潘竹虹，許卓斌

(廈門大學(xué)信息與網(wǎng)絡(luò)中心，福建廈門361005)

信息采集網(wǎng)絡(luò)支撐系統(tǒng)的設(shè)計與實現(xiàn)

潘竹虹*，許卓斌

(廈門大學(xué)信息與網(wǎng)絡(luò)中心，福建廈門361005)

摘要：基于網(wǎng)絡(luò)數(shù)據(jù)幀轉(zhuǎn)發(fā)原理,提出了一種端口鏡像設(shè)計方法,并實際部署了一個獨立于生產(chǎn)網(wǎng)絡(luò)的、可精確篩選的、多輸出的網(wǎng)絡(luò)流量鏡像系統(tǒng),為廈門大學(xué)多套網(wǎng)絡(luò)信息采集分析系統(tǒng)提供網(wǎng)絡(luò)支撐．

關(guān)鍵詞：網(wǎng)絡(luò)安全;信息采集;端口鏡像

隨著信息技術(shù)的不斷發(fā)展,校園網(wǎng)內(nèi)網(wǎng)絡(luò)信息采集的需求大量增加．流量監(jiān)控、入侵檢測、上網(wǎng)行為日志審計、輿情監(jiān)控等信息安全管理,圖書館數(shù)據(jù)庫熱度分析、數(shù)字資源偏好分析等用戶行為分析系統(tǒng),以及內(nèi)容分發(fā)網(wǎng)絡(luò)(content delivery network, CDN)、Cache等網(wǎng)絡(luò)加速系統(tǒng)等,都需要對相應(yīng)的網(wǎng)絡(luò)數(shù)據(jù)進行網(wǎng)絡(luò)信息采集．

大部分網(wǎng)絡(luò)信息采集系統(tǒng)僅關(guān)心網(wǎng)絡(luò)數(shù)據(jù)流中的部分信息,但當前的常見網(wǎng)絡(luò)數(shù)據(jù)輸出技術(shù)往往將包含相關(guān)信息的全部數(shù)據(jù)報文傳輸至信息采集系統(tǒng),它存在著以下兩方面的矛盾:1) 信息采集系統(tǒng)能夠采集到校園網(wǎng)全部網(wǎng)絡(luò)數(shù)據(jù)報文,對校園網(wǎng)管理而言存在嚴重的數(shù)據(jù)隱私泄露等合法性及安全性問題,違背了網(wǎng)絡(luò)安全管理規(guī)范;2) 校園網(wǎng)主干網(wǎng)絡(luò)的流量動輒達到萬兆,基于通用處理器以軟件方法實現(xiàn)包頭解析的信息采集系統(tǒng)通常無法處理該級別的流量,信息采集所產(chǎn)生的信息數(shù)據(jù)量巨大,其中僅基礎(chǔ)的網(wǎng)頁訪問日志即可達傳統(tǒng)本地化資源分析架構(gòu)難以承載的TB數(shù)量級,成為基于傳統(tǒng)架構(gòu)的信息采集與分析系統(tǒng)的部署難題．

另一方面,當前國內(nèi)外園區(qū)網(wǎng)高端交換機受限于設(shè)備軟硬件能力,往往僅支持少量用于支撐信息采集系統(tǒng)的網(wǎng)絡(luò)數(shù)據(jù)輸出鏈路．即使在網(wǎng)絡(luò)設(shè)備的支持數(shù)量范圍內(nèi),過多的數(shù)據(jù)輸出也存在著影響生產(chǎn)網(wǎng)絡(luò)健壯性和穩(wěn)定性的可能,如廈門大學(xué)校園核心網(wǎng)絡(luò)當前部署的多種網(wǎng)絡(luò)數(shù)據(jù)輸出技術(shù)最大可支持8路鏈路,目前已使用7路,無法滿足未來的爆發(fā)式的信息采集需求．

為解決以上矛盾,本文致力于研究設(shè)計一種獨立于生產(chǎn)網(wǎng)絡(luò)、可精確控制、多輸出的數(shù)據(jù)輸出系統(tǒng)作為信息采集的網(wǎng)絡(luò)支撐,該系統(tǒng)從校園網(wǎng)核心網(wǎng)絡(luò)設(shè)備獲取一份網(wǎng)絡(luò)數(shù)據(jù),再由該系統(tǒng)將網(wǎng)絡(luò)數(shù)據(jù)進行過濾或分流后多路輸出至相應(yīng)安全級別的信息采集系統(tǒng),以實現(xiàn)對輸出數(shù)據(jù)的安全控制以及對多套信息采集系統(tǒng)的支持．

