各類交換機端口鏡像配置

1、1、什么是端口鏡像 22、為什么需要端口鏡像 23、端口鏡像的別名 24、支持端口鏡像的交換機 35、各種交換機端口鏡像配置 3CISCO CATALYST 交換機端口監(jiān)聽配置 3CISCO:3550 IOS 端口映射的舉例 3CATALYST 4000/5000/6000 系列交換機端口監(jiān)聽配置 （基于 CAT OS） 43COM 交換機端口監(jiān)聽配置 5DELL 交換機端口監(jiān)聽配置 5N ETCORE 交換機端口監(jiān)聽配置 7INTEL 交換機端口監(jiān)聽配置 7AVAYA 交換機端口監(jiān)聽配置 8港灣交換機的配置 8北電交換的設(shè)置 9華為交換機端口監(jiān)聽配置 9HP 交換機端口監(jiān)聽配置 10EXTR

2、EME 交換機 10FOUNDRY 交換機 12JUNIPER 交換機 131、什么是端口鏡像把交換機一個或多個端口（ VLAN ）的數(shù)據(jù)鏡像到一個或多個端口的方法。 端口鏡像（ Port Mirroring ）可以讓用戶將所有的流量從一個特定的端口復(fù)制到 一個鏡像端口。 如果您的交換機提供端口鏡像功能， 則允許管理人員自行設(shè)置一 個監(jiān)視管理端口來監(jiān)視被監(jiān)視端口的數(shù)據(jù)。 監(jiān)視到的數(shù)據(jù)可以通過 PC 上安裝的 網(wǎng)絡(luò)分析軟件來查看，通過對數(shù)據(jù)的分析就可以實時查看被監(jiān)視端口的情況。 端口鏡像選取的設(shè)備原則為網(wǎng)絡(luò)中連接重要服務(wù)器群的交換機或路由器， 或是連 接到網(wǎng)通的出口路由器。2、為什么需要端口鏡像

3、通常為了部署流量分析、 IDS 等產(chǎn)品需要監(jiān)聽網(wǎng)絡(luò)流量，但是在目前廣泛 采用的交換網(wǎng)絡(luò)中監(jiān)聽所有流量有相當(dāng)大的困難， 因此需要通過配置交換機來把 一個或多個端口（ VLAN ）的數(shù)據(jù)轉(zhuǎn)發(fā)到某一個端口來實現(xiàn)對網(wǎng)絡(luò)的監(jiān)聽。3、端口鏡像的別名 端口鏡像通常有以下幾種別名： Port Mirroring 通常指允許把一個端口的流量復(fù)制到另外一個端口， 同時這個端口 不能再傳輸數(shù)據(jù)。Monitoring Port監(jiān)控端口Spanning Port通常指允許把所有端口的流量復(fù)制到另外一個端口， 同時這個端口 不能再傳輸數(shù)據(jù)。SPAN port在 Cisco 產(chǎn)品中， SPAN 通常指 Switch Por

4、t ANalyzer 。某些交換機的 SPAN端口不支持傳輸數(shù)據(jù)。 Link Mode port4、支持端口鏡像的交換機大多數(shù)中檔以上的交換機都支持端口鏡像功能，但支持程度不同。5、各種交換機端口鏡像配置大多數(shù)三層交換機和部份兩層交換機，具備端口鏡像功能，不同的交換機或不同的型號，鏡像配置方法的有些區(qū)別，下面我們提供常見交換機的鏡像配置方法：Cisco CATALYST 交換機端口監(jiān)聽配置CISCO CATALYST 交換機分為兩種，在 CATALYST家族中稱監(jiān)聽端口為分析端 口(an alysis port)。1、Catalyst 2900XL/3500XL/2950系列交換機端口監(jiān)聽配置

5、(基于CLI)以下命令配置端口監(jiān)聽：port mon itor例如，F(xiàn)0/1 和 F0/2、F0/5 同屬 VLAN1，F(xiàn)0/1 監(jiān)聽 F0/2、F0/5 端口：in terface FastEther net0/1port mon itor FastEther net0/2port mon itor FastEther net0/5port mo nitor VLAN1 cisco:3550 IOS 端口映射的舉例mon itor sessi on 1 source in terface Fa0/32 both以上命令的意思是：在監(jiān)控組，組"1"的設(shè)置中，將Fa0/32的

