很多种交换机上都可以配置镜像端口,也就是说所有的流量都要顺便发一份到镜像端口,一般都是在镜像端口上接一个主机,上面开启抓包或者审计程序,保证时刻监控网络流量。镜像端口解决了学习型交换机无法抓包的问题。
Linux实现了一个软件版本的Bridge,也正是一个交换机,只是可能端口少些,通过brctl setageingtime <brname> <time>将time设置成0也可以使该软交换机退化成一个Hub。然而我没有在brctl的man手册中找到如何来配置镜像端口的任何信息,于是自己实现了一个。我的实现目前只测试了支持一个镜像端口的情形,当然很容易扩展成支持任意多个。总的来讲,对代码的修改有两处:
0.对基础数据结构的修改
net_bridge_port结构体中增加一个flag,设为M,表示该端口为镜像端口;
1.br_add_if函数增加一个参数
该新增参数表示是否为镜像端口,若是,则设置新增net_bridge_port的M标志
2.修改br_handle_frame_finish函数
此处修改最为关键,主要有下面的逻辑:
Linux实现了一个软件版本的Bridge,也正是一个交换机,只是可能端口少些,通过brctl setageingtime <brname> <time>将time设置成0也可以使该软交换机退化成一个Hub。然而我没有在brctl的man手册中找到如何来配置镜像端口的任何信息,于是自己实现了一个。我的实现目前只测试了支持一个镜像端口的情形,当然很容易扩展成支持任意多个。总的来讲,对代码的修改有两处:
0.对基础数据结构的修改
net_bridge_port结构体中增加一个flag,设为M,表示该端口为镜像端口;
1.br_add_if函数增加一个参数
该新增参数表示是否为镜像端口,若是,则设置新增net_bridge_port的M标志
2.修改br_handle_frame_finish函数
此处修改最为关键,主要有下面的逻辑:
... if (skb) { if (dst) { if (!dst->dst->flags & M) { struct net_bridge_port *p; list_for_each_entry(p, &br->port_list, list) { if (p->flags & M) { struct sk_buff *skb3 = skb_clone(skb, GFP_ATOMIC); br_forward(dst->dst, skb3); } } } br_forward(dst->dst, skb); } else br_flood_forward(br, skb); } ...
以上0,1,2基本就可以实现镜像端口了,方便了网络抓包和网络调试。对于用户态的brctl也需要修改,很简单,只需要能在addif时传入一个M标志即可以。
本文转自 dog250 51CTO博客,原文链接:http://blog.51cto.com/dog250/1268986
