專(zhuān)利名稱(chēng):實(shí)現(xiàn)異種類(lèi)型端口鏡像的方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種實(shí)現(xiàn)異種類(lèi)型端口鏡像的方法和系統(tǒng),尤其涉 及數(shù)據(jù)通訊領(lǐng)域的端口鏡像技術(shù)。
背景技術(shù):
在以太網(wǎng)交換:才幾和^各由器網(wǎng)絡(luò)環(huán)境下,一^殳可以通過(guò)端口鏡J象 功能實(shí)現(xiàn)對(duì) 一 個(gè)或 一 個(gè)以上的以太網(wǎng)類(lèi)型的接口進(jìn)行監(jiān)控,乂人而可 以網(wǎng)絡(luò)內(nèi)部的數(shù)據(jù)進(jìn)行監(jiān)控管理,在網(wǎng)絡(luò)出故障的時(shí)4矣,可以估支到 ^艮好的故障定位。但是在目前廣泛采用支持端口鏡像功能的交換機(jī)或路由器來(lái)實(shí) 現(xiàn),通過(guò)配置交換機(jī)或路由器對(duì)巴一個(gè)或多個(gè)端口的數(shù)據(jù)轉(zhuǎn)發(fā)到某一 個(gè)端口來(lái)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的監(jiān)聽(tīng),這種監(jiān)聽(tīng)目前只限于以太網(wǎng)類(lèi)型的端 口,對(duì)于廣域網(wǎng)類(lèi)型的接口目前還沒(méi)有設(shè)備能夠支持。而如果采用 專(zhuān)業(yè)的廣域網(wǎng)接口分析儀器,價(jià)格又太高。目前,幾乎沒(méi)有廠家的 設(shè)備能夠做到廣域網(wǎng)類(lèi)型到以太網(wǎng)類(lèi)型的端口鏡像。發(fā)明內(nèi)容本發(fā)明的目的是為了克服了現(xiàn)有技術(shù)中對(duì)異種類(lèi)型端口不能做 端口鏡像的缺點(diǎn),解決現(xiàn)有技術(shù)中存在的異種類(lèi)型端口鏡像問(wèn)題, 不^f旦實(shí)i見(jiàn)廣i或網(wǎng)類(lèi)型4妄口向以太網(wǎng)類(lèi)型4妄口的端口鎮(zhèn) 像,而且可以
構(gòu)造輔助的以太網(wǎng)報(bào)文頭,使得常見(jiàn)的抓包軟件能夠分析處理鏡像 后的lt據(jù)包。
本發(fā)明所述的一種實(shí)現(xiàn)異種類(lèi)型端口銷(xiāo)j象的方法,如
圖1所示,
包才舌如下步冬聚
步驟S102,在路由器上通過(guò)命令來(lái)配置端口鏡像,所述端口鏡 像配置包括會(huì)話(huà)號(hào)、源端口和目的端口參數(shù),而所述會(huì)話(huà)號(hào)用于表 示所述端口鏡像的唯一標(biāo)示,所述源端口用于表示所要分析的端口 , 所述目的端口用于表示鏈接分析裝置的端口 ;
步驟S104,在路由器內(nèi)部將廣域網(wǎng)接口所收到的數(shù)據(jù)包進(jìn)行解 析,以構(gòu)造鏡像才艮文;
步驟S106,對(duì)于所述鏡像報(bào)文,構(gòu)造一個(gè)以太網(wǎng)才艮文頭;以及
步驟S108,把所構(gòu)造好的報(bào)文從所述鏡像的目的端口發(fā)送出 去,以通過(guò)接在以太網(wǎng)接口上的分析裝置中的抓包軟件進(jìn)行分析。
作為本發(fā)明的一種優(yōu)選方案,所述的一種實(shí)現(xiàn)異種類(lèi)型端口鏡 像的方法還包括所述會(huì)話(huà)號(hào)進(jìn)一步用1-64中的一個(gè)數(shù)值來(lái)表示所 述端口鎮(zhèn)/像的口眷一標(biāo)示。
作為本發(fā)明的另 一種優(yōu)選方案,所述構(gòu)造鏡像才艮文的步驟進(jìn)一 步包括
