專利名稱:一種流量監(jiān)控方法和設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)通信技術(shù)領(lǐng)域����,尤指 一種流量監(jiān)控方法和設(shè)備。
背景技術(shù):
隨著P2P��、 VoIP�、流媒體等應(yīng)用的不斷擴(kuò)展,越來越多的用戶開始使用 相關(guān)業(yè)務(wù)����,極大地吞噬了網(wǎng)絡(luò)出口帶寬,導(dǎo)致正常業(yè)務(wù)的服務(wù)質(zhì)量下降�,極 大地影響了業(yè)務(wù)提供商的企業(yè)收益。因此�,對網(wǎng)絡(luò)出口流量進(jìn)行監(jiān)控,對用 戶上網(wǎng)行為進(jìn)行分析,并根據(jù)結(jié)果制定相應(yīng)的訪問策略成為提高網(wǎng)絡(luò)服務(wù)質(zhì) 量�����,減少網(wǎng)絡(luò)出口帶寬擁塞的重要手段��。
流量監(jiān)控設(shè)備通常部署在網(wǎng)絡(luò)Internet出口 ���,可采用旁路或在線方式部 署�。通常����,網(wǎng)絡(luò)Internet出口采用網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)技術(shù)將私網(wǎng)地址轉(zhuǎn) 換為公網(wǎng)地址,以訪問Internet公網(wǎng)���。例如對于電子政務(wù)網(wǎng)絡(luò)�����,內(nèi)部網(wǎng)絡(luò)部 署不同的基于多協(xié)議標(biāo)簽的三層虛擬私有網(wǎng)絡(luò)(MPLSL3VPN),用于各部 門之間的隔離�。
圖1是現(xiàn)有的在L3VPN中進(jìn)行流量監(jiān)控的典型組網(wǎng)示意圖。如圖l所 示����,各VPN的站點(Site )通過與服務(wù)提供商邊緣(PE )設(shè)備連接組成L3VPN, 具體為站點1和站點2與PE1連接����,站點3與PE2連接����,站點4與PE3連 接,且站點1和4屬于VPN1,站點2和3屬于VPN2���。 VPN1和VPN2中私 網(wǎng)地址的分配相互獨立����,因此存在VPN1和VPN2中的私網(wǎng)地址部分或全部 重疊的情況����。站點1和2中的私網(wǎng)用戶通過PE1訪問公網(wǎng)(Internet),且 PE1的NAT出接口配置了 NAT,即在PE1上將進(jìn)行NAT轉(zhuǎn)換后再將流量 發(fā)送至7>網(wǎng)��。
在圖1中�����,流量監(jiān)控設(shè)備以在線方式部署于PE1與公網(wǎng)接口之間�����,對PE1的NAT出接口的出、入流量進(jìn)行監(jiān)控�����。流量監(jiān)控設(shè)備為了建立精確的 業(yè)務(wù)流量模型�����,需要根據(jù)雙向流量建立會話����,基于會話對流量進(jìn)行分析和監(jiān) 控。會話的建立和匹配根據(jù)報文的五元組(源IP�����、目的IP���、源端口�、目的 端口�����、協(xié)議號)來進(jìn)行�����。在圖1中�,由于流入流量監(jiān)控設(shè)備的流量已經(jīng)過 NAT轉(zhuǎn)換,轉(zhuǎn)換后的IP地址為NAT地址池中的^^網(wǎng)地址�,因此,流量監(jiān) 控設(shè)備無法區(qū)分用戶流量具體來自哪個VPN的用戶���,不能實現(xiàn)對私網(wǎng)用戶 流量進(jìn)行監(jiān)控以及其上網(wǎng)行為的分析和帶寬控制�����。
為解決上述問題�,現(xiàn)有技術(shù)中采用了將流量監(jiān)控設(shè)備部署于PE設(shè)備與 VPN站點之間����,連接同一 PE設(shè)備的各站點的流量先經(jīng)過達(dá)流量監(jiān)控設(shè)備再 到達(dá)PE設(shè)備,因此經(jīng)過流量監(jiān)控設(shè)備的流量是未進(jìn)行NAT轉(zhuǎn)換的����。但是在 這種方案中,由于各VPN的私網(wǎng)地址存在重疊�����,如果流量都經(jīng)過流量監(jiān)控 設(shè)備的同一對端口,則無法實現(xiàn)對不同VPN相同五元組的會話進(jìn)行區(qū)分���, 因此需要將不同VPN的流量通過不同端口進(jìn)行處理�。對于旁路部署�����,可以 將各VPN的流量鏡像到各VPN的不同端口�����,即不同VPN采用不同的段進(jìn) 行處理���,實現(xiàn)對各VPN中用戶流量的識別和監(jiān)控����;對于在線部署�,則可以 在各VPN的PE接口鏈路上部署流量監(jiān)控設(shè)備,實現(xiàn)對各VPN中用戶流量 的識別和監(jiān)控
但是�����,在上述方案中,由于要求不同VPN的流量通過流量監(jiān)控設(shè)備的 不同端口進(jìn)行處理��,而流量監(jiān)控設(shè)備的端口密度通常比較小���,因此需要部署
