專利名稱:一種流量監(jiān)控的方法�����、設(shè)備和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及電通信技術(shù)領(lǐng)域�,尤其涉及一種流量監(jiān)控的方法、設(shè)備和系統(tǒng)���。
背景技術(shù):
近年來,網(wǎng)絡(luò)應(yīng)用極大豐富�,出現(xiàn)了許多新的協(xié)議,例如�����,點(diǎn)對點(diǎn)(P2P, Pointer to Pointer )、 Skype ( —種即時(shí)通信軟件)�。隨之而來的,對新應(yīng)用的檢
測和控制需求也相應(yīng)地出現(xiàn)���。然而���,傳統(tǒng)路由器雖然能夠?qū)?shù)據(jù)報(bào)文進(jìn)行各 種控制,卻缺乏對應(yīng)用層數(shù)據(jù)報(bào)文的識別能力�。雖然新出現(xiàn)的深度報(bào)文檢測 設(shè)備(DPI, Deep Packet Inspection)能夠識別業(yè)務(wù),性能卻是一個(gè)較大的瓶 頸�����,如果串路到網(wǎng)絡(luò)當(dāng)中�����,會引入一個(gè)新的故障點(diǎn)����。
現(xiàn)有技術(shù)中的流量監(jiān)控方案,是通過DPI設(shè)備進(jìn)行部分?jǐn)?shù)據(jù)報(bào)文的識別���, 識別完后的數(shù)據(jù)報(bào)文不再送來��,控制設(shè)備(如路由器)根據(jù)接收到的策略配 置功能執(zhí)行數(shù)據(jù)報(bào)文控制����。
在對現(xiàn)有技術(shù)的研究和實(shí)踐過程中,發(fā)明人發(fā)現(xiàn)���,采用這種流量監(jiān)控方 法���,DPI設(shè)備需要處理的流量較少,但是由于業(yè)務(wù)的豐富多樣���,控制設(shè)備需要 進(jìn)行靈活的策略識別和應(yīng)用�����,才能對盡可能多的業(yè)務(wù)進(jìn)行監(jiān)測和控制��,因此 增加了實(shí)現(xiàn)復(fù)雜度��。
發(fā)明內(nèi)容
本發(fā)明實(shí)施例要解決的技術(shù)問題是提供一種流量控制方法����、設(shè)備和系統(tǒng)��, 能夠靈活地對應(yīng)用層數(shù)據(jù)報(bào)文進(jìn)行檢測和控制����。
為解決上述技術(shù)問題,本發(fā)明實(shí)施例所提供的流量控制方法�、設(shè)備和系 統(tǒng)實(shí)施例是通過以下技術(shù)方案實(shí)現(xiàn)的
本發(fā)明實(shí)施例提供了 一種流量監(jiān)控方法,該方法包括
深度報(bào)文檢測DPI設(shè)備從控制設(shè)備獲取數(shù)據(jù)報(bào)文�,并從配置的數(shù)據(jù)報(bào)文 控制策略中選取所述數(shù)據(jù)報(bào)文對應(yīng)的策略并發(fā)送到控制設(shè)備,使得控制設(shè)備 根據(jù)所述策略執(zhí)行數(shù)據(jù)報(bào)文控制��。
本發(fā)明實(shí)施例提供了一種流量監(jiān)控系統(tǒng)��,該系統(tǒng)包括深度報(bào)文檢測DPI
設(shè)備�����、控制設(shè)備���,其中
DPI設(shè)備����,用于從控制設(shè)備獲取數(shù)據(jù)報(bào)文�����,從配置的數(shù)據(jù)報(bào)文控制策略中 選取所述數(shù)據(jù)報(bào)文對應(yīng)的策略并發(fā)送到控制設(shè)備;
控制設(shè)備��,用于向DPI檢測設(shè)備發(fā)送數(shù)據(jù)報(bào)文�,并根據(jù)DPI設(shè)備發(fā)送的 策略執(zhí)行數(shù)據(jù)報(bào)文控制。
本發(fā)明實(shí)施例還提供了一種深度報(bào)文檢測DPI設(shè)備��,該設(shè)備包括數(shù)據(jù) 報(bào)文獲取單元�、策略選取單元、策略發(fā)送單元�,其中
數(shù)據(jù)報(bào)文獲取單元,用于獲取數(shù)據(jù)報(bào)文��;
