[发明专利]一种在网络设备上进行数据流量分析管理的方法

说明书

技术领域：

本发明涉及计算机数据通信领域，主要涉及一种在网络设备上进行数据流 量分析管理的方法。

背景技术：

近几年来中国的互联网业务迅猛发展，尤其是视频、话音等多媒体业务的 迅速增长，IP网络也由以前单一的数据网变成了多业务的综合数字网，从而导 致了网络数据复杂性和多样性。正是在这一趋势下，为了确保一个稳定，安全， 高效的网络运营环境，人们希望能高效合理地管理网络。对于网络管理员方面， 迫切地希望能实时地监控用户的网络应用行为以及有效的规划部署网络资源； 对于网络运营商方面，则希望能对网络和其承载的各类业务进行及时、准确的 流量和流向分析，及时的掌握自己运营网络的负载状况以及重要业务的带宽 占用率，以及能够准确计量国际国内运营商间、骨干网/城域网间通信流量和 业务类型，同时他们还希望能够根据不同的业务和服务质量来对企业和用户 收费。而要解决这些问题，都要有一个网络流量分析管理系统作为支撑。而当 前的网络流量分析管理系统都有着显著的技术局限性：对于利用SNMP协议来 管理和监控网络中重点链路和网络连接点间进出端口的网络流量，它所采集到 的数据包信息很粗糙，既有网络层的客户业务信息，又有数据链路层的的帧头 信息，还有数据负载payload字段，最为关键的是利用SNMP协议无法对网络 层中不同的业务流进行区分，同时也对数据包的流向不能作出分析；对于利用 RMON协议对流量进行分析和管理，虽然可以部分解决利用SNMP协议的技 术局限性，如可以区分网络层不同业务流，但是由于RMON协议必须针对每 个数据帧进行采集和分析，这样会耗用大量的CPU资源，因此在网络设备中 无法实现，只能额外购买并安装内置或者外置的RMON探针，并且利用RMON 协议采集到的网络数据是分析每个数据包后得到的，数据量大而且分散，协议 本身又缺乏内建的数据聚合机制，再加上数据包中不会有BGP的AS号和下一 条nexthop的信息，所以对于大型网络的流量管理和分析能力是不能实现的。

发明内容：

本发明的首要目的是提供一种在网络设备上进行数据流量分析管理的方 法。该方法克服现有网管系统对网络流量和流向分析功能的技术局限性，既能 高效地对网络带宽使用率进行统计，又能根据不同类型业务的流量和流向进行 分析和统计。所以采用该方法后不仅能为IP计费提供一种解决方案，同时也 能为企业和网络管理员提供一种网络安全检测的工具，并且在路由器或者交换 机终端配置一些特定的聚合方式，大大减轻发往网管中心管理服务器的流量粗 粒度，确保管理系统的处理能力能够适应未来网络规模的增长。

根据上述发明目的，其具体技术方案如下：

一种在网络设备上进行数据流量分析管理的方法，其特征在于，所述方法 应用一种新型的IPFLOW数据流；该数据流为一个包括源IP地址(srcIP)、目 的IP地址(dstIP)、源端口号(srcPort)、目的端口号(dstPort)、协议类型 (protocol)、服务类型(ToS)、输入接口(Ifindex)的7元组来定义；所述方 法步骤包括：

(1)采用数据流缓存机制对IPFLOW数据流进行查找、添加、删除、老化处 理，并同时借助Hash散列算法对IPFLOW数据流表进行管理，管理过程中用Hash 链表解决Hash所存在的冲突问题；

(2)设置一个定时器每隔一定的时间去扫描遍历IPFLOW数据流的Hash表项 以便判断该IPFLOW数据流是否已经老化；

(3)针对不同的网络应用程序和网络管理员所需要的特定网络流量信息，引 入了多种特定的聚合方式。

(4)将老化后的IPFLOW数据流进行聚合汇总；

(5)根据老化输出后的IPFLOW数据流封装成UDP报文发往日志服务器。

上述方法中，所述步骤(1)中的高效的数据流缓存机制是用一种Hash散列 算法来把IP数据流的信息保存在内存中，Hash散列关键字根据数据包中的7 元组信息来计算，在没有Hash冲突的情况下可以一次就命中相应的IPFLOW 数据流，这样就只需要更新数据包的包数和字节数。当存在Hash冲突时，只 要搜索hash链表就可以定为到需要查找的IPFLOW数据流。