多臺流量監(jiān)控設(shè)備進(jìn)行監(jiān)控,投資成本較大�����;此外���,由于流量監(jiān)控設(shè)備部署 在VPN站點與其所連接的PE設(shè)備之間��,因此流量監(jiān)控設(shè)備也會對VPN內(nèi) 部的流量進(jìn)行監(jiān)控��,例如�,在圖1中�����,如果流量監(jiān)控設(shè)備部署于VPN2的站 點2與PE1之間���,則站點2發(fā)送給站點3的流量也會被監(jiān)控����,可見這大大增 加了監(jiān)控設(shè)備的處理負(fù)擔(dān)。
發(fā)明內(nèi)容
本發(fā)明提供了 一種流量監(jiān)控方法�����,該方法使得能夠根據(jù)原始用戶信息對用戶會話流量進(jìn)行管理��,且投資小��、流量監(jiān)控設(shè)備的處理負(fù)擔(dān)小����。
本發(fā)明提供了 一種流量監(jiān)控設(shè)備,該設(shè)備使得能夠根據(jù)原始用戶信息對
用戶會話流量進(jìn)行管理�����,且投資小��、流量監(jiān)控設(shè)備的處理負(fù)擔(dān)小�。 為達(dá)到上述目的,本發(fā)明的技術(shù)方案具體是這樣實現(xiàn)的
本發(fā)明公開了一種流量監(jiān)控方法�����,該方法適用于具有NAT網(wǎng)關(guān)的組網(wǎng) 中,該方法包括
流量監(jiān)控設(shè)備接收NAT網(wǎng)關(guān)上報的NAT日志����,從NAT日志中解析出 會話報文的NAT轉(zhuǎn)換信息,并保存到NAT轉(zhuǎn)換表中����;所述NAT轉(zhuǎn)換信息 包括所述會話報文的源五元組信息以及轉(zhuǎn)換后的五元組信息�;
流量監(jiān)控設(shè)備接收到一會話的報文時,根據(jù)該報文的五元組信息匹配 NAT轉(zhuǎn)換表中的轉(zhuǎn)換后的五元組信息�����,如果匹配到相同的轉(zhuǎn)換后的五元組信 息��,則將NAT轉(zhuǎn)換表中的與該轉(zhuǎn)換后的五元組信息所對應(yīng)的NAT轉(zhuǎn)換信息 保存到所述會話的會話表中�,以便根據(jù)所述會話的會話表中NAT轉(zhuǎn)換信息 對所述會話的流量進(jìn)行管理。 '
本發(fā)明公開了一種流量監(jiān)控設(shè)備���,該設(shè)備包括NAT日志處理模塊��、 NAT轉(zhuǎn)換表存儲模塊�、NAT轉(zhuǎn)換信息匹配模塊和會話表存儲模塊����,其中�,
NAT轉(zhuǎn)換表存儲模塊�����,用于保存NAT轉(zhuǎn)換表�����;
會話表存儲模塊�����,用于保存會話表��;
NAT日志處理才莫塊����,用于接收NAT網(wǎng)關(guān)上才艮的NAT日志,從NAT日 志中解析出會話報文的NAT轉(zhuǎn)換信息�����,并保存到NAT轉(zhuǎn)換表中;所述NAT 轉(zhuǎn)換信息包括所述會話報文的源五元組信息以及轉(zhuǎn)換后的五元組信息����;
NAT轉(zhuǎn)換信息匹配模塊,用于在接收到一會話的報文時���,根據(jù)該報文 的五元組信息匹配NAT轉(zhuǎn)換表中的轉(zhuǎn)換后的五元組信息�����,如果匹配到相同 的轉(zhuǎn)換后的五元組信息,則將NAT轉(zhuǎn)換表中的與該轉(zhuǎn)換后的五元組信息所 對應(yīng)的NAT轉(zhuǎn)換信息保存到所述會話的會話表中���,以便根據(jù)所述會話的會 話表中NAT轉(zhuǎn)換信息對所述會話的流量進(jìn)行管理�。
由上述技術(shù)方案可見�����,本發(fā)明這種流量監(jiān)控設(shè)備接收NAT網(wǎng)關(guān)上報的NAT日志����,從中解析出會話報文的NAT轉(zhuǎn)換信息,以便后續(xù)根據(jù)NAT轉(zhuǎn) 換信息對相應(yīng)會話的流量進(jìn)行管理的技術(shù)方案��,不僅能夠根據(jù)原始用戶信息 對用戶會話流量進(jìn)行管理,且相對于現(xiàn)有的將流量監(jiān)控設(shè)備部署于VPN與 PE設(shè)備之間的方案���,投資小�����、流量監(jiān)控設(shè)備的處理負(fù)擔(dān)也小���。
圖1是現(xiàn)有的在L3VPN中進(jìn)行流量監(jiān)控的典型組網(wǎng)示意圖; 圖2是本發(fā)明實施例一種流量監(jiān)控方法的流程圖3是本發(fā)明實施例流量監(jiān)控設(shè)備采用定時老化機(jī)制匹配NAT轉(zhuǎn)換表 的流程圖4是本發(fā)明實施例中存在多級NAT網(wǎng)關(guān)的組網(wǎng)示意圖5是本發(fā)明實施例在多級NAT轉(zhuǎn)換情況下的NAT轉(zhuǎn)換表創(chuàng)建流程
圖6是本發(fā)明實施例在多級NAT轉(zhuǎn)換情況下的NAT轉(zhuǎn)換表的存儲結(jié)構(gòu) 示意圖7為本發(fā)明實施例一種流量監(jiān)控設(shè)備的組成結(jié)構(gòu)框圖�����; 圖8為本發(fā)明實施例另一種流量監(jiān)控設(shè)備的組成結(jié)構(gòu)框圖���。
