各類交換機(jī)端口鏡像配置

1、1、 什么是端口鏡像 22、 為什么需要端口鏡像 23、 端口鏡像的別名 24、 支持端口鏡像的交換機(jī) 35、 各種交換機(jī)端口鏡像配置 3CISCO CATALYST 交換機(jī)端口監(jiān)聽配置 3CISCO:3550 IOS 端口映射的舉例 3CATALYST 4000/5000/6000 系列交換機(jī)端口監(jiān)聽配置（基于CAT OS） 43COM 交換機(jī)端口監(jiān)聽配置 5DELL 交換機(jī)端口監(jiān)聽配置 5NETCORE交換機(jī)端口監(jiān)聽配置 7I NTEL 交換機(jī)端口監(jiān)聽配置 7AVAYA 交換機(jī)端口監(jiān)聽配置 8港灣交換機(jī)的配置 8北電交換的設(shè)置 9華為交換機(jī)端口監(jiān)聽配置 9HP 交換機(jī)端口監(jiān)聽配置 10EX

2、TREME 交換機(jī) 10FOUNDRY 交換機(jī) 12JUNIPER 交換機(jī) 131、 什么是端口鏡像把交換機(jī)一個(gè)或多個(gè)端口（VLAN ）的數(shù)據(jù)鏡像到一個(gè)或多個(gè)端口的方法。端口鏡像（Port Mirroring ）可以讓用戶將所有的流量從一個(gè)特定的端口復(fù)制到一個(gè)鏡像端口。如果您的交換機(jī)提供端口鏡像功能，則允許管理人員自行設(shè)置一個(gè)監(jiān)視管理端口來監(jiān)視被監(jiān)視端口的數(shù)據(jù)。監(jiān)視到的數(shù)據(jù)可以通過PC 上安裝的網(wǎng)絡(luò)分析軟件來查看，通過對(duì)數(shù)據(jù)的分析就可以實(shí)時(shí)查看被監(jiān)視端口的情況。端口鏡像選取的設(shè)備原則為網(wǎng)絡(luò)中連接重要服務(wù)器群的交換機(jī)或路由器，或是連接到網(wǎng)通的出口路由器。2、 為什么需要端口鏡像通常為了部署流量分

3、析、IDS 等產(chǎn)品需要監(jiān)聽網(wǎng)絡(luò)流量，但是在目前廣泛采用的交換網(wǎng)絡(luò)中監(jiān)聽所有流量有相當(dāng)大的困難，因此需要通過配置交換機(jī)來把一個(gè)或多個(gè)端口（VLAN ）的數(shù)據(jù)轉(zhuǎn)發(fā)到某一個(gè)端口來實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的監(jiān)聽。3、 端口鏡像的別名端口鏡像通常有以下幾種別名： Port Mirroring通常指允許把一個(gè)端口的流量復(fù)制到另外一個(gè)端口，同時(shí)這個(gè)端口不能再傳輸數(shù)據(jù)。 Monitoring Port監(jiān)控端口 Spanning Port通常指允許把所有端口的流量復(fù)制到另外一個(gè)端口，同時(shí)這個(gè)端口不能再傳輸數(shù)據(jù)。 SPAN port在Cisco 產(chǎn)品中，SPAN通常指Switch Port ANalyzer 。某些交換機(jī)的SP

4、AN端口不支持傳輸數(shù)據(jù) Link Mode port4、 支持端口鏡像的交換機(jī)大多數(shù)中檔以上的交換機(jī)都支持端口鏡像功能，但支持程度不同。5、 各種交換機(jī)端口鏡像配置大多數(shù)三層交換機(jī)和部份兩層交換機(jī)， 具備端口鏡像功能，不同的交換機(jī)或不同的 型號(hào)，鏡像配置方法的有些區(qū)別，下面我們提供常見交換機(jī)的鏡像配置方法：Cisco CATALYST 交換機(jī)端口監(jiān)聽配置CISCO CATALYST 交換機(jī)分為兩種，在 CATALYST家族中稱監(jiān)聽端口為分析端 口 (analysis port) 。1、Catalyst 2900XL/3500XL/2950系列交換機(jī)端口監(jiān)聽配置(基于CLI)以下命令配置端口監(jiān)聽