如果是分片包需要重組,提取出完整有效的IP報(bào)文,從IP包 頭開(kāi)始復(fù)制,以作為IP層的鏡像報(bào)文;而對(duì)于廣域網(wǎng)的PPP、 HDLC 或Frame-Relay鏈路層協(xié)議的+辦商和控制報(bào)文,則直接從鏈路層開(kāi) 始復(fù)制,以作為所述鏈路層的鏡〗象報(bào)文。
作為本發(fā)明的又一種優(yōu)選方案,所述的一種實(shí)現(xiàn)異種類(lèi)型端口
鏡像的方法還包括對(duì)于IP層的鏡像報(bào)文,構(gòu)造一個(gè)缺省的以太網(wǎng) 才艮文頭,或者構(gòu)造一個(gè)用戶(hù)指定的以太網(wǎng)才艮文頭;構(gòu)造以太網(wǎng)才艮文 頭時(shí),對(duì)于目的mac,缺省為FF-FF-FF-FF-FF-FF以此發(fā)往該廣4番 域中的分析裝置,也可以指定目的mac地址4吏其能夠通過(guò)交換一幾發(fā) 往指定的分析裝置;對(duì)于源mac,則按照3字節(jié)的硬件制造商的編 號(hào)加上1字節(jié)的槽位號(hào)加上1字節(jié)的端口號(hào)再加上1字節(jié)的通道號(hào)/ 子接口號(hào)這種格式進(jìn)行填寫(xiě),如果是鏡像所接收到的報(bào)文則硬件制 造商的編號(hào)填0,如果是鏡像所發(fā)送的報(bào)文則硬件制造商的編號(hào)就 取自此臺(tái)路由器,從而在鏡像后的數(shù)據(jù)包中獲取數(shù)據(jù)流的收發(fā)方向 及端口信息;以及,以太網(wǎng)協(xié)議號(hào)填寫(xiě)0x0800 (IPv4)。
作為本發(fā)明的進(jìn)一步的優(yōu)選方案,所述的一種實(shí)現(xiàn)異種類(lèi)型端 口鏡像的方法還包括對(duì)于Frame-Relay或HDLC協(xié)議的鏈路層的 鏡像報(bào)文,如果是協(xié)議的協(xié)商和控制報(bào)文,則構(gòu)造以太網(wǎng)報(bào)文頭, 以太網(wǎng)協(xié)議號(hào)填寫(xiě)0xFFFF (保留)。
作為本發(fā)明的又一個(gè)優(yōu)選方案,所述的一種實(shí)現(xiàn)異種類(lèi)型端口 鏡像的方法還包括對(duì)于PPP協(xié)議的鏈路層的鏡像報(bào)文,則先構(gòu)造 一個(gè)PPPoE的凈艮文頭,所述才艮文中VERSION = 0x1, TYPE = 0x1, CODE = 0x00, SESSIONJD = 0x0000, LENGTH =此PPP報(bào)文的長(zhǎng) 度;再構(gòu)造以太網(wǎng)報(bào)文頭,把以太網(wǎng)協(xié)議號(hào)填寫(xiě)為0x8864(PPPoE)。
作為本發(fā)明的又進(jìn)一步的優(yōu)選方案,所述的 一種實(shí)現(xiàn)異種類(lèi)型 端口鏡像的方法還包括通過(guò)ACL過(guò)濾特定的數(shù)據(jù)流,針對(duì)特定的 IP流進(jìn)行分析。
作為本發(fā)明的再進(jìn)一步的優(yōu)選方案,所述的 一種實(shí)現(xiàn)異種類(lèi)型 端口鏡像的方法還包括所述分析裝置包括PC機(jī)。