具體實施例方式
本發(fā)明的核心思想是根據(jù)NAT日志對流量監(jiān)控設(shè)備中流量的原始用戶 信息進(jìn)行識別���,從而在流量監(jiān)控設(shè)備上建立完整的業(yè)務(wù)模型,并利用獲取的 原始用戶信息對用戶的網(wǎng)絡(luò)訪問進(jìn)行控制���。
圖2是本發(fā)明實施例一種流量監(jiān)控方法的流程圖��。圖2所示的流量監(jiān)控 方適用于具有NAT網(wǎng)關(guān)的組網(wǎng)中�����,如圖2所示���,該方法包括以下步驟
步驟201,流量監(jiān)控設(shè)備接收NAT網(wǎng)關(guān)上報的NAT日志����,從NAT日志 中解析出會話報文的NAT轉(zhuǎn)換信息����,并保存到NAT轉(zhuǎn)換表中;所述NAT 轉(zhuǎn)換信息包括所述會話報文的源五元組信息以及轉(zhuǎn)換后的五元組信息�����。本步驟中�,如果NAT網(wǎng)關(guān)是對來自VPN的報文進(jìn)行NAT轉(zhuǎn)換處理���, 則所述NAT轉(zhuǎn)換信息還包括會話報文的源VPN信息和NAT轉(zhuǎn)換后的VPN 信息�。此時的NAT轉(zhuǎn)換信息為如下映射關(guān)系信息(源VPN���、源IP��、源端
口 �����、目的IP��、目的端口 �����、協(xié)議) <.......> (轉(zhuǎn)換后VPN�、轉(zhuǎn)換后的源IP、轉(zhuǎn)
換后的源端口 ��、目的IP�、目的端口 、協(xié)議)�。
在圖1所述的組網(wǎng)中,本步驟中所述的NAT網(wǎng)關(guān)即為PE設(shè)備���,即PEl�����。
步驟202���,流量監(jiān)控設(shè)備接收到一會話的報文時�����,根據(jù)該報文的五元組 信息匹配NAT轉(zhuǎn)換表中的轉(zhuǎn)換后的五元組信息�,如果匹配到相同的轉(zhuǎn)換后 的五元組信息�,則將NAT轉(zhuǎn)換表中的與該轉(zhuǎn)換后的五元組信息所對應(yīng)的 NAT轉(zhuǎn)換信息保存到所述會話的會話表中,以便根據(jù)所述會話的會話表中 NAT轉(zhuǎn)換信息對所述會話的流量進(jìn)行管理��。
本步驟中����,將NAT轉(zhuǎn)換信息保存在會話表中是對原有會話表的擴(kuò)展, 使得會話表多了一項NAT轉(zhuǎn)換信息��。另外���,在本步驟中如果根據(jù)接收報文 的五元組信息沒有在NAT轉(zhuǎn)換表中配置到相同的轉(zhuǎn)換后的五元組信息�����,則 按現(xiàn)有的沒有NAT轉(zhuǎn)換過程的普通會話處理流程處理,這里不再詳述���。
本步驟中�,如果是流量監(jiān)控設(shè)備在線部署的組網(wǎng),例如���,流量監(jiān)控設(shè)備 在線部署于網(wǎng)絡(luò)地址轉(zhuǎn)換NAT網(wǎng)關(guān)和公網(wǎng)接口之間���,則流量監(jiān)控設(shè)備根據(jù) 所述會話的會話表中的NAT轉(zhuǎn)換信息對所述會話的流量進(jìn)行管理;如果是 流量監(jiān)控設(shè)備旁路部署的組網(wǎng)��,例如�����,NAT網(wǎng)關(guān)和公網(wǎng)接口之間的流量被鏡 像到旁路部署的流量監(jiān)控設(shè)備����,則流量監(jiān)控設(shè)備將所述會話的會話表中的 NAT轉(zhuǎn)換信息發(fā)送給策略處理設(shè)備,以使得策略處理設(shè)備根據(jù)所述NAT轉(zhuǎn) 換信息對所述會話進(jìn)行管理��。
本步驟中����,根據(jù)NAT轉(zhuǎn)換信息中的轉(zhuǎn)換前的源VPN信息、源IP和源 端口等信息對會話流量進(jìn)行管理���,包括限速��、阻斷和干擾等����。
圖2所示的方案不僅能夠根據(jù)原始用戶信息對用戶會話流量進(jìn)行管理, 且相對于現(xiàn)有的將流量監(jiān)控設(shè)備部署于VPN與PE設(shè)備之間的方案�����,投資小��、 流量監(jiān)控設(shè)備的處理負(fù)擔(dān)也小�����。在圖2所示的方案中��,還可以進(jìn)一步由流量監(jiān)控設(shè)備向日志服務(wù)器上報 所述會話的會話日志�����,其中��,在所述會話日志中流量監(jiān)控設(shè)備將所述會話表
NAT轉(zhuǎn)換信息中的源VPN信息和源五元組信息作為所述會話的源端信息��,從
而實現(xiàn)實時識別用戶的流量信息和網(wǎng)絡(luò)訪問行為等����。
