專利名稱:網(wǎng)絡(luò)流的動(dòng)態(tài)管理的制作方法
技術(shù)領(lǐng)域:
本發(fā)明的實(shí)施例涉及網(wǎng)絡(luò)處理領(lǐng)域,更具體來(lái)說(shuō)�,涉及網(wǎng)絡(luò)流的動(dòng)態(tài)管理。
背景技術(shù):
網(wǎng)絡(luò)流機(jī)制提供關(guān)于流經(jīng)網(wǎng)絡(luò)設(shè)備(例如路由器)的分組的統(tǒng)計(jì)�����。網(wǎng)絡(luò)流是通常在某個(gè)時(shí)間間隔期間從一點(diǎn)傳送到另一點(diǎn)(例如,一個(gè)IP地址到另一個(gè)IP地址��、一個(gè)端口到另一個(gè)端口�����、標(biāo)簽交換等等)的一系列分組���。網(wǎng)絡(luò)流能夠通過(guò)許多方式來(lái)定義。通常���,屬于特定流的所有分組具有一組共同性質(zhì)��。例如��,共同性質(zhì)可包括相同分組報(bào)頭字段(例如源IP地址和/或目標(biāo)IP地址)����、傳輸報(bào)頭字段(例如源UDP或TCP端口和/或目標(biāo)UDP或 TCP端口)���、應(yīng)用報(bào)頭字段(例如實(shí)時(shí)協(xié)議(RTP)報(bào)頭字段)��、分組的一個(gè)或多個(gè)特性(例如MPLS標(biāo)簽的數(shù)量等)和/或從分組處理得出的一個(gè)或多個(gè)字段(例如下一跳IP地址�����、 輸出接口等)�����。存在若干IP流測(cè)量和導(dǎo)出技術(shù)�,以便在端口級(jí)或虛擬路由器級(jí)監(jiān)測(cè)流�,并且在各種網(wǎng)絡(luò)級(jí)實(shí)體提供統(tǒng)計(jì)。通常����,在這類網(wǎng)絡(luò)流機(jī)制中,一個(gè)或多個(gè)路由器監(jiān)測(cè)在端口和/或虛擬路由器上流動(dòng)的分組��,并且向遠(yuǎn)程裝置發(fā)送流記錄供收集和進(jìn)一步處理���。路由器可在許多情況下輸出流記錄���。例如,路由器可在確定對(duì)應(yīng)流已完成時(shí)輸出流記錄。確定流已完成可通過(guò)流時(shí)效來(lái)實(shí)現(xiàn)(例如��,路由器保持時(shí)效計(jì)數(shù)器或每個(gè)流����,并且當(dāng)路由器觀測(cè)現(xiàn)有流的新業(yè)務(wù)時(shí),它重置時(shí)效計(jì)數(shù)器)���。作為另一個(gè)示例�,TCP流中的TCP會(huì)話終止可促使路由器導(dǎo)出對(duì)應(yīng)流記錄�。作為又一個(gè)示例,路由器可配置成即使流仍然在進(jìn)行中也以固定間隔來(lái)輸出流記錄����。關(guān)于特定路由器或多個(gè)路由器的統(tǒng)計(jì)(例如網(wǎng)絡(luò)視圖)可從遠(yuǎn)程裝置中存儲(chǔ)的統(tǒng)計(jì)來(lái)得到���。在訂戶級(jí)通常沒(méi)有保存流記錄。
通過(guò)參照用來(lái)說(shuō)明本發(fā)明的實(shí)施例的以下描述和附圖�,可以最透徹地了解本發(fā)明�。附圖中圖1是示出按照本發(fā)明的一個(gè)實(shí)施例的示范網(wǎng)絡(luò)流管理系統(tǒng)的數(shù)據(jù)流圖;圖2是示出在按照本發(fā)明的一個(gè)實(shí)施例的網(wǎng)絡(luò)流管理系統(tǒng)中使用的示范流網(wǎng)絡(luò)元件的數(shù)據(jù)流圖�����;圖3是示出在按照本發(fā)明的一個(gè)實(shí)施例的網(wǎng)絡(luò)流管理系統(tǒng)中使用的示范收集器的數(shù)據(jù)流圖;圖4是示出在按照本發(fā)明的一個(gè)實(shí)施例的網(wǎng)絡(luò)流管理系統(tǒng)中使用的示范組合AAA 和策略服務(wù)器的數(shù)據(jù)流圖����;圖5示出按照本發(fā)明的一個(gè)實(shí)施例的網(wǎng)絡(luò)流管理系統(tǒng)的觀測(cè)點(diǎn)的各個(gè)層���;圖6A示出按照本發(fā)明的一個(gè)實(shí)施例的示范網(wǎng)絡(luò)流結(jié)構(gòu)���;圖6B示出按照本發(fā)明的一個(gè)實(shí)施例的流記錄的示范結(jié)構(gòu)����;圖7示出按照本發(fā)明的一個(gè)實(shí)施例的示范策略定義結(jié)構(gòu);以及
圖8是示出按照本發(fā)明的一個(gè)實(shí)施例的網(wǎng)絡(luò)流管理系統(tǒng)的概念圖�����。
具體實(shí)施例方式在以下描述中提出許多具體細(xì)節(jié)�。但是大家理解�����,即使沒(méi)有這些具體細(xì)節(jié)也可實(shí)施本發(fā)明的實(shí)施例���。在其它情況下���,沒(méi)有詳細(xì)示出眾所周知的電路、結(jié)構(gòu)和技術(shù)�����,以免影響對(duì)本描述的理解��。通過(guò)所包含的描述���,本領(lǐng)域的技術(shù)人員將能夠?qū)崿F(xiàn)適當(dāng)?shù)墓δ苄远鵁o(wú)需過(guò)分實(shí)驗(yàn)����。說(shuō)明書中提到“ 一個(gè)實(shí)施例”�、“實(shí)施例”��、“示例實(shí)施例���,,等等指示所述的實(shí)施例可包括特定特征、結(jié)構(gòu)或特性�,但可能不一定每一個(gè)實(shí)施例都包括該特定特征、結(jié)構(gòu)或特性�����。 此外��,這類詞語(yǔ)不一定指同一個(gè)實(shí)施例��。此外���,在結(jié)合一個(gè)實(shí)施例來(lái)描述特定特征�、結(jié)構(gòu)或特性時(shí)�,無(wú)論是否明確描述,均認(rèn)為結(jié)合其它實(shí)施例來(lái)實(shí)現(xiàn)這種特征�、結(jié)構(gòu)或特性是處于本領(lǐng)域的技術(shù)人員的知識(shí)范圍之內(nèi)的。在以下描述和權(quán)利要求書中����,可使用術(shù)語(yǔ)“耦合”和“連接”及其派生。應(yīng)當(dāng)理解�����, 這些術(shù)語(yǔ)不是要作為彼此的同義詞?���!榜詈稀庇糜谥甘颈舜丝梢蕴幱诨蛘弑舜丝梢圆惶幱谥苯游锢砘螂娊佑|的兩個(gè)或更多元件相互協(xié)作或交互?!斑B接”用于指示相互耦合的兩個(gè)或更多元件之間的通信的建立。附圖所示的技術(shù)能夠使用在一個(gè)或多個(gè)電子裝置(例如計(jì)算機(jī)端站�����、網(wǎng)絡(luò)元件等)上存儲(chǔ)和運(yùn)行的代碼及數(shù)據(jù)來(lái)實(shí)現(xiàn)���。這類電子裝置使用諸如機(jī)器可讀存儲(chǔ)介質(zhì)(例如磁盤���、光盤、隨機(jī)存取存儲(chǔ)器�、只讀存儲(chǔ)器、閃速存儲(chǔ)器裝置���、相變存儲(chǔ)器)和機(jī)器可讀通信介質(zhì)(例如電���、光、聲或其它形式的傳播信號(hào)-諸如載波��、紅外信號(hào)���、數(shù)字信號(hào)等)之類的機(jī)器可讀介質(zhì)來(lái)存儲(chǔ)和傳遞(在內(nèi)部和/或通過(guò)網(wǎng)絡(luò)與其它計(jì)算裝置)代碼和數(shù)據(jù)����。另外�����, 這類電子裝置通常包括一組一個(gè)或多個(gè)處理器���,該組一個(gè)或多個(gè)處理器耦合到諸如存儲(chǔ)裝置�����、一個(gè)或多個(gè)用戶輸入/輸出裝置(例如鍵盤��、觸摸屏和/或顯示器)和網(wǎng)絡(luò)連接之類的一個(gè)或多個(gè)其它組件���。該組處理器與其它組件的耦合通常通過(guò)一個(gè)或多個(gè)總線和橋接器 (又稱作總線控制器)。存儲(chǔ)裝置以及攜帶網(wǎng)絡(luò)業(yè)務(wù)的信號(hào)分別表示一個(gè)或多個(gè)機(jī)器可讀存儲(chǔ)介質(zhì)和機(jī)器可讀通信介質(zhì)��。因此���,給定電子裝置的存儲(chǔ)裝置通常存儲(chǔ)供該電子裝置的該組一個(gè)或多個(gè)處理器上運(yùn)行的代碼和/或數(shù)據(jù)�。當(dāng)然,本發(fā)明的一個(gè)實(shí)施例的一個(gè)或多個(gè)部分可使用軟件��、固件和/或硬件的不同組合來(lái)實(shí)現(xiàn)�。本文所使用的“網(wǎng)絡(luò)元件”(例如路由器、交換機(jī)���、橋接器等)是包括硬件和軟件的一件連網(wǎng)設(shè)備���,它與網(wǎng)絡(luò)上的其它設(shè)備(例如其它網(wǎng)絡(luò)元件、計(jì)算機(jī)端站等)在通信上互連����。一些網(wǎng)絡(luò)元件是“多服務(wù)網(wǎng)絡(luò)元件”,它們提供對(duì)多個(gè)連網(wǎng)功能(例如路由選擇���、橋接����、 交換���、第2層聚集和/或訂戶管理)的支持和/或提供對(duì)多個(gè)應(yīng)用服務(wù)(例如數(shù)據(jù)�����、語(yǔ)音和視頻)的支持���。訂戶計(jì)算機(jī)端站(例如工作站、膝上型計(jì)算機(jī)�、掌上型計(jì)算機(jī)、移動(dòng)電話����、智能電話、多媒體電話��、便攜媒體播放器�����、GPS單元���、游戲系統(tǒng)��、機(jī)頂盒等)訪問(wèn)通過(guò)因特網(wǎng)所提供的內(nèi)容/服務(wù)和/或置于因特網(wǎng)上的虛擬專用網(wǎng)絡(luò)(VPN)上提供的內(nèi)容/服務(wù)��。內(nèi)容和/或服務(wù)通常由屬于服務(wù)或內(nèi)容提供商的一個(gè)或多個(gè)服務(wù)器計(jì)算機(jī)端站來(lái)提供�����,并且可包括公開(kāi)網(wǎng)頁(yè)(免費(fèi)內(nèi)容�����、店面��、搜索服務(wù)等)����、私人網(wǎng)頁(yè)(例如提供電子郵件服務(wù)的用戶名 /密碼訪問(wèn)網(wǎng)頁(yè)等)、通過(guò)VPN的公司網(wǎng)絡(luò)等等�。通常,訂戶計(jì)算機(jī)端站(例如通過(guò)(有線或無(wú)線)耦合到接入網(wǎng)的客戶駐地設(shè)備)耦合到邊緣網(wǎng)絡(luò)元件��,邊緣網(wǎng)絡(luò)元件(例如通過(guò)
