各類交換機(jī)端口鏡像方法

1、1、什么是端口鏡像22、為什么需要端口鏡像23、端口鏡像的別名24、支持端口鏡像的交換機(jī)35、各種交換機(jī)端口鏡像配置3Cisco CATALYST交換機(jī)端口監(jiān)聽配置3cisco:3550 IOS端口映射的舉例3Catalyst 4000/5000/6000系列交換機(jī)端口監(jiān)聽配置(基于CatOS)43COM交換機(jī)端口監(jiān)聽配置5DELL交換機(jī)端口監(jiān)聽配置5NetCore交換機(jī)端口監(jiān)聽配置7Intel交換機(jī)端口監(jiān)聽配置7Avaya交換機(jī)端口監(jiān)聽配置8港灣交換機(jī)的配置8北電交換的設(shè)置9華為交換機(jī)端口監(jiān)聽配置9HP交換機(jī)端口監(jiān)聽配置10Extreme 交換機(jī)10Foundry 交換機(jī)12Juniper

2、交換機(jī)121、 什么是端口鏡像把交換機(jī)一個(gè)或多個(gè)端口（VLAN）的數(shù)據(jù)鏡像到一個(gè)或多個(gè)端口的方法。端口鏡像（Port Mirroring）可以讓用戶將所有的流量從一個(gè)特定的端口復(fù)制到一個(gè)鏡像端口。如果您的交換機(jī)提供端口鏡像功能，則允許管理人員自行設(shè)置一個(gè)監(jiān)視管理端口來監(jiān)視被監(jiān)視端口的數(shù)據(jù)。監(jiān)視到的數(shù)據(jù)可以通過PC上安裝的網(wǎng)絡(luò)分析軟件來查看，通過對(duì)數(shù)據(jù)的分析就可以實(shí)時(shí)查看被監(jiān)視端口的情況。端口鏡像選取的設(shè)備原則為網(wǎng)絡(luò)中連接重要服務(wù)器群的交換機(jī)或路由器，或是連接到網(wǎng)通的出口路由器。 2、 為什么需要端口鏡像通常為了部署流量分析、IDS等產(chǎn)品需要監(jiān)聽網(wǎng)絡(luò)流量，但是在目前廣泛采用的交換網(wǎng)絡(luò)中監(jiān)聽所有流

3、量有相當(dāng)大的困難，因此需要通過配置交換機(jī)來把一個(gè)或多個(gè)端口（VLAN）的數(shù)據(jù)轉(zhuǎn)發(fā)到某一個(gè)端口來實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的監(jiān)聽。 3、 端口鏡像的別名端口鏡像通常有以下幾種別名： Port Mirroring 通常指允許把一個(gè)端口的流量復(fù)制到另外一個(gè)端口，同時(shí)這個(gè)端口不能再傳輸數(shù)據(jù)。 Monitoring Port 監(jiān)控端口 Spanning Port 通常指允許把所有端口的流量復(fù)制到另外一個(gè)端口，同時(shí)這個(gè)端口不能再傳輸數(shù)據(jù)。 SPAN port 在 Cisco 產(chǎn)品中，SPAN 通常指 Switch Port ANalyzer。某些交換機(jī)的 SPAN 端口不支持傳輸數(shù)據(jù)。 Link Mode port 4、

4、 支持端口鏡像的交換機(jī)大多數(shù)中檔以上的交換機(jī)都支持端口鏡像功能，但支持程度不同。5、 各種交換機(jī)端口鏡像配置大多數(shù)三層交換機(jī)和部份兩層交換機(jī)，具備端口鏡像功能，不同的交換機(jī)或不同的型號(hào)，鏡像配置方法的有些區(qū)別，下面我們提供常見交換機(jī)的鏡像配置方法：Cisco CATALYST交換機(jī)端口監(jiān)聽配置CISCO CATALYST交換機(jī)分為兩種，在CATALYST家族中稱監(jiān)聽端口為分析端口(analysis port)。1、Catalyst 2900XL/3500XL/2950系列交換機(jī)端口監(jiān)聽配置(基于CLI)以下命令配置端口監(jiān)聽：port monitor例如，F(xiàn)0/1和F0/2、F0/5同屬VLAN