在現(xiàn)有技術(shù)中,由NAT網(wǎng)關(guān)向日志服務(wù)器上報NAT日志�����,實現(xiàn)對私網(wǎng)用 戶訪問Internet公網(wǎng)的情況進(jìn)行跟蹤�、審計。但是由于NAT網(wǎng)關(guān)設(shè)備不具備應(yīng) 用層深度檢測功能����,因此無法根據(jù)NAT日志識別出用戶具體訪問的應(yīng)用及用 戶流量的應(yīng)用層信息;同時��,發(fā)送到日志服務(wù)器的信息適用于流量統(tǒng)計��、分 析和審計����,但無法根據(jù)該信息在監(jiān)控設(shè)備上配置策略,實時對用戶流量進(jìn)行 控制���。但是流量監(jiān)控設(shè)備具有非常強(qiáng)大的應(yīng)用識別功能�,因此本發(fā)明的方案 結(jié)合NAT日志可以實時對用戶流量進(jìn)行監(jiān)控,記錄用戶的訪問行為����,并配置 策略實時對用戶的網(wǎng)絡(luò)訪問行為進(jìn)行限制。并且����,本發(fā)明中由流量監(jiān)控設(shè)備 向日志服務(wù)器上報會話日志的方案,由于監(jiān)控設(shè)備具有非常強(qiáng)大的應(yīng)用識別 功能�����,因此向日志服務(wù)器上報的會話日志的內(nèi)容也可以做到更加詳細(xì)精確����。
在圖2所示的方案中,步驟201和步驟202可以為并行處理流程��,因此會 出現(xiàn)當(dāng)某一新會話的流量到達(dá)流量監(jiān)控設(shè)備時��,監(jiān)控設(shè)備上還沒有創(chuàng)建對應(yīng) 于該會話的NAT轉(zhuǎn)換表項��。對于此問題本發(fā)明給出了如圖3所示的定時器解 決方案�。
圖3是本發(fā)明實施例流量監(jiān)控設(shè)備采用定時老化機(jī)制匹配NAT轉(zhuǎn)換表的
流程圖。如圖3所示,該方法包括以下步驟 步驟301,接收當(dāng)前報文并進(jìn)行預(yù)處理�。 步驟302,根據(jù)當(dāng)前報文標(biāo)識(如五元組)查找會話表。 步驟303���,判斷當(dāng)前報文是否為新會話的報文,是則執(zhí)行步驟304����,否則
執(zhí)行步驟308。
本步驟中����,如果在步驟302中在會話表中查找到當(dāng)前報文標(biāo)識,則當(dāng)前 報文不是新會話的報文����,反之,如果在會話表中沒有找到當(dāng)前報文標(biāo)識��,則 當(dāng)前報文是新會話的報文�����。步驟304���,根據(jù)當(dāng)前報文的五元組信息查找NAT轉(zhuǎn)換表�����;
步驟305��,判斷是否從NAT轉(zhuǎn)換表中找到與當(dāng)前報文的五元組信息匹配 的轉(zhuǎn)換后的五元組信息��,是則執(zhí)行步驟306���,否則執(zhí)行步驟307�。
步驟306���,創(chuàng)建與當(dāng)前報文對應(yīng)的會話表���,并將NAT轉(zhuǎn)換表中的匹配項 添加到會話表的擴(kuò)展項中。執(zhí)行步驟308�。
步驟307,創(chuàng)建與當(dāng)前報文對應(yīng)的會話表,并啟動NAT轉(zhuǎn)換信息獲取定 時器�����,當(dāng)定時器老化時(即超時)���,再次從NAT轉(zhuǎn)換表中找到與當(dāng)前報文的 五元組信息匹配的轉(zhuǎn)換后的五元組信息����,并將NAT轉(zhuǎn)換表中的匹配項添加到 會話表的擴(kuò)展項中。
本步驟中��,如果定時器老化時�����,仍未能從NAT轉(zhuǎn)換表中找到匹配項�,則 認(rèn)為該流量未經(jīng)NAT轉(zhuǎn)換處理�,按現(xiàn)有的普通會話的處理流程進(jìn)行處理。定 時器的定時時間可以根據(jù)NAT日志處理速度����、NAT日志上報速度進(jìn)行設(shè)置。
步驟308,對當(dāng)前報文進(jìn)行深度檢測�����、應(yīng)用識別和策略處理等���。
步驟309���,發(fā)送報文��。
對于用戶到Internet出口之間經(jīng)過多次NAT轉(zhuǎn)換的情況�����,即在會話流量到 達(dá)流量監(jiān)控設(shè)備之前經(jīng)過多級NAT網(wǎng)關(guān)進(jìn)行多次NAT處理的情況��,本發(fā)明通 過在流量監(jiān)控設(shè)備上配置各NAT網(wǎng)關(guān)的級別信息來實現(xiàn)完整記錄用戶的整 個NAT轉(zhuǎn)換過程��,提取用戶原始信息��。下面舉例進(jìn)行說明�����。
圖4是本發(fā)明實施例中存在多級NAT網(wǎng)關(guān)的組網(wǎng)示意圖�����。在圖4中以兩級 NAT轉(zhuǎn)換為例�����,如圖4所示����,用戶流量在訪問7>網(wǎng)的^各徑上經(jīng)過兩次NAT轉(zhuǎn) 換,即在NAT1網(wǎng)關(guān)1和NAT網(wǎng)關(guān)2均進(jìn)行NAT轉(zhuǎn)換��,流量監(jiān)控設(shè)備部署在NAT 網(wǎng)關(guān)2與公網(wǎng)連接的鏈路上���。