6、流量作為"源數(shù)據(jù)" 命令的后面還有選項分別是rx,tx,both 。rx意思是僅將該接口接收的流量作為" 源數(shù)據(jù)"°tx的意思是僅將該接口發(fā)送的流量作為"源數(shù)據(jù)"。both的意思是將該接 收進出的流量都作為 "源數(shù)據(jù)"。其中 f0/32 口是上行到出口路由器的口，所以這 里設(shè)置此口監(jiān)控。這樣設(shè)置的問題是，公司內(nèi)部 PC-PC 之間的流量是監(jiān)控不到的。而 cisco 設(shè)備又 只能設(shè)置一個 "both" 狀態(tài)的口。所以這個是相對比較好的設(shè)置方案。monitor session 1 dest

7、ination interface Fa0/5以上命令的意思是：在監(jiān)控組，組 "1" 的設(shè)置中，將 Fa0/5 作為監(jiān)控的目的口，也 就是監(jiān)控服務(wù)器所插的口。設(shè)置完成后，該口將接收到監(jiān)控組組 "1"" 源接口 "，在 這里也就是 Fa0/32 的數(shù)據(jù)。注意 cisco 設(shè)備一旦設(shè)置了監(jiān)控后， 監(jiān)控的目的口將不會再接收三層數(shù)據(jù)。 通常的 理解就是："會斷網(wǎng)"。Catalyst 4000/5000/6000 系列交換機端口監(jiān)聽配置 (基于 CatOS)支持 2 組鏡像EnShow module ( 確認(rèn)端口所在的模塊

8、)Set span source(mod/port) destination(mod/port) in|out|both inpkts enableWrite tern allShow span注：多個 source ：mod/port,mod/port-mod/port連續(xù)端口用橫桿 “ ”，非連續(xù)端口用逗號“，”set span enable允許鏡像set span disable禁止鏡像用于建立第二set span source destination in|out|both inpkts enable create （create 組鏡像 ）以下命令配置端口監(jiān)聽：set spa n例如

9、，模塊6中端口 1和端口 2同屬VLAN1 ,端口 3在VLAN2，端口 4和5在VLAN2，端口 2 監(jiān)聽端口 1 和 3、4、5，set spa n 6/1,6/3-5 6/23C0M交換機端口監(jiān)聽配置在3C0M交換機中，端口監(jiān)聽被稱為 “Roving Analysis ”。網(wǎng)絡(luò)流量被監(jiān)聽的端 口稱作 監(jiān)聽口 ”( Monitor Port )，連接監(jiān)聽設(shè)備的端口稱作 分析口 ”( Analyzer Port )。以下命令配置端口監(jiān)聽：指定分析口feature rovingAnalysis add，或縮寫 f r a例如：Select menu optio n: feature rovin

10、gAn alysis addSelect an alysis slot: 1Select an alysis port: 2指定監(jiān)聽口并啟動端口監(jiān)聽feature rovingAnalysis start，或縮寫 f r sta例如：Select menu optio n: feature rovingAn alysis startSelect slot to monitor (1-12): 1Select port to monitor&nb sp; (1-8): 3停止端口監(jiān)聽feature rovingAnalysis stop，或縮寫 f r stoDELL交換機端口監(jiān)聽配置

11、在Dell交換機中，端口監(jiān)聽被稱為 端口鏡像”（Port Mirroring ）。使用交換機 的管理界面，參數(shù)如下：Dest in ation Port（目的地端口）：定義端口通信要鏡像到的端口號；Source Port （源端口）：定義被鏡像端口的端口號。Add （添加）：添加端口鏡像操作。Type （類型）：指定要鏡像的端口通信類型。 可能的字段值包括：“ RX-表示鏡 像進入網(wǎng)絡(luò)的數(shù)據(jù)；“TX'-表示鏡像流出網(wǎng)絡(luò)的數(shù)據(jù)；Both （）-表示鏡像所有數(shù) 據(jù)。Status （狀態(tài)）：表示端口的狀態(tài)?？赡艿淖侄沃蛋ǎ骸?Active -表示端口被啟用；“Not Active -表示端

12、口被禁用。Remove （刪除）：刪除端口鏡像會話?？赡艿淖侄沃蛋ǎ阂堰x取”-刪除端口鏡像會話；朱選取”-保留端口鏡像會話。具體設(shè)置：1、 在Port Mirroring 對話框中的Destination Port中選中目的端口（鏡像端口）， 再單擊Add按鈕；2、在系統(tǒng)將打開“ Add Source Port （添加源端口）頁面中，定義“ Source Port（源端口）和“Type”（類型）字段，并單擊“Apply Changes”（應(yīng)用更改）， 使 系統(tǒng)接收更改。（注：如果需要從端口鏡像會話刪除副本端口，請打開 “ Port Mirrori ng ”（端口鏡 像）頁面，選取“ Remo

13、ve （刪除）復(fù)選框，再單擊 “ Apply Cha nges（應(yīng)用更 改）。系統(tǒng)將刪除端口鏡像會話，并更新設(shè)備。）以下命令配置端口監(jiān)聽：指定分析口CLI命令實例：Con sole（c on fig）# in terface ether net 1/e1Con sole（c on fig-if）# port mon itor 1/e8Con sole# show ports mon itorSource port Desti nati on Port Type Status1/e1 1/e8 RX, TX ActiveNetCore交換機端口監(jiān)聽配置NetCore交換機中，端口監(jiān)聽被稱為端口鏡

14、像”(Port Mirroring )交換機提供四種監(jiān)視狀態(tài)：Off關(guān)閉Mirror功能Rx捕獲被監(jiān)視端口的接收數(shù)據(jù)Tx捕獲被監(jiān)視端口的發(fā)送數(shù)據(jù)Both捕獲被監(jiān)視端口的接收和發(fā)送的數(shù)據(jù)進入NetCore的超級終端，在主菜單中輸入“5進入端口鏡像設(shè)置界面，輸入“ T設(shè)置端口鏡像狀態(tài)。如設(shè)置端口 1為鏡像端口，端口 8為被鏡像端口，捕獲該端口的接收和發(fā)送數(shù)據(jù)。 配置命令如下：1. 選擇配置的選項(1,off, 2.Rx, 3.Tx, 4.Both): 42. 選擇捕獲端口： 13. 選擇被鏡像端口： 8按Esc鍵退回鏡像設(shè)置界面，設(shè)置成功。In tel交換機端口監(jiān)聽配置In tel稱端口監(jiān)聽為“

15、Mirror Ports 。網(wǎng)絡(luò)流量被監(jiān)聽的端口稱作源端口”(Source Port )，連接監(jiān)聽設(shè)備的端口稱作鏡像口”(Mirror Port )。配置端口監(jiān)聽步驟如下：在 navigation菜單，點擊 Statistics 下的 Mirror Ports ，彈出 Mirror Ports信息。在Con figure Source列中點擊端口來選擇源端口，彈出Mirror PortsCon figuratio n。進行源端口設(shè)置:源端口是鏡像流量的來源口，鏡像口是接收來自源端口流量的端口。點擊Apply確定可以選擇三種監(jiān)聽的方式：1 .連續(xù)(Always ):鏡像全部流量。2 .周期(Pe

16、riodic ):在一定周期內(nèi) 鏡像全部流量。鏡像周期在Sampling Intervalcon figurati on中設(shè)置。3 .禁止(Disabled ):關(guān)閉流量鏡像。Avaya交換機端口監(jiān)聽配置在Avaya交換機用戶手冊中，端口監(jiān)聽被稱為端口鏡像”(Port Mirror ) 以下命令配置端口監(jiān)聽:set|clear Port Mirror設(shè)置端口偵聽：set port mirror source-portmirror-portsampli ng always max-packets -secpiggyback-port 禁止端口監(jiān)聽：clear port mirror命令中,mod

17、-port -rangemod-port-specpiggyback-port指定端口的范圍；指定特定的端口；指定雙向鏡像的端口;sampli ng 指定鏡像周期；max-packets-sec 僅在 sampling 設(shè)置為 periodic 時使用，指定監(jiān)聽口每秒最多的數(shù)據(jù)報數(shù)量。港灣交換機的配置conf mirr 1 to 24 （設(shè)置鏡像端口 24 ）conf mirr 1 add port 21,25 in （ 需要鏡像的端口入流量）conf mirr 1 add port 21,25 eg（ 需要鏡像的端口出流量）conf mirr 1 dis （ 消除鏡像）北電交換的設(shè)置Pass

18、port8600 的做端口鏡像的命令 （ 在 86 的 cli 接口下做 ）實際上這些工作都可以在 Java Device Manager下面做 （ 一個非常直觀的圖形化配置工具）1.第一步 config diag mirror-by-port enable true打開端口鏡像功能2. config diag mirror-by-port 1 create in-port 3/46 out 3/2這句話的意思就是創(chuàng)建一個端口鏡像條目 1（1 只是一個 id 用來區(qū)別不同條目 ） 被鏡像的端口是 3/46,3/2 就是用于接 Sniffer 的端口3. config diag mirror-b

19、y-port 1 mode both 這句話意思是被鏡像的端口的雙向流量都要被 Monitor 用完之后要 config diag mirror-by-port enable false 華為交換機端口監(jiān)聽配置 華為 6506R：如： mirroring-group 1 inband gigabitethernet 1/0/0 mirroring to gigabitethernet 1/0/1 把該交換機的 1/0/0 端口，鏡像到 1/0/1華為 s8512下面為將 4/1 的出流量和入流量全部境像到 4/2 上：Mirroring-group 1 outbound 4/1 mirrore

20、d-to 4/2Mirroring-group 2 inbound 4/1 mirrored-to 4/2華為 VRP S3526 ver3.1 華為交換機用戶手冊中，端口監(jiān)聽被稱為 “端口鏡像 ”（ Port Mirroring ）。 使用 Huawei Lanswitch View 管理系統(tǒng)添加一個鏡像端口：選擇Device Setup 或 Stack Setup。點擊Port Mirroring 。點擊 Add按鈕。對于堆疊，點擊Switch并從列表選擇一個交換機。點擊Reflect from并選擇流量將被鏡像的端口。點擊Reflect to并選上面所選擇的端口上的HP交換機端口監(jiān)聽配置

21、全局模式（conf ter）：mirror-port a6（a6為接流量分析軟件的端口）int a1-a3,a5,vlan20,trk2,mesh monitor （設(shè)置 a1,a2,a3,a5,trunk2 mesh為被境像的端口，即源端口）show mon itor（顯示境像設(shè)置結(jié)果）ctrl+zwrite memory（保存）Extreme 交換機特點：只能創(chuàng)建多對一或者一對一的鏡像端口可以監(jiān)聽 VLAN 的流量 Extreme會鏡像IN和OUT的流量。這就意味著在鏡像VLAN 的時候，會看到一個報文至少兩次一一從 VLAN 的某個端口出來，并且進入VLAN 的另一個端口。版本高于4.1

22、的Extreme交換機端口鏡像配置方法en able | disable mirrori ng on port開啟/關(guān)閉端口鏡像功能，并且指定鏡像流量從何端口流出,port-no只能是一個端configure mirroring add | delete vlan | port 指定鏡像哪個或哪些 VLAN 或端口的流量 vlan | port 部分可以重復(fù)多次。版本低于 4.1 的 Extreme 交換機端口鏡像配置方法enable mirror to port port-no開啟端口鏡像功能，并且指定鏡像流量從何端口流出，port-no 只能是一個端口disable mirror關(guān)閉端口鏡像功能config mirror add port鏡像端口port-no 的流量， 如果這個端口包含多個VLAN 這些流量都會被鏡像到目的端口config mirror add port vlan鏡像端口port-no 中指定 VLAN 的流量config mirror add vlan鏡像端口中指定 VLAN 的所有端口的流量config mirror del portconfig mirror del vl