一种网络设备转发业务监控方法及系统的制作方法
【专利摘要】本发明公开了一种网络设备转发业务监控方法及系统;其方法包括:定义业务特征、生成特定ACL,设定统计周期、统计报文数和字节数并计算PPS、BPS和丢包数,生成监控报告;其系统包括业务识别模块、监控计算模块和报告生成模块。本发明的一种网络设备转发业务监控方法及系统,通过定义业务特征,实现了对多个业务进入和离开端口的快速确定;通过生成特殊ACL,避免了与安全策略ACL冲突,保证了网络的安全性;采用红/黄双色统计方式,排除了转发时延的影响,实现了对转发业务的实时监控。
【专利说明】一种网络设备转发业务监控方法及系统
【技术领域】
[0001]本发明属于网络数据监控【技术领域】,尤其涉及一种网络设备转发业务监控方法及系统。
【背景技术】
[0002]在现有网络中,网络安全意识和要求日益增高,安全接入,服务控制,业务转发方向主导,业务大小监控,QoS等保障业务和监控业务技术在网络部署中占有越来越大的比重,随着网络日益庞大复杂化,保障业务和监控业务越来越困难,目前对业务监控主要采用端到端方式,传输网络作为一个整体单元,通过监控业务发起者的发送情况,对比业务接收者的接收情况,从而判断业务在该网络中的传输情况。而业务在网络中具体设备上转发情况却没有很好的方法进行监控,伴随着网络安全的大量应用,权限等级划分,导致可见网络设备和可操作网络设备受限于安全权限日益减少,管理人员只能负责巨大网络中的某一小部分。而业务转发将贯穿整个网络,管理人员对业务是否在管理范围中转发,转发情况如何不能很好的监控。由于网络设备转发具有延时,不能实时监控丢包情况。为实现对网络中特定设备转发特定业务情况进行监控,监控具体内容包括:进入三层接口(如果是交换机则是二层端口),进入报文数量/字节数,进入PPS (每秒报文个数),进入BPS (每秒bit速率),离开三层接口(如果是交换机则是二层端口),离开报文数量/字节数,离开PPS (每秒报文个数),离开BPS (每秒bit速率),丢包情况。目前对于网络设备有以下几种常规手段进行监控:(I)确定业务进入/离开的三层接口 / 二层端口采用路由跟踪工具traceroute、查看路由表、查看MAC地址表、查看ARP表,相结合,十分繁琐。缺点:1、必须在网络上游设备上操作traceroute,而出于安全考虑,上游设备是否可以操作不可知,2、traceroute是路由跟踪工具,返回值为路由经过的每一台三层网络设备的网络地址,只能确定进入三层接口,不能确定进入二层端口,3、设备查看路由,可以确定离开三层接口,不能确定离开的二层端口,4、确定离开的二层端口,需要在确定三层接口的前提下,通过查找MAC地址表,ARP表确定。(2)三层接口 / 二层端口转发情况查看:缺点:1、网络中设备大量三层接口 /二层端口处于工作状态,要查看具体业务转发情况,必须知道业务进入和离开的三层接口/ 二层端口,2、三层接口 / 二层端口转发情况是基于整个三层接口 / 二层端口,不区分业务,同一个三层接口 / 二层端口可能存在多种业务,4、网络中存在多个三层接口 / 二层端口进入的情况,同时在多个三层接口 / 二层端口操作,计算,比较十分困难。(3)ACL(ACCesSControl List,访问控制列表)统计确定转发情况缺点:1、ACL访问控制列表是安全接入控制功能,可能出现网络中断风险;2、ACL需要在三层接口 / 二层端口上配置,前提需要知道业务进入/离开的三层接口 / 二层端口 ;3、如果网络设备已经使用了 ACL,再次使用可能产生冲突影响现有网络安全;4、ACL不能计算pps和bps ;5、ACL出方向和入方向必须同时启用,否则统计出现误差,丢包计算错误,因为是手工配置要保障同时启用基本不可能,并且由于转发报文时带来时延,ACL统计本身就存在偏差,无法实现业务转发过程中的实时丢包计算。