多監(jiān)聽設(shè)備數(shù)據(jù)鏡像需求解決方案_20130305(共16頁)

1、啟明星辰 第 PAGE 18頁 地址：北京市海淀區(qū)東北旺西路8號(hào)中關(guān)村軟件園21號(hào)樓啟明星辰大廈電話傳真：82779151多監(jiān)聽設(shè)備(shbi)數(shù)據(jù)鏡像需求解決方案前線(qinxin)技術(shù)中心(zhngxn)安全工程部2013-3-5文檔信息(xnx)文檔名稱多監(jiān)聽設(shè)備數(shù)據(jù)鏡像需求解決方案_20130305保密級(jí)別公開文檔版本編號(hào)V1.4擬定人張雷擬定日期復(fù)審人復(fù)審日期批準(zhǔn)人批準(zhǔn)日期更改記錄日期修改章節(jié)類型*修改描述修改人2011-6-22C模板建立，編寫“利用分光器實(shí)現(xiàn)多端口數(shù)據(jù)鏡像”一節(jié)張雷2013-2-26M增加“利用交換機(jī)實(shí)現(xiàn)多端口數(shù)據(jù)鏡像”一節(jié)易雪蓮201

2、3-3-5M格式修改、章節(jié)內(nèi)容順序調(diào)整、文檔整理尹飛張雷* 修改類型(lixng)分為 C - CREATED M - MODIFIED D - DELETED目 錄 TOC o 1-3 h z u HYPERLINK l _Toc350254990 1需求(xqi)概述 PAGEREF _Toc350254990 h 4 HYPERLINK l _Toc350254991 2利用分光(fn un)器實(shí)現(xiàn)多端口數(shù)據(jù)鏡像 PAGEREF _Toc350254991 h 4 HYPERLINK l _Toc350254992 2.1用戶(yngh)環(huán)境 PAGEREF _Toc350254992

3、h 4 HYPERLINK l _Toc350254993 2.2使用1分4分光器 PAGEREF _Toc350254993 h 4 HYPERLINK l _Toc350254994 2.3交換機(jī)部分模塊參數(shù) PAGEREF _Toc350254994 h 6 HYPERLINK l _Toc350254995 2.4光纖接頭、光纖跳線及光纖轉(zhuǎn)接器說明 PAGEREF _Toc350254995 h 6 HYPERLINK l _Toc350254996 3利用交換機(jī)實(shí)現(xiàn)多端口數(shù)據(jù)鏡像 PAGEREF _Toc350254996 h 8 HYPERLINK l _Toc350254997

4、3.1解決方案一 PAGEREF _Toc350254997 h 8 HYPERLINK l _Toc350254998 3.1.1用戶網(wǎng)絡(luò)環(huán)境 PAGEREF _Toc350254998 h 8 HYPERLINK l _Toc350254999 3.1.2配置案例 PAGEREF _Toc350254999 h 8 HYPERLINK l _Toc350255000 3.1.3方案特點(diǎn) PAGEREF _Toc350255000 h 9 HYPERLINK l _Toc350255001 3.2解決方案二 PAGEREF _Toc350255001 h 9 HYPERLINK l _Toc

5、350255002 3.2.1用戶網(wǎng)絡(luò)環(huán)境 PAGEREF _Toc350255002 h 9 HYPERLINK l _Toc350255003 3.2.2配置案例 PAGEREF _Toc350255003 h 9 HYPERLINK l _Toc350255004 3.2.3方案特點(diǎn) PAGEREF _Toc350255004 h 9 HYPERLINK l _Toc350255005 3.3解決方案三 PAGEREF _Toc350255005 h 10 HYPERLINK l _Toc350255006 3.3.1用戶網(wǎng)絡(luò)環(huán)境 PAGEREF _Toc350255006 h 10 H

6、YPERLINK l _Toc350255007 3.3.2設(shè)備組網(wǎng)圖 PAGEREF _Toc350255007 h 10 HYPERLINK l _Toc350255008 3.3.3配置案例 PAGEREF _Toc350255008 h 10 HYPERLINK l _Toc350255009 3.3.4方案特點(diǎn) PAGEREF _Toc350255009 h 10 HYPERLINK l _Toc350255010 3.4解決方案四 PAGEREF _Toc350255010 h 11 HYPERLINK l _Toc350255011 3.4.1用戶網(wǎng)絡(luò)環(huán)境 PAGEREF _To