6到其它邊緣網(wǎng)絡(luò)元件的一個(gè)或多個(gè)核心網(wǎng)絡(luò)元件)耦合到服務(wù)器計(jì)算機(jī)端站�����。一些網(wǎng)絡(luò)元件支持多個(gè)上下文的配置��。本文所使用的“各上下文”包括虛擬網(wǎng)絡(luò)元件的一個(gè)或多個(gè)實(shí)例(例如虛擬路由器��、虛擬交換機(jī)或虛擬橋接器)。各上下文通常與網(wǎng)絡(luò)元件上配置的其它上下文共享系統(tǒng)資源(例如存儲(chǔ)器�����、處理周期等)��,但仍然是可獨(dú)立管理的�����。例如����,在多個(gè)虛擬路由器的情況下����,虛擬路由器的每個(gè)可共享系統(tǒng)資源,但是在其管理域���、AAA(認(rèn)證�、授權(quán)和記帳)名稱空間���、IP地址和路由選擇數(shù)據(jù)庫(kù)方面與其它虛擬路由器分開(kāi)�。多個(gè)上下文可在邊緣網(wǎng)絡(luò)元件中用于為內(nèi)容和/或服務(wù)提供商的訂戶提供直接網(wǎng)絡(luò)訪問(wèn)和/或不同的服務(wù)類。作為另一個(gè)示例���,在多個(gè)虛擬交換機(jī)的情況下�����,各虛擬交換機(jī)可共享系統(tǒng)資源�����,但是各虛擬交換機(jī)保存其自身的轉(zhuǎn)發(fā)表����,轉(zhuǎn)發(fā)表例如可用于將媒體接入控制(MAC)地址映射到虛擬電路�。在某些網(wǎng)絡(luò)元件中,可配置多個(gè)“接口 ”����。本文所使用的“各接口 ”是邏輯實(shí)體,通常配置為提供較高層協(xié)議和服務(wù)信息(例如第3層尋址)的上下文的一部分���,并且與物理端口和物理電路無(wú)關(guān)�。AAA(認(rèn)證����、授權(quán)和記帳)可通過(guò)諸如RADIUS (遠(yuǎn)程認(rèn)證撥號(hào)用戶服務(wù))或DIAMETER服務(wù)器之類的內(nèi)部或外部服務(wù)器來(lái)提供����。服務(wù)器提供訂戶的訂戶記錄�,所述訂戶的訂戶記錄除其它訂戶配置要求之外還標(biāo)識(shí)在網(wǎng)絡(luò)元件中應(yīng)當(dāng)將對(duì)應(yīng)訂戶綁定到哪一個(gè)上下文(例如哪一個(gè)虛擬路由器)。本文所使用的“綁定”形成物理實(shí)體(例如端口��、信道等)或邏輯實(shí)體(例如接口�、虛擬電路、訂戶電路等)與通過(guò)其將網(wǎng)絡(luò)協(xié)議(例如路由選擇協(xié)議���、橋接協(xié)議)配置用于給定上下文的較高層協(xié)議接口之間的關(guān)聯(lián)。當(dāng)某個(gè)較高層協(xié)議接口經(jīng)過(guò)配置并且與物理實(shí)體關(guān)聯(lián)時(shí)�����,訂戶數(shù)據(jù)在那個(gè)物理實(shí)體上流動(dòng)�。作為一個(gè)概括示例,訂戶計(jì)算機(jī)端站可通過(guò)多個(gè)服務(wù)邊緣網(wǎng)絡(luò)元件(支持多個(gè)上下文(例如多個(gè)虛擬路由器)�、接口和AAA)耦合(例如通過(guò)接入網(wǎng)),多個(gè)服務(wù)邊緣網(wǎng)絡(luò)元件耦合到與服務(wù) /內(nèi)容提供商的服務(wù)器計(jì)算機(jī)站耦合的核心網(wǎng)絡(luò)元件��。此外�����,執(zhí)行AAA處理以識(shí)別訂戶的訂戶記錄,該訂戶記錄標(biāo)識(shí)那個(gè)訂戶的業(yè)務(wù)應(yīng)當(dāng)與其綁定的網(wǎng)絡(luò)元件中的一個(gè)或多個(gè)虛擬路由器�,并且攜帶那個(gè)訂戶的業(yè)務(wù)的物理實(shí)體(例如電路)與那個(gè)虛擬路由器的接口綁定。描述用于網(wǎng)絡(luò)流管理系統(tǒng)的方法和設(shè)備���。在本發(fā)明的一個(gè)實(shí)施例中���,網(wǎng)絡(luò)流管理系統(tǒng)包括收集器和與組合AAA和策略服務(wù)器耦合的流網(wǎng)絡(luò)元件。流網(wǎng)絡(luò)元件在訂戶級(jí)處包括的各個(gè)觀測(cè)點(diǎn)級(jí)監(jiān)測(cè)網(wǎng)絡(luò)流�����。流網(wǎng)絡(luò)元件向收集器導(dǎo)出訂戶流記錄���。收集器組織那些記錄�����,并且策略客戶端基于策略定義為訂戶指配策略動(dòng)作����。將策略動(dòng)作傳送給組合AAA和策略服務(wù)器�����,組合AAA和策略服務(wù)器向訂戶指配一個(gè)或多個(gè)策略,并且將那些策略傳送給流網(wǎng)絡(luò)元件�。流網(wǎng)絡(luò)元件向訂戶業(yè)務(wù)應(yīng)用那些策略。圖1是示出按照本發(fā)明的一個(gè)實(shí)施例的示范網(wǎng)絡(luò)流管理系統(tǒng)100的數(shù)據(jù)流圖�����。網(wǎng)絡(luò)流管理系統(tǒng)100包括各與收集器120耦合的流網(wǎng)絡(luò)元件110�����、112和114以及與流網(wǎng)絡(luò)元件110和收集器120耦合的組合AAA和策略服務(wù)器130�����。本文所使用的“流網(wǎng)絡(luò)元件”是參與網(wǎng)絡(luò)流管理系統(tǒng)并且觀測(cè)流的網(wǎng)絡(luò)元件����。訂戶計(jì)算機(jī)端站105與流網(wǎng)絡(luò)元件110耦合���。 雖然在本發(fā)明的一個(gè)實(shí)施例中�,網(wǎng)絡(luò)元件112和114還與組合AAA和策略服務(wù)器130耦合�, 但是在本發(fā)明的備選實(shí)施例中��,網(wǎng)絡(luò)元件112和114與不同的組合AAA和策略服務(wù)器耦合�����。 應(yīng)當(dāng)理解��,圖1所示的流網(wǎng)絡(luò)元件的數(shù)量�、收集器的數(shù)量以及組合AAA和策略服務(wù)器的數(shù)量是示范性的����,并且在本文所述的本發(fā)明的實(shí)施例中可使用任何不同數(shù)量的流網(wǎng)絡(luò)元件、收集器和/或組合AAA和策略服務(wù)器�����。
流網(wǎng)絡(luò)元件110包括認(rèn)證����、授權(quán)和記帳(AAA)客戶端模塊150、觀測(cè)和計(jì)量模塊 140以及導(dǎo)出模塊145���。流網(wǎng)絡(luò)元件110端接訂戶(訂戶是服務(wù)的最終用戶)���。例如�����,流網(wǎng)絡(luò)元件110端接訂戶計(jì)算機(jī)端站105的業(yè)務(wù)��。因此��,訂戶網(wǎng)絡(luò)業(yè)務(wù)在網(wǎng)絡(luò)元件110處被接收并且由網(wǎng)絡(luò)元件110傳送�����。這些訂戶可以是固定訂戶(例如DHCP���、L2VPN、CLIPS�����、PPP, PPPoE��、V0IP����、L2TP等)和/或移動(dòng)訂戶(例如移動(dòng)IP�、WiFi���、WiMAX、GSM�、CDMA等等)。流網(wǎng)絡(luò)元件110包括各訂戶的訂戶記錄��。例如��,流網(wǎng)絡(luò)元件110將包括與訂戶計(jì)算機(jī)端站105 對(duì)應(yīng)的訂戶記錄����。訂戶記錄定義與該訂戶關(guān)聯(lián)的一組屬性,包括訂戶標(biāo)識(shí)符(例如用戶名�、 電子郵件地址等)、密碼��、認(rèn)證�����、接入控制�����、速率限制和策略信息。AAA客戶端模塊150通常在來(lái)自訂戶的初始連接請(qǐng)求期間或者在來(lái)自那個(gè)訂戶的重新授權(quán)請(qǐng)求期間向組合AAA和策略服務(wù)器(例如組合AAA和策略服務(wù)器130)請(qǐng)求訂戶記錄���。AAA客戶端模塊150還結(jié)合組合AAA和策略服務(wù)器來(lái)執(zhí)行記帳更新��。流網(wǎng)絡(luò)元件110包括訂戶電路的概念����。訂戶電路是一種邏輯構(gòu)造��,它唯一地標(biāo)識(shí)流網(wǎng)絡(luò)元件110中的訂戶會(huì)話��,并且通常對(duì)于會(huì)話的生命期存在�。通常,在初始認(rèn)證期間將訂戶指配給特定訂戶電路�����。因此����,在經(jīng)過(guò)認(rèn)證之后,將訂戶計(jì)算機(jī)端站105指配給采用訂戶電路標(biāo)識(shí)符可識(shí)別的訂戶電路��。觀測(cè)和計(jì)量模塊140在觀測(cè)點(diǎn)監(jiān)測(cè)網(wǎng)絡(luò)流�����。觀測(cè)點(diǎn)可以是訂戶電路(例如監(jiān)測(cè)與訂戶關(guān)聯(lián)的流)����、訂戶電路中的所識(shí)別流、邏輯電路(一組訂戶電路)�、虛擬路由器、上下文��、 物理端口等等��。按照觀測(cè)簡(jiǎn)檔通過(guò)觀測(cè)點(diǎn)對(duì)觀測(cè)和計(jì)量模塊140編程���。