技術(shù)領(lǐng)域

本發(fā)明涉及通信網(wǎng)絡(luò)技術(shù)領(lǐng)域，尤其涉及一種多端口流量采集自動(dòng)切換的分流系統(tǒng)及方法。

背景技術(shù)

近年來(lái)，隨著網(wǎng)絡(luò)技術(shù)的普及和發(fā)展，網(wǎng)絡(luò)帶寬和流量呈指數(shù)級(jí)的速度增長(zhǎng)，根據(jù)CNNIC發(fā)布的《第27次中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》，中國(guó)國(guó)際出口帶寬2010年底達(dá)到1,098,956.82Mbps，年增長(zhǎng)率為26.8％。面對(duì)日益增長(zhǎng)的龐大網(wǎng)絡(luò)流量，安全系統(tǒng)中需要處理的數(shù)據(jù)量也越來(lái)越大，流量的實(shí)時(shí)處理要求更高的性能。

通常網(wǎng)絡(luò)內(nèi)容安全檢測(cè)和分析系統(tǒng)監(jiān)控模式可以分為串聯(lián)監(jiān)控模式和旁路監(jiān)控模式。旁路監(jiān)控模式一般是指通過(guò)網(wǎng)絡(luò)交換機(jī)等網(wǎng)絡(luò)設(shè)備的“端口鏡像”功能來(lái)實(shí)現(xiàn)監(jiān)控，在此模式下，監(jiān)控設(shè)備只需要連接到交換機(jī)的指定鏡像端口；而串聯(lián)監(jiān)控模式一般是通過(guò)網(wǎng)關(guān)或者網(wǎng)橋的模式來(lái)進(jìn)行監(jiān)控，監(jiān)控設(shè)備串聯(lián)在網(wǎng)絡(luò)中。相對(duì)于串聯(lián)監(jiān)控模式，旁路監(jiān)控模式部署起來(lái)比較靈活方便，不會(huì)影響現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)，同時(shí)旁路監(jiān)控模式分析的是鏡像端口拷貝過(guò)來(lái)的數(shù)據(jù)，對(duì)原始傳遞的數(shù)據(jù)包不會(huì)造成延時(shí)，不會(huì)對(duì)網(wǎng)速造成任何影響，另外旁路監(jiān)控設(shè)備一旦故障或者停止運(yùn)行，不會(huì)影響現(xiàn)有網(wǎng)絡(luò)的正常運(yùn)行。

但是在旁路監(jiān)控模式下，單個(gè)流量處理服務(wù)器處理的網(wǎng)絡(luò)流量大致范圍在1G左右，無(wú)法滿(mǎn)足對(duì)骨干網(wǎng)的海量的端口鏡像數(shù)據(jù)的處理需求。為了使網(wǎng)絡(luò)內(nèi)容安全檢測(cè)和分析系統(tǒng)能夠處理骨干網(wǎng)的海量數(shù)據(jù)，一方面需設(shè)計(jì)更好的算法提高系統(tǒng)性能，另一方面需將海量數(shù)據(jù)分流成若干份，交由不同的處理機(jī)處理。

目前，基于純鏈路層的交換機(jī)可以接收包含多個(gè)目的MAC地址的混合數(shù)據(jù)流，但是無(wú)法分流。而基于網(wǎng)絡(luò)層的設(shè)備可以接收混合數(shù)據(jù)流并且分流，但是只能處理混合數(shù)據(jù)流中的一路數(shù)據(jù)流，不適用于多路端口鏡像混合數(shù)據(jù)流。因而，為了及時(shí)對(duì)網(wǎng)絡(luò)內(nèi)各節(jié)點(diǎn)單位的流量進(jìn)行流量的檢測(cè)和分析，需要采用基于多端口混合流量分流并區(qū)分流量的方式。

但傳統(tǒng)的分流方法要么是基于協(xié)議，要么基于地址哈希，以及修改目的端口地址來(lái)實(shí)現(xiàn)負(fù)擔(dān)均衡等，這都需要多端口專(zhuān)門(mén)為接受流量所用，導(dǎo)致流量處理服務(wù)器的計(jì)算資源的浪費(fèi)。

