專利名稱:遠(yuǎn)程集中鏡像管理的方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信領(lǐng)域,尤其涉及一種遠(yuǎn)程集中鏡像管理的方法和系統(tǒng)��。
背景技術(shù):
數(shù)據(jù)中心是全球協(xié)作的特定設(shè)備網(wǎng)絡(luò)��,用來在Internet網(wǎng)絡(luò)基礎(chǔ)設(shè)施上加速信 息的傳遞���。由于數(shù)據(jù)中心直接面向互聯(lián)網(wǎng)或者是專用的網(wǎng)絡(luò)��,數(shù)據(jù)中心容易遭受各種網(wǎng)絡(luò) 攻擊����,例如DDOS (Distribution Denial of Service,分布式拒絕服務(wù))網(wǎng)絡(luò)攻擊、或者非法 訪問網(wǎng)絡(luò)攻擊�。為了使數(shù)據(jù)中心能夠及時(shí)對(duì)網(wǎng)絡(luò)攻擊做出準(zhǔn)確應(yīng)對(duì),通常需要利用端口鏡 像的技術(shù)對(duì)數(shù)據(jù)中心接收的來自公網(wǎng)的流量進(jìn)行實(shí)時(shí)分析和監(jiān)控���。 端口鏡像(Port Mirroring)是把交換機(jī)上一個(gè)或多個(gè)端口的數(shù)據(jù)鏡像到其他一 個(gè)或多個(gè)端口的方法�����,例如交換機(jī)把某一個(gè)端口接收或發(fā)送的數(shù)據(jù)幀完全相同的復(fù)制給另 一個(gè)端口���,其中數(shù)據(jù)幀被復(fù)制的端口稱為鏡像源端口,接收復(fù)制的數(shù)據(jù)幀的端口稱為鏡像 目的端口�����。 現(xiàn)有技術(shù)中�����,端口鏡像的技術(shù)分為本地端口鏡像和遠(yuǎn)程端口鏡像�����。如圖l所示,本 地端口鏡像是將交換機(jī)的一個(gè)或多個(gè)源端口的報(bào)文復(fù)制到本設(shè)備的一個(gè)或多個(gè)目的端口 ���, 根據(jù)復(fù)制得到的報(bào)文對(duì)原報(bào)文監(jiān)控和分析���,其中鏡像源端口和鏡像目的端口位于同一設(shè) 備����;遠(yuǎn)程端口鏡像中鏡像源端口和鏡像目的端口位于不同設(shè)備,由鏡像源端口所在設(shè)備以 外的設(shè)備對(duì)鏡像源端口所在設(shè)備通過鏡像源端口收發(fā)的報(bào)文進(jìn)行監(jiān)控和分析�。
目前遠(yuǎn)程端口鏡像使用VLAN(Virtual Local Area Network,虛擬局域網(wǎng))技術(shù), 將鏡像源設(shè)備�、鏡像目的設(shè)備、以及兩者之間構(gòu)成鏡像流量通路的所有中間設(shè)備一起組成 一個(gè)VLAN��,該VLAN稱為鏡像VLAN���。鏡像源設(shè)備將鏡像源端口報(bào)文封裝一個(gè)802. 1Q協(xié)議規(guī) 定的鏡像VLAN標(biāo)簽�,然后通過鏡像VLAN轉(zhuǎn)發(fā)至鏡像目的設(shè)備����,鏡像目的設(shè)備接收到攜帶鏡 像VLAN標(biāo)簽的報(bào)文后��,剝離其攜帶的鏡像VLAN標(biāo)簽�����,將其還原為原始報(bào)文發(fā)送給監(jiān)控設(shè)備 進(jìn)行監(jiān)控或者分析��。 隨著數(shù)據(jù)中心應(yīng)用規(guī)模的不斷增大��,出現(xiàn)了同一個(gè)核心城市部署多個(gè)數(shù)據(jù)中心機(jī) 房�����,甚至全國(guó)各地部署大量數(shù)據(jù)中心機(jī)房的情形�����。這些分布式數(shù)據(jù)中心的典型組網(wǎng)如圖2 所示��。這些數(shù)據(jù)中心機(jī)房從物理位置上雖然相互獨(dú)立�����,但是數(shù)據(jù)中心強(qiáng)調(diào)統(tǒng)一管理���,需要 有同一管理中心對(duì)所有數(shù)據(jù)中心進(jìn)行統(tǒng)一管理����,如圖3所示的數(shù)據(jù)中心遠(yuǎn)程集中管理示意 圖��。然而���,由于現(xiàn)有的遠(yuǎn)程鏡像技術(shù)局限于二層網(wǎng)絡(luò)�����,無法穿越三層網(wǎng)絡(luò)實(shí)現(xiàn)鏡像功能���,從 而難以實(shí)現(xiàn)對(duì)分布式數(shù)據(jù)中心的統(tǒng)一管理�。
發(fā)明內(nèi)容
本發(fā)明提供了一種遠(yuǎn)程集中鏡像管理的方法和系統(tǒng),以實(shí)現(xiàn)遠(yuǎn)程端口鏡像監(jiān)控和 管理的三層網(wǎng)絡(luò)實(shí)現(xiàn)�����。 本發(fā)明提供了一種遠(yuǎn)程集中鏡像管理的方法��,應(yīng)用于包括集中管理中心與一個(gè)或 多個(gè)數(shù)據(jù)中心的系統(tǒng)��,所述數(shù)據(jù)中心與集中管理中心之間分別通過廣域網(wǎng)連接,并通過通
6用路由協(xié)議封裝GRE隧道進(jìn)行鏡像流量的傳輸�����,所述數(shù)據(jù)中心包括服務(wù)器��、數(shù)據(jù)交換機(jī)與數(shù)據(jù)路由器�,數(shù)據(jù)交換機(jī)上配置鏡像源端口與鏡像目的端口 ,鏡像目的端口連接數(shù)據(jù)路由器���,在數(shù)據(jù)路由器上配置與所述集中管理中心連接的GRE隧道���;所述集中管理中心包括路由器、交換機(jī)與作為監(jiān)控設(shè)備的服務(wù)器�,所述集中管理中心的路由器配置分別與每一GRE隧道綁定的多個(gè)虛擬專用網(wǎng)VPN實(shí)例,每一 VPN實(shí)例的下一跳路由缺省為與該路由器相連接的交換機(jī)上的虛擬局域網(wǎng)VLAN接口 ��;所述該集中管理中心的交換機(jī)上每一 VLAN僅包括與所述集中管理中心的路由器連接的VLAN接口和與所述監(jiān)控設(shè)備連接的VLAN接口 ���;該方法進(jìn)一步包括 所述集中管理中心的路由器接收來自數(shù)據(jù)中心通過GRE隧道發(fā)送的鏡像流量�,并在與所述GRE隧道對(duì)應(yīng)的VPN實(shí)例中查找下一跳路由��,將鏡像流量向所述集中管理中心的交換機(jī)上對(duì)應(yīng)的VLAN接口發(fā)送�; 所述集中管理中心的交換機(jī)通過VLAN接口接收到鏡像流量后,通過與所述監(jiān)控設(shè)備連接的VLAN接口將所述鏡像流量向所述監(jiān)控設(shè)備發(fā)送。 所述集中管理中心的路由器接收來自數(shù)據(jù)中心通過GRE隧道發(fā)送的鏡像流量之
前����,還包括 所述數(shù)據(jù)中心的交換機(jī)將鏡像源端口的流量復(fù)制到鏡像目的端口發(fā)送; 所述數(shù)據(jù)中心的路由器接收所述數(shù)據(jù)中心的交換機(jī)發(fā)送的鏡像流量��,通過所述
