一种通过Internet远程镜像网络数据包的方法技术

本发明专利技术涉及一种通过Internet远程镜像网络数据包的方法，包括：至少一个TAP设备，所述TAP设备架设在目标网络的出口；每个所述TAP设备均可访问Internet，并通过Internet与网络还原设备交互；所述网络还原设备均通过出口线路与网络分析平台交互，本发明专利技术通过Internet镜像多个远程网络上网数据包，减少网络分析平台的部署数量，使网络分析平台可以集中部署，可以对多个远程网络的上网数据关联分析。对多个远程网络的上网数据关联分析。对多个远程网络的上网数据关联分析。

【技术实现步骤摘要】
一种通过Internet远程镜像网络数据包的方法


[0001]本专利技术涉及通讯
，具体为一种通过Internet远程镜像网络数据包的方法。

技术介绍

[0002]随着互联网的普及，上网的信息量越大越大，因此各种网络安全，网络流量分析，网络审计等平台(以下统称为网络分析平台)被大规模部署应用。这些平台实现的必不可少的一个手段就是对网络数据包捕获，捕获网络数据包的通用方法就是对网络数据镜像。
[0003]传统镜像数据包设备都是在网络本地部署，网络分析平台与网络镜像设备连接也是在部署在本地。如果网络比较分散，网络分析平台部署数量也会随之增加，另外每个网络分析平台的数据都是比较独立的,很难做到关联分析，以致于网络分析的数据准确度不高。
[0004]如图2为典型的网络分析平台部署拓朴，每个网络的出口(出口交换机/路由器与Internet之间)一台网络镜像设备，该设备主要用于捕获网络上的上网数据包然后输出到网络分析平台进行处理。

技术实现思路

[0005]本专利技术的目的在于提供一种通过Internet远程镜像网络数据包的方法，以解决上述
技术介绍
中提出的问题。
[0006]为实现上述目的，本专利技术提供如下技术方案：一种通过Internet远程镜像网络数据包的方法，包括：至少一个TAP设备，所述TAP设备架设在目标网络的出口；每个所述TAP设备均可访问Internet，并通过Internet与网络还原设备交互；所述网络还原设备均通过出口线路与网络分析平台交互。
[0007]可选地，每个所述TAP设备将捕获数据包封装成特定格式的数据包并传输到远程的网络还原设备。
[0008]可选地，所述网络还原设备将所述TAP发送来的特定格式数据包解码还原成用户原始数据包，并发送到网络分析平台。
[0009]可选地，所述TAP设备包括网络接口1，网络接口2，bypass和网络数据包处理器；所述网络接口1与bypass所述交互，所述bypass与所述网络接口2交互，所述网络数据包处理器与所述bypass交互。
[0010]可选地，所述网络接口1连接网络侧，用于接收网络侧发往internet侧的数据包；用于发送Internet侧发往网络侧的数据包。
[0011]可选地，所述网络接口2连接internet侧，用于接收Internet侧发往网络侧的数据包；用于发送网络侧发往internet侧的数据包。
[0012]可选地，所述TAP设备正常工作时，所述Bypass将网络接口1和网络接口2连接到网络数据包处理器，断电时，所述Bypass将网络接口1和网络接口2连通。
[0013]可选地，所述网络数据包处理器转发网络接口1和网络接口2的原始数据包，并对
该数据包进行处理。
[0014]可选地，所述网络数据包处理器从网络接口1收到数据包，提取数据包中的源MAC地址、目地MAC地址、源IP地址信息，将所述源MAC地址、目地MAC地址、源IP地址信息构建一个新的IP/UDP数据包；其中源MAC地址使用原始数据包的源MAC地址，目的MAC地址使用原始数据包的目的MAC地址，源IP地址使用原始数据包的源IP地址，目的IP使用指定的网络还原设备的IP地址，UDP目的端口使用指定的网络还源设备监听的端口,并将原始数据包封装在UDP的净荷中，并通过网络接口2发送到远端的网络还原设备。
[0015]可选地，所述网络数据包处理器从网络接口2收到数据包，提取数据包中的源MAC地址、目地MAC地址、目的IP地址信息，将源MAC址、目地MAC地址、目的IP地址信息构建一个新的IP/UDP数据包；其中源MAC地址使用原始数据包的目的MAC地址，新目的MAC地址使用源始数据包的源MAC地址，源IP地址使用原始数据包的目的IP地址，目的IP使用指定的网络还原设备的IP地址，UDP目的端口使用指定的网络还源设备监听的端口,并将原始数据包封装在UDP的净荷中，并通过网接口2发送到远端的网络还原设备。
[0016]与现有技术相比，本专利技术的有益效果是：
[0017]该专利技术可以通过Internet镜像多个远程网络上网数据包，减少网络分析平台的部署数量，使网络分析平台可以集中部署，可以对多个远程网络上网数据关联分析。
附图说明
[0018]图1为本专利技术的控制方法流程图；
[0019]图2为本专利技术现有技术的控制方法流程图；
[0020]图3为本专利技术TAP设备的控制方法流程图；
[0021]图4为本专利技术原始数据包与新数据包格式对比图。
具体实施方式
[0022]为更进一步阐述本专利技术为实现预定专利技术目的所采取的技术手段及功效，以下结合附图及较佳实施例，对依据本专利技术的具体实施方式、结构、特征及其功效，详细说明如后。
[0023]如图1、3和4所示，一种通过Internet远程镜像网络数据包的方法，包括：至少一个TAP设备，所述TAP设备架设在目标网络的出口；每个所述TAP设备均可访问Internet，并通过Internet与网络还原设备交互；所述网络还原设备均通过通过出口线路与网络分析平台交互。
[0024]每个所述TAP设备将捕获数据包封装成特定格式的数据包并传输到远程的网络还原设备。
[0025]所述网络还原设备将所述TAP发送来的特定格式数据包解码还原成用户原始数据包，并发送到网络分析平台。
[0026]所述TAP设备包括网络接口1，网络接口2，bypass和网络数据包处理器；所述网络接口1与bypass所述交互，所述bypass与所述网络接口2交互，所述网络数据包处理器与所述bypass交互。
[0027]所述网络接口1连接网络侧(图2中的TAP设备连接的出口交换机/路由器的一侧)，以下称网络侧，用于接收网络侧发往internet侧(图2中TAP设备连接的Internet一侧，以下
称为internet侧)的数据包；用于发送Internet侧发往网络侧的数据包。
[0028]所述网络接口2连接internet侧，用于接收Internet侧发往网络侧的数据包；用于发送网络侧发往internet侧的数据包。
[0029]所述TAP设备正常工作时，所述Bypass将网络接口1和网络接口2连接到网络数据包处理器，断电时，所述Bypass将网络接口1和网络接口2连通。
[0030]所述网络数据包处理器转发网络接口1和网络接口2的原始数据包，除了转发之外(收到网络接口1的数据包通过网络接口2发送出去，收到网络接口2的数据包通过网络接口1发送出去)，还将复一份，并对该数据包进行处理。
[0031]所述网络数据包处理器从网络接口1收到数据包，提取数据包中的源MAC地址、目地MAC地址、源IP地址信息，将所述源MAC地址、目地MAC地址、源IP地址信息构建一个新的IP/UDP数据包；其中源MAC地址使用原始数据包的源MAC地址，目的MAC地址使用原始数据包的目的MAC地址，源IP地址使用原本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种通过Internet远程镜像网络数据包的方法，其特征在于，包括：至少一个TAP设备，所述TAP设备架设在目标网络的出口；每个所述TAP设备均可访问Internet，并通过Internet与网络还原设备交互；所述网络还原设备均通过出口线路与网络分析平台交互。2.根据权利要求1所述的一种通过Internet远程镜像网络数据包的方法，其特征在于，每个所述TAP设备将捕获数据包封装成特定格式的数据包并传输到远程的网络还原设备。3.根据权利要求2所述的一种通过Internet远程镜像网络数据包的方法，其特征在于，所述网络还原设备将所述TAP发送来的特定格式数据包解码还原成用户原始数据包，并发送到网络分析平台。4.根据权利要求3所述的一种通过Internet远程镜像网络数据包的方法，其特征在于，所述TAP设备包括网络接口1，网络接口2，bypass和网络数据包处理器；所述网络接口1与bypass所述交互，所述bypass与所述网络接口2交互，所述网络数据包处理器与所述bypass交互。5.根据权利要求4所述的一种通过Internet远程镜像网络数据包的方法，其特征在于，所述网络接口1连接网络侧，用于接收网络侧发往internet侧的数据包；用于发送Internet侧发往网络侧的数据包。6.根据权利要求5所述的一种通过Internet远程镜像网络数据包的方法，其特征在于，所述网络接口2连接internet侧，用于接收Internet侧发往网络侧的数据包；用于发送网络侧发往internet侧的数据包。7.根据权利要求6所述的一种通过Internet远程镜像网络数据包的方法，其特征在于，所述TAP设备正常工作时，所述Bypas...

【专利技术属性】
技术研发人员：潘圆，吴志远，谢虎，李琳，
申请(专利权)人：上海欣诺通信技术股份有限公司，
类型：发明
国别省市：