTOCOL—VERSION )Field Length 13 = 1
Field Type 12=5 ( TOS )Field Length 14= 1
其中,模版中每個字段的長度為2個字節;VPN一NAME (即VPN標識) 為運營商為用戶接入網絡配置的可識別字符串,是用戶虛擬局域網的識別標 志,長度為1 32個英文字符;IPV4—RPE一ADDR為MPLS VPN為虛擬局域 網絡中的遠端PE的IP地址(即遠端PE標識)。由于入口 PE會重復的向 上層管理服務器發送攜帶如表1所示的采樣報文數據格式信息的數據包模 板,因此,上層管理服務器會根據接收到的數據包模板對入口 PE上送的采 樣報文進行分析。
綜上所述,依據入口 PE的VPN標識和遠端PE的標識再加上數據包的 IP五元組信息對采樣到的數據包進行流量區分,細化了流量分類的粒度,可 以精確統計某條VPN中到某個遠端PE的流量信息。
圖2示出了典型的MPLS VPN組網環境。其中,用戶網絡A通過運營 商設備PE1作為VPNA接入運營商網絡,中間通過MPLS骨干網進行公網 傳輸。遠端的PE2接入用戶網絡C, PE3接入用戶網絡B,而用戶網絡A、 B及C同屬于VPN A,則VPN A中的數據流有兩條路徑,分別為PEl至PE2 及PE1至PE3, PEl可以通過上述方法分別采集到這兩條路徑的流量信息并 發送給上層管理服務器,由上層管理服務器統計出各條路徑的VPN流量信 息。
當然,本發明還可有其他多種實施例,在不背離本發明精神及其實質的 形,但這些相應的改變和變形都應屬于本發明所附的權利要求的保護范圍。
9
權利要求
1、一種利用網絡流Netflow采集及統計虛擬專用網絡VPN流量的方法,其特征在于,在入口服務提供商邊緣節點PE上配置VPN路由表信息,所述路由表中保存接入端口VPN標識與遠端PE標識的對應關系;且將擴展后的攜帶有VPN標識與遠端PE標識的Netflow V9模板報文發送給上層管理服務器;所述入口PE對流入其中的數據流進行采樣,根據所述數據流的接入端口獲得對應VPN標識,結合所述VPN路由表信息,獲得遠端PE的標識并緩存采樣得到的數據包信息;所述入口PE對所述數據包信息按照擴展后的Netflow V9模板進行組包并將組包后得到的采樣報文發送給所述上層管理服務器;所述上層管理服務器根據擴展后的Netflow V9模板報文對所述采樣報文進行解析,統計出VPN流量。
2、 如權利要求1所述的方法,其特征在于,所述入口 PE對流入其中 的數據流進行采樣,包括所述入口 PE上配置有采樣比,所述入口 PE根據所述采樣比對流入其 中的數據流進行采樣。
3、 如權利要求l所述的方法,其特征在于,緩存采樣得到的數據包信息,包括將所述采樣得到的數據包信息緩存 到與該數據包屬于同一數據流的數據包的信息所在的緩存區,其中,屬于同 一數據流的數據包具有相同的VPN標識、遠端PE標識及IP五元組信息。
4、 如權利要求1或3所述的方法,其特征在于,所述數據包信息包括該數據包的流量信息、流向信息及VPN標識和遠 端PE標識。
5、 如權利要求3所述的方法,其特征在于, 所述入口 PE上配置有老化策略;在所述入口 PE對所述數據包信息按照擴展后的Netflow V9格式進行組 包前還包括以下步驟所述入口 PE判斷是否已滿足老化策略,若滿足,對緩存的屬于同一數 據流的數據包信息扭^亍后續組包過程;否則,更新采樣信息,繼續對流入其 中的數據流進行采樣。
6、 如權利要求5所述的方法,其特征在于,所述采樣信息包括以下任意一個或任意組合流統計信息、累加報文數、 字節數、流更新時間、采樣時間。
7、 如權利要求1或3所述的方法,其特征在于,所述VPN標識為所述VPN的名稱信息,所述遠端PE標識為所述遠端 PE的地址信息。
全文摘要
一種利用網絡流Netflow采集及統計虛擬專用網絡VPN流量的方法,包括在入口服務提供商邊緣節點PE上配置VPN路由表信息,其中保存接入端口VPN標識與遠端PE標識的對應關系;且將擴展后的攜帶有VPN標識與遠端PE標識的Netflow V9模板報文發送給上層管理服務器;入口PE對流入其中的數據流進行采樣,根據該數據流的接入端口獲得對應VPN標識,結合VPN路由表信息,獲得遠端PE的標識并緩存采樣得到的數據包信息;對數據包信息按照擴展后的Netflow V9模板進行組包得到的采樣報文后發送給上層管理服務器;上層管理服務器根據上述模板報文對采樣報文進行解析,統計出VPN流量。
文檔編號H04L12/56GK101488925SQ20091012632
公開日2009年7月22日 申請日期2009年3月3日 優先權日2009年3月3日
發明者陶文強 申請人:中興通訊股份有限公司