[发明专利]一种基于用户的流量镜像方法及系统

说明书

技术领域

本发明涉及数据通信监控技术，具体涉及一种基于用户的流量镜像方法及系统。

背景技术

镜像是数据通信设备必须提供的一项基本功能，它的主要作用是将设备上的某一个端口涉及的部分数据、或者全部数据复制到另一个端口，即镜像端口，再通过工程人员或者仪器对镜像端口上的流量进行分析和监控，不难看出，镜像对故障排查和信息安全有着很重要的意义。

比较常见的流量镜像方法有端口镜像和流镜像。

端口镜像是根据预先设置好的镜像规则，对端口上的所有报文进行镜像，流镜像是根据预先设置好的流匹配表，只对端口上匹配的某种报文进行镜像，可以看出，现有的流量镜像只能指定端口或是指定某种流量，而不能指定某个接入用户，但是，对于安全监控来说，对某个接入用户的流量进行镜像同样具有很大的实用意义。如果按照流镜像的镜像原理，通过设置用户匹配表进行对用户的流量镜像，却不能完全实现对用户的安全监控，因为，如果设置用户匹配表，只能基于IP来查找用户，而当前宽带的接入主要是通过拨号方式或动态主机配置协议(DHCP)方式，用户IP地址不固定，所以，通过IP追查用户还需要通过网管记录的配合，在没有网管记录的情况下，就无法追查到用户。

发明内容

有鉴于此，本发明的主要目的在于提供一种基于用户的流量镜像方法及系统，能够完全实现对用户的安全监控，并且使监控更加灵活。

为达到上述目的，本发明的技术方案是这样实现的：

一种基于用户的流量镜像方法，该方法包括：

a、用户终端向接入服务器发送上线请求；

b、对用户进行认证，用户通过认证后，判断所述用户是否配置了用户流量镜像的授权信息，如果是，执行上线流程，并将所述用户流量镜像的授权信息写入所述用户对应的用户转发表中；否则，执行上线流程；

c、接入服务器收到报文后，根据所述报文所对应用户的用户转发表进行报文转发及流量镜像。

所述步骤a之前包含步骤：在接入服务器和/或远程用户拨号认证服务器(radius)上配置授权信息列表；步骤b所述判断为：通过查找授权信息列表进行判断。

步骤a所述上线请求携带用户的账户和密码。

步骤b所述对用户进行认证为：用户的认证方式为本地认证时，由接入服务器通过查找自身存储的用户账户数据库进行认证；

用户的认证方式为radius认证时，接入服务器将所述用户的账户和密码发送至radius，由radius通过查找自身存储的用户账户数据库进行认证。

步骤b所述流量镜像的授权信息包括流量镜像方向和目的镜像端口号。

所述判断用户是否配置了用户流量镜像的授权信息为：由接入服务器对用户进行认证且用户通过认证后，继续由接入服务器判断自身存储的授权信息列表中是否配置了所述用户流量镜像的授权信息；

由radius对用户进行认证且用户通过认证后，继续由radius判断自身存储的授权信息列表中是否配置了所述用户流量镜像的授权信息。

对于radius认证的用户或者本地认证远程计费的用户，该方法还包括：在用户上线后，启动流量镜像，具体为：radius发送补充授权(coa)消息给接入服务器，所述coa消息携带用户信息或计费会话ID，以及用户流量镜像的动态补充授权信息；接入服务器收到coa消息后，将所述流量镜像的动态补充授权信息写入所述用户信息或计费会话ID对应用户的用户转发表中；接入服务器在接收到与所述用户相关报文时，根据修改后的用户转发表进行报文转发及流量镜像，即启动了流量镜像。

对于radius认证的用户或者本地认证远程计费的用户，该方法还包括：在流量镜像开启的情况下，关闭流量镜像，具体为：radius发送关闭流量镜像消息给接入服务器，所述关闭流量镜像消息携带用户信息或计费会话ID，以及需要删除的用户流量镜像的授权信息；接入服务器收到关闭流量镜像消息后，将所述需要删除的用户流量镜像的授权信息从所述用户信息或计费会话ID对应用户的用户转发表中删除；接入服务器在接收到与所述用户相关的报文时，根据修改后的用户转发表进行报文转发，即关闭了流量镜像。

一种基于用户的流量镜像系统，该系统主要包括用户终端、接入服务器和radius，