[发明专利]基于端口镜像技术的网络流量监控、储存及回放的方法

权利要求书

1.基于端口镜像技术的网络流量监控、储存及回放的方法，其特征在于，包括以下步骤：

S1、流量接收单元选型；

计算机设备，包括主板、CPU、内存、硬盘以及至少一个用于接收流量数据的网络端口；计算机设备上预设有基于Linux的操作系统；

S2、网络设计以及连接；

通过端口聚合，将车载计算单元上的多个网络端口汇聚为一个虚拟的网络端口，并提升该虚拟的网络端口的带宽；

S3、端口镜像功能配置；

基于Linux内核中的具有流量控制功能的功能模块，通过封装技术，将镜像流量的原始数据包作为载荷，封装车载计算单元的物理地址和IP地址作为源地址，封装流量接收单元的物理地址和IP地址作为目的地址，并获得封装完成的流量信息；

S4、流量接收单元工作；

设置流量接收单元，并捕捉获取封装完成的流量信息；

S5、数据流的保存；

对数据网络进行即时监视，将需要保存的信息进打包保存，并对可疑的数据传输发出警报或是采取主要反应措施；

S6、分析、重放功能的实现；

通过工具对以保存的流量数据进行流量重放，播放时通过网络端口发送至车载计算单元中。

2.根据权利要求1所述的基于端口镜像技术的网络流量监控、储存及回放的方法，其特征在于，S4流量接收单元工作包括以下步骤：

S1、判断车载计算单元中的原始数据包是否需要过滤；

S2、将不需要过滤的原始数据包以及过滤完成的数据包发发送至Linux中；

S3、在Linux内核空间内，通过TC进行镜像；

S4、通过GRE活水VXLAN隧道技术对数据进行封装；

S5、将封装完成的数据发送至流量接收单元中；

S6、在具有高带宽的虚拟端口上进行数据流的接收工作；

S7、通过工具将数据转换为专用格式进行存储。

3.根据权利要求2所述的基于端口镜像技术的网络流量监控、储存及回放的方法，其特征在于，专用格式包括.cap、.pcap或是.pcapng。

4.根据权利要求1所述的基于端口镜像技术的网络流量监控、储存及回放的方法，其特征在于，数据重放功能的实现，通过tcpreplay工具对保存的储存信息直接进行流量重放。

5.根据权利要求1所述的基于端口镜像技术的网络流量监控、储存及回放的方法，其特征在于，端口镜像功能的架构包括车载计算单元与流量接收单元；

所述的车载计算单元与流量接收单元之间通过物理网络连线；

车载计算单元以及流量接收单元上的若干个物理网络端口均组成各自的虚拟网络端口，两个虚拟网络端口之间构成虚拟网络隧道。

6.根据权利要求5所述的基于端口镜像技术的网络流量监控、储存及回放的方法，其特征在于，所述虚拟网络端口的类型为GRE或是VXLAN。

7.根据权利要求1所述的基于端口镜像技术的网络流量监控、储存及回放的方法，其特征在于，流量接收单元上使用的工具为tcpdump或Wireshark。