专利名称:无源以太网数据侦听器的制作方法
技术领域:
本实用新型涉及一种适用于以太网数据传输的无源数据侦听器,属于通讯领域产品。
背景技术:
随着网络的飞速发展,目前,我国电信行业已普遍采用网络进行数据的传输与通信。以太网是目前我国采用的一种网络传输、通讯的方式。
在计算机局域网中,设备与设备间一般通过双绞线进行连接。双绞线可分为非屏蔽双绞线(UTP)和屏蔽双绞线(STP)两大类。现在使用的UTP分为3类、4类、5类和超5类四种型号;其中,3类UTP适用于10Mbps以太网对传输介质的要求;4类UTP推出比3类晚,但传输性能与3类UTP相比并没有提高多少,一般较少使用;5类UTP因价廉质优而成为快速以太网(100Mbps)的首选介质;超5类UTP的用武之地是千兆位以太网(1000Mbps)。
在美国线缆标准(AWG)中,将3类、4类、5类和超5类双绞线都定义为4对传输线路。如图1所示,在普通以太网接口内只使用UTP中两对线路,这两对又分为两组(1,2)、(3,6);其它线路未使用。根据线路顺序不同,分为两种情况a)、1,2为Tx线路;3,6为Rx线路,主要设备为路由器、网卡。b)、 3,6为Tx线路;1,2为Rx线路,主要设备为交换机、集线器(HUB)。图2为在千兆以太网中所使用的非屏蔽双绞线(UTP)情况。如图所示,在千兆位以太网中使用UTP全部4对线路进行通信,这四对也分为两组(1,2,4,7)、(3,5,6,8);这两组分别为发送数据组Tx和接收数据组Rx。在以太网结构中,数据线路由Tx和Rx组成。在通信过程中不论使用几对线路,线路都是成对的。在数据传输过程中,一端为Tx,另一端必然为Rx,反之亦然。如图所示,图中两边(本地端和对端)分别表示以太网数据网络线路接口结构图,接口之间通过以太网线路连接。当数据在以太网环境传输时,本地端用1、2、4、7发送数据为Tx组,而对端1、2、4、7接收数据为Rx组;同时,对端以3、5、6、8进行数据传输(Tx),本地端3、5、6、8进行数据接收(Rx)。整个系统始终由Tx端发送数据,Rx端接收数据。
在实际工作环境中,不同网络设备进行连接时采用不同的以太网线路结构。
随着网络传输的飞速发展,人们认识到它的优点的同时也看到了它的缺点——网络安全性差。随之网络安全检测产品应运而生,入侵检测(IDS)在网络安全领域的重要性也越来越突出,而IDS的产品应用也越来越广泛。
网络IDS产品是通过某种方式采集、获取受保护网络的数据,对网络行为进行侦听,当受保护网络遇到攻击行为时,IDS可以通过发送RST数据对攻击行为进行阻断;同时,又不影响受保护网络正常工作。所谓“RST”是指在TCP/IP通信过程中,如果遇到系统故障或其它原因导致的网络通信问题,数据发送端可以在数据传输过程中发送带有特殊标记的数据包(RST数据包)来中止整个TCP连接。该技术在IDS领域应用的十分广泛,当IDS系统检测到攻击行为时,可以向受攻击系统发送模拟数据发送源的RST数据包,中止整个连接,从而达到保护系统免受攻击。
目前,侦听网络数据的方式主要有两种一种是HUB方式;另一种是SPAN方式。
