技術領域

本發明涉及網絡數據傳輸和網絡安全領域，更具體地，涉及一種對多路端口鏡像混合數據流進行分流的方法及設備，可以實現將骨干網上的海量鏡像數據分流給多個處理機進行處理，可根據TCP/IP協議的傳輸層的端口號，將數據流按應用層協議分流，并支持數據流多副本分發，對應于一套數據流的多種處理目的。

背景技術

近年來，隨著網絡技術的普及和發展，網絡帶寬和流量呈指數級的速度增長，根據CNNIC發布的《第27次中國互聯網絡發展狀況統計報告》，中國國際出口帶寬2010年底達到1,098,956.82Mbps，年增長率為26.8％。面對日益增長的龐大網絡流量，安全系統中需要處理的數據量也越來越大，數據流的實時處理要求更高的性能。

通常網絡內容安全檢測和分析系統監控模式可以分為串聯監控模式和旁路監控模式。旁路模式一般是指通過交換機等網絡設備的“端口鏡像”功能來實現監控，在此模式下，監控設備只需要連接到交換機的指定鏡像端口；而串聯模式一般是通過網關或者網橋的模式來進行監控，監控設備串聯在網絡中。相對于串聯監控模式，旁路監控模式部署起來比較靈活方便，不會影響現有的網絡結構，同時旁路模式分析的是鏡像端口拷貝過來的數據，對原始傳遞的數據包不會造成延時，不會對網速造成任何影響，另外旁路監控設備一旦故障或者停止運行，不會影響現有網絡的正常運行。

旁路監控模式下，單處理機處理網絡流量大致范圍在1G左右，無法滿足對骨干網的海量端口鏡像數據的處理需求。為了使網絡內容安全檢測和分析系統能夠處理骨干網海量數據，一方面需設計更好的算法提高系統性能，另一方面需將海量數據分流成若干份，交由不同的處理機處理。

基于純鏈路層的交換機可以接收包含多個目的mac地址的混合數據流，但是無法分流。基于網絡層的設備可以接收混合數據流并且分流，但是只能處理混合數據流中的一路數據流，不適用于多路端口鏡像混合數據流。

發明內容

為了解決傳統的分流方法不適用于多路端口鏡像混合數據流的問題，本發明提出一種對多路端口鏡像混合數據流進行分流的方法和設備，通過捕獲數據包，根據TCP/IP協議的傳輸層的端口號，將數據流按應用層協議分流，根據對源IP和目的IP做hash運算的結果修改數據包的目的mac地址，為某路數據流的數據包直接設定對應的鏈路層mac地址，不同于傳統的查找mac地址表過程和轉發數據包過程。本發明能夠實現對骨干網上的海量數據進行高速分流，同時保持流量均衡，并支持對多協議、多副本、多路端口的鏡像混合數據流進行分流。

根據本發明的一個方面，提供了一種對多路端口鏡像混合數據流進行分流的方法，包括：接收網絡數據包，解析其源IP地址、目的IP地址和端口號；根據所述端口號獲取與端口對應的分流策略；根據所述源IP地址和所述目的IP地址，按照雙向流量均衡的方式，獲取所述分流策略中的相應的MAC地址和相應的輸出接口；將所接收的網絡數據包的目的MAC地址修改為所述相應的MAC地址；以及將修改過目的MAC地址的網絡數據包發送到所述相應的輸出接口。

根據本發明的另一方面，提出一種對多路端口鏡像混合數據流進行分流的設備，包括：數據包接收模塊，接收網絡數據包，解析其源IP地址、目的IP地址和端口號；應用層分流模塊，根據所述端口號獲取與端口對應的分流策略，根據所述源IP地址和所述目的IP地址，按照雙向流量均衡的方式，獲取所述分流策略中的相應的MAC地址和相應的輸出接口；MAC地址修改模塊，將所接收的網絡數據包的目的MAC地址修改為所述相應的MAC地址；以及數據包發送模塊，將修改過目的MAC地址的網絡數據包發送到所述相應的輸出接口。

附圖說明

通過下面結合附圖說明本發明的實施例，將使本發明的上述及其它目的、特征和優點更加清楚，其中：

圖1示出了本發明的一個應用場景；

圖2示出了根據本發明一個實施例的分流方法的流程圖；

圖3示出了根據本發明一個實施例的分流設備的框圖；

圖4示出了本發明的一個軟件實現的數據結構圖。

具體實施方式

為了清楚詳細的闡述本發明的實現過程，下面給出了一些本發明的具體實施例。參照附圖對本發明的實施例進行詳細說明，在描述過程中省略了對于本發明來說是不必要的細節和功能，以防止對本發明的理解造成混淆。

圖1示出了本發明的一個應用場景，骨干網路由器通過端口鏡像方式將多路流量鏡像到分流設備上，分流設備修改網絡數據包目的MAC地址為處理機MAC地址后發往處理機。