專(zhuān)利名稱(chēng):遠(yuǎn)程鏡像方法��、鏡像源設(shè)備及鏡像目的設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及鏡像技術(shù)�����,尤其是一種遠(yuǎn)程鏡像方法�、鏡像源設(shè)備及鏡像目的設(shè)備。
背景技術(shù):
近幾年來(lái)��,隨著城域網(wǎng)用戶(hù)規(guī)模不斷擴(kuò)大�����,城域網(wǎng)的流量也不斷增長(zhǎng)���,在可管可控���、業(yè)務(wù)區(qū)分�、服務(wù)質(zhì)量�、網(wǎng)絡(luò)安全、新業(yè)務(wù)支持能力���、可擴(kuò)展性等方面���,對(duì)城域網(wǎng)的要求越來(lái)越高。遠(yuǎn)程鏡像技術(shù)可以對(duì)整網(wǎng)流量進(jìn)行監(jiān)控,與入侵檢測(cè)系統(tǒng)(Intrusion Detection System����,以下簡(jiǎn)稱(chēng)IDS)技術(shù)結(jié)合,還可以進(jìn)行用戶(hù)流量進(jìn)行過(guò)濾���、對(duì)用戶(hù)主機(jī)進(jìn)行防攻擊與防病毒����,還可以對(duì)不同業(yè)務(wù)提供不同的服務(wù)質(zhì)量(quality of service,以下簡(jiǎn)稱(chēng)QOS)��,并且����,現(xiàn)有的交換機(jī)中的交換芯片大多支持端口鏡像功能��,為此,遠(yuǎn)程鏡像技術(shù)已成為目前監(jiān)控網(wǎng)絡(luò)流程的常用手段����。
鏡像技術(shù)就是將被監(jiān)控流量復(fù)制并將復(fù)制的流量����,也即鏡像流量����,轉(zhuǎn)發(fā)到監(jiān)控設(shè)備的技術(shù)�����,其中的監(jiān)控設(shè)備為安裝有流量監(jiān)控軟件����,以對(duì)鏡像流量進(jìn)行監(jiān)控的服務(wù)器或工作站��。遠(yuǎn)程鏡像技術(shù)使用虛擬局域網(wǎng)(Virtual LocalArea Network���,以下簡(jiǎn)稱(chēng)VLAN)技術(shù)���,將被監(jiān)控端口(Port,以下簡(jiǎn)稱(chēng)P)����,即被監(jiān)控流量流入或流出的端口所在的鏡像源設(shè)備、與監(jiān)控設(shè)備所連接的鏡像目的設(shè)備以及兩設(shè)備之間構(gòu)成鏡像流量通路的所有中間設(shè)備組成一個(gè)虛擬局域網(wǎng)�����,該虛擬局域網(wǎng)稱(chēng)為鏡像VLAN�,鏡像源設(shè)備對(duì)原始被監(jiān)控流報(bào)文基礎(chǔ)上封裝一個(gè)802.1Q協(xié)議規(guī)定的鏡像VLAN標(biāo)簽(Tag),封裝后的鏡像流量在鏡像VLAN中被轉(zhuǎn)發(fā)至鏡像目的設(shè)備���,鏡像目的設(shè)備接收到攜帶有鏡像VLAN Tag的鏡像流量后,剝離其中攜帶的鏡像VLAN Tag�����,將其還原為原始被監(jiān)控流量發(fā)送給監(jiān)控設(shè)備進(jìn)行監(jiān)控����。
如圖1所示,為現(xiàn)有遠(yuǎn)程鏡像技術(shù)鏡像VLAN的結(jié)構(gòu)示意圖���,該鏡像VLAN包括鏡像源設(shè)備�����,第一中間設(shè)備與第二中間設(shè)備����,鏡像目的設(shè)備和監(jiān)控設(shè)備,其中���,第一主機(jī)與第二主機(jī)分別通過(guò)輸入PA與PA’接入鏡像源設(shè)備�,該鏡像VLAN分別通過(guò)監(jiān)控鏡像源設(shè)備輸入PA與PA’的流量可以監(jiān)控連接到鏡像源設(shè)備輸入端口的第一主機(jī)與第二主機(jī)上的流量���。鏡像源設(shè)備上設(shè)有輸出PB與PB’�����,第一中間設(shè)備上設(shè)有輸入PC與PC’���、輸出PD與PD’,第二中間設(shè)備上設(shè)有輸入PE與輸出PF��,鏡像目的設(shè)備上設(shè)有輸入PG與PG’�����、輸出PH,第一主機(jī)與第二主機(jī)的鏡像路徑可以是PA-PB-PC-PD-PG-PH�����,或者PA-PB-PC-PD’-PG’-PH��,或者PA-PB’-PE-PF-PC-PD-PG-PH�����,或者PA-PB’-PE-PF-PC’-PD’-PG-PH�,可以通過(guò)上述任意一條鏡像路徑將PA上的流量鏡像到監(jiān)控設(shè)備上。同樣�,可以通過(guò)PA’-PB-PC-PD-PG-PH,或者PA’-PB-PC-PD’-PG’-PH���,或者PA’-PB’-PE-PF-PC-PD-PG-PH,或者PA’-PB’-PE-PF-PC’-PD’-PG-PH鏡像路徑將PA’上的流量鏡像到監(jiān)控設(shè)備上�。
