Linux Bridge的鏡像端口實現

很多種交換機上都可以配置鏡像端口，也就是說所有的流量都要順便發一份到鏡像端口，一般都是在鏡像端口上接一個主機，上面開啟抓包或者審計程序，保證時刻監控網絡流量。鏡像端口解決了學習型交換機無法抓包的問題。

Linux實現了一個軟件版本的Bridge，也正是一個交換機，只是可能端口少些，通過brctl setageingtime <brname> <time>將time設置成0也可以使該軟交換機退化成一個Hub。然而我沒有在brctl的man手冊中找到如何來配置鏡像端口的任何信息，於是自己實現了一個。我的實現目前只測試了支持一個鏡像端口的情形，當然很容易擴展成支持任意多個。總的來講，對代碼的修改有兩處：

0.對基礎數據結構的修改

net_bridge_port結構體中增加一個flag，設為M，表示該端口為鏡像端口；

1.br_add_if函數增加一個參數

該新增參數表示是否為鏡像端口，若是，則設置新增net_bridge_port的M標志

2.修改br_handle_frame_finish函數

此處修改最為關鍵，主要有下面的邏輯：

1. ...
2. if (skb) {
3. if (dst) {
4. if (!dst->dst->flags & M) {
5. struct net_bridge_port *p;
6. list_for_each_entry(p, &br->port_list, list) {
7. if (p->flags & M) {
8. struct sk_buff *skb3 = skb_clone(skb, GFP_ATOMIC);
9. br_forward(dst->dst, skb3);
10. }
11. }
12. }
13. br_forward(dst->dst, skb);
14. } else
15. br_flood_forward(br, skb);
16. }
17. ...

以上0，1，2基本就可以實現鏡像端口了，方便了網絡抓包和網絡調試。對於用戶態的brctl也需要修改，很簡單，只需要能在addif時傳入一個M標志即可以。