本發(fā)明所述的一種實(shí)現(xiàn)異種類(lèi)型端口銷(xiāo) 像的系統(tǒng),包括含有物 理接口、主控板、交換背板和轉(zhuǎn)發(fā)單々反的^各由器,以及軟件模塊部 分,其特征在于,所述軟件才莫塊部分通過(guò)配置廣域網(wǎng)類(lèi)型^妾口到以 太網(wǎng)類(lèi)型接口的端口鏡像以實(shí)現(xiàn)廣域網(wǎng)線路的分析,所述軟件才莫塊部分進(jìn)一步包括OAM管理才莫塊,用于處理由用戶(hù)在所述主控4反上所輸入的配 置命令;支撐模塊,用于維護(hù)所述端口鏡像的配置信息; 轉(zhuǎn)發(fā)模塊,用于接收和發(fā)送數(shù)據(jù)包;驅(qū)動(dòng)才莫塊,用于^^由所述OAM管理才莫塊所處理的且由所述支 撐模塊進(jìn)行維護(hù)的配置同步到所述轉(zhuǎn)發(fā)模塊;端口鏡像模塊,用于復(fù)制和發(fā)送所述數(shù)據(jù)包;以及,ACL模塊,用于流匹配所述數(shù)據(jù)包以鏡像所指定的數(shù)據(jù)流。進(jìn) 一 步地,在本發(fā)明所述的 一 種實(shí)現(xiàn)異種類(lèi)型端口鏡像的系統(tǒng) 中所述轉(zhuǎn)發(fā)模塊接收來(lái)自廣域網(wǎng)接口的數(shù)據(jù)包,并將其放入所述 端口 4竟像纟莫塊進(jìn)行端口鏡像處理。更進(jìn)一步地,在本發(fā)明所述的一種實(shí)現(xiàn)異種類(lèi)型端口鏡像的系 統(tǒng)中所述端口鏡像模塊在數(shù)據(jù)鏈路層按照順序找出所匹配的端口 鏡像會(huì)話(huà),并按照所述驅(qū)動(dòng)模塊所同步到所述轉(zhuǎn)發(fā)模塊的、所述會(huì) 話(huà)的參數(shù)配置進(jìn)行端口鏡像,以對(duì)所述數(shù)據(jù)包進(jìn)行RX方向上的端 口鏡像處理;所述端口鏡像模塊在所述數(shù)據(jù)包進(jìn)入網(wǎng)絡(luò)層時(shí)匹配所 述會(huì)話(huà)并通過(guò)所述ACL模塊匹配ACL的過(guò)程以對(duì)所述數(shù)據(jù)包進(jìn)行 RX方向上的流鏡像處理,從而使其成為帶有ACL參數(shù)的端口鏡像;
以及,所述端口鏡像模塊在所述數(shù)據(jù)包在TX方向上依次通過(guò)所述 網(wǎng)絡(luò)層和數(shù)據(jù)《連^各層的時(shí)候,也分別相應(yīng)地對(duì)該tt據(jù)包進(jìn)行TX方 向上的流4竟1象處理和TX方向上的端口銷(xiāo) 像處理。再進(jìn)一步地,在本發(fā)明所述的一種實(shí)現(xiàn)異種類(lèi)型端口鏡〗象的系 統(tǒng)中在所述廣域網(wǎng)接口的鏈路層包括PPP協(xié)議、Frame-Relay協(xié) 議、以及HDLC協(xié)議。與現(xiàn)有技術(shù)相比,由于本發(fā)明一種實(shí)現(xiàn)異種類(lèi)型端口鏡像的系 統(tǒng)采用了特有的廣i或網(wǎng)協(xié)i義轉(zhuǎn)以太網(wǎng)十辦i義的方法,因此突石皮了端口 鏡像不支持廣域網(wǎng)接口的局限性,利用現(xiàn)有設(shè)備達(dá)到了專(zhuān)業(yè)監(jiān)控儀 器的效果,節(jié)省了設(shè)備成本,提高了路由器自身的軟件功能,從而 達(dá)到了以下有益歲丈果本發(fā)明所述的一種實(shí)現(xiàn)異種類(lèi)型端口鏡像的系統(tǒng)還包括在路由 器內(nèi)部,對(duì)廣域網(wǎng)協(xié)議包進(jìn)行了解析,對(duì)分片包進(jìn)行了重組,與現(xiàn) 有技術(shù)相比,本發(fā)明避免了數(shù)據(jù)包碎片出現(xiàn)的弊端;進(jìn)一 步地,由于本發(fā)明所述的 一種實(shí)現(xiàn)異種類(lèi)型端口鏡像的系 統(tǒng)還包括在端口鏡像模塊,將廣域網(wǎng)的數(shù)據(jù)鏈路層協(xié)議,轉(zhuǎn)換為利 于抓包軟件分析的以太幀協(xié)議,對(duì)于網(wǎng)絡(luò)層以上的內(nèi)容不啦文變動(dòng), 使得通過(guò)簡(jiǎn)單的手4殳分析復(fù)雜端口的流量成為現(xiàn)實(shí);以及更進(jìn)一 步地,由于本發(fā)明所述的 一種實(shí)現(xiàn)異種類(lèi)型端口鏡像的 系統(tǒng)還包括將廣域網(wǎng)常見(jiàn)的PPP協(xié)議,轉(zhuǎn)為PPPoE協(xié)議,使得普通 的抓包軟件可以分析PPP鏈路的協(xié)商報(bào)文及控制報(bào)文。