一種vpn流量監控方法及裝置的制造方法
【專利摘要】本發明提供一種VPN流量監控方法及裝置,該方法包括:PE設備在確定接收的報文為VPN報文時,生成攜帶VPN標識的MPLS報文,該VPN標識用于表示VPN報文所屬的VPN網絡;PE設備將MPLS報文發送給P設備;P設備獲取MPLS報文中攜帶的VPN標識,根據VPN標識統計對應VPN網絡的流量,即實現P設備對VPN流量的監控。
【專利說明】
一種VPN流量監控方法及裝置
技術領域
[0001 ]本發明涉及網絡通信技術領域,尤其涉及一種VPN流量監控方法及裝置。
【背景技術】
[0002]MPLS(Mult1-Protocol Label Switching,多協議標簽交換)是目前應用比較廣泛的一種骨干網技術。基于MPLS的VPN(Virtual Private Network,虛擬專用網)的基本結構包括:CE(Customer Edge,用戶網絡邊緣設備)設備、PE(Provider Edge,服務提供商邊緣設備)設備以及P(Provider,服務提供商核心設備)設備。
[0003]在以上三種設備中,只有PE設備真正參與VPN業務部署,配置和管理VPN業務,因此,在PE設備上容易實現對VPN流量的監控;而P設備由于沒有配置VPN,無法感知VPN的存在,因此,無法進行VPN流量監控。
【發明內容】
[0004]本發明的目的在于提供一種VPN流量監控方法及裝置,用以在P設備上實現VPN流量監控。
[0005]為實現上述發明目的,本發明提供了技術方案:
[0006]本發明提供一種VPN流量監控方法,應用于PE設備,所述方法包括:
[0007]接收報文;
[0008]確定接收的報文是否為VPN報文;
[0009]當所述接收的報文為VPN報文時,生成攜帶VPN標識的多協議標簽交換MPLS報文,所述VPN標識用于表示所述VPN報文所屬的VPN網絡;
[0010]將所述MPLS報文發送給服務提供商核心設備P設備,以使P設備根據接收的MPLS報文對VPN流量進行監控。
[0011 ]本發明還提供一種VPN流量監控方法,應用于P設備,所述方法包括:
[0012]接收PE設備根據VPN報文生成的MPLS報文,所述MPLS報文攜帶VPN標識,所述VPN標識用于表示所述VPN報文所屬的VPN網絡;
[0013]獲取所述MPLS報文中攜帶的VPN標識;
[0014]根據所述VPN標識統計對應VPN網絡的流量。
[0015]本發明還提供一種VPN流量監控裝置,應用于PE設備,所述裝置包括:
[0016]接收單元,用于接收報文;
[00?7]確定單元,用于確定接收的報文是否為VPN報文;
[0018]生成單元,用于當所述接收的報文為VPN報文時,生成攜帶VPN標識的多協議標簽交換MPLS報文,所述VPN標識用于表示所述VPN報文所屬的VPN網絡;
[0019]發送單元,用于將所述MPLS報文發送給服務提供商核心設備P設備,以使P設備根據接收的MPLS報文對VPN流量進行監控。
[0020]本發明還提供一種VPN流量監控裝置,應用于P設備,所述裝置包括:
[0021]接收單元,用于接收服務提供商網絡邊緣PE設備根據VPN報文生成的MPLS報文,所述MPLS報文攜帶VPN標識,所述VPN標識用于表示所述VPN報文所屬的VPN網絡;
[0022]獲取單元,用于獲取所述MPLS報文中攜帶的VPN標識;
[0023I 統計單元,用于根據所述VPN標識統計對應VPN網絡的流量。
[0024]由以上描述可以看出,本發明由PE設備對VPN報文進行識別,再將識別出的VPN報文的VPN標識通過MPLS報文發送給P設備,P設備根據VPN標識識別VPN報文,從而實現對VPN流量的監控。
【附圖說明】
[0025]圖1是本發明實施例示出的一種VPN流量監控方法流程圖;
[0026]圖2是本發明實施例示出的另一種VPN流量監控方法流程圖;
[0027]圖3是本發明實施例示出的基于MPLS的VPN組網示意圖;
[0028]圖4是本發明實施例示出的PE設備/P設備的結構示意圖;
[0029]圖5是本發明實施例示出的一種VPN流量監控裝置的結構示意圖;
[0030]圖6是本發明實施例示出的另一種VPN流量監控裝置的結構示意圖。
【具體實施方式】
[0031]這里將詳細地對示例性實施例進行說明,其示例表示在附圖中。下面的描述涉及附圖時,除非另有表示,不同附圖中的相同數字表示相同或相似的要素。以下示例性實施例中所描述的實施方式并不代表與本發明相一致的所有實施方式。相反,它們僅是與如所附權利要求書中所詳述的、本發明的一些方面相一致的裝置和方法的例子。