以圖1所示的鏡像路徑PB-PC-PD-PG為例,現(xiàn)有的遠(yuǎn)程鏡像技術(shù)存在如下技術(shù)問(wèn)題如果需要同時(shí)監(jiān)控第一主機(jī)與第二主機(jī)上發(fā)出與接收的流量��,則第一主機(jī)與第二主機(jī)的媒介訪(fǎng)問(wèn)控制(Media Access Controller��,以下簡(jiǎn)稱(chēng)MAC)地址會(huì)學(xué)習(xí)到第一中間設(shè)備的PC與鏡像目的設(shè)備的PG上,但是���,由于在流量目的MAC地址所指出口為該流量入口時(shí)可能會(huì)引起流量的循環(huán)轉(zhuǎn)發(fā)�����,第一中間設(shè)備與鏡像目的設(shè)備中的交換芯片通常都會(huì)有源端口檢查功能��,即丟棄端口收到的目的MAC地址學(xué)習(xí)在該端口的報(bào)文����,這就會(huì)使得訪(fǎng)問(wèn)第一主機(jī)與第二主機(jī)的流量�����,包括兩主機(jī)互訪(fǎng)的流量����,無(wú)法鏡像成功。
目前�����,現(xiàn)有技術(shù)中采用了以下兩種方法來(lái)避免現(xiàn)有的遠(yuǎn)程鏡像技術(shù)中存在的上述問(wèn)題
第一種方法是關(guān)閉掉鏡像VLAN中所有設(shè)備的MAC學(xué)習(xí)功能,包括鏡像源設(shè)備�、中間設(shè)備與鏡像目的設(shè)備。但是���,關(guān)閉MAC學(xué)習(xí)功能時(shí)需要在鏡像相關(guān)的所有設(shè)備進(jìn)行手工配置�,這就提高了網(wǎng)絡(luò)管理和維護(hù)的成本���;需要鏡像VLAN中所有的鏡像設(shè)備都支持基于鏡像VLAN關(guān)閉MAC學(xué)習(xí)功能的特性���,而現(xiàn)有的作為中間設(shè)備的交換設(shè)備大部分不支持該特性。
第二種方法是采用重定向方法避開(kāi)中間設(shè)備中的交換芯片轉(zhuǎn)發(fā)邏輯����,在第一中間設(shè)備上配置重定向策略,不再根據(jù)鏡像流量的以太網(wǎng)數(shù)據(jù)幀的幀頭中的目的MAC地址查詢(xún)二層轉(zhuǎn)發(fā)表�,直接將以太網(wǎng)數(shù)據(jù)幀由輸入PC“引”到輸出PD。但是�����,該方法至少存在如下問(wèn)題只能在中間設(shè)備上靜態(tài)配置轉(zhuǎn)發(fā)策略��,配置方式不靈活�;必須在VLAN中的所有中間設(shè)備上分別配置轉(zhuǎn)發(fā)策略,網(wǎng)絡(luò)管理與維護(hù)工作量大���;由于在中間設(shè)備上限定了輸入端口與輸出端口的一一對(duì)應(yīng)關(guān)系���,這就唯一確定了鏡像路徑,這樣����,在該鏡像路徑鏈路發(fā)生故障時(shí),無(wú)法使用備份鏈路���,降低了鏡像功能的可靠性����。
發(fā)明內(nèi)容
本發(fā)明實(shí)施例所要解決的技術(shù)問(wèn)題是在不關(guān)閉鏡像設(shè)備的MAC學(xué)習(xí)功能且不在中間設(shè)備上配置重定向策略的情況下����,實(shí)現(xiàn)對(duì)被監(jiān)控流量目的MAC地址所指出口為該流量入口的被監(jiān)控流量的成功鏡像。
根據(jù)本發(fā)明的一個(gè)方面�����,提供的一種遠(yuǎn)程鏡像方法��,包括以下步驟對(duì)鏡像源設(shè)備端口的被監(jiān)控流量進(jìn)行復(fù)制,并在復(fù)制的被監(jiān)控流量以太網(wǎng)數(shù)據(jù)幀外封裝新以太網(wǎng)幀頭形成鏡像數(shù)據(jù)幀��,所述新以太網(wǎng)幀頭包括鏡像VLAN Tag����、新源MAC地址與新目的MAC地址;根據(jù)所述新目的MAC地址轉(zhuǎn)發(fā)由所述鏡像數(shù)據(jù)幀構(gòu)成的鏡像流量至鏡像目的設(shè)備���;剝離所述新鏡像流量中的所述新以太網(wǎng)幀頭�,還原所述被監(jiān)控流量�����。
根據(jù)本發(fā)明的另一個(gè)方面�����,提供的一種鏡像源設(shè)備�����,包括第一輸入端口���,用于接收被監(jiān)控流量�����;
鏡像模塊����,與所述第一輸入端口連接�,用于對(duì)所述被監(jiān)控流量進(jìn)行復(fù)制;封裝模塊����,與所述鏡像模塊連接,用于在復(fù)制的所述被監(jiān)控流量以太網(wǎng)數(shù)據(jù)幀外封裝新以太網(wǎng)幀頭形成鏡像數(shù)據(jù)幀��,所述新以太網(wǎng)幀頭包括鏡像VLAN Tag�、新源MAC地址與新目的MAC地址;第一轉(zhuǎn)發(fā)模塊�����,與所述封裝模塊連接����,用于根據(jù)所述新目的MAC地址,將由所述鏡像數(shù)據(jù)幀構(gòu)成的鏡像流量轉(zhuǎn)發(fā)給相應(yīng)的輸出端口�;第一輸出端口���,與所述第一轉(zhuǎn)發(fā)模塊連接,用于發(fā)送所述鏡像流量�。
