CN101692649B - 数据多线监控的方法和设备 - Google Patents
数据多线监控的方法和设备 Download PDFInfo
- Publication number
- CN101692649B CN101692649B CN2009101622970A CN200910162297A CN101692649B CN 101692649 B CN101692649 B CN 101692649B CN 2009101622970 A CN2009101622970 A CN 2009101622970A CN 200910162297 A CN200910162297 A CN 200910162297A CN 101692649 B CN101692649 B CN 101692649B
- Authority
- CN
- China
- Prior art keywords
- mirror image
- port
- data flow
- vlan
- switch
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种数据多线监控的方法和设备,结合镜像VLAN技术和端口隔离技术,充分利用数据中心中的多种监控设备(如IDS、AFD和ACG等)为通信业务的数据提供多层次的安全防御,提高数据中心的安全等级,同时,本发明的技术方案对于核心交换机的芯片没有特殊的要求,便于实施,降低了数据中心的建设成本。
Description
技术领域
本发明涉及通信技术领域,特别涉及一种数据多线监控的方法和设备。
背景技术
数据中心的建设是一个系统化的工程,不但需要考虑数据传输性能、数据存储容量、以及设备环保需求等方面的设计需要,数据中心的安全同样需要进行周密而完善的设计。
现阶段,数据中心的安全的概念,不但需要有完善的信息安全的方案,还需要覆盖到安全存储的部分,这是和传统的数据中心完全不同的地方。
数据中心面临多层次的安全威胁。报告显示:2006年上半年,全球每天发生6110次的分布式拒绝服务攻击(Distribution Denial of Service,DDoS)。在中国,DDoS攻击占网络攻击总量的12%,平均每天发生800次,且在不断递增。
一般而言,网络攻击者可以通过僵尸网络发起DDoS攻击,僵尸网络是指采用一种或多种传播手段,将大量主机感染僵尸程序,从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。攻击者通过各种途径传播僵尸程序感染互联网上的大量主机,而被感染的主机(僵尸主机)将通过一个控制信道接收攻击者的指令,组成一个僵尸网络。
在全球范围内,分布着大约500万台的僵尸主机,形成了一个巨大的攻击网络,现在很多计算机都被病毒控制了。
不仅如此,僵尸网络只是众多的数据中心面临的安全威胁之一。数据中心通常直接面向互联网或者是专用的网络,由于网络具有开放性、不可预知性等特点,使得数据中心面临多方面的安全威胁。
来自外部网络的威胁,除了DDoS攻击,还有非法访问、安全传输隐患等问题。
面对这些安全威胁,数据中心用户需要的多种安全产品组合建立一种多层次的安全防御的能力。目前,防火墙、入侵检测系统(Intrusion DetectionSystems,IDS)、入侵防御系统(Intrusion Prevention System,IPS)、应用控制网关(Application Control Gateway,ACG)、异常流量检测设备(AnomalyFlow Detector,AFD)等设备都是数据中心安全常用的设备。其中IDS(或IPS)、ACG和AFD都是利用端口镜像对来自网络的数据流进行监控。
如图1所示,为现有技术中数据中心多线监控的多层次安全防御结构示意图。
其中,上述的端口镜像(Port Mirroring)技术是把交换机的一个或多个端口(VLAN)的数据镜像到一个或多个端口的方法。
通过端口镜像技术,可以监视到进出网络的所有数据包,供安装了监控软件的管理服务器抓取数据,例如,网吧需要依靠此功能提供网络浏览数据给公安部门进行审查。而企业出于信息安全,保护公司机密的需要,也迫切需要网络中有一个端口能提供这种实时监控功能。
在企业中,应用端口镜像功能,可以很好的对企业内部的网络数据进行监控管理,在网络出现故障的时候,可以做到很好地故障定位。
交换机把某一个端口接收或发送的数据完全相同的复制到另一个端口,其中,被复制的端口称为源端口,复制到的端口称为目的端口。
在具体的应用场景中,端口镜像分为两种:
