ACL在鏡像端的應(yīng)用

隨著互聯(lián)網(wǎng)業(yè)務(wù)的不斷發(fā)展，用戶數(shù)量的不斷攀升，很多情況下網(wǎng)絡(luò)管理員需要對進出網(wǎng)絡(luò)的數(shù)據(jù)報文進行監(jiān)視，而且企業(yè)出于對信息安全的需要，也迫切需要網(wǎng)絡(luò)中有一個端口能提供這種監(jiān)控功能。在設(shè)備上使用鏡像功能，就可以很好的對網(wǎng)絡(luò)內(nèi)部的數(shù)據(jù)進行監(jiān)控管理，特別是在網(wǎng)絡(luò)排錯的時候，可以做到很好的故障定位。

如果監(jiān)聽網(wǎng)絡(luò)中所有流量會有相當(dāng)大的困難，因此需要通過配置交換機或者路由器來把一個或多個端口的數(shù)據(jù)轉(zhuǎn)發(fā)到某個端口從而實現(xiàn)對網(wǎng)絡(luò)的監(jiān)聽。這就是鏡像的概念，我們可以理解成把源端口的部分或者全部流量拷貝到另外一個指定的目的端口，在不嚴(yán)重影響源端口正常吞吐留流量的情況下，通過鏡像端口對流量進行監(jiān)控分析，特別是在網(wǎng)絡(luò)排錯的時候，使用鏡像端口這一功能比較多，上面我們提到可以把源端口的部分或者全部流量拷貝到目的端口，從而實現(xiàn)對端口數(shù)據(jù)的監(jiān)聽，那么這里的部分流量將如何實現(xiàn)呢?下面就結(jié)合一個服務(wù)器的部署來具體介紹一下ACL在鏡像端口中的應(yīng)用。

近日，為了提高用戶的上網(wǎng)體驗，我們已經(jīng)在網(wǎng)內(nèi)部署了緩存服務(wù)器，用來存儲用戶經(jīng)常訪問的網(wǎng)頁和視頻資源等。基于它的工作原理就需要對互聯(lián)網(wǎng)流量進行監(jiān)聽，從而分析那些訪問流量是用戶經(jīng)常使用的，從而把相應(yīng)的資源下載下來，這樣一來可以提高用戶的上網(wǎng)體驗，二來可以有效節(jié)省互聯(lián)網(wǎng)出口帶寬。但是由于設(shè)備的硬件的限制，服務(wù)器和路由器使用千兆端口連接，這樣就會出現(xiàn)鏡像端口流量比較大的情況發(fā)生，這樣就勢必會增加鏈路的擁堵，還不利于緩存服務(wù)器對數(shù)據(jù)報文的高效抓取和分析。為了解決這一問題，我們決定對路由器出站方向的流量進行有選擇性的鏡像，從而降低緩存服務(wù)器的工作壓力，這樣也有助于提高緩存服務(wù)器對用戶行為的高效分析和定位，既然要有選擇的對流量進行鏡像，那么需要對什么流量進行鏡像呢?根據(jù)緩存服務(wù)器的工作原理，它只需要對用戶的HTTP和DNS流量進行分析，那么我們可以對上述兩個流量的進行允許，將其他流量拒絕即可，說到這里我們很自然的就想到使用ACL來定義流量，既然要對HTTP和DNS流量進行鏡像，那么我們知道HTTP的端口號是80，而且是基于TCP協(xié)議的。DNS的端口是53，是基于TCP和UDP的。這樣我們決定對路由器出站方向訪問80和53端口的流量進行鏡像，具體的配置命令如下所示：

上面我們先定義了一個ACL，然后在規(guī)則條目中分別定義了允許目的訪問53和80端口的流量通過，其他的流量拒絕的動作，這個訪問控制列表就可以將流量進行有選擇性的過濾，既然ACL已經(jīng)配置完畢，接下來就要將它進行應(yīng)用，接下來我們將配置鏡像端口，并將ACL進行應(yīng)用。

剛才我們創(chuàng)建了鏡像會話組然后將ACL應(yīng)用到目的端口上，然后又定義了源端口和鏡像出站方向的流量，最終完成了數(shù)據(jù)業(yè)務(wù)的配置。完成配置后我們查看了目的鏡像端口的流量得到明顯降低，端口利用率由原來的60%降低到2%，這樣就會大大緩解服務(wù)器的處理壓力，也有效地提高了服務(wù)器對數(shù)據(jù)報文的高效抓取和定位。完成這些操作后我們在服務(wù)器上可以看到只有目的訪問80和53端口的數(shù)據(jù)出現(xiàn)，而沒有出現(xiàn)其他的流量，這就說明我們的配置方法是正確的，同時也滿足了服務(wù)器的需求。

總體上說我們?yōu)榱藴p輕鏡像端口的帶寬壓力，同時為了提高緩存服務(wù)器工作效率，并為了提高服務(wù)器對用戶流量抓取的命中率，我們通過設(shè)置ACL，并在ACL中定義指定流量，最后在鏡像會話組中應(yīng)用了該ACL，從而實現(xiàn)了只有匹配ACL中的流量才可以鏡像到目的端口上，其他的流量是不被鏡像的。通過這些操作我們認為作為網(wǎng)絡(luò)運維人員，當(dāng)?shù)弥彺娣?wù)器的需求后，經(jīng)過仔細分析需求然后結(jié)合自我的理論知識，聯(lián)想到定義流量需要使用ACL，最終將ACL應(yīng)用到鏡像端口上從而滿足了網(wǎng)絡(luò)的需求，達到了設(shè)備的高效運行的目的，也為進一步提高用戶的上網(wǎng)體驗打下了良好的基礎(chǔ)。