5、1，F(xiàn)0/1監(jiān)聽F0/2、F0/5端口：interface FastEthernet0/1port monitor FastEthernet0/2port monitor FastEthernet0/5port monitor VLAN1cisco:3550 IOS端口映射的舉例monitor session 1 source interface Fa0/32 both以上命令的意思是：在監(jiān)控組，組"1"的設(shè)置中，將Fa0/32的流量作為"源數(shù)據(jù)"。命令的后面還有選項(xiàng)分別是rx,tx,both。rx意思是僅將該接口接收的流量作為"源數(shù)據(jù)&quo

6、t;。tx的意思是僅將該接口發(fā)送的流量作為"源數(shù)據(jù)"。both的意思是將該接收進(jìn)出的流量都作為"源數(shù)據(jù)"。其中f0/32口是上行到出口路由器的口，所以這里設(shè)置此口監(jiān)控。這樣設(shè)置的問題是，公司內(nèi)部PC-PC之間的流量是監(jiān)控不到的。而cisco設(shè)備又只能設(shè)置一個(gè)"both"狀態(tài)的口。所以這個(gè)是相對(duì)比較好的設(shè)置方案。monitor session 1 destination interface Fa0/5以上命令的意思是：在監(jiān)控組，組"1"的設(shè)置中，將Fa0/5作為監(jiān)控的目的口，也就是監(jiān)控服務(wù)器所插的口。設(shè)置完成后，該口

7、將接收到監(jiān)控組組"1""源接口"，在這里也就是Fa0/32的數(shù)據(jù)。注意cisco設(shè)備一旦設(shè)置了監(jiān)控后，監(jiān)控的目的口將不會(huì)再接收三層數(shù)據(jù)。通常的理解就是："會(huì)斷網(wǎng)"。Catalyst 4000/5000/6000系列交換機(jī)端口監(jiān)聽配置(基于CatOS)支持2組鏡像EnShow module (確認(rèn)端口所在的模塊)Set span source(mod/port) destination(mod/port) in|out|both inpkts enableWrite tern allShow span注：多個(gè)source：mod/por

8、t,mod/port-mod/port 連續(xù)端口用橫桿“”，非連續(xù)端口用逗號(hào)“，”set span enable 允許鏡像set span disable 禁止鏡像set span source destination in|out|both inpkts enable create (create用于建立第二組鏡像)以下命令配置端口監(jiān)聽：set span例如，模塊6中端口1和端口2同屬VLAN1，端口3在VLAN2，端口4和5在VLAN2，端口2監(jiān)聽端口1和3、4、5，set span 6/1,6/3-5 6/23COM交換機(jī)端口監(jiān)聽配置在3COM交換機(jī)中，端口監(jiān)聽被稱為“Roving An

9、alysis”。 網(wǎng)絡(luò)流量被監(jiān)聽的端口稱作“監(jiān)聽口”（Monitor Port），連接監(jiān)聽設(shè)備的端口稱作“分析口”（Analyzer Port）。以下命令配置端口監(jiān)聽：指定分析口feature rovingAnalysis add，或縮寫 f r a例如：Select menu option: feature rovingAn alysis addSelect analysis slot: 1Select analysis port: 2指定監(jiān)聽口并啟動(dòng)端口監(jiān)聽feature rovingAnalysis start，或縮寫 f r sta例如：Select menu option: feat

10、ure rovingAn alysis startSelect slot to monitor (1-12): 1Select port to monitor&nb sp; (1-8): 3停止端口監(jiān)聽feature rovingAnalysis stop，或縮寫 f r stoDELL交換機(jī)端口監(jiān)聽配置在Dell交換機(jī)中，端口監(jiān)聽被稱為“端口鏡像”（Port Mirroring）。使用交換機(jī)的管理界面，參數(shù)如下：Destination Port（目的地端口）：定義端口通信要鏡像到的端口號(hào)；Source Port（源端口）：定義被鏡像端口的端口號(hào)。Add（添加）：添加端口鏡像操作。Ty

