DE102021109518A1 - System und Verfahren zur Überwachung von Eingangs- und Ausgangspaketen in einer Netzwerkvorrichtung - Google Patents

System und Verfahren zur Überwachung von Eingangs- und Ausgangspaketen in einer Netzwerkvorrichtung Download PDF

Info

Publication number
DE102021109518A1
DE102021109518A1 DE102021109518.2A DE102021109518A DE102021109518A1 DE 102021109518 A1 DE102021109518 A1 DE 102021109518A1 DE 102021109518 A DE102021109518 A DE 102021109518A DE 102021109518 A1 DE102021109518 A1 DE 102021109518A1
Authority
DE
Germany
Prior art keywords
packets
request
network
parameters
replicated
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102021109518.2A
Other languages
English (en)
Inventor
Christopher S. Murray
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hewlett Packard Enterprise Development LP
Original Assignee
Hewlett Packard Enterprise Development LP
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hewlett Packard Enterprise Development LP filed Critical Hewlett Packard Enterprise Development LP
Publication of DE102021109518A1 publication Critical patent/DE102021109518A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/06Generation of reports
    • H04L43/062Generation of reports related to network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/026Capturing of monitoring data using flow identification
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1095Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2212/00Encapsulation of packets
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0876Network utilisation, e.g. volume of load or congestion level

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Environmental & Geological Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Eine Ausführungsform kann ein Verfahren und ein System zur Überwachung des Netzwerkverkehrs bereitstellen. Während des Betriebs kann das System eine Anforderung zur Überwachung von Paketen empfangen, die in ein Gerät ein- oder aus ihm austreten. Die Anforderung kann einen Satz von Parametern für die Überwachung der Pakete angeben. Als Reaktion auf den Empfang der Anforderung kann das System einen mit dem Gerät gekoppelten Netzwerk-Switch so konfigurieren, dass er die in das Gerät eintretenden oder aus ihm austretenden Pakete repliziert. Das System kann dann die replizierten Pakete auf der Grundlage des Parametersatzes mit einer der Anforderung zugeordneten Zieladresse einkapseln, so dass die Pakete aus der Ferne analysiert werden können.

