端口鏡像知識點

端口鏡像是將指定端口（源端口）、vlan（源vlan）或CPU的報文複製一份到其它端口（目的端口），目的端口會與數據監測設備相鏈接，用戶利用這些數據監測設備來分析複製到目的端口的報文，進行網絡監控和故障排除

（防止抓包:認證、加密、防抓包軟件、交換機不作端口鏡像）

IPv4網絡基於單播傳輸的，採用點到點，sniffer是捕獲不到數據流，只能作鏡像端口，端口鏡像分析某個特定的端口數據流量（單播）

產生鏡像，採集數據的用途
一、實時監控業務
二、故障處理分析
三、網絡流量優化

華三鏡像端口配置

1、本地鏡像配置

<H3C>system-view
[H3C]mirroring-group 1 local 創建本地鏡像組
[H3C]mirroring-group 1 mirroring-port g1/0/25 g1/0/27 both 配置源端口
[H3C]mirroring-group 1 monitor-port g1/0/28 配置目的端口（IDS分析數據包）

2、遠程鏡像配置

A設備配置（本設備負責將源端口的報文複製一份，經過反射端口將報文轉發到遠程鏡像vlan）

<H3C>system-view

[H3C]mirroring-group 1 remote-source 建立遠程源鏡像組
[H3C]vlan 2 建立vlan
[H3C-vlan2]quit
[H3C]mirroring-group 1 remote-probe vlan 2 配置遠程鏡像vlan
[H3C]mirroring-group 1 mirroring-port g1/0/25 inbound 配置源端口
[H3C]mirroring-group 1 reflector-port g1/0/26 配置反射端口
[H3C]interface g1/0/27
[H3C]port access vlan 2  
[H3C]interface g1/0/28
[H3C]port access vlan 2

中間設備配置（確保遠程鏡像vlan源設備和目的設備網絡的連通性）

<H3C>system-view
[H3C]vlan 2
[H3C-vlan2]remote-probe vlan enable 建立遠程鏡像vlan

C設備配置（負責目的端口收到報文後，監視遠程鏡像vlan）

<H3C>system-view

[H3C]mirroring-group 1 remote-denstination 建立遠程目的鏡像組
[H3C]vlan 2
[H3C-vlan2]quit
[H3C]mirroring-group 1 remote-probe vlan 2 配置遠程鏡像vlan
[H3C]mirroring-group 1 monitor-port g0/0/1 配置目的端口

華爲鏡像端口

1、端口鏡像

鏡像口（源端口）的報文複製一份到觀察端口（目的端口），用戶利用數據

[HUAWEI] observe-port 1 interface-range gigabitethernet 1/0/1 to gigabitEthernet 1/0/3  #g1/0/1-3都屬於觀察口1

[HUAWEI] observe-port 1 interface-range gigabitethernet 1/0/1 to gigabitEthernet 1/0/3 vlan 10 經過二層網絡向監控設備轉發鏡像報文

[HUAWEI] observe-port 1 interface gigabitethernet 1/0/1 設置觀察端口1的接口爲G1/0/1

[HUAWEI] observe-port 2 interface gigabitethernet 1/0/2
[HUAWEI] observe-port 3 interface gigabitethernet 1/0/3
[HUAWEI] interface gigabitethernet 2/0/1
[HUAWEI-GigabitEthernet2/0/1] port-mirroring to observe-port 1 inbound 監視G2/0/1 #進流量

[HUAWEI-GigabitEthernet2/0/1] port-mirroring to observe-port 2 inbound
[HUAWEI-GigabitEthernet2/0/1] port-mirroring to observe-port 3 inbound
2、流鏡像
acl number 3000 #利用擴展acl抓數據流

rule 10 permit ip source 192.168.10.0 0.0.0.255 destination 172.16.1.1 0.0.0.0
traffic classifier A #將ACL 3000抓取的流量放在分類A中

if-match acl 3000
traffic behavior B #制定流行爲，命名爲B

mirror to observe-port  #發送給觀察端口

traffic-policy AB #制定流策略，命名爲AB

classifier A behavior B #將分類A流量執行B的行爲

interface G0/0/1
traffic-policy AB inbound #當流量進入該端口時，執行策略AB

路由器上配置三層鏡像
observe-server destination-ip 10.1.1.1 source-ip 192.168.1.1

Cisco鏡像端口配置

本地SPAN
在相同的switch上配置源端口、源VLAN、和目標端口
sw1(config)#monitor session 1 source int f0/1 (both|rx|tx)（被監控端口）
sw1(config)#monitor session 1 destination int f0/8（接分析儀）
sw1#show monitor session 1 detail 注意：目標端口不能再用作其餘用途

RSPAN（Remote SPAN）
支持監控不一樣SW的源端口或VLAN。
sw1(config)#vlan 100
sw1(config-vlan)#remote-span    設置一個span VLAN,能夠經過VTP分發下去
sw1(config)#monitor session 1 source int f0/1
sw1(config)#monitor session 1 destination remote vlan 100 reflector-port f0/8（空接口）交換機間必定要Trunking
sw2(config)#monitor session 1 source remote vlan 100
sw2(config)#monitor session 1 destination int f0/3（接分析儀）

Sniffer軟件是NAI公司推出的功能強大的協議分析軟件，可以快速解碼分析

業務審計系統：基於sniffer抓包軟件開發，針對鏡像過來的流量進行審計記錄動做

鏡像過多：一、佔用較多的設備內部轉發帶寬，影響其餘業務轉發。二、鏡像端口的帶寬大於觀察端口的帶寬，會致使觀察端口因帶寬不足而不能及時轉發所有的鏡像報文，發生丟包。在配置二層遠程鏡像時，建議不要用觀察端口綁定的VLAN進行其餘業務轉發。對於觀察端口與監控設備之間的中間網絡設備，一、在觀察端口綁定的VLAN上執行命令mac-address learning disable關閉MAC地址學習功能二、在系統視圖下執行命令undo mac-address vlan vlan-id刪除該VLAN已學習到的全部MAC地址