CN105960777A - 使用远程网络管理器观察和控制可编程网络的系统和方法 - Google Patents

Abstract

公开一种用于通过高层属性观察和控制可编程网络的系统和方法。根据一个实施例，系统包括一个或多个采集器、网络管理器和可编程网元。一个或多个采集器被配置成从多个网元接收网络流量数据并且从网络流量数据提取元数据。网络管理器被配置成从一个或多个采集器接收元数据。网络管理器识别用于网络的网络控制目标、识别可编程网元的用于实现网络控制目标的可编程参数并且对可编程网元编程。在对可编程网元编程之后，网络管理器进一步确定是否满足网络控制目标并且应用基于网络控制目标的控制环路以对可编程网元编程。

Description

使用远程网络管理器观察和控制可编程网络的系统和方法

版权声明

本专利文件的公开内容的一部分包括受版权保护的材料。版权所有者不反对任何人对专利文件或专利公开内容如同它在专利和商标局专利文件或记录中呈现进行复制再现，但是在其它情况下版权所有人保留所有版权权利。

技术领域

本公开总体涉及对网络加索引和控制领域。更特别地，本公开涉及一种用于通过较高层属性观察和控制可编程网络的系统和方法。

背景技术

在现代网络中对应用、用户以及装置获得业务级的洞察力和控制变得极具挑战性。在应用方面，现代网络具有应用类型和部署位置的巨大混合。例如，单个应用可作为带有在网络的不同部分上运行的组件间通信的分布式多层应用实现。类似地，业务应用可被寄存在外部(off-premise)云中(例如salesforce.com)、在内部(on-premise)本地数据中心(例如SAP)中或在内部主机(例如统一通信)之间。在用户和设备方面，现代网络可被从有线台式机到诸如笔记本电脑、移动电话以及平板电脑等无线设备的无数设备访问。

传统的网络安全和性能监控工具或策略执行防火墙需要与用户设备联机部署的专用硬件。然而，专用硬件在支持网络的不同部分中部署的各种类型的应用和设备方面存在缺点。

发明内容

本公开涉及一种用于监控和/或控制一个或多个网元的系统。根据一些实施例，系统包括一个或多个采集器和远程网络管理器。一个或多个采集器被配置成从网络中的多个网元接收网络流量数据。远程网络管理器被配置成通过网络接口在互联网上连接至一个或多个采集器。一个或多个采集器从网络流量数据提取元数据并且将元数据发送至网络管理器。系统进一步具有控制多个网元中的至少一些网元的可编程控制器可编程控制器。远程网络管理器通过可编程控制器来控制多个网元。远程网络管理器或一个或多个采集器被进一步配置以对网络加索引，从而能够高效搜索和检索元数据。

根据一些实施例，系统包括一个或多个采集器和可编程网元。一个或多个采集器被配置成从网络中的多个网元接收网络流量数据并且从网络流量数据提取元数据。基于从网络中的多个网元接收到的元数据对可编程网元编程。

根据一些实施例，系统包括多个网元、可编程网元以及一个或多个采集器。一个或多个采集器被配置成基于时变进度从多个网元采集过滤的网络流量数据。

根据一些实施例，系统包括多个网络系统和远程网络管理器。远程网络管理器被配置成在通过互联网连接至多个企业系统、多个采集器或其组合。远程网络管理器同时且集中地分析多个网络系统的网络条件、从多个网络系统中的第一网络系统学习网络模式、并且预测多个网络系统中的第二网络系统的网络行为。

根据一些实施例，系统包括一个或多个采集器、网络管理器以及可编程网元。一个或多个采集器被配置成从多个网元接收网络流量数据并且从网络流量数据提取元数据。网络管理器被配置成从一个或多个采集器接收元数据。网络管理器识别用于网络的网络控制目标、识别可编程网元的用于实现网络控制目标的可编程参数并且对可编程网元编程。在对可编程网元编程之后，网络管理器进一步确定是否满足网络控制目标并且应用基于网络控制目标的控制环路以对可编程网元编程。

根据一些实施例，采集器从多个网元接收镜像流量数据并且对网络加索引。管理器对可编程网元编程以将来自多个网元的过滤的网络流量数据发送至采集器。过滤的网络流量数据用于网络分析和提取元数据。采集器被进一步配置成接收关于网络的统计、关于网络的拓扑信息、来自一个或多个企业系统的输入或其组合。

根据一些实施例，采集器基于时变进度采集过滤的网络流量数据。用于发送过滤的网络流量数据的时变进度由在采集器处的带宽约束和/或网络拓扑和网络策略确定。

根据一些实施例，管理器使从网络流量数据接收的元数据与从企业系统接收的数据时间对准。在对可编程网元编程之后，管理器应用控制环路以确定是否满足网络控制目标。管理器被进一步配置成同时且集中地分析多个网络系统的网络条件、从多个网络中的第一网络学习模式并且将模式应用至多个网络中的第二网络。管理器提取影响网络策略的较下层控制原语并且基于诸如访问控制列表(ACL)、服务质量(QoS)、速率限制设置或其组合等较下层控制原语对可编程网元编程。管理器维持高级网络策略与低级控制基元之间的关系。

本公开的另一实施例也是一种用于监控网络的系统。该实施例包括被配置成与从网络的多个网元接收网络流量的可编程交换机通信的采集器。在该实施例中，采集器被配置成接收网络流量、从网络流量提取特征、并且对可编程交换机编程以从多个网元中的一个或多个接收过滤的网络流量。

本公开的另一实施例还是一种用于监控网络的系统。该实施例也包括被配置成与从网络的多个网元接收网络流量的可编程交换机通信的采集器。采集器被进一步配置成接收网络流量、从网络流量提取特征并且基于高层信息对网络加索引，其中高层信息是网络用户、网络应用、网络设备、以及网络行为中的一个或多个。控制器被进一步配置成对可编程交换机编程以从多个网元中的一个或多个接收过滤的网络流量。

本公开的另一实施例是一种用于监控网络的系统，其中系统包括采集器和管理器。在该实施例中，采集器被配置成与从网络的多个网元接收网络流量的可编程交换机通信，采集器被配置成接收网络流量、从网络流量提取特征、并且对可编程交换机编程以从多个网元中的一个或多个接收过滤的网络流量。管理器被配置成与采集器通信以从采集器接收提取的特征、汇总提取的特征、并且基于高层信息对网络加索引，其中高层信息是网络用户、网络应用、网络设备、以及网络行为中的一个或多个。例如，管理器可位于云中。该实施例可包括多个采集器。

本公开的另一实施例是一种用于监控网络的系统，系统包括采集器和管理器。在该实施例中，采集器从网络的多个网元接收网络流量并且从网络流量提取特征。管理器被配置成与采集器通信以接收提取的特征、汇总提取的特征并且基于高层信息对网络加索引，其中该高层信息是网络用户、网络应用、网络设备、以及网络行为中的一个或多个。此外，该实施例可包括多个采集器。

本公开的另一实施例是一种用于监控网络的系统，其中系统包括可编程交换机和采集器。可编程交换机被配置成从网络的多个网元接收网络流量。采集器被配置成与可编程交换机通信，并且采集器被进一步配置成接收网络流量、从网络流量提取特征并且对可编程交换机编程以从多个网元中的一个或多个接收过滤的网络流量。在该实施例中，采集器被进一步配置成接收关于网络的统计、关于网络的拓扑信息、来自其它企业系统的输入或者其组合。此外，采集器被进一步配置成对网络加索引。

本公开的另一实施例是一种用于控制网络的系统。该实施例包括被配置成与从网络的多个网元接收网络流量的可编程交换机通信的采集器，其中采集器被配置成接收网络流量、从网络流量提取特征并且对网元中一个或多个编程以执行一个或多个策略。

本公开的另一实施例是一种用于控制网络的系统，其中系统包括可编程交换机和采集器。在该实施例中，系统包括可编程交换机和控制器，可编程交换机被配置成从网络的多个网元接收网络流量，采集器被配置成与可编程交换机相连通，其中该控制器被进一步配置成接收网络流量、从网络流量提取多个特征并且对网元中一个或多个编程以执行一个或多个策略。一个或多个策略中的至少一个可基于关于网络的安全问题或性能问题。

