CN115766219A - 一种基于flowspec技术的SRv6隧道异常流量监测的方法及装置 - Google Patents

一种基于flowspec技术的SRv6隧道异常流量监测的方法及装置 Download PDF

Info

Publication number
CN115766219A
CN115766219A CN202211427850.0A CN202211427850A CN115766219A CN 115766219 A CN115766219 A CN 115766219A CN 202211427850 A CN202211427850 A CN 202211427850A CN 115766219 A CN115766219 A CN 115766219A
Authority
CN
China
Prior art keywords
monitoring
srv6 tunnel
abnormal flow
flow
abnormal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202211427850.0A
Other languages
English (en)
Inventor
涂勇
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Unihub China Information Technology Co Ltd
Original Assignee
Unihub China Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Unihub China Information Technology Co Ltd filed Critical Unihub China Information Technology Co Ltd
Priority to CN202211427850.0A priority Critical patent/CN115766219A/zh
Publication of CN115766219A publication Critical patent/CN115766219A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开一种基于flowspec技术的SRv6隧道异常流量监测的方法及装置,其中,该方法包括:flowspec定义了多协议BGP路由中五元组相关的属性;通过flowspec的定义,将SRv6隧道异常流量监测预警中心定义的异常标识匹配流经指定SRv6隧道异常流量监测客户端的流量,若匹配到异常流量后,将该异常流量的相关信息返回给SRv6隧道异常流量监测预警中心进行相关结果的呈现。该方法及装置基于flowspec技术对SRv6隧道进行实时和高精度的异常流量监测,且具备全网端到端的异常流量监测能力。

