利用交换机的端口环回（或端口反射）功能接入多套镜像设备及故障处理

◆丁军 卢启明 余宙 袁锡文

（海南省地震局 海南 570203）

1 引言

随着网络安全形势的日益复杂，局域网内接收镜像数据的安全设备越来越多，如全流量监控设备、安全审计设备、入侵检测设备、网络协议分析设备等。为了全面了解网络状态，这些安全设备往往都要接在核心交换机上，可是核心交换机的镜像组数量有限，不一定都能满足接入的所有安全设备的镜像需求。例如海南地震局核心交换机组型号是华为CloudEngine 6850，该设备支持4 路镜像，但是科来全流量监控系统的内、外网和进、出方向流量监控已经把核心交换机组的4 路镜像资源全部用完，新的电子公文项目的安全审计设备和入侵检测设备无法接入核心交换机组获取镜像数据。采用镜像流量分流器可以解决镜像端口不足的问题，但是高端分流器价格不菲，需要走采购流程，项目完成时间紧迫不被允许，而低端分流器性能无法满足性能要求。采用增加交换机做远程端口镜像也可以解决这个问题，但是也要增加新的硬件设备。其实华为交换机有个端口内环回的功能，在不增加硬件设备的情况下，可以解决本地镜像端口不足的问题，本文将介绍华为交换机的端口内环回功能接入多套镜像设备的应用情况，H3C 交换机的端口也有类似功能，不过名称叫端口反射，原理和功能是一样的，也可以通过端口反射配置实现接入多套镜像设备。

2 原理

在华为交换机中，开启端口loopback internal 配置，利用以太网端口环回检测功能，从端口发出去的报文通过系统内部发回给该端口，把镜像报文引入该端口和镜像VLAN，关闭该端口的MAC 地址学习功能和stp 功能，退出VLAN 1，将报文在镜像VLAN 内广播到其他实际的镜像观察口，多套安全设备接在相应的实际镜像观察口上就可以获取镜像报文。

端口退出VLAN 1 是为了避免流量成环，因为默认情况下端口是允许VLAN1 报文通过的。关闭端口的MAC 地址学习功能，防止内部环回端口学习到外部的MAC 地址，将外部接收到的报文在内部环回转发。环回端口上配置stp disable，是因为如果交换机在全局状态下配置stp enable，而环回端口没有配置stp disable，则端口接收到自己发出去的报文会将端口置为discarding 状态，进而将端口堵塞。

3 华为交换机配置

3.1 配置前准备工作

由于是在核心交换机做配置，为了稳妥起见，配置之前先抓取当前配置保存，以便失败后可以根据当前配置恢复，然后在华为核心交换机上使用display cpu 和display memory命令查询内存和CPU 开销，如果开销太大或接近阈值就不宜再做端口内部环回配置。使用display observe-port 命令查看并记录镜像观察端口，使用display port-mirroring 命令查看并记录镜像源端口。

3.2 端口环回及新镜像配置部署：

华为 CloudEngine 6850 核心交换机组的原镜像观察口是10GE1/0/22 和10GE2/0/22 端口还是内、外网镜像观察口，在这两个端口上配置端口内环回功能，之后这两个端口不接镜像设备，镜像设备接到新配置的镜像VLAN 相应的端口，例如科来全流量系统内网镜像接到新配置的interface 10GE1/0/31，电子公文项目的内网入侵检测系统镜像接到interface 10GE1/0/33，科来全流量系统外网镜像接到interface 10GE2/0/31，全网的安全审计系统镜像接到 interface 10GE2/0/33。

新建VLAN 4002 为外网镜像VLAN

[～HNDZJ-SW-6850]VLAN 4002

[～HNDZJ-SW-6850-VLAN4002]description WaiWang-mirror-observe VLAN

把10GE2/0/22 外网镜像观察口1 与镜像VLAN 绑定

[～HNDZJ-SW-6850]observe-port 1 interface 10GE2/0/22 VLAN 4002

进入10GE2/0/22 镜像观察端口

[*HNDZJ-SW-6850]interface 10GE2/0/22

配置端口环回

[*HNDZJ-SW-6850-10GE2/0/22]loopback internal

关闭端口mac 地址学习

[*HNDZJ-SW-6850-10GE2/0/22]mac-address learning disable

关闭端口stp 功能

[*HNDZJ-SW-6850-10GE2/0/22]stp disable

配置端口类型为trunk

[*HNDZJ-SW-6850-10GE2/0/22]port link-type trunk

配置端口允许镜像VLAN 通过

[*HNDZJ-SW-6850-10GE2/0/22]port trunk allow-pass VLAN 4002

配置端口不允许VLAN1 通过

[*HNDZJ-SW-6850-10GE2/0/22]undo port trunk allow-pass VLAN 1

结束外网镜像观察口环回配置，退出端口

[*HNDZJ-SW-6850-10GE2/0/22]quit

内网镜像观察端口环回配置如10GE2/0/22，不再赘述。由于镜像观察端口关闭了mac 地址学习功能，开启了端口内环回，于是该端口将接收到的报文在镜像VLAN 内广播到其他若干个实际镜像观察端口，实际镜像观察口10GE2/0/31 配置如下：