本公开的另一实施例包括一种用于监控和控制网络的系统。该实施例包括被配置成与从网络的多个网元接收网络流量的可编程交换机通信的采集器。此外，在该实施例中，采集器被配置成接收网络流量、从网络流量提取特征、对可编程交换机编程以从多个网元中的一个或多个接收过滤的网络流量并且对网元中一个或多个编程以执行一个或多个策略。

在一个实施例中，在本文中也被称作放大镜系统(Loupe System)的本系统对网络进行抓取、汇总、加索引、查询和/或控制。网络可包括物理网元和虚拟网元的组合。本公开的一些实施例提供这种网络的高层的认识和手段，其中底层网元可具有或不具有那种高层处理能力。

在一个实施例中，本公开可涉及诸如抓取、汇总、加索引和查询等可见性问题。在该实施例中，方法和系统的可见性部分需要从网络的不同部分提取关键特征并且将这些特征结合至诸如用户、应用、设备和行为等较高层信息。然后，高层信息可被存储和通过自然语言处理制成可查询，并且可计算响应的排序并且呈现给用户。

本公开的另一实施例涉及控制网络。根据一个这种实施例，控制部分需要使用来自可见性部分的信息执行高级政策并且自动补救网络中的安全问题和性能问题。在一些实施例中，一种技术是动态并且实时地跟踪较高层信息与物理和虚拟网元理解并可用其编程的特定低层原语结合，。该实施例通过低层原语对设备动态编程，从而实现期望的高层目标。

公开的实施例进一步涉及机器可读介质，此处描述的公开发明的实施例被存储在机器可读介质上。预期的是，适合于检索指令的任何介质都落在公开的实施例的范围内。举例来说，这种介质可采取磁介质、光介质、或半导体介质的形式。公开的实施例还涉及包含公开发明的实施例的数据结构并且涉及以及包含公开的发明的实施例的数据结构的传输。

将在说明书的下面部分中阐明公开的实施例的进一步方面，其中详细描述是为了充分公开各种实施例的目的而不是对其限制。

附图说明

将通过参照仅用于说明性目的的以下附图更全面地理解本申请。这些图不必按比例绘制，在整个图中，具有相似结构或功能的元件通常用相似的参考号表示用于说明性目的。图仅旨在便于在此描述的各种实施例的描述。图不描述此处公开的教导的每个方面并且不限制权利要求的范围。

图1说明根据一个实施例的具备SDN能力的网络的功能图；

图2A说明根据一个实施例的在企业网络中部署的示例性系统的系统架构；

图2B说明根据另一实施例的在企业网络中部署的示例性系统的系统架构；

图3是根据一个实施例的带外部署的框图；

图4是根据一个实施例的在线部署的框图；

图5是根据一个实施例的用于提供网络可见性的流程图；

图6是根据一个实施例的在采集器处的输入采集过程的流程图；

图7说明根据一个实施例的示例性具备SDN能力的网络的简图；

图8说明根据一个实施例的包括具备SDN能力的交换机的示例性遗留网络的简图；

图9是根据一个实施例的示例性信息采集过程的流程图；

图10是根据一个实施例的汇总和加索引过程的流程图；以及

图11是根据一个实施例的控制环路的流程图。

图12说明根据一个实施例的示例性计算机架构。

具体实施方式

本领域普通技术人员将理解的是，本公开仅是说明性的并且不以任何方式限制。技术人员在该公开的协助下容易想到目前公开的的系统和方法的其它实施例。

此处公开的特征和教导中的每个可单独地或与其它特征和教导结合使用以提供通过高层属性观察和控制可编程网络的系统和方法。参照附图进一步详细地描述单独或结合利用这些附加特征和教导中的许多的代表性示例。这种详细描述仅旨在教导本领域技术人员用于实践本教导的方面的进一步细节，并不旨在限制权利要求的范围。因此，，在上述详细描述中所公开的特征的组合可没有必要在最广的意义上实践教导，反而被教导仅仅特别描述本教导的代表性示例。

在下面的描述中，仅出于解释的目的，阐述具体术语以提供对本系统和方法的彻底理解。然而，对本领域技术人员将显而易见的是，不需要实践本系统和方法的教导的这些具体细节。

本文中详细描述的一些部分用对在计算机存储器内的数据位的操作的算法和符号表示来提供。这些算法描述和表示是数据处理领域的技术人员向本领域的其它技术人员最有效传达他们工作的实质使用的手段。算法在此通常被认为是产生期望结果的步骤的前后一致序列。步骤是需要物理量的物理操作的步骤。通常，这些物理量不一定采用能够被存储、传递、组合、比较以及以其它方式操作的电信号或磁信号的形式。主要出于通用的原因，有时将这些信号称作位、值、元素、符号、字符、项、数字等等被证明是方便的。

然而，应牢记，这些以及类似的术语地全部要与适当的物理量相关联并且仅仅是适用于这些量的便捷标记。如从以下讨论中明显的是，除非另有特别说明，否则理解的是，在整个描述中，利用诸如“处理”、“用计算机计算”、“计算”、“确定”、“显示”、“配置”等术语的讨论是指计算机系统或类似电子计算设备的动作和过程，其操作并且将在计算机系统的寄存器和/或存储器内表示为物理量(电子)量的数据转换成在计算机系统的存储器或寄存器或其它这种信息存储装置、传输装置或显示装置内类似地表示为物理量的其它数据。

本申请还涉及一种用于执行此处操作的设备。该设备可为所需目的专门构建或可包括通过在计算机中存储的计算机程序选择性地激活或重新配置的通用计算机。这种计算机程序可被存储在诸如但不限于包括软盘、光盘、CD-ROM、磁光盘、只读存储器(ROM)、随机存取存储器(RAM)、EPROM、EEPROM、磁性卡或光学卡的任何类型的磁盘或适合于存储电子指令的任何其它类型介质等计算机可读存储介质中并且每个被联接至计算机系统总线上。

此处提供的算法与任何特别计算机或其它设备不存在内在关系。各种通用系统、计算机服务器或个人计算机可根据此处的教导与程序一起使用或可证明构建用于执行所需方法步骤的更专用的设备是便利的。从以下说明中将出现各种这些系统的所需结构。将理解的是，可使用各种编程语言来实现如此处描述的公开的教导。

此外，为了提供本教导的附加有用实施例，代表性示例和独立权利要求的各种特征可以不具体且明确地枚举的方式组合。还特别注意的是，所有数值范围或实体组的指示出于原始公开的目的以及出于限制所要求保护的主题的目的公开每个可能的中间值或中间实体。还特别注意的是，附图中示出的组件的尺寸和形状被设计成帮助理解本教导是如何实践的，但不旨在限制在示例中示出的尺寸和形状。

存在可包括本公开的实施例的四种主要技术领域：(1)网络功能虚拟化(NFV)，(2)软件定义网络(SDN)，(3)应用交付网络(AND)，以及(4)网络数据包代理设备和网络安全和性能监控工具。本系统和方法将这些技术的方面结合起来以提供网络的可见性以及控制。

图1说明根据一个实施例的具备SDN能力的网络的功能图。具备SDN能力的网络100包括通过一个或多个SDN控制器115A-115N链接的SDN应用110和网元120。网元120上前缀“p”和“v”分别指示物理网元和虚拟网元。

网元120包括物理交换机(p交换机)121、物理路由器(p路由器)122、物理防火墙(p防火墙)、虚拟交换机(v交换机)124、虚拟防火墙(v防火墙)125和物理网络数据包代理设备126。理解的是，网元120可包括任何数量的物理交换机121、物理路由器122、物理防火墙123、虚拟交换机124、虚拟防火墙125、物理网络数据包代理设备126以及在不脱离本公开内容的情况下的其它物理或虚拟网元。