GRE隧道向所述集中管理中心的路由器發(fā)送鏡像流量�����。 所述數(shù)據(jù)中心的路由器配置轉(zhuǎn)發(fā)表項(xiàng)的下一跳路由缺省為所述GRE隧道的出接□��。 所述集中管理中心的交換機(jī)通過VLAN接口接收到鏡像流量后�����,通過與所述監(jiān)控設(shè)備連接的VLAN接口將所述鏡像流量向所述監(jiān)控設(shè)備發(fā)送包括 所述集中管理中心的交換機(jī)通過VLAN接口接收到鏡像流量時(shí)�����,為所述鏡像流量加上VLAN標(biāo)簽����; 所述集中管理中心的交換機(jī)查找與所述VLAN標(biāo)簽對(duì)應(yīng)的另一 VLAN接口 �,在該VLAN接口去掉所述VLAN標(biāo)簽后將鏡像流量向所述監(jiān)控設(shè)備發(fā)送。 所述集中管理中心的交換機(jī)上配置多個(gè)VLAN分別與每一數(shù)據(jù)中心的鏡像VLAN對(duì)應(yīng)。 本發(fā)明提供一種遠(yuǎn)程集中鏡像管理的方法����,應(yīng)用于包括集中管理中心與一個(gè)或多個(gè)數(shù)據(jù)中心的系統(tǒng),所述數(shù)據(jù)中心與集中管理中心之間分別通過廣域網(wǎng)進(jìn)行連接�����,且通過通用路由協(xié)議封裝GRE隧道進(jìn)行遠(yuǎn)程集中配置管理����,所述集中管理中心包括路由器、交換機(jī)與作為配置管理設(shè)備的服務(wù)器��,所述集中管理中心的交換機(jī)上為每一數(shù)據(jù)中心配置基于接入控制列表ACL策略的配置管理VLAN����,所述集中管理中心的路由器上配置與每一配置管理VLAN對(duì)應(yīng)的VPN實(shí)例,每一 VPN實(shí)例中轉(zhuǎn)發(fā)表項(xiàng)的下一跳路由缺省為GRE隧道出接口 ���;所述數(shù)據(jù)中心包括路由器���、交換機(jī)以及對(duì)數(shù)據(jù)中心進(jìn)行管理的服務(wù)器,所述數(shù)據(jù)中心的路由器上配置與GRE隧道接口綁定的VPN實(shí)例��,該VPN實(shí)例中轉(zhuǎn)發(fā)表項(xiàng)的下一跳路由缺省為所述數(shù)據(jù)中心的交換機(jī);該方法進(jìn)一步包括 所述集中管理中心的交換機(jī)接收所述配置管理設(shè)備發(fā)送的配置管理數(shù)據(jù)流���,根據(jù)所述配置管理數(shù)據(jù)流的目的地址段查找對(duì)應(yīng)的所述ACL策略��,獲取對(duì)應(yīng)的配置管理VLAN����,通過VLAN接口發(fā)送所述配置管理數(shù)據(jù)流���; 所述集中管理中心的路由器接收所述配置管理數(shù)據(jù)流����,根據(jù)所述配置管理數(shù)據(jù)流對(duì)應(yīng)的配置管理VLAN獲取對(duì)應(yīng)的VPN實(shí)例�,根據(jù)VPN實(shí)例中的下一跳路由通過與之綁定的GRE隧道發(fā)送所述配置管理數(shù)據(jù)流; 所述數(shù)據(jù)中心的路由器接收所述配置管理數(shù)據(jù)流后��,查找與所述配置管理數(shù)據(jù)流的GRE隧道入接口綁定的VPN實(shí)例�,根據(jù)該VPN實(shí)例中的下一跳路由向所述數(shù)據(jù)中心的交換機(jī)發(fā)送所述配置管理數(shù)據(jù)流; 所述數(shù)據(jù)中心的交換機(jī)根據(jù)配置管理VLAN將所述配置管理數(shù)據(jù)流向?qū)?yīng)的設(shè)備發(fā)送��。 所述根據(jù)所述配置管理數(shù)據(jù)流的目的地址段查找對(duì)應(yīng)的所述ACL策略�,獲取對(duì)應(yīng)的配置管理VLAN�����,通過VLAN接口發(fā)送所述配置管理數(shù)據(jù)流包括 所述集中管理中心的交換機(jī)在ACL中存儲(chǔ)目的地址段與配置管理VLAN的對(duì)應(yīng)關(guān)系,獲取與所述配置管理數(shù)據(jù)流的目的地址段對(duì)應(yīng)的配置管理VLAN ; 所述集中管理中心的交換機(jī)為所述配置管理數(shù)據(jù)流加上所述對(duì)應(yīng)的配置管理VLAN標(biāo)簽��,通過與所述配置管理VLAN對(duì)應(yīng)的VLAN接口發(fā)送所述配置管理數(shù)據(jù)流����。
所述數(shù)據(jù)中心的交換機(jī)根據(jù)配置管理VLAN將所述配置管理數(shù)據(jù)流向?qū)?yīng)的設(shè)備發(fā)送之前,還包括所述數(shù)據(jù)中心的交換機(jī)配置與配置管理VLAN對(duì)應(yīng)的VLAN接口 ����,通過該VALN接口接收所述數(shù)據(jù)中心的路由器發(fā)送的配置管理數(shù)據(jù)流; 所述數(shù)據(jù)中心的交換機(jī)根據(jù)配置管理VLAN將所述配置管理數(shù)據(jù)流向?qū)?yīng)的設(shè)備發(fā)送包括當(dāng)所述數(shù)據(jù)中心的交換機(jī)通過所述配置管理VLAN對(duì)應(yīng)的VLAN接口接收到配置管理數(shù)據(jù)流時(shí)���,所述數(shù)據(jù)中心的交換機(jī)為所述配置管理數(shù)據(jù)流加上配置管理VLAN標(biāo)簽�,在配置管理VLAN內(nèi)向?qū)?yīng)的設(shè)備發(fā)送所述配置管理數(shù)據(jù)流�����。 本發(fā)明提供一種遠(yuǎn)程集中鏡像管理的系統(tǒng)����,應(yīng)用于包括集中管理中心與一個(gè)或多個(gè)數(shù)據(jù)中心的系統(tǒng),所述數(shù)據(jù)中心與集中管理中心之間分別通過廣域網(wǎng)連接���,并通過通用路由協(xié)議封裝GRE隧道進(jìn)行鏡像流量的傳輸��,所述數(shù)據(jù)中心包括服務(wù)器���、數(shù)據(jù)交換機(jī)與數(shù)據(jù)路由器�����,數(shù)據(jù)交換機(jī)上配置鏡像源端口與鏡像目的端口 �����,鏡像目的端口連接數(shù)據(jù)路由器����,在數(shù)據(jù)路由器上配置與所述集中管理中心連接的GRE隧道�����;所述集中管理中心包括路由器�����、交換機(jī)與作為監(jiān)控設(shè)備的服務(wù)器���,所述集中管理中心的路由器配置分別與每一GRE隧道綁定的多個(gè)虛擬專用網(wǎng)VPN實(shí)例�,每一 VPN實(shí)例的轉(zhuǎn)發(fā)表項(xiàng)下一跳路由缺省為與該路由器相連接的交換機(jī)上的虛擬局域網(wǎng)VLAN接口 �;所述集中管理中心的交換機(jī)上每一 VLAN僅包括與所述集中管理中心的路由器連接的VLAN接口和與所述監(jiān)控設(shè)備連接的VLAN接口 ;射 所述集中管理中心的路由器��,用于接收來自數(shù)據(jù)中心通過GRE隧道發(fā)送的鏡像流量����,并在與所述GRE隧道對(duì)應(yīng)的VPN實(shí)例中查找下一跳路由,將鏡像流量向所述集中管理中心的交換機(jī)上對(duì)應(yīng)的VLAN接口發(fā)送��; 所述集中管理中心的交換機(jī)���,用于通過VLAN接口接收到鏡像流量后��,通過與所述監(jiān)控設(shè)備連接的VLAN接口將所述鏡像流量向所述監(jiān)控設(shè)備發(fā)送��。 所述數(shù)據(jù)中心的交換機(jī)��,用于將鏡像源端口的流量復(fù)制到鏡像目的端口發(fā)送�;
所述數(shù)據(jù)中心的路由器��,用于接收所述數(shù)據(jù)中心的交換機(jī)發(fā)送的鏡像流量�,通過所述GRE隧道向所述集中管理中心的路由器發(fā)送鏡像流量�����。 所述數(shù)據(jù)中心的路由器配置轉(zhuǎn)發(fā)表項(xiàng)中的下一跳路由缺省為所述GRE隧道的出接口��。 所述集中管理中心的交換機(jī)還用于 通過VLAN接口接收到鏡像流量時(shí)�����,為所述鏡像流量加上VLAN標(biāo)簽�����; 查找與所述VLAN標(biāo)簽對(duì)應(yīng)的另一 VLAN接口 ����,在該VLAN接口去掉所述VLAN標(biāo)簽
