基于ATCA一体化的高效动态收敛机制实现方法和系统

摘要

本发明公开了一种基于ATCA一体化的高效动态收敛机制实现方法和系统，包括网络分流器与服务器建立连接；在所述网络分流器中设置静态过滤规则，利用所述静态过滤规则完成数据流量的第一级过滤；所述服务器下发会话管理指令，所述网络分流器利用所述会话管理指令完成所述完成数据流量的第二级过滤；提取满足所述会话管理指令的所述数据流量返回到网络链路或丢弃。以及一种基于ATCA一体化的高效动态收敛机制实现系统。解决数据流量收敛方案和机制效率低、稳定性不够、性能差以及的服务器的数据流量压力大的问题。

说明书

技术领域

本发明涉及互联网的流量数据领域，具体说是一种基于ATCA一体化的高效动态收敛机制实现方法和系统。

背景技术

现有的分流采集系统常由分流设备、交换机设备和DPI（Deep packetinspection）服务器三个部分组成，之间使用光纤互联，服务器通过网络通信的方式向分流设备下发过滤规则，规则在业务板上会永久效，规则越来越多的情况下会导致规则容量不够，需要服务器不断地对规则进行删除维护，耗费处理性能，这种网络拓扑结构不但成本高、布线复杂、体积大、功耗高，数据流量收敛方案和机制也有效率低、稳定性不够、性能差等缺点。

当前普遍应用的分流设备、交换机设备和DPI服务器组合网络拓扑结构，本身存在着兼容性差、稳定性差等诸多问题，另外，DPI服务器通过网络通信向分流器下发过滤规则，会也存在时延大、生效慢，尤其是网络环境不稳定情况下，流量收敛效果会非常差，给后端服务器造成很大的流量压力；而且过滤规则不能定期自动删除，会耗尽规则容量空间，需要服务器实时地去维护，对服务器的处理性能也带来很大影响。

发明内容

有鉴于此，本发明提供一种基于ATCA一体化的高效动态收敛机制实现方法和系统，以解决数据流量收敛方案和机制效率低、稳定性不够、性能差以及的服务器的数据流量压力大的问题。

第一方面，本发明提供一种基于ATCA一体化的高效动态收敛机制实现方法，应用于网络分流器，包括：

与服务器建立连接；

在所述网络分流器中设置静态过滤规则，利用所述静态过滤规则完成数据流量的第一级过滤，提取满足所述静态过滤规则的第一组会话报文，发送不满足所述静态过滤规则的所述数据流量到所述服务器；

所述服务器判断所述第一组会话报文是否为所关心的会话报文，若所述第一组会话报文是所述服务器所关心的，所述第一组会话报文发送到所述服务器；

若所述第一组会话报文是所述服务器不关心的，所述网络分流器获取所述服务器下发会话管理指令，所述网络分流器利用所述会话管理指令完成所述第一组会话报文的第二级过滤；

提取满足所述会话管理指令的第二组会话报文，所述第二组会话报文返回到网络链路或丢弃；

发送不满足所述会话管理指令的第三组会话报文到所述服务器；

其中，所述网络分流器串接在所述网络链路中；

其中，所述会话管理指令和第二组会话报文是一组具有相同五元组的上行数据流量或下行数据流量。

优选地，所述的一种基于ATCA一体化的高效动态收敛机制实现方法，应用于网络分流器，其特征在于：

所述网络分流器与所述服务器通过物理通道建立连接；

所述服务器为刀片服务器。

优选地，所述静态过滤规则至少根据所述数据流量的源IP、目的IP、源port、目的port、协议号、入接口、字符串和净荷长度中的一项进行设定；

所述会话管理指令是针对所述第一组会话报文下发的五元组规则。

优选地，所述的一种基于ATCA一体化的高效动态收敛机制实现方法，应用于网络分流器：

所述网络分流器进一步包括：

设定老化时间，用于所述会话管理指令的管理；

其中，所述会话管理指令的管理为所述会话管理指令的保留和删除。

优选地，所述会话管理指令的管理的方法包括：

获取所述设定老化时间；

计时，所述网络分流器收到所述会话管理指令后开始计时；

判断是否所述计时的时间超过所述老化时间，若所述计时的时间超过所述设定老化时间，则所述网络分流器删除所述会话管理指令；若所述计时的时间小于所述设定老化时间，则所述网络分流器保留所述会话管理指令。