策略選取單元�,用于當(dāng)數(shù)據(jù)報(bào)文獲取單元獲取到數(shù)據(jù)報(bào)文時(shí),從配置的 數(shù)據(jù)報(bào)文控制策略中選取所述數(shù)據(jù)報(bào)文對應(yīng)的策略����;
策略發(fā)送單元,用于將策略選取單元選取的策略發(fā)送出去���。
從以上技術(shù)方案可以看出��,DPI設(shè)備從控制設(shè)備獲取數(shù)據(jù)報(bào)文��,并從配置 的數(shù)據(jù)報(bào)文控制策略中選取所述數(shù)據(jù)報(bào)文對應(yīng)的策略并發(fā)送到控制設(shè)備���,由 控制設(shè)備根據(jù)DPI設(shè)備發(fā)送的策略執(zhí)行數(shù)據(jù)報(bào)文控制,使得數(shù)據(jù)報(bào)文檢測和 復(fù)雜的策略與數(shù)據(jù)報(bào)文控制分開����,即DPI設(shè)備負(fù)責(zé)識別業(yè)務(wù)和策略識別分配, 而由控制設(shè)備負(fù)責(zé)策略實(shí)施�,因此,可以充分發(fā)揮DPI設(shè)備識別業(yè)務(wù)的能力����, 同時(shí),可以降低對控制設(shè)備的要求�,可以實(shí)現(xiàn)非常靈活的基于應(yīng)用層數(shù)據(jù)報(bào) 文的檢測和控制,并且��,由于不會對現(xiàn)有網(wǎng)絡(luò)拓樸造成任何影響���,利于擴(kuò)展 應(yīng)用��。
為了更清楚地說明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案�����,下面將對實(shí) 施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹����,顯而易見地,下面 描述中的附圖僅僅是本發(fā)明的 一些實(shí)施例�,對于本領(lǐng)域普通技術(shù)人員來講, 在不付出創(chuàng)造性勞動(dòng)性的前提下�����,還可以根據(jù)這些附圖獲得其他的附圖�����。
圖1為本發(fā)明實(shí)施例一中流量監(jiān)控方法流程圖2為本發(fā)明實(shí)施例二中流量監(jiān)控方法流程圖3為本發(fā)明實(shí)施例三中流量監(jiān)控系統(tǒng)結(jié)構(gòu)示意圖4為本發(fā)明實(shí)施例四中流量監(jiān)控系統(tǒng)結(jié)構(gòu)示意圖5為本發(fā)明實(shí)施例五中DPI設(shè)備結(jié)構(gòu)示意圖��; 圖6為本發(fā)明實(shí)施例六中DPI設(shè)備結(jié)構(gòu)示意圖�����。
具體實(shí)施例方式
下面將結(jié)合本發(fā)明實(shí)施例中的附圖��,對本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行 清楚�����、完整地描述,顯然���,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例��,而 不是全部的實(shí)施例�?�;诒景l(fā)明中的實(shí)施例���,本領(lǐng)域普通技術(shù)人員在沒有作 出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例,都屬于本發(fā)明保護(hù)的范圍����。
本發(fā)明實(shí)施例提供了一種流量監(jiān)控的方法、系統(tǒng)和設(shè)備��,用于實(shí)現(xiàn)對應(yīng) 用層數(shù)據(jù)報(bào)文的檢測和控制����。本申請文件中所述的流量監(jiān)控包括對數(shù)據(jù)報(bào)文 的檢測和數(shù)據(jù)報(bào)文的控制兩個(gè)方面。
參照圖1,為本發(fā)明實(shí)施例一中流量監(jiān)控方法流程圖���,以下通過具體步驟 進(jìn)4亍詳細(xì)i兌明
步驟ll��、 DPI設(shè)備從控制設(shè)備獲取數(shù)據(jù)報(bào)文�����;
