远程集中镜像管理的方法和系统的制作方法

文档序号:7722815阅读:205来源:国知局
导航: X技术> 最新专利>电子通信装置的制造及其应用技术
专利名称:远程集中镜像管理的方法和系统的制作方法
技术领域
本发明涉及通信领域,尤其涉及一种远程集中镜像管理的方法和系统。
背景技术
数据中心是全球协作的特定设备网络,用来在Internet网络基础设施上加速信 息的传递。由于数据中心直接面向互联网或者是专用的网络,数据中心容易遭受各种网络 攻击,例如DDOS (Distribution Denial of Service,分布式拒绝服务)网络攻击、或者非法 访问网络攻击。为了使数据中心能够及时对网络攻击做出准确应对,通常需要利用端口镜 像的技术对数据中心接收的来自公网的流量进行实时分析和监控。 端口镜像(Port Mirroring)是把交换机上一个或多个端口的数据镜像到其他一 个或多个端口的方法,例如交换机把某一个端口接收或发送的数据帧完全相同的复制给另 一个端口,其中数据帧被复制的端口称为镜像源端口,接收复制的数据帧的端口称为镜像 目的端口。 现有技术中,端口镜像的技术分为本地端口镜像和远程端口镜像。如图l所示,本 地端口镜像是将交换机的一个或多个源端口的报文复制到本设备的一个或多个目的端口 , 根据复制得到的报文对原报文监控和分析,其中镜像源端口和镜像目的端口位于同一设 备;远程端口镜像中镜像源端口和镜像目的端口位于不同设备,由镜像源端口所在设备以 外的设备对镜像源端口所在设备通过镜像源端口收发的报文进行监控和分析。
目前远程端口镜像使用VLAN(Virtual Local Area Network,虚拟局域网)技术, 将镜像源设备、镜像目的设备、以及两者之间构成镜像流量通路的所有中间设备一起组成 一个VLAN,该VLAN称为镜像VLAN。镜像源设备将镜像源端口报文封装一个802. 1Q协议规 定的镜像VLAN标签,然后通过镜像VLAN转发至镜像目的设备,镜像目的设备接收到携带镜 像VLAN标签的报文后,剥离其携带的镜像VLAN标签,将其还原为原始报文发送给监控设备 进行监控或者分析。 随着数据中心应用规模的不断增大,出现了同一个核心城市部署多个数据中心机 房,甚至全国各地部署大量数据中心机房的情形。这些分布式数据中心的典型组网如图2 所示。这些数据中心机房从物理位置上虽然相互独立,但是数据中心强调统一管理,需要 有同一管理中心对所有数据中心进行统一管理,如图3所示的数据中心远程集中管理示意 图。然而,由于现有的远程镜像技术局限于二层网络,无法穿越三层网络实现镜像功能,从 而难以实现对分布式数据中心的统一管理。

发明内容
本发明提供了一种远程集中镜像管理的方法和系统,以实现远程端口镜像监控和 管理的三层网络实现。 本发明提供了一种远程集中镜像管理的方法,应用于包括集中管理中心与一个或 多个数据中心的系统,所述数据中心与集中管理中心之间分别通过广域网连接,并通过通
6用路由协议封装GRE隧道进行镜像流量的传输,所述数据中心包括服务器、数据交换机与数据路由器,数据交换机上配置镜像源端口与镜像目的端口 ,镜像目的端口连接数据路由器,在数据路由器上配置与所述集中管理中心连接的GRE隧道;所述集中管理中心包括路由器、交换机与作为监控设备的服务器,所述集中管理中心的路由器配置分别与每一GRE隧道绑定的多个虚拟专用网VPN实例,每一 VPN实例的下一跳路由缺省为与该路由器相连接的交换机上的虚拟局域网VLAN接口 ;所述该集中管理中心的交换机上每一 VLAN仅包括与所述集中管理中心的路由器连接的VLAN接口和与所述监控设备连接的VLAN接口 ;该方法进一步包括 所述集中管理中心的路由器接收来自数据中心通过GRE隧道发送的镜像流量,并在与所述GRE隧道对应的VPN实例中查找下一跳路由,将镜像流量向所述集中管理中心的交换机上对应的VLAN接口发送; 所述集中管理中心的交换机通过VLAN接口接收到镜像流量后,通过与所述监控设备连接的VLAN接口将所述镜像流量向所述监控设备发送。 所述集中管理中心的路由器接收来自数据中心通过GRE隧道发送的镜像流量之
前,还包括 所述数据中心的交换机将镜像源端口的流量复制到镜像目的端口发送; 所述数据中心的路由器接收所述数据中心的交换机发送的镜像流量,通过所述
GRE隧道向所述集中管理中心的路由器发送镜像流量。 所述数据中心的路由器配置转发表项的下一跳路由缺省为所述GRE隧道的出接□。 所述集中管理中心的交换机通过VLAN接口接收到镜像流量后,通过与所述监控设备连接的VLAN接口将所述镜像流量向所述监控设备发送包括 所述集中管理中心的交换机通过VLAN接口接收到镜像流量时,为所述镜像流量加上VLAN标签; 所述集中管理中心的交换机查找与所述VLAN标签对应的另一 VLAN接口 ,在该VLAN接口去掉所述VLAN标签后将镜像流量向所述监控设备发送。 所述集中管理中心的交换机上配置多个VLAN分别与每一数据中心的镜像VLAN对应。 