在一個實施方式中，一種網絡設備，包括：端口，其用于充當入口端口和出口端口；存儲器，其用于儲存接收到的網絡分組；交換結構；控制器，其用于監控出口端口的隊列以及決定丟棄所接收到的網絡分組中的至少一個網絡分組，所述網絡分組具有與第一網絡節點相關聯的第一目的地址；以及鏡像電路，其用于用包括與第一目的地址不同的第二目的地址的封裝報頭來封裝網絡分組，以及在網絡設備內所接收到的網絡分組的處理流水線中先于出口端口分配的點處將經封裝的網絡分組反饋至所述處理流水線中，其中交換結構被配置用于響應于封裝報頭中的第二目的地址將經封裝的網絡分組轉發至分組分析器。

技術領域

本發明涉及鏡像分組，尤其涉及鏡像在網絡設備中丟棄的分組。

背景技術

作為網絡設備設計的一部分，可能出于各種原因而丟棄分組，包括在分組經過大部分處理和決策，有時包括調度之后，可能會做出丟棄分組的決定的情況。

在一種場景中，如果分組在隊列頭部等待的時間太長，則它們可能會被丟棄。例如，在無損網絡中，流量控制可能會導致隊列無法發送分組，并且在一些情況下，這可能會造成網絡鎖定。為了解決上述問題，可能會排空隊列。

在另一場景中，分組可能在網絡設備中花費了太多時間。例如，通常由于擁塞，分組可能在網絡設備中駐留太久，這使其可能不再相關。因此，期望網絡設備丟棄這樣的分組。

在一些情況下，應用于網絡設備中每個出口端口的生成樹和/或VLAN過濾邏輯可能會阻止分組的轉發。在其他情況下，網絡設備中發生的錯誤可能會導致分組變得非法——這一點由無效的循環冗余校驗(cyclic redundancy check，CRC)證明，從而導致非法分組被丟棄。

源于當前網絡設備之外的“壞”CRC可能導致分組被丟棄。例如，在直通場景中，可能存在即使網絡設備尚不知道CRC但分組卻開始被網絡設備傳輸的情況，因此在分組的一部分已經被傳輸之后，分組可能以無效狀態到達。

最大傳輸單元(maximum transmission unit，MTU)違規可能導致分組被丟棄，例如，當分組大于鏈路上允許的大小時。

丟棄的分組可以被鏡像到分組分析器，以便了解分組為什么被丟棄。例如，授予Balasubramaniam Chandra的美國專利8,095,683描述了一種通過擴展端口鏡像來鏡像丟棄的分組的系統。網絡設備，諸如防火墻和路由器等，在數據傳輸期間由于各種安全問題、擁塞和分組中的錯誤而丟棄某些分組。丟棄的分組通過擴展端口鏡像而在用戶指定的目的端口得到鏡像。繼而，可以通過外部流量分析器進一步分析所鏡像的分組。分析可以幫助找出防火墻規則與防火墻處安全策略之間的任何不匹配。此外，該分析還有助于找出在轉發設備(諸如路由器、網橋、交換機、防火墻等)處丟棄的分組中有用數據的損失程度。

Hegge等人的美國專利公開2001/0055274描述了一種具有多個鏡像端口的網絡交換機，數據被復制到這些端口以用于諸如聯網監控等目的。響應于數據流的類型、網絡管理員設置的鏡像策略以及分發機制，對數據流加以標識并將其復制到合適的鏡像端口。附接至每個鏡像端口的監控設備能夠監控特定類型的流量。鏡像端口被收集成這樣的端口的組。一個給定的端口一次只能是一個組的成員。鏡像策略必須標識特定類型的流被復制到的組。

發明內容