專利名稱:遠程集中鏡像管理的方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信領(lǐng)域�,尤其涉及一種遠程集中鏡像管理的方法和系統(tǒng)。
背景技術(shù):
數(shù)據(jù)中心是全球協(xié)作的特定設(shè)備網(wǎng)絡(luò)����,用來在Internet網(wǎng)絡(luò)基礎(chǔ)設(shè)施上加速信 息的傳遞。由于數(shù)據(jù)中心直接面向互聯(lián)網(wǎng)或者是專用的網(wǎng)絡(luò)����,數(shù)據(jù)中心容易遭受各種網(wǎng)絡(luò) 攻擊,例如DDOS (Distribution Denial of Service,分布式拒絕服務(wù))網(wǎng)絡(luò)攻擊���、或者非法 訪問網(wǎng)絡(luò)攻擊�。為了使數(shù)據(jù)中心能夠及時對網(wǎng)絡(luò)攻擊做出準(zhǔn)確應(yīng)對,通常需要利用端口鏡 像的技術(shù)對數(shù)據(jù)中心接收的來自公網(wǎng)的流量進行實時分析和監(jiān)控���。 端口鏡像(Port Mirroring)是把交換機上一個或多個端口的數(shù)據(jù)鏡像到其他一 個或多個端口的方法,例如交換機把某一個端口接收或發(fā)送的數(shù)據(jù)幀完全相同的復(fù)制給另 一個端口�,其中數(shù)據(jù)幀被復(fù)制的端口稱為鏡像源端口,接收復(fù)制的數(shù)據(jù)幀的端口稱為鏡像 目的端口����。 現(xiàn)有技術(shù)中,端口鏡像的技術(shù)分為本地端口鏡像和遠程端口鏡像����。如圖l所示,本 地端口鏡像是將交換機的一個或多個源端口的報文復(fù)制到本設(shè)備的一個或多個目的端口 ��, 根據(jù)復(fù)制得到的報文對原報文監(jiān)控和分析�����,其中鏡像源端口和鏡像目的端口位于同一設(shè) 備����;遠程端口鏡像中鏡像源端口和鏡像目的端口位于不同設(shè)備,由鏡像源端口所在設(shè)備以 外的設(shè)備對鏡像源端口所在設(shè)備通過鏡像源端口收發(fā)的報文進行監(jiān)控和分析�。
目前遠程端口鏡像使用VLAN(Virtual Local Area Network,虛擬局域網(wǎng))技術(shù)���, 將鏡像源設(shè)備、鏡像目的設(shè)備�、以及兩者之間構(gòu)成鏡像流量通路的所有中間設(shè)備一起組成 一個VLAN,該VLAN稱為鏡像VLAN��。鏡像源設(shè)備將鏡像源端口報文封裝一個802. 1Q協(xié)議規(guī) 定的鏡像VLAN標(biāo)簽�,然后通過鏡像VLAN轉(zhuǎn)發(fā)至鏡像目的設(shè)備,鏡像目的設(shè)備接收到攜帶鏡 像VLAN標(biāo)簽的報文后���,剝離其攜帶的鏡像VLAN標(biāo)簽��,將其還原為原始報文發(fā)送給監(jiān)控設(shè)備 進行監(jiān)控或者分析���。 隨著數(shù)據(jù)中心應(yīng)用規(guī)模的不斷增大,出現(xiàn)了同一個核心城市部署多個數(shù)據(jù)中心機 房����,甚至全國各地部署大量數(shù)據(jù)中心機房的情形。這些分布式數(shù)據(jù)中心的典型組網(wǎng)如圖2 所示�����。這些數(shù)據(jù)中心機房從物理位置上雖然相互獨立��,但是數(shù)據(jù)中心強調(diào)統(tǒng)一管理,需要 有同一管理中心對所有數(shù)據(jù)中心進行統(tǒng)一管理�,如圖3所示的數(shù)據(jù)中心遠程集中管理示意 圖。然而�����,由于現(xiàn)有的遠程鏡像技術(shù)局限于二層網(wǎng)絡(luò)��,無法穿越三層網(wǎng)絡(luò)實現(xiàn)鏡像功能����,從 而難以實現(xiàn)對分布式數(shù)據(jù)中心的統(tǒng)一管理����。
發(fā)明內(nèi)容
本發(fā)明提供了一種遠程集中鏡像管理的方法和系統(tǒng),以實現(xiàn)遠程端口鏡像監(jiān)控和 管理的三層網(wǎng)絡(luò)實現(xiàn)����。 本發(fā)明提供了一種遠程集中鏡像管理的方法,應(yīng)用于包括集中管理中心與一個或 多個數(shù)據(jù)中心的系統(tǒng)��,所述數(shù)據(jù)中心與集中管理中心之間分別通過廣域網(wǎng)連接����,并通過通
6用路由協(xié)議封裝GRE隧道進行鏡像流量的傳輸��,所述數(shù)據(jù)中心包括服務(wù)器�、數(shù)據(jù)交換機與數(shù)據(jù)路由器�,數(shù)據(jù)交換機上配置鏡像源端口與鏡像目的端口 ,鏡像目的端口連接數(shù)據(jù)路由器����,在數(shù)據(jù)路由器上配置與所述集中管理中心連接的GRE隧道;所述集中管理中心包括路由器�、交換機與作為監(jiān)控設(shè)備的服務(wù)器,所述集中管理中心的路由器配置分別與每一GRE隧道綁定的多個虛擬專用網(wǎng)VPN實例���,每一 VPN實例的下一跳路由缺省為與該路由器相連接的交換機上的虛擬局域網(wǎng)VLAN接口 ����;所述該集中管理中心的交換機上每一 VLAN僅包括與所述集中管理中心的路由器連接的VLAN接口和與所述監(jiān)控設(shè)備連接的VLAN接口 �����;該方法進一步包括 所述集中管理中心的路由器接收來自數(shù)據(jù)中心通過GRE隧道發(fā)送的鏡像流量�����,并在與所述GRE隧道對應(yīng)的VPN實例中查找下一跳路由,將鏡像流量向所述集中管理中心的交換機上對應(yīng)的VLAN接口發(fā)送��; 所述集中管理中心的交換機通過VLAN接口接收到鏡像流量后��,通過與所述監(jiān)控設(shè)備連接的VLAN接口將所述鏡像流量向所述監(jiān)控設(shè)備發(fā)送��。 所述集中管理中心的路由器接收來自數(shù)據(jù)中心通過GRE隧道發(fā)送的鏡像流量之
前����,還包括 所述數(shù)據(jù)中心的交換機將鏡像源端口的流量復(fù)制到鏡像目的端口發(fā)送; 所述數(shù)據(jù)中心的路由器接收所述數(shù)據(jù)中心的交換機發(fā)送的鏡像流量�,通過所述
