专利名称:一种流镜像方法
技术领域:
本发明涉及一种流镜像的方法,尤其涉及数据通信领域中的以太网交换机、弹性分组环交换机、路由器中的流镜像方法。
背景技术:
镜像是以太网交换机的一种基本功能,它的主要作用是将以太网交换机的一个端口作为偷窥端口,在这个端口上连接协议分析仪表,用来监控该交换机中的某一个或者多个端口接收和发送数据帧的情况。目前以太网交换机是采用端口镜像的方法,即配置一个镜像的目的端口,这个端口连接协议分析仪表,配置一个或者多个镜像的源端口,端口镜像方法的流程参见图1,这些端口上接收到的数据帧或者从这些端口转发出去的数据帧都同时被复制一个副本,并将这个副本发送到这个镜像的目的端口。由于协议分析仪被连接在镜像的目的端口上,因此通过协议分析仪可以捕获交换机中的所有希望捕获的流量。通过这项功能可以发现交换机出现的异常情况,比如有人发送非法的组播包或者有人恶意发送广播包造成整个链路被非法帧阻塞,又比如有人对某个固定站点进行非法攻击,造成某个固定站点异常等情况。传统的端口镜像技术是将镜像源端口的所有流量包括接收和发送的流量都镜像到这个镜像目的端口,因此镜像目的端口接收到的流量非常大。但是实际造成交换机异常的流量却只占其中的很小一部分流量。采用端口镜像技术无法对这些流量进行细分。另外,传统的端口镜像功能只是应用在两层交换中,针对的是MAC帧的镜像,但是实际应用中业务往往是承载在IP上,比如,对某个固定站点的非法攻击等等,实际上都是体现为一个非法的IP流或者TCP/UDP流,甚至是一个应用层的流。而端口镜像技术对分析类似这种情况的异常就比较困难。
发明内容
本发明是为了克服端口镜像技术将镜像源端口的所有流量镜像到镜像目的端口,使得镜像目的端口接收到的流量过大,并且混杂了太多的正常流量,不利于问题的分析,以及端口镜像方法对分析IP层以上的信息的能力不够的不足之处,提供一种可大幅度减少镜像目的端口的流量,有利于提高问题分析的准确性,并能够对IP层以上的信息进行分析的流镜像方法。
本发明通过下述技术方案实现一种流镜像方法,包括下述步骤1)在流匹配表中配置作为镜像源的流条目;2)配置设备的任一个端口作为镜像的目的端口;3)当该设备的上述镜像目的端口之外的某个端口接收到数据帧后进行处理时,先进行流匹配操作;如果流匹配后发现该数据帧属于某一个配置的流,则复制该数据帧;该数据帧被复制后,原先的数据帧转入正常的数据转发流程,而被复制的数据帧被直接送往上述镜像目的端口输出;如果流匹配后发现该数据帧不属于某一个配置的流,流镜像操作结束,进行正常的数据转发流程。
所述配置的流条目是MAC流、IP流、TCP/UDP流以及应用层协议流中的任一种。
所述流匹配操作包括下述步骤读取流匹配类型,如果是MAC流匹配,则从数据帧中提取MAC流的相关特征信息,进行MAC流匹配,如果匹配命中,则输出匹配命中标志;如果匹配不命中,则输出匹配没有命中标志;如果是IP流匹配,则从数据帧中提取IP流的相关特征信息,进行IP流匹配,如果匹配命中,则输出匹配命中标志;如果匹配不命中,则输出匹配没有命中标志;如果是TCP/UDP流匹配,则从数据帧中提取TCP/UDP流的相关特征信息,进行TCP/UDP流匹配,如果匹配命中,则输出匹配命中标志;如果匹配不命中,则输出匹配没有命中标志;如果是应用层协议流匹配,则从数据帧中提取应用层协议流的相关特征信息,进行应用层协议流匹配,如果匹配命中,则输出匹配命中标志;如果匹配不命中,则输出匹配没有命中标志。
所述MAC流为利用MAC帧的特征规范的一系列具有同一特征的MAC帧。
所述IP流为利用IP的特征所规范的一系列具有同一特征的帧。
所述TCP/UDP流为利用TCP/UDP报文的特征所规范的一系列具有同一特征的帧。
所述应用层协议流为利用应用层协议的特征所规范的一系列具有同一特征的帧。
本发明具有下述有益效果本发明的方法主要是通过定制流的方法对镜像的流量进行细分,只将符合定制流的这些流量镜像到镜像目的端口,从而大幅度减少镜像目的端口的流量,并且从镜像目的端口的流量都是操作者希望捕获的流量,使得操作者更加容易从中发现问题。同时流的概念扩展到IP层以上的信息。
