专利名称:用于可获知时间的内置远程镜像的方法
技术领域:
本发明通常涉及联网和通信技术,尤其是涉及远程监控网络中的业务。
背景技术:
通信在今天被广泛地使用;网络的种类包括互联网、广域网(WAN)、局域网(LAN)、 电话网络和无线网络。网络监控和测试的重要性以及对有关方法和设备的需要正在增长。 可以在网络中实现用于监控沿着这样的网络的通信的监控设备。这样的监控设备称为“窃听设备”或“无源设备”,因为它们通常不是通信的一方,而相反为了某些原因例如为了网络的性能监控、测试和/或其它原因而监控这样的通信。构成网络的元件也可以充当窃听设备,因为它们可获取传播通过该设备的业务,并在另一出站端口上复制它用于由监控或测试设备使用,如在交换端口分析器(SPAN)中所进行的那样。用于分析业务包的常规设备被直接连接到在开关或元件处的监控器端口或无源网络分路器,即,测试设备需要在本地存在,在所测试的网络附近,这可能是不希望有的。远程交换端口分析器(RSPAN)是直接连接的SPAN或监控器端口的替代物。RSPAN 端口越过专用连接例如到另一地点的虚拟局域网(VLAN)链路而传送包。然而,包越过网络的传送影响到达包分析设备的包的计时;特别是,VLAN链路引入抖动,并可能造成包的丢失。此外,接收设备不知道包被RSPAN端口复制时的时间。接收设备也不可能确定从远程出站端口接收的流是否经历包丢失或计时变化例如抖动和重排序。这对接收设备的精确度和容量有不利的影响。此外,常规的简单探测器不允许对下至更多定向包的数据的过滤,且RSPAN方法提供了大批所捕获的业务而没有任何过滤。因此,需要减轻上面的缺点,并提供用于远程监控网络中的业务包的新颖方法和系统。
发明内容
本发明提供了监控包业务的方法。该方法包括在第一接入点,捕获经过其的由时间间隔分离的业务包的部分;封装业务包的所述部分从而形成封装的包,并将捕获时间戳添加到封装的包以便保存业务包的所述部分和与时间间隔有关的信息;可选地,将序号添加到封装的包;业务包的所述部分可被分割成多个封装的包;通过网络发送封装的包;对封装的包解封以便提取捕获时间戳并获得重放包,其中重放包包括业务包的所述部分;重放包可被重新组合;以及发送由时间间隔分离的重放包,其中捕获时间戳用于重现时间间隔以便模仿经过第一接入点的业务包。业务包之间的时间间隔可以是非周期性间隔。业务包的所述部分可以在封装的包内被加密。重放包可以被发送到包分析器。在捕获步骤,可使用远程配置的过滤器选择业务包。封装业务包的所述部分的步骤可包括将其进行分割。本发明的另一方面提供了通过远程设备监控经过第一接入点的业务包的方法,其包括在中介器,接收用于向远程设备提供在第一接入点捕获的业务包的部分的请求;注册中介器,以便接收在第一接入点捕获的业务包的所述部分;在中介器,(i)从网络接收封装的包,(ii)从封装的包提取时间戳,(iii)对封装的包解封,以便获得在第一接入点捕获的业务包的所述部分,以及(iv)形成重放包,其中重放包包括业务包的所述部分;以及将重放包从中介器发送到远程设备,其中重放包由时间间隔分离以便模仿经过第一接入点的业务包,且其中使用时间戳重现时间间隔。本发明的又一方面提供了包业务监控系统,其包括第一探测器,其用于与第一接入点耦合并被编程以捕获穿过其的由时间间隔分离的业务包的部分,并用于封装业务包的所述部分从而形成封装的包,且将时间戳添加到封装的包,以便保存业务包的所述部分和与时间间隔有关的信息,以及用于通过网络发送封装的包;以及中介器,其适当地被编程以便从网络接收封装的包,对封装的包解封以便获得重放包和捕获时间戳,其中重放包包括业务包的所述部分;以及发送由时间间隔分离的重放包,其中时间戳用于重现时间间隔以便模仿经过第一接入点的业务包。系统可包括用于从第一探测器接收封装的包并向中介器提供所述包的路由引擎。 系统可包括用于连接在不同于第一接入点的第二接入点处的被连接到路由引擎的第二探测器,且其中中介器将与第一探测器相关的重放包和与第二探测器相关的重放包相交错。 第一探测器和/或第二探测器可被编程以对业务包的所述部分加密。
