局域网mirror.ppt

端口镜像端口镜像的意义 交换环境下采集数据流 旁路型设备端口镜像的含义 “交换环境”的理解 端口镜像的含义就是在交换环境下实现端口数据的COPY。端口镜像的方式与方向 镜像的方式：端口镜像，流镜像 镜像的方向：Tx/OUT，Rx/IN，BOTH镜像的源和目标 源指LAN的出口，一般是接PROXY，路由器，防火墙等出口设备 目标是数据的收集口，一般是接网络哨兵，IDS或其它抓包设备镜像原理图镜像原理图的一点说明 在SPAN原理图中，如果在做端口镜像时源端口选择图中“入数据流”对应的端口，那么就只能监控到一台机器的数据。 如果在做端口镜像时源端口选择图中“出数据流”对应的端口，那么就可以监控到所有通过这台交换机进出的数据。端口镜像的位置 一定要在数据源站出发，改变源地址之前这条链路抓取数据。镜像成功与否 可以接笔记本运行IR-IS，SNIFFER一类的程序抓包。如果能看到LAN网络数据包，说明镜像成功。（光看到广播包并不代表镜像成功。）强烈推荐 在现场处理时，大部分交换机应该都有网管软件或者可以通过WEB页面进行管理，就不要通过命令模式配置，图形模式下的配置过程简单，直观，方便，不容易出错。又快又准，强烈推荐。【交换机端口镜像配置说明】 1. 镜像一般都可以实现高速率端口镜像低速率端口，例如1000M端口可以镜像100M端口，反之则无法实现 2. 高端交换机支持跨单板端口镜像，但是最可靠的方法是在同一个板卡，同一个vlan的端口做端口镜像。如果登陆交换机时看到login：提示 表示该交换机是通过用户名控制使用功能的 例如3com,阿尔卡特 首先需要输入用户名，enter输入之后会提示password；表示需要输入密码。 如果输入的是超级用户名和密码可以使用交换机的全部功能。 输入其它的用户名和密码则可以使用相应的功能。进入3com交换机，阿尔卡特交换机控制台 在命令窗口下telnet 交换机ip 或者用console线通过超级终端进入 输入用户名和密码就可以看到字符菜单的界面 所有需要输入用户名的交换机都是同样的操作。如果登陆交换机时看到password：提示 表示交换机通过操作模式控制使用功能 例如思科（包括锐捷），华为 这种类型的交换机是通过密码和不同的操作模式配合来控制可以使用的功能。 输入第一个密码可以使用通用功能 之后需要进入配置模式才可以使用特定功能。进入思科交换机的配置模式 输入enable 输入配置模式的密码 输入conf t 就可以进入配置模式，端口镜像功能就在此模式下配置。 有些情况需要进入端口模式才能配置（如2900，1900） 则在conf t （enter）之后 “int 指定端口” 例如输入int fa0/2 就进入端口配置模式，表示现在配置的是第二个端口进入华为交换机控制界面 在命令窗口下telnet 交换机ip 或者用console线通过超级终端进入 旧版本的华为交换机操作系统和思科的ios系统90%以上的命令相同。 新版的华为交换机操作系统的操作命令已不再与思科的系统的命令相同常见交换机具体镜像配置 其中有些已经不再出产的交换机，或不再推广使用的操作系统，如思科的Cat OS 和华为的旧版操作系统。 华为的交换机种类繁多，版本更换很快。如果碰到疑难问题，可以直接致电华为的免费技术支持热线800-810-0504。思科交换机端口镜像 4000/6000 CatOS 交换机:set span 6/17 6/19 /SPAN:源端口 为6/17， 目标端口为6/192950/3550 IOS monitor session 1 source interface fastethernet 0/17 both monitor session 1 destination interface fastethernet 0/19 2900/3500XL 交换机： interface fastethernet 0/19/目标端口 port monitor fastethernet 0/17 /源端口1900 交换机: (或使用菜单 M Monitoring) monitor-port monitored 0/17/源端口 monitor-port monitored 0/18 /源端口 monitor-port port 0/19/目标端口 monitor-port /开始监控华为交换机端口镜像配置 S2008/S2016/S2026/S2403H/S3026等交换机支持的都是基于端口的镜像，有两种方法： 方法一： SwitchAport monitor-port e0/8 （配置观测端口） SwitchAport mirror Ethernet 0/1 to Ethernet 0/2 （配置被观测端口）S2008/S2016/S2026/S2403H/S3026 方法二：一次性定义镜像和被镜像端口 SwitchAport mirror Ethernet 0/1 to Ethernet 0/2 observing-port Ethernet 0/8【5516】支持对入端口流量进行镜像 ，例如：Ethernet 3/0/1为监测端口，对Ethernet 3/0/2端口的入流量镜像。 操作命令如下： SwitchAmirror Ethernet 3/0/2 ingress-to Ethernet 3/0/1【老版本6506/6503/6506R】 只支持对入端口流量进行镜像，虽然有outbount参数，但是配置无效。 例如： 镜像组名为1，监测端口为Ethernet4/0/2，端口Ethernet4/0/1的入流量被镜像。【最新版本6506/6503/6506R】已经支持端口的进出方向的流量镜象 SwitchAmirroring-group 1 inbound Ethernet4/0/1 mirrored-to Ethernet4/0/2 SwitchAmirroring-group 1 outbound Ethernet4/0/1 mirrored-to Ethernet4/0/2【8016交换机端口镜像配置】 假设8016交换机镜像端口为E1/0/15，被镜像端口为E1/0/0，设置端口1/0/15为端口镜像的观测端口。 设置端口1/0/0为被镜像端口，对其输入输出数据都进行镜像。 SwitchA port monitor ethernet 1/0/15 SwitchA port mirroring ethernet 1/0/0 both ethernet 1/0/15【3500/3026F/3050交换机基于流镜像的数据流程】 基于流镜像的交换机针对某些流进行镜像，每个连接都有两个方向的数据流， 对于交换机来说这两个数据流是要分开镜像的。【老版本3026E交换机基于流镜像的数据流程】 SwitchA(config)#access-list 100 matech-order auto SwitchA(config)#acces-list 100 permit ip any any SwitchA(config)#mirrored-to ip-group 100 eth 0/1【基于三层流的镜像】 1. 定义一条扩展访问控制列表 SwitchAacl num 101 SwitchA-acl-adv-101rule 0 permit ip source 1.1.1.1 0 destination any（定义源地址为1.1.1.1/32） SwitchA-acl-adv-101rule 1 permit ip source any destination 1.1.1.1 0（定义目的地址为1.1.1.1/32） SwitchAmirrored-to ip-group 101 interface e0/8 （符合ACL规则的报文镜像到E0/8端口）3COM交换机端口监听配置 在3COM交换机用户手册中，端口监听被称为“Roving Analysis”。 网络流量被监听的端口称作“监听口”（Monitor Port），连接监听设备的端口称作“分析口”（Analyzer Port）。 以下命令配置端口监听：3com交换机都可以使用字符菜单操作，也可以使用命令行 以下每个单词都对应一个功能选项 指定分析口 feature rovingAnalysis add，或缩写 f r a， 例如： Select menu option: feature rovingAnalysis add Select analysis slot: 1 Select analysis port: 2 指定监听口并启动端口监听 feature rovingAnalysis start，或缩写 f r sta， 例如： Select menu option: feature rovingAnalysis start Select slot to monitor (1-12): 1 Select port to monitor (1-8): 3 停止端口监听 feature rovingAnalysis stop，或缩写 f r sto， 删除分析口并还原其状态 feature rovingAnalysis remove，或者使用缩写 f r r， 使用此命令之前需执行停止端口监听命令。 查看分析口和监听口的设置： feature rovingAnalysis summary，或者使用缩写 f r su， 例如： Select menu option: feature rovingAnzalysis summary Monitor port Analysis port State 阿尔卡特/Netgear 交换机端口监听配置 大部分的alcatel交换机（最常用的10，60系列）在字符菜单的switch configuration项下的mirror port子菜单中配置。只有三个配置项：目标端口，源端口，启用或不启用的选项enable/disable谢谢