觀測(cè)簡(jiǎn)檔指示對(duì)特定訂戶采用的網(wǎng)絡(luò)流監(jiān)測(cè)參數(shù)�����。例如�,觀測(cè)簡(jiǎn)檔可包括流定義圖���,流定義圖指示要監(jiān)測(cè)的網(wǎng)絡(luò)流(例如��,諸如數(shù)據(jù)��、語(yǔ)音或視頻之類的網(wǎng)絡(luò)流類型�、一組應(yīng)用、諸如VoIP�����、視頻點(diǎn)播���、 VPN���、IPTV、P2P�、FTP之類的特定應(yīng)用類型或者子應(yīng)用(例如在應(yīng)用類型中來(lái)自特定IP地址或者發(fā)送到特定IP地址的業(yè)務(wù)))和/或要為那個(gè)訂戶進(jìn)行編程的觀測(cè)點(diǎn)。通常�,對(duì)于單個(gè)訂戶,觀測(cè)簡(jiǎn)檔將指示在指配給那個(gè)訂戶的訂戶電路上對(duì)單個(gè)訂戶級(jí)觀測(cè)點(diǎn)進(jìn)行編程��。將被監(jiān)測(cè)流信息傳遞給導(dǎo)出模塊145��,導(dǎo)出模塊145與觀測(cè)和計(jì)量模塊140耦合�����。 導(dǎo)出模塊周期地向收集器120導(dǎo)出被監(jiān)測(cè)流信息(例如作為流記錄)�。本文所使用的“流記錄”包括關(guān)于在觀測(cè)點(diǎn)觀測(cè)的特定流的信息��。流記錄可包含流的所測(cè)量性質(zhì)(例如在流中觀測(cè)的字節(jié)和分組數(shù)量等)和/或流的特性性質(zhì)(例如源IP地址���、目標(biāo)IP地址、流開(kāi)始和完成的時(shí)間戳���、第3層路由選擇信息(例如下一跳IP地址、源和目標(biāo)IP掩碼)等等)����。收集器120包括收集模塊155和策略客戶端模塊160。收集模塊155收集來(lái)自流網(wǎng)絡(luò)元件(例如流網(wǎng)絡(luò)元件110�、112和114)的流數(shù)據(jù)(例如流記錄)、組織流數(shù)據(jù)并且可過(guò)濾該數(shù)據(jù)��。所組織數(shù)據(jù)將在收集器上存儲(chǔ)一定時(shí)間量��,并且由策略客戶端模塊160用于確定是否將策略動(dòng)作指配給某個(gè)流����。組合AAA和策略服務(wù)器130包括AAA服務(wù)器模塊132、訂戶記錄180��、策略服務(wù)器模塊135和流策略137���。AAA服務(wù)器模塊132接收并且響應(yīng)來(lái)自流網(wǎng)絡(luò)元件的AAA消息�。例如,AAA服務(wù)器模塊132可接收訂戶的認(rèn)證請(qǐng)求(例如來(lái)自AAA客戶端模塊150)�,并且采用該訂戶的連接的屬性(例如接入控制、速率限制���、策略信息等)進(jìn)行響應(yīng)����。策略服務(wù)器模塊 135基于所接收策略動(dòng)作和流策略137向訂戶指配策略���,這在本文中稍后更詳細(xì)地描述�����。將描述圖1的操作��,使得該訂戶與訂戶計(jì)算機(jī)端站105對(duì)應(yīng)����。在操作1��,AAA服務(wù)器模塊132向網(wǎng)絡(luò)元件110傳送該訂戶的觀測(cè)簡(jiǎn)檔����。按照本發(fā)明的一個(gè)實(shí)施例����,響應(yīng)來(lái)自該訂戶的初始認(rèn)證請(qǐng)求(例如響應(yīng)來(lái)自訂戶計(jì)算機(jī)端站105的連接請(qǐng)求)而執(zhí)行操作1���。 例如����,在AAA客戶端模塊150接收來(lái)自訂戶的初始認(rèn)證請(qǐng)求時(shí)���,AAA客戶端模塊150向組合 AAA和策略服務(wù)器130中的AAA服務(wù)器模塊132傳送認(rèn)證請(qǐng)求。在本發(fā)明的一個(gè)實(shí)施例中����, AAA客戶端模塊150包括那個(gè)訂戶的觀測(cè)簡(jiǎn)檔請(qǐng)求連同認(rèn)證請(qǐng)求。在本發(fā)明的另一個(gè)實(shí)施例中���,AAA服務(wù)器模塊132將采用該訂戶的觀測(cè)簡(jiǎn)檔進(jìn)行響應(yīng)(如果一個(gè)觀測(cè)簡(jiǎn)檔與那個(gè)訂戶關(guān)聯(lián))���,而不管AAA客戶端模塊150是否明確請(qǐng)求觀測(cè)簡(jiǎn)檔。在本發(fā)明的另一個(gè)實(shí)施例中�����,在對(duì)該訂戶最初授權(quán)之后的某個(gè)時(shí)間執(zhí)行操作1。圖4是示出按照本發(fā)明的一個(gè)實(shí)施例的網(wǎng)絡(luò)流管理系統(tǒng)100的組合AAA和策略服務(wù)器130的示范實(shí)施例的數(shù)據(jù)流圖。圖4中的操作與圖1中所述的操作對(duì)應(yīng)�。另外,參照?qǐng)D1所述的某些操作在圖4中已經(jīng)擴(kuò)展����。例如��,圖1中所述的操作1與圖4中的操作1. 1���、 1. 2和1. 3對(duì)應(yīng)�����。如圖4所示�,組合AAA和策略服務(wù)器130包括AAA服務(wù)器模塊132�����、策略服務(wù)器模塊135�、訂戶記錄180、一個(gè)或多個(gè)觀測(cè)簡(jiǎn)檔430和流策略137(它包括一個(gè)或多個(gè)流準(zhǔn)入控制簡(jiǎn)檔450和一個(gè)或多個(gè)流模板440)��。參照?qǐng)D4,在操作1. 1����,AAA服務(wù)器模塊132從AAA客戶端模塊150接收對(duì)于(例如與訂戶計(jì)算機(jī)端站105對(duì)應(yīng)的)特定訂戶的觀測(cè)簡(jiǎn)檔的請(qǐng)求。請(qǐng)求通過(guò)唯一訂戶標(biāo)識(shí)符 (例如���,電話號(hào)碼���、電子郵件地址、用戶名/密碼組合等)來(lái)標(biāo)識(shí)訂戶��。在操作1.2�,AAA服務(wù)器模塊132訪問(wèn)訂戶記錄180��,以便訪問(wèn)與請(qǐng)求中包含的訂戶標(biāo)識(shí)符對(duì)應(yīng)的訂戶記錄��。各訂戶記錄可包括觀測(cè)簡(jiǎn)檔或者備選地與觀測(cè)簡(jiǎn)檔關(guān)聯(lián)��。觀測(cè)簡(jiǎn)檔430存儲(chǔ)在組合AAA和策略服務(wù)器中���。不同觀測(cè)簡(jiǎn)檔可指示流網(wǎng)絡(luò)元件監(jiān)測(cè)不同觀測(cè)點(diǎn)和/或不同流�。按照本發(fā)明的一個(gè)實(shí)施例�����,觀測(cè)簡(jiǎn)檔430由網(wǎng)絡(luò)流管理系統(tǒng)100的操作員來(lái)定義,并且應(yīng)用于訂戶記錄 180中的不同訂戶記錄��。按照本發(fā)明的一個(gè)實(shí)施例����,基于訂戶的識(shí)別碼(例如基于訂戶的類型、訂戶的服務(wù)級(jí)�、向那個(gè)訂戶提供服務(wù)的服務(wù)提供商等)將觀測(cè)簡(jiǎn)檔動(dòng)態(tài)地應(yīng)用于特定訂戶記錄。按照本發(fā)明的一個(gè)實(shí)施例����,如果訂戶的屬性發(fā)生變化(例如訂戶變更其服務(wù)級(jí)),則觀測(cè)簡(jiǎn)檔可被動(dòng)態(tài)地更新并且提供給流網(wǎng)絡(luò)元件110��。假定存在該訂戶的訂戶記錄�����,并且該訂戶記錄指示觀測(cè)簡(jiǎn)檔與該訂戶關(guān)聯(lián)��,則AAA 服務(wù)器模塊130在操作1. 3將那個(gè)觀測(cè)簡(jiǎn)檔傳送給流網(wǎng)絡(luò)元件110的AAA客戶端模塊150�����。 在本發(fā)明的一個(gè)實(shí)施例中,將該訂戶的訂戶記錄連同觀測(cè)簡(jiǎn)檔(例如觀測(cè)簡(jiǎn)檔包含在訂戶記錄中)一起傳送給AAA客戶端模塊150��,而在本發(fā)明的另一個(gè)實(shí)施例中����,僅將觀測(cè)簡(jiǎn)檔傳送給AAA客戶端模塊150。觀測(cè)簡(jiǎn)檔連同訂戶標(biāo)識(shí)符一起傳送����。參照?qǐng)D1,AAA客戶端模塊150接收觀測(cè)簡(jiǎn)檔����,并且在操作2安裝那個(gè)簡(jiǎn)檔。圖2 是示出按照本發(fā)明的一個(gè)實(shí)施例的網(wǎng)絡(luò)流管理系統(tǒng)100的流網(wǎng)絡(luò)元件110的示范實(shí)施例的數(shù)據(jù)流圖����。流網(wǎng)絡(luò)元件Iio包括與觀測(cè)和計(jì)量模塊140耦合的AAA客戶端模塊150���,觀測(cè)和計(jì)量模塊140與導(dǎo)出模塊145耦合����。AAA模塊還包括接收進(jìn)程210、電路映射進(jìn)程220����、流管理組件安裝模塊230和訂戶記錄M0。觀測(cè)和計(jì)量模塊140包括一個(gè)或多個(gè)已編程觀測(cè)點(diǎn) 250和流識(shí)別模塊255�。導(dǎo)出模塊145包括一個(gè)或多個(gè)流記錄170。另外���,流網(wǎng)絡(luò)元件110 包括向?qū)С瞿K145提供應(yīng)用特定要求的一個(gè)或多個(gè)專用進(jìn)程260 (例如VoIP進(jìn)程�����、VoD進(jìn)程��、IPTV進(jìn)程��、P2P進(jìn)程等)�����。在操作2. 1����,接收進(jìn)程210接收從組合AAA和策略服務(wù)器130傳送的該訂戶的觀測(cè)簡(jiǎn)檔����。如上所述��,觀測(cè)簡(jiǎn)檔連同訂戶標(biāo)識(shí)符一起傳送�����。在操作2. 2����,電路映射進(jìn)程220將那個(gè)訂戶標(biāo)識(shí)符映射到電路標(biāo)識(shí)符(電路標(biāo)識(shí)符標(biāo)識(shí)與那個(gè)訂戶關(guān)聯(lián)的訂戶電路)��。