1技術(shù)背景

2002年7月18日IEEE通過了萬兆以太網(wǎng)標準802.3ae后,萬兆以太網(wǎng)憑借其高達10 Gbit/s的帶寬以及種種技術(shù)優(yōu)勢,逐漸在局域網(wǎng)乃至城域網(wǎng)中普及應(yīng)用．高校校園網(wǎng)是萬兆以太網(wǎng)的重要應(yīng)用場合,利用10萬兆的高速鏈路構(gòu)建校園網(wǎng)的骨干鏈路以及各個分校區(qū)和本部之間的連接,實現(xiàn)端到端的以太網(wǎng)訪問,提高網(wǎng)絡(luò)傳輸?shù)男?可以有效地保證遠程多媒體教學(xué)、數(shù)字圖書館等業(yè)務(wù)的開展．同時也給網(wǎng)絡(luò)測量及信息采集分析系統(tǒng)帶來了極大壓力．網(wǎng)絡(luò)數(shù)據(jù)采集可分為基于專用硬件的網(wǎng)絡(luò)數(shù)據(jù)采集和基于通用處理器平臺的網(wǎng)絡(luò)數(shù)據(jù)采集,其中基于專用硬件的采集方法在高速鏈路的環(huán)境下有巨大的性能優(yōu)勢,但是昂貴的成本讓大多數(shù)系統(tǒng)仍選用基于通用處理器以軟件方法實現(xiàn)包頭解析的方法,受限于操作系統(tǒng)和硬件性能,目前處理速度僅能達到1 Gbit/s[1],高速鏈路特別是萬兆流量鏈路已成為信息采集分析系統(tǒng)部署的瓶頸．

在數(shù)據(jù)捕獲采集前進行數(shù)據(jù)過濾分流是解決該矛盾的有效手段．該工作由網(wǎng)絡(luò)設(shè)備進行網(wǎng)絡(luò)數(shù)據(jù)輸出時完成．當前關(guān)于數(shù)據(jù)輸出有多種技術(shù)方案,但支持數(shù)據(jù)過濾的技術(shù)非常少且沒有行業(yè)標準,相關(guān)研究及成功部署成果也比較少．

在交換網(wǎng)絡(luò)中,有2種有效的數(shù)據(jù)輸出方法:

1) 分路器通過在通信鏈路中串接插入分路器實現(xiàn)．對于光纖鏈路來說分路器即分光器,目前分光器的核心技術(shù)被國外公司壟斷,為光通信工程的研究方向之一．分光器具有各種應(yīng)用場景,校園網(wǎng)中的分光器主要為各種網(wǎng)絡(luò)偵聽系統(tǒng)服務(wù),一般為無源設(shè)備,按比例分光,分路損耗與插入損耗決定其無法對同一鏈路多次分光,因此輸出接口有限并且不能遠程管理輸出鏈路．分路器為物理層設(shè)備,對網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)保持有天然優(yōu)勢,但因固定串接部署,調(diào)整時需中斷鏈路,所以調(diào)整靈活度低,更無法進行流量過濾．

2) 端口鏡像技術(shù),也被稱為交換端口分析器(switched port analyzer,SPAN),是網(wǎng)絡(luò)設(shè)備提供的具有管理功能的一種技術(shù).它將指定端口(源端口)或虛擬局域網(wǎng)(virtual local area network,VLAN)(源VLAN)的報文復(fù)制一份到其他端口(目的端口),由網(wǎng)絡(luò)管理員利用數(shù)據(jù)監(jiān)測設(shè)備來分析復(fù)制到目的端口的報文,進行網(wǎng)絡(luò)監(jiān)控和故障排除[2]．

發(fā)展至目前,端口鏡像技術(shù)可細分為3種:本地鏡像、遠程鏡像、流鏡像．

1) 本地鏡像(local SPAN):鏡像源端口和目的端口在同一臺設(shè)備上,是被廣泛支持和使用的鏡像方式．

2) 遠程鏡像(remote SPAN):將本設(shè)備源端口/源VLAN 上的報文通過2層或者3層網(wǎng)絡(luò)復(fù)制到另一臺設(shè)備的目的端口．

3) 流鏡像:具備鏡像過濾能力的鏡像技術(shù)在大部分場合被稱為流鏡像技術(shù),它是一種基于訪問控制列表(access control list,ACL)的鏡像．其優(yōu)勢在于用戶通過流分類技術(shù)可以靈活地配置匹配條件,從而對報文進行精細區(qū)分,并將區(qū)分后的報文復(fù)制到目的地進行分析,從而實現(xiàn)對鏡像報文的精確控制．

