[发明专利]一种流镜像方法

说明书

技术领域

本发明涉及数据通信技术领域，尤其涉及一种流镜像方法。

背景技术

镜像是以太网交换机等数据通信设备所具备的一项基本功能。它的主要功能是对交换机(或者路由器，宽带接入服务器)上的一个端口1进行窥探，将部分或者全部数据帧复制到另一个端口2上。然后，用户可通过分析端口2上的数据来判断端口1上流量是否存在异常或者设备是否被攻击。

比较常见的镜像方法有端口镜像和流镜像两种。

传统的端口镜像方法一般是把端口上所有接收、发送的数据不加区分的复制到目的镜像端口上。这种镜像方法比较简单，但缺点是目的镜像端口接收到的流量很大，不利于进行分析。

而传统的流镜像方法是预先设置ACL(控制访问列表)，再将端口上与该ACL匹配的数据帧镜像到目的镜像端口。这样可以对数据帧有选择地进行镜像，大大减少目的镜像端口的流量。但是，随着城域网的不断发展，上网用户不断增加，病毒木马、网络攻击、黑客入侵等安全问题越来越引起运营商的重视，运营商有必要对个别用户的数据帧进行监控，以更好地保证城域网的网络安全，而传统的流镜像方法只能在所有用户的数据帧中选择与ACL匹配的数据帧进行镜像，不能根据需要选择部分用户的数据帧进行单独镜像。

发明内容

本发明所要解决的技术问题是提供一种流镜像方法，可对用户有选择性地进行镜像。

为解决上述技术问题，本发明是通过以下技术方案实现的：

一种流镜像方法，包括以下步骤：

(1)在路由器上配置控制访问列表；

(2)在远程用户拨号认证系统服务器上配置授权信息，其中包括各个用户的是否做镜像标识；

(3)所述路由器通过远程用户拨号认证系统动态授权获得所述授权信息；

(4)所述路由器根据所述授权信息中各个用户的是否做镜像标识来选择需要做镜像的当前上线用户；

(5)对于被选择的每个用户，所述路由器选择该用户的与所述控制访问列表相匹配的数据帧做镜像。

其中，所述步骤(2)中所述授权信息中还包括各个用户镜像所依据的控制访问列表号；

同时，所述步骤(5)进一步包括：对于被选择的每个用户，所述路由器先根据所述授权信息获取该用户镜像所依据的控制访问列表号，再判断本路由器上是否存在与所述控制访问列表号相对应的控制访问列表，若存在，则选择该用户的与此控制访问列表相匹配的数据帧做镜像。

其中，步骤(2)中所述授权信息中还包括各个用户的目的镜像端口号；同时，所述步骤(5)中，对于被选择的每个用户，所述路由器在对该用户的数据帧做镜像时将所述数据帧镜像到该用户所对应的目的镜像端口号。

其中，所述步骤(3)中，所述路由器获得授权信息后将该信息记录于活动用户表中。

本发明具有以下有益效果：

a)本发明可以有选择性地对部分用户进行流镜像，进一步减少了

目的镜像端口的流量，便于运营商对指定用户的数据帧进行监控；

b)本发明可指定不同用户的数据帧依据不同的ACL镜像规则并镜像到不同的目的端口，有利于运营商分析统计不同用户的流。

附图说明

图1是本发明的流镜像方法流程图。

具体实施方式

下面将结合附图及具体实施例对本发明作进一步详细的描述：

请参阅图1，本发明的流镜像方法具体为：

101、在路由器上配置ACL，包含permit规则，该规则用以筛选需要镜像的数据帧。

102、在RADIUS(Remote Authentication Dial In User Service，远程用户拨号认证系统)服务器上配置授权信息，其中包括各个用户的是否做镜像标识、镜像所依据的ACL号、目的镜像端口号。

103、用户请求上线，路由器通过RADIUS动态授权获得所述授权信息，并将该信息记录于活动用户表中。

104、路由器根据所述授权信息中各个用户的是否做镜像标识来选择需要做镜像的当前上线用户。

105、对于被选择的每个用户，路由器先根据授权信息获取该用户镜像所依据的ACL号，再判断本路由器上是否存在与所述ACL号相对应的ACL，若存在，则将该用户的与此ACL相匹配的数据帧镜像到相应的目的镜像端口号。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。