根據(jù)本發(fā)明的又一個(gè)方面,提供的一種鏡像目的設(shè)備���,包括第二輸入端口����,用于接收外層封裝有新以太網(wǎng)幀頭的鏡像數(shù)據(jù)幀���;第二轉(zhuǎn)發(fā)模塊��,與所述第二輸入端口連接��,用于根據(jù)新以太網(wǎng)幀頭中的新目的MAC地址�,將由所述鏡像數(shù)據(jù)幀構(gòu)成的鏡像流量轉(zhuǎn)發(fā)往相應(yīng)的輸出端口����;剝離模塊,與所述第二轉(zhuǎn)發(fā)模塊連接����,用于剝離所述鏡像數(shù)據(jù)幀中的所述新以太網(wǎng)幀頭�����,還原被監(jiān)控流量�;第二輸出端口��,與所述剝離模塊連接�����,用于發(fā)送所述被監(jiān)控流量��。
本發(fā)明的實(shí)施例在鏡像源設(shè)備復(fù)制的被監(jiān)控端口的原始被監(jiān)控流量以太網(wǎng)數(shù)據(jù)幀外封裝新以太網(wǎng)幀頭�,按照新以太網(wǎng)幀頭中攜帶的新目的MAC地址來(lái)轉(zhuǎn)發(fā)被監(jiān)控流量���,而屏蔽原始被監(jiān)控流量以太網(wǎng)數(shù)據(jù)幀幀頭中的MAC地址�,在鏡像目的設(shè)備中再剝離新以太網(wǎng)幀頭還原被監(jiān)控流量�,從而實(shí)現(xiàn)對(duì)被監(jiān)控流量目的MAC地址所指出口為該流量入口的被監(jiān)控流量的成功鏡像。與現(xiàn)有技術(shù)中采用的上述兩種方法相比�����,本發(fā)明實(shí)施例無(wú)需基于鏡像VLAN關(guān)閉鏡像設(shè)備的MAC學(xué)習(xí)功能�,無(wú)需對(duì)中間設(shè)備增加任何配置��,也無(wú)需在中間設(shè)備配置重定向策略��,實(shí)現(xiàn)簡(jiǎn)單��,且可以節(jié)省改進(jìn)中間設(shè)備所需的成本��,減少網(wǎng)絡(luò)管理與維護(hù)的工作量��;并且可以在鏡像VLAN中采用備份鏈路�����,有效提高了鏡像功能的可靠性�����。
下面通過(guò)附圖和實(shí)施例��,對(duì)本發(fā)明的技術(shù)方案做進(jìn)一步的詳細(xì)描述�。
圖1為現(xiàn)有遠(yuǎn)程鏡像技術(shù)鏡像VLAN的結(jié)構(gòu)示意圖�。
圖2為本發(fā)明鏡像源設(shè)備實(shí)施例的結(jié)構(gòu)示意圖。
圖3為本發(fā)明鏡像目的設(shè)備實(shí)施例的結(jié)構(gòu)示意圖���。
圖4為由本發(fā)明的鏡像源設(shè)備與鏡像目的設(shè)備構(gòu)成的遠(yuǎn)程鏡像系統(tǒng)實(shí)施例的結(jié)構(gòu)示意圖�。
圖5為由本發(fā)明的鏡像源設(shè)備與鏡像目的設(shè)備構(gòu)成的遠(yuǎn)程鏡像系統(tǒng)另一實(shí)施例的結(jié)構(gòu)示意圖。
圖6為本發(fā)明遠(yuǎn)程鏡像方法實(shí)施例的流程圖����。
具體實(shí)施例方式
本發(fā)明的實(shí)施例通過(guò)鏡像源設(shè)備在復(fù)制的被監(jiān)控流量以太網(wǎng)數(shù)據(jù)幀外封裝新以太網(wǎng)幀頭形成鏡像數(shù)據(jù)幀,按照新以太網(wǎng)幀頭中的新目的MAC地址來(lái)轉(zhuǎn)發(fā)鏡像數(shù)據(jù)幀����,而屏蔽原始被監(jiān)控流量以太網(wǎng)數(shù)據(jù)幀幀頭中的MAC地址,在鏡像目的設(shè)備中再剝離新以太網(wǎng)幀頭還原被監(jiān)控流量���,從而實(shí)現(xiàn)更簡(jiǎn)單、更有效���、更經(jīng)濟(jì)和更可靠的遠(yuǎn)程鏡像功能�����。
如圖2所示����,為本發(fā)明鏡像源設(shè)備實(shí)施例的結(jié)構(gòu)示意圖�����,該實(shí)施例的鏡像源設(shè)備包括依次連接的第一輸入端口11、鏡像模塊12���、封裝模塊13�、第一轉(zhuǎn)發(fā)模塊14與第一輸出端口15����。其中,第一輸入端口11可以有多個(gè)�����,分別用于接收該第一輸入端口11所連接的����、待監(jiān)控流量的主機(jī)上流入或流出的流量;鏡像模塊12用于對(duì)第一輸入端口11上流過(guò)的被監(jiān)控流量進(jìn)行復(fù)制���;封裝模塊13用于在復(fù)制的被監(jiān)控流量以太網(wǎng)數(shù)據(jù)幀外封裝新以太網(wǎng)幀頭形成新鏡像流量����,該新以太網(wǎng)幀頭包括鏡像VLAN Tag�����、新鏡像源MAC地址與新鏡像目的MAC地址,根據(jù)以太網(wǎng)數(shù)據(jù)幀封裝的協(xié)議規(guī)定����,新鏡像源MAC地址與新鏡像目的MAC地址不同;另外���,還可以進(jìn)一步要求新鏡像源MAC地址與新鏡像目的MAC地址均不同于被監(jiān)控流量以太網(wǎng)數(shù)據(jù)幀幀頭中的源MAC地址與目的MAC地址��。