多監(jiān)聽設(shè)備數(shù)據(jù)鏡像需求解決方案_20130305(共16頁)

1、啟明星辰 第 PAGE 18頁 地址：北京市海淀區(qū)東北旺西路8號中關(guān)村軟件園21號樓啟明星辰大廈電話傳真：82779151多監(jiān)聽設(shè)備(shbi)數(shù)據(jù)鏡像需求解決方案前線(qinxin)技術(shù)中心(zhngxn)安全工程部2013-3-5文檔信息(xnx)文檔名稱多監(jiān)聽設(shè)備數(shù)據(jù)鏡像需求解決方案_20130305保密級別公開文檔版本編號V1.4擬定人張雷擬定日期復審人復審日期批準人批準日期更改記錄日期修改章節(jié)類型*修改描述修改人2011-6-22C模板建立，編寫“利用分光器實現(xiàn)多端口數(shù)據(jù)鏡像”一節(jié)張雷2013-2-26M增加“利用交換機實現(xiàn)多端口數(shù)據(jù)鏡像”一節(jié)易雪蓮201

2、3-3-5M格式修改、章節(jié)內(nèi)容順序調(diào)整、文檔整理尹飛張雷* 修改類型(lixng)分為 C - CREATED M - MODIFIED D - DELETED目 錄 TOC o 1-3 h z u HYPERLINK l _Toc350254990 1需求(xqi)概述 PAGEREF _Toc350254990 h 4 HYPERLINK l _Toc350254991 2利用分光(fn un)器實現(xiàn)多端口數(shù)據(jù)鏡像 PAGEREF _Toc350254991 h 4 HYPERLINK l _Toc350254992 2.1用戶(yngh)環(huán)境 PAGEREF _Toc350254992

3、h 4 HYPERLINK l _Toc350254993 2.2使用1分4分光器 PAGEREF _Toc350254993 h 4 HYPERLINK l _Toc350254994 2.3交換機部分模塊參數(shù) PAGEREF _Toc350254994 h 6 HYPERLINK l _Toc350254995 2.4光纖接頭、光纖跳線及光纖轉(zhuǎn)接器說明 PAGEREF _Toc350254995 h 6 HYPERLINK l _Toc350254996 3利用交換機實現(xiàn)多端口數(shù)據(jù)鏡像 PAGEREF _Toc350254996 h 8 HYPERLINK l _Toc350254997

4、3.1解決方案一 PAGEREF _Toc350254997 h 8 HYPERLINK l _Toc350254998 3.1.1用戶網(wǎng)絡(luò)環(huán)境 PAGEREF _Toc350254998 h 8 HYPERLINK l _Toc350254999 3.1.2配置案例 PAGEREF _Toc350254999 h 8 HYPERLINK l _Toc350255000 3.1.3方案特點 PAGEREF _Toc350255000 h 9 HYPERLINK l _Toc350255001 3.2解決方案二 PAGEREF _Toc350255001 h 9 HYPERLINK l _Toc

5、350255002 3.2.1用戶網(wǎng)絡(luò)環(huán)境 PAGEREF _Toc350255002 h 9 HYPERLINK l _Toc350255003 3.2.2配置案例 PAGEREF _Toc350255003 h 9 HYPERLINK l _Toc350255004 3.2.3方案特點 PAGEREF _Toc350255004 h 9 HYPERLINK l _Toc350255005 3.3解決方案三 PAGEREF _Toc350255005 h 10 HYPERLINK l _Toc350255006 3.3.1用戶網(wǎng)絡(luò)環(huán)境 PAGEREF _Toc350255006 h 10 H

6、YPERLINK l _Toc350255007 3.3.2設(shè)備組網(wǎng)圖 PAGEREF _Toc350255007 h 10 HYPERLINK l _Toc350255008 3.3.3配置案例 PAGEREF _Toc350255008 h 10 HYPERLINK l _Toc350255009 3.3.4方案特點 PAGEREF _Toc350255009 h 10 HYPERLINK l _Toc350255010 3.4解決方案四 PAGEREF _Toc350255010 h 11 HYPERLINK l _Toc350255011 3.4.1用戶網(wǎng)絡(luò)環(huán)境 PAGEREF _To

7、c350255011 h 11 HYPERLINK l _Toc350255012 3.4.2設(shè)備組網(wǎng)圖 PAGEREF _Toc350255012 h 11 HYPERLINK l _Toc350255013 3.4.3實現(xiàn)原理 PAGEREF _Toc350255013 h 11 HYPERLINK l _Toc350255014 3.4.4配置案例 PAGEREF _Toc350255014 h 12 HYPERLINK l _Toc350255015 3.4.5方案特點 PAGEREF _Toc350255015 h 13 HYPERLINK l _Toc350255016 3.5解決