(4)端到端丢包计算,进口 /出口统计计算丢包,ACL匹配计算丢包,三种计算方法都只能在业务停止后查看统计结果计算丢包,不能实现实时丢包情况监控,另外三种分别还有以下的缺点。缺点:1、只能在业务发送者和接收者之间计算整个网络丢包,具体网络设备不能计算丢包情况2、网络设备入口和出口统计计算丢包,只能基于整个端口,不能精确到具体业务3、ACL匹配复杂,与网络设备已经部署的安全策略ACL冲突,存在破坏现有安全策略出现安全风险。在具体的某一台网络设备上对特定业务转发情况进行监控,现有的方法十分困难复杂,并且需要上下游网络设备同时配合,在网络日益复杂庞大化后,网络安全广泛应用,管理人员权限限制失去对上下游设备的控制操作权限,现有的方法实现监控越来越困难,甚至存在破坏已有安全部署的风险。
【发明内容】
[0003]本发明的目的是为了解决现有技术中不能实现对网络设备转发业务进行简便、实时的监控,提出了一种网络设备转发业务监控方法及系统。
[0004]本发明的技术方案是:一种网络设备转发业务监控方法,包括以下步骤:
[0005]A、设定业务特征,根据业务特征确定业务,生成特定ACL,并将特定ACL同时应用到网络设备所有端口的出方向和入方向上;
[0006]B、设定统计周期,在每个周期内统计进入和离开的报文数、进入和离开的字节数,并根据统计结果确定业务的进入端口和离开端口,分别计算业务进入和离开的每秒报文个数、业务进入和离开的每秒bit速率以及丢包数;
[0007]C、根据步骤B中的计算结果生成监控报告,并输出监控结果。
[0008]进一步地,所述步骤A中的业务特征中,包括入端口、源MAC地址、目的MAC地址、VLAN ID、802.1P值、以太协议类型值、DSCP值、IP优先级、IP版本号、IP头部标志位、IP头部协议字段、IP源IP地址、IP目的IP地址、TCP源端口号、TCP目的端口号、UDP源端口号、UDP目的端口号以及报文长度中的至少一种特征。
[0009]进一步地,所述步骤A中的特定ACL采用允许规则。
[0010]进一步地,所述步骤B中,在每个周期内统计业务进入和离开的报文数和业务进入和离开的字节数采用红/黄双色统计方式,具体为:将一个周期内的报文标记为红色报文,并统计报文数和字节数;将连续的下一个周期内的报文标记为黄色报文,并统计报文数和字节数,同时在所述连续的下一个周期内对上一个周期标记出的红字报文进行统计。
[0011]进一步地,所述步骤B中计算进入和离开的每秒报文个数、进入和离开的每秒bit速率以及丢包数的公式具体为:
[0012]第η周期内进入方向的每秒报文个数=(第η周期进入报文总数_第η_1周期进入报文总数)/周期
[0013]第η周期内离开方向的每秒报文个数=(第η周期离开报文总数_第η_1周期离开报文总数)/周期
[0014]第η周期内进入方向的每秒bit速率=(第η周期进入字节总数_第η_1周期进入字节总数)/周期
[0015]第η周期内离开方向的每秒bit速率=(第η周期离开字节总数-第η-1周期离开字节总数)/周期
[0016]第η周期丢包数=第η周期进入报文总数-第η周期离开报文总数;
[0017]其中,η为正整数。
[0018]进一步地,所述步骤C中的监控报告,包括进入端口、进入报文数、进入字节数、进入每秒报文个数、进入每秒bit速率、离开端口、离开报文数、离开字节数、离开每秒报文个数、离开每秒bit速率以及丢包数。
[0019]为了解决现有技术中存在的问题,本发明还提供了一种网络设备转发业务监控系统,包括:业务识别模块、监控计算模块和报告生成模块;
[0020]所述业务识别模块,用于对业务进行识别,根据业务特征识别出业务,并确定业务进入和离开的端口;
