专利名称:一种一对多端口镜像的方法和装置的制作方法
技术领域:
本发明涉及网络技术,尤其涉及一种一对多端口镜像的方法和装置。
背景技术:
端口镜像技术长期以来作为网络设备在线故障诊断分析的一种工具得到 了广泛的应用。它主要完成将完整的镜像源报文复制到镜像目的端口的功能。 近些年来,为了进一步降低维护费用,远程镜像技术得到了一定的应用。目 前远程镜像技术只应用于点到点的镜像。而点到多点的镜像由于能够在不同 的物理位置得到相同的镜像报文,对于分析复杂的网上流量情况,多点分析 网络故障,实现多点合法网络数据分析都具有很大的现实意义。
现有技术存在一种使用点对点的隧道技术可以实现点到多点的端口镜 像,例如可以分别在镜像源端口和两个镜像目的端口之间建立两条独立的隧
道,该隧道可以是LSP(Lable Switching Path,标签交换路径),GRE (Generic Routing Encapsulation,通用路由封装)等点到点隧道。报文转发过程中,需 要向每条隧道单独复制一份镜像源报文。
另外还存在另一种现有技术,可以将多个镜像目的端口加入同一个IP组 播组,网络依靠PIM (Protocol Independent Multicast,协议无关组播)协议生 成组播分发树。从镜像源端口进入的镜像源报文根据配置直接进入组播分发 树转发,封装普通组播IP报文头,IP头中的协议域填写私有的类型号。在镜 像目的端口所在设备上,根据私有类型号判断得知是镜像源报文,封装真实 物理端口二层头信息后发送出端口。
在实现本发明过程中,发明人发现现有技术中至少存在如下问题使用点对点的隧道技术的端口镜像方案,随着镜像目的节点的增加,网络流量成 倍增加,严重影响正常业务,且镜像源报文在公网上可见,其链路层信息容 易丢失或者被破坏。而采用将多个镜像目的端口加入同一个IP组播组虽然解 决了网络流量成倍增加的问题,但其镜像源报文在公网上依然可见,其链路 层信息也容易丢失或者被破坏。
发明内容
本发明实施例提供一种一对多端口镜像的方法和装置,以使镜像源报文 在公网上不可见,安全性更高。
一方面,本发明实施例提供了一种一对多端口镜像的方法,所述方法包 括通过镜像源端口获取镜像源报文;利用点到多点的组播隧道将所述镜像 源报文通过公网镜像复制到镜像目的端口 。
另一方面,本发明实施例提供了一种一对多端口镜像的装置,所述装置 包括获取单元,用于通过镜像源端口获取镜像源报文;镜像单元,用于利 用点到多点的组播隧道将所述镜像源报文通过公网镜像复制到镜像目的端 □。
上述技术方案具有如下有益效果因为采用通过镜像源端口获取镜像源 报文;利用点到多点的组播隧道将所述镜像源报文通过公网镜像复制到镜像 目的端口的技术手段,所以镜像源报文在公网上不可见,安全性更高。
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实 施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面 描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲, 在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例一的一对多端口镜像的方法流程图;图2为本发明实施例二的一对多端口镜像的应用场景示意图; 图3为本发明实施例三的一对多端口镜像的应用场景示意图; 图4为本发明实施例四的一对多端口镜像的装置结构示意图; 图5为本发明实施例四的另一对多端口镜像的装置结构示意图。
具体实施例方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行 清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而 不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做 出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
组播隧道技术是组播VPN (Virtual Private Network,虚拟专用网)技术 的基础上发展起来的。组播VPN要求在公网环境具有基本 MPLS(Multi-Protocol Label Switching,多协议标签交换)或者组播能力。MPLS 网络边缘节点称为PE (Provider Edge,运营商边缘设备)设备,与PE设备直 接相连的客户网络中的边缘节点称为CE (Customer Edge,用户边缘设备)设 备。每一组不同的客户网络称为一个逻辑上完全独立的VPN。组播VPN就是 要完成在逻辑上完全独立的客户网络内部实现组播数据报文的转发功能。由 于一组VPN客户物理位置可能很远,必须通过骨干网络进行连接,每个VPN 的私网数据可以通过在骨干网络上建立的组播隧道来进行转发。本发明下述 实施例通过基于LDP (标签分发协议)的P2MP (Point-to-Multipoint,点对多 点)隧道和基于RSVP (Resource Reservation Protocol,资源预留协议)的P2MP 隧道等实现镜像源报文的镜像复制。
