各類交換機(jī)端口監(jiān)聽配置

1、先解釋一下端口鏡像：端口鏡像簡單的說，就是把交換機(jī)一個(gè)(數(shù)個(gè))端口(源端口)的流 量完全拷貝一份，從另外一個(gè)端口(目的端口)發(fā) 出去，以便網(wǎng)絡(luò)管理人員從目的端口通過分析源端口的流量來找出網(wǎng)絡(luò)存在問題的原因。cisco的端口鏡像叫做SWITCHED PORT ANALYZER,簡稱SPAN(僅在IOS系統(tǒng)中，下 同)，因此，端口鏡像僅適用于以太網(wǎng)交換端口。Cisco的SPAN分成三種，SPAN、RSPAN和VSPAN，簡單的說，SPAN是指源和目的端口都在同一臺機(jī) 器上、RSPAN指目的和源不在同一交換機(jī)上，VSPAN可以鏡像整個(gè)或數(shù)個(gè)VLAN到一個(gè)目的端口。配置方法：SPAN創(chuàng)建SPAN源端口

2、monitor session isession_number/i source interface interface-id , | - both | rx | tx*isession_number/i,SPAN會話號，我記得3550支持的最多本地SPAN是2個(gè)，即1或者2。*interface-id , | -源端口接口號，即被鏡像的端口，交換機(jī)會把這個(gè)端口的流量拷貝一 份，可以輸入多個(gè)端口，多個(gè)用“,”隔開，連續(xù)的用“-”連接。*both | rx | tx，可選項(xiàng)，是指拷貝源端口雙向的(both)、僅進(jìn)入(rx)還是僅發(fā)出(tx)的流 量，默認(rèn)是both。創(chuàng)建SPAN目的端口monit

3、or session session_number destination interface interface-id encapsulationdot1q ingress vlan vlan id | ISLingress | ingress vlan vlan id* 一樣的我就不說了。*session_number要和上面的一致。*interface-id目的端口，在源端口被拷貝的流量會從這個(gè)端口發(fā)出去，端口號不能被包 含在源端口的范圍內(nèi)。*encapsulation dot1q | isl，可選，指被從目的端口發(fā)出去時(shí)是否使用802.1q和isl封裝，當(dāng)使用802.1q時(shí)，對于本地V

4、LAN不進(jìn)行封裝，其他VLAN封裝，ISL則全部封裝。VSPAN(1)創(chuàng)建 VSPAN 源 VLANmonitor session session_number source vlan vlan-id , | - rx*一樣的也不說了，基本和SPAN相同，只是接口號變成了 VLAN號，而且只能鏡像接收的流量。(2)創(chuàng)建VSPAN目的端口monitor session session_number destination interface interface-id encapsulationdotlq | isl*和SPAN的一樣。RSPANRSPAN的配置較為復(fù)雜，其流程可以這樣來看，交換機(jī)

5、把要鏡像的端口流量復(fù)制一份， 然后發(fā)到本機(jī)的一個(gè)反射端口上(reflector-port)，在由反射端口將其通過網(wǎng)絡(luò)轉(zhuǎn)發(fā)到目的交換機(jī)中的VLAN上(一般情況下，這個(gè)VLAN 是專為鏡像而設(shè)的，不要作為客戶端接入所用)，再在目的交換機(jī)中配置VSPAN，將該VLAN的流量鏡像到目的端口，要注意的是，一旦這種RSPAN 被使用，該鏡像專用VLAN的信息會被轉(zhuǎn)發(fā)到所有的VLAN主干上，造成網(wǎng)絡(luò)帶寬的浪費(fèi)，因此要配置VLAN修剪(pruning)，另外RSPAN也可以鏡 像VLAN。在源交換機(jī)上創(chuàng)建RSPAN源端口*同 SPAN 或 VSPAN在源交換機(jī)上創(chuàng)建VSPAN反射端口和目的VLANmonito