端口鏡像技術(shù)不會改變鏡像報文的任何信息,也不會影響原有報文的正常轉(zhuǎn)發(fā),但需要消耗交換機的硬件性能,可能會對網(wǎng)絡(luò)設(shè)備的工作造成影響,即使是當前國內(nèi)外最高端的網(wǎng)絡(luò)核心交換機,其常見的鏡像輸出能力也局限于4組甚至少于2組鏡像組．鏡像技術(shù)目前沒有規(guī)范標準,在不同設(shè)備上的實現(xiàn)機制存在較大差異．流鏡像技術(shù)僅在部分最新設(shè)備的最新軟硬件版本中被支持,功能仍有較多局限,穩(wěn)定性也需驗證[3]．對比可見,數(shù)據(jù)輸出方法有多種,但數(shù)據(jù)過濾輸出的主要手段為流鏡像技術(shù)．發(fā)展至目前,作為唯一具有過濾功能的鏡像技術(shù),流鏡像的多輸出支持能力仍然較弱,一般僅支持一個輸出,無法滿足當前爆發(fā)的信息采集需求．

當前常見的網(wǎng)絡(luò)信息采集系統(tǒng)數(shù)據(jù)獲取方案為校園網(wǎng)通過本地端口鏡像技術(shù)將相關(guān)網(wǎng)絡(luò)鏈路的數(shù)據(jù)信息輸出至信息采集系統(tǒng),由采集系統(tǒng)本身的數(shù)據(jù)采集模塊捕獲全部數(shù)據(jù)后再進行數(shù)據(jù)過濾[4],數(shù)字資源利用率分析、數(shù)字資源網(wǎng)絡(luò)加速、網(wǎng)絡(luò)運行記錄等應(yīng)用系統(tǒng)一般都采用端口鏡像作為數(shù)據(jù)來源,如上文所說,端口鏡像方案存在著違背信息安全管理、流量超過系統(tǒng)負荷、網(wǎng)絡(luò)支撐能力不足、影響生產(chǎn)網(wǎng)絡(luò)等多處矛盾;少量信息采集系統(tǒng)利用分路器旁路接入[5],除了以上矛盾外,分路器方案還存在部署不靈活的缺陷;據(jù)了解,目前有少數(shù)高校已部署核心網(wǎng)絡(luò)設(shè)備的流鏡像數(shù)據(jù)輸出來支撐信息采集系統(tǒng),流鏡像方案可以解決信息安全和萬兆流量的矛盾,但其對網(wǎng)絡(luò)設(shè)備資源消耗高于其他鏡像技術(shù),網(wǎng)絡(luò)支撐能力不足、影響生產(chǎn)網(wǎng)絡(luò)等矛盾更加嚴重．

本文提出的復(fù)合鏡像技術(shù)可支持經(jīng)過精確過濾的多路數(shù)據(jù)輸出,基于復(fù)合鏡像技術(shù)設(shè)計的網(wǎng)絡(luò)支撐系統(tǒng)適用于不同的網(wǎng)絡(luò)環(huán)境,可以解決目前大多數(shù)網(wǎng)絡(luò)設(shè)備上鏡像過濾與多輸出難以并存的矛盾,并避免對生產(chǎn)網(wǎng)絡(luò)造成影響．

2設(shè)計思路

2.1復(fù)合鏡像技術(shù)

端口鏡像技術(shù)分為多種,圖1為各種鏡像技術(shù)的鏡像數(shù)據(jù)流路徑示意圖．

圖1　鏡像數(shù)據(jù)流路徑示意圖Fig.1Road map of mirrored flow

本地鏡像簡單地將網(wǎng)絡(luò)設(shè)備的源數(shù)據(jù)在硬件轉(zhuǎn)發(fā)時進行額外復(fù)制,發(fā)往鏡像目的端口，其鏡像數(shù)據(jù)流路徑示意圖如圖1(a)所示．部分網(wǎng)絡(luò)設(shè)備的多輸出鏡像技術(shù)的實現(xiàn)原理為利用遠程鏡像技術(shù).將鏡像報文發(fā)送至遠程鏡像反射口,通過鏡像反射口將報文在遠程鏡像VLAN內(nèi)通過廣播方式復(fù)制發(fā)送,所有配置為遠程鏡像VLAN的端口都會發(fā)送鏡像報文,從而支持多端口輸出,數(shù)據(jù)流路徑如圖1(b)所示．流鏡像僅將匹配流分類條件(部分設(shè)備為匹配ACL)的報文復(fù)制到指定目的地,用于報文的分析和監(jiān)控，如圖1(c)所示．