在識(shí)別那個(gè)訂戶的訂戶電路之后�,將觀測(cè)簡(jiǎn)檔傳遞給流管理組件安裝模塊230供安裝。流管理組件安裝模塊230確定在流網(wǎng)絡(luò)元件110上是否支持那個(gè)觀測(cè)簡(jiǎn)檔�����。如果不支持觀測(cè)簡(jiǎn)檔���, 則流管理組件安裝模塊230采取備選動(dòng)作(例如發(fā)出告警以顯示錯(cuò)誤消息���,通知組合AAA 和策略服務(wù)器關(guān)于該錯(cuò)誤�����,丟棄分組而不作進(jìn)一步處理等等)。如果支持觀測(cè)簡(jiǎn)檔��,則在操作2. 3�����,流管理組件安裝模塊230通過(guò)基于觀測(cè)簡(jiǎn)檔對(duì)訂戶的一個(gè)或多個(gè)觀測(cè)點(diǎn)250進(jìn)行編程來(lái)安裝那個(gè)觀測(cè)簡(jiǎn)檔���。如前面所述�,可在不同級(jí)對(duì)觀測(cè)點(diǎn)250進(jìn)行編程����。圖5示出能夠在按照本發(fā)明的一個(gè)實(shí)施例的網(wǎng)絡(luò)流管理系統(tǒng)100中使用的觀測(cè)點(diǎn)的各個(gè)級(jí)。流網(wǎng)絡(luò)元件110包括多個(gè)物理端口(例如線路卡上的端口)���,各端口能夠僅具有與另一個(gè)網(wǎng)絡(luò)元件的單個(gè)物理連接����。各物理連接可以是觀測(cè)點(diǎn)��。另外��,在各物理連接中,可存在一個(gè)或多個(gè)邏輯電路�。這些邏輯電路的每個(gè)也能夠是觀測(cè)點(diǎn)(這稱作在邏輯電路級(jí)進(jìn)行觀測(cè))。這些邏輯電路的每個(gè)可包括一個(gè)或多個(gè)訂戶電路�,其中的每個(gè)能夠是觀測(cè)點(diǎn)(這稱作在訂戶級(jí)進(jìn)行觀測(cè))。物理層電路510 (例如VLAN電路���、QinQ電路����、永久虛擬電路(PVC)��、交換虛擬電路 (SVC)�、數(shù)據(jù)鏈路連接標(biāo)識(shí)符(DLCI)電路等)包括邏輯電路520和530,并且邏輯電路530 包括訂戶電路M0A-540N��?���?煞珠_(kāi)監(jiān)測(cè)每個(gè)訂戶電路(例如訂戶級(jí)流觀測(cè)點(diǎn)沈0),可分開(kāi)監(jiān)測(cè)各邏輯電路(例如邏輯電路級(jí)觀測(cè)點(diǎn)570)�,和/或可監(jiān)測(cè)物理電路510 (例如端口級(jí)流觀測(cè)點(diǎn)580)。應(yīng)當(dāng)理解�����,單個(gè)訂戶級(jí)流觀測(cè)點(diǎn)560適用于單個(gè)訂戶(即,訂戶級(jí)流觀測(cè)點(diǎn)對(duì)于特定訂戶是唯一的)����。與訂戶計(jì)算機(jī)端站105對(duì)應(yīng)的訂戶的觀測(cè)簡(jiǎn)檔指示觀測(cè)點(diǎn)應(yīng)當(dāng)放置于與訂戶計(jì)算機(jī)端站105關(guān)聯(lián)的訂戶電路上����。又參照?qǐng)D1,在為那個(gè)訂戶安裝觀測(cè)簡(jiǎn)檔之后的某個(gè)時(shí)間��,在操作3���,觀測(cè)和計(jì)量模塊140在已編程觀測(cè)點(diǎn)上監(jiān)測(cè)與那個(gè)訂戶關(guān)聯(lián)的流��。應(yīng)當(dāng)理解�,流的網(wǎng)絡(luò)業(yè)務(wù)可以是入口業(yè)務(wù)��、出口業(yè)務(wù)或者雙向業(yè)務(wù)(例如���,該業(yè)務(wù)可從訂戶計(jì)算機(jī)端站105傳送���、打算送往訂戶計(jì)算機(jī)端站105或者它們兩者)。在圖1的操作4�����,導(dǎo)出模塊145向收集器120導(dǎo)出那些被監(jiān)測(cè)流記錄。在本發(fā)明的不同實(shí)施例中���,流記錄可采用不同協(xié)議來(lái)導(dǎo)出(例如使用IPFIXdP流信息導(dǎo)出)協(xié)議��,在 RFC (請(qǐng)求注釋)5101 “Specification of IP Flow Information Export (IPFIX) Protocol for the Exchange of IP Traffic Flow Information” (2008 年 1 月)等中定義)���。參照?qǐng)D2,所觀測(cè)分組(至少所觀測(cè)分組的報(bào)頭)由流識(shí)別模塊255來(lái)訪問(wèn)����。流識(shí)別模塊255基于那些分組的標(biāo)識(shí)來(lái)組織所觀測(cè)分組。流識(shí)別模塊255可取決于對(duì)應(yīng)于流的應(yīng)用以不同方式來(lái)識(shí)別流����。例如,對(duì)于某些應(yīng)用�,流識(shí)別模塊255可通過(guò)僅檢查分組的報(bào)頭(例如源地址、 目標(biāo)地址����、協(xié)議類型等)來(lái)確定流。對(duì)于其它應(yīng)用,流識(shí)別模塊255可通過(guò)檢查分組的報(bào)頭以及附加信息(例如裝置接口����、控制平面信息等)來(lái)確定流。在本發(fā)明的一個(gè)實(shí)施例中�,除了識(shí)別流之外,流識(shí)別模塊255還按照應(yīng)用類型將流分類�����。例如��,流識(shí)別模塊255可根據(jù)應(yīng)用是否為數(shù)據(jù)應(yīng)用���、語(yǔ)音應(yīng)用、視頻應(yīng)用等等將流分類��。作為另一個(gè)示例�,流識(shí)別模塊255可基于特定應(yīng)用類型(例如VoIP、VoD����、VPN、IPTV��、 P2P��、FTP等)將流分類。流識(shí)別模塊255基于在觀測(cè)點(diǎn)250所觀測(cè)的分組來(lái)創(chuàng)建流記錄270���。按照本發(fā)明的一個(gè)實(shí)施例�,為與訂戶計(jì)算機(jī)端站105對(duì)應(yīng)的訂戶安裝的觀測(cè)簡(jiǎn)檔指示流識(shí)別模塊255將對(duì)其創(chuàng)建流記錄的分組類型(例如��,觀測(cè)簡(jiǎn)檔將包括流定義圖)��。例如���,流識(shí)別模塊255 可為一種類型的應(yīng)用(例如數(shù)據(jù)應(yīng)用����、語(yǔ)音應(yīng)用和/或視頻應(yīng)用)�、特定應(yīng)用(例如VoIP、 VoD, VPN, IPTV)或者子應(yīng)用(例如從某些源接收的業(yè)務(wù)�����、發(fā)送給某些目的地的業(yè)務(wù)等)倉(cāng)Ij 建流記錄����。如果在觀測(cè)點(diǎn)上監(jiān)測(cè)的分組不匹配流定義圖其中之一,則不會(huì)創(chuàng)建流記錄。流識(shí)別模塊255還可對(duì)流記錄270的每個(gè)添加流標(biāo)識(shí)符�。按照本發(fā)明的一個(gè)實(shí)施例,流識(shí)別模塊255僅創(chuàng)建特定訂戶的觀測(cè)簡(jiǎn)檔所指示 (例如由觀測(cè)簡(jiǎn)檔中的流定義圖所指示)的分組的流記錄����。例如,如果觀測(cè)簡(jiǎn)檔指示流識(shí)別模塊255只應(yīng)當(dāng)監(jiān)測(cè)特定訂戶的VoIP分組���,則觀測(cè)簡(jiǎn)檔僅創(chuàng)建與那個(gè)訂戶關(guān)聯(lián)的VoIP分組(入口或出口)的流記錄���。與那個(gè)訂戶關(guān)聯(lián)的不是VoIP分組的所有其它分組沒(méi)有對(duì)應(yīng)流記錄�。將流記錄270傳遞給導(dǎo)出模塊145,導(dǎo)出模塊145存儲(chǔ)流記錄270�����,直到流記錄270 被傳送給收集器120���。在本發(fā)明的不同實(shí)施例中�,流記錄270能夠通過(guò)不同方式導(dǎo)出到收集器120���,包括以周期性間隔的導(dǎo)出和/或基于事件的導(dǎo)出(例如基于流時(shí)效��、會(huì)話終止��、固定間隔����、導(dǎo)出分組滿(已經(jīng)達(dá)到其流記錄界限的分組)等)。另外��,導(dǎo)出模塊145可聚集流記錄(例如基于應(yīng)用類型等)�。例如,如果在給定應(yīng)用的分組之間經(jīng)過(guò)數(shù)秒(例如觀測(cè)和計(jì)量模塊140在15秒內(nèi)尚未接收到VoIP分組)�,則這可觸發(fā)導(dǎo)出模塊145導(dǎo)出流記錄(該經(jīng)過(guò)可指示流完成)。應(yīng)用特定進(jìn)程260可提供用于導(dǎo)出流記錄270的應(yīng)用特定規(guī)則(例如何時(shí)導(dǎo)出記錄����、用于導(dǎo)出記錄的觸發(fā)等)。另外��,應(yīng)用特定進(jìn)程260可將通常在數(shù)據(jù)路徑上不可得到的信息添加到流記錄270�。例如,MobileIP進(jìn)程可向流記錄270添加諸如訂戶的移動(dòng)次數(shù)�����、失敗的重新注冊(cè)嘗試之類的控制統(tǒng)計(jì)��。應(yīng)當(dāng)理解,各觀測(cè)點(diǎn)可具有不同的流記錄����。例如,如果在訂戶流級(jí)(例如訂戶級(jí)流觀測(cè)點(diǎn)560)進(jìn)行觀測(cè)���,則流記錄僅與那個(gè)訂戶對(duì)應(yīng)��。在這種情況下���,訂戶級(jí)流記錄包括標(biāo)識(shí)流記錄所屬的訂戶的信息(例如訂戶電路標(biāo)識(shí)符、訂戶標(biāo)識(shí)符(例如用戶名/密碼����、電子郵件地址、電話號(hào)碼等等)�����。