Description

一种基于flowspec技术的SRv6隧道异常流量监测的方法及 装置
技术领域
本发明涉及异常流量监测领域,尤其是一种基于flowspec技术的SRv6隧道异常流量监测的方法及装置。
背景技术
传统的异常流量监测***在部署方式上只能位于网络的出口边缘位置,在监测范围上只能对网络中固定区域的网络设备进行监测,在操作维护上其OAM(操作、管理和维护)粒度较粗,且信息采集周期为分钟级,无法捕获突发的异常流量,缺乏一种能够基于业务的既能对物理设备和物理链路进行异常流量的监测,又能对逻辑链路如VPN隧道链路进行灵活部署的异常流量监测手段。SRv6(IPv6版分段路由)网络的多业务承载对网络管理特别是网络安全管理提出了更高的要求,需要一种具备实时和高精度的异常流量监测机制,且具备全网端到端的基于业务的异常流量监测能力,能够及时、高效和准确的发现SRv6隧道的异常流量。
发明内容
针对上述情况,本发明提供一种基于flowspec技术的SRv6隧道异常流量监测的方法及装置,基于flowspec(流量说明)技术对SRv6隧道进行实时和高精度的异常流量监测,且具备全网端到端的异常流量监测能力。
为实现上述目的,本发明采用下述技术方案:
在本发明一实施例中,提出了一种基于flowspec技术的SRv6隧道异常流量监测的方法,该方法包括:
flowspec定义了多协议BGP路由中五元组相关的属性;
通过flowspec的定义,将SRv6隧道异常流量监测预警中心定义的异常标识匹配流经指定SRv6隧道异常流量监测客户端的流量,若匹配到异常流量后,将该异常流量的相关信息返回给SRv6隧道异常流量监测预警中心进行相关结果的呈现。
进一步地,SRv6隧道异常流量监测预警中心根据业务维护需要,创建监测任务,并将监测任务发送给指定的SRv6隧道异常流量监测控制器;
SRv6隧道异常流量监测预警中心接收SRv6隧道异常流量监测控制器返回的监测信息,通过读取分析监测指标数值,并将此次监测结果写入数据库进行保存,通过图形化界面呈现出监测结果。
进一步地,SRv6隧道异常流量监测控制器接收SRv6隧道异常流量监测预警中心发送的监测任务,解析监测任务中的监测信息,构造一条流路由,该条流路由包含五元组和TCP的控制字段相关的属性以及指定操作的动作属性,借助多协议BGP携带相关的控制属性,通过BGP路由的秒级快速更新该条流路由的报文,并将该报文发送给指定的SRv6隧道异常流量监测客户端;
SRv6隧道异常流量监测控制器接收SRv6隧道异常流量监测客户端返回的监测信息,根据监测任务号存入监测任务队列缓存中,再按照监测任务号向SRv6隧道异常流量监测预警中心返回监测信息。
进一步地,SRv6隧道异常流量监测客户端接收SRv6隧道异常流量监测控制器构造的一条流路由的报文,将该条流路由的报文写入端口流量交互的路由表中,根据该条流路由的异常标识产生一个动态过滤列表,对流经SRv6隧道接口的所有流量进行监测,若监测到异常流量后,向指定的SRv6隧道异常流量监测控制器返回监测信息。
在本发明一实施例中,还提出了一种基于flowspec技术的SRv6隧道异常流量监测的装置,该装置包括:
SRv6隧道异常流量监测预警中心,用于进行SRv6隧道异常流量监测任务的创建和维护、监测过程的监控、监测信息的搜集储存和分析、监测结果的图形化呈现及监测报表的输出;
SRv6隧道异常流量监测控制器,用于向SRv6隧道异常流量监测客户端发送监测信息,并将SRv6隧道异常流量监测客户端返回的监测信息发送给SRv6隧道异常流量监测预警中心;
SRv6隧道异常流量监测客户端,用于接收SRv6隧道异常流量监测控制器发送的监测信息,通过flowspec定义的多协议BGP路由中五元组相关的属性,将监测信息中的异常标识匹配流经SRv6隧道接口的所有流量,并反馈监测信息给SRv6隧道异常流量监测控制器。
进一步地,SRv6隧道异常流量监测预警中心,具体用于:
根据业务维护需要,创建监测任务,并将监测任务发送给指定的SRv6隧道异常流量监测控制器;
接收SRv6隧道异常流量监测控制器返回的监测信息,通过读取分析监测指标数值,并将此次监测结果写入数据库进行保存,通过图形化界面呈现出监测结果。
进一步地,SRv6隧道异常流量监测控制器,具体用于:
接收SRv6隧道异常流量监测预警中心发送的监测任务,解析监测任务中的监测信息,构造一条流路由,该条流路由包含五元组和TCP的控制字段相关的属性以及指定操作的动作属性,借助多协议BGP携带相关的控制属性,通过BGP路由的秒级快速更新该条流路由的报文,并将该报文发送给指定的SRv6隧道异常流量监测客户端;
