端口鏡像

Cisco CATALYST交換機(jī)端口監(jiān)聽配置

Cisco CATALYST交換機(jī)分為兩 種，在CATALYST家族中稱偵聽端口為分析端 口(analysis port)。

1、Catalyst 2900XL/3500XL/2950系列交換機(jī)端口監(jiān)聽配 置 (基于CLI)

以下命令配置端口監(jiān)聽：

port monitor

例 如，F(xiàn)0/1和F0/2、F0/3同屬VLAN1，F(xiàn)0/1監(jiān)聽F0/2、F0/3端口：

interface FastEthernet0/1

port monitor FastEthernet0/2

port monitor FastEthernet0/3

port monitor VLAN1

2、Catalyst 4000，5000 and 6000系列交換機(jī)端口監(jiān)聽配 置 (基于IOS)

以下命令配置端口監(jiān)聽：

set span

例如，模塊1中端口1和端口2同屬VLAN1，端口3在VLAN2，端口4和5在VLAN2，端口2監(jiān)聽端 口1和3、4、5，

set span 1/1，1/3-5 1/2

2950/3550/3750

格式如下：

#monitor session number source interface mod_number/port_number both

#monitor session number destination interface mod_mnumber/port_number

//rx-->指明是進(jìn)端口的流量，tx-->出端口的流量 both 進(jìn)出的流量

for example:

第一條鏡像，將第一模塊中的源端口為1-10的鏡像到端口12上面；

#monitor session 1 source interface 1/1-10 both

#monitor session 1 destination interface 1/12

第二條鏡像，將第二模塊中的源端口為13-20的鏡像到端口24上面；

#monitor session 2 source interface 2/13-20 both

#monitor session 2 destination interface 2/24

當(dāng)有多條鏡像、多個(gè)模塊時(shí)改變其中的參數(shù)即可。

Catalyst 2950 3550不支持port monitor

C2950#configure terminal

C2950(config)#

C2950(config)#monitor session 1 source interface fastEthernet 0/2

!--- Interface fa 0/2 is configured as source port.

C2950(config)#monitor session 1 destination interface fastEthernet 0/3

!--- Interface fa0/3 is configured as destination port.

1. 指定分析口

feature rovingAnalysis add，或縮 寫 f r a，

例 如：

Select menu option: feature rovingAn alysis add

Select analysis slot: 1"para" label-module="para">

Select analysis port: 2

2. 指定監(jiān)聽口并啟動(dòng)端口監(jiān)聽

feature rovingAnalysis start，或縮 寫 f r sta，

例 如：

Select menu option: feature rovingAn alysis start

Select slot to monitor "para" label-module="para">

Select port to monitor&nb sp;"para" label-module="para">

3. 停止端口監(jiān) 聽

feature rovingAnalysis stop，或縮 寫 f r sto

端口鏡像目的

為了方便對(duì)一個(gè)或多個(gè)網(wǎng)絡(luò)接口的流量進(jìn)行分析（如IDS產(chǎn)品、網(wǎng)絡(luò)分析儀等），可以通過配置交換機(jī)或路由器來把一個(gè)或多個(gè)端口（VLAN）的數(shù)據(jù)轉(zhuǎn)發(fā)到某一個(gè)端口，即端口鏡像，來實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的監(jiān)聽。

端口鏡像功能是對(duì)網(wǎng)絡(luò)流量監(jiān)控的一個(gè)有效的安全手段，對(duì)監(jiān)控流量的分析可以進(jìn)行安全性的檢查，同時(shí)也能及時(shí)地在網(wǎng)絡(luò)發(fā)生故障時(shí)進(jìn)行準(zhǔn)確的定位。

端口鏡像功能

鏡像的功能簡單地說就是將被監(jiān)控流量鏡像到監(jiān)控端口，以便對(duì)被監(jiān)控流量進(jìn)行故障定位、流量分析、流量備份等，監(jiān)控端口一般直接與監(jiān)控主機(jī)等相連。