8、方案五 PAGEREF _Toc350255016 h 13 HYPERLINK l _Toc350255017 3.5.1用戶網(wǎng)絡(luò)環(huán)境 PAGEREF _Toc350255017 h 13 HYPERLINK l _Toc350255018 3.5.2設(shè)備組網(wǎng)圖 PAGEREF _Toc350255018 h 13 HYPERLINK l _Toc350255019 3.5.3實現(xiàn)原理 PAGEREF _Toc350255019 h 14 HYPERLINK l _Toc350255020 3.5.4配置案例 PAGEREF _Toc350255020 h 14 HYPERLINK l _T

9、oc350255021 3.5.5方案特點 PAGEREF _Toc350255021 h 16需求概述項目(xingm)實施(shsh)過程中經(jīng)常(jngchng)會遇到在同一臺交換機上需要將鏡像數(shù)據(jù)發(fā)送至多臺網(wǎng)絡(luò)安全設(shè)備，如IDS、旁路審計等設(shè)備。這樣就需要交換機提供多路雙向鏡像抓包口與網(wǎng)絡(luò)安全設(shè)備相連。而大多數(shù)交換機通常只支持將源數(shù)據(jù)鏡像到1個目標接口。那么針對于上文中提出的多路鏡像問題，通常可以通過以下手段來實現(xiàn)：升級交換機的IOS，使交換機支持多路雙向鏡像。如果交換機支持光口，可考慮使用分光器將出口的光分成2路或4路，然后分別接不同的網(wǎng)絡(luò)安全設(shè)備。利用交換機來滿足多個監(jiān)聽設(shè)備的數(shù)據(jù)鏡

10、像需求。使用TAP分路器設(shè)備。分析：方法1：不一定能找到合適的IOS，另外IOS升級存在一定風險；方法4：TAP價格較貴，少則上萬，大項目或比較專業(yè)的項目中優(yōu)先考慮使用TAP專業(yè)設(shè)備。一般的項目我們會考慮用第2種或第3種方法來實現(xiàn)。利用分光器實現(xiàn)多端口數(shù)據(jù)鏡像用戶環(huán)境 用戶環(huán)境：核心交換機為CISCO4503，帶一個5484卡。要在該交換機上接3個網(wǎng)絡(luò)安全設(shè)備，需要該交換機提供3路雙向鏡像。使用1分4分光器分光器參數(shù)和接口卡參數(shù)應當匹配，因此首先要查清交換機接口卡的特性。交換機5484卡特性如下：WS-G5484 1000BASE-SX：SC光接口(ji ku), 波長850nm，傳輸距離55

11、0M(多模)，如下(rxi)圖所示：采用(ciyng)的1分4分光器參數(shù)如下：千兆 多模 850波長，（5484卡就是1000M 多模 850波長 SC口，分光器參數(shù)和接口卡參數(shù)兩者應當匹配），價格大概￥960左右。分光器的入口線、出口線的長度和各個線的接頭（SC口還是要LC口）可以定制。分光器不論入口線還是出口線均是單根光纖，而5484卡本身的特性要求插兩根光纖且形成光回路，燈才能點亮并正常工作。項目中的1分4分光器接法如下：分光器入口光纖（定了5米）接交換機上5484卡的出光口（SC口），而分光器的出口光纖其中的1根（定了5米，SC口）接交換機上5484卡的入光口（SC口），只有這樣才能使

12、5484卡亮燈并工作。分光器出口其余的3根光纖接口要根據(jù)自己項目中設(shè)備的接口情況選用SC口或LC口，光纖長度自己定。分光器外觀如下圖所示：如果購買的分光器接口是SC口(大方口)，現(xiàn)場IDS或抓包設(shè)備是LC口（小方口），可以采取如下方法解決：在分光器SC接口上，接SC-SC光纖轉(zhuǎn)接器，轉(zhuǎn)換器另一端接SC-LC的光纖跳線解決。本文第4部分有光纖接頭、光線跳線及光纖轉(zhuǎn)接器的圖示。交換機部分(b fen)模塊(m kui)參數(shù)下面列出交換機部分模塊的參數(shù)，供大家(dji)參考。GBIC模塊系列：WS-G5483 1000BASE-T ： RJ-45接口, 傳輸距離100MWS-G5484 1000BA

13、SE-SX： SC接口, 波長850nm，傳輸距離550M(多模)WS-G5486 1000BASE-LX： SC接口, 波長1310nm，傳輸距離10KM(單模)WS-G5486-40KM 1000BASE-LX：SC接口, 波長1310nm，DFB, 傳輸距離40KM(單模)WS-G5487 1000BASE-ZX： SC接口，波長1550nm，傳輸距離70KM-80KM(單模)WS-G5487-120KM 1000BASE-ZX： SC接口，波長1550nm，DFB,APD，最大傳輸距離120KM(單模)SFP模塊系列：GLC-T 1000BASE-T：RJ-45接口, 傳輸距離100M

14、GLC-SX-MM 1000BASE-SX： LC接口, 波長850nm，傳輸距離500M(多模)GLC-LH-SM 1000BASE-LX： LC接口, 波長1310nm，傳輸距離10KM(單模)GLC-LH-SM-20KM 1000BASE-LX： LC接口, 波長1310nm，傳輸距離20KM(單模)GLC-ZX-SM 1000BASE-ZX： LC接口(ji ku), 波長1550nm，傳輸距離70KM-80KM(單模)GLC-ZX-SM-120KM 1000BASE-ZX：LC接口, 波長(bchng)1550nm，最大傳輸距離120KM(單模)光纖接頭(ji tu)、光纖跳線及光纖

15、轉(zhuǎn)接器說明光纖接頭圖示如下：上圖中ST為卡口，F(xiàn)C為螺紋口,尺寸相同，都用于配線架SC-LC光纖跳線：LC-LC光纖跳線SC接頭(ji tu)（大方(dfng)口）如下(rxi)圖： SC-SC光纖轉(zhuǎn)接器如下圖所示：（也叫光纖耦合器或法蘭盤，不要買現(xiàn)場熔接光纖的那種。）利用(lyng)交換機實現(xiàn)(shxin)多端口數(shù)據(jù)鏡像解決方案一用戶(yngh)網(wǎng)絡(luò)環(huán)境用戶網(wǎng)絡(luò)中有一臺核心交換機，需要在該交換機上接3個網(wǎng)絡(luò)安全設(shè)備，需要該交換機提供3路雙向鏡像。交換機支持將數(shù)據(jù)從同一個源接口鏡像到多個目標接口。配置案例CISCO交換機鏡像配置步驟案例：步驟1：配置鏡像源端口monitor session 1

16、 source interface Gi0/1 both步驟2：配置鏡像目標端口monitor session 1 destination interface Gi0/46 48方案特點優(yōu)點：不需要加入其他設(shè)備，配置簡單。缺點：很多廠商交換機不支持，或者交換機版本不支持。解決方案二用戶網(wǎng)絡(luò)環(huán)境用戶網(wǎng)絡(luò)中有一臺核心交換機，需要在該交換機上接3個網(wǎng)絡(luò)安全設(shè)備，需要該交換機提供3路雙向鏡像。交換機支持多組鏡像，將上連口鏡像到一個目標接口，將其他所有接口鏡像到另一個目標接口。配置(pizh)案例CISCO交換機鏡像配置(pizh)步驟(bzhu)案例：步驟1：配置鏡像源端口monitor sessio

17、n 1 source interface Gi0/1monitor session 2 source interface Gi0/2 - 46步驟2：配置鏡像目標端口monitor session 1 destination interface Gi0/47monitor session 2 destination interface Gi0/48方案特點優(yōu)點：不需要加入其他設(shè)備，配置簡單。缺點：第二組鏡像源端口很多，可能會導致目標端口帶寬不夠。解決方案三用戶網(wǎng)絡(luò)環(huán)境用戶網(wǎng)絡(luò)中有一臺核心交換機，需要在該交換機上接2個網(wǎng)絡(luò)安全設(shè)備，需要該交換機提供2路雙向鏡像。交換機不支持將一個源接口鏡像到多個

18、目標接口，也不支持多組鏡像，這種情況下我們可以將目標鏡像口連接一個hub（一定要為集線器），來擴展接口。設(shè)備組網(wǎng)圖配置(pizh)案例CISCO交換機鏡像配置(pizh)步驟(bzhu)案例：步驟1：配置鏡像源端口monitor session 1 source interface Gi0/1步驟2：配置鏡像目標端口monitor session 1 destination interface Gi0/48方案特點 優(yōu)點：該方案利用了集線器組網(wǎng)的特點，即當集線器的一個端口從核心交換機接收到數(shù)據(jù)后，會將接收的數(shù)據(jù)廣播至集線器的每一個端口，配置簡單方便。缺點：需要增加一個集線器，100M集線器不多

19、且不好買，1000M集線器基本沒有，帶寬的需求不滿足。解決方案四用戶網(wǎng)絡(luò)環(huán)境用戶網(wǎng)絡(luò)中有一臺核心交換機，需要在該交換機上接2個網(wǎng)絡(luò)安全設(shè)備，需要該交換機提供2路雙向鏡像。但該核心交換機不支持將一個源接口鏡像到多個目標接口，也不支持多組鏡像，且網(wǎng)絡(luò)中不能存在HUB或不接受HUB那么低的速率。對于此種情況，可以通過以下方案實現(xiàn)。需要用戶另外增加一臺千兆智能交換機（cisco、H3C、華為等均可，推薦用H3C或華為的，如果使用Cisco交換機，對版本有要求）。設(shè)備(shbi)組網(wǎng)圖實現(xiàn)(shxin)原理鏡像數(shù)據(jù)從目標接口到達交換機后，交換機不會將所有數(shù)據(jù)洪泛出去，因為交換機轉(zhuǎn)發(fā)數(shù)據(jù)時會(sh hu)

20、查看MAC地址表，而通過關(guān)閉交換機相應VLAN的MAC學習功能，就可以在此VLAN中像HUB一樣洪泛數(shù)據(jù)，接入在此VLAN中的所有設(shè)備都能收到相同的鏡像數(shù)據(jù)。配置案例說明：上圖中核心交換機G0/1為鏡像源接口，目標鏡像接口為G0/48，二層交換機e1/0/1、e1/0/2、e1/0/3三個接口均屬于vlan2，此vlan中只有需要鏡像數(shù)據(jù)的設(shè)備。核心交換機配置：H3C/華為交換機：步驟1：創(chuàng)建本地鏡像組mirroring-group 1 local步驟2：進入端口視圖interface Ethernet1/0/1步驟3：配置該端口為本地鏡像組源端口mirroring-group 1 mirro

21、ring-port both步驟4：進入端口視圖interface Ethernet1/0/48步驟5：配置該端口為本地鏡像組的目的端口mirroring-group 1 monitor-portCisco交換機：步驟(bzhu)1：配置鏡像源端口monitor session 1 source interface Gi0/1步驟2：配置(pizh)鏡像目的端口monitor session 1 destination interface Gi0/48二層交換機配置(pizh)：華為/H3C（H3C和華為交換機全系列都支持）： 步驟1：進入VLAN視圖vlan 2步驟2：關(guān)閉交換機MAC地址學

22、習功能mac-address mac-learning disable步驟3：將端口加入VLAN2port e1/0/1port e1/0/2port e1/0/3CISCO（思科）： 說明：在實驗環(huán)境下使用的兩臺cisco交換機都是3560，但兩臺設(shè)備版本不同，其中3560 Version 12.2(25)SEE2不支持關(guān)閉MAC地址學習功能，3560 Version 12.2(46)SE支持關(guān)閉MAC地址學習功能。步驟1：進入接口視圖interface range G0/1 3步驟2：將端口加入VLAN2switchport access vlan 2switchport mode acc

23、ess步驟3：關(guān)閉交換機MAC地址學習功能no mac address-table learning vlan 2方案特點優(yōu)點：可以將鏡像數(shù)據(jù)擴展到很多接口，接入很多需要鏡像數(shù)據(jù)的設(shè)備。缺點：配置相對復雜，需要額外增加智能交換機。解決方案五方案(fng n)五配置復雜，且很容易(rngy)產(chǎn)生環(huán)路，故不建議在實際項目(xingm)中使用。用戶網(wǎng)絡(luò)環(huán)境用戶網(wǎng)絡(luò)中有一臺核心交換機，需要在該交換機上接2個網(wǎng)絡(luò)安全設(shè)備，需要該交換機提供2路雙向鏡像。該交換機不支持將一個源接口鏡像到多個目標接口，也不支持多組鏡像，網(wǎng)絡(luò)中不能使用HUB并且沒有多余的交換機可供使用。根據(jù)以上需求，我們可以通過以下方案實施多

24、端口數(shù)據(jù)鏡像。設(shè)備組網(wǎng)圖CISCO交換機：H3C/華為交換機：實現(xiàn)原理與解決方案四的實現(xiàn)原理相同。配置(pizh)案例Cisco交接(jioji)機配置：說明(shumng)： CISCO交換機組網(wǎng)圖中核心交換機G0/1為鏡像源接口，將接口g0/45- 48劃到vlan 2，保證此vlan中只有目標鏡像口和IDS、審計等設(shè)備。g0/48接口為目標鏡像口，將g0/48口連接一根網(wǎng)線到同一臺交換機的g0/47口，其他接口接需要鏡像數(shù)據(jù)的設(shè)備。步驟1：進入端口視圖int range g0/45 48步驟2：將端口加入VLAN2switchport mode accessswitchport access vlan 2步驟3：配置鏡像源端口monitor session 1 source interface Gi0/1 both步驟4：配置鏡像目標端口monitor session 1 destination interface Gi0/48步驟5：關(guān)閉VLAN2的MAC地址學習功能no mac address-table learning vlan 2步驟6：關(guān)