在光網(wǎng)絡(luò)中DPI設(shè)備可以從控制設(shè)備上的光纖分光得到數(shù)據(jù)報(bào)文�����,也可 以由DPI設(shè)備從控制設(shè)備端口鏡像得到數(shù)據(jù)報(bào)文�����,或者由DPI設(shè)備從控制設(shè) 備對數(shù)據(jù)報(bào)文進(jìn)行選擇性復(fù)制得到部分?jǐn)?shù)據(jù)報(bào)文��。
進(jìn)行數(shù)據(jù)報(bào)文控制的控制設(shè)備具體可以由路由器�、防火墻、寬帶接入服 務(wù)器(BRAS�, Broadband Remote Access Server)等設(shè)備實(shí)現(xiàn)。
步驟12��、 DPI設(shè)備從配置的數(shù)據(jù)報(bào)文控制策略中選取所述數(shù)據(jù)報(bào)文所對 應(yīng)的策略���;
數(shù)據(jù)報(bào)文控制策略可以預(yù)先配置在DPI設(shè)備上��,當(dāng)然�,由于基于應(yīng)用層 的數(shù)據(jù)報(bào)文控制策略的復(fù)雜性和靈活性,可以從一個(gè)專門策略配置的策略配 置設(shè)備上獲取數(shù)據(jù)報(bào)文控制策略�����。
基于應(yīng)用層的數(shù)據(jù)報(bào)文控制策略����,可以包括對某種應(yīng)用,如P2P數(shù)據(jù)報(bào) 文的控制���,對某類用戶例如網(wǎng)吧用戶的控制,基于用戶的某種應(yīng)用的控制��, 例如�,所有用戶的P2P下載帶寬不超過100kbps,基于某個(gè)會話的數(shù)據(jù)報(bào)文控 制,例如拒絕服務(wù)攻擊(DoS, Deny of Service)數(shù)據(jù)報(bào)文攻擊等�,也可以是 對某種應(yīng)用的數(shù)據(jù)報(bào)文控制策略,對某類用戶群的數(shù)據(jù)報(bào)文控制策略��,基于 用戶的總流量控制策略等等�����。這些數(shù)據(jù)報(bào)文控制策略����,基于傳統(tǒng)的路由器的訪問控制列表(ACL, Access Control List)難以實(shí)現(xiàn)�����,而在DPI設(shè)備等數(shù)據(jù)報(bào)文識別設(shè)備上容易實(shí)現(xiàn)�,由 DPI設(shè)備應(yīng)用判決后����,變成一個(gè)個(gè)對每個(gè)會話流的控制策略,DPI設(shè)備可以根 據(jù)配置的數(shù)據(jù)報(bào)文控制策略來決策并轉(zhuǎn)變?yōu)獒槍λ龅臉I(yè)務(wù)每個(gè)會話流的數(shù) 據(jù)報(bào)文所對應(yīng)的策略�����。具體可以通過控制設(shè)備與DPI設(shè)備交互傳遞策略動(dòng)作 定義���、會話流信息以及會話流綁定的策略信息的方法來實(shí)現(xiàn)應(yīng)用層數(shù)據(jù)報(bào)文 的才全測和控制���。
因此,可以充分發(fā)揮DPI設(shè)備對應(yīng)用層數(shù)據(jù)"^艮文的識別能力��,同時(shí)�����,由 于將DPI設(shè)備作為旁路設(shè)備,因此��,不會對現(xiàn)有網(wǎng)絡(luò)拓樸造成影響����,利于擴(kuò) 展應(yīng)用。
步驟13����、 DPI設(shè)備將選取的策略發(fā)送到控制設(shè)備;
步驟14���、控制設(shè)備根據(jù)DPI設(shè)備發(fā)送的策略執(zhí)行數(shù)據(jù)報(bào)文控制�����。
路由器、防火墻等控制設(shè)備可以實(shí)現(xiàn)如下功能
1�����、 基于數(shù)據(jù)報(bào)文的處理�����,數(shù)據(jù)報(bào)文由一系列的會話流組成,因此���,可以 通過維護(hù) 一 個(gè)會話流表���,記錄對每個(gè)會話流的狀態(tài);
2����、 實(shí)現(xiàn)各種策略動(dòng)作,例如承諾接入速率(CAR, Committed Access Rate)�、數(shù)據(jù)報(bào)文整形(Shaping )、數(shù)據(jù)報(bào)文阻斷(Block )�����、數(shù)據(jù)報(bào)文重定向
(redirect),數(shù)據(jù)沖艮文復(fù)制(duplicate)�。