圖2　網(wǎng)絡(luò)支撐系統(tǒng)設(shè)計模型Fig.2Network supporting system design model

由上述示意圖對比可見,遠程鏡像將復(fù)制的報文發(fā)往反射口后在VLAN內(nèi)廣播來實現(xiàn)多輸出,流鏡像將符合條件的流發(fā)往目的端口．我們提出一種技術(shù)設(shè)想:根據(jù)流鏡像和多輸出遠程鏡像的技術(shù)原理特征,如果能在交換機轉(zhuǎn)發(fā)平臺將流鏡像的數(shù)據(jù)流直接發(fā)往遠程鏡像技術(shù)中的鏡像反射口,再由反射口將報文廣播發(fā)往所有配置為遠程VLAN的端口.如圖1(d)所示,即將流鏡像與遠程鏡像功能深度結(jié)合形成一種復(fù)合鏡像技術(shù),則該復(fù)合鏡像技術(shù)可以在硬件層面整合實現(xiàn)可精確控制的多路輸出,解決目前大多數(shù)網(wǎng)絡(luò)設(shè)備上鏡像過濾與多輸出難以并存的矛盾,實現(xiàn)可精確控制的、多輸出的高帶寬數(shù)據(jù)輸出系統(tǒng)．

2.2系統(tǒng)方案設(shè)計

現(xiàn)有數(shù)據(jù)輸出技術(shù)的主要矛盾為違背信息安全管理,流量超過系統(tǒng)負荷，網(wǎng)絡(luò)支撐能力不足，影響生產(chǎn)網(wǎng)絡(luò).為解決這些矛盾,信息采集網(wǎng)絡(luò)支撐系統(tǒng)的對應(yīng)設(shè)計需求為流量可控、支持多輸出、獨立于生產(chǎn)網(wǎng)絡(luò)．圖2為網(wǎng)絡(luò)支撐系統(tǒng)設(shè)計模型．

該系統(tǒng)基于支持流鏡像的3層交換機設(shè)計,具有第1次傳輸和第2次傳輸2個數(shù)據(jù)傳輸階段：1) 將網(wǎng)絡(luò)流量從生產(chǎn)網(wǎng)絡(luò)傳輸至獨立的網(wǎng)絡(luò)設(shè)備,以保證獨立于生產(chǎn)網(wǎng)絡(luò),不對生產(chǎn)網(wǎng)絡(luò)性能造成影響,2) 由網(wǎng)絡(luò)設(shè)備對數(shù)據(jù)包進行二次過濾傳輸,以達到流量可控及多輸出需求．

2.2.1整體技術(shù)選擇

數(shù)據(jù)幀的轉(zhuǎn)發(fā)原理決定了數(shù)據(jù)輸出系統(tǒng)所能選用的輸出方式以及整體設(shè)計方向．

表1　數(shù)據(jù)幀傳輸改變字段信息

表2　網(wǎng)絡(luò)監(jiān)聽系統(tǒng)所需字段信息

以太網(wǎng)數(shù)據(jù)幀有如下多種格式:

1) Ethernet V2幀[6],也被稱為DIX幀,是最常見的幀類型;

2) Novell Ethernet 非標準IEEE 802.3幀變種;

3) IEEE 802.3 邏輯鏈路控制 (LLC) 幀[7];

4) IEEE SNAP幀．

物理網(wǎng)絡(luò)上可能有多種數(shù)據(jù)幀在同時傳輸,大多數(shù)TCP/IP應(yīng)用都是用Ethernet V2幀格式,而交換機之間的橋協(xié)議數(shù)據(jù)單元(BPDU)數(shù)據(jù)包則是IEEE802.3/LLC的幀,VLAN Trunk協(xié)議如802.1Q和Cisco的思科發(fā)現(xiàn)協(xié)議(CDP)等則是采用IEEE802.3 SNAP的幀．

網(wǎng)絡(luò)管理員進行故障排查的網(wǎng)絡(luò)嗅探需要監(jiān)聽到所有數(shù)據(jù)幀，但針對圖書館信息資源傳輸?shù)男畔⒉杉到y(tǒng)僅需求TCP/IP報文，因此我們以Ethernet V2幀格式來說明數(shù)據(jù)幀傳輸過程中改變的字段(表1)及網(wǎng)絡(luò)監(jiān)聽系統(tǒng)所需字段信息(表2)的對比關(guān)系.

