实现网络分片报文流量实时监测的方法和装置制造方法及图纸

本发明专利技术揭示了一种实现网络分片报文流量实时监测的方法和装置，将IP报文中首分片的四层端口信息和三层IP地址、分片标识记录下来，后续分片到来后，查找源、目的IP地址和分片标识，就能得到所属原始报文的四层源、目的端口，基于IPFIX进行流量监测，能够灵活地针对从哪个IP地址发往哪个IP地址的某种具体的应用业务流量进行统计，不漏掉非首分片的分片报文的统计结果，提高统计的精度。

Method and device for realizing real-time monitoring of network packet traffic

The invention discloses a method and a device for realizing network fragment message flow real-time monitoring, the first piece of IP packet in the four layer and three layer IP address port information, mark recorded subsequent slices after the arrival of the source and destination IP address lookup and slice identification, will be able to get to the the four layer is the original message source and destination port, IPFIX traffic monitoring based on the flexibility to application traffic statistics for the IP address from which to some which IP address specific, do not miss the statistical results for fragments of non first fragment, improve the accuracy of statistics.

【技术实现步骤摘要】

本专利技术涉及网络流量监测
，尤其涉及一种实现网络分片报文流量实时监测的方法和装置。
技术介绍
IPFIX(IPFlowInformationExport，IP数据流信息输出)是由IETF(InternetEngineeringTaskForce，互联网工程任务组)公布的用于网络中的流信息测量的标准协议。该协议主要在于：1、统一IP数据流的统计、输出标准，这使得网络管理员很容易地提取和查看存储在这些网络设备中的重要流量统计信息。2、输出格式具有较强的可扩展性，因此如果流量监控的要求发生改变，网络管理员也可通过修改相应配置来实现，不必升级网络设备软件或管理工具。IPFIX定义的格式以网络流量监控技术第9版本(CiscoNetflowVersion9)数据输出格式作为基础，可使IP流量信息从一个输出器传送到收集器。因为IPFIX是一种针对数据流特征分析、基于模板的格式输出的协议，因此具有很强的可扩展性，对于不同的需求都可以定义不同的数据格式。为了较完整的输出数据，IPFIX缺省使用七元组来标识网络流量：源IP地址、目的IP地址、TCP/UDP源端口、TCP/UDP目的端口、三层协议类型、服务类型和输入逻辑接口。如果不同IP报文中这所有的七个字段都匹配，那么这些IP报文都将被视为属于同一条流量。这些流的统计数据，如流量持续时间、流量中报文个数、报文平均长度、TTL的变化等，定期被组装为IPFIX报文，发送给指定的IPFIX服务器。IPFIX服务器提供强大的图形显示、计算能力，对IPFIX报文中的流统计进行分析，帮助网络管理员可以了解到当前网络的应用情况，并根据这些信息对网络进行优化，安全检测，流量计费。IP分片是网络中传输IP报文的一种技术手段。网络设备的接口需要发送的IP报文的大小超过最大传输单元MTU(MaximumTransmissionUnit)时，就会产生IP分片。这些分片只有在目的地时才进行重组。OSI模型的第四层是传输层，负责端对端通信。在IP协议栈中这是TCP和UDP所在的协议层。而四层的端口号，可以唯一区分每个数据报文的应用服务，例如HTTP，FTP等。正因如此，IPFIX缺省使用的“七元组”中就包含了TCP/UDP源端口、TCP/UDP目的端口。如图1所示，对于IP分片技术，一个长报文在分成多片时，只有首分片才有四层源、目的端口信息，其他的分片都不包含四层源、目的端口信息。那么对于没有重组分片报文义务的网络设备，如果采用传统的“七元组”去统计HTTP、FTP等具体应用业务的流量，那么只能统计首分片的流量，统计结果不精确，这对网络管理员部署网络、分析网络流量以及运营商根据流量计费等都造成影响。
技术实现思路
本专利技术通过一种关联机制，将非首分片的IP分片和首分片进行关联，从而将报文中不携带四层源、目的端口信息的分片报文全部统计到具体的应用业务流量中，提高统计的精度。关联的过程由芯片自动完成，无需CPU感知。为实现上述目的，本专利技术提出如下技术方案：一种实现网络分片报文流量实时监测的方法，交换机接收到一个IP分片报文，判断所述IP分片报文是否为首分片，若是首分片报文，则提取IP地址和分片标识存储在关联KEY表项中，提取源、目的端口存储在关联AD表项中，进入IPFIX模块进行流量监测。优选地，判断所述IP分片报文是否为首分片之后还包括，若不是首分片报文，提取IP首部中的源、目的IP地址和分片标识，在所述KEY表项中进行逐行查找，在AD表项中提取相应的源端口、目的端口信息，进入IPFIX模块进行流量监测。优选地，所述在AD表项中提取相应的源端口、目的端口信息之后，判断IP分片报文是否为末分片，若是末分片，删除相应的KEY表项和AD表项，进入IPFIX模块进行流量监测。优选地，所述在AD表项中提取相应的源端口、目的端口信息之后，判断IP分片报文是否为末分片，若不是末分片，进入IPFIX模块进行流量监测。优选地，所述判断所述IP分片报文是否为首分片的方法为：IP首部中的MF标志位置1，片位移为0，则认定该报文是分片报文，而且是首分片报文。优选地，所述判断IP分片报文是否为末分片的方法为：IP首部中MF标志位置0，片位移不为0。优选地，对于所述KEY表项和所述AD表项，提供老化机制，当某条有效条目对应的中间分片长时间没有接收到，则不必等到末分片到达，直接将该条目置为无效。优选地，所述KEY表项和所述AD表项中，所述有效条目的判定方法为：该条目的Valid标识为1，所述将该条目置为无效的方法为：该条目的Valid标识为0。本专利技术的另一目的在于提供一种实现网络分片报文流量实时监测的装置，包括：报文接收模块、首分片判断模块、末分片判断模块、提取模块、查找模块、删除模块、IPFIX模块，所述报文接收模块用于接收到IP分片报文；所述首分片判断模块用于判断所述IP分片报文是否为首分片；所述提取模块用于提取IP地址和分片标识存储在关联KEY表项中，提取源、目的端口存储在关联AD表项中；所述查找模块用于提取IP首部中的源、目的IP地址和分片标识，在所述KEY表项中进行逐行查找，在AD表项中提取相应的源端口、目的端口信息；所述末分片判断模块用于判断IP分片报文是否为末分片；所述删除模块用于删除相应的KEY表项和AD表项。本专利技术的有益效果是：1、将首分片的四层端口信息和三层IP地址、分片标识记录下来，后续分片到来后，查找源、目的IP地址和分片标识，就能得到所属原始报文的四层源、目的端口。2、KEY和AD具有清除功能，收到末分片、或者长时间没有新的中间分片到达时，相应的KEY和AD需要清除，留出资源给其他分片报文使用。3、基于IPFIX进行流量监测，能够灵活地针对从哪个IP地址发往哪个IP地址的某种具体的应用业务流量进行统计，不漏掉非首分片的分片报文的统计结果。4、整个过程由芯片完成，无需CPU感知。附图说明图1是IP分片报文的示意图；图2是实现网络分片报文流量实时监测的方法流程图；图3是分片标识KEY表项与AD表项的对应关系图。图4是IPFIX模块的流程示意图；图5流表记录哈希Hash查找的流程示意图；图6是实现网络分片报文流量实时监测的装置结构示意图。具体实施方式下面将结合本专利技术的附图，对本专利技术实施例的技术方案进行清楚、完整本文档来自技高网...

