一种基于true镜像的流镜像方法和交换设备与流程

本申请涉及网络通信技术领域，特别涉及一种基于true镜像的流镜像方法和交换设备。

背景技术：

在网络通信技术领域，镜像是指将指定端口的报文或者符合指定规则的报文复制到目的端口，用户可以利用镜像技术，进行网络监管和故障排除。

现有的流镜像技术方案，通常将出方向流镜像通过反射口配置mac环回转化为入方向流镜像，如图1所示，其中a口为流量入端口，b口为流量出端口，且为镜像源端口，c口为反射端口，d为镜像目的端口。在源端口配置出方向镜像到反射端口，在c口配置mac环回功能并使能该端口收发，该端口无需up状态，使得所有从该端口出去的报文全部回环从该端口进入，这时在c口配置入方向acl镜像到目的端口d，这样就能实现出方向的acl镜像。此种方案同样适用于远程端口镜像、跨板镜像、跨框镜像以及远程抓包诊断。

上述流镜像方案存在如下几点缺陷：

1)使用反射端口占用了面板端口的资源；

2)反射口若与源端口跨板，则会占用备板带宽，容易引起超速率丢包。

3)反射口的配置较为复杂，进行人工配置时容易造成误操作，配置和维护的成本较高，不便于管理。

因此，如何解决现有流镜像方案中存在的上述缺陷已成了急需解决的技术问题。

技术实现要素：

有鉴于此，本申请提供一种基于true镜像的流镜像方法和交换设备，在占用资源最少以及占用内部口带宽最小的情况下提供了一种新的出方向的流镜像实现方式。

具体地，本申请是通过如下技术方案实现的：

一种基于true镜像的流镜像方法，包括：

针对交换设备的出端口进行true镜像配置，交换设备将出端口出方向数据流的镜像发送到所述交换设备上未使用的预留端口；

在交换设备出端口的入方向生成环回数据流，交换设备将所述环回数据流镜像发送到目的端口。

进一步的，所述在交换设备出端口的入方向生成环回数据流具体包括：交换设备出端口将出方向数据流的镜像发送给出端口本身，该数据流的镜像经过出端口后环回至交换设备的出端口，成为交换设备通过出端口入方向接收的环回数据流。

进一步的，所述交换设备将所述环回数据流镜像发送到目的端口具体包括：交换设备更新出端口所接收环回数据流的镜像标记，并将所述环回数据流镜像发送到由镜像标记指示的目的端口。

进一步的，将所述环回数据流镜像发送到由镜像标记指示的目的端口具体包括：所述镜像标记为交换设备的至少一个本地端口，交换设备向该交换设备上的至少一个目的端口发送该环回数据流镜像。

进一步的，将所述环回数据流镜像发送到由镜像标记指示的目的端口具体包括：所述镜像标记为镜像vlan的标签，交换设备将环回数据流镜像发送到镜像vlan。

进一步的，所述交换设备将环回数据流镜像发送到镜像vlan具体包括：交换设备查找环回数据流镜像的镜像vlan，当在镜像vlan中存在预先设置的相应mac地址转发表项时，交换设备按照mac地址转发表项将环回数据流镜像发送到相应的mac地址对应的目的端口。进一步的，所述交换设备将环回数据流镜像发送到镜像vlan具体包括：当交换设备查找不到环回数据流镜像在镜像vlan中的mac地址转发表项时，交换设备将环回数据流镜像在镜像vlan中进行广播发送到至少一个目的端口。

进一步的，所述交换设备将所述环回数据流镜像发送到目的端口之前，还包括交换设备在出端口处设置访问控制列表acl的步骤，具体包括：

下发入口acl表项到交换设备acl/qos处理模块；

交换设备acl/qos处理模块将入口acl表项应用到所述出端口。

进一步的，所述交换设备将所述环回数据流镜像发送到目的端口具体包括：交换设备根据入口acl表项规则向该交换设备上的至少一个目的端口发送数据流，该数据流来自所述环回数据流镜像。