GRE隧道向所述集中管理中心的路由器發(fā)送鏡像流量�����。 所述數(shù)據(jù)中心的路由器配置轉(zhuǎn)發(fā)表項的下一跳路由缺省為所述GRE隧道的出接□�。 所述集中管理中心的交換機通過VLAN接口接收到鏡像流量后,通過與所述監(jiān)控設(shè)備連接的VLAN接口將所述鏡像流量向所述監(jiān)控設(shè)備發(fā)送包括 所述集中管理中心的交換機通過VLAN接口接收到鏡像流量時����,為所述鏡像流量加上VLAN標(biāo)簽; 所述集中管理中心的交換機查找與所述VLAN標(biāo)簽對應(yīng)的另一 VLAN接口 �����,在該VLAN接口去掉所述VLAN標(biāo)簽后將鏡像流量向所述監(jiān)控設(shè)備發(fā)送��。 所述集中管理中心的交換機上配置多個VLAN分別與每一數(shù)據(jù)中心的鏡像VLAN對應(yīng)。 本發(fā)明提供一種遠程集中鏡像管理的方法�,應(yīng)用于包括集中管理中心與一個或多個數(shù)據(jù)中心的系統(tǒng),所述數(shù)據(jù)中心與集中管理中心之間分別通過廣域網(wǎng)進行連接�����,且通過通用路由協(xié)議封裝GRE隧道進行遠程集中配置管理�����,所述集中管理中心包括路由器�、交換機與作為配置管理設(shè)備的服務(wù)器,所述集中管理中心的交換機上為每一數(shù)據(jù)中心配置基于接入控制列表ACL策略的配置管理VLAN�����,所述集中管理中心的路由器上配置與每一配置管理VLAN對應(yīng)的VPN實例�����,每一 VPN實例中轉(zhuǎn)發(fā)表項的下一跳路由缺省為GRE隧道出接口 ����;所述數(shù)據(jù)中心包括路由器、交換機以及對數(shù)據(jù)中心進行管理的服務(wù)器,所述數(shù)據(jù)中心的路由器上配置與GRE隧道接口綁定的VPN實例��,該VPN實例中轉(zhuǎn)發(fā)表項的下一跳路由缺省為所述數(shù)據(jù)中心的交換機�;該方法進一步包括 所述集中管理中心的交換機接收所述配置管理設(shè)備發(fā)送的配置管理數(shù)據(jù)流,根據(jù)所述配置管理數(shù)據(jù)流的目的地址段查找對應(yīng)的所述ACL策略��,獲取對應(yīng)的配置管理VLAN��,通過VLAN接口發(fā)送所述配置管理數(shù)據(jù)流���; 所述集中管理中心的路由器接收所述配置管理數(shù)據(jù)流�����,根據(jù)所述配置管理數(shù)據(jù)流對應(yīng)的配置管理VLAN獲取對應(yīng)的VPN實例���,根據(jù)VPN實例中的下一跳路由通過與之綁定的GRE隧道發(fā)送所述配置管理數(shù)據(jù)流����; 所述數(shù)據(jù)中心的路由器接收所述配置管理數(shù)據(jù)流后,查找與所述配置管理數(shù)據(jù)流的GRE隧道入接口綁定的VPN實例����,根據(jù)該VPN實例中的下一跳路由向所述數(shù)據(jù)中心的交換機發(fā)送所述配置管理數(shù)據(jù)流; 所述數(shù)據(jù)中心的交換機根據(jù)配置管理VLAN將所述配置管理數(shù)據(jù)流向?qū)?yīng)的設(shè)備發(fā)送。 所述根據(jù)所述配置管理數(shù)據(jù)流的目的地址段查找對應(yīng)的所述ACL策略�����,獲取對應(yīng)的配置管理VLAN����,通過VLAN接口發(fā)送所述配置管理數(shù)據(jù)流包括 所述集中管理中心的交換機在ACL中存儲目的地址段與配置管理VLAN的對應(yīng)關(guān)系,獲取與所述配置管理數(shù)據(jù)流的目的地址段對應(yīng)的配置管理VLAN ; 所述集中管理中心的交換機為所述配置管理數(shù)據(jù)流加上所述對應(yīng)的配置管理VLAN標(biāo)簽��,通過與所述配置管理VLAN對應(yīng)的VLAN接口發(fā)送所述配置管理數(shù)據(jù)流��。
所述數(shù)據(jù)中心的交換機根據(jù)配置管理VLAN將所述配置管理數(shù)據(jù)流向?qū)?yīng)的設(shè)備發(fā)送之前�����,還包括所述數(shù)據(jù)中心的交換機配置與配置管理VLAN對應(yīng)的VLAN接口 �����,通過該VALN接口接收所述數(shù)據(jù)中心的路由器發(fā)送的配置管理數(shù)據(jù)流�; 所述數(shù)據(jù)中心的交換機根據(jù)配置管理VLAN將所述配置管理數(shù)據(jù)流向?qū)?yīng)的設(shè)備發(fā)送包括當(dāng)所述數(shù)據(jù)中心的交換機通過所述配置管理VLAN對應(yīng)的VLAN接口接收到配置管理數(shù)據(jù)流時,所述數(shù)據(jù)中心的交換機為所述配置管理數(shù)據(jù)流加上配置管理VLAN標(biāo)簽����,在配置管理VLAN內(nèi)向?qū)?yīng)的設(shè)備發(fā)送所述配置管理數(shù)據(jù)流�。 本發(fā)明提供一種遠程集中鏡像管理的系統(tǒng)����,應(yīng)用于包括集中管理中心與一個或多個數(shù)據(jù)中心的系統(tǒng),所述數(shù)據(jù)中心與集中管理中心之間分別通過廣域網(wǎng)連接���,并通過通用路由協(xié)議封裝GRE隧道進行鏡像流量的傳輸�����,所述數(shù)據(jù)中心包括服務(wù)器�����、數(shù)據(jù)交換機與數(shù)據(jù)路由器���,數(shù)據(jù)交換機上配置鏡像源端口與鏡像目的端口 ,鏡像目的端口連接數(shù)據(jù)路由器����,在數(shù)據(jù)路由器上配置與所述集中管理中心連接的GRE隧道����;所述集中管理中心包括路由器�、交換機與作為監(jiān)控設(shè)備的服務(wù)器�����,所述集中管理中心的路由器配置分別與每一GRE隧道綁定的多個虛擬專用網(wǎng)VPN實例����,每一 VPN實例的轉(zhuǎn)發(fā)表項下一跳路由缺省為與該路由器相連接的交換機上的虛擬局域網(wǎng)VLAN接口 ;所述集中管理中心的交換機上每一 VLAN僅包括與所述集中管理中心的路由器連接的VLAN接口和與所述監(jiān)控設(shè)備連接的VLAN接口 �����;射 所述集中管理中心的路由器�����,用于接收來自數(shù)據(jù)中心通過GRE隧道發(fā)送的鏡像流量��,并在與所述GRE隧道對應(yīng)的VPN實例中查找下一跳路由����,將鏡像流量向所述集中管理中心的交換機上對應(yīng)的VLAN接口發(fā)送; 所述集中管理中心的交換機��,用于通過VLAN接口接收到鏡像流量后�,通過與所述監(jiān)控設(shè)備連接的VLAN接口將所述鏡像流量向所述監(jiān)控設(shè)備發(fā)送����。 所述數(shù)據(jù)中心的交換機�����,用于將鏡像源端口的流量復(fù)制到鏡像目的端口發(fā)送�����;
所述數(shù)據(jù)中心的路由器�,用于接收所述數(shù)據(jù)中心的交換機發(fā)送的鏡像流量,通過所述GRE隧道向所述集中管理中心的路由器發(fā)送鏡像流量�。 所述數(shù)據(jù)中心的路由器配置轉(zhuǎn)發(fā)表項中的下一跳路由缺省為所述GRE隧道的出接口。 所述集中管理中心的交換機還用于 通過VLAN接口接收到鏡像流量時�,為所述鏡像流量加上VLAN標(biāo)簽; 查找與所述VLAN標(biāo)簽對應(yīng)的另一 VLAN接口 ��,在該VLAN接口去掉所述VLAN標(biāo)簽
