CN105939220A - 远程端口镜像的实现方法及装置 - Google Patents
远程端口镜像的实现方法及装置 Download PDFInfo
- Publication number
- CN105939220A CN105939220A CN201610246410.3A CN201610246410A CN105939220A CN 105939220 A CN105939220 A CN 105939220A CN 201610246410 A CN201610246410 A CN 201610246410A CN 105939220 A CN105939220 A CN 105939220A
- Authority
- CN
- China
- Prior art keywords
- mirror image
- message
- image message
- destination interface
- equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0677—Localisation of faults
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/20—Support for services
- H04L49/208—Port mirroring
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本申请提供一种远程端口镜像的实现方法及装置,所述方法包括:接收待监测设备发送的镜像报文;当确定所述镜像报文为非法报文时,根据预先设置的策略,将所述镜像报文重定向至目的端口,通过所述目的端口将所述镜像报文发送至数据监测设备。应用本申请的方法,实现了有效地对网络数据进行监控分析,并且在网络异常时,有效地定位引起网络异常的原因。
Description
技术领域
本申请涉及数据通信技术领域,尤其涉及远程端口镜像的实现方法及装置。
背景技术
端口镜像是把交换机或路由器上一个或多个端口的报文复制到其他一个或多个端口的方法,其中,报文被复制的端口称为镜像源端口,接收复制的报文的端口称为镜像目的端口。镜像目的端口可以将接收到的报文传输到数据监测设备,从而使得数据监测设备可以基于这些报文,对镜像源端口的报文进行监控分析。端口镜像根据镜像源端口与镜像目的端口所在设备是否为同一台设备,可以分为本地端口镜像和远程端口镜像,例如,镜像源端口与镜像目的端口位于不同设备上时,称为远程端口镜像。
现有技术中,在采用远程端口镜像时,如果镜像源端口的报文的源MAC地址为组播地址或者全0地址时,目的设备(镜像目的端口所在的设备)接收到该种报文时,将认为报文非法,直接将该种报文作丢弃处理。从而,该种报文不会再由目的设备通过镜像目的端口发送至数据监测设备。那么,数据监测设备根据所接收到的报文,则很可能无法发现异常情况,例如,源设备(镜像源端口所在的设备)遭受到攻击时,镜像源端口频繁发送非法报文,造成网络异常,而通过远程端口镜像技术,也无法有效地定位网络异常的原因。
发明内容
有鉴于此,本申请提供一种远程端口镜像的实现方法及装置,以实现有效地对网络数据进行监控分析,并且在网络异常时,有效地定位引起网络异常的原因。
具体地,本申请是通过如下技术方案实现的:
根据本申请实施例的第一方面,提供一种远程端口镜像的实现方法,所述方法包括:
接收待监测设备发送的镜像报文;
当确定所述镜像报文为非法报文时,根据预先设置的策略,将所述镜像报文重定向至目的端口,通过所述目的端口将所述镜像报文发送至数据监测设备。
在一个例子中,所述确定所述镜像报文为非法报文,包括:
若所述镜像报文的源MAC地址为组播地址,或全0的地址,则确定所述镜像报文为非法报文。
在另一个例子中,所述预先设置的策略,为ACL规则,所述ACL规则包括:
若镜像报文的源MAC地址为组播地址,或全0的地址,则将所述镜像报文重定向至所述目的端口。
在又一个例子中,所述方法还包括:
确定所述预先设置的策略生效。
在又一个例子中,所述方法还包括:
当确定所述镜像报文为合法报文时,将所述镜像报文转发至所述目的端口,通过所述目的端口将所述镜像报文发送至数据监测设备。
根据本申请实施例的第二方面,提供一种远程端口镜像的实现装置,所述装置包括:
接收单元,用于接收待监测设备发送的镜像报文;
第一处理单元,用于当确定所述镜像报文为非法报文时,根据预先设置的策略,将所述镜像报文重定向至目的端口,通过所述目的端口将所述镜像报文发送至数据监测设备。
在一个例子中,所述确定所述镜像报文为非法报文,包括:若所述镜像报文的源MAC地址为组播地址,或全0的地址,则确定所述镜像报文为非法报文。
在另一个例子中,所述预先设置的策略,为ACL规则,所述ACL规则包括:
若镜像报文的源MAC地址为组播地址,或全0的地址,则将所述镜像报文重定向至所述目的端口。