后將鏡像流量向所述監(jiān)控設(shè)備發(fā)送��。 所述集中管理中心的交換機(jī)上配置多個(gè)VLAN分別與每一數(shù)據(jù)中心的鏡像VLAN對(duì)應(yīng)���。 本發(fā)明提供一種遠(yuǎn)程集中鏡像管理的系統(tǒng)���,應(yīng)用于包括集中管理中心與一個(gè)或多個(gè)數(shù)據(jù)中心的系統(tǒng),所述數(shù)據(jù)中心與集中管理中心之間分別通過廣域網(wǎng)進(jìn)行連接,且通過通用路由協(xié)議封裝GRE隧道進(jìn)行遠(yuǎn)程集中配置管理�����,所述集中管理中心包括路由器���、交換機(jī)與作為配置管理設(shè)備的服務(wù)器,所述集中管理中心的交換機(jī)上為每一數(shù)據(jù)中心配置基于接入控制列表ACL策略的配置管理VLAN����,所述集中管理中心的路由器上配置與每一配置管理VLAN對(duì)應(yīng)的VPN實(shí)例,每一 VPN實(shí)例的轉(zhuǎn)發(fā)表項(xiàng)的下一跳路由缺省為GRE隧道出接口 �����;所述數(shù)據(jù)中心包括路由器����、交換機(jī)以及對(duì)數(shù)據(jù)中心進(jìn)行管理的服務(wù)器�����,所述數(shù)據(jù)中心的路由器上配置與GRE隧道接口綁定的VPN實(shí)例,該VPN實(shí)例中轉(zhuǎn)發(fā)表項(xiàng)的下一跳路由缺省為所述數(shù)據(jù)中心的交換機(jī);其中 所述集中管理中心的交換機(jī)�����,用于接收所述配置管理設(shè)備發(fā)送的配置管理數(shù)據(jù)流���,根據(jù)所述配置管理數(shù)據(jù)流的目的地址段查找對(duì)應(yīng)的所述ACL策略��,獲取對(duì)應(yīng)的配置管理VLAN����,通過VLAN接口發(fā)送所述配置管理數(shù)據(jù)流; 所述集中管理中心的路由器�,用于接收所述配置管理數(shù)據(jù)流,根據(jù)所述配置管理數(shù)據(jù)流對(duì)應(yīng)的配置管理VLAN獲取對(duì)應(yīng)的VPN實(shí)例�����,根據(jù)VPN實(shí)例中的下一跳路由通過與之綁定的GRE隧道發(fā)送所述配置管理數(shù)據(jù)流��; 所述數(shù)據(jù)中心的路由器,用于接收所述配置管理數(shù)據(jù)流后����,查找與所述配置管理數(shù)據(jù)流的GRE隧道入接口綁定的VPN實(shí)例,根據(jù)該VPN實(shí)例中的下一跳路由向所述數(shù)據(jù)中心的交換機(jī)發(fā)送所述配置管理數(shù)據(jù)流�; 所述數(shù)據(jù)中心的交換機(jī),用于根據(jù)配置管理VLAN將所述配置管理數(shù)據(jù)流向?qū)?yīng)的設(shè)備發(fā)送���。 所述集中管理中心的交換機(jī)還用于 在ACL中存儲(chǔ)目的地址段與配置管理VLAN的對(duì)應(yīng)關(guān)系���,獲取與所述配置管理數(shù)據(jù)流的目的地址段對(duì)應(yīng)的配置管理VLAN ; 為所述配置管理數(shù)據(jù)流加上所述對(duì)應(yīng)的配置管理VLAN標(biāo)簽,通過與所述配置管理VLAN對(duì)應(yīng)的VLAN接口發(fā)送所述配置管理數(shù)據(jù)流����。
所述數(shù)據(jù)中心的交換機(jī)還用于 配置與所述配置管理VLAN對(duì)應(yīng)的VLAN接口 ,通過該VALN接口接收所述數(shù)據(jù)中心的路由器發(fā)送的配置管理數(shù)據(jù)流; 當(dāng)通過所述配置管理VLAN對(duì)應(yīng)的VLAN接口接收到配置管理數(shù)據(jù)流時(shí)�,為所述配置管理數(shù)據(jù)流加上配置管理VLAN標(biāo)簽���,在配置管理VLAN內(nèi)向?qū)?yīng)的設(shè)備發(fā)送所述配置管
9理數(shù)據(jù)流�����。
與現(xiàn)有技術(shù)相比,本發(fā)明至少具有以下優(yōu)點(diǎn) 本發(fā)明中�,各分布式數(shù)據(jù)中心分別和集中管理中心通過廣域網(wǎng)連接�,通過GRE隧道傳輸鏡像流量和配置管理流量����,并在集中管理中心配置多VPN實(shí)例分別對(duì)應(yīng)各分布式數(shù)據(jù)中心的GRE隧道,區(qū)分各分布式數(shù)據(jù)中心發(fā)送的流量��,從而實(shí)現(xiàn)了鏡像流量穿越三層網(wǎng)絡(luò)進(jìn)行傳輸�����,實(shí)現(xiàn)了集中管理中心對(duì)多個(gè)分布式數(shù)據(jù)中心的集中管理���。
圖1是現(xiàn)有技術(shù)數(shù)據(jù)中心與管理中心的組網(wǎng)方式示意圖; 圖2是現(xiàn)有技術(shù)中數(shù)據(jù)中心遠(yuǎn)程集中管理示意圖�����; 圖3是現(xiàn)有技術(shù)中兩種端口鏡像示意圖; 圖4是本發(fā)明提供的遠(yuǎn)程集中鏡像管理的方法的流程示意圖����; 圖5是本發(fā)明提供的分布式數(shù)據(jù)中心及遠(yuǎn)程集中鏡像監(jiān)控系統(tǒng)的組網(wǎng)結(jié)構(gòu)示意圖; 圖6是本發(fā)明應(yīng)用場(chǎng)景中遠(yuǎn)程集中鏡像監(jiān)控的流程示意圖���; 圖7是本發(fā)明應(yīng)用場(chǎng)景中遠(yuǎn)程集中配置管理的流程示意圖���。
具體實(shí)施例方式
本發(fā)明的核心思想是對(duì)集中管理中心和分布式數(shù)據(jù)中心進(jìn)行配置,使分布式數(shù)據(jù)中心和集中管理中心在廣域網(wǎng)內(nèi)通過GRE隧道實(shí)現(xiàn)通信���,傳輸鏡像流量和配置管理數(shù)據(jù)流量����,由集中管理中心根據(jù)鏡像流量對(duì)各分布式數(shù)據(jù)中心進(jìn)行監(jiān)控,并向各分布式數(shù)據(jù)中心分別發(fā)送配置管理數(shù)據(jù)流量��。 本發(fā)明提供了一種遠(yuǎn)程集中鏡像管理的方法�,應(yīng)用于包括集中管理中心與一個(gè)或多個(gè)數(shù)據(jù)中心的系統(tǒng)����,所述數(shù)據(jù)中心與集中管理中心之間分別通過廣域網(wǎng)連接����,并通過通用路由協(xié)議封裝GRE隧道相互通信���,所述數(shù)據(jù)中心包括服務(wù)器����、交換機(jī)與路由器�����,交換機(jī)上配置鏡像源端口與鏡像目的端口 ,鏡像目的端口連接路由器���,在路由器上配置與所述集中管理中心連接的GRE隧道�;所述集中管理中心包括路由器�����、交換機(jī)與服務(wù)器�����。其中所述服務(wù)器在具體的應(yīng)用場(chǎng)景中,可以為對(duì)流量進(jìn)行分析的監(jiān)控設(shè)備,或者為各項(xiàng)策略進(jìn)行配置管理的服務(wù)器等��。所述集中管理中心的路由器配置分別與每一GRE隧道綁定的多個(gè)虛擬專用網(wǎng)VPN實(shí)例��,每一 VPN實(shí)例的下一跳缺省為該集中管理中心交換機(jī)上的虛擬局域網(wǎng)VLAN接口 �;所述交換機(jī)上每一 VLAN僅包括與所述集中管理中心的路由器連接的VLAN接口和與所述集中管理中心的服務(wù)器連接的VLAN接口 ;如圖4所示����,該方法進(jìn)一步包括
步驟401,所述集中管理中心路由器接收數(shù)據(jù)中心通過GRE隧道發(fā)送的鏡像流量�,在與所述GRE隧道對(duì)應(yīng)的VPN實(shí)例中查找下一跳路由,將來自數(shù)據(jù)中心的鏡像流量向所述集中管理中心的交換機(jī)上對(duì)應(yīng)的VLAN接口發(fā)送����; 步驟402���,所述集中管理中心交換機(jī)通過VLAN接口接收到來自數(shù)據(jù)中心的鏡像流量后��,通過與所述作為監(jiān)控設(shè)備的服務(wù)器連接的VLAN接口將所述鏡像流量向所述該服務(wù)器發(fā)送��。 下面結(jié)合具體應(yīng)用場(chǎng)景詳細(xì)介紹本發(fā)明提供的遠(yuǎn)程集中鏡像管理的方法�����。該方法主要包括集中管理中心對(duì)各分布式數(shù)據(jù)中心的集中監(jiān)控、和集中管理中心對(duì)各分布式數(shù)據(jù)中心的集中配置管理����,其中集中配置管理是在集中監(jiān)控的基礎(chǔ)上進(jìn)行的集中配置管理。