本发明提供一种远程集中镜像管理的方法,应用于包括集中管理中心与一个或多个数据中心的系统,所述数据中心与集中管理中心之间分别通过广域网进行连接,且通过通用路由协议封装GRE隧道进行远程集中配置管理,所述集中管理中心包括路由器、交换机与作为配置管理设备的服务器,所述集中管理中心的交换机上为每一数据中心配置基于接入控制列表ACL策略的配置管理VLAN,所述集中管理中心的路由器上配置与每一配置管理VLAN对应的VPN实例,每一 VPN实例中转发表项的下一跳路由缺省为GRE隧道出接口 ;所述数据中心包括路由器、交换机以及对数据中心进行管理的服务器,所述数据中心的路由器上配置与GRE隧道接口绑定的VPN实例,该VPN实例中转发表项的下一跳路由缺省为所述数据中心的交换机;该方法进一步包括 所述集中管理中心的交换机接收所述配置管理设备发送的配置管理数据流,根据所述配置管理数据流的目的地址段查找对应的所述ACL策略,获取对应的配置管理VLAN,通过VLAN接口发送所述配置管理数据流; 所述集中管理中心的路由器接收所述配置管理数据流,根据所述配置管理数据流对应的配置管理VLAN获取对应的VPN实例,根据VPN实例中的下一跳路由通过与之绑定的GRE隧道发送所述配置管理数据流; 所述数据中心的路由器接收所述配置管理数据流后,查找与所述配置管理数据流的GRE隧道入接口绑定的VPN实例,根据该VPN实例中的下一跳路由向所述数据中心的交换机发送所述配置管理数据流; 所述数据中心的交换机根据配置管理VLAN将所述配置管理数据流向对应的设备发送。 所述根据所述配置管理数据流的目的地址段查找对应的所述ACL策略,获取对应的配置管理VLAN,通过VLAN接口发送所述配置管理数据流包括 所述集中管理中心的交换机在ACL中存储目的地址段与配置管理VLAN的对应关系,获取与所述配置管理数据流的目的地址段对应的配置管理VLAN ; 所述集中管理中心的交换机为所述配置管理数据流加上所述对应的配置管理VLAN标签,通过与所述配置管理VLAN对应的VLAN接口发送所述配置管理数据流。
所述数据中心的交换机根据配置管理VLAN将所述配置管理数据流向对应的设备发送之前,还包括所述数据中心的交换机配置与配置管理VLAN对应的VLAN接口 ,通过该VALN接口接收所述数据中心的路由器发送的配置管理数据流; 所述数据中心的交换机根据配置管理VLAN将所述配置管理数据流向对应的设备发送包括当所述数据中心的交换机通过所述配置管理VLAN对应的VLAN接口接收到配置管理数据流时,所述数据中心的交换机为所述配置管理数据流加上配置管理VLAN标签,在配置管理VLAN内向对应的设备发送所述配置管理数据流。 本发明提供一种远程集中镜像管理的系统,应用于包括集中管理中心与一个或多个数据中心的系统,所述数据中心与集中管理中心之间分别通过广域网连接,并通过通用路由协议封装GRE隧道进行镜像流量的传输,所述数据中心包括服务器、数据交换机与数据路由器,数据交换机上配置镜像源端口与镜像目的端口 ,镜像目的端口连接数据路由器,在数据路由器上配置与所述集中管理中心连接的GRE隧道;所述集中管理中心包括路由器、交换机与作为监控设备的服务器,所述集中管理中心的路由器配置分别与每一GRE隧道绑定的多个虚拟专用网VPN实例,每一 VPN实例的转发表项下一跳路由缺省为与该路由器相连接的交换机上的虚拟局域网VLAN接口 ;所述集中管理中心的交换机上每一 VLAN仅包括与所述集中管理中心的路由器连接的VLAN接口和与所述监控设备连接的VLAN接口 ;射 所述集中管理中心的路由器,用于接收来自数据中心通过GRE隧道发送的镜像流量,并在与所述GRE隧道对应的VPN实例中查找下一跳路由,将镜像流量向所述集中管理中心的交换机上对应的VLAN接口发送; 所述集中管理中心的交换机,用于通过VLAN接口接收到镜像流量后,通过与所述监控设备连接的VLAN接口将所述镜像流量向所述监控设备发送。 所述数据中心的交换机,用于将镜像源端口的流量复制到镜像目的端口发送;
所述数据中心的路由器,用于接收所述数据中心的交换机发送的镜像流量,通过所述GRE隧道向所述集中管理中心的路由器发送镜像流量。 所述数据中心的路由器配置转发表项中的下一跳路由缺省为所述GRE隧道的出接口。 所述集中管理中心的交换机还用于 通过VLAN接口接收到镜像流量时,为所述镜像流量加上VLAN标签; 查找与所述VLAN标签对应的另一 VLAN接口 ,在该VLAN接口去掉所述VLAN标签
后将镜像流量向所述监控设备发送。 所述集中管理中心的交换机上配置多个VLAN分别与每一数据中心的镜像VLAN对应。 