7、c350255011 h 11 HYPERLINK l _Toc350255012 3.4.2設(shè)備組網(wǎng)圖 PAGEREF _Toc350255012 h 11 HYPERLINK l _Toc350255013 3.4.3實(shí)現(xiàn)原理 PAGEREF _Toc350255013 h 11 HYPERLINK l _Toc350255014 3.4.4配置案例 PAGEREF _Toc350255014 h 12 HYPERLINK l _Toc350255015 3.4.5方案特點(diǎn) PAGEREF _Toc350255015 h 13 HYPERLINK l _Toc350255016 3.5解決

8、方案五 PAGEREF _Toc350255016 h 13 HYPERLINK l _Toc350255017 3.5.1用戶網(wǎng)絡(luò)環(huán)境 PAGEREF _Toc350255017 h 13 HYPERLINK l _Toc350255018 3.5.2設(shè)備組網(wǎng)圖 PAGEREF _Toc350255018 h 13 HYPERLINK l _Toc350255019 3.5.3實(shí)現(xiàn)原理 PAGEREF _Toc350255019 h 14 HYPERLINK l _Toc350255020 3.5.4配置案例 PAGEREF _Toc350255020 h 14 HYPERLINK l _T

9、oc350255021 3.5.5方案特點(diǎn) PAGEREF _Toc350255021 h 16需求概述項(xiàng)目(xingm)實(shí)施(shsh)過程中經(jīng)常(jngchng)會(huì)遇到在同一臺(tái)交換機(jī)上需要將鏡像數(shù)據(jù)發(fā)送至多臺(tái)網(wǎng)絡(luò)安全設(shè)備，如IDS、旁路審計(jì)等設(shè)備。這樣就需要交換機(jī)提供多路雙向鏡像抓包口與網(wǎng)絡(luò)安全設(shè)備相連。而大多數(shù)交換機(jī)通常只支持將源數(shù)據(jù)鏡像到1個(gè)目標(biāo)接口。那么針對(duì)于上文中提出的多路鏡像問題，通常可以通過以下手段來實(shí)現(xiàn)：升級(jí)交換機(jī)的IOS，使交換機(jī)支持多路雙向鏡像。如果交換機(jī)支持光口，可考慮使用分光器將出口的光分成2路或4路，然后分別接不同的網(wǎng)絡(luò)安全設(shè)備。利用交換機(jī)來滿足多個(gè)監(jiān)聽設(shè)備的數(shù)據(jù)鏡

10、像需求。使用TAP分路器設(shè)備。分析：方法1：不一定能找到合適的IOS，另外IOS升級(jí)存在一定風(fēng)險(xiǎn)；方法4：TAP價(jià)格較貴，少則上萬，大項(xiàng)目或比較專業(yè)的項(xiàng)目中優(yōu)先考慮使用TAP專業(yè)設(shè)備。一般的項(xiàng)目我們會(huì)考慮用第2種或第3種方法來實(shí)現(xiàn)。利用分光器實(shí)現(xiàn)多端口數(shù)據(jù)鏡像用戶環(huán)境 用戶環(huán)境：核心交換機(jī)為CISCO4503，帶一個(gè)5484卡。要在該交換機(jī)上接3個(gè)網(wǎng)絡(luò)安全設(shè)備，需要該交換機(jī)提供3路雙向鏡像。使用1分4分光器分光器參數(shù)和接口卡參數(shù)應(yīng)當(dāng)匹配，因此首先要查清交換機(jī)接口卡的特性。交換機(jī)5484卡特性如下：WS-G5484 1000BASE-SX：SC光接口(ji ku), 波長850nm，傳輸距離55

11、0M(多模)，如下(rxi)圖所示：采用(ciyng)的1分4分光器參數(shù)如下：千兆 多模 850波長，（5484卡就是1000M 多模 850波長 SC口，分光器參數(shù)和接口卡參數(shù)兩者應(yīng)當(dāng)匹配），價(jià)格大概￥960左右。分光器的入口線、出口線的長度和各個(gè)線的接頭（SC口還是要LC口）可以定制。分光器不論入口線還是出口線均是單根光纖，而5484卡本身的特性要求插兩根光纖且形成光回路，燈才能點(diǎn)亮并正常工作。項(xiàng)目中的1分4分光器接法如下：分光器入口光纖（定了5米）接交換機(jī)上5484卡的出光口（SC口），而分光器的出口光纖其中的1根（定了5米，SC口）接交換機(jī)上5484卡的入光口（SC口），只有這樣才能使