实施例一
如图1所示,为本发明实施例一的一对多端口镜像的方法流程图,所述
方法包括
101、通过镜像源端口获取镜像源报文。可选的,在所述通过镜像源端口获取镜像源报文之前,所述方法还可以 包括建立镜像源端口和镜像目的端口的所述点到多点的组播隧道。所述点 到多点的组播隧道可以包括如下之一在公网上建立的组播分发树、基于标 签分发协议LDP的点到多点组播隧道、基于资源预留协议RSVP的点到多点 组播隧道等。
102、利用点到多点的组播隧道将上述镜像源报文通过公网镜像复制到镜
像目的端口。
可选的,可以将所述镜像源报文的链路层数据作为净荷,利用所述点到 多点的组播隧道所在的虚拟专用网的公网报文头进行封装,然后将封装后的 报文通过公网镜像复制到镜像目的端口 。所述将所述封装后的报文通过公网
镜像复制到镜像目的端口包括可以将所述封装后的报文通过公网上的供应 商设备P转发后镜像复制到镜像目的端口 。
本发明上述方法实施例因为采用通过镜像源端口获取镜像源报文;利用
点到多点的组播隧道将所述镜像源报文通过公网镜像复制到镜像目的端口的 技术手段,所以镜像源报文在公网上不可见,使其链路层数据不容易被破坏, 安全性更高。
实施例二
本实施例涉及转发表项有
1. 端口配置表该表项使用镜像源报文进入的端口编号作为索引, 表项具体内容有镜像源端口标记、本地虚拟远程镜像接口 IP
地址和镜像群组的组播组IP地址。
2. 组播转发表该表项使用镜像源/目的端口 IP地址为索引,表项 具体内容有镜像目的端口标记、出接口信息。目的地址为组播 地址的IP报文转发均需要查找该表。
如图2所示,为本发明实施例二的一对多端口镜像的应用场景示意图
201、 PE1和PE2之间、PE1和PE3之间分别建立iBGP (内部边界网关协议)对等体连接(PE2和PE3之间也可以建立),配置MPLS /BGP (Border Gateway Protocol,边界网关协议)VPN,并配置基本组播功能。在iBGP内 配置保留的镜像组播组IP地址范围。
202、 分别在镜像源设备(即镜像源端口所在的设备,如图2中PE1设备) 和镜像目的设备(即镜像目的端口所在的设备,如图2中PE2设备和PE3设 备)上配置镜像源端口和镜像目的端口。 一个镜像源和多个观测该源的镜像 目的端口配置加入一个镜像群组。镜像源端口对应的端口配置表下发镜像源 端口的标记。
203、 镜像源端口所在的设备(图2中PE1设备)和镜像目的端口所在的 设备(图2中PE2设备和PE3设备)上创建虚拟远程镜像接口,该接口配置 IP地址。镜像源端口和镜像目的端口设备在控制层面协商建立远程镜像接口 的邻居关系,并在配置的保留的镜像组播组IP地址范围内协商该远程镜像群 组的组播组IP地址(IPA)。协商成功后,在镜像源端口对应的端口配置表 下发本地虚拟远程镜像接口 IP地址和镜像群组的组播组IP地址。
204、 镜像目的端口所在设备在配置镜像目的端口后向镜像源端口 PE定 时发送PIM的加入消息,在组播协议PIM作用下,在公网上形成组播隧道一 一组播分发树,此处组播分发树和现有技术二的区别在于此处是建立在公 网上的,而现有技术不是这样,此处公网组播分发树和普通组播分发树建立 还是有区别的。网络P (供应商设备)设备和镜像源端口所在PE设备下发组 播转发表项。组播转发表项的目的地址为镜像群组组播组IP地址(IPA), 出接口为收到PIM加入消息的接口。镜像目的端口所在的PE设备下发组播 转发表项,该表项中有镜像出接口标记,同时出接口信息为镜像目的端口。
205、 镜像源报文进入镜像源端口后,首先査源端口配置表,得到镜像源 端口标记。在镜像源报文正常转发后,复制完整的镜像源报文作为净荷,根 据端口配置表中的镜像群组的组播组IP地址和本地虚拟远程镜像接口 IP地址 作为报文目的IP和源IP地址封装外层IP和链路层头部信息后从组播隧道出接口发送出去。
206、 报文在P节点设备上根据公网源目的IP地址査找组播转发表项, 根据査到的出接口的信息完成报文的复制和转发。
207、 镜像目的端口所在设备收到报文后,査找组播转发表项,发现表项 有镜像出接口标记后,则直接剥去外层公网链路层头部和IP头部信息,然后 直接根据组播转发表中的出接口信息把净荷数据发送出去。