Description

  • HINTERGRUND
  • Diese Offenbarung bezieht sich allgemein auf die Überwachung des Netzwerkverkehrs. Genauer gesagt bezieht sich diese Offenlegung auf ein System und ein Verfahren zur Überwachung von Eingangs-/Eingangs-Paketen in einem Netzwerkgerät.
  • Stand der Technik
  • Die zunehmende Größe und Komplexität von Computernetzen sowie die steigende Zahl von Netzbenutzern haben zu einer Zunahme des Netzverkehrs geführt. Die Überwachung des Netzverkehrs in solch großen Netzen kann für den ordnungsgemäßen Betrieb und die Leistung des Netzes entscheidend sein. Es wurden verschiedene Techniken zur Überwachung des Netzwerkverkehrs eingesetzt, um den Netzwerkverkehr an verschiedenen Knotenpunkten zu erfassen und zu analysieren, um das Verhalten von Paketen zu verstehen und um Netzwerkprobleme zu erkennen.
  • Figurenliste
    • 1 zeigt ein beispielhaftes System zur Überwachung des Netzwerkverkehrs an einem Netzwerkgerät gemäß einer Ausführungsform.
    • 2 zeigt eine beispielhafte Konfiguration zum Erfassen von Paketen, die über einen Netzwerk-Switch in ein Netzwerkgerät eintreten bzw. aus diesem austreten, gemäß einer Ausführungsform.
    • 3 zeigt ein beispielhaftes gekapseltes Paket gemäß einer Ausführungsform.
    • 4A zeigt ein Flussdiagramm, das einen Prozess zur Überwachung von Eingangs-/Eingangs-Paketen in einem Netzwerkgerät gemäß einer Ausführungsform illustriert.
    • 4B zeigt ein Flussdiagramm, das einen Prozess zur Überwachung von Eingangs-/Eingangs-Paketen in einem Netzwerkgerät gemäß einer Ausführungsform illustriert.
    • 5 zeigt ein beispielhaftes Computersystem, das die Überwachung von Eingangs-/Eingangs-Paketen an einem Netzwerkgerät gemäß einer Ausführungsform erleichtert.
    • 6 zeigt eine beispielhafte Vorrichtung, die die Überwachung von Eingangs-/Eingangs-Paketen in einem Netzwerkgerät gemäß einer Ausführungsform erleichtert.
  • In den Figuren beziehen sich gleiche Ziffern auf die gleichen Elemente der Figur.
  • AUSFÜHRLICHE BESCHREIBUNG
  • Die hier beschriebenen Ausführungsformen lösen das technische Problem der Überwachung von Eingangs-/Eingangs-Paketen in einem Netzwerkgerät, das möglicherweise keinen Fernzugriff auf Paketanalysemethoden gewährt, indem ein Verwaltungsgerät verwendet wird, das über einen Netzwerk-Switch mit dem Netzwerkgerät verbunden ist, um die Pakete zu erfassen und an ein entferntes Netzwerk zu senden, wodurch die Pakete aus der Ferne analysiert werden können.
  • Im Allgemeinen gibt es verschiedene Methoden zur Überwachung des Netzwerkverkehrs, der in ein Netzwerkgerät eintritt/aus ihm austritt. Traditionell kann ein System, das für die Überwachung von Netzwerkpaketen an einem Netzwerkgerät konfiguriert ist, zunächst (entweder lokal oder aus der Ferne) auf das zu überwachende Netzwerkgerät zugreifen, z. B. über einen sicheren Shell-Befehl (ssh). Das System kann dann ein Netzwerküberwachungsverfahren, z. B. tcpdump, auf dem Netzwerkgerät ausführen, um den vom Netzwerkgerät gesendeten oder empfangenen Netzwerkverkehr zu erfassen.
  • Damit ein entferntes System jedoch die in das Netzgerät ein- bzw. aus ihm austretenden Pakete überwachen kann, muss das System in der Regel Fernzugriff auf das Netzgerät haben. Ohne Fernzugriff auf das Netzgerät kann es im Falle einer Netzstörung (oder einer nicht optimalen Leistung) schwierig sein, die in das Netzgerät eingehenden/aus ihm austretenden Pakete zu erfassen und die Ursache der Störung zu diagnostizieren. In einigen Netzumgebungen, in denen die Sicherheit eine Rolle spielt, bieten viele Geräte keinen einfachen Fernzugriff (und daher kann ein Befehl wie tcpdump von einem Fernüberwachungssystem auf dem Gerät nicht ausgeführt werden).
  • Um die oben genannten Probleme zu lösen, bieten die hier beschriebenen Ausführungsformen ein System und ein Verfahren zur Überwachung von Eingangs- und Ausgangspaketen an einem Gerät in einem entfernten Netzwerk. Das Netzwerkgerät muss keinen Fernzugriff für die Verkehrsüberwachung zulassen. Ein Benutzer kann jedoch Pakete überwachen, die in das Netzwerkgerät eindringen/aus ihm austreten, indem er eine Anforderung an ein Verwaltungsgerät sendet, das lokal mit einem Netzwerk-Switch verbunden ist, der ebenfalls mit dem zu überwachenden Netzwerkgerät verbunden ist. Als Reaktion auf die Anforderung kann das Verwaltungsgerät den Netzwerk-Switch auf der Grundlage der Benutzeranforderung so konfigurieren, dass er die Pakete, die über den Switch in das Netzwerkgerät eindringen/aus ihm austreten, repliziert und an das Verwaltungsgerät weiterleitet. Das Verwaltungsgerät kann die erfassten Pakete auf der Grundlage der Benutzeranforderung einkapseln und sie an ein mit dem Benutzer verbundenes entferntes System senden, wo der Benutzer ein Paketanalyseverfahren auf die erfassten Pakete anwenden kann.
  • Der Begriff „Spiegelung“ bezieht sich auf das Senden einer Kopie von Netzwerkpaketen von einem Port des Netzwerk-Switches an einen anderen Port des Netzwerk-Switches zur weiteren Analyse.
  • Die Begriffe „Spiegelung“ und „Replikation“ werden in der vorliegenden Offenlegung austauschbar verwendet.
  • Der Ausdruck „eintreffende Pakete“ bezieht sich auf Pakete, die in ein Gerät gelangen.
  • Die Formulierung „ausgehende Pakete“ bezieht sich auf Pakete, die ein Gerät verlassen.
  • Systemarchitektur zur Überwachung des Netzwerkverkehrs
  • 1 zeigt ein exemplarisches Beispiel eines Systems zur Überwachung des Netzwerkverkehrs an einem Netzwerkgerät gemäß einer Ausführungsform. In dem in 1 gezeigten Beispiel kann das System 100 ein internes Verwaltungsnetzwerk 176 umfassen, das eine Vielzahl von Netzwerkmodulen 118, 132 und 146 enthalten kann, die in einer Ringtopologie unter Verwendung der Ringports 168, 170, 172 und 174 miteinander verbunden werden können. Jedes Netzwerkmodul kann eine Vielzahl von Geräten umfassen, die mit einem Netzwerk-Switch und einem Verwaltungsgerät verbunden sind, das ebenfalls mit dem Netzwerk-Switch verbunden werden kann. Beispielsweise kann das Netzwerkmodul 118 die Geräte 106-112 umfassen, wobei jedes Gerät mit dem Netzwerk-Switch 114 verbunden ist, sowie ein Verwaltungsgerät 118, das mit dem Netzwerk-Switch 114 verbunden ist. Pakete können über den Netzwerk-Switch 114 in jedes Gerät des Netzwerkmoduls 118 eintreten bzw. aus ihm austreten. In einigen Ausführungsformen kann jedes Gerät ein Server sein, z. B. ein Blade-Server.
  • Die Verwaltungsgeräte 118, 130 und 144 können die Kommunikation des internen Verwaltungsnetzverkehrs zwischen den Geräten 106-112, 120-126 und 134-140 über die Netzschalter 114, 128 bzw. 142 erleichtern. Darüber hinaus kann jedes Verwaltungsgerät, d. h. 118, 130 und 144, mit jedem Gerät in jedem Netzwerkmodul, d. h. 114, 128 und 142, kommunizieren.
  • Die Geräte 106-112, 120-126 und 134-140 können Datenverkehr über die entsprechenden Netzwerk-Switches zu/von anderen in der Ringtopologie verbundenen Netzwerkmodulen senden und empfangen. Die Geräte 106-112, 120-126 und 134-140 können einen Teil des Datenverkehrs, z. B. den Produktionsverkehr, über einen Uplink 166 an entfernte Benutzer über das Netz 104 senden. Der mit dem internen Verwaltungsnetz 176 verbundene Verwaltungsverkehr kann innerhalb des Netzes 176 aufrechterhalten werden.
  • Wenn ein Benutzer 164 an einem entfernten Standort Pakete überwachen möchte, die in ein Gerät, z. B. das Gerät 106 im Netzmodul 118, ein- oder ausgehen, kann der Benutzer eine an das Netzmodul 118 gerichtete Anfrage über das Netz 104 senden. Der Benutzer kann über einen Uplink 166 Zugang zum Verwaltungsnetz haben. Der Benutzer kann jedoch nicht auf das Gerät 106 oder andere Geräte in den Netzwerkmodulen 118, 130 und 134 zugreifen, um eine typische Paketanalysemethode, z. B. tcpdump, auszuführen. Dies kann auf einige Sicherheitseinschränkungen zurückzuführen sein.
  • In einer Ausführungsform kann ein Verwaltungsgerät, z. B. 116, eine Benutzeranforderung 148 von einem entfernten Gerät 102 über das Netzwerk 104 und über die Aufwärtsverbindung 166 empfangen, um Pakete zu überwachen, die in ein Gerät in einem Netzwerkmodul 118 eintreten/aus ihm austreten. Als Reaktion auf den Empfang der Anforderung 148 kann das Verwaltungsgerät, d. h. 116, den Netzwerk-Switch, d. h. 114, anweisen, zu erfassende Pakete zu spiegeln. Mit anderen Worten: Das Verwaltungsgerät, z. B. 116, kann die Überwachung von Eingangs- und Ausgangspaketen an einem Gerät, z. B. dem Gerät 106, erleichtern.
  • In einer Ausführungsform kann ein System eine Anwendungsprogrammierschnittstelle (API) am entfernten Gerät 102 bereitstellen, um es dem Benutzer 164 zu ermöglichen, ein zu überwachendes Gerät innerhalb des internen Verwaltungsnetzes 174 auszuwählen und eine Reihe von Parametern auszuwählen, die in die Benutzeranfrage 148 aufgenommen werden können. Tabelle 1 zeigt eine Liste der Parameter, die in die Benutzeranforderung 148 aufgenommen werden können. Tabelle 1: Parameter in der Benutzeranfrage 148
    PARAMETER BESCHREIBUNG
    1. Kennung des Geräts Kennzeichnet ein zu überwachendes Gerät.
    2. MAC-Adresse (Media Access Control) MAC-Adresse des Geräts.
    3. Internet-Protokoll-Adresse (IP) IP-Adresse des Geräts.
    4. Portnummer des Transmission Control Protocol (TCP) oder Portnummer des Destination User Datagram Protocol (UDP) TCP- oder UDP-Portnummer des Geräts.
    5. Typ des Pakets Gibt einen zu überwachenden Pakettyp an, z. B. Ingress/Egress/beide Pakettypen.
    6. Portionsanzeige Gibt einen Teil des zu erfassenden Pakets an, z. B. einen Teil, der der L2/L3/L4-Schicht zugeordnet ist, und einen Teil oder eine Größe der zu erfassenden Nutzlast.
    7. Ziel-MAC-Adresse MAC-Adresse eines entfernten Geräts, das eine Anfrage zur Überwachung sendet.
    8. Ziel-IP-Adresse IP-Adresse eines entfernten Geräts, das die Überwachungsanfrage sendet.
    9. TCP- oder UDP-Anschlussnummer TCP- oder UDP-Portnummer, die dem entfernten Gerät zugeordnet ist und von einer Paketüberwachungsanwendung auf dem entfernten Gerät verwendet wird.
  • Wenn die Benutzeranforderung 148 an das Netzwerkmodul 118 gerichtet wird, kann die Benutzeranforderung 148 über das Netzwerk 104 in Richtung Uplink 166 und über die Netzwerk-Switches 128 und 114 an das Verwaltungsgerät 116 gesendet werden. Die Netzwerk-Switches 128 und 114 können Teil des internen Verwaltungsnetzes 176 sein, das eine Ringtopologie haben kann und über den Ringport 170 angeschlossen werden kann. Das Verwaltungsgerät 116 kann die Benutzeranforderung 148 vom Netzwerk-Switch 114 über eine Ethernet-Schnittstelle 152 empfangen. Als Reaktion auf den Empfang der Benutzeranforderung 148 kann das Verwaltungsgerät 116 ein zu überwachendes Gerät identifizieren, wie in der Benutzeranforderung 148 angegeben.
  • Das Verwaltungsgerät 116 kann dann den Netzwerk-Switch 114 so konfigurieren, dass er mit der Spiegelung von Paketen beginnt, die in das/aus dem Gerät 106 eintreten. In einer Ausführungsform kann es sich bei den Paketen, die über den Netzwerk-Switch 114 in das Gerät 106 eindringen/aus ihm austreten, um Managementverkehr für das interne Managementnetzwerk 176 handeln. Das Verwaltungsgerät 116 kann ferner den Netzwerk-Switch 114 so konfigurieren, dass er die gespiegelten Pakete über eine PCI-Schnittstelle (Peripheral Component Interconnect) 154 weiterleitet, über die das Verwaltungsgerät 116 diese Pakete empfangen kann.
  • Als nächstes kann das Verwaltungsgerät 116 jedes vom Netzwerk-Switch 114 weitergeleitete Paket mit einem oder mehreren Parametern (siehe Tabelle 1) abgleichen, die in der Benutzeranforderung 148 angegeben sind. Beispielsweise kann das Verwaltungsgerät 116 feststellen, ob die empfangenen Pakete mit einer MAC-Adresse, IP-Adresse und/oder TCP- oder UDP-Portnummer übereinstimmen. Wenn keine Übereinstimmung gefunden wird, kann das Verwaltungsgerät 116 die Pakete verwerfen. Wenn eine Übereinstimmung gefunden wird, kann das Verwaltungsgerät 116 die übereinstimmenden Pakete weiter verarbeiten.
  • Das Verwaltungsgerät 116 kann dann die übereinstimmenden Pakete auf der Grundlage eines oder mehrerer Parameter filtern, die in der Benutzeranforderung 148 angegeben sind (siehe Tabelle 1). Die Parameter können zum Beispiel einen Typ von zu erfassenden Paketen umfassen, z. B. Ausgangspakete oder Eingangspakete oder beides. Wenn die Benutzeranforderung 148 beispielsweise angibt, dass nur Pakete, die in das Gerät 106 eingehen, erfasst werden sollen, kann das Verwaltungsgerät 116 nur die eingehenden Pakete erfassen und die ausgehenden Pakete verwerfen.
  • Das Verwaltungsgerät 116 kann dann optional einen angeforderten Teil jedes Pakets aus den gefilterten Paketen extrahieren, basierend auf einigen Parametern, die in der Benutzeranforderung 148 angegeben sind. So kann die Benutzeranforderung 148 beispielsweise angeben, dass das gesamte Paket erfasst werden soll, oder sie kann auch angeben, dass entweder ein Teil des Pakets auf der L2-Schicht/L3-Schicht/L4-Schicht erfasst werden soll. Mit anderen Worten: Pakete, die vom Verwaltungsgerät 116 erfasst werden, können Felder der Schicht 2 und höher enthalten. Der Benutzer 164 kann an den Layer-2-Informationen interessiert sein oder auch nicht. In solchen Fällen kann der Benutzer 164 dies in der Benutzeranforderung 148 angeben, und dementsprechend kann das Verwaltungsgerät 116 den Schicht-2-Anteil der erfassten Pakete verwerfen. Darüber hinaus kann in der Benutzeranforderung 148 auch ein Teil oder eine Größe der zu erfassenden Nutzlast angegeben werden.
  • Das Verwaltungsgerät 116 kann dann den extrahierten Teil jedes Pakets in ein neues Paket einkapseln. Insbesondere kann das extrahierte Paket als neue Nutzlast in das neue Paket aufgenommen werden. Das neue Paket kann außerdem zusätzliche Parameter enthalten, die in der Benutzeranforderung 148 angegeben sind. Zum Beispiel kann die Benutzeranforderung 148 Informationen über ein Zielgerät enthalten, an das die eingekapselten Pakete gesendet werden sollen. Mit anderen Worten, die Benutzeranforderung 148 kann eine Ziel-IP-Adresse und eine Ziel-TCP- oder UDP-Portnummer angeben, die mit dem entfernten Gerät 102 verbunden sind. Vor dem Senden der Benutzeranforderung 148 kann der Benutzer 164 den entsprechenden TCP- oder UDP-Port auf dem entfernten Gerät 102 konfigurieren, um gekapselte Pakete 150 zu empfangen.
  • Das Verwaltungsgerät 116 kann die zusätzlichen Parameter, die dem entfernten Gerät 102 zugeordnet sind, in den Header des neuen Pakets aufnehmen, um ein gekapseltes Paket zu erzeugen, und kann gekapselte Pakete 150 an das entfernte Gerät 102 über die Ethernet-Schnittstelle 152 an den Netzwerk-Switch 114, die Ringports 170, den Netzwerk-Switch 128, den Uplink 166 und über das Netzwerk 104 senden.
  • Das Verwaltungsgerät 116 kann weiterhin eingekapselte Pakete erfassen und an das entfernte Gerät 102 weiterleiten, bis der entfernte Benutzer 164 eine weitere Anforderung, z. B. eine Stopp-Anforderung, sendet, um den Prozess der Paketerfassung zu beenden. Darüber hinaus kann die Stoppanforderung eine Anforderung enthalten, die Switch-Port-Spiegelung und die Weiterleitung von Paketen an das Verwaltungsgerät 116 zu deaktivieren. In einer Ausführungsform kann das Verwaltungsgerät 116 den Paketerfassungsprozess unterbrechen, die Spiegelung des Switchports und die Weiterleitung von Paketen deaktivieren, wenn ein vom Verwaltungsgerät 116 geführter Timer eine vorgegebene Zeit erreicht hat.
  • Auf dem entfernten Gerät 102 kann der Benutzer 164 Paketanalysemethoden durchführen, um die empfangenen gekapselten Pakete 150 zu analysieren, um alle mit dem internen Verwaltungsnetzwerk 176 verbundenen Netzwerkprobleme zu identifizieren. Die oben beschriebenen Operationen, die von der Verwaltungsvorrichtung 116 durchgeführt werden, können auch von den Verwaltungsvorrichtungen 130 und 144 durchgeführt werden, wenn die Benutzeranforderung 148 Geräteinformationen enthält, die sich auf Geräte im Netzwerkmodul 132 bzw. 146 beziehen. Im Netzwerkmodul 132 kann das Verwaltungsgerät 130 über die PCI-Schnittstelle 158 oder die Ethernet-Schnittstelle 156 mit dem Switch 128 verbunden sein. In ähnlicher Weise kann das Verwaltungsgerät 144 im Netzmodul 146 über die PCI-Schnittstelle 162 oder die Ethernet-Schnittstelle 160 mit dem Switch 142 verbunden werden.
  • 2 zeigt eine beispielhafte Konfiguration zur Erfassung von Paketen, die über einen Netzwerk-Switch in ein Netzwerkgerät eindringen/aus ihm austreten, gemäß einer Ausführungsform. In dem in 2 dargestellten Beispiel 200 kann ein Verwaltungsgerät 204 in einem Netzwerkmodul 202 eine Benutzeranforderung zur Überwachung von Netzwerkpaketen 218 empfangen, die in ein Gerät 208 eindringen/aus ihm austreten. Die Pakete 218, die in das Gerät 208 eindringen/aus ihm austreten, können dem internen Managementverkehr entsprechen, der von anderen Netzwerkmodulen empfangen wird, die mit dem Netzwerkmodul 202 in einem internen Managementnetzwerk verbunden sind. Als Reaktion auf den Empfang der Benutzeranforderung kann das Verwaltungsgerät 204 den Netzwerk-Switch 206 so konfigurieren, dass er Pakete 218, die in das/aus dem Gerät 208 eingehen, spiegelt und eine Kopie der Pakete 218 über eine PCI-Schnittstelle 214 an das Verwaltungsgerät 204 weiterleitet.
  • Der Netzwerk-Switch 206 kann Pakete 218 über die PCI-Schnittstelle 214 kopieren und weiterleiten, ohne die Pakete zu verändern. Mit anderen Worten, kein Teil eines Pakets aus den weitergeleiteten Paketen 220 wird verworfen oder verändert. Ein Paket kann Informationen bis zu seinem Layer-2-Header enthalten. Das Verwaltungsgerät 204 kann empfangene Pakete 220 auf der Grundlage einer Reihe von Parametern verarbeiten, die in der Benutzeranforderung angegeben sind (siehe Tabelle 1), und ein neues Paket erstellen, indem es die verarbeiteten Pakete in neue Kopfzeilen einkapselt, die an ein entferntes Zielgerät gerichtet sind. Das Verwaltungsgerät 204 kann dann die eingekapselten Pakete 222 an das entfernte Gerät senden. Am entfernten Gerät kann ein Benutzer die vom Verwaltungsgerät 204 über ein Netzwerk, z. B. ein Weitverkehrsnetz (WAN) oder ein Kundennetzwerk, empfangenen Pakete überwachen und Paketanalysemethoden anwenden. Daher kann ein Benutzer an einem entfernten Gerät alle Netzwerkprobleme beheben, die mit dem Gerät 208 verbunden sind, das dem Benutzer möglicherweise keine Fernzugriffsberechtigung gewährt.
  • 3 zeigt ein beispielhaftes gekapseltes Paket gemäß einer Ausführungsform. Ein Verwaltungsgerät kann ein erfasstes Paket 312, das einem zu überwachenden Gerät zugeordnet ist, mit einer Reihe von Kopffeldern kapseln. Insbesondere kann das gekapselte Paket 300 ein oder mehrere Felder zur Identifizierung eines entfernten Geräts für das Senden des gekapselten Pakets enthalten. Beispielsweise kann das gekapselte Paket 300 eines oder mehrere der folgenden Elemente enthalten: einen Layer-2-Header 302, der eine MAC-Adresse des entfernten Geräts angibt, einen Layer-3-Header 304, der eine IP-Adresse des entfernten Geräts angibt, und einen Layer-4-Header 306, der einen TCP- oder UDP-Port angibt, an dem das entfernte Gerät zum Empfang des gekapselten Pakets 300 konfiguriert ist. Beispielsweise kann ein entfernter Benutzer eine Paketüberwachungsanwendung konfigurieren, die auf einem Computer läuft, um alle Pakete zu überwachen, die an einem UDP-Port empfangen werden, der im Layer-4-Header 306 des gekapselten Pakets 300 angegeben ist. Das eingekapselte Paket 300 kann außerdem ein Feld 308 enthalten, das die Größe der Nutzlast angibt, die in dem erfassten Paket 312 enthalten ist, sowie ein Feld 310, das angibt, ob es sich bei dem erfassten Paket 312 um ein Eingangs-/Eingangs-Paket handelt, das mit dem überwachten Gerät verbunden ist.
  • 4A und 4B zeigen Flussdiagramme, die einen Prozess zur Überwachung von Eingangs-/Eingangs-Paketen an einem Netzwerkgerät gemäß einer Ausführungsform illustrieren. Bezug nehmend auf 4A kann ein System während des Betriebs eine Benutzeranforderung zur Überwachung von Paketen, die in ein Gerät eintreten/aus ihm austreten, empfangen (Vorgang 402). Das System kann eine Reihe von Parametern verwenden, die in der Benutzeranforderung enthalten sind, um die Pakete zu erfassen. Als Reaktion auf den Empfang der Benutzeranforderung kann das System einen mit dem Gerät gekoppelten Netzwerk-Switch konfigurieren, um die in das Gerät eintretenden/aus ihm austretenden Pakete auf der Grundlage des in der Benutzeranforderung angegebenen Parametersatzes zu replizieren (Vorgang 404). Nachdem der Netzwerk-Switch konfiguriert ist, kann der Netzwerk-Switch mit der Replikation und Weiterleitung der in das Gerät eintretenden/aus dem Gerät austretenden Pakete beginnen.
  • Das System kann dann die vom Netzwerk-Switch weitergeleiteten replizierten Pakete empfangen (Vorgang 406). Das System kann mit der Verarbeitung der empfangenen replizierten Pakete beginnen, indem es jedes replizierte Paket mit einem oder mehreren in der Benutzeranforderung angegebenen Auslöseparametern abgleicht (Vorgang 408). Der eine oder die mehreren Auslöseparameter können beispielsweise eine MAC-Adresse des Geräts, eine IP-Adresse und/oder eine TCP-Portnummer des Geräts umfassen (siehe Tabelle 1). Mit anderen Worten, das System kann nur die Pakete erfassen, die von dem zu überwachenden Gerät stammen oder für dieses bestimmt sind.
  • Wenn der Abgleichvorgang in 408 nicht zufriedenstellend ist, d. h. die vom System empfangenen Pakete nicht mit den Auslöseparametern übereinstimmen, kann das System solche Pakete verwerfen (Vorgang 410) und dann mit dem Vorgang 408 zum Abgleich des nächsten replizierten Pakets fortfahren. Wenn der Abgleich in Vorgang 408 zufriedenstellend ist, kann das System den Betrieb mit Etikett A fortsetzen.
  • Bezug nehmend auf 4B kann das System als Reaktion auf den Abgleich der replizierten Pakete auf der Grundlage des einen oder der mehreren Auslöseparameter die replizierten Pakete auf der Grundlage einer Reihe von Parametern filtern, die in der Benutzeranforderung angegeben sind (Vorgang 422). Beispielsweise kann das System die in der Benutzeranforderung angegebenen Parameter (siehe Tabelle 1) verwenden, um die Filterung durchzuführen. Insbesondere wenn die Benutzeranforderung angibt, dass nur eingehende Pakete erfasst werden sollen, kann das System alle ausgehenden Pakete herausfiltern und nur die eingehenden Pakete behalten.
  • Das System kann dann optional einen Teil jedes gefilterten Pakets auf der Grundlage eines oder mehrerer in der Benutzeranforderung angegebenen Parameter extrahieren (Vorgang 424). Wenn der Benutzer beispielsweise eine Anforderung für Pakete sendet, die nur Layer-4-Informationen enthalten, kann das System Layer-2- und Layer-3-bezogene Informationen aus dem Paket entfernen. Darüber hinaus kann das System einen Teil der Nutzlast in dem erfassten Paket auf der Grundlage der in der Benutzeranforderung angegebenen Nutzlastgröße extrahieren. Das System kann dann den extrahierten Teil jedes Pakets in ein neues Paket einkapseln (Vorgang 426). Als nächstes kann das System die eingekapselten Pakete an ein entferntes Gerät senden, das mit einem entfernten Benutzer verbunden ist (Vorgang 428), so dass die in ein Gerät eintretenden/aus ihm austretenden Pakete aus der Ferne analysiert werden können.
  • Wenn das System eine Stopp-Anforderung einschließlich eines Stopp-Befehls empfängt oder wenn das System feststellt, dass eine Schwellenwert-Überwachungszeit erreicht wurde (Vorgang 430), kann das System den Netzwerk-Switch neu konfigurieren, um die Spiegelung von Paketen zu deaktivieren, und das System kann die Überwachung von Paketen beenden (Vorgang 432) und der Vorgang kehrt zurück. Wenn die Bedingung in Vorgang 430 nicht erfüllt ist, d. h. kein Stoppbefehl empfangen wird oder eine Schwellenüberwachungszeit nicht erreicht wird, kann das System mit Vorgang 406 in 4A fortfahren.
  • Beispielhaftes Computersystem und -Gerät
  • 5 zeigt ein beispielhaftes Computersystem, das die Überwachung von Eingangs-/Eingangs-Paketen in einem Netzwerkgerät gemäß einer Ausführungsform erleichtert. In diesem Beispiel kann das Computersystem 500 einen Prozessor 502, einen Speicher 504 und ein Speichergerät 506 umfassen. Das Computersystem 500 kann mit peripheren Eingabe-/Ausgabe-Benutzergeräten 530, z. B. einem Anzeigegerät 510, einer Tastatur 512 und einem Zeigegerät 514, gekoppelt sein und kann auch über eine oder mehrere Netzwerkschnittstellen mit dem Netzwerk 508 verbunden sein. Das Speichergerät 506 kann Anweisungen für ein Betriebssystem 516 und einen Controller 518 speichern. Das Computersystem 500 kann über einen Netzwerk-Switch 532 mit einem Gerät 534 kommunizieren.
  • In einer Ausführungsform kann die Steuereinheit 518 Befehle enthalten, die, wenn sie vom Prozessor 502 ausgeführt werden, das Computersystem 500 veranlassen können, die in dieser Offenbarung beschriebenen Verfahren und/oder Prozesse durchzuführen. Controller 518 kann ein Kommunikationsmodul 520 enthalten, um eine Anfrage über das Netzwerk 508 zur Überwachung von Paketen zu empfangen, die in das/aus dem Netzwerkgerät 534 eintreten. Controller 518 kann ferner Anweisungen zur Implementierung eines Switch-Konfigurationsmoduls 522 enthalten, um den Netzwerk-Switch 532 so zu konfigurieren, dass er Pakete, die in das/aus dem Gerät 534 eingehen, repliziert und weiterleitet.
  • Controller 518 kann ein Paketabgleichsmodul 524 enthalten, das jedes vom Netzwerk-Switch 532 replizierte und weitergeleitete Paket mit einem oder mehreren in einer Benutzeranforderung angegebenen Auslöseparametern abgleichen kann. Der eine oder die mehreren Auslöseparameter können eine MAC-Adresse, eine IP-Adresse und eine TCP- oder UDP-Portnummer umfassen, die dem Gerät 534 zugeordnet sind. Wenn das Paketabgleichsmodul 524 eine Übereinstimmung feststellt, können die Pakete weiterverarbeitet werden. Wenn das Paketabgleichsmodul 524 jedoch keine Übereinstimmung für ein Paket feststellt, kann das Paket verworfen werden. Controller 518 kann auch ein Paketfilter- und -extraktionsmodul 526 enthalten, um die übereinstimmenden Pakete zu filtern und dann einen Teil jedes gefilterten Pakets zu extrahieren. Beispielsweise kann das Paketfilter- und -extraktionsmodul 526 die übereinstimmenden Pakete auf der Grundlage eines oder mehrerer in der Benutzeranforderung angegebener Parameter filtern und dann Teile der gefilterten Pakete extrahieren. Insbesondere können der eine oder die mehreren Parameter angeben, ob nur Ausgangs-, Eingangs- oder beide Arten von Paketen erfasst werden sollen, und sie können einen Teil jedes zu extrahierenden Pakets angeben. Die Steuereinheit 518 kann ferner ein Paketkapselungsmodul 528 enthalten, um den gefilterten und extrahierten Teil jedes Pakets in ein neues Paket zu kapseln, und ein Kommunikationsmodul 520, um die gekapselten Pakete über das Netzwerk 508 an ein entferntes Gerät zu senden, um die gekapselten Pakete zu analysieren.
  • Das Kommunikationsmodul 520 kann außerdem eine Stoppanforderung von einem entfernten Benutzer über das Netzwerk 508 empfangen. Optional kann die Steuerung 518 auch Anweisungen enthalten, um festzustellen, ob ein Schwellenwert für die Überwachungszeit erreicht wurde. Als Reaktion auf den Empfang der Stoppanforderung oder die Feststellung, dass der Schwellenwert für die Überwachungszeit erreicht wurde, kann das Switch-Konfigurationsmodul 522 den Switch so konfigurieren, dass die Paketspiegelung eingestellt wird.
  • 6 zeigt eine beispielhafte Vorrichtung, die die Überwachung von Eingangs-/Eingangs-Paketen an einem Netzwerkgerät gemäß einer Ausführungsform erleichtert. Die Vorrichtung 600 kann Einheiten 604-612 enthalten, die ähnliche Funktionen oder Operationen ausführen wie die Module 520-528 des Computersystems 500 in 5. Die Vorrichtung 600 kann einen Controller 602 enthalten, der ferner Folgendes umfassen kann: eine Kommunikationseinheit 604, eine Switch-Konfigurationseinheit 606, eine Paketabgleichseinheit 608, eine Paketfilter- und -extraktionseinheit 610 und eine Paketverkapselungseinheit 612. Die Vorrichtung 600 kann ferner einen Netzwerk-Switch 614 und ein zu überwachendes Gerät 616 umfassen.
  • Eine Ausführungsform, die in der vorliegenden Offenlegung beschrieben wird, kann ein Verfahren und ein System zur Überwachung des Netzwerkverkehrs bereitstellen. Während des Betriebs kann das System eine Anforderung zur Überwachung von Paketen erhalten, die in ein Gerät ein- oder aus ihm austreten. Die Anforderung kann einen Satz von Parametern für die Überwachung der Pakete angeben. Als Reaktion auf den Empfang der Anforderung kann das System einen mit dem Gerät gekoppelten Netzwerk-Switch so konfigurieren, dass er die in das Gerät eintretenden oder aus ihm austretenden Pakete repliziert. Das System kann dann die replizierten Pakete auf der Grundlage des Parametersatzes mit einer der Anforderung zugeordneten Zieladresse einkapseln, so dass die Pakete aus der Ferne analysiert werden können.
  • In einer Variante dieser Ausführungsform kann der Parametersatz einen oder mehrere Triggerparameter zur Überwachung der replizierten Pakete enthalten. Das System kann den einen oder die mehreren Auslöseparameter mit einem oder mehreren Parametern in jedem replizierten Paket abgleichen. Das System kann ferner das replizierte Paket erfassen, wenn eine Übereinstimmung festgestellt wird, und das replizierte Paket verwerfen, wenn keine Übereinstimmung festgestellt wird.
  • In einer Variante dieser Ausführungsform können die ein oder mehreren Auslöseparameter eine MAC-Adresse des Geräts, eine IP-Adresse des Geräts und eine TCP- oder UDP-Portnummer des Geräts umfassen.
  • In einer Variante dieser Ausführungsform kann der Parametersatz eines oder mehrere der folgenden Elemente enthalten: eine MAC-Adresse, die einem mit der Anforderung verbundenen entfernten Rechner entspricht; eine IP-Adresse, die dem mit der Anforderung verbundenen entfernten Rechner entspricht; eine TCP- oder UDP-Portnummer, die dem mit der Anforderung verbundenen entfernten Rechner entspricht; eine Kennung für das Gerät; einen Pakettyp, der angibt, ob eingehende Pakete, ausgehende Pakete oder beides überwacht werden sollen; einen Teilindikator, der einen Teil der Nutzlast der zu erfassenden Pakete angibt; und einen oder mehrere Auslöseparameter.
  • In einer weiteren Variante kann das System die replizierten Pakete einkapseln, indem es: die replizierten Pakete auf der Grundlage des in der Anforderung angegebenen Parametersatzes filtert; einen Teil eines jeweiligen gefilterten Pakets extrahiert, der mit einem oder mehreren in der Anforderung angegebenen Parametern übereinstimmt; und ein neues Paket erzeugt, das den extrahierten Teil enthält.
  • In einer weiteren Variante kann das System eine Stoppanforderung empfangen, um die Überwachung der mit dem Gerät verbundenen Pakete einzustellen. Das System kann dann den Netzwerk-Switch so konfigurieren, dass die Replikation der Pakete eingestellt wird.
  • In einer weiteren Variante kann das System die Anforderung von einem ersten Netzwerk empfangen, wobei sich das Gerät und der Netzwerk-Switch in einem zweiten Netzwerk befinden können und wobei die eingekapselten Pakete über ein Weitverkehrsnetz (WAN) an das erste Netzwerk gesendet werden können.
  • Die im Abschnitt „Detaillierte Beschreibung“ beschriebenen Methoden und Prozesse können als Code und/oder Daten verkörpert werden, die wie oben beschrieben in einem computerlesbaren Speichermedium gespeichert werden können. Wenn ein Computersystem den auf dem computerlesbaren Speichermedium gespeicherten Code und/oder die Daten liest und ausführt, führt das Computersystem die Methoden und Prozesse aus, die als Datenstrukturen und Code verkörpert und in dem computerlesbaren Speichermedium gespeichert sind.
  • Darüber hinaus können die oben beschriebenen Methoden und Prozesse in Hardwaremodule oder -geräte integriert werden. Zu den Hardware-Modulen oder -Vorrichtungen können unter anderem anwendungsspezifische integrierte Schaltungen (ASIC-Chips), feldprogrammierbare Gate-Arrays (FPGAs), dedizierte oder gemeinsam genutzte Prozessoren, die ein bestimmtes Softwaremodul oder ein Stück Code zu einem bestimmten Zeitpunkt ausführen, sowie andere bekannte oder später entwickelte programmierbare Logikgeräte gehören. Wenn die Hardware-Module oder -Geräte aktiviert werden, führen sie die in ihnen enthaltenen Methoden und Prozesse aus.
  • Die vorstehenden Beschreibungen von Ausführungsformen dienen lediglich der Veranschaulichung und Beschreibung. Sie erheben keinen Anspruch auf Vollständigkeit und beschränken den Umfang dieser Offenbarung nicht auf die offengelegten Formen. Dementsprechend werden viele Änderungen und Variationen für Fachleute auf dem Gebiet der Technik offensichtlich sein.
  • Diese Beschreibung soll den Fachmann in die Lage versetzen, die Ausführungsformen herzustellen und zu verwenden, und wird im Zusammenhang mit einer bestimmten Anwendung und deren Anforderungen gegeben. Verschiedene Modifikationen der offengelegten Ausführungsformen werden dem Fachmann ohne weiteres einleuchten, und die hierin definierten allgemeinen Grundsätze können auf andere Ausführungsformen und Anwendungen angewandt werden, ohne von Geist und Umfang der vorliegenden Offenbarung abzuweichen. Daher ist der Anwendungsbereich der vorliegenden Offenbarung nicht auf die gezeigten Ausführungsformen beschränkt, sondern soll den größtmöglichen Anwendungsbereich erhalten, der mit den hier offengelegten Prinzipien und Merkmalen vereinbar ist.

Claims (20)

  1. Verfahren zur Überwachung des Netzwerkverkehrs, wobei das Verfahren Folgendes umfasst: Empfangen einer Anforderung zur Überwachung von Paketen, die in ein Gerät eintreten oder aus ihm austreten, wobei die Anforderung einen Satz von Parametern zur Überwachung der Pakete angibt; Konfigurieren eines mit der Vorrichtung gekoppelten Netzwerk-Switches, um die in die Vorrichtung eintretenden oder aus ihr austretenden Pakete zu replizieren; und Verkapselung der replizierten Pakete auf der Grundlage des Parametersatzes mit einer der Anforderung zugeordneten Zieladresse, wodurch die Pakete aus der Ferne analysiert werden können.
  2. Verfahren nach Anspruch 1, wobei der Parametersatz einen oder mehrere Triggerparameter zur Überwachung der replizierten Pakete enthält; und wobei das Verfahren ferner umfasst: Abgleich des einen oder der mehreren Auslöseparameter mit einem oder mehreren Parametern in jedem replizierten Paket; Erfassen des replizierten Pakets, wenn eine Übereinstimmung festgestellt wird, und Verwerfen des replizierten Pakets, wenn keine Übereinstimmung festgestellt wird.
  3. Verfahren nach Anspruch 2, wobei der eine oder die mehreren Auslöseparameter einen oder mehrere der folgenden Parameter umfassen: eine MAC-Adresse des Geräts; eine IP-Adresse des Geräts; und eine TCP- oder UDP-Portnummer des Geräts.
  4. Verfahren nach Anspruch 1, wobei der Parametersatz einen oder mehrere der folgenden Parameter enthält: eine MAC-Adresse, die einem mit der Anfrage verbundenen entfernten Rechner entspricht; eine IP-Adresse, die dem mit der Anfrage verbundenen entfernten Rechner entspricht; eine TCP- oder UDP-Portnummer, die dem mit der Anfrage verbundenen entfernten Rechner entspricht; eine Kennung für das Gerät; einen Pakettyp, um anzugeben, ob eingehende Pakete, ausgehende Pakete oder beide überwacht werden sollen; einen Teilindikator, der einen Teil der Nutzlast der zu erfassenden Pakete anzeigt; und einen oder mehrere Auslöseparameter.
  5. Verfahren nach Anspruch 1, wobei das Einkapseln der replizierten Pakete weiterhin umfasst: Filterung der replizierten Pakete auf der Grundlage der in der Anfrage angegebenen Parameter; Extrahieren eines Teils eines entsprechenden gefilterten Pakets, das mit einem oder mehreren Parametern übereinstimmt, die mit der Anfrage angegeben wurden; und Erstellung eines neuen Pakets, das den extrahierten Teil enthält.
  6. Das Verfahren nach Anspruch 1 umfasst ferner: Empfangen einer Stopp-Anforderung, um die Überwachung von Paketen, die mit der Vorrichtung verbunden sind, zu unterbrechen; und den Netzwerk-Switch so konfigurieren, dass die Replikation der Pakete unterbrochen wird.
  7. Verfahren nach Anspruch 1, wobei die Anforderung von einem ersten Netzwerk empfangen wird, wobei sich das Gerät und der Netzwerk-Switch in einem zweiten Netzwerk befinden, und wobei die eingekapselten Pakete über ein Weitverkehrsnetz (WAN) an das erste Netzwerk gesendet werden.
  8. Ein Computersystem, das Folgendes umfasst: einen Prozessor; und eine Speichervorrichtung, die mit dem Prozessor verbunden ist und Befehle speichert, die, wenn sie von dem Prozessor ausgeführt werden, den Prozessor veranlassen, ein Verfahren zur Überwachung des Netzwerkverkehrs durchzuführen, wobei das Verfahren Folgendes umfasst: Empfangen einer Anforderung zur Überwachung von Paketen, die in ein Gerät eintreten oder aus ihm austreten, wobei die Anforderung einen Satz von Parametern zur Überwachung der Pakete angibt; Konfigurieren eines mit der Vorrichtung gekoppelten Netzwerk-Switches, um die in die Vorrichtung eintretenden oder aus ihr austretenden Pakete zu replizieren; und Einkapseln der replizierten Pakete auf der Grundlage des Parametersatzes mit einer der Anforderung zugeordneten Zieladresse, wodurch die Pakete aus der Ferne analysiert werden können.
  9. Computersystem nach Anspruch 8, wobei der Parametersatz einen oder mehrere Triggerparameter zur Überwachung der replizierten Pakete enthält; und wobei das Verfahren ferner umfasst: Abgleich des einen oder der mehreren Auslöseparameter mit einem oder mehreren Parametern in jedem replizierten Paket; Erfassen des replizierten Pakets, wenn eine Übereinstimmung festgestellt wird; und Verwerfen des replizierten Pakets, wenn keine Übereinstimmung festgestellt wird.
  10. Computersystem nach Anspruch 9, wobei der eine oder die mehreren Auslöseparameter einen oder mehrere der folgenden Parameter umfassen: eine MAC-Adresse des Geräts; eine IP-Adresse des Geräts; und eine TCP- oder UDP-Portnummer des Geräts.
  11. Computersystem nach Anspruch 8, wobei der Parametersatz einen oder mehrere der folgenden Parameter enthält: eine MAC-Adresse, die einem mit der Anfrage verbundenen entfernten Rechner entspricht; eine IP-Adresse, die dem mit der Anfrage verbundenen entfernten Rechner entspricht; eine TCP- oder UDP-Portnummer, die dem mit der Anfrage verbundenen entfernten Rechner entspricht; eine Kennung für das Gerät; einen Pakettyp, der angibt, ob eingehende Pakete, ausgehende Pakete oder beide überwacht werden sollen; einen Teilindikator, der einen Teil der Nutzlast der zu erfassenden Pakete anzeigt; und einen oder mehrere Auslöseparameter.
  12. Das Computersystem nach Anspruch 8, wobei das Einkapseln der replizierten Pakete weiterhin umfasst: Filterung der replizierten Pakete auf der Grundlage der in der Anfrage angegebenen Parameter; Extrahieren eines Teils eines entsprechenden gefilterten Pakets, das mit einem oder mehreren Parametern übereinstimmt, die mit der Anfrage angegeben wurden; und Erstellung eines neuen Pakets, das den extrahierten Teil enthält.
  13. Das Computersystem nach Anspruch 8, wobei das Verfahren weiterhin umfasst: Empfangen einer Stopp-Anforderung, um die Überwachung von Paketen, die mit der Vorrichtung verbunden sind, zu unterbrechen; und den Netzwerk-Switch so konfigurieren, dass die Replikation der Pakete unterbrochen wird.
  14. Computersystem nach Anspruch 8, wobei die Anforderung von einem ersten Netzwerk empfangen wird, wobei sich das Gerät und der Netzwerk-Switch in einem zweiten Netzwerk befinden, und wobei die eingekapselten Pakete über ein Weitverkehrsnetz (WAN) an das erste Netzwerk gesendet werden.
  15. Eine Vorrichtung zur Überwachung des Netzwerkverkehrs, die Folgendes umfasst: ein zu überwachendes Gerät; einen mit dem Gerät gekoppelten Netzwerk-Switch; und eine Steuereinheit, die über den Netzwerk-Switch mit dem Gerät verbunden ist, wobei die Steuereinheit so konfiguriert ist, dass sie: eine Anforderung zum Überwachen von Paketen, die in das Gerät eintreten oder aus ihm austreten, empfangen, wobei die Anforderung einen Satz von Parametern zum Überwachen der Pakete angibt; den Netzwerk-Switch so zu konfigurieren, dass er die in das Gerät eintretenden oder aus ihm austretenden Pakete repliziert; und die replizierten Pakete auf der Grundlage des Parametersatzes mit einer der Anforderung zugeordneten Zieladresse zu kapseln, wodurch die Pakete aus der Ferne analysiert werden können.
  16. Vorrichtung nach Anspruch 15, wobei der Parametersatz einen oder mehrere Triggerparameter zur Überwachung der replizierten Pakete enthält; und wobei der Controller weiterhin dazu dient: den einen oder die mehreren Auslöseparameter mit einem oder mehreren Parametern in jedem replizierten Paket abgleichen; das replizierte Paket erfassen, wenn eine Übereinstimmung festgestellt wird; und das replizierte Paket zu verwerfen, wenn keine Übereinstimmung festgestellt wird.
  17. Vorrichtung nach Anspruch 16, wobei der eine oder die mehreren Auslöseparameter einen oder mehrere der folgenden Parameter umfassen: eine MAC-Adresse des Geräts; eine IP-Adresse des Geräts; und eine TCP- oder UDP-Portnummer des Geräts.
  18. Vorrichtung nach Anspruch 15, wobei der Parametersatz einen oder mehrere der folgenden Parameter enthält: eine MAC-Adresse, die einem mit der Anfrage verbundenen entfernten Rechner entspricht; eine IP-Adresse, die dem mit der Anfrage verbundenen entfernten Rechner entspricht; eine TCP- oder UDP-Portnummer, die dem mit der Anfrage verbundenen entfernten Rechner entspricht; eine Kennung für das Gerät; einen Pakettyp, der angibt, ob eingehende Pakete, ausgehende Pakete oder beide überwacht werden sollen; einen Teilindikator, der einen Teil der Nutzlast der zu erfassenden Pakete anzeigt; und Auslöseparameter.
  19. Vorrichtung nach Anspruch 15, wobei der Controller so konfiguriert ist, dass er die replizierten Pakete einkapselt: Filterung der replizierten Pakete auf der Grundlage der in der Anfrage angegebenen Parameter; Extrahieren eines Teils eines entsprechenden gefilterten Pakets, das mit einem oder mehreren Parametern übereinstimmt, die mit der Anfrage angegeben wurden; und Erstellung eines neuen Pakets, das den extrahierten Teil enthält.
  20. Vorrichtung nach Anspruch 15, wobei die Steuereinheit ferner so konfiguriert ist, dass sie: eine Stoppanforderung empfangen, um die Überwachung der mit der Vorrichtung verbundenen Pakete zu beenden; und den Netzwerk-Switch so konfigurieren, dass die Replikation der Pakete eingestellt wird.
DE102021109518.2A 2020-07-01 2021-04-15 System und Verfahren zur Überwachung von Eingangs- und Ausgangspaketen in einer Netzwerkvorrichtung Pending DE102021109518A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US16/918,870 2020-07-01
US16/918,870 US11252064B2 (en) 2020-07-01 2020-07-01 System and method for monitoring ingress/egress packets at a network device

Publications (1)

Publication Number Publication Date
DE102021109518A1 true DE102021109518A1 (de) 2022-01-05

Family

ID=79019810

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102021109518.2A Pending DE102021109518A1 (de) 2020-07-01 2021-04-15 System und Verfahren zur Überwachung von Eingangs- und Ausgangspaketen in einer Netzwerkvorrichtung

Country Status (3)

Country Link
US (1) US11252064B2 (de)
CN (1) CN113965477A (de)
DE (1) DE102021109518A1 (de)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11627061B1 (en) * 2022-02-24 2023-04-11 Microsoft Technology Licensing, Llc Packet capture using VXLAN encapsulation

Family Cites Families (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7474666B2 (en) 2003-09-03 2009-01-06 Cisco Technology, Inc. Switch port analyzers
US8599747B1 (en) * 2006-12-20 2013-12-03 Radisys Canada Inc. Lawful interception of real time packet data
US8023419B2 (en) * 2007-05-14 2011-09-20 Cisco Technology, Inc. Remote monitoring of real-time internet protocol media streams
CN101068248A (zh) * 2007-06-07 2007-11-07 杭州华三通信技术有限公司 远程镜像方法、镜像源设备及镜像目的设备
US9246703B2 (en) 2010-06-08 2016-01-26 Brocade Communications Systems, Inc. Remote port mirroring
US8705395B2 (en) 2010-06-15 2014-04-22 Jds Uniphase Corporation Method for time aware inline remote mirroring
US9166992B1 (en) * 2012-05-01 2015-10-20 Amazon Technologies, Inc. Methods and apparatus for providing network traffic monitoring services
US10050847B2 (en) * 2014-09-30 2018-08-14 Keysight Technologies Singapore (Holdings) Pte Ltd Selective scanning of network packet traffic using cloud-based virtual machine tool platforms
US9860309B2 (en) * 2014-12-22 2018-01-02 Vmware, Inc. Hybrid cloud network monitoring system for tenant use
US9961105B2 (en) * 2014-12-31 2018-05-01 Symantec Corporation Systems and methods for monitoring virtual networks
US9813323B2 (en) * 2015-02-10 2017-11-07 Big Switch Networks, Inc. Systems and methods for controlling switches to capture and monitor network traffic
WO2016194123A1 (ja) * 2015-06-02 2016-12-08 三菱電機ビルテクノサービス株式会社 中継装置、ネットワーク監視システム及びプログラム
US10097633B2 (en) 2016-01-29 2018-10-09 Extreme Networks, Inc. Automated mirroring and remote switch port analyzer (RSPAN)/encapsulated remote switch port analyzer (ERSPAN) functions using fabric attach (FA) signaling
US10270690B2 (en) 2016-02-29 2019-04-23 Cisco Technology, Inc. System and method for dataplane-signaled packet capture in IPV6 environment
CN106375160A (zh) * 2016-10-28 2017-02-01 上海优刻得信息科技有限公司 流量监测系统及流量监测方法
US10887361B2 (en) * 2016-11-01 2021-01-05 Nicira, Inc. Port mirroring in overlay networks
US10791132B1 (en) * 2017-06-09 2020-09-29 Amazon Technologies, Inc. System and method for identifying suspicious network traffic
US10855577B2 (en) * 2018-08-21 2020-12-01 Cisco Technology, Inc. Service traffic replication and dynamic policy enforcement in a multi-cloud service mesh
US11412005B2 (en) * 2019-08-29 2022-08-09 Juniper Networks, Inc. Lawfully intercepting traffic for analysis based on an application identifier or a uniform resource locator (URL) associated with the traffic

Also Published As

Publication number Publication date
US11252064B2 (en) 2022-02-15
CN113965477A (zh) 2022-01-21
US20220006712A1 (en) 2022-01-06

Similar Documents

Publication Publication Date Title
DE112015004008B4 (de) Selektives abtasten von netzwerkpaketverkehr unter verwendung von virtuelle-maschinen-werkzeugplattformen auf cloud-basis
DE60031274T2 (de) Mehrfachanschlussverfahren und -gerät für vituelle ports
DE112010004940B4 (de) Automatisches Erkennen von Adressbereichen für IP-Netzwerke
DE112012005116B4 (de) Verfahren zum automatischen Management von Konfigurationsinformationen auf Basis einer intelligenten Schaltanlage
DE60203221T2 (de) Verwendung von mehreren virtuellen Kanälen in Netzwerkgeräten
DE112010003099B4 (de) Erkennung gering ausgelasteter netzeinheiten
DE60112011T2 (de) Verfahren und Vorrichtung zum Filtern von Paketen basierend auf Datenströme unter Verwendung von Addressentabellen
DE102005053688B4 (de) Verfahren und Mechanismus zum Identifizieren eines nicht-verwalteten Schalters in einem Netz
DE102013209118A1 (de) Beibehaltung und Änderung von Netzwerküberlastungsbenachrichtigungen während der Übertragung von Netzwerkdaten zwischen einem physischen Netzwerk und einem virtuellen Netzwerk
DE102021109228A1 (de) Verfahren und system zur ursachenanalyse von netzwerkproblemen
DE112019002585T5 (de) Datenebene mit heavy-hitter-detektor
DE102021109518A1 (de) System und Verfahren zur Überwachung von Eingangs- und Ausgangspaketen in einer Netzwerkvorrichtung
DE112013000469T5 (de) Switch-Erkennungsprotokoll für ein verteiltes Struktursystem
EP3353956A1 (de) Verfahren und vorrichtung zur überwachung von steuerungssystemen
DE102021109230A1 (de) Falsch konfigurierte uplink-identifikation
DE10244350B4 (de) Verfahren zur Schrittsteuerung der Synchronisation von Routing-Information in einer Datenvermittlungsumgebung
EP3641231A1 (de) Verfahren und vorrichtung zur überwachung einer datenkommunikation
DE102021109515A1 (de) Verfahren und system zur erleichterung eines selbstheilenden netzwerks
EP2606608B1 (de) Erweiterung für das simple network management protocol (snmp) um informationen über den status von set-pdus zu ermitteln
EP3813315A1 (de) Verfahren zur diagnose des datenverkehrs, verfahren zum ermitteln einer konfiguration, cluster, computerprogramm und computerlesbares medium
DE102019218061A1 (de) Weiterleitungsgerät
DE102021108513A1 (de) Speicherschnittstellen-befehlspakete über fibre channel mit transport- und netzwerk-headern als nutzdaten
DE102021109193B4 (de) Verfahren und systeme zur netzwerkadressen-übersetzung ( nat) unter verwendung eines meet-in-the-middle-proxys
DE112018007548B4 (de) Datenkommunikationssteuerungseinrichtung, Datenkommunikationssteuerprogramm und Datensteuerungssystem
DE102010039782A1 (de) Verfahren zur Durchführung einer Kommunikation

Legal Events

Date Code Title Description
R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: H04L0012260000

Ipc: H04L0043000000

R012 Request for examination validly filed
R081 Change of applicant/patentee

Owner name: HEWLETT PACKARD ENTERPRISE DEVELOPMENT LP, SPR, US

Free format text: FORMER OWNER: HEWLETT PACKARD ENTERPRISE DEVELOPMENT LP, HOUSTON, TX, US

R082 Change of representative

Representative=s name: FLEUCHAUS & GALLO PARTNERSCHAFT MBB - PATENT- , DE

Representative=s name: FLEUCHAUS & GALLO PARTNERSCHAFT MBB PATENTANWA, DE

R016 Response to examination communication