下面将参考代表其中的优选实施方式的附图更详细地描述本发明,其中图1是用于监控网络中的业务的网络测试系统的示意图。图2是监控包业务的方法的流程图。图3是监控包业务的方法的流程图。图4是中介器的示意图。图5是在客户网络中的IPD(智能包导向器)通信流和命令元件的场景的示意图。图6是包传送网关的结构的示意图。
具体实施例方式参考图1,用于监控网络101中的业务的网络测试系统包括智能包导向器 (IPD) 100和中介器120,可选地,系统可包括路由引擎150。网络101可以是任何种类的包网络。智能包导向器100在网络接入点130处被连接到网络101,用于捕获经过其的业务包或包的至少部分例如头部。在下文中术语“业务包(traffic packets)”和“业务包的部
5分”可互换地使用,并包括具有非零长度、直到包括整个包的任何部分。分离业务包的时间间隔可以是非周期性时间间隔。IPD 100可以捕获经过其的所有包,或可应用过滤器,以便只获得例如按照字节模式、目的地或协议选择的特定的包。IPD 100对所捕获的业务包执行封装,以便形成封装的包。该封装是必要的,以便保存所捕获的数据并通过网络112将其传送到不同的地点,而没有变化,例如对目的地地址字段的变化,当包在没有封装的情况下,按照惯例将包通过网络发送时发生这些变化。网络112可以是包被捕获的同一网络101、或另一网络。IPD 100可以是内置地插在能够通过通信网络传递信息的一个或多个元件之间的窃听设备。IPD 100可使用各种时间同步协议例如网络时间协议(NTP)或IEEE 1588、或任何其它时间同步方法例如GPS来使时间在多个窃听设备中同步。IPD 100包含在内置子信道上传递包所需的信息。IPD 100监控经过其的业务,并可以选择性地或非选择性地复制业务。对于选择性的复制,IPD 100可具有存储在其中的用于选择一些经过的包的度量。IPD 100检查包含在经过其的网络包中的数据。可在IPD 100中使用可配置的协议头部解析器来识别并检查已知和未知的协议头部。当IPD 100识别出满足特定标准的包时,包或其部分被复制、被打上时间戳,并被存储在弹性缓冲器中。IPD 100构造包含计时信息,例如时间戳和可选地排序信息,的封装的包,并使用存储在存储器中的地址作出响应。IPD 100可使用在美国专利7,336,673中描述的技术通过将包插入高带宽包流中来形成低带宽信道。如上所述,网络节点可通过将一些业务包复制到额外的输出端口来充当探测器; 节点可具有IPD容量。可替换地,IPD 100可以是具有网络地址的单独的设备或未编址网络窃听设备。IPD 100将时间戳添加到封装的包,以便保存与时间间隔有关的信息。可选地,序列信息例如序号可被添加到封装的包。可使用常规加密方法来加密所捕获的数据。被添加到所捕获的包的封装部分的时间戳被称为“捕获时间戳”,因为它们表示每个包被IPD 100捕获时的时间。捕获时间戳不同于可能在捕获之前已经存在于包中的时间戳,例如实时时间传输协议(RTP)时间戳或MPEG解码时间戳(DTS)和显示时间戳(PTS)等时间戳;这些预先存在的时间戳被保存为被封装的、所捕获的包的一部分,以便在传输到远程设备时不发生改变。捕获数据和封装的过程引入了在数据被捕获时和捕获时间戳被添加到封装的包时的时刻之间的延迟。然而,该延迟非常小,且基本上从一个包到另一包是相同的。当包之间的间隔被恢复且包被重放时,该系统延迟不造成问题。IPD 100通过网络112将封装的包发送到中介器120。图1示出作为两个单独网络的网络112和网络101。作为例子,这两个网络中的一个可以是无线网络,而另一个是有线线路(光或电)网络。IPD 100和中介器120可以通过广域网(WAN)被连接;路由引擎 150可用于将封装的包从多个IPD设备路由到一个或多个中介器设备,例如图1所示的中介器 120。也称为包传送网关(PDG) 120的中介器120被连接到IPD 100所连接的同一网络 112,并通过网络112从IPD 100接收封装的包;网络112可以是与业务包被捕获的网络相同的网络101。PDG可以是独立的元件,或可以在安装在通用或专用计算机上的软件例如虚拟网络接口控制器(NIC)或网络驱动器接口规范(NDIS)的软件中实现。
