旁路流量检测–流量镜像
在生产环境当中,经常会出现核心交换机旁挂入侵检测探针类安全设备用于对生产网络安全进行监测和保障,确保网络环境能够安全稳定的运行。
入侵检测系统就不多说,对流量进行分析和流量特征库进行比对,上报异常流量行为和动作,为网络安全管理员提供防护思路,取证异常流量五元组信息等等,总结来说就是为了保证内网安全运行的安全设备;
交换机侧需要将所有流量镜像到IDS上面进行检测分析;
(这里拿华三交换机举例说明)
H3C端口镜像:
1. —本地端口镜像
mirroring-group 1 local
mirroring-group 1 mirroring-port port to port both
mirroring-group 1 monitor-port port
2. —远程端口镜像
A: #源交换机
mirroring-group 1 remote-source #创建源镜像
vlan 10 #创建vlan用于传输镜像流量
undo mac-address mac-learning enable #关闭学习mac
mirroring-group 1 remote-probe vlan 10 #配置vlan10用于传输
mirroring-group 1 mirroring-port port to port both #配置监听口
mirroring-group 1 reflector-port port #配置源反射口
interface port #配置出端口并放行传输镜像vlan
port link-type trunk
port trunk permit vlan 10
B: #中间交换机
vlan 10
undo mac-address mac-learning enable #关闭学习mac
interface port
port link-type trunk #配置入端口并放行传输镜像vlan
port trunk permit vlan 10
interface port
port link-type trunk #配置出端口并放行传输镜像vlan
port trunk permit vlan 10
C:
mirroring-group 1 remote-destination #远程镜像目的交换机
vlan 10 #传输远程镜像的vlan
undo mac-address mac-learning enable #关闭学习mac
mirroring-group 1 remote-probe vlan 10 #vlan10是远端镜像传输vlan
interface port #镜像流量入接口
port link-type trunk
port trunk permit vlan 10
interface port #镜像流量最终出口
mirroring 1 monitor-port
undo stp enable
port access vlan 10
还有一种情况是,本地存在多台检测设备或审计系统都需要进行流量镜像,而交换机型号性能不支持开启多个端口,可以使用下面第三种方式!!!!!!!!
3. 本地需要多个镜像口
流量镜像(需要多个monitor,镜像)
mirroring-group 1 remote-source
mirroring-group 1 mirroring-port g1/0/1 to g1/0/20
mirroring-group 1 reflector-port g1/0/23 (未使用端口做反射口)
vlan 999 (镜像vlan)
最后将需要镜像端口加入access vlan 999即可