本发明提供一种远程集中镜像管理的系统,应用于包括集中管理中心与一个或多个数据中心的系统,所述数据中心与集中管理中心之间分别通过广域网进行连接,且通过通用路由协议封装GRE隧道进行远程集中配置管理,所述集中管理中心包括路由器、交换机与作为配置管理设备的服务器,所述集中管理中心的交换机上为每一数据中心配置基于接入控制列表ACL策略的配置管理VLAN,所述集中管理中心的路由器上配置与每一配置管理VLAN对应的VPN实例,每一 VPN实例的转发表项的下一跳路由缺省为GRE隧道出接口 ;所述数据中心包括路由器、交换机以及对数据中心进行管理的服务器,所述数据中心的路由器上配置与GRE隧道接口绑定的VPN实例,该VPN实例中转发表项的下一跳路由缺省为所述数据中心的交换机;其中 所述集中管理中心的交换机,用于接收所述配置管理设备发送的配置管理数据流,根据所述配置管理数据流的目的地址段查找对应的所述ACL策略,获取对应的配置管理VLAN,通过VLAN接口发送所述配置管理数据流; 所述集中管理中心的路由器,用于接收所述配置管理数据流,根据所述配置管理数据流对应的配置管理VLAN获取对应的VPN实例,根据VPN实例中的下一跳路由通过与之绑定的GRE隧道发送所述配置管理数据流; 所述数据中心的路由器,用于接收所述配置管理数据流后,查找与所述配置管理数据流的GRE隧道入接口绑定的VPN实例,根据该VPN实例中的下一跳路由向所述数据中心的交换机发送所述配置管理数据流; 所述数据中心的交换机,用于根据配置管理VLAN将所述配置管理数据流向对应的设备发送。 所述集中管理中心的交换机还用于 在ACL中存储目的地址段与配置管理VLAN的对应关系,获取与所述配置管理数据流的目的地址段对应的配置管理VLAN ; 为所述配置管理数据流加上所述对应的配置管理VLAN标签,通过与所述配置管理VLAN对应的VLAN接口发送所述配置管理数据流。
所述数据中心的交换机还用于 配置与所述配置管理VLAN对应的VLAN接口 ,通过该VALN接口接收所述数据中心的路由器发送的配置管理数据流; 当通过所述配置管理VLAN对应的VLAN接口接收到配置管理数据流时,为所述配置管理数据流加上配置管理VLAN标签,在配置管理VLAN内向对应的设备发送所述配置管
9理数据流。
与现有技术相比,本发明至少具有以下优点 本发明中,各分布式数据中心分别和集中管理中心通过广域网连接,通过GRE隧道传输镜像流量和配置管理流量,并在集中管理中心配置多VPN实例分别对应各分布式数据中心的GRE隧道,区分各分布式数据中心发送的流量,从而实现了镜像流量穿越三层网络进行传输,实现了集中管理中心对多个分布式数据中心的集中管理。


图1是现有技术数据中心与管理中心的组网方式示意图; 图2是现有技术中数据中心远程集中管理示意图; 图3是现有技术中两种端口镜像示意图; 图4是本发明提供的远程集中镜像管理的方法的流程示意图; 图5是本发明提供的分布式数据中心及远程集中镜像监控系统的组网结构示意图; 图6是本发明应用场景中远程集中镜像监控的流程示意图; 图7是本发明应用场景中远程集中配置管理的流程示意图。
具体实施例方式
本发明的核心思想是对集中管理中心和分布式数据中心进行配置,使分布式数据中心和集中管理中心在广域网内通过GRE隧道实现通信,传输镜像流量和配置管理数据流量,由集中管理中心根据镜像流量对各分布式数据中心进行监控,并向各分布式数据中心分别发送配置管理数据流量。 本发明提供了一种远程集中镜像管理的方法,应用于包括集中管理中心与一个或多个数据中心的系统,所述数据中心与集中管理中心之间分别通过广域网连接,并通过通用路由协议封装GRE隧道相互通信,所述数据中心包括服务器、交换机与路由器,交换机上配置镜像源端口与镜像目的端口 ,镜像目的端口连接路由器,在路由器上配置与所述集中管理中心连接的GRE隧道;所述集中管理中心包括路由器、交换机与服务器。其中所述服务器在具体的应用场景中,可以为对流量进行分析的监控设备,或者为各项策略进行配置管理的服务器等。所述集中管理中心的路由器配置分别与每一GRE隧道绑定的多个虚拟专用网VPN实例,每一 VPN实例的下一跳缺省为该集中管理中心交换机上的虚拟局域网VLAN接口 ;所述交换机上每一 VLAN仅包括与所述集中管理中心的路由器连接的VLAN接口和与所述集中管理中心的服务器连接的VLAN接口 ;如图4所示,该方法进一步包括
步骤401,所述集中管理中心路由器接收数据中心通过GRE隧道发送的镜像流量,在与所述GRE隧道对应的VPN实例中查找下一跳路由,将来自数据中心的镜像流量向所述集中管理中心的交换机上对应的VLAN接口发送; 步骤402,所述集中管理中心交换机通过VLAN接口接收到来自数据中心的镜像流量后,通过与所述作为监控设备的服务器连接的VLAN接口将所述镜像流量向所述该服务器发送。 下面结合具体应用场景详细介绍本发明提供的远程集中镜像管理的方法。该方法主要包括集中管理中心对各分布式数据中心的集中监控、和集中管理中心对各分布式数据中心的集中配置管理,其中集中配置管理是在集中监控的基础上进行的集中配置管理。