6、r session session_number destination remote vlan vlan-id reflector-port interface*vlan-id目的交換機(jī)上轉(zhuǎn)為鏡像而設(shè)的VLAN*reflector-port interface源交換機(jī)上的鏡像端口在目的交換機(jī)上創(chuàng)建VSPAN源VLANmonitor session session_number source remote vlan vlan-id*vlan-id就是上面的鏡像專用VLAN在目的交換機(jī)上創(chuàng)建VSPAN目的端口monitor session session_number destination i

7、nterface interface-id encapsulationdot1q | isl*同 SPAN4.其他(1)端口鏡像的過濾，端口鏡像是可以做Filter的。monitor session session_number filter vlan vlan-id , | -*指定源端口進(jìn)入的流量中，屬于哪些VLAN的可以從目的端口發(fā)出去。(2 )刪除鏡像no monitor session session_number | all | local | remote*session_number指定會話號，all是所有鏡像，local是本地鏡像，remote是遠(yuǎn)程鏡像。(3)鏡像的目的端口

8、不能正常收發(fā)數(shù)據(jù)，因此不能再作為普通端口使用，可以 連接一些網(wǎng)絡(luò)分析和安全設(shè)備，例如裝有sniifer的計(jì)算機(jī)或者Cisco IDS設(shè)備。Cisco CATALYST交換機(jī)端口監(jiān)聽配置CISCO CATALYST交換機(jī)分為兩種，在CATALYST家族中稱監(jiān)聽端口為分析端口 (analysis port)。1、Catalyst 2900XL/3500XL/2950系列交換機(jī)端口監(jiān)聽配置(基于CLI) 以下命令配置端口監(jiān)聽：port monitor例如，F(xiàn)0/1 和 F0/2、F0/5 同屬 VLAN1，F(xiàn)0/1 監(jiān)聽 F0/2、F0/5 端口：interface FastEthernet0/1p

9、ort monitor FastEthernet0/2port monitor FastEthernet0/5port monitor VLAN12、Catalyst 4000/5000/6000系列交換機(jī)端口監(jiān)聽配置(基于IOS) 以下命令配置端口監(jiān)聽：set span例如，模塊6中端口 1和端口 2同屬VLAN1，端口 3在VLAN2，端口 4和5在VLAN2,端口 2 監(jiān)聽端口 1和3、4、5，set span 6/1,6/3-5 6/2注：我們向正式用戶提供更為詳細(xì)的Cisco IOS Software Configuration Guide 如果您是我們的正式用戶請與我們聯(lián)系。3CO

10、M交換機(jī)端口監(jiān)聽配置在3COM交換機(jī)中，端口監(jiān)聽被稱為“Roving Analysis”。網(wǎng)絡(luò)流量被監(jiān)聽的端口稱作“監(jiān) 聽口”(Monitor Port)，連接監(jiān)聽設(shè)備的端口稱作“分析口 (Analyzer Port)。以下命令配置端口監(jiān)聽：指定分析口feature rovingAnalysis add，或縮寫 f r a例如：Select menu option: feature rovingAn alysis addSelect analysis slot: 1Select analysis port: 2指定監(jiān)聽口并啟動端口監(jiān)聽feature rovingAnalysis start，或

11、縮寫 f r sta例如：Select menu option: feature rovingAn alysis startSelect slot to monitor （1-12）: 1Select port to monitor&nb sp; （1-8）: 3停止端口監(jiān)聽feature rovingAnalysis sto p，或縮寫 f r stoDELL交換機(jī)端口監(jiān)聽配置在Dell交換機(jī)中，端口監(jiān)聽被稱為“端口鏡像”（Port Mirroring）。使用交換機(jī)的管理 界面，參數(shù)如下：Destination Port（目的地端口）：定義端口通信要鏡像到的端口號；Source Port （

12、源端口）：定義被鏡像端口的端口號。Add（添加）：添加端口鏡像操作。Type（類型）：指定要鏡像的端口通信類型?？赡艿淖侄沃蛋ǎ骸癛X” -表示鏡像進(jìn)入網(wǎng) 絡(luò)的數(shù)據(jù)；“TX” -表示鏡像流出網(wǎng)絡(luò)的數(shù)據(jù)；Both（）-表示鏡像所有數(shù)據(jù)。Status （狀態(tài)）：表示端口的狀態(tài)。可能的字段值包括：“Active” -表示端口被啟用；“Not Active” -表示端口被禁用。Remove（刪除）：刪除端口鏡像會話?？赡艿淖侄沃蛋ǎ骸耙堰x取”-刪除端口鏡像會 話；“未選取”-保留端口鏡像會話。具體設(shè)置：1、在Port Mirroring對話框中的Destination Port中選中目的端口（鏡像

13、端口），再單 擊Add按鈕；2、 在系統(tǒng)將打開“ Add Source Port”（添加源端口）頁面中，定義“ Source Port”（源 端口）和“ Type”（類型）字段，并單擊“ ApplyChanges”（應(yīng)用更改），使系統(tǒng)接收更 改。（注：如果需要從端口鏡像會話刪除副本端口，請打開“ PortMirroring”（端口鏡像）頁 面，選取“ Remove”（刪除）復(fù)選框，再單擊“ ApplyChanges”（應(yīng)用更改）。系統(tǒng)將刪 除端口鏡像會話，并更新設(shè)備。）以下命令配置端口監(jiān)聽：指定分析口CLI命令實(shí)例：Console（config）# interface ethernet 1/e

14、1Console（config-if）# port monitor 1/e8Console# show ports monitorSource port Destination Port Type Status1/e1 1/e8 RX, TX ActiveNetCore交換機(jī)端口監(jiān)聽配置NetCore交換機(jī)中，端口監(jiān)聽被稱為“端口鏡像”（Port Mirroring）。交換機(jī)提供四種監(jiān)視狀態(tài)：Off關(guān)閉Mirror功能Rx捕獲被監(jiān)視端口的接收數(shù)據(jù)Tx捕獲被監(jiān)視端口的發(fā)送數(shù)據(jù)Both捕獲被監(jiān)視端口的接收和發(fā)送的數(shù)據(jù)進(jìn)入NetCore的超級終端，在主菜單中輸入“5”進(jìn)入端口鏡像設(shè)置界面，輸入“ 1

15、”設(shè)置端 口鏡像狀態(tài)。如設(shè)置端口1為鏡像端口，端口8為被鏡像端口，捕獲該端口的接收和發(fā)送數(shù)據(jù)。配置命令如下：選擇配置的選項(xiàng)（1,off, 2.Rx, 3.Tx, 4.Both） : 4選擇捕獲端口： 1選擇被鏡像端口： 8按Esc鍵退回鏡像設(shè)置界面，設(shè)置成功。Intel交換機(jī)端口監(jiān)聽配置Intel稱端口監(jiān)聽為“Mirror Ports”。網(wǎng)絡(luò)流量被監(jiān)聽的端口稱作“源端口 (Source Port)，連接監(jiān)聽設(shè)備的端口稱作“鏡像口 (Mirror Port)。配置端口監(jiān)聽步驟如下：在 navigation 菜單，點(diǎn)擊 Statistics 下的 Mirror Ports,彈出 Mirror Po

16、rts 信息。 在 Configure Source 列中點(diǎn)擊端口來選擇源端口，彈出 Mirror Ports Configuration0 進(jìn)行源端口設(shè)置：源端口是鏡像流量的來源口，鏡像口是接收來自源端口流量的端口。點(diǎn)擊Apply確定可以選擇三種監(jiān)聽的方式：連續(xù)(Always):鏡像全部流量。周期(Periodic):在一定周期內(nèi) 鏡像全部流量。鏡像周期在Sampling Interval configuration 中設(shè)置。禁止(Disabled):關(guān)閉流量鏡像。Avaya交換機(jī)端口監(jiān)聽配置在Avaya交換機(jī)用戶手冊中，端口監(jiān)聽被稱為“端口鏡像”(Port Mirror)。以下命令配置端口監(jiān)聽：set|clear Port Mirror設(shè)置端口偵聽：set port mirror source-portmirror-portsampling always max-packets -secpiggyback-port 禁止端口監(jiān)聽：clear port mirror命令中，mod-port-range 指定端口的范圍；mod-port-spec 指定特定的端口；piggyback-port指定雙向鏡像的端口；sampling指定鏡像周期；max-packe