交換機(jī)端口鏡像及其工作原理

1、于激活狀態(tài)時(shí)，任何發(fā)送到該端口且與SPAN任務(wù)無關(guān)的數(shù)據(jù)包將會(huì)被丟棄。于激活狀態(tài)時(shí)，任何發(fā)送到該端口且與SPAN任務(wù)無關(guān)的數(shù)據(jù)包將會(huì)被丟棄。交換機(jī)端口鏡像及其工作原理VLAN）的數(shù)據(jù)鏡像到一個(gè)或多個(gè)端端口鏡像（portMirroring）把交換機(jī)一個(gè)或多個(gè)端口（口的方法。在一些交換機(jī)中，我們可以通過對(duì)交換機(jī)的配置來實(shí)現(xiàn)將某個(gè)端口上的數(shù)據(jù)包，拷貝一份到另外一個(gè)端口上，這個(gè)過程就是“端口鏡像”，如下圖：于激活狀態(tài)時(shí)，任何發(fā)送到該端口且與SPAN任務(wù)無關(guān)的數(shù)據(jù)包將會(huì)被丟棄。于激活狀態(tài)時(shí)，任何發(fā)送到該端口且與SPAN任務(wù)無關(guān)的數(shù)據(jù)包將會(huì)被丟棄。于激活狀態(tài)時(shí)，任何發(fā)送到該端口且與SPAN任務(wù)無關(guān)的數(shù)據(jù)包

2、將會(huì)被丟棄。于激活狀態(tài)時(shí)，任何發(fā)送到該端口且與SPAN任務(wù)無關(guān)的數(shù)據(jù)包將會(huì)被丟棄。端口1為鏡像端口，端口2為被鏡像端口；因?yàn)橥ㄟ^端口1可以看到端口2的流量，所以，我們也稱端口1為監(jiān)控端口，而端口2為被監(jiān)控端口。市面上，絕大多數(shù)交換機(jī)（如cisco產(chǎn)品）的某個(gè)口被設(shè)置為鏡像端口后，接到該端口的主機(jī)將無法發(fā)送數(shù)據(jù)包到網(wǎng)內(nèi)其他機(jī)器，變成了“單向接受”模式；這類情況，并不利于監(jiān)控，因?yàn)橄到y(tǒng)無發(fā)發(fā)送封包到客戶機(jī)，而導(dǎo)致無法對(duì)客戶機(jī)進(jìn)行控制；不過“網(wǎng)路崗”針對(duì)此類情況有專門的解決手段，如碰到此類情況，用戶可以咨詢我公司技術(shù)人員。不過仍然有部分交換機(jī)除外，比如：TPLink-SF2005或TP-Link24

3、28web,因?yàn)槠鋬r(jià)格便宜，功能實(shí)用，因此我們一般建議客戶購(gòu)買這兩款交換機(jī)進(jìn)行監(jiān)控。注：如果監(jiān)控的電腦超于激活狀態(tài)時(shí)，任何發(fā)送到該端口且與SPAN任務(wù)無關(guān)的數(shù)據(jù)包將會(huì)被丟棄。于激活狀態(tài)時(shí)，任何發(fā)送到該端口且與SPAN任務(wù)無關(guān)的數(shù)據(jù)包將會(huì)被丟棄。于激活狀態(tài)時(shí)，任何發(fā)送到該端口且與SPAN任務(wù)無關(guān)的數(shù)據(jù)包將會(huì)被丟棄。于激活狀態(tài)時(shí)，任何發(fā)送到該端口且與SPAN任務(wù)無關(guān)的數(shù)據(jù)包將會(huì)被丟棄。過了40臺(tái)建議用TP-Link2428web,這款交換機(jī)自帶網(wǎng)管功能，性能比TPLink-SF2005高，而于激活狀態(tài)時(shí)，任何發(fā)送到該端口且與SPAN任務(wù)無關(guān)的數(shù)據(jù)包將會(huì)被丟棄。于激活狀態(tài)時(shí)，任何發(fā)送到該端口且與SP