[0032]在本發明使用的術語是僅僅出于描述特定實施例的目的,而非旨在限制本發明。在本發明和所附權利要求書中所使用的單數形式的“一種”、“所述”和“該”也旨在包括多數形式,除非上下文清楚地表示其他含義。還應當理解,本文中使用的術語“和/或”是指并包含一個或多個相關聯的列出項目的任何或所有可能組合。
[0033]應當理解,盡管在本發明可能采用術語第一、第二、第三等來描述各種信息,但這些信息不應限于這些術語。這些術語僅用來將同一類型的信息彼此區分開。例如,在不脫離本發明范圍的情況下,第一信息也可以被稱為第二信息,類似地,第二信息也可以被稱為第一信息。取決于語境,如在此所使用的詞語“如果”可以被解釋成為“在……時”或“當……時”或“響應于確定”。
[0034]本發明實施例提出一種VPN流量監控方法,該方法由PE設備對VPN報文進行識別,再將識別出的VPN報文的VPN標識通過MPLS報文的發送給P設備,P設備根據VPN標識識別VPN報文,從而實現對VPN流量的監控。
[0035]參見圖1,為本發明VPN流量監控方法的一個實施例流程圖,該實施例從PE設備側對VPN流量監控過程進行描述。
[0036]步驟101,接收報文。
[0037]步驟102,確定接收的報文是否為VPN報文。
[0038]在一種實施方式中,PE設備可通過定義ACL策略識別VPN報文,該ACL策略允許VPN網絡的VPN報文通過。[0039 ] 例如,ACL編號3000,該ACL的規則為允許匹配VPN實例I的流量通過。
[0040]PE設備接收報文后,判斷接收的報文是否匹配已定義的ACL策略。當接收的報文匹配ACL策略時,確定接收的報文為VPN報文。同時,根據ACL策略允許匹配的VPN報文通過,SP向P設備傳輸。
[0041 ] 在另一種實施方式中,可通過Netstream報文在綁定VPN的接口上獲取VPN報文的VPN ID(例如,vpn-1nstance I),識別不同的VPN報文。
[0042]步驟103,當所述接收的報文為VPN報文時,生成攜帶VPN標識的MPLS報文。
[0043]本發明實施例是基于MPLS的VPN,因此,PE設備對步驟102確定的VPN報文需要遵循MPLS協議,生成MPLS報文,并在該MPLS報文中攜帶VPN標識,用以表示VPN報文所屬的VPN網絡。
[0044]在一種實施方式中,可在前述采用ACL策略識別VPN報文的基礎上,通過配置QoS(Quality of Service,服務質量)策略實現對VPN標識的設置。QoS策略配置過程如下:
[0045]首先,定義流分類,該流分類用于定義匹配ACL策略的VPN報文。
[0046]例如,匹配ACL 3000的VPN報文歸為流分類I。
[0047]然后,定義流行為,該流行為用于設置VPN標識。
[0048]例如,定義流行為I,流行為I的動作為設置VPN標識為I。
[0049]建立流分類與流行為的綁定關系。
[0050]例如,定義QoS策略I,該QoS策略I為流分類I指定流行為I,即,對流分類I的VPN報文設置VPN標識為I。
[0051 ] 在PE設備配置了VPN的接口上應用上述綁定關系,即應用QoS策略。
[0052]例如,在PE設備連接CE設備(對應一個VPN網絡)的接口 GigabitEthernet3/0/l上應用QoS策略I。
[0053]因此,當PE設備在應用了QoS策略的接口上接收到匹配ACL的VPN報文時,根據QoS策略完成對VPN標識的設置。
[0054]在另一種實施方式中,可直接在MPLS報文中添加前述步驟102識別出來的VPN報文的VPN標識。
[0055]步驟104,將所述MPLS報文發送給P設備。
[0056]將步驟101?步驟103處理后的MPLS報文發送給P設備,由P設備根據MPLS報文對VPN流量進行監控,具體參見P設備側的描述。
[0057]參見圖2,為本發明VPN流量監控方法的另一個實施例流程圖,該實施例從P設備側對VPN流量監控過程進行描述。
[0058]步驟201,接收PE設備根據VPN報文生成的MPLS報文。
[0059]如前所述,PE設備針對不同VPN網絡的VPN報文設置不同的VPN標識,并攜帶在生成的MPLS報文中,該VPN標識用于表示VPN報文所屬的VPN網絡。P設備支持MPLS協議,因此,可識別接收的MPLS報文。
