一种适用于NetFlow报文分发时的二次采样方法与流程

一种适用于netflow报文分发时的二次采样方法
技术领域
1.本发明涉及配置netflow流量统计领域，尤其是一种适用于netflow报文分发时的二次采样方法。


背景技术：

2.现在的核心网络设备的流量巨大，即使配置netflow流量统计时的采样比为1:1000，设备输出的netflow报文数量也不是一个小数目，而采集机对同一时间内的netflow报文处理量有上限，无法满足单台设备过大数量的netflow报文的分析。


技术实现要素：

3.为克服上述存在的技术问题，本发明提供一种适用于netflow报文分发时的二次采样方法，能够有效降低netflow的报文数量，降低采集机负荷。
4.为实现上述目的，本发明采用下述技术方案：
5.在本发明一实施例中，提出了一种适用于netflow报文分发时的二次采样方法，该方法包括：
6.netflow二次采样装置接收从设备发送过来的netflow报文；
7.netflow二次采样装置根据二次采样规则将netflow报文进行二次采样处理；二次采样规则包含netflow源设备地址和二次采样比率。
8.进一步地，根据二次采样规则将netflow报文进行二次采样处理，包括：
9.解析netflow报文，判断该报文是否是模板报文；
10.若是模板报文，则不对该报文进行二次采样处理，根据sourceid维护的新序列号，刷新该报文中的序列号后，将该报文输出；
11.若是非模板报文，根据二次采样比率判断该报文是否进行抽取，若该报文允许抽取，则根据sourceid维护的新序列号，刷新该报文中的序列号后，将该报文输出，否则该报文不允许抽取，直接丢弃处理。
12.进一步地，判断该报文是否是模板报文，包括：
13.根据netflow协议版本与流模板号＝0的特征，对该报文进行判断。
14.进一步地，根据二次采样比率判断该报文是否进行抽取，包括：
15.根据1:n的二次采样比率，判断当前报文是第几个报文；
16.若当前报文是第n的倍数个报文，则表示该报文允许抽取，否则表示该报文不允许抽取。
17.进一步地，netflow二次采样装置包含两个接口：netflow报文接口和二次采样规则接口。
18.在本发明一实施例中，还提出了一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，处理器执行计算机程序时实现前述适用于netflow报文分发时的二次采样方法。
19.在本发明一实施例中，还提出了一种计算机可读存储介质，计算机可读存储介质存储有执行适用于netflow报文分发时的二次采样方法的计算机程序。
20.有益效果：
21.本发明通过netflow二次采样装置，可以在可接受误差范围内降低设备的netflow报文数量。
附图说明
22.图1是本发明一实施例的适用于netflow报文分发时的二次采样方法模型流程图；
23.图2是本发明一实施例的适用于netflow报文分发时的二次采样方法流程示意图；
24.图3是本发明一实施例的计算机设备结构示意图。
具体实施方式
25.下面将参考若干示例性实施方式来描述本发明的原理和精神，应当理解，给出这些实施方式仅仅是为了使本领域技术人员能够更好地理解进而实现本发明，而并非以任何方式限制本发明的范围。相反，提供这些实施方式是为了使本公开更加透彻和完整，并且能够将本公开的范围完整地传达给本领域的技术人员。
26.本领域技术人员知道，本发明的实施方式可以实现为一种系统、装置、设备、方法或计算机程序产品。因此，本公开可以具体实现为以下形式，即：完全的硬件、完全的软件(包括固件、驻留软件、微代码等)，或者硬件和软件结合的形式。
27.根据本发明的实施方式，提出了一种适用于netflow报文分发时的二次采样方法，主要通过netflow二次采样装置将netflow报文进行二次采样处理，得到二次采样后的netflow报文。
28.下面参考本发明的若干代表性实施方式，详细阐释本发明的原理和精神。