4、AN任務(wù)無關(guān)的數(shù)據(jù)包將會(huì)被丟棄。且還有兩個(gè)千M電口可以做為監(jiān)控使用。如果使用其它品牌的交換機(jī)只要支持端口鏡像功能于激活狀態(tài)時(shí)，任何發(fā)送到該端口且與SPAN任務(wù)無關(guān)的數(shù)據(jù)包將會(huì)被丟棄。于激活狀態(tài)時(shí)，任何發(fā)送到該端口且與SPAN任務(wù)無關(guān)的數(shù)據(jù)包將會(huì)被丟棄。的話也同樣可以達(dá)到上網(wǎng)監(jiān)控，qq和msn聊天監(jiān)控，郵件監(jiān)控及抓包分析的效果。端口鏡像的目的于激活狀態(tài)時(shí)，任何發(fā)送到該端口且與SPAN任務(wù)無關(guān)的數(shù)據(jù)包將會(huì)被丟棄。于激活狀態(tài)時(shí)，任何發(fā)送到該端口且與SPAN任務(wù)無關(guān)的數(shù)據(jù)包將會(huì)被丟棄。于激活狀態(tài)時(shí)，任何發(fā)送到該端口且與SPAN任務(wù)無關(guān)的數(shù)據(jù)包將會(huì)被丟棄。于激活狀態(tài)時(shí)，任何發(fā)送到該端口且與SPAN任務(wù)無

5、關(guān)的數(shù)據(jù)包將會(huì)被丟棄。由于部署IDS產(chǎn)品需要監(jiān)聽網(wǎng)絡(luò)流量（網(wǎng)絡(luò)分析儀同樣也需要），但是在目前廣泛采用于激活狀態(tài)時(shí)，任何發(fā)送到該端口且與SPAN任務(wù)無關(guān)的數(shù)據(jù)包將會(huì)被丟棄。于激活狀態(tài)時(shí)，任何發(fā)送到該端口且與SPAN任務(wù)無關(guān)的數(shù)據(jù)包將會(huì)被丟棄。的交換網(wǎng)絡(luò)中監(jiān)聽所有流量有相當(dāng)大的困難，因此需要通過配置交換機(jī)來把一個(gè)或多個(gè)端口于激活狀態(tài)時(shí)，任何發(fā)送到該端口且與SPAN任務(wù)無關(guān)的數(shù)據(jù)包將會(huì)被丟棄。于激活狀態(tài)時(shí)，任何發(fā)送到該端口且與SPAN任務(wù)無關(guān)的數(shù)據(jù)包將會(huì)被丟棄。（VLAN）的數(shù)據(jù)轉(zhuǎn)發(fā)到某一個(gè)端口來實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的監(jiān)聽。端口鏡像的功能監(jiān)視到進(jìn)出網(wǎng)絡(luò)的所有數(shù)據(jù)包，供安裝了監(jiān)控軟件的管理服務(wù)器抓取數(shù)據(jù)供此功能

6、把數(shù)據(jù)發(fā)往公安部門審查。而企業(yè)出于信息安全、保護(hù)公司機(jī)密的需要，,如網(wǎng)吧需提也迫切需要網(wǎng)絡(luò)中有一個(gè)端口能提供這種實(shí)時(shí)監(jiān)控功能。業(yè)內(nèi)部的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行監(jiān)控管理，在網(wǎng)絡(luò)出現(xiàn)故障的時(shí)候，通過配置端口鏡像，安裝網(wǎng)路崗監(jiān)控上網(wǎng)行為管理軟件就可以實(shí)現(xiàn)對(duì)整個(gè)網(wǎng)絡(luò)的監(jiān)控了。在企業(yè)中用端口鏡像功能，可以做到很好地故障定位?？梢院芎玫膶?duì)企一般（備注：交換機(jī)把某一個(gè)端口接收或發(fā)送的數(shù)據(jù)幀完全相同的復(fù)制給另一個(gè)端口；其中被復(fù)制的端口稱為鏡像源端口，復(fù)制的端口稱為鏡像目的端口。）端口鏡像通常有以下幾種別名：PortMirroring通常指允許把一個(gè)端口的流量復(fù)制到另外一個(gè)端口，同時(shí)這個(gè)端口不能再傳輸數(shù)據(jù)。Monitori

7、ngPort監(jiān)控端口SpanningPort通常指允許把所有端口的流量復(fù)制到另外一個(gè)端口，同時(shí)這個(gè)端口不能再傳輸數(shù)據(jù)。SPANport在Cisco產(chǎn)品中，SPAN通常指SwitchPortANalyzer。某些交換機(jī)的SPAN端口不支持傳輸數(shù)據(jù)。LinkModeport這樣，這些流量就可以被一個(gè)特殊的設(shè)備監(jiān)控。它對(duì)發(fā)現(xiàn)和修理故障有很大的幫助。端口鏡像工作原理：SPAN（SwitchedPortAnalyzer）的作用主要是為了給某種網(wǎng)絡(luò)分析器提供網(wǎng)絡(luò)數(shù)據(jù)流。它既可以實(shí)現(xiàn)一個(gè)VLAN中若干個(gè)源端口向一個(gè)監(jiān)控端口鏡像數(shù)據(jù)，也可以從若干個(gè)VLAN向一個(gè)臨控端口鏡像數(shù)據(jù)。源端口的5號(hào)端口上流轉(zhuǎn)的所有數(shù)