后將鏡像流量向所述監(jiān)控設(shè)備發(fā)送���。 所述集中管理中心的交換機上配置多個VLAN分別與每一數(shù)據(jù)中心的鏡像VLAN對應(yīng)��。 本發(fā)明提供一種遠程集中鏡像管理的系統(tǒng)���,應(yīng)用于包括集中管理中心與一個或多個數(shù)據(jù)中心的系統(tǒng),所述數(shù)據(jù)中心與集中管理中心之間分別通過廣域網(wǎng)進行連接���,且通過通用路由協(xié)議封裝GRE隧道進行遠程集中配置管理���,所述集中管理中心包括路由器、交換機與作為配置管理設(shè)備的服務(wù)器��,所述集中管理中心的交換機上為每一數(shù)據(jù)中心配置基于接入控制列表ACL策略的配置管理VLAN���,所述集中管理中心的路由器上配置與每一配置管理VLAN對應(yīng)的VPN實例�����,每一 VPN實例的轉(zhuǎn)發(fā)表項的下一跳路由缺省為GRE隧道出接口 ����;所述數(shù)據(jù)中心包括路由器��、交換機以及對數(shù)據(jù)中心進行管理的服務(wù)器�����,所述數(shù)據(jù)中心的路由器上配置與GRE隧道接口綁定的VPN實例��,該VPN實例中轉(zhuǎn)發(fā)表項的下一跳路由缺省為所述數(shù)據(jù)中心的交換機;其中 所述集中管理中心的交換機����,用于接收所述配置管理設(shè)備發(fā)送的配置管理數(shù)據(jù)流,根據(jù)所述配置管理數(shù)據(jù)流的目的地址段查找對應(yīng)的所述ACL策略�,獲取對應(yīng)的配置管理VLAN,通過VLAN接口發(fā)送所述配置管理數(shù)據(jù)流�; 所述集中管理中心的路由器,用于接收所述配置管理數(shù)據(jù)流�����,根據(jù)所述配置管理數(shù)據(jù)流對應(yīng)的配置管理VLAN獲取對應(yīng)的VPN實例����,根據(jù)VPN實例中的下一跳路由通過與之綁定的GRE隧道發(fā)送所述配置管理數(shù)據(jù)流; 所述數(shù)據(jù)中心的路由器�����,用于接收所述配置管理數(shù)據(jù)流后���,查找與所述配置管理數(shù)據(jù)流的GRE隧道入接口綁定的VPN實例����,根據(jù)該VPN實例中的下一跳路由向所述數(shù)據(jù)中心的交換機發(fā)送所述配置管理數(shù)據(jù)流; 所述數(shù)據(jù)中心的交換機�����,用于根據(jù)配置管理VLAN將所述配置管理數(shù)據(jù)流向?qū)?yīng)的設(shè)備發(fā)送����。 所述集中管理中心的交換機還用于 在ACL中存儲目的地址段與配置管理VLAN的對應(yīng)關(guān)系�,獲取與所述配置管理數(shù)據(jù)流的目的地址段對應(yīng)的配置管理VLAN ; 為所述配置管理數(shù)據(jù)流加上所述對應(yīng)的配置管理VLAN標(biāo)簽,通過與所述配置管理VLAN對應(yīng)的VLAN接口發(fā)送所述配置管理數(shù)據(jù)流�����。
所述數(shù)據(jù)中心的交換機還用于 配置與所述配置管理VLAN對應(yīng)的VLAN接口 ���,通過該VALN接口接收所述數(shù)據(jù)中心的路由器發(fā)送的配置管理數(shù)據(jù)流����; 當(dāng)通過所述配置管理VLAN對應(yīng)的VLAN接口接收到配置管理數(shù)據(jù)流時���,為所述配置管理數(shù)據(jù)流加上配置管理VLAN標(biāo)簽�����,在配置管理VLAN內(nèi)向?qū)?yīng)的設(shè)備發(fā)送所述配置管
9理數(shù)據(jù)流����。
與現(xiàn)有技術(shù)相比,本發(fā)明至少具有以下優(yōu)點 本發(fā)明中����,各分布式數(shù)據(jù)中心分別和集中管理中心通過廣域網(wǎng)連接,通過GRE隧道傳輸鏡像流量和配置管理流量���,并在集中管理中心配置多VPN實例分別對應(yīng)各分布式數(shù)據(jù)中心的GRE隧道��,區(qū)分各分布式數(shù)據(jù)中心發(fā)送的流量���,從而實現(xiàn)了鏡像流量穿越三層網(wǎng)絡(luò)進行傳輸,實現(xiàn)了集中管理中心對多個分布式數(shù)據(jù)中心的集中管理���。
圖1是現(xiàn)有技術(shù)數(shù)據(jù)中心與管理中心的組網(wǎng)方式示意圖����; 圖2是現(xiàn)有技術(shù)中數(shù)據(jù)中心遠程集中管理示意圖�����; 圖3是現(xiàn)有技術(shù)中兩種端口鏡像示意圖; 圖4是本發(fā)明提供的遠程集中鏡像管理的方法的流程示意圖��; 圖5是本發(fā)明提供的分布式數(shù)據(jù)中心及遠程集中鏡像監(jiān)控系統(tǒng)的組網(wǎng)結(jié)構(gòu)示意圖���; 圖6是本發(fā)明應(yīng)用場景中遠程集中鏡像監(jiān)控的流程示意圖��; 圖7是本發(fā)明應(yīng)用場景中遠程集中配置管理的流程示意圖。
具體實施例方式
本發(fā)明的核心思想是對集中管理中心和分布式數(shù)據(jù)中心進行配置���,使分布式數(shù)據(jù)中心和集中管理中心在廣域網(wǎng)內(nèi)通過GRE隧道實現(xiàn)通信�����,傳輸鏡像流量和配置管理數(shù)據(jù)流量���,由集中管理中心根據(jù)鏡像流量對各分布式數(shù)據(jù)中心進行監(jiān)控,并向各分布式數(shù)據(jù)中心分別發(fā)送配置管理數(shù)據(jù)流量�。 本發(fā)明提供了一種遠程集中鏡像管理的方法,應(yīng)用于包括集中管理中心與一個或多個數(shù)據(jù)中心的系統(tǒng)�����,所述數(shù)據(jù)中心與集中管理中心之間分別通過廣域網(wǎng)連接,并通過通用路由協(xié)議封裝GRE隧道相互通信�����,所述數(shù)據(jù)中心包括服務(wù)器����、交換機與路由器,交換機上配置鏡像源端口與鏡像目的端口 ���,鏡像目的端口連接路由器��,在路由器上配置與所述集中管理中心連接的GRE隧道�����;所述集中管理中心包括路由器��、交換機與服務(wù)器��。其中所述服務(wù)器在具體的應(yīng)用場景中�����,可以為對流量進行分析的監(jiān)控設(shè)備���,或者為各項策略進行配置管理的服務(wù)器等��。所述集中管理中心的路由器配置分別與每一GRE隧道綁定的多個虛擬專用網(wǎng)VPN實例���,每一 VPN實例的下一跳缺省為該集中管理中心交換機上的虛擬局域網(wǎng)VLAN接口 ;所述交換機上每一 VLAN僅包括與所述集中管理中心的路由器連接的VLAN接口和與所述集中管理中心的服務(wù)器連接的VLAN接口 ����;如圖4所示,該方法進一步包括
步驟401���,所述集中管理中心路由器接收數(shù)據(jù)中心通過GRE隧道發(fā)送的鏡像流量,在與所述GRE隧道對應(yīng)的VPN實例中查找下一跳路由��,將來自數(shù)據(jù)中心的鏡像流量向所述集中管理中心的交換機上對應(yīng)的VLAN接口發(fā)送����; 步驟402,所述集中管理中心交換機通過VLAN接口接收到來自數(shù)據(jù)中心的鏡像流量后��,通過與所述作為監(jiān)控設(shè)備的服務(wù)器連接的VLAN接口將所述鏡像流量向所述該服務(wù)器發(fā)送�。 下面結(jié)合具體應(yīng)用場景詳細(xì)介紹本發(fā)明提供的遠程集中鏡像管理的方法。該方法主要包括集中管理中心對各分布式數(shù)據(jù)中心的集中監(jiān)控�����、和集中管理中心對各分布式數(shù)據(jù)中心的集中配置管理,其中集中配置管理是在集中監(jiān)控的基礎(chǔ)上進行的集中配置管理����。
