[发明专利]负载均衡网络环境下的协议识别方法、设备与系统

说明书

本发明公开了一种负载均衡网络环境下的协议识别方法，当DPI设备对接收的数据流判断其协议类型时，首先判断是否可以进行单向报文识别，如果可以则直接由所述DPI设备完成所述数据流的协议识别，如果不可以则判断该DPI设备是否接收到反方向的且具有可配对的指纹信息的数据流，从而完成协议识别，如果反方向也没有可以配对的指纹信息，则将所述数据流的指纹信息发送到指纹信息同步识别设备，由指纹信息同步识别设备完成协议识别后再将协议识别结果下发到所述DPI设备。本发明方案可以节约硬件成本、减少组网复杂度并降低运维成本。

技术领域

本发明属于通信技术领域，更具体地，涉及一种负载均衡网络环境下的协议识别方法、设备与系统。

背景技术

如图1所示，在分光流量环境下，经常会产生同一个五元组的上下行数据被分光到不同处理设备上，比如两个路由器之间存在多条链路，并且这些链路的路由具有相同的优先级(等价路由)，两端的路由设备通常会在这多条物理链路上采用负载分担的方式进行流量均衡处理，当对这些链路进行流量分光时，就不可避免地把同一五元组的上下行数据分到不同设备上，当处理设备分属2个厂商时，就会产生一些难以解决的问题。比如在协议识别领域，某些协议(如迅雷、BT、电驴等p2p协议)必须将上下行方向的报文关联起来才能识别，但在上述负载均衡环境下，当某一协议的上行流量流经一家厂商的深度报文检测(DeepPacket Inspection，DPI)设备，下行流量流经另一家厂商的DPI设备时，这2家厂商的DPI设备都无法对该协议进行识别。

目前处理上述问题的方案是使用硬件汇聚分流设备：添加硬件汇聚分流设备，该设备先将同一负载域内的所有流量接入到汇聚分流设备进行汇聚，再将汇聚后的流量按某种哈希方式转发给一个或多个厂商的DPI设备，采用的哈希方式确保了同一五元组的上下行流量都会流经同一厂商的设备，因而该厂商可以检测出上述需要上下行流量进行关联才能检测出来的协议。但是，此种方法有其缺陷和局限性：

(1)增加硬件成本，该方案需要增加硬件汇聚分流设备，这些设备的采购需要经费，使用后会占用机房空间、持续耗电等等，这显然会大大增加一个项目的成本；

(2)随着网络规模的迅速扩大，同一负载域的总流量也同步扩大，很多场景下会超过单台汇聚分流设备的总处理能力，此时就需要多台汇聚分流设备进行复杂的流量互相转发和重新汇聚，这样的多台设备互连最终会形成一个极其复杂的全网状拓扑，这样复杂的网状拓扑非常难以运维和进行故障诊断。任何一个端口的故障可能引发全网的流量同步失败，而排查工作由于复杂的流量走向会使得管理员素手无策，因此这种方案也没有得到大规模使用。

发明内容

针对现有技术的以上缺陷或改进需求，本发明提供了一种利用两级架构进行协议识别的方法，这种方法使用DPI设备提取和转发指纹信息，指纹信息同步识别设备识别并下发识别结果，其目的在于使协议识别能在各种网络环境中使用，由此解决负载均衡环境下协议上下行流经不同厂商设备情况下难于进行协议识别的技术问题。

为实现上述目的，按照本发明的一个方面，提供了一种负载均衡网络环境下的协议识别方法，包括：

第一DPI设备对接收的第一流向数据流提取第一指纹信息，所述第一指纹信息用于识别所述第一流向数据流的协议；

根据所述第一指纹信息对所述第一流向数据流进行协议识别，如果能通过单向报文识别则直接由所述第一DPI设备完成协议识别工作；

如果不能通过单向报文识别，则检测所述第一DPI设备是否接收到第二流向数据流，其中所述第二流向与所述第一流向相反，且所述第二流向数据流所包含的第二指纹信息与所述第一指纹信息相匹配，第二流向数据流所包含的五元组信息与所述第一流向数据流所包含的五元组信息相匹配；如果是则直接由所述第一DPI设备根据所述第一指纹信息和第二指纹信息完成协议识别工作；

如果否，则将所述第一指纹信息和所述第一流向数据流的五元组信息转发到指纹信息同步识别设备；