12、5484卡亮燈并工作。分光器出口其余的3根光纖接口要根據(jù)自己項(xiàng)目中設(shè)備的接口情況選用SC口或LC口，光纖長度自己定。分光器外觀如下圖所示：如果購買的分光器接口是SC口(大方口)，現(xiàn)場(chǎng)IDS或抓包設(shè)備是LC口（小方口），可以采取如下方法解決：在分光器SC接口上，接SC-SC光纖轉(zhuǎn)接器，轉(zhuǎn)換器另一端接SC-LC的光纖跳線解決。本文第4部分有光纖接頭、光線跳線及光纖轉(zhuǎn)接器的圖示。交換機(jī)部分(b fen)模塊(m kui)參數(shù)下面列出交換機(jī)部分模塊的參數(shù)，供大家(dji)參考。GBIC模塊系列：WS-G5483 1000BASE-T ： RJ-45接口, 傳輸距離100MWS-G5484 1000BA

13、SE-SX： SC接口, 波長850nm，傳輸距離550M(多模)WS-G5486 1000BASE-LX： SC接口, 波長1310nm，傳輸距離10KM(單模)WS-G5486-40KM 1000BASE-LX：SC接口, 波長1310nm，DFB, 傳輸距離40KM(單模)WS-G5487 1000BASE-ZX： SC接口，波長1550nm，傳輸距離70KM-80KM(單模)WS-G5487-120KM 1000BASE-ZX： SC接口，波長1550nm，DFB,APD，最大傳輸距離120KM(單模)SFP模塊系列：GLC-T 1000BASE-T：RJ-45接口, 傳輸距離100M

14、GLC-SX-MM 1000BASE-SX： LC接口, 波長850nm，傳輸距離500M(多模)GLC-LH-SM 1000BASE-LX： LC接口, 波長1310nm，傳輸距離10KM(單模)GLC-LH-SM-20KM 1000BASE-LX： LC接口, 波長1310nm，傳輸距離20KM(單模)GLC-ZX-SM 1000BASE-ZX： LC接口(ji ku), 波長1550nm，傳輸距離70KM-80KM(單模)GLC-ZX-SM-120KM 1000BASE-ZX：LC接口, 波長(bchng)1550nm，最大傳輸距離120KM(單模)光纖接頭(ji tu)、光纖跳線及光纖

15、轉(zhuǎn)接器說明光纖接頭圖示如下：上圖中ST為卡口，F(xiàn)C為螺紋口,尺寸相同，都用于配線架SC-LC光纖跳線：LC-LC光纖跳線SC接頭(ji tu)（大方(dfng)口）如下(rxi)圖： SC-SC光纖轉(zhuǎn)接器如下圖所示：（也叫光纖耦合器或法蘭盤，不要買現(xiàn)場(chǎng)熔接光纖的那種。）利用(lyng)交換機(jī)實(shí)現(xiàn)(shxin)多端口數(shù)據(jù)鏡像解決方案一用戶(yngh)網(wǎng)絡(luò)環(huán)境用戶網(wǎng)絡(luò)中有一臺(tái)核心交換機(jī)，需要在該交換機(jī)上接3個(gè)網(wǎng)絡(luò)安全設(shè)備，需要該交換機(jī)提供3路雙向鏡像。交換機(jī)支持將數(shù)據(jù)從同一個(gè)源接口鏡像到多個(gè)目標(biāo)接口。配置案例CISCO交換機(jī)鏡像配置步驟案例：步驟1：配置鏡像源端口monitor session 1

