为了更好地满足我们的需求并体现该方案的灵活性，我们事先将交换机物理接口1至8口通过802.3ad协议逻辑捆绑成1个端口。同时还要将交换机逻辑1口、物理9口、物理10口和物理25口配置在一个vlan中。我们可以配置ACL语句如下：
　　entry analyseudp
　　{ if { protocol udp;}
　　then {  redirect-port 1; } }
　　entry analysetcp
　　{ if {protocol tcp;}
　　then {  redirect-port 9; } }
　　entry analyseudpipv6 {
　　if {    source-address 0::0/0;
　　protocol tcp;
　　}
　　then {   redirect-port 10; } }

　　其中第一个ACL用于识别所有协议类型为UDP的流量，并将其从交换机逻辑1口上转发出去。第二个ACL用于识别所有的TCP流量，并将其从交换机物理9口上转发出去。第三个ACL用于识别IPv6协议的TCP报文，并将其从交换机物理10口上转发出去。

　　当我们把上述ACL应用到万兆25口的入方向上后，对于通过外界镜像到25口上的流量就可以被分离到不同的千兆端口上了。

　　2.ACL配置后的实际效果

　　对于识别出的UDP类型流量，由于我们已经将物理1-8口配置成逻辑1号口，因此从1至8号口中的任意一个端口都可以接收到UDP流量。如果25口总流量小于1Gbps，则可以只用一台服务器连接1至8口中的任何一个，以便对获得的UDP流量进行协议分析；如果流量超过2Gbps，则可以部署2台服务器分别连接到1至8口中的任意两个；其他情况依次类推。

图2交换机上端口利用率示意图

　　从9口我们将获得重定向过来的TCP流量，从10口我们将获得IPv6流量。图2反映了交换机上的各端口利用率以及通过Wireshark软件对从端口上截获的报文进行分析的结果。出于简化考虑，我们使用物理24口来替代25口接受从外界镜像来的流量。

　　其中端口24的当前利用率为1.24%，端口1至端口10的端口利用率总和为(0.08+0.02+0.21+0.12+0.81+0.02)%=1.26%(由于交换机会把收到的广播/组播报文和目标地址未知的报文往VLan内所有端口上转发，所以会出现利用率总和大于24口的情况)，基本上说明进入交换机的镜像流量已经按照事先配置好的ACL被线速转发到相应端口。

图3 UDP流量图

图4 TCP流量图

　　图3为从第3口上获得的流量截图，全部为UDP报文；图4为从第9口上获得的流量截图，全部为TCP报文。
　　然后从第10口上获得IPv6流量图。接下来的工作就是流量分析软件如Ntop或其他监控分析软件的事情了。

　　作为一种分布式流量分析系统，本方案的特点是设计简单灵活、经济高效、扩展性高。对于已有的流量分析系统只需要增加相应的万兆三层交换机，无需改变更多的拓扑。利用交换机中硬件实现的ACL，灵活的分析匹配数据流的各种字段，并可以重定向到24口交换机上任意口上，如1号口只分析10.0.0.0/8段的协议，2号口上只分析IPv6协议，3号口上只分析http流量等。方案的不足是对交换机厂商的依赖性比较高，目前只有主流网络设备厂商的产品提供类似精细ACL的功能。
　　(作者单位为上海闵行三中信息中心)

　　来源：《中国教育网络》2009年6月刊