CN105939220A - 远程端口镜像的实现方法及装置 - Google Patents

远程端口镜像的实现方法及装置 Download PDF

Info

Publication number
CN105939220A
CN105939220A CN201610246410.3A CN201610246410A CN105939220A CN 105939220 A CN105939220 A CN 105939220A CN 201610246410 A CN201610246410 A CN 201610246410A CN 105939220 A CN105939220 A CN 105939220A
Authority
CN
China
Prior art keywords
mirror image
message
image message
destination interface
equipment
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201610246410.3A
Other languages
English (en)
Inventor
宁力军
薛文生
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou DPTech Technologies Co Ltd
Original Assignee
Hangzhou DPTech Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou DPTech Technologies Co Ltd filed Critical Hangzhou DPTech Technologies Co Ltd
Priority to CN201610246410.3A priority Critical patent/CN105939220A/zh
Publication of CN105939220A publication Critical patent/CN105939220A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0677Localisation of faults
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/20Support for services
    • H04L49/208Port mirroring

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

本申请提供一种远程端口镜像的实现方法及装置,所述方法包括:接收待监测设备发送的镜像报文;当确定所述镜像报文为非法报文时,根据预先设置的策略,将所述镜像报文重定向至目的端口,通过所述目的端口将所述镜像报文发送至数据监测设备。应用本申请的方法,实现了有效地对网络数据进行监控分析,并且在网络异常时,有效地定位引起网络异常的原因。