为使公众更加清楚地理解本发明,首先介绍集中管理中心对各分布式数据中心进行集中监控的方法。本发明应用场景中,为了实现穿越三层网络对各分布式数据中心的集中监控,需要配置相应的镜像管理网络架构。如图5所示,该镜像管理网络架构中,多个分布式DC (Data Center,数据中心)(以DC1和DC2为例)与集中管理中心之间通过广域网相互连接,且分别通过各自对应的GRE(Generic Routing Encapsulation,通用路由协议封装)隧道进行通信。其中GRE隧道为端到端隧道,其两个接口分别为DC上配置的路由器的T皿nel接口和集中管理中心配置的路由器的T皿nel接口。 在本发明中,DC上还包括核心交换机,并通过在核心交换机上配置镜像源端口和镜像目的端口 ,将镜像源端口的报文复制到镜像目的端口发送,镜像目的端口连接所述DC上的路由器,该镜像目的端口发送的流量仅限于镜像流量。通过在该DC的路由器上创建GRE隧道,GRE隧道的入接口设置为路由器上的接口, GRE隧道的出接口为集中管理中心的路由器上对应的接口,不同GRE隧道对应不同的出接口。以图5中DC1和DC2为例,DC1上Rl(Routerl,路由器l)创建的GRE隧道的出接口为集中管理中心上R3 (Router3,路由器3)的TunnelO, DC2上R2 (Router2,路由器2)创建的GRE隧道的出接口为R3上的Tunnell。
集中管理中心配置的路由器通过多个GRE隧道接口连接各分布式数据中心。该集中管理中心的路由器上还配置n个VPN实例分别对应每一数据中心,并且配置每一 GRE隧道接口分别对应一 VPN实例并绑定其对应关系,在每一 VPN实例中配置转发表项的下一跳路由缺省为管理中心的交换机L3。集中管理中心的交换机L3上配置n个VLAN接口 ,分别对应路由器R3上配置的每一 VPN实例;每一个VLAN分别与对应DC上配置的镜像VLAN配置相同。为了保证数据中心的报文准确到达集中管理中心的服务器(监控设备),配置交换机L3上的每一VLAN只包括两个端口 与路由器R3连接的端口和与服务器(监控设备)连接的端口。 结合图5所示的镜像网络架构介绍数据中心集中监控的方法,如图6所示,该方法包括以下步骤 步骤601,DC1的交换机Ll和DC2的交换机L2分别将需要监控的流量从源端口镜像到目的端口。 具体的,DC1的交换机Ll和DC2的交换机L2上,配置镜像VLAN的镜像目的端口分别连接路由器Rl和R2。以交换机Ll为例,Ll通过镜像源端口接收到的流量时,根据镜像VLAN配置,将该流量复制到镜像目的端口发送。 步骤602,路由器Rl和R2分别通过GRE隧道向集中管理中心发送镜像流量。
具体的,路由器Rl和R2配置下一跳路由缺省为GRE隧道的出接口 ,路由器Rl对应的GRE隧道的出接口为Tunnel0,路由器R2对应的GRE隧道的出接口为Tunnell, Tunne10和Tu皿ell均为集中管理中心路由器R3上的隧道接口。以DC1中的路由器R1为例,路由器Rl接收到交换机Ll的流量后,查找下一跳路由获得缺省路由为GRE隧道的出接口 ,通过GRE隧道向路由器R3上对应的隧道接口发送镜像流量。
步骤603,路由器R3将镜像流量向交换机L3发送。 路由器R3接收到路由器Rl或R2通过GRE隧道发送的流量后,根据配置的与GRE
11隧道绑定的VPN实例,在VPN实例中查找其下一跳路由。由于每一 VPN实例中配置的下一 跳路由缺省为交换机L3的特定VLAN接口,因此,路由器R3将接收到的流量向交换机L3的 该特定VLAN接口发送。 步骤604,交换机L3将镜像流量向服务器(监控设备)发送。
由于交换机L3上配置的每个VLAN与各DC配置的镜像VLAN —一对应,接收镜像 流量的VLAN接口与发送该镜像流量的DC上的镜像VLAN配置相同。接收到镜像流量时,交 换机L3可以在入端口为该镜像流量打上对应的VLAN标签,然后在二层网络广播该镜像流 量。由于交换机L3配置的镜像VLAN只有两个端口 ,因此,交换机L3发送的镜像流量只能 被用于分析监控该DC流量对应的服务器(监控设备)接收。监控设备根据交换机L3广播 的镜像流量携带的VLAN标签获知该镜像流量所归属的数据中心,监控该数据中心的流量, 进而根据该监控流量分析的结果,进行相应的策略控制。 为了实现集中管理中心对各分布式数据中心的集中配置管理。在图5所示的镜像 管理网络架构中,需要对各数据中心和集中管理中心的交换机和路由器进行如下配置。
集中管理中心在其交换机上为各分布式数据中心创建不同的配置管理VLAN,并配 置m个VLAN接口分别对应为每一 DC创建的配置管理VLAN,m的具体取值与DC的数量以及 配置管理VLAN的数量一致。集中管理中心还在其交换机上配置ACL策略,在ACL策略中设 置配置流量的目的地址段(对应不同数据中心)与配置管理VLAN的对应关系。ACL策略 中配置流量的目的地址段为IP地址段,每一 IP地址段包括对应DC下的各设备的IP地址。 集中管理中心还在其路由器上配置m个VPN实例分别对应每一配置管理VLAN,并在VPN实 例中配置下一跳路由缺省为连接对应数据中心的GRE隧道的出接口 。 数据中心在其路由器上配置与GRE隧道接口绑定的VPN实例,其下一跳路由缺省 为数据中心的交换机。为了区别于上述集中监控场景中DC中路由器配置的缺省下一跳路 由,本应用场景中,路由器上需要配置多VPN实例,以分别对应将数据中心的数据流量镜像 至集中管理中心监控服务器,和将集中管理中心的配置管理信息分发至数据中心对应的服 务器的场景。例如,在本应用场景中,配置VPN实例l对应将数据中心的数据流量镜像至集 中管理中心监控服务器的镜像VLAN,其下一跳路由缺省为GRE隧道出接口 ;VPN实例2对应 将集中管理中心的配置管理信息分发至数据中心对应的服务器的配置管理VLAN,其下一跳 路由缺省为数据中心的交换机。进一步的,数据中心的交换机上配置管理VLAN,用以接收数 据中心路由器转发的来自集中管理中心的配置管理数据流量,并在配置管理VLAN内将该 数据流量向对应的设备(服务器)发送。 下面以集中管理中心向DCl下发配置管理流量为例介绍本发明提供的集中配置
