■佛山 伍初亮

笔者工作的单位网络主要包括两大区域，办公网络区域、服务器系统区域。在办公网区域部署了上网日志记录设备、上网行为管理设备，对用户访问互联网进行管理并做访问日志记录。服务器系统区域部署了入侵检测设备IDS，对网络情况进行实时监控。上网日志记录、上网行为管理、入侵检测设备都使用旁路方式部署。服务器区域使用的是H3C S7500系列的核心交换机，该系列的交换机支持一对一的镜像组，也支持多对一的镜像组。所谓的镜像组包含源端口和目的端口，服务器区域要对交换机到防火墙的流量进行分析，源端口就是G3/0/1。将流量复制到G3/0/24端口连接入侵检测设备，该端口叫做目的端口。但是同一个镜像组目的端口只有一个，多个目的端口是不支持的。H3C镜像组的简要配置命令如下：

1、创建本地镜像组；

mirroring-group 1 local

2、为本地镜像组配置源端口；

mirroring-group 1 mirroring-port GigabitEthe rnet 3/0/1 both

(both的意思是对该端口的流入、流出的流量都进行复制）

3、为本地镜像组配置目的 端 口；mirroring-group 1 monitor-port GigabitEthernet 3/0/24

这样简单的三步就完成了交换机的镜像端口配置，再配合入侵检测、数据分析软件等设备就可以对交换机到防火墙的流量进行分析监控。需要注意的地方首先是端口速率的问题，不能将大速率的端口镜像到小速率的端口，举例子如果将千兆带宽的端口镜像到百兆带宽的端口必然会导致端口流量拥堵，大部分数据包会被丢弃。其次采用多对一的镜像方式必须注意源端口的数量，同样是端口速率的问题，源端口的流量会进行累加复制到目的端口，当超出该端口的最大速率时，超出部分数据包将会被丢弃。

办公网络区域使用的核心交换机是锐捷的S8600系列，该系列的交换机支持多对一的镜像组，一对多的镜像组。这里和大家重点分析一下一对多的镜像组的应用。实际应用中非常有用的一个功能，如果在办公网区域只部署上网日志记录服务器。和之前所述的类似，只需要将上联端口的流量镜像就可以。简要配置如下所示：

1、指定镜像组的源端口，指定需要捕捉流量的方向；

2、指定镜像组的目的端口；

现在需要在此网络架构上面添加多一台上网行为管理设备，同样是采用旁路部署。连接交换机的是0/23端口，跟据我们之前分析需要将0/3端口的流量镜像到0/23，0/24端口。如果是不支持一对多镜像模式的设备这种需求是无法解决的，因为同一个源端口只能进入一个镜像组，创建多个镜像组的方式显然无法解决问题。这种需求只能采用一对多的镜像模式。简要配置如下；

1、在交换机上配置vlan(Remote VLAN)

2、在交换机上面配置源设备，指定镜像组源接口；

3、指定自环口g0/9为镜像的目的端口；

4、将服务器的端口加入到镜像组VLA

总结

需要注意的地方是一对多的镜像组配置，引入了一个VLAN用来做镜像使用，另外自环口在端口不接任何线缆的情况下，指示灯也会亮，这不是设备出现故障而是自环口正常工作，配置完成后需要清下自环口的MAC地址表。上面所述镜像组的应用，源端口和目的端口都在同一台设备上面，实际工程中还有一些是跨多台中间设备进行传输的镜像方式称之为远程镜像。不管哪种方式原理都是类似，将一个端口的数据包复制到另外一个端口再加以VLAN传输，配合分析软件进行分析监控。