网络功能虚拟化(NFV)是指基于软件的网元的实施和部署。与需要专用硬件(例如专用集成电路(ASIC))的非NFV网元截然相反，这种基于软件的网元通常在通用处理硬件(例如x86机器)上运行。NFV型网元的示例包括但不限于虚拟交换机124和虚拟防火墙125。理解的是，在不脱离本公开内容的情况下可实施其它类型的NFV型网元。这种NFV型网元可被运行为在商用硬件上运行的管理程序之上虚拟机。本系统和方法提供对NFV网元的监控和控制，但注意的是，不脱离本公开内容的情况下，本系统和方法还可监控和控制非虚拟化的网元和/或功能。

软件定义网络(SDN)描述将控制平面的全部或某些部分与网元的数据平面分离的一般概念。为简单起见，术语“网元”此处可指物理网元、虚拟网元或两者的组合。

控制平面的分离部分通常被集中在SDN控制器中。SDN控制器115与网元120之间的南向接口152可以是敞开的(例如)或专有的(例如，)。SDN控制器115为SDN应用110提供程序化北向接口151以既观察又动态配置网元。类似于SDN应用，本系统和方法；利用在SDN应用110与SDN控制器115之间的北向接口151。注意的是，本系统和方法可与不具备SDN能力的网络、部分或完全具备SDN能力的网络、甚至包括异构网络的网络一起工作。例如，图1的SDN控制器115和图2的无线控制器259是企业系统的示例。

应用交付网络(ADN)将提供应用层功能性的一些技术封装在网络中。例如，下一代应用防火墙是根据L4-L7标头信息以及应用、用户和内容层元数据提供在线访问控制功能的设备。该设备可执行在线深度包检测以识别实时应用和执行访问控制。

本系统和方法的控制实施例使用诸如交换机和路由器等基本网元提供下一代应用防火墙的能力，否则该下一代应用防火墙将不具有这样的容量。本系统和方法可减少硬件和分布式功能。

网络数据包代理设备126(或矩阵交换机)收集、聚集和过滤来自端口镜像、网络TAP和探头的网络流量。网络数据包代理设备126将过滤的网络流量根据它们的网络安全和性能工具供应至网络安全和性能工具。例如，网络安全和性能工具可仅支持1Gbps的流量，网络数据包代理设备126可手动配置成过滤和整形来自10GBps链路的流量以符合网络安全和性能工具的约束。网络数据包代理设备126通常与网络安全和性能工具解耦，网络数据包代理设备126将数据包交付至网络安全和性能工具。

本系统和方法的一部分作为网络安全性和性能工具执行。在一个实施例中，本系统和方法对网络数据包代理设备126智能地并且动态地编程以获得对它需要流量的访问。本系统和方法还(例如通过机器学习)对关于用户、应用、装置、行为等高层信息汇总和加索引，并且能使用自然语言处理技术查询高层信息。根据一个实施例，本系统和方法被部署在云中以使跨网络学习成为可能。此处“云”是指寄存在广域网(例如互联网)上的计算机和存储平台服务器。注意是，ADN和网络安全/性能监控工具两者都通常被部署在内部。

本发明的系统和方法通过高层属性观察和控制可编程网络并且解决用于监控和控制网络的现有系统的缺陷。讨论被分为三个部分：(1)架构，(2)可见性和(3)控制。

架构

图2A说明根据一个实施例的在企业网络中部署的示例性系统的系统架构。系统200包括管理器201(此处也被称作放大镜管理器)和一个或多个采集器202(此处被称作放大镜采集器)。在一个实施例中，采集器202是位于内部的(虚拟或物理)软件设备。采集器202可作为单个软件要素被部署或用于扩展集群或一些软件要素。例如，采集器202是非暂时计算机可读存储器中可被处理器运行以执行此处描述的动作的逻辑操作。在其它实施例中，采集器202是硬件和软件的组合。

根据一些实施例，每个企业网络210(例如校园、数据中心)存在多个收集器202，并且每个客户存在多个网络210和采集器202。此外，采集器202可被部署在企业网络210内的防火墙后面。这能使采集器与内部企业系统容易地通信，并且还能使防火墙后面的采集器与外部的系统向外容易通信。

采集器202接收从物理网元和/或虚拟网元216直接捕获的实时数据包。采集器202还从包括身份管理系统(例如活动目录217)、网元控制器(例如SDN控制器215、网络管理系统)等的其它企业系统接收数据(例如拓扑、统计、用户信息等)。采集器202还针对在公共云/互联网250(例如， )中的内部/外部应用运行性能测试，并且采集性能结果。

采集器202捕获这些数据的全部、提取关键元数据或特征并且将关键元数据或特征压缩并发送至位于公共云220内的管理器201。例如，采集器202每秒接收10吉比特或100G吉比特的数据，但每秒仅将10千比特或100千比特的数据发送至管理器201。采集器202由管理器201提供和配置，因此，从管理器201朝内部系统的命令可由采集器201代理。在一个实施例中，管理器201还可被部署在私有云中或其它大型多站点机构内。

管理器201将从采集器202接收的数据汇总并且将数据存储在数据库205中。管理器201执行来自外部企业系统的附加数据采集和公共云/互联网250上的其它应用并且运行其自身的性能测试。管理器201对该数据应用学习算法和其他启发式算法并且将(例如关于用户、应用、设备和行为的)高层信息结合至数据。管理器201还计算用于从网络的不同部分接收数据的采集器202的抓网进度。管理器201还负责提供网页界面和自然语言查询能力以基于学到的数据检索排序答案。类似于采集器202，管理器201是可在集群或在多层中部署的软件设备。管理器201包含可支持大数据存储和有效查询(例如)的数据库205。一般而言，可存在用于多个机构和/或企业(例如多租户类型部署)的一个管理器201或用于多个机构和/或企业的多个管理器201。管理器201还可以是非暂时计算机可读存储器中可被处理器运行以执行此处描述的动作的逻辑操作或是硬件和软件的组合。

图2B说明根据一个实施例的在企业网络中部署的示例性系统的系统架构。系统250包括管理器251、采集器252和控制一个或多个无线接入点(AP)256的无线控制器265。无线控制器265可采取许多形式，例如(ⅰ)在其自身硬件上运行的单独内部软件、(ii)集成至接入点256的软件或(iii)位于外部软件(例如在云220中)的软件。无线控制器265控制和/或配置接入点256并且终止来自以无线方式连接至接入点256的移动设备的数据平面流量。无线控制器265以及控制其它一些网元(例如接入点256)的SDN控制器是网元的示例。

采集器252通过管理接口(例如简单网络管理协议(SNMP)、命令行接口(CLI)、专用管理协议)从控制器265采集无线度量。用于移动设备的度量的示例包括但不限于：信号强度、第二层流量统计(例如传输、重试、丢弃的数据包)、流量传输速率、设备位置以及用户信息。用于接入点的度量的示例包括但不限于：信道利用率、聚合的第二层流量统计、干扰测量、CPU/存储器利用率。

采集器252通过它们各自管理接口从其它企业系统(如果有的话)同时采集度量和其它信息。一个示例是从目录服务器(例如LDAP、活动目录)采集用户角色以及用户至-IP地址信息。另一个示例是从微软Lync服务器采集统一通信性能度量。

采集器252通过镜像接口通过离开无线控制器265的逻辑或物理端口镜像离开另一网元(例如交换机、路由器、接入点)的逻辑或物理端口镜像同时看到输送有相关用户流量网络中的网络流量。

根据流量，采集器252执行深度数据包检测(DPI)并且提取除通用协议级元数据之外的与用户/设备体验质量(QoE)相关、应用基础不同的元数据。例如，网页浏览QoE度量包括页面加载时间和/或HTTP URL响应时间。语音和视频应用QoE度量涉及提取和/或计算相关的平均意见得分(MOS)值。

根据一些示例，本系统和方法将QoE元数据与在应用程序堆栈上提取的包括来自无线控制器265的无线层度量的元数据时间对准。例如在特定的时间间隔，用户/设备可具有差的页面加载时间、高传输控制协议(TCP)重传、低信噪比(SNR)、高AP信道利用率。本系统和方法采集和存储该时间序列数据并且针对随着时间推移的趋势/模式和其他维度(例如设备类型、位置)分析时间序列数据。例如，本系统和方法发现设备一贯遭受比设备更差的网页性能。