其中�����,新鏡像源MAC地址可以為橋MAC地址�,即該鏡像源設(shè)備的MAC地址��,新鏡像目的MAC地址可以為廣播MAC地址FFFF-FFFF-FFFF����,也可以是對(duì)鏡像流量進(jìn)行監(jiān)控的監(jiān)控設(shè)備的MAC地址����;第一轉(zhuǎn)發(fā)模塊14用于根據(jù)新目的MAC地址,查詢(xún)用于存儲(chǔ)標(biāo)識(shí)MAC地址與輸出端口之間對(duì)應(yīng)關(guān)系的轉(zhuǎn)發(fā)表中與新目的MAC地址對(duì)應(yīng)的輸出端口,將由鏡像數(shù)據(jù)幀構(gòu)成的鏡像流量轉(zhuǎn)發(fā)給相應(yīng)的輸出端口�,這里的輸出端口為第一轉(zhuǎn)輸出口15;第一輸出端口15用于發(fā)送接收到的鏡像流量���,將該鏡像流量發(fā)送給連接的中間設(shè)備或鏡像目的設(shè)備的輸入端口��,該第一轉(zhuǎn)輸出口15也可以有多個(gè)��。圖2所示的實(shí)施例中示出了僅有一個(gè)第一輸入端口11及第一輸出端口15的情況���,若有多個(gè)第一輸入端口11及第一輸出端口15,各第一輸入端口11與鏡像模塊12的連接關(guān)系相同�����,各第一輸出端口15與第一轉(zhuǎn)發(fā)模塊14的連接關(guān)系也相同��。
上述圖2所示的鏡像源設(shè)備中��,還可以包括分別與封裝模塊13連接的第一存儲(chǔ)模塊16��、第二存儲(chǔ)模塊17與第三存儲(chǔ)模塊18��。其中���,第一存儲(chǔ)模塊16用于存儲(chǔ)鏡像VLAN Tag�;第二存儲(chǔ)模塊17用于存儲(chǔ)新源MAC地址,該新源MAC地址可以是橋MAC地址��,即鏡像源設(shè)備1的MAC地址���;第三存儲(chǔ)模塊18用于存儲(chǔ)新目的MAC地址���,該新目的MAC地址可以是廣播MAC地址FFFF-FFFF-FFFF,還可以是監(jiān)控設(shè)備的MAC地址����。封裝模塊13分別從第一存儲(chǔ)模塊16、第二存儲(chǔ)模塊17與第三存儲(chǔ)模塊18中選擇鏡像VLANTag����、新源MAC地址與新目的MAC地址,由此生成新以太網(wǎng)幀頭并封裝在復(fù)制的原始被監(jiān)控流量外����。
另外���,圖2所示的鏡像源設(shè)備中���,還可以進(jìn)一步包括第四存儲(chǔ)模塊19����,與第一轉(zhuǎn)發(fā)模塊14連接�,用于存儲(chǔ)標(biāo)識(shí)MAC地址與輸出端口之間對(duì)應(yīng)關(guān)系的轉(zhuǎn)發(fā)表。新鏡像目的MAC地址為監(jiān)控設(shè)備的MAC地址時(shí)�,第一轉(zhuǎn)發(fā)模塊14查詢(xún)轉(zhuǎn)發(fā)表中與新目的MAC地址對(duì)應(yīng)的輸出端口,并將鏡像流量轉(zhuǎn)發(fā)給相應(yīng)的第一輸出端口15�����。
如圖3所示�,為本發(fā)明鏡像目的設(shè)備實(shí)施例的結(jié)構(gòu)示意圖,該實(shí)施例的鏡像目的設(shè)備包括依次連接的第二輸入端口21�、第二轉(zhuǎn)發(fā)模塊22、剝離模塊23與第二輸出端口24���。其中�����,第二輸入端口21可以為多個(gè)��,與鏡像源設(shè)備或中間設(shè)備的輸出端口連接�,用于接收由封裝有新以太網(wǎng)幀頭的鏡像數(shù)據(jù)幀構(gòu)成的鏡像流量;第二轉(zhuǎn)發(fā)端口22用于根據(jù)新以太網(wǎng)幀頭中的新目的MAC地址與輸出端口之間的對(duì)應(yīng)關(guān)系�����,將鏡像流量轉(zhuǎn)發(fā)往相應(yīng)的輸出端口����,這里的輸出端口為第二輸出端口24;剝離模塊23用于在鏡像流量發(fā)送給第二輸出端口24的途中�,剝離鏡像數(shù)據(jù)幀中的新以太網(wǎng)幀頭,還原復(fù)制的被監(jiān)控流量���,由于復(fù)制的被監(jiān)控流量與原被監(jiān)控流量相同�����,此處�����,復(fù)制的被監(jiān)控流量也可稱(chēng)為被監(jiān)控流量����;第二輸出端口24用于將被監(jiān)控流量發(fā)送給監(jiān)控設(shè)備���。圖2所示的實(shí)施例中示出了僅有一個(gè)第二輸入端口21及第二輸入端口21的情況��,若有多個(gè)第二輸入端口21及第二輸入端口21����,各第二輸入端口21與第二轉(zhuǎn)發(fā)模塊22的連接關(guān)系相同���,各第二輸入端口21與剝離模塊23的連接關(guān)系也相同���。
