远程端口镜像的实现方法及装置的制造方法
【专利摘要】本申请提供一种远程端口镜像的实现方法及装置,所述方法包括:接收待监测设备发送的镜像报文;当确定所述镜像报文为非法报文时,根据预先设置的策略,将所述镜像报文重定向至目的端口,通过所述目的端口将所述镜像报文发送至数据监测设备。应用本申请的方法,实现了有效地对网络数据进行监控分析,并且在网络异常时,有效地定位引起网络异常的原因。
【专利说明】
远程端口镜像的实现方法及装置
技术领域
[0001]本申请涉及数据通信技术领域,尤其涉及远程端口镜像的实现方法及装置。
【背景技术】
[0002]端口镜像是把交换机或路由器上一个或多个端口的报文复制到其他一个或多个端口的方法,其中,报文被复制的端口称为镜像源端口,接收复制的报文的端口称为镜像目的端口。镜像目的端口可以将接收到的报文传输到数据监测设备,从而使得数据监测设备可以基于这些报文,对镜像源端口的报文进行监控分析。端口镜像根据镜像源端口与镜像目的端口所在设备是否为同一台设备,可以分为本地端口镜像和远程端口镜像,例如,镜像源端口与镜像目的端口位于不同设备上时,称为远程端口镜像。
[0003]现有技术中,在采用远程端口镜像时,如果镜像源端口的报文的源MAC地址为组播地址或者全O地址时,目的设备(镜像目的端口所在的设备)接收到该种报文时,将认为报文非法,直接将该种报文作丢弃处理。从而,该种报文不会再由目的设备通过镜像目的端口发送至数据监测设备。那么,数据监测设备根据所接收到的报文,则很可能无法发现异常情况,例如,源设备(镜像源端口所在的设备)遭受到攻击时,镜像源端口频繁发送非法报文,造成网络异常,而通过远程端口镜像技术,也无法有效地定位网络异常的原因。
【发明内容】
[0004]有鉴于此,本申请提供一种远程端口镜像的实现方法及装置,以实现有效地对网络数据进行监控分析,并且在网络异常时,有效地定位引起网络异常的原因。
[0005]具体地,本申请是通过如下技术方案实现的:
[0006]根据本申请实施例的第一方面,提供一种远程端口镜像的实现方法,所述方法包括:
[0007]接收待监测设备发送的镜像报文;
[0008]当确定所述镜像报文为非法报文时,根据预先设置的策略,将所述镜像报文重定向至目的端口,通过所述目的端口将所述镜像报文发送至数据监测设备。
[0009]在一个例子中,所述确定所述镜像报文为非法报文,包括:
[0010]若所述镜像报文的源MAC地址为组播地址,或全O的地址,则确定所述镜像报文为非法报文。
[0011 ]在另一个例子中,所述预先设置的策略,为ACL规则,所述ACL规则包括:
[0012]若镜像报文的源MAC地址为组播地址,或全O的地址,则将所述镜像报文重定向至所述目的端口。
[0013]在又一个例子中,所述方法还包括:
[0014]确定所述预先设置的策略生效。
[0015]在又一个例子中,所述方法还包括:
[0016]当确定所述镜像报文为合法报文时,将所述镜像报文转发至所述目的端口,通过所述目的端口将所述镜像报文发送至数据监测设备。
[0017]根据本申请实施例的第二方面,提供一种远程端口镜像的实现装置,所述装置包括:
[0018]接收单元,用于接收待监测设备发送的镜像报文;
[0019]第一处理单元,用于当确定所述镜像报文为非法报文时,根据预先设置的策略,将所述镜像报文重定向至目的端口,通过所述目的端口将所述镜像报文发送至数据监测设备。
[0020]在一个例子中,所述确定所述镜像报文为非法报文,包括:若所述镜像报文的源MAC地址为组播地址,或全O的地址,则确定所述镜像报文为非法报文。
[0021]在另一个例子中,所述预先设置的策略,为ACL规则,所述ACL规则包括:
[0022]若镜像报文的源MAC地址为组播地址,或全O的地址,则将所述镜像报文重定向至所述目的端口。
[0023]在又一个例子中,所述装置还包括:
[0024]确定单元,用于确定所述预先设置的策略生效。
[0025]在又一个例子中,所述装置还包括:
[0026]第二处理单元,用于当确定所述镜像报文为合法报文时,将所述镜像报文转发至所述目的端口,通过所述目的端口将所述镜像报文发送至数据监测设备。
[0027]由上述实施例可见,通过在确定接收到的镜像报文为非法报文时,根据预先设置的策略,将非法报文重定向到目的端口,通过目的端口将该非法报文发送至数据监测设备,从而实现了数据监测设备有效地监测分析网络数据,并在网络异常时,可以有效地定位网络异常的原因。
【附图说明】
[0028]图1示例了本申请远程端口镜像的实现方法的实施例的应用场景示意图。
[0029]图2示例了本申请远程端口镜像的实现方法的实施例流程图。
[0030]图3为本申请远程端口镜像的实现装置所在网络设备的一种硬件结构图。
[0031]图4示例了本申请远程端口镜像的实现装置的一个实施例框图。
[0032]图5示例了本申请远程端口镜像的实现装置的另一个实施例流程图。