[0021]所述监控计算模块,用于根据公式计算每个周期内进入和离开的每秒报文个数、进入和离开的每秒bit速率以及丢包数;
[0022]所述报告生成模块,用于生成监控报告,输出监控结果。
[0023]进一步地,所述业务识别模块中预设的业务特征包括入端口、源MAC地址、目的MAC地址、VLAN ID,802.1P值、以太协议类型值、DSCP值、IP优先级、IP版本号、IP头部标志位、IP头部协议字段、IP源IP地址、IP目的IP地址、TCP源端口号、TCP目的端口号、UDP源端口号、UDP目的端口号以及报文长度中的至少一种特征。
[0024]进一步地,所述监控计算模块中预设的计算进入和离开的每秒报文个数、进入和离开的每秒bit速率以及丢包数的公式具体为:
[0025]第η周期内进入方向的每秒报文个数=(第η周期进入报文总数_第η_1周期进入报文总数)/周期
[0026]第η周期内离开方向的每秒报文个数=(第η周期离开报文总数_第η_1周期离开报文总数)/周期
[0027]第η周期内进入方向的每秒bit速率=(第η周期进入字节总数_第η_1周期进入字节总数)/周期
[0028]第η周期内离开方向的每秒bit速率=(第η周期离开字节总数-第η-1周期离开字节总数)/周期
[0029]第η周期丢包数=第η周期进入报文总数-第η周期离开报文总数;
[0030]其中,η为正整数。
[0031]进一步地,所述报告生成模块生成的监控报告,包括进入端口、进入报文数、进入字节数、进入每秒报文个数、进入每秒bit速率、离开端口、离开报文数、离开字节数、离开每秒报文个数、离开每秒bit速率以及丢包数。
[0032]本发明的有益效果是:本发明的一种网络设备转发业务监控方法及系统,通过定义业务特征,解决了对上下游网络设备及路由表的依赖,实现了对多个业务进入和离开端口的快速确定;通过生成特定ACL,避免了与安全策略ACL冲突,保证了网络的安全性,消除了业务中断的风险;采用红/黄双色统计方式,排除了转发时延的影响,实现了对转发业务的进行实时、简便、快捷地监控。
【专利附图】
【附图说明】
[0033]图1是本发明实施例的一种网络设备转发业务监控方法的流程示意图;
[0034]图2是本发明实施例的一种网络设备转发业务监控系统示意图。
【具体实施方式】
[0035]为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
[0036]如图1所示,为本发明实施例的一种网络设备转发业务监控方法的流程示意图。一种网络设备转发业务监控方法,包括以下步骤:
[0037]A、设定业务特征,根据业务特征确定业务,生成特定ACL,并将特定ACL同时应用到网络设备所有端口的出方向和入方向上。
[0038]为了实现当多个业务进入和离开端口时能够方便、快捷地确定需要监控的业务,本发明对特定的业务进行了定义,即通过预设业务特征,从而根据业务特征对特定业务进行识别,确定需要进行监控的特定业务,避免了采用跟踪工具traceroute、查看路由表、查看MAC地址表、查看ARP表等相结合的方法,操作更加简便。其中预设的业务特征,包括入端口、源 MAC (Media Access Control,媒体访问控制)地址、目的 MAC 地址、VLAN (VirtualLocal Area Network) ID、802.1P 值、以太协议类型值、DSCP (Differentiated ServicesCode Point,差分服务代码点)值、IP优先级、IP版本号、IP头部标志位、IP头部协议字段、IP 源 IP 地址、IP 目的 IP 地址、TCP (Transmiss1n Control Protocol,传输控制协议)源端口号、TCP目的端口号、UDP(User Datagram Protocol,用户数据报协议)源端口号、UDP目的端口号以及报文长度中的至少一种特征。
