一种IPSec VPN隧道内业务流量统计方法及装置制造方法及图纸

本申请提供一种IPSec VPN隧道内业务流量统计方法，所述方法包括：当业务数据报文经过IPSec VPN隧道时，根据预设的SA策略中的参数对所述业务数据报文进行加解密处理，所述加解密处理包括加密处理或解密处理；将每次加密或解密处理的所述业务数据报文的字节数进行记录。

【技术实现步骤摘要】
一种IPSecVPN隧道内业务流量统计方法及装置
本申请涉及通信
，尤其涉及一种IPSecVPN隧道内业务流量统计方法及装置。
技术介绍
随着企业信息化程度的提高，各地分公司、办事处与企业总部的信息交互，企业与客户之间的信息传递，基于IPSec协议的VPN技术被广泛应用。在IPSecVPN技术应用的过程中，需要对业务流量进行监控，需要实时的观察经过IPSecVPN隧道的流量大小，这就需要对经过IPSecVPN隧道的流量进行统计。特别的对于框式设备(由一个或两个主控板卡、多个业务办卡组成，主控板卡处理控制类请求，业务办卡处理业务数据请求，各个板卡之间是分离的)的多板分离，业务流量经过多个业务板卡时，更需要流量统计来体现当前的IPSecVPN隧道状态。现有的IPSecVPN隧道内流量统计方法诸多，基本都是在需要获取流量统计信息时实时的从系统内核以及各个业务板卡中获取，当获取流量信息时在用户态下的进程下发请求到系统内核及各个业务板卡，系统内核及各个业务板卡搜集相关的流量信息上报给在用户态下的进程。这样虽然能做到流量统计信息的相对及时性，但是会明显增加设备系统的负荷，并且从多个业务板卡搜集的信息，也有可能存在回报信息出错导致流量统计不准确的问题。
技术实现思路
有鉴于此，本申请提供一种IPSecVPN隧道内业务流量统计方法及装置。具体地，本申请是通过如下技术方案实现的：一种IPSecVPN隧道内业务流量统计方法，所述方法包括：当业务数据报文经过IPSecVPN隧道时，根据预设的SA策略中的参数对所述业务数据报文进行加解密处理，所述加解密处理包括加密处理或解密处理；将每次加密或解密处理的所述业务数据报文的字节数进行记录。一种IPSecVPN隧道内业务流量统计装置，所述装置包括：加解密处理单元，用于当业务数据报文经过IPSecVPN隧道时，根据预设的SA策略中的参数对所述业务数据报文进行加解密处理，所述加解密处理包括加密处理或解密处理；字节数记录单元，用于将每次加密或解密处理的所述业务数据报文的字节数进行记录。本申请通过将每次加解密处理的所述业务数据报文的字节数进行记录，并周期性的读取所记录的每次加解密处理的业务数据报文的字节数追加记录到对应的流量信息统计模板，解决了获取IPSecVPN隧道内流量信息时突增设备系统负荷的问题，更加有效的保证了设备系统的稳定性，简单方便的实现了IPSecVPN隧道内流量的统计。附图说明为了更清楚地说明本申请实施例的技术方案，下面将对实施例描述中所需要的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请中记载的一些实施例，对于本领域普通技术人员来讲，还可以根据这些附图获得其他的附图。图1是本申请一示例性实施例示出的一种应用场景示意图；图2是本申请一示例性实施例示出的IPSecVPN隧道内业务流量统计方法的一种实施流程图；图3是本申请一示例性实施例示出的IPSecVPN隧道内业务流量统计方法的一种优选实施流程图；图4是本申请一示例性实施例示出的一种框式设备示意图；图5是本申请一示例性实施例示出的IPSecVPN隧道内业务流量统计装置的一种结构示意图。具体实施方式这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。在本申请使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。应当理解，尽管在本申请可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本申请范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。首先对本申请一种IPSecVPN隧道内业务流量统计方法进行说明，该方法可以包括以下步骤：当业务数据报文经过IPSecVPN隧道时，根据预设的SA策略中的参数对所述业务数据报文进行加解密处理，所述加解密处理包括加密处理或解密处理；将每次加密或解密处理的所述业务数据报文的字节数进行记录。在
技术介绍
中提到，在IPSecVPN技术应用的过程中，如图1所示的一示例性应用场景示意图，需要对业务流量进行监控，需要实时的观察经过IPSecVPN隧道的流量大小，因此需要对经过IPSecVPN隧道的流量进行统计。鉴于现有的IPSecVPN隧道内流量统计方法存在的问题，本申请在业务数据报文经过IPSecVPN隧道的情况下，根据预设的SA(SecurityAssociation，安全联盟)策略中的参数对业务数据报文进行加密处理或解密处理，将每次加密或解密处理的业务数据报文的字节数进行记录，至此所有经过IPSecVPN隧道的业务流量大小都记录下来。具体的在IPSecVPN隧道内业务流量统计的过程中，对于盒式设备(控制类报文和业务数据报文都是在一个板卡上处理的)或框式设备，当业务流量经过IPSecVPN隧道时，对于接收到的需要解密的业务数据报文，根据报文中携带的SPI值在预设的SA策略链表中查找对应的预设SA策略，根据查找到的对应的预设SA策略中的解密信息对所述业务数据报文进行解密；或对于接收到的需要加密的业务数据报文，根据报文中携带的五元组信息在预设的SA策略链表中查找对应的预设SA策略，根据查找到的对应的预设SA策略中的加密信息对所述业务数据报文进行加密；将每次加密或加密处理的所述业务数据报文的字节数进行记录；特别对于框式设备，存在多个业务板卡，需要统计所有业务板卡经过的流量信息，将框式设备中所有业务板卡所记录的每次加密或解密处理的所述业务数据报文的字节数追加记录到主控板上；当所述网络设备为盒式设备时，按照预设的周期读取所记录的每次加密或解密处理的所述业务数据报文的字节数，记录到与盒式设备内核所对应的预先建立的流量信息统计模板；当所述网络设备为框式设备时，按照预设的周期读取主控板上所追加记录的每次加密或解密处理的所述业务数据报文的字节数，记录到与框式设备主控板内核所对应的预先建立的流量信息统计模板；在接收到用户态下的进程下发的流量信息统计请求时，根据所述请求中携带的IPSecVPN隧道信息匹配对应的流量信息统计模板，将匹配到的对应的流量信息统计模板中记录的每次加密或解密处理的所述业务数据报文的字节数返回给用户态下的进程，所述IPSecVPN隧道信息包括：IPSecVPN隧道连接名称、与本地建立隧道的对端设备IP地址以及感兴趣流。为了对本申请进一步说明，提供下列实施例：如图2所示，为本申请IPSecVPN隧道内业务流量统计方法的一种实施流程图，其具体可以包括以下步骤：S101，当业务数据报文经过IPSecVPN隧道时，根据预设的SA策本文档来自技高网...