中介器120提取捕获时间戳并对封装的包解封,且如果它们遍及多个包被分割成片段,则将它们重新组合,以便获得原始包或被IPD 100捕获的包部分。中介器120使用这个解封的数据来形成重放包,重放包是与在探测器100捕获的包相同的业务包。在只有不完整的包例如头部被封装并通过网络112从IPD 100被发送到中介器 120的情况下,在中介器120,重放包可被扩展,以便具有协议所规定的所有字段和长度;有效的帧校验序列(FCS)字段也可以被添加到包。中介器120将重放包发送到目标设备140,例如网络分析器如Wireshark(是一个网络封包分析软件)。重放包由与在探测器捕获的相应的业务包的时间间隔相同的时间间隔分离,其中时间戳用于重现时间间隔,以便模仿经过接入点130的业务包。序列号可以用于识别丢失的数据并在解封之前对接收到的封装的包排序,因此部分地补偿在IPD 100和中介器120之间的路径上的任何抖动或错误排序。为了在公共网络上的安全传输,所捕获的数据可在IPD 100被加密,并在中介器 120被解密;可使用各种常规加密算法。中介器120可接收在几个探测器例如图1所示的探测器103和104捕获的封装的包。除了从远程源接收封装的包以外,中介器120可以从本地源接收并缓冲包。中介器 120可合并所有接收到的流,并以来自捕获时间戳的精确计时重放它们,使得目标设备140 从网络中的多个点接收按时问排列的流。如果探测器100、103和104被同步,则多个流可以用于测量网络中的不同点之间的延迟。参考图2,监控包业务的方法包括捕获步骤210和封装步骤220,捕获步骤210包括捕获经过其的被时间间隔分离的业务包的部分,而封装步骤220包括封装业务包的所述部分从而形成封装的包,以及将时间戳和可选序列号和/或额外的包度量添加到封装的包,以便保存业务包的所述部分和与时间间隔有关的信息,步骤210和220都在第一接入点被执行。该方法还包括发送步骤230,其中封装的包通过网络112被发送,网络112可以是被监控的网络101或另一网络。在从网络112接收到封装的包之后,它们在解封步骤240被解封,以便获得重放包和捕获时间戳,其中重放包包括业务包的所述部分。在重放步骤250中,由时间间隔分离的重放包被发送到包分析设备;时间戳用于重现包之间的时间间隔;且序号可被用于识别丢失的包。因此,在分析设备接收的流模仿经过第一接入点的业务包,其中包之间的间隔被保存。可选地,如果包被识别为丢失的,则中介器120可以产生标识包来代替丢失的包以识别其丢失。图3示出通过远程设备监控经过第一接入点的业务包的方法;该方法在中介器 120被执行并包括下列步骤在信息请求步骤310接收用于向远程设备提供在第一接入点捕获的业务包的部分的请求;在注册步骤320向PRE或IPD注册中介器,以便接收在第一接入点捕获的业务包的所述部分;在接收步骤330通过网络从PRE或IPD接收封装的包;在提取步骤340从封装的包提取时间戳;在解封步骤350对封装的包解封,以便获得在第一接入点捕获的业务包的所述部分;在重放包步骤360形成重放包,其中重放包包括业务包的所述部分;以及在发送步骤370将重放包从中介器发送到远程设备,其中重放包由时间间隔分离,以便模仿经过第一接入点的业务包,且其中使用时间戳重现时间间隔。参考图4,中介器140包括从网络112接收封装的包405的包输入接收器410、提取时间戳和可选序列号以及包度量并解封包的包读取器/提取器430。中介器140还包括FIFO(First-In First-Out)队列440、去抖动缓冲器420、包控制器450和用于 将重放包提供到目标设备的包输出发生器460。