【具体实施方式】
[0033]这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
[0034]在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
[0035]应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
[0036]远程端口镜像可以实现将源设备的源端口上的报文复制到另一台目的设备的目的端口,该源端口可以称为被监控的端口,目的端口也可称为监控端口,该目的端口可以将接收到的报文转发到数据监测设备,以便对源端口的报文进行监控和分析。为了实现有效地对网络数据进行监控分析,并且在网络异常时,有效地定位引起网络异常的原因,本申请提供一种远程端口镜像的实现方法及装置。如图1所示,示例了本申请远程端口镜像的实现方法的实施例的应用场景示意图。
[0037]图1中包括:源设备11、中间设备12、目的设备13、数据监测设备14。其中,源设备11上包括源端口 111、出端口 112,通过在源设备11上进行远程端口镜像配置,可以实现将源端口 111的报文进行复制,并将复制的报文发送至出端口 112;该出端口 112可以通过中间设备12,将所述复制的报文发送至目的设备13的入端口 131;该目的设备13也可以预先进行了远程端口镜像配置,并通过本申请实施例远程端口镜像的实现方法,实现将入端口 131上的报文发送至目的端口 132;该目的端口 132连接数据监测设备14,从而,目的设备可以将目的端口 132上的报文最终发送至数据监测设备,使得数据监测设备可以有效地监控源端口 111上的报文,并且在网络异常时,有效地定位引起网络异常的原因。可以理解的是,图1中仅以包括一个中间设备为例进行说明,实际应用中,源设备11和目的设备12之间,还可以存在多个中间设备,本申请对此不作限制。
[0038]为了详细地说明目的设备13,是如何应用本申请实施例远程端口镜像的实现方法的,如下的图2,示例了本申请远程端口镜像的实现方法的实施例流程图,以目的设备13执行该方法为例,可以包括以下步骤:
[0039]步骤S201:接收待监测设备发送的镜像报文。
[0040]步骤S202:当确定所述镜像报文为非法报文时,根据预先设置的策略,将所述镜像报文重定向至目的端口,通过所述目的端口将所述镜像报文发送至数据监测设备。
[0041 ]在步骤S201和步骤S202中,结合上述图1所示的应用场景示意图,本实施例中,可以将源设备11看作待监测的设备,通过远程端口镜像配置,源端口 111上被复制的报文可以称作镜像报文。源设备11,可以通过出端口 112将镜像报文发送至中间设备12,该中间设备12再将该镜像报文,通过入端口 131发送至目的设备13,从而,目的设备13接收到待监测设备,例如源设备11发送的镜像报文。
[0042]本实施例中,可以将源MAC地址为组播地址或全O的报文,看作非法报文。然而,当源设备11遭受到恶意攻击时,有可能会产生非法报文,并通过源端口 111,大量发送非法报文,造成网络异常。当镜像报文通过入端口 131进入目的设备13时,目的设备可以通过镜像报文的源MAC地址,确定接收到的镜像报文是否为非法报文。若确定接收到的镜像报文是非法报文,本实施例中,目的设备13可以根据预先设置的策略,将该镜像报文重定向至目的端口 131,从而最终可以将该镜像报文通过目的端口 131发送至数据监测设备14。相比较与现有技术中,目的设备13接收到非法报文时,即将非法报文做丢弃处理,导致数据监测设备14无法接收到非法报文,本实施例中远程端口镜像的实现方法,可以实现有效地对待监测设备的报文进行监控分析,并在网络异常时,例如,源设备13遭受到恶意攻击,发送非法报文时,能够通过对报文的监控分析,有效地定位网络异常的原因。
[0043]在一个例子中,上述预先设置的策略可以为ACL规则,该ACL规则用于在镜像报文的源MAC地址为组播地址,或全O的地址时,将该镜像报文重定向至目的端口。目的设备13可以通过在进行远程端口镜像配置时,即配置该ACL规则,也可以通过在用户在ACL配置页面上所下达的的配置ACL规则的指令,配置该ACL规则。此外,当配置完ACL规则后,目的设备13还可以通过技术手段,例如,根据接收到的指令,确定该ACL规则是否配置成功,即是否生效。
[0044]此外,目的设备13在确定所接收到的镜像报文为合法报文时,可以将该镜像报文转发至目的端口 131,例如,根据芯片上的转发表项,将镜像报文转发至目的端口 131,从而使得合法报文也可以通过端口 131被转发至数据监测设备14。
[0045]由上述实施例可见,通过在确定接收到的镜像报文为非法报文时,根据预先设置的策略,将非法报文重定向到目的端口,通过目的端口将该非法报文发送至数据监测设备,从而实现了数据监测设备有效地监测分析网络数据,并在网络异常时,可以有效地定位网络异常的原因。
