一种数据流的镜像方法及装置制造方法
【专利摘要】本发明提供一种数据流的镜像方法及装置,所述方法包括:将从镜像源端口输出的数据流镜像至镜像目的端口,其中镜像目的端口用于向网络监控设备发送镜像源端口输出的数据,所述网络监控设备用于监控和分析镜像源端口输出的数据;在通过所述镜像目的端口将所述数据流发送给所述网络监控设备之前,根据与所述镜像源端口对应的访问控制列表ACL过滤规则,将所述数据流中满足所述ACL过滤规则中的通过条件的数据,通过所述镜像目的端口发送给所述网络监控设备。通过本发明的方法能够对输出方向的数据流实现基于流的镜像,以及降低网络监控设备的负担。
【专利说明】一种数据流的镜像方法及装置
【技术领域】
[0001] 本发明涉及通信【技术领域】,尤其涉及一种数据流的镜像方法及装置。
【背景技术】
[0002] 镜像,是指网络设备上用于将经过某端口的数据流复制并传输到网络监控设备的 技术,该网络监控设备主要是用来监控和分析网络上的数据流。例如对应交换机上来说,利 用镜像技术我们可以把交换机上需要被监控的端口(简称镜像源端口)的数据流复制一 份,通过连接了网络监控设备的端口(简称镜像目的端口),发送给网络监控设备,在网络 监控设备上,可以进行网络监控与故障排除。
[0003] 镜像又分为输入镜像和输出镜像,输入镜像即把从镜像源端口输入的数据复制到 镜像目的端口,发送给网络监控设备,输出镜像是把从镜像源端口输出的数据复制到镜像 目的端口,发送给网络监控设备。现有技术中镜像技术可以分为基于端口的镜像和基于流 的镜像:
[0004] 基于端口的镜像,即从镜像源端口输入或输出的所有数据,都镜像到镜像目的端 口。然而,现有网络设备的端口速率越来越大(如1G/秒、10G/秒速率),如果把经过端口 的所有数据都镜像到网络监控设备,因为数据量相当庞大,增大了网络监控设备的分析监 控负担。
[0005] 基于流的镜像,即将符合特定特征的数据镜像到镜像目的端口,该技术可分为匹 配和镜像操作两个过程,其中,匹配为匹配数据特征,镜像操作为将符合特定特征的数据镜 像至镜像目的端口。基于流的镜像需要芯片支持,然而现有的大部分芯片只能实现对输入 方向的数据流实现基于流的镜像,而对输出方向的数据流无法实现镜像操作这一过程,导 致输出方向基于流的镜像无法实现。使得基于流的镜像因为缺少对输出方向上的数据流的 监控而降低了对网络数据监控的全面性和准确性,从而使得基于流的镜像存在网络安全隐 患。若将输出方向的数据流都镜像至网络监控设备,无疑又加重网络监控设备的负担。
【发明内容】
[0006] 本发明的目的是提供一种数据流的镜像方法及装置,以克服相关技术中无法对输 出方向的数据流实现基于流的镜像技术的问题,以及网络监控设备负担中的问题。
[0007] 本发明提供一种数据流的镜像方法,包括:
[0008] 将从镜像源端口输出的数据流镜像至镜像目的端口,其中镜像目的端口用于向网 络监控设备发送镜像源端口输出的数据,所述网络监控设备用于监控和分析镜像源端口输 出的数据;
[0009] 在通过所述镜像目的端口将所述数据流发送给所述网络监控设备之前,根据与所 述镜像源端口对应的ACL(Access Control List,访问控制列表)过滤规则,将所述数据流 中满足所述ACL过滤规则中的通过条件的数据,通过所述镜像目的端口发送给所述网络监 控设备。
[0010] 本发明还提供一种数据流的镜像装置,所述装置包括:
[0011] 第一镜像模块,用于将从镜像源端口输出的数据流镜像至镜像目的端口,其中镜 像目的端口用于向网络监控设备发送镜像源端口输出的数据,所述网络监控设备用于监控 和分析镜像源端口输出的数据;
[0012] 第二镜像模块,用于在通过所述镜像目的端口将所述数据流发送给所述网络监控 设备之前,根据与所述镜像源端口对应的ACL过滤规则,将所述数据流中满足所述ACL过滤 规则中的通过条件的数据,通过所述镜像目的端口发送给所述网络监控设备。
[0013] 本发明至少具有以下有益效果:在输出方向的数据处理逻辑中实现了基于流的镜 像,提高了基于流的镜像的网络监控处理效率;通过将输出方向上的部分数据而非全部数 据发送给网络监控设备进行分析,从而降低了网络监控设备的负担,节省了网络监控设备 的处理资源。
[0014] 应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不 能限制本发明。
【专利附图】
【附图说明】
[0015] 图1为本发明实施例中数据流的镜像方法的示例性流程图;
