CN109547257B - 网络流量控制方法、装置、设备、***及存储介质 - Google Patents
网络流量控制方法、装置、设备、***及存储介质 Download PDFInfo
- Publication number
- CN109547257B CN109547257B CN201811483441.6A CN201811483441A CN109547257B CN 109547257 B CN109547257 B CN 109547257B CN 201811483441 A CN201811483441 A CN 201811483441A CN 109547257 B CN109547257 B CN 109547257B
- Authority
- CN
- China
- Prior art keywords
- network
- target network
- packet
- flow control
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种网络流量控制方法,该方法包括:当侦测到目标网络设备的包量告警信息时,获取预设的与所述包量告警信息对应的配置信息;将所述配置信息封装成基于NETCONF协议的远程过程调用rpc消息;将所述rpc消息下发至所述目标网络设备,以使所述目标网络设备根据所述rpc消息执行相应的网络流量控制应急操作。本发明还公开了一种网络流量控制装置、设备、***和一种存储介质。本发明能够实现对银行基础网络架构下的网络设备进行高效、精准、稳定以及低成本的流量控制。
Description
技术领域
本发明涉及通信技术领域,尤其涉及网络流量控制方法、装置、设备、***及存储介质。
背景技术
目前基于网络流量监控采取相应的应急操作主要包括两种方式:
第一种,基于SNMP (Simple Network Management Protocol ,简单网络管理协议)协议进行流量监控,然后基于监控产生的通告,用传统的CLI(command-lineinterface,命令行界面)方式从跳板机登录传统交换机上做相应的应急操作。这种方式是目前在各大银行基础架构应用最多的方式,即基于SNMP协议对网络环境进行监控,出现告警以后通过运维人员在跳板机上从管理IP登录设备,输入CLI指令进行交换机、路由器、防火墙等一系列网络配置。这种方式的缺点在于:
1.应急操作慢:对于一些应急操作如防火墙旁路等,需要在多台设备进行配置操作,这时候人工输入不但耗费时间和人力,还影响生产运营的稳定;
2.可编程性弱:不同厂商指令存在差异,配置方式无统一的标准;3.宏观性差:操作人员仅仅是对网络设备逐一进行配置,而不是对整个网络进行配置;4.运维消耗大:一般情况下,不同厂商的部分相同指标的OID(Object identifier,对象标识)是不同的,仅仅在监控层面就增大了运维的成本,增加了监控应用开发的难度。
第二种,基于sflow协议对网络流量进行监控,然后根据监控产生的通告,基于openflow协议(一种网络通信协议,属于数据链路层,能够控制网络交换器或路由器的转发平面,借此改变网络数据包所走的网络路径)配置真实交换机(需要支持openflow协议)或者下发流表给OVS(Open VSwitch)虚拟交换机完成相应的应急操作。这种方式的缺点在于:
1.在金融行业适应性一般:由于金融行业(传统银行、券商)的网络架构以稳定为第一要义,而该方案需要重新设计新的网络架构(需要OVS虚拟交换机和物理交换机并存),这会对银行的稳定运营产生不小的冲击;2.价格昂贵:人力方面需要新的SDN(software-defined networking,软件定义网络)软件开发人才,物力上需要购置支持openflow协议的物理交换机。
基于上述两种方案的缺点,目前对于银行基础网络架构下的网络设备,缺乏一种高效、精准、稳定以及低成本的流量控制方案。
发明内容
本发明的主要目的在于提出一种网络流量控制方法、装置、设备、***及存储介质,旨在实现对银行基础网络架构下的网络设备进行高效、精准、稳定以及低成本的流量控制。
为实现上述目的,本发明提供一种网络流量控制方法,所述网络流量控制方法包括如下步骤:
当侦测到目标网络设备的包量告警信息时,获取预设的与所述包量告警信息对应的配置信息;
将所述配置信息封装成基于NETCONF协议的远程过程调用rpc消息;
将所述rpc消息下发至所述目标网络设备,以使所述目标网络设备根据所述rpc消息执行相应的网络流量控制应急操作。
优选地,所述当侦测到目标网络设备的包量告警信息时,获取预设的与所述包量告警信息对应的配置信息的步骤之前,还包括:
获取包量采集设备采集到的流经目标网络设备的数据包的包量信息;
对所述包量信息进行分析,判断所述包量信息是否满足预设的包量告警条件;
若是,则生成所述目标网络设备的包量告警信息。
优选地,所述将所述rpc消息下发至所述目标网络设备,以使所述目标网络设备根据所述rpc消息执行相应的网络流量控制应急操作的步骤包括:
通过预设的NETCONF南向接口,将所述rpc消息下发至所述目标网络设备,以使所述目标网络设备根据所述rpc消息执行相应的网络流量控制应急操作,所述网络流量控制应急操作包括关闭目标网络设备端口、设置访问控制列表、防火墙旁路和虚拟专用网络刷新中的一种或多种。
优选地,所述通过预设的NETCONF南向接口,将所述rpc消息下发至所述目标网络设备的步骤包括:
当存在多个目标网络设备时,通过预设的NETCONF南向接口,将所述rpc消息并行下发至所述多个目标网络设备。