16、 source interface Gi0/1 both步驟2：配置鏡像目標(biāo)端口monitor session 1 destination interface Gi0/46 48方案特點(diǎn)優(yōu)點(diǎn)：不需要加入其他設(shè)備，配置簡單。缺點(diǎn)：很多廠商交換機(jī)不支持，或者交換機(jī)版本不支持。解決方案二用戶網(wǎng)絡(luò)環(huán)境用戶網(wǎng)絡(luò)中有一臺(tái)核心交換機(jī)，需要在該交換機(jī)上接3個(gè)網(wǎng)絡(luò)安全設(shè)備，需要該交換機(jī)提供3路雙向鏡像。交換機(jī)支持多組鏡像，將上連口鏡像到一個(gè)目標(biāo)接口，將其他所有接口鏡像到另一個(gè)目標(biāo)接口。配置(pizh)案例CISCO交換機(jī)鏡像配置(pizh)步驟(bzhu)案例：步驟1：配置鏡像源端口monitor sessio

17、n 1 source interface Gi0/1monitor session 2 source interface Gi0/2 - 46步驟2：配置鏡像目標(biāo)端口monitor session 1 destination interface Gi0/47monitor session 2 destination interface Gi0/48方案特點(diǎn)優(yōu)點(diǎn)：不需要加入其他設(shè)備，配置簡單。缺點(diǎn)：第二組鏡像源端口很多，可能會(huì)導(dǎo)致目標(biāo)端口帶寬不夠。解決方案三用戶網(wǎng)絡(luò)環(huán)境用戶網(wǎng)絡(luò)中有一臺(tái)核心交換機(jī)，需要在該交換機(jī)上接2個(gè)網(wǎng)絡(luò)安全設(shè)備，需要該交換機(jī)提供2路雙向鏡像。交換機(jī)不支持將一個(gè)源接口鏡像到多個(gè)

18、目標(biāo)接口，也不支持多組鏡像，這種情況下我們可以將目標(biāo)鏡像口連接一個(gè)hub（一定要為集線器），來擴(kuò)展接口。設(shè)備組網(wǎng)圖配置(pizh)案例CISCO交換機(jī)鏡像配置(pizh)步驟(bzhu)案例：步驟1：配置鏡像源端口monitor session 1 source interface Gi0/1步驟2：配置鏡像目標(biāo)端口monitor session 1 destination interface Gi0/48方案特點(diǎn) 優(yōu)點(diǎn)：該方案利用了集線器組網(wǎng)的特點(diǎn)，即當(dāng)集線器的一個(gè)端口從核心交換機(jī)接收到數(shù)據(jù)后，會(huì)將接收的數(shù)據(jù)廣播至集線器的每一個(gè)端口，配置簡單方便。缺點(diǎn)：需要增加一個(gè)集線器，100M集線器不多

19、且不好買，1000M集線器基本沒有，帶寬的需求不滿足。解決方案四用戶網(wǎng)絡(luò)環(huán)境用戶網(wǎng)絡(luò)中有一臺(tái)核心交換機(jī)，需要在該交換機(jī)上接2個(gè)網(wǎng)絡(luò)安全設(shè)備，需要該交換機(jī)提供2路雙向鏡像。但該核心交換機(jī)不支持將一個(gè)源接口鏡像到多個(gè)目標(biāo)接口，也不支持多組鏡像，且網(wǎng)絡(luò)中不能存在HUB或不接受HUB那么低的速率。對(duì)于此種情況，可以通過以下方案實(shí)現(xiàn)。需要用戶另外增加一臺(tái)千兆智能交換機(jī)（cisco、H3C、華為等均可，推薦用H3C或華為的，如果使用Cisco交換機(jī)，對(duì)版本有要求）。設(shè)備(shbi)組網(wǎng)圖實(shí)現(xiàn)(shxin)原理鏡像數(shù)據(jù)從目標(biāo)接口到達(dá)交換機(jī)后，交換機(jī)不會(huì)將所有數(shù)據(jù)洪泛出去，因?yàn)榻粨Q機(jī)轉(zhuǎn)發(fā)數(shù)據(jù)時(shí)會(huì)(sh hu)

20、查看MAC地址表，而通過關(guān)閉交換機(jī)相應(yīng)VLAN的MAC學(xué)習(xí)功能，就可以在此VLAN中像HUB一樣洪泛數(shù)據(jù)，接入在此VLAN中的所有設(shè)備都能收到相同的鏡像數(shù)據(jù)。配置案例說明：上圖中核心交換機(jī)G0/1為鏡像源接口，目標(biāo)鏡像接口為G0/48，二層交換機(jī)e1/0/1、e1/0/2、e1/0/3三個(gè)接口均屬于vlan2，此vlan中只有需要鏡像數(shù)據(jù)的設(shè)備。核心交換機(jī)配置：H3C/華為交換機(jī)：步驟1：創(chuàng)建本地鏡像組mirroring-group 1 local步驟2：進(jìn)入端口視圖interface Ethernet1/0/1步驟3：配置該端口為本地鏡像組源端口mirroring-group 1 mirro