接收SRv6隧道异常流量监测客户端返回的监测信息,根据监测任务号存入监测任务队列缓存中,再按照监测任务号向SRv6隧道异常流量监测预警中心返回监测信息。
进一步地,SRv6隧道异常流量监测客户端,具体用于:
接收SRv6隧道异常流量监测控制器构造的一条流路由的报文,将该条流路由的报文写入端口流量交互的路由表中,根据该条流路由的异常标识产生一个动态过滤列表,对流经SRv6隧道接口的所有流量进行监测,若监测到异常流量后,向指定的SRv6隧道异常流量监测控制器返回监测信息。
在本发明一实施例中,还提出了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行计算机程序时实现前述基于flowspec技术的SRv6隧道异常流量监测的。
在本发明一实施例中,还提出了一种计算机可读存储介质,计算机可读存储介质存储有执行基于flowspec技术的SRv6隧道异常流量监测的的计算机程序。
有益效果:
1、本发明中flowspec技术定义了多协议BGP路由中五元组的12个属性即目的前缀、源前缀、IP协议、端口、目标端口、源端口、ICMP类型、ICMP代码、TCP标志、数据包长度、DSCP和片段编码,使其可以满足多种业务场景下对流的识别和处理。
2、本发明类似于针对路由的访问控制列表,为网络维护人员提供了一种灵活高效的异常流量识别方法,并能够基于业务针对不同的VPN隧道进行灵活部署。
3、本发明通过BGP路由的秒级更新,将异常流量的识别信息快速地应用到SRv6隧道中的路由器,提高网络的安全性、灵活性和高效性。
附图说明
图1是本发明基于flowspec技术的SRv6隧道异常流量监测的方法流程示意图;
图2是本发明一实施例的SRv6隧道异常流量监测的部署示意图;
图3是本发明基于flowspec技术的SRv6隧道异常流量监测的装置结构示意图;
图4是本发明计算机设备结构示意图。
具体实施方式
下面将参考若干示例性实施方式来描述本发明的原理和精神,应当理解,给出这些实施方式仅仅是为了使本领域技术人员能够更好地理解进而实现本发明,而并非以任何方式限制本发明的范围。相反,提供这些实施方式是为了使本公开更加透彻和完整,并且能够将本公开的范围完整地传达给本领域的技术人员。
本领域技术人员知道,本发明的实施方式可以实现为一种装置、装置、设备、方法或计算机程序产品。因此,本公开可以具体实现为以下形式,即:完全的硬件、完全的软件(包括固件、驻留软件、微代码等),或者硬件和软件结合的形式。
根据本发明的实施方式,提出了一种基于flowspec技术的SRv6隧道异常流量监测的方法及装置,包括三个功能要素:SRv6隧道异常流量监测预警中心、SRv6隧道异常流量监测控制器和SRv6隧道异常流量监测客户端。SRv6隧道异常流量监测预警中心部署在网络区域的核心位置,主要实现SRv6隧道异常流量监测任务的创建、监测任务的维护、监测过程的监控、监测信息的搜集储存、监测信息的分析、监测结果的图形化呈现及监测报表的输出等功能。SRv6隧道异常流量监测控制器部署在网络区域的监测位置,主要实现向SRv6隧道异常流量监测客户端发送监测信息,并将SRv6隧道异常流量监测客户端返回的监测信息发送给SRv6隧道异常流量监测预警中心。SRv6隧道异常流量监测客户端主要实现接收并反馈SRv6隧道异常流量监测控制器发送的监测信息,SRv6隧道异常流量监测客户端可以是网络区域内的SRv6隧道路由器等部署有SRv6隧道业务的装置。
下面参考本发明的若干代表性实施方式,详细阐释本发明的原理和精神。
flowspec是BGP路由协议的网络层可达性信息(NLRI),用于将SRv6隧道异常流量监测预警中心定义的异常标识匹配流经指定SRv6隧道异常流量监测客户端的流量。通过使用flowspec,SRv6隧道异常流量监测预警中心可以发送监测信息来识别某些类型的异常流量,一旦SRv6隧道异常流量监测客户端识别出异常流量后,即刻将监测信息返回给SRv6隧道异常流量监测预警中心进行相关监测结果的呈现。