优选地,所述当侦测到目标网络设备的包量告警信息时,获取预设的与所述包量告警信息对应的配置信息的步骤之前,还包括:
接收前台应用通过NETCONF北向接口下发的网络流量控制规则信息,并将所述网络流量控制规则信息进行保存,其中,所述网络流量控制规则信息中包含有包量告警信息与配置信息之间的对应关系;
所述当侦测到目标网络设备的包量告警信息时,获取预设的与所述包量告警信息对应的配置信息的步骤包括:
当侦测到目标网络设备的包量告警信息时,从保存的所述网络流量控制规则信息中读取与所述包量告警信息对应的配置信息。
此外,为实现上述目的,本发明还提供一种装置,所述网络流量控制装置包括:
配置信息获取模块,用于当侦测到目标网络设备的包量告警信息时,获取预设的与所述包量告警信息对应的配置信息;
封装模块,用于将所述配置信息封装成基于NETCONF协议的远程过程调用rpc消息;
下发模块,用于将所述rpc消息下发至所述目标网络设备,以使所述目标网络设备根据所述rpc消息执行相应的网络流量控制应急操作。
此外,为实现上述目的,本发明还提供一种网络流量控制设备,所述网络流量控制设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的网络流量控制程序,所述网络流量控制程序被所述处理器执行时实现如上所述的网络流量控制方法的步骤。
此外,为实现上述目的,本发明还提供一种网络流量控制***,所述网络流量控制***包括网络流量控制设备和包量采集设备;其中,
所述网络流量控制设备为上述的网络流量控制设备;
所述包量采集设备,用于采集流经目标网络设备的数据包的包量信息,并将采集到的所述包量信息发送给所述网络流量控制设备。
优选地,所述包量采集设备为采用sFlow协议的sFlow采集器,所述sFlow采集器用于,
接收sFlow代理转发的所述目标网络设备端口的流量数据,所述sFlow代理嵌入在所述目标网络设备中,用于采集所述目标网络设备端口的第一流量数据;
对所述第一流量数据进行分析,得到流经所述目标网络设备的数据包的包量信息。
优选地,所述包量采集设备为采用简单网络协议SNMP的SNMP采集器,所述SNMP采集器用于,
根据预设的对象标识符ODI,从SNMP代理查询所述目标网络设备端口的流量数据,所述SNMP代理嵌入在所述目标网络设备中,用于采集所述目标网络设备端口的第二流量数据;
对所述第二流量数据进行分析,得到流经所述目标网络设备的数据包的包量信息。
此外,为实现上述目的,本发明还提供一种存储介质,所述存储介质上存储有网络流量控制程序,所述网络流量控制程序被处理器执行时实现如上所述的网络流量控制方法的步骤。
本发明提出的网络流量控制方法,通过采用NETCONF协议进行网络流量控制设备与目标网络设备之间的控制交互,减少了交互次数,相比于传统的多交互的CLI模式执行起来更加高效、稳定,且不需要对银行的现网架构做大规模改动,也不需要更改与生产直接相关的路由协议,节省了人力、物力成本;此外,由于包量告警信息与配置信息之间的对应关系可以灵活设置,因此根据该对应关系能够实现精准的流量控制。因此,本发明实现了对银行基础网络架构下的网络设备进行高效、精准、稳定以及低成本的流量控制。
附图说明
图1是本发明实施例方案涉及的硬件运行环境的设备结构示意图;
图2为本发明网络流量控制方法第一实施例的流程示意图;
图3为本发明实施例中通过sFlow采集器进行包量采集和上报的示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
如图1所示,图1是本发明实施例方案涉及的硬件运行环境的设备结构示意图。
本发明实施例网络流量控制设备可以是PC机或服务器设备。
如图1所示,该设备可以包括:处理器1001,例如CPU,网络接口1004,用户接口1003,存储器1005,通信总线1002。其中,通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display)、输入单元比如键盘(Keyboard),可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如WI-FI接口)。存储器1005可以是高速RAM存储器,也可以是稳定的存储器(non-volatile memory),例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。
本领域技术人员可以理解,图1中示出的终端结构并不构成对终端的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
如图1所示,作为一种计算机存储介质的存储器1005中可以包括操作***、网络通信模块、用户接口模块以及网络流量控制程序。
在图1所示的终端中,网络接口1004主要用于连接后台服务器,与后台服务器进行数据通信;用户接口1003主要用于连接客户端(用户端),与客户端进行数据通信;而处理器1001可以用于调用存储器1005中存储的网络流量控制程序,并执行下述网络流量控制方法各个实施例中的操作。
基于上述硬件结构,提出本发明网络流量控制方法各个实施例。
参照图2,图2为本发明网络流量控制方法第一实施例的流程示意图,所述网络流量控制方法包括:
步骤S10,当侦测到目标网络设备的包量告警信息时,获取预设的与所述包量告警信息对应的配置信息;