一、HUB方式在这种方式下,IDS产品主要是借助HUB(集线器)在某个接口收到数据后向其他接口复制一份该数据。具体网络连接关系如图3所示。如图所示,采用HUB方式对受保护网络进行数据侦听,需要调整网络拓扑结构,将受保护网络主机和服务器调整为直接和HUB(集线器)进行连接。通过这种方式,IDS服务器可以顺利的检测到受保护网络的所有数据。IDS服务器成为网络的一个组成部分。这种侦听网络数据的优点是网络连接关系简单、快捷;用户便于理解。它的缺点是1、系统故障率高。因为系统增加了新的有源物理设备。当HUB发生物理故障时,整个系统将无法工作,增加了系统故障率和维护费用。2、导致带宽的严重降低。由于HUB的转发机制,导致受保护网络整体带宽降低成原来的1/N(N为要保护的主机数目)。3、传输时延增加。由于通过HUB进行数据转发,使得整个受保护网络数据传输时延增加。这种增加可能导致系统费用增加。4、增加了系统成本。由于在系统需要部署HUB这种有源设备,而在这样的关键环节需采购质量性能满足用户要求的HUB设备,直接导致系统成本增加。5、限制IDS系统处理能力。因为整个系统最大通信量为N*带宽。但是因为HUB特殊性,使得IDS服务器只能接收到1*带宽数据,限制了IDS服务器处理能力。
二、SPAN方式如图4所示,这种方式主要是借助部分高端交换机提供的SPAN技术进行工作。其基本原理是将交换机某个接口设置为SPAN工作模式,在该模式下,交换机将用户选定接口范围的网络数据在转发过程中给SPAN接口转发一份达到侦听数据的目的。这种方式的优点是接入方便;易于理解;费用低廉。它的缺点是1、增加了交换机的负担。由于交换机本身处理能力有限,在大数据流量环境下降低了系统对各种应用服务的处理能力。2、部署困难。部分交换机不支持RMON/SPAN技术,使得IDS部署困难,这也是前面HUB方式成为当前主流的一个很重要原因。3、限制了IDS系统处理能力。如果每台服务器带宽为200M(全双工),那么IDS入侵检测带宽应该为200M×N,而实际情况是IDS只能接收到100M网络数据。IDS丢包率大大增加,入侵检测能力严重下降,系统报警及时性降低。即或IDS接口是1000兆也存在同样的问题,除非SPAN接收200兆接口数小于1000/200=5。4、分布式部署困难。由于当前交换机技术只支持一个接口设置为SPAN接口,当用户对实时检测、报警导要求高,需要采用分布式IDS技术时给部署带来技术上困难。
发明目的鉴于上述原因,本实用新型的目的是提供一种无源的以太网数据侦听器,该数据侦听器在不影响网络数据传输的情况下,对网络数据进行侦听,该无源以太网数据侦听器不改变原有网络系统带宽、不增加传输时延、系统故障率低、实时性强。
为实现上述目的,本实用新型采用以下技术方案一种无源以太网数据侦听器,它设有数据输入口A、数据输入口B、数据输出口C和数据输出口D;每一数据输入口和数据输出口均由Tx数据发送端和Rx数据接收端构成;该无源以太网数据侦听器采用二分方式截取网络线路上流动的网络数据,对网络数据进行侦听,所述数据输入口与数据输出口之间的连接关系为数据输入口A的Tx端与数据输入口B的Tx端和数据输出口C的Tx端相连;数据输入口B的Rx端与数据输入口A的Rx端和数据输出口D的Tx端相连;所述数据输入口A和数据输入口B间的数据传输方向一致。
所述数据输入口、数据输出口为标准的8线以太网数据线路接口,所述8线以太网数据线路分别为1Tx、2Tx、3Rx、4Tx、5Rx、6Rx、7Tx、8Rx。
所述数据输入口A的1Tx分别与数据输入口B的1Tx和数据输出口C的1Tx相连;数据输入口A的2Tx分别与数据输入口B的2Tx和数据输出口C的2Tx相连;数据输入口B的3Rx与数据输入口A的3Rx和数据输出口D的1Tx相连;数据输入口B的6Rx与数据输入口A的6Rx和数据输出口D的2Tx相连。
所述无源以太网数据侦听器还设有数据输出口G和数据输入口H;数据输出口G和数据输入口H通过以太网相连;数据输出口G和数据输入口H为标准的8线以太网数据线路接口。