監(jiān)視到進(jìn)出網(wǎng)絡(luò)的所有數(shù)據(jù)包，供安裝了監(jiān)控軟件的管理服務(wù)器抓取數(shù)據(jù)，如網(wǎng)吧需提供此功能把數(shù)據(jù)發(fā)往公安部門審查。而企業(yè)出于信息安全、保護(hù)公司機(jī)密的需要，也迫切需要網(wǎng)絡(luò)中有一個(gè)端口能提供這種實(shí)時(shí)監(jiān)控功能。在企業(yè)中用端口鏡像功能，可以很好的對(duì)企業(yè)內(nèi)部的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行監(jiān)控管理，在網(wǎng)絡(luò)出現(xiàn)故障的時(shí)候，可以做到很好地故障定位。

(備注：交換機(jī)把某一個(gè)端口接收或發(fā)送的數(shù)據(jù)幀完全相同的復(fù)制給另一個(gè)端口；其中被復(fù)制的端口稱為鏡像源端口，復(fù)制的端口稱為鏡像目的端口。)

端口鏡像別名

端口鏡像通常有以下幾種別名：

●Port Mirroring 通常指允許把一個(gè)端口的流量復(fù)制到另外一個(gè)端口，同時(shí)這個(gè)端口不能再傳輸數(shù)據(jù)。

●Monitoring Port 監(jiān)控端口

●Spanning Port 通常指允許把所有端口的流量復(fù)制到另外一個(gè)端口，同時(shí)這個(gè)端口不能再傳輸數(shù)據(jù)。

●SPAN port 在 Cisco 產(chǎn)品中，SPAN 通常指 Switch Port ANalyzer。某些交換機(jī)的 SPAN 端口不支持傳輸數(shù)據(jù)。

●Link Mode port這樣，這些流量就可以被一個(gè)特殊的設(shè)備監(jiān)控。它對(duì)發(fā)現(xiàn)和修理故障有很大的幫助。

端口鏡像分類

端口鏡像根據(jù)不同的分類標(biāo)準(zhǔn)，鏡像類型也不一樣。

根據(jù)鏡像作用的端口模式來劃分，端口鏡像分為以下三種類型：

• 入口鏡像：只對(duì)從該端口進(jìn)入的流量進(jìn)行鏡像。

• 出口鏡像：只對(duì)該端口的發(fā)出的流量進(jìn)行鏡像。

• 雙向鏡像：支持對(duì)該端口收到和發(fā)出的雙向流量進(jìn)行鏡像。

根據(jù)鏡像功能劃分，端口鏡像分為兩種類型：

• 流鏡像：如果端口上配置了ACL并啟用，則認(rèn)為是流鏡像。流鏡像只采集經(jīng)過ACL過濾后的數(shù)據(jù)包，否則認(rèn)為是純端口鏡像。對(duì)于ACL流量采集方式，支持在端口的方向（出向、入向和雙向三種）上綁定標(biāo)準(zhǔn)訪問列表和擴(kuò)展訪問列表。

• 純端口鏡像：對(duì)端口進(jìn)出的流量進(jìn)行鏡像。

根據(jù)鏡像工作的范圍劃分，端口鏡像分為兩種類型：

• 本地鏡像：源端口和目的端口在同一個(gè)路由器上。

遠(yuǎn)端鏡像：源端口和目的端口分布在不同的路由器上，鏡像流量經(jīng)過某種封裝，實(shí)現(xiàn)跨路由器傳輸。

SPAN(Switched Port Analyzer)的作用主要是為了給某種網(wǎng)絡(luò)分析器提供網(wǎng)絡(luò)數(shù)據(jù)流。