flowspec用AFI(地址族标识符)1(IPv4)和后续的AFI(SAFI,子序列地址族标识符)133(flowspec Filter(流量说明过滤器))定义了一个新的多协议网络层可访问信息(MP_REACH_NLRI),用于定义flowspec和flowspec 4层(traffic-rate通行速率、traffic-action通行方向、redirect重定向和traffic-marking通行标识)的flowspec类型。源目IP、源目端口和协议这些字段是在BGP路由更新消息(运行了BGP路由协议的路由器,当有路由更新时就会发送路由更新信息)中添加到NLRI并通告给相关对等体(将建立BGP邻居关系的路由器称为BGP对等体)的字段。
以下列出了MP_REACH_NLRI包含的12个属性:
(1)目的前缀---定义要匹配的目标前缀;
(2)源前缀---定义源前缀;
(3)IP协议---包含一组用于匹配IP数据包中IP协议值字节的对;
(4)端口---定义TCP、UDP或两者都会影响到的端口;
(5)目标端口---定义将受flowspec影响的目标端口;
(6)源端口---定义将受flowspec影响的源端口;
(7)ICMP类型;
(8)ICMP代码;
(9)TCP标志;
(10)数据包长度---与IP数据包总长度匹配;
(11)DSCP---与服务类别标志匹配;
(12)片段编码。
图1是本发明基于flowspec技术的SRv6隧道异常流量监测的方法流程示意图。如图1所示,该方法包括:
1、SRv6隧道异常流量监测预警中心根据业务维护需要,创建监测任务,包括监测任务号、SRv6隧道异常流量监测控制器编号(IP地址)、SRv6隧道异常流量监测客户端编号(IP地址)、监测区域(一组SRv6隧道异常流量监测客户端的集合)、监测类型(IP、端口和协议)、异常标识(IP地址、TCP/UDP端口号和协议号)和监测时间等信息,并将监测任务发送给指定的SRv6隧道异常流量监测控制器。
2、收到监测任务的SRv6隧道异常流量监测控制器解析监测任务中的监测信息,构造一条流路由,即流路由可以是静态手工配置,即通过命令行方式在SRv6隧道异常流量监测控制器上配置流路由,如在SRv6隧道异常流量监测控制器上手工配置ipv4-flow vpn-instance vpn-instance-name peer ipv4-address validation-disable,也可以跟netflow这些设备联动自动产生,即利用SRv6隧道异常流量监测控制器与SRv6隧道异常流量监测客户端之间建立的BGP邻居关系,通过彼此都运行的动态BGP IPv6 FlowSpecification功能生成流路由,这条流路由包含五元组(源IP、目的IP、源端口、目的端口和协议)和TCP的控制字段(源端口号、目的端口号、序列号、确认号、校验号、标志位和窗口大小)等17个属性(目的前缀、源前缀、IP协议、目标端口、源端口、数据包长度、DSCP、片段编码、序列号、确认号、校验号、标志位、窗口大小、限速、重定向IP、重定向rt和重定向policy共17个属性),以及指定操作的动作属性(permit允许通过、deny禁止通过和redirect重定向)等。SRv6隧道异常流量监测控制器借助MP-BGP(多协议BGP)携带相关的控制属性(Origin属性、AS_Path属性、Next_Hop属性、MP_REACH_NLRI属性和MP_UNREACH_NLRI属性),通过BGP路由的秒级(IBGP对等体的路由更新时间间隔为15秒,EBGP对等体的路由更新时间间隔为30秒)快速更新这条流路由的报文,并发送给指定的SRv6隧道异常流量监测客户端。
3、指定的SRv6隧道异常流量监测客户端收到了这条流路由的报文后,将它写入到各自的inteflow.0(端口流量交互)的路由表中,根据这条流路由的异常标识产生一个动态过滤列表(过滤器),来识别流经各自的指定异常流量(SRv6隧道异常流量监测客户端收到SRv6隧道异常流量监测控制器通过BGP路由更新发过来的流路由,里面会包含用于标识异常流量的17个属性信息以及permit允许通过、deny禁止通过和redirect重定向等动作属性的信息,上述信息组合在一起即为一个动态过滤列表,也就是一个filter(过滤器),然后将这个动态过滤列表写入各自的端口转发表中,随时监测流经各自端口的流量)。
4、一旦SRv6隧道异常流量监测客户端识别出异常流量后,即刻向SRv6隧道异常流量监测控制器返回监测信息,包括SRv6隧道异常流量监测客户端编号(IP地址)、异常类型信息(IP、端口和协议)、异常指标(IP地址、TCP/UDP端口号和协议号)和监测时间。