[0046]与前述远程端口镜像的实现方法的实施例相对应,本申请还提供了远程端口镜像的实现装置的实施例。
[0047]本申请远程端口镜像的实现装置的实施例可以应用在网络设备上。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在网络设备的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言,如图3所示,为本申请远程端口镜像的实现装置所在网络设备的一种硬件结构图,除了图3所示的处理器31、内存32、网络接口33、以及非易失性存储器34之外,实施例中装置所在的网络设备通常根据该网络设备的实际功能,还可以包括其他硬件,对此不再赘述。
[0048]请参考图4,示例了本申请远程端口镜像的实现装置的一个实施例框图,可以包括:接收单元41、第一处理单元42。
[0049]其中,该接收单元41,可以用于接收待监测设备发送的镜像报文;
[0050]该第一处理单元42,可以用于当确定所述镜像报文为非法报文时,根据预先设置的策略,将所述镜像报文重定向至目的端口,通过所述目的端口将所述镜像报文发送至数据监测设备。
[0051]在一个实施例中,所述确定所述镜像报文为非法报文,包括:若所述镜像报文的源MAC地址为组播地址,或全O的地址,则确定所述镜像报文为非法报文。
[0052]所述预先设置的策略,为ACL规则,所述ACL规则包括:
[0053]若镜像报文的源MAC地址为组播地址,或全O的地址,则将所述镜像报文重定向至所述目的端口。
[0054]请参考图5,示例了本申请远程端口镜像的实现装置的另一个实施例流程图,该图5所示的装置,在上述图4所示装置的基础上,还可以包括:确定单元43、第二处理单元44。
[0055]其中,该确定单元43,可以用于确定所述预先设置的策略生效。
[0056]该第二处理单元44,可以用于当确定所述镜像报文为合法报文时,将所述镜像报文转发至所述目的端口,通过所述目的端口将所述镜像报文发送至数据监测设备。
[0057]上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
[0058]对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
[0059]以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
【主权项】
1.一种远程端口镜像的实现方法,其特征在于,所述方法包括: 接收待监测设备发送的镜像报文; 当确定所述镜像报文为非法报文时,根据预先设置的策略,将所述镜像报文重定向至目的端口,通过所述目的端口将所述镜像报文发送至数据监测设备。2.根据权利要求1所述的方法,其特征在于,所述确定所述镜像报文为非法报文,包括: 若所述镜像报文的源媒体访问控制MAC地址为组播地址,或全O的地址,则确定所述镜像报文为非法报文。3.根据权利要求2所述的方法,其特征在于,所述预先设置的策略,为访问控制列表ACL规则,所述ACL规则包括: 若镜像报文的源MAC地址为组播地址,或全O的地址,则将所述镜像报文重定向至所述目的端口。4.根据权利要求1所述的方法,其特征在于,所述方法还包括: 确定所述预先设置的策略生效。5.根据权利要求1所述的方法,其特征在于,所述方法还包括: 当确定所述镜像报文为合法报文时,将所述镜像报文转发至所述目的端口,通过所述目的端口将所述镜像报文发送至数据监测设备。6.一种远程端口镜像的实现装置,其特征在于,所述装置包括: 接收单元,用于接收待监测设备发送的镜像报文; 第一处理单元,用于当确定所述镜像报文为非法报文时,根据预先设置的策略,将所述镜像报文重定向至目的端口,通过所述目的端口将所述镜像报文发送至数据监测设备。7.根据权利要求6所述的装置,其特征在于,所述确定所述镜像报文为非法报文,包括:若所述镜像报文的源MAC地址为组播地址,或全O的地址,则确定所述镜像报文为非法报文。8.根据权利要求7所述的装置,其特征在于,所述预先设置的策略,为ACL规则,所述ACL规则包括: 若镜像报文的源MAC地址为组播地址,或全O的地址,则将所述镜像报文重定向至所述目的端口。9.根据权利要求6所述的装置,其特征在于,所述装置还包括: 确定单元,用于确定所述预先设置的策略生效。10.根据权利要求6所述的装置,其特征在于,所述装置还包括: 第二处理单元,用于当确定所述镜像报文为合法报文时,将所述镜像报文转发至所述目的端口,通过所述目的端口将所述镜像报文发送至数据监测设备。
【文档编号】H04L12/24GK105939220SQ201610246410
【公开日】2016年9月14日
【申请日】2016年4月18日
【发明人】宁力军, 薛文生
【申请人】杭州迪普科技有限公司