[发明专利]一种多端口流量采集自动切换的分流系统与方法

说明书

技术领域

本发明涉及通信网络技术领域，尤其涉及一种多端口流量采集自动切换的分流系统及方法。

背景技术

近年来，随着网络技术的普及和发展，网络带宽和流量呈指数级的速度增长，根据CNNIC发布的《第27次中国互联网络发展状况统计报告》，中国国际出口带宽2010年底达到1,098,956.82Mbps，年增长率为26.8％。面对日益增长的庞大网络流量，安全系统中需要处理的数据量也越来越大，流量的实时处理要求更高的性能。

通常网络内容安全检测和分析系统监控模式可以分为串联监控模式和旁路监控模式。旁路监控模式一般是指通过网络交换机等网络设备的“端口镜像”功能来实现监控，在此模式下，监控设备只需要连接到交换机的指定镜像端口；而串联监控模式一般是通过网关或者网桥的模式来进行监控，监控设备串联在网络中。相对于串联监控模式，旁路监控模式部署起来比较灵活方便，不会影响现有的网络结构，同时旁路监控模式分析的是镜像端口拷贝过来的数据，对原始传递的数据包不会造成延时，不会对网速造成任何影响，另外旁路监控设备一旦故障或者停止运行，不会影响现有网络的正常运行。

但是在旁路监控模式下，单个流量处理服务器处理的网络流量大致范围在1G左右，无法满足对骨干网的海量的端口镜像数据的处理需求。为了使网络内容安全检测和分析系统能够处理骨干网的海量数据，一方面需设计更好的算法提高系统性能，另一方面需将海量数据分流成若干份，交由不同的处理机处理。

目前，基于纯链路层的交换机可以接收包含多个目的MAC地址的混合数据流，但是无法分流。而基于网络层的设备可以接收混合数据流并且分流，但是只能处理混合数据流中的一路数据流，不适用于多路端口镜像混合数据流。因而，为了及时对网络内各节点单位的流量进行流量的检测和分析，需要采用基于多端口混合流量分流并区分流量的方式。

但传统的分流方法要么是基于协议，要么基于地址哈希，以及修改目的端口地址来实现负担均衡等，这都需要多端口专门为接受流量所用，导致流量处理服务器的计算资源的浪费。

发明内容

有鉴于此，本发明提出了一种多端口流量采集自动切换的分流系统与分流方法，以解决当前的分流系统效率不高，造成各流量处理服务器计算资源浪费的问题。

为此，本发明提出一种多端口流量采集自动切换的分流系统，包括一个流量采集分流设备和至少两个流量处理服务器，其中，所述流量采集分流设备与位于网络内的网络数据交换机连接，用于获取网络数据交换机的总的数据流后分流至所述流量处理服务器中的至少一个；每个所述流量处理服务器用于接收所述流量采集分流设备分流的数据流；所述流量采集分流设备还用于控制各流量处理服务器的状态，所述状态包括“采集态”和“需求态”，“采集态”表示流量处理服务器可以接受任何数据流，“需求态”表示流量处理服务器能够且只能够接受符合当前分流规则的数据流。

根据本发明的具体实施方式，所述流量采集分流设备定期将处于“需求态”且分流完毕的流量处理服务器的状态设置为“采集态”。

根据本发明的具体实施方式，在初始化时，所述流量采集分流设备向各流量处理服务器发出分流请求，如果收到回应，则将发出所述回应的流量处理服务器的状态设置为“采集态”。

根据本发明的具体实施方式，所述流量采集分流设备根据预定的流量匹配策略，在所有处于“采集态”的流量处理服务器范围内设定用于分流所述总的数据流的分流规则，并将分配了数据流的流量处理服务器的状态设置为“需求态”，未分配数据流的流量处理服务器保持为“采集态”。

根据本发明的具体实施方式，所述流量采集分流设备根据当前的分流规则将所述总的数据流分流到相应的流量处理服务器并持续一段时间，然后判断处于“需求态”的流量处理服务器是否已到期，对于已到期的流量处理服务器，继续判断其是否分流完毕，如果已分流完毕，则将其状态设置为“采集态”，否则将其“需求态”的期限时长延长一个指定时长，所述“到期”是指流量处理服务器处于“需求态”的时长超过所述期限时长。

根据本发明的具体实施方式，所述流量采集分流设备包括流量匹配模块、流量转发模块和状态控制模块，所述流量匹配模块用于从所述网络数据交换器接收需要分流的总的数据流，并对接收到总的数据流进行分析以进行流量匹配计算，从而获得分流规则；所述流量转发模块用于按照所述分流规则对所述总的数据流进行分流后转发到相应的流量处理服务器；所述状态控制模块用于控制所述流量处理服务器的所述状态。