镜像的功效简单地说就是将被监控流量镜像到监控端口,以便对被监控流量进行故障定位、流量阐发、流量备份等,监控端口普通干脆与监控主机等相连。
Iis7服务器监控对象环境下实现端口的修改和查询。
为了利便对一个或多个网络接口(网卡)的流量进行阐发,可以通过配置互换机或路由器来把一个或多个端口(VLAN)的数据转发到某一个端口,即端口镜像,来实现对网络的监听。
监督到进出网络的所有数据包,供安置了监控软件的管理服务器抓取数据,如网吧需提供此功效把数据发往公安片面审查。而企业出于信息安全、保护公司机密的需要,也迫切需要网络中有一个端口能提供这种及时监控功效。在企业中用端口镜像功效,可以很好的对企业内部的网络数据进行监控管理,在网络出现故障的时候,可以做到很好地故障定位。
(备注:互换机把某一个端口汲取或发送的数据帧彻底相像的复制给另一个端口;其中被复制的端口称为镜像源端口,复制的端口称为镜像目标端口。)
分类
端口镜像凭据不同的分类标准,镜像类型也不同样。凭据镜像感化的端口模式来分别,端口镜像分为以下三品种型:
进口镜像:只对从该端口进入的流量进行镜像。
出口镜像:只对该端口的发出的流量进行镜像。
双向镜像:支持对该端口收到和发出的双向流量进行镜像。凭据镜像功效分别,端口镜像分为两品种型:
流镜像:要是端口上配置了ACL并启用,则觉得是流镜像。流镜像只采集经过ACL过滤后的数据包,否则觉得是纯端口镜像。对于ACL流量采集方式,支持在端口的方向(出向、入向和双向三种)上绑定标准走访列表和扩大走访列表。
纯端口镜像:对端口进出的流量进行镜像。
凭据镜像事情的局限分别,端口镜像分为两品种型:
本地镜像:源端口和目标端口在同一个路由器上。
远端镜像:源端口和目标端口分布在不同的路由器上,镜像流量经过某种封装,实现跨路由器传输。建立要领
Cisco CATALYST互换机端口监听配置
Cisco CATALYST互换机分为两 种,在CATALYST家族中称侦听端口为阐发端 口(analysis port)。
1、Catalyst 2900XL/3500XL/2950系列互换机端口监听配 置 (基于CLI)
以下号令配置端口监听:
port monitor
例 如,F0/1和F0/2、F0/3同属VLAN1,F0/1监听F0/2、F0/3端口:
interface FastEthernet0/1
port monitor FastEthernet0/2
port monitor FastEthernet0/3
port monitor VLAN1
2、Catalyst 4000,5000 and 6000系列互换机端口监听配 置 (基于IOS)
以下号令配置端口监听:
set span
例如,模块1中端口1和端口2同属VLAN1,端口3在VLAN2,端口4和5在VLAN2,端口2监听端 口1和3、4、5,
set span 1/1,1/3-5 1/2
2950/3550/3750
格式如下:
#monitor session number source interface mod_number/port_number both
#monitor session number destination interface mod_mnumber/port_number
//rx-->指明是进端口的流量,tx-->出端口的流量 both 进出的流量
for example:
第一条镜像,将第一模块中的源端口为1-10的镜像到端口12上面;
#monitor session 1 source interface 1/1-10 both
#monitor session 1 destination interface 1/12
第二条镜像,将第二模块中的源端口为13-20的镜像到端口24上面;
#monitor session 2 source interface 2/13-20 both
#monitor session 2 destination interface 2/24
当有多条镜像、多个模块时改变其中的参数即可。
Catalyst 2950 3550不支持port monitor
C2950#configure terminal
C2950(config)#
C2950(config)#monitor session 1 source interface fastEthernet 0/2
!--- Interface fa 0/2 is configured as source port.
C2950(config)#monitor session 1 destination interface fastEthernet 0/3
!--- Interface fa0/3 is configured as destination port.
配置号令
- 指定阐发口
feature rovingAnalysis add,或缩 写 f r a,
例 如:
Select menu option: feature rovingAn alysis add
Select analysis slot: 1?& nbsp;
Select analysis port: 2
- 指定监听口并启动端口监听
feature rovingAnalysis start,或缩 写 f r sta,
例 如:
Select menu option: feature rovingAn alysis start
Select slot to monitor ?(1-12): 1
Select port to monitor&nb sp;?(1-8): 3
- 停止端口监 听
feature rovingAnalysis stop,或缩 写 f r sto
常见配置
Intel 称端口监听为“Mirror Ports”。 网络流量被监听的端口称作“源端 口”(Source Port),连接监听建筑的端口称作“镜像口”(Mirror Port)。
配置端口监听步骤如下:
-
在 navigation菜单,点击Statistics下的Mirror Ports,弹出Mirror Ports信 息。
-
在Configure Source 列中点击端口来选定源端口, 弹出Mirror Ports Configuration。
- 进行源端口设 置:源端口是镜像流量的来源口,镜像口是汲取来自源端口流量的端 口, 点击Apply确定。
可以选定三种监听的方 式:
1.连续(Always):镜像全部流量。
2.周期(Periodic):在一定周期内 镜像全部流量。镜像周期在Sampling Interval configuration中设置。
3 .禁止(Disabled):关闭流量镜像。
在Avaya互换机用户手册中,端口监 听被称为“端口镜像”(Port Mirror)。
以下号令配置端口监听:
{ set|clear } Port Mirror
设置端口侦 听:set port mirror <mod-port-range> source-port ?<mod-port-range> mirror-port <mod-port-spec> sampling { always | disable | periodic } [ max-packets-sec <max-packets-sec-value>?& nbsp;] [ piggyback-port<mod-port-spec> ]?&nb sp;
禁止端口监 听:clear port mirror <mod-port-range>
号令 中,mod-port-range指定端口的局限;mod-port-spec指定特定的端口;piggyback-port指定双向镜像的端口;sampling指定镜像周期;max-packets-sec仅在sampling设置为periodic时使用,指定监听口每秒至多的数据报数目。
华为互换机用户手册中,端口监听被称为“端口镜 像”(Port Mirroring)。
使用Huawei Lanswitch View管 理体系增加一个镜像端口:
● 选 择Device Setup或Stack Setup。
● 点 击Port Mirroring。
● 点击Add按 钮。
● 对于堆叠,点击Switch并从列表选定一个互换 机。
● 点击Reflect from并选定流量将被镜像的端 口。
● 点击Reflect to并选上面所选定的端口。