文章目录
- 概要
- 整体架构流程
- 并且所有端口均需配置**trunk**!
- 技术名词解释
- 什么是IDS?
- 端口镜像简介
- 端口镜像的原理
- VLAN的接口类型和VLAN标签的处理机制
- 技术细节
- IDS底层系统是Linux,为什么交换机连接IDS监测系统需要配置trunk呢?
- 下面我们来看下配置
概要
当涉及到网络安全监测和故障排除时,端口镜像是一个关键的概念和技术。本文皇仔将带您深入研究什么是端口镜像,在华为交换机如何配置多个观察端口。我将详细讨论端口镜像的定义、原理、应用场景以及配置方法。
让我们直接开始吧!
【端口镜像】华为s5720交换机一个或多个端口镜像到多个观察端口 解决方案
上回我们已经跟大家分享了华为交换机多个观察口的端口映射解决方法。
将核心交换机的上行口 48 口镜像到 46 口,作为观察口给 A 监测系统监测流量。
将交换机下行口 1-45 端口镜像到 47口,作为观察口给 B 监测系统监测流量。
通过这种方式,我们可以使用 A 监测系统和 B监测系统分别对核心交换机的上行口和下行口流量进行监测和分析。
下面我将再给大家分享第二个解决方案
整体架构流程
核心交换机配置端口镜像。将46口配置为观察口,把其余所有端口配置为镜像端口,将其流量镜像到 46 口。
46口接入另一台交换机,这台交换机只负责传输端口镜像的流量。
镜像交换机的2口和3口接入IDS入侵监测系统,负责向A监测系统和B监测系统转发镜像报文。
并且所有端口均需配置trunk!
技术名词解释
什么是IDS?
IDS(Intrusion Detection System)****入侵监测系统是一种网络安全设备或系统,监控网络上设备的入站和出站流量,用于检测和响应网络中的入侵行为。IDS 可以通过分析网络流量、日志、系统指标等信息,发现异常行为和攻击迹象,并及时发出警报或采取相应的防御措施,如阻止攻击、隔离受影响的系统等。IDS 可以帮助企业或组织保护其网络和信息系统的安全,减少安全事件的发生概率和损失。
IDS产品采用的是旁路部署方式,一般直接通过交换机的监听口进行网络报文采样,或者在需要监听的网络线路上放置侦听设备(如分光器)。每台交换机上只能监听到和该交换机直连的主机间的流量和通过该交换机发往其他交换机的流量,部署在其他交换机下的主机间的流量无法被监听。由于企业内网可能层次化部署交换机,这种情况下,需要将所有需要监听的网段的交换机上的流量都通过监听端口连接到IDS设备上,然后对流量进行检测分析。旁路:通过流量镜像方式部署,不改变现网,缺点是只能检测不能进行防御。
端口镜像简介
端口镜像(Port-Mirroring)是一种网络技术,用于将一个或多个网络端口的数据流量复制到另一个端口,以便进行网络监控、流量分析或安全检测。
通过端口镜像,我们可以将交换机上的特定端口流量镜像到另一个端口,然后连接检测设备(如入侵检测系统、网络监控设备等)来监控和分析这些流量。
- 复制范围: 端口镜像是一种将指定端口上的所有流量复制到目标端口的功能。这意味着它复制的是源端口上的每个数据包,而不考虑数据包的内容或来源。
- 用途: 主要用于整个端口的流量监视,无论流量的内容如何。通常用于网络故障排除、性能监控以及流量分析等方面。
- 配置: 配置端口镜像时,需要选择一个源端口和一个目标端口,源端口上的所有流量将被复制到目标端口供监控设备使用。
- 适用性: 适用于需要监控特定端口的所有流量的情况,例如,监视网络连接或排查故障。
| 配置 | 介绍 |
|---|---|
| inbound | 将镜像端口入方向绑定到观察端口,即将镜像端口接收的报文复制到观察端口上。 |
| outbound | 将镜像端口出方向绑定到观察端口,即将镜像端口发送的报文复制到观察端口上。 |
| both | 将镜像端口双方向绑定到观察端口,将镜像端口收、发的报文都复制到观察端口上。 |
端口镜像的原理
端口镜像的原理很简单,它涉及将一个端口的数据流复制到另一个端口,以便进行监视和分析。这个过程通常在交换机、路由器或网络设备上完成,这些设备通常都具有专用的镜像端口或镜像功能。
基本的端口镜像原理包括以下几个步骤:
- 选择源端口(被镜像的端口): 网络管理员选择要监视的源端口,通常是网络中的一个活跃端口,其流量需要进行监测或分析。
- 选择目标端口(观察端口):网络管理员选择一个目标端口,这是将源端口的流量复制到的地方。目标端口通常连接到一个监测设备,如网络分析器或日志记录系统。
- 启用端口镜像: 在网络设备上配置,启用端口镜像功能,并指定源端口和目标端口。这告诉设备将源端口的流量复制到目标端口。
- 复制流量: 一旦配置完成,网络设备将源端口的流量复制到目标端口,以供监测和分析。
通过这种方式,监测设备可以实时地监视和记录流经源端口的所有数据流量,无需干扰网络的正常运行。
VLAN的接口类型和VLAN标签的处理机制
现网中属于同一个VLAN的用户可能会被连接在不同的交换机上,且跨越交换机的VLAN可能不止一个,如果需要用户间的互通,就需要交换机间的接口能够同时识别和发送多个VLAN的数据帧。根据接口连接对象以及对收发数据帧处理的不同,当前有VLAN的多种接口类型,以适应不同的连接和组网。
不同厂商对VLAN接口类型的定义可能不同。对于华为设备来说,常见的VLAN接口类型有三种,包括:Access、Trunk和Hybrid。
Access接口
Access接口一般用于和不能识别Tag的用户终端(如用户主机、服务器)相连,或者不需要区分不同VLAN成员时使用。
在一个VLAN交换网络中,以太网数据帧主要有以下两种形式:
无标记帧(Untagged帧):原始的、未加入4字节VLAN标签的帧。