上面的部件可结合软件和硬件例如专用集成电路 (ASIC)、现场可编程门阵列(FPGA)、网络处理器、片上系统例如具有集成ARM或微处理器的FPGA、复杂可编程逻辑器件(CPLD)、可擦可编程逻辑器件(EPLD)、简单可编程逻辑器件 (SPLD)或宏单元阵列来实现。IPD可与边缘设备如开关、路由器、数字用户线接入复用器(DSLAM)、宽带远程接入服务器(BRAS)、电缆调制解调器终端系统(CMTS)、光线路终端(OLT)和以太网节点B内置地安装在一起。IPD也可被安装在常规小封装可插拔(SFP)收发器可被放置的任何地方。 可指示IPD查看在链路上经过的所有帧并在每个包上执行匹配的过滤器逻辑。当匹配出现时,IPD在需要时从副本提取数据,并构造封装该副本的结果包。封装的包可包含整个原始包或其部分,例如头部或截短的数据。可以给封装的包分配中介器120或路由引擎150的目的地地址。在一个实施方式中,封装的包被分配包路由引擎(PRE) 150的目的地地址,接着被插入通信子信道中以前进到包路由引擎(PRE) 150。包路由引擎150被分配一组IPD设备以跟那些设备对话并从那些设备接收封装的包。包路由引擎150处理对特定目标应用的封装的包,并将它们转发到例如在交换中心处的适当的最终用户应用。最终用户应用使用PDG 软件或驱动器来解封原始捕获的包。如果需要,封装的包可从PRE 150被发送到多个目标。可通过图5所示的系统管理器160向多个包路由引擎注册中介器120,用于接收遍及网络的各种封装的包。当接收到被路由的封装的包时,PRE或系统管理器进行其分析预处理并将原始包数据转换成报告或用于其它使用或分析。用户应用还可以动态地指示系统管理器通过启用/禁用其它过滤器来限定IPD监控和/或通过开放应用编程集成接口(API)将可选的源地址和目的地地址提供到包路由引擎150。在PDG 120接收的封装的包可具有下列一般形式网络封装、传输控制协议/用户数据包协议(TCP/UDP)头部、命令和控制头部、原始包。网络封装是相应于在通向TCP(或UDP)层的网络上在使用中的协议的一个或多个头部。一个例子将是以太网/IP。网络封装可包括虚拟局域网(VLAN)、多协议标签交换 (MPLS)、通用路由封装(GRE)或任何其它路由或隧道协议。TCP/UDP头部。传输到PDG的包净荷通过TCP被发送以允许可靠的传输。可选地, 传输可以是UDP,其是不可靠的传输。命令和控制(CC)头部在封装步骤220 (图2)期间形成。CC头部包括指示原始包何时在发送它的IPD处被捕获的捕获时间戳。CC头部可包括序号、所捕获的业务或特定包的度量、IPD标识号、包长度等。
原始包是如IPD所捕获的业务包。原始包可在几个封装包之间被分割,和/或可以仅仅是原始包的一份(部分);否则,所捕获的包是未改变的。作为例子,原始包部分可包括所捕获的包的以太网头部。 图5示出业务监控系统的基本分布式部署。IPD 100通常在边缘(Edge)被插入路由器、DSLAM和OLT中,但可在整个服务提供商的网络中被使用。包路由引擎(PRE) 150通常位于在生产和回程网络之间的客户网络上,并充当对终端应用如Wireshark、Snort、PDG、下一代网络分析器(NGNAS)、在美国专利号7,688,754 中公开的三重播放分析器(TPA)、第三方工具等的命令代理以及结果路由器,这些终端应用被用于分析或测量网络包或数据;这样的工具包括协议分析器、服务质量(QoS)监控器、信令分析器、安全应用、侵入检测系统、合法拦截应用、取证、性能和响应时间测量以及其它网络监控和故障排除工具。它们提供对IPD的所有命令和控制通信的单个目的地以及来自过滤操作所捕获的结果包。包传送网关(PDG) 120可位于客户信任的网络内并提供端点目的地,用于处理来自一个或多个PRE或IPD的结果包流。PDG包含来自PRE或IPD的未编组结果包的功能的核心驱动器程序库,以用于其它应用140 (图1)。主时钟可通过PRE提供对IPD的同步。PRE通过其命令和控制协议堆栈执行与IPD 的所有时间同步。主配置系统和数据服务器160可位于客户核心管理基站处并且是中央控制点。