[发明专利]一种数据流的镜像方法及装置

说明书

技术领域

本发明涉及通信技术领域，尤其涉及一种数据流的镜像方法及装置。

背景技术

镜像，是指网络设备上用于将经过某端口的数据流复制并传输到网络监控设备的技术，该网络监控设备主要是用来监控和分析网络上的数据流。例如对应交换机上来说，利用镜像技术我们可以把交换机上需要被监控的端口(简称镜像源端口)的数据流复制一份，通过连接了网络监控设备的端口(简称镜像目的端口)，发送给网络监控设备，在网络监控设备上，可以进行网络监控与故障排除。

镜像又分为输入镜像和输出镜像，输入镜像即把从镜像源端口输入的数据复制到镜像目的端口，发送给网络监控设备，输出镜像是把从镜像源端口输出的数据复制到镜像目的端口，发送给网络监控设备。现有技术中镜像技术可以分为基于端口的镜像和基于流的镜像：

基于端口的镜像，即从镜像源端口输入或输出的所有数据，都镜像到镜像目的端口。然而，现有网络设备的端口速率越来越大(如1G/秒、10G/秒速率)，如果把经过端口的所有数据都镜像到网络监控设备，因为数据量相当庞大，增大了网络监控设备的分析监控负担。

基于流的镜像，即将符合特定特征的数据镜像到镜像目的端口，该技术可分为匹配和镜像操作两个过程，其中，匹配为匹配数据特征，镜像操作为将符合特定特征的数据镜像至镜像目的端口。基于流的镜像需要芯片支持，然而现有的大部分芯片只能实现对输入方向的数据流实现基于流的镜像，而对输出方向的数据流无法实现镜像操作这一过程，导致输出方向基于流的镜像无法实现。使得基于流的镜像因为缺少对输出方向上的数据流的监控而降低了对网络数据监控的全面性和准确性，从而使得基于流的镜像存在网络安全隐患。若将输出方向的数据流都镜像至网络监控设备，无疑又加重网络监控设备的负担。

发明内容

本发明的目的是提供一种数据流的镜像方法及装置，以克服相关技术中无法对输出方向的数据流实现基于流的镜像技术的问题，以及网络监控设备负担中的问题。

本发明提供一种数据流的镜像方法，包括：

将从镜像源端口输出的数据流镜像至镜像目的端口，其中镜像目的端口用于向网络监控设备发送镜像源端口输出的数据，所述网络监控设备用于监控和分析镜像源端口输出的数据；

在通过所述镜像目的端口将所述数据流发送给所述网络监控设备之前，根据与所述镜像源端口对应的ACL(Access Control List，访问控制列表)过滤规则，将所述数据流中满足所述ACL过滤规则中的通过条件的数据，通过所述镜像目的端口发送给所述网络监控设备。

本发明还提供一种数据流的镜像装置，所述装置包括：

第一镜像模块，用于将从镜像源端口输出的数据流镜像至镜像目的端口，其中镜像目的端口用于向网络监控设备发送镜像源端口输出的数据，所述网络监控设备用于监控和分析镜像源端口输出的数据；

第二镜像模块，用于在通过所述镜像目的端口将所述数据流发送给所述网络监控设备之前，根据与所述镜像源端口对应的ACL过滤规则，将所述数据流中满足所述ACL过滤规则中的通过条件的数据，通过所述镜像目的端口发送给所述网络监控设备。

本发明至少具有以下有益效果：在输出方向的数据处理逻辑中实现了基于流的镜像，提高了基于流的镜像的网络监控处理效率；通过将输出方向上的部分数据而非全部数据发送给网络监控设备进行分析，从而降低了网络监控设备的负担，节省了网络监控设备的处理资源。

应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本发明。

附图说明

图1为本发明实施例中数据流的镜像方法的示例性流程图；

图2为本发明实施例中数据流的镜像方法的另一示例性流程图；

图3为本发明实施例中数据流的镜像方法的另一示例性流程图；

图4为本发明实施例中数据流的镜像装置的示意图；

图5为本发明实施例中数据流的镜像装置的另一示意图。

具体实施方式

以下结合说明书附图对本发明的优选实施例进行说明，应当理解，此处所描述的优选实施例仅用于说明和解释本发明，并不用于限定本发明，并且在不冲突的情况下，本发明中的实施例及实施例中的特征可以相互组合。

本发明实施例适用于交换机，路由器等的网络设备，在该网络设备需要进行输出方向的流镜像，但芯片又不能直接支持的情况下尤其适用。