一种多种VPN流量的采集分析系统及采集分析方法技术方案

本发明专利技术公开一种多种VPN流量的采集分析系统及采集分析方法，以解决VPN流量类型变多、量级呈快速增长态势，对不同VPN流量如何筛选的问题。本发明专利技术中引入VPN用户概念，每台设备可有多个VPN用户，每个用户可一对多映射多个MPLS、VlAN、Frame relay，既能有效屏蔽VPN差异性，相比多对多映射，又能有效降低空间复杂度，使用六元组规则(VPN用户、源IP、目的IP、源端口、目的端口、协议类型)，能够同时匹配VPN和五元组字段，可精准标识出目标VPN流量，显著提高流量采集分析的准确率。

A collection and analysis system of multiple VPN traffic and its acquisition and analysis method

The invention discloses a collection and analysis system for various VPN flows and a collection and analysis method, in order to solve the problem of how to select different VPN flows when the VPN flows become more and more types, the magnitude increases rapidly. The concept of VPN user is introduced in the invention, each device can have multiple VPN users, and each user can map multiple MPLS, VlAN, and Frame relay one-to-many, which not only can effectively shield the VPN differences, but also can effectively reduce the spatial complexity compared with many-to-many mappings. Six tuple rules (VPN user, source IP, destination IP, source port, and item) are used. It can match the VPN and five tuple fields at the same time. It can identify the target VPN traffic accurately and improve the accuracy of traffic collection and analysis significantly.