為使公眾更加清楚地理解本發(fā)明,首先介紹集中管理中心對各分布式數(shù)據(jù)中心進行集中監(jiān)控的方法�。本發(fā)明應(yīng)用場景中,為了實現(xiàn)穿越三層網(wǎng)絡(luò)對各分布式數(shù)據(jù)中心的集中監(jiān)控����,需要配置相應(yīng)的鏡像管理網(wǎng)絡(luò)架構(gòu)。如圖5所示�����,該鏡像管理網(wǎng)絡(luò)架構(gòu)中�����,多個分布式DC (Data Center,數(shù)據(jù)中心)(以DC1和DC2為例)與集中管理中心之間通過廣域網(wǎng)相互連接�,且分別通過各自對應(yīng)的GRE(Generic Routing Encapsulation,通用路由協(xié)議封裝)隧道進行通信。其中GRE隧道為端到端隧道�,其兩個接口分別為DC上配置的路由器的T皿nel接口和集中管理中心配置的路由器的T皿nel接口。 在本發(fā)明中�����,DC上還包括核心交換機,并通過在核心交換機上配置鏡像源端口和鏡像目的端口 �����,將鏡像源端口的報文復(fù)制到鏡像目的端口發(fā)送��,鏡像目的端口連接所述DC上的路由器����,該鏡像目的端口發(fā)送的流量僅限于鏡像流量。通過在該DC的路由器上創(chuàng)建GRE隧道��,GRE隧道的入接口設(shè)置為路由器上的接口�����, GRE隧道的出接口為集中管理中心的路由器上對應(yīng)的接口����,不同GRE隧道對應(yīng)不同的出接口�。以圖5中DC1和DC2為例,DC1上Rl(Routerl�,路由器l)創(chuàng)建的GRE隧道的出接口為集中管理中心上R3 (Router3�����,路由器3)的TunnelO��, DC2上R2 (Router2���,路由器2)創(chuàng)建的GRE隧道的出接口為R3上的Tunnell。
集中管理中心配置的路由器通過多個GRE隧道接口連接各分布式數(shù)據(jù)中心��。該集中管理中心的路由器上還配置n個VPN實例分別對應(yīng)每一數(shù)據(jù)中心�,并且配置每一 GRE隧道接口分別對應(yīng)一 VPN實例并綁定其對應(yīng)關(guān)系,在每一 VPN實例中配置轉(zhuǎn)發(fā)表項的下一跳路由缺省為管理中心的交換機L3����。集中管理中心的交換機L3上配置n個VLAN接口 ,分別對應(yīng)路由器R3上配置的每一 VPN實例���;每一個VLAN分別與對應(yīng)DC上配置的鏡像VLAN配置相同���。為了保證數(shù)據(jù)中心的報文準(zhǔn)確到達集中管理中心的服務(wù)器(監(jiān)控設(shè)備),配置交換機L3上的每一VLAN只包括兩個端口 與路由器R3連接的端口和與服務(wù)器(監(jiān)控設(shè)備)連接的端口�����。 結(jié)合圖5所示的鏡像網(wǎng)絡(luò)架構(gòu)介紹數(shù)據(jù)中心集中監(jiān)控的方法,如圖6所示�,該方法包括以下步驟 步驟601,DC1的交換機Ll和DC2的交換機L2分別將需要監(jiān)控的流量從源端口鏡像到目的端口��。 具體的����,DC1的交換機Ll和DC2的交換機L2上,配置鏡像VLAN的鏡像目的端口分別連接路由器Rl和R2����。以交換機Ll為例,Ll通過鏡像源端口接收到的流量時��,根據(jù)鏡像VLAN配置��,將該流量復(fù)制到鏡像目的端口發(fā)送���。 步驟602���,路由器Rl和R2分別通過GRE隧道向集中管理中心發(fā)送鏡像流量�。
具體的,路由器Rl和R2配置下一跳路由缺省為GRE隧道的出接口 ��,路由器Rl對應(yīng)的GRE隧道的出接口為Tunnel0,路由器R2對應(yīng)的GRE隧道的出接口為Tunnell�����, Tunne10和Tu皿ell均為集中管理中心路由器R3上的隧道接口����。以DC1中的路由器R1為例,路由器Rl接收到交換機Ll的流量后����,查找下一跳路由獲得缺省路由為GRE隧道的出接口 ,通過GRE隧道向路由器R3上對應(yīng)的隧道接口發(fā)送鏡像流量����。
步驟603,路由器R3將鏡像流量向交換機L3發(fā)送�。 路由器R3接收到路由器Rl或R2通過GRE隧道發(fā)送的流量后,根據(jù)配置的與GRE
11隧道綁定的VPN實例��,在VPN實例中查找其下一跳路由��。由于每一 VPN實例中配置的下一 跳路由缺省為交換機L3的特定VLAN接口����,因此���,路由器R3將接收到的流量向交換機L3的 該特定VLAN接口發(fā)送。 步驟604�����,交換機L3將鏡像流量向服務(wù)器(監(jiān)控設(shè)備)發(fā)送����。
由于交換機L3上配置的每個VLAN與各DC配置的鏡像VLAN —一對應(yīng),接收鏡像 流量的VLAN接口與發(fā)送該鏡像流量的DC上的鏡像VLAN配置相同���。接收到鏡像流量時��,交 換機L3可以在入端口為該鏡像流量打上對應(yīng)的VLAN標(biāo)簽��,然后在二層網(wǎng)絡(luò)廣播該鏡像流 量�����。由于交換機L3配置的鏡像VLAN只有兩個端口 �����,因此��,交換機L3發(fā)送的鏡像流量只能 被用于分析監(jiān)控該DC流量對應(yīng)的服務(wù)器(監(jiān)控設(shè)備)接收�。監(jiān)控設(shè)備根據(jù)交換機L3廣播 的鏡像流量攜帶的VLAN標(biāo)簽獲知該鏡像流量所歸屬的數(shù)據(jù)中心�����,監(jiān)控該數(shù)據(jù)中心的流量����, 進而根據(jù)該監(jiān)控流量分析的結(jié)果,進行相應(yīng)的策略控制�����。 為了實現(xiàn)集中管理中心對各分布式數(shù)據(jù)中心的集中配置管理����。在圖5所示的鏡像 管理網(wǎng)絡(luò)架構(gòu)中,需要對各數(shù)據(jù)中心和集中管理中心的交換機和路由器進行如下配置����。
集中管理中心在其交換機上為各分布式數(shù)據(jù)中心創(chuàng)建不同的配置管理VLAN,并配 置m個VLAN接口分別對應(yīng)為每一 DC創(chuàng)建的配置管理VLAN��,m的具體取值與DC的數(shù)量以及 配置管理VLAN的數(shù)量一致。集中管理中心還在其交換機上配置ACL策略����,在ACL策略中設(shè) 置配置流量的目的地址段(對應(yīng)不同數(shù)據(jù)中心)與配置管理VLAN的對應(yīng)關(guān)系。ACL策略 中配置流量的目的地址段為IP地址段��,每一 IP地址段包括對應(yīng)DC下的各設(shè)備的IP地址��。 集中管理中心還在其路由器上配置m個VPN實例分別對應(yīng)每一配置管理VLAN��,并在VPN實 例中配置下一跳路由缺省為連接對應(yīng)數(shù)據(jù)中心的GRE隧道的出接口 ��。 數(shù)據(jù)中心在其路由器上配置與GRE隧道接口綁定的VPN實例����,其下一跳路由缺省 為數(shù)據(jù)中心的交換機。為了區(qū)別于上述集中監(jiān)控場景中DC中路由器配置的缺省下一跳路 由�����,本應(yīng)用場景中��,路由器上需要配置多VPN實例���,以分別對應(yīng)將數(shù)據(jù)中心的數(shù)據(jù)流量鏡像 至集中管理中心監(jiān)控服務(wù)器����,和將集中管理中心的配置管理信息分發(fā)至數(shù)據(jù)中心對應(yīng)的服 務(wù)器的場景。例如���,在本應(yīng)用場景中,配置VPN實例l對應(yīng)將數(shù)據(jù)中心的數(shù)據(jù)流量鏡像至集 中管理中心監(jiān)控服務(wù)器的鏡像VLAN�,其下一跳路由缺省為GRE隧道出接口 ;VPN實例2對應(yīng) 將集中管理中心的配置管理信息分發(fā)至數(shù)據(jù)中心對應(yīng)的服務(wù)器的配置管理VLAN��,其下一跳 路由缺省為數(shù)據(jù)中心的交換機�。進一步的,數(shù)據(jù)中心的交換機上配置管理VLAN�����,用以接收數(shù) 據(jù)中心路由器轉(zhuǎn)發(fā)的來自集中管理中心的配置管理數(shù)據(jù)流量��,并在配置管理VLAN內(nèi)將該 數(shù)據(jù)流量向?qū)?yīng)的設(shè)備(服務(wù)器)發(fā)送��。 下面以集中管理中心向DCl下發(fā)配置管理流量為例介紹本發(fā)明提供的集中配置
管理方法����,如圖7所示,該集中配置管理方法包括以下步驟 步驟701���,配置管理服務(wù)器向交換機L3下發(fā)DC1的配置管理數(shù)據(jù)�����。 步驟702����,集中管理中心的交換機L3將配置管理流量向集中管理中心的路由器R3發(fā)送。 集中管理中心的交換機L3中配置ACL策略�,存儲數(shù)據(jù)中心的地址段(例如IP地 址段)與配置管理VLAN的對應(yīng)關(guān)系。集中管理中心的交換機L3接收到配置管理服務(wù)器發(fā) 送的流量后�,獲取該流量的目的IP地址段,根據(jù)該IP地址段查找ACL�,獲取對應(yīng)的配置管理 VLAN,該配置管理VLAN與DC1具有對應(yīng)關(guān)系�。集中管理中心的交換機L3為該配置管理流
12量打上DC1對應(yīng)的配置管理VLAN標(biāo)簽,并通過對應(yīng)的VLAN接口將該流量向集中管理中心 的路由器R3發(fā)送�。 步驟703,集中管理中心的路由器R3將配置管理流量通過GRE隧道向DC1發(fā)送�。
集中管理中心的路由器R3根據(jù)配置管理流量的配置管理VLAN,查找配置的配置 管理VLAN與VPN實例的對應(yīng)關(guān)系��,獲取對應(yīng)的VPN實例����。集中管理中心的路由器R3進一 步在該VPN實例中查找下一跳路由�,獲取缺省路由為對應(yīng)GRE隧道的出接口 ��。該GRE隧道 為集中管理中心的路由器R3與數(shù)據(jù)中心的路由器Rl之間的GRE隧道����。路由器R3通過該 GRE隧道向DC1發(fā)送配置管理流量。 步驟704����,數(shù)據(jù)中心的路由器Rl將配置管理流量向DC1中的交換機LI發(fā)送��。
數(shù)據(jù)中心的路由器Rl接收到配置管理流量后��,在與GRE隧道接口綁定的VPN實例 中查找下一跳路由為DC1交換機LI的配置管理VLAN接口 �����,將配置管理流量向交換機LI發(fā) 送����。 步驟705,數(shù)據(jù)中心的交換機LI將配置管理流量向DC1中對應(yīng)的設(shè)備發(fā)送����。
數(shù)據(jù)中心的交換機L1通過配置管理VLAN接口接收配置管理流量時�,為該配置管 理流量打上對應(yīng)的配置管理VLAN標(biāo)簽���,然后將該配置管理流量向?qū)?yīng)的設(shè)備轉(zhuǎn)發(fā)�。
通過采用本應(yīng)用場景提供的方法����,各分布式數(shù)據(jù)中心分別和集中管理中心通過廣 域網(wǎng)連接,通過GRE隧道傳輸鏡像流量和配置管理流量�,并在集中管理中心配置多VPN實例 分別對應(yīng)各分布式數(shù)據(jù)中心的GRE隧道,區(qū)分各分布式數(shù)據(jù)中心發(fā)送的流量��,另外�����,在各數(shù) 據(jù)中心進一步配置VPN實例�,以對應(yīng)遠程集中配置管理的應(yīng)用場景,從而實現(xiàn)了鏡像流量 穿越三層網(wǎng)絡(luò)進行傳輸����,實現(xiàn)了集中管理中心對多個分布式數(shù)據(jù)中心的集中管理。
本發(fā)明提供一種遠程集中鏡像管理的系統(tǒng)��,應(yīng)用于包括集中管理中心與一個或多 個數(shù)據(jù)中心的系統(tǒng)�,所述數(shù)據(jù)中心與集中管理中心之間分別通過廣域網(wǎng)連接�,并通過通用 路由協(xié)議封裝GRE隧道進行鏡像流量的傳輸�,所述數(shù)據(jù)中心包括服務(wù)器、交換機與路由器�����, 數(shù)據(jù)中心的交換機上配置鏡像源端口與鏡像目的端口 ����,鏡像目的端口連接數(shù)據(jù)路由器,在 數(shù)據(jù)中心的路由器上配置與所述集中管理中心連接的GRE隧道�����;所述集中管理中心包括路 由器��、交換機與作為監(jiān)控設(shè)備的服務(wù)器�,所述集中管理中心的路由器配置分別與每一GRE 隧道綁定的多個虛擬專用網(wǎng)VPN實例��,每一 VPN實例的下一跳缺省為與該路由器相連接的 交換機上的虛擬局域網(wǎng)VLAN接口 �����;所述集中管理中心的交換機上每一 VLAN僅包括與所述 集中管理中心的路由器連接的VLAN接口和與所述監(jiān)控設(shè)備連接的VLAN接口 �����;其中
所述集中管理中心的路由器,用于接收來自數(shù)據(jù)中心通過GRE隧道發(fā)送的鏡像流 量�����,根據(jù)GRE隧道接口獲取與所述GRE隧道對應(yīng)的VPN實例����,并在該VPN實例中查找下一跳 路由,將鏡像流量向所述集中管理中心的交換機上對應(yīng)的VLAN接口發(fā)送���。
所述集中管理中心的交換機�����,用于通過VLAN接口接收到鏡像流量后���,通過與所述 監(jiān)控設(shè)備連接的VLAN接口將所述鏡像流量向所述監(jiān)控設(shè)備發(fā)送。所述集中管理中心的交 換機上配置多個VLAN分別與每一數(shù)據(jù)中心的鏡像VLAN對應(yīng)����,所述集中管理中心的交換機 通過VLAN接口接收到鏡像流量時,為所述鏡像流量加上VLAN標(biāo)簽;查找與所述VLAN標(biāo)簽 對應(yīng)的另一 VLAN接口 ����,在該VLAN接口去掉所述VLAN標(biāo)簽后將鏡像流量向所述監(jiān)控設(shè)備發(fā) 送。 所述數(shù)據(jù)中心的交換機��,用于從鏡像源端口接收到流量時����,通過配置的鏡像VLAN將流量復(fù)制到鏡像目的端口發(fā)送。 所述數(shù)據(jù)中心的路由器��,用于接收所述數(shù)據(jù)中心的交換機發(fā)送的鏡像流量�,通過 所述GRE隧道向所述集中管理中心的路由器發(fā)送鏡像流量。具體的�����,所述數(shù)據(jù)中心的路由 器配置下一跳缺省為所述GRE隧道的出接口���。接收到鏡像流量后,數(shù)據(jù)中心的路由器查找 下一跳路由為所述GRE隧道的出接口 ����,通過GRE隧道向隧道出接口發(fā)送鏡像流量。
本發(fā)明還提供一種遠程集中鏡像管理的系統(tǒng),應(yīng)用于包括集中管理中心與一個或 多個數(shù)據(jù)中心的系統(tǒng)��,所述數(shù)據(jù)中心與集中管理中心之間分別通過廣域網(wǎng)進行連接��,且通 過通用路由協(xié)議封裝GRE隧道進行遠程集中配置管理��,所述集中管理中心包括路由器�、交 換機與作為配置管理設(shè)備的服務(wù)器,所述集中管理中心的交換機上為每一數(shù)據(jù)中心配置基 于接入控制列表ACL策略的配置管理VLAN�����,所述集中管理中心的路由器上配置與每一配置 管理VLAN對應(yīng)的VPN實例��,每一 VPN實例的下一跳路由缺省為GRE隧道出接口 �;所述數(shù)據(jù) 中心包括路由器、交換機以及對數(shù)據(jù)中心進行管理的服務(wù)器����,所述數(shù)據(jù)中心的路由器上配 置與GRE隧道接口綁定且與配置管理應(yīng)用場景對應(yīng)的VPN實例,該VPN實例下一跳路由缺 省為所述數(shù)據(jù)中心的交換機���;其中 所述集中管理中心的交換機����,用于接收所述配置管理設(shè)備發(fā)送的配置管理數(shù)據(jù) 流,根據(jù)所述配置管理數(shù)據(jù)流的目的地址段查找對應(yīng)的所述ACL策略����,獲取對應(yīng)的配置管 理VLAN,通過VLAN接口發(fā)送所述配置管理數(shù)據(jù)流����。集中管理中心的交換機存儲各數(shù)據(jù)中 心的地址段,例如每一數(shù)據(jù)中心中包含各設(shè)備IP地址的IP地址段��,并配置IP地址段與配 置管理VLAN的對應(yīng)關(guān)系����。接收到配置管理數(shù)據(jù)流時,集中管理中心的交換機根據(jù)配置管理 數(shù)據(jù)流的目的IP地址段查找獲得對應(yīng)的配置管理VLAN���,通過該VLAN對應(yīng)的VLAN接口發(fā)送 配置管理流量����。所述集中管理中心的交換機還用于為所述配置管理數(shù)據(jù)流加上對應(yīng)的配置 管理VLAN標(biāo)簽�,然后通過VLAN接口發(fā)送所述配置管理數(shù)據(jù)流,從而使路由器可以根據(jù)VLAN 標(biāo)簽識別配置管理數(shù)據(jù)流歸屬的VLAN��。 所述集中管理中心的路由器�����,用于接收所述配置管理數(shù)據(jù)流�����,根據(jù)所述配置管理 數(shù)據(jù)流對應(yīng)的配置管理VLAN獲取對應(yīng)的VPN實例���,根據(jù)VPN實例中的下一跳路由通過與之 綁定的GRE隧道發(fā)送所述配置管理數(shù)據(jù)流����。由于VPN實例中的下一跳路由缺省配置為GRE 隧道的出接口�,因此,集中管理中心的路由器將配置管理流通過GRE隧道向隧道對端發(fā)送�。
所述數(shù)據(jù)中心的路由器,用于接收所述配置管理數(shù)據(jù)流后�����,查找與所述配置管理 數(shù)據(jù)流的GRE隧道入接口綁定的VPN實例���,根據(jù)該VPN實例中的下一跳路由向所述數(shù)據(jù)中 心的交換機發(fā)送所述配置管理數(shù)據(jù)流�。 所述數(shù)據(jù)中心的交換機���,用于根據(jù)配置管理VLAN將所述配置管理數(shù)據(jù)流向?qū)?yīng) 的設(shè)備發(fā)送�����。具體的���,所述數(shù)據(jù)中心的交換機配置與所述配置管理VLAN對應(yīng)的VLAN接口 ��, 通過該VALN接口接收所述數(shù)據(jù)中心的路由器發(fā)送的配置管理數(shù)據(jù)流�;當(dāng)通過所述配置管 理VLAN對應(yīng)的VLAN接口接收到配置管理數(shù)據(jù)流時�����,為所述配置管理數(shù)據(jù)流加上配置管理 VLAN標(biāo)簽���,在配置管理VLAN內(nèi)向?qū)?yīng)的設(shè)備發(fā)送所述配置管理數(shù)據(jù)流�。
通過采用本發(fā)明提供的系統(tǒng)�����,各分布式數(shù)據(jù)中心分別和集中管理中心通過廣域網(wǎng) 連接�����,通過GRE隧道傳輸鏡像流量和配置管理流量,并在集中管理中心配置多VPN實例分別 對應(yīng)各分布式數(shù)據(jù)中心的GRE隧道���,區(qū)分各分布式數(shù)據(jù)中心發(fā)送的流量,從而實現(xiàn)了鏡像 流量穿越三層網(wǎng)絡(luò)進行傳輸�����,實現(xiàn)了集中管理中心對多個分布式數(shù)據(jù)中心的集中管理�。
通過以上的實施方式的描述,本領(lǐng)域的技術(shù)人員可以清楚地了解到本發(fā)明可借助
軟件加必需的通用硬件平臺的方式來實現(xiàn)�,當(dāng)然也可以通過硬件,但很多情況下前者是更 佳的實施方式�����?;谶@樣的理解,本發(fā)明的技術(shù)方案本質(zhì)上或者說對現(xiàn)有技術(shù)做出貢獻的 部分可以以軟件產(chǎn)品的形式體現(xiàn)出來�����,該計算機軟件產(chǎn)品存儲在一個存儲介質(zhì)中�����,包括若 干指令用以使得一臺計算機設(shè)備(可以是個人計算機,服務(wù)器���,或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā) 明各個實施例所述的方法�����。 本領(lǐng)域技術(shù)人員可以理解附圖只是一個優(yōu)選實施例的示意圖����,附圖中的模塊或流 程并不一定是實施本發(fā)明所必須的�����。 本領(lǐng)域技術(shù)人員可以理解實施例中的裝置中的模塊可以按照實施例描述進行分 布于實施例的裝置中���,也可以進行相應(yīng)變化位于不同于本實施例的一個或多個裝置中���。上 述實施例的模塊可以合并為一個模塊,也可以進一步拆分成多個子模塊����。
上述本發(fā)明實施例序號僅僅為了描述,不代表實施例的優(yōu)劣。 以上公開的僅為本發(fā)明的幾個具體實施例��,但是����,本發(fā)明并非局限于此,任何本領(lǐng) 域的技術(shù)人員能思之的變化都應(yīng)落入本發(fā)明的保護范圍��。
1權(quán)利要求
一種遠程集中鏡像管理的方法�,應(yīng)用于包括集中管理中心與一個或多個數(shù)據(jù)中心的系統(tǒng)��,其特征在于�,所述數(shù)據(jù)中心與集中管理中心之間分別通過廣域網(wǎng)連接,并通過通用路由協(xié)議封裝GRE隧道進行鏡像流量的傳輸�,所述數(shù)據(jù)中心包括服務(wù)器、數(shù)據(jù)交換機與數(shù)據(jù)路由器��,數(shù)據(jù)交換機上配置鏡像源端口與鏡像目的端口�,鏡像目的端口連接數(shù)據(jù)路由器,在數(shù)據(jù)路由器上配置與所述集中管理中心連接的GRE隧道�;所述集中管理中心包括路由器、交換機與作為監(jiān)控設(shè)備的服務(wù)器��,所述集中管理中心的路由器配置分別與每一GRE隧道綁定的多個虛擬專用網(wǎng)VPN實例���,每一VPN實例的下一跳路由缺省為與該路由器相連接的交換機上的虛擬局域網(wǎng)VLAN接口�;所述該集中管理中心的交換機上每一VLAN僅包括與所述集中管理中心的路由器連接的VLAN接口和與所述監(jiān)控設(shè)備連接的VLAN接口;該方法進一步包括所述集中管理中心的路由器接收來自數(shù)據(jù)中心通過GRE隧道發(fā)送的鏡像流量�,并在與所述GRE隧道對應(yīng)的VPN實例中查找下一跳路由,將鏡像流量向所述集中管理中心的交換機上對應(yīng)的VLAN接口發(fā)送�;所述集中管理中心的交換機通過VLAN接口接收到鏡像流量后,通過與所述監(jiān)控設(shè)備連接的VLAN接口將所述鏡像流量向所述監(jiān)控設(shè)備發(fā)送����。
2. 如權(quán)利要求1所述的方法,其特征在于����,所述集中管理中心的路由器接收來自數(shù)據(jù) 中心通過GRE隧道發(fā)送的鏡像流量之前,還包括所述數(shù)據(jù)中心的交換機將鏡像源端口的流量復(fù)制到鏡像目的端口發(fā)送����; 所述數(shù)據(jù)中心的路由器接收所述數(shù)據(jù)中心的交換機發(fā)送的鏡像流量,通過所述GRE隧 道向所述集中管理中心的路由器發(fā)送鏡像流量����。
3. 如權(quán)利要求2所述的方法,其特征在于��,所述數(shù)據(jù)中心的路由器配置轉(zhuǎn)發(fā)表項的下 一跳路由缺省為所述GRE隧道的出接口�。
4. 如權(quán)利要求1所述的方法,其特征在于,所述集中管理中心的交換機通過VLAN接口 接收到鏡像流量后���,通過與所述監(jiān)控設(shè)備連接的VLAN接口將所述鏡像流量向所述監(jiān)控設(shè) 備發(fā)送包括所述集中管理中心的交換機通過VLAN接口接收到鏡像流量時�����,為所述鏡像流量加上 VLAN標(biāo)簽���;所述集中管理中心的交換機查找與所述VLAN標(biāo)簽對應(yīng)的另一 VLAN接口 ,在該VLAN接 口去掉所述VLAN標(biāo)簽后將鏡像流量向所述監(jiān)控設(shè)備發(fā)送��。
5. 如權(quán)利要求4所述的方法�����,其特征在于���,所述集中管理中心的交換機上配置多個 VLAN分別與每一數(shù)據(jù)中心的鏡像VLAN對應(yīng)。
6. —種遠程集中鏡像管理的方法�,應(yīng)用于包括集中管理中心與一個或多個數(shù)據(jù)中心的 系統(tǒng),其特征在于�,所述數(shù)據(jù)中心與集中管理中心之間分別通過廣域網(wǎng)進行連接,且通過通 用路由協(xié)議封裝GRE隧道進行遠程集中配置管理�����,所述集中管理中心包括路由器、交換機 與作為配置管理設(shè)備的服務(wù)器����,所述集中管理中心的交換機上為每一數(shù)據(jù)中心配置基于接 入控制列表ACL策略的配置管理VLAN,所述集中管理中心的路由器上配置與每一配置管理 VLAN對應(yīng)的VPN實例�,每一 VPN實例中轉(zhuǎn)發(fā)表項的下一跳路由缺省為GRE隧道出接口 ;所 述數(shù)據(jù)中心包括路由器����、交換機以及對數(shù)據(jù)中心進行管理的服務(wù)器,所述數(shù)據(jù)中心的路由 器上配置與GRE隧道接口綁定的VPN實例�,該VPN實例中轉(zhuǎn)發(fā)表項的下一跳路由缺省為所述數(shù)據(jù)中心的交換機;該方法進一步包括所述集中管理中心的交換機接收所述配置管理設(shè)備發(fā)送的配置管理數(shù)據(jù)流�,根據(jù)所述 配置管理數(shù)據(jù)流的目的地址段查找對應(yīng)的所述ACL策略,獲取對應(yīng)的配置管理VLAN����,通過 VLAN接口發(fā)送所述配置管理數(shù)據(jù)流;所述集中管理中心的路由器接收所述配置管理數(shù)據(jù)流�,根據(jù)所述配置管理數(shù)據(jù)流對應(yīng) 的配置管理VLAN獲取對應(yīng)的VPN實例,根據(jù)VPN實例中的下一跳路由通過與之綁定的GRE 隧道發(fā)送所述配置管理數(shù)據(jù)流����;所述數(shù)據(jù)中心的路由器接收所述配置管理數(shù)據(jù)流后���,查找與所述配置管理數(shù)據(jù)流的 GRE隧道入接口綁定的VPN實例,根據(jù)該VPN實例中的下一跳路由向所述數(shù)據(jù)中心的交換機 發(fā)送所述配置管理數(shù)據(jù)流�����;所述數(shù)據(jù)中心的交換機根據(jù)配置管理VLAN將所述配置管理數(shù)據(jù)流向?qū)?yīng)的設(shè)備發(fā)送�����。
7. 如權(quán)利要求6所述的方法����,其特征在于,所述根據(jù)所述配置管理數(shù)據(jù)流的目的地址 段查找對應(yīng)的所述ACL策略�����,獲取對應(yīng)的配置管理VLAN�����,通過VLAN接口發(fā)送所述配置管理 數(shù)據(jù)流包括所述集中管理中心的交換機在ACL中存儲目的地址段與配置管理VLAN的對應(yīng)關(guān)系�����,獲 取與所述配置管理數(shù)據(jù)流的目的地址段對應(yīng)的配置管理VLAN ;所述集中管理中心的交換機為所述配置管理數(shù)據(jù)流加上所述對應(yīng)的配置管理VLAN標(biāo) 簽�,通過與所述配置管理VLAN對應(yīng)的VLAN接口發(fā)送所述配置管理數(shù)據(jù)流。
8. 如權(quán)利要求6所述的方法���,其特征在于���,所述數(shù)據(jù)中心的交換機根據(jù)配置管理VLAN 將所述配置管理數(shù)據(jù)流向?qū)?yīng)的設(shè)備發(fā)送之前,還包括所述數(shù)據(jù)中心的交換機配置與配 置管理VLAN對應(yīng)的VLAN接口 �,通過該VALN接口接收所述數(shù)據(jù)中心的路由器發(fā)送的配置管 理數(shù)據(jù)流;所述數(shù)據(jù)中心的交換機根據(jù)配置管理VLAN將所述配置管理數(shù)據(jù)流向?qū)?yīng)的設(shè)備發(fā)送 包括當(dāng)所述數(shù)據(jù)中心的交換機通過所述配置管理VLAN對應(yīng)的VLAN接口接收到配置管理 數(shù)據(jù)流時��,所述數(shù)據(jù)中心的交換機為所述配置管理數(shù)據(jù)流加上配置管理VLAN標(biāo)簽����,在配置 管理VLAN內(nèi)向?qū)?yīng)的設(shè)備發(fā)送所述配置管理數(shù)據(jù)流。
9. 一種遠程集中鏡像管理的系統(tǒng)�,應(yīng)用于包括集中管理中心與一個或多個數(shù)據(jù)中心的 系統(tǒng),其特征在于����,所述數(shù)據(jù)中心與集中管理中心之間分別通過廣域網(wǎng)連接,并通過通用路 由協(xié)議封裝GRE隧道進行鏡像流量的傳輸�,所述數(shù)據(jù)中心包括服務(wù)器、數(shù)據(jù)交換機與數(shù)據(jù) 路由器���,數(shù)據(jù)交換機上配置鏡像源端口與鏡像目的端口 �,鏡像目的端口連接數(shù)據(jù)路由器,在 數(shù)據(jù)路由器上配置與所述集中管理中心連接的GRE隧道�;所述集中管理中心包括路由器、 交換機與作為監(jiān)控設(shè)備的服務(wù)器�,所述集中管理中心的路由器配置分別與每一GRE隧道綁 定的多個虛擬專用網(wǎng)VPN實例,每一 VPN實例的轉(zhuǎn)發(fā)表項下一跳路由缺省為與該路由器相 連接的交換機上的虛擬局域網(wǎng)VLAN接口 �;所述集中管理中心的交換機上每一 VLAN僅包括 與所述集中管理中心的路由器連接的VLAN接口和與所述監(jiān)控設(shè)備連接的VLAN接口 ;其中所述集中管理中心的路由器�����,用于接收來自數(shù)據(jù)中心通過GRE隧道發(fā)送的鏡像流量�, 并在與所述GRE隧道對應(yīng)的VPN實例中查找下一跳路由,將鏡像流量向所述集中管理中心 的交換機上對應(yīng)的VLAN接口發(fā)送��;所述集中管理中心的交換機�����,用于通過VLAN接口接收到鏡像流量后�,通過與所述監(jiān)控 設(shè)備連接的VLAN接口將所述鏡像流量向所述監(jiān)控設(shè)備發(fā)送��。
10. 如權(quán)利要求9所述的系統(tǒng)�����,其特征在于,所述數(shù)據(jù)中心的交換機�����,用于將鏡像源端口的流量復(fù)制到鏡像目的端口發(fā)送�����; 所述數(shù)據(jù)中心的路由器�����,用于接收所述數(shù)據(jù)中心的交換機發(fā)送的鏡像流量�,通過所述 GRE隧道向所述集中管理中心的路由器發(fā)送鏡像流量。
11. 如權(quán)利要求9所述的系統(tǒng)��,其特征在于�,所述數(shù)據(jù)中心的路由器配置轉(zhuǎn)發(fā)表項中的 下一跳路由缺省為所述GRE隧道的出接口 。
12. 如權(quán)利要求9所述的系統(tǒng)�����,其特征在于��,所述集中管理中心的交換機還用于 通過VLAN接口接收到鏡像流量時,為所述鏡像流量加上VLAN標(biāo)簽��;查找與所述VLAN標(biāo)簽對應(yīng)的另一 VLAN接口 ��,在該VLAN接口去掉所述VLAN標(biāo)簽后將 鏡像流量向所述監(jiān)控設(shè)備發(fā)送�����。
13. 如權(quán)利要求12所述的系統(tǒng)�����,其特征在于�,所述集中管理中心的交換機上配置多個 VLAN分別與每一數(shù)據(jù)中心的鏡像VLAN對應(yīng)。
14. 一種遠程集中鏡像管理的系統(tǒng)�����,應(yīng)用于包括集中管理中心與一個或多個數(shù)據(jù)中心 的系統(tǒng)��,其特征在于��,所述數(shù)據(jù)中心與集中管理中心之間分別通過廣域網(wǎng)進行連接���,且通過 通用路由協(xié)議封裝GRE隧道進行遠程集中配置管理��,所述集中管理中心包括路由器��、交換 機與作為配置管理設(shè)備的服務(wù)器�,所述集中管理中心的交換機上為每一數(shù)據(jù)中心配置基于 接入控制列表ACL策略的配置管理VLAN��,所述集中管理中心的路由器上配置與每一配置管 理VLAN對應(yīng)的VPN實例�����,每一 VPN實例的轉(zhuǎn)發(fā)表項的下一跳路由缺省為GRE隧道出接口 ���; 所述數(shù)據(jù)中心包括路由器�����、交換機以及對數(shù)據(jù)中心進行管理的服務(wù)器����,所述數(shù)據(jù)中心的路 由器上配置與GRE隧道接口綁定的VPN實例���,該VPN實例中轉(zhuǎn)發(fā)表項的下一跳路由缺省為 所述數(shù)據(jù)中心的交換機����;其中所述集中管理中心的交換機,用于接收所述配置管理設(shè)備發(fā)送的配置管理數(shù)據(jù)流�����, 根據(jù)所述配置管理數(shù)據(jù)流的目的地址段查找對應(yīng)的所述ACL策略����,獲取對應(yīng)的配置管理 VLAN,通過VLAN接口發(fā)送所述配置管理數(shù)據(jù)流�����;所述集中管理中心的路由器��,用于接收所述配置管理數(shù)據(jù)流�����,根據(jù)所述配置管理數(shù)據(jù) 流對應(yīng)的配置管理VLAN獲取對應(yīng)的VPN實例����,根據(jù)VPN實例中的下一跳路由通過與之綁定 的GRE隧道發(fā)送所述配置管理數(shù)據(jù)流;所述數(shù)據(jù)中心的路由器��,用于接收所述配置管理數(shù)據(jù)流后,查找與所述配置管理數(shù)據(jù) 流的GRE隧道入接口綁定的VPN實例���,根據(jù)該VPN實例中的下一跳路由向所述數(shù)據(jù)中心的 交換機發(fā)送所述配置管理數(shù)據(jù)流;所述數(shù)據(jù)中心的交換機����,用于根據(jù)配置管理VLAN將所述配置管理數(shù)據(jù)流向?qū)?yīng)的設(shè) 備發(fā)送。
15. 如權(quán)利要求14所述的系統(tǒng)���,其特征在于�,所述集中管理中心的交換機還用于在ACL中存儲目的地址段與配置管理VLAN的對應(yīng)關(guān)系�,獲取與所述配置管理數(shù)據(jù)流的 目的地址段對應(yīng)的配置管理VLAN ;為所述配置管理數(shù)據(jù)流加上所述對應(yīng)的配置管理VLAN標(biāo)簽,通過與所述配置管理 VLAN對應(yīng)的VLAN接口發(fā)送所述配置管理數(shù)據(jù)流����。
16.如權(quán)利要求14所述的系統(tǒng),其特征在于�����,所述數(shù)據(jù)中心的交換機還用于配置與所述配置管理VLAN對應(yīng)的VLAN接口 ��,通過該VALN接口接收所述數(shù)據(jù)中心的路 由器發(fā)送的配置管理數(shù)據(jù)流��;當(dāng)通過所述配置管理VLAN對應(yīng)的VLAN接口接收到配置管理數(shù)據(jù)流時,為所述配置管 理數(shù)據(jù)流加上配置管理VLAN標(biāo)簽���,在配置管理VLAN內(nèi)向?qū)?yīng)的設(shè)備發(fā)送所述配置管理數(shù) 據(jù)流�����。
全文摘要
本發(fā)明公開了一種遠程集中鏡像管理的方法和系統(tǒng)�����,應(yīng)用于包括集中管理中心與一個或多個數(shù)據(jù)中心的系統(tǒng)�,該方法包括集中管理中心的路由器接收來自數(shù)據(jù)中心通過GRE隧道發(fā)送的鏡像流量�,并在與所述GRE隧道對應(yīng)的VPN實例中查找下一跳路由,將鏡像流量向集中管理中心的交換機上對應(yīng)的VLAN接口發(fā)送�;所述集中管理中心的交換機通過VLAN接口接收到鏡像流量后,通過與所述監(jiān)控設(shè)備連接的VLAN接口將所述鏡像流量向所述監(jiān)控設(shè)備發(fā)送�����。本發(fā)明實現(xiàn)了遠程端口鏡像監(jiān)控和管理的三層網(wǎng)絡(luò)實現(xiàn)��。
文檔編號H04L29/08GK101764752SQ20091026015
公開日2010年6月30日 申請日期2009年12月25日 優(yōu)先權(quán)日2009年12月25日
發(fā)明者李蔚 申請人:杭州華三通信技術(shù)有限公司