對比可見,基于物理層的網(wǎng)絡(luò)串接、分路器以及基于數(shù)據(jù)鏈路層的端口鏡像等輸出技術(shù)不會改變數(shù)據(jù)報文,是支持網(wǎng)絡(luò)信息采集的最佳輸出方式．2層交換及3層路因為傳輸會改變數(shù)據(jù)幀中部分內(nèi)容,無法支撐如故障排查等需要精確偵聽網(wǎng)絡(luò)信息的需求,但也能滿足常見的網(wǎng)絡(luò)信息采集分析系統(tǒng)的信息需求,也是設(shè)計數(shù)據(jù)輸出系統(tǒng)時可用的輸出方式之一．

2.2.2第1次傳輸技術(shù)選擇

基于物理層的分路器傳輸以及基于數(shù)據(jù)鏈路層的端口鏡像等輸出技術(shù)都可用于從生產(chǎn)網(wǎng)絡(luò)輸出．

分路系統(tǒng)的實施對象為通信鏈路,校園網(wǎng)邊界網(wǎng)絡(luò)通常具有多鏈路負載均衡，分路系統(tǒng)布署成本高，無法靈活調(diào)整，局限性較大的特點．

端口鏡像技術(shù)不會改變鏡像報文的任何信息,也不會影響原有報文的正常轉(zhuǎn)發(fā)．從生產(chǎn)網(wǎng)絡(luò)鏡像一份數(shù)據(jù)至獨立的網(wǎng)絡(luò)設(shè)備之后,該設(shè)備收到的報文為正常報文,未被封裝或者改變數(shù)據(jù)幀內(nèi)容,是較為理想的輸出方式．

鑒于分路傳輸在實際部署環(huán)境中的局限,本文所設(shè)計的系統(tǒng)第1次數(shù)據(jù)傳輸選用端口鏡像方式．

2.2.3第2次傳輸技術(shù)選擇

對鏡像報文的第2次傳輸?shù)男枨鬄榱髁靠煽匾约岸噍敵觯衔囊烟岬椒致菲鞯任锢韺觽鬏敾蛘?層廣播方式傳輸?shù)牧髁繑?shù)據(jù)不可控制,因此本文主要采用3層路由以及再次鏡像方式．

1) 3層路由方式

根據(jù)TCP/IP 參考模型體系,數(shù)據(jù)的收發(fā)是遵循以下過程:當數(shù)據(jù)由應(yīng)用層自上而下傳遞時,在網(wǎng)絡(luò)層形成IP 數(shù)據(jù)報,再向下到達數(shù)據(jù)鏈路層,由數(shù)據(jù)鏈路層將TCP 數(shù)據(jù)報文分割為數(shù)據(jù)幀,并增加以太網(wǎng)包頭,再向下一層發(fā)送．鏈路層的數(shù)據(jù)幀傳輸時,是依靠48 位介質(zhì)訪問控制地址(media access control,MAC)而非IP 地址來確認的,以太網(wǎng)的網(wǎng)卡設(shè)備并不關(guān)心IP 數(shù)據(jù)報中的目的IP 地址,它所需要的僅僅是MAC地址．如果接收數(shù)據(jù)報文設(shè)備的MAC地址與報文目的MAC一致,則設(shè)備認為該數(shù)據(jù)報文發(fā)往自身,否則進行丟棄．因此,識別鏡像流量需要將設(shè)備MAC改為鏡像報文的目的MAC,再通過配置路由策略或者靜態(tài)路由將報文分別輸出至不同端口,進行第2次數(shù)據(jù)傳輸,并可精確控制數(shù)據(jù)報文的篩選輸出．根據(jù)圖1,該方式會改變數(shù)據(jù)幀的源MAC及目的MAC,僅適用于各種監(jiān)聽分析系統(tǒng),不適用于管理員故障排查等需要嚴格保證報文內(nèi)容的需求．

MAC地址被設(shè)計時,被認為每張網(wǎng)卡都會將擁有全球唯一的物理標識．網(wǎng)絡(luò)上2層可達的網(wǎng)絡(luò)設(shè)備都應(yīng)有獨一無二的MAC地址,相同的MAC地址將對網(wǎng)絡(luò)造成各種影響,特別是作為網(wǎng)絡(luò)重要組成單元的核心網(wǎng)絡(luò)設(shè)備而言,MAC互相沖突可能會帶來極其嚴重的后果,這種后果遠超過終端用戶的ARP欺騙．因此,本方案實際部署中,必須確認生產(chǎn)網(wǎng)絡(luò)設(shè)備鏡像目的端口不再接收數(shù)據(jù)．

