專(zhuān)利名稱(chēng):一種流鏡像方法
技術(shù)領(lǐng)域:
本發(fā)明涉及數(shù)據(jù)通信技術(shù)領(lǐng)域���,尤其涉及一種流鏡像方法�����。
背景技術(shù):
鏡像是以太網(wǎng)交換機(jī)等數(shù)據(jù)通信設(shè)備所具備的一項(xiàng)基本功能�����。它的 主要功能是對(duì)交換機(jī)(或者路由器���,寬帶接入服務(wù)器)上的一個(gè)端口 1
進(jìn)行窺探,將部分或者全部數(shù)據(jù)幀復(fù)制到另一個(gè)端口 2上�。然后,用戶 可通過(guò)分析端口 2上的數(shù)據(jù)來(lái)判斷端口 1上流量是否存在異?�;蛘咴O(shè)備 是否被攻擊。
比較常見(jiàn)的鏡像方法有端口鏡像和流鏡像兩種�����。
傳統(tǒng)的端口鏡像方法一般是把端口上所有接收����、發(fā)送的數(shù)據(jù)不加區(qū) 分的復(fù)制到目的鏡像端口上�����。這種鏡像方法比較簡(jiǎn)單��,但缺點(diǎn)是目的鏡 像端口接收到的流量很大�����,不利于進(jìn)行分析���。
而傳統(tǒng)的流鏡像方法是預(yù)先設(shè)置ACL (控制訪問(wèn)列表)����,再將端口 上與該ACL匹配的數(shù)據(jù)幀鏡像到目的鏡像端口�����。這樣可以對(duì)數(shù)據(jù)幀有 選擇地進(jìn)行鏡像,大大減少目的鏡像端口的流量�����。但是���,隨著城域網(wǎng)的 不斷發(fā)展�,上網(wǎng)用戶不斷增加��,病毒木馬��、網(wǎng)絡(luò)攻擊����、黑客入侵等安全 問(wèn)題越來(lái)越引起運(yùn)營(yíng)商的重視,運(yùn)營(yíng)商有必要對(duì)個(gè)別用戶的數(shù)據(jù)幀進(jìn)行 監(jiān)控���,以更好地保證城域網(wǎng)的網(wǎng)絡(luò)安全���,而傳統(tǒng)的流鏡像方法只能在所 有用戶的數(shù)據(jù)幀中選擇與ACL匹配的數(shù)據(jù)幀進(jìn)行鏡像,不能根據(jù)需要 選才奪部分用戶的數(shù)據(jù)幀進(jìn)行單獨(dú)4彭象��。
發(fā)明內(nèi)容
本發(fā)明所要解決的技術(shù)問(wèn)題是提供一種流鏡像方法,可對(duì)用戶有選 擇性地進(jìn)行鏡像����。
為解決上述技術(shù)問(wèn)題,本發(fā)明是通過(guò)以下技術(shù)方案實(shí)現(xiàn)的 一種流鏡像方法��,包括以下步驟
(1) 在路由器上配置控制訪問(wèn)列表����;
(2) 在遠(yuǎn)程用戶撥號(hào)認(rèn)證系統(tǒng)服務(wù)器上配置授權(quán)信息,其中包括 各個(gè)用戶的是否做鏡像標(biāo)識(shí)��;
(3 )所述路由器通過(guò)遠(yuǎn)程用戶撥號(hào)認(rèn)證系統(tǒng)動(dòng)態(tài)授權(quán)獲得所述授 權(quán)信息���;
(4)所述路由器根據(jù)所述授權(quán)信息中各個(gè)用戶的是否做鏡像標(biāo)識(shí) 來(lái)選擇需要做鏡像的當(dāng)前上線用戶;
(5 )對(duì)于被選擇的每個(gè)用戶����,所述路由器選擇該用戶的與所述控 制訪問(wèn)列表相匹配的數(shù)據(jù)幀做鏡像。
其中���,所述步驟(2)中所述授權(quán)信息中還包括各個(gè)用戶鏡像所依 據(jù)的控制訪問(wèn)列表號(hào)���;