附圖i兌明圖i是本發(fā)明所述的一種實(shí)現(xiàn)異種類(lèi)型端口鎮(zhèn):像的方法的流程圖2是通過(guò)端口鏡像來(lái)分析廣域網(wǎng)線路的組網(wǎng)示意圖3是實(shí)現(xiàn)端口鏡像的相關(guān)功能模塊框圖4是端口鏡像模塊實(shí)現(xiàn)其功能的流程圖5是廣域網(wǎng)協(xié)議轉(zhuǎn)換為以太網(wǎng)協(xié)議的流程圖6是構(gòu)造以太網(wǎng)報(bào)文頭的流程圖;以及
圖7是所構(gòu)造的以太網(wǎng)報(bào)文頭格式的示意圖
具體實(shí)施例方式
下面結(jié)合附圖對(duì)沖支術(shù)方案的實(shí)施作進(jìn)一步的詳細(xì)描述。
本發(fā)明提出的一種實(shí)現(xiàn)異種類(lèi)型端口鏡像的方法,是基于^^由 器所連4妻的網(wǎng)絡(luò)系統(tǒng),其具體組網(wǎng)環(huán)境如圖2所示。
Rl和R2是兩個(gè)網(wǎng)絡(luò)之間的互聯(lián)用路由器,通過(guò)廣域網(wǎng)線3各連 接,這里廣域網(wǎng)接口可以采用E1/CE1、 T1/CT1、 POS/CPOS等,廣 域網(wǎng)協(xié)-議可以采用PPP、 Frame-Relay、或HDLC,正常情況下,這 兩個(gè)網(wǎng)絡(luò)的通信內(nèi)容不為人所知,由于其間采用廣域網(wǎng)協(xié)議通訊, 故增加了監(jiān)聽(tīng)并分析其通信內(nèi)容的難度。
R2是按照本方法實(shí)現(xiàn)的一臺(tái)路由器,硬件部分由物理4妾口、主 控板、交換背板、轉(zhuǎn)發(fā)單板構(gòu)成。主控板完成配置,將配置發(fā)送到 轉(zhuǎn)發(fā)單板;轉(zhuǎn)發(fā)單板從物理接口接收和發(fā)送報(bào)文;以及,交換背板 完成報(bào)文在不同接口之間的交換。
軟件模塊部分由OAM管理模塊、支撐模塊、驅(qū)動(dòng)模塊、轉(zhuǎn)發(fā) 模塊、端口鏡像模塊、ACL模塊構(gòu)成,如圖3所示。OAM管理模
塊負(fù)責(zé)處理用戶(hù)在主控板上輸入的配置命令;支撐模塊負(fù)責(zé)維護(hù)端 口鏡像的配置信息;轉(zhuǎn)發(fā)模塊負(fù)責(zé)數(shù)據(jù)包的接收和發(fā)送;驅(qū)動(dòng)模塊 用于4巴由所述OAM管理才莫塊所處理的且由所述支撐才莫塊進(jìn)4亍維護(hù) 的配置同步到轉(zhuǎn)發(fā)模塊;端口鏡像模塊,負(fù)責(zé)對(duì)數(shù)據(jù)包按照要求進(jìn) 行復(fù)制和發(fā)送;以及,ACL模塊負(fù)責(zé)對(duì)數(shù)據(jù)包進(jìn)行流匹配,以用于 鏡像指定的數(shù)據(jù) 流。其中,端口鏡像模塊是實(shí)現(xiàn)本方法最主要的模塊,它的處理流 程如圖4所示數(shù)據(jù)包在接口被接受后,交給轉(zhuǎn)發(fā)模塊,首先進(jìn)入 數(shù)據(jù)鏈^各層,此時(shí)對(duì)凄t據(jù)包進(jìn)4于RX方向上端口鎮(zhèn) 像處理。在端口 鏡像模塊處理時(shí),首先按照順序找出匹配的端口鏡像會(huì)話(huà),4安照該 會(huì)話(huà)的參數(shù)配置進(jìn)行端口鏡像,如截?cái)?