2024年4月17日发(作者:)
cisco端口镜像
端口镜像详解
什么是端口镜像?
把交换机一个或多个端口(VLAN)的数据镜像到一个或多个端口的方法。
为什么需要端口镜像 ?
通常为了部署 IDS 产品需要监听网络流量(网络分析仪同样也需要),但是在目前广泛采用的交换网络中监听所有流量有相当大的困难,因
端口(VLAN)的数据转发到某一个端口来实现对网络的监听。
端口镜像的别名
端口镜像通常有以下几种别名:
●[b]Port Mirroring[/b]
通常指允许把一个端口的流量复制到另外一个端口,同时这个端口不能再传输数据。
●[b]Monitoring Port[/b]
监控端口
●[b]Spanning Port[/b]
通常指允许把所有端口的流量复制到另外一个端口,同时这个端口不能再传输数据。
●[b]SPAN port[/b][b] [/b][b]
[/b] 在 Cisco 产品中,SPAN 通常指 Switch Port ANalyzer。某些交换机的 SPAN 端口不支持传输数据。
●[b]Link Mode port[/b]
支持端口镜像的交换机
大多数中档以上的交换机都支持端口镜像功能,但支持程度不同。
端口镜像配置方法
下面是几种交换机的端口镜像配置方法,主要来自于 Talisker Security Wizardry ([url=/]tywiza
([url=/]/[/url])
[b]Cisco [/b][b]交换机[/b]
特点:●[b]Cisco 2900 [/b][b]和 Cisco 3500XL 系列交换机[/b]
[b]Cisco 2950[/b][b]、Cisco 3550 和 Cisco 3750 系列交换机[/b][b] [/b][b]
[/b] Cisco catylist 2550 Cisco catylist 3550 支持2组monitor session en password config term
Switch(config)#monitor session 1 destination interface fast0/4(1为session id,id范围为1-2)
Switch(config)#monitor session 1 source interface fast0/1 , fast0/2 , fast0/3 (空格,逗号,空格)
Switch(config)#exit
Switch#copy running-conf startup-conf
Switch#show port-monitor
[b]Cisco 5000 [/b][b]系列交换机 [/b][b]
[/b][b]使用 CatOS 的 Cisco 4000 和 Cisco 6000 系列交换机 [/b][b]
[/b][b]使用 IOS 的 Cisco 4000 和 Cisco 6000 系列交换机 [/b][b]
[b]Extreme [/b][/b][b]交换机[/b]
特点:
●只能创建多对一或者一对一的镜像端口
●可以监听 VLAN 的流量
●Extreme 会镜像 IN 和 OUT 的流量。这就意味着在镜像 VLAN 的时候,会看到一个报文至少两次—
VLAN 的另一个端口。
[b]版本高于4.1的 Extreme 交换机端口镜像配置方法[/b]
[b] {enable | disable} mirroring on port[/b]
开启/关闭端口镜像功能,并且指定镜像流量从何端口流出,port-no 只能是一个端口
[
b] [/b][b]configure mirroring { add | delete } { vlan | port }[/b]
指定镜像哪个或哪些 VLAN 或端口的流量 { vlan | port } 部分可以重复多次
[b]版本低于 4.1 的 Extreme 交换机端口镜像配置方法[/b]
[b] [/b][b]enable mirror to port port-no[/b]
开启端口镜像功能,并且指定镜像流量从何端口流出,port-no 只能是一个端口
[b] [/b][b]disable mirror[/b]
关闭端口镜像功能
[b] [/b][b]config mirror add port[/b] 镜像端口 port-no 的流量,如果这个端口包含多个 VLAN 这些流量都会被镜像到目的端口
[b] [/b][b]config mirror add port vlan[/b]
镜像端口 port-no 中指定 VLAN 的流量
[b] [/b][b]config mirror add vlan[/b]
镜像端口中指定 VLAN 的所有端口的流量
[b] [/b][b]config mirror del port[/b]
取消对 port-no 的端口镜像
[b] [/b][b]config mirror del vlan[/b]
取消对指定 VLAN 的端口镜像
[b] [/b][b]show mirror[/b]
[b] [/b][b]show mirror[/b]
显示端口镜像情况
[b]Foundry [/b][b]交换机[/b] 特点:
●可以创建多对多的端口镜像
[b]Foundry [/b][b]交换机端口镜像配置方法[/b]
在配置模式中(Configuration Mode):
[b] [/b][b]interface[/b][b] [/b][b]
[/b][b] [/b][b]port monitor { { rx | tx | both}}[/b]
确定镜像流量从哪个端口流出,修改此端口配置
指定要镜像哪些端口的哪些流量(rx 指接收的流量,tx 指发送的流量,both 指双向流量),{ { rx | tx | both}} 部分可以重复
[b]Juniper [/b][b]交换机[/b]
特点:
●每交换机只能有一个监听端口
●只能镜像 IPv4 的流量
●只能镜像发送(transit only)的流量,不能镜像接收的流量
[b]Juniper M [/b][b]系列和 T 系列端口镜像配置方法[/b]
[url=mailto:usen@router][b]usen@router[/b][/url][b]# show forwarding-options port-[/b] [b]mirroring { input {family inet; rate ; run-[/b] [b]
[b] [/b][b] ;} no-filter-check;} }[/b]
[i]选择将抽样的流量发送到哪个目的端口 [/i]
[i] [url=mailto:user@router]user@router[/url]# show firewall filter mirror-sample from {...} then {sample; accept;}[/i]
[i]定义抽样过滤器,选择感兴趣的流量 [/i]
[i] [url=mailto:user@router]user@router[/url]# show interface unit 0 family inet filter {input mirror-sample;}[/i]
[i]选择将抽样的过滤器应用到某个端口
端口镜像的风险
加重交换机负载,造成设备不稳定
在某些情况下会丢包,不能保证 100% 镜像流量。例如,由于多个源端口镜像到一个目的端口,目的端口无法处理造成丢包 [/i]
发布评论