5、：port monitor例如，F(xiàn)0/1 和 F0/2、F0/5 同屬 VLAN1 , F0/1 監(jiān)聽 F0/2、F0/5 端口： interface FastEthernet0/1port monitor FastEthernet0/2port monitor FastEthernet0/5port monitor VLAN1cisco:3550 IOS 端口映射的舉例monitor session 1 source interface Fa0/32 both以上命令的意思是：在監(jiān)控組，組"1”的設(shè)置中，將Fa0/32的流量作為“源數(shù)據(jù)" 命令的后面還有選項(xiàng)分別是rx,t

6、x,both 。 rx意思是僅將該接口接收的流量作為"源數(shù)據(jù) " 。 tx 的意思是僅將該接口發(fā)送的流量作為"源數(shù)據(jù) "。 both 的意思是將該接收進(jìn)出的流量都作為" 源數(shù)據(jù) "。其中 f0/32 口是上行到出口路由器的口，所以這里設(shè)置此口監(jiān)控。這樣設(shè)置的問題是，公司內(nèi)部PC-PC 之間的流量是監(jiān)控不到的。而cisco 設(shè)備又只能設(shè)置一個(gè)"both" 狀態(tài)的口。所以這個(gè)是相對(duì)比較好的設(shè)置方案。monitor session 1 destination interface Fa0/5以上命令的意思是：在監(jiān)控組，組&

7、quot;1" 的設(shè)置中，將Fa0/5 作為監(jiān)控的目的口，也就是監(jiān)控服務(wù)器所插的口。設(shè)置完成后，該口將接收到監(jiān)控組組"1"" 源接口"，在這里也就是Fa0/32 的數(shù)據(jù)。注意cisco 設(shè)備一旦設(shè)置了監(jiān)控后，監(jiān)控的目的口將不會(huì)再接收三層數(shù)據(jù)。通常的理解就是： " 會(huì)斷網(wǎng)"。Catalyst 4000/5000/6000 系列交換機(jī)端口監(jiān)聽配置（基于CatOS）支持 2 組鏡像EnShow module （ 確認(rèn)端口所在的模塊）Set span source（mod/port） destination（mod/port） in

8、|out|both inpkts enableWrite tern allShow span注：多個(gè)source ： mod/port,mod/port-mod/port連續(xù)端口用橫桿“ ”，非連續(xù)端口用逗號(hào) “， ”set span enable允許鏡像set span disable禁止鏡像用于建立第二set span source destination in|out|both inpkts enable create （create組鏡像 ）以下命令配置端口監(jiān)聽：set span例如，模塊6中端口 1和端口 2同屬VLAN1，端口 3在VLAN2 ,端口 4和5在VLAN2 ,端口 2

9、 監(jiān)聽端口 1 和 3、4、5,set span 6/1,6/3-5 6/23COM交換機(jī)端口監(jiān)聽配置在3COM交換機(jī)中，端口監(jiān)聽被稱為 “Roving Analysis網(wǎng)絡(luò)流量被監(jiān)聽的端口稱作 監(jiān)聽口"(Monitor Port ),連接監(jiān)聽設(shè)備的端口稱作 分析口”(Analyzer Port )。以下命令配置端口監(jiān)聽：指定分析口feature rovingAnalysis add , 或縮寫 f r a例如：Select menu option: feature rovingAn alysis addSelect analysis slot: 1Select analysis p

10、ort: 2指定監(jiān)聽口并啟動(dòng)端口監(jiān)聽feature rovingAnalysis start , 或縮寫 f r sta例如：Select menu option: feature rovingAn alysis startSelect slot to monitor (1-12): 1Select port to monitor&nb sp; (1-8): 3停止端口監(jiān)聽feature rovingAnalysis stop , 或縮寫 f r stoDELL交換機(jī)端口監(jiān)聽配置在Dell交換機(jī)中，端口監(jiān)聽被稱為 端口鏡像"（Port Mirroring ）。使用交換機(jī) 的管

11、理界面，參數(shù)如下： Destination Port （目的地端口）：定義端口通信要鏡像到的端口號(hào)； Source Port （源端口）：定義被鏡像端口的端口號(hào)。Add （添加）：添加端口鏡像操作。Type （類型）：指定要鏡像的端口通信類型。 可能的字段值包括：“RX-表示鏡 像進(jìn)入網(wǎng)絡(luò)的數(shù)據(jù)；“TX'-表示鏡像流出網(wǎng)絡(luò)的數(shù)據(jù)；Both （）-表示鏡像所有數(shù) 據(jù)。Status （狀態(tài)）：表示端口的狀態(tài)?？赡艿淖侄沃蛋ǎ骸?Active -表示端口被啟用；“Not Active '-表示端口被禁用。Remove （刪除）：刪除端口鏡像會(huì)話?？赡艿淖侄沃蛋ǎ喊瓦x取"