一种交换设备，该交换设备中包括处理器、内存、至少一个网络端口、以及非易失性存储器，该交换设备用于实现前述基于true镜像的流镜像方法。

由以上本申请提供的技术方案可见，通过ture镜像以将出端口出方向的数据流环回至出端口入方向，因此可以直接在出端口处配置入方向的流镜像，这样就省去了反射口，同时避免了发射口与源端口跨板的情况，对备板的带宽压力降到最小。

附图说明

图1为现有技术中流镜像的示意图；

图2为本发明流镜像方法实施例的应用场景示意图；

图3为本发明流镜像方法的数据流向示意图；

图4为本发明流镜像方法实施例的流程示意图；

图5为本发明交换设备的组成结构示意图。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。

在本申请使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。

应当理解，尽管在本申请可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本申请范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。

镜像技术中应用最为广泛、实现最为简单的当属端口镜像，为了便于描述本发明实施例，首先介绍端口镜像中涉及的几个基本概念。

1)源端口：源端口是被监控的端口，用户可以对通过该端口的报文进行监控和分析。

2)目的端口：目的端口也可称为监控端口，该端口将接收到的报文转发到数据监测设备，以便对报文进行监控和分析。

3)镜像的方向：端口镜像的方向分为入方向、出方向和双向。

①入方向：仅对源端口接收的报文进行镜像。

②出方向：仅对源端口发送的报文进行镜像。

③双向：对源端口接收和发送的报文都进行镜像。

按照实现机制的不同，镜像技术可以被划分为端口镜像和流镜像，在端口镜像中，可以根据镜像源端口和目的端口所在位置的不同将镜像进一步划分为本地端口镜像、远程端口镜像，下面分别进行介绍。

1)本地端口镜像，是指将设备的一个或多个端口(源端口)的报文复制到该设备的一个监视端口(目的端口)，用于报文的监视和分析，其中源端口和目的端口必须在同一台设备上。本地镜像的优点在于配置方便，其不足之处是在进行报文复制时，只能镜像源端口的全部报文到目的端口。在流量大、报文种类较多的情况下，对于全部报文的监视和分析将不利于问题的定位，而且对于源端口和目的端口位于不同数据板的情况，跨板镜像会占用较多的备板带宽，容易引起超速率丢包。

2)远程端口镜像，是指将设备的一个或多个端口的报文复制并通过中间网络设备转发到指定目的交换机上的目的端口。远程端口镜像技术突破了本地端口镜像要求源端口和目的端口必须在同一台设备上的限制，使得源端口和目的端口之间可以跨越多个网络设备。远程端口镜像的原理非常简单，只需要在原始设备出端口将报文添加固定的镜像vlan标签，在规定所有中转设备对该vlan做镜像专用，这样就实现了远程端口镜像。远程端口镜像又叫远程端口复制，是容灾备份的核心技术，同时也是保持远程数据同步和实现灾难恢复的基础。它利用物理位置上分离的存储设备所具备的远程数据连接功能，在远程维护一套数据镜像，一旦灾难发生时，分布在异地存储器上的数据备份并不会受到波及，具有很高的安全性。

3)流镜像，是指通过acl等规则将具有某特征的数据流复制到目的端口，流镜像一般使用普通镜像资源，与本地、远程端口镜像相比，区别仅在于源端口的配置上，通过acl规则可以选择仅对某种类型的报文进行镜像，它通过qos策略实现，即使用流分类技术来定义需要被镜像的报文的匹配条件，再通过配置流行为将符合条件的报文镜像至指定的方向。流镜像可以避免过多的冗余流量被复制转发到目的端口，流镜像的种类有多种，其中就包括了true镜像。

本发明实施例适用于交换机，路由器等的网络设备，在该网络设备需要进行输出方向的流镜像，但芯片又不能直接支持的情况下尤其适用。下面对本发明实施例中数据流的镜像方法进行详细说明。

如图2所示，示例了本申请流镜像实现方法的应用场景示意图。在图2中包括交换设备201、数据监测设备202，其中交换设备201上包括入端口、出端口(源端口)、未使用的预留端口，其中出端口作为源端口使用。

