本发明专利技术揭示了一种基于流量实现ipfix探测的方法及装置,所述方法包括:根据流量中的报文头部字段匹配芯片中的第一级流表,识别出所需探测的流量;将识别出的流量送入芯片中的第二级流表中进行匹配和数量统计,并将匹配出的新的流量学习到芯片内存中。本发明专利技术采用两级流表的方式实现ipfix,使得ipfix具备了基于流量作探测点的能力,能够提高所想监测流量的识别度从而降低非关心流量对ipfix内存的过多消耗。
【技术实现步骤摘要】
一种基于流量实现ipfix探测的方法及装置
本专利技术涉及一种ipfix探测技术,尤其是涉及一种基于流量实现ipfix探测的方法及装置。
技术介绍
交换机芯片实现IPFIX(IPFlowInformationExport,IP数据流信息输出)的基本原理是:通过ipfixengine(ipfix引擎)实现IP数据流多方面的统计和监测,其中ipfixengine主要包括key(哈希查找识别出流flow)和record(对flow进行相关统计,如报文个数统计)两部分。每有一条新的数据流到达Ipfixengine就会被学习到芯片内存中,从而占据一定规格的内存容量。根据RFC,目前Ipfix的监测点是基于端口实现的,如对某一端口的流量实现报文个数的统计。随着流量种类的急剧增多,单是用于统计此端口流量而占用的内存就会消耗巨大。实际上,某些时候我们只想对此端口上的某些流量实现统计。所以,本文提出了一种新型的Ipfix探测实现方案,以降低对Ipfix内存的过多消耗。
技术实现思路
本专利技术的目的在于克服现有技术的缺陷,提供一种基于流量实现Ipfix探测的方法及装置,采用两级流表的方式实现Ipfix。为实现上述目的,本专利技术提出如下技术方案:一种基于流量实现Ipfix探测的方法,包括:S1,根据流量中的报文头部字段匹配芯片中的第一级流表,识别出所需探测的流量;S2,将识别出的所述流量送入芯片中的第二级流表中进行匹配和数量统计,并将匹配出的新的流量学习到芯片内存中。优选地,所述S1包括:S11,在第一级流表中配置用于识别需探测的IP流量的第一关键字;S12,将IP流量中的报文头部字段与第一级流表中的所述第一关键字相匹配,若匹配,则为需探测的IP流量,并送入第二级流表中。优选地,所述S2包括:S21,在第二级流表中配置用于识别需记录的IP流量的第二关键字;S22,将经第一级流表中识别出的流量与第二级流表中的所述第二关键字相匹配,若匹配,则对匹配出的IP流量进行统计,并将匹配出的新的流量学习到芯片内存中。优选地,所述S22中,若匹配出IP流量不是新的流量,则直接更新芯片中的IP流量统计计数。优选地,所述第一和第二关键字均包括以太网头部字段、端口号和IP头部字段中的一种或两种以上字段的组合。本专利技术还提供了另外一种技术方案:一种基于流量实现Ipfix探测的装置,包括:访问控制装置和与访问控制装置通信连接的流量监测装置,所述访问控制装置中配置有第一级流表,所述流量监测装置中配置有第二级流表,所述访问控制装置用于根据流量中的报文头部字段匹配自身中的所述第一级流表,识别出所需探测的流量,并将识别出的流量送入流量监测装置中;所述流量监测装置用于将识别出的流量与自身中的第二级流表中进行匹配和数量统计,并将匹配出的新的流量学习到自身内存中。优选地,所述第一级流表中配置有用于识别需探测的IP流量的第一关键字,所述访问控制装置将IP流量中的报文头部字段与第一级流表中的所述第一关键字相匹配,若匹配,则为需探测的IP流量,并送入流量监测装置中。优选地,所述第二级流表中配置用于识别需记录的IP流量的第二关键字,所述流量监测装置将经访问控制装置识别出的流量与第二级流表中的所述第二关键字相匹配,若匹配,则对匹配出的IP流量进行统计,并将匹配出的新的流量学习到自身内存中。优选地,所述第一和第二关键字均包括以太网头部字段、端口号和IP头部字段中的一种或两种以上字段的组合。优选地,所述访问控制装置为ACL引擎,所述第一级流表为访问控制列表,所述流量监测装置为Ipfix引擎。本专利技术的有益效果是:采用两级流表的方式实现Ipfix,第一级流表能够初步的识别出需要监测的流量并送进Ipfix引擎;第二级流表实现流量统计相关的记录。此方案使得IPifx具备了基于流量作探测点的能力,即传统的基于端口作探测点被拓展到了基于多域网包头描述的流量作探测点,能够提高所想监测流量的识别度从而降低非关心流量对Ipfix内存的过多消耗。附图说明图1是本专利技术方法的流程示意图;图2是本专利技术装置的结构框图示意图;图3是本专利技术实施例装置的立体示意图。具体实施方式下面将结合本专利技术的附图,对本专利技术实施例的技术方案进行清楚、完整的描述。本专利技术所揭示的一种基于流量实现Ipfix探测的方法及装置,采用级流表的方式实现Ipfix。