根据一些实施例，本系统和方法分析趋势/模式是横跨网络。例如，本系统和方法识别特定网络/协议/无线度量以确定应用性能。作为示例，本系统和方法分析横跨许多客户网络的糟糕的微软语音应用性能(例如平均意见得分(MOS))。本系统和方法学习最重要的指标是高级的第二层数据包重传。基于该评估，对于具有高级第二层数据包重传的新客户网络而言，本系统和方法预测除非数据包重传被纠正否则微软性能会很差。

本系统和方法对于以下两个使用案例具有适用性：可见性和控制。从架构的角度来看，两个使用案例之间存在部署可能性的差异。特别地，仅对于被动可见性而言，本系统和方法可带外部署。图3是根据一个实施例的带外部署的框图。可编程(例如具备SDN能力的)交换机324接收网元316的镜像流量并且与包括采集器302和控制器330的服务器350通信。来自网元316的镜像流量(如以虚线指示出的)被迫通过可编程交换机324。可编程交换机324可被动态控制和编程以将在特定的时间间隔期间的特定流量和网络位置送至采集器302。例如，控制器330控制可编程交换机324。在监控的流量的总带宽小于采集器302的带宽的情况下，可编程交换机324可毫无必要，所有镜像流量可被直接发送至采集器302。这种情况的的示例是仅监控企业网络内的广域网(WAN)链路。

对于控制而言，根据一些实施例，本系统和方法采用在线部署。在这种情况下，携带常规流量(例如非镜像流量)的网元的子集是可编程的(例如具备SDN能力)。此外，这些网元(例如物理和虚拟交换机、无线接入点)可被定位成使得策略可以有效例如以形成物理或逻辑扼流点(choke point)。图4是根据一个实施例的在线部署的框图。管理器401从非可编程网元416和可编程网元417接收流量并且与包括采集器402和控制器430的服务器450通信。在该实施例中，管理器401被部署在内部私有云410中，但明显的是，管理器401可被部署在如图2A和2B中说明的外部公共云中。

位于云中的管理器401能够横跨多个客户网络观察。虽然管理器401(无论其是多租户管理器还是每个客户单独管理器)可被部署在私有云或公共云中以排除横跨多个网络的数据共享，但是本系统和方法可通过组合来自客户网络中每个的训练算法实现整体性能改善。

可见性

本系统和方法提供对网络抓取和加索引并且启用关于网络和应用、用户、设备以及行为的自然语言查询。网络可见性的具体流程是按以下顺序：

原始数据→抓取→特征提取→汇总→加索引→跨网络学习→查询能力

图5是根据一个实施例的用于提供网络可见性的流程图。原始数据→抓取→特征提取部分发生在内部(例如，公司1(510A)、公司1的分部(501B)、公司2(502)的采集器)，汇总→加索引→跨网络学习→查询能力部分发生在云550中(例如，公司1(511)和公司2(512)的管理器)。注意的是，在不脱离本公开的范围的情况下，这些功能可以各种方式横跨管理器和采集器分割。例如，与管理器截然相反，可在采集器中发生部分汇总。

原始数据

原始数据包括可由采集器或管理器采集或抓取的数据。抓取的第一条原始数据是一个或多个采集器可访问的网络上的实时流量。原始数据可进一步包括从网元直接接收的或通过插入的控制器或管理器接收的统计数据、拓扑数据和配置数据。原始数据的示例包括但不限于从网元收获的取样流和SNMP数据。类似地，可从SDN控制器(如果有的话)收集拓扑信息。从其它企业系统(内部或外部)收集的其它信息也是适用的，例如，从ACTIVE服务器接收的用户信息。

原始数据还包括相对于内部应用和外部应用的来自主动性能测试的结果。在一个实施例中，采集器利用各种目标应用运行主动性能测试(例如，HTTP GET、PING)。这些目标应用可由本系统和方法自动检测或者用户预先专门配置。

抓取原始数据

此处抓取是指动态选择不同组的原始数据以供采集器在任何给定时间检查的动作。例如，抓取包括观察不同的物理链路或虚拟链路和将不同过滤器应用至原始数据。

在许多情况下，流量的总量超过采集器的带宽。这需要具有网络数据包代理设备等同物(network packet broker equivalent，NPBE)功能的设备，其能够将镜像和过滤的流量从网络的多个部分驱动至采集器。本系统和方法利用过滤和操纵规则对一个或多个NPBE设备动态编程以获得对数据的选定访问。然而，本系统和方法也适于镜像至采集器的流量来自小数量的位置(例如来自WAN链路的镜像流量)和总的同时镜像流量小于采集器的带宽情况。这种情况可不需要NPBE设备。在一个实施例中，NPBE是例如运行为采集器的一部分的一个或多个软件元素。

抓取原始数据是重大问题，特别是在以下情形中：本系统和方法可动态控制网络内的一个或多个NPBE以在不同的时间从网络的不同部分捕获数据包。在一个实施例中，NPBE功能通过在具备SDN能力的交换机之上运行的SDN控制器来实现。在这种情况下，管理器可直接地或由采集器代理地要求SDN控制器具有实现NPBE功能的底层网元。

用于控制网络数据包代理设备等同物的方法是使管理器计算动态抓取和过滤进程，其告知NPBE它可如何将流量引导至采集器。动态抓取和过滤进程的计算可以各种方式来完成，例如但不限于根据拓扑、在采集器处的计算和网络资源和统计。

动态抓取和过滤进程的示例是：

-将来自链路e1的所有进入和外出流量都发送至采集器；

-从链路e2，将进入和外出流量通过等于80的源端口或目的端口发送至采集器；以及

-通过链路e3、e4、e5和e6每次循环5分钟，将所有流量发送至采集器。

具有更复杂逻辑的动态抓取和过滤进程可被发送至采集器。例如，采集器可被配置有搜索改变进程的动态触发器的程序。例如，动态触发器是：“如果应用X被检测并且正在使用Y带宽，则更频繁地监控来自链路的流量”。在另一个实施例中，计算动态抓取和过滤进程以优化采集器之间的负载平衡，例如，“将1Gbps的流量从链路e1发送至采集器#1并且将1Gbps的流量从链路e2发送至采集器#2。”

根据一个实施例，采集器抓取内部和外部应用的性能信息，其中本系统和方法检测应用的用途或者应用由用户预先配置。性能信息可通过对应用执行性能测试(例如PING、TRACEROUTE、HTTP GET)的采集器产生。性能信息可通过针对预先配置的或自动检测的目标应用周期性地运行相同的HTTP GET并且将检测的结果发送至管理器抓取。抓取进程可包括命令，例如，“如果检测到新的应用，则立即开始运行针对新应用的性能测试”。

根据一些实施例，原始数据可按以下过程从SDN控制器或网络管理系统采集：

-L1→L7网络拓扑的全局视图，

-针对每个网元(如果有的话)的端口统计，

-每个受控网元的当前配置，

-每个受控网元的配置能力，

-API功能和控制器本身的配置能力，

-关于用户、应用，设备、位置等可获得的任何高层信息。

根据一些实施例，原始数据可从企业系统(例如ACTIVE轻量目录访问协议(LDAP)服务器、单点登录(SSO)系统)采集。这种原始数据的示例包括但不限于诸如角色和相关联策略、登录状态、IP地址的用户信息。

根据一些实施例，原始数据可按以下过程从网元(例如，通过给予SDN控制器的先验指令的方式)直接采集：

-来自网络中各种端口的采样镜像流量，

-诸如等高级统计，

-关于用户、应用、设备、位置的预先计算的信息，以及

-信号强度、错误率和其它性能相关的信息。

根据一些实施例，原始数据可从本系统或诸如期望的高级策略等其它政策引擎采集。根据一些实施例，由采集器产生的性能数据包括通过采集器对检测的或用户预先配置的内部/外部应用执行的主动测试(例如，PING、HTTP、TCP)的结果。