管理方法,如图7所示,该集中配置管理方法包括以下步骤 步骤701,配置管理服务器向交换机L3下发DC1的配置管理数据。 步骤702,集中管理中心的交换机L3将配置管理流量向集中管理中心的路由器R3发送。 集中管理中心的交换机L3中配置ACL策略,存储数据中心的地址段(例如IP地 址段)与配置管理VLAN的对应关系。集中管理中心的交换机L3接收到配置管理服务器发 送的流量后,获取该流量的目的IP地址段,根据该IP地址段查找ACL,获取对应的配置管理 VLAN,该配置管理VLAN与DC1具有对应关系。集中管理中心的交换机L3为该配置管理流
12量打上DC1对应的配置管理VLAN标签,并通过对应的VLAN接口将该流量向集中管理中心 的路由器R3发送。 步骤703,集中管理中心的路由器R3将配置管理流量通过GRE隧道向DC1发送。
集中管理中心的路由器R3根据配置管理流量的配置管理VLAN,查找配置的配置 管理VLAN与VPN实例的对应关系,获取对应的VPN实例。集中管理中心的路由器R3进一 步在该VPN实例中查找下一跳路由,获取缺省路由为对应GRE隧道的出接口 。该GRE隧道 为集中管理中心的路由器R3与数据中心的路由器Rl之间的GRE隧道。路由器R3通过该 GRE隧道向DC1发送配置管理流量。 步骤704,数据中心的路由器Rl将配置管理流量向DC1中的交换机LI发送。
数据中心的路由器Rl接收到配置管理流量后,在与GRE隧道接口绑定的VPN实例 中查找下一跳路由为DC1交换机LI的配置管理VLAN接口 ,将配置管理流量向交换机LI发 送。 步骤705,数据中心的交换机LI将配置管理流量向DC1中对应的设备发送。
数据中心的交换机L1通过配置管理VLAN接口接收配置管理流量时,为该配置管 理流量打上对应的配置管理VLAN标签,然后将该配置管理流量向对应的设备转发。
通过采用本应用场景提供的方法,各分布式数据中心分别和集中管理中心通过广 域网连接,通过GRE隧道传输镜像流量和配置管理流量,并在集中管理中心配置多VPN实例 分别对应各分布式数据中心的GRE隧道,区分各分布式数据中心发送的流量,另外,在各数 据中心进一步配置VPN实例,以对应远程集中配置管理的应用场景,从而实现了镜像流量 穿越三层网络进行传输,实现了集中管理中心对多个分布式数据中心的集中管理。
本发明提供一种远程集中镜像管理的系统,应用于包括集中管理中心与一个或多 个数据中心的系统,所述数据中心与集中管理中心之间分别通过广域网连接,并通过通用 路由协议封装GRE隧道进行镜像流量的传输,所述数据中心包括服务器、交换机与路由器, 数据中心的交换机上配置镜像源端口与镜像目的端口 ,镜像目的端口连接数据路由器,在 数据中心的路由器上配置与所述集中管理中心连接的GRE隧道;所述集中管理中心包括路 由器、交换机与作为监控设备的服务器,所述集中管理中心的路由器配置分别与每一GRE 隧道绑定的多个虚拟专用网VPN实例,每一 VPN实例的下一跳缺省为与该路由器相连接的 交换机上的虚拟局域网VLAN接口 ;所述集中管理中心的交换机上每一 VLAN仅包括与所述 集中管理中心的路由器连接的VLAN接口和与所述监控设备连接的VLAN接口 ;其中
所述集中管理中心的路由器,用于接收来自数据中心通过GRE隧道发送的镜像流 量,根据GRE隧道接口获取与所述GRE隧道对应的VPN实例,并在该VPN实例中查找下一跳 路由,将镜像流量向所述集中管理中心的交换机上对应的VLAN接口发送。
所述集中管理中心的交换机,用于通过VLAN接口接收到镜像流量后,通过与所述 监控设备连接的VLAN接口将所述镜像流量向所述监控设备发送。所述集中管理中心的交 换机上配置多个VLAN分别与每一数据中心的镜像VLAN对应,所述集中管理中心的交换机 通过VLAN接口接收到镜像流量时,为所述镜像流量加上VLAN标签;查找与所述VLAN标签 对应的另一 VLAN接口 ,在该VLAN接口去掉所述VLAN标签后将镜像流量向所述监控设备发 送。 所述数据中心的交换机,用于从镜像源端口接收到流量时,通过配置的镜像VLAN将流量复制到镜像目的端口发送。 所述数据中心的路由器,用于接收所述数据中心的交换机发送的镜像流量,通过 所述GRE隧道向所述集中管理中心的路由器发送镜像流量。具体的,所述数据中心的路由 器配置下一跳缺省为所述GRE隧道的出接口。接收到镜像流量后,数据中心的路由器查找 下一跳路由为所述GRE隧道的出接口 ,通过GRE隧道向隧道出接口发送镜像流量。