所述数据输入口A的1TX与数据输入口B的1Tx和数据输出口G的1Tx相连;数据输入口A的2Tx与数据输入口B的2Tx和数据输出口G的2Tx相连;数据输入口B的3Rx与数据输入口A的3Rx和数据输出口G的3Rx相连;数据输入口B的6Rx与数据输入口A的6Rx和数据输出口G的6Rx相连;数据输入口H的1Tx、2Tx分别与数据输出口C的1Tx、2Tx相连;数据输入口H的3Rx、6Rx分别与数据输出口D的1Tx、2Tx相连。
由于本实用新型是在研究当前国内外以太网数据侦听技术的基础上提出的一套全新的技术解决方案,它克服了当前网络数据侦听技术的缺陷,具有以下优点1、无源。这是该设备最大技术优点,利用电路原理等相关技术解决数据侦听问题。2、系统故障率低。由于采用无源物理设备,网络数据流动线路不做修改,经过长期试用,系统故障率为零。3、系统带宽不变。由于采用直接侦听方式,不改变系统拓扑结构和数据传输方式,使得系统带宽没有任何改变。4、不增加传输时延数据传输过程中不经过多次转发,因而不增加系统传输延迟。5、系统成本低廉。该设备结构简单,生产容易,成本低廉。6、部署简单。由于设备仅仅相当于一个转接头,部署十分简单。7、实时性强。能够及时获取通过以太网线路全部数据,使得获取的数据实时性增加,不存在丢包现象。在全双工模式下,IDS系统接收双向200兆数据,能够做到及时准确的为用户提供IDS检测结果。IDS处理带宽和用户实际带宽一致。8、分布式处理。这种方式为将来IDS系统采用分布式处理提供了可靠的理论基础和保证。在大型安全性要求高的环境中,我们采用这种方式,安装多台IDS系统保证整个系统的及时性。
图1为普通以太网所使用的非屏蔽双绞线内部结构图图2为千兆以太网所使用的非屏蔽双绞线内部结构图图3为HUB方式侦听网络数据时网络系统图图4为SPAN方式侦听网络数据时网络系统图图5为本实用新型无源以太网数据侦听器内部结构图图6为通过本实用新型无源以太网数据侦听器侦听网络数据时网络系统图(一)图7为本实用新型实施例一无源以太网数据侦听器内部具体接线图图8为通过本实用新型无源以太网数据侦听器侦听网络数据时网络系统图(二)图9、图10为本实用新型实施例二无源以太网数据侦听器内部具体接线图具体实施例本实用新型的出发点是在以太网环境中,在不影响网络数据传输的情况下,侦听网络数据的传输;并且,克服当前侦听网络数据技术的缺点。
如图5所示,本实用新型无源以太网数据侦听器设有数据输入口A、数据输入口B、数据输出口C和数据输出口D;每一数据输入口和数据输出口均由Tx数据发送端和Rx数据接收端构成。口与口之间的连接关系为数据输入口A的Tx端与数据输入口B的Tx端和数据输出口C的Tx端相连;数据输入口B的Rx端与数据输入口A的Rx端和数据输出口D的Tx端相连。
本实用新型的工作原理是利用以太网数据传输原理,采用无源(不需要电源)工作方式,通过改变网络数据传输线路的结构侦听网络数据。本实用新型采用二分方式截取网络线路上流动的网络数据。
在实际应用时,将本实用新型无源以太网数据侦听器接入边界网络设备之间,无源以太网数据侦听器的数据输出又通过网络的数据流,直接和接收数据的物理设备进行连接,如图6所示。将该无源以太网数据侦听器的数据输入口A和数据输入口B分别与网络边界设备的E、F点处的Tx线路相连;数据侦听器的数据输出口C和D又与网络数据采集设备相连。由图5可知,数据侦听器的数据输出口C和D分别输出的是数据输入口A和B数据发送端Tx的数据。由图5和图6可知,本实用新型通过数据输入口A和B进行网络数据的传输;同时,通过数据输出口C和D进行网络数据的侦听,从而达到侦听E、F两点之间传输的所有数据的目的。本实用新型在数据采集端(即与网络数据采集设备相连的数据输出口C和D)不进行数据发送,仅仅是接收数据;另外,本实用新型采用二分方式在采集数据进行侦听的同时保持以太网数据的正常传输。