图6是根据一个实施例的在采集器处的输入采集过程的流程图。输入采集过程开始(在610处)并且采集器接收来自管理器的输入(在602处)。输入的示例包括但不限于：

-关于从哪些企业系统采集数据并且如何采集数据(例如IP地址、证书)的指令，

-用于从网元进行数据采集的采样进程，

-关于采集的数据的初始分析、过滤和压缩的指令，以及

-运行性能测试的应用列表。

采集器将期望的分流配置进一步发送至SDN控制器并且接收网络拓扑(在603处)、联系企业系统并且请求分析数据流(在604处)、接收通过时间和链路标识的采样原始数据流(在605处)并且按照指令从采样原始数据流提取特征(在606处)、从多个网元接收高级统计(在607处)、并且执行应用性能测试并采集数据(在608处)。控制器使用从603-608采集的信息进一步提取特征并且压缩采集的信息(在609处)。控制器将数据发送至管理器(在610处)，并且重复输入采集过程。

特征提取

根据一个实施例，本系统和方法从抓取的数据提取关键特征和/或元数据。例如，数据包以每秒多个吉比特的速度涌入采集器。采集器逐数据流地或逐主机地从每数秒百万个数据包和每秒数万个数据流提取一组特征，并且将提取的数据以每秒每个数据流小于几百个字节地发送至管理器。在一个实施例中，数据流由(srclP、dstlP、srcPort、dstPort、protocol)的5元组定义。数据流的定义可被扩展到适用于诸如应用或数据包标头字段(例如第二层数据流包括在数据流定义中的源和目的介质访问控制(MAC)地址)的其它组合等其它原语。

逐个数据流特征的示例包括但不限于：

-不同HTTP2xx响应数据包的数量

-不同HTTP3xx响应数据包的数量

-不同HTTP5xx响应数据包的数量

-IP流量的二进制特征是否存在

-不同类型HTTP数据包的数量

-不同类型DNS数据包的数量

-不同类型DHCP数据包的数量

-TCP_SYN的二进制特征是否继TCP_SYN_ACK之后

-DNS_Q的二进制特征是否继DNS_SUCC_RESP之后

-DHCP REQUEST的二进制特征是否继DHCP GRANT之后

-源/目的MAC地址组存在数据流中

-上述特征中的每个以逐个时间片(例如数据流的每10秒)为基础

-数据包到达间隔时间的均值、中位数和方差、有效载荷大小

-指示是否请求窗口缩放的标志

-看到的TCP FIN数据包的数量

逐主机特征的示例包括但不限于：

-与特别主机交互的不同主机的数量

-相互交互的主机组

-于交易的端口数量(指示服务器和客户端)

应用级元数据的示例包括但不限于：

-HTTP响应和页面加载时间

-语音和视频通话MOS得分

-其它协议(DNS、DHCP、RADIUS等)的响应时间

小的原始数据(例如统计、拓扑)可被压缩并且发送至管理器。然而，需要智能特征提取将大数据发送至管理器。大数据的示例是统计数据(例如平均链路利用率)。类似地，性能测试结果可被减少至特定特征(例如在存在性能测试异常的情况下平均HTTP响应时间)。

示例

图7说明根据一个实施例的示例性具备SDN能力的网络的简图。七个交换机s0-s6和网元h0-h2被分级布置。顶端交换机s0被连接至互联网750，管理器701被部署在公共云中的服务器中并且通过互联网750连接。采集器702作为虚拟机(VM)被部署在附接至交换机s6的服务器上。交换机s0-s6是具备SDN能力的交换机，SDN控制器715被部署为附接至交换机s5的服务器。活动目录服务器725还被连接至交换机s5。

图8说明根据一个实施例的包括具备SDN能力的交换机的示例性遗留网络的简图。七个交换机s0-s6将镜像流量(如用虚线所指示的)供给到具备SDN能力的交换机824中。镜像配置是静态的，并且作为示例，可以简单地镜像来自每个交换机的上行链路的流量。采集器802和SDN控制器815被部署并且连接至与具备SDN能力的交换机824相连的端口。管理器801被部署在公共云中的服务器中并且在互联网850上被连接至交换机s0。活动目录服务器825还被连接至交换机s5。注意的是，在不存在具备SDN能力的交换机的情况下，可手动地配置镜像端口。

采集器802从网络中的多条链路动态捕获数据包。作为示例，至采集器的链路是2Gbps链路(例如2条链路聚合的1GBps链路)而(包括WAN链路)的其它链路是1GBps链接。在这种情况下，管理器可将抓取进程发送至采集器，例如：

-100％的时间采集关于WAN链路(e0)的特征，以及

-通过链路e3、e4、e5、e6连续循环(即，所描绘的链路中的某些链路)五分钟时间，并且采集在该时间段内的所有特征。

汇总和加索引

虽然有可能将该功能的部分或全部也嵌入在采集器中，但是汇总和加索引功能在管理器中实现。汇总和加索引过程从采集器和其它系统获取输入特征和其它相关数据。汇总和加索引过程的第一输出是高层推论或绑定。具体地讲，高层数据(例如用户、应用、设备)与低层数据(例如IP和MAC地址、端口)的关系或绑定被计算并且在数据库中加索引。本系统和方法提供使用自然语言和高层控制原语查询当前和历史的任何高级索引的信息的能力。

低层数据可根据诸如网络可见性或网络控制等目标而变化。对于网络可见性，低层数据包括但不限于协议级度量和元数据。对于网络控制，低层数据包括但不限于诸如端口、MAC地址、IP地址、访问控制列表(ACL)、服务质量(QoS)、以及速率限制设置等控制原语。根据一个实施例，本系统和方法基于在网络协议级度量和元数据周围观察的网络特性预测应用、用户、以及设备中的一个或多个的性能。

汇总过程的主要作用是存储和学习从采集器和其它企业系统接收的输入。图9是根据一个实施例的示例性信息采集过程的流程图。当管理器从SDN控制器获得API功能和配置能力时(在902处)采集过程开始(在901处)。管理器根据期望的性能目标和拓扑计算采样进程并且该采样进程发送至采集器(在903处)。管理器还计算和发送指令使采集器与SDN控制器和其它企业系统交互并且从网元采集高级统计，并且确定如何分析、过滤和压缩原始数据(在904处)。管理器还从采集器接收压缩的且过滤的原始特征以及其它数据(在905处)并且根据使用时间、链路以及诸如源IP地址等其它方面对接收的原始特征和数据加索引并且存储在数据库中(在906处)。管理器通过用户接口和其它策略引擎从用户还采集高级策略以及用户反馈以帮助和改善学习算法(在907处)。

根据输入特征组和相关的输入数据，本系统和方法使用两个后台程序汇总(即提取高层信息)并且对汇总的数据加索引。当收到导致先前加索引的信息立即错误的任何新(即未汇总的)的原始特征数据或任何数据更新(例如用户改变IP地址)时，增量过程作用。该过程运行启发式分类算法以汇总原始特征。第二过程是定期运行以更新学习模式(例如，对分类算法再培训)以及重新汇总过去数据的全局过程。高层信息的示例包括但不限于：

-用户；

-应用；

-协议；

-设备；

-内容；

-网络和物理位置(遥测)；以及

-衍生元数据，其包括：

o学到上文之间的关系(例如，用户X倾向于访问Y型的应用，趋向于产生Z量的流量)，

o学到的上文的属性(例如，这些关系的改变与“粘性”的比率)，

o学到的关于上文的行为(例如，该应用似乎有TCP问题，该用户似乎在做一些恶意的事情)；以及

o学到的上文行为的变化(例如，该应用已经具有异常高的误差组，该应用正在使用异常高的带宽)。

汇总和加索引对数据去重复。例如，当多个采集器发送相同的数据时，管理器识别数据的重复并且消除歧义。在另一个示例中，当多个采集器看到来自相同企业系统的相同信息时，管理器识别重复信息并且消除歧义。

图10是根据一个实施例的汇总和加索引过程的流程图。汇总和加索引过程开始(在1001处)，并且管理器确定是否接收新的特征或者是否存在网络拓扑、统计以及用户信息的变化(在1001处)。管理器运行增量算法以对任何原始特征数据汇总并且编索引，运行重新索引器以随着用户或拓扑信息的变化更新先前汇总和加索引的数据(在1003处)。使用过程的组合来计算高层绑定。管理器周期性地(例如每天一次)运行全局再汇总器和重新索引器(在1004处)。例如，采集器执行深度数据包检测(DPI)以识别未加密的应用流量，标识的应用作为特征被发送。可选地，在管理器处基于表征应用通过早前描述的数据流或主机的机器学习可用于加密流量。用户信息和设备信息可通过访问诸如活动目录等其它企业系统、从数据包(例如用户代理人字符串、组织唯一标识符(OUI))提取关键信息或检查网络拓扑(例如无线流量来自无线接入点所在的位置)来收集。