為使公眾更加清楚地理解本發(fā)明��,首先介紹集中管理中心對(duì)各分布式數(shù)據(jù)中心進(jìn)行集中監(jiān)控的方法����。本發(fā)明應(yīng)用場(chǎng)景中���,為了實(shí)現(xiàn)穿越三層網(wǎng)絡(luò)對(duì)各分布式數(shù)據(jù)中心的集中監(jiān)控��,需要配置相應(yīng)的鏡像管理網(wǎng)絡(luò)架構(gòu)�。如圖5所示,該鏡像管理網(wǎng)絡(luò)架構(gòu)中����,多個(gè)分布式DC (Data Center,數(shù)據(jù)中心)(以DC1和DC2為例)與集中管理中心之間通過廣域網(wǎng)相互連接��,且分別通過各自對(duì)應(yīng)的GRE(Generic Routing Encapsulation,通用路由協(xié)議封裝)隧道進(jìn)行通信���。其中GRE隧道為端到端隧道�,其兩個(gè)接口分別為DC上配置的路由器的T皿nel接口和集中管理中心配置的路由器的T皿nel接口�。 在本發(fā)明中,DC上還包括核心交換機(jī)�����,并通過在核心交換機(jī)上配置鏡像源端口和鏡像目的端口 ,將鏡像源端口的報(bào)文復(fù)制到鏡像目的端口發(fā)送���,鏡像目的端口連接所述DC上的路由器�����,該鏡像目的端口發(fā)送的流量?jī)H限于鏡像流量����。通過在該DC的路由器上創(chuàng)建GRE隧道����,GRE隧道的入接口設(shè)置為路由器上的接口�����, GRE隧道的出接口為集中管理中心的路由器上對(duì)應(yīng)的接口,不同GRE隧道對(duì)應(yīng)不同的出接口�����。以圖5中DC1和DC2為例����,DC1上Rl(Routerl�����,路由器l)創(chuàng)建的GRE隧道的出接口為集中管理中心上R3 (Router3,路由器3)的TunnelO�����, DC2上R2 (Router2�����,路由器2)創(chuàng)建的GRE隧道的出接口為R3上的Tunnell。
集中管理中心配置的路由器通過多個(gè)GRE隧道接口連接各分布式數(shù)據(jù)中心�。該集中管理中心的路由器上還配置n個(gè)VPN實(shí)例分別對(duì)應(yīng)每一數(shù)據(jù)中心�,并且配置每一 GRE隧道接口分別對(duì)應(yīng)一 VPN實(shí)例并綁定其對(duì)應(yīng)關(guān)系,在每一 VPN實(shí)例中配置轉(zhuǎn)發(fā)表項(xiàng)的下一跳路由缺省為管理中心的交換機(jī)L3����。集中管理中心的交換機(jī)L3上配置n個(gè)VLAN接口 ,分別對(duì)應(yīng)路由器R3上配置的每一 VPN實(shí)例����;每一個(gè)VLAN分別與對(duì)應(yīng)DC上配置的鏡像VLAN配置相同。為了保證數(shù)據(jù)中心的報(bào)文準(zhǔn)確到達(dá)集中管理中心的服務(wù)器(監(jiān)控設(shè)備)��,配置交換機(jī)L3上的每一VLAN只包括兩個(gè)端口 與路由器R3連接的端口和與服務(wù)器(監(jiān)控設(shè)備)連接的端口��。 結(jié)合圖5所示的鏡像網(wǎng)絡(luò)架構(gòu)介紹數(shù)據(jù)中心集中監(jiān)控的方法,如圖6所示���,該方法包括以下步驟 步驟601��,DC1的交換機(jī)Ll和DC2的交換機(jī)L2分別將需要監(jiān)控的流量從源端口鏡像到目的端口��。 具體的,DC1的交換機(jī)Ll和DC2的交換機(jī)L2上�����,配置鏡像VLAN的鏡像目的端口分別連接路由器Rl和R2。以交換機(jī)Ll為例�����,Ll通過鏡像源端口接收到的流量時(shí)���,根據(jù)鏡像VLAN配置����,將該流量復(fù)制到鏡像目的端口發(fā)送。 步驟602����,路由器Rl和R2分別通過GRE隧道向集中管理中心發(fā)送鏡像流量��。
具體的��,路由器Rl和R2配置下一跳路由缺省為GRE隧道的出接口 ��,路由器Rl對(duì)應(yīng)的GRE隧道的出接口為Tunnel0���,路由器R2對(duì)應(yīng)的GRE隧道的出接口為Tunnell����, Tunne10和Tu皿ell均為集中管理中心路由器R3上的隧道接口���。以DC1中的路由器R1為例,路由器Rl接收到交換機(jī)Ll的流量后�����,查找下一跳路由獲得缺省路由為GRE隧道的出接口 �����,通過GRE隧道向路由器R3上對(duì)應(yīng)的隧道接口發(fā)送鏡像流量。
步驟603����,路由器R3將鏡像流量向交換機(jī)L3發(fā)送����。 路由器R3接收到路由器Rl或R2通過GRE隧道發(fā)送的流量后,根據(jù)配置的與GRE
11隧道綁定的VPN實(shí)例����,在VPN實(shí)例中查找其下一跳路由��。由于每一 VPN實(shí)例中配置的下一 跳路由缺省為交換機(jī)L3的特定VLAN接口�����,因此,路由器R3將接收到的流量向交換機(jī)L3的 該特定VLAN接口發(fā)送���。 步驟604,交換機(jī)L3將鏡像流量向服務(wù)器(監(jiān)控設(shè)備)發(fā)送��。
由于交換機(jī)L3上配置的每個(gè)VLAN與各DC配置的鏡像VLAN —一對(duì)應(yīng),接收鏡像 流量的VLAN接口與發(fā)送該鏡像流量的DC上的鏡像VLAN配置相同��。接收到鏡像流量時(shí)��,交 換機(jī)L3可以在入端口為該鏡像流量打上對(duì)應(yīng)的VLAN標(biāo)簽,然后在二層網(wǎng)絡(luò)廣播該鏡像流 量�����。由于交換機(jī)L3配置的鏡像VLAN只有兩個(gè)端口 ���,因此����,交換機(jī)L3發(fā)送的鏡像流量只能 被用于分析監(jiān)控該DC流量對(duì)應(yīng)的服務(wù)器(監(jiān)控設(shè)備)接收。監(jiān)控設(shè)備根據(jù)交換機(jī)L3廣播 的鏡像流量攜帶的VLAN標(biāo)簽獲知該鏡像流量所歸屬的數(shù)據(jù)中心�,監(jiān)控該數(shù)據(jù)中心的流量, 進(jìn)而根據(jù)該監(jiān)控流量分析的結(jié)果����,進(jìn)行相應(yīng)的策略控制����。 為了實(shí)現(xiàn)集中管理中心對(duì)各分布式數(shù)據(jù)中心的集中配置管理。在圖5所示的鏡像 管理網(wǎng)絡(luò)架構(gòu)中���,需要對(duì)各數(shù)據(jù)中心和集中管理中心的交換機(jī)和路由器進(jìn)行如下配置。
集中管理中心在其交換機(jī)上為各分布式數(shù)據(jù)中心創(chuàng)建不同的配置管理VLAN�����,并配 置m個(gè)VLAN接口分別對(duì)應(yīng)為每一 DC創(chuàng)建的配置管理VLAN,m的具體取值與DC的數(shù)量以及 配置管理VLAN的數(shù)量一致����。集中管理中心還在其交換機(jī)上配置ACL策略,在ACL策略中設(shè) 置配置流量的目的地址段(對(duì)應(yīng)不同數(shù)據(jù)中心)與配置管理VLAN的對(duì)應(yīng)關(guān)系����。ACL策略 中配置流量的目的地址段為IP地址段�,每一 IP地址段包括對(duì)應(yīng)DC下的各設(shè)備的IP地址。 集中管理中心還在其路由器上配置m個(gè)VPN實(shí)例分別對(duì)應(yīng)每一配置管理VLAN�����,并在VPN實(shí) 例中配置下一跳路由缺省為連接對(duì)應(yīng)數(shù)據(jù)中心的GRE隧道的出接口 ���。 數(shù)據(jù)中心在其路由器上配置與GRE隧道接口綁定的VPN實(shí)例���,其下一跳路由缺省 為數(shù)據(jù)中心的交換機(jī)�����。為了區(qū)別于上述集中監(jiān)控場(chǎng)景中DC中路由器配置的缺省下一跳路 由,本應(yīng)用場(chǎng)景中�,路由器上需要配置多VPN實(shí)例,以分別對(duì)應(yīng)將數(shù)據(jù)中心的數(shù)據(jù)流量鏡像 至集中管理中心監(jiān)控服務(wù)器���,和將集中管理中心的配置管理信息分發(fā)至數(shù)據(jù)中心對(duì)應(yīng)的服 務(wù)器的場(chǎng)景�����。