在又一个例子中,所述装置还包括:
确定单元,用于确定所述预先设置的策略生效。
在又一个例子中,所述装置还包括:
第二处理单元,用于当确定所述镜像报文为合法报文时,将所述镜像报文转发至所述目的端口,通过所述目的端口将所述镜像报文发送至数据监测设备。
由上述实施例可见,通过在确定接收到的镜像报文为非法报文时,根据预先设置的策略,将非法报文重定向到目的端口,通过目的端口将该非法报文发送至数据监测设备,从而实现了数据监测设备有效地监测分析网络数据,并在网络异常时,可以有效地定位网络异常的原因。
附图说明
图1示例了本申请远程端口镜像的实现方法的实施例的应用场景示意图。
图2示例了本申请远程端口镜像的实现方法的实施例流程图。
图3为本申请远程端口镜像的实现装置所在网络设备的一种硬件结构图。
图4示例了本申请远程端口镜像的实现装置的一个实施例框图。
图5示例了本申请远程端口镜像的实现装置的另一个实施例流程图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
远程端口镜像可以实现将源设备的源端口上的报文复制到另一台目的设备的目的端口,该源端口可以称为被监控的端口,目的端口也可称为监控端口,该目的端口可以将接收到的报文转发到数据监测设备,以便对源端口的报文进行监控和分析。为了实现有效地对网络数据进行监控分析,并且在网络异常时,有效地定位引起网络异常的原因,本申请提供一种远程端口镜像的实现方法及装置。如图1所示,示例了本申请远程端口镜像的实现方法的实施例的应用场景示意图。
图1中包括:源设备11、中间设备12、目的设备13、数据监测设备14。其中,源设备11上包括源端口111、出端口112,通过在源设备11上进行远程端口镜像配置,可以实现将源端口111的报文进行复制,并将复制的报文发送至出端口112;该出端口112可以通过中间设备12,将所述复制的报文发送至目的设备13的入端口131;该目的设备13也可以预先进行了远程端口镜像配置,并通过本申请实施例远程端口镜像的实现方法,实现将入端口131上的报文发送至目的端口132;该目的端口132连接数据监测设备14,从而,目的设备可以将目的端口132上的报文最终发送至数据监测设备,使得数据监测设备可以有效地监控源端口111上的报文,并且在网络异常时,有效地定位引起网络异常的原因。可以理解的是,图1中仅以包括一个中间设备为例进行说明,实际应用中,源设备11和目的设备12之间,还可以存在多个中间设备,本申请对此不作限制。
为了详细地说明目的设备13,是如何应用本申请实施例远程端口镜像的实现方法的,如下的图2,示例了本申请远程端口镜像的实现方法的实施例流程图,以目的设备13执行该方法为例,可以包括以下步骤:
步骤S201:接收待监测设备发送的镜像报文。
步骤S202:当确定所述镜像报文为非法报文时,根据预先设置的策略,将所述镜像报文重定向至目的端口,通过所述目的端口将所述镜像报文发送至数据监测设备。
在步骤S201和步骤S202中,结合上述图1所示的应用场景示意图,本实施例中,可以将源设备11看作待监测的设备,通过远程端口镜像配置,源端口111上被复制的报文可以称作镜像报文。源设备11,可以通过出端口112将镜像报文发送至中间设备12,该中间设备12再将该镜像报文,通过入端口131发送至目的设备13,从而,目的设备13接收到待监测设备,例如源设备11发送的镜像报文。
本实施例中,可以将源MAC地址为组播地址或全0的报文,看作非法报文。然而,当源设备11遭受到恶意攻击时,有可能会产生非法报文,并通过源端口111,大量发送非法报文,造成网络异常。当镜像报文通过入端口131进入目的设备13时,目的设备可以通过镜像报文的源MAC地址,确定接收到的镜像报文是否为非法报文。若确定接收到的镜像报文是非法报文,本实施例中,目的设备13可以根据预先设置的策略,将该镜像报文重定向至目的端口131,从而最终可以将该镜像报文通过目的端口131发送至数据监测设备14。相比较与现有技术中,目的设备13接收到非法报文时,即将非法报文做丢弃处理,导致数据监测设备14无法接收到非法报文,本实施例中远程端口镜像的实现方法,可以实现有效地对待监测设备的报文进行监控分析,并在网络异常时,例如,源设备13遭受到恶意攻击,发送非法报文时,能够通过对报文的监控分析,有效地定位网络异常的原因。
在一个例子中,上述预先设置的策略可以为ACL规则,该ACL规则用于在镜像报文的源MAC地址为组播地址,或全0的地址时,将该镜像报文重定向至目的端口。目的设备13可以通过在进行远程端口镜像配置时,即配置该ACL规则,也可以通过在用户在ACL配置页面上所下达的的配置ACL规则的指令,配置该ACL规则。此外,当配置完ACL规则后,目的设备13还可以通过技术手段,例如,根据接收到的指令,确定该ACL规则是否配置成功,即是否生效。
此外,目的设备13在确定所接收到的镜像报文为合法报文时,可以将该镜像报文转发至目的端口131,例如,根据芯片上的转发表项,将镜像报文转发至目的端口131,从而使得合法报文也可以通过端口131被转发至数据监测设备14。