第二方面，本发明提供一种基于ATCA一体化的高效动态收敛机制实现方法，应用于服务器，包括：

与网络分流器建立连接；

获取数据流量中满足静态过滤规则提取的第一组会话报文和不满足所述静态过滤规则的所述数据流量；

判断所述第一组会话报文是否为所关心的会话报文，若所述第一组会话报文是所述服务器所关心的，所述服务器接收所述第一组会话报文；

若所述第一组会话报文是所述服务器不关心的，向所述网络分流器发送会话管理指令，所述会话管理指令用于对所述第一组会话报文进行第二级过滤；

向所述网络分流器发送满足所述会话管理指令的第二组会话报文，所述第二组会话报文返回到网络链路或丢弃；

接收不满足所述会话管理指令的第三组会话报文到所述服务器；

其中，所述网络分流器串接在所述网络链路中，所述静态过滤规则位于所述网络分流器中；

其中，所述会话管理指令和第二组会话报文是一组具有相同五元组的上行数据流量或下行数据流量。

优选地，所述服务器与所述网络分流器通过物理通道建立连接；

所述服务器为刀片服务器。

优选地，所述网络分流器对数据流量进行第一级过滤的方法为：

所述网络分流器设置静态过滤规则，利用所述设置静态过滤规则完成所述数据流量的第一级过滤；

其中，所述设置静态过滤规则至少根据所述数据流量的源IP、目的IP、源port、目的port、协议号、入接口、字符串和净荷长度中的一项进行设定；

所述会话管理指令是针对所述第一组会话报文下发的五元组规则；

所述网络分流器进一步包括：

所述会话管理指令的管理；

其中，所述会话管理指令的管理为所述会话管理指令的保留和删除。

第三方面，本发明发提供一种基于ATCA一体化的高效动态收敛机制实现系统，包括：如上所述的网络分流器和如上所述的服务器。

上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的具体实施方式。

本发明至少具有如下有益效果：

本发明提供的一种基于ATCA一体化的高效动态收敛机制实现方法和系统，提高了数据流量收敛方案和机制的时效性和稳定性，整体性能优于以往的方案，解决了服务器的数据流量压力大的问题。

附图说明

通过以下参考附图对本发明实施例的描述，本发明的上述以及其它目的、特征和优点更为清楚，在附图中：

图1是本发明实施例的基于ATCA一体化的高效动态收敛机制实现系统框图；

图2是本发明另一实施例的一种基于ATCA一体化的高效动态收敛机制实现方法的流程图；

图3是本发明再一实施例的一种基于ATCA一体化的高效动态收敛机制实现方法的流程图。

具体实施方式

以下基于实施例对本发明进行描述，但是值得说明的是，本发明并不限于这些实施例。在下文对本发明的细节描述中，详尽描述了一些特定的细节部分。然而，对于没有详尽描述的部分，本领域技术人员也可以完全理解本发明。

此外，本领域普通技术人员应当理解，所提供的附图只是为了说明本发明的目的、特征和优点，附图并不是实际按照比例绘制的。

同时，除非上下文明确要求，否则整个说明书和权利要求书中的“包括”、“包含”等类似词语应当解释为包含的含义而不是排他或穷举的含义；也就是说，是“包含但不限于”的含义。

图1是本发明实施例的基于ATCA一体化的高效动态收敛机制实现系统框图。如图1所示，基于ATCA一体化的高效动态收敛机制实现系统包括ATCA平台1、上行数据流量2和下行数据流量3，ATCA平台1进一步包括服务器12和网络分流器11，其中服务器12由多台服务器组成，如服务器12a和服务器12b。服务器12a和服务器12b分别与网络分流器11连接，网络分流器11中设置静态过滤规则，利用静态过滤规则完成数据流量的第一级过滤，提取满足静态过滤规则的第一组会话报文，不满足静态过滤规则的数据流量发送至服务器12a或服务器12b；之后网络分流器11与服务器12建立连接；网络分流器11获取服务器12下发会话管理指令，会话管理指令是针对第一组会话报文下发的五元组规则，网络分流器11利用会话管理指令完成第一组会话报文的第二级过滤；网络分流器11提取满足会话管理指令的第二组会话报文，第二组会话报文返回到网络链路或丢弃，发送不满足会话管理指令的第三组会话报文到服务器12a或服务器12b。

