[发明专利]一种实现路由器远端镜像的方法和系统

说明书

技术领域

本发明涉及到计算机网络数据通信技术领域，特别涉及一种实现路由器远端镜像的方法和系统。

背景技术

在以太网的环境下，一般两台工作站之间的通讯是不会被第三者侦听到的，但在某些情况下，可能需要监视进出网络的所有数据包，供安装了监控软件的管理服务器抓取数据，如网吧需要提供此功能把数据发往公安部门审查；而企业出于信息安全、保护公司机密的需要，也迫切需要网络中有一个端口能提供这种实时监控功能。

在企业中用端口镜像功能，可以很好的对企业内部的网络数据进行监控管理，在网络出故障的时候，可以做到很好的故障定位；但是在目前广泛采用的交换网络中监听所有流量有相当大的困难，因此需要通过配置交换机/路由器来把一个或多个端口的数据转发到某一个端口来实现对网络的监听。

端口镜像功能可以把一个端口(源端口)的部分或全部流量拷贝到另一个专门指定的叫做“镜像端口”的端口(也称“监视端口”或“目的端口”)，在不严重影响源端口正常吞吐量的情况下，通过镜像端口对网络的流量进行监控分析；现行路由器上实现的端口镜像技术都是基于本路由器上的，即从路由器上的一个或多个端口镜像到该路由器上的另一个端口，由于没有实现端口的远端监控，其应用范围受到限制。

随着VPN(Virtual Private Network，虚拟专用网络)技术的广泛范围应用，路由器应用区域越来越广泛、实现业务越来越多，加之各企业对自身网络安全意识的提高，对于远端监控、侦听的需求已经越来越紧迫，现有技术还没有具体的实现方案。

发明内容

本发明所要解决的技术问题是提供一种实现路由器远端镜像的方法和系统，使流量监控能在异地实现。

为了解决上述问题，本发明提供了一种实现路由器远端镜像的方法，在源路由器上设置远端镜像端口，并为所述远端镜像端口建立对应的二层虚接口以及为所述二层虚接口指定需要镜像的数据流和物理出端口；在目的路由器上建立与源路由器的二层虚接口对应的二层虚接口，所述源路由器上的二层虚接口与目的路由器上的二层虚接口之间形成一条虚拟专线业务VPWS隧道；

当所述源路由器的远端镜像端口收到报文后过滤出需要镜像的数据流，并从所述二层虚接口对应的物理出端口发送至目的路由器；

所述目的路由器收到镜像报文后，查找对应的二层虚接口，并从该二层虚接口对应的物理端口发送脱去标签后的镜像报文至监控端口。

进一步地，为所述源路由器的远端镜像端口设置端口属性表，其中包括镜像标志以及进行镜像的出接口，所述出接口为建立的二层虚接口；为所述二层虚接口也设置端口属性表，其中包括该二层虚接口对应的实际物理出端口、访问控制链表ACL规则号、VPWS隧道的ID号；在所述源路由器还为VPWS隧道设置VPWS转发表，其中包括该VPWS隧道的ID号、源MAC、目的MAC以及隧道的内、外层标签信息；

当源路由器的一物理端口收到报文后判断该端口是否为远端镜像端口，若是则查找所述物理端口的端口属性表得到远端镜像的二层虚接口，之后查找所述二层虚接口的端口属性表，根据其中的ACL规则过滤出镜像数据流，并根据对应的VPWS转发表获得源MAC、目的MAC以及VPWS隧道的内、外层标签信息，将源MAC、目的MAC和内、外层标签封装进镜像数据流的二层头中，然后从二层虚接口对应的物理出端口将已封装的镜像报文发送至目的路由器。

进一步地，为目的路由器上接收镜像报文的端口建立多协议标签交换MPLS转发表，内层VC标签对应的出接口，所述出接口为与源路由器的二层虚接口对应的二层虚接口，在目的路由器上还为所述二层虚接口设置端口属性表，其中包括该二层虚接口对应的实际物理出端口；

当目的路由器的物理端口收到标签包后查找该端口的MPLS转发表获得内层VC标签对应的出接口，若出接口为二层虚接口则为远端镜像报文，并查找所述二层虚接口的端口属性表得到物理出端口，然后将标签包脱去标签后由所述物理出端口发送至监控端口。

进一步地，所述设置的远端镜像端口为源路由器的入端口和/或出端口。

进一步地，若入端口为远端镜像端口，当所述入端口收到报文后，先将所述报文进行远端镜像后回转，然后按普通报文转发；

若出端口为远端镜像端口，当所述出端口收到报文后，先将所述报文按普通报文转发后回转，然后再进行远端镜像。

一种实现路由器远端镜像的系统，包括源路由器及目的路由器；

所述源路由器包括设置模块、支撑模块、访问控制模块和收发模块；