CN101667966B - 一种实现路由器远端镜像的方法和系统 - Google Patents
一种实现路由器远端镜像的方法和系统 Download PDFInfo
- Publication number
- CN101667966B CN101667966B CN2009101473209A CN200910147320A CN101667966B CN 101667966 B CN101667966 B CN 101667966B CN 2009101473209 A CN2009101473209 A CN 2009101473209A CN 200910147320 A CN200910147320 A CN 200910147320A CN 101667966 B CN101667966 B CN 101667966B
- Authority
- CN
- China
- Prior art keywords
- port
- mirror image
- virtual interface
- layers
- far
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/20—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
- G06F11/2053—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where persistent mass storage functionality or persistent mass storage control functionality is redundant
- G06F11/2056—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where persistent mass storage functionality or persistent mass storage control functionality is redundant by mirroring
- G06F11/2071—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where persistent mass storage functionality or persistent mass storage control functionality is redundant by mirroring using a plurality of controllers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1095—Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes
Abstract
本发明提供一种实现路由器远端镜像的方法和系统,该方法包括:在源路由器上设置远端镜像端口,并为远端镜像端口建立对应的二层虚接口以及为二层虚接口指定需要镜像的数据流和物理出端口;在目的路由器上建立与源路由器的二层虚接口对应的二层虚接口;当源路由器的远端镜像端口收到报文后过滤出需要镜像的数据流后从二层虚接口对应的物理出端口发送至目的路由器;目的路由器收到镜像报文后,查找对应的二层虚接口,并从该二层虚接口对应的物理端口发送脱去标签后的镜像报文至监控端口。采用本发明,对于路由器上无论是入端口还是出端口上的流量,都能根据用户需要全部或者部分镜像到远端的监视端口。
Description
技术领域
本发明涉及到计算机网络数据通信技术领域,特别涉及一种实现路由器远端镜像的方法和系统。
背景技术
在以太网的环境下,一般两台工作站之间的通讯是不会被第三者侦听到的,但在某些情况下,可能需要监视进出网络的所有数据包,供安装了监控软件的管理服务器抓取数据,如网吧需要提供此功能把数据发往公安部门审查;而企业出于信息安全、保护公司机密的需要,也迫切需要网络中有一个端口能提供这种实时监控功能。
在企业中用端口镜像功能,可以很好的对企业内部的网络数据进行监控管理,在网络出故障的时候,可以做到很好的故障定位;但是在目前广泛采用的交换网络中监听所有流量有相当大的困难,因此需要通过配置交换机/路由器来把一个或多个端口的数据转发到某一个端口来实现对网络的监听。
端口镜像功能可以把一个端口(源端口)的部分或全部流量拷贝到另一个专门指定的叫做“镜像端口”的端口(也称“监视端口”或“目的端口”),在不严重影响源端口正常吞吐量的情况下,通过镜像端口对网络的流量进行监控分析;现行路由器上实现的端口镜像技术都是基于本路由器上的,即从路由器上的一个或多个端口镜像到该路由器上的另一个端口,由于没有实现端口的远端监控,其应用范围受到限制。
随着VPN(Virtual Private Network,虚拟专用网络)技术的广泛范围应用,路由器应用区域越来越广泛、实现业务越来越多,加之各企业对自身网络安全意识的提高,对于远端监控、侦听的需求已经越来越紧迫,现有技术还没有具体的实现方案。
发明内容
本发明所要解决的技术问题是提供一种实现路由器远端镜像的方法和系统,使流量监控能在异地实现。
为了解决上述问题,本发明提供了一种实现路由器远端镜像的方法,在源路由器上设置远端镜像端口,并为所述远端镜像端口建立对应的二层虚接口以及为所述二层虚接口指定需要镜像的数据流和物理出端口;在目的路由器上建立与源路由器的二层虚接口对应的二层虚接口,所述源路由器上的二层虚接口与目的路由器上的二层虚接口之间形成一条虚拟专线业务VPWS隧道;
当所述源路由器的远端镜像端口收到报文后过滤出需要镜像的数据流,并从所述二层虚接口对应的物理出端口发送至目的路由器;
所述目的路由器收到镜像报文后,查找对应的二层虚接口,并从该二层虚接口对应的物理端口发送脱去标签后的镜像报文至监控端口。