图3为本发明流镜像方法的数据流向示意图。图示中的交换设备包括有入端口a、出端口b、未使用的预留端口c以及端口d，其中入端口a将数据流传输到出端口b，出端口b作为源端口(后统一称为源端口b)，在进行本地端口镜像时，可以将端口d作为本地端口镜像的目的端口。通过在源端口b的出方向上进行true镜像配置，可以实现将源端口b出方向上的报文进行复制，并将复制的报文发送至未使用的预留端口c，使得在源端口b的出方向处产生入方向的回流报文，在源端口b的入方向处可以针对回流报文进行本地端口镜像配置、远程端口镜像配置或者流镜像配置。实现将源端口入方向的回流报文发送至目的端口，通过该目的端口直接或者间接的连接数据监测设备，从而，使得数据监测设备可以有效地监控源端口上的报文，并且在网络异常时，有效地定位引起网络异常的原因。

如图4所示，为本发明所提出的一种基于true镜像的流镜像方法实施例的流程示意图，具体包括以下步骤：

步骤s301、针对交换设备的出端口进行true镜像配置，交换设备将出端口出方向数据流的镜像发送到所述交换设备上未使用的预留端口。

本步骤的实现是以数据流的镜像复制为前提的，通过数据流的镜像复制，可以在保证正常数据流通信的基础上，将一份与原数据流相同的数据流镜像发送到交换设备上未使用的预留端口。在本步骤进行的同时，交换设备上原有的数据业务仍然正常进行，即通过入端口接收的媒体流仍然按照原有数据业务的需要，发送给相应的出端口，而该媒体流的镜像则发送给交换设备上未使用的预留端口，进行后续的操作，这样的设置可以在进行true镜像的同时不影响交换机正常的通信业务。在本步骤中，出端口相当于镜像操作的源端口，在后续的步骤中，数据流的镜像会被发送到目的端口，从而完成相应的监控操作。

步骤s302、在交换设备出端口的入方向生成环回数据流，交换设备将所述环回数据流镜像发送到目的端口。

在前述的配置过程中，出端口的带宽是大于或等于入端口的带宽的，这样的设置主要是要求出端口能够将入端口进入的数据流完全的处理，进行环回镜像，不会出现由于带宽不足而导致的数据丢失现象，从而保证由入端口进入交换机的数据流的镜像可以完全的环回镜像到目的端口中，并进而提供给数据监测设备进行监控，这样的设计可以保证被监控数据的完整性，有效的提高数据监测的准确性。

本步骤具体包括以下处理过程：交换设备出端口将出方向数据流的镜像发送给出端口本身，该数据流的镜像经过出端口后环回至交换设备的出端口，成为交换设备通过出端口入方向接收的环回数据流。交换设备更新出端口所接收环回数据流的镜像标记，并将所述环回数据流镜像发送到由镜像标记指示的目的端口。

在一种实施方式中，镜像标记为交换设备的至少一个本地端口，将至少一个本地端口作为目的端口。在该实施方式中进一步可以包括如下步骤：

步骤s3031、交换设备向该交换设备上的至少一个目的端口发送该环回数据流镜像，所述至少一个目的端口与数据监测设备相连，以实现数据监测设备对该环回数据流镜像的监控。

在另外一种实施方式中，镜像标记为镜像vlan的标签，交换设备将包含镜像vlan的标签的数据流发送给镜像vlan，即交换设备将环回数据流镜像发送到镜像vlan。在该实施方式中进一步包括如下步骤：

步骤s3032、交换设备在镜像vlan中向至少一个目的端口所连接的数据监测设备发送该环回数据流镜像，实现数据监测设备对该环回数据流镜像的监控。

本步骤的具体实现流程可以包括：

交换设备查找环回数据流镜像的镜像vlan，当在镜像vlan中存在预先设置的相应mac地址转发表项时，交换设备按照mac地址转发表项将环回数据流镜像发送到相应的mac地址对应的目的端口。

