[发明专利]数据多线监控的方法和设备

说明书

技术领域

本发明涉及通信技术领域，特别涉及一种数据多线监控的方法和设备。 

背景技术

数据中心的建设是一个系统化的工程，不但需要考虑数据传输性能、数据存储容量、以及设备环保需求等方面的设计需要，数据中心的安全同样需要进行周密而完善的设计。 

现阶段，数据中心的安全的概念，不但需要有完善的信息安全的方案，还需要覆盖到安全存储的部分，这是和传统的数据中心完全不同的地方。 

数据中心面临多层次的安全威胁。报告显示：2006年上半年，全球每天发生6110次的分布式拒绝服务攻击(Distribution Denial of Service，DDoS)。在中国，DDoS攻击占网络攻击总量的12％，平均每天发生800次，且在不断递增。 

一般而言，网络攻击者可以通过僵尸网络发起DDoS攻击，僵尸网络是指采用一种或多种传播手段，将大量主机感染僵尸程序，从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。攻击者通过各种途径传播僵尸程序感染互联网上的大量主机，而被感染的主机(僵尸主机)将通过一个控制信道接收攻击者的指令，组成一个僵尸网络。 

在全球范围内，分布着大约500万台的僵尸主机，形成了一个巨大的攻击网络，现在很多计算机都被病毒控制了。 

不仅如此，僵尸网络只是众多的数据中心面临的安全威胁之一。数据中心通常直接面向互联网或者是专用的网络，由于网络具有开放性、不可预知性等特点，使得数据中心面临多方面的安全威胁。 

来自外部网络的威胁，除了DDoS攻击，还有非法访问、安全传输隐患等问题。 

面对这些安全威胁，数据中心用户需要的多种安全产品组合建立一种多层次的安全防御的能力。目前，防火墙、入侵检测系统(Intrusion DetectionSystems，IDS)、入侵防御系统(Intrusion Prevention System，IPS)、应用控制网关(Application Control Gateway，ACG)、异常流量检测设备(AnomalyFlow Detector，AFD)等设备都是数据中心安全常用的设备。其中IDS(或IPS)、ACG和AFD都是利用端口镜像对来自网络的数据流进行监控。 

如图1所示，为现有技术中数据中心多线监控的多层次安全防御结构示意图。 

其中，上述的端口镜像(Port Mirroring)技术是把交换机的一个或多个端口(VLAN)的数据镜像到一个或多个端口的方法。 

通过端口镜像技术，可以监视到进出网络的所有数据包，供安装了监控软件的管理服务器抓取数据，例如，网吧需要依靠此功能提供网络浏览数据给公安部门进行审查。而企业出于信息安全，保护公司机密的需要，也迫切需要网络中有一个端口能提供这种实时监控功能。 

在企业中，应用端口镜像功能，可以很好的对企业内部的网络数据进行监控管理，在网络出现故障的时候，可以做到很好地故障定位。 

交换机把某一个端口接收或发送的数据完全相同的复制到另一个端口，其中，被复制的端口称为源端口，复制到的端口称为目的端口。 

在具体的应用场景中，端口镜像分为两种： 

1、本地端口镜像：是指将设备的一个或多个源端口(或源VLAN)的报文复制到本设备的一个目的端口，用于报文的监控和分析。其中，源端口(或源VLAN中的端口)和目的端口必须在同一台设备上。 

2、远程端口镜像：除了可以实现本地端口镜像的功能外，它还突破了源端口(或源VLAN中的端口)和目的端口必须在同一台设备上的限制，使源端口(或源VLAN中的端口)和目的端口间可以跨越多个网络设备。目前，远程端口镜像功能可以穿越二层网络，但无法穿越三层网络。 

在实现本发明的过程中，申请人发现现有技术至少存在以下问题： 

本地端口镜像功能有很大的限制，并且，如果需要支持一(源)到多(目的)的端口镜像功能(简称1：N镜像)，需要交换机芯片作特殊的处理。目前绝大多数厂家的交换机都不能支持。因此，极大的限制了数据中心中多线监控的应用。很多用户只能选择上述的多种监控功能(如IDS、AFD和ACG等)中的一项功能，从而降低了数据中心的安全防御级别。否则，如果用户希望实现多线监控，则只能更换核心交换机，极大的增加了成本。 

发明内容

本发明提供一种数据多线监控的方法和设备，基于镜像VLAN的技术来实现数据中心内多线监控的要求。