11、pe（類型）：指定要鏡像的端口通信類型。 可能的字段值包括：“RX”-表示鏡像進(jìn)入網(wǎng)絡(luò)的數(shù)據(jù)；“TX”-表示鏡像流出網(wǎng)絡(luò)的數(shù)據(jù)；Both（）-表示鏡像所有數(shù)據(jù)。Status（狀態(tài)）：表示端口的狀態(tài)。 可能的字段值包括： “Active”-表示端口被啟用；“Not Active”-表示端口被禁用。Remove（刪除）：刪除端口鏡像會(huì)話。 可能的字段值包括： “已選取”-刪除端口鏡像會(huì)話；“未選取”-保留端口鏡像會(huì)話。具體設(shè)置：1、在Port Mirroring對(duì)話框中的Destination Port中選中目的端口（鏡像端口），再單擊Add按鈕；2、在系統(tǒng)將打開“Add Source Port”

12、（添加源端口）頁面中，定義“Source Port”（源端口）和“Type”（類型）字段，并單擊“Apply Changes”（應(yīng)用更改）， 使系統(tǒng)接收更改。（注：如果需要從端口鏡像會(huì)話刪除副本端口，請(qǐng)打開“Port Mirroring”（端口鏡像）頁面，選取“Remove”（刪除）復(fù)選框，再單擊“Apply Changes”（應(yīng)用更改）。 系統(tǒng)將刪除端口鏡像會(huì)話，并更新設(shè)備。）以下命令配置端口監(jiān)聽：指定分析口 CLI 命令實(shí)例：Console(config)# interface ethernet 1/e1Console(config-if)# port monitor 1/e8Consol

13、e# show ports monitorSource port Destination Port Type Status- - - -1/e1 1/e8 RX, TX ActiveNetCore交換機(jī)端口監(jiān)聽配置NetCore交換機(jī)中，端口監(jiān)聽被稱為“端口鏡像”（Port Mirroring）。交換機(jī)提供四種監(jiān)視狀態(tài)：Off關(guān)閉Mirror功能Rx捕獲被監(jiān)視端口的接收數(shù)據(jù)Tx捕獲被監(jiān)視端口的發(fā)送數(shù)據(jù)Both捕獲被監(jiān)視端口的接收和發(fā)送的數(shù)據(jù)進(jìn)入NetCore的超級(jí)終端，在主菜單中輸入“5”進(jìn)入端口鏡像設(shè)置界面，輸入“1”設(shè)置端口鏡像狀態(tài)。如設(shè)置端口1為鏡像端口，端口8為被鏡像端口，捕獲該端口的

14、接收和發(fā)送數(shù)據(jù)。配置命令如下：1. 選擇配置的選項(xiàng) (1,off, 2.Rx, 3.Tx, 4.Both) ：42. 選擇捕獲端口：13. 選擇被鏡像端口：8按Esc鍵退回鏡像設(shè)置界面，設(shè)置成功。Intel交換機(jī)端口監(jiān)聽配置Intel 稱端口監(jiān)聽為“Mirror Ports”。 網(wǎng)絡(luò)流量被監(jiān)聽的端口稱作“源端口”（Source Port），連接監(jiān)聽設(shè)備的端口稱作“鏡像口”（Mirror Port）。配置端口監(jiān)聽步驟如下： 在navigation菜單，點(diǎn)擊Statistics下的Mirror Ports，彈出Mirror Ports信息。 在Configure Source 列中點(diǎn)擊端口來選擇源

15、端口， 彈出Mirror Ports Configuration。 進(jìn)行源端口設(shè)置： 源端口是鏡像流量的來源口，鏡像口是接收來自源端口流量的端口。 點(diǎn)擊Apply確定可以選擇三種監(jiān)聽的方式：1連續(xù)（Always）：鏡像全部流量。2周期（Periodic）：在一定周期內(nèi) 鏡像全部流量。鏡像周期在Sampling Interval configuration中設(shè)置。3禁止（Disabled）：關(guān)閉流量鏡像。Avaya交換機(jī)端口監(jiān)聽配置在Avaya交換機(jī)用戶手冊(cè)中，端口監(jiān)聽被稱為“端口鏡像”（Port Mirror）。以下命令配置端口監(jiān)聽：set|clear Port Mirror設(shè)置端口偵聽： s

16、et port mirror source-port mirror-portsampling always max-packets -sec piggyback-port 禁止端口監(jiān) 聽：clear port mirror 命令中，mod-port-range 指定端口的范圍；mod-port-spec 指定特定的端口；piggyback-port 指定雙向鏡像的端口；sampling 指定鏡像周期；max-packets-sec 僅在sampling設(shè)置為periodic時(shí)使用，指定監(jiān)聽口每秒最多的數(shù)據(jù)報(bào)數(shù)量。港灣交換機(jī)的配置conf mirr 1 to 24 (設(shè)置鏡像端口24）conf