由于控制設(shè)備僅負(fù)責(zé)數(shù)據(jù)報(bào)文控制策略的實(shí)施,不需要進(jìn)行策略判決等 復(fù)雜的策略處理����,因此,可以最大限度地保持控制設(shè)備的處理速度�����。
從該實(shí)施例可以看出,將應(yīng)用層數(shù)據(jù)^J:的控制與復(fù)雜的策略判決分開�����, 即dpi設(shè)備負(fù)責(zé)數(shù)據(jù)報(bào)文的識別和策略識別分配�����,而由控制設(shè)備進(jìn)行策略實(shí)
施���,可以充分發(fā)揮DPI設(shè)備對應(yīng)用層數(shù)據(jù)報(bào)文的識別能力���,并且降低對控制
設(shè)備的要求,可以實(shí)現(xiàn)非常靈活的基于應(yīng)用層數(shù)據(jù)報(bào)文檢測和控制�����,并且����,
由于不會對現(xiàn)有網(wǎng)絡(luò)拓樸造成任何影響�,利于擴(kuò)展應(yīng)用,而且,DPI設(shè)備與控 制設(shè)備之間的接口可以標(biāo)準(zhǔn)化��,方便第三方使用����。 以下通過一個(gè)具體的應(yīng)用場景進(jìn)行詳細(xì)il明
參照圖2,為本發(fā)明實(shí)施例二中流量監(jiān)控方法流程圖,DPI設(shè)備從策略配 置設(shè)備獲取數(shù)據(jù)報(bào)文控制策略�,可以實(shí)現(xiàn)所有單用戶P2P帶寬控制和P2P總流量帶寬控制,以下通過具體步驟進(jìn)行詳細(xì)描述
步驟21����、策略配置設(shè)備發(fā)送單用戶P2P控制策略和P2P總流量帶寬控制
例如,策略配置設(shè)備發(fā)送的數(shù)據(jù)報(bào)文控制策略包括以下兩種1��、發(fā)送的 單用戶P2P控制策略為P2P下載帶寬100kbps; 2���、 P2P總流量帶寬控制策 略為300Mbps���。
步驟22、 DPI設(shè)備收到策略配置設(shè)備發(fā)送的數(shù)據(jù)報(bào)文控制策略��,配置成 本地的數(shù)據(jù)報(bào)文控制策略����;
例如�����,將接收到的"單用戶P2P控制策略為P2P下載帶寬100kbps; P2P 總數(shù)據(jù)報(bào)文帶寬控制策略為300Mbps"進(jìn)行編譯即可配置成本地的數(shù)據(jù)報(bào)文 控制策略�����。
可以理解的是����,DPI設(shè)備也可以從策略配置設(shè)備主動(dòng)獲取所述數(shù)據(jù)報(bào)文控 制策略�����。數(shù)據(jù)報(bào)文控制策略也可預(yù)先配置在DPI設(shè)備上����,即所述策略配置功 能的裝置可以集成在DPI設(shè)備上。
同時(shí)�,對"P2P總流量帶寬控制策略為300Mbps",生成一個(gè)限流動(dòng)作 TrafficBW—ID20=3OOMbps,發(fā)送給控制設(shè)備����。
步驟23、 DPI設(shè)備從控制設(shè)備獲取數(shù)據(jù)報(bào)文��;
控制設(shè)備收到用戶的數(shù)據(jù)報(bào)文后���,可以通過光纖分光����、端口鏡像或者選 擇性復(fù)制必要的數(shù)據(jù)報(bào)文的方式��,把數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)到DPI設(shè)備上�,同時(shí),控 制設(shè)備在本地建立會話流表���,維護(hù)會話流的狀態(tài)��。
步驟24��、 DPI設(shè)備對數(shù)據(jù)報(bào)文進(jìn)行識別�,識別后選取對應(yīng)的策略����,并生 成對應(yīng)的消息發(fā)送給控制設(shè)備;
如果應(yīng)用為P2P,發(fā)現(xiàn)需要對該會話流對應(yīng)的用戶100.1.1.1的P2P數(shù)據(jù) 報(bào)文作小于等于100kbps的限制��,而且其P2P總流量也需要作小于等于 300Mbps的限制�,則生成兩個(gè)兩條消息發(fā)送給控制設(shè)備消息1�、限流動(dòng)作 TrafficBW_ID100=100kbps;消息2����、該會話流的識別信息五元組(源網(wǎng)際 協(xié)議(IP, International Protocol)地址、目的IP地址��、源TCP/UDP端口號����、 目的傳車敘控制協(xié)i義/用戶凝:據(jù)才艮協(xié)"漢(TCP/UDP, Transfer Control Protocol/User Datagram Protocol)端口號、IP協(xié)議號)�,限流動(dòng)作TrafficB W_ID 100,限流動(dòng)作TrafficBW_ID20����。