Description

远程端口镜像的实现方法及装置
技术领域
本申请涉及数据通信技术领域,尤其涉及远程端口镜像的实现方法及装置。
背景技术
端口镜像是把交换机或路由器上一个或多个端口的报文复制到其他一个或多个端口的方法,其中,报文被复制的端口称为镜像源端口,接收复制的报文的端口称为镜像目的端口。镜像目的端口可以将接收到的报文传输到数据监测设备,从而使得数据监测设备可以基于这些报文,对镜像源端口的报文进行监控分析。端口镜像根据镜像源端口与镜像目的端口所在设备是否为同一台设备,可以分为本地端口镜像和远程端口镜像,例如,镜像源端口与镜像目的端口位于不同设备上时,称为远程端口镜像。
现有技术中,在采用远程端口镜像时,如果镜像源端口的报文的源MAC地址为组播地址或者全0地址时,目的设备(镜像目的端口所在的设备)接收到该种报文时,将认为报文非法,直接将该种报文作丢弃处理。从而,该种报文不会再由目的设备通过镜像目的端口发送至数据监测设备。那么,数据监测设备根据所接收到的报文,则很可能无法发现异常情况,例如,源设备(镜像源端口所在的设备)遭受到攻击时,镜像源端口频繁发送非法报文,造成网络异常,而通过远程端口镜像技术,也无法有效地定位网络异常的原因。
发明内容
有鉴于此,本申请提供一种远程端口镜像的实现方法及装置,以实现有效地对网络数据进行监控分析,并且在网络异常时,有效地定位引起网络异常的原因。
具体地,本申请是通过如下技术方案实现的:
根据本申请实施例的第一方面,提供一种远程端口镜像的实现方法,所述方法包括:
接收待监测设备发送的镜像报文;
当确定所述镜像报文为非法报文时,根据预先设置的策略,将所述镜像报文重定向至目的端口,通过所述目的端口将所述镜像报文发送至数据监测设备。
在一个例子中,所述确定所述镜像报文为非法报文,包括:
若所述镜像报文的源MAC地址为组播地址,或全0的地址,则确定所述镜像报文为非法报文。
在另一个例子中,所述预先设置的策略,为ACL规则,所述ACL规则包括:
若镜像报文的源MAC地址为组播地址,或全0的地址,则将所述镜像报文重定向至所述目的端口。
在又一个例子中,所述方法还包括:
确定所述预先设置的策略生效。
在又一个例子中,所述方法还包括:
当确定所述镜像报文为合法报文时,将所述镜像报文转发至所述目的端口,通过所述目的端口将所述镜像报文发送至数据监测设备。
根据本申请实施例的第二方面,提供一种远程端口镜像的实现装置,所述装置包括:
接收单元,用于接收待监测设备发送的镜像报文;
第一处理单元,用于当确定所述镜像报文为非法报文时,根据预先设置的策略,将所述镜像报文重定向至目的端口,通过所述目的端口将所述镜像报文发送至数据监测设备。
在一个例子中,所述确定所述镜像报文为非法报文,包括:若所述镜像报文的源MAC地址为组播地址,或全0的地址,则确定所述镜像报文为非法报文。
在另一个例子中,所述预先设置的策略,为ACL规则,所述ACL规则包括:
若镜像报文的源MAC地址为组播地址,或全0的地址,则将所述镜像报文重定向至所述目的端口。
在又一个例子中,所述装置还包括:
确定单元,用于确定所述预先设置的策略生效。
在又一个例子中,所述装置还包括:
第二处理单元,用于当确定所述镜像报文为合法报文时,将所述镜像报文转发至所述目的端口,通过所述目的端口将所述镜像报文发送至数据监测设备。
由上述实施例可见,通过在确定接收到的镜像报文为非法报文时,根据预先设置的策略,将非法报文重定向到目的端口,通过目的端口将该非法报文发送至数据监测设备,从而实现了数据监测设备有效地监测分析网络数据,并在网络异常时,可以有效地定位网络异常的原因。
附图说明
图1示例了本申请远程端口镜像的实现方法的实施例的应用场景示意图。
图2示例了本申请远程端口镜像的实现方法的实施例流程图。
图3为本申请远程端口镜像的实现装置所在网络设备的一种硬件结构图。
图4示例了本申请远程端口镜像的实现装置的一个实施例框图。
图5示例了本申请远程端口镜像的实现装置的另一个实施例流程图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
远程端口镜像可以实现将源设备的源端口上的报文复制到另一台目的设备的目的端口,该源端口可以称为被监控的端口,目的端口也可称为监控端口,该目的端口可以将接收到的报文转发到数据监测设备,以便对源端口的报文进行监控和分析。为了实现有效地对网络数据进行监控分析,并且在网络异常时,有效地定位引起网络异常的原因,本申请提供一种远程端口镜像的实现方法及装置。如图1所示,示例了本申请远程端口镜像的实现方法的实施例的应用场景示意图。
图1中包括:源设备11、中间设备12、目的设备13、数据监测设备14。其中,源设备11上包括源端口111、出端口112,通过在源设备11上进行远程端口镜像配置,可以实现将源端口111的报文进行复制,并将复制的报文发送至出端口112;该出端口112可以通过中间设备12,将所述复制的报文发送至目的设备13的入端口131;该目的设备13也可以预先进行了远程端口镜像配置,并通过本申请实施例远程端口镜像的实现方法,实现将入端口131上的报文发送至目的端口132;该目的端口132连接数据监测设备14,从而,目的设备可以将目的端口132上的报文最终发送至数据监测设备,使得数据监测设备可以有效地监控源端口111上的报文,并且在网络异常时,有效地定位引起网络异常的原因。可以理解的是,图1中仅以包括一个中间设备为例进行说明,实际应用中,源设备11和目的设备12之间,还可以存在多个中间设备,本申请对此不作限制。