[0060]步驟202,獲取所述MPLS報文中攜帶的VPN標識。
[0061 ] P設備可通過獲取VPN標識,區分來自不同VPN網絡的VPN報文。
[0062]步驟203,根據所述VPN標識統計對應VPN網絡的流量。
[0063]具體地,P設備可通過配置QoS策略實現對VPN流量的監控。QoS策略配置過程如下:
[0064]首先,定義流分類,該流分類用于定義匹配VPN標識的VPN報文。
[0065]例如,將VPN標識為I的MPLS報文歸為流分類2。
[0066]然后,定義流行為,該流行為用于允許報文通過。
[0067]例如,定義流行為2,流行為2的動作為允許報文通過。
[0068]建立流分類與流行為的綁定關系。
[0069]例如,綁定關系可以為,定義QoS策略2,該QoS策略2為流分類2指定流行為2,8卩,允許VPN標識為I的MPLS報文通過。
[0070]在P設備的出接口上應用上述綁定關系,即應用QoS策略。
[0071]例如,在P設備的出接口 GigabitEthernet4/0/2上應用QoS策略2。
[0072]P設備通過監控接口下匹配所述流分類并執行與之綁定的流行為的VPN流量,從而統計出不同VPN網絡的VPN流量。
[0073]由上述描述可以看出,本發明實施例由PE設備對VPN流量進行識別,并將代表不同VPN網絡的VPN標識攜帶在MPLS報文中,從而使不能直接識別VPN流量,但是可以識別MPLS報文的P設備根據MPLS報文中攜帶的VPN標識,識別來自不同VPN網絡的VPN流量,因此,可針對不同VPN網絡進行流量統計。
[0074]參見圖3,為本發明實施例示出的一種基于MPLS的VPN組網示意圖。該組網包括CE設備(CE I?CE4)、PE設備(PEI和PE2)以及P設備。該組網承載VPNl和VPN2的流量傳輸。現以該VPN組網為例,詳細介紹VPN流量監控過程。
[0075 ] 假設,VPNl的流量從S i te (站點)I流向S i te4; VPN2的流量從S i te 2流向S i te 3。
[0076]在PEl的接口G3/0/1配置VPNl的實例vpn-1nstance I,在接口G3/0/2配置VPN2的實例vpn-1nstance 2。
[0077]定義ACL3000,允許匹配實例vpn-1nstance I的報文通過;定義ACL3001,允許匹配實例vpn-1nstance 2的報文通過。
[0078]定義流分類classifier I,匹配ACL3000的VPN報文歸入classif ier I;定義流分類 classifier 2,匹配 ACL3001 的 VPN 報文歸入 classif ier 2。
[0079]定義流行為behav1r I,設置VPN標識為I;定義流行為behav1r 2,設置VPN標識為為2。
[0080]定義QoS 策略 policy I,綁定 classif ier I 與 behav1r I,即,對 PEl 從接口 G3/0/1接收到的匹配vpn-1nstance I的報文,設置VPN標識為為I;定義QoS策略policy 2,綁定classifier 2與behav1r 2,即,對PEl從接口G3/0/2接收到的匹配vpn-1nstance 2的報文,設置VPN標識為為2。
[0081]在接口G3/0/1上應用QoS策略policy I;在接口G3/0/2上應用QoS策略policy 2。
[0082]在完成上述配置后,PEl對從接口 G3/0/1接收到的VPNl網絡的VPN報文,執行QoS策略PoIicy I,在生成的MPLS報文中攜帶VPN標識I,代表來自VPNl網絡的VPN報文。同理,PEl從接口G3/0/2接收到的VPN2網絡的VPN報文,執行QoS策略policy 2,在生成的MPLS報文中攜帶VPN標識2,代表來自VPN2網絡的VPN報文。
[0083]將MPLS報文發送給P設備。
[0084]P設備同樣進行QoS配置:
[0085]定義流分類classif ier 3,將攜帶VPN標識I的MPLS報文歸入classif ier 3;定義流分類classif ier 4,將攜帶VPN標識2的MPLS報文歸入classif ier 4。
[0086]定義流行為behav1r 3,允許報文通過。
