多个流网络元件在订户级监测多个订户的网络流。流网络元件向组织流记录的收集器导出流记录。策略客户端将流记录相关,并且确定任何网络流是否违反流策略定义。如果违反流策略定义,则策略客户端向策略服务器传送指示对给定违反流要采用什么动作的策略动作。策略服务器为对应违反流的订户指配流策略。所指配流策略则传送给具有那个违反流的流网络元件,并且那个流网络元件安装流策略。
【技术实现步骤摘要】
【国外来华专利技术】
本专利技术的实施例涉及网络处理领域,更具体来说,涉及网络流的动态管理。
技术介绍
网络流机制提供关于流经网络设备(例如路由器)的分组的统计。网络流是通常在某个时间间隔期间从一点传送到另一点(例如,一个IP地址到另一个IP地址、一个端口到另一个端口、标签交换等等)的一系列分组。网络流能够通过许多方式来定义。通常,属于特定流的所有分组具有一组共同性质。例如,共同性质可包括相同分组报头字段(例如源IP地址和/或目标IP地址)、传输报头字段(例如源UDP或TCP端口和/或目标UDP或 TCP端口)、应用报头字段(例如实时协议(RTP)报头字段)、分组的一个或多个特性(例如MPLS标签的数量等)和/或从分组处理得出的一个或多个字段(例如下一跳IP地址、 输出接口等)。存在若干IP流测量和导出技术,以便在端口级或虚拟路由器级监测流,并且在各种网络级实体提供统计。通常,在这类网络流机制中,一个或多个路由器监测在端口和/或虚拟路由器上流动的分组,并且向远程装置发送流记录供收集和进一步处理。路由器可在许多情况下输出流记录。例如,路由器可在确定对应流已完成时输出流记录。确定流已完成可通过流时效来实现(例如,路由器保持时效计数器或每个流,并且当路由器观测现有流的新业务时,它重置时效计数器)。作为另一个示例,TCP流中的TCP会话终止可促使路由器导出对应流记录。作为又一个示例,路由器可配置成即使流仍然在进行中也以固定间隔来输出流记录。关于特定路由器或多个路由器的统计(例如网络视图)可从远程装置中存储的统计来得到。在订户级通常没有保存流记录。附图说明通过参照用来说明本专利技术的实施例的以下描述和附图,可以最透彻地了解本专利技术。附图中图1是示出按照本专利技术的一个实施例的示范网络流管理系统的数据流图;图2是示出在按照本专利技术的一个实施例的网络流管理系统中使用的示范流网络元件的数据流图;图3是示出在按照本专利技术的一个实施例的网络流管理系统中使用的示范收集器的数据流图;图4是示出在按照本专利技术的一个实施例的网络流管理系统中使用的示范组合AAA 和策略服务器的数据流图;图5示出按照本专利技术的一个实施例的网络流管理系统的观测点的各个层;图6A示出按照本专利技术的一个实施例的示范网络流结构;图6B示出按照本专利技术的一个实施例的流记录的示范结构;图7示出按照本专利技术的一个实施例的示范策略定义结构;以及图8是示出按照本专利技术的一个实施例的网络流管理系统的概念图。具体实施例方式在以下描述中提出许多具体细节。但是大家理解,即使没有这些具体细节也可实施本专利技术的实施例。在其它情况下,没有详细示出众所周知的电路、结构和技术,以免影响对本描述的理解。通过所包含的描述,本领域的技术人员将能够实现适当的功能性而无需过分实验。说明书中提到“ 一个实施例”、“实施例”、“示例实施例,,等等指示所述的实施例可包括特定特征、结构或特性,但可能不一定每一个实施例都包括该特定特征、结构或特性。 此外,这类词语不一定指同一个实施例。此外,在结合一个实施例来描述特定特征、结构或特性时,无论是否明确描述,均认为结合其它实施例来实现这种特征、结构或特性是处于本领域的技术人员的知识范围之内的。在以下描述和权利要求书中,可使用术语“耦合”和“连接”及其派生。应当理解, 这些术语不是要作为彼此的同义词。“耦合”用于指示彼此可以处于或者彼此可以不处于直接物理或电接触的两个或更多元件相互协作或交互。“连接”用于指示相互耦合的两个或更多元件之间的通信的建立。附图所示的技术能够使用在一个或多个电子装置(例如计算机端站、网络元件等)上存储和运行的代码及数据来实现。