同時(shí)�,所述步驟(5)進(jìn)一步包括對(duì)于被選擇的每個(gè)用戶���,所述 路由器先根據(jù)所述授權(quán)信息獲取該用戶鏡像所依據(jù)的控制訪問(wèn)列表號(hào)�����, 再判斷本路由器上是否存在與所述控制訪問(wèn)列表號(hào)相對(duì)應(yīng)的控制訪問(wèn) 列表����,若存在����,則選擇該用戶的與此控制訪問(wèn)列表相匹配的數(shù)據(jù)幀做鏡 像。
其中���,步驟(2)中所述授權(quán)信息中還包括各個(gè)用戶的目的鏡像端口號(hào)�;同時(shí)����,所述步驟(5)中,對(duì)于被選"^的每個(gè)用戶�����,所述^各由器 在對(duì)該用戶的數(shù)據(jù)幀做鏡像時(shí)將所述數(shù)據(jù)幀鏡像到該用戶所對(duì)應(yīng)的目 的鏡像端口號(hào)。
其中����,所述步驟(3)中,所述路由器獲得授權(quán)信息后將該信息記 錄于活動(dòng)用戶表中�����。
本發(fā)明具有以下有益效果
a) 本發(fā)明可以有選擇性地對(duì)部分用戶進(jìn)行流鏡像�,進(jìn)一步減少了 目的鏡像端口的流量,便于運(yùn)營(yíng)商對(duì)指定用戶的數(shù)據(jù)幀進(jìn)行監(jiān)控���;
b) 本發(fā)明可指定不同用戶的數(shù)據(jù)幀依據(jù)不同的ACL鏡像規(guī)則并鏡 -像到不同的目的端口 ����,有利于運(yùn)營(yíng)商分析統(tǒng)計(jì)不同用戶的流��。
圖1是本發(fā)明的流鏡像方法流程圖�����。
具體實(shí)施例方式
下面將結(jié)合附圖及具體實(shí)施例對(duì)本發(fā)明作進(jìn)一步詳細(xì)的描述 請(qǐng)參閱圖l,本發(fā)明的流鏡像方法具體為
101���、 在路由器上配置ACL,包含permit規(guī)則�,該規(guī)則用以篩選需 要鏡像的數(shù)據(jù)幀���。
102�、 在RADIUS (Remote Authentication Dial In User Service,遠(yuǎn)程 用戶撥號(hào)認(rèn)證系統(tǒng))服務(wù)器上配置授權(quán)信息�,其中包括各個(gè)用戶的是否 做鏡像標(biāo)識(shí)、鏡像所依據(jù)的ACL號(hào)��、目的鏡像端口號(hào)�����。
103�����、 用戶請(qǐng)求上線����,路由器通過(guò)RADIUS動(dòng)態(tài)授權(quán)獲得所述授權(quán)信息,并將該信息記錄于活動(dòng)用戶表中.����。
104、 路由器根據(jù)所述授權(quán)信息中各個(gè)用戶的是否做鏡像標(biāo)識(shí)來(lái)選 擇需要做鏡像的當(dāng)前上線用戶�。
105����、 對(duì)于被選擇的每個(gè)用戶��,路由器先根據(jù)授權(quán)信息獲取該用戶 鏡像所依據(jù)的ACL號(hào)�,再判斷本路由器上是否存在與所述ACL號(hào)相對(duì) 應(yīng)的ACL,若存在��,則將該用戶的與此ACL相匹配的數(shù)據(jù)幀鏡像到相 應(yīng)的目的鏡像端口號(hào)�����。
以上所述僅為本發(fā)明的較佳實(shí)施例而已���,并不用以限制本發(fā)明�����,凡 在本發(fā)明的精神和原則之內(nèi)所作的任何修改�、等同替換和改進(jìn)等�����,均應(yīng) 包含在本發(fā)明的保護(hù)范圍之內(nèi)��。
權(quán)利要求
