Linux Bridge的镜像端口实现-阿里云开发者社区

开发者社区> 开发与运维> 正文

Linux Bridge的镜像端口实现

简介:
很多种交换机上都可以配置镜像端口,也就是说所有的流量都要顺便发一份到镜像端口,一般都是在镜像端口上接一个主机,上面开启抓包或者审计程序,保证时刻监控网络流量。镜像端口解决了学习型交换机无法抓包的问题。
    Linux实现了一个软件版本的Bridge,也正是一个交换机,只是可能端口少些,通过brctl  setageingtime <brname> <time>将time设置成0也可以使该软交换机退化成一个Hub。然而我没有在brctl的man手册中找到如何来配置镜像端口的任何信息,于是自己实现了一个。我的实现目前只测试了支持一个镜像端口的情形,当然很容易扩展成支持任意多个。总的来讲,对代码的修改有两处:
0.对基础数据结构的修改
net_bridge_port结构体中增加一个flag,设为M,表示该端口为镜像端口;
1.br_add_if函数增加一个参数
该新增参数表示是否为镜像端口,若是,则设置新增net_bridge_port的M标志
2.修改br_handle_frame_finish函数
此处修改最为关键,主要有下面的逻辑:
... if (skb) {     if (dst) {         if (!dst->dst->flags & M) {             struct net_bridge_port *p;             list_for_each_entry(p, &br->port_list, list) {                 if (p->flags & M) {                     struct sk_buff *skb3 = skb_clone(skb, GFP_ATOMIC);                     br_forward(dst->dst, skb3);                 }             }             }         br_forward(dst->dst, skb);     } else         br_flood_forward(br, skb); } ...

以上0,1,2基本就可以实现镜像端口了,方便了网络抓包和网络调试。对于用户态的brctl也需要修改,很简单,只需要能在addif时传入一个M标志即可以。



 本文转自 dog250 51CTO博客,原文链接:http://blog.51cto.com/dog250/1268986

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

分享:
开发与运维
使用钉钉扫一扫加入圈子
+ 订阅

集结各类场景实战经验,助你开发运维畅行无忧

其他文章