根据该方法的一个实施方式,具有打时间戳和可选的过滤能力(IPD100)的捕获设备以来自网络的可选过滤复制包;所关注的包被封装用于发送到远程目的地;封装的包被打时间戳并可选地被提供了序列号和其它度量。传输网络112将所关注的封装的包从捕获设备IPD 100传输到包重放层。在包重放层,PDG设备120从一个或多个设备接收来自传输网络的所关注的封装的包;它也可以在被打了时间戳并被缓冲的备用端口上接收本地流;PDG 120从远程流、序列和去抖动包移除传输封装,以使包重放平滑,可合并保存计时的多个流,也可合并远程流与缓冲的本地流,并使用准确的包之间计时重现技术在目标设备140的本地网络端口上重放重现的包流;本地网络端口可以是在包重放设备PDG 120内的物理网络端口或逻辑通信端口。用户配置和控制接口允许用户选择网络接入设备例如IPD 100,并可配置对网络接入设备的过滤器,以便识别所关注的包;用户可配置要捕获的很多包或包捕获的持续时间;以及用户开始包捕获。当几个PDG设备可用时,用户可选择包重放设备来从其接收包。 用户配置和控制接口可以在系统管理器160中实现;可替换地,这个功能可以在PDG、PRE或接收数据流的备用设备中实现。包分析工具140连接到在包重放设备120上的本地网络端口并执行期望的包分析。在操作中,使用在IPD 100上的过滤器选择业务包,并且业务包被打包和发送到 IPD拥有的PRE 150。原始业务包可以在IPD处的上游或下游移动。哪些包被发送到PRE 150作为传播(feed)的部分由过滤器如何在IPD 100上被编程来确定。优选地,每个IPD 100将封装的包发送到PRE 150,其将包传播转发到被注册来接收它们的任何应用;在这种情况下,应用是PDG 120。PDG 120接着将业务包解包,并将它们重放到本地网络上。包分析器140代表正被重放的包的客户。图6示出PDG层的结构。NIC 1和NIC 2是单独的网络接口卡(NIC)或在同一 NIC 上的单独端口,使得包回放从不在包传播正被接收的同一端口上出现。PDG应用包括两个线程和共享的包去抖动缓冲器。主要应用通过用户接口(UI)管理配置。它还产生、配置、运行并停止在系统中的所有其它对象。执行顺序如下应用和登录的初始化;具有命令行的登录开始时间;解析、验证命令行参数;执行命令行参数特有的初始化,包括产生包FIFO和去抖动缓冲器;例示/初始化包传播读取器/提取器和包回放线程,并等待将被打印到控制台的任何状态消息或要停止工作的信号。因为封装的包越过网络到达,所以在传播中的包肯定有一些抖动地到达。换句话说,包从IPD 100穿越到RPE 150并继续到PDG 120所花费的时间对于所有包将不是相同的。虽然它可以被选择,但总是有穿越时间的某种变化,其在这里被称为抖动。因为回放是计时敏感的,为了维持原始包间隙时间,必须有允许抖动被移除的一些缓冲。因此,PDG 120 具有去抖动缓冲器。包传播读取器/提取器线程进行下列操作基于配置,打开对UDP或TCP传播的插座;在插座上等待进入的包;如果使来自主要应用的信号停止工作,则退出线程。线程提取原始包净荷,并根据头部中的时间戳使它按时间顺序在包FIFO中排队。如果包被分割,则在这里必须出现重新组合。线程将原始净荷加上相关信息如时间戳和序列号插入包FIFO 中;接着用信号通知回放线程并等待更多进入的包。包回放线程进行下列操作在NIC2上打开用于发送具有原始帧校验序列(FCS)字段的包的RAW发送接口。等待来自包传播读取器或来自睡眠计时器的信号。第一包到达时,基本上开始去抖动缓冲器时间。如果是计时器终止信号,采用来自队列前面的包并在NIC2上发送它;等待更多进入的包。如果是来自包读出器线程的信号,从包FIFO的头部获得包。如果这是第一包,使包在去抖动缓冲器中排队,对去抖动缓冲器设置睡眠计时器, 并等待更多进入的包。查看新包的时间戳。如果新包的时间戳比当前时间更早,则包到达得太迟,且去抖动缓冲器太小,丢弃该包并等待更多进入的包。如果新包的时间戳等于当前时间,则在NIC2上发送它;等待更多进入的包。如果新包的时间戳大于当前时间,则包需要稍后被发送。使包排队到去抖动缓冲器的最前面。调节睡眠计时器以在包应被发送时醒来。等待更多进入的包。如果新包的时间戳迟于队列的最前面,则使包按时间顺序在去抖动缓冲器中排队;等待更多进入的包。如果信号从睡眠计时器被接收到,则使包从去抖动缓冲器退出队列,并在NIC2上发送它;设置睡眠计时器以在去抖动缓冲器中的下一包应被发送时醒来。等待更多进入的包。前述PDG算法可在存储在有形介质上的由一个或多个处理器执行的一组指令中