在数据采集方面,本实用新型通过采用二分方式,能够获取从网线两个方向的Tx数据。为使整个系统正常工作,数据流能够成功截取,必须保证二分后的Rx同时接入到相关网络设备的Rx线路上。
本实用新型无源以太网数据侦听器实现数据侦听的关键在于两点1、将以太网数据进行分流。通过数据侦听器的内部结构(如图5所示)得以实现对每对以太网线数据进行二分,一路进行数据的正常传输,一路进行数据侦听。2、保持以太网电压不变。
图5中的箭头表示数据传输方向,实线和虚线分别表示数据传输过程中不同的线路组。在以太网环境中线路1,2,4,7为一组,3,5,6,8为一组(其中1-3,2-6,4-5,7-8为4组Rx-Tx对应组)。这两组线路在普通以太网环境只使用其中两对(1,2),(3,6)。这两组中(1,2)进行数据传输,(3,6)进行数据接收或者反之。在超五类情况下使用全部四组线路,其内部线路结构在保证数据流方向按照上图情况下可以有多种连接方式。
从图5中可见,数据输出口C和D都没有数据输入,仅有数据输出。
在基本原理保证下,本实用新型无源以太网数据侦听器内部有多种连接方式,下面仅举出两种典型的连接方式。在该实施案例中各种数据输入输出口都是标准的8线以太网数据线路接口(如RJ-45母头,然后通过不同线路将RJ-45母头进行连接)。
实施例一当网络系统中网络数据采集设备同无源以太网侦听器距离较近时,网络系统的系统连接关系如图6所示,无源以太网数据侦听器内部线路连接关系如图7所示。侦听器数据输入口A的1Tx分别与数据输入口B的1Tx和数据输出口C的1Tx相连;数据输入口A的2Tx分别与数据输入口B的2Tx和数据输出口C的2Tx相连;数据输入口B的3Rx与数据输入口A的3Rx和数据输出口D的1Tx相连;数据输入口B的6Rx与数据输入口A的6Rx和数据输出口D的2Tx相连。
根据实际情况,网络线路的连接也可以是其它方式,但必须保证数据输入口A和数据输入口B间数据传输方向一致性。
在该实施例中无源以太网侦听器需要侦听图6所示的网络系统中E,F两点间的以太网数据,侦听器的数据输入口A与网络边界设备的E点连接,数据输入口B与网络边界设备的F点连接,数据输出口C和数据输出口D分别与网络数据采集设备连接。这里的设备可能是交换机,也可能是HUB,也可能是主机。
数据输出口C、D和数据采集设备进行连接时按照实际情况,可以采用网线或者交叉线相连。网络系统中的E、F之间原有设备间的连接方式可能是网线方式或交叉线方式。当无源网络数据侦听器接入网络系统后,彼此间的连接方式可以变为E-A之间采用网线,F-B之间采用网线;或者,E-A之间采用交叉线,F-B之间采用网线;或者,E-A之间采用网线,F-B之间采用交叉线。在不同情况下,以太网数据侦听器内部线路有不同的结构当原系统E-F之间为网线,替换后,E-A,F-B之间仍然采用网线;当原系统E-F之间为交叉线,替换后,E-A,F-B之间仍然采用一端网线,一端交叉线。
实施例二当系统中网络数据采集设备同无源以太网侦听器距离较远时,网络系统内部连接关系如图8所示,无源以太网数据侦听器内部线路连接关系如图9、图10所示,无源以太网数据侦听器又增加一数据输出口G和数据输入口H;数据输入口A、B和数据输出口G作为侦听器的第一部分,数据输出口C、D和数据输入口H作为第二部分,两部分之间采用以太网线路进行连接,如图8所示。