12、-刪除端口鏡像會(huì)話；朱選取”-保留端口鏡像會(huì)話。具體設(shè)置：1、在Port Mirroring 對(duì)話框中的Destination Port中選中目的端口（鏡像端口），再單擊Add按鈕；2、在系統(tǒng)將打開“Add Source Port （添加源端口）頁(yè)面中，定義“Source Port （源端口）和“Type"（類型）字段，并單擊“Apply Changes"（應(yīng)用更改）， 使 系統(tǒng)接收更改。（注：如果需要從端口鏡像會(huì)話刪除副本端口，請(qǐng)打開 “Port Mirroring ”（端口鏡 像）頁(yè)面，選取“Remove （刪除）復(fù)選框，再單擊 “Apply Changes"

13、（應(yīng)用更 改）。系統(tǒng)將刪除端口鏡像會(huì)話，并更新設(shè)備。） 以下命令配置端口監(jiān)聽： 指定分析口CLI命令實(shí)例：Console（config）# interface ethernet 1/e1Console（config-if）# port monitor 1/e8Console# show ports monitorSource port Destination Port Type Status1/e1 1/e8 RX, TX ActiveNetCore交換機(jī)端口監(jiān)聽配置NetCore交換機(jī)中，端口監(jiān)聽被稱為端口鏡像"(Port Mirroring )。交換機(jī)提供四種監(jiān)視狀態(tài)：Off關(guān)閉

14、Mirror功能Rx捕獲被監(jiān)視端口的接收數(shù)據(jù)Tx捕獲被監(jiān)視端口的發(fā)送數(shù)據(jù)Both捕獲被監(jiān)視端口的接收和發(fā)送的數(shù)據(jù)進(jìn)入NetCore的超級(jí)終端，在主菜單中輸入“5進(jìn)入端口鏡像設(shè)置界面，輸入“1”設(shè)置端口鏡像狀態(tài)。如設(shè)置端口 1為鏡像端口，端口 8為被鏡像端口，捕獲該端口的接收和發(fā)送數(shù)據(jù)。配置命令如下：1 .選擇配置的選項(xiàng)(1,off, 2.Rx, 3.Tx, 4.Both): 42 .選擇捕獲端口： 13 .選擇被鏡彳紀(jì)端口： 8按Esc鍵退回鏡像設(shè)置界面，設(shè)置成功。Intel交換機(jī)端口監(jiān)聽配置Intel稱端口監(jiān)聽為“Mirror Ports 。'網(wǎng)絡(luò)流量被監(jiān)聽的端口稱作 源端口” (S

15、ource Port ),連接監(jiān)聽設(shè)備的端口稱作 鏡像口"(Mirror Port )。配置端口監(jiān)聽步驟如下：在 navigation 菜單，點(diǎn)擊 Statistics 下的 Mirror Ports ,彈出 Mirror Ports 信息。在Configure Source列中點(diǎn)擊端口來選擇源端口，彈出Mirror PortsConfiguration 。進(jìn)行源端口設(shè)置:源端口是鏡像流量的來源口，鏡像口是接收來自源端口流量的端口。點(diǎn)擊Apply確定可以選擇三種監(jiān)聽的方式：1 .連續(xù)(Always )：鏡像全部流量。2 .周期(Periodic ):在一定周期內(nèi) 鏡像全部流量。鏡像周

16、期在Sampling Interval configuration 中設(shè)置。3 .禁止(Disabled ):關(guān)閉流量鏡像。Avaya交換機(jī)端口監(jiān)聽配置在Avaya交換機(jī)用戶手冊(cè)中，端口監(jiān)聽被稱為端口鏡像"(Port Mirror )。以下命令配置端口監(jiān)聽：set|clear Port Mirror設(shè)置端口偵聽：set port mirror source-portmirror-portsampling always max-packets -secpiggyback-port 禁止端口監(jiān)聽：clear port mirror命令中，mod-port-range指定端口 的范圍；mo