【技术实现步骤摘要】
一种多种VPN流量的采集分析系统及采集分析方法
本专利技术涉及互联网
，具体涉及一种在一级设备上对骨干网多种VPN流量采集分析的系统。本专利技术同时涉及在一级设备上对骨干网多种VPN流量采集分析的方法。
技术介绍
随着网络带宽的高速增长与网络技术的快速发展，电信、联通、移动骨干网中VPN流量类型多、量级大、呈快速增长态势，不同VPN流量间存在相同子网流量的问题也越发突出，对此一级设备一直缺少能准确、高效地筛选出目标VPN流量的方法。现有技术中只能够匹配VPN字段或五元组以筛选目标VPN流量，但该方案的准确率较低。故，需要一种新的技术方案以解决上述问题。
技术实现思路
本专利技术的目的在于：提供一种多种VPN流量的采集分析系统，用以解决难以VPN流量类型越来越多的情况下如何准确、高效地筛选出目标VPN流量的问题。本专利技术同时提供多种VPN流量的采集分析方法，同样用以解决如何准确、高效地筛选出目标VPN流量的问题。为达到上述目的，本专利技术多种VPN流量的采集分析系统可采用如下技术方案：一种多种VPN流量的采集分析系统，包括：VPN用户模块，用以构建VPN用户表及分析流量；VPN用户表的键值为VPN类型、VPN类型对应的MPLS标签值或VlAN标识或DLCI，结果为VPN用户；分析流量即从VPN流量中获取VPN类型，提取VPN字段，组键值，查VPN用户表；若查中，提取VPN用户信息；六元组模块，用以构建六元组规则表及分析VPN用户模块提取VPN用户信息后的VPN流量；其中六元组规则表：键值为VPN用户、源IP、目的IP、源端口、目的端口、协议类型，结果为对流量进行的处理策略；分析VPN用户模块提取VPN用户信息后的VPN流量即提取五元组，提取VPN用户信息，查询六元组规则表；若命中，提取流量处理策略信息，进行后续处理。有益效果：本专利技术提供的骨干网多种VPN流量的采集分析系统中，引入VPN用户概念，每台设备可有多个VPN用户，每个用户可一对多映射多个MPLS、VlAN、Framerelay，既能有效屏蔽VPN差异性，相比多对多映射，又能有效降低空间复杂度，使用六元组规则(VPN用户、源IP、目的IP、源端口、目的端口、协议类型)，能够同时匹配VPN和五元组字段，可精准标识出目标VPN流量，显著提高流量采集分析的准确率。其中，六元组包括VPN用户、源IP、目的IP、源端口、目的端口、协议类型。五元组包括源IP地址、源端口、目的IP地址、目的端口、协议类型。进一步的，VPN用户模块配置一个或多个VPN用户，每个VPN用户一对多对应多个相同或不同类型的VPN。本专利技术提供的多种VPN流量的采集分析方法可采用以下技术方案，包括以下步骤：(1)、构建VPN用户表及分析流量；VPN用户表的键值为VPN类型、VPN类型对应的MPLS标签值或VlAN标识或DLCI，结果为VPN用户；分析流量即从VPN流量中获取VPN类型，提取VPN字段，组键值，查VPN用户表；若查中，提取VPN用户信息；(2)、构建六元组规则表及分析VPN用户模块提取VPN用户信息后的VPN流量；其中六元组规则表：键值为VPN用户、源IP、目的IP、源端口、目的端口、协议类型，结果为对流量进行的处理策略；分析VPN用户模块提取VPN用户信息后的VPN流量即提取五元组，提取VPN用户信息，查询六元组规则表；若命中，提取流量处理策略信息，进行后续处理。有益效果：本专利技术提供的多种VPN流量的采集分析方法中，引入VPN用户概念，每台设备可有多个VPN用户，每个用户可一对多映射多个MPLS、VlAN、Framerelay，既能有效屏蔽VPN差异性，相比多对多映射，又能有效降低空间复杂度，使用六元组规则(VPN用户、源IP、目的IP、源端口、目的端口、协议类型)，能够同时匹配VPN和五元组字段，可精准标识出目标VPN流量，显著提高流量采集分析的准确率。本专利技术提供的多种VPN流量的采集分析方法还可以采用以下技术方案，包括以下步骤：步骤101，根据需要配置一个或多个VPN用户，每个VPN用户配置相关MPLS标签值或VlAN标识或DLCI；步骤102，根据需要配置一条或多条六元组规则；步骤103，流量从骨干网进入设备数据包处理模块；步骤104，分析报文，识别是否为VPN，如果是，则执行步骤106，否则执行步骤105；步骤105，其它不相关处理流程；步骤106，识别VPN类型，提取类型及相应的MPLS标签值或VlAN标识或DLCI，组建VPN用户表键值；步骤107，查询VPN用户表，如果命中，执行步骤108；否则执行步骤105；步骤108，提取VPN用户信息，解析流量，提取源IP、目的IP、源端口、目的端口、协议类型，组建六元组规则表键值；步骤109，查询六元组规则表，如果命中，执行步骤110；否则执行步骤105；步骤110，提取流量处理策略，并依此进行后续处理。有益效果：本专利技术提供的多种VPN流量的采集分析方法中，引入VPN用户概念，每台设备可有多个VPN用户，每个用户可一对多映射多个MPLS、VlAN、Framerelay，既能有效屏蔽VPN差异性，相比多对多映射，又能有效降低空间复杂度，使用六元组规则(VPN用户、源IP、目的IP、源端口、目的端口、协议类型)，能够同时匹配VPN和五元组字段，可精准标识出目标VPN流量，显著提高流量采集分析的准确率。附图说明图1为本专利技术的多种VPN流量采集分析处理流程图。具体实施方式下面结合附图对进行说明。实施例一可参考图1，实施例一提供一种多种VPN流量的采集分析系统，主要应用于骨干网，尤其是多个网络供应商提供的VPN流量类型多、量级大的情况。该多种VPN流量的采集分析系统包括：VPN用户模块，用以构建VPN用户表及分析流量；VPN用户表的键值为VPN类型、VPN类型对应的MPLS标签值或VlAN标识或DLCI，结果为VPN用户；分析流量即从VPN流量中获取VPN类型，提取VPN字段，组键值，查VPN用户表；若查中，提取VPN用户信息；VPN用户模块配置一个或多个VPN用户，每个VPN用户一对多对应多个相同或不同类型的VPN。六元组模块，用以构建六元组规则表及分析VPN用户模块提取VPN用户信息后的VPN流量；其中六元组规则表：键值为VPN用户、源IP、目的IP、源端口、目的端口、协议类型，结果为对流量进行的处理策略；分析VPN用户模块提取VPN用户信息后的VPN流量即提取五元组，提取VPN用户信息，查询六元组规则表；若命中，提取流量处理策略信息，进行后续处理。其中，六元组包括VPN用户、源IP、目的IP、源端口、目的端口、协议类型。五元组包括源IP地址、源端口、目的IP地址、目的端口、协议类型。实施例二对应上述采集分析系统，该实施例二提供一骨干网多种VPN流量的采集分析方法，包括：(1)、构建VPN用户表及分析流量；VPN用户表的键值为VPN类型、VPN类型对应的MPLS标签值或VlAN标识或DLCI，结果为VPN用户；分析流量即从VPN流量中获取VPN类型，提取VPN字段，组键值，查VPN用户表；若查中，提取VPN用户信息；(2)、构建六元组规则表及分析VPN用户模块提取VPN用户信息后的VPN流量；其中六元组规则表：键值为VPN用本文档来自技高网...