例如��,在本應(yīng)用場(chǎng)景中�����,配置VPN實(shí)例l對(duì)應(yīng)將數(shù)據(jù)中心的數(shù)據(jù)流量鏡像至集 中管理中心監(jiān)控服務(wù)器的鏡像VLAN,其下一跳路由缺省為GRE隧道出接口 ����;VPN實(shí)例2對(duì)應(yīng) 將集中管理中心的配置管理信息分發(fā)至數(shù)據(jù)中心對(duì)應(yīng)的服務(wù)器的配置管理VLAN�����,其下一跳 路由缺省為數(shù)據(jù)中心的交換機(jī)���。進(jìn)一步的,數(shù)據(jù)中心的交換機(jī)上配置管理VLAN,用以接收數(shù) 據(jù)中心路由器轉(zhuǎn)發(fā)的來自集中管理中心的配置管理數(shù)據(jù)流量��,并在配置管理VLAN內(nèi)將該 數(shù)據(jù)流量向?qū)?yīng)的設(shè)備(服務(wù)器)發(fā)送��。 下面以集中管理中心向DCl下發(fā)配置管理流量為例介紹本發(fā)明提供的集中配置
管理方法����,如圖7所示�����,該集中配置管理方法包括以下步驟 步驟701,配置管理服務(wù)器向交換機(jī)L3下發(fā)DC1的配置管理數(shù)據(jù)。 步驟702,集中管理中心的交換機(jī)L3將配置管理流量向集中管理中心的路由器R3發(fā)送�����。 集中管理中心的交換機(jī)L3中配置ACL策略���,存儲(chǔ)數(shù)據(jù)中心的地址段(例如IP地 址段)與配置管理VLAN的對(duì)應(yīng)關(guān)系。集中管理中心的交換機(jī)L3接收到配置管理服務(wù)器發(fā) 送的流量后��,獲取該流量的目的IP地址段�����,根據(jù)該IP地址段查找ACL,獲取對(duì)應(yīng)的配置管理 VLAN�,該配置管理VLAN與DC1具有對(duì)應(yīng)關(guān)系。集中管理中心的交換機(jī)L3為該配置管理流
12量打上DC1對(duì)應(yīng)的配置管理VLAN標(biāo)簽�����,并通過對(duì)應(yīng)的VLAN接口將該流量向集中管理中心 的路由器R3發(fā)送�����。 步驟703����,集中管理中心的路由器R3將配置管理流量通過GRE隧道向DC1發(fā)送�����。
集中管理中心的路由器R3根據(jù)配置管理流量的配置管理VLAN�,查找配置的配置 管理VLAN與VPN實(shí)例的對(duì)應(yīng)關(guān)系,獲取對(duì)應(yīng)的VPN實(shí)例�����。集中管理中心的路由器R3進(jìn)一 步在該VPN實(shí)例中查找下一跳路由����,獲取缺省路由為對(duì)應(yīng)GRE隧道的出接口 ����。該GRE隧道 為集中管理中心的路由器R3與數(shù)據(jù)中心的路由器Rl之間的GRE隧道����。路由器R3通過該 GRE隧道向DC1發(fā)送配置管理流量���。 步驟704���,數(shù)據(jù)中心的路由器Rl將配置管理流量向DC1中的交換機(jī)LI發(fā)送�����。
數(shù)據(jù)中心的路由器Rl接收到配置管理流量后�����,在與GRE隧道接口綁定的VPN實(shí)例 中查找下一跳路由為DC1交換機(jī)LI的配置管理VLAN接口 �����,將配置管理流量向交換機(jī)LI發(fā) 送。 步驟705,數(shù)據(jù)中心的交換機(jī)LI將配置管理流量向DC1中對(duì)應(yīng)的設(shè)備發(fā)送�����。
數(shù)據(jù)中心的交換機(jī)L1通過配置管理VLAN接口接收配置管理流量時(shí),為該配置管 理流量打上對(duì)應(yīng)的配置管理VLAN標(biāo)簽�����,然后將該配置管理流量向?qū)?yīng)的設(shè)備轉(zhuǎn)發(fā)����。
通過采用本應(yīng)用場(chǎng)景提供的方法,各分布式數(shù)據(jù)中心分別和集中管理中心通過廣 域網(wǎng)連接�����,通過GRE隧道傳輸鏡像流量和配置管理流量����,并在集中管理中心配置多VPN實(shí)例 分別對(duì)應(yīng)各分布式數(shù)據(jù)中心的GRE隧道,區(qū)分各分布式數(shù)據(jù)中心發(fā)送的流量�����,另外,在各數(shù) 據(jù)中心進(jìn)一步配置VPN實(shí)例�����,以對(duì)應(yīng)遠(yuǎn)程集中配置管理的應(yīng)用場(chǎng)景��,從而實(shí)現(xiàn)了鏡像流量 穿越三層網(wǎng)絡(luò)進(jìn)行傳輸,實(shí)現(xiàn)了集中管理中心對(duì)多個(gè)分布式數(shù)據(jù)中心的集中管理。
本發(fā)明提供一種遠(yuǎn)程集中鏡像管理的系統(tǒng)�����,應(yīng)用于包括集中管理中心與一個(gè)或多 個(gè)數(shù)據(jù)中心的系統(tǒng),所述數(shù)據(jù)中心與集中管理中心之間分別通過廣域網(wǎng)連接��,并通過通用 路由協(xié)議封裝GRE隧道進(jìn)行鏡像流量的傳輸���,所述數(shù)據(jù)中心包括服務(wù)器����、交換機(jī)與路由器, 數(shù)據(jù)中心的交換機(jī)上配置鏡像源端口與鏡像目的端口 �,鏡像目的端口連接數(shù)據(jù)路由器�,在 數(shù)據(jù)中心的路由器上配置與所述集中管理中心連接的GRE隧道���;所述集中管理中心包括路 由器、交換機(jī)與作為監(jiān)控設(shè)備的服務(wù)器�����,所述集中管理中心的路由器配置分別與每一GRE 隧道綁定的多個(gè)虛擬專用網(wǎng)VPN實(shí)例��,每一 VPN實(shí)例的下一跳缺省為與該路由器相連接的 交換機(jī)上的虛擬局域網(wǎng)VLAN接口 ���;所述集中管理中心的交換機(jī)上每一 VLAN僅包括與所述 集中管理中心的路由器連接的VLAN接口和與所述監(jiān)控設(shè)備連接的VLAN接口 ��;其中
所述集中管理中心的路由器���,用于接收來自數(shù)據(jù)中心通過GRE隧道發(fā)送的鏡像流 量,根據(jù)GRE隧道接口獲取與所述GRE隧道對(duì)應(yīng)的VPN實(shí)例��,并在該VPN實(shí)例中查找下一跳 路由�����,將鏡像流量向所述集中管理中心的交換機(jī)上對(duì)應(yīng)的VLAN接口發(fā)送。
所述集中管理中心的交換機(jī)����,用于通過VLAN接口接收到鏡像流量后�,通過與所述 監(jiān)控設(shè)備連接的VLAN接口將所述鏡像流量向所述監(jiān)控設(shè)備發(fā)送�。所述集中管理中心的交 換機(jī)上配置多個(gè)VLAN分別與每一數(shù)據(jù)中心的鏡像VLAN對(duì)應(yīng)���,所述集中管理中心的交換機(jī) 通過VLAN接口接收到鏡像流量時(shí)���,為所述鏡像流量加上VLAN標(biāo)簽���;查找與所述VLAN標(biāo)簽 對(duì)應(yīng)的另一 VLAN接口 ,在該VLAN接口去掉所述VLAN標(biāo)簽后將鏡像流量向所述監(jiān)控設(shè)備發(fā) 送���。 所述數(shù)據(jù)中心的交換機(jī)���,用于從鏡像源端口接收到流量時(shí)��,通過配置的鏡像VLAN將流量復(fù)制到鏡像目的端口發(fā)送���。 所述數(shù)據(jù)中心的路由器���,用于接收所述數(shù)據(jù)中心的交換機(jī)發(fā)送的鏡像流量,通過 所述GRE隧道向所述集中管理中心的路由器發(fā)送鏡像流量。具體的��,所述數(shù)據(jù)中心的路由 器配置下一跳缺省為所述GRE隧道的出接口��。接收到鏡像流量后��,數(shù)據(jù)中心的路由器查找 下一跳路由為所述GRE隧道的出接口 �,通過GRE隧道向隧道出接口發(fā)送鏡像流量。