在本实施例中,网络流量控制设备可以实时侦测是否有目标网络设备的包量告警信息,其中目标网络设备即预设的一个或多个需要进行流量控制的网络设备,比如可以为路由器、交换机、防火墙等具有网络转发功能的设备。当侦测到目标网络设备的包量告警信息时,说明当前流经目标网络设备的数据包存在异常,比如当目标网络设备受到ddos攻击(distributed denial-of-service attack,分布式拒绝服务攻击)时,流经目标网络设备的数据包包量会激增,此时即触发包量告警。
当侦测到包量告警信息时,首先获取预设的与该包量告警信息对应的配置信息。具体地,作为一种实施方式,在上述步骤S10之前,可以包括步骤:接收前台应用通过NETCONF北向接口下发的网络流量控制规则信息,并将所述网络流量控制规则信息进行保存,其中,所述网络流量控制规则信息中包含有包量告警信息与配置信息之间的对应关系;此时步骤S10可以替换为:当侦测到目标网络设备的包量告警信息时,从保存的所述网络流量控制规则信息中读取与所述包量告警信息对应的配置信息。
其中,NETCONF是一种网络设备通信协议,NETCONF北向接口,即基于NETCONF协议的向上提供给前台应用进行接入和管理的接口,具体实施时,网络工程师可以基于前台应用配置好网络流量控制规则信息,该网络流量控制规则信息中包含有包量告警信息与配置信息之间的对应关系,然后前台应用通过NETCONF北向接口将该网络流量控制规则信息下发给网络流量控制设备,网络流量控制设备在接收到前台应用下发的网络流量控制规则信息时,将该网络流量控制规则信息进行保存。后续当网络流量控制设备侦测到目标网络设备的包量告警信息时,即可从该保存的网络流量控制规则信息中读取与侦测到的包量告警信息对应的配置信息。
需要说明的是,网络工程师可以基于前台应用灵活配置和修改网络流量控制规则信息,当网络流量控制规则信息发生变更时,前台应用会利用NETCONF北向接口告知网络流量控制设备,从而使网络流量控制设备更新本地保存的网络流量控制规则信息。
步骤S20,将所述配置信息封装成基于NETCONF协议的远程过程调用rpc消息;
在获取到与当前包量告警信息对应的配置信息后,将该配置信息封装成基于NETCONF协议的远程过程调用rpc消息。为便于理解,现将NETCONF协议内容及原理介绍如下:
NETCONF是一种网络设备通信协议,现在已经广泛地被网络设备厂家所支持。NETCONF协议采用了分层的设计结构,与OSI(Open System Interconnection,开放式***互联)网络模型类似,下层为上层提供服务,每一层是对某一个功能的封装。NETCONF协议内部分为4层,由下至上分别是安全通信层,消息层,操作层和内容层。
安全通信层:这一层提供了服务端与客户端之间的安全通信通道,这部分在NETCONF协议中是最底层的定义,也是网络设备最先支持的层次。本方案使用的NETCONF协议进行通信的时候,连接网络设备是使用SSH(Secure Shell,安全外壳协议)的库完成底层的通信。
消息层:NETCONF使用的是rpc(Remote Procedure Call,远程过程调用)机制。这里定义了一些简单的rpc消息,这些都是通过XML(Extensible Markup Language,可扩展标记语言)标记来实现的。比如<rpc>\<rpc-reply>。
操作层:这一层也是基于XML标记的。RFC6241定义了如下方法:<get>\<get-config>\<edit-config>\<copy-config>\<delete-config>\lock\unlock\close-session,传统思科nexus设备的文档里对这个层面也都有支持。
内容层:内容层描述了网络管理所涉及的配置数据,由于NETCONF内容层是唯一没有被标准化的层,没有标准的NETCONF数据建模语言和数据模型,所以各制造商设备的配置数据可能会不相同。
本质上,netconf协议传输的是一个一个的rpc消息,这些rpc消息是通XML(Extensible Markup Language,可扩展标记语言)标记来实现的。本实施例中,网络流量控制设备将预设的与包量告警信息对应的配置信息封装成基于NETCONF协议的远程过程调用rpc消息的过程可以为:首先根据配置信息建立NETCONF模型,NETCONF模型来描述网络设备相关的数据,诸如设备配置运行状态等等,每种设备的NETCONF模型都是采用YANG语言(一个数据结构语言)描述的;然后根据建立的NETCONF模型编写XML标记,然后再根据XML标记生成rpc消息。
NETCONF相比CLI具有明显的优点:减少了交互次数,针对整个***的配置数据进行操作,且定义了过滤功能。而且这种配置方式使用XML编码,使得***兼容性和可编程性都大大增强,具有很强的可扩展性。
步骤S30,将所述rpc消息下发至所述目标网络设备,以使所述目标网络设备根据所述rpc消息执行相应的网络流量控制应急操作。
该步骤中,目标网络设备支持NETCONF协议。网络流量控制设备将rpc消息下发至目标网络设备,由于rpc消息是将配置信息封装得到的,因此网络设备在接收到该rpc消息后,即能够执行与其中的配置信息对应的网络流量控制应急操作,该网络流量控制应急操作包括但不限于关闭目标网络设备端口、设置访问控制列表、防火墙旁路以及虚拟专用网络刷新等。
此外,本发明实施例中,所述方法还包括:在需要更改交换机的配置时,网络流量控制设备经由NETCONF协议更改目标网络设备的配置,从而实现对整个网络包量流量的集中管控。