29.图1是本发明一实施例的适用于netflow报文分发时的二次采样方法模型流程图。如图1所示，netflow二次采样装置主要包含两个接口：netflow报文接口和二次采样规则接口。通过netflow二次采样装置将netflow报文进行二次采样处理。
30.在本发明中，netflow报文是基于设备统计的网络流量数据，设备通过netflow协议输出流量数据。
31.在本发明中，二次采样规则包含netflow源设备地址和二次采样比率。例如下表1：
32.表1
33.源设备地址二次采样比率1.1.1.11:41.1.1.21:2
34.图2是本发明一实施例的适用于netflow报文分发时的二次采样方法流程示意图。如图2所示，在本发明中，当收到netflow报文后，根据以下规则进行处理：
35.1、解析netflow报文，根据netflow协议版本与flowset(流模板号)＝0的特征，判断该报文是否是模板报文，若是模板报文，则执行第2步，否则执行第3步；
36.2、若是模板报文，则不对该报文进行二次采样处理，根据sourceid(源引擎编码)维护的新序列号，刷新该报文中的序列号后，将该报文输出。
37.3、若是非模板包，则根据该设备的二次采样比率进行抽样，根据1:n的规则，判断当前报文是第几个报文，若当前报文是第n的倍数个报文时，则表示该报文允许抽取，否则不允许抽取；不允许的抽取的报文直接丢弃处理，允许抽取的报文根据sourceid维护的新序列号，刷新该报文中的序列号后，将该报文输出。
38.需要说明的是，尽管在上述实施例及附图中以特定顺序描述了本发明方法的操作，但是，这并非要求或者暗示必须按照该特定顺序来执行这些操作，或是必须执行全部所示的操作才能实现期望的结果。附加地或备选地，可以省略某些步骤，将多个步骤合并为一个步骤执行，和/或将一个步骤分解为多个步骤执行。
39.为了对上述适用于netflow报文分发时的二次采样方法进行更为清楚的解释，下面结合一个具体的实施例来进行说明，然而值得注意的是该实施例仅是为了更好地说明本发明，并不构成对本发明不当的限定。
40.实例：
41.1、收到一个netflow报文如下，根据flowset属性可以知道它是一个模板报文，则根据sourceid＝17039106维护该报文的序列号，例如，当前序列号为1。
42.netflow报文：
43.[0044][0045]
2、将当前报文的flowsequence修改为序列号1后，将该报文输出，当前序列号为2；
[0046]
3、收到一个netflow报文如下，根据flowset属性可知道它是一个数据报文，则根据二次采样规则判断该报文是否需要转发，例如，当前需要转发，则根据sourceid查到当前序列号为2，将当前报文的flowsqeuence修改为序列号2，然后输出该报文。
[0047]
netflow报文：
[0048][0049]
基于前述发明构思，如图3所示，本发明还提出一种计算机设备200，包括存储器210、处理器220及存储在存储器210上并可在处理器220上运行的计算机程序230，处理器220执行计算机程序230时实现前述适用于netflow报文分发时的二次采样方法。
[0050]
基于前述发明构思，本发明还提出一种计算机可读存储介质，计算机可读存储介质存储有执行前述适用于netflow报文分发时的二次采样方法的计算机程序。
[0051]
本发明提出的适用于netflow报文分发时的二次采样方法，在可接受误差范围内降低设备的netflow报文数量。
[0052]
虽然已经参考若干具体实施方式描述了本发明的精神和原理，但是应该理解，本
发明并不限于所公开的具体实施方式，对各方面的划分也不意味着这些方面中的特征不能组合以进行受益，这种划分仅是为了表述的方便。本发明旨在涵盖所附权利要求的精神和范围内所包含的各种修改和等同布置。
[0053]
对本发明保护范围的限制，所属领域技术人员应该明白，在本发明的技术方案的基础上，本领域技术人员不需要付出创造性劳动即可做出的各种修改或变形仍在本发明的保护范围以内。