无源以太网数据侦听器内部具体连接关系如图9、图10所示,数据输入口A的1TX与数据输入口B的1Tx和数据输出口G的1Tx相连;数据输入口A的2Tx与数据输入口B的2Tx和数据输出口G的2Tx相连;数据输入口B的3Rx与数据输入口A的3Rx和数据输出口G的3Rx相连;数据输入口B的6Rx与数据输入口A的6Rx和数据输出口G的6Rx相连;数据输出口G的1Tx、2Tx、3Rx、6Rx分别与数据输入口H的1Tx、2Tx、3Rx、6Rx相连;数据输入口H的1Tx、2Tx分别与数据输出口C的1Tx、2Tx相连;数据输入口H的3Rx、6Rx分别与数据输出口D的1Tx、2Tx相连。
根据实际情况,网络线路的连接也可以是其它方式,但必须保证数据输入口A和数据输入口B间数据传输方向一致性。将以太网数据进行分流。通过数据侦听器的内部结构实现对每对以太网线数据进行二分,一路进行数据的正常传输,一路进行数据侦听。
以上实施例仅用以说明本实用新型,很明显本实用新型并不受这些实施例的限制。本领域的普通技术人员任何基于本实用新型实质内容的修改、变形或等同替换,均涵盖在本实用新型权利要求范围当中。
权利要求1.一种无源以太网数据侦听器,其特征在于它设有数据输入口A、数据输入口B、数据输出口C和数据输出口D;每一数据输入口和数据输出口均由Tx数据发送端和Rx数据接收端构成;该无源以太网数据侦听器采用二分方式截取网络线路上流动的网络数据,对网络数据进行侦听,所述数据输入口与数据输出口之间的连接关系为数据输入口A的Tx端与数据输入口B的Tx端和数据输出口C的Tx端相连;数据输入口B的Rx端与数据输入口A的Rx端和数据输出口D的Tx端相连;所述数据输入口A和数据输入口B间的数据传输方向一致。
2.根据权利要求1所述的无源以太网数据侦听器,其特征在于所述数据输入口、数据输出口为标准的8线以太网数据线路接口。
3.根据权利要求2所述的无源以太网数据侦听器,其特征在于所述数据输入口A的1Tx分别与数据输入口B的1Tx和数据输出口C的1Tx相连;数据输入口A的2Tx分别与数据输入口B的2Tx和数据输出口C的2Tx相连;数据输入口B的3Rx与数据输入口A的3Rx和数据输出口D的1Tx相连;数据输入口B的6Rx与数据输入口A的6Rx和数据输出口D的2Tx相连。
4.根据权利要求2所述的无源以太网数据侦听器,其特征在于所述无源以太网数据侦听器还设有数据输出口G和数据输入口H;数据输出口G和数据输入口H通过以太网相连;数据输出口G和数据输入口H为标准的8线以太网数据线路接口。
5.根据权利要求4所述的无源以太网数据侦听器,其特征在于所述数据输入口A的1Tx与数据输入口B的1Tx和数据输出口G的1Tx相连;数据输入口A的2Tx与数据输入口B的2Tx和数据输出口G的2Tx相连;数据输入口B的3Rx与数据输入口A的3Rx和数据输出口G的3Rx相连;数据输入口B的6Rx与数据输入口A的6Rx和数据输出口G的6Rx相连;数据输入口H的1Tx、2Tx分别与数据输出口C的1Tx、2Tx相连;数据输入口H的3Rx、6Rx分别与数据输出口D的1Tx、2Tx相连。
专利摘要本实用新型公开了一种无源以太网数据侦听器,它设有数据输入口A、数据输入口B、数据输出口C和数据输出口D;每一数据输入口和数据输出口均由T
文档编号H04L12/26GK2563850SQ0220863
公开日2003年7月30日 申请日期2002年4月5日 优先权日2002年4月5日
发明者韦韬, 梁成 申请人:北京方正数码有限公司