在本实施例中,通过采用NETCONF协议进行网络流量控制设备与目标网络设备之间的控制交互,减少交互次数,相比于传统的多交互的CLI模式执行起来更加高效、稳定,且不需要对银行的现网架构做大规模改动,也不需要更改与生产直接相关的路由协议,节省了人力、物力成本;此外,由于包量告警信息与配置信息之间的对应关系可以灵活设置,因此根据该对应关系能够实现精准的流量控制。因此,本实施例实现了对银行基础网络架构下的网络设备进行高效、精准、稳定以及低成本的流量控制。
进一步地,本发明网络流量控制方法第一实施例,提出本发明网络流量控制方法第二实施例。本实施例中,在上述步骤S10之前,还可以包括:获取包量采集设备采集到的流经目标网络设备的数据包的包量信息;对所述包量信息进行分析,判断所述包量信息是否满足预设的包量告警条件;若是,则生成所述目标网络设备的包量告警信息。
在本实施例中,可以通过包量采集设备采集流经目标网络设备的数据包的包量信息,然后由包量采集设备将采集到的包量信息发送给网络流量控制设备。
网络流量控制设备获取包量采集设备采集到的流经目标网络设备的数据包的包量信息,然后判断该包量信息是否满足预设的包量告警条件,若是,则生成包量告警信息。其中,包量告警条件可以灵活设置,比如单个网络设备端口的包量超过预设阈值,或者多个网络设备端口的包量总数超过预设阈值等。需要说明的是,所述包量采集设备可选内嵌在所述网络流量控制设备中,也可选是所述网络流量控制设备的外置设备。为了提高网络流量控制的灵活性,所述包量采集设备优选为所述网络流量控制设备的外置设备。
进一步地,上述步骤S30可以包括:通过预设的NETCONF南向接口,将所述rpc消息下发至所述目标网络设备,以使所述目标网络设备根据所述rpc消息执行相应的网络流量控制应急操作,所述网络流量控制应急操作包括关闭目标网络设备端口、设置访问控制列表、防火墙旁路和虚拟专用网络刷新中的一种或多种。
其中,NETCONF南向接口,即基于NETCONF协议提供的向下用于管理其他厂家网管或设备的接口,网络流量控制设备根据流量监测的结果做分析以后确定相应的应急操作,并通过NETCONF南向接口下发对应的rpc消息,从而实现对整个网络流量的调度。
例如,网络工程师在前台应用配置好一条规则:当交换机某个端口包量达到异常值时就自动执行端口down(关闭)操作。前台应用会利用NETCONF北向接口告知网络流量控制设备;之后网络流量控制设备接收了sflow监测模块(sflow监测模块用于监测目标网络设备;包量采集设备内嵌在所述sflow监测模块中,包量采集设备用于采集流经目标网络设备的数据包的包量信息,并传输至网络流量控制设备)发送来的包量数目发现端口包量达到异常值,便会触发执行操作,执行操作通过南向接口下发rpc实现,此时目标网络设备端口将立即被关闭,异常包随即也被丢弃。
进一步地,所述通过预设的NETCONF南向接口,将所述rpc消息下发至所述目标网络设备的步骤可以包括:当存在多个目标网络设备时,通过预设的NETCONF南向接口,将所述rpc消息并行下发至所述多个目标网络设备。
例如,在实际应用中,对于真正的生产网络里躲避ddos攻击对应的操作往往是大规模的操作,不仅仅是关闭一个端口,而是对多个设备进行多个操作,为此,网络流量控制设备可以把这些操作封装成基于NETCONF协议的rpc,然后通过预设的NETCONF南向接口,向支持NETCONF的多个目标网络设备同时并发地下发配置,具体是通过多线程实现同时并发。
上述下发方式相较于CLI方式更加稳健,CLI需要多次交互,指令下发存在中途执行某条指令后出现控制器和设备连接关系不稳定的情况,这种情况会影响操作的完整实现,十分危险;而rpc流只需要发送一次,所以只需在开始时就确认网络流量控制设备和目标网络设备的连通性就可以避免上述情况带来的风险。
本发明还提供一种网络流量控制装置。本发明网络流量控制装置包括:
配置信息获取模块,用于当侦测到目标网络设备的包量告警信息时,获取预设的与所述包量告警信息对应的配置信息;
封装模块,用于将所述配置信息封装成基于NETCONF协议的远程过程调用rpc消息;
下发模块,用于将所述rpc消息下发至所述目标网络设备,以使所述目标网络设备根据所述rpc消息执行相应的网络流量控制应急操作。
进一步地,所述网络流量控制装置还包括:
包量信息获取模块,用于获取包量采集设备采集到的流经目标网络设备的数据包的包量信息;
判断模块,用于对所述包量信息进行分析,判断所述包量信息是否满足预设的包量告警条件;
告警模块,用于若所述包量信息满足预设的包量告警条件,则生成所述目标网络设备的包量告警信息。
进一步地,所述下发模块,还用于通过预设的NETCONF南向接口,将所述rpc消息下发至所述目标网络设备,以使所述目标网络设备根据所述rpc消息执行相应的网络流量控制应急操作,所述网络流量控制应急操作包括关闭目标网络设备端口、设置访问控制列表、防火墙旁路和虚拟专用网络刷新中的一种或多种。
进一步地,所述下发模块,还用于当存在多个目标网络设备时,通过预设的NETCONF南向接口,将所述rpc消息并行下发至所述多个目标网络设备。
进一步地,所述网络流量控制装置还包括:
接收模块,用于接收前台应用通过NETCONF北向接口下发的网络流量控制规则信息,并将所述网络流量控制规则信息进行保存,其中,所述网络流量控制规则信息中包含有包量告警信息与配置信息之间的对应关系;
所述配置信息获取模块,还用于当侦测到目标网络设备的包量告警信息时,从保存的所述网络流量控制规则信息中读取与所述包量告警信息对应的配置信息。
上述各程序模块所实现的方法可参照本发明网络流量控制方法实施例,此处不再赘述。
本发明还提供一种网络流量控制***。
在本发明网络流量控制***实施例中,该***包括网络流量控制设备和包量采集设备;其中,