8、據(jù)流均被鏡像至10號(hào)監(jiān)控端口，而數(shù)據(jù)分析設(shè)備通過監(jiān)控端口接收了所有來自5號(hào)端口的數(shù)據(jù)流。值得注意的是，源端口和鏡像端口必須位于同一臺(tái)交換機(jī)上（但也有例外，如Catalyst6000系列交換機(jī)）；而于激活狀態(tài)時(shí)，任何發(fā)送到該端口且與SPAN任務(wù)無關(guān)的數(shù)據(jù)包將會(huì)被丟棄。于激活狀態(tài)時(shí)，任何發(fā)送到該端口且與SPAN任務(wù)無關(guān)的數(shù)據(jù)包將會(huì)被丟棄。且SPAN并不會(huì)影響源端口的數(shù)據(jù)交換，它只是將源端口發(fā)送或接收的數(shù)據(jù)包副本發(fā)送到監(jiān)控端口。在SPAN任務(wù)過程中，用戶可以通過參數(shù)控制，來指明需要監(jiān)控的數(shù)據(jù)流種類；還可以將一個(gè)或多個(gè)端、口、一個(gè)或多個(gè)VLAN作為源端口，并將從這些端口中發(fā)送或接收的單向或雙向數(shù)據(jù)流傳

9、送至監(jiān)控端口。在Catalyst4006交換機(jī)中，最多可以配置6個(gè)單向的SPAN任務(wù)：2個(gè)輸入數(shù)據(jù)流監(jiān)控、4個(gè)輸出數(shù)據(jù)流監(jiān)控。一個(gè)雙向SPAN任務(wù)實(shí)際上包含一個(gè)單向輸入和一個(gè)單向輸出。而且不僅僅二層交換端口可作為源端口，Catalyst4006上的三層路由端口也可設(shè)置為源端口。SPAN任務(wù)不會(huì)影響交換機(jī)的正常工作。當(dāng)一個(gè)SPAN任務(wù)被建立后，根據(jù)交換機(jī)所處的于激活狀態(tài)時(shí)，任何發(fā)送到該端口且與SPAN任務(wù)無關(guān)的數(shù)據(jù)包將會(huì)被丟棄。于激活狀態(tài)時(shí)，任何發(fā)送到該端口且與SPAN任務(wù)無關(guān)的數(shù)據(jù)包將會(huì)被丟棄。“showmonitorsession命令可顯示SPAN的當(dāng)前狀態(tài)。如果遇到系統(tǒng)重新啟動(dòng)的情況，在目

10、的端口初始化結(jié)束之前，SPAN任務(wù)將處于非激活狀態(tài)。目的端口（監(jiān)控端口）可以是交換機(jī)上的任意一個(gè)交換或路由端口。當(dāng)一個(gè)目的端口處不同的狀態(tài)或操作，任務(wù)會(huì)處于激活或非激活狀態(tài)，同時(shí)系統(tǒng)會(huì)將其記入日志。通過Catalyst29503550不支持portmonitor一個(gè)目的端口只能處于一個(gè)為源端口，同時(shí)冗余鏈路端口也不能成為SPAN任務(wù)中。當(dāng)一個(gè)端口被配制成目的端口后就不能再成Trunk端口被配置成為SPAN的目的端口，則其SPAN的目的端口。特別需要指出的是，如果一個(gè)Trunk功能也將自動(dòng)停止。源端口又可以稱作被監(jiān)控端口。在一個(gè)SPAN任務(wù)中，可以有一個(gè)或多個(gè)源端口，而且可以SPAN任務(wù)中，根據(jù)

11、用戶需要設(shè)置為輸入方向、輸出方向或雙向，但無論哪種情況，在一個(gè)Catalyst29503550不支持portmonitor所有源端口的被監(jiān)控方向都必須是一致的。在Catalyst4006交換機(jī)上的VLAN也可以整體Catalyst29503550不支持portmonitor設(shè)置為源端口，這意味著被指定VLAN中的所有端口均為當(dāng)前SPAN任務(wù)中的源端口。Catalyst29503550不支持portmonitorTrunk端口可以單獨(dú)設(shè)為源端口，也可以與非Trunk端口一起被設(shè)置為源端口，但要注Catalyst29503550不支持portmonitor意的是，在監(jiān)控端口不會(huì)識(shí)別來自Trunk端