發(fā)明內(nèi)容

有鑒于此，本發(fā)明提出了一種多端口流量采集自動(dòng)切換的分流系統(tǒng)與分流方法，以解決當(dāng)前的分流系統(tǒng)效率不高，造成各流量處理服務(wù)器計(jì)算資源浪費(fèi)的問(wèn)題。

為此，本發(fā)明提出一種多端口流量采集自動(dòng)切換的分流系統(tǒng)，包括一個(gè)流量采集分流設(shè)備和至少兩個(gè)流量處理服務(wù)器，其中，所述流量采集分流設(shè)備與位于網(wǎng)絡(luò)內(nèi)的網(wǎng)絡(luò)數(shù)據(jù)交換機(jī)連接，用于獲取網(wǎng)絡(luò)數(shù)據(jù)交換機(jī)的總的數(shù)據(jù)流后分流至所述流量處理服務(wù)器中的至少一個(gè)；每個(gè)所述流量處理服務(wù)器用于接收所述流量采集分流設(shè)備分流的數(shù)據(jù)流；所述流量采集分流設(shè)備還用于控制各流量處理服務(wù)器的狀態(tài)，所述狀態(tài)包括“采集態(tài)”和“需求態(tài)”，“采集態(tài)”表示流量處理服務(wù)器可以接受任何數(shù)據(jù)流，“需求態(tài)”表示流量處理服務(wù)器能夠且只能夠接受符合當(dāng)前分流規(guī)則的數(shù)據(jù)流。

根據(jù)本發(fā)明的具體實(shí)施方式，所述流量采集分流設(shè)備定期將處于“需求態(tài)”且分流完畢的流量處理服務(wù)器的狀態(tài)設(shè)置為“采集態(tài)”。

根據(jù)本發(fā)明的具體實(shí)施方式，在初始化時(shí)，所述流量采集分流設(shè)備向各流量處理服務(wù)器發(fā)出分流請(qǐng)求，如果收到回應(yīng)，則將發(fā)出所述回應(yīng)的流量處理服務(wù)器的狀態(tài)設(shè)置為“采集態(tài)”。

根據(jù)本發(fā)明的具體實(shí)施方式，所述流量采集分流設(shè)備根據(jù)預(yù)定的流量匹配策略，在所有處于“采集態(tài)”的流量處理服務(wù)器范圍內(nèi)設(shè)定用于分流所述總的數(shù)據(jù)流的分流規(guī)則，并將分配了數(shù)據(jù)流的流量處理服務(wù)器的狀態(tài)設(shè)置為“需求態(tài)”，未分配數(shù)據(jù)流的流量處理服務(wù)器保持為“采集態(tài)”。

根據(jù)本發(fā)明的具體實(shí)施方式，所述流量采集分流設(shè)備根據(jù)當(dāng)前的分流規(guī)則將所述總的數(shù)據(jù)流分流到相應(yīng)的流量處理服務(wù)器并持續(xù)一段時(shí)間，然后判斷處于“需求態(tài)”的流量處理服務(wù)器是否已到期，對(duì)于已到期的流量處理服務(wù)器，繼續(xù)判斷其是否分流完畢，如果已分流完畢，則將其狀態(tài)設(shè)置為“采集態(tài)”，否則將其“需求態(tài)”的期限時(shí)長(zhǎng)延長(zhǎng)一個(gè)指定時(shí)長(zhǎng)，所述“到期”是指流量處理服務(wù)器處于“需求態(tài)”的時(shí)長(zhǎng)超過(guò)所述期限時(shí)長(zhǎng)。

根據(jù)本發(fā)明的具體實(shí)施方式，所述流量采集分流設(shè)備包括流量匹配模塊、流量轉(zhuǎn)發(fā)模塊和狀態(tài)控制模塊，所述流量匹配模塊用于從所述網(wǎng)絡(luò)數(shù)據(jù)交換器接收需要分流的總的數(shù)據(jù)流，并對(duì)接收到總的數(shù)據(jù)流進(jìn)行分析以進(jìn)行流量匹配計(jì)算，從而獲得分流規(guī)則；所述流量轉(zhuǎn)發(fā)模塊用于按照所述分流規(guī)則對(duì)所述總的數(shù)據(jù)流進(jìn)行分流后轉(zhuǎn)發(fā)到相應(yīng)的流量處理服務(wù)器；所述狀態(tài)控制模塊用于控制所述流量處理服務(wù)器的所述狀態(tài)。