为了详细地说明目的设备13,是如何应用本申请实施例远程端口镜像的实现方法的,如下的图2,示例了本申请远程端口镜像的实现方法的实施例流程图,以目的设备13执行该方法为例,可以包括以下步骤:
步骤S201:接收待监测设备发送的镜像报文。
步骤S202:当确定所述镜像报文为非法报文时,根据预先设置的策略,将所述镜像报文重定向至目的端口,通过所述目的端口将所述镜像报文发送至数据监测设备。
在步骤S201和步骤S202中,结合上述图1所示的应用场景示意图,本实施例中,可以将源设备11看作待监测的设备,通过远程端口镜像配置,源端口111上被复制的报文可以称作镜像报文。源设备11,可以通过出端口112将镜像报文发送至中间设备12,该中间设备12再将该镜像报文,通过入端口131发送至目的设备13,从而,目的设备13接收到待监测设备,例如源设备11发送的镜像报文。
本实施例中,可以将源MAC地址为组播地址或全0的报文,看作非法报文。然而,当源设备11遭受到恶意攻击时,有可能会产生非法报文,并通过源端口111,大量发送非法报文,造成网络异常。当镜像报文通过入端口131进入目的设备13时,目的设备可以通过镜像报文的源MAC地址,确定接收到的镜像报文是否为非法报文。若确定接收到的镜像报文是非法报文,本实施例中,目的设备13可以根据预先设置的策略,将该镜像报文重定向至目的端口131,从而最终可以将该镜像报文通过目的端口131发送至数据监测设备14。相比较与现有技术中,目的设备13接收到非法报文时,即将非法报文做丢弃处理,导致数据监测设备14无法接收到非法报文,本实施例中远程端口镜像的实现方法,可以实现有效地对待监测设备的报文进行监控分析,并在网络异常时,例如,源设备13遭受到恶意攻击,发送非法报文时,能够通过对报文的监控分析,有效地定位网络异常的原因。
在一个例子中,上述预先设置的策略可以为ACL规则,该ACL规则用于在镜像报文的源MAC地址为组播地址,或全0的地址时,将该镜像报文重定向至目的端口。目的设备13可以通过在进行远程端口镜像配置时,即配置该ACL规则,也可以通过在用户在ACL配置页面上所下达的的配置ACL规则的指令,配置该ACL规则。此外,当配置完ACL规则后,目的设备13还可以通过技术手段,例如,根据接收到的指令,确定该ACL规则是否配置成功,即是否生效。
此外,目的设备13在确定所接收到的镜像报文为合法报文时,可以将该镜像报文转发至目的端口131,例如,根据芯片上的转发表项,将镜像报文转发至目的端口131,从而使得合法报文也可以通过端口131被转发至数据监测设备14。
由上述实施例可见,通过在确定接收到的镜像报文为非法报文时,根据预先设置的策略,将非法报文重定向到目的端口,通过目的端口将该非法报文发送至数据监测设备,从而实现了数据监测设备有效地监测分析网络数据,并在网络异常时,可以有效地定位网络异常的原因。
与前述远程端口镜像的实现方法的实施例相对应,本申请还提供了远程端口镜像的实现装置的实施例。
本申请远程端口镜像的实现装置的实施例可以应用在网络设备上。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在网络设备的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言,如图3所示,为本申请远程端口镜像的实现装置所在网络设备的一种硬件结构图,除了图3所示的处理器31、内存32、网络接口33、以及非易失性存储器34之外,实施例中装置所在的网络设备通常根据该网络设备的实际功能,还可以包括其他硬件,对此不再赘述。
请参考图4,示例了本申请远程端口镜像的实现装置的一个实施例框图,可以包括:接收单元41、第一处理单元42。
其中,该接收单元41,可以用于接收待监测设备发送的镜像报文;
该第一处理单元42,可以用于当确定所述镜像报文为非法报文时,根据预先设置的策略,将所述镜像报文重定向至目的端口,通过所述目的端口将所述镜像报文发送至数据监测设备。
在一个实施例中,所述确定所述镜像报文为非法报文,包括:若所述镜像报文的源MAC地址为组播地址,或全0的地址,则确定所述镜像报文为非法报文。
所述预先设置的策略,为ACL规则,所述ACL规则包括:
若镜像报文的源MAC地址为组播地址,或全0的地址,则将所述镜像报文重定向至所述目的端口。
请参考图5,示例了本申请远程端口镜像的实现装置的另一个实施例流程图,该图5所示的装置,在上述图4所示装置的基础上,还可以包括:确定单元43、第二处理单元44。
其中,该确定单元43,可以用于确定所述预先设置的策略生效。
该第二处理单元44,可以用于当确定所述镜像报文为合法报文时,将所述镜像报文转发至所述目的端口,通过所述目的端口将所述镜像报文发送至数据监测设备。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。