同时，服务器12与网络分流器11建立连接，服务器12获取网络分流器11对数据流量进行第一级过滤的第一组会话报文，若，服务器12判断第一组会话报文是否是所关心的会话报文，若数据流量不满足静态过滤规则，则数据流量直接发送至服务器12a或服务器12b，第一组会话报文是所述服务器12所关心的，服务器12接收第一组会话报文；若第一组会话报文是服务器12不关心的，服务器12向网络分流器11发送会话管理指令，会话管理指令是针对第一组会话报文下发的五元组规则，会话管理指令也可称为动态规则，服务器12与网络分流器11建立连接后，服务器12根据第一组会话报文的五元组特征，如第一组会话报文的源IP、目的IP、源port、目的port和协议号实时下发会话管理指令，对第一组会话报文进行管理，实现第二级精细化过滤，并提取满足会话管理指令的第二组会话报文，第二组会话报文返回到网络链路或丢弃，服务器12a或服务器12b接收不满足会话管理指令的第三组会话报文。

图1中，网络分流器11串接在网络链路中；会话管理指令和第二组会话报文是一组具有相同五元组的上行数据流量或下行数据流量，上行数据流量2和下行数据流量3都需要上述第一级过滤和第二级过滤。

进一步地，服务器12与网络分流器11通过物理通道建立连接。

进一步地，服务器12为刀片服务器，服务器12的数量至少为1个，用户可根据实际情况进行扩展。

进一步地，设置静态过滤规则至少根据所述数据流量的源IP、目的IP、源port、目的port、协议号、入接口、字符串和净荷长度中的一项进行设定，如静态过滤规则设置为：sip=192.168.1.1 dip=172.0.0.1 sp=80 dp=5923 proto=tcp iifgrp=1 keywords=ABClength=15，一般情况只会选择其中一元或多元进行过滤，不会全部配置。

进一步地，网络分流器11进一步包括对会话管理指令的管理。其中，会话管理指令的管理为会话管理指令的保留和删除。避免会话管理指令在网络分流器上会永久停留，会话管理指令在网络分流器上会永久停留，会话管理指令越来越多，导致网络分流器的存储容量不够，需要不断地对会话管理指令进行删除维护，耗费处理性能。

会话管理指令的管理的方法包括：获取设定老化时间；计时，网络分流器收到会话管理指令后开始计时；判断是否计时的时间超过老化时间。

其中，老化时间的设定的范围是0～365天，用户可根据具体情况进行设定老化时间，本发明不做限制。

若计时的时间超过设定老化时间，则网络分流器删除会话管理指令；若计时的时间小于设定老化时间，则网络分流器保留所述会话管理指令。

图2是本发明另一实施例的一的流程图。如图2所示，包括步骤201网络分流器与服务器建立连接，202网络分流器进行数据流量的第一级过滤、步骤203网络分流器提取第一组会话报文、步骤204服务器判断第一会话报文是否为所关心的会话报文、步骤205数据流量发送到服务器、步骤206网络分流器进行第一组会话报文的第二级过滤、步骤207网络分流器提取第二组会话报文和步骤208网络分流器提取第三组会话报文。

步骤201网络分流器与服务器建立连接：网络分流器上设置服务器的ip地址、用户名和密码，服务器上同时设置网络分流器的ip地址、用户名和密码，通过网络分流器和服务器相互验证的方式完成网络分流器与服务器的通讯，网络分流器和每个服务器都具有固定的物理通道（比如，网络分流器上的接口），即服务器与网络分流器通过物理通道建立连接。

202网络分流器进行数据流量的第一级过滤：在网络分流器设置静态过滤规则，静态过滤规则至少根据所述数据流量的源IP、目的IP、源port、目的port、协议号、入接口、字符串和净荷长度中的一项进行设定，如静态过滤规则设置为：sip=192.168.1.1 dip=172.0.0.1 sp=80 dp=5923 proto=tcp iifgrp=1 keywords=ABC length=15，一般情况只会选择其中一元或多元进行过滤，不会全部配置。利用静态过滤规则完成数据流量的第一级过滤，本发明不对具体的静态过滤规进行限定。