在圖4中����,為了對經(jīng)過多級NAT轉(zhuǎn)換的用戶原始信息進(jìn)行識別�,在流量 監(jiān)控設(shè)備上靜態(tài)配置各NAT網(wǎng)關(guān)的級別信息��,級別號可以隨NAT網(wǎng)關(guān)離流量 監(jiān)控設(shè)備的跳數(shù)的增加而遞增�����,例如在本例中����,在流量監(jiān)控設(shè)備上配置NAT 網(wǎng)關(guān)2的級別為一級,而NAT網(wǎng)關(guān)1的級別為二級���。在流量監(jiān)控設(shè)備上將NAT 網(wǎng)關(guān)1和NAT網(wǎng)關(guān)2上報的針對同 一會話的NAT轉(zhuǎn)換信息采用鏈表結(jié)構(gòu)保存�����。當(dāng)流量監(jiān)控設(shè)備上有新的會話時��,通過查找級別一的NAT轉(zhuǎn)換表����,找到對應(yīng)
于該會話的NAT轉(zhuǎn)換鏈表,從而實現(xiàn)獲取原始用戶信息的功能�。
NAT網(wǎng)關(guān)2上報的NAT轉(zhuǎn)換信息為(S-IPPC, S-PortPC, D-IPSer����, D-PortSer, TCP) <—>(S-IPR1, S-PortR1��, D-IPSer����, D-PortSer, TCP);
NAT網(wǎng)關(guān)1上報的NAT轉(zhuǎn)換信息為:(S-IPR1 , S-PortR1 �, D-IPSer, D-PortSer, TCP) <——> ( S-IPR2���, S-PortR2, D-IPSer, D-PortSer�, TCP)
其中,前綴"S"表示"源����,,��,前綴"D"表示"目的"���,下標(biāo)PC表示用 戶�,下標(biāo)"Ser"表示用戶要訪問的公網(wǎng)服務(wù)器��,下標(biāo)"Rl"表示NAT網(wǎng)關(guān)l, 下標(biāo)"R2"表示NAT網(wǎng)關(guān)2�����。
當(dāng)流量監(jiān)控設(shè)備首先收到級別為 一級的NAT網(wǎng)關(guān)上報文NAT日志時��,從 中解析NAT轉(zhuǎn)換信息�,根據(jù)NAT轉(zhuǎn)換信息匹配NAT轉(zhuǎn)換表中級別為2的鏈表 節(jié)點中的NAT轉(zhuǎn)換信息�����,如果有匹配的節(jié)點(這里匹配是一級NAT網(wǎng)關(guān)上報 的NAT轉(zhuǎn)換信息中的轉(zhuǎn)換前的五元組與級別為2的鏈表節(jié)點中的NAT轉(zhuǎn)換信 息中的轉(zhuǎn)換后的五元組相同)����,則在該級別為2的鏈表節(jié)點所對應(yīng)的級別為1 的鏈表節(jié)點中保存所述解析的NAT轉(zhuǎn)換信息����;如果沒有匹配的節(jié)點����,則建立 一個新的級別為l的鏈表節(jié)點,并將所述解析的NAT轉(zhuǎn)換信息保存其中�����。同 理���,當(dāng)流量監(jiān)控設(shè)備首先收到級別為二級的NAT網(wǎng)關(guān)上報文NAT日志時���,從 中解析NAT轉(zhuǎn)換信息,根據(jù)NAT轉(zhuǎn)換信息匹配NAT轉(zhuǎn)換表中級別為1的鏈表 節(jié)點和級別為3 (在有3級NAT轉(zhuǎn)換的情況下)的鏈表節(jié)點中的NAT轉(zhuǎn)換信息���, 如果匹配到����,則將所述解析的NAT轉(zhuǎn)換信息寫入鏈表中的相應(yīng)位置,否則新 建一個新的級別為2的鏈表節(jié)點����,并將所述解析的NAT轉(zhuǎn)換信息保存其中。
圖5是本發(fā)明實施例在多級NAT轉(zhuǎn)換情況下的NAT轉(zhuǎn)換表創(chuàng)建流程圖�。 如圖5所示,包括以下步驟
步驟501���,流量監(jiān)控設(shè)備接收NAT日志��,從中解析NAT轉(zhuǎn)換信息�,并獲 取發(fā)送該NAT日志的當(dāng)前NAT網(wǎng)關(guān)的IP地址��。
步驟502�����,流量監(jiān)控設(shè)備根據(jù)自身的NAT網(wǎng)關(guān)級別配置信息���,判斷當(dāng)前 NAT網(wǎng)關(guān)是否配置了級別��,是執(zhí)行步驟504,否則執(zhí)行步驟503。步驟503,在NAT轉(zhuǎn)換表中創(chuàng)建新節(jié)點記錄所述解析的NAT轉(zhuǎn)換信息��, 該新建節(jié)點的級別為l。結(jié)束本流程�。
步驟504,流量監(jiān)控設(shè)備從NAT轉(zhuǎn)換表中的與當(dāng)前NAT網(wǎng)關(guān)的級別具有 相鄰級別的鏈表節(jié)點中查找與所述解析的NAT轉(zhuǎn)換信息匹配的節(jié)點�。
步驟505,如果找到匹配的節(jié)點�����,則執(zhí)行步驟506,否則執(zhí)行步驟507�。
步驟506,將所述解析的NAT轉(zhuǎn)換信息插入NAT轉(zhuǎn)換表中的相應(yīng)鏈表的 相應(yīng)位置����。結(jié)束流程。