Claims (10)

1.一种远程端口镜像的实现方法,其特征在于,所述方法包括:
接收待监测设备发送的镜像报文;
当确定所述镜像报文为非法报文时,根据预先设置的策略,将所述镜像报文重定向至目的端口,通过所述目的端口将所述镜像报文发送至数据监测设备。
2.根据权利要求1所述的方法,其特征在于,所述确定所述镜像报文为非法报文,包括:
若所述镜像报文的源媒体访问控制MAC地址为组播地址,或全0的地址,则确定所述镜像报文为非法报文。
3.根据权利要求2所述的方法,其特征在于,所述预先设置的策略,为访问控制列表ACL规则,所述ACL规则包括:
若镜像报文的源MAC地址为组播地址,或全0的地址,则将所述镜像报文重定向至所述目的端口。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
确定所述预先设置的策略生效。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
当确定所述镜像报文为合法报文时,将所述镜像报文转发至所述目的端口,通过所述目的端口将所述镜像报文发送至数据监测设备。
6.一种远程端口镜像的实现装置,其特征在于,所述装置包括:
接收单元,用于接收待监测设备发送的镜像报文;
第一处理单元,用于当确定所述镜像报文为非法报文时,根据预先设置的策略,将所述镜像报文重定向至目的端口,通过所述目的端口将所述镜像报文发送至数据监测设备。
7.根据权利要求6所述的装置,其特征在于,所述确定所述镜像报文为非法报文,包括:若所述镜像报文的源MAC地址为组播地址,或全0的地址,则确定所述镜像报文为非法报文。
8.根据权利要求7所述的装置,其特征在于,所述预先设置的策略,为ACL规则,所述ACL规则包括:
若镜像报文的源MAC地址为组播地址,或全0的地址,则将所述镜像报文重定向至所述目的端口。
9.根据权利要求6所述的装置,其特征在于,所述装置还包括:
确定单元,用于确定所述预先设置的策略生效。
10.根据权利要求6所述的装置,其特征在于,所述装置还包括:
第二处理单元,用于当确定所述镜像报文为合法报文时,将所述镜像报文转发至所述目的端口,通过所述目的端口将所述镜像报文发送至数据监测设备。
CN201610246410.3A 2016-04-18 2016-04-18 远程端口镜像的实现方法及装置 Pending CN105939220A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610246410.3A CN105939220A (zh) 2016-04-18 2016-04-18 远程端口镜像的实现方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610246410.3A CN105939220A (zh) 2016-04-18 2016-04-18 远程端口镜像的实现方法及装置

Publications (1)

Publication Number Publication Date
CN105939220A true CN105939220A (zh) 2016-09-14

Family

ID=57152072

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610246410.3A Pending CN105939220A (zh) 2016-04-18 2016-04-18 远程端口镜像的实现方法及装置

Country Status (1)

Country Link
CN (1) CN105939220A (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106953815A (zh) * 2017-03-21 2017-07-14 北京浩瀚深度信息技术股份有限公司 基于fpga的端口镜像报文传输方法及系统
WO2019034002A1 (zh) * 2017-08-14 2019-02-21 中兴通讯股份有限公司 硬件交换机控制流向的方法、装置、终端设备及存储介质
CN111049762A (zh) * 2019-12-23 2020-04-21 上海金仕达软件科技有限公司 数据采集方法、装置、存储介质及交换机

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1983955A (zh) * 2006-05-09 2007-06-20 华为技术有限公司 对非法报文的监控方法及监控系统
CN101035033A (zh) * 2007-04-04 2007-09-12 杭州华为三康技术有限公司 支持远程报文镜像的报文镜像方法和网络设备
CN101068248A (zh) * 2007-06-07 2007-11-07 杭州华三通信技术有限公司 远程镜像方法、镜像源设备及镜像目的设备
CN101707557A (zh) * 2009-11-20 2010-05-12 中兴通讯股份有限公司 Cpu协议报文远端镜像方法及其装置和系统
CN103200129A (zh) * 2013-04-05 2013-07-10 张小云 一种异常报文的镜像方法和装置
CN104243211A (zh) * 2014-09-22 2014-12-24 北京星网锐捷网络技术有限公司 一种数据流的镜像方法及装置