另一示例涉及检测应用行为。例如，在管理器处的机器学习可识别指示一些类型错误的一些数据包的存在(例如HTTP错误数据包)。类似地，考虑了流量采取的确切物理路径的启发式算法可显示其它应用行为。例如，当数据包通过特别交换机时，可随着间隔时间的增大看到数据包；这指示拥挤交换机或配置错误交换机。启发式算法的输出的示例是高层捆绑的概率排序列表。

根据一个实施例，训练数据通过用户给数据加的标记采集。例如，用户通过云门户指定特定用户或最近出现的应用问题。在另一示例中，当本系统和方法提出用于给定查询的一组可能性时，指定这些可能性中哪一个(如果有的话)是正确的用户是有用的训练数据。进一步归纳这种情况，本系统和方法结合来自多个网络的算法见解以进一步提高采集数据的分类。

根据另一实施例，本系统和方法实时执行特定用户/应用/设备的流量的逐段分析。为此，本系统计算关注的流量采取的物理和逻辑链路并且改变采集器的分流进程使得它们采集与物理链路有关的数据(例如数据包、统计)。最后，以与正常采集的特征类似的风格对所得特征加索引和分析。

汇总和加索引的另一示例是根据原始特征计算复合度量并且横跨多个不同维度计算和存储这些度量的比较。例如，本系统和方法根据响应时间和数据包丢失等的原始测量计算设备体验质量度量，并且将度量的值与相同或不同类型的设备(例如iPhone)、具有相同或不同操作系统(例如Android)的设备、连接至相同接入点的设备等比较。计算的、存储的和加索引的信息可通过用户接口查询被快速地检索。通过可编程控制器，它还可用于闭环控制。

跨网络学习

位于云中的管理器可访问来自多个企业的系统。例如，本系统被部署为横跨客户的多租户系统。在这种部署中，客户不共享数据，但客户可共享这些过程。

跨网络学习的示例是培训用于根据单独客户网络的提取特征计算高层绑定的单独分类器。单独分类可被组合以提出总体较好的分类(例如，多数获胜)。跨网络学习的另一示例是学习横跨网络的最常见的查询并且致力于较高的计算能力以得到对这些特定的查询的更好答案。

跨网络学习的另一示例是基于相互交互的不同系统的部署。例如，本系统被部署在彼此发送大量流量的客户网络1和客户网络2处。本系统和方法自动检测大量流量，并在两个客户网络上的采集器之间直接运行更高级的性能测试算法。

跨网络学习的另一示例是基于网络和应用的观察的低层的特性预测高层性能。例如，假设在一个网络上，本系统获知高AP信道利用率导致抖动，从而导致实时视频应用性能差。对于可能已经或可能尚未部署实时视频应用的另一网络，本系统检测高AP信道利用率的存在来预测性能差。

查询能力

根据一个实施例，本系统和方法提供网络的自然语言查询能力。管理器具有采用关于网络及其用户/应用/设备/行为的自然语言类型输入的查询框。自然语言查询的示例是：

-“用户X具有关于应用Z的问题Y，”

-“用户X正在经历salesforce.com的缓慢，”以及

-“告诉我关于SAP应用的情况。”

本系统和方法响应查询并且将与对于每个答案的概率/置信度一起的答案的概率排序列表提供。本系统和方法还提供更深的支持证据(如果用户要求的话)。

总结和示例

管理器在各种级别(例如数据流级别、主机级别、用户级别以及链路级别)从一个或多个采集器接收特征数据。管理器采集数据并且依据数据流、主机、用户、链路、时间间隔对采集的数据加索引。当特征数据的数据流到达时，管理器运行增量过程以分类：(a)数据流对应的应用、(b)应用经历的任何关注行为(例如，未连接至服务器、速度慢、错误)，(C)参与使用应用的用户，以及(d)参与使用应用的设备。另外，管理器将拓扑知识绑至应用(例如应用服务器的位置、应用流量横穿的网络链路)。信息与每个特征一起被加索引。采集器对检测或配置的应用服务器自动运行性能测试，例如对应用服务器运行Ping测试。性能测试结果也与应用和特征一起被加索引。

根据一个实施例，本系统和方法为用户提供查询接口(例如网页接口)。用户将例如以自然语言形式的查询输入至本系统的用户接口。例如，用户的查询是“告诉我关于应用X的情况。”本系统继续执行下述步骤：

i.为(a)应用的位置(例如在内部云中)、(b)在最近几小时内正在使用应用的用户、(c)应用的行为(d)应用使用的带宽查询加索引的数据库。

ii.显示(i)的结果。

iii.计算在最后一天承载有应用流量的链路。将命令发送至采集器以立即采集所有链路上所有流量的十秒样本。(例如通过SDN控制器)将命令发送至可编程网元以将流量从链路转发至采集器。

iv.用(ⅲ)中发现的结果扩充先前显示的结果。

另一样本查询可陈述，“用户X具有关于应用Z的问题Y”(即告诉我这件事)。管理器继续执行下述步骤：

i.为用户X使用应用Y的数据流实例查询加索引的数据库。对记录的行为中的潜在问题行为排序。比较沿网络路径横跨链路的对应特征。比较横跨时间(即在历史上)的特征。

ii.显示(i)。

iii.计算在过去一天已经承载该用户的应用流量的链路。将命令发送至采集器以立即采集这些链路的全部上的所有流量的十秒样本。将命令发送至可编程网元(例如通过SDN控制器)以使流量从这些链路转发至采集器。

Iv.用(ⅲ)中发现的结果扩充先前显示的结果。

控制

根据一些实施例，本系统和方法涉及使用网络的可见性和控制网络。控制网络的示例是在整个网络执行高层策略。另一示例是自动问题和安全补救/异常补救/性能补救(如果适用的话)。本系统和方法可以(a)手动或规定控制和(b)自动闭环控制的方式实现网络控制。在这两种情况下，从可见性的角度，区别之一是高层策略或控制目标的绑定需要被跟踪至可用于对底层网元编程的特定下层控制原语。高级控制目标的示例包括但不限于：

-阻止用户X访问网络，

-维持应用Y的高性能，

-检测和减轻拒绝服务(DOS)攻击，以及

-优先考虑用户类Z流量。

对于手动控制/预定控制，实现高级目标的控制指令被计算并且提供至用户，但不是自动编程至网元中。另外，基于控制指令需要新的或更新的配置的特定网元根据网络拓扑计算并且提供至用户。本系统计算如何以分布式方式实现控制。控制指令集可以预测有效性的顺序进行概率排序。虽然在一些实施例中可能不需要明确的机器对机器可编程性(例如，SDN控制器)，但在其它实施例中，本系统可需要机器对机器可编程性来发现各种网元的配置状态和能力。本系统将网元可配置的特定低级控制原语考虑在内。例如，许多网元具有用不同原语可编程的不同尺寸的IP、MAC以及TCAM硬件表。

根据一些实施例，当用户改变设备时，本系统和方法动态跟踪用户与(IP地址、MAC地址、物理端口)之间的绑定、插入不同子网络并且从动态主机配置协议(DHCP)服务器接收新的IP地址。根据一些实施例，本系统和方法将应用/网络性能问题绑定至特定流量转发决策(例如，应用缓慢由高度利用特定链路的一组特定源/目的IP地址对引起)或网络配置(例如错误配置最大传输单元(MTU))。根据一些实施例，本系统和方法将特定的异常流量行为联接至特定的用户/应用/设备并且进一步联接至特定IP/MAC地址。