有标记帧(Tagged帧):加入了4字节VLAN标签的帧。
Access接口大部分情况只能收发Untagged帧,且只能为Untagged帧添加唯一VLAN的Tag。交换机内部只处理Tagged帧,所以Access接口需要给收到的数据帧添加VLAN Tag,也就必须配置缺省VLAN。配置缺省VLAN后,该Access接口也就加入了该VLAN。
当Access接口收到带有Tag的帧,并且帧中VID与PVID相同时,Access接口也能接收并处理该帧。
在发送带有Tag的帧前,Access接口会剥离Tag。
Trunk接口
Trunk接口一般用于连接交换机、路由器、AP以及可同时收发Tagged帧和Untagged帧的语音终端。它可以允许多个VLAN的帧带Tag通过,但只允许属于缺省VLAN的帧从该类接口上发出时不带Tag(即剥除Tag)。
Trunk接口上的缺省VLAN,有的厂商也将它定义为native VLAN。当Trunk接口收到Untagged帧时,会为Untagged帧打上Native VLAN对应的Tag。
Hybrid接口
Hybrid接口既可以用于连接不能识别Tag的用户终端(如用户主机、服务器)和网络设备(如Hub),也可以用于连接交换机、路由器以及可同时收发Tagged帧和Untagged帧的语音终端、AP。它可以允许多个VLAN的帧带Tag通过,且允许从该类接口发出的帧根据需要配置某些VLAN的帧带Tag(即不剥除Tag)、某些VLAN的帧不带Tag(即剥除Tag)。
Hybrid接口和Trunk接口在很多应用场景下可以通用,但在某些应用场景下,必须使用Hybrid接口。比如在灵活QinQ中,服务提供商网络的多个VLAN的报文在进入用户网络前,需要剥离外层VLAN Tag,此时Trunk接口不能实现该功能,因为Trunk接口只能使该接口缺省VLAN的报文不带VLAN Tag通过。
技术细节
IDS底层系统是Linux,为什么交换机连接IDS监测系统需要配置trunk呢?
因为当交换机配置了端口镜像后,观察口会接收来自被镜像端口的所有流量,包括不同 VLAN 的流量。如果观察口不配置 trunk,那么它只能接收和发送来自单一 VLAN 的流量,这将导致观察口无法接收来自其他 VLAN 的流量,从而影响 IDS 监测系统的监测效果。
通过配置 trunk,观察口可以接收来自不同 VLAN 的流量,并将它们发送到 IDS 监测系统。这样,IDS 监测系统就可以对来自不同 VLAN 的流量进行监测和分析。
下面我们来看下配置
核心交换机配置
配置观察口
[core1]observe-port 1 interface gi 0/0/46
配置vlan
[core1]lvlan batch 2-4094
[core1]int gi 0/0/46
[[core1-GigabitEthernet0/0/46]port link-type trunk
[core1-GigabitEthernet0/0/48]trunk allow-pass vlan 2-4094
配置被镜像的端口
[core1]int gi 0/0/48
[core1-GigabitEthernet0/0/48]port-mirroring to observe-port 1 inbound #配置48口为镜像口,将接收的报文复制到观察端口上
[core1-GigabitEthernet0/0/48]port-mirroring to observe-port 1 outbound #配置48口为镜像口,将发送的报文复制到观察端口上
[core1]port-group all_port_mirror #为了批量修改端口建立端口组
[core1-port-group-all_port_mirror]group-member gi0/0/1 to gi 0/0/45 #添加端口到组里
[core1-port-group-all_port_mirror]group-member gi0/0/47 to gi 0/0/48 #添加端口到组里
[core1-port-group-all_port_mirror]port-mirroring to observe-port 1 inbound
#配置镜像口,将接收的报文复制到观察端口上
[core1-port-group-all_port_mirror]port-mirroring to observe-port 1 outbound
#配置镜像口,将发送的报文复制到观察端口上
镜像交换机
配置vlan
[jingxiang]
[jingxiang]lvlan batch 2-4094
[jingxiang]int gi 0/0/1
[[jingxiang-GigabitEthernet0/0/1]port link-type trunk
[jingxiang-GigabitEthernet0/0/1]trunk allow-pass vlan 2-4094
[jingxiang]int gi 0/0/2
[[jingxiang-GigabitEthernet0/0/2]port link-type trunk
[jingxiang-GigabitEthernet0/0/2]trunk allow-pass vlan 2-4094
[jingxiang]int gi 0/0/3
[jingxiang-GigabitEthernet0/0/3]port link-type trunk
[jingxiang-GigabitEthernet0/0/3]trunk allow-pass vlan 2-4094
6900
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