[0039]根据定义的业务特征确定特定业务后,本发明的网络设备转发业务监控系统会自动生成特定ACL。这里的特定ACL采用允许permit规则,不包含deny规则和deny any any规则,只用于系统内部对网络设备转发业务进行识别监控,不生成配置,不会与网络设备中现有的安全策略ACL产生冲突,不影响现有的安全策略,保证业务转发不会出现中断。同时本发明的特定ACL也不区分IP ACL和MAC ACL,增强了特定ACL的适应性。本发明的网络设备转发业务监控系统会将生成的特定ACL统一并同时应用到网络设备所有端口的出方向和入方向(IN/0UT)上,避免了出方向和入方向因为应用时间不同而出现的统计差异和错误的丢包判断。
[0040]B、设定统计周期,在每个周期内统计进入和离开的报文数和进入和离开的字节数,并根据统计结果确定业务的进入端口和离开端口,分别计算进入和离开的PPS、进入和离开的BPS以及丢包数。
[0041]本发明的实施例通过预先设定统计周期,并采用红/黄双色统计方式对进入和离开的报文数和进入和离开的字节数进行统计。这里的红/黄双色统计方式具体为:将一个周期内的报文标记为红色报文,并统计报文数和字节数;将连续的下一个周期内的报文标记为黄色报文,并统计报文数和字节数;这样可以记录连续2个周期的统计结果。这里将连续2个周期分别表示为周期η-1和周期n,第η-1周期可以在第η周期内对识别出是红色的报文进行统计,通过这种延长I个周期时间统计的红/黄双色统计方法,解决了设备转发时延导致统计结果偏差的问题。根据统计结果确定特定业务进入的三层接口和离开的三层端口,并通过预设的公式分别计算特定业务进入三层接口的PPS、特定业务离开三层接口的PPS、特定业务进入三层接口的BPS、特定业务离开三层接口的BPS和丢包数。这里预设的计算公式具体为:
[0042]第η周期内进入方向的每秒报文个数=(第η周期进入报文总数_第η_1周期进入报文总数)/周期
[0043]第η周期内离开方向的每秒报文个数=(第η周期离开报文总数_第η_1周期离开报文总数)/周期
[0044]第η周期内进入方向的每秒bit速率=(第η周期进入字节总数_第η_1周期进入字节总数)/周期
[0045]第η周期内离开方向的每秒bit速率=(第η周期离开字节总数-第n-Ι周期离开字节总数)/周期
[0046]第η周期丢包数=第η周期进入报文总数-第η周期离开报文总数;
[0047]上式中分母中的周期为预先设定的统计周期时长;η为正整数;丢包数采用延迟计算方法,即在第η周期内计算第n-Ι周期的丢包数。
[0048]C、根据步骤B中的计算结果生成监控报告,并输出监控结果。
[0049]根据步骤B得到计算结果后,本发明的网络设备转发业务监控系统会根据计算结果生成监控报告,并输出监控结果。这里的监控报告包括:进入端口、进入报文数、进入字节数、进入每秒报文个数、进入每秒bit速率、离开端口、离开报文数、离开字节数、离开每秒报文个数、离开每秒bit速率以及丢包数。网络管理员可以根据监控报告实时、简便、快捷地对网络设备转发特定业务进行记录分析。
[0050]本发明还提出了一种基于本发明网络设备转发业务监控方法的网络设备转发业务监控系统。如图2所示,为本发明实施例的一种网络设备转发业务监控系统示意图。一种网络设备转发业务监控系统,包括:业务识别模块、监控计算模块和报告生成模块;
[0051]这里的业务识别模块,用于根据业务特征对特定业务进行识别,并自动生成特定ACL,同时通过设定统计周期对特定业务进入和离开网络设备的报文数、进入和离开往来设备的字节数进行统计;