根据一些实施例，本系统和方法考虑底层网络硬件的拓扑和能力。例如，如果一个人试图用纯第二层交换机执行用户策略，则需要动态跟踪用户→MAC地址结合并且仅使用将规则编程至交换机中的MAC地址。考虑拓扑的示例，本系统和方法试图执行尽可能靠近网络的边缘的策略，其通常在线部署在逻辑或物理网络扼流点的当前防火墙无法做到。当高层到低层的绑定改变时，编程至网元中的规则能够以闭环方式改变。

图11是根据一个实施例的控制环路的流程图。控制环路开始(在1101处)，管理器确定是否存在未满足的高级控制目标(在1102处)。管理器基于控制方法分支(在1103处)。对于手动控制方法，管理器基于但不限于以下各项计算优化的低级规则和拓扑并且发送至网络控制器：1)高级控制目标，2)估算的高层绑定值和相关的的不确定性，3)底层网元的配置能力和当前配置，以及4)诸如网络拓扑、统计、可容忍的配置改变等其它信息(在1104处)。管理器为用户提供实现高级控制目标的特定网元的控制方法(在1105处)。对于自动控制，管理器基于但不限于以下各项计算用于可编程网元的初始更新控制：1)高级策略、问题、安全需求、异常，2)估算的高层参数值和相关的不确定性，3)底层网元的配置能力和当前配置，4)诸如网络拓扑、统计、可容忍的配置改变等其它信息，5)测量控制策略的有效性以及6)诸如稳定性、振动性、时间表等控制环路参数(在1106处)。管理器将控制策略参数发送至可编程网元(在1107处)，观察网络并且测量控制策略相对于高级策略的有效性(在1108处)。

作为手动控制/预定控制的示例，本系统和方法执行阻止用户X访问网络的高级目标。为此，本系统和方法首先导出用户X对应的IP地址。然后，本系统和方法计算逻辑扼流点以有效应用策略。例如，逻辑扼流点对应于用户X的IP地址的子网上的路由器。本系统的输出包括在路由器中每个处产生离开/到达正在丢弃这些IP地址的流量的一组命令。可选的输出是用于实现期望控制的SDN控制器的一组命令。

对于自动控制，本系统和方法以闭环方式对网元编程以实现和维持高级控制目标。自动控制是以底层网络具有可编程的(例如具备SDN能力的)网元的固有假设为基础。除了将高层目标与低层可编程原语绑定以及考虑底层网元的配置状态和能力之外，本系统和方法计算动态控制环路。本系统和方法首先应用可能的控制(例如，增益)并检查以查看是否实现高级目标。如果是，本系统和方法撤回补救和/或应用不同但是较轻的补救并且再次检查以查看是否仍然实现高级别目标。如果没有，则本系统和方法试图应用更重的控制和/或重新诊断高层目标至底层控制原语的绑定并且应用不同的控制。图11也描绘了这个过程。闭环控制的第一步骤可与由手动控制提供的步骤不同。此外，诸如稳定性、振荡和响应的时间表等因素可在控制环路的设置中考虑。

自动闭环控制可被应用至阻止用户X访问网络的示例。在该示例中，本系统和方法对规则编程以丢弃在网络中路由器处离开/到达用户X的IP地址的流量。假设那样做起作用，则本系统和方法试图用一项规则仅对用户X的缺省网关路由器编程。如果失败，则本系统和方法将更多项规则应用至其它路由器、和/或阻止某些端口并且继续。当用户X获得新的IP地址时，本系统和方法自动调整至已改变的网络拓扑。

自动闭环控制的另一使用实例是对于应用X而言控制目标维持高性能。在这种情况下，本系统和方法对将与应用相对应的所有流量放入最高执行队列的规则简单编程。如果并未观察到改善的应用X性能，则本系统和方法尝试对重新路由或速率限制来自与应用X共享共同网络链路的应用的流量的规则编程。如果观察到了改善，则本系统和方法恢复其它应用的性能。

高层策略(对于手动或自动控制)的示例是“优先使来自使用业务应用(例如Salesforcecom或Workday)的雇员的流量超过诸如来自使用不同应用组的访客用户等闲时流量。”为了实现该高层政策，本系统和方法动态跟踪用于这些组合的会话5元组、计算用于执行所必需的最小的规则组并且动态地跟踪和编程。

根据一些实施例，本系统和方法自动地提供网络问题的补救。例如，用户输入“用户X具有关于应用Z的问题Y”的形式查询，本系统和方法提供了最高等级的答案(即，具有超过一定阈值的置信度的答案)，即“存在由使用应用程序W的用户造成共同网络链路拥堵”。如果针对该特定查询启用自动补救，则管理器将指令发送至采集器以命令SDN控制器告诉适当的网元以(a)使用户X比其它流量对应用Z的流量优先考虑、或(b)禁止涉及应用W的流量。由于流量禁止策略的限制性，(b)补救方法可能需要来自运营商的附加政策许可。

参见作为补救过程的示例的图4，假设用户X被“附接”至交换机s3，并且应用Z服务器被“附接”至交换机s4。使用户X对应用Z的流量优先考虑的策略可以由SDN控制器施加，该SDN控制器将规则发送至匹配用户X的IP地址(作为源IP)和应用服务器的IP地址(作为目的IP)的交换机s3并且具有对IP区分服务代码点(DSCP)位加标记以表示最高等级的服务的动作。类似地，反向规则被应用至交换机s4(即，使源和目的IP地址翻转)。

可选地，规则可沿通信路径被应用至所有交换机。这些规则具有类似的匹配字段，但是行动字段将流量直接发送至最高优先级队列。如果策略是使用户X丢弃应用Z流量，则规则被分别应用至边缘交换机s3和s4。这是有用的技术，因为网络中无需到处施加这些规则。

自动补救过程的另一示例是配置域。例如，对于查询“应用X中存在问题”，假设最高级答案是“这个问题似乎是由于错误配置的最大传输单元(MTU)值，交换机Y正在丢弃数据包”。本系统和方法通过将指令发送至采集器以命令SDN控制器重新配置相应交换机的MTU值自动地补救这种情形。

根据一些实施例，将可见性转变成控制的应用之一是完整的分布式防火墙。例如，运营商设置政策“用户X不能访问应用Y”，或“在Z登录尝试失败之后用户X可能持续Y分钟禁网”政策。在其它示例中，运营商(例如在隔离上)设置隔绝流量表现出恶意行为或异常行为的用户的策略。还可以在本系统和方法的控制框架内处理异常(例如，检测到的DOS攻击)的检测和手动或自动补救。

图12说明根据一个实施例的可以用于本系统的示例性计算机架构。示例性计算机架构可以用于实现在包括但不限于本系统的本公开中描述的一个或多个组件。架构1200的一个实施例包括用于通信信息的系统总线1201、以及联接至总线1001用于处理信息的处理器1202。架构1200进一步包括联接至总线1201用于存储由处理器1202执行的信息和指令的随机存取存储器(RAM)或者其它动态存储装置1203(本文中称作主存储器)。主存储器1203还可以用于存储在处理器1202执行指令的过程中的临时变量或其它中间信息。架构1200还可包括只读存储器(ROM)和/或联接至总线1201用于存储由处理器1202所使用的静态信息和指令的其它静态存储装置1204。

诸如磁盘或光盘等数据存储装置1205及其对应的驱动器可被联接至用于存储信息和指令的架构1200。架构1200还可通过I/O接口1207被联接至第二I/O总线1206。多个I/O设备可被联接至包括显示装置1208、输入装置(例如，字母数字输入装置1209和/或光标控制设备1210)的I/O总线1206。

通信装置1211允许通过网络访问其它计算机(例如服务器或客户端)。通信装置1211可包括一个或多个调制解调器、网络接口卡、无线网络接口或诸如用于联接至以太网、令牌环或其它类型的网络的接口装置等其它接口装置。

出于解释的目的，前面的描述使用具体术语和公式以提供对公开的实施例的透彻理解。对本领域技术人员明显的是，为了实践本发明，这些具体的细节不是必需的。已经选择和描述实施例来最佳地说明公开的实施例的原理及其实际应用，从而使得本领域其它技术人员能够利用公开的实施例以及具有适合于所考虑到的实际用途的各种修改的各种实施例。因此，上述公开不旨在穷举或将本发明限制于公开的精确形式，并且本领域技术人员认识到，根据上述教导可进行许多修改和变型。