[0087]定義QoS策略policy3,綁定classifier 3與behav1r 3,即,允許攜帶VPN標識I的MPLS報文通過;定義QoS策略policy 4,綁定classif ier 4與behav1r 3,即,允許攜帶VPN標識2的MPLS報文通過。
[0088]在接口G4/0/2上應用QoS策略policy3和policy 4。
[0089]在完成上述配置以后,P設備可通過監控接口 G4/0/2,分別對攜帶VPN標識I的MPLS報文(VPNl網絡的VPN報文),以及攜帶VPN標識2的MPLS報文(VPN2網絡的VPN報文)進行流量統計。
[0090]與前述VPN流量監控方法的實施例相對應,本發明還提供了VPN流量監控裝置的實施例。
[0091]本發明VPN流量監控裝置的實施例可以應用在PE設備或P設備上。裝置實施例可以通過軟件實現,也可以通過硬件或者軟硬件結合的方式實現。以軟件實現為例,作為一個邏輯意義上的裝置,是通過其所在設備的處理器運行存儲器中對應的計算機程序指令形成的。從硬件層面而言,如圖4所示,為本發明VPN流量監控裝置所在設備的一種硬件結構圖,除了圖4所示的處理器以及非易失性存儲器之外,實施例中裝置所在的設備通常根據該設備的實際功能,還可以包括其他硬件,對此不再贅述。
[0092]請參考圖5,為本發明一個實施例中的VPN流量監控裝置的結構示意圖。該VPN流量監控裝置包括接收單元501、確定單元502、生成單元503以及發送單元504,其中:
[0093]接收單元501,用于接收報文;
[0094]確定單元502,用于確定接收的報文是否為VPN報文;
[0095]生成單元503,用于當所述接收的報文為VPN報文時,生成攜帶VPN標識的多協議標簽交換MPLS報文,所述VPN標識用于表示所述VPN報文所屬的VPN網絡;
[0096]發送單元504,用于將所述MPLS報文發送給服務提供商核心設備P設備,以使P設備根據接收的MPLS報文對VPN流量進行監控。
[0097]進一步地,所述裝置還包括:
[0098]定義單元,用于在所述確定單元502確定接收的報文是否為VPN報文之前,定義ACL策略,所述ACL策略用于允許VPN網絡的VPN報文通過;
[0099]所述確定單元502,具體用于判斷接收的報文是否匹配所述ACL策略;當所述接收的報文匹配所述ACL策略時,確定所述接收的報文為VPN報文。
[0100]進一步地,所述裝置還包括:
[0101]配置單元,用于在所述生成單元503生成攜帶VPN標識的MPLS報文之前,定義流分類,所述流分類用于定義匹配ACL策略的VPN報文;定義流行為,所述流行為用于設置VPN標識;建立所述流分類與所述流行為的綁定關系;在接口上應用所述綁定關系。
[0102]請參考圖6,為本發明另一個實施例中的VPN流量監控裝置的結構示意圖。該VPN流量監控裝置包括接收單元601、獲取單元602以及統計單元603,其中:
[0103]接收單元601,用于接收服務提供商網絡邊緣PE設備根據VPN報文生成的MPLS報文,所述MPLS報文攜帶VPN標識,所述VPN標識用于表示所述VPN報文所屬的VPN網絡;
[0104]獲取單元602,用于獲取所述MPLS報文中攜帶的VPN標識;
[0105]統計單元603,用于根據所述VPN標識統計對應VPN網絡的流量。
[0106]進一步地,所述裝置還包括:
[0107]配置單元,用于在所述統計單元603根據所述VPN標識統計對應VPN網絡的流量之前,定義流分類,所述流分類用于定義匹配所述VPN標識的VPN報文;定義流行為,所述流行為用于允許報文通過;建立所述流分類與所述流行為的綁定關系;在接口上應用所述綁定關系;
[0108]所述統計單元603,具體用于監控所述接口下匹配所述流分類、執行所述流行為的
VPN流量。
[0109]上述裝置中各個單元的功能和作用的實現過程具體詳見上述方法中對應步驟的實現過程,在此不再贅述。
[0110]對于裝置實施例而言,由于其基本對應于方法實施例,所以相關之處參見方法實施例的部分說明即可。以上所描述的裝置實施例僅僅是示意性的,其中所述作為分離部件說明的單元可以是或者也可以不是物理上分開的,作為單元顯示的部件可以是或者也可以不是物理單元,即可以位于一個地方,或者也可以分布到多個網絡單元上。可以根據實際的需要選擇其中的部分或者全部模塊來實現本發明方案的目的。本領域普通技術人員在不付出創造性勞動的情況下,即可以理解并實施。
[0111]以上所述僅為本發明的較佳實施例而已,并不用以限制本發明,凡在本發明的精神和原則之內,所做的任何修改、等同替換、改進等,均應包含在本發明保護的范圍之內。