[0052]这里的监控计算模块,用于根据业务识别模块中统计得到的数据,通过预设计算公式计算特定业务在每个周期内进入和离开网络设备的每秒报文个数、进入和离开网络设备的每秒bit速率以及丢包数;
[0053]这里的报告生成模块,用于根据监控计算模块中的计算结果生成监控报告,并输出监控结果。
[0054]本发明的网络设备转发业务监控系统的业务识别模块中预设的业务特征包括入端口、源 MAC (Media Access Control,媒体访问控制)地址、目的 MAC 地址、VLAN (VirtualLocal Area Network) ID、802.1P 值、以太协议类型值、DSCP (Differentiated ServicesCode Point,差分服务代码点)值、IP优先级、IP版本号、IP头部标志位、IP头部协议字段、IP 源 IP 地址、IP 目的 IP 地址、TCP (Transmiss1n Control Protocol,传输控制协议)源端口号、TCP目的端口号、UDP(User Datagram Protocol,用户数据报协议)源端口号、UDP目的端口号以及报文长度中的至少一种特征。
[0055]本发明的网络设备转发业务监控系统的监控计算模块中预设的计算特定业务进入和离开网络设备的PPS、进入和离开网络设备的BPS以及丢包数的公式具体为:
[0056]第η周期内进入方向的每秒报文个数=(第η周期进入报文总数_第η_1周期进入报文总数)/周期
[0057]第η周期内离开方向的每秒报文个数=(第η周期离开报文总数_第η_1周期离开报文总数)/周期
[0058]第η周期内进入方向的每秒bit速率=(第η周期进入字节总数_第η_1周期进入字节总数)/周期
[0059]第η周期内离开方向的每秒bit速率=(第η周期离开字节总数-第n-Ι周期离开字节总数)/周期
[0060]第η周期丢包数=第η周期进入报文总数-第η周期离开报文总数;
[0061]上式中分母中的周期为预先设定的统计周期时长;η为正整数;丢包数采用延迟计算方法,即在第η周期内计算第n-Ι周期的丢包数。
[0062]本发明的网络设备转发业务监控系统的报告生成模块生成的监控报告,包括进入端口、进入报文数、进入字节数、进入每秒报文个数、进入每秒bit速率、离开端口、离开报文数、离开字节数、离开每秒报文个数、离开每秒bit速率以及丢包数。
[0063]本领域的普通技术人员将会意识到,这里所述的实施例是为了帮助读者理解本发明的原理,应被理解为本发明的保护范围并不局限于这样的特别陈述和实施例。本领域的普通技术人员可以根据本发明公开的这些技术启示做出各种不脱离本发明实质的其它各种具体变形和组合,这些变形和组合仍然在本发明的保护范围内。
【权利要求】
1.一种网络设备转发业务监控方法,其特征在于,包括以下步骤: A、设定业务特征,根据业务特征确定业务,生成特定ACL,并将特定ACL同时应用到网络设备所有端口的出方向和入方向上; B、设定统计周期,在每个周期内统计进入和离开的报文数、进入和离开的字节数,并根据统计结果确定业务的进入端口和离开端口,分别计算业务进入和离开的每秒报文个数、业务进入和离开的每秒bit速率以及丢包数; C、根据步骤B中的计算结果生成监控报告,并输出监控结果。
2.如权利要求1所述的网络设备转发业务监控方法,其特征在于:所述步骤A中的业务特征包括入端口、源MAC地址、目的MAC地址、VLAN ID,802.1P值、以太协议类型值、DSCP值、IP优先级、IP版本号、IP头部标志位、IP头部协议字段、IP源IP地址、IP目的IP地址、TCP源端口号、TCP目的端口号、UDP源端口号、UDP目的端口号以及报文长度中的至少一种特征。
