技術領域

本發明涉及到計算機網絡數據通信技術領域，特別涉及一種實現路由器遠端鏡像的方法和系統。

背景技術

在以太網的環境下，一般兩臺工作站之間的通訊是不會被第三者偵聽到的，但在某些情況下，可能需要監視進出網絡的所有數據包，供安裝了監控軟件的管理服務器抓取數據，如網吧需要提供此功能把數據發往公安部門審查；而企業出于信息安全、保護公司機密的需要，也迫切需要網絡中有一個端口能提供這種實時監控功能。

在企業中用端口鏡像功能，可以很好的對企業內部的網絡數據進行監控管理，在網絡出故障的時候，可以做到很好的故障定位；但是在目前廣泛采用的交換網絡中監聽所有流量有相當大的困難，因此需要通過配置交換機/路由器來把一個或多個端口的數據轉發到某一個端口來實現對網絡的監聽。

端口鏡像功能可以把一個端口(源端口)的部分或全部流量拷貝到另一個專門指定的叫做“鏡像端口”的端口(也稱“監視端口”或“目的端口”)，在不嚴重影響源端口正常吞吐量的情況下，通過鏡像端口對網絡的流量進行監控分析；現行路由器上實現的端口鏡像技術都是基于本路由器上的，即從路由器上的一個或多個端口鏡像到該路由器上的另一個端口，由于沒有實現端口的遠端監控，其應用范圍受到限制。

隨著VPN(Virtual?Private?Network，虛擬專用網絡)技術的廣泛范圍應用，路由器應用區域越來越廣泛、實現業務越來越多，加之各企業對自身網絡安全意識的提高，對于遠端監控、偵聽的需求已經越來越緊迫，現有技術還沒有具體的實現方案。

發明內容

本發明所要解決的技術問題是提供一種實現路由器遠端鏡像的方法和系統，使流量監控能在異地實現。

為了解決上述問題，本發明提供了一種實現路由器遠端鏡像的方法，在源路由器上設置遠端鏡像端口，并為所述遠端鏡像端口建立對應的二層虛接口以及為所述二層虛接口指定需要鏡像的數據流和物理出端口；在目的路由器上建立與源路由器的二層虛接口對應的二層虛接口，所述源路由器上的二層虛接口與目的路由器上的二層虛接口之間形成一條虛擬專線業務VPWS隧道；

當所述源路由器的遠端鏡像端口收到報文后過濾出需要鏡像的數據流，并從所述二層虛接口對應的物理出端口發送至目的路由器；

所述目的路由器收到鏡像報文后，查找對應的二層虛接口，并從該二層虛接口對應的物理端口發送脫去標簽后的鏡像報文至監控端口。

進一步地，為所述源路由器的遠端鏡像端口設置端口屬性表，其中包括鏡像標志以及進行鏡像的出接口，所述出接口為建立的二層虛接口；為所述二層虛接口也設置端口屬性表，其中包括該二層虛接口對應的實際物理出端口、訪問控制鏈表ACL規則號、VPWS隧道的ID號；在所述源路由器還為VPWS隧道設置VPWS轉發表，其中包括該VPWS隧道的ID號、源MAC、目的MAC以及隧道的內、外層標簽信息；

當源路由器的一物理端口收到報文后判斷該端口是否為遠端鏡像端口，若是則查找所述物理端口的端口屬性表得到遠端鏡像的二層虛接口，之后查找所述二層虛接口的端口屬性表，根據其中的ACL規則過濾出鏡像數據流，并根據對應的VPWS轉發表獲得源MAC、目的MAC以及VPWS隧道的內、外層標簽信息，將源MAC、目的MAC和內、外層標簽封裝進鏡像數據流的二層頭中，然后從二層虛接口對應的物理出端口將已封裝的鏡像報文發送至目的路由器。

進一步地，為目的路由器上接收鏡像報文的端口建立多協議標簽交換MPLS轉發表，內層VC標簽對應的出接口，所述出接口為與源路由器的二層虛接口對應的二層虛接口，在目的路由器上還為所述二層虛接口設置端口屬性表，其中包括該二層虛接口對應的實際物理出端口；

當目的路由器的物理端口收到標簽包后查找該端口的MPLS轉發表獲得內層VC標簽對應的出接口，若出接口為二層虛接口則為遠端鏡像報文，并查找所述二層虛接口的端口屬性表得到物理出端口，然后將標簽包脫去標簽后由所述物理出端口發送至監控端口。

進一步地，所述設置的遠端鏡像端口為源路由器的入端口和/或出端口。

進一步地，若入端口為遠端鏡像端口，當所述入端口收到報文后，先將所述報文進行遠端鏡像后回轉，然后按普通報文轉發；

若出端口為遠端鏡像端口，當所述出端口收到報文后，先將所述報文按普通報文轉發后回轉，然后再進行遠端鏡像。

一種實現路由器遠端鏡像的系統，包括源路由器及目的路由器；

所述源路由器包括設置模塊、支撐模塊、訪問控制模塊和收發模塊；