本文探讨了交换机在网络流量审计中的关键作用，强调其作为数据转发节点的优势，可实现网络可见性和合规性支持。介绍了端口镜像技术和 VLAN 流量审计的工作原理，提供了 Cisco 和华为交换机的流量审计配置命令。同时，结合安全策略，如 ACL 和基于用户设备的策略，优化流量审计。最后，强调了日志管理和故障排查的重要性，以确保流量审计的顺利进行。

一、交换机在网络流量审计中的角色与重要性

1.1 数据转发节点的优势

交换机作为网络中的核心数据转发设备，能够接触到流经其端口的所有网络流量。它处于网络的关键位置，这使得它成为收集网络流量信息用于审计的理想设备。例如，在企业办公网络中，所有员工计算机与服务器之间的数据交互都会经过交换机。通过对交换机的流量进行审计，可以获取员工访问的网站、使用的应用程序等信息，这对于企业的网络安全管理和合规性检查非常重要。

1.2 网络可见性与合规性支持

借助交换机的流量审计功能，网络管理员可以确保网络使用符合公司政策和法律法规。它可以帮助检测潜在的安全威胁，如内部人员的异常数据传输行为或未经授权的网络访问。例如，在金融行业，为了满足监管要求，需要对网络交易数据的传输进行审计。交换机可以协助记录和监控这些交易数据的流向，确保没有违规操作。

二、交换机协助流量审计的工作原理

2.1 端口镜像（Port Mirroring）技术

端口镜像，也称为端口监控或 SPAN（Switched Port Analyzer），是交换机用于流量审计的关键技术。它允许将一个或多个端口的网络流量复制到另一个端口，以便连接到该端口的设备（如网络分析仪或监控服务器）可以接收并分析这些流量。例如，在一个网络中，将服务器端口的流量镜像到一个专门用于监控的端口。这样，网络安全设备或审计软件连接到这个监控端口，就可以获取服务器的所有进出流量，包括 HTTP 请求、数据库查询等。

交换机通过配置镜像源端口（可以是单个端口、多个端口或整个 VLAN）和镜像目的端口来实现端口镜像功能。不同品牌的交换机有不同的配置命令，但基本原理相同。

2.2 VLAN 流量审计

对于划分了 VLAN 的网络，交换机可以对每个 VLAN 的流量分别进行审计。因为 VLAN 在逻辑上隔离了不同组的网络设备，通过在交换机上配置对特定 VLAN 的流量镜像，可以清晰地获取每个 VLAN 内的网络活动情况。例如，在企业网络中，将销售部门 VLAN 的流量单独镜像到审计设备，就可以重点关注销售团队的网络行为，如是否存在泄露客户信息等风险行为。

三、交换机常见的流量审计配置命令

3.1 Cisco 交换机端口镜像配置命令

1、配置源端口：使用 “monitor session [会话编号] source interface [端口号]” 命令。

例如，“monitor session 1 source interface GigabitEthernet0/1” 将 GigabitEthernet0/1 端口设置为镜像会话 1 的源端口。

2、配置目的端口：使用 “monitor session [会话编号] destination interface [端口号]” 命令。

例如，“monitor session 1 destination interface GigabitEthernet0/2” 将 GigabitEthernet0/2 端口设置为镜像会话 1 的目的端口，用于连接审计设备。

3、配置多个源端口：可以同时配置多个源端口，将它们的流量复制到同一个目的端口，如 “monitor session 1 source interface GigabitEthernet0/1 - 10” 将端口 1 到端口 10 的流量镜像到目的端口。

3.2 华为交换机端口镜像配置命令

1、配置镜像端口（源端口）：使用 “observe - port [端口号] interface [端口号]” 命令。

例如，“observe - port 1 interface GigabitEthernet0/1” 将 GigabitEthernet0/1 端口设置为观察端口 1（相当于源端口）。

2、配置被镜像端口（目的端口）：使用 “port - mirroring to observe - port [观察端口编号] inbound/outbound/both” 命令。

例如，“port - mirroring to observe - port 1 inbound” 将流量镜像到观察端口 1，并且只镜像入站流量。

四、结合安全策略进行流量审计配置

4.1 访问控制列表（ACL）辅助流量审计

ACL 可以与交换机的流量审计功能相结合。通过在交换机上配置 ACL，可以筛选出需要重点审计的流量类型。例如，配置一个 ACL 只允许通过与财务数据相关的 IP 地址和端口号的流量，然后将这些流量镜像到审计端口。可以使用 “access - list [编号] permit/deny [条件（如 IP 地址、端口号等）]” 命令来配置 ACL。

例如，“access - list 100 permit tcp any host 192.168.1.100 eq 3306” 允许任何源地址到 IP 为 192.168.1.100 的主机的 3306 端口（通常是 MySQL 数据库端口）的 TCP 流量，然后将符合此 ACL 的流量镜像到审计端口。

4.2 基于用户和设备的流量审计策略

交换机可以根据连接的用户或设备来定制流量审计策略。例如，对于网络中的关键设备（如服务器、核心网络设备）或特权用户，可以配置更严格的流量审计。可以通过交换机的认证功能（如 802.1X 认证）来识别用户和设备，然后根据识别结果配置不同的流量镜像策略。例如，对于通过认证的高级管理人员的设备，将其所有流量都镜像到审计服务器进行详细审计。

五、日志管理与流量审计故障排查

5.1 交换机日志在流量审计中的作用

交换机日志记录了与流量审计相关的重要信息，如端口镜像会话的建立和拆除、流量复制的状态等。通过查看交换机日志，可以确保流量审计配置正确且正常运行。
例如，日志中可能会显示 “Port mirroring session 1 successfully established” 表示镜像会话 1 已经成功建立，或者 “Error: Destination port for mirroring is not available” 表示用于流量镜像的目的端口不可用，这有助于及时发现和解决问题。

5.2 故障排查方法与步骤

1、检查端口镜像配置：确保源端口和目的端口的配置正确，使用交换机的 “show monitor session”（Cisco）或 “display observe - port”（华为）命令来查看端口镜像配置的状态。

2、检查物理链路：检查连接审计设备的物理链路，查看端口指示灯是否正常。如果配置正确但仍然无法获取审计流量，可能是链路问题或者审计设备本身的问题。

3、检查 ACL 配置：通过查看 “show access - lists” 命令的输出，检查 ACL 是否阻止了应该被审计的流量。

通过上述方法，交换机可以有效地协助实现对网络流量的审计，确保网络的安全性和合规性。

原创 晚云浅 晴间多云