可以理解的是,"P2P總數(shù)據(jù)報(bào)文帶寬控制策略為300Mbps"也可以在 本步驟中在檢測到數(shù)據(jù)報(bào)文后再發(fā)送給控制設(shè)備�。不過,由于基本上數(shù)據(jù)報(bào) 文中的每個(gè)報(bào)文都可能用到"P2P總數(shù)據(jù)報(bào)文帶寬控制策略為300Mbps"這 一策略�,因此,在步驟22中下發(fā)可以滿足每個(gè)數(shù)據(jù)報(bào)文的需要�����。
步驟25���、控制設(shè)備收到消息后��,對該會話流的每一個(gè)報(bào)文���,執(zhí)行策略控 制動(dòng)作;
具體的�,執(zhí)行"TrafficBW_ID100=100kbps,�,和"TrafficBW_ID20=300Mbps 兩個(gè)動(dòng)作,控制用戶lOO.l丄l的P2P數(shù)據(jù)報(bào)文不高于100kbps,并將總的數(shù) 據(jù)報(bào)文控制在300Mbps以下�����。
步驟26���、當(dāng)該會話流老化后�����,將會話流的相關(guān)信息從控制設(shè)備和DPI設(shè) 備中刪除����。
可以看出����,在具體實(shí)施中�,也可以由控制設(shè)備和DPI設(shè)備通過交互傳遞 策略動(dòng)作定義���、會話流信息以及與會話流綁定的策略信息的方法����,來實(shí)現(xiàn)應(yīng) 用層數(shù)據(jù)報(bào)文檢測和控制����。這時(shí),控制設(shè)備要有執(zhí)行策略動(dòng)作的能力�����,例如����, 對于CAR這個(gè)動(dòng)作,控制設(shè)備就要能夠?qū)崿F(xiàn)CAR的算法����,且要支持一定數(shù) 量的CAR算法實(shí)現(xiàn)單元,例如10000個(gè),每個(gè)算法單元編號���,ID=1~ 10000��。 算法單元的具體參數(shù)����,需要DPI設(shè)備根據(jù)收到的策略來具體設(shè)置����,有的設(shè)置 是在數(shù)據(jù)報(bào)文到達(dá)前就預(yù)先設(shè)置好的��,例如步驟22的策略����;有的是動(dòng)態(tài)下發(fā) 的,例如步驟24里的消息1�����。
以下簡要介紹一下在上述流量監(jiān)控的過程中��,DPI設(shè)備具體是如何進(jìn)行策 略判決的�,即進(jìn)行策略的識別和分配在DPI設(shè)備上,會對上報(bào)的數(shù)據(jù)報(bào)文 進(jìn)行策略的搜索和匹配�����,例如用戶100.1.1.1的數(shù)據(jù)報(bào)文報(bào)上來后,在本地搜 索匹配策略時(shí)����,會發(fā)現(xiàn)符合"單用戶P2P下載帶寬100kbps"和"總P2P帶 寬300Mbps"這兩條策略。對于第一條策略���,因?yàn)橛脩?00.1.1.1之前并未 收到過�,因此相應(yīng)的CAR算法單元在控制設(shè)備上還沒有建立�,因此需要先下 發(fā)一條消息建立該單元,也就是步驟24里的第一條消息���。而由于第二條策略 是對總的P2P帶寬控制策略���,因此第二條策略的CAR算法單元,無需等報(bào)文 到來就可以先下發(fā)的�,所以在步驟22中就先下發(fā)了。
從該實(shí)施例可以看出�����,由DPI設(shè)備識別控制設(shè)備上基于應(yīng)用層的數(shù)據(jù)報(bào) 文,并根據(jù)配置的數(shù)據(jù)報(bào)文控制策略生成對應(yīng)的策略動(dòng)作���,并發(fā)送到控制設(shè) 備�,由控制設(shè)備按照策略動(dòng)作執(zhí)行策略控制�����,可以充分發(fā)揮DPI設(shè)備基于應(yīng) 用層的數(shù)據(jù)報(bào)文識別能力��,可以實(shí)現(xiàn)非常靈活的基于應(yīng)用層的數(shù)據(jù)報(bào)文檢測