3.如权利要求1所述的网络设备转发业务监控方法,其特征在于:所述步骤A中的特定ACL采用允许规则。
4.如权利要求1所述的网络设备转发业务监控方法,其特征在于,所述步骤B中,在每个周期内统计进入和离开的报文数、进入和离开的字节数采用红/黄双色统计方式,具体为:将一个周期内的报文标记为红色报文,并统计报文数和字节数;将连续的下一个周期内的报文标记为黄色报文,并统计报文数和字节数,同时在所述连续的下一个周期内对上一个周期标记出的红字报文进行统计。
5.如权利要求1或4所述的网络设备转发业务监控方法,其特征在于,所述步骤B中计算业务进入和离开的每秒报文个数、业务进入和离开的每秒bit速率以及丢包数的公式具体为: 第η周期内进入方向的每秒报文个数=(第η周期进入报文总数-第η-l周期进入报文总数)/周期 第η周期内离开方向的每秒报文个数=(第η周期离开报文总数-第η-l周期离开报文总数)/周期 第η周期内进入方向的每秒bit速率=(第η周期进入字节总数-第η-l周期进入字节总数)/周期 第η周期内离开方向的每秒bit速率=(第η周期离开字节总数-第η-l周期离开字节总数)/周期 第η周期丢包数=第η周期进入报文总数-第η周期离开报文总数; 其中,η为正整数。
6.如权利要求1所述的网络设备转发业务监控方法,其特征在于:所述步骤C中的监控报告,包括进入端口、进入报文数、进入字节数、进入每秒报文个数、进入每秒bit速率、离开端口、离开报文数、离开字节数、离开每秒报文个数、离开每秒bit速率以及丢包数。
7.—种网络设备转发业务监控系统,其特征在于,包括:业务识别模块、监控计算模块和报告生成模块; 所述业务识别模块,用于对业务进行识别,根据业务特征识别出业务,并确定业务进入和离开的端口; 所述监控计算模块,用于根据公式计算每个周期内业务进入和离开的每秒报文个数、业务进入和离开的每秒bit速率以及丢包数; 所述报告生成模块,用于生成监控报告,输出监控结果。
8.如权利要求7所述的网络设备转发业务监控系统,其特征在于,所述业务识别模块中预设的业务特征包括入端口、源MAC地址、目的MAC地址、VLAN ID,802.1P值、以太协议类型值、DSCP值、IP优先级、IP版本号、IP头部标志位、IP头部协议字段、IP源IP地址、IP目的IP地址、TCP源端口号、TCP目的端口号、UDP源端口号、UDP目的端口号以及报文长度中的至少一种特征。
9.如权利要求7所述的网络设备转发业务监控系统,其特征在于,所述监控计算模块中预设的计算进入和离开的每秒报文个数、进入和离开的每秒bit速率以及丢包数的公式具体为: 第η周期内进入方向的每秒报文个数=(第η周期进入报文总数-第η-l周期进入报文总数)/周期 第η周期内离开方向的每秒报文个数=(第η周期离开报文总数-第η-l周期离开报文总数)/周期 第η周期内进入方向的每秒bit速率=(第η周期进入字节总数-第η-l周期进入字节总数)/周期 第η周期内离开方向的每秒bit速率=(第η周期离开字节总数-第η-l周期离开字节总数)/周期 第η周期丢包数=第η周期进入报文总数-第η周期离开报文总数; 其中,η为正整数。
10.如权利要求7所述的网络设备转发业务监控系统,其特征在于,所述报告生成模块生成的监控报告,包括进入端口、进入报文数、进入字节数、进入每秒报文个数、进入每秒bit速率、离开端口、离开报文数、离开字节数、离开每秒报文个数、离开每秒bit速率以及丢包数。
【文档编号】H04L12/26GK104320305SQ201410637586
【公开日】2015年1月28日 申请日期:2014年11月12日 优先权日:2014年11月12日
【发明者】陈可 申请人:迈普通信技术股份有限公司