再參見(jiàn)圖3,本發(fā)明實(shí)施例的鏡像目的設(shè)備也可以進(jìn)一步包括第四存儲(chǔ)模塊19�,與第二轉(zhuǎn)發(fā)模塊22連接,用于存儲(chǔ)標(biāo)識(shí)MAC地址與輸出端口之間對(duì)應(yīng)關(guān)系的轉(zhuǎn)發(fā)表�����。第二轉(zhuǎn)發(fā)模塊22查詢(xún)轉(zhuǎn)發(fā)表中與新目的MAC地址對(duì)應(yīng)的輸出端口����,并將鏡像流量轉(zhuǎn)發(fā)往相應(yīng)的第二輸出端口24,由剝離模塊23剝離其中的新以太網(wǎng)幀頭后再發(fā)送給第二輸出端口24�����,最終由第二輸出端口24將該鏡像數(shù)據(jù)發(fā)送給監(jiān)控設(shè)備。
如圖4所示���,為本發(fā)明遠(yuǎn)程鏡像系統(tǒng)實(shí)施例的結(jié)構(gòu)示意圖�,該實(shí)施例的遠(yuǎn)程鏡像系統(tǒng)包括鏡像源設(shè)備1與鏡像目的設(shè)備2��。其中��,鏡像源設(shè)備1可以為圖2所示任一實(shí)施例的鏡像源設(shè)備��,鏡像目的設(shè)備2可以為圖3所示任一實(shí)施例的鏡像目的設(shè)備�����,鏡像源設(shè)備1的第一輸入端口11與待監(jiān)控流量的主機(jī)連接�,接收該主機(jī)上流入或流出的流量,鏡像源設(shè)備1的第一輸出端口15與鏡像目的設(shè)備2上的第二輸入端口21連接��。鏡像源設(shè)備1對(duì)第一輸入端口11上流過(guò)的被監(jiān)控流量進(jìn)行復(fù)制�,并在復(fù)制的被監(jiān)控流量外封裝新以太網(wǎng)幀頭后鏡像數(shù)據(jù)幀,根據(jù)新以太網(wǎng)幀頭中的新目的MAC地址將該鏡像數(shù)據(jù)幀經(jīng)由鏡像目的設(shè)備2上的第二輸入端口21發(fā)送給該鏡像目的設(shè)備2��,鏡像目的設(shè)備2根據(jù)新目的MAC地址查詢(xún)轉(zhuǎn)發(fā)表中相應(yīng)的第二輸出端口24�����,并剝離鏡像數(shù)據(jù)幀外封裝的新以太網(wǎng)幀頭,獲得被監(jiān)控流量�,然后將該被監(jiān)控流量發(fā)送給與新目的MAC地址對(duì)應(yīng)的第二輸出端口24,由第二輸出端口24將該被監(jiān)控流量發(fā)送給監(jiān)控設(shè)備����。
由于根據(jù)被監(jiān)控流量外封裝的新以太網(wǎng)幀頭中的新目的MAC地址來(lái)轉(zhuǎn)發(fā)鏡像數(shù)據(jù)幀�,而屏蔽原始被監(jiān)控流量以太網(wǎng)數(shù)據(jù)幀中的MAC地址,從而在同一鏡像VLAN中��,可以對(duì)被監(jiān)控流量目的地址所指出口為該流量入口的被監(jiān)控流量的成功鏡像�����,并且無(wú)需關(guān)閉鏡像設(shè)備的MAC學(xué)習(xí)功能���,實(shí)現(xiàn)簡(jiǎn)單��,可以減少網(wǎng)絡(luò)管理與維護(hù)的工作量�����,并且可以在鏡像VLAN中采用備份鏈路����,從而有效提高鏡像功能的可靠性。
圖4所示實(shí)施例的遠(yuǎn)程鏡像系統(tǒng)還可以包括對(duì)鏡像源設(shè)備1的第一輸入端口11上的被監(jiān)控流量進(jìn)行監(jiān)控的監(jiān)控設(shè)備4��,鏡像流量通過(guò)鏡像路徑11-15-21-24被鏡像到監(jiān)控設(shè)備4上�,由監(jiān)控設(shè)備4對(duì)被監(jiān)控流量進(jìn)行監(jiān)控。
本發(fā)明的遠(yuǎn)程鏡像系統(tǒng)中���,可以根據(jù)實(shí)際需求在鏡像源設(shè)備1與鏡像目的設(shè)備2之間設(shè)置多個(gè)中間設(shè)備�����,以對(duì)新鏡像流量進(jìn)行二層交換轉(zhuǎn)發(fā)����。如圖5所示���,為在鏡像源設(shè)備1與鏡像目的設(shè)備2之間設(shè)置一個(gè)中間設(shè)備3的實(shí)施例����,該中間設(shè)備3上具有第三輸入端口31與第三輸出端口32�,第三輸入端口31可以為多個(gè),其中的一個(gè)與第一輸出端口15中的一個(gè)連接�,第三輸出端口32也可以為多個(gè),其中的一個(gè)與一個(gè)第二輸入端口21連接。該實(shí)施例中��,鏡像流量的鏡像路徑為11-15-31-32-21-24�。
