思科交換機鏡像配置實例介紹

1、思科交換機鏡像配置實例介紹思科交換機鏡像配置實例介紹：端口鏡像的目的由于部署IDS產品需要監(jiān)聽網絡流量 (網絡分析儀同樣也需 要)，但是在目前廣泛采用的交換網絡中監(jiān)聽所有流量有相當大 的困難，因此需要通過配置交換機來把一個或多個端口(VLAN)的數據轉發(fā)到某一個端口來實現(xiàn)對網絡的監(jiān)聽。端口鏡像的功能監(jiān)視到進出網絡的所有數據包，供安裝了監(jiān)控軟件的管理服務 器抓取數據，如網吧需提供此功能把數據發(fā)往公安部門審查。而 企業(yè)出于信息安全、保護公司機密的需要，也迫切需要網絡中有 一個端口能提供這種實時監(jiān)控功能。在企業(yè)中用端口鏡像功能， 可以很好的對企業(yè)內部的網絡數據進行監(jiān)控管理，在網絡出現(xiàn)故障的時候，可以

2、做到很好地故障定位。More.端口鏡像(port Mirroring)把交換機一個或多個端口(VLAN)的數據鏡像到一個或多個端口的方法。端口鏡像的目的由于部署IDS產品需要監(jiān)聽網絡流量 （網絡分析儀同樣也需 要），但是在目前廣泛采用的交換網絡中監(jiān)聽所有流量有相當大 的困難，因此需要通過配置交換機來把一個或多個端口（VLAN）的數據轉發(fā)到某一個端口來實現(xiàn)對網絡的監(jiān)聽。端口鏡像的功能監(jiān)視到進出網絡的所有數據包，供安裝了監(jiān)控軟件的管理服務 器抓取數據，如網吧需提供此功能把數據發(fā)往公安部門審查。而 企業(yè)出于信息安全、保護公司機密的需要，也迫切需要網絡中有 一個端口能提供這種實時監(jiān)控功能。在企業(yè)中用端

3、口鏡像功能， 可以很好的對企業(yè)內部的網絡數據進行監(jiān)控管理，在網絡出現(xiàn)故障的時候，可以做到很好地故障定位。（備注：交換機把某一個端口接收或發(fā)送的數據幀完全相同的復 制給另一個端口 ；其中被復制的端口稱為鏡像源端口，復制的端 口稱為鏡像目的端口。）端口鏡像的別名端口鏡像通常有以下幾種別名： Port Mirroring通常指允許把一個端口的流量復制到另外一 個端口，同時這個端口不能再傳輸數據。 Monitoring Port 監(jiān)控端 口 Spanning Port通常指允許把所有端口的流量復制到另外一 個端口，同時這個端口不能再傳輸數據。 SPAN port 在 Cisco 產品中，SPAN 通常

4、指 Switch Port ANalyzer。某些交換機的 SPAN端口不支持傳輸數據。 Link Mode port這樣，這些流量就可以被一個特殊的設備監(jiān) 控。它對發(fā)現(xiàn)和修理故障有很大的幫助。端口鏡像工作原理：SPAN(Switched Port Analyzer)的作用主要是為了給某種網絡分 析器提供網絡數據流。它既可以實現(xiàn)一個 VLAN中若干個源端口向一個監(jiān)控端口鏡像 數據，也可以從若干個 VLAN向一個臨控端口鏡像數據。源端 口的5號端口上流轉的所有數據流均被鏡像至10號監(jiān)控端口，而數據分析設備通過監(jiān)控端口接收了所有來自5號端口的數據流。值得注意的是，源端口和鏡像端口必須位于同一臺交換

5、機上 (但也有例外，如Catalyst 6000系列交換機力而且SPAN弁不會影 響源端口的數據交換，它只是將源端口發(fā)送或接收的數據包副本 發(fā)送到監(jiān)控端口。在SPAN任務過程中，用戶可以通過參數控制，來指明需要監(jiān)控的數據流種類；還可以將一個或多個端、口、一個或多個VLAN 作為源端口，弁將從這些端口中發(fā)送或接收的單向或雙向數據流 傳送至監(jiān)控端口。在Catalyst 4006交換機中，最多可以配置6個 單向的SPAN任務：2個輸入數據流監(jiān)控、4個輸出數據流監(jiān)控。 一個雙向SPAN任務實際上包含一個單向輸入和一個單向輸出。而且不僅僅二層交換端口可作為源端口，Catalyst 4006上的三層路由端

6、口也可設置為源端口。SPAN任務不會影響交換機的正常工作。當一個 SPAN任務被 建立后，根據交換機所處的不同的狀態(tài)或操作，任務會處于激活或非激活狀態(tài)，同時系統(tǒng)會將其記入日志。通過 show monitor session命令可顯示SPAN的當前狀態(tài)。如果遇到系統(tǒng)重新啟動的情況，在目的端口初始化結束之前， SPAN任務將處于非激活犬態(tài)。目的端口 （監(jiān)控端口）可以是交換 機上的任意一個交換或路由端口。當一個目的端口處于激活狀態(tài)時，任何發(fā)送到該端口且與SPAN任務無關的數據包將會被丟棄。一個目的端口只能處于一個 SPAN任務中。當一個端口被配制 成目的端口后就不能再成為源端口，同時冗余鏈路端口也不