作為另一個(gè)示例���,如果在邏輯電路流級(jí)(例如邏輯電路級(jí)流觀測(cè)點(diǎn)570)進(jìn)行觀測(cè),則流僅與那個(gè)邏輯電路(通常為多個(gè)訂戶)對(duì)應(yīng)�。作為又一個(gè)示例��,如果在端口級(jí)進(jìn)行觀測(cè)�,則流將與那個(gè)端口(例如端口級(jí)流觀測(cè)點(diǎn)580)上監(jiān)測(cè)的業(yè)務(wù)對(duì)應(yīng)��。因此��,在操作4. 1,流識(shí)別模塊按照觀測(cè)簡(jiǎn)檔來(lái)識(shí)別被監(jiān)測(cè)業(yè)務(wù)中的流��,并且創(chuàng)建那些所識(shí)別流的流記錄270�。之后的某個(gè)時(shí)間�,在操作4. 2���,導(dǎo)出模塊145向收集器120導(dǎo)出那些所創(chuàng)建流記錄270��。在本發(fā)明的一些實(shí)施例中,除了導(dǎo)出流記錄之外�����,流網(wǎng)絡(luò)元件110還向收集器傳送流網(wǎng)絡(luò)元件110特定的信息�����。例如���,流網(wǎng)絡(luò)元件110可傳送當(dāng)前支持的訂戶數(shù)量�����、當(dāng)前帶寬使用等。又參照?qǐng)D1�,在操作5,收集器120接收和組織所接收流記錄����。圖3是示出按照本發(fā)明的一個(gè)實(shí)施例的收集器120的示范實(shí)施例的數(shù)據(jù)流圖�����。如圖3所示,收集器120包括收集模塊155�����、策略客戶端模塊160和一個(gè)或多個(gè)流結(jié)構(gòu)390���。收集模塊155包括流記錄接收進(jìn)程356和流聚集進(jìn)程358。策略客戶端模塊160包括策略引擎322和策略動(dòng)作傳輸模塊356����。本文中稍后更詳細(xì)描述它們的每個(gè)。參照?qǐng)D3����,在操作5. 1�,收集模塊155的流記錄接收進(jìn)程356接收從導(dǎo)出模塊145傳送的流記錄�。在接收到流記錄之后的某個(gè)時(shí)間����,在操作5. 2����,流聚集進(jìn)程358聚集那些流記錄。將基于從其中接收到流記錄的流網(wǎng)絡(luò)元件以及流記錄中包含的流記錄標(biāo)識(shí)符來(lái)聚集流記錄���。例如,流收集器120可周期地接收給定流的流記錄,并且更新該流結(jié)構(gòu)390以反映所接收流記錄。因此,收集器120把來(lái)自參與流網(wǎng)絡(luò)元件(例如流網(wǎng)絡(luò)元件110)的流記錄的歷史存儲(chǔ)在流結(jié)構(gòu)390中�����。 在操作5. 3,收集模塊155采用所聚集記錄來(lái)更新一個(gè)或多個(gè)流結(jié)構(gòu)390�。圖6A 示出按照本發(fā)明的一個(gè)實(shí)施例的示范網(wǎng)絡(luò)流結(jié)構(gòu)。流結(jié)構(gòu)390包括網(wǎng)絡(luò)元件結(jié)構(gòu)610�����。流網(wǎng)絡(luò)元件結(jié)構(gòu)610包括基于收集器從其中接收流記錄的流網(wǎng)絡(luò)元件的數(shù)量的N個(gè)條目�。流網(wǎng)絡(luò)元件條目的每個(gè)指向分開(kāi)的訂戶結(jié)構(gòu)620��。各訂戶結(jié)構(gòu)620包括基于具有從那個(gè)流網(wǎng)絡(luò)元件生成的流記錄的唯一訂戶的數(shù)量的N個(gè)條目�����。訂戶結(jié)構(gòu)620中的各條目指向流記錄結(jié)構(gòu)630�����。每個(gè)流記錄結(jié)構(gòu)630包括基于特定訂戶具有的流數(shù)量的N個(gè)條目��。
圖6B示出按照本發(fā)明的一個(gè)實(shí)施例的示范流記錄680�����。流記錄680包括流標(biāo)識(shí)符字段635、字節(jié)數(shù)量字段640����、分組數(shù)量字段650、第一分組時(shí)間戳字段660和最后分組時(shí)間戳字段670���。應(yīng)當(dāng)理解����,每次更新流記錄時(shí)都將更新最后分組時(shí)間戳字段670����。又參照?qǐng)D1,策略客戶端模塊160基于流和/或訂戶其中之一來(lái)確定指配策略動(dòng)作��。策略客戶端模塊160還將策略動(dòng)作傳送給組合AAA和策略服務(wù)器130��。參照?qǐng)D3��,在操作6. 1�,(在策略客戶端模塊160中的)策略引擎322訪問(wèn)流結(jié)構(gòu)390中存儲(chǔ)的流記錄,并且基于(存儲(chǔ)在策略定義結(jié)構(gòu)324中的)策略定義來(lái)確定是否指配策略動(dòng)作�。按照本發(fā)明的一個(gè)實(shí)施例,策略客戶端模塊160周期地訪問(wèn)流結(jié)構(gòu)390中的流記錄�,并且針對(duì)策略定義結(jié)構(gòu)324中存儲(chǔ)的策略定義將那些流記錄相關(guān)�����。策略動(dòng)作可用于指示要對(duì)訂戶的網(wǎng)絡(luò)參數(shù)采用某個(gè)動(dòng)作���。網(wǎng)絡(luò)參數(shù)可包括連接屬性(例如帶寬值、接入控制列表�、策略值等)和/或能夠直接影響流記帳和/或流監(jiān)測(cè)的控制平面參數(shù)(例如會(huì)話超時(shí)、空閑超時(shí)���、隧道抑制時(shí)間(tunnel hold-down time)等)�。受影響網(wǎng)絡(luò)參數(shù)可以是包含在訂戶的訂戶記錄中的和/或?qū)τ诹骶W(wǎng)絡(luò)元件是本地的而沒(méi)有包含在訂戶記錄中的屬性�。作為舉例�,策略動(dòng)作可修改與訂戶關(guān)聯(lián)的連接速率(例如增加或降低下載或上載速率),阻止來(lái)自給定應(yīng)用類型的分組(例如SMTP分組�、TCP分組、FTP 分組)��,抑制來(lái)自給定應(yīng)用類型的分組(例如SMTP分組����、TCP分組、P2P分組)等等�。例如����,圖7示出按照本發(fā)明的一個(gè)實(shí)施例的示范策略定義結(jié)構(gòu)324���。策略定義結(jié)構(gòu) 324包括名稱字段710�����、規(guī)則字段720和策略動(dòng)作字段730�����。如圖7所示����,策略定義結(jié)構(gòu)724 包括拒絕服務(wù)(DoS)攻擊的策略定義��。例如�,如果訂戶正在每秒傳送大量TCP SYN消息而沒(méi)有建立連接,則規(guī)則可將訂戶識(shí)別為DoS攻擊者(當(dāng)然��,應(yīng)當(dāng)理解���,可通過(guò)其它方式來(lái)識(shí)別DoS攻擊)�����。一旦對(duì)于給定流違反那個(gè)規(guī)則����,則策略動(dòng)作字段730指示流網(wǎng)絡(luò)元件應(yīng)當(dāng)丟棄來(lái)自那個(gè)訂戶(來(lái)自那個(gè)訂戶的源IP地址)的所有分組。作為另一個(gè)示例�,如果每秒大量TCP SYN消息正在由訂戶接收,則規(guī)則可將該訂戶識(shí)別為DoS受害者���。如果違反那個(gè)規(guī)貝U�,則策略動(dòng)作字段730指示該流網(wǎng)絡(luò)元件應(yīng)當(dāng)濾出打算送往該訂戶的所有TCP SYN分組�����。 作為又一個(gè)示例��,如果訂戶正在每秒傳送大量SMTP消息�����,則規(guī)則可將該訂戶識(shí)別為垃圾郵件發(fā)送者(發(fā)送大量多余電子郵件的人)���。如果違反這個(gè)規(guī)則���,則策略動(dòng)作字段730指示該流網(wǎng)絡(luò)元件應(yīng)當(dāng)?shù)种?bring down)該訂戶。應(yīng)當(dāng)理解�����,網(wǎng)絡(luò)流可同時(shí)違反多個(gè)策略定義�。應(yīng)當(dāng)理解,圖7所示的策略定義是示范性的��,并且其它備選策略定義可與本文所述的本發(fā)明的實(shí)施例配合使用(例如P2P(端到端)應(yīng)用策略定義����、使用較大量帶寬并且能夠根據(jù)網(wǎng)絡(luò)流來(lái)識(shí)別的其它應(yīng)用等等)。在本發(fā)明的一些實(shí)施例中��,策略定義可定義成包括諸如“基于流量的計(jì)費(fèi)”和/或“基于時(shí)間的計(jì)費(fèi)”之類的計(jì)費(fèi)策略定義�。基于流量的計(jì)費(fèi)可用于需要較高級(jí)QoS和較少量等待時(shí)間的那些應(yīng)用(例如VoIP��、IPTV���、互動(dòng)游戲等等)���。 可按照與諸如web瀏覽之類的不太關(guān)鍵應(yīng)用不同的費(fèi)率來(lái)對(duì)這些應(yīng)用計(jì)費(fèi)���。基于時(shí)間的計(jì)費(fèi)可用于根據(jù)使用進(jìn)行的時(shí)間以不同方式來(lái)對(duì)訂戶收費(fèi)�。例如,高峰時(shí)間使用的計(jì)費(fèi)可高于在非高峰時(shí)間使用的計(jì)費(fèi)�。應(yīng)當(dāng)理解,滿足計(jì)費(fèi)策略定義的訂戶的網(wǎng)絡(luò)業(yè)務(wù)不受超出為了那個(gè)網(wǎng)絡(luò)業(yè)務(wù)對(duì)訂戶計(jì)費(fèi)范圍之外的影響�����。在本發(fā)明的一個(gè)實(shí)施例中��,網(wǎng)絡(luò)流管理系統(tǒng)的操作員(例如參與流網(wǎng)絡(luò)元件的操作員)配置策略定義結(jié)構(gòu)中存儲(chǔ)的策略定義�。