图1是端口镜像方法的原理流程图;图2是流镜像方法的原理流程图;图3是流匹配流程图。
具体实施例方式
下面结合附图和具体实施例对本发明作进一步说明。
本发明的流镜像方法是采用了定制的流作为镜像的源流量,其中的流可以是MAC流、IP流、TCP/UDP流以及应用层协议流中的任一种。
MAC流为利用MAC帧的特征规范的一系列具有同一特征的MAC帧,包括1)基于MAC源目的地址的MAC流,包括,源MAC地址是特定的、目的MAC地址是任意的MAC流,源MAC地址是任意的、目的MAC地址是特定的MAC流,也可以是源MAC地址是特定的、目的MAC地址也是特定的的MAC流的3种类型的MAC流;2)基于VLAN ID的MAC流,也就是该MAC流属于特定的某一个VLAN;3)基于优先级的MAC流,也就是说属于同一IEEE802.1p定义的优先等级的MAC流。上述MAC流仅仅是示意,本发明所指的MAC流不仅限于这些类型。
IP流为利用IP的某些特征所规范的一系列具有同一特征的帧,包括基于IP源目的地址的IP流,主要是源IP地址是特定的、目的IP地址是任意的IP流,源IP地址是任意的、目的IP地址是特定的IP流,也可以是源IP地址和目的IP地址都是特定的IP流的3种类型的IP流。本发明所指的IP流不仅限于这些类型。
TCP/UDP流为利用TCP/UDP报文的某些特征所规范的一系列具有同一特征的帧,包括TCP/UDP的协议类型以及协议端口号组合成的流,也包括TCP/UDP的协议类型以及协议端口号加上该TCP/UDP报文所承载的IP包的IP源和目的地址对所组合成的流。本发明所指的TCP/UDP流不仅限于这些类型。TCP/UDP报文承载在IP包上。
应用层协议流为利用应用层协议的某些特征所规范的一系列具有同一特征的帧。包括利用HTTP协议的Cookie等特征的形成的应用层协议流。本发明所指的应用层协议流不仅限于这些类型。
流镜像的方法流程如图2所示步骤1在流匹配表中配置作为镜像源的流条目,这个配置的流条目可以是MAC流、IP流、TCP/UDP流以及应用层协议流类型中的任何一种。
步骤2配置设备的任一个端口j作为镜像的目的端口。
步骤3当设备的镜像的目的端口之外的某端口i接收到数据帧DataN时判断流镜像功能是否使能,如果是则进行流匹配操作,否则进行正常的转发操作。
进行流匹配操作的流程如图3所示,首先,读取流匹配类型,如果是MAC流匹配,则从数据帧中提取MAC流的相关特征信息,进行MAC流匹配,如果匹配命中,则输出匹配命中标志;如果匹配不命中,则输出匹配没有命中标志;如果是IP流匹配,则从数据帧中提取IP流的相关特征信息,进行IP流匹配,如果匹配命中,则输出匹配命中标志;如果匹配不命中,则输出匹配没有命中标志;如果是TCP/UDP流匹配,则从数据帧中提取TCP/UDP流的相关特征信息,进行TCP/UDP流匹配,如果匹配命中,则输出匹配命中标志;如果匹配不命中,则输出匹配没有命中标志;如果是应用层协议流匹配,则从数据帧中提取应用层协议流的相关特征信息,进行应用层协议流匹配,如果匹配命中,则输出匹配命中标志;如果匹配不命中,则输出匹配没有命中标志。
如果流匹配命中,复制数据帧DataN,得到副本CopyDataN。读取配置的镜像目的端口j,将数据帧的副本CopyDataN送到端口j输出。同时将数据帧DataN转入正常的数据转发流程。
如果流匹配没有命中,流镜像操作结束,进行正常的数据转发流程。