、改變封裝、發(fā)往指定的鏡 像端口等;接著數(shù)據(jù)包進(jìn)入網(wǎng)絡(luò)層,這是需要處理帶有ACL參凄t的 端口4竟像,其處理過(guò)程和上述端口鏡像步驟相同,只是在匹配會(huì)話(huà) 時(shí)多了個(gè)ACL匹配的過(guò)程;然后數(shù)據(jù)包在TX方向上依次通過(guò)網(wǎng)絡(luò) 層、數(shù)據(jù)4連路層的時(shí)候,也分別對(duì)其進(jìn)行端口4竟像,其處理流程以 上述類(lèi)似。在圖2所示的《且網(wǎng)環(huán)境下,Rl和R2之間通過(guò)e1線踏4連4妾, 廣域網(wǎng)協(xié)議采用PPP協(xié)議,用R2監(jiān)聽(tīng)它們之間的數(shù)據(jù)包,需在R2 上將一個(gè)以太網(wǎng)接口接到 一個(gè)分析設(shè)備或者一個(gè)裝有抓包軟件的電腦上。然后按照下列步驟對(duì)R2路由器進(jìn)行軟件配置配置端口鏡像,將ei接口鏡像到以太網(wǎng)接口 ,并配置#:像包的封裝方式,將PPP協(xié)議包轉(zhuǎn)換為指定的以太幀格式,使得以以太 幀格式為主的監(jiān)控設(shè)備或軟件能夠進(jìn)行分析。配置如下monitor on 〃4丁開(kāi)端口 4竟<象monitor encapsulation ppp-to-ethemetmonitor session 1 source cel_l/l.l destination fei_2/l然后將PC或其它電子裝置4妄在以太網(wǎng)4姿口上,通過(guò)Sniffer、 Ethereal等軟件進(jìn)行抓包分析。其中,將廣域網(wǎng)協(xié)議轉(zhuǎn)換為以太網(wǎng)協(xié)議的流程如圖5、圖6所 示,轉(zhuǎn)換后的報(bào)文格式如圖7所示。圖5描述的是將廣域網(wǎng)協(xié)議轉(zhuǎn)換為以太網(wǎng)協(xié)議流程,首先對(duì)廣 域網(wǎng)協(xié)議進(jìn)行解析和重組。如果網(wǎng)絡(luò)層是IP協(xié)議,4是耳又出完整有效 的IP報(bào)文,從IP包頭開(kāi)始復(fù)制,構(gòu)造以太網(wǎng)報(bào)文頭,然后從鏡像 目的端口發(fā)送出去。如果是廣域網(wǎng)的PPP 、 HDLC 、或Frame-Relay 等鏈路層協(xié)議的協(xié)商和控制報(bào)文,則直接從鏈路層開(kāi)始復(fù)制,構(gòu)造 以太網(wǎng)報(bào)文頭(其中如果是PPP協(xié)議,則先構(gòu)造一個(gè)PPPoE才艮文頭, 再構(gòu)造以太網(wǎng)報(bào)文頭),然后從鏡像目的端口發(fā)送出去。更具體地,圖6描述的是構(gòu)造以太網(wǎng)才艮文頭的流程,構(gòu)造以太 網(wǎng)報(bào)文頭時(shí),對(duì)于目的mac,缺省為FF-FF-FF-FF-FF-FF,可以發(fā)往 該廣播域中的監(jiān)控設(shè)備;也可以指定目的mac地址,使其可以通過(guò) 交換機(jī)發(fā)往指定的監(jiān)控設(shè)備。對(duì)于源mac,則按照"硬件制造商的 編號(hào)(3字節(jié))+槽位號(hào)(1字節(jié))+端口號(hào)(1字節(jié))+通道號(hào)/子接 口號(hào)(l字節(jié))"的方式填寫(xiě),如果是鏡像收到的報(bào)文,則廠家設(shè)備 號(hào)硬件制造商的編號(hào)填0;如果是鏡像發(fā)送的報(bào)文時(shí),則硬件制造 商的編號(hào)則取自此臺(tái)路由器。從而可以從鏡^像后的數(shù)據(jù)包中,獲取 數(shù)據(jù)流的收發(fā)方向及端口信息。以太網(wǎng)協(xié)議號(hào)根據(jù)網(wǎng)絡(luò)層協(xié)i義填寫(xiě)。圖7是轉(zhuǎn)換后的報(bào)文格式的示意圖,對(duì)于網(wǎng)絡(luò)層是IP協(xié)i義的數(shù) 據(jù)包來(lái)"i兌,其轉(zhuǎn)4灸后的才各式如圖7-A所示,由目的mac、源mac、 協(xié)議號(hào)(0x0800)、 IP頭組成;對(duì)于PPP協(xié)議的協(xié)商才艮文,其轉(zhuǎn)換