5、SRv6隧道异常流量监测控制器收到SRv6隧道异常流量监测客户端发送的监测信息后,根据监测任务号存入监测任务队列缓存中,向SRv6隧道异常流量监测预警中心按照监测任务号发送监测信息,包括监测任务号、SRv6隧道异常流量监测控制器编号(IP地址)、SRv6隧道异常流量监测客户端编号(IP地址)、监测类型信息(IP、端口和协议)、异常指标(IP地址、TCP/UDP端口号和协议号)和监测时间。
6、SRv6隧道异常流量监测预警中心收到SRv6隧道异常流量监测控制器返回的监测信息后,通过读取分析监测指标数据(IP地址、TCP/UDP端口号和协议号),并将此次监测结果写入数据库进行保存,通过图形化界面呈现出监测结果。
需要说明的是,尽管在上述实施例及附图中以特定顺序描述了本发明方法的操作,但是,这并非要求或者暗示必须按照该特定顺序来执行这些操作,或是必须执行全部所示的操作才能实现期望的结果。附加地或备选地,可以省略某些步骤,将多个步骤合并为一个步骤执行,和/或将一个步骤分解为多个步骤执行。
为了对上述基于flowspec技术的SRv6隧道异常流量监测的进行更为清楚的解释,下面结合一个具体的实施例来进行说明,然而值得注意的是该实施例仅是为了更好地说明本发明,并不构成对本发明不当的限定。
实施例:
某企业租用运营商的网络通过SRv6隧道技术将不同地理位置的分支机构连接起来,如图2所示,假设该网络内分布有4台路由器,相互之间已经通过BGP路由协议建立起了BGP邻居关系,其中路由器-1和路由器-4之间因为业务需要建立了两条SRv6隧道,分支机构-1的企业内网挂在路由器-1下,分支机构-2的企业内网挂在路由器-4下。
为确保能够及时、准确、高效的发现SRv6隧道的异常流量,该运营商部署了一套基于flowspec技术的SRv6隧道异常流量监测方法。近期蠕虫病毒再次爆发,特别是一种叫做“永恒之蓝”的蠕虫病毒已经攻击了多家企业的内网,严重影响了企业内部的办公及生产。出于对大客户专线服务质量的保障需求,运营商计划在该企业租用的SRv6隧道内启用针对“永恒之蓝”蠕虫病毒引起的异常流量监测工作,及时将监测结果通知该企业,以便做好相关病毒的处理工作。
运营商通过SRv6隧道异常流量监测预警中心创建了一个监测任务,选取了为该企业提供监测服务的SRv6隧道异常流量监测控制器编号(监测任务中添加了指定的SRv6隧道异常流量监测控制器的IP地址),选取了为该企业提供服务的SRv6隧道两端的SRv6隧道异常流量监测客户端编号(监测任务中添加了路由器-1的IP地址和路由器-4的IP地址),监测类型选择“协议”,异常标识选择“永恒之蓝”蠕虫病毒携带的攻击端口号“TCP 445”,监测时间选择“一个月”。随后SRv6隧道异常流量监测预警中心会将创建好的监测任务下发给指定的SRv6隧道异常流量监测控制器。
指定的SRv6隧道异常流量监测控制器收到监测任务后,首先解析监测任务中的监测信息,获取此次监测任务需要部署的SRv6隧道异常流量监测客户端信息、监测类型信息、异常标识信息和监测时间信息,然后构造一条流路由,包括路由更新接收的邻居信息(路由器-1的IP地址和路由器-4的IP地址)和TCP 445的端口号信息,借助BGP路由的秒级更新该条流路由的报文,并将该条流路由的报文发给了SRv6隧道异常流量监测客户端(路由器-1和路由器-4)。
指定的SRv6隧道异常流量监测客户端(路由器-1和路由器-4)收到该条流路由的报文后,将它写入各自的inteflow.0的路由表中,并依据异常标识(TCP 445)产生一个动态过滤列表,即刻对流经本路由器SRv6隧道接口的所有流量进行监测,一旦在监测时间范围内发现了异常流量,会向SRv6隧道异常流量监测控制器返回监测信息,包括发现该异常流量的监测客户端编号(路由器的IP地址)、异常协议信息(TCP 445)和发现时间。
SRv6隧道异常流量监测控制器收到SRv6隧道异常流量监测客户端返回的监测信息后,会结合对应的监测任务号向SRv6隧道异常流量监测预警中心返回监测信息,包括对应监测任务号、SRv6隧道异常流量监测控制器编号(IP地址)、SRv6隧道异常流量监测客户端编号(路由器的IP地址)、监测类型信息(协议)、异常指标(TCP445)和发现时间。
SRv6隧道异常流量监测预警中心收到SRv6隧道异常流量监测控制器返回的监测信息后,通过读取分析监测指标数据(对应监测任务号、控制器IP地址、路由器IP地址、TCP445和发现时间),并将此次监测结果写入数据库进行保存,通过图形化界面呈现出监测结果,运营商维护人员将监测结果通知企业相关负责人进行后续的病毒整治工作。