和控制��,并降低對控制設(shè)備的要求���;并且,由于DPI設(shè)備作為旁路設(shè)備���,因
此不會對網(wǎng)絡(luò)拓樸造成任何影響�,利于擴(kuò)展應(yīng)用����;DPI設(shè)備和控制設(shè)備之間的
接口可以標(biāo)準(zhǔn)化,利于第三方的應(yīng)用���。
以下對上述流量監(jiān)控方法所采用的系統(tǒng)和設(shè)備進(jìn)行對應(yīng)描述
參照圖3����,為本發(fā)明實(shí)施例三中流量監(jiān)控系統(tǒng)結(jié)構(gòu)示意圖,該系統(tǒng)中���,直
接在DPI設(shè)備上進(jìn)行策略配置��,該系統(tǒng)包括DPI設(shè)備31��、控制設(shè)備32,其
中
DPI設(shè)備31,用于從控制設(shè)備32獲取數(shù)據(jù)報(bào)文���,從配置的數(shù)據(jù)報(bào)文控制 策略中選取所述數(shù)據(jù)報(bào)文對應(yīng)的策略并發(fā)送到控制設(shè)備32;
控制設(shè)備32,用于根據(jù)DPI設(shè)備31發(fā)送的策略執(zhí)行數(shù)據(jù)報(bào)文控制。
可以看出����,本實(shí)施例中,數(shù)據(jù)報(bào)文控制與數(shù)據(jù)報(bào)文檢測分開�����,DPI設(shè)備負(fù) 責(zé)檢測應(yīng)用層的數(shù)據(jù)報(bào)文�����,控制設(shè)備負(fù)責(zé)對應(yīng)用層數(shù)據(jù)報(bào)文采取控制動(dòng)作; 并且���,數(shù)據(jù)報(bào)文控制與復(fù)雜的策略判決分開�����,即DPI設(shè)備負(fù)責(zé)策略識別以及 分配��,而控制設(shè)備負(fù)責(zé)策略實(shí)施��,總之�����,控制設(shè)備僅負(fù)責(zé)策略的實(shí)施�,因而����, 可以降低對控制設(shè)備的要求�����,同時(shí)���,可以發(fā)揮DPI設(shè)備應(yīng)用層識別能力����,因 而可以實(shí)現(xiàn)非常靈活地實(shí)現(xiàn)應(yīng)用層數(shù)據(jù)報(bào)文檢測以及控制。而由于DPI設(shè)備 為旁路設(shè)備����,不會對現(xiàn)有網(wǎng)絡(luò)拓樸造成任何影響,利用推廣應(yīng)用�;并且,DPI 設(shè)備和控制設(shè)備之間的接口可以標(biāo)準(zhǔn)化�����,可以方便第三方使用�。
可以理解的是,也可以由專門的策略配置設(shè)備進(jìn)行策略配置�����,并將配置 的策略發(fā)送到DPI設(shè)備上�����;或者由DPI設(shè)備主動(dòng)向DPI設(shè)備發(fā)送請求獲取數(shù) 據(jù)報(bào)文控制策略�,進(jìn)行策略更新��。
參照圖4���,為本發(fā)明實(shí)施例四中流量監(jiān)控系統(tǒng)結(jié)構(gòu)示意圖,在實(shí)施例三基 礎(chǔ)上���,還可包括策略配置設(shè)備41���,用于配置數(shù)據(jù)^^文控制策略并發(fā)送到所述 DPI設(shè)備31。
以下對上述流量監(jiān)控系統(tǒng)所采用的DPI設(shè)備通過具體實(shí)施例進(jìn)行詳細(xì)描
述
參照圖5,為本發(fā)明實(shí)施例五中DPI設(shè)備結(jié)構(gòu)示意圖���,該DPI設(shè)備包括 數(shù)據(jù)報(bào)文獲取單元51����、策略選取單元52�、策略發(fā)送單元53,其中 數(shù)據(jù)報(bào)文獲取單元51 ,用于獲取數(shù)據(jù)報(bào)文���;
策略選取單元52,用于當(dāng)流量獲取單元51獲取到數(shù)據(jù)報(bào)文時(shí),從配置的 數(shù)據(jù)報(bào)文控制策略中選取所述數(shù)據(jù)報(bào)文對應(yīng)的策略�����;