后的格式如圖7-B所示,由目的mac、源mac、協(xié)議號(hào)(0x8864 )、 PPPoE頭、PPP才艮文組成。對(duì)于Frame-Relay或HDLC十辦i義的十辦商 報(bào)文,其轉(zhuǎn)換后的格式如圖7-C所示,由目的mac、源mac、協(xié)議 號(hào)(0xFFFF)、 Frame-Relay或HDLC報(bào)文組成。其中,A、 B兩種 轉(zhuǎn)換后的報(bào)文格式能夠被常見(jiàn)的抓包軟件所解析,從而使得通過(guò)簡(jiǎn) 單方法來(lái)分析廣域網(wǎng)線路中的數(shù)據(jù)內(nèi)容并部分控制報(bào)文成為可能。
綜上所述,本發(fā)明所述的 一 種實(shí)現(xiàn)異種類(lèi)型端口鏡像的方法, 是在現(xiàn)有的路由器硬件構(gòu)架,通過(guò)軟件實(shí)現(xiàn)對(duì)特殊類(lèi)型端口進(jìn)行監(jiān) 控,將E1、 CE1或Tl等廣域網(wǎng)線路鏡像到以太網(wǎng)類(lèi)型接口上,并 在不改變數(shù)據(jù)包內(nèi)容的情況下,改變數(shù)據(jù)頭的封裝,將數(shù)據(jù)4連^各層 的PPP、 FR、或HDLC協(xié)議的包頭(或稱(chēng)報(bào)文頭)轉(zhuǎn)為以太網(wǎng)類(lèi)型 的包頭,使得接在以太網(wǎng)接口上的PC機(jī)可以通過(guò)常見(jiàn)的抓包軟件 來(lái)分析數(shù)據(jù)包。本發(fā)明只需對(duì)路由器軟件進(jìn)行升級(jí),無(wú)需增加^/f牛, 也無(wú)需專(zhuān)業(yè)的分析設(shè)備,因此,節(jié)約了成本。另外,通過(guò)豐富的端 口鏡像軟件參數(shù)設(shè)置,可實(shí)現(xiàn)靈活多樣的監(jiān)控方式。
進(jìn)一步來(lái)it,實(shí)施例中以太網(wǎng)4妾口上的PC才幾也可以用其它的 硬件的、軟件的或其兩者組合的分析裝置來(lái)替代??傊?,本發(fā)明并 不限制于任何特定的硬件和軟件結(jié)合。應(yīng)該明白,這些具體實(shí)施中 的變化對(duì)于本領(lǐng)域的技術(shù)人員來(lái)說(shuō)是非常清楚的,并不脫離本發(fā)明 精神的保護(hù)范圍。
權(quán)利要求
1.一種實(shí)現(xiàn)異種類(lèi)型端口鏡像的方法,其特征在于,包括如下步驟步驟S102,在路由器上通過(guò)命令來(lái)配置端口鏡像,所述端口鏡像配置包括會(huì)話(huà)號(hào)、源端口和目的端口參數(shù),而所述會(huì)話(huà)號(hào)用于表示所述端口鏡像的唯一標(biāo)示,所述源端口用于表示所要分析的端口,所述目的端口用于表示鏈接分析裝置的端口;步驟S104,在路由器內(nèi)部將廣域網(wǎng)接口所收到的數(shù)據(jù)包進(jìn)行解析,以構(gòu)造鏡像報(bào)文;步驟S106,對(duì)于所述鏡像報(bào)文,構(gòu)造一個(gè)以太網(wǎng)報(bào)文頭;以及步驟S108,把所構(gòu)造好的報(bào)文從所述鏡像的目的端口發(fā)送出去,以通過(guò)接在以太網(wǎng)接口上的分析裝置中的抓包軟件進(jìn)行分析。
