[发明专利]网络流量采样方法和系统

说明书

技术领域

本发明涉及通信领域，特别涉及网络流量采样方法和系统。

背景技术

Internet的高速发展为用户提供了更高的带宽和可预测的服务质量(QoS，Quality ofService)，同时用户也需要对网络进行更细致的管理和计费，为此需要相应的技术支持这种需求。采样技术作为一种基于网络流信息的统计与发布技术，可以对网络中的通信量和资源使用情况进行分类和统计，典型的采样技术如网络流采样技术(Netstream)，它可以基于各种业务和不同的QoS进行管理和计费。Netstream技术主要包括三个逻辑功能：网络流数据输出(NDE，Netstream Data Export)、网络流数据收集(NDC，Netstream Data Collect)、网络流数据分析(NDA，Netstream Data Analyze)。NDE功能用于对网络流按照符合时间或包数据条件的流统计信息进行采集，流统计信息可以是流的数量或报文本身，并将统计信息输出给具有NDC功能的设备，输出前也可以对数据进行一些处理，例如聚合；NDC功能由应用程序实现，可以收集多个经过具有NDE功能的设备处理后输出的数据，并对这些数据进行解析，之后对数据进行过滤和聚合，再把经过处理的数据收集到数据库中，可供具有NDA功能的设备进行解析；NDA是网络流量分析的功能，从具有NDC功能的设备中提取统计数据，进行后续处理，为各种业务提供依据，例如网络规划，攻击监测等，具有图形化用户界面，使用户可以获取、显示和分析从具有NDC功能的设备收集的数据。

现有技术中，很多网络转发设备支持采样功能，NDE的功能在这些网络转发设备如路由器或交换机上完成，NDC的功能则放置在网络上的其他服务器完成。对具有NDE功能的设备来说，需要按一定规则完成网络流量的采集，例如每1000个包采一个报文或者每1ms采一个报文等，完成采集后，将采集到的报文按一定的封装规范从指定的观察端口中发送出去，传递至具有NDC功能的设备。该指定的观察端口为直连的端口，不能通过公共网络传送至远端。具有NDC功能的设备在收到来自具有NDE功能的设备输出的报文之后，对这些原始流按照一定规则进行聚合操作，例如按TCP的端口号做聚合等，形成聚合流，然后存储在数据库中，等待NDA分析。这种采样过程可以认为是一个简单的分布式，NDE功能主要负责采集，NDC功能主要负责聚合。

上述采样过程存在的主要问题是处理能力不足，NDC功能一般由服务器完成，处理能力有限，当具有NDE功能的设备采集得到的流量很大时，难以及时处理，随着网络规模的不断扩大，这种方法逐渐不能符合要求。

为克服上述缺点，很多网络转发设备提供商都在自身的转发设备上提供了NDC的功能，采样模型对应地发生了变化：对网络转发设备而言，首先完成NDE的功能，即完成采集功能；其次，网络转发设备还实现了部分NDC的功能，这时采集到的原始流在网络转发设备上直接进行聚合，聚合后发给NDC服务器；NDC服务器此时主要实现存储的功能，等待具有NDA功能的设备进行分析。由于NDE功能和NDC的功能要在一台设备上同时完成，因此对设备要求较高，一般来说，都会把NDC的功能集中在一块聚合单板上实现，而在目前的分布式转发系统中，转发和其他相关功能是在不同的单板上实现的。

改进后的采样技术存在如下问题：由于需要购买额外的高性能聚合单板而使成本提高；因为每台需要支持聚合的设备都需要增加一块聚合单板，所以当用户需要提高采样能力时，需要改动网络转发设备，影响扩展性和灵活性；NDE与NDC的功能在一台设备上同时完成，无法实现NDC在远端聚合的功能，从而不能合理运用网络资源来降低运营成本。

发明内容

为了实现当用户需要提高采样能力时，无需改动网络转发设备，提高扩展性和灵活性，降低成本，同时实现NDC在远端聚合的功能，本发明实施例提供了一种网络流量采样方法和系统。所述技术方案如下：

一种网络流量采样方法，所述方法包括：

根据设定规则采集网络流量，通过外部网络发送所述网络流量；

接收所述网络流量，根据预设规则对所述网络流量进行聚合；

根据用户需要对聚合后的网络流量进行分析。

本发明实施例还提供了一种网络流量采样系统，所述系统包括：

第一网络转发设备，用于根据设定规则采集网络流量；

第二网络转发设备，与所述第一网络转发设备通过外部网络连接，用于接收所述网络流量，根据预设规则对所述网络流量进行聚合；

网络流量分析设备，用于根据用户需要对聚合后的网络流量进行分析。

本发明实施例提供的技术方案的有益效果是：