这类电子装置使用诸如机器可读存储介质(例如磁盘、光盘、随机存取存储器、只读存储器、闪速存储器装置、相变存储器)和机器可读通信介质(例如电、光、声或其它形式的传播信号-诸如载波、红外信号、数字信号等)之类的机器可读介质来存储和传递(在内部和/或通过网络与其它计算装置)代码和数据。另外, 这类电子装置通常包括一组一个或多个处理器,该组一个或多个处理器耦合到诸如存储装置、一个或多个用户输入/输出装置(例如键盘、触摸屏和/或显示器)和网络连接之类的一个或多个其它组件。该组处理器与其它组件的耦合通常通过一个或多个总线和桥接器 (又称作总线控制器)。存储装置以及携带网络业务的信号分别表示一个或多个机器可读存储介质和机器可读通信介质。因此,给定电子装置的存储装置通常存储供该电子装置的该组一个或多个处理器上运行的代码和/或数据。当然,本专利技术的一个实施例的一个或多个部分可使用软件、固件和/或硬件的不同组合来实现。本文所使用的“网络元件”(例如路由器、交换机、桥接器等)是包括硬件和软件的一件连网设备,它与网络上的其它设备(例如其它网络元件、计算机端站等)在通信上互连。一些网络元件是“多服务网络元件”,它们提供对多个连网功能(例如路由选择、桥接、 交换、第2层聚集和/或订户管理)的支持和/或提供对多个应用服务(例如数据、语音和视频)的支持。订户计算机端站(例如工作站、膝上型计算机、掌上型计算机、移动电话、智能电话、多媒体电话、便携媒体播放器、GPS单元、游戏系统、机顶盒等)访问通过因特网所提供的内容/服务和/或置于因特网上的虚拟专用网络(VPN)上提供的内容/服务。内容和/或服务通常由属于服务或内容提供商的一个或多个服务器计算机端站来提供,并且可包括公开网页(免费内容、店面、搜索服务等)、私人网页(例如提供电子邮件服务的用户名 /密码访问网页等)、通过VPN的公司网络等等。通常,订户计算机端站(例如通过(有线或无线)耦合到接入网的客户驻地设备)耦合到边缘网络元件,边缘网络元件(例如通过6到其它边缘网络元件的一个或多个核心网络元件)耦合到服务器计算机端站。一些网络元件支持多个上下文的配置。本文所使用的“各上下文”包括虚拟网络元件的一个或多个实例(例如虚拟路由器、虚拟交换机或虚拟桥接器)。各上下文通常与网络元件上配置的其它上下文共享系统资源(例如存储器、处理周期等),但仍然是可独立管理的。例如,在多个虚拟路由器的情况下,虚拟路由器的每个可共享系统资源,但是在其管理域、AAA(认证、授权和记帐)名称空间、IP地址和路由选择数据库方面与其它虚拟路由器分开。多个上下文可在边缘网络元件中用于为内容和/或服务提供商的订户提供直接网络访问和/或不同的服务类。作为另一个示例,在多个虚拟交换机的情况下,各虚拟交换机可共享系统资源,但是各虚拟交换机保存其自身的转发表,转发表例如可用于将媒体接入控制(MAC)地址映射到虚拟电路。在某些网络元件中,可配置多个“接口 ”。本文所使用的“各接口 ”是逻辑实体,通常配置为提供较高层协议和服务信息(例如第3层寻址)的上下文的一部分,并且与物理端口和物理电路无关。AAA(认证、授权和记帐)可通过诸如RADIUS (远程认证拨号用户服务)或DIAMETER服务器之类的内部或外部服务器来提供。服务器提供订户的订户记录,所述订户的订户记录除其它订户配置要求之外还标识在网络元件中应当将对应订户绑定到哪一个上下文(例如哪一个虚拟路由器)。本文所使用的“绑定”形成物理实体(例如端口、信道等)或逻辑实体(例如接口、虚拟电路、订户电路等)与通过其将网络协议(例如路由选本文档来自技高网...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】...
【专利技术属性】
技术研发人员:S·I·拉曼,A·卡瓦尔霍,V·瓦卢里,M·K·蒂瓦里,
申请(专利权)人:瑞典爱立信有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。