所述网络流量控制设备为如上述实施例所述的网络流量控制设备;
所述包量采集设备,用于采集流经目标网络设备的数据包的包量信息,并将采集到的所述包量信息发送给所述网络流量控制设备。
在一实施方式中,该包量采集设备可以为采用sFlow协议的sFlow采集器,所述sFlow采集器用于,接收sFlow代理转发的所述目标网络设备端口的流量数据,所述sFlow代理嵌入在所述目标网络设备中,用于采集所述目标网络设备端口的第一流量数据;对所述第一流量数据进行分析,得到流经所述目标网络设备的数据包的包量信息。
为便于理解,现对sFlow技术介绍如下:
sFlow,名称来自流量采样(英语:sampled flow)的缩写,是一种工业规格,用来测量OSI模型第二层封包。sFlow基于标准的最新网络导出协议(RFC 3176),能够解决当前网络管理人员面临的很多问题。通过将sFlow技术嵌入到网络路由器和交换机ASIC芯片中,这个规格提供了一个方法:以取样的方式获得网络封包的信息,让网络管理人员可以了解网络的运作状况。
与那些需要镜像端口或网络旁路器来监视传输流量的解决方案不同,在 sFlow的解决方案中,并不是每一个数据包都发送到采集器。sFlow 提供了两种采样方式供用户从不同的角度分析网络流量状况,分别为Flow采样以及Counter采样。
Flow采样是设备在指定端口上按照特定的采样方向和采样比对报文进行采样分析,并将分析的结果通过sFlow报文发送到Collector设备的过程。Flow采样报文中的主要信息包括原始报文的一些基本信息,比如目的IP、源IP等。Counter采样是sFlow Agent设备周期性的获取接口上的流量统计,并将这些统计信息通过sFlow报文发送给收集器的过程。Counter采样报文中的主要是一些统计信息。而且,sFlow还能使用不同的采样率对整个交换机或仅对其中一些端口实施监视,这样保证了在设计管理方案时的灵活性。
sFlow能够建立一个正常网络使用的基准(可以配置阈值),当发现网络活动明显偏离基准时,就会发出告警信息,从而做到有效地识别访问策略破坏和入侵现象。
参照图3,图3为本发明实施例中通过sFlow采集器进行包量采集和上报的示意图。本发明在银行基础网络架构下使用了SDN(Software Defined Network,软件定义网络)中心控制的思想,图3中控制管理层作为SDN控制层面,交换机作为SDN转发层面,包量采集设备从控制管理层分离出来,用于实现对交换机包量信息的采集,并将采集到的包量信息上报给控制管理层,当控制管理层侦测到包量告警信息时,再下发rpc消息给路由器,从而使路由器执行相应的网络流量控制应急操作。具体地,基于sFlow技术的包量采集设备分为两类:sFlow代理和sFlow采集器。在本实施例中,sFlow采集器接收sFlow代理转发的目标网络设备端口的流量数据,其中sFlow代理能够嵌入网络路由和交换设备的ASIC芯片中,无需采购额外的探针和旁路器就能全面监视整个网络,sFlow代理采集目标网络设备上每个端口的流量并形成sFlow数据分组,然后将sFlow数据分组的流量数据转发给sFlow采集器,sFlow采集器对该数据分组进行分析,可以得到流经目标网络设备的数据包的包量信息。
在另一实施方式中,该包量采集设备可以为采用简单网络协议SNMP(SimpleNetwork Management Protocol )的SNMP采集器,所述SNMP采集器用于,根据预设的对象标识符ODI,从SNMP代理查询所述目标网络设备端口的流量数据,所述SNMP代理嵌入在所述目标网络设备中,用于采集所述目标网络设备端口的第二流量数据;对所述第二流量数据进行分析,得到流经所述目标网络设备的数据包的包量信息。本实施例中,第二流量数据与第一流量数据是同一种数据。
为便于理解,现对SNMP技术介绍如下:
SNMP是基于TCP/IP协议族的网络管理标准,是一种在IP网络中管理网络节点(如防火墙、服务器、工作站、路由器、交换机等)的标准协议。协议由一组网络管理的标准组成,包含一个应用层协议(application layer protocol)、数据库模型(database schema)和一组资源对象。该协议能够支持网络管理***,用以监测连接到网络上的设备是否有任何引起管理上关注的情况。
MIB(Management Information Base,管理信息基础)是对象的集合,它代表网络中可以管理的资源和设备。每个对象基本上是一个数据变量,它代表被管理的对象的一方面的信息。OID(Object Identifier,对象标识符),是SNMP代理提供的具有唯一标识的键值。MIB还提供数字化OID到可读文本的映射。基于SNMP 的网络管理工具有很多种实现方式。最简单的是某台服务器安装net-snmp 去SNMP代理上做网络采集然后上报。
在本实施例中,SNMP采集器接收SNMP代理转发的目标网络设备端口的流量数据,其中SNMP代理能够嵌入网络路由和交换设备的ASIC芯片中,SNMP代理采集目标网络设备端口的流量数据,然后将该流量数据转发给SNMP采集器,SNMP采集器对该流量数据进行分析,可以得到流经目标网络设备的数据包的包量信息。
需要说明的是,与sFlow不同,SNMP功能比较单一,其收集到的流量信息仅是简单的端口出、入流量统计信息,不能用于深入的流量分析,不利于网络流量控制设备做更多扩展性的功能设计,而sFlow技术除了可以采集到端口出、入流量信息外,还可以采集到包括传统数据包头、传输协议信息以及物理传输信息在内的其他信息,因此本实施例优选采用sFlow技术进行目标网络设备流量的监控和采集,如此便于网络流量控制设备能够做更多扩展性的功能设计,进一步提高流量控制的精准性。