例如,參與網(wǎng)絡(luò)流管理系統(tǒng)100���、向收集器導(dǎo)出流記錄的每個(gè)流網(wǎng)絡(luò)元件可具有不同的策略定義結(jié)構(gòu)���。也就是說(shuō),一個(gè)網(wǎng)絡(luò)元件的網(wǎng)絡(luò)流策略不一定與另一個(gè)網(wǎng)絡(luò)元件的網(wǎng)絡(luò)流策略相同����。在策略引擎622確定來(lái)自訂戶(例如訂戶計(jì)算機(jī)端站10 的流記錄已經(jīng)滿足規(guī)則并且觸發(fā)策略動(dòng)作的應(yīng)用之后的某個(gè)時(shí)間,在操作6. 2�,策略引擎指配由策略定義結(jié)構(gòu) 3 所指示的策略動(dòng)作。應(yīng)當(dāng)理解�,單個(gè)流記錄可觸發(fā)多個(gè)策略動(dòng)作的應(yīng)用。以后的某個(gè)時(shí)間�����,在操作6. 3�,策略動(dòng)作傳輸模塊356向組合AAA和策略服務(wù)器130傳送策略動(dòng)作。又參照?qǐng)D1��,組合AAA和策略服務(wù)器130的策略服務(wù)器模塊132接收由策略客戶端模塊160傳送的策略動(dòng)作����,并且基于那些策略動(dòng)作和流策略137向訂戶記錄指配策略。參照?qǐng)D4�����,在操作7. 1�����,策略服務(wù)器模塊135接收從策略客戶端模塊160傳送的策略動(dòng)作�����。在操作7. 2,策略服務(wù)器模塊135基于策略動(dòng)作和流策略137來(lái)指配一個(gè)或多個(gè)策略���。流策略 137包括一個(gè)或多個(gè)流準(zhǔn)入控制簡(jiǎn)檔450以及一個(gè)或多個(gè)流模板440�����。流準(zhǔn)入控制簡(jiǎn)檔包括在訂戶級(jí)采用的策略����。也就是說(shuō)���,流準(zhǔn)入控制簡(jiǎn)檔通常將影響與訂戶關(guān)聯(lián)的所有流的網(wǎng)絡(luò)資源�。相比之下���,流模板是在流級(jí)的策略����。例如��,流模板將影響與訂戶關(guān)聯(lián)的單個(gè)流����。應(yīng)當(dāng)理解,一個(gè)或多個(gè)流模板可應(yīng)用于單個(gè)訂戶�����。另外�����,流準(zhǔn)入控制簡(jiǎn)檔可單獨(dú)地或者與一個(gè)或多個(gè)流模板結(jié)合地應(yīng)用于訂戶����。圖8是示出對(duì)于按照本發(fā)明的一個(gè)實(shí)施例的網(wǎng)絡(luò)流管理系統(tǒng)中的訂戶電路應(yīng)用策略的概念圖。如圖8所示���,流網(wǎng)絡(luò)元件110包括訂戶電路840�����。將訂戶電路840指配給一個(gè)訂戶(例如計(jì)算機(jī)端站10 ����。應(yīng)用特定流810A-810N在訂戶電路840上流動(dòng)�����。應(yīng)用特定流810A-810N的每個(gè)包括多個(gè)流。例如����,應(yīng)用特定流810A-810N分別包括流420A_A_420N_ A至420A_N-420N_N。雖然未示出���,但是在訂戶電路840上已經(jīng)對(duì)觀測(cè)點(diǎn)進(jìn)行編程����。網(wǎng)絡(luò)元件110向收集器120傳送與訂戶電路840對(duì)應(yīng)的流記錄����。如上所述,收集器組織流記錄�,確定所識(shí)別流是否違反策略定義,并且向組合AAA和策略服務(wù)器130傳送策略動(dòng)作����。組合AAA和策略服務(wù)器130向訂戶應(yīng)用流準(zhǔn)入控制簡(jiǎn)檔和/或流模板。如圖8所示��,組合AAA和策略服務(wù)器130為訂戶電路840指配流準(zhǔn)入控制簡(jiǎn)檔以及為流840B_N指配流模板��。按照本發(fā)明的一個(gè)實(shí)施例,向特定訂戶所指配的策略存儲(chǔ)在那個(gè)訂戶的訂戶記錄中�。因此,參照?qǐng)D4�����,在為訂戶指配策略之后的某個(gè)時(shí)間�,在操作7. 3�,采用所指配策略來(lái)更新與訂戶對(duì)應(yīng)的訂戶記錄。在操作7. 3�,策略服務(wù)器模塊135通知AAA服務(wù)器模塊132關(guān)于已更新訂戶記錄。之后的某個(gè)時(shí)間��,在操作8��,AAA服務(wù)器模塊132將策略傳送給端接訂戶的流網(wǎng)絡(luò)元件(例如流網(wǎng)絡(luò)元件110)���。雖然在本發(fā)明的一個(gè)實(shí)施例中�,將訂戶的完整訂戶記錄傳送給流網(wǎng)絡(luò)元件�����,但是在本發(fā)明的備選實(shí)施例中����,僅將策略傳送給流網(wǎng)絡(luò)元件���。按照本發(fā)明的一個(gè)實(shí)施例,經(jīng)由AAA消息中包含的廠商特定屬性(VSA)來(lái)傳送策略���。又參照?qǐng)D1�,流網(wǎng)絡(luò)元件110接收從組合AAA和策略服務(wù)器130傳送的策略����,并且在操作9安裝那些策略。參照?qǐng)D2更詳細(xì)地描述安裝進(jìn)程����。參照?qǐng)D2,在操作9.1���,AAA客戶端模塊150接收從組合AAA和策略服務(wù)器130傳送的策略�����。與參照操作2. 2所述相似��, 在操作9. 2����,電路映射進(jìn)程220將(隨策略的傳輸一起包含的)訂戶標(biāo)識(shí)符映射到與那個(gè)訂戶標(biāo)識(shí)符關(guān)聯(lián)的電路標(biāo)識(shí)符。在識(shí)別該訂戶的訂戶電路之后�����,將策略傳遞給流管理組件安裝模塊230供安裝��。在確定所述一個(gè)或多個(gè)策略由流網(wǎng)絡(luò)元件110支持之后����,流管理組件安裝模塊230安裝所述一個(gè)或多個(gè)策略(操作9. 4)����。另外,流管理組件安裝模塊230更新訂戶的訂戶記錄以反映所述一個(gè)或多個(gè)策略����。某些網(wǎng)絡(luò)流策略可引起在流網(wǎng)絡(luò)元件110中發(fā)出告警。例如�����,如果要從系統(tǒng)刪除特定訂戶(例如�,如果那個(gè)訂戶已經(jīng)發(fā)送大量多余電子郵件)���,則可發(fā)出告警?��?捎涗浘W(wǎng)絡(luò)流網(wǎng)絡(luò)元件上應(yīng)用的網(wǎng)絡(luò)流策略��。又參照?qǐng)D1�����,在操作10�����,觀測(cè)和計(jì)量模塊140按照策略來(lái)采用動(dòng)作���。例如,如果策略限制能夠由訂戶計(jì)算機(jī)端站105發(fā)送的分組的類型�,則觀測(cè)和計(jì)量模塊140可丟棄它在訂戶的對(duì)應(yīng)訂戶電路上觀測(cè)的受到限制的那些分組。作為一個(gè)示例����,網(wǎng)絡(luò)流管理系統(tǒng)100可用于自適應(yīng)地管理VoIP訂戶的帶寬。由于 VoIP流需要保證的帶寬(這樣不丟掉呼叫并且存在可接受的等待時(shí)間量),所以典型網(wǎng)絡(luò)元件預(yù)先保留帶寬���,并且根據(jù)需要來(lái)使用該帶寬���。應(yīng)當(dāng)理解,這可引起帶寬的不充分使用����, 因?yàn)槿绻麤](méi)有使用帶寬的全部量,則那個(gè)帶寬無(wú)法用于其它目的����。但是,在本文所述的本發(fā)明的實(shí)施例中��,可自適應(yīng)地管理帶寬����。例如����,流網(wǎng)絡(luò)元件110觀測(cè)VoIP流,并且向收集器120 (具體是收集模塊155)導(dǎo)出VoIP流記錄��。VoIP流記錄可包括源IP地址和目標(biāo)IP地址、源端口和目標(biāo)端口��、所使用的協(xié)議�、QoS要求等等。收集模塊155識(shí)別VoIP流����,并且按照訂戶來(lái)組織那些VoIP流。除了 VoIP流之外��,收集模塊155還接收并且組織其它應(yīng)用的流記錄�����。收集模塊155存儲(chǔ)流記錄��,并且能夠(例如基于在給定時(shí)間所傳送/接收的分組和/或字節(jié)的數(shù)量)確定哪些流(哪些非VoIP流)(因而哪些訂戶)在一段時(shí)間相對(duì)地使用最大帶寬��。例如�,P2P(端對(duì)端)流通常使用較大百分比的可用帶寬。收集模塊155還可跟蹤流網(wǎng)絡(luò)元件110上的帶寬使用(流網(wǎng)絡(luò)元件110可周期地向收集器120傳送當(dāng)前帶寬)�����。收集模塊155能夠基于當(dāng)前帶寬使用檢測(cè)到流網(wǎng)絡(luò)元件110無(wú)法容納新VoIP流但能夠選擇使用大百分比的帶寬的非VoIP流的一個(gè)或多個(gè)���,并且通知策略客戶端模塊160將策略動(dòng)作指配給那些非VoIP流����, 以便降低那些所選非VoIP流的帶寬。策略客戶端模塊160將策略動(dòng)作傳送給組合AAA和策略服務(wù)器130���,組合AAA和策略服務(wù)器130為那些流指配策略(例如使用流模板440或者流準(zhǔn)入控制簡(jiǎn)檔450)���,并且將策略傳送給流網(wǎng)絡(luò)元件110。使用這個(gè)進(jìn)程�����,流網(wǎng)絡(luò)元件110 可自適應(yīng)地管理帶寬���,以便在流網(wǎng)絡(luò)元件110上更好地利用帶寬����。當(dāng)然���,應(yīng)當(dāng)理解,這只是一個(gè)示例���,并且許多其它應(yīng)用是本文所述的本發(fā)明的實(shí)施例所考慮的���?���?赏ㄟ^(guò)許多方式來(lái)刪除已安裝網(wǎng)絡(luò)流策略��。例如��,操作員可刪除任何已安裝網(wǎng)絡(luò)流策略�。作為另一個(gè)示例,在本發(fā)明的一個(gè)實(shí)施例中�����,某些策略(例如流模板440的某些流