采用本发明所述流镜像方法,与现有技术相比,现有技术只能够将镜像源端口的所有数据都捕获,而本发明可以对镜像的数据流根据MAC流、IP流、TCP/UDP流以及应用层协议流等几种类型的流进行细分,其中每一种类型的流还可以根据各自的特点进行细分,只对符合这些配置的镜像流的业务流输出到镜像端口,这样镜像端口输出的流量就比较少,并且这些流量都是操作者希望捕获的流量,为操作者发现异常、捕获非法流量节省了大量的分析时间,能够大幅度减少操作者查找非法业务流或者非法攻击的工作量,能够很快定位问题、解决问题。另外流镜像不但可以对MAC帧进行镜像还可以对IP包的特征、TCP/UDP特征、应用层协议特征等进行镜像,而非法入侵行为往往体现在非法的IP包、TCP/UDP流或者应用层协议流上,因此提高了系统的防非法攻击的能力,提高了系统监听非法攻击的能力。另外本方法由于采用了流技术,并且可以是MAC流、IP流、TCP/UDP流以及应用层协议流,因此该技术不但可以应用在两层交换机上也可以应用在路由器、多层交换机、弹性分组环交换机/路由器上面。
虽然本发明的基于MAC地址表的流镜像方法已被说明和描述,但在不偏离由权利要求书所确定的本发明的精神和范围的条件下,本领域的技术人员所做的修正、更换、变化、替代和等效的内容都在本发明的保护范围之内。
权利要求
1.一种流镜像方法,其特征是,包括下述步骤1)在流匹配表中配置作为镜像源的流条目;2)配置设备的任一个端口作为镜像的目的端口;3)当该设备的上述镜像目的端口之外的某个端口接收到数据帧后进行处理时,先进行流匹配操作;如果流匹配后发现该数据帧属于某一个配置的流,则复制该数据帧;该数据帧被复制后,原先的数据帧转入正常的数据转发流程,而被复制的数据帧被直接送往上述镜像目的端口输出;如果流匹配后发现该数据帧不属于某一个配置的流,流镜像操作结束,进行正常的数据转发流程。
2.根据权利要求1所述的流镜像方法,其特征是,所述配置的流条目是MAC流、IP流、TCP/UDP流以及应用层协议流中的任一种。
3.根据权利要求1或2所述的流镜像方法,其特征是,所述流匹配操作包括下述步骤读取流匹配类型,如果是MAC流匹配,则从数据帧中提取MAC流的相关特征信息,进行MAC流匹配,如果匹配命中,则输出匹配命中标志;如果匹配不命中,则输出匹配没有命中标志;如果是IP流匹配,则从数据帧中提取IP流的相关特征信息,进行IP流匹配,如果匹配命中,则输出匹配命中标志;如果匹配不命中,则输出匹配没有命中标志;如果是TCP/UDP流匹配,则从数据帧中提取TCP/UDP流的相关特征信息,进行TCP/UDP流匹配,如果匹配命中,则输出匹配命中标志;如果匹配不命中,则输出匹配没有命中标志;如果是应用层协议流匹配,则从数据帧中提取应用层协议流的相关特征信息,进行应用层协议流匹配,如果匹配命中,则输出匹配命中标志;如果匹配不命中,则输出匹配没有命中标志。
4.根据权利要求3所述的流镜像方法,其特征是,所述MAC流为利用MAC帧的特征规范的一系列具有同一特征的MAC帧。
5.根据权利要求4所述的流镜像方法,其特征是,所述IP流为利用IP的特征所规范的一系列具有同一特征的帧。
6.根据权利要求5所述的流镜像方法,其特征是,所述TCP/UDP流为利用TCP/UDP报文的特征所规范的一系列具有同一特征的帧。
7.根据权利要求6所述的流镜像方法,其特征是,所述应用层协议流为利用应用层协议的特征所规范的一系列具有同一特征的帧。
全文摘要
本发明公开了一种流镜像方法,旨在提供一种可大幅度减少镜像目的端口的流量,有利于提高问题分析的准确性,并能够对IP层以上的信息进行分析的流镜像方法。该方法包括以下步骤1)在流匹配表中配置作为镜像源的流条目;2)配置设备的任一个端口作为镜像的目的端口;3)当该设备的目的端口之外的某个端口接收到数据帧后进行处理时,先进行流匹配操作;如果流匹配后发现该数据帧属于某一个配置的流,则复制该数据帧;该数据帧被复制后,原先的数据帧转入正常的数据转发流程,而被复制的数据帧被直接送往镜像目的端口输出;如果流匹配后发现该数据帧不属于某一个配置的流,流镜像操作结束,进行正常的数据转发流程。
文档编号H04L12/28GK1581811SQ0314005
公开日2005年2月16日 申请日期2003年7月31日 优先权日2003年7月31日
发明者俞杰, 李振刚, 马开 申请人:深圳市中兴通讯股份有限公司