虽然上面已经描述了各种实施例，但应当理解的是，这些实施例已经仅是通过举例而非限制的方式提供。因此，公开的实施例的广度和范围不应当由上述任一示例性实施例限定，而应当仅根据以下权利要求及其等价物来限定。

Claims (41)

1.一种用于监控网络的系统，其包括：

一个或多个采集器，其被配置成从所述网络中的多个网元接收网络流量数据；以及

网络管理器，其包括网络接口并且被配置成通过网络接口在互联网上连接至所述一个或多个采集器，

其中所述一个或多个采集器从所述网络流量数据提取元数据并且将所述元数据发送至所述网络管理器。

2.根据权利要求1所述的系统，其进一步包括可编程网元，其中所述网络管理器或所述一个或多个控制器对所述可编程网元编程以将所述可编程网元配置成将过滤的网络流量数据发送至所述一个或多个采集器。

3.一种用于监控网络的系统，其包括：

一个或多个采集器，其被配置成从所述网络中的多个网元接收网络流量数据；以及

可编程网元，

其中所述一个或多个采集器从所述网络流量数据提取元数据，并且

其中基于从所述网络中的所述多个网元接收的元数据对所述可编程网元编程。

4.根据权利要求3所述的系统，其进一步包括控制所述多个网元中的至少一些网元的可编程控制器。

5.根据权利要求3所述的系统，其中，所述一个或多个采集器被进一步配置成对网络加索引，从而能够进行对所述元数据的有效的搜索和检索。

6.根据权利要求3所述的系统，其中，所述一个或多个控制器对所述可编程网元编程以将所述可编程网元配置成将过滤的网络流量数据发送至所述一个或多个采集器。

7.根据权利要求3所述的系统，其进一步包括网络管理器，其中所述网络管理器对所述可编程网元编程以将所述可编程网元配置成将过滤的网络流量数据发送至所述一个或多个采集器。

8.一种用于监控网络的系统，其包括：

多个网元；

可编程网元；以及

一个或多个采集器，其被配置成基于时变进度从所述多个网元采集过滤的网络流量数据。

9.根据权利要求8所述的系统，其中，基于所述过滤的网络流量数据对所述可编程网元编程。

10.根据权利要求8所述的系统，其中，所述时变进度是由所述一个或多个采集器的带宽约束确定。

11.根据权利要求8所述的系统，其中，所述时变进度是由网络拓扑和网络策略确定。

12.根据权利要求8所述的系统，其进一步包括控制所述多个网元的可编程控制器。

13.根据权利要求8所述的系统，其中，所述一个或多个采集器被进一步配置成对所述网络加索引，从而能够进行对元数据的有效的搜索和检索。

14.根据权利要求8所述的系统，其中，所述一个或多个控制器对所述可编程网元编程以将所述可编程网元配置成将所述过滤的网络流量数据发送至所述一个或多个采集器。

15.根据权利要求8所述的系统，其进一步包括网络管理器。

16.一种用于监控网络的系统，其包括：

多个网络系统；以及

网络管理器，其包括网络接口并且被配置成通过互联网上连接至所述多个企业系统、多个采集器或其组合；以及

其中所述网络管理器同时且集中地分析多个网络系统的网络条件、从所述多个网络系统中的第一网络系统学习网络模式并且预测所述多个网络系统中的第二网络系统的网络行为。

17.根据权利要求16所述的系统，其中，所述网络管理器被配置成使用网络协议级度量和元数据基于所述网络的观察的特性预测应用、用户或设备的性能。

18.根据权利要求16所述的系统，其中，所述网络模式是所述网络的协议级度量和网络流量数据的元数据。

19.根据权利要求16所述的系统，其进一步包括一个或多个采集器，其被设置在所述多个网络系统的网络系统中并且被配置成从所述网络系统中的多个网元接收网络流量数据。

20.根据权利要求19所述的系统，其中，所述网络管理器或所述一个或多个采集器被进一步配置成对所述网络加索引，从而能够对所述元数据和学到的网络模式进行有效的搜索和检索。

21.根据权利要求19所述的系统，其进一步包括设置在所述网络系统中的可编程网元，其中所述网络管理器对所述可编程网元编程以将所述可编程网元配置成将过滤的网络流量数据发送至所述一个或多个采集器。

22.根据权利要求19所述的系统，其进一步包括设置在所述网络系统中的可编程网元，其中所述一个或多个采集器对所述可编程网元编程以将所述可编程网元配置成将过滤的网络流量数据发送至所述一个或多个采集器。

23.根据权利要求1、3、8和16所述的系统，其中，在对所述可编程网元编程之后，控制环路被应用以确定是否符合网络控制目标。

24.一种用于监控网络的系统，其包括：

多个网络系统；以及

网络管理器，其包括网络接口并且被配置成通过互联网连接至所述多个企业系统、多个采集器或其组合；以及

其中所述网络管理器同时且集中地分析多个网络系统的网络条件、从所述多个网络系统中的第一网络系统学习网络模式、并且将网络策略应用至所述多个网络系统中的第二网络系统。

25.根据权利要求24所述的系统，其中，所述网络策略控制所述网络的一个或多个应用、用户或设备。

26.一种用于监控网络的系统，其包括：

一个或多个采集器，其被配置成从多个网元接收网络流量数据并且从所述网络流量数据提取元数据；

网络管理器，其被配置成从所述一个或多个采集器接收元数据；以及

可编程网元，

其中所述网络管理器识别用于所述网络的网络控制目标、识别所述可编程网元的用于实现所述网络控制目标的可编程参数、并且对所述可编程网元编程，以及

其中在对所述可编程网元编程之后，所述管理器进一步确定是否符合网络控制目标并且应用基于网络控制目标的控制环路来对所述可编程网元编程。

27.根据权利要求1、15和20所述的系统，其进一步包括控制所述多个网元中的至少一些网元的可编程控制器，其中所述网络管理器通过所述可编程控制器来控制所述多个网元。

28.根据权利要求1、3、8和26所述的系统，其中，所述一个或多个采集器从所述多个网元接收镜像流量数据。

29.根据权利要求1和26所述的系统，其中，所述网络管理器或一个或多个采集器被进一步配置成对所述网络加索引，从而能够进行对所述元数据的有效的搜索和检索。

30.根据权利要求1、8、16和26所述的系统，其中，所述网络管理器被设置在云中并且通过互联网连接至所述一个或多个采集器。

31.根据权利要求26所述的系统，其中，所述网络管理器或一个或多个控制器对所述可编程网元编程以将所述可编程网元配置成将过滤的网络流量数据发送至所述一个或多个采集器。

32.根据权利要求1、3、8、16和26所述的系统，其中，使用所述元数据执行网络分析。

33.根据权利要求1、3、8、16和26所述的系统，其中，一个或多个采集器被配置成接收关于所述网络的统计、关于所述网络的拓扑信息、来自一个或多个企业系统的输入或者其组合。

34.根据权利要求1、3、8、16和26所述的系统，其中，元数据是与从一个或多个企业系统接收的数据时间对准。

35.根据权利要求1、3、8、16和26所述的系统，其中，所述网络管理器通过用控制原语对可编程网元或可编程控制器编程影响控制策略。

36.根据权利要求35所述的系统，其中，所述控制原语包括访问控制列表(ACL)、服务质量(QoS)、速率限制设置或其组合。

37.根据权利要求35所述的系统，其中，所述网络管理器维持网络策略与在数据库中的所述控制原语之间的关系。

38.根据权利要求1、3、8、16和26所述的系统，其中，所述一个或多个采集器是可编程的，并且其中所述网络管理器对所述一个或多个采集器编程以采集不同类型的元数据。

39.根据权利要求1、3、8、16和26所述的系统，其中，所述网络管理器对从所述一个或多个采集器接收到的元数据去重复。

40.根据权利要求1、3、8、16和26所述的系统，其中，所述网络管理器基于从所述一个或多个采集器接收的元数据计算用户、应用、或设备的体验质量。

41.根据权利要求26所述的系统，其中，应用的网络策略从集中分析多个网络系统而学习的网络模式和行为推导出。