14模板和/或流準(zhǔn)入控制簡(jiǎn)檔450的某些流準(zhǔn)入控制簡(jiǎn)檔)包括終止參數(shù)�。例如,流策略終止參數(shù)可基于時(shí)間(例如在給定時(shí)間之后刪除策略的應(yīng)用)�����、基于事件(例如����,如果已經(jīng)停止引起違反策略規(guī)則的原因)����、基于計(jì)數(shù)器(例如�,在處理N個(gè)分組、流或違反流之后刪除策略的應(yīng)用)等等����。雖然本發(fā)明的實(shí)施例已經(jīng)描述作為分開(kāi)的實(shí)體的流網(wǎng)絡(luò)元件(例如流網(wǎng)絡(luò)元件 110、112和114)�、收集器120以及組合AAA和策略服務(wù)器130,但是在本發(fā)明的備選實(shí)施例中����,這些組件的一個(gè)或多個(gè)位于同一個(gè)實(shí)體中(例如,流網(wǎng)絡(luò)元件可與收集器和/或組合 AAA和策略服務(wù)器相結(jié)合�,收集器可與組合AAA和策略服務(wù)器相結(jié)合,等等)�����。雖然本發(fā)明的實(shí)施例已經(jīng)描述作為組合AAA服務(wù)器和策略服務(wù)器的組合AAA和策略服務(wù)器130���,但是在本發(fā)明的備選實(shí)施例中�,AAA服務(wù)器與策略服務(wù)器分開(kāi)�����。在本發(fā)明的一些實(shí)施例中�����,策略客戶端模塊是與收集器分開(kāi)的實(shí)體(例如��,策略客戶端模塊160位于與收集器120分開(kāi)的實(shí)體中)��。在這些實(shí)施例中���,收集器周期地向策略客戶端模塊160傳送聚集流記錄����。在本發(fā)明的一個(gè)實(shí)施例中�����,流網(wǎng)絡(luò)元件110包括一個(gè)或多個(gè)控制卡和多個(gè)線路卡��。在線路卡的(例如分組處理ASIC(PPA)��、分組處理核等)分組處理單元上對(duì)觀測(cè)點(diǎn)進(jìn)行編程���。通常�����,訂戶電路與單個(gè)線路卡關(guān)聯(lián)���。如上所述���,在本發(fā)明的一些實(shí)施例中,訂戶是移動(dòng)訂戶(例如使用移動(dòng)IP����、WiFi、WiMAX����、GSM、CDMA等的訂戶)��。由于訂戶是移動(dòng)的���,并且可在物理上移動(dòng)位置��,所以其訂戶連接可在流網(wǎng)絡(luò)元件上移動(dòng)�����。例如��,移動(dòng)訂戶通常耦合到與流網(wǎng)絡(luò)元件的某個(gè)線路卡耦合的基站���。移動(dòng)訂戶的移動(dòng)可促使訂戶耦合到可與流網(wǎng)絡(luò)元件的不同線路卡耦合的不同基站。在本發(fā)明的實(shí)施例中�����,流網(wǎng)絡(luò)元件在必要時(shí)(例如�,如果訂戶在會(huì)話生命期期間從流網(wǎng)絡(luò)元件上一個(gè)物理點(diǎn)(例如線路卡、端口等)移動(dòng)到另一個(gè)物理點(diǎn))動(dòng)態(tài)地改變移動(dòng)訂戶的觀測(cè)點(diǎn)�����。除了觀測(cè)訂戶網(wǎng)絡(luò)流之外����,在本發(fā)明的一些實(shí)施例中,在流網(wǎng)絡(luò)元件上對(duì)觀測(cè)點(diǎn)進(jìn)行編程�����,以便監(jiān)測(cè)與其它網(wǎng)絡(luò)元件關(guān)聯(lián)的流。對(duì)于本文所述的本發(fā)明的實(shí)施例���,類似于觀測(cè)與訂戶關(guān)聯(lián)的流���,可將策略應(yīng)用于與其它網(wǎng)絡(luò)元件關(guān)聯(lián)的流。因此�����,與典型網(wǎng)絡(luò)流監(jiān)測(cè)技術(shù)不同�����,本發(fā)明的實(shí)施例包括在訂戶級(jí)和邏輯電路級(jí)監(jiān)測(cè)網(wǎng)絡(luò)流��,并且可基于被監(jiān)測(cè)流在訂戶級(jí)采用動(dòng)作(流策略動(dòng)作)��。因此����,可為個(gè)別訂戶生成網(wǎng)絡(luò)流記錄,并且可基于其個(gè)別流記錄為那些訂戶采用動(dòng)作�。這允許對(duì)網(wǎng)絡(luò)流的更細(xì)粒化的監(jiān)測(cè)和管理。雖然圖中的流程圖示出本發(fā)明的某些實(shí)施例執(zhí)行的操作的特定順序�����,但是應(yīng)當(dāng)理解�����,這種順序是示范性的(例如備選實(shí)施例可按照不同順序來(lái)執(zhí)行操作�、組合某些操作����、重疊某些操作等等)。雖然按照若干實(shí)施例描述了本發(fā)明���,但本領(lǐng)域的技術(shù)人員會(huì)知道����,本發(fā)明并不局限于所述實(shí)施例��,而是可在所附權(quán)利要求書的精神和范圍之內(nèi)���,經(jīng)過(guò)修改和變更來(lái)實(shí)施�。因此,本描述被看作是說(shuō)明性而不是限制性的����。
權(quán)利要求
1.一種由網(wǎng)絡(luò)流管理系統(tǒng)中的流網(wǎng)絡(luò)元件執(zhí)行的方法,所述方法包括 在訂戶級(jí)監(jiān)測(cè)多個(gè)訂戶的網(wǎng)絡(luò)流�����;導(dǎo)出與所述多個(gè)訂戶關(guān)聯(lián)的流記錄���,其中每個(gè)流記錄包括關(guān)于所述流記錄屬于所述多個(gè)訂戶中的哪一個(gè)訂戶的標(biāo)識(shí)�;接收通過(guò)針對(duì)多個(gè)策略規(guī)則定義應(yīng)用所述所導(dǎo)出流記錄來(lái)指配的一個(gè)或多個(gè)流策略���, 其中每個(gè)所接收流策略識(shí)別由于違反一個(gè)或多個(gè)策略規(guī)則而對(duì)于與所述多個(gè)訂戶其中之一關(guān)聯(lián)的網(wǎng)絡(luò)參數(shù)采用的動(dòng)作����;以及應(yīng)用所述一個(gè)或多個(gè)流策略��,其中每個(gè)所應(yīng)用流策略修改與所述多個(gè)訂戶其中之一關(guān)聯(lián)的所述網(wǎng)絡(luò)參數(shù)的至少一部分��。
2.如權(quán)利要求1所述的方法�����,其中,所述網(wǎng)絡(luò)參數(shù)包括諸如帶寬值��、接入控制列表和策略值的連接屬性以及諸如阻止或抑制給定應(yīng)用類型的分組之類的控制屬性���。
3.如權(quán)利要求1所述的方法��,其中�����,接收和應(yīng)用至少兩個(gè)流策略����,并且其中所述所應(yīng)用流策略中的至少一個(gè)所應(yīng)用流策略影響第一訂戶的所有網(wǎng)絡(luò)業(yè)務(wù)���,而其中所述所應(yīng)用流策略中的至少另一個(gè)流策略僅影響第二訂戶的單個(gè)網(wǎng)絡(luò)流。
4.如權(quán)利要求1所述的方法�����,其中����,所述多個(gè)訂戶中的至少一個(gè)訂戶是移動(dòng)訂戶��,以及所述多個(gè)訂戶中的至少一個(gè)訂戶是固定訂戶�����。
5.如權(quán)利要求1所述的方法��,還包括對(duì)于所述多個(gè)訂戶中的每個(gè)訂戶�����,從AAA服務(wù)器接收與所述訂戶關(guān)聯(lián)的觀測(cè)簡(jiǎn)檔����,所述觀測(cè)簡(jiǎn)檔指示所述訂戶的網(wǎng)絡(luò)流監(jiān)測(cè)參數(shù)���;按照所述所接收觀測(cè)簡(jiǎn)檔對(duì)多個(gè)訂戶級(jí)流觀測(cè)點(diǎn)進(jìn)行編程�。
6.如權(quán)利要求5所述的方法��,其中�����,作為來(lái)自所述訂戶的認(rèn)證或重新認(rèn)證請(qǐng)求的一部分接收所述觀測(cè)簡(jiǎn)檔�����,并且其中所述觀測(cè)簡(jiǎn)檔關(guān)聯(lián)到與所述訂戶關(guān)聯(lián)的訂戶記錄。
7.如權(quán)利要求5所述的方法�����,其中����,各觀測(cè)簡(jiǎn)檔的所述網(wǎng)絡(luò)流監(jiān)測(cè)參數(shù)指示要監(jiān)測(cè)與所述訂戶關(guān)聯(lián)的多個(gè)網(wǎng)絡(luò)流中的哪一些網(wǎng)絡(luò)流。
8.一種網(wǎng)絡(luò)流管理系統(tǒng)�,包括多個(gè)流網(wǎng)絡(luò)元件,所述流網(wǎng)絡(luò)元件中的每個(gè)流網(wǎng)絡(luò)元件包括 認(rèn)證���、授權(quán)和記帳(AAA)客戶端模塊���,用于從AAA服務(wù)器接收與訂戶關(guān)聯(lián)的觀測(cè)簡(jiǎn)檔���, 并且基于所述觀測(cè)簡(jiǎn)檔對(duì)于與所述訂戶關(guān)聯(lián)的觀測(cè)點(diǎn)進(jìn)行編程��,與所述AAA模塊耦合的觀測(cè)和計(jì)量模塊���,所述觀測(cè)和計(jì)量模塊用于基于所述已編程觀測(cè)點(diǎn)來(lái)觀測(cè)網(wǎng)絡(luò)流���,以及與所述觀測(cè)和計(jì)量模塊耦合的導(dǎo)出模塊,所述導(dǎo)出模塊用于向收集器傳送與所述所觀測(cè)網(wǎng)絡(luò)流對(duì)應(yīng)的網(wǎng)絡(luò)流記錄�;所述收集器與所述多個(gè)流網(wǎng)絡(luò)元件耦合,所述收集器包括收集模塊和策略客戶端模塊��,所述收集模塊用于接收所述所傳送流記錄�,并且組織所述所接收網(wǎng)絡(luò)流記錄,以及所述策略客戶端模塊與所述收集模塊耦合���,所述策略客戶端模塊用于基于所述所組織網(wǎng)絡(luò)流記錄和多個(gè)策略定義來(lái)創(chuàng)建策略動(dòng)作����,以及用于向策略服務(wù)器傳送那些策略動(dòng)作���, 其中各策略動(dòng)作包括關(guān)于所述策略動(dòng)作用于所述多個(gè)流網(wǎng)絡(luò)元件中的哪一個(gè)流網(wǎng)絡(luò)元件以及哪一個(gè)訂戶的指示��;組合AAA和策略服務(wù)器����,所述組合AAA和策略服務(wù)器與所述收集器和所述多個(gè)流網(wǎng)絡(luò)元件耦合�,所述組合AAA和策略服務(wù)器包括AAA服務(wù)器和策略服務(wù)器,所述策略服務(wù)器包括多個(gè)網(wǎng)絡(luò)流策略�����,所述組合AAA和策略服務(wù)器用于執(zhí)行下列步驟基于所述所接收策略動(dòng)作向所述多個(gè)流網(wǎng)絡(luò)元件指配網(wǎng)絡(luò)流策略,以及將所述所指配網(wǎng)絡(luò)流策略傳送給所述策略動(dòng)作所指示的流網(wǎng)絡(luò)元件��;以及其中接收網(wǎng)絡(luò)流策略的每個(gè)流網(wǎng)絡(luò)元件要安裝那個(gè)網(wǎng)絡(luò)流策略�,其中所述已安裝網(wǎng)絡(luò)流策略修改訂戶的網(wǎng)絡(luò)參數(shù)。