10实现。上面的方法的优点包括减少建立所关注的数据传播所需要的时间和资源,因为这可在用户位置处有效地进行,而不需要直接访问在远程位置的设备;这样的建立不需要额外的元件端口或网络/元件配置。解决方案是网络-元件不可知论,其意味着用户不需要在多种元件特征或操作系统方面熟悉来访问数据。对数据被聚集到单个位置的多个点的同时访问允许测试工具的减少的/局部化的投资。数据流以准确的计时和排序被重现,使得测试工具获得数据的几乎实时的重现,这导致较容易的分析和问题解决。很多网络工具有有限的媒体连接选项,而网络中的点可具有各种媒体类型。该方法允许从各种不同的媒体类型收集所关注的数据,并在单个被支持的媒体接口上同时发送它们。该方法解决了使用具有过滤远程数据并在本地以绝对计时和排序重放它们的能力从一个或多个远程位置远程访问所关注的数据的问题,该绝对计时和排序将校正在来自远程位置的传输期间出现的任何传输计时或排序破坏。这里公开的方法提供了当包被捕获时对它们打上时间戳并排序的内置窃听设备。 这是有利的,因为当包在窃听设备处出现时,接收设备将能够准确地重现包计时和排序。系统可能使用正被监控的同一网络将复制的包传递到没有在本地连接的接收设备。该方法允许接收设备接收封装的被复制包并在出站端口上将承载包内容发送到不能够拦截承载包的次级接收设备。它进一步提供通过出站端口被发送的包,所述包以根据在承载包中的时间戳和序列号以准确的包间计时和排序被发送。中介器允许使用现有的包业务分析工具来分析包,好像它们最初出现在本地网络上一样。在上面的描述中,为了解释而不是限制的目的,阐述了特定的细节例如特定的结构、接口、技术等,以便提供对本发明的彻底理解。然而,对本领域的技术人员将是明显的, 可在偏离这些特定细节的其它实施方式中实践本发明。也就是说,本领域的技术人员将能够设计各种布置,其虽然没有在这里被明确地描述或示出,但体现本发明的原理并包括在其精神和范围内。在一些实例中,公知的设备、电路和方法的详细描述被省略,以便不由于不必要的细节使本发明的描述难以理解。在这里详述本发明的原理、方面和实施方式的所有陈述以及其中的特定例子旨在包括其结构和功能等效形式。此外,意图是这样的等效形式包括目前已知的等效形式以及在未来发展的等效形式,即,执行相同的功能的被发展的任何元件,而不考虑结构。因此,例如,本领域技术人员将认识到,这里的方框图可表示体现技术的原理的例证性电路的概念图。类似地,将认识到,任何流程图、状态转变图、伪代码等表示可基本上在计算机可读介质中表示的并由计算机或处理器这样执行的各种过程,不管这样的计算机或处理器是否被明确地示出。通过使用专用硬件以及能够与适当的软件结合来执行软件的硬件可提供包括被标注或描述为“处理器”或“控制器”的功能块的各种元件的功能。当由处理器提供时,可由单个专用处理器、单个共享处理器、或多个单独的处理器提供功能,其中一些功能可被共享或分布。而且,术语“处理器”或“控制器”的明确使用不应被解释为排他地指能够执行软件的硬件,并可没有限制地包括数字信号处理器(DSP)硬件、用于存储软件的只读存储器(ROM)、随机存取存储器(RAM)和非易失性存储器。
权利要求
1.一种监控包业务的方法,包括在第一接入点,捕获经过其的由时间间隔分离的业务包的部分; 封装业务包的所述部分从而形成封装的包,并将捕获时间戳添加到所述封装的包,以便保存所述业务包的所述部分和与所述时间间隔有关的信息; 通过网络发送所述封装的包;对所述封装的包解封,以便获得重放包和捕获时间戳,其中所述重放包包括所述业务包的所述部分;以及发送由所述时间间隔分离的所述重放包,其中所述捕获时间戳被用于重现所述时间间隔,以便模仿经过所述第一接入点的所述业务包。