17、d-port-spec指定特定的端口 ；piggyback-port指定雙向鏡像的端口 ；sampling 指定鏡像周期；max-packets-sec 僅在 sampling 設(shè)置為 periodic 時(shí)使用，指定監(jiān)聽口 每秒最 多的數(shù)據(jù)報(bào)數(shù)量。港灣交換機(jī)的配置conf mirr 1 to 24 （ 設(shè)置鏡像端口24 ）conf mirr 1 add port 21,25 in（ 需要鏡像的端口入流量）conf mirr 1 add port 21,25 eg（需要鏡像的端口出流量）conf mirr 1 dis （ 消除鏡像）北電交換的設(shè)置Passport8600 的做端口鏡像的命令（在

18、86 的 cli 接口下做）實(shí)際上這些工作都可以在Java Device Manager 下面做 （一個(gè)非常直觀的圖形化配置工具 ）1 . 第一步 config diag mirror-by-port enable true打開端口鏡像功能2 .config diag mirror-by-port 1 create in-port 3/46 out 3/2這句話的意思就是創(chuàng)建一個(gè)端口鏡像條目1（1 只是一個(gè)id 用來區(qū)別不同條目）被鏡像的端口是3/46,3/2 就是用于接Sniffer 的端口3 .config diag mirror-by-port 1 mode both這句話意思是被鏡像的

19、端口的雙向流量都要被Monitor用完之后要config diag mirror-by-port enable false華為交換機(jī)端口監(jiān)聽配置華為6506R：如： mirroring-group 1 inband gigabitethernet 1/0/0 mirroring to gigabitethernet 1/0/1把該交換機(jī)的1/0/0 端口，鏡像到1/0/1華為 s8512下面為將4/1 的出流量和入流量全部境像到4/2 上：Mirroring-group 1 outbound 4/1 mirrored-to 4/2Mirroring-group 2 inbound 4/1 mi

20、rrored-to 4/2華為VRP S3526 ver3.1華為交換機(jī)用戶手冊(cè)中，端口監(jiān)聽被稱為“端口鏡像”（ Port Mirroring ） 。使用Huawei Lanswitch View 管理系統(tǒng)添加一個(gè)鏡像端口：選擇Device Setup 或 Stack Setup。點(diǎn)擊Port Mirroring 。點(diǎn)擊 Add按鈕。對(duì)于堆疊，點(diǎn)擊 Switch并從列表選擇一個(gè)交換機(jī)。點(diǎn)擊Reflect from并選擇流量將被鏡像的端口。點(diǎn)擊Reflect to并選上面所選擇的端口上的HP交換機(jī)端口監(jiān)聽配置全局模式（conf ter）:mirror-port a6（a6為接流量分析軟件的端口）

21、int a1-a3,a5,vlan20,trk2,mesh monitor （設(shè)置 a1,a2,a3,a5,trunk2mesh為被境像的端口，即源端口）show monitor（顯示境像設(shè)置結(jié)果）ctrl+zwrite memory（保存）Extreme 交換機(jī)特點(diǎn)：只能創(chuàng)建多對(duì)一或者一對(duì)一的鏡像端口可以監(jiān)聽 VLAN 的流量 Extreme會(huì)鏡像IN和OUT的流量。這就意味著在鏡像VLAN 的時(shí)候，會(huì)看到一個(gè)報(bào)文至少兩次一一從VLAN 的某個(gè)端口出來，并且進(jìn)入VLAN 的另一個(gè)端口。版本高于4.1的Extreme交換機(jī)端口鏡像配置方法port-no只能是一個(gè)端enable | disabl

22、e mirroring on port開啟/關(guān)閉端口鏡像功能，并且指定鏡像流量從何端口流出,configure mirroring add | delete vlan | port 指定鏡像哪個(gè)或哪些VLAN 或端口的流量 vlan | port 部分可以重復(fù)多次。版本低于4.1 的 Extreme 交換機(jī)端口鏡像配置方法enable mirror to port port-no開啟端口鏡像功能，并且指定鏡像流量從何端口流出，port-no 只能是一個(gè)端口disable mirror關(guān)閉端口鏡像功能config mirror add port鏡像端口port-no 的流量，如果這個(gè)端口包含多個(gè)VLAN 這些流量都會(huì)被鏡像到目的config mirror add port vlan鏡像端口port-no 中指定 VLAN 的流量config mirror add vlan鏡像端口中指定VLAN 的所有端口的流量config mirror del port取消對(duì) port-no 的端口鏡像config mir