本发明还提供一种远程集中镜像管理的系统,应用于包括集中管理中心与一个或 多个数据中心的系统,所述数据中心与集中管理中心之间分别通过广域网进行连接,且通 过通用路由协议封装GRE隧道进行远程集中配置管理,所述集中管理中心包括路由器、交 换机与作为配置管理设备的服务器,所述集中管理中心的交换机上为每一数据中心配置基 于接入控制列表ACL策略的配置管理VLAN,所述集中管理中心的路由器上配置与每一配置 管理VLAN对应的VPN实例,每一 VPN实例的下一跳路由缺省为GRE隧道出接口 ;所述数据 中心包括路由器、交换机以及对数据中心进行管理的服务器,所述数据中心的路由器上配 置与GRE隧道接口绑定且与配置管理应用场景对应的VPN实例,该VPN实例下一跳路由缺 省为所述数据中心的交换机;其中 所述集中管理中心的交换机,用于接收所述配置管理设备发送的配置管理数据 流,根据所述配置管理数据流的目的地址段查找对应的所述ACL策略,获取对应的配置管 理VLAN,通过VLAN接口发送所述配置管理数据流。集中管理中心的交换机存储各数据中 心的地址段,例如每一数据中心中包含各设备IP地址的IP地址段,并配置IP地址段与配 置管理VLAN的对应关系。接收到配置管理数据流时,集中管理中心的交换机根据配置管理 数据流的目的IP地址段查找获得对应的配置管理VLAN,通过该VLAN对应的VLAN接口发送 配置管理流量。所述集中管理中心的交换机还用于为所述配置管理数据流加上对应的配置 管理VLAN标签,然后通过VLAN接口发送所述配置管理数据流,从而使路由器可以根据VLAN 标签识别配置管理数据流归属的VLAN。 所述集中管理中心的路由器,用于接收所述配置管理数据流,根据所述配置管理 数据流对应的配置管理VLAN获取对应的VPN实例,根据VPN实例中的下一跳路由通过与之 绑定的GRE隧道发送所述配置管理数据流。由于VPN实例中的下一跳路由缺省配置为GRE 隧道的出接口,因此,集中管理中心的路由器将配置管理流通过GRE隧道向隧道对端发送。
所述数据中心的路由器,用于接收所述配置管理数据流后,查找与所述配置管理 数据流的GRE隧道入接口绑定的VPN实例,根据该VPN实例中的下一跳路由向所述数据中 心的交换机发送所述配置管理数据流。 所述数据中心的交换机,用于根据配置管理VLAN将所述配置管理数据流向对应 的设备发送。具体的,所述数据中心的交换机配置与所述配置管理VLAN对应的VLAN接口 , 通过该VALN接口接收所述数据中心的路由器发送的配置管理数据流;当通过所述配置管 理VLAN对应的VLAN接口接收到配置管理数据流时,为所述配置管理数据流加上配置管理 VLAN标签,在配置管理VLAN内向对应的设备发送所述配置管理数据流。
通过采用本发明提供的系统,各分布式数据中心分别和集中管理中心通过广域网 连接,通过GRE隧道传输镜像流量和配置管理流量,并在集中管理中心配置多VPN实例分别 对应各分布式数据中心的GRE隧道,区分各分布式数据中心发送的流量,从而实现了镜像 流量穿越三层网络进行传输,实现了集中管理中心对多个分布式数据中心的集中管理。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可借助
软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更 佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的 部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若 干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发 明各个实施例所述的方法。 本领域技术人员可以理解附图只是一个优选实施例的示意图,附图中的模块或流 程并不一定是实施本发明所必须的。 本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分 布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上 述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。 以上公开的仅为本发明的几个具体实施例,但是,本发明并非局限于此,任何本领 域的技术人员能思之的变化都应落入本发明的保护范围。
1权利要求
一种远程集中镜像管理的方法,应用于包括集中管理中心与一个或多个数据中心的系统,其特征在于,所述数据中心与集中管理中心之间分别通过广域网连接,并通过通用路由协议封装GRE隧道进行镜像流量的传输,所述数据中心包括服务器、数据交换机与数据路由器,数据交换机上配置镜像源端口与镜像目的端口,镜像目的端口连接数据路由器,在数据路由器上配置与所述集中管理中心连接的GRE隧道;所述集中管理中心包括路由器、交换机与作为监控设备的服务器,所述集中管理中心的路由器配置分别与每一GRE隧道绑定的多个虚拟专用网VPN实例,每一VPN实例的下一跳路由缺省为与该路由器相连接的交换机上的虚拟局域网VLAN接口;所述该集中管理中心的交换机上每一VLAN仅包括与所述集中管理中心的路由器连接的VLAN接口和与所述监控设备连接的VLAN接口;该方法进一步包括所述集中管理中心的路由器接收来自数据中心通过GRE隧道发送的镜像流量,并在与所述GRE隧道对应的VPN实例中查找下一跳路由,将镜像流量向所述集中管理中心的交换机上对应的VLAN接口发送;所述集中管理中心的交换机通过VLAN接口接收到镜像流量后,通过与所述监控设备连接的VLAN接口将所述镜像流量向所述监控设备发送。