由上述实施例可见,通过在确定接收到的镜像报文为非法报文时,根据预先设置的策略,将非法报文重定向到目的端口,通过目的端口将该非法报文发送至数据监测设备,从而实现了数据监测设备有效地监测分析网络数据,并在网络异常时,可以有效地定位网络异常的原因。
与前述远程端口镜像的实现方法的实施例相对应,本申请还提供了远程端口镜像的实现装置的实施例。
本申请远程端口镜像的实现装置的实施例可以应用在网络设备上。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在网络设备的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言,如图3所示,为本申请远程端口镜像的实现装置所在网络设备的一种硬件结构图,除了图3所示的处理器31、内存32、网络接口33、以及非易失性存储器34之外,实施例中装置所在的网络设备通常根据该网络设备的实际功能,还可以包括其他硬件,对此不再赘述。
请参考图4,示例了本申请远程端口镜像的实现装置的一个实施例框图,可以包括:接收单元41、第一处理单元42。
其中,该接收单元41,可以用于接收待监测设备发送的镜像报文;
该第一处理单元42,可以用于当确定所述镜像报文为非法报文时,根据预先设置的策略,将所述镜像报文重定向至目的端口,通过所述目的端口将所述镜像报文发送至数据监测设备。
在一个实施例中,所述确定所述镜像报文为非法报文,包括:若所述镜像报文的源MAC地址为组播地址,或全0的地址,则确定所述镜像报文为非法报文。
所述预先设置的策略,为ACL规则,所述ACL规则包括:
若镜像报文的源MAC地址为组播地址,或全0的地址,则将所述镜像报文重定向至所述目的端口。
请参考图5,示例了本申请远程端口镜像的实现装置的另一个实施例流程图,该图5所示的装置,在上述图4所示装置的基础上,还可以包括:确定单元43、第二处理单元44。
其中,该确定单元43,可以用于确定所述预先设置的策略生效。
该第二处理单元44,可以用于当确定所述镜像报文为合法报文时,将所述镜像报文转发至所述目的端口,通过所述目的端口将所述镜像报文发送至数据监测设备。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (10)
1.一种远程端口镜像的实现方法,其特征在于,所述方法包括:
接收待监测设备发送的镜像报文;
当确定所述镜像报文为非法报文时,根据预先设置的策略,将所述镜像报文重定向至目的端口,通过所述目的端口将所述镜像报文发送至数据监测设备。
2.根据权利要求1所述的方法,其特征在于,所述确定所述镜像报文为非法报文,包括:
若所述镜像报文的源媒体访问控制MAC地址为组播地址,或全0的地址,则确定所述镜像报文为非法报文。
3.根据权利要求2所述的方法,其特征在于,所述预先设置的策略,为访问控制列表ACL规则,所述ACL规则包括:
若镜像报文的源MAC地址为组播地址,或全0的地址,则将所述镜像报文重定向至所述目的端口。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
确定所述预先设置的策略生效。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
当确定所述镜像报文为合法报文时,将所述镜像报文转发至所述目的端口,通过所述目的端口将所述镜像报文发送至数据监测设备。
6.一种远程端口镜像的实现装置,其特征在于,所述装置包括:
接收单元,用于接收待监测设备发送的镜像报文;
第一处理单元,用于当确定所述镜像报文为非法报文时,根据预先设置的策略,将所述镜像报文重定向至目的端口,通过所述目的端口将所述镜像报文发送至数据监测设备。
7.根据权利要求6所述的装置,其特征在于,所述确定所述镜像报文为非法报文,包括:若所述镜像报文的源MAC地址为组播地址,或全0的地址,则确定所述镜像报文为非法报文。
8.根据权利要求7所述的装置,其特征在于,所述预先设置的策略,为ACL规则,所述ACL规则包括:
若镜像报文的源MAC地址为组播地址,或全0的地址,则将所述镜像报文重定向至所述目的端口。
9.根据权利要求6所述的装置,其特征在于,所述装置还包括:
确定单元,用于确定所述预先设置的策略生效。
10.根据权利要求6所述的装置,其特征在于,所述装置还包括:
