[发明专利]应用感知网络管理方法和系统

说明书

在一个实现方式中，应用感知网络控制系统确定网络流已经被实例化，响应于确定该网络流已经被实例化，获取与该网络流关联的网络流特征，并且向应用标识模块提供该网络流特征。响应于应用标识信号，该应用感知网络控制系统停止获取网络流特征，并且基于从应用标识模块接收的应用标识报告，对该网络流施加流动作。

背景技术

一些网络管理系统(例如，网络设备和/或在网络设备上寄宿的软件)尝试以应用进行通信所经由的网络连接的静态属性为基础来提供应用感知的网络管理(或能力)。例如，一些网络管理系统通过标识端口号、网络协议(IP)地址、域名或这些的组合，确定经由网络进行通信的应用的身份。

其它网络管理系统尊敬或尊重在数据分组中包含的服务质量(QoS)值，终端用户设备上的应用可以利用该服务质量(QoS)值来标记自己。这样的网络管理系统绝对地信任由应用提供的QoS信息来确定应用的身份。其它网络管理系统依赖深度包检测(DPI)来标识应用。在确定一个或多个应用的身份之后，这样的网络管理系统基于应用的身份来设置网络(例如改变参数，如网络的服务质量(QoS)参数或防火墙参数)。

附图图示

图1是根据实现方式的包括通信网络和应用感知网络控制系统的环境的示意框图。

图2是根据实现方式的应用感知网络管理过程的流程图。

图3是根据实现方式的图示网络控制器和网络设备之间的通信流程的时序图。

图4是根据另一实现方式的应用感知网络管理过程的流程图。

图5是根据实现方式的寄宿应用感知网络控制系统的网络设备的示意框图。

具体实施方式

依赖网络连接的静态属性来提供应用感知(即，标识经由那些网络连接通信的应用)的网络管理系统(例如，网络设备和/或在网络设备上寄宿的软件)经常由于各种原因而不能准确地确定应用的身份。例如，许多应用动态地协商它们进行通信所经由的网络连接的每会话属性(例如，应用端口号)。换句话说，由这些应用依赖的网络连接的属性不是事先限定的。因此，网络管理系统不能依赖网络连接的静态地限定的属性来标识应用。

此外，许多应用经由共享这些静态属性的网络连接来通信。例如，一组互联网协议语音(VoIP)应用可以各自使用公共端口号来经由网络连接进行通信。因此，不能单独地通过这些应用的网络连接的该属性来标识这些应用。作为另一示例，许多不同的应用和不同分类的应用使用超文本传输协议(HTTP)或安全超文本传输协议(HTTPS)来传输数据。结果，在这些应用的网络连接的数据分组头中包含的每会话属性中的许多或者全部是相同的。由于这些网络连接的每会话属性在许多应用之间进行共享，所以这样的网络管理系统不能基于静态属性来确定这些应用的身份。

此外，依赖由应用(例如，在经由网络通信的终端用户设备或其它设备处寄宿的应用)提供的标识信息的网络管理系统容易受到来自应用的错误信息影响。例如，通过请求或标识想要使这样的网络管理系统以不想要的但有利(例如，对那些应用的增强的服务质量(QoS)、附加的吞吐量或冗余通信链路)的方式设置网络的一类服务，应用可以将它们本身标识为其它较高优先级的应用。由于这样的网络管理系统绝对地信任由应用提供的标识信息，所以这些网络管理系统可以基于由应用提供的错误信息来设置网络，产生网络内资源的不是网络架构师或管理员想要的分配。

深度包检测(DPI)可以通过分析由应用交换的数据来提供准确的应用标识，但产生高计算成本，难以扩展，并且不能可靠地用于端到端加密的业务(例如，虚拟专用网(VPI)、安全超文本传输协议(HTTPS)通信、以及安全实时协议(SRTP) 通信)。结果，通常在针对分析而将来自网络连接的数据镜像或转发至的高端网络设备或专用计算系统处实施DPI。