2. 如权利要求1所述的方法,其特征在于,所述集中管理中心的路由器接收来自数据 中心通过GRE隧道发送的镜像流量之前,还包括所述数据中心的交换机将镜像源端口的流量复制到镜像目的端口发送; 所述数据中心的路由器接收所述数据中心的交换机发送的镜像流量,通过所述GRE隧 道向所述集中管理中心的路由器发送镜像流量。
3. 如权利要求2所述的方法,其特征在于,所述数据中心的路由器配置转发表项的下 一跳路由缺省为所述GRE隧道的出接口。
4. 如权利要求1所述的方法,其特征在于,所述集中管理中心的交换机通过VLAN接口 接收到镜像流量后,通过与所述监控设备连接的VLAN接口将所述镜像流量向所述监控设 备发送包括所述集中管理中心的交换机通过VLAN接口接收到镜像流量时,为所述镜像流量加上 VLAN标签;所述集中管理中心的交换机查找与所述VLAN标签对应的另一 VLAN接口 ,在该VLAN接 口去掉所述VLAN标签后将镜像流量向所述监控设备发送。
5. 如权利要求4所述的方法,其特征在于,所述集中管理中心的交换机上配置多个 VLAN分别与每一数据中心的镜像VLAN对应。
6. —种远程集中镜像管理的方法,应用于包括集中管理中心与一个或多个数据中心的 系统,其特征在于,所述数据中心与集中管理中心之间分别通过广域网进行连接,且通过通 用路由协议封装GRE隧道进行远程集中配置管理,所述集中管理中心包括路由器、交换机 与作为配置管理设备的服务器,所述集中管理中心的交换机上为每一数据中心配置基于接 入控制列表ACL策略的配置管理VLAN,所述集中管理中心的路由器上配置与每一配置管理 VLAN对应的VPN实例,每一 VPN实例中转发表项的下一跳路由缺省为GRE隧道出接口 ;所 述数据中心包括路由器、交换机以及对数据中心进行管理的服务器,所述数据中心的路由 器上配置与GRE隧道接口绑定的VPN实例,该VPN实例中转发表项的下一跳路由缺省为所述数据中心的交换机;该方法进一步包括所述集中管理中心的交换机接收所述配置管理设备发送的配置管理数据流,根据所述 配置管理数据流的目的地址段查找对应的所述ACL策略,获取对应的配置管理VLAN,通过 VLAN接口发送所述配置管理数据流;所述集中管理中心的路由器接收所述配置管理数据流,根据所述配置管理数据流对应 的配置管理VLAN获取对应的VPN实例,根据VPN实例中的下一跳路由通过与之绑定的GRE 隧道发送所述配置管理数据流;所述数据中心的路由器接收所述配置管理数据流后,查找与所述配置管理数据流的 GRE隧道入接口绑定的VPN实例,根据该VPN实例中的下一跳路由向所述数据中心的交换机 发送所述配置管理数据流;所述数据中心的交换机根据配置管理VLAN将所述配置管理数据流向对应的设备发送。
7. 如权利要求6所述的方法,其特征在于,所述根据所述配置管理数据流的目的地址 段查找对应的所述ACL策略,获取对应的配置管理VLAN,通过VLAN接口发送所述配置管理 数据流包括所述集中管理中心的交换机在ACL中存储目的地址段与配置管理VLAN的对应关系,获 取与所述配置管理数据流的目的地址段对应的配置管理VLAN ;所述集中管理中心的交换机为所述配置管理数据流加上所述对应的配置管理VLAN标 签,通过与所述配置管理VLAN对应的VLAN接口发送所述配置管理数据流。
8. 如权利要求6所述的方法,其特征在于,所述数据中心的交换机根据配置管理VLAN 将所述配置管理数据流向对应的设备发送之前,还包括所述数据中心的交换机配置与配 置管理VLAN对应的VLAN接口 ,通过该VALN接口接收所述数据中心的路由器发送的配置管 理数据流;所述数据中心的交换机根据配置管理VLAN将所述配置管理数据流向对应的设备发送 包括当所述数据中心的交换机通过所述配置管理VLAN对应的VLAN接口接收到配置管理 数据流时,所述数据中心的交换机为所述配置管理数据流加上配置管理VLAN标签,在配置 管理VLAN内向对应的设备发送所述配置管理数据流。
9. 一种远程集中镜像管理的系统,应用于包括集中管理中心与一个或多个数据中心的 系统,其特征在于,所述数据中心与集中管理中心之间分别通过广域网连接,并通过通用路 由协议封装GRE隧道进行镜像流量的传输,所述数据中心包括服务器、数据交换机与数据 路由器,数据交换机上配置镜像源端口与镜像目的端口 ,镜像目的端口连接数据路由器,在 数据路由器上配置与所述集中管理中心连接的GRE隧道;所述集中管理中心包括路由器、 交换机与作为监控设备的服务器,所述集中管理中心的路由器配置分别与每一GRE隧道绑 定的多个虚拟专用网VPN实例,每一 VPN实例的转发表项下一跳路由缺省为与该路由器相 连接的交换机上的虚拟局域网VLAN接口 ;所述集中管理中心的交换机上每一 VLAN仅包括 与所述集中管理中心的路由器连接的VLAN接口和与所述监控设备连接的VLAN接口 ;其中所述集中管理中心的路由器,用于接收来自数据中心通过GRE隧道发送的镜像流量, 并在与所述GRE隧道对应的VPN实例中查找下一跳路由,将镜像流量向所述集中管理中心 的交换机上对应的VLAN接口发送;所述集中管理中心的交换机,用于通过VLAN接口接收到镜像流量后,通过与所述监控 设备连接的VLAN接口将所述镜像流量向所述监控设备发送。
