(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211092633.0 (22)申请日 2022.09.08 (71)申请人 上海浪潮云计算 服务有限公司 地址 200072 上海市 静安区江场三路238号 411室 (72)发明人 任秋峥　颜亮　高传集　胡章丰　 李彦君　江燕　 (74)专利代理 机构 济南信达专利事务所有限公 司 37100 专利代理师 李世喆　姜鹏 (51)Int.Cl. H04L 9/40(2022.01) H04L 12/46(2006.01) H04L 43/0876(2022.01) H04L 47/2441(2022.01) (54)发明名称 流量监测方法及 装置、 流量探针实现方法及 装置、 设备 (57)摘要 本说明书实施例提供了一种流量监测方法 及装置、 流量探针实现方法及装置、 计算机可读 存储介质、 计算设备。 流量监测方法包括： 从云平 台的控制层中获取所述虚拟私有网络的网络信 息； 根据所述网络信息向虚拟私有网络中的各个 网络服务发送探测报文， 并接收所述各个网络服 务返回的响应报文； 根据所述响应报文中的流量 信息和所述网络信息进行流量异常分析， 得到异 常分析结果， 并将所述异常分析结果上报至所述 控制层。 本发 明实施例可以实现对虚拟私有网络 的全面且 有效的流 量监测。 权利要求书2页 说明书8页 附图2页 CN 115514540 A 2022.12.23 CN 115514540 A 1.一种流 量监测方法， 其特 征在于， 包括： 从云平台的控制层中获取 所述虚拟私有网络的网络信息； 根据所述网络信 息向虚拟私有 网络中的各个网络服务发送探测报文， 并接收所述各个 网络服务返回的响应报文； 根据所述响应报文中的流量信 息和所述网络信 息进行流量异常分析， 得到异常分析结 果， 并将所述异常 分析结果上报至所述控制层。 2.根据权利要求1所述的方法， 其特征在于， 所述网络信息包括： 所述虚拟私有网络内 的云主机的IP地址、 所述虚拟私有网络的内部子网网关、 VPN网关、 D HCP服务地址、 所述虚拟 私有网络绑定的弹性公网IP地址、 NAT网关、 安全组规则以及业 务端口号中的至少一项。 3.根据权利要求2所述的方法， 其特征在于， 所述根据所述响应报文中的流量信 息和所 述网络信息进行流量异常分析， 得到异常分析结果， 并将所述异常分析结果上报至所述控 制层， 包括： 按照所述网络信 息中的各个网元将所述流量信 息进行分类， 得到不同网元对应的流量 信息； 按照所述网络信 息中各个网元形成的拓扑结构， 将分类后的流量信 息形成所述虚拟私 有网络内的全局流 量拓扑； 根据所述响应报文和所述全局流量拓扑， 确定出现异常的网元， 并将出现异常的网元 作为所述异常 分析结果上报至所述控制层。 4.根据权利要求3所述的方法， 其特征在于， 所述探测报文包括多个第一ping包， 每一 个第一ping包用于探测所述网络信息中一个对应的网络服务地址是否可达； 对应的， 所述 根据所述响应报文和所述全局流量拓扑确定出现异常的网元， 并将出现异常的网元作为所 述异常分析结果上报至所述控制层， 包括： 若根据一个所述第一ping包的响应报文得知对应的网络服务地址不可达， 则确定该第 一ping包被阻断的IP路由， 从所述全局流量拓扑中确 定被阻断的IP路由的所属网元， 则将 所述所属网元 出现异常作为所述异常 分析结果上报至所述控制层。 5.根据权利要求 4所述的方法， 其特 征在于， 所述方法还 包括： 在各个网络服务地址均可达时， 发送第二ping包； 其 中， 所述第二pin g包用于探测所述 虚拟私有网络中的业 务端口号对应的业 务端口是否可 连通； 根据第二ping包的响应报文确定所述业务端口号对应的业务端口是否可连通； 若不可 连通， 则判断所述安全组规则中所述业务端口号是否处于放开状态， 若 未放开， 则确定所述 安全组规则发生错误， 则将安全组规则错误上报至所述控制层； 若放开， 则确定所述业务端 口号对应的业 务端口发生异常， 则将所述 业务端口异常上报至所述控制层。 6.一种流 量监测装置， 其特 征在于， 包括： 管理代理模块， 用于从云平台的控制层中获取 所述虚拟私有网络的网络信息； 数据收集模块， 用于根据所述网络信 息向虚拟私有 网络中的各个网络服务发送探测报 文， 并接收所述各个网络服 务返回的响应报文； 探针分析模块， 用于根据所述响应报文中的流量信 息和所述网络信 息进行流量异常分 析， 得到异常 分析结果， 并将所述异常 分析结果上报至所述控制层。 7.一种流量探针实现方法， 其特征在于， 所述流量探针为权利要求6所述的流量监测装权　利　要　求　书 1/2 页 2 CN 115514540 A 2置， 所述方法由云平台的控制层执 行， 所述方法包括： 在监测到云平台中创建第 一虚拟私有 网络时， 在所述第 一虚拟私有 网络内创建一个预 设网段， 在所述预设网段中启动预先将所述流量探针打包成的镜像， 以形成所述第一虚拟 私有网络对应的流量探针虚机， 并在所述预设 网段内为所述第一虚拟私有网络对应的流量 探针虚机分配对应的网卡； 在监测到云平台中删除第 二虚拟私有 网络时， 将所述第 二虚拟私有 网络对应的流量探 针虚机删除。 8.根据权利要求7 所述的方法， 其特 征在于， 还 包括： 将所述第一虚拟私有网络对应的流量探针虚机与所述第一虚拟私有网络的弹性公网 IP进行绑定， 以使 所述第一虚拟私有网络对应的流量探针虚机能够通过所绑定的弹性 公网 IP对南北向流 量进行探测。 9.一种流量探针实现装置， 其特征在于， 所述流量探针为权利要求6所述的流量监测装 置， 所述流量探针实现装置 部署在云平台的控制层上， 所述装置包括： 探针创建模块， 用于在监测到云平台中创建第一虚拟私有网络时， 在所述第一虚拟私 有网络内创建一个预设网段， 在所述预设网段中启动预先将所述流量探针打包成的镜像， 以形成所述第一虚拟私有网络对应的流量探针虚机， 并在所述预设 网段内为所述第一虚拟 私有网络对应的流 量探针虚机分配对应的网卡； 探针删除模块， 用于在监测到云平台中删除第二虚拟私有网络时， 将所述第二虚拟私 有网络对应的流 量探针虚机删除。 10.一种计算设备， 其特征在于， 包括存储器和处理器， 所述存储器中存储有可执行代 码， 所述处理器执行所述可执行代码时， 实现权利要求1～5以及7～8中的任一项所述的方 法。权　利　要　求　书 2/2 页 3 CN 115514540 A 3