由于根據(jù)被監(jiān)控流量外封裝的新以太網(wǎng)幀頭中的新目的MAC地址來(lái)轉(zhuǎn)發(fā)鏡像數(shù)據(jù)幀,而屏蔽原始被監(jiān)控流量以太網(wǎng)數(shù)據(jù)幀中的MAC地址��,從而在同一鏡像VLAN中��,可以對(duì)被監(jiān)控流量目的地址所指出口為該流量入口的被監(jiān)控流量的成功鏡像�,并且無(wú)需在中間設(shè)備上配置重定向策略���,實(shí)現(xiàn)簡(jiǎn)單����,且可以節(jié)省改進(jìn)中間設(shè)備所需的成本���,還可以在鏡像VLAN中采用備份鏈路�,從而有效提高鏡像功能的可靠性����。如圖5所示,為本發(fā)明遠(yuǎn)程鏡像系統(tǒng)另一實(shí)施例的結(jié)構(gòu)示意圖���,該實(shí)施例通過(guò)在鏡像系統(tǒng)中增加第二中間設(shè)備5提供了備份鏡像鏈路11-15-41-42-31-32-21-24��,其中51與52分別為第二中間設(shè)備5的輸入端口與輸出端口�,這樣在15與31之間的連理出現(xiàn)故障時(shí),可以采用15與51之間的備份鏈路來(lái)傳輸鏡像流量���。另外��,也可以在中間設(shè)備與鏡像目的設(shè)備之間設(shè)置備份鏈路���。
如圖6所示,為本發(fā)明遠(yuǎn)程鏡像方法實(shí)施例的流程圖����,其可基于圖5所示實(shí)施例的遠(yuǎn)程鏡像系統(tǒng)實(shí)現(xiàn),具體包括以下步驟步驟601�,鏡像模塊12對(duì)第一主機(jī)流入其中一個(gè)第一輸入端口11的被監(jiān)控流量進(jìn)行復(fù)制,并將復(fù)制的被監(jiān)控流量發(fā)送給封裝模塊13�。
步驟602,封裝模塊13分別從第一存儲(chǔ)模塊16��、第二存儲(chǔ)模塊17與第三存儲(chǔ)模塊18中獲取預(yù)先存儲(chǔ)的鏡像VLAN Tag����、新源MAC地址與新目的MAC地址����,由該鏡像VLAN Tag���、新源MAC地址�����、新目的MAC地址生成新以太網(wǎng)幀頭�����,并在接收到的被監(jiān)控流量以太網(wǎng)數(shù)據(jù)幀外層封裝該新以太網(wǎng)幀頭,形成鏡像數(shù)據(jù)幀并發(fā)送給第一轉(zhuǎn)發(fā)模塊14�����。根據(jù)以太網(wǎng)數(shù)據(jù)幀封裝的協(xié)議規(guī)定�����,新鏡像源MAC地址與新鏡像目的MAC地址不同����;另外�,還可以進(jìn)一步要求新鏡像源MAC地址與新鏡像目的MAC地址均不同于被監(jiān)控流量以太網(wǎng)數(shù)據(jù)幀幀頭中的源MAC地址與目的MAC地址����。其中,新鏡像源MAC地址可以為橋MAC地址���,即該鏡像源設(shè)備的MAC地址�����,新鏡像目的MAC地址可以為廣播MAC地址FFFF-FFFF-FFFF�,也可以是對(duì)鏡像流量進(jìn)行監(jiān)控的監(jiān)控設(shè)備的MAC地址步驟603����,第一轉(zhuǎn)發(fā)模塊14根據(jù)新目的MAC地址將由鏡像數(shù)據(jù)幀構(gòu)成的鏡像流量轉(zhuǎn)發(fā)給相應(yīng)的第一輸出端口15。
具體地���,若新目的MAC地址為廣播MAC地址FFFF-FFFF-FFFF�,則第一轉(zhuǎn)發(fā)模塊14將鏡像流量廣播給所有的第一輸出端口15���;若該新目的MAC地址為監(jiān)控設(shè)備4的MAC地址�,則第一轉(zhuǎn)發(fā)模塊14查詢(xún)第四存儲(chǔ)模塊19存儲(chǔ)的標(biāo)識(shí)MAC地址與輸出端口之間對(duì)應(yīng)關(guān)系的轉(zhuǎn)發(fā)表����,獲取與新目的MAC地址對(duì)應(yīng)的第一輸出端口15的具體端口號(hào)��,并將鏡像流量轉(zhuǎn)發(fā)給相應(yīng)的第一輸出端口15����。
步驟604��,第一輸出端口15將鏡像流量發(fā)送給中間設(shè)備3上的第三輸入端口31����。
步驟605,中間設(shè)備3按照標(biāo)識(shí)MAC地址與輸出端口號(hào)之間的對(duì)應(yīng)關(guān)系的轉(zhuǎn)發(fā)表�����,根據(jù)新目的MAC地址將鏡像流量轉(zhuǎn)發(fā)到相應(yīng)的第三輸出端口32���,再進(jìn)一步由第三輸出端口32發(fā)送給第二輸入端口21。
具體地��,可以采用與第一轉(zhuǎn)發(fā)模塊14相同的轉(zhuǎn)發(fā)策略�����,按照新目的MAC地址為廣播MAC地址FFFF-FFFF-FFFF或監(jiān)控設(shè)備4的MAC地址的情況,將鏡像流量轉(zhuǎn)發(fā)給相應(yīng)的第三輸出端口32�����。
步驟606�����,第二輸入端口21將接收到的鏡像流量發(fā)送給第二轉(zhuǎn)發(fā)模塊22����。