2) 再次鏡像方式

鏡像技術(shù)作為網(wǎng)絡(luò)設(shè)備管理功能,其報文鏡像復(fù)制會在網(wǎng)絡(luò)設(shè)備識別轉(zhuǎn)發(fā)該報文前進行,其復(fù)制技術(shù)可以類比成集限器[4],即使網(wǎng)絡(luò)設(shè)備因為VLAN tag之類的傳輸標志而不會轉(zhuǎn)發(fā)某些鏡像報文,也會先將報文先發(fā)往鏡像目的端口,可以保證全部報文的鏡像輸出,因此,使基于輸出后的數(shù)據(jù)報文通過獨立的網(wǎng)絡(luò)設(shè)備進行再次鏡像輸出成為可能．

再次鏡像可以采用多種鏡像方法來實現(xiàn)不同的數(shù)據(jù)輸出,本文所設(shè)計提出的復(fù)合鏡像技術(shù)可以很好地完成第2次傳輸過程中流量過濾及多輸出的需求．

2.3系統(tǒng)模型設(shè)計

如圖2所示,根據(jù)第2次傳輸階段所選擇的技術(shù),網(wǎng)絡(luò)支撐系統(tǒng)可分為3個功能模塊:路由分流模塊、全流量鏡像模塊、復(fù)合鏡像模塊．不同的功能模塊可以獨立工作,適應(yīng)不同的網(wǎng)絡(luò)環(huán)境．

1) 全流量鏡像模塊

通過遠程鏡像將全部流量輸出至多個端口．該功能模塊部署技術(shù)難度小,僅需求可支持遠程鏡像技術(shù)的萬兆交換機,缺陷為無法滿足流量過濾需求,主要為流量分析監(jiān)控、入侵檢測防御、網(wǎng)絡(luò)管理員進行故障排查的網(wǎng)絡(luò)嗅探等需要全部信息的信息采集系統(tǒng)提供支持．

2) 路由分流模塊

修改交換機MAC為生產(chǎn)網(wǎng)絡(luò)核心的MAC地址,通過路由策略或者路由表(視所修改的MAC為本地鏡像流量的源端口MAC或者源端口所接目的端口的MAC而定),將需嚴格保密的敏感數(shù)據(jù)分流至某一端口進行保密過濾;將部分被關(guān)心的數(shù)據(jù)，例如對圖書資源的查詢及關(guān)注行為轉(zhuǎn)發(fā)至相應(yīng)的信息采集系統(tǒng);其余與圖書館相關(guān)流量通過發(fā)往某一端口,并對該端口進行遠程鏡像,分發(fā)至其他端口,以實現(xiàn)對數(shù)據(jù)庫訪問熱度分析、圖書館網(wǎng)絡(luò)加速系統(tǒng)等多個信息采集系統(tǒng)的擴展支持．交換機作為網(wǎng)絡(luò)設(shè)備本身并不提供修改MAC地址的功能,但有部分產(chǎn)品可以通過技術(shù)支持獲得修改方案．

該模塊對設(shè)備硬件要求較低,除去鏡像部分也可在普通終端設(shè)備如多網(wǎng)卡PC上實現(xiàn),部署成本低,實現(xiàn)方式更為靈活,但無法支撐較大的網(wǎng)絡(luò)流量．

3) 復(fù)合鏡像模塊

交換機設(shè)備作為一個封閉的功能硬件,并不提供底層硬件轉(zhuǎn)發(fā)的修改接口,為在實際環(huán)境中驗證復(fù)合鏡像技術(shù)的可行性,該模塊按照上文提出的復(fù)合鏡像技術(shù)的思路設(shè)計,通過流鏡像的流定義ACL對網(wǎng)絡(luò)流量進行篩選過濾,僅將符合條件的流量送往某個端口,并對該端口進行再次遠程鏡像,實現(xiàn)可控的多路輸出．該模塊與復(fù)合鏡像技術(shù)的差距在于用額外的物理接口轉(zhuǎn)發(fā)了復(fù)合鏡像技術(shù)設(shè)計中直接發(fā)往遠程鏡像反射口的流量．實驗證明直接對流鏡像目的口進行遠程鏡像,遠程端口目的端口并沒有預(yù)期的輸出．分析其原因為鏡像目的口被標記為非轉(zhuǎn)發(fā)口,相應(yīng)的數(shù)據(jù)報文被認為非轉(zhuǎn)發(fā)數(shù)據(jù),從而不再觸發(fā)鏡像功能．