[0016] 图2为本发明实施例中数据流的镜像方法的另一示例性流程图;
[0017] 图3为本发明实施例中数据流的镜像方法的另一示例性流程图;
[0018] 图4为本发明实施例中数据流的镜像装置的示意图;
[0019] 图5为本发明实施例中数据流的镜像装置的另一示意图。
【具体实施方式】
[0020] 以下结合说明书附图对本发明的优选实施例进行说明,应当理解,此处所描述的 优选实施例仅用于说明和解释本发明,并不用于限定本发明,并且在不冲突的情况下,本发 明中的实施例及实施例中的特征可以相互组合。
[0021] 本发明实施例适用于交换机,路由器等的网络设备,在该网络设备需要进行输出 方向的流镜像,但芯片又不能直接支持的情况下尤其适用。
[0022] 本发明实施例提供一种数据流的镜像方法,在本发明实施例提供的技术方案中, 通过将镜像源端口的数据都镜像至镜像目的端口,在镜像目的端口向网络监控设备发送数 据之前,通过ACL过滤规则进行过滤,将满足条件的数据发送给网络监控设备。从而实现了 在输出方向的数据处理逻辑中实现基于流的镜像,提高了基于流的镜像的网络监控处理效 率;通过将输出方向上的部分数据而非全部数据发送给网络监控设备进行分析,从而降低 了网络监控设备的负担,节省了网络监控设备的处理资源。下面对本发明实施例中数据流 的镜像方法进行详细说明。
[0023] 实施例一
[0024] 如图1所示,为本发明实施例提供的数据流的镜像方法的示例性流程图,该方法 包括以下步骤:
[0025] 步骤101 :将从镜像源端口输出的数据流镜像至镜像目的端口,其中镜像目的端 口用于向网络监控设备发送镜像源端口输出的数据,所述网络监控设备用于监控和分析镜 像源端口输出的数据。
[0026] 其中,在一个实施例中,通过寄存器设置镜像源端口,并由寄存器记录该镜像源端 口的镜像目的端口。例如,一个端口配置一寄存器,通过向寄存器下发镜像源端口信息和镜 像目的端口信息,指示寄存器设置对应的端口为镜像源端口,并设置该镜像源端口的镜像 目的端口。
[0027] 步骤102 :在通过所述镜像目的端口将所述数据流发送给所述网络监控设备之 前,根据与所述镜像源端口对应的ACL过滤规则,将所述数据流中满足所述ACL过滤规则中 的通过条件的数据,通过所述镜像目的端口发送给所述网络监控设备。
[0028] 其中,通过条件用于查找数据流中允许通过和镜像的数据,该通过条件中可以记 录有允许通过的数据的数据特征。
[0029] 为便于在输出方向的数据处理逻辑中,实现基于流的镜像,需要对ACL过滤规则 进行配置,该配置方法包括以下步骤:
[0030] 步骤A1 :获取所述ACL的唯一标识。
[0031] 步骤A2 :从与所述唯一标识对应的ACL中获取初始过滤规则。
[0032] 其中,在一个实施例中,初始过滤规则可以现有技术中的ACL过滤规则,而初始过 滤规则只适用于对输出方向的数据流进行基于流的镜像,为使初始过滤规则适用于输出方 向的数据流,因此需要执行步骤A3做必要的转换。
[0033] 步骤A3 :对所述初始过滤规则进行转换,生成适用于输出的数据流的过滤规则, 并将转换后的所述过滤规则作为与所述镜像源端口对应的ACL过滤规则。
[0034] 其中,在一个实施例中,步骤A3中对所述初始过滤规则进行转换,生成应用于输 出的数据流的过滤规则可执行为:向所述每条初始过滤规则中添加镜像目的端口信息,将 所述初始过滤规则的应用方向配置为输出方向,并配置过滤条件,生成适用于输出的数据 流的过滤规则。通过转换生成ACL过滤规则,以便于实现对输出方向的数据流进行基于流 的镜像。
[0035] 其中,在一个实施例中,每一条过滤规则都有一个优先级,在配置过滤规则时,可 以按照优先级从高到低的顺序配置各条过滤规则。其中过滤规则可以配置在用于处理输出 方向的数据流的芯片上,例如,对于交换机来说,该过滤规则可以配置在交换机的MAC芯片 上。
[0036] 便于网络监控设备能够及时的发现异常情况,并做相应操作以保护网络安全,维 持网络正常运行。
[0037] 其中在一个实施例中,ACL过滤规则中不仅包括通过条件,还可以包括过滤条件。 例如表1为一条示例性ACL过滤规则:标记为1的过滤规则为通过条件;标记为2的过滤规 则为过滤条件代表过滤掉哪些数据。其中,标记为1的过滤规则和标记为2的过滤规则配 合使用,且标记为1的过滤规则优先级高于标记为2的过滤规则时,该条过滤规则执行的结 果便是允许源端口 IP为1. 1. 1. 1的数据通过,而其它数据都被过滤掉。
[0038] 表1过滤规则示例