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1983955A (zh) * 2006-05-09 2007-06-20 华为技术有限公司 对非法报文的监控方法及监控系统
CN101035033A (zh) * 2007-04-04 2007-09-12 杭州华为三康技术有限公司 支持远程报文镜像的报文镜像方法和网络设备
CN101068248A (zh) * 2007-06-07 2007-11-07 杭州华三通信技术有限公司 远程镜像方法、镜像源设备及镜像目的设备
CN101707557A (zh) * 2009-11-20 2010-05-12 中兴通讯股份有限公司 Cpu协议报文远端镜像方法及其装置和系统
CN103200129A (zh) * 2013-04-05 2013-07-10 张小云 一种异常报文的镜像方法和装置
CN104243211A (zh) * 2014-09-22 2014-12-24 北京星网锐捷网络技术有限公司 一种数据流的镜像方法及装置

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106953815A (zh) * 2017-03-21 2017-07-14 北京浩瀚深度信息技术股份有限公司 基于fpga的端口镜像报文传输方法及系统
WO2019034002A1 (zh) * 2017-08-14 2019-02-21 中兴通讯股份有限公司 硬件交换机控制流向的方法、装置、终端设备及存储介质
CN111049762A (zh) * 2019-12-23 2020-04-21 上海金仕达软件科技有限公司 数据采集方法、装置、存储介质及交换机

Similar Documents

Publication Publication Date Title
US9407602B2 (en) Methods and apparatus for redirecting attacks on a network
JP5090408B2 (ja) ネットワーク通信において送信データの宛先を動的に制御する方法及び機器
JP2005276185A (ja) ソフトウェアの脆弱性の悪用を防止するように通信をフィルタ処理するための方法およびシステム
CN105959282A (zh) Dhcp攻击的防护方法及装置
CN105939284B (zh) 报文控制策略的匹配方法及装置
US9626522B1 (en) Method and apparatus for the network steganographic assessment of a test subject
CN105939220A (zh) 远程端口镜像的实现方法及装置
JP6419217B2 (ja) コンピュータシステム間でデータを転送する方法、コンピュータネットワークインフラストラクチャ、及びコンピュータプログラム製品
CN106656615A (zh) 一种基于tracert命令的报文处理方法及装置
CN105743868B (zh) 一种支持加密和非加密协议的数据采集系统与方法
JP6407598B2 (ja) 中継装置、中継方法、及び中継プログラム
CN101494536B (zh) 一种防arp攻击的方法、装置和系统
CN107241297B (zh) 通信拦截方法及装置、服务器
CN105763365B (zh) 一种异常处理方法及装置
CN105991370B (zh) 一种udp通道探测方法及装置
CN107395615B (zh) 一种打印机安全防护的方法和装置
CN105959129A (zh) 监测网络故障的方法及装置
US20170322862A1 (en) Information processing apparatus, method, and medium
CN109587134A (zh) 接口总线的安全认证的方法、装置、设备和介质
US10237122B2 (en) Methods, systems, and computer readable media for providing high availability support at a bypass switch
CN112565217B (zh) 基于协议的混淆通信方法及客户终端、服务器、存储介质
CN105939401B (zh) 处理报文的方法及装置
CN105227462B (zh) 一种用于更新OpenFlow流表的方法与设备
CN106209839A (zh) 入侵报文的防护方法及装置
KR101070522B1 (ko) 스푸핑 공격 탐지 및 차단 시스템 및 방법

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information

Address after: Binjiang District and Hangzhou city in Zhejiang Province Road 310051 No. 68 in the 6 storey building

Applicant after: Hangzhou Dipu Polytron Technologies Inc

Address before: Binjiang District and Hangzhou city in Zhejiang Province Road 310051 No. 68 in the 6 storey building

Applicant before: Hangzhou Dipu Technology Co., Ltd.

CB02 Change of applicant information
RJ01 Rejection of invention patent application after publication

Application publication date: 20160914

RJ01 Rejection of invention patent application after publication