2. 根據(jù)權(quán)利要求1所述的方法,其特4正在于,所述會(huì)話(huà)號(hào)進(jìn)一步 用1-64中的一個(gè)數(shù)值來(lái)表示所述端口鏡像的唯一標(biāo)示。
3. 根據(jù)權(quán)利要求1所述的方法,其特征在于,所述構(gòu)造鏡:-像報(bào)文 的步,驟進(jìn)一步包4舌如果是分片包需要重組,提取出完整有效的IP才艮文,從 IP包頭開(kāi)始復(fù)制,以作為IP層的銷(xiāo) 像報(bào)文;而對(duì)于廣i或網(wǎng)的 PPP、 HDLC或Frame-Relay鏈路層協(xié)議的協(xié)商和控制4艮文, 則直接從鏈路層開(kāi)始復(fù)制,以作為所述鏈路層的鏡l象才艮文。
4. 根據(jù)權(quán)利要求1至3中任一項(xiàng)所述的方法,其特征在于對(duì)于IP層的鏡像報(bào)文,構(gòu)造一個(gè)缺省的以太網(wǎng)才艮文頭, 或者構(gòu)造一個(gè)用戶(hù)指定的以太網(wǎng)才艮文頭;構(gòu)造以太網(wǎng)才艮文頭 時(shí),對(duì)于目的mac,缺省為FF-FF-FF-FF-FF-FF以此發(fā)^主該廣 才番域中的分析裝置,也可以指定目的mac地址4吏其能夠通過(guò) 交換機(jī)發(fā)往指定的分析裝置;對(duì)于源mac,則按照3字節(jié)的硬 件制造商的編號(hào)加上1字節(jié)的槽位號(hào)加上1字節(jié)的端口號(hào)再加 上1字節(jié)的通道號(hào)/子接口號(hào)這種格式進(jìn)行填寫(xiě),如果是鏡像 所接收到的報(bào)文則硬件制造商的編號(hào)填0,如果是鏡像所發(fā)送 的報(bào)文則硬件制造商的編號(hào)就取自此臺(tái)路由器,從而在鏡像后 的數(shù)據(jù)包中獲取數(shù)據(jù)流的收發(fā)方向及端口信息;以及,以太網(wǎng) 十辦i義號(hào)^真寫(xiě)IPv4的0x0800。
5. 根據(jù)權(quán)利要求1至3中任一項(xiàng)所述的方法,其特征在于對(duì)于Frame-Relay或HDLC協(xié)i義的《連^各層的鏡^f象才艮文,如 杲是協(xié)議的協(xié)商和控制報(bào)文,則構(gòu)造以太網(wǎng)報(bào)文頭,以太網(wǎng)協(xié) 議號(hào)填寫(xiě)保留的0xFFFF 。
6. 根據(jù)權(quán)利要求1至3中任一項(xiàng)所述的方法,其特征在于對(duì)于PPP協(xié)議的鏈路層的鏡像報(bào)文,則先構(gòu)造一個(gè)PPPoE 的凈艮文頭,所述才艮文中VERSION = 0x1, TYPE = 0x1, CODE = 0x00, SESSION_ID = 0x0000, LENGTH =此PPP才艮文的長(zhǎng)度; 再構(gòu)造以太網(wǎng)才艮文頭,4巴以太網(wǎng)十辦i義號(hào)i真寫(xiě)為PPPoE的 0x8864。
7. 根據(jù)權(quán)利要求1至3中任一項(xiàng)所述的方法,進(jìn)一步包括通過(guò)ACL過(guò)濾特定的數(shù)據(jù)流,針對(duì)特定的IP流進(jìn)行分析。
8. 根據(jù)權(quán)利要求1所述的方法,其特征在于,所述分析裝置包括 PC機(jī)。
