02.
为什么二层远程镜像VLAN要关闭MAC学习?
根据二层远程镜像的原理,我们可以知道镜像报文是将原始报文再封装一层VLAN TAG(无论原始报文是否带TAG),然后通过二层网络传输至远端设备。如果中间二层网络上没有关闭远程镜像VLAN的MAC学习功能,那么就会学习到镜像报文的源MAC地址。如果仅仅是镜像了单向流量则一般不会出现问题,在二层网络中可以正常转发;但是如果镜像了双向流量,则二层网络会将双向流量的源MAC都学习到。在基于目的MAC地址+VLAN ID查询MAC地址表指导转发过程中就会发现一个数据包的源MAC和目的MAC都学习到了同一个接口上,此时该数据包就会被丢弃,从而无法转发到远端监控设备。
03.
如何解决观察端口不足的问题?
受限于芯片硬件资源,通常一台交换机上观察端口往往不会太多,极端情况下可能只允许配置一个观察端口。但是在实际工程上,尤其是在网络安全环境中,往往是多类型、多台安全设备都需要获取网络原始流量以便分析监控。这就需要交换机将一份流量复制到多个端口以供多台安全设备使用,常用方法有两种:
一种是镜像交换机自身泛洪,其思路为:
一种是镜像交换机自身泛洪,其思路为:
1)将所有需要镜像报文的端口划到同一个VLAN中;
2)将观察端口内部环回,即发出去的包又回到自己;
3)关闭观察端口MAC地址学习功能,以防影响业务流量转发。
另一种是借助中间交换机泛洪,其思路为:
另一种是借助中间交换机泛洪,其思路为:
1)本端交换机和安全设备之间不是直连,而是通过中间二层交换机连接;
2)中间二层交换机将与本端交换机互联端口、与安全设备互联端口都划到同一VLAN,并且关闭该VLAN的MAC地址学习功能;
3)本端交换机配置二层远程端口镜像,镜像报文通过观察端口再封装一层VLAN TAG并发送至中间二层交换机;
4)中间二层交换机在VLAN内泛洪,将流量分发至各安全设备。
04.
观察端口能否抓到带TAG报文?
这个问题与观察端口是什么类型的端口(如:Access口、Trunk口、三层路由口)没有任何关系,不影响报文输出是否携带VLAN TAG,也就是关键看镜像端口的属性。其本质上是交换机内部处理机制问题,是先进行报文复制流程、还是先进行标签处理流程。具体如下:
在入方向,若先进行报文复制流程、再进行标签处理流程,则观察端口报文就是原始报文,即使是Access口收到VID≠PVID的TAG报文也可以被镜像出来;
在入方向,若是先进行标签处理流程、再进行报文复制流程,则观察端口要么没有报文(Access端口收到VID≠PVID报文直接丢弃)、要么有报文一定带TAG(原始报文不带TAG,入端口打上PVID);
在出方向,若是先进行报文复制流程、再进行标签处理流程,则观察端口报文一定带TAG(交换机内部转发时必须带TAG);特殊的如果出接口是路由口则TAG为4095,该TAG只具有本地意义、正常的数据报文从路由口转发出去的时候不会带上该TAG字段;
在出方向,若是先进行标签处理流程、再进行报文复制流程,则观察端口报文不带TAG(报文VID=PVID时,Access/Trunk出口剥掉TAG)和带TAG(报文VID≠PVID时,Trunk口允许通过则带TAG转出)的情况都会出现。
威努特简介
北京威努特技术有限公司(简称:威努特)是国内工控安全行业领军者,是中国国有资本风险投资基金旗下企业。凭借卓越的技术创新能力成为全球六家荣获国际自动化协会ISASecure 认证企业之一和首批国家级专精特新“小巨人”企业。
威努特依托率先独创的工业网络“白环境”核心技术理念,以自主研发的全系列工控安全产品为基础,为电力、轨道交通、石油石化、市政、烟草、智能制造、军工等国家重要行业用户提供全生命周期纵深防御解决方案和专业化的安全服务,迄今已为国内及“一带一路”沿线国家的4000多家行业客户实现了业务安全合规运行。
作为中国工控安全国家队,威努特积极推动产业集群建设构建生态圈发展,牵头和参与工控安全领域国家、行业标准制定和重大活动网络安全保障工作,始终以保护我国关键信息基础设施安全为己任,致力成为建设网络强国的中坚力量!
稿件作 微信:shushu12121返回搜狐,查看更多