本發(fā)明還提供一種遠(yuǎn)程集中鏡像管理的系統(tǒng)�,應(yīng)用于包括集中管理中心與一個(gè)或 多個(gè)數(shù)據(jù)中心的系統(tǒng),所述數(shù)據(jù)中心與集中管理中心之間分別通過廣域網(wǎng)進(jìn)行連接��,且通 過通用路由協(xié)議封裝GRE隧道進(jìn)行遠(yuǎn)程集中配置管理���,所述集中管理中心包括路由器��、交 換機(jī)與作為配置管理設(shè)備的服務(wù)器���,所述集中管理中心的交換機(jī)上為每一數(shù)據(jù)中心配置基 于接入控制列表ACL策略的配置管理VLAN,所述集中管理中心的路由器上配置與每一配置 管理VLAN對(duì)應(yīng)的VPN實(shí)例�����,每一 VPN實(shí)例的下一跳路由缺省為GRE隧道出接口 ����;所述數(shù)據(jù) 中心包括路由器���、交換機(jī)以及對(duì)數(shù)據(jù)中心進(jìn)行管理的服務(wù)器�����,所述數(shù)據(jù)中心的路由器上配 置與GRE隧道接口綁定且與配置管理應(yīng)用場(chǎng)景對(duì)應(yīng)的VPN實(shí)例,該VPN實(shí)例下一跳路由缺 省為所述數(shù)據(jù)中心的交換機(jī)�����;其中 所述集中管理中心的交換機(jī)�����,用于接收所述配置管理設(shè)備發(fā)送的配置管理數(shù)據(jù) 流�,根據(jù)所述配置管理數(shù)據(jù)流的目的地址段查找對(duì)應(yīng)的所述ACL策略,獲取對(duì)應(yīng)的配置管 理VLAN��,通過VLAN接口發(fā)送所述配置管理數(shù)據(jù)流��。集中管理中心的交換機(jī)存儲(chǔ)各數(shù)據(jù)中 心的地址段�����,例如每一數(shù)據(jù)中心中包含各設(shè)備IP地址的IP地址段����,并配置IP地址段與配 置管理VLAN的對(duì)應(yīng)關(guān)系����。接收到配置管理數(shù)據(jù)流時(shí)���,集中管理中心的交換機(jī)根據(jù)配置管理 數(shù)據(jù)流的目的IP地址段查找獲得對(duì)應(yīng)的配置管理VLAN��,通過該VLAN對(duì)應(yīng)的VLAN接口發(fā)送 配置管理流量�����。所述集中管理中心的交換機(jī)還用于為所述配置管理數(shù)據(jù)流加上對(duì)應(yīng)的配置 管理VLAN標(biāo)簽�����,然后通過VLAN接口發(fā)送所述配置管理數(shù)據(jù)流����,從而使路由器可以根據(jù)VLAN 標(biāo)簽識(shí)別配置管理數(shù)據(jù)流歸屬的VLAN。 所述集中管理中心的路由器�����,用于接收所述配置管理數(shù)據(jù)流,根據(jù)所述配置管理 數(shù)據(jù)流對(duì)應(yīng)的配置管理VLAN獲取對(duì)應(yīng)的VPN實(shí)例�,根據(jù)VPN實(shí)例中的下一跳路由通過與之 綁定的GRE隧道發(fā)送所述配置管理數(shù)據(jù)流���。由于VPN實(shí)例中的下一跳路由缺省配置為GRE 隧道的出接口,因此���,集中管理中心的路由器將配置管理流通過GRE隧道向隧道對(duì)端發(fā)送。
所述數(shù)據(jù)中心的路由器,用于接收所述配置管理數(shù)據(jù)流后����,查找與所述配置管理 數(shù)據(jù)流的GRE隧道入接口綁定的VPN實(shí)例��,根據(jù)該VPN實(shí)例中的下一跳路由向所述數(shù)據(jù)中 心的交換機(jī)發(fā)送所述配置管理數(shù)據(jù)流���。 所述數(shù)據(jù)中心的交換機(jī)�,用于根據(jù)配置管理VLAN將所述配置管理數(shù)據(jù)流向?qū)?yīng) 的設(shè)備發(fā)送。具體的���,所述數(shù)據(jù)中心的交換機(jī)配置與所述配置管理VLAN對(duì)應(yīng)的VLAN接口 �����, 通過該VALN接口接收所述數(shù)據(jù)中心的路由器發(fā)送的配置管理數(shù)據(jù)流��;當(dāng)通過所述配置管 理VLAN對(duì)應(yīng)的VLAN接口接收到配置管理數(shù)據(jù)流時(shí)���,為所述配置管理數(shù)據(jù)流加上配置管理 VLAN標(biāo)簽��,在配置管理VLAN內(nèi)向?qū)?yīng)的設(shè)備發(fā)送所述配置管理數(shù)據(jù)流�。
通過采用本發(fā)明提供的系統(tǒng),各分布式數(shù)據(jù)中心分別和集中管理中心通過廣域網(wǎng) 連接��,通過GRE隧道傳輸鏡像流量和配置管理流量�����,并在集中管理中心配置多VPN實(shí)例分別 對(duì)應(yīng)各分布式數(shù)據(jù)中心的GRE隧道�����,區(qū)分各分布式數(shù)據(jù)中心發(fā)送的流量���,從而實(shí)現(xiàn)了鏡像 流量穿越三層網(wǎng)絡(luò)進(jìn)行傳輸��,實(shí)現(xiàn)了集中管理中心對(duì)多個(gè)分布式數(shù)據(jù)中心的集中管理��。
通過以上的實(shí)施方式的描述,本領(lǐng)域的技術(shù)人員可以清楚地了解到本發(fā)明可借助
軟件加必需的通用硬件平臺(tái)的方式來實(shí)現(xiàn)���,當(dāng)然也可以通過硬件��,但很多情況下前者是更 佳的實(shí)施方式����?���;谶@樣的理解,本發(fā)明的技術(shù)方案本質(zhì)上或者說對(duì)現(xiàn)有技術(shù)做出貢獻(xiàn)的 部分可以以軟件產(chǎn)品的形式體現(xiàn)出來�,該計(jì)算機(jī)軟件產(chǎn)品存儲(chǔ)在一個(gè)存儲(chǔ)介質(zhì)中�,包括若 干指令用以使得一臺(tái)計(jì)算機(jī)設(shè)備(可以是個(gè)人計(jì)算機(jī),服務(wù)器���,或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā) 明各個(gè)實(shí)施例所述的方法����。 本領(lǐng)域技術(shù)人員可以理解附圖只是一個(gè)優(yōu)選實(shí)施例的示意圖,附圖中的模塊或流 程并不一定是實(shí)施本發(fā)明所必須的��。 本領(lǐng)域技術(shù)人員可以理解實(shí)施例中的裝置中的模塊可以按照實(shí)施例描述進(jìn)行分 布于實(shí)施例的裝置中�����,也可以進(jìn)行相應(yīng)變化位于不同于本實(shí)施例的一個(gè)或多個(gè)裝置中����。上 述實(shí)施例的模塊可以合并為一個(gè)模塊,也可以進(jìn)一步拆分成多個(gè)子模塊。
上述本發(fā)明實(shí)施例序號(hào)僅僅為了描述�����,不代表實(shí)施例的優(yōu)劣�。 以上公開的僅為本發(fā)明的幾個(gè)具體實(shí)施例,但是�,本發(fā)明并非局限于此,任何本領(lǐng) 域的技術(shù)人員能思之的變化都應(yīng)落入本發(fā)明的保護(hù)范圍���。
1權(quán)利要求