本发明上述方法实施例中镜像源报文在公网上不可见,使其链路层数据 不容易被破坏,安全性更高。 实施例三
本实施例描述基于LDP的端口镜像实现方法。由于基于RSVP与基于LDP 的端口镜像实现方法类似,主要区别在于点到多点组播隧道建立的过程,而 这不是本发明的描述重点,因此此处单举基于LDP的实施例,基于RSVP的 实现方式不再单独描述。
本实施例涉及的转发表项有
1、 端口配置表该表项使用镜像源报文进入的镜像源端口编号作为 索引,表项具体内容有镜像源端口标记、隧道封装表索引。
2、 标签转发表该表项使用报文标签作为索引,表项具体内容有 动作类型、隧道封装表索引、镜像出端口标记、出接口信息。 动作类型为交换的,根据隧道封装表索引査找隧道封装表封装后 转发;动作类型为弹出的,弹出外层标签后继续根据内层标签査 找标签转发表;动作类型为转发的,直接根据标签转发表中的出 接口信息转发。
3、 隧道封装表该表项使用隧道封装表索引作为索引,表项具体内 容有封装类型、内层(私网)和外层(公网)标签、出接口信 息。封装类型为A表明需要封装内外两层标签;封装类型为B表 明用外层标签替换掉原有报文外层标签。如图3所示,为本发明实施例三的一对多端口镜像的应用场景示意图
301、 在镜像目的端口所在设备PE2和PE3上配置组播转发等价类(FEC) 后,PE2和PE3按照IP路由转发表(IP网络配置成功后,由路由协议控制 在设备控制层面生成的指导报文转发的表项)触发建立公网P2MP隧道,沿 途为相邻设备分配公网标签。
302、 分别在镜像源设备和镜像目的设备上配置镜像源端口和镜像目的端 口。 一个镜像源端口和多个镜像目的端口构成一个镜像群组。镜像源端口对 应的端口配置表下发镜像源端口的标记。
303、 镜像源端口和镜像目的端口所在PE设备向其他PE设备发送信令 (PE1向PE2禾口PE3发送,PE2向PE1禾口 PE3发送,PE3向PE1禾口 PE2发送)。
协商后为镜像群组分配私网标签。对于镜像源端口所在的设备,设备为该 P2MP隧道分配一个隧道封装表的索引,并下发到端口配置表中。同时根据该 索引下发隧道封装表,该表封装类型为A,同时有公网标签、私网标签和出 接口信息。
网络上的P设备根据公网标签下发标签转发表和隧道封装表,表项索引 为公网标签,内容包括转发交换和隧道封装表索引;隧道封装表中封装类型 为B,同时只有公网标签和出接口信息。
对于镜像目的端口所在设备,设备下发分别对应公网和私网的两条标签 转发表项。公网标签转发表的动作类型为弹出。私网标签转发表动作为转发, 并且有镜像出接口标记和出接口信息。
304、 镜像源报文进入镜像源端口后,根据端口配置表査到镜像源端口标 记得知该端口绑定了 P2MP镜像群组。在镜像源报文正常转发后,复制完整 的镜像源报文作为净荷,根据端口配置表中的隧道封装表索弓I査找隧道封装 表。根据封装类型A封装两层标签后,根据出接口信息封装公网链路层头部 信息后从组播隧道出接口发送出去。
305、 报文在P节点设备上根据报文外层标签查找标签转发表动作为交换,根据隧道封装表索引査到封装类型为B且只有公网标签。则替换原有报文的 外层标签后,根据出接口信息封装公网链路层头部信息后从组播隧道出接口 发送出去。
306、镜像目的端口所在设备收到报文后,首先根据外层标签査找标签转
发表,得到动作为弹出,弹出外层标签后根据内层标签再次査找标签转发表, 得到动作为转发并且镜像出接口标记有效,直接剥去公网链路层头部信息, 然后根据标签转发表中的出接口信息把完整的私网数据发送出去。
本发明上述方法实施例中镜像源报文在公网上不可见,使其链路层数据 不容易被破坏,安全性更高。镜像源端口收到的原始数据可以原封不动的从 镜像目的接口发出,观测者可以得到完整的链路层信息,包括链路层地址,
VLANID, 8021P MPLS label等信息,更易于分析网络流量模型,故障产生 原因以及攻击方式。实现点到多点的镜像功能保证在网络上有较小的流量, 做到对网络业务数据转发最小的影响。镜像原始数据作为完整的私网数据净 荷封装到组播VPN公网头后,保证原始数据的链路层信息不被破坏。本方案 不仅适用于点到多点的端口远程端口镜像,同样适用于点到多点的报文合法 监听。
实施例四
如图4所示,为本发明实施例四的一对多端口镜像的装置结构示意图, 所述装置包括
获取单元401,用于通过镜像源端口获取镜像源报文;
镜像单元402,用于利用点到多点的组播隧道将所述镜像源报文通过公网 镜像复制到镜像目的端口。
如图5所示,为本发明实施例四的另一对多端口镜像的装置结构示意图。 可选的,所述装置除包括上述获取单元401和镜像单元402外,还可以包括 隧道建立单元403,用于在所述通过镜像源端口获取镜像源报文之前,建立镜 像源端口和镜像目的端口的所述点到多点的组播隧道。所述隧道建立单元403,用于建立的所述点到多点的组播隧道可以包括如下之一在公网上建立