步驟607,第二轉(zhuǎn)發(fā)模塊22查詢(xún)第四存儲(chǔ)模塊19中存儲(chǔ)的轉(zhuǎn)發(fā)表����,根據(jù)新目的MAC地址獲取相應(yīng)的第二輸出端口24,將該鏡像流量及相應(yīng)的第二輸出端口24信息轉(zhuǎn)發(fā)給剝離模塊22�。
具體地,可以采用與第一轉(zhuǎn)發(fā)模塊14相同的轉(zhuǎn)發(fā)策略�,按照新目的MAC地址為廣播MAC地址FFFF-FFFF-FFFF或監(jiān)控設(shè)備4的MAC地址的情況,來(lái)選擇發(fā)送鏡數(shù)流量的第二輸出端口24���。
步驟608��,剝離模塊22剝離鏡像流量中的新以太網(wǎng)幀頭�����,將鏡像流量還原為被監(jiān)控流量��,然后根據(jù)接收到的第二輸出端口24信息將該被監(jiān)控流量發(fā)送給相應(yīng)的第二輸出端口24���,由第二輸出端口24轉(zhuǎn)發(fā)給監(jiān)控設(shè)備4��。
另外�,步驟608之后�����,還可以包括步驟609�����,監(jiān)控設(shè)備4對(duì)被監(jiān)控流量進(jìn)行監(jiān)控����。
若采用圖4所示實(shí)施例的遠(yuǎn)程鏡像來(lái)對(duì)被監(jiān)控流量的鏡像��,則第一輸出端口15可直接將鏡像流量發(fā)送給鏡像目的設(shè)備2上的第二輸入端口21�����。
本發(fā)明實(shí)施例提供的實(shí)現(xiàn)對(duì)被監(jiān)控流量目的MAC地址所指出口為該流量入口的被監(jiān)控流量的鏡像方法中,通過(guò)鏡像源設(shè)備在被監(jiān)控流量以太網(wǎng)數(shù)據(jù)幀外封裝新以太網(wǎng)幀頭形成鏡像數(shù)據(jù)幀�,之后按照新以太網(wǎng)幀頭中攜帶的新目的MAC地址來(lái)轉(zhuǎn)發(fā)鏡像數(shù)據(jù)幀,而屏蔽原始被監(jiān)控流量以太網(wǎng)數(shù)據(jù)幀幀頭中的MAC地址��,在鏡像目的設(shè)備中再剝離新以太網(wǎng)幀頭還原被監(jiān)控流量����,無(wú)需基于鏡像VLAN關(guān)閉鏡像設(shè)備的MAC學(xué)習(xí)功能,無(wú)需對(duì)中間設(shè)備增加任何配置�����,也無(wú)需在中間設(shè)備配置重定向策略���,實(shí)現(xiàn)簡(jiǎn)單���,且可以節(jié)省改進(jìn)中間設(shè)備所需的成本,減少網(wǎng)絡(luò)管理與維護(hù)的工作量�����;并且可以在鏡像VLAN中采用備份鏈路,有效提高了鏡像功能的可靠性�����。
最后所應(yīng)說(shuō)明的是以上實(shí)施例僅用以說(shuō)明本發(fā)明的技術(shù)方案�����,而非對(duì)本發(fā)明作限制性理解�����。盡管參照上述較佳實(shí)施例對(duì)本發(fā)明進(jìn)行了詳細(xì)說(shuō)明��,本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解其依然可以對(duì)本發(fā)明的技術(shù)方案進(jìn)行修改或者等同替換�,而這種修改或者等同替換并不脫離本發(fā)明技術(shù)方案的精神和范圍。
權(quán)利要求
1.一種遠(yuǎn)程鏡像方法���,其特征在于��,包括以下步驟對(duì)鏡像源設(shè)備端口的被監(jiān)控流量進(jìn)行復(fù)制���,并在復(fù)制的被監(jiān)控流量以太網(wǎng)數(shù)據(jù)幀外封裝新以太網(wǎng)幀頭形成鏡像數(shù)據(jù)幀,所述新以太網(wǎng)幀頭包括鏡像VLAN Tag��、新源MAC地址與新目的MAC地址;根據(jù)所述新目的MAC地址轉(zhuǎn)發(fā)由所述鏡像數(shù)據(jù)幀構(gòu)成的鏡像流量至鏡像目的設(shè)備��;剝離所述新鏡像流量中的所述新以太網(wǎng)幀頭�����,還原所述被監(jiān)控流量�����。
2.根據(jù)權(quán)利要求1所述的遠(yuǎn)程鏡像方法�����,其特征在于�,所述新目的MAC地址為廣播MAC地址或?qū)λ霰槐O(jiān)控流量進(jìn)行監(jiān)控的監(jiān)控設(shè)備的MAC地址��。
3.根據(jù)權(quán)利要求2所述的遠(yuǎn)程鏡像方法���,其特征在于�,所述新目的MAC地址為監(jiān)控設(shè)備的MAC地址時(shí)���,根據(jù)所述新目的MAC地址轉(zhuǎn)發(fā)由所述鏡像數(shù)據(jù)幀構(gòu)成的鏡像流量具體為查詢(xún)?cè)却鎯?chǔ)的標(biāo)識(shí)MAC地址與輸出端口之間對(duì)應(yīng)關(guān)系的轉(zhuǎn)發(fā)表���,獲取所述新目的MAC地址對(duì)應(yīng)的轉(zhuǎn)發(fā)端口����,并將所述鏡像流量由所述輸出端口進(jìn)行轉(zhuǎn)發(fā)�。