為再次觸發(fā)鏡像功能,將流鏡像目的端口與本機其他端口通過外部物理線路互聯(lián),將過濾后的流量重新送回網(wǎng)絡(luò)輸出系統(tǒng),并對該回接端口進行遠程鏡像輸出至多個端口,實現(xiàn)多輸出．

復(fù)合鏡像模塊過濾條件靈活,可替代路由分流模塊的全部功能,為各種信息采集系統(tǒng)提供輸出支持．

3實驗過程及結(jié)果

4臺3層交換機及3臺終端被設(shè)計用于實驗實現(xiàn)數(shù)據(jù)輸出系統(tǒng),拓撲如圖3所示．

Switch A/B/C用于模擬正常路由交換的生產(chǎn)網(wǎng)絡(luò),Switch D為一款中端的數(shù)據(jù)中心3層萬兆交換機．網(wǎng)絡(luò)監(jiān)測設(shè)備1/2/3分別使用wireshark抓取分析數(shù)據(jù)報文．Switch B將G0/1端口的數(shù)據(jù)通過本地鏡像發(fā)往Switch D的G0/20端口．Switch D的MAC改為與Switch B一致．最終實驗為同時配置全流量鏡像模塊、復(fù)合鏡像模塊及路由分流模塊．

復(fù)合鏡像模塊分流控制信息配置為:

acl number 3 000

rule 0 permit ip destination 10.0.5.0 0.0.0.255

rule 5 permit ip destination 10.0.8.0 0.0.0.255

設(shè)備上路由模塊分流控制信息配置為:

ip route-static 10.0.5.0 255.255.255.0 10.0.4.2

ip route-static 10.0.7.0 255.255.255.0 10.0.4.2

ip route-static 10.0.8.0 255.255.255.0 10.0.4.2

從Switch A(10.0.1.2)順序?qū)?0.0.5.2、10.0.6.2、10.0.7.2、10.0.8.2發(fā)送5個ping包進行數(shù)據(jù)傳輸和數(shù)據(jù)過濾功能驗證,按照預(yù)期,監(jiān)控端收到報文的結(jié)果符合如下規(guī)則:

1) 負責捕獲復(fù)合鏡像模塊輸出報文的網(wǎng)絡(luò)監(jiān)控1應(yīng)捕獲到發(fā)往10.0.5.2以及10.0.8.2的報文各5個，發(fā)往10.0.6.2以及10.0.7.2的報文被流規(guī)則過濾.

2) 負責捕獲路由鏡像模塊輸出報文的網(wǎng)絡(luò)監(jiān)控2應(yīng)捕獲到發(fā)往10.0.7.2的報文5個,發(fā)往10.0.5.2、10.0.8.2的報文各10個．發(fā)往10.0.6.2的報文因沒有路由被丟棄,發(fā)往10.0.5.2、10.0.8.2的報文會出現(xiàn)重復(fù)翻倍,其原因為同時工作的復(fù)合鏡像模塊中流鏡像目的口跳接回本機端口時,數(shù)據(jù)包再次被系統(tǒng)收取并路由轉(zhuǎn)發(fā).

3) 負責捕獲全鏡像模塊輸出報文的網(wǎng)絡(luò)監(jiān)控3應(yīng)捕獲到所有報文．

實驗結(jié)果如表3所示,由此成功驗證3種功能模塊均可以正常工作并且只輸出了符合預(yù)期的報文．

表3　實驗結(jié)果

注：10.0.5.2、10.0.6.2、10.0.7.2、10.0.8.2為目的IP.

在復(fù)合鏡像模塊實驗成功的同時也驗證了本文所提出的復(fù)合鏡像技術(shù)的可行性．

4實際部署示例

廈門大學(xué)校園網(wǎng)已成功部署獨立于生產(chǎn)網(wǎng)絡(luò)的可控的多輸出的信息采集網(wǎng)絡(luò)支撐系統(tǒng)．

圖4　網(wǎng)絡(luò)支撐系統(tǒng)部署拓撲Fig.4Deployment topology of network supporting system

系統(tǒng)部署拓撲圖如圖4所示．系統(tǒng)源流量為校園網(wǎng)4條萬兆IPv4出口鏈路及1條千兆IPv6出口鏈路的本地鏡像流量,源高峰流量為5.5 Gbit/s．部署復(fù)合鏡像模塊及全流量鏡像模塊,已有1路全流量鏡像為流量監(jiān)控分析系統(tǒng)提供數(shù)據(jù)來源,1路復(fù)合鏡像輸出為圖書館數(shù)字資源利用分析系統(tǒng)提供數(shù)據(jù)來源,并可支持未來較多的系統(tǒng)接入需求．