的组播分发树、基于标签分发协议LDP的点到多点组播隧道、基于资源预留 协议RSVP的点到多点组播隧道。所述镜像单元402,进一步用于将所述镜像 源报文的链路层数据作为净荷,利用所述点到多点的组播隧道所在的虚拟专 用网的公网报文头进行封装,然后将封装后的报文通过公网镜像复制到镜像 目的端口。所述镜像单元402,进一步用于将所述封装后的报文通过公网镜像 复制到镜像目的端口包括将所述封装后的报文通过公网上的供应商设备P 转发后镜像复制到镜像目的端口 。
本发明上述装置实施例因为采用通过镜像源端口获取镜像源报文;利用 点到多点的组播隧道将所述镜像源报文通过公网镜像复制到镜像目的端口的 技术手段,所以镜像源报文在公网上不可见,使其链路层数据不容易被破坏, 安全性更高。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分步骤 是可以通过程序来指令相关硬件来完成,所述的程序可以存储于一计算机可 读取存储介质中,该程序在执行时,包括上述全部或部分步骤,所述的存储 介质,如ROM/RAM、磁盘、光盘等。
以上所述的具体实施方式
,对本发明的目的、技术方案和有益效果进行 了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施方式
而 已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做 的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
权利要求
1、一种一对多端口镜像的方法,其特征在于,所述方法包括通过镜像源端口获取镜像源报文;利用点到多点的组播隧道将所述镜像源报文通过公网镜像复制到镜像目的端口。
2、 如权利要求l所述方法,其特征在于,在所述通过镜像源端口获取镜 像源报文之前,所述方法还包括建立所述镜像源端口和所述镜像目的端口的所述点到多点的组播隧道。
3、 如权利要求2所述方法,其特征在于,所述点到多点的组播隧道包括如下之一在公网上建立的组播分发树、基于标签分发协议LDP的点到多点组播隧道、基于资源预留协议RSVP的点到多点组播隧道。
4、 如权利要求l所述方法,其特征在于,所述利用点到多点的组播隧道将所述镜像源报文通过公网镜像复制到镜像目的端口包括-将所述镜像源报文的链路层数据作为净荷,利用所述点到多点的组播隧 道所在的虚拟专用网的公网报文头进行封装,然后将封装后的报文通过公网 镜像复制到镜像目的端口。
5、 如权利要求4所述方法,其特征在于,所述将封装后的报文通过公网镜像复制到镜像目的端口包括将所述封装后的报文通过公网上的供应商设备p转发后镜像复制到镜像 目的端口。
6、 一种一对多端口镜像的装置,其特征在于,所述装置包括 获取单元,用于通过镜像源端口获取镜像源报文;镜像单元,用于利用点到多点的组播隧道将所述镜像源报文通过公网镜 像复制到镜像目的端口。
7、 如权利要求6所述装置,其特征在于,所述装置还包括-隧道建立单元,用于在所述通过镜像源端口获取镜像源报文之前,建立所述镜像源端口和所述镜像目的端口的所述点到多点的组播隧道。
8、 如权利要求7所述装置,其特征在于,所述隧道建立单元,用于建立的所述点到多点的组播隧道包括如下之一:在公网上建立的组播分发树、基于标签分发协议LDP的点到多点组播隧道、 基于资源预留协议RSVP的点到多点组播隧道。
9、 如权利要求6所述装置,其特征在于,所述镜像单元,进一步用于将 所述镜像源报文的链路层数据作为净荷,利用所述点到多点的组播隧道所在 的虚拟专用网的公网报文头进行封装,然后将封装后的报文通过公网镜像复 制到镜像目的端口。
10、 如权利要求9所述装置,其特征在于,所述镜像单元,进一步用于 将所述封装后的报文通过公网镜像复制到镜像目的端口包括将所述封装后 的报文通过公网上的供应商设备P转发后镜像复制到镜像目的端口 。
全文摘要
本发明实施例提供一种一对多端口镜像的方法和装置,其中,所述方法包括通过镜像源端口获取镜像源报文;利用点到多点的组播隧道将所述镜像源报文通过公网镜像复制到镜像目的端口。所述装置包括获取单元,用于通过镜像源端口获取镜像源报文;镜像单元,用于利用点到多点的组播隧道将所述镜像源报文通过公网镜像复制到镜像目的端口。本发明实施例所述方案镜像源报文在公网上不可见,安全性更高。
文档编号H04L12/56GK101621477SQ20091016369
公开日2010年1月6日 申请日期2009年8月13日 优先权日2009年8月13日
发明者史小军 申请人:华为技术有限公司