项目场景:
最近我们数据中心的核心交换机需接入新的入侵检测系统(Intrusion Detection System,简称 IDS)。需在交换机配置端口镜像使所有流量镜像到IDS上同时不影响业务。
再此之前已有一台入侵检测系统(下面简称A监测系统)正在使用。所有交换机端口都已镜像到一个端口供A监测系统监测。
现在有个2个监测系统分别为A监测系统和B监测系统。需要连接交换机的观察口。监控交换机的流量
问题描述
我们先来看看原本的配置
华为交换机查看观察端口
display observe-port
[core1]display observe-port
----------------------------------------------------------------------
Index : 1
Untag-packet : No
Interface : GigabitEthernet0/46
----------------------------------------------------------------------
Index : 2
Untag-packet : No
Interface : GigabitEthernet0/0/47
----------------------------------------------------------------------
配置1到48口为镜像口,给到观察1,也就是1-48口镜像到46口,(下面仅展示48口配置)
interface gigabitethernet 0/0/48
port-mirroring to observe-port 1 inbound
port-mirroring to observe-port 1 outbound
| 配置 | 介绍 |
|---|---|
| inbound | 将镜像端口入方向绑定到观察端口,即将镜像端口接收的报文复制到观察端口上。 |
| outbound | 将镜像端口出方向绑定到观察端口,即将镜像端口发送的报文复制到观察端口上。 |
| both | 将镜像端口双方向绑定到观察端口,将镜像端口收、发的报文都复制到观察端口上。 |
[core1]interface gigabitethernet 0/0/48
[core1-GigabitEthernet0/0/48]port-mirroring to observe-port 1 inbound
[core1-GigabitEthernet0/0/48]port-mirroring to observe-port 1 outbound
上述命令中,interface gigabitethernet 0/0/48 表示要镜像的源端口,port-mirroring to observe-port 1 both 表示将源端口的流量镜像到目标端口 gigabitethernet 0/0/2,both 表示镜像双向流量(即进出源端口的流量都会被镜像)。
这时候想将1到48口为镜像的源端口,也给到观察2,也就是1-48口镜像到47口,就会报错,意思是插槽 0 上的接口不支持镜像到多个观察端口。
[core-GigabitEthernet0/0/48]port-mirroring to observe-port 2 both
Error: The interfaces on slot 0 can not support mirror to more than one observe-port.
原因分析:
由于端口镜像仅支持一个或多个端口镜像到一个观察端口。并不支持一个或多个端口镜像到多个观察端口。
[core-GigabitEthernet0/0/48]port-mirroring to observe-port 2 both
Error: The interfaces on slot 0 can not support mirror to more than one observe-port.
明白故障原因是交换机不支持这么做。但是又要实现这样的需求该怎么办呢?
下面我们先来了解一下端口镜像技术
一、端口镜像简介
- 端口镜像(Port-Mirroring)是一种网络技术,用于将一个或多个网络端口的数据流量复制到另一个端口,以便进行网络监控、流量分析或安全检测。
- 通过端口镜像,我们可以将交换机上的特定端口流量镜像到另一个端口,然后连接检测设备(如入侵检测系统、网络监控设备等)来监控和分析这些流量。
解决方案:
明白逻辑后,转变思路。
- 首先,我们可以将核心交换机的上行口 48 口配置为镜像端口,将其流量镜像到 46 口。然后,将 46 口配置为观察口,负责向A监测系统转发镜像报文。并将其连接到 A监测系统,以便对通过核心交换机上行口的数据流量进行监测和分析。
- 接下来,我们可以将交换机下行口 1-45 端口配置为镜像端口,将其流量镜像到 47 口。然后,将 47 口配置为观察口,负责向B监测系统转发镜像报文。并将其连接到 B监测系统,以便对通过交换机下行口的数据流量进行监测和分析。
这样就是一个或多个网络端口的数据流量复制到另一个端口,进行网络监控、流量分析或安全检测。符合端口镜像逻辑。通过这种方式,我们可以使用 A 监测系统和 B 监测系统分别对核心交换机的上行口和下行口流量进行监测和分析。这样,我们可以更好地了解网络流量情况,及时发现和解决网络问题,提高网络的可靠性和性能。
我们来验证一下吧!配置如下
[core1]
[core1]observe-port 1 interface gi 0/0/46 #配置观察口1
[core1]observe-port 2 interface gi 0/0/47 #配置观察口2
[core1]int gi 0/0/48
[core1-GigabitEthernet0/0/48]port-mirroring to observe-port 1 inbound #配置48口为镜像口,将接收的报文复制到观察端口1上
[core1-GigabitEthernet0/0/48]port-mirroring to observe-port 1 outbound #配置48口为镜像口,将发送的报文复制到观察端口1上
[core1]port-group all_port_mirror #为了批量修改端口建立端口组
[core1-port-group-all_port_mirror]group-member gi0/0/1 to gi 0/0/45 #添加端口到组里
[core1-port-group-all_port_mirror]port-mirroring to observe-port 2 inbound
#配置1-45口为镜像口,将接收的报文复制到观察端口2上
[core1-port-group-all_port_mirror]port-mirroring to observe-port 2 outbound
#配置1-45口为镜像口,将发送的报文复制到观察端口2上
接线如下:
当观察口接收到流量。说明端口镜像已成功配好!
下一篇我们来说另一个端口镜像的方案! 大家认为这两种方案有什么不同?
点击直接跳转
1244
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