【主權項】
1.一種虛擬專用網VPN流量監控方法,應用于服務提供商網絡邊緣PE設備,其特征在于,所述方法包括: 接收報文; 確定接收的報文是否為VPN報文; 當所述接收的報文為VPN報文時,生成攜帶VPN標識的多協議標簽交換MPLS報文,所述VPN標識用于表示所述VPN報文所屬的VPN網絡; 將所述MPLS報文發送給服務提供商核心設備P設備,以使P設備根據接收的MPLS報文對VPN流量進行監控。2.如權利要求1所述的方法,其特征在于,所述確定接收的報文是否為VPN報文之前,還包括: 定義ACL策略,所述ACL策略用于允許VPN網絡的VPN報文通過; 所述確定接收的報文是否為VPN報文,包括: 判斷接收的報文是否匹配所述ACL策略; 當所述接收的報文匹配所述ACL策略時,確定所述接收的報文為VPN報文。3.如權利要求2所述的方法,其特征在于,所述生成攜帶VPN標識的MPLS報文之前,還包括: 定義流分類,所述流分類用于定義匹配ACL策略的VPN報文; 定義流行為,所述流行為用于設置VPN標識; 建立所述流分類與所述流行為的綁定關系; 在接口上應用所述綁定關系。4.一種虛擬專用網VPN流量監控方法,應用于服務提供商核心設備P設備,其特征在于,所述方法包括: 接收服務提供商網絡邊緣PE設備根據VPN報文生成的MPLS報文,所述MPLS報文攜帶VPN標識,所述VPN標識用于表示所述VPN報文所屬的VPN網絡; 獲取所述MPLS報文中攜帶的VPN標識; 根據所述VPN標識統計對應VPN網絡的流量。5.如權利要求4所述的方法,其特征在于,所述根據所述VPN標識統計對應VPN網絡的流量之前,還包括: 定義流分類,所述流分類用于定義匹配所述VPN標識的VPN報文; 定義流行為,所述流行為用于允許報文通過; 建立所述流分類與所述流行為的綁定關系; 在接口上應用所述綁定關系; 所述根據所述VPN標識統計對應VPN網絡的流量,包括: 監控所述接口下匹配所述流分類、執行所述流行為的VPN流量。6.—種虛擬專用網VPN流量監控裝置,應用于服務提供商網絡邊緣PE設備,其特征在于,所述裝置包括: 接收單元,用于接收報文; 確定單元,用于確定接收的報文是否為VPN報文; 生成單元,用于當所述接收的報文為VPN報文時,生成攜帶VPN標識的多協議標簽交換MPLS報文,所述VPN標識用于表示所述VPN報文所屬的VPN網絡; 發送單元,用于將所述MPLS報文發送給服務提供商核心設備P設備,以使P設備根據接收的MPLS報文對VPN流量進行監控。7.如權利要求6所述的裝置,其特征在于,所述裝置還包括: 定義單元,用于在所述確定單元確定接收的報文是否為VPN報文之前,定義ACL策略,所述ACL策略用于允許VPN網絡的VPN報文通過; 所述確定單元,具體用于判斷接收的報文是否匹配所述ACL策略;當所述接收的報文匹配所述ACL策略時,確定所述接收的報文為VPN報文。8.如權利要求7所述的裝置,其特征在于,所述裝置還包括: 配置單元,用于在所述生成單元生成攜帶VPN標識的MPLS報文之前,定義流分類,所述流分類用于定義匹配ACL策略的VPN報文;定義流行為,所述流行為用于設置VPN標識;建立所述流分類與所述流行為的綁定關系;在接口上應用所述綁定關系。9.一種虛擬專用網VPN流量監控裝置,應用于服務提供商核心設備P設備,其特征在于,所述裝置包括: 接收單元,用于接收服務提供商網絡邊緣PE設備根據VPN報文生成的MPLS報文,所述MPLS報文攜帶VPN標識,所述VPN標識用于表示所述VPN報文所屬的VPN網絡; 獲取單元,用于獲取所述MPLS報文中攜帶的VPN標識; 統計單元,用于根據所述VPN標識統計對應VPN網絡的流量。10.如權利要求9所述的裝置,其特征在于,所述裝置還包括: 配置單元,用于在所述統計單元根據所述VPN標識統計對應VPN網絡的流量之前,定義流分類,所述流分類用于定義匹配所述VPN標識的VPN報文;定義流行為,所述流行為用于允許報文通過;建立所述流分類與所述流行為的綁定關系;在接口上應用所述綁定關系;所述統計單元,具體用于監控所述接口下匹配所述流分類、執行所述流行為的VPN流量。
【文檔編號】H04L12/46GK106059887SQ201610532799
【公開日】2016年10月26日
【申請日】2016年6月30日
【發明人】劉興安
【申請人】杭州華三通信技術有限公司