步驟507,在NAT轉(zhuǎn)換表中創(chuàng)建新節(jié)點記錄所述解析的NAT轉(zhuǎn)換信息�����, 該新建節(jié)點的級別與當(dāng)前NAT網(wǎng)關(guān)的級別相同���。結(jié)束流程
圖6是本發(fā)明實施例在多級NAT轉(zhuǎn)換情況下的NAT轉(zhuǎn)換表的存儲結(jié)構(gòu)示 意圖���。如圖6所示,級別1的NAT轉(zhuǎn)換信息可以采用哈希(HASH)或鏈表形 式存儲���,對于一個級別l的節(jié)點���,與之對應(yīng)的會話的更高級別的NAT轉(zhuǎn)換信 息以鏈表形式存儲��。
通過上述實施例可見���,本發(fā)明的方案解決了在網(wǎng)絡(luò)Internet出口網(wǎng)關(guān)進(jìn) 行流量監(jiān)控,且網(wǎng)關(guān)配置NAT轉(zhuǎn)換情況下�����,能夠準(zhǔn)確�、實時地識別用戶原 始信息的需求。利用本發(fā)明的技術(shù)方案��,既可以對網(wǎng)絡(luò)出口流量進(jìn)行深度檢 測和分析��,又能準(zhǔn)確識別流量的原始用戶信息�,從而獲得準(zhǔn)確的網(wǎng)絡(luò)出口業(yè) 務(wù)流量信息和用戶上網(wǎng)行為信息,為企業(yè)網(wǎng)絡(luò)訪問策略制定提供依據(jù)��。另外���, 用戶可以在Internet出口直4矣針對私網(wǎng)用戶的網(wǎng)絡(luò)訪問進(jìn)行策略控制�,包括 限速���、干擾����、阻斷等動作����,限制用戶的網(wǎng)絡(luò)訪問,從而減輕網(wǎng)絡(luò)出口擁塞程 度�,保證正常業(yè)務(wù)能夠順利進(jìn)行。
圖7為本發(fā)明實施例一種流量監(jiān)控設(shè)備的組成結(jié)構(gòu)框圖��。圖7所示的該 流量監(jiān)控設(shè)備在線部署于NAT網(wǎng)關(guān)和公網(wǎng)接口之間��,如圖7所示����,該設(shè)備 包括NAT日志處理模塊701、 NAT轉(zhuǎn)換表存儲模塊702��、 NAT轉(zhuǎn)換信息匹 配模塊703����、會話表存儲模塊704和策略處理模塊705���,其中,
NAT轉(zhuǎn)換表存儲模塊702,用于保存NAT轉(zhuǎn)換表��;
會話表存儲模塊704,用于保存會話表����;NAT日志處理模塊701,用于接收NAT網(wǎng)關(guān)上報的NAT日志,從NAT 曰志中解析出會話報文的NAT轉(zhuǎn)換信息�����,并保存到NAT轉(zhuǎn)換表中�����;所述 NAT轉(zhuǎn)換信息至少包括所述會話報文的源五元組信息以及轉(zhuǎn)換后的五元組 信息���;如果NAT網(wǎng)關(guān)是對來自VPN的報文進(jìn)行NAT轉(zhuǎn)換�,則所述NAT轉(zhuǎn) 換信息還包括會話報文的源VPN信息和轉(zhuǎn)換后的VPN信息�。
NAT轉(zhuǎn)換信息匹配模塊703,用于在接收到一會話的報文時����,根據(jù)該報 文的五元組信息匹配NAT轉(zhuǎn)換表中的轉(zhuǎn)換后的五元組信息���,如果匹配到相 同的轉(zhuǎn)換后的五元組信息,則將NAT轉(zhuǎn)換表中的與該轉(zhuǎn)換后的五元組信息 所對應(yīng)的NAT轉(zhuǎn)換信息保存到所述會話的會話表中���,以便根據(jù)所述會話的 會話表中NAT轉(zhuǎn)換信息對所述會話的流量進(jìn)行管理;
策略處理模塊705,用于根據(jù)所述會話的會話表中的NAT轉(zhuǎn)換信息對 所述會話的流量進(jìn)行管理���。
在圖7中����,NAT轉(zhuǎn)換信息匹配模塊703��,根據(jù)該接收報文的五元組信息 匹配NAT轉(zhuǎn)換表中的轉(zhuǎn)換后的五元組信息時�����,如果沒有匹配到�����,則啟動一 定時器�����,當(dāng)定時器超時時再次根據(jù)該報文的五元組信息匹配NAT轉(zhuǎn)換表中 的轉(zhuǎn)換后的五元組信息。
如圖7所示的流量監(jiān)控設(shè)備����,如果會話流量在到達(dá)該流量監(jiān)控設(shè)備之前 經(jīng)過多級NAT網(wǎng)關(guān)進(jìn)行了多次NAT處理,則該流量監(jiān)控設(shè)備進(jìn)一步包括 NAT網(wǎng)關(guān)級別信息存儲模塊706���,用于保存各NAT網(wǎng)關(guān)的級別信息����;NAT 轉(zhuǎn)換表中以鏈表結(jié)構(gòu)保存對應(yīng)于同 一會話的NAT轉(zhuǎn)換信息��;NAT日志處理 模塊701,用于在接收一 NAT網(wǎng)關(guān)上報的NAT日志�����,從NAT日志中解析出 NAT轉(zhuǎn)換信息���,并從NAT網(wǎng)關(guān)級別信息存儲模塊中獲取該NAT網(wǎng)關(guān)的級別 信息����,根據(jù)該NAT網(wǎng)關(guān)的級別信息將NAT轉(zhuǎn)換信息保存到NAT轉(zhuǎn)換表中 的相應(yīng)鏈表節(jié)點中�����。