另外,本实施例网络流量控制设备进行网络流量控制的方法可以参照上述网络流量控制方法的各个实施例,此处不作赘述。
本实施例提出的网络流量控制***,通过利用数据流采集技术对银行基础网络架构下的网络设备端口流量进行监控,然后基于NETCONF协议对银行基础网络架构下的网络设备进行网络流量控制应急操作,实现了对银行基础网络架构下的网络设备进行高效、精准、稳定以及低成本的流量控制。
本发明还提供一种存储介质。
本发明存储介质上存储有网络流量控制程序,所述网络流量控制程序被处理器执行时实现如上所述的网络流量控制方法的步骤。
其中,在所述处理器上运行的网络流量控制程序被执行时所实现的方法可参照本发明网络流量控制方法各个实施例,此处不再赘述。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者***不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者***所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者***中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在如上所述的一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (10)
1.一种网络流量控制方法,其特征在于,所述网络流量控制方法包括如下步骤:
当侦测到目标网络设备的包量告警信息时,获取预设的与所述包量告警信息对应的配置信息;
将所述配置信息封装成基于NETCONF协议的远程过程调用rpc消息;
将所述rpc消息下发至所述目标网络设备,以使所述目标网络设备根据所述rpc消息执行相应的网络流量控制应急操作;
其中,所述将所述配置信息封装成基于NETCONF协议的远程过程调用rpc消息的步骤,包括:
根据所述配置信息建立NETCONF模型,所述NETCONF模型用于描述所述目标网络设备相关的数据;
根据所述NETCONF模型编写XML标记,并根据所述XML标记生成rpc消息;
其中,所述将所述rpc消息下发至所述目标网络设备,以使所述目标网络设备根据所述rpc消息执行相应的网络流量控制应急操作的步骤包括:
通过预设的NETCONF南向接口,将所述rpc消息下发至所述目标网络设备,以使所述目标网络设备根据所述rpc消息执行相应的网络流量控制应急操作,所述网络流量控制应急操作包括关闭目标网络设备端口、设置访问控制列表、防火墙旁路和虚拟专用网络刷新中的一种或多种。
2.如权利要求1所述的网络流量控制方法,其特征在于,所述当侦测到目标网络设备的包量告警信息时,获取预设的与所述包量告警信息对应的配置信息的步骤之前,还包括:
获取包量采集设备采集到的流经目标网络设备的数据包的包量信息;
对所述包量信息进行分析,判断所述包量信息是否满足预设的包量告警条件;
若是,则生成所述目标网络设备的包量告警信息。
3.如权利要求1所述的网络流量控制方法,其特征在于,所述通过预设的NETCONF南向接口,将所述rpc消息下发至所述目标网络设备的步骤包括:
当存在多个目标网络设备时,通过预设的NETCONF南向接口,将所述rpc消息并行下发至所述多个目标网络设备。
4.如权利要求1所述的网络流量控制方法,其特征在于,所述当侦测到目标网络设备的包量告警信息时,获取预设的与所述包量告警信息对应的配置信息的步骤之前,还包括:
接收前台应用通过NETCONF北向接口下发的网络流量控制规则信息,并将所述网络流量控制规则信息进行保存,其中,所述网络流量控制规则信息中包含有包量告警信息与配置信息之间的对应关系;
所述当侦测到目标网络设备的包量告警信息时,获取预设的与所述包量告警信息对应的配置信息的步骤包括:
当侦测到目标网络设备的包量告警信息时,从保存的所述网络流量控制规则信息中读取与所述包量告警信息对应的配置信息。
5.一种网络流量控制装置,其特征在于,所述网络流量控制装置包括:
配置信息获取模块,用于当侦测到目标网络设备的包量告警信息时,获取预设的与所述包量告警信息对应的配置信息;
封装模块,用于将所述配置信息封装成基于NETCONF协议的远程过程调用rpc消息;
下发模块,用于将所述rpc消息下发至所述目标网络设备,以使所述目标网络设备根据所述rpc消息执行相应的网络流量控制应急操作;
其中,所述封装模块,还用于根据所述配置信息建立NETCONF模型,所述NETCONF模型用于描述所述目标网络设备相关的数据;以及,根据所述NETCONF模型编写XML标记,并根据所述XML标记生成rpc消息;
其中,所述下发模块,还用于通过预设的NETCONF南向接口,将所述rpc消息下发至所述目标网络设备,以使所述目标网络设备根据所述rpc消息执行相应的网络流量控制应急操作,所述网络流量控制应急操作包括关闭目标网络设备端口、设置访问控制列表、防火墙旁路和虚拟专用网络刷新中的一种或多种。
6.一种网络流量控制设备,其特征在于,所述网络流量控制设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的网络流量控制程序,所述网络流量控制程序被所述处理器执行时实现如权利要求1至4中任一项所述的网络流量控制方法的步骤。
7.一种网络流量控制***,所述网络流量控制***包括网络流量控制设备和包量采集设备;其中,
所述网络流量控制设备为如权利要求6所述的网络流量控制设备;
