什么是交换机端口镜像及其工作原理
交换机端口镜像详解
配置说明
源端口说明: 源端口不能是现有镜像组的成员端口; 不能为远程目的镜像组添加源端口。
目的端口说明: 已经有目的端口的镜像组不能再添加目的端口; 目的端口不能是现有镜像组的成员端口; 本地端口镜像组的目的端口不能为聚合成员端口; 不能为远程源镜像组配置目的端口; 指定的镜像组必须预先创建; 建议用户不要在目的端口上开启STP、RSTP或MSTP,否则可能会影响镜像功能的正常使 用。
端口映射特殊配置
Eg: <Sysname> system-view [Sysname] mirroring-group 1 remote-source [Sysname] mirroring-group 1 reflector-port Ethernet 1/0/1
2.远程镜像VLAN <Sysname> system-view [Sysname] mirroring-group 1 {remote-source | remote-destination } [Sysname] mirroring-group group-id remote-probe vlan rprobe-vlan-id
拓扑图
网络部署图
配置命令
<Sysname>system-view [Sysname]mirroring-group group-id type---------①
//创建端口镜像组,group-id为组号,取值为1~2(缺省值默认为1);type包括local,remotesource,remote-destination三种类型
谢谢!
b. 删除相关配置在相关视图下用Undo实现 Eg:
<Sysname> system-view [Sysname] mirroring-group 1 local [Sysname] undo mirroring-group 1 mirroring-port Ethernet 1/0/1 both [Sysname] undo mirroring-group 1 monitor-port Ethernet 1/0/3
交换机端口镜像原理及配置
gei_3/3连接镜像PC
交换机(config)# interface gei_1/1 交换机(config-gei_1/1)# monitor session 1 source direction rx 交换机(config)# interface gei_1/2 交换机(config-gei_1/2)# monitor session 1 source 交换机(config)# interface gei_3/3 交换机(config-gei_3/3)# monitor session 1 destination
交换机端口镜像原理及配置
什么是端口镜像?
被镜像端口
监控端口
PC-A
PC-B
将交换机或路由器上一个或多个端口(被镜像端口)的数据复制到一个指定的目 的端口(监控端口)上,通过镜像可以在监控端口上获取这些被镜像端口的数据, 以便进行网络流量分析、错误诊断等。
端口镜像配置 创建一个会话 交换机(config)# monitor session <session-number> 向会话条目添加源端口 交换机(config-gei_1/x)# monitor session <session-number> source [direction {both|cpurx|cup-tx|tx|rx}] 向会话条目添加目的端口 交换机(config-gei_1/x)# monitor session <session-number> destination 查看端口镜像信息 交换机(config)# show monitor session {all|<session-number>}
配置交换机端口镜像
配置交换机端口镜像交换机端口镜像交换机的端口镜像功能,是指可以将一个端口的流量自动复制到另一端口,供网络管理员在判断网络问题时对端口流量和内容进行实时分析。
通过交换机的镜像端口,这些流量就可以被一个特殊的设备监控,对发现和修理故障有很大的帮助。
交换机可以有专为镜像目的而设计的端口,许多交换机产品还提供了将任何一个端口配置成镜像端口的功能,某些交换机甚至支持同时有多对多的端口镜像。
为了能使用网络分析仪或入侵检测系统IDS直接监控网络流量,所连接的交换机必须支持端口镜像。
端口镜像(Port Mirroring)可以让用户将所有的流量从一个特定的端口复制到一个镜像端口。
如果您的交换机提供端口镜像功能,则允许管理人员自行设置一个监视管理端口来监视被监视端口的数据。
监视到的数据可以通过PC上安装的网络分析软件来查看,通过对数据的分析就可以实时查看被监视端口的情况。