第二处理单元,用于当确定所述镜像报文为合法报文时,将所述镜像报文转发至所述目的端口,通过所述目的端口将所述镜像报文发送至数据监测设备。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610246410.3A CN105939220A (zh) | 2016-04-18 | 2016-04-18 | 远程端口镜像的实现方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610246410.3A CN105939220A (zh) | 2016-04-18 | 2016-04-18 | 远程端口镜像的实现方法及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN105939220A true CN105939220A (zh) | 2016-09-14 |
Family
ID=57152072
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610246410.3A Pending CN105939220A (zh) | 2016-04-18 | 2016-04-18 | 远程端口镜像的实现方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105939220A (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106953815A (zh) * | 2017-03-21 | 2017-07-14 | 北京浩瀚深度信息技术股份有限公司 | 基于fpga的端口镜像报文传输方法及系统 |
WO2019034002A1 (zh) * | 2017-08-14 | 2019-02-21 | 中兴通讯股份有限公司 | 硬件交换机控制流向的方法、装置、终端设备及存储介质 |
CN111049762A (zh) * | 2019-12-23 | 2020-04-21 | 上海金仕达软件科技有限公司 | 数据采集方法、装置、存储介质及交换机 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1983955A (zh) * | 2006-05-09 | 2007-06-20 | 华为技术有限公司 | 对非法报文的监控方法及监控系统 |
CN101035033A (zh) * | 2007-04-04 | 2007-09-12 | 杭州华为三康技术有限公司 | 支持远程报文镜像的报文镜像方法和网络设备 |
CN101068248A (zh) * | 2007-06-07 | 2007-11-07 | 杭州华三通信技术有限公司 | 远程镜像方法、镜像源设备及镜像目的设备 |
CN101707557A (zh) * | 2009-11-20 | 2010-05-12 | 中兴通讯股份有限公司 | Cpu协议报文远端镜像方法及其装置和系统 |
CN103200129A (zh) * | 2013-04-05 | 2013-07-10 | 张小云 | 一种异常报文的镜像方法和装置 |
CN104243211A (zh) * | 2014-09-22 | 2014-12-24 | 北京星网锐捷网络技术有限公司 | 一种数据流的镜像方法及装置 |
-
2016
- 2016-04-18 CN CN201610246410.3A patent/CN105939220A/zh active Pending
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1983955A (zh) * | 2006-05-09 | 2007-06-20 | 华为技术有限公司 | 对非法报文的监控方法及监控系统 |
CN101035033A (zh) * | 2007-04-04 | 2007-09-12 | 杭州华为三康技术有限公司 | 支持远程报文镜像的报文镜像方法和网络设备 |
CN101068248A (zh) * | 2007-06-07 | 2007-11-07 | 杭州华三通信技术有限公司 | 远程镜像方法、镜像源设备及镜像目的设备 |
CN101707557A (zh) * | 2009-11-20 | 2010-05-12 | 中兴通讯股份有限公司 | Cpu协议报文远端镜像方法及其装置和系统 |
CN103200129A (zh) * | 2013-04-05 | 2013-07-10 | 张小云 | 一种异常报文的镜像方法和装置 |
CN104243211A (zh) * | 2014-09-22 | 2014-12-24 | 北京星网锐捷网络技术有限公司 | 一种数据流的镜像方法及装置 |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106953815A (zh) * | 2017-03-21 | 2017-07-14 | 北京浩瀚深度信息技术股份有限公司 | 基于fpga的端口镜像报文传输方法及系统 |
WO2019034002A1 (zh) * | 2017-08-14 | 2019-02-21 | 中兴通讯股份有限公司 | 硬件交换机控制流向的方法、装置、终端设备及存储介质 |