策略發(fā)送單元53,用于將策略選取單元53選取的策略發(fā)送出去。
可見���,該DPI設(shè)備用于獲取數(shù)據(jù)報(bào)文�,從配置的數(shù)據(jù)報(bào)文控制策略中選 取所述數(shù)據(jù)報(bào)文對應(yīng)的策略并發(fā)送給相應(yīng)的控制設(shè)備執(zhí)行數(shù)據(jù)報(bào)文控制��,可 以充分發(fā)揮DPI設(shè)備的識別應(yīng)用層數(shù)據(jù)報(bào)文的功能����,可以實(shí)現(xiàn)非常靈活的應(yīng) 用數(shù)據(jù)報(bào)文檢測和控制。
可以理解的是��,上述DPI設(shè)備也可以從專門的策略配置設(shè)備獲取數(shù)據(jù)報(bào) 文控制的策略����,并根據(jù)獲取的數(shù)據(jù)報(bào)文選取對應(yīng)的策略后發(fā)送到控制設(shè)備, 由控制設(shè)備執(zhí)行相應(yīng)的數(shù)據(jù)報(bào)文控制功能���,參照圖6,為本發(fā)明實(shí)施例六中 DPI設(shè)備結(jié)構(gòu)示意圖�,在實(shí)施例五基礎(chǔ)上��,可以擴(kuò)展策略獲取單元61,用于 獲取配置的數(shù)據(jù)報(bào)文控制策略����。策略獲取單元61可以從策略配置設(shè)備中獲取 配置的數(shù)據(jù)報(bào)文控制策略�,也可以由策略配置設(shè)備主動(dòng)發(fā)送所述數(shù)據(jù)報(bào)文控 制策略����。
是可以通過程序來指令相關(guān)的硬件完成,所述的程序可以存儲于一種計(jì)算機(jī)
可讀存儲介質(zhì)中�����,該程序在執(zhí)行時(shí)�,包括如下步驟
深度報(bào)文檢測DPI設(shè)備從控制設(shè)備獲取數(shù)據(jù)報(bào)文,并從配置的數(shù)據(jù)報(bào)文
控制策略中選取所述數(shù)據(jù)報(bào)文對應(yīng)的策略并發(fā)送到控制設(shè)備�,使得控制設(shè)備
根據(jù)所述策略執(zhí)行數(shù)據(jù)報(bào)文控制。
上述提到的存儲介質(zhì)可以是只讀存儲器��,磁盤或光盤等���。
以上對本發(fā)明所提供的 一種流量監(jiān)控的方法��、設(shè)備和系統(tǒng)進(jìn)行了詳細(xì)介
紹����,對于本領(lǐng)域的一般技術(shù)人員����,依據(jù)本發(fā)明實(shí)施例的思想,在具體實(shí)施方
式及應(yīng)用范圍上均會有改變之處�,綜上所述,本說明書內(nèi)容不應(yīng)理解為對本
發(fā)明的限制����。
權(quán)利要求
1、一種流量監(jiān)控方法��,其特征在于�,包括深度報(bào)文檢測DPI設(shè)備從控制設(shè)備獲取數(shù)據(jù)報(bào)文,并從配置的數(shù)據(jù)報(bào)文控制策略中選取所述數(shù)據(jù)報(bào)文對應(yīng)的策略并發(fā)送到控制設(shè)備��,使得控制設(shè)備根據(jù)所述策略執(zhí)行數(shù)據(jù)報(bào)文控制�。
2、 如權(quán)利要求1所述的流量監(jiān)控方法��,其特征在于��,所述DPI設(shè)備從控 制設(shè)備獲取數(shù)據(jù)報(bào)文的方法具體為所述DPI設(shè)備從控制設(shè)備上的光纖分光得到數(shù)據(jù)報(bào)文��;或者����,所述DPI設(shè)備從所述控制設(shè)備端口鏡像得到數(shù)據(jù)報(bào)文;或者,所述DPI設(shè)備從所述控制設(shè)備進(jìn)行選擇性復(fù)制得到部分?jǐn)?shù)據(jù)報(bào)文�����。
3����、 如權(quán)利要求1或2所述的流量監(jiān)控方法,其特征在于����,所述配置的數(shù) 據(jù)報(bào)文控制策略包括對某種應(yīng)用的數(shù)據(jù)報(bào)文控制策略、對某類用戶群的數(shù)據(jù)報(bào)文控制策略���、 基于用戶的總流量控制策略�����、基于用戶的某種應(yīng)用的數(shù)據(jù)報(bào)文控制策略���、基 于某個(gè)會話的數(shù)據(jù)報(bào)文控制策略其中至少 一種。