所述包量采集设备,用于采集流经目标网络设备的数据包的包量信息,并将采集到的所述包量信息发送给所述网络流量控制设备。
8.如权利要求7所述的网络流量控制***,其特征在于,所述包量采集设备为采用sFlow协议的sFlow采集器,所述sFlow采集器用于,
接收sFlow代理转发的所述目标网络设备端口的流量数据,所述sFlow代理嵌入在所述目标网络设备中,用于采集所述目标网络设备端口的第一流量数据;
对所述第一流量数据进行分析,得到流经所述目标网络设备的数据包的包量信息。
9.如权利要求7所述的网络流量控制***,其特征在于,所述包量采集设备为采用简单网络协议SNMP的SNMP采集器,所述SNMP采集器用于,
根据预设的对象标识符ODI,从SNMP代理查询所述目标网络设备端口的流量数据,所述SNMP代理嵌入在所述目标网络设备中,用于采集所述目标网络设备端口的第二流量数据;
对所述第二流量数据进行分析,得到流经所述目标网络设备的数据包的包量信息。
10.一种存储介质,其特征在于,所述存储介质上存储有网络流量控制程序,所述网络流量控制程序被处理器执行时实现如权利要求1至4中任一项所述的网络流量控制方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811483441.6A CN109547257B (zh) | 2018-12-05 | 2018-12-05 | 网络流量控制方法、装置、设备、***及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811483441.6A CN109547257B (zh) | 2018-12-05 | 2018-12-05 | 网络流量控制方法、装置、设备、***及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109547257A CN109547257A (zh) | 2019-03-29 |
| CN109547257B true CN109547257B (zh) | 2022-08-12 |
Family
ID=65852941
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811483441.6A Active CN109547257B (zh) | 2018-12-05 | 2018-12-05 | 网络流量控制方法、装置、设备、***及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109547257B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110430100B (zh) * | 2019-08-27 | 2021-06-04 | 中国工商银行股份有限公司 | 网络连通性探测方法和装置 |
| CN115514686A (zh) * | 2021-06-23 | 2022-12-23 | 深信服科技股份有限公司 | 一种流量采集方法、装置及电子设备和存储介质 |
| CN113472674B (zh) * | 2021-07-12 | 2024-05-24 | 多点生活(成都)科技有限公司 | 一种流量控制方法、装置、存储介质及电子设备 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102387043A (zh) * | 2011-12-07 | 2012-03-21 | 深圳市同洲视讯传媒有限公司 | 基于简单网络管理协议的告警解析方法、工作站及*** |
| CN105281981A (zh) * | 2015-11-04 | 2016-01-27 | 北京百度网讯科技有限公司 | 网络服务的数据流量监控方法和装置 |
| CN106921666A (zh) * | 2017-03-06 | 2017-07-04 | 中山大学 | 一种基于协同理论的DDoS攻击防御***及方法 |
| CN107786350A (zh) * | 2016-08-24 | 2018-03-09 | 华为技术有限公司 | 一种恢复网络设备的出厂配置的方法、装置及网络设备 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103281197B (zh) * | 2013-04-08 | 2016-03-30 | 浙江工商大学 | 一种基于NETCONF的ForCES配置方法 |
| US9419874B2 (en) * | 2014-03-27 | 2016-08-16 | Nicira, Inc. | Packet tracing in a software-defined networking environment |
-
2018
- 2018-12-05 CN CN201811483441.6A patent/CN109547257B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102387043A (zh) * | 2011-12-07 | 2012-03-21 | 深圳市同洲视讯传媒有限公司 | 基于简单网络管理协议的告警解析方法、工作站及*** |
| CN105281981A (zh) * | 2015-11-04 | 2016-01-27 | 北京百度网讯科技有限公司 | 网络服务的数据流量监控方法和装置 |
