背景技术
在原有的窄带交换机话音通信领域,为了安全和特殊需要,可以采用电路复制的方法,将用户正在进行的通话通道同时接通到监听通道,这样相关的人员就可以对正在进行的通话作分析。
随着Internet网络和上网用户的发展,大量原来的业务都到了互联网上,比如VoIP(基于IP的语音)通话,邮件传递数据等等。出于安全和某些特殊的要求,必须要对用户的数据报文进行监控和监听。参照原来窄带通信网络中的概念,监听的意思是将用户的流量复制一份作为分析用,但是不对原来的报文构成损伤。
监听可以在网络中的多个设备上完成,例如可以在二三层交换设备或者提供二三层交换功能的芯片上实施监听功能。
在以太网交换领域内,目前的芯片都有可以提供监听功能的技术,主要采用的是流分类和镜像技术。所谓的流分类是指提取数据报文中的属性字段和预先定义的这些属性的规则相匹配的过程和匹配后的结果。
首先,设备需要配置用户流量需要镜像的流规则以及镜像以后应用的端口信息,也就是用于判断哪些流量需要进行镜像处理的规则,以及镜像以后流量去向的端口信息;用户业务进来的流量,通过流分类以后,符合规则的流就会被拷贝一份(即镜像处理),然后发送到配置的指定端口输出。如图1所示,目前使用的镜像和监控功能,监控路径和端口必须采用独立的专门的网络资源,否则无法区分正常数据流和镜像数据流。
可以看出,上述现有技术在实际使用中存在一个最明显的缺点就是需要占用一个额外的端口。在网络中,由于镜像发生在某个中间设备上,所以必须要该设备提供一个额外的端口到监控中心。否则,将会有两份相同的数据在从一个端口穿越网络到达同一目的地,会在对端设备产生问题,而且网络中也无法区分开这两份相同的数据流哪些是正常数据,哪些是监控数据,而监控中心都是位于网络的集中点,所以需要专门的路径到监控中心。
因此,上述监听业务流的方法使得设备端口利用率降低。
发明内容
鉴于上述现有技术所存在的问题,本发明的目的是提供一种监听网络业务的实现方法,该方法可以在保证不降低端口利用率的情况下实现针对网络业务的监听。
本发明的目的是通过以下技术方案实现的:
本发明提供了一种用于监听网络业务的监听装置,包括:
镜像模块:将需要监听的网络业务复制后交给传输处理模块;
传输处理模块:将所述的网络业务通过预先配置的路径进行发送;
所述的路径为逻辑链路,包括:虚拟局域网VLAN通道、虚拟专用网VPN通道、多协议标签交换路径LSP、异步传输模式永久虚连接ATM PVC和/或基于二层隧道协议L2TP的隧道。
本发明所述的监听装置还包括:
识别模块:用于根据配置的规则识别出各网络业务中需要进行监听的网络业务,并通知镜像模块。
所述的路径为逻辑链路,包括:
虚拟局域网VLAN通道、虚拟专用网VPN通道、多协议标签交换路径LSP、异步传输模式永久虚连接ATM PVC和/或基于二层隧道协议L2TP的隧道。
本发明还提供了一种监听网络业务的系统,包括:监听装置和监控中心,监听装置包括镜像模块和传输处理模块;监听装置设置于网络业务的传输通路上,并通过所述镜像模块将需要监听的网络业务复制后交给传输处理模块;通过所述传输处理模块将所述的网络业务通过预先配置的路径发送给监控中心;所述的路径为逻辑链路,包括:虚拟局域网VLAN通道、虚拟专用网VPN通道、多协议标签交换路径LSP、异步传输模式永久虚连接ATMPVC和/或基于二层隧道协议L2TP的隧道。
所述的监听装置内置于宽带接入设备中。
本发明还提供了一种监听网络业务的实现方法,包括:
A、配置监听装置与监控中心之间的指定的路径信息,所述的路径为逻辑链路,包括:虚拟局域网VLAN通道、虚拟专用网VPN通道、多协议标签交换路径LSP、异步传输模式永久虚连接ATM PVC和/或基于二层隧道协议L2TP的隧道;
B、监听装置将需要监听的网络业务进行复制;
C、将复制的网络业务通过预先配置的指定路径发送给监控中心。
所述的步骤A还包括:
配置监听装置需要监听的网络业务的规则信息。
所述的步骤B具体包括:
根据配置的规则信息从用户的数据流中识别出需要监听的网络业务,并仅将识别出的需要监听的网络业务进行复制。
所述的步骤C包括:
将所述的复制的网络业务基于指定的路径信息进行封装处理并发送。
所述的步骤C还包括:
将封装后的报文通过预先配置的端口发送给监控中心。
由上述本发明提供的技术方案可以看出,本发明由于采用了逻辑通道的方式将用户的镜像报文发送到监控中心,而不再通过专用监控端口进行镜像报文的发送,因此,本发明的实现大大降低了在监听网络业务过程中对于网络资源的要求。也就是说,本发明可以在不占用专用端口的情况下实现将监听的网络业务报文发送给监控中心,从而有效节约了网络设备的端口资源,提高了网络设备中端口的利用率。
具体实施方式
本发明的核心是为需要监听的网络业务配置传输用的指定路径信息,当获取相应的需要监听的网络业务后,则通过指定路径发送给监控中心。
也就是说,本发明中为了节省设备的端口,提高端口的利用率,具体采用的实现方式为:在二三层交换单元内,用户配置了指定规则的流需要镜像后,同时还需要为该规则的业务流指定一个数据通道,如图2所示,这样,当用户的数据流到达后,与配置的规则匹配的数据报文(即需要进行监听的网络业务),会被复制一份之后通过指定的数据通道发送到监控中心。
本发明中所述的指定的数据通道可以是专用的VLAN(虚拟局域网),也可以是VPN(虚拟专用网)的通道,具体包括:MPLS LSP(多协议标签交换的标签交换路径)连接,ATM PVC(异步传输模式的永久虚通路)连接,L2TP(二层隧道协议)的LNS Server(二层隧道协议服务器)(指定了LNS Server以后,该设备可以通过和LNS Server之间建立L2TP Tunnel作为镜像流量的传送链路),等等。
本发明提供了一种用于监听网络业务的监听装置,如图2所示,包括:
识别模块:用于根据配置的规则识别出各网络业务中需要进行监听的网络业务,并通知镜像模块;
镜像模块:根据识别模块的通知确定需要进行监听的网络业务,并将需要监听的网络业务复制后交给传输处理模块;
传输处理模块:将所述的网络业务通过预先配置的指定路径并经由配置的数据端口发送给监控中心,即不再通过专用的监控端口与监控中心互通;
这样,监听装置在进行业务监听的处理过程中无需再为其配置专用的监控端口进行监控处理,有效节省了设备中的端口的资源信息。
本发明还提供了一种监听网络业务的系统,如图2所示,包括监听装置和监控中心,监听装置设置于网络业务的传输通路上,并用于将监听到的网络业务通过指定路径并经由配置的数据端口发送给监控中心。
所述的监听装置在具体实现过程中可以内置于宽带接入设备DSLAM(数字用户线接入复用器)中。
本发明中将以两个具体的实例进行详细的说明:一个是基于VLAN的通道;另一个是基于隧道的连接技术。相应的二三层交换单元以IP DSLAM(IP数字接入复用器)设备为例,当然,在实际应用中并不限于本发明列举的这两个具体实例。
首先,以VLAN为例,如图3所示,用户A采用以太网报文进入IPDSLAM,假设,本身该用户的数据报文会被标记上VLAN1,或者该用户的数据报文已经带了VLAN1进入IP DSLAM。
在图3中,如果需要镜像该用户的数据报文,则首先需要配置一条规则,根据所述的规则可以识别出需要进行监听的网络业务报文,例如,可以配置为将该用户数据所有报文全部拷贝一份送到监控中心;
其次,还必须配置该数据如何传递到监控中心,具体可以配置为:镜像后需要送到监控中心的数据使用VLAN2进行传送{即将需要传输的监听到的报文打上VLAN2的ID(标识)信息},同时,配置为通过GE1端口输出,该端口可以是和用户正常数据流共用的,也可以是额外占用的;
同时,为了在监听到的业务报文可以传递到监控中心,还需要在数据网络上配置监控VLAN 2所经过的数据通路;
本发明中,是在IP DSLAM系统内部内置所述的监听装置,这样,在IPDSLAM内部的数据处理的数据流如图4所示,具体包括以下步骤:
步骤41:配置监听网络业务的规则和镜像输出采用的路径信息,即VLAN ID(VLAN标识)信息;
步骤42:用户的数据流进入DSLAM系统,即DSLAM接收用户终端发来的数据报文;
步骤43:DSLAM中的监听装置的识别模块读取配置的规则,并根据所述的规则从用户的数据流中识别匹配出符合规则的数据流,并作为需要监听的网络业务;
步骤44:由监听装置的镜像模块将所述的符合规则的数据流拷贝一份,并交给传输处理模块;
步骤45:传输处理模块将所述的数据流通过配置的VLAN ID和端口(即VLAN ID+端口号)信息进行封装处理;
步骤46:将所述的封装处理后的报文通过配置的GE1端口(即数据端口)发送给监控中心,此时,所述的GE1端口并不是专门配置为监听装置应用,其他报文可以共同使用该端口。
下面再以隧道为例,如图5所示,假设采用的GRE(通用路由封装)通用路由封装隧道,用户A采用以太网报文进入IP DSLAM。
同样,如果需要镜像该用户的数据报文,首先配置相应的规则,假设可以配置为:将该用户数据所有报文全部拷贝一份送到监控中心;
其次,还必须配置将该监听到的数据如何传递到监控中心,镜像后需要送到监控中心的数据使用GRE隧道方式发送到监控中心,具体需要配置GRE隧道的参数,以及GRE隧道对端监控中心的IP地址;
同时,为了监控中心能够接收所述的监听到的业务,还需要在监控中心上配置指定相应的GRE参数,提供GRE解封装功能,以便于在对接收的GRE报文进行解封装处理并获得相应的监听到的业务数据信息;
配置完成后,IP DSLAM设备和监控中心之间便建立起了GRE隧道用于镜像报文的传送。
其中,所述GRE定义了在任意一种网络层协议上封装任意一个其它网络层协议的协议,GRE在RFC1701/RFC1702中定义。GRE的隧道由两端的源IP地址和目的IP地址来定义,其允许用户使用IP封装IP、IPX、AppleTalk,并支持全部的路由协议如RIP(路由信息协议)、OSPF(开放最短路径优先)、IGRP(内部网关路由协议)、EIGRP(增强的内部网关路由选择协议)。
通过GRE,用户可以利用公共IP网络连接用户私有的网络业务,还可以使用保留地址进行网络互联,或者对公网隐藏企业网的IP地址。GRE在包头中包含了协议类型,这用于标明乘客协议的类型;校验和包括了GRE的包头和完整的乘客协议与数据;密钥用于接收端验证接收的数据;序列号用于接收端数据包的排序和差错控制。
本发明中,在IP DSLAM系统内部内置所述的监听装置,并建立了相应的GRE隧道后,在IP DSLAM内部的数据处理的数据流如图6所示,具体包括以下步骤:
步骤61:配置监听网络业务的规则和镜像输出采用的路径信息,即隧道信息;
步骤62:用户的数据流进入DSLAM系统;
步骤63:DSLAM中的监听装置的识别模块读取配置的规则业务,并根据所述的规则从用户的数据流中匹配出符合规则的数据流,并作为需要监听的网络业务;
步骤64:由监听装置的镜像模块将所述的符合规则的数据流拷贝一份,并交给传输处理模块;
步骤65:传输处理模块将所述的数据流通过配置的GRE隧道信息和端口信息进行封装处理;
步骤66:将所述的封装处理后的报文(即封装后的数据流)通过配置的GE1端口发送给监控中心,此时,所述的GE1端口并不是专门配置为监听装置应用,其他报文也可以共同使用该端口。
综上所述,本发明可以在不占用专用端口的情况下将监听到的网络业务报文发送到监控中心,从而有效节约了网络设备中的端口资源。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。