交換機(jī)鏡像端口處理

■佛山 伍初亮

筆者工作的單位網(wǎng)絡(luò)主要包括兩大區(qū)域，辦公網(wǎng)絡(luò)區(qū)域、服務(wù)器系統(tǒng)區(qū)域。在辦公網(wǎng)區(qū)域部署了上網(wǎng)日志記錄設(shè)備、上網(wǎng)行為管理設(shè)備，對用戶訪問互聯(lián)網(wǎng)進(jìn)行管理并做訪問日志記錄。服務(wù)器系統(tǒng)區(qū)域部署了入侵檢測設(shè)備IDS，對網(wǎng)絡(luò)情況進(jìn)行實(shí)時監(jiān)控。上網(wǎng)日志記錄、上網(wǎng)行為管理、入侵檢測設(shè)備都使用旁路方式部署。服務(wù)器區(qū)域使用的是H3C S7500系列的核心交換機(jī)，該系列的交換機(jī)支持一對一的鏡像組，也支持多對一的鏡像組。所謂的鏡像組包含源端口和目的端口，服務(wù)器區(qū)域要對交換機(jī)到防火墻的流量進(jìn)行分析，源端口就是G3/0/1。將流量復(fù)制到G3/0/24端口連接入侵檢測設(shè)備，該端口叫做目的端口。但是同一個鏡像組目的端口只有一個，多個目的端口是不支持的。H3C鏡像組的簡要配置命令如下：

1、創(chuàng)建本地鏡像組；

mirroring-group 1 local

2、為本地鏡像組配置源端口；

mirroring-group 1 mirroring-port GigabitEthe rnet 3/0/1 both

(both的意思是對該端口的流入、流出的流量都進(jìn)行復(fù)制）

3、為本地鏡像組配置目的 端 口；mirroring-group 1 monitor-port GigabitEthernet 3/0/24

這樣簡單的三步就完成了交換機(jī)的鏡像端口配置，再配合入侵檢測、數(shù)據(jù)分析軟件等設(shè)備就可以對交換機(jī)到防火墻的流量進(jìn)行分析監(jiān)控。需要注意的地方首先是端口速率的問題，不能將大速率的端口鏡像到小速率的端口，舉例子如果將千兆帶寬的端口鏡像到百兆帶寬的端口必然會導(dǎo)致端口流量擁堵，大部分?jǐn)?shù)據(jù)包會被丟棄。其次采用多對一的鏡像方式必須注意源端口的數(shù)量，同樣是端口速率的問題，源端口的流量會進(jìn)行累加復(fù)制到目的端口，當(dāng)超出該端口的最大速率時，超出部分?jǐn)?shù)據(jù)包將會被丟棄。

辦公網(wǎng)絡(luò)區(qū)域使用的核心交換機(jī)是銳捷的S8600系列，該系列的交換機(jī)支持多對一的鏡像組，一對多的鏡像組。這里和大家重點(diǎn)分析一下一對多的鏡像組的應(yīng)用。實(shí)際應(yīng)用中非常有用的一個功能，如果在辦公網(wǎng)區(qū)域只部署上網(wǎng)日志記錄服務(wù)器。和之前所述的類似，只需要將上聯(lián)端口的流量鏡像就可以。簡要配置如下所示：

1、指定鏡像組的源端口，指定需要捕捉流量的方向；

2、指定鏡像組的目的端口；

現(xiàn)在需要在此網(wǎng)絡(luò)架構(gòu)上面添加多一臺上網(wǎng)行為管理設(shè)備，同樣是采用旁路部署。連接交換機(jī)的是0/23端口，跟據(jù)我們之前分析需要將0/3端口的流量鏡像到0/23，0/24端口。如果是不支持一對多鏡像模式的設(shè)備這種需求是無法解決的，因為同一個源端口只能進(jìn)入一個鏡像組，創(chuàng)建多個鏡像組的方式顯然無法解決問題。這種需求只能采用一對多的鏡像模式。簡要配置如下；

1、在交換機(jī)上配置vlan(Remote VLAN)

2、在交換機(jī)上面配置源設(shè)備，指定鏡像組源接口；

3、指定自環(huán)口g0/9為鏡像的目的端口；

4、將服務(wù)器的端口加入到鏡像組VLA

總結(jié)

需要注意的地方是一對多的鏡像組配置，引入了一個VLAN用來做鏡像使用，另外自環(huán)口在端口不接任何線纜的情況下，指示燈也會亮，這不是設(shè)備出現(xiàn)故障而是自環(huán)口正常工作，配置完成后需要清下自環(huán)口的MAC地址表。上面所述鏡像組的應(yīng)用，源端口和目的端口都在同一臺設(shè)備上面，實(shí)際工程中還有一些是跨多臺中間設(shè)備進(jìn)行傳輸?shù)溺R像方式稱之為遠(yuǎn)程鏡像。不管哪種方式原理都是類似，將一個端口的數(shù)據(jù)包復(fù)制到另外一個端口再加以VLAN傳輸，配合分析軟件進(jìn)行分析監(jiān)控。