它既可以實(shí)現(xiàn)一個(gè)VLAN中若干個(gè)源端口向一個(gè)監(jiān)控端口鏡像數(shù)據(jù)，也可以從若干個(gè)VLAN向一個(gè)監(jiān)控端口鏡像數(shù)據(jù)。源端口的5號(hào)端口上流轉(zhuǎn)的所有數(shù)據(jù)流均被鏡像至10號(hào)監(jiān)控端口，而數(shù)據(jù)分析設(shè)備通過監(jiān)控端口接收了所有來自5號(hào)端口的數(shù)據(jù)流。值得注意的是，源端口和鏡像端口必須位于同一臺(tái)交換機(jī)上(但也有例外，如Catalyst 6000系列交換機(jī))；而且SPAN并不會(huì)影響源端口的數(shù)據(jù)交換，它只是將源端口發(fā)送或接收的數(shù)據(jù)包副本發(fā)送到監(jiān)控端口。

在SPAN任務(wù)過程中，用戶可以通過參數(shù)控制，來指明需要監(jiān)控的數(shù)據(jù)流種類；還可以將一個(gè)或多個(gè)端、口、一個(gè)或多個(gè)VLAN作為源端口，并將從這些端口中發(fā)送或接收的單向或雙向數(shù)據(jù)流傳送至監(jiān)控端口。在Catalyst 4006交換機(jī)中，最多可以配置6個(gè)單向的SPAN任務(wù)：2個(gè)輸入數(shù)據(jù)流監(jiān)控、4個(gè)輸出數(shù)據(jù)流監(jiān)控。一個(gè)雙向SPAN任務(wù)實(shí)際上包含一個(gè)單向輸入和一個(gè)單向輸出。而且不僅僅二層交換端口可作為源端口，Catalyst 4006上的三層路由端口也可設(shè)置為源端口。

SPAN 任務(wù)不會(huì)影響交換機(jī)的正常工作。當(dāng)一個(gè)SPAN任務(wù)被建立后，根據(jù)交換機(jī)所處的不同的狀態(tài)或操作，任務(wù)會(huì)處于激活或非激活狀態(tài)，同時(shí)系統(tǒng)會(huì)將其記入日志。通過“show monitor session”命令可顯示SPAN的當(dāng)前狀態(tài)。

如果遇到系統(tǒng)重新啟動(dòng)的情況，在目的端口初始化結(jié)束之前，SPAN任務(wù)將處于非激活狀態(tài)。目的端口(監(jiān)控端口)可以是交換機(jī)上的任意一個(gè)交換或路由端口。當(dāng)一個(gè)目的端口處于激活狀態(tài)時(shí)，任何發(fā)送到該端口且與SPAN任務(wù)無關(guān)的數(shù)據(jù)包將會(huì)被丟棄。

一個(gè)目的端口只能處于一個(gè)SPAN任務(wù)中。當(dāng)一個(gè)端口被配制成目的端口后就不能再成為源端口，同時(shí)冗余鏈路端口也不能成為SPAN的目的端口。特別需要指出的是，如果一個(gè) Trunk端口被配置成為SPAN的目的端口，則其Trunk功能也將自動(dòng)停止。

源端口又可以稱作被監(jiān)控端口。在一個(gè)SPAN任務(wù)中，可以有一個(gè)或多個(gè)源端口，而且可以根據(jù)用戶需要設(shè)置為輸入方向、輸出方向或雙向，但無論哪種情況，在一個(gè)SPAN任務(wù)中，所有源端口的被監(jiān)控方向都必須是一致的。

在Catalyst 4006交換機(jī)上的VLAN也可以整體設(shè)置為源端口，這意味著被指定VLAN中的所有端口均為當(dāng)前SPAN任務(wù)中的源端口。

Trunk端口可以單獨(dú)設(shè)為源端口，也可以與非Trunk端口一起被設(shè)置為源端口，但要注意的是，在監(jiān)控端口不會(huì)識(shí)別來自Trunk端口針對(duì)不同VLAN的數(shù)據(jù)封裝格式，換句話說，在監(jiān)控端口收到的數(shù)據(jù)包將無法辨明是來自哪個(gè)VLAN。