基于同一发明构思,本发明还提出一种基于flowspec技术的SRv6隧道异常流量监测的装置。该装置的实施可以参见上述方法的实施,重复之处不再赘述。以下所使用的术语“模块”,可以是实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图3是本发明基于flowspec技术的SRv6隧道异常流量监测的装置结构示意图。如图3所示,该装置包括:
SRv6隧道异常流量监测预警中心101,用于进行SRv6隧道异常流量监测任务的创建和维护、监测过程的监控、监测信息的搜集储存和分析、监测结果的图形化呈现及监测报表的输出;具体如下:
根据业务维护需要,创建监测任务,并将监测任务发送给指定的SRv6隧道异常流量监测控制器102;
接收SRv6隧道异常流量监测控制器102返回的监测信息,通过读取分析监测指标数值,并将此次监测结果写入数据库进行保存,通过图形化界面呈现出监测结果。
SRv6隧道异常流量监测控制器102,用于向SRv6隧道异常流量监测客户端103发送监测信息,并将SRv6隧道异常流量监测客户端103返回的监测信息发送给SRv6隧道异常流量监测预警中心101;具体如下:
接收SRv6隧道异常流量监测预警中心101发送的监测任务,解析监测任务中的监测信息,构造一条流路由,该条流路由包含五元组和TCP的控制字段相关的属性以及指定操作的动作属性,借助多协议BGP携带相关的控制属性,通过BGP路由的秒级快速更新该条流路由的报文,并将该报文发送给指定的SRv6隧道异常流量监测客户端103;
接收SRv6隧道异常流量监测客户端103返回的监测信息,根据监测任务号存入监测任务队列缓存中,再按照监测任务号向SRv6隧道异常流量监测预警中心101返回监测信息。
SRv6隧道异常流量监测客户端103,用于接收SRv6隧道异常流量监测控制器102发送的监测信息,通过flowspec定义的多协议BGP路由中五元组相关的属性,将监测信息中的异常标识匹配流经SRv6隧道接口的所有流量,并反馈监测信息给SRv6隧道异常流量监测控制器102;具体如下:
接收SRv6隧道异常流量监测控制器102构造的一条流路由的报文,将该条流路由的报文写入端口流量交互的路由表中,根据该条流路由的异常标识产生一个动态过滤列表,对流经SRv6隧道接口的所有流量进行监测,若监测到异常流量后,向指定的SRv6隧道异常流量监测控制器102返回监测信息。
应当注意,尽管在上文详细描述中提及了基于flowspec技术的SRv6隧道异常流量监测的装置的若干模块,但是这种划分仅仅是示例性的并非强制性的。实际上,根据本发明的实施方式,上文描述的两个或更多模块的特征和功能可以在一个模块中具体化。反之,上文描述的一个模块的特征和功能可以进一步划分为由多个模块来具体化。
基于前述发明构思,如图4所示,本发明还提出一种计算机设备200,包括存储器210、处理器220及存储在存储器210上并可在处理器220上运行的计算机程序230,处理器220执行计算机程序230时实现前述基于flowspec技术的SRv6隧道异常流量监测的。
基于前述发明构思,本发明还提出一种计算机可读存储介质,计算机可读存储介质存储有执行前述基于flowspec技术的SRv6隧道异常流量监测的的计算机程序。
本发明提出的基于flowspec技术的SRv6隧道异常流量监测的方法及装置,flowspec技术定义了多协议BGP路由中五元组的12个属性即目的前缀、源前缀、IP协议、端口、目标端口、源端口、ICMP类型、ICMP代码、TCP标志、数据包长度、DSCP和片段编码,使其可以满足多种业务场景下对流的识别和处理;本方法及装置类似于针对路由的访问控制列表,为网络维护人员提供了一种灵活高效的异常流量识别方法,并能够基于业务针对不同的VPN隧道进行灵活部署;通过BGP路由的秒级更新,将异常流量的识别信息快速地应用到SRv6隧道中的路由器,提高网络的安全性、灵活性和高效性。
虽然已经参考若干具体实施方式描述了本发明的精神和原理,但是应该理解,本发明并不限于所公开的具体实施方式,对各方面的划分也不意味着这些方面中的特征不能组合以进行受益,这种划分仅是为了表述的方便。本发明旨在涵盖所附权利要求的精神和范围内所包含的各种修改和等同布置。
对本发明保护范围的限制,所属领域技术人员应该明白,在本发明的技术方案的基础上,本领域技术人员不需要付出创造性劳动即可做出的各种修改或变形仍在本发明的保护范围以内。