CN111049762A (zh) * | 2019-12-23 | 2020-04-21 | 上海金仕达软件科技有限公司 | 数据采集方法、装置、存储介质及交换机 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9407602B2 (en) | Methods and apparatus for redirecting attacks on a network | |
JP5090408B2 (ja) | ネットワーク通信において送信データの宛先を動的に制御する方法及び機器 | |
JP2005276185A (ja) | ソフトウェアの脆弱性の悪用を防止するように通信をフィルタ処理するための方法およびシステム | |
CN105959282A (zh) | Dhcp攻击的防护方法及装置 | |
CN105939284B (zh) | 报文控制策略的匹配方法及装置 | |
US9626522B1 (en) | Method and apparatus for the network steganographic assessment of a test subject | |
CN105939220A (zh) | 远程端口镜像的实现方法及装置 | |
JP6419217B2 (ja) | コンピュータシステム間でデータを転送する方法、コンピュータネットワークインフラストラクチャ、及びコンピュータプログラム製品 | |
CN106656615A (zh) | 一种基于tracert命令的报文处理方法及装置 | |
CN105743868B (zh) | 一种支持加密和非加密协议的数据采集系统与方法 | |
JP6407598B2 (ja) | 中継装置、中継方法、及び中継プログラム | |
CN101494536B (zh) | 一种防arp攻击的方法、装置和系统 | |
CN107241297B (zh) | 通信拦截方法及装置、服务器 | |
CN105763365B (zh) | 一种异常处理方法及装置 | |
CN105991370B (zh) | 一种udp通道探测方法及装置 | |
CN107395615B (zh) | 一种打印机安全防护的方法和装置 | |
CN105959129A (zh) | 监测网络故障的方法及装置 | |
US20170322862A1 (en) | Information processing apparatus, method, and medium | |
CN109587134A (zh) | 接口总线的安全认证的方法、装置、设备和介质 | |
US10237122B2 (en) | Methods, systems, and computer readable media for providing high availability support at a bypass switch | |
CN112565217B (zh) | 基于协议的混淆通信方法及客户终端、服务器、存储介质 | |
CN105939401B (zh) | 处理报文的方法及装置 | |
CN105227462B (zh) | 一种用于更新OpenFlow流表的方法与设备 | |
CN106209839A (zh) | 入侵报文的防护方法及装置 | |
KR101070522B1 (ko) | 스푸핑 공격 탐지 및 차단 시스템 및 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
CB02 | Change of applicant information |
Address after: Binjiang District and Hangzhou city in Zhejiang Province Road 310051 No. 68 in the 6 storey building Applicant after: Hangzhou Dipu Polytron Technologies Inc Address before: Binjiang District and Hangzhou city in Zhejiang Province Road 310051 No. 68 in the 6 storey building Applicant before: Hangzhou Dipu Technology Co., Ltd. |
|
CB02 | Change of applicant information | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20160914 |
|
RJ01 | Rejection of invention patent application after publication |