17、mirr 1 add port 21,25 in (需要鏡像的端口入流量）conf mirr 1 add port 21,25 eg (需要鏡像的端口出流量）conf mirr 1 dis (消除鏡像）北電交換的設(shè)置Passport8600的做端口鏡像的命令(在86的cli接口下做)實(shí)際上這些工作都可以在Java Device Manager下面做(一個(gè)非常直觀的圖形化配置工具)1.第一步config diag mirror-by-port enable true打開端口鏡像功能2.config diag mirror-by-port 1 create in-port 3/46 out 3/2

18、這句話的意思就是創(chuàng)建一個(gè)端口鏡像條目1(1只是一個(gè)id用來區(qū)別不同條目) 被鏡像的端口是3/46,3/2就是用于接Sniffer的端口3.config diag mirror-by-port 1 mode both這句話意思是被鏡像的端口的雙向流量都要被Monitor用完之后要config diag mirror-by-port enable false華為交換機(jī)端口監(jiān)聽配置華為6506R：如：mirroring-group 1 inband gigabitethernet 1/0/0 mirroring to gigabitethernet 1/0/1把該交換機(jī)的1/0/0端口，鏡像到1/0

19、/1華為s8512下面為將4/1的出流量和入流量全部境像到4/2上：Mirroring-group 1 outbound 4/1 mirrored-to 4/2Mirroring-group 2 inbound 4/1 mirrored-to 4/2華為VRP S3526 ver3.1華為交換機(jī)用戶手冊(cè)中，端口監(jiān)聽被稱為“端口鏡像”（Port Mirroring）。使用Huawei Lanswitch View管理系統(tǒng)添加一個(gè)鏡像端口：選擇Device Setup或Stack Setup。點(diǎn)擊Port Mirroring。點(diǎn)擊Add按鈕。對(duì)于堆疊，點(diǎn)擊Switch并從列表選擇一個(gè)交換機(jī)。點(diǎn)擊R

20、eflect from并選擇流量將被鏡像的端口。點(diǎn)擊Reflect to并選上面所選擇的端口上的HP交換機(jī)端口監(jiān)聽配置全局模式（conf ter）：mirror-port a6 (a6為接流量分析軟件的端口)int a1-a3,a5,vlan20,trk2,mesh monitor (設(shè)置a1,a2,a3,a5,trunk2 mesh為被境像的端口，即源端口)show monitor （顯示境像設(shè)置結(jié)果） ctrl+zwrite memory （保存）Extreme 交換機(jī) 特點(diǎn)： 只能創(chuàng)建多對(duì)一或者一對(duì)一的鏡像端口 可以監(jiān)聽 VLAN 的流量 Extreme 會(huì)鏡像 IN 和 OUT 的流量

21、。這就意味著在鏡像 VLAN 的時(shí)候，會(huì)看到一個(gè)報(bào)文至少兩次從 VLAN 的某個(gè)端口出來，并且進(jìn)入 VLAN 的另一個(gè)端口。 版本高于4.1的 Extreme 交換機(jī)端口鏡像配置方法 enable | disable mirroring on port 開啟/關(guān)閉端口鏡像功能，并且指定鏡像流量從何端口流出，port-no 只能是一個(gè)端口 configure mirroring add | delete vlan | port 指定鏡像哪個(gè)或哪些 VLAN 或端口的流量 vlan | port 部分可以重復(fù)多次。版本低于 4.1 的 Extreme 交換機(jī)端口鏡像配置方法 enable mirr

22、or to port port-no 開啟端口鏡像功能，并且指定鏡像流量從何端口流出，port-no 只能是一個(gè)端口 disable mirror 關(guān)閉端口鏡像功能 config mirror add port 鏡像端口 port-no 的流量，如果這個(gè)端口包含多個(gè) VLAN 這些流量都會(huì)被鏡像到目的端口 config mirror add port vlan 鏡像端口 port-no 中指定 VLAN 的流量 config mirror add vlan 鏡像端口中指定 VLAN 的所有端口的流量 config mirror del port 取消對(duì) port-no 的端口鏡像 config mirror del vlan 取消對(duì)指定 VLAN 的端口鏡像 show mirror