7、能成為SPAN的目的端口。特別需要指出的是，如果一個Trunk端口 被配置成為SPAN的目的端口，則其Trunk功能也將自動停止。源端口又可以稱作被監(jiān)控端口。在一個SPAN任務中，可以有一個或多個源端口，而且可以根據用戶需要設置為輸入方向、輸出方向或雙向，但無論哪種情況，在一個SPAN任務中，所有源端口的被監(jiān)控方向都必須是一致的。在Catalyst 4006交換機上的VLAN也可以整體設置為源端口，這意味著被指定 VLAN中的所有端口均為當前 SPAN任務中的 源端口。Trunk端口可以單獨設為源端口，也可以與非Trunk端口一起被設置為源端口，但要注意的是，在監(jiān)控端口不會識別來自Trunk端

8、口針對不同 VLAN的數據封裝格式，換句話說，在監(jiān)控端口 收到的數據包將無法辨明是來自哪個VLAN oSPAN數據流主要分為三類：(1)輸入數據流(Ingress SPAN)：指被源端口接收進來，其數據副 本發(fā)送至監(jiān)控端口的數據流；(2)輸出數據流(Egress SPAN):指從源端口發(fā)送出去，具數據副 本發(fā)送至監(jiān)控端口的數據流；(3)雙向數據流(Both SPAN):即為以上兩種的綜合?；赩LAN的SPAN是以一個或幾個VLAN作為監(jiān)控對象，其 中的所有端口均為源端口，與基于端口的SPAN類似，基于VLAN的SPAN也分為輸入數據流、輸出數據流和雙向數據流監(jiān)控三種 類型。在配置基于VLAN

9、的SPAN任務過程中，應注意幾點：(1)Trunk端口可以包含在源端口中;(2)針對雙向SPAN任務，如果在源VLAN中的兩個源端口之間有數據交換，則每一個數據包將有兩個副本被轉發(fā)至鏡像端口；(3)對有多個源VLAN的SPAN任務來說，如果某個源 VLAN 被刪除掉，則該 VLAN也將從源VLAN列表中刪除；(4)處于非激活狀態(tài)的 VLAN無法參與SPAN任務；(5)對于一個設置為輸入數據流監(jiān)控的源 VLAN來說，來自其他 VLAN的路由信息數據包不會被鏡像；此外，從設置為輸出數據 流監(jiān)控的VLAN向其他VLAN發(fā)送出的路由信息數據包也同樣 不會被鏡像。換句話說，基于 VLAN的SPAN任務只

10、對進出二 層交換端口的數據包進行鏡像，而不鏡像VLAN之間的路由信息。所有網間傳輸的非路由數據包，包括組播包和BPDU(橋接協(xié)議數據單元)包，都可以使用SPAN任務進行鏡像。在一些SPAN任務的配置下，會出現(xiàn)同一個 SPAN源端口數據包的多個副本被發(fā)送到SPAN監(jiān)控端口的情況。正像前面提到的那樣，在一個雙向SPAN任務中，假設al和a2為源端口，di 為目的端口，如果al與a2之間有數據包傳輸，則在 al傳向a2 的數據包將會被傳送到 di兩次，反之亦然。鏡像端口建立方法Cisco CATALYST交換機端口監(jiān)聽配置Cisco CATALYST交換機分為兩 種，在CATALYST家族中稱偵 聽

11、端口為分析端 口 (analysis port) 。 1、 Catalyst 2900XL/3500XL/2950系列交換機端口監(jiān)聽配置(基于CLI)以下命令配置端口監(jiān)聽：port monitor例如，F(xiàn)0/1 和 F0/2、F0/3 同屬 VLAN1 , F0/1 監(jiān)聽 F0/2、F0/3 端口 ：interface FastEthernet0/1port monitor FastEthernet0/2port monitor FastEthernet0/3port monitor VLAN12、Catalyst 4000, 5000 and 6000系列交換機端口監(jiān)聽配 置（基 于 IOS

12、）以下命令配置端口監(jiān)聽：set span例如，模塊1中端口 1和端口 2同屬VLAN1 ,端口 3在VLAN2 , 端口 4和5在VLAN2 ,端口 2監(jiān)聽端口 1和3、4、5,set span 1/1, 1/3-5 1/22950/3550/3750格式如下：#monitor session number source interfacemod_number/port_number both#monitor session number destination interfacemod_mnumber/port_number/rx-指明是進端口得流量，tx-出端口得流量both進出得流 量f

13、or example:第一條鏡像，將第一模塊中的源端口為1-10的鏡像到端口 12#monitor session 1 source interface 1/1-10 both#monitor session 1 destination interface 1/12第二條鏡像，將第二模塊中的源端口為13-20的鏡像到端口 24上面；#monitor session 2 source interface 2/13-20 both#monitor session 2 destination interface 2/24當有多條鏡像、多個模塊時改變其中的參數即可。Catalyst 2950 3550 不支持 port monitorC2950#configure terminalC2950(config)#C2950(config)#monitor session 1 source interface fastEthernet 0/2!- Interface fa 0/2 is configured as source port.C2950(config)#monitor session 1 de