10. 如权利要求9所述的系统,其特征在于,所述数据中心的交换机,用于将镜像源端口的流量复制到镜像目的端口发送; 所述数据中心的路由器,用于接收所述数据中心的交换机发送的镜像流量,通过所述 GRE隧道向所述集中管理中心的路由器发送镜像流量。
11. 如权利要求9所述的系统,其特征在于,所述数据中心的路由器配置转发表项中的 下一跳路由缺省为所述GRE隧道的出接口 。
12. 如权利要求9所述的系统,其特征在于,所述集中管理中心的交换机还用于 通过VLAN接口接收到镜像流量时,为所述镜像流量加上VLAN标签;查找与所述VLAN标签对应的另一 VLAN接口 ,在该VLAN接口去掉所述VLAN标签后将 镜像流量向所述监控设备发送。
13. 如权利要求12所述的系统,其特征在于,所述集中管理中心的交换机上配置多个 VLAN分别与每一数据中心的镜像VLAN对应。
14. 一种远程集中镜像管理的系统,应用于包括集中管理中心与一个或多个数据中心 的系统,其特征在于,所述数据中心与集中管理中心之间分别通过广域网进行连接,且通过 通用路由协议封装GRE隧道进行远程集中配置管理,所述集中管理中心包括路由器、交换 机与作为配置管理设备的服务器,所述集中管理中心的交换机上为每一数据中心配置基于 接入控制列表ACL策略的配置管理VLAN,所述集中管理中心的路由器上配置与每一配置管 理VLAN对应的VPN实例,每一 VPN实例的转发表项的下一跳路由缺省为GRE隧道出接口 ; 所述数据中心包括路由器、交换机以及对数据中心进行管理的服务器,所述数据中心的路 由器上配置与GRE隧道接口绑定的VPN实例,该VPN实例中转发表项的下一跳路由缺省为 所述数据中心的交换机;其中所述集中管理中心的交换机,用于接收所述配置管理设备发送的配置管理数据流, 根据所述配置管理数据流的目的地址段查找对应的所述ACL策略,获取对应的配置管理 VLAN,通过VLAN接口发送所述配置管理数据流;所述集中管理中心的路由器,用于接收所述配置管理数据流,根据所述配置管理数据 流对应的配置管理VLAN获取对应的VPN实例,根据VPN实例中的下一跳路由通过与之绑定 的GRE隧道发送所述配置管理数据流;所述数据中心的路由器,用于接收所述配置管理数据流后,查找与所述配置管理数据 流的GRE隧道入接口绑定的VPN实例,根据该VPN实例中的下一跳路由向所述数据中心的 交换机发送所述配置管理数据流;所述数据中心的交换机,用于根据配置管理VLAN将所述配置管理数据流向对应的设 备发送。
15. 如权利要求14所述的系统,其特征在于,所述集中管理中心的交换机还用于在ACL中存储目的地址段与配置管理VLAN的对应关系,获取与所述配置管理数据流的 目的地址段对应的配置管理VLAN ;为所述配置管理数据流加上所述对应的配置管理VLAN标签,通过与所述配置管理 VLAN对应的VLAN接口发送所述配置管理数据流。
16.如权利要求14所述的系统,其特征在于,所述数据中心的交换机还用于配置与所述配置管理VLAN对应的VLAN接口 ,通过该VALN接口接收所述数据中心的路 由器发送的配置管理数据流;当通过所述配置管理VLAN对应的VLAN接口接收到配置管理数据流时,为所述配置管 理数据流加上配置管理VLAN标签,在配置管理VLAN内向对应的设备发送所述配置管理数 据流。
全文摘要
本发明公开了一种远程集中镜像管理的方法和系统,应用于包括集中管理中心与一个或多个数据中心的系统,该方法包括集中管理中心的路由器接收来自数据中心通过GRE隧道发送的镜像流量,并在与所述GRE隧道对应的VPN实例中查找下一跳路由,将镜像流量向集中管理中心的交换机上对应的VLAN接口发送;所述集中管理中心的交换机通过VLAN接口接收到镜像流量后,通过与所述监控设备连接的VLAN接口将所述镜像流量向所述监控设备发送。本发明实现了远程端口镜像监控和管理的三层网络实现。
文档编号H04L29/08GK101764752SQ20091026015
公开日2010年6月30日 申请日期2009年12月25日 优先权日2009年12月25日
发明者李蔚 申请人:杭州华三通信技术有限公司
完整全部详细技术资料下载
  • 该技术已申请专利。仅供学习研究,如用于商业用途,请联系技术所有人。
  • 技术研发人员:李蔚
  • 技术所有人:杭州华三通信技术有限公司
  • 我是此专利的发明人
相关技术
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1
精彩留言,会给你点赞!

使用协议| 关于我们| 联系X技术

© 2008-2024 【X技术】 版权所有,并保留所有权利。津ICP备16005673号-2