1、本地端口镜像:是指将设备的一个或多个源端口(或源VLAN)的报文复制到本设备的一个目的端口,用于报文的监控和分析。其中,源端口(或源VLAN中的端口)和目的端口必须在同一台设备上。
2、远程端口镜像:除了可以实现本地端口镜像的功能外,它还突破了源端口(或源VLAN中的端口)和目的端口必须在同一台设备上的限制,使源端口(或源VLAN中的端口)和目的端口间可以跨越多个网络设备。目前,远程端口镜像功能可以穿越二层网络,但无法穿越三层网络。
在实现本发明的过程中,申请人发现现有技术至少存在以下问题:
本地端口镜像功能有很大的限制,并且,如果需要支持一(源)到多(目的)的端口镜像功能(简称1:N镜像),需要交换机芯片作特殊的处理。目前绝大多数厂家的交换机都不能支持。因此,极大的限制了数据中心中多线监控的应用。很多用户只能选择上述的多种监控功能(如IDS、AFD和ACG等)中的一项功能,从而降低了数据中心的安全防御级别。否则,如果用户希望实现多线监控,则只能更换核心交换机,极大的增加了成本。
发明内容
本发明提供一种数据多线监控的方法和设备,基于镜像VLAN的技术来实现数据中心内多线监控的要求。
为达到上述目的,本发明一方面提供了一种数据多线监控的方法,应用于包括一个交换机和多个监控设备的网络系统中,其中,所述交换机中至少包含一个入端口、一个反射端口和一个镜像虚拟局域网VLAN,所述反射端口的带宽大于或等于所述入端口的带宽,所述镜像VLAN中包含多个目的端口,所述多个目的端口分别与所述多个监控设备的端口相连接,所述方法包括:
所述交换机将所述入端口接收的数据流的镜像发送到所述反射端口;
所述交换机将所述反射端口返回的所述数据流的镜像发送到所述镜像VLAN;
所述交换机在所述镜像VLAN中向所述多个目的端口所连接的多个监控设备广播所述数据流的镜像,实现所述多个监控设备对所述数据流的多线监控。
优选的,所述交换机中还至少包含一个出端口,所述交换机将所述入端口接收的数据流的镜像发送到所述反射端口的同时,还包括:
所述交换机将所述入端口接收的数据流发送到所述出端口。
优选的,所述交换机将所述入端口接收的数据流的镜像发送到所述反射端口之后,还包括:
所述交换机更新所述反射端口所接收的所述数据流的镜像的VLAN标签 为所述镜像VLAN的标签;
所述交换机将包含所述镜像VLAN的标签的所述数据流的镜像发送给所述镜像VLAN。
优选的,所述方法还包括:
所述交换机在所述镜像VLAN中的多个目的端口之间配置端口隔离。
优选的,所述交换机在所述镜像VLAN中向所述多个目的端口所连接的多个监控设备广播所述数据流的镜像,实现所述多个监控设备对所述数据流的多线监控,具体包括:
所述交换机查找所述数据流的镜像在所述镜像VLAN中的媒体访问控制MAC地址转发表项;
当所述交换机查找不到所述数据流的镜像在所述镜像VLAN中的MAC地址转发表项时,所述交换机将所述数据流的镜像在所述镜像VLAN中进行广播;
所述多个监控设备分别通过所述镜像VLAN中所包含的多个目的端口接收所述数据流的镜像;
所述多个监控设备分别根据接收到的所述数据流的镜像对所述数据流进行监控。
优选的,所述交换机设置与所述多个监控设备相连接的端口为端口汇聚Trunk端口或Hybrid端口,所述多个监控设备分别配置各自数据流的不同VLAN属性,还包括:
所述多个监控设备通过不同的VLAN向所述交换机发送数据流,其中,所述不同的VLAN不同于所述镜像VLAN。
另一方面,本发明还提供了一种交换机,应用于包括一个交换机和多个监控设备的网络系统中,其中,所述交换机中至少包含一个入端口、一个反射端口和一个镜像虚拟局域网VLAN,所述反射端口的带宽大于或等于所述入端口的带宽,所述镜像VLAN中包含多个目的端口,所述多个目的端口分别与所述多个监控设备的端口相连接,所述交换机包括:
镜像生成模块,用于生成所述入端口接收的数据流的镜像;
转发模块,与所述镜像生成模块连接,用于将所述镜像生成模块所生成的所述入端口接收的数据流的镜像发送到所述反射端口,将所述反射端口返回的所述数据流的镜像发送到所述镜像VLAN;
处理模块,与所述转发模块连接,用于在所述镜像VLAN中向所述多个目的端口所连接的多个监控设备广播所述转发模块发送到所述镜像VLAN的所述入端口接收的数据流的镜像,实现所述多个监控设备对所述数据流的多线监控。
优选的,所述交换机中还至少包含一个出端口,所述转发模块,还用于将所述镜像生成模块所生成的所述入端口接收的数据流的镜像发送到所述反射端口的同时,将所述入端口接收的数据流发送到所述出端口。
所述转发模块,还用于更新所述反射端口所接收的所述数据流的镜像的VLAN标签为所述镜像VLAN的标签。
优选的,所述交换机还包括:
配置模块,用于在所述镜像VLAN中的多个目的端口之间配置端口隔离。
优选的,所述处理模块,与所述配置模块连接,所述处理模块具体包括:
查找子模块,用于查找所述数据流的镜像在所述镜像VLAN中的MAC地址转发表项;
广播子模块,与所述查找子模块连接,用于当所述查找子模块查找不到所述数据流的镜像在所述镜像VLAN中的MAC地址转发表项时,将所述数据流的镜像在所述镜像VLAN中进行广播。
与现有技术相比,本发明具有以下优点:
通过应用本发明的技术方案,可以充分利用数据中心中的多种监控设备(如IDS、AFD和ACG等)提供多层次的安全防御,提高数据中心的安全等级。同时,本发明的技术方案对于核心交换机的芯片没有特殊的要求,便于实施,降低了数据中心的建设成本。
附图说明
图1为数据中心多线监控的多层次安全防御结构示意图;
图2为本发明所提出的一种数据多线监控的方法的流程示意图;
图3为本发明所提出的具体应用场景中一种数据多线监控的方法的流程示意图;
图4为本发明所提出的一种数据多线监控的方法的流程示意图。
具体实施方式
如背景技术所述,现有的数据中心如果要应用多层次的安全验证机制时,存在诸多的限制,需要对芯片做特殊的处理,或者更换高性能的交换机芯片,从而增加了数据中心的建设成本,也为多层次安全验证机制的应用设置的障碍,从而,需要用户在数据中心安全性和建设成本之间做出取舍,为数据中心的建设增加了困难。
所以,针对现有的端口镜像技术存在的不足,主要是一对多端口镜像(1:N镜像)对交换机芯片要求过高的问题,本发明希望提出一种基于镜像VLAN和VLAN端口隔离相结合的技术,在无需更换高性能的交换机芯片的情况下,实现数据中心内对数据流的多线监控的要求,并保证各监控设备之间的数据相互隔离。
为达到上述目的,本发明提供了一种数据多线监控的方法,应用于包括一个交换机和多个监控设备的网络系统中,其中,交换机中至少包含一个入端口、一个出端口、一个反射端口和一个镜像VLAN,反射端口的带宽大于或等于入端口的带宽,镜像VLAN中包含多个目的端口,多个目的端口分别与多个监控设备的端口相连接。
如图2所示,为本发明所提出的一种数据多线监控的方法的流程示意图,具体包括以下步骤:
步骤S201、交换机将入端口接收的数据流的镜像发送到反射端口。
本步骤的实现是以数据流的镜像复制为前提的,通过数据流的镜像复制,可以在保证正常数据流通信的基础上,将一份与原数据流相同的数据流镜像
在本步骤进行的同时,交换机上原有的数据业务仍然正常进行,即通过 入端口接收的媒体流仍然按照原有数据业务的需要,发送给相应的出端口,而该媒体流的镜像则发送给反射端口,进行后续的多线监控操作,这样的设置可以在进行多线监控的同时不影响交换机正常的通信业务。
在本步骤中,入端口相当于端口镜像操作的源端口,在后续的步骤中,数据流的镜像会被发送到位于镜像VLAN中的目的端口,从而完成相应的多线监控操作。
步骤S202、交换机将反射端口返回的数据流的镜像发送到镜像VLAN。
在前述的配置过程中,反射端口的带宽是大于或等于入端口的带宽的,这样的设置主要是要求反射端口能够将入端口进入的数据流完全的处理,进行镜像反射,不会出现由于反射端口带宽不足而导致的数据丢失现象,从而保证由入端口进入交换机的数据流的镜像可以完全的反射到镜像VLAN中,并进而提供给多个监控设备进行多线监控,这样的设计可以保证被监控数据的完整性,有效的提高多线监控的准确性。
本步骤具体包括以下处理过程:
交换机通过反射端口将数据流的镜像发送给反射端口本身,该数据流的镜像经过反射端口后环回至本交换机的反射端口,成为交换机通过反射端口接收的数据流。
交换机更新反射端口所接收的数据流的VLAN标签为镜像VLAN的标签。
交换机将包含镜像VLAN的标签的数据流发送给镜像VLAN。
步骤S203、交换机在镜像VLAN中向多个目的端口所连接的多个监控设备广播该数据流的镜像,实现多个监控设备对该数据流的多线监控。
为了保证多线监控所对应的多个目的端口之间不会出现数据干扰,所以,在进行本步骤之前,需要在多个目的端口之间配置端口隔离,从而,保证多个监控设备都可以相对独立的根据数据流的镜像进行监控操作,确保多线监控的准确性。
本步骤的具体实现流程包括:
交换机查找数据流的镜像在镜像VLAN中的MAC地址转发表项,由于 上述的数据流的镜像是经过反射端口处理后的用于数据监控的数据流,所以,在镜像VLAN中不存在相应的MAC地址转发表项,本步骤只是数据流处理的常规流程。
当交换机查找不到数据流的镜像在镜像VLAN中的MAC地址转发表项时,交换机将数据流的镜像在镜像VLAN中进行广播,由于在镜像VLAN中只包括上述的多个监控设备的端口,所以,在镜像VLAN中进行广播的操作只能将数据流分别发送给上述的多个监控设备的端口。
多个监控设备分别通过镜像VLAN中所包含的多个目的端口接收数据流的镜像。
多个监控设备分别根据接收到的数据流的镜像对数据流进行监控,由于上述的配置过程中,对镜像VLAN中的各端口设置了端口隔离,所以,各监控设备可以相对独立的根据接收到的镜像VLAN广播的数据流镜像对数据流进行监控。
需要进一步指出的是,在具体的应用场景中,交换机需要设置与多个监控设备相连接的端口的类型为Trunk端口或Hybrid端口,并且,多个监控设备分别配置各自数据流的不同VLAN属性,基于上述配置,多个监控设备通过不同的VLAN向交换机发送数据流,其中,多个监控设备用于发送数据流的不同VLAN不同于镜像VLAN。
在实际的应用场景中,本发明的技术方案中所提出的多种监控设备包括IDS、ACG和AFD等设备中的一种或多种,具体监控设备的种类差别并不影响本发明的保护范围。
与现有技术相比,本发明具有以下优点:
通过应用本发明的技术方案,可以充分利用数据中心中的多种监控设备(如IDS、AFD和ACG等)提供多层次的安全防御,提高数据中心的安全等级。同时,本发明的技术方案对于核心交换机的芯片没有特殊的要求,便于实施,降低了数据中心的建设成本。
通过上述说明可以看出,本发明所提出的技术方案的基本思路如下:
通过在数据中心的核心交换机上配置镜像VLAN,将IDS、ACG和AFD等多种监控设备的连接端口加入到镜像VLAN中。
本发明所提出的的技术方案通过镜像VLAN作为转换介质,将同一个入端口所接收的通过不同VLAN发送的数据流镜像到同一个VLAN(即上述的镜像VLAN)中的多个端口。
同时,通过在镜像VLAN的多个端口之间设置端口隔离,保证各监控设备之间不能通过镜像VLAN互通。
通过上述设置,可以在无需安装高性能的一对多芯片的情况下,实现数据多线监控,从而在不增加投资成本的情况下,实现数据的多层次监控,提高了数据的安全性。
下面结合具体的实施场景阐述本发明所提出的技术方案的实现思路。
本发明所提出的技术方案具体如图3所示,包括以下步骤:
步骤S301、在数据中心的核心/汇聚交换机上配置镜像VLAN。
在本步骤中,需要在交换机中配置高带宽的反射端口。
需要说明的是,反射端口的带宽不能低于该交换机中入端口的带宽,如果该交换机中包含多个入端口,则反射端口的带宽不能低于所有入端口的带宽之和,从而,保证所有经过入端口进入交换机的数据流都可以通过反射端口进行环回。
步骤S302、将核心/汇聚交换机连接IDS、AFD和ACG等设备的端口加入到镜像VLAN中。
需要指出的是,为了保证上述的数据流镜像只会用于多线监控,镜像VLAN中包含这些监控设备的端口,而不能加入除上述监控设备外的其他的端口。
另一方面,上述的IDS、AFD和ACG等设备是具体的应用场景中的监控设备示例,在实际应用过程中可以应用其中的一种或多种进行数据监控,同时,也可以使用其他的监控设备进行数据监控,这样的变化并不影响本发明的保护范围。
步骤S303、在镜像VLAN中配置端口隔离,保证IDS、AFD和ACG等 设备之间不会通过镜像VLAN互通。
步骤S304、将核心/汇聚交换机连接IDS、AFD和ACG等设备的端口设置为Trunk或Hybrid端口。
分别设置IDS、AFD和ACG等设备的VLAN属性,从而保证上述各监控设备正常数据流所经过的VLAN与前述的镜像VLAN不同,因此,各监控设备的正常数据流不会经过镜像VLAN,从而不会对用于监控的数据流产生干扰,也不会影响各监控设备的正常业务处理进程。
步骤S305、数据中心外部数据流从入端口进入核心/汇聚交换机。
步骤S306、所有数据流镜像被转发至到反射端口,由反射端口环回进入核心/汇聚交换机。
交换机在反射端口入方向更新所有数据流的VLAN标签,形成统一镜像VLAN的数据流。
步骤S307、镜像数据流找不到对应的MAC地址转发项,因此,会在镜像VLAN中广播。
由于镜像VLAN中只有IDS、AFD和ACG等几个监控设备的连接端口,所以镜像数据流会广播到每一个监控设备上。完成多线监控的功能。
在具体的应用场景中,由于IDS、ACG和AFD等设备设置有不同的VLAN属性,所以,各设备的正常业务数据流不会经过镜像VLAN,从而不会影响各监控设备的正常业务处理流程。
与现有技术相比,本发明具有以下优点:
通过应用本发明的技术方案,可以充分利用数据中心中的多种监控设备(如IDS、AFD和ACG等)提供多层次的安全防御,提高数据中心的安全等级。同时,本发明的技术方案对于核心交换机的芯片没有特殊的要求,便于实施,降低了数据中心的建设成本。
为了实现上述的技术方案,本发明还提供了一种交换机,应用于包括一个交换机和多个监控设备的网络系统中。
其中,该交换机中至少包含一个入端口、一个出端口、一个反射端口和 一个镜像VLAN,反射端口的带宽大于或等于入端口的带宽,并且,镜像VLAN中包含多个目的端口,多个目的端口分别与上述的多个监控设备的端口相连接。
在上述设置过程中,反射端口的带宽是大于或等于入端口的带宽的,这样的设置主要是要求反射端口能够将入端口进入的数据流完全的处理,进行镜像反射,不会出现由于反射端口带宽不足而导致的数据丢失现象,从而保证由入端口进入交换机的数据流的镜像可以完全的反射到镜像VLAN中,并进而提供给多个监控设备进行多线监控,这样的设计可以保证被监控数据的完整性,有效的提高多线监控的准确性。
如图4所示,为本发明所提出的一种交换机的结构示意图,包括:
镜像生成模块41,用于生成入端口接收的数据流的镜像;
转发模块42,与镜像生成模块41连接,用于将镜像生成模块41所生成的入端口接收的数据流的镜像发送到反射端口,将反射端口返回的数据流的镜像发送到镜像VLAN;
处理模块43,与转发模块42连接,用于在镜像VLAN中向多个目的端口所连接的多个监控设备广播转发模块42发送到镜像VLAN的入端口接收的数据流的镜像,实现多个监控设备对数据流的多线监控。
在具体的应用场景中,交换机中还至少包含一个出端口,转发模块42,还用于将镜像生成模块41所生成的入端口接收的数据流的镜像发送到反射端口的同时,将入端口接收的数据流发送到出端口,这样的设置可以在进行多线监控的同时不影响交换机正常的通信业务。
其中,入端口相当于端口镜像操作的源端口,在后续的步骤中,数据流的镜像会被发送到位于镜像VLAN中的目的端口,从而完成相应的多线监控操作。
转发模块42,还用于更新反射端口所接收的数据流的镜像的VLAN标签为镜像VLAN的标签。
进一步的,在具体的应用场景中,交换机还包括:
配置模块44,用于在镜像VLAN中的多个目的端口之间配置端口隔离。
相应的,处理模块43与配置模块44连接,并且,处理模块43具体包括以下子模块:
查找子模块431,用于查找数据流的镜像在镜像VLAN中的MAC地址转发表项;
广播子模块432,与查找子模块431连接,用于当查找子模块431查找不到数据流的镜像在镜像VLAN中的MAC地址转发表项时,将数据流的镜像在镜像VLAN中进行广播。
与现有技术相比,本发明具有以下优点:
通过应用本发明的技术方案,可以充分利用数据中心中的多种监控设备(如IDS、AFD和ACG等)提供多层次的安全防御,提高数据中心的安全等级。同时,本发明的技术方案对于核心交换机的芯片没有特殊的要求,便于实施,降低了数据中心的建设成本。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可以通过硬件实现,也可以借助软件加必要的通用硬件平台的方式来实现。基于这样的理解,本发明的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施场景所述的方法。
本领域技术人员可以理解附图只是一个优选实施场景的示意图,附图中的模块或流程并不一定是实施本发明所必须的。
本领域技术人员可以理解实施场景中的装置中的模块可以按照实施场景描述进行分布于实施场景的装置中,也可以进行相应变化位于不同于本实施场景的一个或多个装置中。上述实施场景的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
上述本发明序号仅仅为了描述,不代表实施场景的优劣。
以上公开的仅为本发明的几个具体实施场景,但是,本发明并非局限于此,任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
Claims (10)
1.一种数据多线监控的方法,其特征在于,应用于包括一个交换机和多个监控设备的网络系统中,其中,所述交换机中至少包含一个入端口、一个反射端口和一个镜像虚拟局域网VLAN,所述反射端口的带宽大于或等于所述入端口的带宽,所述镜像VLAN中包含多个目的端口,所述多个目的端口分别与所述多个监控设备的端口相连接,所述方法包括:
所述交换机将所述入端口接收的数据流的镜像发送到所述反射端口;
所述交换机将所述反射端口返回的所述数据流的镜像发送到所述镜像VLAN;
所述交换机在所述镜像VLAN中向所述多个目的端口所连接的多个监控设备广播所述数据流的镜像,实现所述多个监控设备对所述数据流的多线监控。
2.如权利要求1所述的方法,其特征在于,所述交换机中还至少包含一个出端口,所述交换机将所述入端口接收的数据流的镜像发送到所述反射端口的同时,还包括:
所述交换机将所述入端口接收的数据流发送到所述出端口。
3.如权利要求1所述的方法,其特征在于,所述交换机将所述入端口接收的数据流的镜像发送到所述反射端口之后,还包括:
所述交换机更新所述反射端口所接收的所述数据流的镜像的VLAN标签为所述镜像VLAN的标签;
所述交换机将包含所述镜像VLAN的标签的所述数据流的镜像发送给所述镜像VLAN。
4.如权利要求1所述的方法,其特征在于,还包括:
所述交换机在所述镜像VLAN中的多个目的端口之间配置端口隔离。
5.如权利要求4所述的方法,其特征在于,所述交换机在所述镜像VLAN中向所述多个目的端口所连接的多个监控设备广播所述数据流的镜像,实现所述多个监控设备对所述数据流的多线监控,具体包括:
所述交换机查找所述数据流的镜像在所述镜像VLAN中的媒体访问控制MAC地址转发表项;
当所述交换机查找不到所述数据流的镜像在所述镜像VLAN中的MAC地址转发表项时,所述交换机将所述数据流的镜像在所述镜像VLAN中进行广播;
所述多个监控设备分别通过所述镜像VLAN中所包含的多个目的端口接收所述数据流的镜像;
所述多个监控设备分别根据接收到的所述数据流的镜像对所述数据流进行监控。
6.如权利要求1所述的方法,其特征在于,所述交换机设置与所述多个监控设备相连接的端口为端口汇聚Trunk端口或Hybrid端口,所述多个监控设备分别配置各自数据流的不同VLAN属性,还包括:
所述多个监控设备通过不同的VLAN向所述交换机发送数据流,其中,所述不同的VLAN不同于所述镜像VLAN。
7.一种交换机,其特征在于,应用于包括一个交换机和多个监控设备的网络系统中,其中,所述交换机中至少包含一个入端口、一个反射端口和一个镜像虚拟局域网VLAN,所述反射端口的带宽大于或等于所述入端口的带宽,所述镜像VLAN中包含多个目的端口,所述多个目的端口分别与所述多个监控设备的端口相连接,所述交换机包括:
镜像生成模块,用于生成所述入端口接收的数据流的镜像;
转发模块,与所述镜像生成模块连接,用于将所述镜像生成模块所生成的所述入端口接收的数据流的镜像发送到所述反射端口,将所述反射端口返回的所述数据流的镜像发送到所述镜像VLAN;
处理模块,与所述转发模块连接,用于在所述镜像VLAN中向所述多个目的端口所连接的多个监控设备广播所述转发模块发送到所述镜像VLAN的所述入端口接收的数据流的镜像,实现所述多个监控设备对所述数据流的多线监控。
8.如权利要求7所述的交换机,其特征在于,
所述交换机中还至少包含一个出端口,所述转发模块,还用于将所述镜 像生成模块所生成的所述入端口接收的数据流的镜像发送到所述反射端口的同时,将所述入端口接收的数据流发送到所述出端口;
所述转发模块,还用于更新所述反射端口所接收的所述数据流的镜像的VLAN标签为所述镜像VLAN的标签。
9.如权利要求7所述的交换机,其特征在于,还包括:
配置模块,用于在所述镜像VLAN中的多个目的端口之间配置端口隔离。
10.如权利要求9所述的交换机,其特征在于,所述处理模块,与所述配置模块连接,所述处理模块具体包括:
查找子模块,用于查找所述数据流的镜像在所述镜像VLAN中的MAC地址转发表项;
广播子模块,与所述查找子模块连接,用于当所述查找子模块查找不到所述数据流的镜像在所述镜像VLAN中的MAC地址转发表项时,将所述数据流的镜像在所述镜像VLAN中进行广播。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2009101622970A CN101692649B (zh) | 2009-08-03 | 2009-08-03 | 数据多线监控的方法和设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2009101622970A CN101692649B (zh) | 2009-08-03 | 2009-08-03 | 数据多线监控的方法和设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101692649A CN101692649A (zh) | 2010-04-07 |
CN101692649B true CN101692649B (zh) | 2012-07-11 |
Family
ID=42081307
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2009101622970A Expired - Fee Related CN101692649B (zh) | 2009-08-03 | 2009-08-03 | 数据多线监控的方法和设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101692649B (zh) |
Families Citing this family (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102025544B (zh) * | 2010-12-16 | 2015-09-16 | 中兴通讯股份有限公司 | 流镜像捕获方法及装置 |
CN102082729B (zh) * | 2011-01-30 | 2012-12-12 | 瑞斯康达科技发展股份有限公司 | 接入层交换机端口安全控制方法及交换机 |
CN103297283B (zh) * | 2012-02-24 | 2018-01-23 | 上海欣诺通信技术股份有限公司 | 一种adsl网络监控的设备及方法 |
CN103152291B (zh) * | 2013-02-21 | 2016-03-02 | 杭州华三通信技术有限公司 | 一种基于trill网络的远程镜像实现方法和设备 |
CN103475093B (zh) * | 2013-08-29 | 2016-01-20 | 国家电网公司 | 一种智能变电站数据监控方法及其系统 |
CN105306388A (zh) * | 2015-11-06 | 2016-02-03 | 西安交大捷普网络科技有限公司 | 基于netfilter框架下的端口数据镜像实现方法 |
CN105681150A (zh) * | 2016-03-07 | 2016-06-15 | 中车株洲电力机车研究所有限公司 | 一种风电场网络中隔离广播风暴的方法 |
CN106130800B (zh) * | 2016-08-29 | 2020-01-03 | 杭州迪普科技股份有限公司 | 一种数据帧的处理方法及装置 |
CN109391567B (zh) * | 2017-08-14 | 2021-10-12 | 中兴通讯股份有限公司 | 硬件交换机控制流向的方法、装置、终端设备及存储介质 |
CN108123899B (zh) * | 2017-12-21 | 2020-09-11 | 湖南恒茂高科股份有限公司 | 一种交换机出口报文流的统计方法及监控方法 |
CN110455347A (zh) * | 2019-09-09 | 2019-11-15 | 重庆商勤科技有限公司 | 一种污染源在线自动监测系统 |
CN111181859B (zh) * | 2019-12-31 | 2022-03-25 | 京信网络系统股份有限公司 | 网络设备的监控方法、系统、路由设备和存储介质 |
CN111953786A (zh) * | 2020-08-14 | 2020-11-17 | 北京东土军悦科技有限公司 | 全网报文的录取系统、方法、装置、网络设备及存储介质 |
CN112152998B (zh) * | 2020-08-20 | 2022-11-15 | 唐山钢铁集团有限责任公司 | 一种跨越多层网络设备进行数据包监听和捕捉的方法 |
CN114285810A (zh) * | 2020-09-27 | 2022-04-05 | 中兴通讯股份有限公司 | 数据传输方法、系统、介质及设备 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101043387A (zh) * | 2007-03-22 | 2007-09-26 | 杭州华三通信技术有限公司 | 远程镜像实现方法、远程监控设备及实现远程镜像的系统 |
-
2009
- 2009-08-03 CN CN2009101622970A patent/CN101692649B/zh not_active Expired - Fee Related
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101043387A (zh) * | 2007-03-22 | 2007-09-26 | 杭州华三通信技术有限公司 | 远程镜像实现方法、远程监控设备及实现远程镜像的系统 |
Also Published As
Publication number | Publication date |
---|---|
CN101692649A (zh) | 2010-04-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101692649B (zh) | 数据多线监控的方法和设备 | |
US10305904B2 (en) | Facilitating secure network traffic by an application delivery controller | |
US11848854B1 (en) | Method, apparatus, and computer program product for dynamic security based grid routing | |
AU2011246969B2 (en) | An IP-closed circuit system and method | |
US20070101422A1 (en) | Automated network blocking method and system | |
US20120210416A1 (en) | Load balancing in a network with session information | |
CN102710651B (zh) | 跨网络视频会议的控制方法 | |
CN101635731B (zh) | 一种抵御mac地址欺骗攻击的方法及设备 | |
CN100574249C (zh) | 虚拟路由器冗余协议报文传输方法及装置 | |
CN103477588A (zh) | 刀片服务器中刀片间网络业务的分类和管理方法和系统 | |
CN104205751A (zh) | 网络系统、控制器和分组认证方法 | |
CN103581062A (zh) | 用于处理未知单播数据包的方法和系统 | |
US8713663B2 (en) | Method for using extended security system, extended security system and devices | |
WO2016202007A1 (zh) | 一种设备运维方法及系统 | |
CN111385326B (zh) | 轨道交通通信系统 | |
CN101127760A (zh) | 网络中双向协议隔离方法及其装置 | |
CN103441905A (zh) | 网络流量监控系统 | |
CN101188558B (zh) | 访问控制方法、单元及网络设备 | |
US10116646B2 (en) | Software-defined network threat control | |
CN101827028A (zh) | 实现组播vpn报文发送的方法及设备 | |
CN114268457A (zh) | 一种多规约多业务公网安全接入方法 | |
KR20140055954A (ko) | 보안 데이터 패킷을 교환하기 위한 타임-록드 네트워크 및 노드 | |
Faujdar et al. | Network security in software defined networks (SDN) | |
CN202261380U (zh) | 一种网络安全系统 | |
CN106559268A (zh) | 用于ip监控系统的动态端口隔离方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CP03 | Change of name, title or address | ||
CP03 | Change of name, title or address |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Patentee after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base Patentee before: Huasan Communication Technology Co., Ltd. |
|
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120711 Termination date: 20200803 |