21、ring-port both步驟4：進(jìn)入端口視圖interface Ethernet1/0/48步驟5：配置該端口為本地鏡像組的目的端口mirroring-group 1 monitor-portCisco交換機(jī)：步驟(bzhu)1：配置鏡像源端口monitor session 1 source interface Gi0/1步驟2：配置(pizh)鏡像目的端口monitor session 1 destination interface Gi0/48二層交換機(jī)配置(pizh)：華為/H3C（H3C和華為交換機(jī)全系列都支持）： 步驟1：進(jìn)入VLAN視圖vlan 2步驟2：關(guān)閉交換機(jī)MAC地址學(xué)

22、習(xí)功能mac-address mac-learning disable步驟3：將端口加入VLAN2port e1/0/1port e1/0/2port e1/0/3CISCO（思科）： 說明：在實(shí)驗(yàn)環(huán)境下使用的兩臺(tái)cisco交換機(jī)都是3560，但兩臺(tái)設(shè)備版本不同，其中3560 Version 12.2(25)SEE2不支持關(guān)閉MAC地址學(xué)習(xí)功能，3560 Version 12.2(46)SE支持關(guān)閉MAC地址學(xué)習(xí)功能。步驟1：進(jìn)入接口視圖interface range G0/1 3步驟2：將端口加入VLAN2switchport access vlan 2switchport mode acc

23、ess步驟3：關(guān)閉交換機(jī)MAC地址學(xué)習(xí)功能no mac address-table learning vlan 2方案特點(diǎn)優(yōu)點(diǎn)：可以將鏡像數(shù)據(jù)擴(kuò)展到很多接口，接入很多需要鏡像數(shù)據(jù)的設(shè)備。缺點(diǎn)：配置相對(duì)復(fù)雜，需要額外增加智能交換機(jī)。解決方案五方案(fng n)五配置復(fù)雜，且很容易(rngy)產(chǎn)生環(huán)路，故不建議在實(shí)際項(xiàng)目(xingm)中使用。用戶網(wǎng)絡(luò)環(huán)境用戶網(wǎng)絡(luò)中有一臺(tái)核心交換機(jī)，需要在該交換機(jī)上接2個(gè)網(wǎng)絡(luò)安全設(shè)備，需要該交換機(jī)提供2路雙向鏡像。該交換機(jī)不支持將一個(gè)源接口鏡像到多個(gè)目標(biāo)接口，也不支持多組鏡像，網(wǎng)絡(luò)中不能使用HUB并且沒有多余的交換機(jī)可供使用。根據(jù)以上需求，我們可以通過以下方案實(shí)施多

24、端口數(shù)據(jù)鏡像。設(shè)備組網(wǎng)圖CISCO交換機(jī)：H3C/華為交換機(jī)：實(shí)現(xiàn)原理與解決方案四的實(shí)現(xiàn)原理相同。配置(pizh)案例Cisco交接(jioji)機(jī)配置：說明(shumng)： CISCO交換機(jī)組網(wǎng)圖中核心交換機(jī)G0/1為鏡像源接口，將接口g0/45- 48劃到vlan 2，保證此vlan中只有目標(biāo)鏡像口和IDS、審計(jì)等設(shè)備。g0/48接口為目標(biāo)鏡像口，將g0/48口連接一根網(wǎng)線到同一臺(tái)交換機(jī)的g0/47口，其他接口接需要鏡像數(shù)據(jù)的設(shè)備。步驟1：進(jìn)入端口視圖int range g0/45 48步驟2：將端口加入VLAN2switchport mode accessswitchport access vlan 2步驟3：配置鏡像源端口monitor session 1 source interface Gi0/1 both步驟4：配置鏡像目標(biāo)端口monitor session 1 destination interface Gi0/48步驟5：關(guān)閉VLAN2的MAC地址學(xué)習(xí)功能no mac address-table learning vlan 2步驟6：關(guān)