9. 一種實(shí)現(xiàn)異種類(lèi)型端口4免像的系統(tǒng),包括含有物理接口、主控 板、交換背板和轉(zhuǎn)發(fā)單板的路由器,以及軟件模塊部分,其特 征在于,所述軟件才莫塊部分通過(guò)配置廣域網(wǎng)類(lèi)型接口到以太網(wǎng) 類(lèi)型接口的端口鏡像以實(shí)現(xiàn)廣域網(wǎng)線路的分析,所述軟件模塊 部分進(jìn)一步包括OAM管理^^莫塊,用于處理由用戶(hù)在所述主控板上所ilr入的配置命令;支撐模塊,用于維護(hù)所述端口鏡像的配置信息;轉(zhuǎn)發(fā)模塊,用于接收和發(fā)送數(shù)據(jù)包;驅(qū)動(dòng)才莫塊,用于4巴由所述OAM管理模塊所處理的且由所 述支撐模塊進(jìn)行維護(hù)的配置同步到所述轉(zhuǎn)發(fā)模塊;端口鏡像模塊,用于復(fù)制和發(fā)送所述數(shù)據(jù)包;以及, ACL模塊,用于流匹配所述數(shù)據(jù)包以鏡像所指定的數(shù)據(jù)、、六
10. 根據(jù)權(quán)利要求9所述的系統(tǒng),其特征在于,所述轉(zhuǎn)發(fā)模塊進(jìn)一 步接收來(lái)自廣域網(wǎng)接口的數(shù)據(jù)包,并將其放入所述端口鏡像模 塊進(jìn)行端口鏡像處理。
11. 根據(jù)權(quán)利要求IO所述的系統(tǒng),其特征在于所述端口鏡像才莫塊在數(shù)據(jù)鏈路層按照順序找出所匹配的 端口鏡像會(huì)話(huà),并按照所述驅(qū)動(dòng)模塊所同步到所述轉(zhuǎn)發(fā)模塊 的、所述會(huì)話(huà)的參數(shù)配置進(jìn)行端口鏡像,以對(duì)所述數(shù)據(jù)包進(jìn)行 RX方向上的端口鎮(zhèn):像處理;所述端口鏡像,莫塊在所述^t據(jù)包 進(jìn)入網(wǎng)絡(luò)層時(shí)匹配所述會(huì)話(huà)并通過(guò)所述ACL模塊匹配ACL的過(guò)程以對(duì)所述數(shù)據(jù)包進(jìn)行RX方向上的流鏡像處理,從而使其 成為帶有ACL參數(shù)的端口鏡像;以及,所述端口鏡像才莫塊在時(shí)候,也分別相應(yīng)地對(duì)該數(shù)據(jù)包進(jìn)行TX方向上的流銷(xiāo) 像處理 和TX方向上的端口鎮(zhèn)/像處理。
12.根據(jù)權(quán)利要求9至11中任一項(xiàng)所述的系統(tǒng),其特征在于在所述廣域網(wǎng)接口的鏈路層的協(xié)議包括PPP協(xié)議、 Frame-Relay協(xié)i義、以及HDLC協(xié)i義。
全文摘要
本發(fā)明所述的一種實(shí)現(xiàn)異種類(lèi)型端口鏡像的方法,是在現(xiàn)有的路由器硬件構(gòu)架,通過(guò)軟件實(shí)現(xiàn)對(duì)特殊類(lèi)型端口進(jìn)行監(jiān)控,將E1、CE1或T1等廣域網(wǎng)線路鏡像到以太網(wǎng)類(lèi)型接口上,并在不改變數(shù)據(jù)包內(nèi)容的情況下,改變數(shù)據(jù)頭的封裝,將數(shù)據(jù)鏈路層的PPP、Frame-Relay或HDLC協(xié)議的報(bào)文頭轉(zhuǎn)為以太網(wǎng)類(lèi)型的報(bào)文頭,使得接在以太網(wǎng)接口上的PC機(jī)可以通過(guò)常見(jiàn)的抓包軟件來(lái)分析數(shù)據(jù)包。本發(fā)明只需對(duì)路由器軟件進(jìn)行升級(jí),無(wú)需增加硬件,也無(wú)需專(zhuān)業(yè)的分析設(shè)備,因此,節(jié)約了成本。另外,通過(guò)豐富的端口鏡像軟件參數(shù)設(shè)置,可實(shí)現(xiàn)靈活多樣的監(jiān)控方式。
文檔編號(hào)H04L12/24GK101159591SQ20071014127
公開(kāi)日2008年4月9日 申請(qǐng)日期2007年8月6日 優(yōu)先權(quán)日2007年8月6日
發(fā)明者盧中軍, 勇 孫, 晨 林, 軼 鄭, 陳爾嚴(yán) 申請(qǐng)人:中興通訊股份有限公司