为了方便对一个或多个网络接口(网卡)的流量进行分析,可以通过配置交换机或路由器来把一个或多个端口(VLAN)的数据转发到某一个端口,即端口镜像,来实现对网络的监听。
镜像的功能简单地说就是将被监控流量镜像到监控端口,以便对被监控流量进行故障定位、流量分析、流量备份等,监控端口一般直接与监控主机等相连。
监视到进出网络的所有数据包,供安装了监控软件的管理服务器抓取数据,如网吧需提供此功能把数据发往公安部门审查。而企业出于信息安全、保护公司机密的需要,也迫切需要网络中有一个端口能提供这种实时监控功能。在企业中用端口镜像功能,可以很好的对企业内部的网络数据进行监控管理,在网络出现故障的时候,可以做到很好地故障定位。
(备注:交换机把某一个端口接收或发送的数据帧完全相同的复制给另一个端口;其中被复制的端口称为镜像源端口,复制的端口称为镜像目的端口。)
分类
端口镜像根据不同的分类标准,镜像类型也不一样。根据镜像作用的端口模式来划分,端口镜像分为以下三种类型:
入口镜像:只对从该端口进入的流量进行镜像。
出口镜像:只对该端口的发出的流量进行镜像。
双向镜像:支持对该端口收到和发出的双向流量进行镜像。
根据镜像功能划分,端口镜像分为两种类型:
-
流镜像:如果端口上配置了ACL并启用,则认为是流镜像。流镜像只采集经过ACL过滤后的数据包,否则认为是纯端口镜像。对于ACL流量采集方式,支持在端口的方向(出向、入向和双向三种)上绑定标准访问列表和扩展访问列表。
-
纯端口镜像:对端口进出的流量进行镜像。
根据镜像工作的范围划分,端口镜像分为两种类型:
本地镜像:源端口和目的端口在同一个路由器上。
远端镜像:源端口和目的端口分布在不同的路由器上,镜像流量经过某种封装,实现
跨路由器传输。
建立方法
Cisco CATALYST
交换机分为两 种,在CATALYST家族中称侦听端口为分析端 口(analysis port)。
以下命令配置
端口监听:
port monitor
例 如,F0/1和F0/2、F0/3同属VLAN1,F0/1监听F0/2、F0/3端口:
interface FastEthernet0/1
port monitor FastEthernet0/2
port monitor FastEthernet0/3
port monitor VLAN1
以下命令配置
端口监听:
set
span
例如,模块1中端口1和端口2同属VLAN1,端口3在VLAN2,端口4和5在VLAN2,端口2监听端 口1和3、4、5,
set
span 1/1,1/3-5 1/2
2950/3550/3750
格式如下:
#monitor session number source interface mod_number/port_number both
#monitor session number destination interface mod_mnumber/port_number
//rx-->指明是进端口的流量,tx-->出端口的流量 both 进出的流量
for example:
#monitor session 1 source interface 1/1-10 both
#monitor session 1 destination interface 1/12
#monitor session 2 source interface 2/13-20 both
#monitor session 2 destination interface 2/24
当有多条
镜像、多个模块时改变其中的参数即可。
Catalyst 2950 3550不支持port monitor
C2950#configure terminal
C2950(config)#
C2950(config)#monitor session 1 source interface fastEthernet 0/2
!--- Interface fa 0/2 is configured as source port.
C2950(config)#monitor session 1 destination interface fastEthernet 0/3
!--- Interface fa0/3 is configured as destination port.
配置命令
1. 指定分析口
feature rovingAnalysis add,或缩 写 f r a,
例 如:
Select menu option: feature rovingAn alysis add
Select analysis slot: 1?& nbsp;
Select analysis port: 2
2. 指定监听口并启动
端口监听
feature rovingAnalysis start,或缩 写 f r sta,
例 如:
Select menu option: feature rovingAn alysis start
Select slot to monitor ?(1-12): 1
Select port to monitor&nb sp;?(1-8): 3
3. 停止端口监 听
feature rovingAnalysis stop,或缩 写 f r sto
常见配置
配置
端口监听步骤如下:
1. 在 navigation菜单,点击Statistics下的Mirror Ports,弹出Mirror Ports信 息。
2. 在Configure Source 列中点击端口来选择
源端口, 弹出Mirror Ports Configuration。
可以选择三种监听的方 式:
1.连续(Always):
镜像全部流量。
3 .禁止(Disabled):关闭流量
镜像。
以下命令配置端口监听:
{ set|clear } Port Mirror
设置端口侦 听:set port mirror <mod-port-range> source-port ?<mod-port-range> mirror-port <mod-port-spec> sampling { always | disable | periodic } [ max-packets-sec <max-packets-sec-value>?& nbsp;] [ piggyback-port<mod-port-spec> ]?&nb sp;
禁止端口监 听:clear port mirror <mod-port-range>
命令 中,mod-port-range指定端口的范围;mod-port-spec指定特定的端口;piggyback-port指定双向
镜像的端口;sampling指定镜像周期;max-packets-sec仅在sampling设置为periodic时使用,指定监听口每秒最多的
数据报数量。
使用Huawei Lanswitch View管 理系统添加一个
镜像端口:
● 选 择Device Setup或Stack Setup。
● 点 击Port Mirroring。
● 点击Add按 钮。
● 对于堆叠,点击Switch并从列表选择一个交换 机。
● 点击Reflect from并选择流量将被
镜像的端 口。
● 点击Reflect to并选上面所选择的端口。