交換機鏡像端口處理

■佛山 伍初亮

筆者工作的單位網絡主要包括兩大區域，辦公網絡區域、服務器系統區域。在辦公網區域部署了上網日志記錄設備、上網行為管理設備，對用戶訪問互聯網進行管理并做訪問日志記錄。服務器系統區域部署了入侵檢測設備IDS，對網絡情況進行實時監控。上網日志記錄、上網行為管理、入侵檢測設備都使用旁路方式部署。服務器區域使用的是H3C S7500系列的核心交換機，該系列的交換機支持一對一的鏡像組，也支持多對一的鏡像組。所謂的鏡像組包含源端口和目的端口，服務器區域要對交換機到防火墻的流量進行分析，源端口就是G3/0/1。將流量復制到G3/0/24端口連接入侵檢測設備，該端口叫做目的端口。但是同一個鏡像組目的端口只有一個，多個目的端口是不支持的。H3C鏡像組的簡要配置命令如下：

1、創建本地鏡像組；

mirroring-group 1 local

2、為本地鏡像組配置源端口；

mirroring-group 1 mirroring-port GigabitEthe rnet 3/0/1 both

(both的意思是對該端口的流入、流出的流量都進行復制）

3、為本地鏡像組配置目的 端 口；mirroring-group 1 monitor-port GigabitEthernet 3/0/24

這樣簡單的三步就完成了交換機的鏡像端口配置，再配合入侵檢測、數據分析軟件等設備就可以對交換機到防火墻的流量進行分析監控。需要注意的地方首先是端口速率的問題，不能將大速率的端口鏡像到小速率的端口，舉例子如果將千兆帶寬的端口鏡像到百兆帶寬的端口必然會導致端口流量擁堵，大部分數據包會被丟棄。其次采用多對一的鏡像方式必須注意源端口的數量，同樣是端口速率的問題，源端口的流量會進行累加復制到目的端口，當超出該端口的最大速率時，超出部分數據包將會被丟棄。

辦公網絡區域使用的核心交換機是銳捷的S8600系列，該系列的交換機支持多對一的鏡像組，一對多的鏡像組。這里和大家重點分析一下一對多的鏡像組的應用。實際應用中非常有用的一個功能，如果在辦公網區域只部署上網日志記錄服務器。和之前所述的類似，只需要將上聯端口的流量鏡像就可以。簡要配置如下所示：

1、指定鏡像組的源端口，指定需要捕捉流量的方向；

2、指定鏡像組的目的端口；

現在需要在此網絡架構上面添加多一臺上網行為管理設備，同樣是采用旁路部署。連接交換機的是0/23端口，跟據我們之前分析需要將0/3端口的流量鏡像到0/23，0/24端口。如果是不支持一對多鏡像模式的設備這種需求是無法解決的，因為同一個源端口只能進入一個鏡像組，創建多個鏡像組的方式顯然無法解決問題。這種需求只能采用一對多的鏡像模式。簡要配置如下；

1、在交換機上配置vlan(Remote VLAN)

2、在交換機上面配置源設備，指定鏡像組源接口；

3、指定自環口g0/9為鏡像的目的端口；

4、將服務器的端口加入到鏡像組VLA

總結

需要注意的地方是一對多的鏡像組配置，引入了一個VLAN用來做鏡像使用，另外自環口在端口不接任何線纜的情況下，指示燈也會亮，這不是設備出現故障而是自環口正常工作，配置完成后需要清下自環口的MAC地址表。上面所述鏡像組的應用，源端口和目的端口都在同一臺設備上面，實際工程中還有一些是跨多臺中間設備進行傳輸的鏡像方式稱之為遠程鏡像。不管哪種方式原理都是類似，將一個端口的數據包復制到另外一個端口再加以VLAN傳輸，配合分析軟件進行分析監控。