一种一对多端口镜像的方法和装置制造方法及图纸

本发明专利技术实施例提供一种一对多端口镜像的方法和装置，其中，所述方法包括：通过镜像源端口获取镜像源报文；利用点到多点的组播隧道将所述镜像源报文通过公网镜像复制到镜像目的端口。所述装置包括：获取单元，用于通过镜像源端口获取镜像源报文；镜像单元，用于利用点到多点的组播隧道将所述镜像源报文通过公网镜像复制到镜像目的端口。本发明专利技术实施例所述方案镜像源报文在公网上不可见，安全性更高。

【技术实现步骤摘要】

本专利技术涉及网络技术，尤其涉及一种一对多端口镜像的方法和装置。
技术介绍
端口镜像技术长期以来作为网络设备在线故障诊断分析的一种工具得到 了广泛的应用。它主要完成将完整的镜像源报文复制到镜像目的端口的功能。 近些年来，为了进一步降低维护费用，远程镜像技术得到了一定的应用。目 前远程镜像技术只应用于点到点的镜像。而点到多点的镜像由于能够在不同 的物理位置得到相同的镜像报文，对于分析复杂的网上流量情况，多点分析 网络故障，实现多点合法网络数据分析都具有很大的现实意义。现有技术存在一种使用点对点的隧道技术可以实现点到多点的端口镜 像，例如可以分别在镜像源端口和两个镜像目的端口之间建立两条独立的隧道，该隧道可以是LSP(Lable Switching Path,标签交换路径)，GRE (Generic Routing Encapsulation,通用路由封装)等点到点隧道。报文转发过程中，需 要向每条隧道单独复制一份镜像源报文。另外还存在另一种现有技术，可以将多个镜像目的端口加入同一个IP组 播组，网络依靠PIM (Protocol Independent Multicast,协议无关组播)协议生 成组播分发树。从镜像源端口进入的镜像源报文根据配置直接进入组播分发 树转发，封装普通组播IP报文头，IP头中的协议域填写私有的类型号。在镜 像目的端口所在设备上，根据私有类型号判断得知是镜像源报文，封装真实 物理端口二层头信息后发送出端口。在实现本专利技术过程中，专利技术人发现现有技术中至少存在如下问题使用点对点的隧道技术的端口镜像方案，随着镜像目的节点的增加，网络流量成 倍增加，严重影响正常业务，且镜像源报文在公网上可见，其链路层信息容 易丢失或者被破坏。而采用将多个镜像目的端口加入同一个IP组播组虽然解 决了网络流量成倍增加的问题，但其镜像源报文在公网上依然可见，其链路 层信息也容易丢失或者被破坏。
技术实现思路
本专利技术实施例提供一种一对多端口镜像的方法和装置，以使镜像源报文 在公网上不可见，安全性更高。一方面，本专利技术实施例提供了一种一对多端口镜像的方法，所述方法包 括通过镜像源端口获取镜像源报文；利用点到多点的组播隧道将所述镜像 源报文通过公网镜像复制到镜像目的端口 。另一方面，本专利技术实施例提供了一种一对多端口镜像的装置，所述装置 包括获取单元，用于通过镜像源端口获取镜像源报文；镜像单元，用于利 用点到多点的组播隧道将所述镜像源报文通过公网镜像复制到镜像目的端 □。上述技术方案具有如下有益效果因为采用通过镜像源端口获取镜像源 报文；利用点到多点的组播隧道将所述镜像源报文通过公网镜像复制到镜像 目的端口的技术手段，所以镜像源报文在公网上不可见，安全性更高。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实 施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面 描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲， 在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。图1为本专利技术实施例一的一对多端口镜像的方法流程图；图2为本专利技术实施例二的一对多端口镜像的应用场景示意图； 图3为本专利技术实施例三的一对多端口镜像的应用场景示意图； 图4为本专利技术实施例四的一对多端口镜像的装置结构示意图； 图5为本专利技术实施例四的另一对多端口镜像的装置结构示意图。具体实施例方式下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行 清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分实施例，而 不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做 出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。组播隧道技术是组播VPN (Virtual Private Network,虚拟专用网)技术 的基础上发展起来的。组播VPN要求在公网环境具有基本 MPLS(Multi-Protocol Label Switching，多协议标签交换)或者组播能力。MPLS 网络边缘节点称为PE (Provider Edge,运营商边缘设备)设备，与PE设备直 接相连的客户网络中的边缘节点称为CE (Customer Edge,用户边缘设备)设 备。每一组不同的客户网络称为一个逻辑上完全独立的VPN。组播VPN就是 要完成在逻辑上完全独立的客户网络内部实现组播数据报文的转发功能。由 于一组VPN客户物理位置可能很远，必须通过骨干网络进行连接，每个VPN 的私网数据可以通过在骨干网络上建立的组播隧道来进行转发。本专利技术下述 实施例通过基于LDP (标签分发协议)的P2MP (Point-to-Multipoint，点对多 点)隧道和基于RSVP (Resource Reservation Protocol,资源预留协议)的P2MP 隧道等实现镜像源报文的镜像复制。实施例一如图1所示，为本专利技术实施例一的一对多端口镜像的方法流程图，所述方法包括101、通过镜像源端口获取镜像源报文。可选的，在所述通过镜像源端口获取镜像源报文之前，所述方法还可以 包括建立镜像源端口和镜像目的端口的所述点到多点的组播隧道。所述点 到多点的组播隧道可以包括如下之一在公网上建立的组播分发树、基于标 签分发协议LDP的点到多点组播隧道、基于资源预留协议RSVP的点到多点 组播隧道等。102、利用点到多点的组播隧道将上述镜像源报文通过公网镜像复制到镜像目的端口。可选的，可以将所述镜像源报文的链路层数据作为净荷，利用所述点到 多点的组播隧道所在的虚拟专用网的公网报文头进行封装，然后将封装后的 报文通过公网镜像复制到镜像目的端口 。所述将所述封装后的报文通过公网镜像复制到镜像目的端口包括可以将所述封装后的报文通过公网上的供应 商设备P转发后镜像复制到镜像目的端口 。本专利技术上述方法实施例因为采用通过镜像源端口获取镜像源报文；利用点到多点的组播隧道将所述镜像源报文通过公网镜像复制到镜像目的端口的 技术手段，所以镜像源报文在公网上不可见，使其链路层数据不容易被破坏， 安全性更高。实施例二本实施例涉及转发表项有1. 端口配置表该表项使用镜像源报文进入的端口编号作为索引， 表项具体内容有镜像源端口标记、本地虚拟远程镜像接口 IP地址和镜像群组的组播组IP地址。2. 组播转发表该表项使用镜像源/目的端口 IP地址为索引，表项 具体内容有镜像目的端口标记、出接口信息。目的地址为组播 地址的IP报文转发均需要查找该表。如图2所示，为本专利技术实施例二的一对多端口镜像的应用场景示意图201、 PE1和PE2之间、PE1和PE3之间分别建立iBGP (内部边界网关协议)对等体连接(PE2和PE3之间也可以建立)，配置MPLS /BGP (Border Gateway Protocol,边界网关协议)VPN，并配置基本组播功能。在iBGP内 配置保留的镜像组播组IP地址范围。202、 分别在镜像源设备(即镜像源端口所在的设备，如图2中PE1设备) 和镜像目的设备(即镜像目的端口所在的设备，如图2中PE2设备和PE3设 备)上配置镜像源端口和镜像目的端口。 一个镜像源和多个观测该源的镜像 目的端口配置加入一个镜像群组。镜像源端口对本文档来自技高网...

【技术保护点】
一种一对多端口镜像的方法，其特征在于，所述方法包括：　通过镜像源端口获取镜像源报文；　利用点到多点的组播隧道将所述镜像源报文通过公网镜像复制到镜像目的端口。

【技术特征摘要】
1、一种一对多端口镜像的方法，其特征在于，所述方法包括通过镜像源端口获取镜像源报文；利用点到多点的组播隧道将所述镜像源报文通过公网镜像复制到镜像目的端口。2、 如权利要求l所述方法，其特征在于，在所述通过镜像源端口获取镜 像源报文之前，所述方法还包括建立所述镜像源端口和所述镜像目的端口的所述点到多点的组播隧道。3、 如权利要求2所述方法，其特征在于，所述点到多点的组播隧道包括如下之一在公网上建立的组播分发树、基于标签分发协议LDP的点到多点组播隧道、基于资源预留协议RSVP的点到多点组播隧道。4、 如权利要求l所述方法，其特征在于，所述利用点到多点的组播隧道将所述镜像源报文通过公网镜像复制到镜像目的端口包括-将所述镜像源报文的链路层数据作为净荷，利用所述点到多点的组播隧 道所在的虚拟专用网的公网报文头进行封装，然后将封装后的报文通过公网 镜像复制到镜像目的端口。5、 如权利要求4所述方法，其特征在于，所述将封装后的报文通过公网镜像复制到镜像目的端口包括将所述封装后的报文通过公网上的供应商设备p转发后镜像复制到镜像 目的端口。6、 一种一对多端口镜像的装置...

【专利技术属性】
技术研发人员：史小军，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：94[中国|深圳]