[0039]
【权利要求】
1. 一种数据流的镜像方法,其特征在于,所述方法包括: 将从镜像源端口输出的数据流镜像至镜像目的端口,其中镜像目的端口用于向网络监 控设备发送镜像源端口输出的数据,所述网络监控设备用于监控和分析镜像源端口输出的 数据; 在通过所述镜像目的端口将所述数据流发送给所述网络监控设备之前,根据与所述镜 像源端口对应的访问控制列表ACL过滤规则,将所述数据流中满足所述ACL过滤规则中的 通过条件的数据,通过所述镜像目的端口发送给所述网络监控设备。
2. 根据权利要求1所述的方法,其特征在于,所述ACL过滤规则根据以下方法进行配 置: 获取所述ACL的唯一标识; 从与所述唯一标识对应的ACL中获取初始过滤规则; 对所述初始过滤规则进行转换,生成适用于输出的数据流的过滤规则,并将转换后的 所述过滤规则作为与所述镜像源端口对应的ACL过滤规则。
3. 根据权利要求2所述的方法,其特征在于,所述对所述初始过滤规则进行转换,生成 应用于输出的数据流的过滤规则,包括: 向所述每条初始过滤规则中添加镜像目的端口信息,将所述初始过滤规则的应用方向 配置为输出方向,并配置过滤条件,生成适用于输出的数据流的过滤规则。
4. 根据权利要求1-3中任一所述的方法,其特征在于,所述在通过所述镜像目的端口 将所述数据流发送给所述网络监控设备之前,根据与所述镜像源端口对应的ACL过滤规 贝1J,将所述数据流中满足所述ACL过滤规则中的通过条件的数据,通过所述镜像目的端口 发送给所述网络监控设备,包括: 在通过所述镜像目的端口将所述数据流发送给所述网络监控设备之前,将所述数据流 与所述ACL过滤规则进行匹配; 将与所述ACL过滤规则中过滤条件匹配的数据过滤掉;并将与所述ACL过滤规则中通 过条件匹配的数据保留; 将保留的数据通过所述镜像目的端口发送给所述网络监控设备。
5. 根据权利要求4所述的方法,其特征在于,所述ACL过滤规则中每一条过滤规则对应 一个优先级,所述在通过所述镜像目的端口将所述数据流发送给所述网络监控设备之前, 将所述数据流与所述ACL过滤规则进行匹配,包括 : 在通过所述镜像目的端口将所述数据流发送给所述网络监控设备之前,根据优先级由 高到低的顺序,将所述数据流与所述ACL过滤规则逐条进行匹配。
6. -种数据流的镜像装置,其特征在于,所述装置包括: 第一镜像模块,用于将从镜像源端口输出的数据流镜像至镜像目的端口,其中镜像目 的端口用于向网络监控设备发送镜像源端口输出的数据,所述网络监控设备用于监控和分 析镜像源端口输出的数据; 第二镜像模块,用于在通过所述镜像目的端口将所述数据流发送给所述网络监控设备 之前,根据与所述镜像源端口对应的访问控制列表ACL过滤规则,将所述数据流中满足所 述ACL过滤规则中的通过条件的数据,通过所述镜像目的端口发送给所述网络监控设备。
7. 根据权利要求6所述的装置,其特征在于,所述装置还包括: 标识获取模块,用于获取所述ACL的唯一标识; 规则获取模块,用于从与所述唯一标识对应的ACL中获取初始过滤规则; 转换模块,用于对所述初始过滤规则进行转换,生成适用于输出的数据流的过滤规则, 并将转换后的所述过滤规则作为与所述镜像源端口对应的ACL过滤规则。
8. 根据权利要求6所述的装置,其特征在于,所述转换模块用于向所述每条初始过滤 规则中添加镜像目的端口信息,将所述初始过滤规则的应用方向配置为输出方向,并配置 过滤条件,生成适用于输出的数据流的过滤规则。
9. 根据权利要求6-8中任一所述的装置,其特征在于,所述第二镜像模块包括: 匹配单元,用于所述ACL过滤规则中还包括过滤条件时,在通过所述镜像目的端口将 所述数据流发送给所述网络监控设备之前,将所述数据流与所述ACL过滤规则进行匹配; 处理单元,用于将与所述ACL过滤规则中过滤条件匹配的数据过滤掉;并将与所述ACL 过滤规则中通过条件匹配的数据保留; 镜像单元,用于将保留的数据通过所述镜像目的端口发送给所述网络监控设备。
10. 根据权利要求9所述的装置,其特征在于,所述处理单元用于所述ACL过滤规则中 每一条过滤规则对应一个优先级时,在通过所述镜像目的端口将所述数据流发送给所述网 络监控设备之前,根据优先级由高到低的顺序,将所述数据流与所述ACL过滤规则逐条进 行匹配。
【文档编号】H04L12/24GK104243211SQ201410488484
【公开日】2014年12月24日 申请日期:2014年9月22日 优先权日:2014年9月22日
【发明者】赖利根 申请人:北京星网锐捷网络技术有限公司