如圖7所示,該監(jiān)控設(shè)備進(jìn)一步包括會話日志上報模塊707���,用于向 曰志服務(wù)器上報所述會話的會話日志�;其中�,在所述會話日志中將所述會話 表NAT轉(zhuǎn)換信息中的源VPN信息和源五元組信息作為所述會話的源端信圖8為本發(fā)明實施例另一種流量監(jiān)控設(shè)備的組成結(jié)構(gòu)框圖。圖8所示的 流量監(jiān)控設(shè)備是旁路部署的����,NAT網(wǎng)關(guān)和公網(wǎng)接口之間的流量被鏡像到旁路 部署的該流量監(jiān)控設(shè)備���,如圖8所示��,該流量監(jiān)控設(shè)備與圖7所示的流量監(jiān) 控設(shè)備的區(qū)別在于不包括策略處理模塊�,而是包括NAT轉(zhuǎn)換信息發(fā)送模 塊801,用于將所述會話的會話表中的NAT轉(zhuǎn)換信息發(fā)送給策略處理設(shè)備�, 以使得策略處理設(shè)備根據(jù)所述NAT轉(zhuǎn)換信息對所述會話進(jìn)行管理。
由上述實施例可見�,本發(fā)明這種流量監(jiān)控設(shè)備接收NAT網(wǎng)關(guān)上報的 NAT日志,從中解析出NAT轉(zhuǎn)換信息�����,并根據(jù)NAT轉(zhuǎn)換信息會相應(yīng)會話 的流量進(jìn)行管理的技術(shù)方案���,不僅能夠根據(jù)原始用戶信息對用戶會話流量進(jìn) 行管理��,且相對于現(xiàn)有的將流量監(jiān)控設(shè)備部署于VPN與PE設(shè)備之間的方案��, 投資小����、流量監(jiān)控設(shè)備的處理負(fù)擔(dān)也小。
以上所述����,僅為本發(fā)明的較佳實施例而已,并非用于限定本發(fā)明的保護(hù) 范圍��,凡在本發(fā)明的精神和原則之內(nèi)所做的任何修改�、等同替換、改進(jìn)等���, 均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)���。
權(quán)利要求
1、一種流量監(jiān)控方法���,其特征在于�����,該方法適用于具有NAT網(wǎng)關(guān)的組網(wǎng)中���,該方法包括流量監(jiān)控設(shè)備接收NAT網(wǎng)關(guān)上報的NAT日志���,從NAT日志中解析出會話報文的NAT轉(zhuǎn)換信息,并保存到NAT轉(zhuǎn)換表中�����;所述NAT轉(zhuǎn)換信息包括所述會話報文的源五元組信息以及轉(zhuǎn)換后的五元組信息�����;流量監(jiān)控設(shè)備接收到一會話的報文時�,根據(jù)該報文的五元組信息匹配NAT轉(zhuǎn)換表中的轉(zhuǎn)換后的五元組信息���,如果匹配到相同的轉(zhuǎn)換后的五元組信息��,則將NAT轉(zhuǎn)換表中的與該轉(zhuǎn)換后的五元組信息所對應(yīng)的NAT轉(zhuǎn)換信息保存到所述會話的會話表中����,以便根據(jù)所述會話的會話表中NAT轉(zhuǎn)換信息對所述會話的流量進(jìn)行管理。
2��、 如權(quán)利要求l所述的方法�����,其特征在于�����,所述流量監(jiān)控設(shè)備接收到 一會話的報文時��,根據(jù)該報文的五元組信息匹配NAT轉(zhuǎn)換表中的轉(zhuǎn)換后的 五元組信息包4舌流量監(jiān)控設(shè)備根據(jù)該報文的五元組信息匹配NAT轉(zhuǎn)換表中的轉(zhuǎn)換后的 五元組信息�����,如果沒有匹配到����,則啟動一定時器,當(dāng)定時器超時時再次根據(jù) 該報文的五元組信息匹配NAT轉(zhuǎn)換表中的轉(zhuǎn)換后的五元組信息���。
3��、 如權(quán)利要求l所述的方法�����,其特征在于���,在會話流量到達(dá)流量監(jiān)控 設(shè)備之前經(jīng)過多級NAT網(wǎng)關(guān)進(jìn)行多次NAT處理時����,該方法進(jìn)一步包括流 量監(jiān)控設(shè)備保存各NAT網(wǎng)關(guān)的級別信息���;所述NAT轉(zhuǎn)換表中以鏈表結(jié)構(gòu)保 存對應(yīng)于同 一會話的NAT轉(zhuǎn)換信息�;所述流量監(jiān)控設(shè)備接收NAT網(wǎng)關(guān)上報的NAT日志�����,從NAT日志中解 析出會話報文的NAT轉(zhuǎn)換信息���,并保存到NAT轉(zhuǎn)換表中包括所述流量監(jiān) 控設(shè)備接收一 NAT網(wǎng)關(guān)上才艮的NAT日志,從NAT日志中解析出會話報文 的NAT轉(zhuǎn)換信息��,并根據(jù)該NAT網(wǎng)關(guān)的級別信息將NAT轉(zhuǎn)換信息保存到 NAT轉(zhuǎn)換表中的相應(yīng)鏈表節(jié)點中����。
