旁路流量检测--流量镜像

旁路流量检测–流量镜像

在生产环境当中,经常会出现核心交换机旁挂入侵检测探针类安全设备用于对生产网络安全进行监测和保障,确保网络环境能够安全稳定的运行。
入侵检测系统就不多说,对流量进行分析和流量特征库进行比对,上报异常流量行为和动作,为网络安全管理员提供防护思路,取证异常流量五元组信息等等,总结来说就是为了保证内网安全运行的安全设备;

交换机侧需要将所有流量镜像到IDS上面进行检测分析;
(这里拿华三交换机举例说明)

H3C端口镜像:

1. —本地端口镜像

mirroring-group 1 local
mirroring-group 1 mirroring-port  port to port both
mirroring-group 1 monitor-port port

2. —远程端口镜像

A:										#源交换机
mirroring-group 1 remote-source					#创建源镜像
vlan 10									#创建vlan用于传输镜像流量
	undo mac-address mac-learning enable			#关闭学习mac
mirroring-group 1 remote-probe vlan 10				#配置vlan10用于传输
mirroring-group 1 mirroring-port port to port both		#配置监听口
mirroring-group 1 reflector-port port				#配置源反射口
interface port 								#配置出端口并放行传输镜像vlan
	port link-type trunk
	port trunk permit vlan 10

B:										#中间交换机
vlan 10
	undo mac-address mac-learning enable			#关闭学习mac
interface port
	port link-type trunk						#配置入端口并放行传输镜像vlan
	port trunk permit vlan 10
interface port
	port link-type trunk						#配置出端口并放行传输镜像vlan
	port trunk permit vlan 10

C:
mirroring-group 1 remote-destination				#远程镜像目的交换机
vlan 10									#传输远程镜像的vlan
	undo mac-address mac-learning enable			#关闭学习mac
mirroring-group 1 remote-probe vlan 10				#vlan10是远端镜像传输vlan
interface port								#镜像流量入接口
	port link-type trunk
	port trunk permit vlan 10
interface port								#镜像流量最终出口
	mirroring 1 monitor-port
	undo stp enable
	port access vlan 10

还有一种情况是,本地存在多台检测设备或审计系统都需要进行流量镜像,而交换机型号性能不支持开启多个端口,可以使用下面第三种方式!!!!!!!!

3. 本地需要多个镜像口

流量镜像(需要多个monitor,镜像)

mirroring-group 1 remote-source
mirroring-group 1 mirroring-port g1/0/1 to g1/0/20
mirroring-group 1 reflector-port g1/0/23 (未使用端口做反射口)
vlan 999 (镜像vlan)
最后将需要镜像端口加入access vlan 999即可
  • 0
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

kate zhu

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值