一種遠(yuǎn)程集中鏡像管理的方法����,應(yīng)用于包括集中管理中心與一個(gè)或多個(gè)數(shù)據(jù)中心的系統(tǒng)�,其特征在于���,所述數(shù)據(jù)中心與集中管理中心之間分別通過廣域網(wǎng)連接�����,并通過通用路由協(xié)議封裝GRE隧道進(jìn)行鏡像流量的傳輸�����,所述數(shù)據(jù)中心包括服務(wù)器����、數(shù)據(jù)交換機(jī)與數(shù)據(jù)路由器����,數(shù)據(jù)交換機(jī)上配置鏡像源端口與鏡像目的端口,鏡像目的端口連接數(shù)據(jù)路由器�,在數(shù)據(jù)路由器上配置與所述集中管理中心連接的GRE隧道;所述集中管理中心包括路由器�、交換機(jī)與作為監(jiān)控設(shè)備的服務(wù)器,所述集中管理中心的路由器配置分別與每一GRE隧道綁定的多個(gè)虛擬專用網(wǎng)VPN實(shí)例�,每一VPN實(shí)例的下一跳路由缺省為與該路由器相連接的交換機(jī)上的虛擬局域網(wǎng)VLAN接口;所述該集中管理中心的交換機(jī)上每一VLAN僅包括與所述集中管理中心的路由器連接的VLAN接口和與所述監(jiān)控設(shè)備連接的VLAN接口�����;該方法進(jìn)一步包括所述集中管理中心的路由器接收來自數(shù)據(jù)中心通過GRE隧道發(fā)送的鏡像流量,并在與所述GRE隧道對(duì)應(yīng)的VPN實(shí)例中查找下一跳路由�,將鏡像流量向所述集中管理中心的交換機(jī)上對(duì)應(yīng)的VLAN接口發(fā)送;所述集中管理中心的交換機(jī)通過VLAN接口接收到鏡像流量后�,通過與所述監(jiān)控設(shè)備連接的VLAN接口將所述鏡像流量向所述監(jiān)控設(shè)備發(fā)送。
2. 如權(quán)利要求1所述的方法����,其特征在于,所述集中管理中心的路由器接收來自數(shù)據(jù) 中心通過GRE隧道發(fā)送的鏡像流量之前�����,還包括所述數(shù)據(jù)中心的交換機(jī)將鏡像源端口的流量復(fù)制到鏡像目的端口發(fā)送��; 所述數(shù)據(jù)中心的路由器接收所述數(shù)據(jù)中心的交換機(jī)發(fā)送的鏡像流量,通過所述GRE隧 道向所述集中管理中心的路由器發(fā)送鏡像流量�。
3. 如權(quán)利要求2所述的方法�����,其特征在于��,所述數(shù)據(jù)中心的路由器配置轉(zhuǎn)發(fā)表項(xiàng)的下 一跳路由缺省為所述GRE隧道的出接口��。
4. 如權(quán)利要求1所述的方法,其特征在于����,所述集中管理中心的交換機(jī)通過VLAN接口 接收到鏡像流量后,通過與所述監(jiān)控設(shè)備連接的VLAN接口將所述鏡像流量向所述監(jiān)控設(shè) 備發(fā)送包括所述集中管理中心的交換機(jī)通過VLAN接口接收到鏡像流量時(shí)�����,為所述鏡像流量加上 VLAN標(biāo)簽�����;所述集中管理中心的交換機(jī)查找與所述VLAN標(biāo)簽對(duì)應(yīng)的另一 VLAN接口 �,在該VLAN接 口去掉所述VLAN標(biāo)簽后將鏡像流量向所述監(jiān)控設(shè)備發(fā)送�。
5. 如權(quán)利要求4所述的方法,其特征在于�,所述集中管理中心的交換機(jī)上配置多個(gè) VLAN分別與每一數(shù)據(jù)中心的鏡像VLAN對(duì)應(yīng)。
6. —種遠(yuǎn)程集中鏡像管理的方法��,應(yīng)用于包括集中管理中心與一個(gè)或多個(gè)數(shù)據(jù)中心的 系統(tǒng)�����,其特征在于�����,所述數(shù)據(jù)中心與集中管理中心之間分別通過廣域網(wǎng)進(jìn)行連接,且通過通 用路由協(xié)議封裝GRE隧道進(jìn)行遠(yuǎn)程集中配置管理�,所述集中管理中心包括路由器、交換機(jī) 與作為配置管理設(shè)備的服務(wù)器�,所述集中管理中心的交換機(jī)上為每一數(shù)據(jù)中心配置基于接 入控制列表ACL策略的配置管理VLAN,所述集中管理中心的路由器上配置與每一配置管理 VLAN對(duì)應(yīng)的VPN實(shí)例�,每一 VPN實(shí)例中轉(zhuǎn)發(fā)表項(xiàng)的下一跳路由缺省為GRE隧道出接口 ;所 述數(shù)據(jù)中心包括路由器��、交換機(jī)以及對(duì)數(shù)據(jù)中心進(jìn)行管理的服務(wù)器��,所述數(shù)據(jù)中心的路由 器上配置與GRE隧道接口綁定的VPN實(shí)例�����,該VPN實(shí)例中轉(zhuǎn)發(fā)表項(xiàng)的下一跳路由缺省為所述數(shù)據(jù)中心的交換機(jī)��;該方法進(jìn)一步包括所述集中管理中心的交換機(jī)接收所述配置管理設(shè)備發(fā)送的配置管理數(shù)據(jù)流����,根據(jù)所述 配置管理數(shù)據(jù)流的目的地址段查找對(duì)應(yīng)的所述ACL策略,獲取對(duì)應(yīng)的配置管理VLAN���,通過 VLAN接口發(fā)送所述配置管理數(shù)據(jù)流�����;所述集中管理中心的路由器接收所述配置管理數(shù)據(jù)流��,根據(jù)所述配置管理數(shù)據(jù)流對(duì)應(yīng) 的配置管理VLAN獲取對(duì)應(yīng)的VPN實(shí)例��,根據(jù)VPN實(shí)例中的下一跳路由通過與之綁定的GRE 隧道發(fā)送所述配置管理數(shù)據(jù)流���;所述數(shù)據(jù)中心的路由器接收所述配置管理數(shù)據(jù)流后��,查找與所述配置管理數(shù)據(jù)流的 GRE隧道入接口綁定的VPN實(shí)例����,根據(jù)該VPN實(shí)例中的下一跳路由向所述數(shù)據(jù)中心的交換機(jī) 發(fā)送所述配置管理數(shù)據(jù)流�;所述數(shù)據(jù)中心的交換機(jī)根據(jù)配置管理VLAN將所述配置管理數(shù)據(jù)流向?qū)?yīng)的設(shè)備發(fā)送。
7. 如權(quán)利要求6所述的方法�,其特征在于��,所述根據(jù)所述配置管理數(shù)據(jù)流的目的地址 段查找對(duì)應(yīng)的所述ACL策略��,獲取對(duì)應(yīng)的配置管理VLAN���,通過VLAN接口發(fā)送所述配置管理 數(shù)據(jù)流包括所述集中管理中心的交換機(jī)在ACL中存儲(chǔ)目的地址段與配置管理VLAN的對(duì)應(yīng)關(guān)系�����,獲 取與所述配置管理數(shù)據(jù)流的目的地址段對(duì)應(yīng)的配置管理VLAN ;所述集中管理中心的交換機(jī)為所述配置管理數(shù)據(jù)流加上所述對(duì)應(yīng)的配置管理VLAN標(biāo) 簽��,通過與所述配置管理VLAN對(duì)應(yīng)的VLAN接口發(fā)送所述配置管理數(shù)據(jù)流���。
8. 如權(quán)利要求6所述的方法��,其特征在于���,所述數(shù)據(jù)中心的交換機(jī)根據(jù)配置管理VLAN 將所述配置管理數(shù)據(jù)流向?qū)?yīng)的設(shè)備發(fā)送之前,還包括所述數(shù)據(jù)中心的交換機(jī)配置與配 置管理VLAN對(duì)應(yīng)的VLAN接口 ��,通過該VALN接口接收所述數(shù)據(jù)中心的路由器發(fā)送的配置管 理數(shù)據(jù)流�����;所述數(shù)據(jù)中心的交換機(jī)根據(jù)配置管理VLAN將所述配置管理數(shù)據(jù)流向?qū)?yīng)的設(shè)備發(fā)送 包括當(dāng)所述數(shù)據(jù)中心的交換機(jī)通過所述配置管理VLAN對(duì)應(yīng)的VLAN接口接收到配置管理 數(shù)據(jù)流時(shí)����,所述數(shù)據(jù)中心的交換機(jī)為所述配置管理數(shù)據(jù)流加上配置管理VLAN標(biāo)簽,在配置 管理VLAN內(nèi)向?qū)?yīng)的設(shè)備發(fā)送所述配置管理數(shù)據(jù)流�����。