12、口針對(duì)不同VLAN的數(shù)據(jù)封裝格式，換句話說，Catalyst29503550不支持portmonitorVLAN。在監(jiān)控端口收到的數(shù)據(jù)包將無法辨明是來自哪個(gè)SPAN數(shù)據(jù)流主要分為三類：(1)輸入數(shù)據(jù)流(IngressSPAN)：指被源端口接收進(jìn)來，其數(shù)據(jù)副本發(fā)送至監(jiān)控端口的數(shù)據(jù)流(2)輸出數(shù)據(jù)流(EgressSPAN)：指從源端口發(fā)送出去，其數(shù)據(jù)副本發(fā)送至監(jiān)控端口的數(shù)據(jù)流(3)00000(BothSPAN)：即為以上兩種的綜合。基于VLAN的SPAN是以一個(gè)或幾個(gè)VLAN作為監(jiān)控對(duì)象，其中的所有端口均為源端口，與基于端口的SPAN類似，基于VLAN的SPAN也分為輸入數(shù)據(jù)流、輸出數(shù)據(jù)流和000

13、00監(jiān)控三種類型。在配置基于VLAN的SPAN任務(wù)過程中，應(yīng)注意幾點(diǎn)：Trunk端口可以包含在源端口中DD00SPAN任務(wù)，如果在源VLAN中的兩個(gè)源端口之間有00交換，則每一個(gè)數(shù)0包將有兩個(gè)副本被轉(zhuǎn)發(fā)至鏡像端口00000VLAN的SPAN任務(wù)來說，如果某個(gè)源VLAN被刪除掉，則該VLAN也將從源VLAN列表中刪除處于非激活狀態(tài)的VLAN無法參與SPAN任務(wù)；對(duì)于一個(gè)設(shè)置為輸入000監(jiān)控的源VLAN來說，來自其他VLAN的路由信息00包不會(huì)被鏡像；此外，從設(shè)置為輸出000監(jiān)控的VLAN0其他VLAN發(fā)送出的路由信息00包也同樣不會(huì)被鏡像。DODD,基于VLAN的SPAN任務(wù)只對(duì)進(jìn)出二層交換端口

14、的00包進(jìn)行鏡像，而不鏡像VLAN之間的路由信息。所有網(wǎng)間傳輸?shù)姆锹酚?0包，包括組播包和BPDU(橋接協(xié)議00單元)0,0000在一些SPAN任務(wù)的配置下，會(huì)出現(xiàn)同一個(gè)SPAN源端口000的多個(gè)副本被發(fā)送到SPAN用SPAN任務(wù)進(jìn)行鏡像。監(jiān)控端口的情況。正像前面提到的那樣，在一個(gè)雙向SPAN任務(wù)中，假設(shè)al和a2為源端口，dl為目的端口，如果al與a2之間有數(shù)據(jù)包傳輸，則在al傳向a2的數(shù)據(jù)包將會(huì)被傳送到dl兩次，反之亦然。鏡像端口建立方法CiscoCATALYST交換機(jī)端口監(jiān)聽配置CiscoCATALYST交換機(jī)分為兩種，在CATALYST家族中稱偵聽端口為分析端口（analysispor

15、t）。l、Catalyst2900XL/3500XL/2950系列交換機(jī)端口監(jiān)聽配置（基于CLI）以下命令配置端口監(jiān)聽：portmonitor例如，F(xiàn)O/1和FO/2、F0/3同屬VLAN1，F(xiàn)O/1監(jiān)聽FO/2、F0/3端口：interfaceFastEthernet0/lportmonitorFastEthernet0/2portmonitorFastEthernet0/3portmonitorVLANl2、Catalyst4000，5000and6000系列交換機(jī)端口監(jiān)聽配置（基于IOS）以下命令配置端口監(jiān)聽：setspan例如，模塊1中端口1和端口2同屬VLAN1，端口3在VLAN2,

16、端口4和5在VLAN2,端口2監(jiān)聽端口1和3、4、5，setspanl/l，l/3-5l/22950/3550/3750格式如下：#monitorsessionnumbersourceinterfacemod_number/port_numberboth#monitorsessionnumberdestinationinterfacemod_mnumber/port_number/rx-指明是進(jìn)端口得流量，tx-出端口得流量both進(jìn)出得流量forexample:第一條鏡像，將第一模塊中的源端口為1TO的鏡像到端口12上面；#monitorsessionlsourceinterfacel/l-

17、l0both#monitorsession1destinationinterface1/12第二條鏡像，將第二模塊中的源端口為13-20的鏡像到端口24上面；#monitorsession2sourceinterface2/13-20both#monitorsession2destinationinterface2/24當(dāng)有多條鏡像、多個(gè)模塊時(shí)改變其中的參數(shù)即可。C2950#configureterminalC2950(config)#C2950(config)#monitorsession1sourceinterfacefastEthernet0/2!-Interfacefa0/2iscon

18、figuredassourceport.C2950(config)#monitorsession1destinationinterfacefastEthernet0/3!-Interfacefa0/3isconfiguredasdestinationport.華為交換機(jī)端口鏡像配置簡(jiǎn)單介紹環(huán)境配置參數(shù)PCI接在交換機(jī)E0/1端口，IP地址1.1.1.1/24PC2接在交換機(jī)E0/2端口，IP地址2.2.2.2/24E0/24為交換機(jī)上行端口Server接在交換機(jī)E0/8端口，該端口作為鏡像端口組網(wǎng)需求通過交換機(jī)端口鏡像的功能使用server對(duì)兩臺(tái)pc的業(yè)務(wù)報(bào)文進(jìn)行監(jiān)控。按照鏡像的不同方式進(jìn)行配

19、置：基于端口的鏡像基于流的鏡像二、數(shù)據(jù)配置步驟端口鏡像的數(shù)據(jù)流程基于端口的鏡像是把被鏡像端口的進(jìn)出數(shù)據(jù)報(bào)文完全拷貝一份到鏡像端口，這樣來進(jìn)行流量觀測(cè)或者故障定位?！?026等交換機(jī)鏡像】S2008/S2016/S2026/S2403H/S3026等交換機(jī)支持的都是基于端口的鏡像，有兩種方法：方法一配置鏡像(觀測(cè))端口SwitchAmonitor-porte0/8配置被鏡像端口SwitchAportmirrorEthernet0/1toEthernet0/2方法二可以一次性定義鏡像和被鏡像端口SwitchAportmirrorEthernet0/1toEthernet0/2observing-p

20、ortEthernet0/8【8016交換機(jī)端口鏡像配置】假設(shè)8016交換機(jī)鏡像端口為E1/0/15,被鏡像端口為E1/0/0,設(shè)置端口1/0/15為端口鏡像的觀測(cè)端口。SwitchAportmonitorethernet1/0/15設(shè)置端口1/0/0為被鏡像端口，對(duì)其輸入輸出數(shù)據(jù)都進(jìn)行鏡像。SwitchAportmirroringethernet1/0/0bothethernet1/0/15也可以通過兩個(gè)不同的端口，對(duì)輸入和輸出的數(shù)據(jù)分別鏡像設(shè)置E1/0/150E2/0/0為鏡像（觀測(cè)）端口SwitchAportmonitorethernet1/0/15設(shè)置端口1/0/0為被鏡像端口，分別使

21、用E1/0/15OE2/0/0對(duì)輸入和輸出數(shù)據(jù)進(jìn)行鏡像。SwitchAportmirroringgigabitethernet1/0/0ingressethernet1/0/15SwitchAportmirroringgigabitethernet1/0/0egressethernet2/0/0基于流鏡像的數(shù)據(jù)流程基于流鏡像的交換機(jī)針對(duì)某些流進(jìn)行鏡像，每個(gè)連接都有兩個(gè)方向的數(shù)據(jù)流，對(duì)于交換機(jī)來說這兩個(gè)數(shù)據(jù)流是要分開鏡像的。【3500/3026E/3026F/3050】基于三層流的鏡像定義一條擴(kuò)展訪問控制列表SwitchAaclnum100定義一條規(guī)則報(bào)文源地址為1.1.1.1/32去往所有目的地址SwitchA-acl-adv-101rule0permitipsource1.1.1.10destinationany定義一條規(guī)則報(bào)文源地址為所有源地址目的地址為1.1.1.1/32SwitchA-acl-adv-101rule1permitipsourceanydestination1.1.1.104.00000ACL規(guī)則的報(bào)文鏡像到E0/8端口SwitchAmirrored-toip-group100interfacee0/8基于二層流的鏡像1.定義一個(gè)ACLSwitchAaclnum2002.定義一個(gè)規(guī)則從E0/1發(fā)送至其它所有端口的數(shù)據(jù)包SwitchArule0pe