1�、一種流鏡像方法,其特征在于����,包括以下步驟(1)在路由器上配置控制訪問(wèn)列表;(2)在遠(yuǎn)程用戶撥號(hào)認(rèn)證系統(tǒng)服務(wù)器上配置授權(quán)信息���,其中包括各個(gè)用戶的是否做鏡像標(biāo)識(shí)��;(3)所述路由器通過(guò)遠(yuǎn)程用戶撥號(hào)認(rèn)證系統(tǒng)動(dòng)態(tài)授權(quán)獲得所述授權(quán)信息�����;(4)所述路由器根據(jù)所述授權(quán)信息中各個(gè)用戶的是否做鏡像標(biāo)識(shí)來(lái)選擇需要做鏡像的當(dāng)前上線用戶�;(5)對(duì)于被選擇的每個(gè)用戶���,所述路由器選擇該用戶的與所述控制訪問(wèn)列表相匹配的數(shù)據(jù)幀做鏡像����。
2����、 如權(quán)利要求1所述的流鏡像方法�����,其特征在于�����,所述步驟(2) 中所述授權(quán)信息中還包括各個(gè)用戶鏡像所依據(jù)的控制訪問(wèn)列表號(hào)�����;同時(shí)��,所述步驟(5)進(jìn)一步包括對(duì)于被選擇的每個(gè)用戶��,所 述路由器先根據(jù)所述授權(quán)信息獲取該用戶鏡像所依據(jù)的控制訪問(wèn)列 表號(hào)�����,再判斷本路由器上是否存在與所述控制訪問(wèn)列表號(hào)相對(duì)應(yīng)的控 制訪問(wèn)列表�,若存在����,則選擇該用戶的與此控制訪問(wèn)列表相匹配的數(shù) 據(jù)幀做鏡像���。
3�����、 如權(quán)利要求1或2所述的流鏡像方法�����,其特征在于����,步驟(2 ) 中所述授權(quán)信息中還包括各個(gè)用戶的目的鏡像端口號(hào);同時(shí)�,所述步 驟(5)中,對(duì)于被選擇的每個(gè)用戶�,所述路由器在對(duì)該用戶的數(shù)據(jù) 幀做鏡像時(shí)將所述數(shù)據(jù)幀鏡像到該用戶所對(duì)應(yīng)的目的鏡像端口號(hào)。
4���、如權(quán)利要求1所述的流鏡像方法�,其特征在于�,所述步驟(3) 中,所述路由器獲得授權(quán)信息后將該信息記錄于活動(dòng)用戶表中����。
全文摘要
本發(fā)明公開(kāi)了一種流鏡像方法���,包括步驟(1)在路由器上配置控制訪問(wèn)列表;(2)在遠(yuǎn)程用戶撥號(hào)認(rèn)證系統(tǒng)服務(wù)器上配置授權(quán)信息����,其中包括各個(gè)用戶的是否做鏡像標(biāo)識(shí);(3)路由器通過(guò)遠(yuǎn)程用戶撥號(hào)認(rèn)證系統(tǒng)動(dòng)態(tài)授權(quán)獲得授權(quán)信息�;(4)路由器根據(jù)所述授權(quán)信息中各個(gè)用戶的是否做鏡像標(biāo)識(shí)來(lái)選擇需要做鏡像的當(dāng)前上線用戶;(5)對(duì)于被選擇的每個(gè)用戶�����,路由器選擇該用戶的與所述控制訪問(wèn)列表相匹配的數(shù)據(jù)幀做鏡像��。采用本發(fā)明�����,可以有選擇性地對(duì)部分用戶進(jìn)行流鏡像�,減少了目的鏡像端口的流量,便于運(yùn)營(yíng)商對(duì)指定用戶的數(shù)據(jù)幀進(jìn)行監(jiān)控�;還可指定不同用戶的數(shù)據(jù)幀依據(jù)不同的ACL鏡像規(guī)則并鏡像到不同的目的端口,有利于運(yùn)營(yíng)商分析統(tǒng)計(jì)不同用戶的流��。
文檔編號(hào)H04L29/08GK101304411SQ200810067689
公開(kāi)日2008年11月12日 申請(qǐng)日期2008年6月10日 優(yōu)先權(quán)日2008年6月10日
發(fā)明者李偉禎 申請(qǐng)人:中興通訊股份有限公司