4����、 如權(quán)利要求l或2所述的流量監(jiān)控方法,其特征在于,所述控制設(shè)備 根據(jù)所述策略執(zhí)行數(shù)據(jù)報(bào)文控制包括以下至少 一種維護(hù) 一個(gè)會話流表�,記錄對每個(gè)會話流的狀態(tài);根據(jù)DPI設(shè)備發(fā)送的策略執(zhí)行策略動(dòng)作����。
5�����、 一種流量監(jiān)控系統(tǒng)�����,其特征在于�,包括深度報(bào)文檢測DPI設(shè)備、控 制設(shè)備�,其中DPI設(shè)備,用于從控制設(shè)備獲取數(shù)據(jù)報(bào)文�,從配置的數(shù)據(jù)報(bào)文控制策略中 選取所述數(shù)據(jù)報(bào)文對應(yīng)的策略并發(fā)送到控制設(shè)備;控制設(shè)備���,用于向DPI檢測設(shè)備發(fā)送數(shù)據(jù)報(bào)文����,并根據(jù)DPI設(shè)備發(fā)送的 策略執(zhí)行數(shù)據(jù)報(bào)文控制。
6�、 如權(quán)利要求5所述的流量監(jiān)控系統(tǒng),其特征在于�,所述系統(tǒng)還包括 策略配置設(shè)備,用于配置數(shù)據(jù)報(bào)文控制策略并發(fā)送到所述DPI設(shè)備���。
7����、 一種深度報(bào)文檢測DPI設(shè)備��,包括數(shù)據(jù)報(bào)文獲取單元�����、策略選取單 元�����、策略發(fā)送單元���,其中數(shù)據(jù)報(bào)文獲取單元����,用于獲取數(shù)據(jù)報(bào)文;策略選取單元���,用于當(dāng)數(shù)據(jù)報(bào)文獲取單元獲取到數(shù)據(jù)報(bào)文時(shí)�,從配置的 數(shù)據(jù)報(bào)文控制策略中選取所述數(shù)據(jù)報(bào)文對應(yīng)的策略����;策略發(fā)送單元,用于將策略選取單元選取的策略發(fā)送出去�。
8�����、 如權(quán)利要求7所述的DPI設(shè)備�����,其特征在于���,還包括策略獲取單元���, 用于從策略配置設(shè)備獲取所述配置的數(shù)據(jù)報(bào)文控制策略。
9���、 如權(quán)利要求7或8所述的DPI設(shè)備�����,其特征在于��,所述配置的數(shù)據(jù)報(bào) 文控制策略包括對某種應(yīng)用的數(shù)據(jù)報(bào)文控制策略���、對某類用戶群的數(shù)據(jù)報(bào)文控制策略�、 基于用戶的總流量控制策略�����、基于用戶的某種應(yīng)用的數(shù)據(jù)報(bào)文控制策略��、基 于某個(gè)會話的數(shù)據(jù)報(bào)文控制策略其中至少 一種���。
全文摘要
本發(fā)明實(shí)施例公開了一種流量監(jiān)控的方法���、設(shè)備和系統(tǒng)。本發(fā)明實(shí)施例方法包括深度報(bào)文檢測DPI設(shè)備從控制設(shè)備獲取數(shù)據(jù)報(bào)文�,并從配置的數(shù)據(jù)報(bào)文控制策略中選取所述數(shù)據(jù)報(bào)文對應(yīng)的策略并發(fā)送到控制設(shè)備,使得控制設(shè)備根據(jù)所述策略執(zhí)行數(shù)據(jù)報(bào)文控制���。以上方法以及對應(yīng)的系統(tǒng)和設(shè)備可以充分發(fā)揮DPI設(shè)備識別業(yè)務(wù)的能力���,同時(shí)�,可以降低對控制設(shè)備的要求�����,可以實(shí)現(xiàn)非常靈活的基于應(yīng)用層數(shù)據(jù)報(bào)文的檢測和控制�����,并且���,由于不會對現(xiàn)有網(wǎng)絡(luò)拓?fù)湓斐扇魏斡绊懀跀U(kuò)展應(yīng)用�。
文檔編號H04L12/26GK101350781SQ20081014407
公開日2009年1月21日 申請日期2008年7月31日 優(yōu)先權(quán)日2008年7月31日
發(fā)明者鷹 熊 申請人:成都市華為賽門鐵克科技有限公司