Claims (10)

1.一种基于flowspec技术的SRv6隧道异常流量监测的方法,其特征在于,该方法包括:
flowspec定义了多协议BGP路由中五元组相关的属性;
通过flowspec的定义,将SRv6隧道异常流量监测预警中心定义的异常标识匹配流经指定SRv6隧道异常流量监测客户端的流量,若匹配到异常流量后,将该异常流量的相关信息返回给SRv6隧道异常流量监测预警中心进行相关结果的呈现。
2.根据权利要求1所述的基于flowspec技术的SRv6隧道异常流量监测的方法,其特征在于,所述SRv6隧道异常流量监测预警中心根据业务维护需要,创建监测任务,并将监测任务发送给指定的SRv6隧道异常流量监测控制器;
所述SRv6隧道异常流量监测预警中心接收SRv6隧道异常流量监测控制器返回的监测信息,通过读取分析监测指标数值,并将此次监测结果写入数据库进行保存,通过图形化界面呈现出监测结果。
3.根据权利要求2所述的基于flowspec技术的SRv6隧道异常流量监测的方法,其特征在于,所述SRv6隧道异常流量监测控制器接收SRv6隧道异常流量监测预警中心发送的监测任务,解析监测任务中的监测信息,构造一条流路由,该条流路由包含五元组和TCP的控制字段相关的属性以及指定操作的动作属性,借助多协议BGP携带相关的控制属性,通过BGP路由的秒级快速更新该条流路由的报文,并将该报文发送给指定的SRv6隧道异常流量监测客户端;
所述SRv6隧道异常流量监测控制器接收SRv6隧道异常流量监测客户端返回的监测信息,根据监测任务号存入监测任务队列缓存中,再按照监测任务号向SRv6隧道异常流量监测预警中心返回监测信息。
4.根据权利要求3所述的基于flowspec技术的SRv6隧道异常流量监测的方法,其特征在于,所述SRv6隧道异常流量监测客户端接收SRv6隧道异常流量监测控制器构造的一条流路由的报文,将该条流路由的报文写入端口流量交互的路由表中,根据该条流路由的异常标识产生一个动态过滤列表,对流经SRv6隧道接口的所有流量进行监测,若监测到异常流量后,向指定的SRv6隧道异常流量监测控制器返回监测信息。
5.一种基于flowspec技术的SRv6隧道异常流量监测的装置,其特征在于,该装置包括:
SRv6隧道异常流量监测预警中心,用于进行SRv6隧道异常流量监测任务的创建和维护、监测过程的监控、监测信息的搜集储存和分析、监测结果的图形化呈现及监测报表的输出;
SRv6隧道异常流量监测控制器,用于向SRv6隧道异常流量监测客户端发送监测信息,并将SRv6隧道异常流量监测客户端返回的监测信息发送给SRv6隧道异常流量监测预警中心;
SRv6隧道异常流量监测客户端,用于接收SRv6隧道异常流量监测控制器发送的监测信息,通过flowspec定义的多协议BGP路由中五元组相关的属性,将监测信息中的异常标识匹配流经SRv6隧道接口的所有流量,并反馈监测信息给SRv6隧道异常流量监测控制器。
6.根据权利要求5所述的基于flowspec技术的SRv6隧道异常流量监测的装置,其特征在于,所述SRv6隧道异常流量监测预警中心,具体用于:
根据业务维护需要,创建监测任务,并将监测任务发送给指定的SRv6隧道异常流量监测控制器;
接收SRv6隧道异常流量监测控制器返回的监测信息,通过读取分析监测指标数值,并将此次监测结果写入数据库进行保存,通过图形化界面呈现出监测结果。
7.根据权利要求6所述的基于flowspec技术的SRv6隧道异常流量监测的装置,其特征在于,所述SRv6隧道异常流量监测控制器,具体用于:
接收SRv6隧道异常流量监测预警中心发送的监测任务,解析监测任务中的监测信息,构造一条流路由,该条流路由包含五元组和TCP的控制字段相关的属性以及指定操作的动作属性,借助多协议BGP携带相关的控制属性,通过BGP路由的秒级快速更新该条流路由的报文,并将该报文发送给指定的SRv6隧道异常流量监测客户端;
接收SRv6隧道异常流量监测客户端返回的监测信息,根据监测任务号存入监测任务队列缓存中,再按照监测任务号向SRv6隧道异常流量监测预警中心返回监测信息。
8.根据权利要求7所述的基于flowspec技术的SRv6隧道异常流量监测的装置,其特征在于,所述SRv6隧道异常流量监测客户端,具体用于:
接收SRv6隧道异常流量监测控制器构造的一条流路由的报文,将该条流路由的报文写入端口流量交互的路由表中,根据该条流路由的异常标识产生一个动态过滤列表,对流经SRv6隧道接口的所有流量进行监测,若监测到异常流量后,向指定的SRv6隧道异常流量监测控制器返回监测信息。
9.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1-4任一项所述方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有执行权利要求1-4任一项所述方法的计算机程序。
CN202211427850.0A 2022-11-15 2022-11-15 一种基于flowspec技术的SRv6隧道异常流量监测的方法及装置 Pending CN115766219A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211427850.0A CN115766219A (zh) 2022-11-15 2022-11-15 一种基于flowspec技术的SRv6隧道异常流量监测的方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211427850.0A CN115766219A (zh) 2022-11-15 2022-11-15 一种基于flowspec技术的SRv6隧道异常流量监测的方法及装置

