[发明专利]一种跨越多层网络设备进行数据包监听和捕捉的方法

说明书

本发明涉及一种跨越多层网络设备进行数据包监听和捕捉的方法，属于网络安全管理与信息技术领域。本发明的技术方案是：在不增加监测设备和网络设备的情况下，在多层级多设备的网络系统架构下，通过使用端口镜像技术将需要监测的数据包汇聚到监听端口，再将监听端口的数据通过监听链路逐级上传，依次类推，从而实现跨越多层网络设备的数据包捕捉。本发明借助于核心、汇聚、接入的多层园区网络架构体系，通过运用相关性技术、端口镜像技术、VLAN技术，实现对信息化园区网络的大范围可持有的网络数据包和流量监测。

技术领域

本专利申请属于网络安全与信息技术领域，更具体地说，是涉及一种跨越多层网络设备进行数据包监听和捕捉的方法。

背景技术

随着信息化建设的不断深入，网络安全管理工作的重要性逐步突显出来。在网络安全管理工作中，通过对网络中数据包的捕捉来分析网络中通信状况和可能存在的不安全因素，是一种常用的技术手段。但监测设备一般比较昂贵且数量有限，而企业的园区网络规模不断扩大，很难实现大范围的网络数据包捕捉和监测。

为了解决这一问题，亟需利用现有网络设备，在不增加监测设备的前提下实现跨越多层网络设备的网络数据包监听和捕捉。

发明内容

本发明需要解决的技术问题是提供一种跨越多层网络设备进行数据包监听和捕捉的方法，以实现对信息化园区网络的大范围的网络数据包和流量监测。

为了解决上述问题，本发明所采用的技术方案是：

一种跨越多层网络设备进行数据包监听和捕捉的方法，在不增加监测设备和网络设备的情况下，在多层级多设备的网络系统架构下，通过使用端口镜像技术将需要监测的数据包汇聚到监听端口，再将监听端口的数据通过数据监听链路逐级上传，并最终上传到网络监测设备中进行监测，从而实现跨越多层网络设备的数据包捕捉。

本发明技术方案的进一步改进在于：包含以下步骤：

步骤S1，在网络接入层设备中统计需要监听的数据源及数据源所在网络接入层设备的端口号，这些端口号所在的端口作为数据监听的源端口，并在网络接入层设备上将一个空闲端口作为网络接入层设备的数据监听的目的端口；

步骤S2，在网络接入层设备上采用端口镜像技术，将源端口的数据复制到目的端口；

步骤S3，在与网络接入层设备上联的网络汇聚层设备上用空闲的端口作为汇聚层监听的源端口，设置链路作为数据监听链路，将网络接入层设备上的目的端口与网络汇聚层设备的源端口连接；

步骤S4，重复S1、S2、S3步骤，直至将所有的网络接入层设备的需要监听的源端口全部完成数据镜像，将全部网络接入层设备上的目的端口的数据全部用独立的数据监听链路连接到网络汇聚层设备上对应的源端口上；

步骤S5：在网络汇聚层设备上用一个空闲端口作为网络汇聚层设备监控的目的端口，采用端口镜像技术，将网络汇聚层设备上的所有用于监控的源端口数据复制到网络汇聚层设备的目的端口；

步骤S6：在网络核心设备上用空闲端口作为数据监控的源端口，用数据监听链路将网络汇聚层设备上的目的端口连接到网络核心设备的源端口；

步骤S7：重复步骤S5、步骤S6，直至将所有网络汇聚层设备上的源端口数据复制到网络汇聚层设备上的目的端口，并将网络汇聚层设备上的目的端口全部连接到网络核心设备的源端口上；

步骤S8：在网络核心设备上用一个空闲端口作为监听的目的端口，用端口镜像技术将网络核心设备的源端口数据复制到目的端口；

步骤S9：用数据监听链路将网络核心设备的目的端口与网络监测设备上用于监听的源端口连接，从而实现了跨层级（比如跨交换机）的数据包捕捉和监听功能。

本发明技术方案的进一步改进在于：步骤S1、S5、S8中，目的端口的网络端口速率均大于或等于源端口的网络端口速率。