一,端口镜像简介
端口镜像功能适合的场景是在不中断业务的前提下抓取,分析会话报文,进行网络问题的定位。
端口镜像功能指定业务接口的报文复制到非业务接口。通过查看与非业务接口相连的协议分析仪,在不影响业务的情况下定位问题。业务接口被称为“镜像端口”,非业务接口被称为“观测端口”。
根据复制报文的方向,镜像可分为上行镜像和下行镜像两种:
①上行镜像:指将镜像端口接收到的全部报文或满足特定流分类条件的报文完整的复制并输出到指定的观测端口。
②下行镜像:指将镜像端口即将发送的全部报文或满足特定流分类条件的报文完整地复制输出到指定观测端口。
如图为了监视端口A接收的报文或从端口B发送的报文,将端口C作为观测端口,且和报文分析设备相连。在端口A和端口B配置镜像功能,将端口A接收或端口B发送的满足特定流分类条件的报文复制到一份到端口C用于对报文进行分析。
二,使用注意
·端口镜像功能只能抓取到对端发送给防火墙的ARP报文,抓取不到防火墙主动发送的ARP报文例如(ARP请求,免费ARP等)。
·端口镜像功能不支持引用IPv6的ACL,但不引用ACL时支持IPv6报文的端口镜像功能。
·镜像端口和观测端口仅支持以太网接口。
·基于主控板CPU的端口镜像,最大支持2个观测端口,每个观测端口下最多可以配置8个镜像端口。
·基于交换芯片的端口镜像,最大支持1个观测端口,每个观测端口下最多可以配置2个镜像端口。
·端口镜像功能可能在一定程度上影响设备性能。通过引用ACL配置流量镜像的范围,避免镜像流量过大对其他业务造成的影响。
·问题定位结束后,关闭端口镜像功能。
·镜像端口需要加入安全区域,配置安全策略。观测端口不需要配置。
三,配置流程
设备可以基于主控板CU和交换芯片两种端口镜像方式。
配置基于交换芯片的镜像端口和观测端口,镜像流量直接通过交换芯片转发,不会上送主控板CPU,降低CPU的使用率。但受制于交换芯片的硬件属性。
仅USG6150/6160/6180/6370/6380/6390/6550/6570、USG6390E/6620/6620-AVE/6630、USG6650/6660/6670/6680支持。
仅支持入方向流量的端口镜像,即只能将接收的业务数据镜像到观测到观测端口上。
镜像和观测端口均不能为管理口。
镜像和观测端口只能在同一张接口卡上。
最大支持配置两个镜像端口和一个观测端口。
配置镜像端口引用ACL最大配置3条规则,且只允许配置五元组(五元组只允许单个端口号)和TCP协议标记位(tcp-flage)。
因此两种方式视具体场景使用。
3.1基于主控板CPU
①配置观测端口
#observing-port "端口类型" "端口编号"
②开启向观测端口发送丢包报文的功能
#port-mirroring packet-discard observing-port "端口类型" "端口编号" acl-number "acl编号"
③启动端口镜像
#port-mirroring "端口类型" "端口编号" {both|inbound|outbound} observing-port "端口类型" "端口编号" acl-number "acl编号"
3.2基于交换芯片的端口镜像
①配置观测端口
#observing-port switch-chip "端口类型" "端口编号"
②启动端口镜像
#port-mirroring switch-chip "端口类型" "端口编号" "端口类型" "端口编号" acl-number "acl编号"
3.3维护检查
查看端口镜像配置信息
[FW1]display port-mirroring configuration
2023-04-16 01:50:03.540
Observing port:
GigabitEthernet1/0/2
Port-mirroring configuration:
GigabitEthernet1/0/0 [Inbound] is mirrored to GigabitEthernet1/0/2