需要进一步指出的是，由于上述的环回数据流镜像是经过出端口处理后的用于数据监控的数据流，因此在镜像vlan中可能不存在相应的mac地址转发表项，当交换设备查找不到环回数据流镜像在镜像vlan中的mac地址转发表项时，交换设备将环回数据流镜像在镜像vlan中进行广播发送，由于在镜像vlan中包括至少一个数据监测设备的目的端口，因此，在镜像vlan中进行广播的操作只能将环回数据流镜像分别发送给上述的数据监测设备的目的端口。

需要进一步指出的是，为了保证至少一个数据监测设备所对应的多个目的端口之间不会出现数据干扰，在进行本步骤之前，需要在多个目的端口之间配置端口隔离，从而，保证至少一个数据监测设备都可以相对独立的根据环回数据流镜像进行监控操作，确保监控的准确性。

至少一个数据监测设备分别通过镜像vlan中所包含的多个目的端口接收环回数据流镜像。多个数据监测设备分别根据接收到的环回数据流镜像进行监控，由于上述的配置过程中，对镜像vlan中的各端口设置了端口隔离，所以，各数据监测设备可以相对独立的根据接收到的镜像vlan广播的环回数据流镜像对数据流进行监控。

在另外一种实施方式中，在交换设备将所述环回数据流镜像发送到目的端口之前，还包括交换设备在出端口处设置访问控制列表acl的步骤。

访问控制列表acl(accesscontrollist)的功能是过滤通过网络设备的特定数据包。访问控制列表acl通过一系列匹配条件对通过端口的数据包进行分类，这些条件可以是数据包的源地址、目的地址、端口号，交换设备根据acl中指定的条件来检测数据包，从而决定是转发还是丢弃该数据包。

acl包括端口acl、全局acl、vlan-acl。端口acl是一种为设备上不同端口配置不同的acl动作，实现对各个端口的不同控制。全局acl给用户提供一种整个设备上所有端口都会生效的acl配置机制。vlan-acl即基于虚拟局域网vlan的acl，用户通过对vlan配置acl动作，从而实现对vlan内所有端口的访问控制。在该实施方式中，采用的是端口acl，所述在出端口处设置访问控制列表acl的方法可以具体包括：

步骤a，下发入口acl表项到网络设备acl/qos处理模块。目前支持入口acl是对交换设备的基本要求。

步骤b，交换设备acl/qos处理模块将入口acl表项应用到所述出端口。

目前主要的设备芯片提供商，大多以端口掩码，或是芯片的物理端口索引，来实现该入口acl表项所应用到的物理端口，通过将应用到的接口设置为所述出端口，来达到匹配所有从所述出端口进入的环回数据流，同时下发匹配项匹配报文的目的端口，此目的端口为环回数据流进入芯片处理后，所要到达的该交换设备上的下一个出端口，以达到将入口acl表项规则应用到出端口的目的。

在该实施方式中进一步可以包括如下步骤：

步骤s3033、交换设备根据入口acl表项规则向该交换设备上的至少一个目的端口发送数据流，该数据流来自所述环回数据流镜像，所述至少一个目的端口与数据监测设备相连，以实现数据监测设备对该环回数据流镜像的监控。

本申请镜像方法的实现装置的实施例可以应用在网络设备上。装置实施例可以通过软件实现，也可以通过硬件或者软硬件结合的方式实现。以软件实现为例，作为一个逻辑意义上的装置，是通过其所在网络设备的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言，如图5所示，为本申请流镜像方法的实现装置所在网络设备的一种硬件结构图，除了图所示的处理器、内存、至少一个网络端口、以及非易失性存储器之外，实施例中装置所在的网络设备通常根据该网络设备的实际功能，还可以包括其他硬件，对此不再赘述。

对于装置实施例而言，由于其基本对应于方法实施例，所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

以上所述仅为本申请的较佳实施例而已，并不用以限制本申请，凡在本申请的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本申请保护的范围之内。