具体地,如图1所示,本专利技术实施例所揭示的一种基于流量实现Ipfix探测的方法,包括:S1,根据流量中的报文头部字段匹配芯片中的第一级流表,识别出所需探测的流量。具体地,以交换机芯片监测IP流量为例,交换机芯片中包括ACL引擎和Ipfix引擎,ACL引擎中的访问控制列表(ACL)作为第一级流表,其中配置了专门用于识别IP流量的第一关键字,第一关键字主要包含了以太网头部字段、端口号和IP头部字段中的一种或两种以上字段的组合,如将IP流量的报文头部字段与以太网头部字段相匹配,或将IP流量的报文头部字段与以太网头部字段和端口号组合相匹配。匹配字段越多,ACL引擎过滤出的需要探测的流量更精细。其中,以太网头部字段主要包括目的MAC地址、源MAC地址和VLAN信息等;IP头部字段主要包括源IP地址、目的IP地址等信息。当IP流量进入交换机芯片中时,将IP流量中的报文头部字段,与第一关键字一样,所述报文头部字段包括以太网头部字段、端口号和IP头部字段中的一种或两种以上字段的组合,与第一关键字中对应的字段相匹配,如将IP流量中的IP头部字段与第一关键字中的IP头部字段相匹配,如匹配,则为需探测的IP流量,并将识别出的流量送入Ipfix引擎中。如图2和图3所示,如交换机芯片接收IP流量A、IP流量B、IP流量C、IP流量D、IP流量E等IP流量后,经ACL引擎中的第一级流表匹配,筛选出需要记录的IP流量A、IP流量B进入Ipfix引擎中。与现有Ipfix引擎基于端口实现流量记录不同的是,本专利技术先通过ACL引擎的识别,初步识别出所需监测的IP流量,即ACL匹配后才会得到Ipfix引擎的使能信息和其他配置信息,从而才能被送进Ipfix引擎中实现流量记录。S2,将识别出的流量送入芯片中的第二级流表中进行匹配和数量统计,并将匹配出的新的流量学习到芯片内存中。具体地,Ipfix引擎作为芯片中的第二级流表,Ipfix引擎中配置包括用于识别需记录的IP流量的第二关键字(key)及流统计(record)两部分。这里的第二关键字与上述第一关键字一样,也包括以太网头部字段、端口号和IP头部字段中的一种或两种以上字段的组合。这是这里第二关键字的匹配字段数要多于第一关键字中的字段数,实现对所需记录的流量的精确匹配。本实施例中,Ipfix引擎将流量采用哈希查找匹配第二关键字。流统计用于对基于第二关键字匹配出的IP流量进行报文个数统计,且若匹配出的IP流量为新的流量,则将该新的IP流量学习到芯片内存中,同时流统计计数加1,如图3所示,将IP流量A、IP流量B学习到Ipfix引擎内存中;若匹配出的IP流量不为新的流量,则无需学习,直接将流统计计数加1。对应的,结合图2和图3所示,本专利技术还揭示了一种基于流量实现Ipfix探测的装置,包括:访问控制装置和与访问控制装置通信连接的流量监测装置,其中,访问控制装置中配置有第一级流表,所本文档来自技高网...
【技术保护点】
一种基于流量实现ipfix探测的方法,其特征在于,包括:S1,根据流量中的报文头部字段匹配芯片中的第一级流表,识别出所需探测的流量;S2,将识别出的所述流量送入芯片中的第二级流表中进行匹配和数量统计,并将匹配出的新的流量学习到芯片内存中。
【技术特征摘要】
1.一种基于流量实现ipfix探测的方法,其特征在于,包括:S1,根据流量中的报文头部字段匹配芯片中的第一级流表,识别出所需探测的流量;S2,将识别出的所述流量送入芯片中的第二级流表中进行匹配和数量统计,并将匹配出的新的流量学习到芯片内存中。2.根据权利要求1所述的方法,其特征在于,所述S1包括:S11,在第一级流表中配置用于识别需探测的IP流量的第一关键字;S12,将IP流量中的报文头部字段与第一级流表中的所述第一关键字相匹配,若匹配,则为需探测的IP流量,并送入第二级流表中。3.根据权利要求1所述的方法,其特征在于,所述S2包括:S21,在第二级流表中配置用于识别需记录的IP流量的第二关键字;S22,将经第一级流表中识别出的流量与第二级流表中的所述第二关键字相匹配,若匹配,则对匹配出的IP流量进行统计,并将匹配出的新的流量学习到芯片内存中。4.根据权利要求3所述的方法,其特征在于,所述S22中,若匹配出IP流量不是新的流量,则直接更新芯片中的IP流量统计计数。5.根据权利要求3所述的方法,其特征在于,所述第一和第二关键字均包括以太网头部字段、端口号和IP头部字段中的一种或两种以上字段的组合。6.一种基于流量实现ipfix探测的装置,其特征在于,包括:访问控制装置和与访问控制装置通...
【专利技术属性】
技术研发人员:刘庆海,李晨,龚海东,
申请(专利权)人:盛科网络苏州有限公司,
类型:发明
国别省市:江苏,32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。