表4　流過濾規(guī)則

表5　端口速率采樣結(jié)果

復(fù)合鏡像輸出的流過濾規(guī)則如表4，各端口通信包速率采樣結(jié)果如表5所示．

由表4可見,全鏡像流量可傳輸并輸出全部源數(shù)據(jù),復(fù)合鏡像僅傳輸并輸出了部分相關(guān)流量．其中校園網(wǎng)鏡像輸出與支撐系統(tǒng)接收數(shù)據(jù)的微量差異,由不同品牌設(shè)備速率顯示時間區(qū)間差異造成．

該系統(tǒng)已在線穩(wěn)定運行7個月．

5結(jié)論

本文提出了復(fù)合鏡像技術(shù)并成功驗證了其可行性,該技術(shù)可以解決當前網(wǎng)絡(luò)環(huán)境中鏡像技術(shù)多輸出與流量過濾難以并存的問題;成功部署了基于校園網(wǎng)的信息采集網(wǎng)絡(luò)支撐系統(tǒng),可在較長時間內(nèi)滿足校園網(wǎng)日益增長的信息感知需求,并有效解決部分核心網(wǎng)絡(luò)設(shè)備無法對鏡像流量進行過濾的安全隱患,為信息采集系統(tǒng)提供了良好的網(wǎng)絡(luò)基礎(chǔ)支撐．

參考文獻：

[1]肖寅東,王厚軍,田書林.高速網(wǎng)絡(luò)入侵檢測系統(tǒng)中包頭解析方法[J].儀器儀表學(xué)報,2012(6):1414-1419.

[2]CISCO. Configuring traffic mirroring[EB/OL].[2015-03-16].http:∥www.cisco.com/c/en/us/td/docs/routers/asr9000/software/asr9k_r5-1/interfaces/configuration/guide/hc51xasr9kbook/hc51span.html.

[3]H3C.網(wǎng)絡(luò)管理和監(jiān)控配置[EB/OL].[2015-03-16].http:∥www.h3c.com.cn/Service/Document_Center/Switches/Catalog/S5800/S5800/Configure/Operation_Manual/H3C_S5820X[S5800]_CG-Release_1110-6W103/10/.

[4]唐曉蘭,劉中臨,劉嘉勇.一種基于知識庫的行為特征檢測模型[J].信息安全與通信保密,2012(2):51-53，56.

[5]任富新.高速網(wǎng)絡(luò)流量監(jiān)測系統(tǒng)的設(shè)計與實現(xiàn)[J].微型機與應(yīng)用,2012(1):58-60，63.

[6]CHARLES H.IETF RFC 894:a standard for the transmission of IP datagrams over ethernet networks[S/OL].[2013-03-02].http:∥datatracker.ietf.org/doc/rfc894/.

[7]Postel J.IETF RFC 1042:a standard for the transmission of IP datagrams over IEEE 802 networks[S/OL].[2013-03-02].http:∥datatracker.ietf.org/doc/rfc1042/.

Design and Implementation of Network Supporting System for Information Acquisition

PAN Zhuhong*,XU Zhuobin

(Information and Network Center,Xiamen University,Xiamen 361005,China)

Abstract:Based on principles of network data frame forwarding,a design technique of port mirroring is proposed.An accurate filtering multiple-output network traffic mirrored system,which is independent of production network,is deployed to provide the network support for the Xiamen University network information acquisition and analysis system.

Key words:network security;information acquisition;port mirroring

doi：10.6043/j.issn.0438-0479.2016.03.021

收稿日期：2015-07-03錄用日期：2015-08-23

基金項目：2015年福建省中青年教師教育科研項目(高校教育信息化專項)(JA15002)

*通信作者：zhpan@xmu.edu.cn

中圖分類號:TP 393

文獻標志碼：A

文章編號：0438-0479(2016)03-0426-08

引文格式：潘竹虹，許卓斌.信息采集網(wǎng)絡(luò)支撐系統(tǒng)的設(shè)計與實現(xiàn).廈門大學(xué)學(xué)報(自然科學(xué)版)，2016,55(3)：426-433.

Citation：PAN Z H,XU Z B． Design and implementation of network supporting system for information acquisition. Journal of Xiamen University(Natural Science)，2016,55(3)：426-433．(in Chinese)