[发明专利]一种基于流量实现ipfix探测的方法及装置

说明书

本发明揭示了一种基于流量实现ipfix探测的方法及装置，所述方法包括：根据流量中的报文头部字段匹配芯片中的第一级流表，识别出所需探测的流量；将识别出的流量送入芯片中的第二级流表中进行匹配和数量统计，并将匹配出的新的流量学习到芯片内存中。本发明采用两级流表的方式实现ipfix，使得ipfix具备了基于流量作探测点的能力，能够提高所想监测流量的识别度从而降低非关心流量对ipfix内存的过多消耗。

技术领域

本发明涉及一种ipfix探测技术，尤其是涉及一种基于流量实现ipfix探测的方法及装置。

背景技术

交换机芯片实现IPFIX(IP Flow Information Export，IP数据流信息输出)的基本原理是：通过ipfix engine(ipfix引擎)实现IP数据流多方面的统计和监测，其中ipfixengine主要包括key(哈希查找识别出流flow)和record(对flow进行相关统计，如报文个数统计)两部分。每有一条新的数据流到达Ipfix engine就会被学习到芯片内存中，从而占据一定规格的内存容量。

根据RFC，目前Ipfix的监测点是基于端口实现的，如对某一端口的流量实现报文个数的统计。随着流量种类的急剧增多，单是用于统计此端口流量而占用的内存就会消耗巨大。实际上，某些时候我们只想对此端口上的某些流量实现统计。所以，本文提出了一种新型的Ipfix探测实现方案，以降低对Ipfix内存的过多消耗。

发明内容

本发明的目的在于克服现有技术的缺陷，提供一种基于流量实现Ipfix探测的方法及装置，采用两级流表的方式实现Ipfix。

为实现上述目的，本发明提出如下技术方案：一种基于流量实现Ipfix探测的方法，包括：

S1，根据流量中的报文头部字段匹配芯片中的第一级流表，识别出所需探测的流量；

S2，将识别出的所述流量送入芯片中的第二级流表中进行匹配和数量统计，并将匹配出的新的流量学习到芯片内存中。

优选地，所述S1包括：

S11，在第一级流表中配置用于识别需探测的IP流量的第一关键字；

S12，将IP流量中的报文头部字段与第一级流表中的所述第一关键字相匹配，若匹配，则为需探测的IP流量，并送入第二级流表中。

优选地，所述S2包括：

S21，在第二级流表中配置用于识别需记录的IP流量的第二关键字；

S22，将经第一级流表中识别出的流量与第二级流表中的所述第二关键字相匹配，若匹配，则对匹配出的IP流量进行统计，并将匹配出的新的流量学习到芯片内存中。

优选地，所述S22中，若匹配出IP流量不是新的流量，则直接更新芯片中的IP流量统计计数。

优选地，所述第一和第二关键字均包括以太网头部字段、端口号和IP头部字段中的一种或两种以上字段的组合。

本发明还提供了另外一种技术方案：一种基于流量实现Ipfix探测的装置，包括：访问控制装置和与访问控制装置通信连接的流量监测装置，所述访问控制装置中配置有第一级流表，所述流量监测装置中配置有第二级流表，

所述访问控制装置用于根据流量中的报文头部字段匹配自身中的所述第一级流表，识别出所需探测的流量，并将识别出的流量送入流量监测装置中；

所述流量监测装置用于将识别出的流量与自身中的第二级流表中进行匹配和数量统计，并将匹配出的新的流量学习到自身内存中。