Publications (1)

Publication Number Publication Date
CN115766219A true CN115766219A (zh) 2023-03-07

Family

ID=85371437

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211427850.0A Pending CN115766219A (zh) 2022-11-15 2022-11-15 一种基于flowspec技术的SRv6隧道异常流量监测的方法及装置

Country Status (1)

Country Link
CN (1) CN115766219A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117201407A (zh) * 2023-11-07 2023-12-08 湖南国科超算科技有限公司 一种应用感知的IPv6网络快速拥塞检测与避免方法

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117201407A (zh) * 2023-11-07 2023-12-08 湖南国科超算科技有限公司 一种应用感知的IPv6网络快速拥塞检测与避免方法
CN117201407B (zh) * 2023-11-07 2024-01-05 湖南国科超算科技有限公司 一种应用感知的IPv6网络快速拥塞检测与避免方法

Similar Documents

Publication Publication Date Title
US10742556B2 (en) Tactical traffic engineering based on segment routing policies
US10419327B2 (en) Systems and methods for controlling switches to record network packets using a traffic monitoring network
US7995477B2 (en) Collecting network traffic information
EP3222005B1 (en) Passive performance measurement for inline service chaining
CN101180839B (zh) 用于产生和维护服务级别诊断测试点库的方法和***
EP3151470B1 (en) Analytics for a distributed network
CN110784400B (zh) N:1有状态应用网关冗余方法、***和备用服务网关
US20170054628A1 (en) Route reflector as a service
US20170250908A1 (en) System and Method for Dataplane-Signaled Packet Capture in a Segment Routing Environment
JP2007129702A (ja) Vpnトポロジの準リアルタイム更新を発見及び提供する方法及びシステム
US11411988B2 (en) Managing traffic control in a network mitigating DDOS
US20200153725A1 (en) Centralized error telemetry using segment routing header tunneling
US20080181219A1 (en) Detecting and identifying connectivity in a network
JP2012526500A (ja) データ通信セッションを制御する方法および装置
US9954761B2 (en) Dynamic detection of VPN sites
CN115766219A (zh) 一种基于flowspec技术的SRv6隧道异常流量监测的方法及装置
WO2021219010A1 (zh) 路由控制方法、装置、***以及边界网关协议对等体
US11265257B2 (en) Rapid network traffic telemetry exports with split templates and flow records
Xia et al. Resource optimization for service chain monitoring in software-defined networks
Sgier Visualizing bgp rib changes into forwarding plane by leveraging bmp and ipfix
Sankari et al. Network traffic analysis of cloud data centre
US11552848B2 (en) System and method for managing a network device
KR20120002176A (ko) Mpls vpn 라우팅 정보 관리 서버 및 그 방법
WO2023222028A1 (zh) 一种网络编程技术处理方法、***及存储介质
Pucci et al. Monitoring an EVPN-VxLAN fabric with BGP Monitoring Protocol

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination