[发明专利]基于TCP会话的网络流量监测方法、装置及报文处理芯片

说明书

技术领域

本发明涉及网络流量监测技术领域，尤其是涉及一种基于TCP双向会话的网络流量实时监测方法、装置及报文处理芯片。

背景技术

IPFIX（IP Flow Information Export，IP数据流信息输出）是由IETF（Internet Engineering Task Force，互联网工程任务组）公布的用于网络中的流信息测量的标准协议。该协议主要在于：1、统一IP数据流的统计、输出标准，这使得网络管理员很容易地提取和查看存储在这些网络设备中的重要流量统计信息。2、输出格式具有较强的可扩展性，因此如果流量监控的要求发生改变，网络管理员也可通过修改相应配置来实现，不必升级网络设备软件或管理工具。

IPFIX定义的格式以网络流量监控技术第9版本（Netflow Version 9）数据输出格式作为基础，可使IP流量信息从一个输出器传送到收集器。因为IPFIX是一种针对数据流特征分析、基于模板的格式输出的协议，因此具有很强的可扩展性，对于不同的需求都可以定义不同的数据格式。为了较完整的输出数据，IPFIX缺省使用七元组来标识网络流量：源IP地址、目的IP地址、TCP/UDP源端口、TCP/UDP目的端口、三层协议类型、服务类型和输入逻辑接口。如果不同IP报文中这所有的七个字段都匹配，那么这些IP报文都将被视为属于同一条流量。这些流的统计数据，如流量持续时间、流量中报文个数、报文平均长度、TTL的变化等，定期被组装为IPFIX报文，发送给指定的IPFIX服务器。IPFIX服务器提供强大的图形显示、计算能力，对IPFIX报文中的流统计进行分析，帮助网络管理员可以了解到当前网络的应用情况，并根据这些信息对网络进行优化，安全检测，流量计费。

网络流量中，TCP提供了可靠的流交付服务，允许两台设备之间的全双工连接，保证它们高效地双向交换大量数据，所以TCP流量在网络流量中占了很大比例。

如何芯片级地支持IPFIX作为流量监测的手段，尤其是如何基于会话对TCP双向流量进行监测，同时提高芯片中存储空间的利用率，已经成为网络交换机芯片设计中的难点。

现有技术对于TCP的双向流量，芯片级都是分类成两条流进行统计。这两条流在芯片层面并没有关联，是相互独立的，各自上报中央处理器CPU后，需要软件层面进行相关信息的整合处理。如图1所示，启用IPFIX技术的监测点在监测个人电脑PC1和个人电脑PC2之间的TCP流量时，必须当作两条流进行监测并记录统计相关信息。现有这种技术方案存在的问题有：1、一个会话分成了两条流，分类比较粗糙，芯片内部的存储空间没有得到充分利用；2、软件层面需要对同一TCP会话的流记录进行整合处理，增加了软件的复杂度。

发明内容

本发明的目的在于克服现有技术的缺陷，提供一种基于TCP会话的网络流量监测方法、装置及报文处理芯片，旨在对双向TCP流量从建立会话到结束会话的完整会话过程进行监测，从基于流上升为基于会话，提供更完整的统计信息，同时原本需要两条流记录，本发明只需一条会话记录，IPFIX表项利用率提高了100%。

为实现上述目的，本发明提出如下技术方案：一种基于TCP会话的网络流量监测方法，包括：获取芯片端口上IPFIX配置信息，根据所述配置信息选择哈希关键字类型，结合报文的信息组合所述哈希关键字，根据组合后的所述哈希关键字在芯片的IPFIX存储空间中进行哈希查找，查找后，若报文所在的TCP会话记录存在，则更新所述TCP会话记录；反之，则芯片在相应的IPFIX存储空间中插入新的会话记录，插入或更新会话记录后，判断是否要将更新后的会话记录或者插入的会话记录上报CPU进行处理，若上报，则将所述会话记录通过芯片中的存储器直接访问通道上报CPU进行处理，从而完成一次网络流量监测。

优选地，所述IPFIX配置信息通常选择七元组的方式或五元组方式对网络流量进行分类，当然，本发明可以灵活地选择组合，即也可以是一元组、二元组、三元组等等。所述七元组是：源IP地址、目的IP地址、TCP/UDP源端口、TCP/UDP目的端口、三层协议类型、服务类型和输入逻辑接口，所述五元组是：源IP地址，目的IP地址，TCP/UDP源端口，TCP/UDP目的端口和传输层协议号。

优选地，所述芯片端口为报文入口或报文出口，组合所述哈希关键字的过程为：对于所有所述报文出口方向的所述关键字，将其源IP地址和目的IP地址互换，源端口和目的端口互换。