步骤203网络分流器提取第一组会话报文：网络分流器提取满足静态过滤规则的第一组会话报文，若数据流量不满足静态过滤规则，进入步骤205数据流量发送到服务器。

步骤204服务器判断第一会话报文是否为所关心的会话报文：网络分流器通过物理通道将步骤203网络分流器提取第一组会话报文发送给服务器，服务器通过对第一组会话报文进行解析，服务器通过对第一组会话报文进行解析的过程为判断是否为服务器关心的第一组会话报文，若是服务器关心的第一组会话报文，进入步骤205数据流量发送到服务器，即将第一组会话报文发送到服务器，若第一组会话报文不是服务器所关心的，服务器下发会话管理指令，进入步骤206网络分流器进行第一组会话报文的第二级过滤。

其中，服务器已经设定所关心的第一组会话报文，如邮件、网页或P2P等流量数据。

步骤205数据流量发送到服务器：网络分流器发送不满足静态过滤规则的数据流量以及步骤208网络分流器提取第三组会话报文。

步骤206网络分流器进行第一组会话报文的第二级过滤：服务器通过对第一组会话报文进行提取，提取第一组会话报文的五元组信息，服务器下发会话管理指令（即，五元组规则），网络分流器获取服务器下发会话管理指令，网络分流器根据会话管理指令对第一组会话报文进行第二级过滤，满足五元组规则的第一组会话报文进行滤除，进入步骤207网络分流器提取第二组会话报，不满足五元组规则的第一组会话报文进入步骤208网络分流器提取第三组会话报文。其中，五元组规则为第一组会话报文的源IP、目的IP、源port、目的port和协议号，服务器实时下发会话管理指令，网络分流器利用会话管理指令完成所述第一组会话报文的第二级过滤，五元组规则可以第一组会话报文的源IP、目的IP、源port、目的port和协议号中的一种或几种，本发明不对具体的五元组规则进行限定。

步骤207网络分流器提取第二组会话报文：提取第一组会话报文不满足会话管理指令的流量数据，即第二组会话报文，第二组会话报文返回到网络链路或丢弃。

步骤208网络分流器提取第三组会话报文：提取第一组会话报文满足会话管理指令的流量数据，即第三组会话报文，进入步骤205数据流量发送到服务器，即将第三组会话报文发送到服务器。

进一步地，上述服务器选用刀片服务器。

更进一步地，网络分流器进一步包括对会话管理指令的管理。其中，会话管理指令的管理为会话管理指令的保留和删除。避免会话管理指令在网络分流器上会永久停留，会话管理指令在网络分流器上会永久停留，会话管理指令越来越多，导致网络分流器的存储容量不够，需要不断地对会话管理指令进行删除维护，耗费处理性能。

会话管理指令的管理的方法包括：获取设定老化时间；计时，网络分流器收到会话管理指令后开始计时；判断是否计时的时间超过老化时间。

其中，老化时间的设定的范围是0～365天，用户可根据具体情况进行设定老化时间，本发明不做限制。

若计时的时间超过设定老化时间，则网络分流器删除会话管理指令；若计时的时间小于设定老化时间，则网络分流器保留所述会话管理指令。

图3是本发明再一实施例的一种基于ATCA一体化的高效动态收敛机制实现方法的流程图。如图3所示，一种基于ATCA一体化的高效动态收敛机制实现方法包括步骤301服务器与网络分流器建立连接、步骤302服务器获取数据流量中满足静态过滤规则提取的第一组会话报文（网络分流器完成数据流量的一级过滤）、步骤303服务器判断第一组会话报文是否为所关心的会话报文、步骤304服务器向网络分流器发送会话管理指令、步骤305网络分流器对第一组会话报文进行第二级过滤、步骤306服务器获取数据流量、步骤307网络分流器提取第二组会话报文和步骤308网络分流器提取第三组会话报文。

步骤301服务器与网络分流器建立连接：服务器上同时设置网络分流器的ip地址、用户名和密码，网络分流器上设置服务器的ip地址、用户名和密码，通过服务器和网络分流器相互验证的方式完成服务器与网络分流器的通讯，每个服务器和网络分流器都具有固定的物理通道（比如，网络分流器上的接口），即服务器与网络分流器通过物理通道建立连接。

