端口镜像(port mirroring)把交换机一个或多个端口(vlan)的数据镜像到一个或多个端口的方法。 端口镜像的目的 由于部署 ids 产品需要安防网络流量(网络分析仪同样也需要),但是在目前广泛采用的交换网络中安防所有流量有相当大的困难,因此需要通过配置交换机来把一个或多个端口(vlan)的数据转发到某一个端口来实现对网络的安防。 端口镜像的功能 监视到进出网络的所有数据包,供安装了监控软件的管理服务器抓取数据,如网吧需提供此功能把数据发往安防部门审查。而企业出于信息安全、保护公司机密的需要,也迫切需要网络中有一个端口能提供这种实时监控功能。在企业中用端口镜像功能,可以很好的对企业内部的网络数据进行监控管理,在网络出现故障的时候,可以做到很好地故障定位。
端口镜像与端口映射是两种不同的工作方式。
先说端口镜像,端口镜像是把某个端口或全部端口(根据路由器或交换机而定)的数据包的副本(可以理解为拷贝数据包)传送到指定端口,用来做数据分析,或者是网络监控。
再说端口映射,端口映射是指针对tcp或者udp协议中的端口做转发。
这两者虽然都有端口两个字,但是含义不同,端口镜像的端口指的是物理端口,而端口映射的端口指的是逻辑端口。
1.1 monitorsession source interface
命令:monitor session
no monitor session
功能:指定镜像源端口;本命令的no操作为删除镜像源端口。
参数:
命令模式:全局配置模式。
使用指南:本命令设置镜像的源端口,交换机对镜像源端口没有限制,可以是一个端口,也可以是多个端口,不仅能镜像源端口的发出和接收双向的流量,还能单独镜像源端口的发出流量及接收流量。如果不指定[rx|tx|both]关键字,缺省为both。 当镜像多个端口时,多个源端口的方向可以不一致,但要分几次配置。
举例:设置镜像源端口为1/1-4的发出流量和 1/5的接收流量。
switch(config)#monitor session 1 sourceinterface ethernet 1/1-4 rx
switch(config)#monitorsession 1 source interface ethernet1/5 rx
1.2 monitorsession source interface access-list
命令:monitor session
no monitor session
功能:指定流镜像源端口及应用规则;本命令的no操作为删除流镜像源端口。
参数:
命令模式:全局配置模式。
使用指南:本命令设置流镜像的源端口,交换机对流镜像源端口没有限制,可以是一个端口,也可以是多个端口,流镜像只能镜像源端口接收的流量,参数可以为rx,tx,both。使用本命令之前必须保证已经创建相应的访问表,有关访问表创建请参见acl配置。流镜像必须在创建该session目的端口之后创建。
举例:在session 2设置镜像端口1/6符合规则120的入口数据。
switch(config)#monitor session 2 source interface 1/6 access-list 120 rx
从端口镜像的理论上不可以。 应为无线不是一个可以固化的端口。
端口镜像(port mirroring)把交换机一个或多个端口(vlan)的数据镜像到一个或多个端口的方法。
为什么需要端口镜像 ?
通常为了部署 ids 产品需要安防网络流量(网络分析仪同样也需要),但是在目前广泛采用的交换网络中安防所有流量有相当大的困难,因此需要通过配置交换机来把一个或多个端口(vlan)的数据转发到某一个端口来实现对网络的安防。
端口镜像的别名
端口镜像通常有以下几种别名:
●port mirroring 通常指允许把一个端口的流量复制到另外一个端口,同时这个端口不能再传输数据。
●monitoring port 监控端口
●spanning port 通常指允许把所有端口的流量复制到另外一个端口,同时这个端口不能再传输数据。
●span port 在 cisco 产品中,span 通常指 switch port analyzer。某些交换机的 span 端口不支持传输数据。
●link mode port这样,这些流量就可以被一个特殊的设备监控。它对发现和修理故障有很大的帮助。
端口汇聚指的是当可以划分vlan的交换机相连后的连线条数问题,比如现在有两台三层交换机各划分了3个vlan(vlan1,vlan2,vlan3),那么两个交换机之间的vlan要通讯,在不使用端口汇聚的情况下只能用三条线,分别连接:vlan1——vlan1,vlan2——vlan2,vlan3——vlan3。使用了端口汇聚以后只需要分别设置交换机的trunk口,这样只要一条线缆就可以实现vlan之间的通信了!