进一步地,为所述源路由器的远端镜像端口设置端口属性表,其中包括镜像标志以及进行镜像的出接口,所述出接口为建立的二层虚接口;为所述二层虚接口也设置端口属性表,其中包括该二层虚接口对应的实际物理出端口、访问控制链表ACL规则号、VPWS隧道的ID号;在所述源路由器还为VPWS隧道设置VPWS转发表,其中包括该VPWS隧道的ID号、源MAC、目的MAC以及隧道的内、外层标签信息;
当源路由器的一物理端口收到报文后判断该端口是否为远端镜像端口,若是则查找所述物理端口的端口属性表得到远端镜像的二层虚接口,之后查找所述二层虚接口的端口属性表,根据其中的ACL规则过滤出镜像数据流,并根据对应的VPWS转发表获得源MAC、目的MAC以及VPWS隧道的内、外层标签信息,将源MAC、目的MAC和内、外层标签封装进镜像数据流的二层头中,然后从二层虚接口对应的物理出端口将已封装的镜像报文发送至目的路由器。
进一步地,为目的路由器上接收镜像报文的端口建立多协议标签交换MPLS转发表,内层VC标签对应的出接口,所述出接口为与源路由器的二层虚接口对应的二层虚接口,在目的路由器上还为所述二层虚接口设置端口属性表,其中包括该二层虚接口对应的实际物理出端口;
当目的路由器的物理端口收到标签包后查找该端口的MPLS转发表获得内层VC标签对应的出接口,若出接口为二层虚接口则为远端镜像报文,并查找所述二层虚接口的端口属性表得到物理出端口,然后将标签包脱去标签后由所述物理出端口发送至监控端口。
进一步地,所述设置的远端镜像端口为源路由器的入端口和/或出端口。
进一步地,若入端口为远端镜像端口,当所述入端口收到报文后,先将所述报文进行远端镜像后回转,然后按普通报文转发;
若出端口为远端镜像端口,当所述出端口收到报文后,先将所述报文按普通报文转发后回转,然后再进行远端镜像。
一种实现路由器远端镜像的系统,包括源路由器及目的路由器;
所述源路由器包括设置模块、支撑模块、访问控制模块和收发模块;
所述源路由器的设置模块用于设置远端镜像端口,并为所述远端镜像端口建立对应的二层虚接口;
所述源路由器的支撑模块用于为所述二层虚接口指定需要镜像的数据流和物理出端口;
所述源路由器的收发模块用于当源路由器的远端镜像端口收到报文后将所述报文转发至访问控制模块,以及收到访问控制模块返回的镜像数据流后从所述二层虚接口对应的物理出端口发送至目的路由器;
所述源路由器的访问控制模块用于收到报文后过滤出需要远端镜像的数据流,并将镜像数据流返回至收发模块;
所述目的路由器包括设置模块、支撑模块和收发模块;
所述目的路由器的设置模块用于建立与源路由器的二层虚接口对应的二层虚接口;
所述目的路由器的支撑模块用于为所述二层虚接口指定物理出端口;
所述目的路由器的收发模块用于收到镜像报文后,查找对应的二层虚接口,并从该二层虚接口对应的物理端口发送脱去标签后的镜像报文至监控端口。
进一步地,所述源路由器还包括存储设备;
所述源路由器的支撑模块还用于为远端镜像端口设置端口属性表,其中包括镜像标志以及进行远端镜像的出接口,所述出接口为建立的二层虚接口;
所述源路由器的支撑模块为所述二层虚接口指定需要镜像的数据流和物理出端口是指,源路由器的支撑模块所述二层虚接口设置端口属性表,其中包括该二层虚接口对应的实际物理出端口、访问控制链表ACL规则号、VPWS隧道的ID号;所述源路由器的支撑模块还用于为VPWS隧道设置VPWS转发表,包括该VPWS隧道的ID号、源MAC、目的MAC以及隧道的内、外层标签信息;所述支撑模块还用于将设置的远端镜像端口的端口属性表、二层虚接口的端口属性表及VPWS转发表发送至源路由器的存储设备;
所述源路由器的存储设备用于接收并保存远端镜像端口的端口属性表、二层虚接口的端口属性表及VPWS转发;
所述源路由器的收发模块包括远端镜像单元;
所述源路由器的收发模块还用于源路由器的一物理端口收到报文后判断该端口是否为远端镜像端口,若是则将报文发送至访问控制模块,携带对应的二层虚接口信息,并将访问控制模块返回的镜像数据流转发至远端镜像单元,携带对应的二层虚接口信息;
所述源路由器的收发模块还用于收到远端镜像单元返回的已封装的镜像报文后从所述二层虚接口对应的物理出端口将已封装的镜像报文发送至目的路由器;
所述源路由器的远端镜像单元用于收到所述镜像数据流后查找二层虚接口的端口属性表,根据其中的VPWS隧道的ID号查找对应的VPWS转发表,获得源MAC、目的MAC以及隧道的内、外层标签信息,并将源MAC、目的MAC和内、外层标签封装进镜像数据流的二层头中,将已封装的镜像报文返回至收发模块。
进一步地,所述目的路由器还包括存储设备;
所述目的路由器的支撑模块还用于为接收镜像报文的端口建立多协议标签交换MPLS转发表,其中包括内层VC标签对应的出接口,所述出接口为与源路由器的二层虚接口对应的二层虚接口;
所述目的路由器的支撑模块为所述二层虚接口指定物理出端口是指,目的路由器的支撑模块为所述二层虚接口设置端口属性表,其中包括该二层虚接口对应的实际物理出端口;目的路由器的支撑模块还用于将设置的MPLS转发表及二层虚接口的端口属性表发送至源路由器的存储设备;
所述目的路由器的存储设备用于接收并保存所述MPLS转发表及二层虚接口的端口属性表;
所述目的路由器的收发模块包括远端镜像单元;
所述目的路由器的收发模块还用于接收标签包,查找接收该标签包的端口的MPLS转发表获得内层VC标签对应的出接口,若出接口为二层虚接口则将该标签包及二层虚接口信息发送至远端镜像单元;还用于从二层虚接口对应的物理出端口发送脱去标签后的三层报文;
所述目的路由器的远端镜像单元用于收到标签包及二层虚接口信息后查找所述二层虚接口的端口属性表得到其对应的物理出端口,以及将标签包脱去标签后发送至收发模块。
进一步地,所述源路由器的设置模块设置的远端镜像端口为源路由器的入端口和/或出端口。
进一步地,若入端口为远端镜像端口,当所述入端口收到报文后,源路由器的收发模块还用于将所述报文发送至远端镜像单元进行远端镜像后回转,然后按普通报文转发;
若出端口为远端镜像端口,当所述出端口收到报文后,源路由器的收发模块还用于将所述报文发送至远端镜像单元进行远端镜像前先按普通报文转发,回转后进行远端镜像。
综上所述,本发明提供了一种实现路由器远端镜像的方法和系统,对于路由器上无论是入端口还是出端口上的流量,都能根据用户需要全部或者部分镜像到远端的监视端口,即使流量监控能在异地实现。
附图说明
图1为本发明远端镜像一个应用场景示意图;
图2为本发明系统结构示意图;
图3为本发明源路由器在入端口实现远端镜像的流程图;
图4为本发明源路由器在出端口实现远端镜像的流程图;
图5为本发明目的路由器接收镜像流量的流程图。
具体实施方式
本发明提供一种实现路由器远端镜像的方法和系统,对于路由器上无论是入端口还是出端口上的流量,都能根据用户需要全部或者部分镜像到远端的监视端口。
本发明提供一种实现路由器远端镜像的系统,如图2所示,包括源路由器及目的路由器;
源路由器包括设置模块、支撑模块、存储设备、访问控制模块和收发模块,收发模块包括远端镜像单元;
设置模块,用于接收用户命令设置源路由器的远端镜像端口,设置的远端镜像端口为入端口和/或出端口;还用于为远端镜像端口建立对应的二层虚接口,以及根据用户命令为远端镜像端口设置相应的ACL(访问控制链表)规则,即指定需要镜像的数据流;
支撑模块用于二层虚接口和普通物理接口建立、维护和删除其端口属性表,并且建立、维护和删除路由器上的路由表、MPLS表和VPWS表等相关各类业务表项;具体指,为远端镜像端口设置端口属性表,该端口属性表包含端口业务需要的信息(如端口标识)、镜像标志以及进行镜像的出接口,该出接口即为建立的二层虚接口;还用于为二层虚接口设置端口属性表,该属性表中存储有二层虚接口的相关信息,包括该二层虚接口对应的实际物理出端口、ACL(访问控制链表)规则号、VPN ID(即VPWS隧道的ID号);支撑模块还用于为VPWS(虚拟专线业务)隧道设置VPWS转发表,包括该VPWS隧道的VPN ID、源MAC及目的MAC以及隧道的内、外层标签信息。
支撑模块还用于将设置的远端镜像端口的端口属性表、二层虚接口的端口属性表及VPWS转发表存储在源路由器内的存储设备中。
存储设备,用于保存远端镜像端口的端口属性表、二层虚接口的端口属性表及VPWS转发表。
访问控制模块,用于收到收发模块发来的报文及二层虚接口信息后,到存储设备中查找该二层虚接口对应的ACL规则号,并根据ACL规则过滤出需要镜像的数据流,将过滤出的镜像数据流返回至收发模块;
收发模块,用于接收报文并判断该报文的状态是否正常,若异常则丢弃该报文,若正常则到存储设备查询接收该报文端口的端口属性表判断该端口是否为远端镜像端口,若该端口为远端镜像端口则将接收的报文及二层虚接口信息(如可以是二层虚接口标识)发送至访问控制模块;收发模块还用于将经过访问控制模块过滤后的镜像数据流及二层虚接口信息发送至远端镜像单元,再将远端镜像单元返回的已封装完毕的镜像报文从二层虚接口对应的物理出端口发送至网络中;上述判断该端口是否为远端镜像端口是指,首先查看端口属性表是否存在镜像标志,若存在则进一步查看进行镜像的出接口,若为二层虚接口则该端口为远端镜像端口;
收发模块还用于判断接收报文的远端镜像端口类型(是入端口还是出端口),若为入端口,收发模块还用于将报文发送至远端镜像单元进行远端镜像后回转,然后按普通报文转发,若为出端口,收发模块还用于将报文发送至远端镜像单元进行远端镜像前先按普通报文转发,回转后发送至远端镜像单元。
远端镜像单元,属于收发模块的一部分,用于收到镜像数据流及二层虚接口信息后查找该二层虚接口的端口属性表,根据其中的VPN ID查找对应的VPWS转发表,从中获取源MAC地址与目的MAC地址,获取该隧道的内、外层标签,之后,将源MAC地址、目的MAC地址和内、外层标签封装进镜像数据流的二层头中;还用于将已封装的镜像报文返回至收发模块。
目的路由器包括设置模块、支撑模块、存储设备及收发模块,收发模块包括远端镜像单元;
设置模块,用于建立与源路由器的二层虚接口对应的二层虚接口;
支撑模块,用于为二层虚接口和普通物理接口建立、维护和删除其端口属性表,并且建立、维护和删除路由器上的路由表、MPLS表和VPWS表等相关各类业务表项;具体指,为二层虚接口建立端口属性表,包括二层虚接口的物理出端口信息和VPN ID(该隧道号与源路由器上对应二层虚接口的隧道号一致);还用于为接收镜像报文的端口建立MPLS(Multi protocol LabelSwitching,多协议标签交换)转发表,其中包括内层VC标签对应的出接口,该出接口即为建立的二层虚接口。
支撑模块还用于将建立的MPLS转发表及二层虚接口的端口属性表存储至目的路由器的存储设备内。
存储设备,用于存储上述MPLS转发表及二层虚接口的端口属性表。
收发模块,用于接收标签包,并根据接收标签包的端口的MPLS转发表得到内层VC标签对应的出接口,若出接口为二层虚接口则将该报文及二层虚接口信息发送至远端镜像单元;收发模块还用于从二层虚接口对应的物理出端口发送脱去标签后的三层报文。
远端镜像单元,包含在收发模块中,用于收到标签包及二层虚接口信息后查找该二层虚接口的端口属性表得到其对应的物理出端口,以及将标签包脱去标签后发送至收发模块。
本发明还提供一种实现路由器远端镜像的方法,包括:
设置阶段:在源路由器上设置远端镜像端口(入端口和/或出端口)、建立二层虚接口及对应的VPWS隧道;还为远端镜像端口建立端口属性表,该端口属性表包括需要镜像标志以及镜像出接口(即建立的二层虚接口);为二层虚接口设置端口属性表,该属性表存储有虚接口的相关信息,包括该二层虚接口对应的实际物理出端口、ACL规则号、VPN ID(即VPWS隧道的ID号)等;还为VPWS隧道设置VPWS转发表,包括VPWS隧道的VPNID、源MAC地址、目的MAC地址以及VPWS隧道的内、外层标签信息;
二层虚接口在使用上和普通二层端口一样,可以在虚接口启用二层VPN服务,此处启用VPWS服务;上述二层虚接口的端口属性表随着二层虚接口的建立而建立、随着二层虚接口的删除而删除。
在目的路由器上建立与源路由器上的二层虚接口对应的二层虚接口,源路由器上的二层虚接口与目的路由器上的二层虚接口之间形成一条VPWS隧道;在目的路由器上还需要为二层虚接口设置端口属性表,其中包括二层虚接口的物理出端口信息和VPN ID(该隧道号与源路由器上对应二层虚接口的隧道号一致);以及为接收远端镜像报文的物理端口生成MPLS转发表,其中包括内层VC标签对应的出接口,该出接口为上述建立的二层虚接口。
在源路由器和目的路由器上可以建立不同的VPWS隧道,其灵活性满足对多个、不同流量的监控;如图1是本发明在实际中的组网模型图,当镜像源端口和目的端口在不同的路由器上时,可以将源路由器上的端口流量镜像到目的路由器上的目的端口。远端镜像的主要思想是使用二层虚接口以及VPWS隧道,实现报文的二层透传。在远端入口镜像侧,镜像源端口是PE1上的gei_9/3,镜像二层虚接口透传的出口是PE2上的gei_5/2;在远端出口镜像侧,镜像源端口是PE1上的gei_9/4,镜像二层虚接口透传的出口是PE2上的gei_5/2。
对接收的报文进行镜像的流程如下:
图3所示是本发明在源路由器为入端口报文做远端镜像的实施流程图。
步骤301、源路由器的入端口(物理接口)收到报文,查找该物理端口的属性表是否有镜像标志,有则执行步骤302,否则执行步骤307;
步骤302、查找该物理端口属性表得到其出接口,若该出接口为建立的二层虚接口则说明需要进行远端镜像,则执行步骤303,否则说明需要本地镜像,则按本地镜像流程转发报文;
步骤303、查找该二层虚接口的端口属性表,根据其中的ACL规则号过滤出需要镜像的数据流,并根据端口属性表格中的VPN ID查找对应的VPWS转发表,封装VPWS信息得到镜像报文,然后执行步骤304;
封装VPWS信息是指,从VPWS转发表中获取该VPWS隧道的内、外层标签和源MAC地址、目的MAC地址,之后将源MAC地址、目的MAC地址和内、外层标签封装进镜像数据流的二层头中。
步骤304、根据二层虚接口的端口属性表格查找该二层虚接口对应的物理出端口,并将封装了VPWS信息的镜像报文从该物理出端口发送出去,并且通过VPWS隧道传送到目的路由器;并将入端口的端口属性表中的镜像回转标志置1;
步骤305、因入端口的端口属性表中的镜像回转标志为1,因此存储在源路由器存储设备中的报文并不释放,而是进行报文回转,将报文头送入报文接收处,进入普通的报文转发流程,减少反复读写速度慢的外部存储器的时间,这在需要高速处理报文的场合能够显著提高转发性能;
步骤306、封装普通转发报文二层头,根据普通报文转发查路由表或者标签表得到的二层信息封装报文,将镜像回转标志清0;
步骤307、正常转发普通报文。
图4所示是本发明在源路由器为出端口报文做远端镜像的实施流程图。
步骤401、源路由器的出端口收到报文,查询该出端口的端口属性表是否有镜像标志,有则执行步骤402,否则按普通转发流程转发该报文;
步骤402、查找该物理端口属性表得到其出接口,根据出接口信息判断是本地镜像还是远端镜像(若出接口是二层虚接口则为远端镜像),若为远端镜像则执行步骤403,否则执行本地镜像流程,其操作同现有技术;
步骤403、查询出端口的端口属性表中镜像回转标志,如果为0则将报文封装普通转发的二层头并且正常发送出去,将镜像回转标志置为1;
步骤404、因镜像回转标志为1,因此将报文回转,故外存中的报文并不立即释放,发送完普通报文之后,查找该出端口的端口属性表得到其出接口,该出接口为建立的二层虚接口,执行步骤405;
步骤405、根据该二层虚接口的端口属性表中的ACL规则过滤出需要镜像的报文,并根据端口属性表格中的VPN ID查找对应的VPWS转发表,封装VPWS信息得到镜像报文,然后执行步骤406;
封装VPWS信息得到镜像报文是指,获取VPWS转发表中的VPWS隧道的内、外层标签,源MAC地址与目的MAC地址,之后将源、目的MAC和内、外层标签封装进报文的二层头中;
步骤406、根据二层虚接口的端口属性表格查找该二层虚接口对应的物理出端口,并将封装了VPWS信息的镜像报文从该物理出端口发送出去,通过VPWS隧道传送到目的路由器;
步骤407、将出端口的端口属性表中的镜像回转标志清0,为下次报文转发使用,镜像回转标志默认为0。
图5所示是本发明在目的路由器上对于远端镜像报文的处理流程图。
步骤501、目的路由器接收到标签包,此时路由器并不知道接收到的标签包是镜像报文,只是进入普通标签包转发流程;
步骤502、查找接收该标签包的物理端口的MPLS转发表,得到该标签包的出接口,此时根据标记位得到该出接口是二层虚接口,由此报文转入远端镜像接收流程;
步骤503、查找该二层虚接口的端口属性表,得到其实际物理出端口;
步骤504、标签报文脱去标签,还原成源端口的三层报文从对应的物理出端口转发出去,发送到监控端口(即监控设备的端口)。
用户通过设置模块配置命令,可以选择在入端口、出端口或者同时在出入端口都配置远端镜像,并且可以指定需要远端镜像的数据流,镜像处理在转发的过程中完成。
Claims (10)
1.一种实现路由器远端镜像的方法,其特征在于:
在源路由器上设置远端镜像端口,并为所述远端镜像端口建立对应的二层虚接口以及为所述二层虚接口指定需要镜像的数据流和物理出端口;在目的路由器上建立与源路由器的二层虚接口对应的二层虚接口,所述源路由器上的二层虚接口与目的路由器上的二层虚接口之间形成一条虚拟专线业务VPWS隧道;
当所述源路由器的远端镜像端口收到报文后过滤出需要镜像的数据流,并从所述二层虚接口对应的物理出端口发送至目的路由器;
所述目的路由器收到镜像报文后,查找对应的二层虚接口,并从该二层虚接口对应的物理端口发送脱去标签后的镜像报文至监控端口。
2.如权利要求1所述的方法,其特征在于:
为所述源路由器的远端镜像端口设置端口属性表,其中包括镜像标志以及进行镜像的出接口,所述出接口为建立的二层虚接口;为所述二层虚接口也设置端口属性表,其中包括该二层虚接口对应的实际物理出端口、访问控制链表ACL规则号、VPWS隧道的ID号;在所述源路由器还为VPWS隧道设置VPWS转发表,其中包括该VPWS隧道的ID号、源MAC、目的MAC以及隧道的内、外层标签信息;
当源路由器的一物理端口收到报文后判断该端口是否为远端镜像端口,若是则查找所述物理端口的端口属性表得到远端镜像的二层虚接口,之后查找所述二层虚接口的端口属性表,根据其中的ACL规则过滤出镜像数据流,并根据对应的VPWS转发表获得源MAC、目的MAC以及VPWS隧道的内、外层标签信息,将源MAC、目的MAC和内、外层标签封装进镜像数据流的二层头中,然后从二层虚接口对应的物理出端口将已封装的镜像报文发送至目的路由器。
3.如权利要求1所述的方法,其特征在于:
为目的路由器上接收镜像报文的端口建立多协议标签交换MPLS转发表,内层VC标签对应的出接口,所述出接口为与源路由器的二层虚接口对应的二层虚接口,在目的路由器上还为所述二层虚接口设置端口属性表,其中包括该二层虚接口对应的实际物理出端口;
当目的路由器的物理端口收到标签包后查找该端口的MPLS转发表获得内层VC标签对应的出接口,若出接口为二层虚接口则为远端镜像报文,并查找所述二层虚接口的端口属性表得到物理出端口,然后将标签包脱去标签后由所述物理出端口发送至监控端口。
4.如权利要求1所述的方法,其特征在于:
所述设置的远端镜像端口为源路由器的入端口和/或出端口。
5.如权利要求4所述的方法,其特征在于:
若入端口为远端镜像端口,当所述入端口收到报文后,先将所述报文进行远端镜像后回转,然后按普通报文转发;
若出端口为远端镜像端口,当所述出端口收到报文后,先将所述报文按普通报文转发后回转,然后再进行远端镜像。
6.一种实现路由器远端镜像的系统,包括源路由器及目的路由器;其特征在于:
所述源路由器包括设置模块、支撑模块、访问控制模块和收发模块;
所述源路由器的设置模块用于设置远端镜像端口,并为所述远端镜像端口建立对应的二层虚接口;
所述源路由器的支撑模块用于为所述二层虚接口指定需要镜像的数据流和物理出端口;
所述源路由器的收发模块用于当源路由器的远端镜像端口收到报文后将所述报文转发至访问控制模块,以及收到访问控制模块返回的镜像数据流后从所述二层虚接口对应的物理出端口发送至目的路由器;
所述源路由器的访问控制模块用于收到报文后过滤出需要远端镜像的数据流,并将镜像数据流返回至收发模块;
所述目的路由器包括设置模块、支撑模块和收发模块;
所述目的路由器的设置模块用于建立与源路由器的二层虚接口对应的二层虚接口;
所述目的路由器的支撑模块用于为所述二层虚接口指定物理出端口;
所述目的路由器的收发模块用于收到镜像报文后,查找对应的二层虚接口,并从该二层虚接口对应的物理端口发送脱去标签后的镜像报文至监控端口。
7.如权利要求6所述的系统,其特征在于:
所述源路由器还包括存储设备;
所述源路由器的支撑模块还用于为远端镜像端口设置端口属性表,其中包括镜像标志以及进行远端镜像的出接口,所述出接口为建立的二层虚接口;
所述源路由器的支撑模块为所述二层虚接口指定需要镜像的数据流和物理出端口是指,源路由器的支撑模块所述二层虚接口设置端口属性表,其中包括该二层虚接口对应的实际物理出端口、访问控制链表ACL规则号、VPWS隧道的ID号;所述源路由器的支撑模块还用于为VPWS隧道设置VPWS转发表,包括该VPWS隧道的ID号、源MAC、目的MAC以及隧道的内、外层标签信息;所述支撑模块还用于将设置的远端镜像端口的端口属性表、二层虚接口的端口属性表及VPWS转发表发送至源路由器的存储设备;
所述源路由器的存储设备用于接收并保存远端镜像端口的端口属性表、二层虚接口的端口属性表及VPWS转发表;
所述源路由器的收发模块包括远端镜像单元;
所述源路由器的收发模块还用于源路由器的一物理端口收到报文后判断该端口是否为远端镜像端口,若是则将报文发送至访问控制模块,携带对应的二层虚接口信息,并将访问控制模块返回的镜像数据流转发至远端镜像单元,携带对应的二层虚接口信息;
所述源路由器的收发模块还用于收到远端镜像单元返回的已封装的镜像报文后从所述二层虚接口对应的物理出端口将已封装的镜像报文发送至目的路由器;
所述源路由器的远端镜像单元用于收到所述镜像数据流后查找二层虚接口的端口属性表,根据其中的VPWS隧道的ID号查找对应的VPWS转发表,获得源MAC、目的MAC以及隧道的内、外层标签信息,并将源MAC、目的MAC和内、外层标签封装进镜像数据流的二层头中,将已封装的镜像报文返回至收发模块。
8.如权利要求6所述的系统,其特征在于:
所述目的路由器还包括存储设备;
所述目的路由器的支撑模块还用于为接收镜像报文的端口建立多协议标签交换MPLS转发表,其中包括内层VC标签对应的出接口,所述出接口为与源路由器的二层虚接口对应的二层虚接口;
所述目的路由器的支撑模块为所述二层虚接口指定物理出端口是指,目的路由器的支撑模块为所述二层虚接口设置端口属性表,其中包括该二层虚接口对应的实际物理出端口;目的路由器的支撑模块还用于将设置的MPLS转发表及二层虚接口的端口属性表发送至目的路由器的存储设备;
所述目的路由器的存储设备用于接收并保存所述MPLS转发表及二层虚接口的端口属性表;
所述目的路由器的收发模块包括远端镜像单元;
所述目的路由器的收发模块还用于接收标签包,查找接收该标签包的端口的MPLS转发表获得内层VC标签对应的出接口,若出接口为二层虚接口则将该标签包及二层虚接口信息发送至远端镜像单元;还用于从二层虚接口对应的物理出端口发送脱去标签后的三层报文;
所述目的路由器的远端镜像单元用于收到标签包及二层虚接口信息后查找所述二层虚接口的端口属性表得到其对应的物理出端口,以及将标签包脱去标签后发送至收发模块。
9.如权利要求6所述的系统,其特征在于:
所述源路由器的设置模块设置的远端镜像端口为源路由器的入端口和/或出端口。
10.如权利要求9所述的系统,其特征在于:
若入端口为远端镜像端口,当所述入端口收到报文后,源路由器的收发模块还用于将所述报文发送至远端镜像单元进行远端镜像后回转,然后按普通报文转发;
若出端口为远端镜像端口,当所述出端口收到报文后,源路由器的收发模块还用于将所述报文发送至远端镜像单元进行远端镜像前先按普通报文转发,回转后进行远端镜像。
Priority Applications (6)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009101473209A CN101667966B (zh) | 2009-06-11 | 2009-06-11 | 一种实现路由器远端镜像的方法和系统 |
| RU2011154001/07A RU2493677C2 (ru) | 2009-06-11 | 2009-08-24 | Способ и маршрутизатор для выполнения зеркального копирования |
| US13/258,002 US8432916B2 (en) | 2009-06-11 | 2009-08-24 | Method and router for implementing mirroring |
| PCT/CN2009/073460 WO2010142088A1 (zh) | 2009-06-11 | 2009-08-24 | 一种实现镜像的方法和路由器 |
| BRPI0924392-5A BRPI0924392B1 (pt) | 2009-06-11 | 2009-08-24 | Método para a implementação de espelhamento e roteador para aimplementação de espelhamento |
| EP09845697.3A EP2442604B1 (en) | 2009-06-11 | 2009-08-24 | Method and router for implementing mirroring |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009101473209A CN101667966B (zh) | 2009-06-11 | 2009-06-11 | 一种实现路由器远端镜像的方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101667966A CN101667966A (zh) | 2010-03-10 |
| CN101667966B true CN101667966B (zh) | 2011-10-26 |
Family
ID=41804411
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009101473209A Active CN101667966B (zh) | 2009-06-11 | 2009-06-11 | 一种实现路由器远端镜像的方法和系统 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US8432916B2 (zh) |
| EP (1) | EP2442604B1 (zh) |
| CN (1) | CN101667966B (zh) |
| BR (1) | BRPI0924392B1 (zh) |
| RU (1) | RU2493677C2 (zh) |
| WO (1) | WO2010142088A1 (zh) |
Families Citing this family (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102025544B (zh) * | 2010-12-16 | 2015-09-16 | 中兴通讯股份有限公司 | 流镜像捕获方法及装置 |
| US8635614B2 (en) * | 2011-05-14 | 2014-01-21 | International Business Machines Corporation | Method for providing location independent dynamic port mirroring on distributed virtual switches |
| WO2012162481A1 (en) * | 2011-05-24 | 2012-11-29 | Avaya Inc. | Social media identity discovery and mapping |
| CN102546390B (zh) * | 2011-11-17 | 2015-04-29 | 杭州华三通信技术有限公司 | 一种远程镜像方法及装置 |
| US9094318B2 (en) * | 2012-03-29 | 2015-07-28 | Avaya Inc. | Remote mirroring |
| US9438564B1 (en) * | 2012-09-18 | 2016-09-06 | Google Inc. | Managing pooled VPN proxy servers by a central server |
| CN103200110B (zh) * | 2013-03-29 | 2016-03-30 | 北京东土科技股份有限公司 | 一种应用于智能变电站局域网的数据组播方法和装置 |
| US8614946B1 (en) | 2013-06-07 | 2013-12-24 | Sideband Networks Inc. | Dynamic switch port monitoring |
| US10205648B1 (en) * | 2014-05-30 | 2019-02-12 | EMC IP Holding Company LLC | Network monitoring using traffic mirroring and encapsulated tunnel in virtualized information processing system |
| CN104243211A (zh) * | 2014-09-22 | 2014-12-24 | 北京星网锐捷网络技术有限公司 | 一种数据流的镜像方法及装置 |
| DE102015200947B3 (de) * | 2015-01-21 | 2016-04-07 | Bayerische Motoren Werke Aktiengesellschaft | Systemskalierung bei Ethernet-Kommunikation im Fahrzeug |
| KR101641637B1 (ko) * | 2016-02-29 | 2016-07-21 | 주식회사 티맥스 소프트 | 패킷 처리 시스템 내의 패킷을 분석하여 트랜잭션을 모니터링하는 방법 및 apm 장치 |
| CN106961400B (zh) * | 2017-03-30 | 2020-10-23 | 树根互联技术有限公司 | 一种实现云平台虚拟端口镜像的方法和系统 |
| CN110147069B (zh) * | 2019-04-28 | 2022-04-12 | 武汉理工大学 | 一种基于数字孪生的港口实时监控系统的工作方法 |
| CN112351050A (zh) * | 2019-08-06 | 2021-02-09 | 中兴通讯股份有限公司 | 镜像数据流的方法、装置、通信设备及存储介质 |
| CN110784375B (zh) * | 2019-10-24 | 2021-10-12 | 新华三信息安全技术有限公司 | 网络数据监控方法、装置、电子设备及存储介质 |
| CN111224899A (zh) * | 2019-10-31 | 2020-06-02 | 北京浪潮数据技术有限公司 | 一种虚拟端口的流量镜像方法、装置、设备及介质 |
| CN111741007B (zh) * | 2020-07-06 | 2022-03-01 | 桦蓥(上海)信息科技有限责任公司 | 一种基于网络层报文解析的金融业务实时监控系统及方法 |
| CN115208904A (zh) * | 2022-06-29 | 2022-10-18 | 深圳星云智联科技有限公司 | 流量监控方法及相关设备 |
| CN116611411A (zh) * | 2023-07-20 | 2023-08-18 | 太平金融科技服务(上海)有限公司深圳分公司 | 一种业务系统报表生成方法、装置、设备及存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060140130A1 (en) * | 2004-11-30 | 2006-06-29 | Broadcom Corporation | Mirroring in a network device |
| CN1852255A (zh) * | 2006-02-18 | 2006-10-25 | 华为技术有限公司 | 为虚拟专线业务提供QoS服务的系统和方法 |
| US20070208838A1 (en) * | 2006-03-01 | 2007-09-06 | Cisco Technology, Inc. | Method and system for mirroring dropped packets |
| CN101051948A (zh) * | 2007-05-17 | 2007-10-10 | 中兴通讯股份有限公司 | 通过端口镜像实现多链路点对点静默侦听的系统及方法 |
| CN101304411A (zh) * | 2008-06-10 | 2008-11-12 | 中兴通讯股份有限公司 | 一种流镜像方法 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5544347A (en) | 1990-09-24 | 1996-08-06 | Emc Corporation | Data storage system controlled remote data mirroring with respectively maintained data indices |
| US7936702B2 (en) * | 2005-12-01 | 2011-05-03 | Cisco Technology, Inc. | Interdomain bi-directional protocol independent multicast |
| US20070168475A1 (en) * | 2005-12-07 | 2007-07-19 | Ericsson, Inc. | Dynamic services blade and method |
| RU2306600C1 (ru) * | 2006-04-11 | 2007-09-20 | Закрытое акционерное общество "Информационная внедренческая компания" (ЗАО "ИВК") | Способ защиты информационных ресурсов неоднородной вычислительной сети |
| CN101068248A (zh) * | 2007-06-07 | 2007-11-07 | 杭州华三通信技术有限公司 | 远程镜像方法、镜像源设备及镜像目的设备 |
| US8953629B2 (en) * | 2008-02-26 | 2015-02-10 | Cisco Technology, Inc. | Blade router with NAT support |
| US20110126197A1 (en) * | 2009-11-25 | 2011-05-26 | Novell, Inc. | System and method for controlling cloud and virtualized data centers in an intelligent workload management system |
-
2009
- 2009-06-11 CN CN2009101473209A patent/CN101667966B/zh active Active
- 2009-08-24 RU RU2011154001/07A patent/RU2493677C2/ru active
- 2009-08-24 US US13/258,002 patent/US8432916B2/en active Active
- 2009-08-24 BR BRPI0924392-5A patent/BRPI0924392B1/pt active IP Right Grant
- 2009-08-24 EP EP09845697.3A patent/EP2442604B1/en active Active
- 2009-08-24 WO PCT/CN2009/073460 patent/WO2010142088A1/zh active Application Filing
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060140130A1 (en) * | 2004-11-30 | 2006-06-29 | Broadcom Corporation | Mirroring in a network device |
| CN1852255A (zh) * | 2006-02-18 | 2006-10-25 | 华为技术有限公司 | 为虚拟专线业务提供QoS服务的系统和方法 |
| US20070208838A1 (en) * | 2006-03-01 | 2007-09-06 | Cisco Technology, Inc. | Method and system for mirroring dropped packets |
| CN101051948A (zh) * | 2007-05-17 | 2007-10-10 | 中兴通讯股份有限公司 | 通过端口镜像实现多链路点对点静默侦听的系统及方法 |
| CN101304411A (zh) * | 2008-06-10 | 2008-11-12 | 中兴通讯股份有限公司 | 一种流镜像方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101667966A (zh) | 2010-03-10 |
| EP2442604B1 (en) | 2014-03-05 |
| BRPI0924392B1 (pt) | 2021-02-23 |
| RU2493677C2 (ru) | 2013-09-20 |
| BRPI0924392A2 (pt) | 2017-10-17 |
| US8432916B2 (en) | 2013-04-30 |
| RU2011154001A (ru) | 2013-07-20 |
| EP2442604A1 (en) | 2012-04-18 |
| EP2442604A4 (en) | 2013-06-05 |
| WO2010142088A1 (zh) | 2010-12-16 |
| US20120082162A1 (en) | 2012-04-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101667966B (zh) | 一种实现路由器远端镜像的方法和系统 | |
| CN102413060B (zh) | Vpls网络中用户专线通信方法及设备 | |
| CN102349277B (zh) | 虚拟二层服务的入侵检测 | |
| CN102694718B (zh) | 一种vpls快速重路由方法和设备 | |
| RU2520387C2 (ru) | Способ и устройство для защиты канала в виртуальной частной локальной сети | |
| CN102340447B (zh) | 一种远程端口镜像实现系统及方法 | |
| CN101309273B (zh) | 一种生成安全联盟的方法和装置 | |
| CN101616014B (zh) | 一种实现跨虚拟专用局域网组播的方法 | |
| US20100189115A1 (en) | Edge node redundant system in label switching network | |
| WO2022104869A1 (zh) | 基于芯片级加密的以太网和现场总线融合网关及传输方法 | |
| WO2008092357A1 (fr) | Procédé et dispositif pour établir un tunnel pseudocâblé et transmettre un message à l'aide de celui-ci | |
| CN109120492B (zh) | 一种存储单元、源交换机、报文转发方法及镜像系统 | |
| CN107547340B (zh) | 一种报文转发方法和装置 | |
| WO2013067872A1 (en) | Traffic management across data center sites | |
| US8594127B2 (en) | Communication device and communication method | |
| CN102055647A (zh) | 一种三层vpn的接入方法和系统 | |
| CN102571738A (zh) | 基于虚拟局域网交换的入侵防御方法与系统 | |
| CN111669422B (zh) | 报文的传输方法和设备 | |
| CN101102321B (zh) | 基于三层虚拟专网技术的虚拟路由冗余协议的实现方法 | |
| CN103036761B (zh) | 一种隧道服务器和客户端装置 | |
| CN102098189B (zh) | 一种对ce进行监控的方法和路由设备 | |
| CN107483233A (zh) | 一种远程镜像的实现方法及装置 | |
| CN115118545B (zh) | 以太网虚拟专用网多播网络中的组管理协议主机移动性 | |
| CN102195947A (zh) | 合法监听的方法及装置 | |
| CN101873250A (zh) | 数据转发方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |