[发明专利]端口镜像的实现方法、装置及系统

说明书

技术领域

本发明涉及端口镜像的实现方法、装置及系统，属于通信领域。

背景技术

在网络设备的使用过程中，基于监视网络流量、分析网络协议等目的，经常需要在不影响网络正常通讯的前提下，对接口的数据流进行检测和分析，因此需要在不干涉接口正常通讯的情况下获取接口的数据流。

获取网络接口数据流的方法通常有外接设备法、硬件端口镜像法和软件端口镜像法，其中：

外接设备法需要使用额外的带有广播功能的设备(如：HUB)，将需要监控其流量或分析其数据流协议的接口接在外接的广播设备上，同时将监控设备也接到广播设备上。

图1为现有技术采用外接设备端口镜像的系统连接示意图。如图1所示，当需要在不影响网络设备a和目标网络设备b之间正常通讯的前提下，监视分析网络设备a和目标网络设备b之间通讯数据流时，可将网络设备a第四接口与广播设备c的第一接口连接，目标网络设备b第四接口与广播设备c的第二接口连接，并且监控设备d的第一接口与广播设备c的第三接口连接。

由于外接了广播设备c，网络设备a和目标网络设备b之间的通讯将在广播设备c内部广播，因此监控设备d即可实现在不影响网络设备a第四接口和目标网络设备b第四接口之间正常通讯的前提下，监视分析网络设备a第四接口与目标网络设备b第四接口之间的通讯数据流。如果不采用外接的广播设备c，直接将网络设备a第四接口与目标网络设备b第四接口连接，则无法实现上述目的。

外接设备法的优点是操作简单，不需要进行配置，只需更改网络拓扑即可实现；但也存在如下明显缺陷：

(1)投入大：依靠目标网络设备本身不能完成端口镜像，需要额外的投入用于购买广播设备；

(2)应用不灵活：不能限制监控的数据流的方向，不适用于只需监控网络接口某个方向的数据流的情形；

(3)不安全：广播的方式无法限制数据流的接收者，这可能会造成安全隐患。

硬件端口镜像法是将硬件和软件结合，使用硬件来实现端口镜像的实际功能，使用软件来提供端口镜像的配置命令。现有的硬件端口镜像装置一般包括命令模块，用于过滤、解析端口镜像命令；与命令模块连接的网络接口驱动模块，用于设置硬件使得硬件工作在预设的端口镜像模式下。如果网络接口驱动模块需要软件控制(如：路由设备)，则该网络接口模块可进一步包括数据收发单元；如果网络接口驱动模块不需要软件控制(如：交换设备)，则该网络接口模块可不包括数据收发单元。

图2为现有技术硬件端口镜像的系统连接示意图。硬件端口镜像装置设置于网络设备中。如图2所示，如需监视、分析网络设备a的第三接口与目标网络设备b的第一接口的通讯数据流，硬件端口镜像模块可将网络设备a的第三接口设置为被镜像端口，将网络设备a的第四接口(或除第三接口外网络设备a的其它接口)设置为镜像端口，监控设备d的第一接口与网络设备a的第四接口连接。

通过该方法可实现在不影响网络设备a第三接口和目标网络设备b第一接口之间正常通讯的前提下，监视分析网络设备a的第三接口与目标网络设备b的第一接口的通讯数据流。但是，该方法也存在着明显的缺陷：必须使用支持端口镜像的硬件设备，极大限制了硬件设备的选型。

软件端口镜像法仅使用软件实现端口镜像。现有技术的软件端口镜像法是通过软件复制的方法将数据包从被镜像端口复制到镜像端口。现有的软件端口镜像装置一般包括命令模块，用于过滤、解析端口镜像命令；与命令模块连接的网络接口驱动模块，网络接口驱动模块进一步包括接口管理单元和复制式数据收发单元。接口管理单元用于设置硬件使得硬件工作在预设的工作模式下，但是接口管理单元不能提供端口镜像的硬件支持。复制式数据收发单元用于处理数据的接收和发送，根据端口镜像命令配置被镜像端口的数据复制，将复制的数据发送给镜像端口。