端口鏡像概述網絡
在介紹端口鏡像配置以前,咱們先來看了解一下什麼是端口鏡像,端口鏡像就是把交換機一個或多個端口(VLAN)的數 據鏡像到一個或多個端口的方法。那麼爲何須要端口鏡像?一般爲了部署IDS產品須要監聽網絡流量(網絡分析儀一樣也須要),可是在目前普遍採用的交換網 絡中監聽全部流量有至關大的困難,所以須要經過配置交換機來把一個或多個端口(VLAN)的數據轉發到某一個端口來實現對網絡的監聽。session
端口鏡像幾種別名ide
1.PortMirroring:一般指容許把一個端口的流量複製到另一個端口,同時這個端口不能再傳輸數據。router
2.MonitoringPort:監控端口ip
3.SpanningPort:一般指容許把全部端口的流量複製到另一個端口,同時這個端口不能再傳輸數據。rem
4.SPANport:在Cisco產品中,SPAN一般指SwitchPortANalyzer。某些交換機的SPAN端口不支持傳輸數據。部署
5.LinkModeportget
支持端口鏡像的交換機input
大多數中檔以上的交換機都支持端口鏡像功能,但支持程度不一樣。產品
端口鏡像配置方法
1.Cisco交換機
特色:
Ciscocatylist2550、Ciscocatylist3550支持2組monitorsession
Cisco交換機的端口鏡像配置方法
enpassword
configterm
Switch(config)#monitor session 1 destination interfacefast 0/4(1爲sessionid,id範圍爲1-2)
Switch(config)#monitor session 1 source interfacefast 0/1,fast 0/2,fast0/3(空格,逗號,空格) Switch(config)#exit
Switch#copy running-conf startup-conf
Switch#show port-monitor
2.Extreme交換機
特色:
只能建立多對一或者一對一的鏡像端口
能夠監聽VLAN的流量
Extreme會鏡像IN和OUT的流量。這就意味着在鏡像VLAN的時候,會看到一個報文至少兩次——從VLAN的某個端口出來,而且進入VLAN的另外一個端口。
版本高於4.1的Extreme交換機端口鏡像配置方法
{enable disable}mirroring on port
開啓/關閉端口鏡像功能,而且指定鏡像流量從何端口流出,port-no只能是一個端口
configure mirroring {add delete}{vlan port}
指定鏡像哪一個或哪些VLAN或端口的流量{vlan port}
部分能夠重複屢次
版本低於4.1的Extreme交換機端口鏡像配置方法
enable mirror to port port-no
開啓端口鏡像功能,而且指定鏡像流量從何端口流出,port-no只能是一個端口
disable mirror
關閉端口鏡像功能
configmirroraddport
鏡像端口port-no的流量,若是這個端口包含多個VLAN這些流量都會被鏡像到目的端口
config mirror add port
vlan
鏡像端口port-no中指定VLAN的流量
config mirror add vlan
鏡像端口中指定VLAN的全部端口的流量
config mirror del port
取消對port-no的端口鏡像
config mirror del vlan
取消對指定VLAN的端口鏡像
show mirror
顯示端口鏡像狀況
3.Foundry交換機
特色:
能夠建立多對多的端口鏡像
Foundry交換機端口鏡像配置方法
在配置模式中(Configuration Mode):
interface
port monitor{{rx tx both}}
肯定鏡像流量從哪一個端口流出,修改此端口配置
指定要鏡像哪些端口的哪些流量(rx指接收的流量,tx指發送的流量,both指雙向流量),{{rx tx both}}部分能夠重複
4.Juniper交換機
特色:
每交換機只能有一個監聽端口
只能鏡像IPv4的流量
只能鏡像發送(transitonly)的流量,不能鏡像接收的流量
JuniperM系列和T系列端口鏡像配置方法
定義抽樣過濾器,選擇感興趣的流量
user@router#show interface unit 0 familyi net filter {inputmirror-sample;}
5.華爲交換機
華爲3050交換機端口鏡像配置方法
SwitchA相關配置
1.將端口E0/2配置爲監控端口
[SwitchA]monitor-port Ethernet0/2
2.將端口E0/1配置爲鏡像端口
[SwitchA]mirroring-port Ethernet0/1 both
補充說明:支持多對一的端口鏡像。
鏡像端口配置時,可使用參數定義被監控報文的方向。例如:參數both,表示同時監控端口的接收和發送報文;參數inbound,表示只監控端口接收 的報文;參數outbound,表示只監控端口發送的報文。須要注意的是:端口鏡像是有風險的,它能加劇交換機負載,形成設備不穩定,同時在某些狀況下會 丟包,不能保證100%鏡像流量。例如,因爲多個源端口鏡像到一個目的端口,目的端口沒法處理形成丟包。