【技术保护点】
一种实现网络分片报文流量实时监测的方法，其特征在于：交换机接收到一个IP分片报文，判断所述IP分片报文是否为首分片，若是首分片报文，则提取IP地址和分片标识存储在关联KEY表项中，提取源、目的端口存储在关联AD表项中，进入IPFIX模块进行流量监测。

【技术特征摘要】
1.一种实现网络分片报文流量实时监测的方法，其特征在于：交换机接
收到一个IP分片报文，判断所述IP分片报文是否为首分片，若是首分片报
文，则提取IP地址和分片标识存储在关联KEY表项中，提取源、目的端
口存储在关联AD表项中，进入IPFIX模块进行流量监测。
2.根据权利要求1所述的实现网络分片报文流量实时监测的方法，其特
征在于，判断所述IP分片报文是否为首分片之后还包括：若不是首分片报
文，提取IP首部中的源、目的IP地址和分片标识，在所述KEY表项中进
行逐行查找，在AD表项中提取相应的源端口、目的端口信息，进入IPFIX
模块进行流量监测。
3.根据权利要求2所述的实现网络分片报文流量实时监测的方法，其特
征在于，所述在AD表项中提取相应的源端口、目的端口信息之后，判断
IP分片报文是否为末分片，若是末分片，删除相应的KEY表项和AD表项，
进入IPFIX模块进行流量监测。
4.根据权利要求3所述的实现网络分片报文流量实时监测的方法，其特
征在于，所述在AD表项中提取相应的源端口、目的端口信息之后，判断
IP分片报文是否为末分片，若不是末分片，进入IPFIX模块进行流量监测。
5.根据权利要求1或2所述的实现网络分片报文流量实时监测的方法，
其特征在于，所述判断所述IP分片报文是否为首分片的方法为：IP首部中
的MF标志位置1，片位移为0，则认定该报文是分片报文，而且是首分片
报文。
6....

【专利技术属性】
技术研发人员：马千里，单哲，
申请(专利权)人：盛科网络苏州有限公司，
类型：发明
国别省市：江苏;32