进入10GE2/0/31 实际镜像观察端口，该端口接科来系统外网镜像观察设备

[～HNDZJ-SW-6850]interface 10GE1/0/31

[～HNDZJ-SW-6850-10GE2/0/31]description mirror-observe-kelai-waiwang

配置端口类型为trunk

[～HNDZJ-SW-6850-10GE2/0/31]port link-type trunk

配置端口允许外网镜像VLAN 4002 通过

[～HNDZJ-SW-6850-10GE2/0/31]port trunk allow-pass VLAN 4002

配置端口不允许VLAN1 通过

[～HNDZJ-SW-6850-10GE2/0/31]undo port trunk allow-pass VLAN 1

结束端口配置，退出端口

[～HNDZJ-SW-6850-10GE2/0/31]quit

其他实际镜像观察口配配置如10GE2/0/31，需要接几套镜像观察设备就配置几个实际镜像观察口。

镜像源端口配置如下：

进入10GE1/0/7 镜像源端口配置

[～HNDZJ-SW-6850]int 10GE 1/0/7

[～HNDZJ-SW-6850-10GE1/0/7]description intrnet-line

配置到观察口1 组的双向镜像

[～HNDZJ-SW-6850-10GE1/0/7]port-mirroring observe-port 1 both

退出镜像源端口配置，提交配置，结束所有配置

[～HNDZJ-SW-6850-10GE1/0/7]commit

[～HNDZJ-SW-6850-10GE1/0/7]quit

4 故障及处理

配置完成后在科来系统的内网实时监控界面发现环回现象（如图1），镜像观察口流量值瞬间上升到1G，但是科来系统外网实时监控没有发现环回现象（如图2），由于内网镜像和外网镜像是两个不同的端口，外网镜像没有环回，说明端口环回和镜像配置是正确的，问题在内网镜像上，否则内外网镜像都会有环回。

图1 启用端口环回功能后科来系统内网实时流量监控出现环回现象

图2 启用端口环回功能后科来系统的外网实时流量监控正常

华为核心交换机组的内网镜像总共有39 个镜像源端口做inboud、outbound 双向镜像，为了排查环回现象，先把内网的源镜像端口的镜像配置都删除，然后一个一个端口添加镜像配置，先添加inboud镜像，确认没有环回后再添加outbound 镜像，最后发现对端是交换机端口的outbound 镜像，添加进来后，内网镜像VLAN 就产生环回。

Inbound 方向的镜像没有产生环回，说明环回不是对端设备产生的，应重点排查本端设备的配置情况，尤其是接口对端是交换机的那些端口配置。检查发现华为核心交换机组连接交换机的端口都配置了trunk 口，允许所有VLAN通过，也就是包含了内网镜像VLAN 4003，当华为核心交换机内网镜像观察口配置loopback internal 后，内网镜像VLAN 的环回报文又包含了VLAN 4003，因此引入outbound 方向的镜像后就产生了环回现象。外网镜像没有产生环回，是因为外网镜像的源端口是access 口，只允许互联网VLAN 通过，华为核心交换机外网镜像观察口配置loopback internal 后，外网镜像VLAN 的环回报文只有互联网VLAN，所以不会产生环回。找到原因后，我们就在华为核心交换机组的trunk 口都设置了不允许镜像VLAN 4002、4003 通过（建议各trunk 口配置仅允许相关VLAN 通过，不要配置允许所有VLAN 通过），如上例中的interface 10GE1/0/7 端口更改后配置如下：

interface 10GE1/0/7

description S5700-1_NeiWang

port link-type trunk

port trunk allow-pass VLAN 2 to 4001 4004 to 4094

port-mirroring observe-port 2 inbound

port-mirroring observe-port 2 outbound

然后再配置镜像端口的环回功能，就不会产生环回现象，实现了在华为CloudEngine 6850 交换机组上接入科来系统内、外网、入侵检测设备内网和安全审计设备内外全网进出流量镜像。

5 H3C 交换机配置

H3C 交换机也可以使用端口反射功能，利用镜像报文在远程镜像VLAN 中广播的原理，实现本地镜像支持多套镜像观察设备，具体如下：

创建远程源镜像组1

[device]mirroring-group 1 remote-source

将端口加入源镜像组1，并配置端口镜像方向为进出双向

[device]mirroring-group 1 mirroring-port 1 GigabitEthernet1/0/1 both

将交换机上某未使用的端口（此处为GigabitEthernet1/0/52 置为镜像组1 的反射口

[device]mirroring-group 1 reflector-port GigabitEthernet 1/0/52

This operation may delete all settings made on the interface.Continue? [Y/N]：y

创建VLAN 4003，并把镜像观察设备的端口加入VLAN 4003

[device]VLAN 4003

[device-VLAN4003]port GigabitEthernet 1/0/2 GigabitEthernet 1/0/3

配置VLAN 4003 作为镜像组1 的远程镜像VLAN，然后镜像观察设备接入VLAN 4003 的端口就可以获取到镜像数据。

[device]mirroring-group 1 remote-probe VLAN 4003

6 结束语

故障排除后，截止至2021 年1 月底，华为CloudEngine 6850 核心交换机组的端口内环回功能后接入3 套镜像设备，4 路双向镜像，经过2 个多月的平稳运行，累计镜像数据流量达66TB，没有出现故障，这证明利用端口环回功能接多套镜像设备是可靠的。理论上只要交换机背板带宽和内存、CPU 支持，想要接入几套镜像观察设备，就将几个观察端口划入镜像VLAN，这样就能实现在一台交换机上接入多套镜像设备，解决交换机镜像观察口的规格限制。但是镜像观察端口配置loopback internal 后，需要退出VLAN 1，关闭MAC 地址学习和关闭stp 功能，镜像源端口如果是trunk 口，要配置不允许镜像VLAN 通过，避免报文在镜像VLAN 内形成环回。