9.如權(quán)利要求8所述的網(wǎng)絡(luò)流管理系統(tǒng)���,其中��,各觀測(cè)簡(jiǎn)檔包括特定訂戶的一組一個(gè)或多個(gè)網(wǎng)絡(luò)流監(jiān)測(cè)參數(shù)�����,并且每個(gè)已編程觀測(cè)點(diǎn)是訂戶級(jí)流觀測(cè)點(diǎn)����。
10.如權(quán)利要求8所述的網(wǎng)絡(luò)流管理系統(tǒng)����,其中�,經(jīng)修改的所述網(wǎng)絡(luò)參數(shù)包括其中包含帶寬值、接入控制列表和策略值的連接屬性以及其中包含阻止或抑制給定應(yīng)用類型的分組的控制屬性中的一個(gè)或多個(gè)��。
11.如權(quán)利要求8所述的網(wǎng)絡(luò)流管理系統(tǒng),其中����,所述組合AAA和策略服務(wù)器指配影響所述訂戶的所有網(wǎng)絡(luò)業(yè)務(wù)的流策略。
12.如權(quán)利要求8所述的網(wǎng)絡(luò)流管理系統(tǒng)�,其中,所述組合AAA和策略服務(wù)器指配僅影響所述訂戶的某些流的流策略����。
13.如權(quán)利要求8所述的網(wǎng)絡(luò)流管理系統(tǒng),其中�����,所述多個(gè)訂戶中的至少一個(gè)訂戶是移動(dòng)訂戶����,以及所述多個(gè)訂戶中的至少一個(gè)訂戶是固定訂戶。
14.如權(quán)利要求8所述的網(wǎng)絡(luò)流管理系統(tǒng)�,還包括用于更新已經(jīng)確定為違反策略規(guī)則的那些訂戶的訂戶記錄以便反映所述策略動(dòng)作的AAA服務(wù)器。
15.如權(quán)利要求8所述的網(wǎng)絡(luò)流管理系統(tǒng)�����,還包括用于在來(lái)自所述多個(gè)流網(wǎng)絡(luò)元件的請(qǐng)求時(shí)傳遞所述觀測(cè)簡(jiǎn)檔的AAA服務(wù)器。
16.一種用于網(wǎng)絡(luò)流管理系統(tǒng)的方法���,所述網(wǎng)絡(luò)流管理系統(tǒng)包括一個(gè)或多個(gè)流網(wǎng)絡(luò)元件�、與所述一個(gè)或多個(gè)網(wǎng)絡(luò)元件耦合的收集器��、與所述收集器耦合的策略客戶端�����、與所述策略客戶端耦合的策略服務(wù)器以及與所述策略服務(wù)器和所述一個(gè)或多個(gè)流網(wǎng)絡(luò)元件耦合的認(rèn)證����、授權(quán)和記帳(AAA)服務(wù)器,所述方法包括所述一個(gè)或多個(gè)流網(wǎng)絡(luò)元件中的每個(gè)流網(wǎng)絡(luò)元件端接多個(gè)訂戶����,每個(gè)流網(wǎng)絡(luò)元件執(zhí)行下列步驟從所述AAA服務(wù)器接收各與那個(gè)流網(wǎng)絡(luò)元件上端接的訂戶關(guān)聯(lián)并且各指示訂戶的網(wǎng)絡(luò)流監(jiān)測(cè)參數(shù)的多個(gè)觀測(cè)簡(jiǎn)檔,按照所述所接收觀測(cè)簡(jiǎn)檔對(duì)多個(gè)觀測(cè)點(diǎn)進(jìn)行編程�,在所述已編程觀測(cè)點(diǎn)監(jiān)測(cè)網(wǎng)絡(luò)流,以及向所述收集器導(dǎo)出與所述被監(jiān)測(cè)網(wǎng)絡(luò)流對(duì)應(yīng)的流記錄����;所述收集器根據(jù)流網(wǎng)絡(luò)元件和訂戶來(lái)組織那些網(wǎng)絡(luò)流記錄;所述策略客戶端針對(duì)多個(gè)策略定義將所述所組織流記錄相關(guān)����,以便確定所述訂戶的所述網(wǎng)絡(luò)流是否違反任何策略規(guī)則以及對(duì)每個(gè)違反要采取的一個(gè)或多個(gè)動(dòng)作,其中響應(yīng)確定訂戶的網(wǎng)絡(luò)流已經(jīng)違反策略規(guī)則而向策略服務(wù)器傳送那個(gè)訂戶的一個(gè)或多個(gè)策略動(dòng)作���,每個(gè)所傳送策略動(dòng)作包括關(guān)于所述策略動(dòng)作用于所述一個(gè)或多個(gè)流網(wǎng)絡(luò)元件中的哪一個(gè)流網(wǎng)絡(luò)元件以及哪一個(gè)訂戶的指示��;所述策略服務(wù)器用于基于從所述策略客戶端接收的策略動(dòng)作為所述訂戶指配網(wǎng)絡(luò)流策略�,其中各網(wǎng)絡(luò)流策略將修改訂戶的網(wǎng)絡(luò)參數(shù)�����;所述AAA服務(wù)器用于向所述一個(gè)或多個(gè)流網(wǎng)絡(luò)元件傳送所述所指配網(wǎng)絡(luò)流策略���;以及所述一個(gè)或多個(gè)流網(wǎng)絡(luò)元件安裝所述網(wǎng)絡(luò)流策略�����。
17.如權(quán)利要求16所述的方法�����,其中�����,每個(gè)已編程觀測(cè)點(diǎn)是對(duì)于單個(gè)訂戶唯一的訂戶級(jí)流觀測(cè)點(diǎn)���,以及其中所述網(wǎng)絡(luò)流監(jiān)測(cè)參數(shù)����。
18.如權(quán)利要求16所述的方法����,其中,所述網(wǎng)絡(luò)流監(jiān)測(cè)參數(shù)包括一個(gè)或多個(gè)網(wǎng)絡(luò)流類型�����、一個(gè)或多個(gè)應(yīng)用類型和一個(gè)或多個(gè)子應(yīng)用類型��。
19.如權(quán)利要求16所述的方法�,其中,所述經(jīng)修改的網(wǎng)絡(luò)參數(shù)包括其中包含帶寬值���、接入控制列表和策略值的連接屬性以及其中包含阻止或抑制給定應(yīng)用類型的分組的控制屬性中的一個(gè)或多個(gè)�。
20.如權(quán)利要求16所述的方法���,其中����,所述網(wǎng)絡(luò)流策略包括流準(zhǔn)入控制簡(jiǎn)檔和流模板, 其中每個(gè)流準(zhǔn)入控制簡(jiǎn)檔影響單個(gè)訂戶的所有網(wǎng)絡(luò)業(yè)務(wù)�,以及其中每個(gè)流模板僅影響單個(gè)訂戶的單個(gè)流���。
21.如權(quán)利要求16所述的方法��,其中�,每個(gè)流網(wǎng)絡(luò)元件端接移動(dòng)訂戶和固定訂戶����。
22.如權(quán)利要求16所述的方法,其中����,所述收集器和所述策略客戶端在第一網(wǎng)絡(luò)元件上實(shí)現(xiàn),而所述AAA服務(wù)器和所述策略服務(wù)器在第二網(wǎng)絡(luò)元件上實(shí)現(xiàn)�。
23.如權(quán)利要求16所述的方法,其中���,所述收集器�����、策略客戶端����、AAA服務(wù)器和所述策略服務(wù)器在同一網(wǎng)絡(luò)元件上實(shí)現(xiàn)。
24.如權(quán)利要求16所述的方法�,其中,所述收集器在第一網(wǎng)絡(luò)元件上實(shí)現(xiàn)�����,所述策略客戶端在第二網(wǎng)絡(luò)元件上實(shí)現(xiàn)���,所述AAA服務(wù)器在第三網(wǎng)絡(luò)元件上實(shí)現(xiàn)���,以及所述策略服務(wù)器在第四網(wǎng)絡(luò)元件上實(shí)現(xiàn)。
全文摘要
多個(gè)流網(wǎng)絡(luò)元件在訂戶級(jí)監(jiān)測(cè)多個(gè)訂戶的網(wǎng)絡(luò)流�����。流網(wǎng)絡(luò)元件向組織流記錄的收集器導(dǎo)出流記錄�����。策略客戶端將流記錄相關(guān)�����,并且確定任何網(wǎng)絡(luò)流是否違反流策略定義。如果違反流策略定義�,則策略客戶端向策略服務(wù)器傳送指示對(duì)給定違反流要采用什么動(dòng)作的策略動(dòng)作。策略服務(wù)器為對(duì)應(yīng)違反流的訂戶指配流策略��。所指配流策略則傳送給具有那個(gè)違反流的流網(wǎng)絡(luò)元件��,并且那個(gè)流網(wǎng)絡(luò)元件安裝流策略�����。
文檔編號(hào)G06F15/16GK102576345SQ201080006262
公開(kāi)日2012年7月11日 申請(qǐng)日期2010年1月26日 優(yōu)先權(quán)日2009年1月26日
發(fā)明者A·卡瓦爾霍, M·K·蒂瓦里, S·I·拉曼, V·瓦盧里 申請(qǐng)人:瑞典愛(ài)立信有限公司