4�、 如權(quán)利要求1��、 2或3所述的方法���,其特征在于����,該方法進(jìn)一步包括 所述流量監(jiān)控設(shè)備向日志服務(wù)器上報所述會話的會話日志���;其中���,在所述會話日志中流量監(jiān)控設(shè)備將所述會話表NAT轉(zhuǎn)換信息中的源五元組信息 作為所述會話的源端信息。
5�、 如權(quán)利要求l所述的方法,其特征在于�,所述NAT轉(zhuǎn)換信息還包括所述會話報文的源虛擬私有網(wǎng)絡(luò)VPN信息 和轉(zhuǎn)換后的VPN信息。
6�、 一種流量監(jiān)控設(shè)備,其特征在于�����,該設(shè)備包括NAT日志處理模塊、 NAT轉(zhuǎn)換表存儲模塊��、NAT轉(zhuǎn)換信息匹配模塊和會話表存儲模塊����,其中,NAT轉(zhuǎn)換表存儲模塊���,用于保存NAT轉(zhuǎn)換表�; 會話表存儲模塊���,用于保存會話表���;NAT日志處理模塊,用于接收NAT網(wǎng)關(guān)上報的NAT日志����,從NAT日 志中解析出會話報文的NAT轉(zhuǎn)換信息,并保存到NAT轉(zhuǎn)換表中��;所述NAT 轉(zhuǎn)換信息包括所述會話報文的源五元組信息以及轉(zhuǎn)換后的五元組信息����;NAT轉(zhuǎn)換信息匹配模塊,用于在接收到一會話的報文時����,根據(jù)該報文 的五元組信息匹配NAT轉(zhuǎn)換表中的轉(zhuǎn)換后的五元組信息,如果匹配到相同 的轉(zhuǎn)換后的五元組信息�����,則將NAT轉(zhuǎn)換表中的與該轉(zhuǎn)換后的五元組信息所 對應(yīng)的NAT轉(zhuǎn)換信息保存到所述會話的會話表中�����,以便根據(jù)所述會話的會 話表中NAT轉(zhuǎn)換信息對所述會話的流量進(jìn)行管理�����。
7��、 如權(quán)利要求6所述的流量監(jiān)控設(shè)備�����,其特征在于��,所述NAT轉(zhuǎn)換信息匹配模塊����,根據(jù)該接收報文的五元組信息匹配NAT 轉(zhuǎn)換表中的轉(zhuǎn)換后的五元組信息時���,如果沒有匹配到,則啟動一定時器���,當(dāng) 定時器超時時再次根據(jù)該報文的五元組信息匹配NAT轉(zhuǎn)換表中的轉(zhuǎn)換后的 五元組信息��。
8���、 如權(quán)利要求6所述的流量監(jiān)控設(shè)備,其特征在于��,如果會話流量在 到達(dá)該流量監(jiān)控設(shè)備之前經(jīng)過多級NAT網(wǎng)關(guān)進(jìn)行了多次NAT處理�,則該流 量監(jiān)控設(shè)備進(jìn)一步包括NAT網(wǎng)關(guān)級別信息存儲模塊,用于保存各NAT網(wǎng)關(guān)的級別信息����;所述NAT轉(zhuǎn)換表中以鏈表結(jié)構(gòu)保存對應(yīng)于同 一會話的NAT轉(zhuǎn)換信息; NAT日志處理模塊����,用于在接收一 NAT網(wǎng)關(guān)上報的NAT日志,從NAT 曰志中解析出會話報文的NAT轉(zhuǎn)換信息,并從NAT網(wǎng)關(guān)級別信息存儲模塊 中獲取該NAT網(wǎng)關(guān)的級別信息�,根據(jù)該NAT網(wǎng)關(guān)的級別信息將NAT轉(zhuǎn)換 信息保存到NAT轉(zhuǎn)換表中的相應(yīng)鏈表節(jié)點中。
9��、 如權(quán)利要求6����、 7或8所述的流量監(jiān)控設(shè)備�����,其特征在于�,該監(jiān)控設(shè) 備進(jìn)一步包括會話日志上報模塊,用于向日志服務(wù)器上報所述會話的會話 曰志����;其中,在所述會話日志中將所述會話表NAT轉(zhuǎn)換信息中的源五元組 信息作為所述會話的源端信息����。
10、 如權(quán)利要求6所述的流量監(jiān)控設(shè)備���,其特征在于�����,所述NAT日志 處理模塊從NAT日志中解析出的NAT轉(zhuǎn)換信息還包括所述會話報文的源 虛擬私有網(wǎng)絡(luò)VPN信息和轉(zhuǎn)換后的VPN信息�����。
全文摘要
本發(fā)明公開了一種流量監(jiān)控方法�����,包括流量監(jiān)控設(shè)備接收NAT網(wǎng)關(guān)上報的NAT日志���,從中解析出NAT轉(zhuǎn)換信息����,以便后續(xù)根據(jù)NAT轉(zhuǎn)換信息對相應(yīng)會話的流量進(jìn)行管理����。本發(fā)明還公開了一種流量監(jiān)控設(shè)備。本發(fā)明的技術(shù)方案��,不僅能夠根據(jù)原始用戶信息對用戶會話流量進(jìn)行管理�,且投資小、流量監(jiān)控設(shè)備的處理負(fù)擔(dān)輕����。
文檔編號H04L12/26GK101431440SQ20081022780
公開日2009年5月13日 申請日期2008年11月28日 優(yōu)先權(quán)日2008年11月28日
發(fā)明者劉昭輝, 偉 雷 申請人:杭州華三通信技術(shù)有限公司