4.根據(jù)權(quán)利要求2所述的遠(yuǎn)程鏡像方法���,其特征在于���,所述新目的MAC地址為廣播MAC地址時(shí)��,根據(jù)所述新目的MAC地址轉(zhuǎn)發(fā)由所述鏡像數(shù)據(jù)幀構(gòu)成的鏡像流量具體為以廣播方式在各個(gè)輸出端口轉(zhuǎn)發(fā)所述鏡像流量�。
5.根據(jù)權(quán)利要求1所述的遠(yuǎn)程鏡像方法�,其特征在于,所述新源MAC地址為橋MAC地址�����。
6.一種鏡像源設(shè)備�����,其特征在于����,包括第一輸入端口���,用于接收被監(jiān)控流量;鏡像模塊����,與所述第一輸入端口連接��,用于對(duì)所述被監(jiān)控流量進(jìn)行復(fù)制�;封裝模塊,與所述鏡像模塊連接�,用于在復(fù)制的所述被監(jiān)控流量以太網(wǎng)數(shù)據(jù)幀外封裝新以太網(wǎng)幀頭形成鏡像數(shù)據(jù)幀,所述新以太網(wǎng)幀頭包括鏡像VLAN Tag���、新源MAC地址與新目的MAC地址��;第一轉(zhuǎn)發(fā)模塊�����,與所述封裝模塊連接�����,用于根據(jù)所述新目的MAC地址���,將由所述鏡像數(shù)據(jù)幀構(gòu)成的鏡像流量轉(zhuǎn)發(fā)給相應(yīng)的輸出端口��;第一輸出端口��,與所述第一轉(zhuǎn)發(fā)模塊連接���,用于發(fā)送所述鏡像流量。
7.根據(jù)權(quán)利要求6所述的鏡像源設(shè)備��,其特征在于��,還包括第一存儲(chǔ)模塊���,與所述封裝模塊連接���,用于存儲(chǔ)鏡像VLAN Tag;第二存儲(chǔ)模塊��,與所述封裝模塊連接��,用于存儲(chǔ)新源MAC地址�;第三存儲(chǔ)模塊����,與所述封裝模塊連接���,用于存儲(chǔ)新目的MAC地址���。
8.根據(jù)權(quán)利要求6或7所述的鏡像源設(shè)備,其特征在于��,還包括第四存儲(chǔ)模塊����,與所述第一轉(zhuǎn)發(fā)模塊連接����,用于存儲(chǔ)標(biāo)識(shí)MAC地址與輸出端口之間對(duì)應(yīng)關(guān)系的轉(zhuǎn)發(fā)表。
9.一種鏡像目的設(shè)備��,其特征在于���,包括第二輸入端口����,用于接收外層封裝有新以太網(wǎng)幀頭的鏡像數(shù)據(jù)幀;第二轉(zhuǎn)發(fā)模塊�����,與所述第二輸入端口連接�,用于根據(jù)新以太網(wǎng)幀頭中的新目的MAC地址,將由所述鏡像數(shù)據(jù)幀構(gòu)成的鏡像流量轉(zhuǎn)發(fā)往相應(yīng)的輸出端口�;剝離模塊,與所述第二轉(zhuǎn)發(fā)模塊連接��,用于剝離所述鏡像數(shù)據(jù)幀中的所述新以太網(wǎng)幀頭���,還原被監(jiān)控流量�;第二輸出端口���,與所述剝離模塊連接����,用于發(fā)送所述被監(jiān)控流量�����。
10.根據(jù)權(quán)利要求9所述的鏡像目的設(shè)備���,其特征在于����,還包括第四存儲(chǔ)模塊,與所述第二轉(zhuǎn)發(fā)模塊連接��,用于存儲(chǔ)標(biāo)識(shí)MAC地址與輸出端口之間對(duì)應(yīng)關(guān)系的轉(zhuǎn)發(fā)表�。
全文摘要
本發(fā)明公開(kāi)了一種遠(yuǎn)程鏡像方法、鏡像源設(shè)備及鏡像目的設(shè)備����,其中方法包括對(duì)鏡像源設(shè)備端口的被監(jiān)控流量進(jìn)行復(fù)制,并在復(fù)制的被監(jiān)控流量以太網(wǎng)數(shù)據(jù)幀外封裝新以太網(wǎng)幀頭形成鏡像數(shù)據(jù)幀�,所述新以太網(wǎng)幀頭包括鏡像VLAN Tag�����、新源MAC地址與新目的MAC地址���;根據(jù)所述新目的MAC地址轉(zhuǎn)發(fā)由所述鏡像數(shù)據(jù)幀構(gòu)成的鏡像流量至鏡像目的設(shè)備�;剝離所述新鏡像流量中的所述新以太網(wǎng)幀頭�����,還原所述被監(jiān)控流量。采用本發(fā)明���,可以實(shí)現(xiàn)對(duì)目的MAC地址所指出口為該流量入口的被監(jiān)控流量的成功鏡像��,且無(wú)需關(guān)閉鏡像設(shè)備的MAC學(xué)習(xí)功能���,也無(wú)需在中間設(shè)備上配置重定向策略,實(shí)現(xiàn)簡(jiǎn)單�,成本低,網(wǎng)絡(luò)管理與維護(hù)工作量小�����,鏡像可靠性高���。
文檔編號(hào)H04L12/54GK101068248SQ20071010029
公開(kāi)日2007年11月7日 申請(qǐng)日期2007年6月7日 優(yōu)先權(quán)日2007年6月7日
發(fā)明者況偉 申請(qǐng)人:杭州華三通信技術(shù)有限公司