SPAN數(shù)據(jù)流主要分為三類：

(1)輸入數(shù)據(jù)流(Ingress SPAN)：指被源端口接收進(jìn)來，其數(shù)據(jù)副本發(fā)送至監(jiān)控端口的數(shù)據(jù)流；

(2)輸出數(shù)據(jù)流(Egress SPAN)：指從源端口發(fā)送出去，其數(shù)據(jù)副本發(fā)送至監(jiān)控端口的數(shù)據(jù)流；

(3)雙向數(shù)據(jù)流(Both SPAN)：即為以上兩種的綜合。

基于VLAN的SPAN是以一個(gè)或幾個(gè)VLAN作為監(jiān)控對(duì)象，其中的所有端口均為源端口，與基于端口的SPAN類似，基于VLAN的SPAN也分為輸入數(shù)據(jù)流、輸出數(shù)據(jù)流和雙向數(shù)據(jù)流監(jiān)控三種類型。

在配置基于VLAN的SPAN任務(wù)過程中，應(yīng)注意幾點(diǎn)：

(1)Trunk端口可以包含在源端口中；

(2)針對(duì)雙向SPAN任務(wù)，如果在源VLAN中的兩個(gè)源端口之間有數(shù)據(jù)交換，則每一個(gè)數(shù)據(jù)包將有兩個(gè)副本被轉(zhuǎn)發(fā)至鏡像端口；

(3)對(duì)有多個(gè)源VLAN的SPAN任務(wù)來說，如果某個(gè)源VLAN被刪除掉，則該VLAN也將從源VLAN列表中刪除；

(4)處于非激活狀態(tài)的VLAN無法參與SPAN任務(wù)；

(5)對(duì)于一個(gè)設(shè)置為輸入數(shù)據(jù)流監(jiān)控的源VLAN來說，來自其他VLAN的路由信息數(shù)據(jù)包不會(huì)被鏡像；此外，從設(shè)置為輸出數(shù)據(jù)流監(jiān)控的VLAN向其他VLAN發(fā)送出的路由信息數(shù)據(jù)包也同樣不會(huì)被鏡像。換句話說，基于VLAN的SPAN任務(wù)只對(duì)進(jìn)出二層交換端口的數(shù)據(jù)包進(jìn)行鏡像，而不鏡像VLAN之間的路由信息。

所有網(wǎng)間傳輸?shù)姆锹酚蓴?shù)據(jù)包，包括組播包和BPDU(橋接協(xié)議數(shù)據(jù)單元)包，都可以使用SPAN任務(wù)進(jìn)行鏡像。

在一些SPAN任務(wù)的配置下，會(huì)出現(xiàn)同一個(gè)SPAN源端口數(shù)據(jù)包的多個(gè)副本被發(fā)送到 SPAN監(jiān)控端口的情況。正像前面提到的那樣，在一個(gè)雙向SPAN任務(wù)中，假設(shè)a1和a2為源端口，d1為目的端口，如果a1與a2之間有數(shù)據(jù)包傳輸，則在a1傳向a2的數(shù)據(jù)包將會(huì)被傳送到d1兩次，反之亦然。

Intel 稱端口監(jiān)聽為“Mirror Ports”。 網(wǎng)絡(luò)流量被監(jiān)聽的端口稱作“源端 口”（Source Port），連接監(jiān)聽設(shè)備的端口稱作“鏡像 口”（Mirror Port）。

配置端口監(jiān)聽步驟如下：

1. 在 navigation菜單，點(diǎn)擊Statistics下的Mirror Ports，彈出Mirror Ports信 息。

2. 在Configure Source 列中點(diǎn)擊端口來選擇源端口， 彈出Mirror Ports Configuration。

3. 進(jìn)行源端口設(shè) 置：源端口是鏡像流量的來源口，鏡像口是接收來自源端口流量的端 口， 點(diǎn)擊Apply確定。

可以選擇三種監(jiān)聽的方 式：

1．連續(xù)（Always）：鏡像全部流量。

2．周期（Periodic）：在一定周期內(nèi) 鏡像全部流量。鏡像周期在Sampling Interval configuration中設(shè)置。

3 ．禁止（Disabled）：關(guān)閉流量鏡像。

在Avaya交換機(jī)用戶手冊(cè)中，端口監(jiān) 聽被稱為“端口鏡像”（Port Mirror）。

以下命令配置端口監(jiān)聽：

{ set|clear } Port Mirror

設(shè)置端口偵 聽：set port mirror source-port "para" label-module="para">

禁止端口監(jiān) 聽：clear port mirror

命令 中，mod-port-range指定端口的范圍；mod-port-spec指定特定的端口；piggyback-port指定雙向鏡像的端口；sampling指定鏡像周期；max-packets-sec僅在sampling設(shè)置為periodic時(shí)使用，指定監(jiān)聽口每秒最多的數(shù)據(jù)報(bào)數(shù)量。

華為交換機(jī)用戶手冊(cè)中，端口監(jiān)聽被稱為“端口鏡 像”（Port Mirroring）。

使用Huawei Lanswitch View管 理系統(tǒng)添加一個(gè)鏡像端口：

● 選 擇Device Setup或Stack Setup。

● 點(diǎn) 擊Port Mirroring。

● 點(diǎn)擊Add按 鈕。

● 對(duì)于堆疊，點(diǎn)擊Switch并從列表選擇一個(gè)交換 機(jī)。

● 點(diǎn)擊Reflect from并選擇流量將被鏡像的端 口。

● 點(diǎn)擊Reflect to并選上面所選擇的端口。

基于802.1p VLAN優(yōu)先級(jí)

基于IPv4/v6 IP DSCP

網(wǎng)絡(luò)管理：Web用戶界面

固件升級(jí)

端口鏡像

安全管理：802.1x-RADIUS身份驗(yàn)證，MD5加密

端口安全-基于MAC的過濾

管理訪問控制

處理器：Intel IXP 266MHz

產(chǎn)品內(nèi)存：64MB SDRAM

用戶數(shù)量：80臺(tái)

其它性能：最大連接數(shù) 160000，綠色節(jié)能，流量控制，支持端口鏡像,Port VLAN,網(wǎng)絡(luò)自防御,內(nèi)網(wǎng)分析,基于IP 的彈性流控,智能過濾等高級(jí)功能

分別提供了24/48個(gè)千兆以太網(wǎng)端口、4個(gè)千兆Combo口（與后4個(gè)千兆以太網(wǎng)端口復(fù)用）以及一個(gè)Console端口，支持VLAN端口鏡像、端口限速、DHCP-Snooping、IP MAC 端口 VLAN四元素綁定、防ARP欺騙、ACL、VLAN-ACL、STP/RSTP、靜態(tài)LACP等功能，可以通過Telnet、命令行、Web界面、SNMP等多種方式進(jìn)行管理。

該產(chǎn)品針對(duì)目前局域網(wǎng)中出現(xiàn)的安全問題，提供了802.1x、Guest VLAN、防ARP欺騙、防蠕蟲病毒、防MAC地址攻擊、四元綁定、智能綁定（一鍵綁定）、DHCP Snooping、ACL等一系列安全特性，并且提供了可視化的WEB操作界面，通過簡便操作，即可以有效防御ARP欺騙、DOS攻擊及蠕蟲攻擊；同時(shí)為網(wǎng)吧和企業(yè)用戶開辟了網(wǎng)吧專區(qū)和企業(yè)專區(qū)，針對(duì)網(wǎng)吧和企業(yè)的各種業(yè)務(wù)應(yīng)用提供了簡單可靠的優(yōu)化配置方案。H3C S5000E系列交換機(jī)廣泛應(yīng)用于企業(yè)、酒店、網(wǎng)吧等細(xì)分行業(yè)，可為用戶提供高性能、低成本、可網(wǎng)管的全千兆安全解決方案。