步骤302服务器获取数据流量中满足静态过滤规则提取的第一组会话报文（网络分流器完成数据流量的一级过滤）：在网络分流器设置静态过滤规则，静态过滤规则至少根据所述数据流量的源IP、目的IP、源port、目的port、协议号、入接口、字符串和净荷长度中的一项进行设定，如静态过滤规则设置为：sip=192.168.1.1 dip=172.0.0.1 sp=80 dp=5923 proto=tcp iifgrp=1 keywords=ABC length=15，一般情况只会选择其中一元或多元进行过滤，不会全部配置。利用静态过滤规则完成数据流量的第一级过滤，本发明不对具体的静态过滤规进行限定。网络分流器提取满足静态过滤规则的第一组会话报文，服务器获取第一组会话报文；若数据流量不满足静态过滤规则，进入步骤306数据流量发送到服务器。

步骤303服务器判断第一组会话报文是否为所关心的会话报文：服务器通过物理通道获取第一组会话报文，服务器通过对第一组会话报文进行解析，服务器通过对第一组会话报文进行解析的过程为判断是否为服务器关心的第一组会话报文，若是服务器关心的第一组会话报文，进入步骤306服务器获取数据流量，即将第一组会话报文发送到服务器，若第一组会话报文不是服务器所关心的，进入步骤304服务器向网络分流器发送会话管理指令。

其中，服务器已经设定所关心的第一组会话报文，如邮件、网页或P2P等流量数据。

步骤304服务器向网络分流器发送会话管理指令：服务器通过对第一组会话报文进行提取，提取第一组会话报文的五元组信息，服务器下发会话管理指令（即，五元组规则）到网络分流器。其中，五元组规则为第一组会话报文的源IP、目的IP、源port、目的port和协议号，服务器实时下发会话管理指令，网络分流器利用会话管理指令完成所述第一组会话报文的第二级过滤，五元组规则可以第一组会话报文的源IP、目的IP、源port、目的port和协议号中的一种或几种，本发明不对具体的五元组规则进行限定。

步骤305网络分流器对第一组会话报文进行第二级过滤：网络分流器根据会话管理指令对第一组会话报文进行第二级过滤，满足五元组规则的第一组会话报文进行滤除，进入步骤步骤307网络分流器提取第二组会话报文，不满足五元组规则的第一组会话报文进入步骤308网络分流器提取第三组会话报文。

步骤306服务器获取数据流量：服务器获取不满足静态过滤规则的数据流量以及步骤308网络分流器提取第三组会话报文。

步骤307网络分流器提取第二组会话报文：提取第一组会话报文不满足会话管理指令的流量数据，即第二组会话报文，第二组会话报文返回到网络链路或丢弃。

步骤308网络分流器提取第三组会话报文：提取第一组会话报文满足会话管理指令的流量数据，即第三组会话报文，进入步骤306服务器获取数据流量。

进一步地，上述服务器选用刀片服务器。

更进一步地，上述会话管理指令可以通过网络分流器中的老化时间进行管理。具体地为，上述会话管理指令的保留和删除。避免会话管理指令在网络分流器上会永久停留，会话管理指令在网络分流器上会永久停留，会话管理指令越来越多，导致网络分流器的存储容量不够，需要不断地对会话管理指令进行删除维护，耗费处理性能。

会话管理指令的管理的方法包括：获取设定老化时间；计时，网络分流器收到会话管理指令后开始计时；判断是否计时的时间超过老化时间。

其中，老化时间的设定的范围是0～365天，用户可根据具体情况进行设定老化时间，本发明不做限制。

若计时的时间超过设定老化时间，则网络分流器删除会话管理指令；若计时的时间小于设定老化时间，则网络分流器保留所述会话管理指令。

显然，本领域的技术人员应该明白，上述的本发明的各模块或各步骤可以用通用的计算装置来实现，它们可以集中在单个的计算装置上，或者分布在多个计算装置所组成的网络上，可选地，它们可以用计算装置可执行的程序代码来实现，从而，可以将它们存储在存储装置中由计算装置来执行，或者将它们分别制作成各个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样，本发明不限制于任何特定的硬件和软件结合。

以上所述实施例仅为表达本发明的实施方式，其描述较为具体和详细，但并不能因此而理解为对本发明专利范围的限制。应当指出的是，对本领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干变形、同等替换、改进等，这些都属于本发明的保护范围。因此，本发明专利的保护范围应以所附权利要求为准。