2.如权利要求1所述的方法,其中所述业务包之间的所述时间间隔是非周期性间隔。
3.如权利要求1所述的方法,其中所述业务包的所述部分在所述封装的包内被加密。
4.如权利要求1所述的方法,其中所述重放包被发送到包分析器。
5.如权利要求4所述的方法,还包括在所述包分析器分析所述业务包的所述部分。
6.如权利要求4所述的方法,还包括捕获经过第二接入点的业务包的部分以及将相应的重放包发送到所述业务分析器。
7.如权利要求1所述的方法,其中在捕获步骤,使用远程配置的过滤器来选择所述业务包。
8.如权利要求1所述的方法,其中封装业务包的所述部分包括将其进行分割。
9.一种通过远程设备监控经过第一接入点的业务包的方法,包括在中介器,接收用于向所述远程设备提供在所述第一接入点捕获的经过所述第一接入点的所述业务包的部分的请求;注册所述中介器,以便接收在所述第一接入点捕获的所述业务包的所述部分;在所述中介器,(i)从网络接收封装的包,( )从所述封装的包提取时间戳,(iii)对所述封装的包解封,以便获得在所述第一接入点捕获的所述业务包的所述部分,以及(iv)形成重放包,其中所述重放包包括所述业务包的所述部分;以及将所述重放包从所述中介器发送到所述远程设备,其中所述重放包由时间间隔分离, 以便模仿经过所述第一接入点的所述业务包,且其中使用所述时间戳重现所述时间间隔。
10.如权利要求9所述的方法,其中所述封装的包的解封包括解密。
11.如权利要求9所述的方法,其中用于提供所述业务包的所述部分的所述请求包括用于选择待捕获的包的过滤器。
12.如权利要求9所述的方法,其中所述时间间隔的重现包括使用去抖动缓冲器对所述包去抖动。
13.如权利要求12所述的方法,其中所述时间间隔的重现包括根据所述封装的包的序列号来对所述重放包排序。
14.如权利要求9所述的方法,其中形成所述重放包包括重新组合所述业务包的所述部分的片段。
15.一种包业务监控系统,包括第一探测器,其用于与第一接入点耦合并被编程以捕获穿过其的由时间间隔分离的业务包的部分,并用于封装业务包的所述部分从而形成封装的包,且将时间戳添加到所述封装的包,以便保存业务包的所述部分和与所述时间间隔有关的信息,以及用于通过网络发送所述封装的包;以及中介器,其适当地被编程以便从所述网络接收所述封装的包,对所述封装的包解封以便获得重放包和捕获时间戳,其中所述重放包包括所述业务包的所述部分;以及发送由所述时间间隔分离的所述重放包,其中所述时间戳被用于重现所述时间间隔, 以便模仿经过所述第一接入点的所述业务包。
16.如权利要求15所述的系统,还包括用于从所述第一探测器接收所述封装的包并向所述中介器提供所述包的路由引擎。
17.如权利要求15所述的系统,还包括用于连接在不同于所述第一接入点的第二接入点处的连接到所述路由引擎的第二探测器,且其中所述中介器将与所述第一探测器相关的重放包和与所述第二探测器相关的重放包相交错。
18.如权利要求15所述的系统,其中所述第一探测器被编程以对所述业务包的所述部分加密。
全文摘要
本发明提供了监控包业务的方法。该方法包括在第一接入点,捕获经过其的由时间间隔分离的业务包的部分;封装业务包的所述部分从而形成封装的包,并将时间戳添加到封装的包以便保存业务包的所述部分和与时间间隔有关的信息;通过网络发送封装的包;对封装的包解封以便获得重放包和捕获时间戳,其中重放包包括业务包的所述部分;发送由时间间隔分离的重放包,其中时间戳用于重现时间间隔以便模仿经过第一接入点的业务包。
文档编号H04L12/46GK102291291SQ20111012538
公开日2011年12月21日 申请日期2011年5月16日 优先权日2010年6月15日
发明者山姆·鲍尔, 迈克尔·史蒂文斯, 阿利斯泰尔·斯科特 申请人:Jds尤尼弗思公司