| CN107786350A (zh) * | 2016-08-24 | 2018-03-09 | 华为技术有限公司 | 一种恢复网络设备的出厂配置的方法、装置及网络设备 |
| CN106921666A (zh) * | 2017-03-06 | 2017-07-04 | 中山大学 | 一种基于协同理论的DDoS攻击防御***及方法 |
Non-Patent Citations (1)
| Title |
|---|
| 基于SDN技术实现人民银行智能骨干网的应用研究;程东亮;《软件研发与应用》;20180331;正文全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109547257A (zh) | 2019-03-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109547257B (zh) | 网络流量控制方法、装置、设备、***及存储介质 | |
| CN103516543B (zh) | 设备管理协议查询中的过滤 | |
| EP3051750B1 (en) | Collection adaptor management method and system | |
| CN105528273A (zh) | 一种服务器主机硬件的监控方法、装置及电子设备 | |
| CN109672562A (zh) | 数据处理方法、装置、电子设备及存储介质 | |
| CN100499502C (zh) | 陷阱解析与预处理***及方法 | |
| Kukliński | Programmable management framework for evolved SDN | |
| US10554625B2 (en) | Integrated PCS functional competency assessment | |
| US20240022537A1 (en) | Edge device for source identification using source identifier | |
| EP3860046A1 (en) | Prioritizing policy intent enforcement on network devices | |
| US11811601B2 (en) | Predictive pipeline analytics for a network management system | |
| CN108933707B (zh) | 一种工业网络的安全监控***及方法 | |
| EP4113941A1 (en) | Topology-based graphical user interface for network management systems | |
| EP4080850A1 (en) | Onboarding virtualized network devices to cloud-based network assurance system | |
| Matoušek et al. | Unified SNMP interface for iot monitoring | |
| Munz et al. | Using netconf for configuring monitoring probes | |
| Saheb et al. | Auto-discovery and monitoring of network resources: Snmp-based network mapping and fault management | |
| KR102180038B1 (ko) | 전술 메쉬망 환경에서의 wan 노드 장치 | |
| WO2020005475A1 (en) | Controlling communications between a plant network and a business network | |
| US11729075B1 (en) | Time series data collection for a network management system | |
| EP4113942A1 (en) | Network segmentation for network management graphical user interfaces | |
| dell'Agnello et al. | The “NetBoard”: Network Monitoring Tools Integration for INFN Tier-1 Data Center | |
| WO2023249507A1 (en) | Anomaly detection for network devices using intent-based analytics | |
| De Girolamo et al. | The “NetBoard”: Network Monitoring Tools Integration for INFN Tier-1 Data Center | |
| Naik et al. | Using Software Defined Networking to manage and control IEC61850-based systems |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |