端口鏡像概述

在介紹端口鏡像配置之前，我們先來(lái)看了解一下什么是端口鏡像，端口鏡像就是把交換機(jī)一個(gè)或多個(gè)端口（VLAN）的數(shù)據(jù)鏡像到一個(gè)或多個(gè)端口的方法。那么為什么需要端口鏡像?通常為了部署IDS產(chǎn)品需要監(jiān)聽網(wǎng)絡(luò)流量（網(wǎng)絡(luò)分析儀同樣也需要），但是在目前廣泛采用的交換網(wǎng)絡(luò)中監(jiān)聽所有流量有相當(dāng)大的困難，因此需要通過(guò)配置交換機(jī)來(lái)把一個(gè)或多個(gè)端口（VLAN）的數(shù)據(jù)轉(zhuǎn)發(fā)到某一個(gè)端口來(lái)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的監(jiān)聽。

端口鏡像幾種別名

1.PortMirroring：通常指允許把一個(gè)端口的流量復(fù)制到另外一個(gè)端口，同時(shí)這個(gè)端口不能再傳輸數(shù)據(jù)。

2.MonitoringPort：監(jiān)控端口

3.SpanningPort：通常指允許把所有端口的流量復(fù)制到另外一個(gè)端口，同時(shí)這個(gè)端口不能再傳輸數(shù)據(jù)。

4.SPANport：在Cisco產(chǎn)品中，SPAN通常指SwitchPortANalyzer。某些交換機(jī)的SPAN端口不支持傳輸數(shù)據(jù)。

5.LinkModeport

支持端口鏡像的交換機(jī)

大多數(shù)中檔以上的交換機(jī)都支持端口鏡像功能，但支持程度不同。

端口鏡像配置方法

1.Cisco交換機(jī)

特點(diǎn)：

Ciscocatylist2550、Ciscocatylist3550支持2組monitorsession

Cisco交換機(jī)的端口鏡像配置方法

enpassword  
 
configterm  
 
Switch(config)#monitorsession1destinationinterfacefast0/4（1為sessionid，id范圍為1－2）  
 
Switch(config)#monitorsession1sourceinterfacefast0/1,fast0/2,fast0/3(空格，逗號(hào)，空格)  
 
Switch(config)#exit  
 
Switch#copyrunning-confstartup-conf  
 
Switch#showport-monitor 

2.Extreme交換機(jī)

特點(diǎn)：

只能創(chuàng)建多對(duì)一或者一對(duì)一的鏡像端口

可以監(jiān)聽VLAN的流量

Extreme會(huì)鏡像IN和OUT的流量。這就意味著在鏡像VLAN的時(shí)候，會(huì)看到一個(gè)報(bào)文至少兩次——從VLAN的某個(gè)端口出來(lái)，并且進(jìn)入VLAN的另一個(gè)端口。

版本高于4.1的Extreme交換機(jī)端口鏡像配置方法

{enable|disable}mirroringonport

開啟/關(guān)閉端口鏡像功能，并且指定鏡像流量從何端口流出，port-no只能是一個(gè)端口

configuremirroring{add|delete}{vlan|port

}

指定鏡像哪個(gè)或哪些VLAN或端口的流量{vlan|port

}

部分可以重復(fù)多次

版本低于4.1的Extreme交換機(jī)端口鏡像配置方法

enablemirrortoportport-no

開啟端口鏡像功能，并且指定鏡像流量從何端口流出，port-no只能是一個(gè)端口

disablemirror

關(guān)閉端口鏡像功能

configmirroraddport

鏡像端口port-no的流量，如果這個(gè)端口包含多個(gè)VLAN這些流量都會(huì)被鏡像到目的端口

configmirroraddport

vlan

鏡像端口port-no中指定VLAN的流量

configmirroraddvlan

鏡像端口中指定VLAN的所有端口的流量

configmirrordelport

取消對(duì)port-no的端口鏡像

configmirrordelvlan

取消對(duì)指定VLAN的端口鏡像

showmirror

顯示端口鏡像情況

#p#

3.Foundry交換機(jī)

特點(diǎn)：

可以創(chuàng)建多對(duì)多的端口鏡像

Foundry交換機(jī)端口鏡像配置方法

在配置模式中（ConfigurationMode）：

interface

portmonitor{{rx|tx|both}}

確定鏡像流量從哪個(gè)端口流出，修改此端口配置

指定要鏡像哪些端口的哪些流量（rx指接收的流量，tx指發(fā)送的流量，both指雙向流量），{{rx|tx|both}}部分可以重復(fù)

4.Juniper交換機(jī)

特點(diǎn)：

每交換機(jī)只能有一個(gè)監(jiān)聽端口

只能鏡像IPv4的流量

只能鏡像發(fā)送（transitonly）的流量，不能鏡像接收的流量

JuniperM系列和T系列端口鏡像配置方法

usen@router#showforwarding-optionsport-mirroring{input{familyinet;rate;run-length;}outputinterface{next-hopuser@router#showfirewallfiltermirror-samplefrom{...}then{sample;accept;}

定義抽樣過(guò)濾器，選擇感興趣的流量

user@router#showinterfaceunit0familyinetfilter{inputmirror-sample;}

5.華為交換機(jī)

華為3050交換機(jī)端口鏡像配置方法

SwitchA相關(guān)配置

1.將端口E0/2配置為監(jiān)控端口

[SwitchA]monitor-portEthernet0/2

2.將端口E0/1配置為鏡像端口

[SwitchA]mirroring-portEthernet0/1both

補(bǔ)充說(shuō)明：支持多對(duì)一的端口鏡像。

鏡像端口配置時(shí)，可以使用參數(shù)定義被監(jiān)控報(bào)文的方向。例如：參數(shù)both，表示同時(shí)監(jiān)控端口的接收和發(fā)送報(bào)文；參數(shù)inbound，表示只監(jiān)控端口接收的報(bào)文；參數(shù)outbound，表示只監(jiān)控端口發(fā)送的報(bào)文。需要注意的是：端口鏡像是有風(fēng)險(xiǎn)的，它能加重交換機(jī)負(fù)載，造成設(shè)備不穩(wěn)定，同時(shí)在某些情況下會(huì)丟包，不能保證100%鏡像流量。例如，由于多個(gè)源端口鏡像到一個(gè)目的端口，目的端口無(wú)法處理造成丟包。