【技术保护点】
1.一种IPSec VPN隧道内业务流量统计方法，其特征在于，应用于网络设备，所述方法包括：当业务数据报文经过IPSec VPN隧道时，根据预设的SA策略中的参数对所述业务数据报文进行加解密处理，所述加解密处理包括加密处理或解密处理；将每次加密或解密处理的所述业务数据报文的字节数进行记录。

【技术特征摘要】
1.一种IPSecVPN隧道内业务流量统计方法，其特征在于，应用于网络设备，所述方法包括：当业务数据报文经过IPSecVPN隧道时，根据预设的SA策略中的参数对所述业务数据报文进行加解密处理，所述加解密处理包括加密处理或解密处理；将每次加密或解密处理的所述业务数据报文的字节数进行记录。2.根据权利要求1所述的方法，其特征在于，所述网络设备为盒式设备或框式设备，所述当业务数据报文经过IPSecVPN隧道时，根据预设的SA策略中的参数对所述业务数据报文进行加解密处理，包括：当业务数据报文经过IPSecVPN隧道时，对于接收到的需要解密的业务数据报文，根据报文中携带的SPI值在预设的SA策略链表中查找对应的预设SA策略，根据查找到的对应的预设SA策略中的解密信息对所述业务数据报文进行解密；或对于接收到的需要加密的业务数据报文，根据报文中携带的五元组信息在预设的SA策略链表中查找对应的预设SA策略，根据查找到的对应的预设SA策略中的加密信息对所述业务数据报文进行加密。3.根据权利要求2所述的方法，其特征在于，所述方法还包括：当所述网络设备为框式设备时，对于框式设备中业务板卡所记录的每次加密或解密处理的所述业务数据报文的字节数，将其追加记录到框式设备的主控板上。4.根据权利要求3所述的方法，其特征在于，所述方法还包括：当所述网络设备为盒式设备时，按照预设的周期读取所记录的每次加密或解密处理的所述业务数据报文的字节数，记录到与盒式设备内核所对应的预先建立的流量信息统计模板；当所述网络设备为框式设备时，按照预设的周期读取主控板上所追加记录的每次加密或解密处理的所述业务数据报文的字节数，记录到与框式设备主控板内核所对应的预先建立的流量信息统计模板。5.根据权利要求1至4任一项所述的方法，其特征在于，所述方法还包括：在接收到用户态下的进程下发的流量信息统计请求时，根据所述请求中携带的IPSecVPN隧道信息匹配对应的流量信息统计模板，将匹配到的对应的流量信...

【专利技术属性】
技术研发人员：黄春平，
申请(专利权)人：杭州迪普科技股份有限公司，
类型：发明
国别省市：浙江,33