技術(shù)領(lǐng)域

本發(fā)明涉及通訊領(lǐng)域，尤其涉及一種網(wǎng)絡(luò)流量的分析方法和設(shè)備。

背景技術(shù)

隨著網(wǎng)絡(luò)技術(shù)的不斷演進(jìn)、規(guī)模的爆炸性發(fā)展，互聯(lián)網(wǎng)應(yīng)用已經(jīng)從起初 的科研領(lǐng)域逐漸延伸到當(dāng)代社會生活的方方面面，越來越多基于網(wǎng)絡(luò)的關(guān)鍵 業(yè)務(wù)蓬勃興起，網(wǎng)絡(luò)成為人類提高生產(chǎn)力、提升生活質(zhì)量的新的推動力。

同時，隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)中的數(shù)據(jù)流量也不斷增加，提供 便捷的網(wǎng)絡(luò)管理服務(wù)也隨之成為網(wǎng)絡(luò)設(shè)備提供商大力發(fā)展的方向之一， NetStream(網(wǎng)絡(luò)流量分析)技術(shù)是一種基于網(wǎng)絡(luò)流信息的統(tǒng)計與發(fā)布技術(shù)， 它可以對網(wǎng)絡(luò)中的通信量和資源使用情況進(jìn)行統(tǒng)計和發(fā)布，向網(wǎng)絡(luò)管理人員 提供訪問通信量詳細(xì)信息。

NetStream定義了一種統(tǒng)計路由器/交換機(jī)輸出的網(wǎng)絡(luò)流量數(shù)據(jù)的方法，可 利用網(wǎng)絡(luò)中數(shù)據(jù)流創(chuàng)造價值，并可在最大限度減小對路由器/交換機(jī)性能影響 的前提下提供詳細(xì)的數(shù)據(jù)流統(tǒng)計信息。如圖1所示，現(xiàn)有的NetStream技術(shù)的 一個典型實(shí)現(xiàn)架構(gòu)包括：NTE(NetTraffic?Exporter，網(wǎng)絡(luò)流量輸出設(shè)備)、NTC (NetTraffic?Collector，網(wǎng)絡(luò)流量采集設(shè)備)以及NTP(NetTraffic?Processor， 網(wǎng)絡(luò)流量分析設(shè)備)。其中，NTE負(fù)責(zé)流量的采集和發(fā)送，用于對通過路由器 /交換機(jī)的IP數(shù)據(jù)包進(jìn)行采集和統(tǒng)計，并將采集的數(shù)據(jù)包以及統(tǒng)計數(shù)據(jù)以 NetStream日志的形式發(fā)送給NTC。NTC負(fù)責(zé)收集和存儲NTE發(fā)送的數(shù)據(jù)包 及統(tǒng)計數(shù)據(jù)信息，并提供給NTP。NTP對NTC收集到的數(shù)據(jù)包及統(tǒng)計數(shù)據(jù)信 息進(jìn)行分析加工后，以直觀的圖表、報表等方式為網(wǎng)絡(luò)規(guī)劃、網(wǎng)絡(luò)優(yōu)化、網(wǎng) 絡(luò)監(jiān)控、流量趨勢分析、異常檢測等提供直接的數(shù)據(jù)依據(jù)。

其中，NTE又可以進(jìn)一步分為兩部分，一部分是純粹的交換路由功能模 塊，負(fù)責(zé)數(shù)據(jù)流量的轉(zhuǎn)發(fā)；另一部分是NSM(NetStream?Module，支持NetStream 功能的模塊)功能模塊，負(fù)責(zé)對流量進(jìn)行流分類統(tǒng)計并將統(tǒng)計結(jié)果發(fā)送給 NTC。

如圖2所示，為現(xiàn)有技術(shù)中NTE設(shè)備的結(jié)構(gòu)示意圖，其中，NTE設(shè)備的 交換路由功能模塊具有鏡像功能，將需要分析的數(shù)據(jù)流復(fù)制一份到NSM功能 模塊；NSM功能模塊接收從交換路由功能模塊發(fā)送的數(shù)據(jù)流，按照一定特征 對數(shù)據(jù)流進(jìn)行分析統(tǒng)計，并且組裝成NetStream日志，以UDP(User?Datagram? Protocol，用戶數(shù)據(jù)報協(xié)議)報文格式送往NTC。

現(xiàn)有技術(shù)中存在的問題在于，在一臺NTE的交換路由功能模塊中有多個 鏡像源端口的數(shù)據(jù)流需要送往NSM功能模塊進(jìn)行分析的情況下，如果數(shù)據(jù)流 的流量較大，則受端口帶寬的限制，將無法把所有鏡像源的報文送往NSM功 能模塊處理。在這種情況下，只有通過進(jìn)一步增加NSM功能模塊數(shù)量或者減 少需要分析的數(shù)據(jù)流，才可以保證待分析的流量能夠到達(dá)NSM功能模塊。

發(fā)明內(nèi)容

本發(fā)明提供一種網(wǎng)絡(luò)流量的分析方法和設(shè)備，用于在數(shù)據(jù)流的流量較大 的情況下，通過改善網(wǎng)絡(luò)流量的采集方式以提升網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)流分析性能。

本發(fā)明提供了一種網(wǎng)絡(luò)流量的分析方法，應(yīng)用于網(wǎng)絡(luò)流量輸出設(shè)備，包 括：

NTE的交換路由功能模塊根據(jù)設(shè)置的采樣率將待分析的流量進(jìn)行采樣并 發(fā)送至NTE的支持網(wǎng)絡(luò)流量分析功能的模塊NSM；

NSM對所述采樣流量進(jìn)行分析，并根據(jù)所述設(shè)置的采樣率對所述分析結(jié) 果進(jìn)行還原。

其中，所述根據(jù)設(shè)置的采樣率將待分析的流量進(jìn)行采樣并發(fā)送前，還包 括：

對采樣所使用的采樣率進(jìn)行協(xié)商，并根據(jù)所述協(xié)商結(jié)果設(shè)置采樣率。

其中，所述根據(jù)設(shè)置的采樣率將待分析的流量進(jìn)行采樣并發(fā)送包括：

根據(jù)設(shè)置的采樣率，對待分析的流量中的報文按照所述采樣率選擇報文 進(jìn)行標(biāo)識；當(dāng)采樣率為N時，從N個所述待分析的流量的報文中選擇一個報 文進(jìn)行標(biāo)識；

將所述標(biāo)識的報文復(fù)制后發(fā)送，作為采樣流量。

其中，所述將所述標(biāo)識的報文復(fù)制后發(fā)送包括：

將所述標(biāo)識的報文復(fù)制后直接發(fā)送；或

將所述標(biāo)識的報文復(fù)制后，通過接入控制列表ACL進(jìn)行識別，將識別后 的報文經(jīng)中央處理單元CPU發(fā)送；或

將所述標(biāo)識的報文復(fù)制后，經(jīng)設(shè)備的環(huán)回端口發(fā)送。

其中，所述對所述采樣流量進(jìn)行分析，并根據(jù)所述設(shè)置的采樣率對所述 分析結(jié)果進(jìn)行還原包括：