9. 一種遠(yuǎn)程集中鏡像管理的系統(tǒng),應(yīng)用于包括集中管理中心與一個(gè)或多個(gè)數(shù)據(jù)中心的 系統(tǒng)�����,其特征在于����,所述數(shù)據(jù)中心與集中管理中心之間分別通過廣域網(wǎng)連接,并通過通用路 由協(xié)議封裝GRE隧道進(jìn)行鏡像流量的傳輸���,所述數(shù)據(jù)中心包括服務(wù)器����、數(shù)據(jù)交換機(jī)與數(shù)據(jù) 路由器��,數(shù)據(jù)交換機(jī)上配置鏡像源端口與鏡像目的端口 ����,鏡像目的端口連接數(shù)據(jù)路由器,在 數(shù)據(jù)路由器上配置與所述集中管理中心連接的GRE隧道���;所述集中管理中心包括路由器、 交換機(jī)與作為監(jiān)控設(shè)備的服務(wù)器����,所述集中管理中心的路由器配置分別與每一GRE隧道綁 定的多個(gè)虛擬專用網(wǎng)VPN實(shí)例���,每一 VPN實(shí)例的轉(zhuǎn)發(fā)表項(xiàng)下一跳路由缺省為與該路由器相 連接的交換機(jī)上的虛擬局域網(wǎng)VLAN接口 ;所述集中管理中心的交換機(jī)上每一 VLAN僅包括 與所述集中管理中心的路由器連接的VLAN接口和與所述監(jiān)控設(shè)備連接的VLAN接口 ����;其中所述集中管理中心的路由器,用于接收來自數(shù)據(jù)中心通過GRE隧道發(fā)送的鏡像流量����, 并在與所述GRE隧道對(duì)應(yīng)的VPN實(shí)例中查找下一跳路由,將鏡像流量向所述集中管理中心 的交換機(jī)上對(duì)應(yīng)的VLAN接口發(fā)送���;所述集中管理中心的交換機(jī)�����,用于通過VLAN接口接收到鏡像流量后���,通過與所述監(jiān)控 設(shè)備連接的VLAN接口將所述鏡像流量向所述監(jiān)控設(shè)備發(fā)送。
10. 如權(quán)利要求9所述的系統(tǒng)�����,其特征在于,所述數(shù)據(jù)中心的交換機(jī)�,用于將鏡像源端口的流量復(fù)制到鏡像目的端口發(fā)送; 所述數(shù)據(jù)中心的路由器�����,用于接收所述數(shù)據(jù)中心的交換機(jī)發(fā)送的鏡像流量��,通過所述 GRE隧道向所述集中管理中心的路由器發(fā)送鏡像流量�����。
11. 如權(quán)利要求9所述的系統(tǒng)����,其特征在于,所述數(shù)據(jù)中心的路由器配置轉(zhuǎn)發(fā)表項(xiàng)中的 下一跳路由缺省為所述GRE隧道的出接口 ��。
12. 如權(quán)利要求9所述的系統(tǒng)�,其特征在于,所述集中管理中心的交換機(jī)還用于 通過VLAN接口接收到鏡像流量時(shí)�����,為所述鏡像流量加上VLAN標(biāo)簽;查找與所述VLAN標(biāo)簽對(duì)應(yīng)的另一 VLAN接口 �,在該VLAN接口去掉所述VLAN標(biāo)簽后將 鏡像流量向所述監(jiān)控設(shè)備發(fā)送�����。
13. 如權(quán)利要求12所述的系統(tǒng)��,其特征在于���,所述集中管理中心的交換機(jī)上配置多個(gè) VLAN分別與每一數(shù)據(jù)中心的鏡像VLAN對(duì)應(yīng)�����。
14. 一種遠(yuǎn)程集中鏡像管理的系統(tǒng)�����,應(yīng)用于包括集中管理中心與一個(gè)或多個(gè)數(shù)據(jù)中心 的系統(tǒng)�����,其特征在于�,所述數(shù)據(jù)中心與集中管理中心之間分別通過廣域網(wǎng)進(jìn)行連接�,且通過 通用路由協(xié)議封裝GRE隧道進(jìn)行遠(yuǎn)程集中配置管理�,所述集中管理中心包括路由器��、交換 機(jī)與作為配置管理設(shè)備的服務(wù)器���,所述集中管理中心的交換機(jī)上為每一數(shù)據(jù)中心配置基于 接入控制列表ACL策略的配置管理VLAN�,所述集中管理中心的路由器上配置與每一配置管 理VLAN對(duì)應(yīng)的VPN實(shí)例�,每一 VPN實(shí)例的轉(zhuǎn)發(fā)表項(xiàng)的下一跳路由缺省為GRE隧道出接口 ; 所述數(shù)據(jù)中心包括路由器�����、交換機(jī)以及對(duì)數(shù)據(jù)中心進(jìn)行管理的服務(wù)器��,所述數(shù)據(jù)中心的路 由器上配置與GRE隧道接口綁定的VPN實(shí)例�����,該VPN實(shí)例中轉(zhuǎn)發(fā)表項(xiàng)的下一跳路由缺省為 所述數(shù)據(jù)中心的交換機(jī)����;其中所述集中管理中心的交換機(jī),用于接收所述配置管理設(shè)備發(fā)送的配置管理數(shù)據(jù)流��, 根據(jù)所述配置管理數(shù)據(jù)流的目的地址段查找對(duì)應(yīng)的所述ACL策略����,獲取對(duì)應(yīng)的配置管理 VLAN�����,通過VLAN接口發(fā)送所述配置管理數(shù)據(jù)流�;所述集中管理中心的路由器����,用于接收所述配置管理數(shù)據(jù)流��,根據(jù)所述配置管理數(shù)據(jù) 流對(duì)應(yīng)的配置管理VLAN獲取對(duì)應(yīng)的VPN實(shí)例���,根據(jù)VPN實(shí)例中的下一跳路由通過與之綁定 的GRE隧道發(fā)送所述配置管理數(shù)據(jù)流��;所述數(shù)據(jù)中心的路由器����,用于接收所述配置管理數(shù)據(jù)流后��,查找與所述配置管理數(shù)據(jù) 流的GRE隧道入接口綁定的VPN實(shí)例�,根據(jù)該VPN實(shí)例中的下一跳路由向所述數(shù)據(jù)中心的 交換機(jī)發(fā)送所述配置管理數(shù)據(jù)流;所述數(shù)據(jù)中心的交換機(jī)��,用于根據(jù)配置管理VLAN將所述配置管理數(shù)據(jù)流向?qū)?yīng)的設(shè) 備發(fā)送。
15. 如權(quán)利要求14所述的系統(tǒng)����,其特征在于,所述集中管理中心的交換機(jī)還用于在ACL中存儲(chǔ)目的地址段與配置管理VLAN的對(duì)應(yīng)關(guān)系��,獲取與所述配置管理數(shù)據(jù)流的 目的地址段對(duì)應(yīng)的配置管理VLAN ;為所述配置管理數(shù)據(jù)流加上所述對(duì)應(yīng)的配置管理VLAN標(biāo)簽�,通過與所述配置管理 VLAN對(duì)應(yīng)的VLAN接口發(fā)送所述配置管理數(shù)據(jù)流。
16.如權(quán)利要求14所述的系統(tǒng)���,其特征在于��,所述數(shù)據(jù)中心的交換機(jī)還用于配置與所述配置管理VLAN對(duì)應(yīng)的VLAN接口 ��,通過該VALN接口接收所述數(shù)據(jù)中心的路 由器發(fā)送的配置管理數(shù)據(jù)流���;當(dāng)通過所述配置管理VLAN對(duì)應(yīng)的VLAN接口接收到配置管理數(shù)據(jù)流時(shí),為所述配置管 理數(shù)據(jù)流加上配置管理VLAN標(biāo)簽��,在配置管理VLAN內(nèi)向?qū)?yīng)的設(shè)備發(fā)送所述配置管理數(shù) 據(jù)流���。
全文摘要
本發(fā)明公開了一種遠(yuǎn)程集中鏡像管理的方法和系統(tǒng)���,應(yīng)用于包括集中管理中心與一個(gè)或多個(gè)數(shù)據(jù)中心的系統(tǒng)����,該方法包括集中管理中心的路由器接收來自數(shù)據(jù)中心通過GRE隧道發(fā)送的鏡像流量���,并在與所述GRE隧道對(duì)應(yīng)的VPN實(shí)例中查找下一跳路由����,將鏡像流量向集中管理中心的交換機(jī)上對(duì)應(yīng)的VLAN接口發(fā)送���;所述集中管理中心的交換機(jī)通過VLAN接口接收到鏡像流量后,通過與所述監(jiān)控設(shè)備連接的VLAN接口將所述鏡像流量向所述監(jiān)控設(shè)備發(fā)送�。本發(fā)明實(shí)現(xiàn)了遠(yuǎn)程端口鏡像監(jiān)控和管理的三層網(wǎng)絡(luò)實(shí)現(xiàn)。
文檔編號(hào)H04L29/08GK101764752SQ20091026015
公開日2010年6月30日 申請(qǐng)日期2009年12月25日 優(yōu)先權(quán)日2009年12月25日
發(fā)明者李蔚 申請(qǐng)人:杭州華三通信技術(shù)有限公司