【技术保护点】
1.一种多种VPN流量的采集分析系统，其特征在于，包括：VPN用户模块，用以构建VPN用户表及分析流量；VPN用户表的键值为VPN类型、VPN类型对应的MPLS标签值或VlAN标识或DLCI，结果为VPN用户；分析流量即从VPN流量中获取VPN类型，提取VPN字段，组键值，查VPN用户表；若查中，提取VPN用户信息；六元组模块，用以构建六元组规则表及分析VPN用户模块提取VPN用户信息后的VPN流量；其中六元组规则表：键值为VPN用户、源IP、目的IP、源端口、目的端口、协议类型，结果为对流量进行的处理策略；分析VPN用户模块提取VPN用户信息后的VPN流量即提取五元组，提取VPN用户信息，查询六元组规则表；若命中，提取流量处理策略信息，进行后续处理。

【技术特征摘要】
1.一种多种VPN流量的采集分析系统，其特征在于，包括：VPN用户模块，用以构建VPN用户表及分析流量；VPN用户表的键值为VPN类型、VPN类型对应的MPLS标签值或VlAN标识或DLCI，结果为VPN用户；分析流量即从VPN流量中获取VPN类型，提取VPN字段，组键值，查VPN用户表；若查中，提取VPN用户信息；六元组模块，用以构建六元组规则表及分析VPN用户模块提取VPN用户信息后的VPN流量；其中六元组规则表：键值为VPN用户、源IP、目的IP、源端口、目的端口、协议类型，结果为对流量进行的处理策略；分析VPN用户模块提取VPN用户信息后的VPN流量即提取五元组，提取VPN用户信息，查询六元组规则表；若命中，提取流量处理策略信息，进行后续处理。2.根据权利要求1所述的采集分析系统，其特征在于：六元组包括VPN用户、源IP、目的IP、源端口、目的端口、协议类型。3.根据权利要求1所述的采集分析系统，其特征在于：五元组包括源IP地址、源端口、目的IP地址、目的端口、协议类型。4.根据权利要求2所述的采集分析系统，其特征在于：VPN用户模块配置一个或多个VPN用户，每个VPN用户一对多对应多个相同或不同类型的VPN。5.一种多种VPN流量的采集分析方法，其特征在于，包括以下步骤：(1)、构建VPN用户表及分析流量；VPN用户表的键值为VPN类型、VPN类型对应的MPLS标签值或VlAN标识或DLCI，结果为VPN用户；分析流量即从VPN流量中获取VPN类型，提取VPN字段，组键值，查VPN用户表；若查中，提取VPN用户信息；(2)、构建六元组规则表及分析VPN用户模块提取VPN用户信息后的VPN流量；其中...

【专利技术属性】
技术研发人员：张家琦，邹昕，许翠，贾有春，孙浩，汪立东，何清林，郭三川，
申请(专利权)人：国家计算机网络与信息安全管理中心，南京中新赛克科技有限责任公司，
类型：发明
国别省市：北京,11