各类交换机端口镜像方法.doc

1、什么是端口镜像什么是端口镜像.2 2、为什么需要端口镜像为什么需要端口镜像.2 3、端口镜像的别名端口镜像的别名.2 4、支持端口镜像的交换机支持端口镜像的交换机.3 5、各种交换机端口镜像配置各种交换机端口镜像配置.3 CISCO CATALYST 交换机端口监听配置.3 CISCO:3550 IOS 端口映射的举例 3 CATALYST 4000/5000/6000 系列交换机端口监听配置(基于 CATOS)4 3COM 交换机端口监听配置.5 DELL 交换机端口监听配置5 NETCORE交换机端口监听配置.7 INTEL交换机端口监听配置.7 AVAYA交换机端口监听配置8 港湾交换机的配置.8 北电交换的设置.9 华为交换机端口监听配置.9 HP 交换机端口监听配置.10 EXTREME 交换机10 FOUNDRY 交换机12 JUNIPER 交换机.12 1 1、什么是端口镜像什么是端口镜像 把交换机一个或多个端口（VLAN）的数据镜像到一个或多个端口的方法。 端口镜像（Port Mirroring）可以让用户将所有的流量从一个特定的端口复制 到一个镜像端口。如果您的交换机提供端口镜像功能，则允许管理人员自行设 置一个监视管理端口来监视被监视端口的数据。监视到的数据可以通过 PC 上 安装的网络分析软件来查看，通过对数据的分析就可以实时查看被监视端口的 情况。 端口镜像选取的设备原则为网络中连接重要服务器群的交换机或路由器，或是 连接到网通的出口路由器。 2 2、为什么需要端口镜像为什么需要端口镜像 通常为了部署流量分析、IDS 等产品需要监听网络流量，但是在目前广泛 采用的交换网络中监听所有流量有相当大的困难，因此需要通过配置交换机来 把一个或多个端口（VLAN）的数据转发到某一个端口来实现对网络的监听。 3 3、端口镜像的别名端口镜像的别名 端口镜像通常有以下几种别名： Port Mirroring 通常指允许把一个端口的流量复制到另外一个端口，同时这个端 口不能再传输数据。 Monitoring Port 监控端口 Spanning Port 通常指允许把所有端口的流量复制到另外一个端口，同时这个端 口不能再传输数据。 SPAN port 在 Cisco 产品中，SPAN 通常指 Switch Port ANalyzer。某些交换机的 SPAN 端口不支持传输数据。 Link Mode port 4 4、支持端口镜像的交换机支持端口镜像的交换机 大多数中档以上的交换机都支持端口镜像功能，但支持程度不同。 5 5、各种交换机端口镜像配置各种交换机端口镜像配置 大多数三层交换机和部份两层交换机，具备端口镜像功能，不同的交换机或不同 的型号，镜像配置方法的有些区别，下面我们提供常见交换机的镜像配置方法： Cisco CATALYST 交换机端口监听配置交换机端口监听配置 CISCO CATALYST 交换机分为两种，在 CATALYST 家族中称监听端口为分析 端口(analysis port)。 1、Catalyst 2900XL/3500XL/2950 系列交换机端口监听配置(基于 CLI) 以下命令配置端口监听： port monitor 例如，F0/1 和 F0/2、F0/5 同属 VLAN1，F0/1 监听 F0/2、F0/5 端口： interface FastEthernet0/1 port monitor FastEthernet0/2 port monitor FastEthernet0/5 port monitor VLAN1 cisco:3550 IOS 端口映射的举例端口映射的举例 monitor session 1 source interface Fa0/32 both 以上命令的意思是：在监控组，组“1“的设置中，将 Fa0/32 的流量作为“源数据 “。命令的后面还有选项分别是 rx,tx,both。rx 意思是仅将该接口接收的流量作 为“源数据“。tx 的意思是仅将该接口发送的流量作为“源数据“。both 的意思是将 该接收进出的流量都作为“源数据“。其中 f0/32 口是上行到出口路由器的口，所 以这里设置此口监控。 这样设置的问题是，公司内部 PC-PC 之间的流量是监控不到的。而 cisco 设备又 只能设置一个“both“状态的口。所以这个是相对比较好的设置方案。 monitor session 1 destination interface Fa0/5 以上命令的意思是：在监控组，组“1“的设置中，将 Fa0/5 作为监控的目的口， 也就是监控服务器所插的口。设置完成后，该口将接收到监控组组“1“源接口“， 在这里也 就是 Fa0/32 的数据。 注意 cisco 设备一旦设置了监控后，监控的目的口将不会再接收三层数据。通常 的理解就 是：“会断网“。 Catalyst 4000/5000/6000 系列交换机端口监听配置系列交换机端口监听配置(基于基于 CatOS) 支持 2 组镜像 En Show module (确认端口所在的模块) Set span source(mod/port) destination(mod/port) in|out|both inpkts enable Write tern all Show span 注：多个 source：mod/port,mod/port-mod/port 连续端口用横杆“”，非连续端口用 逗号“，” set span enable 允许镜像 set span disable 禁止镜像 set span source destination in|out|both inpkts enable create (create 用于建立第二 组镜像) 以下命令配置端口监听： set span 例如，模块 6 中端口 1 和端口 2 同属 VLAN1，端口 3 在 VLAN2，端口 4 和 5 在 VLAN2，端口 2 监听端口 1 和 3、4、5， set span 6/1,6/3-5 6/2 3COM 交换机端口监听配置交换机端口监听配置 在 3COM 交换机中，端口监听被称为“Roving Analysis”。 网络流量被监听的 端口称作“监听口”（Monitor Port），连接监听设备的端口称作“分析口” （Analyzer Port）。 以下命令配置端口监听： 指定分析口 feature rovingAnalysis add，或缩写 f r a 例如： Select menu option: feature rovingAn alysis add Select analysis slot: 1 Select analysis port: 2 指定监听口并启动端口监听 feature rovingAnalysis start，或缩写 f r sta 例如： Select menu option: feature rovingAn alysis start Select slot to monitor (1-12): 1 Select port to monitor (1-8): 3 停止端口监听 feature rovingAnalysis stop，或缩写 f r sto DELL 交换机端口监听配置交换机端口监听配置 在 Dell 交换机中，端口监听被称为“端口镜像”（Port Mirroring）。使用交换机 的管理界面，参数如下： Destination Port（目的地端口）：定义端口通信要镜像到的端口号； Source Port（源端口）：定义被镜像端口的端口号。 Add（添加）：添加端口镜像操作。 Type（类型）：指定要镜像的端口通信类型。 可能的字段值包括：“RX”-表示 镜像进入网络的数据；“TX”-表示镜像流出网络的数据；Both（）-表示镜像所有 数据。 Status（状态）：表示端口的状态。 可能的字段值包括： “Active”-表示端口 被启用；“Not Active”-表示端口被禁用。 Remove（删除）：删除端口镜像会话。 可能的字段值包括： “已选取”-删除端 口镜像会话；“未选取”-保留端口镜像会话。 具体设置：具体设置： 1、在 Port Mirroring 对话框中的 Destination Port 中选中目的端口（镜像端 口），再单击 Add 按钮； 2、在系统将打开“Add Source Port”（添加源端口）页面中，定义“Source Port”（源端口）和“Type”（类型）字段，并单击“Apply Changes”（应用更改） ， 使系统接收更改。 （注：如果需要从端口镜像会话删除副本端口，请打开“Port Mirroring”（端口 镜像）页面，选取“Remove”（删除）复选框，再单击“Apply Changes”（应用 更改）。 系统将删除端口镜像会话，并更新设备。） 以下命令配置端口监听： 指定分析口 CLI 命令实例： Console(config)# interface ethernet 1/e1 Console(config-if)# port monitor 1/e8 Console# show ports monitor Source port Destination Port Type Status - - - - 1/e1 1/e8 RX, TX Active NetCore 交换机端口监听配置交换机端口监听配置 NetCore 交换机中，端口监听被称为“端口镜像”（Port Mirroring）。 交换机提供四种监视状态： Off关闭 Mirror 功能 Rx捕获被监视端口的接收数据 Tx捕获被监视端口的发送数据 Both捕获被监视端口的接收和发送的数据 进入 NetCore 的超级终端，在主菜单中输入“5”进入端口镜像设置界面，输入 “1”设置端口镜像状态。 如设置端口 1 为镜像端口，端口 8 为被镜像端口，捕获该端口的接收和发送数据。 配置命令如下： 1. 选择配置的选项 (1,off, 2.Rx, 3.Tx, 4.Both) ：4 2. 选择捕获端口：1 3. 选择被镜像端口：8 按 Esc 键退回镜像设置界面，设置成功。 Intel 交换机端口监听配置交换机端口监听配置 Intel 称端口监听为“Mirror Ports”。 网络流量被监听的端口称作“源端口” （Source Port），连接监听设备的端口称作“镜像口”（Mirror Port）。 配置端口监听步骤如下： 在 navigation 菜单，点击 Statistics 下的 Mirror Ports，弹出 Mirror Ports 信息。 在 Configure Source 列中点击端口来选择源端口， 弹出 Mirror Ports Configuration。 进行源端口设置： 源端口是镜像流量的来源口，镜像口是接收来自源端口流量的端口。 点击 Apply 确定 可以选择三种监听的方式： 1连续（Always）：镜像全部流量。 2周期（Periodic）：在一定周期内 镜像全部流量。镜像周期在 Sampling Interval configuration 中设置。 3禁止（Disabled）：关闭流量镜像。 Avaya 交换机端口监听配置交换机端口监听配置 在 Avaya 交换机用户手册中，端口监听被称为“端口镜像”（Port Mirror）。 以下命令配置端口监听： set|clear Port Mirror 设置端口侦听： set port mirror source-port mirror-portsampling always max-packets -sec piggyback-port 禁止端口监 听： clear port mirror 命令中， mod-port-range 指定端口的范围； mod-port-spec 指定特定的端口； piggyback-port 指定双向镜像的端口； sampling 指定镜像周期； max-packets-sec 仅在 sampling 设置为 periodic 时使用，指定监听口每秒最 多的数据报数量。 港湾交换机的配置港湾交换机的配置 conf mirr 1 to 24 (设置镜像端口 24） conf mirr 1 add port 21,25 in (需要镜像的端口入流量） conf mirr 1 add port 21,25 eg (需要镜像的端口出流量） conf mirr 1 dis (消除镜像） 北电交换的设置北电交换的设置 Passport8600 的做端口镜像的命令(在 86 的 cli 接口下做) 实际上这些工作都可以在 Java Device Manager 下面做(一个非常直观的图形化 配置工具) 1.第一步 config diag mirror-by-port enable true 打开端口镜像功能 2.config diag mirror-by-port 1 create in-port 3/46 out 3/2 这句话的意思就是创建一个端口镜像条目 1(1 只是一个 id 用来区别不同条目) 被镜像的端口是 3/46,3/2 就是用于接 Sniffer 的端口 3.config diag mirror-by-port 1 mode both 这句话意思是被镜像的端口的双向流量都要被 Monitor 用完之后要 config diag mirror-by-port enable false 华为交换机端口监听配置华为交换机端口监听配置 华为华为 6506R6506R： 如：mirroring-group 1 inband gigabitethernet 1/0/0 mirroring to gigabitethernet 1/0/1 把该交换机的 1/0/0 端口，镜像到 1/0/1 华为华为 s8512s8512 下面为将 4/1 的出流量和入流量全部境像到 4/2 上： Mirroring-group 1 outbound 4/1 mirrored-to 4/2 Mirroring-group 2 inbound 4/1 mirrored-to 4/2 华为华为 VRPVRP S3526S3526 ver3.1ver3.1 华为交换机用户手册中，端口监听被称为“端口镜像”（Port Mirroring） 。 使用 Huawei Lanswitch View 管理系统添加一个镜像端口： 选择Device Setup 或 Stack Setup。 点击Port Mirroring。 点击Add 按钮。对于堆叠，点击 Switch 并从列表选择一个交换机。 点击Reflect from 并选择流量将被镜像的端口。 点击Reflect to 并选上面所选择的端口上的 HP 交换机端口监听配置交换机端口监听配置 全局模式（全局模式（conf ter）：）： mirror-portmirror-port a6a6 (a6为接流量分析软件的端口) intint a1-a3,a5,vlan20,trk2,mesha1-a3,a5,vlan20,trk2,mesh monitormonitor (设置 a1,a2,a3,a5,trunk2 mesh 为被 境像的端口，即源端口) showshow monitormonitor （显示境像设置结果） ctrl+zctrl+z writewrite memorymemory （保存） Extreme 交换机交换机 特点： 只能创建多对一或者一对一的镜像端口 可以监听 VLAN 的流量 Extreme 会镜像 IN 和 OUT 的流量。这就意味着在镜像 VLAN 的时候，会看到 一个报文至少两次从 VLAN 的某个端口出来，并且进入 VLAN 的另一个端口。 版本高于 4.1 的 Extreme 交换机端口镜像配置方法 enable | disable mirroring on port 开启/关闭端口镜像功能，并且指定镜像流量从何端口流出，port-no 只能是一个 端口 configure mirroring add | delete vlan | port 指定镜像哪个或哪些 VLAN 或端口的流量 vlan | port 部分可以重复多次。 版本低于版本低于 4.1 的的 Extreme 交换机端口镜像配置方法交换机端口镜像配置方法 enable mirror to port port-no 开启端口镜像功能，并且指定镜像流量从何端口流出，port-no 只能是一个端 口 disable mirror 关闭端口镜像功能 config mirror add port 镜像端口 port-no 的流量，如果这个端口包含多个 VLAN 这些流量都会被镜像到目 的端口 config mirror add port vlan 镜像端口 port-no 中指定 VLAN 的流量 config mirror add vlan 镜像端口中指定 VLAN 的所有端口的流量 config mirror del port 取消对 port-no 的端口镜像 config mirror del vlan 取消对指定 VLAN 的端口镜像 show mirror 显示端口镜像情况 Foundry 交换机交换机 特点： 可以创建多对多的端口镜像 Foundry 交换机端口镜像配置方法交换机端口镜像配置方法 在配置模式中（Configuration Mode）： interface port