通信弱電交流學習
什麼是連接埠鏡像?
連接埠鏡像是指在交換器或路由器上將經過指定連接埠(來源連接埠)的資料封包複製一份到另一個指定連接埠(目標連接埠)上,以實現網路流量的分析與監控。
一些對即時監控比較注重的用戶在網路遭受了各種攻擊,需要檢查流量而不希望影響原來的網路時,可以利用連接埠鏡像,例如我國文化部和公安部要求網路服務場所安裝監控軟體,透過連接埠 鏡像採集相關數據,分析使用者的網路使用。
依照工作範圍的劃分,連接埠鏡像分為兩種類型,本地鏡像和遠端鏡像。
本機鏡像實作在同一台網路設備上,監控設備對客戶端的資料分析監控。
遠端鏡像實現跨網路設備時,監控設備對客戶端的資料分析監控。
連接埠鏡像的原理是什麼?
本機連接埠鏡像的來源連接埠與目標連接埠處在同一台裝置上。
如下圖所示,透過本機連接埠鏡像,來源連接埠(Eth 1/1)的資料封包被鏡像到目標連接埠(Eth 1/2)上。
這樣連接在目標連接埠上的監控設備就可以對經過來源連接埠的資料封包進行監控分析。
遠端連接埠鏡像的來源連接埠與目標連接埠處在不同的設備上,如下圖所示。
透過遠端鏡像,來源連接埠(Eth 1/3)的資料封包經過兩台裝置的級聯連接埠(Eth 1/4)後被鏡像到目標連接埠(Eth 1/3)上,該連接埠將鏡像資料報 文複製到監控設備上,實現跨裝置的資料報文監控分析。
端口鏡像的熱點問答
交換器如何配置連接埠鏡像?
設定連接埠鏡像的前提是交換器或路由器支援連接埠鏡像功能。 您可以根據需求場景選擇配置本機鏡像還是遠端鏡像。
本機鏡像的設定步驟如下:
1、建立VLAN
2、將連接埠加入VLAN中
3、配置IP位址
4.在目標連接埠下進行鏡像指令配置,將來源埠的資料封包鏡像到目標埠。
遠端鏡像的設定步驟如下:
1.在全域模式下建立來源端口
2、配置一台交換器uplink端口
3.在全域模式下建立目標端口
4.設定另一台交換器uplink端口
需要注意的是:
1、在本機鏡像中,必須選擇一個口作為來源端口,一個口作為目標端口,配置才能生效
2.如果需要建立鏡像組,一個鏡像組只能有一個目標端口,可有多個來源端口
3.如果某個端口已經是鏡像群組的來源端口,則不能成為另一個鏡像群組的成員端口
4.如果某個端口已經是鏡像群組的目標端口,則不能成為另一個鏡像群組的成員端口
5.建議不要在目標連接埠上使用STP、RSTP或MSTP,否則會影響設備的正常使用
連接埠鏡像與串流鏡像有什麼區別?
連接埠鏡像與串流鏡像都屬於鏡像功能。
每個網路連線都有入口流、出口流兩個方向的資料流,對交換器來說這兩個資料流需要分開鏡像。
流鏡像是指按照一定的資料流分類規則對資料進行分流,然後將屬於指定流的所有資料鏡像到監控端口,以便進行分析。
流鏡像可以透過存取控制清單(ACL)的方式匹配合適的流,也可以透過指令匹配,在功能上比連接埠鏡像更強大。
連接埠鏡像與連接埠對映有什麼區別?
連接埠對映是指將內部網路的某個(LAN)IP位址轉送到公網路上,或將外網的(WAN)IP位址轉送到內網路上。
例如有一台電腦本地的IP位址是192.168.1.10,在這台電腦上用百度查詢資料,資料傳輸的流程是:
透過路由器用ADSL撥號上百度,百度只能辨識到路由器的IP位址,把資料傳給路由器後,路由器透過內建的連接埠對映表(設定了連接埠對映路由器才能準確辨別訊息應回饋給哪個本機IP)把 數據返回電腦。
連接埠鏡像與連接埠對映的主要區別在於:連接埠鏡像是流量複製的過程,連接埠映射是流量轉送的過程。
如何驗證連接埠鏡像是否成功?
通常情況下,你可透過流量抓包軟體進行流量抓包驗證,在監控裝置上進行抓包測試,如果可以取得到來源埠發送或接收的資料包,則連接埠鏡像成功。
主流廠商交換器埠鏡像配置
華為
配置 GigabitEthernet0/0/1 為鏡像接口,GigabitEthernet0/0/2 為觀察接口,觀察接口索引號為 1。 鏡像 GigabitEthernet0/0/1 上的雙向業務流量到 GigabitEthernet0/0/2 上。
system-view
[Quidway] observe-port 1 interface gigabitethernet 0/0/2
[Quidway] interface gigabitethernet 0/0/1
[Quidway-GigabitEthernet0/0/1] port-mirroring to observe-port 1 both
步驟 1 執行指令 system-view,進入系統視圖
步驟 2 執行指令 observe-port index interface interface-type interface-number ,設定觀察接口
步驟 3 執行指令 interface interface-type interface-number,進入鏡像介面的介面視圖
步驟 4 執行指令 port-mirroring to observe-port index { both | inbound | outbound } ,設定介面鏡像
華三
配置 GigabitEthernet0/0/1 為鏡像接口,GigabitEthernet0/0/2 為觀察接口,觀察接口索引號為 1。
鏡像 GigabitEthernet0/0/1 上的雙向業務流量到 GigabitEthernet0/0/2 上。
system-view
[sysname] mirroring-group 1 local
[sysname] mirroring-group 1 mirroring-port G0/0/1 both
[sysname] mirroring-group 1 monitor-port G0/0/2
步驟 1 執行指令 system-view,進入系統視圖
步驟 2 執行指令 mirroring-group number local ,建立一個鏡像群組
步驟3 執行指令mirroring-group 1 mirroring-port G0/0/1 { both | inbound | outbound },將連接埠加入到鏡像群組中,鏡像可以根據實際情況靈活選擇入方向、出方向及全部流量;both, 全部流量;inbound,入方向流量;outbound,出方向流量
步驟 4 執行指令 mirroring-group 1 monitor-port G0/0/2 ,設定鏡像的目的連接埠。
銳捷
配置 fa0/1 為鏡像接口,fa0/2 為觀察接口,觀察接口索引號為 1。 鏡像 fa0/1 上的雙向業務流量到 fa0/2 上。
Switch# configure terminal
Switch(config)#monitor session 1 source interface fa0/1 both
Switch(config)#monitor session 1 destination interface fa 0/2
步驟 1 執行指令 configure terminal,進入全域設定模式
步驟2 執行指令monitor session 1 source interface fa0/1 { both | inbound | outbound } ,建立觀察介面索引號為1,並將fa0/1 加入此索引,鏡像可依實際情況靈活選擇入方向、出方向及 全部流量;both,全部流量;inbound,入方向流量;outbound,出方向流量
步驟 3 執行指令 monitor session 1 destination interface fa 0/2 設定 fa0/2 為監控口。
思科
配置 fa0/1 為鏡像接口,fa0/2 為觀察接口,觀察接口索引號為 1。 鏡像 fa0/1 上的雙向業務流量到 fa0/2 上。
Switch# configure terminal
Switch(config)# monitor session 1 source interface fastethernet 0/1 both
Switch(config)# monitor session 1 destination interface fastethernet 0/2
步驟 1 執行指令 configure terminal,進入全域設定模式
步驟2 執行指令monitor session 1 source interface fa0/1 { both | inbound | outbound } ,建立觀察介面索引號為1,並將fa0/1 加入此索引,鏡像可依實際情況靈活選擇入方向、出方向及 全部流量;both,全部流量;inbound,入方向流量;outbound,出方向流量
步驟 3 執行指令 monitor session 1 destination interface fa 0/2 設定 fa0/2 為監控口