如图所示的网络拓扑,某企业网络管理员发现网络中有异常流量,需要对网络流量进行手动分析,为了提高网络的安全,需要管理员进行手工分析的异常流量,需要将流量镜像到管理员PC,然后抓取数据包,实现网络的安全防范功能。
F0/3图2-4 配置交换机端口镜像【实验设备】交换机 1台PC机3台【实验原理】交换机的端口镜像特性可以允许管理员对网络中的特定流量进行镜像分析。
即在交换机上,对特定流量进行复制并发送到指定端口。
【实验步骤】第一步:定义需要镜像的特定流量Switch#configureSwitch(config)#monitor session 1 source interface fastEthernet 0/1 both第二步:配置镜像流量的流出端口Switch(config)#monitor session 1 destination interface fastEthernet 0/2第三步:验证测试将PC1接入F0/1接口,PC2接入F0/2接口,PC1与PC2之间可以互相ping通。
交换机镜像用法
交换机镜像⽤法相关概念交换机(switch):⼀种⽤于光电信号转发的⽹络设备。
端⼝镜像:交换机或者路由器的⼀种功能,将⼀个或多个源端⼝的数据流量转发到某⼀个指定端⼝来实现对⽹络的监听,指定端⼝称之为“镜像端⼝”或“⽬的端⼝”,在不严重影响源端⼝正常吞吐流量的情况下,可以通过镜像端⼝对⽹络的流量进⾏监控分析。
在企业中⽤镜像功能,可以很好地对企业内部的⽹络数据进⾏监控管理,在⽹络出故障的时候,可以快速地定位故障。
配置命令:在源端⼝交换机上配置:Switch1(config)#vlan100 //vlan号必须独⽴于现⽹使⽤的vlan,不能和业务vlan相同,Switch1(config-vlan)#name SPAN-VLAN //为vlan 100名字配置为SPAN-VLANSwitch1(config-vlan)#remote-span //模式改成RSPAN,特殊vlan⽤来做端⼝镜像Switch1(config)#monitor session 2 source interface Gig 0/1 //配置要抓取原端⼝的流量Switch1(config)#monitor session 2 destination remote vlan 100 //⽬的端⼝配置为SPAN的vlan在⽬的端⼝交换机上配置:Switch2(config)#vlan100 //vlan要和被抓取流量端⼝的交换机vlan要⼀致Switch2(config-vlan)#name SPAN-VLAN //为vlan 100名字配置为SPAN-VLANSwitch2(config-vlan)#remote-span //模式改成RSPAN,特殊vlan⽤来做端⼝镜像Switch2(config)#monitor session 3 destination interface Gig 0/2 //配置要抓取原端⼝的流量,这⾥的session 号不需要和Switch1的⼀致Switch1(config)#monitor session 3 source remote vlan 100 //⽬的端⼝配置为SPAN的vlan号Switch#show monitor //查看。
CISCO交换机端口镜像配置
CISCO交换机端口镜像配置CISCO交换机端口镜像配置[]CISCO交换机端口镜像配置先解释一下端口镜像:端口镜像简单的说,就是把交换机一个(数个)端口(源端口)的流量完全拷贝一份,从另外一个端口(目的端口)发出去,以便网络管理人员从目的端口通过分析源端口的流量来找出网络存在问题的原因。
cisco的端口镜像叫做SWITCHED PORT ANALYZER,简称SPAN(仅在IOS系统中,下同),因此,端口镜像仅适用于以太网交换端口。
Cisco的SPAN 分成三种,SPAN、RSPAN和VSPAN,简单的说,SPAN是指源和目的端口都在同一台机器上、RSPAN指目的和源不在同一交换机上,VSPAN可以镜像整个或数个VLAN 到一个目的端口。
配置方法:1. SPAN(1) 创建SPAN源端口monitor session session_number source interface interface-id [, | -] [both | rx | tx] monitor session 1 source interface Gi1/0/3 - 23 monitor session 2 source interface Gi1/0/24**session_number,SPAN会话号,我记得3550支持的最多本地SPAN是2个,即1或者2。
**interface-id [, | -]源端口接口号,即被镜像的端口,交换机会把这个端口的流量拷贝一份,可以输入多个端口,多个用“,”隔开,比如我的3750G 设置:先查询镜像端口:>show interfaceGigabitEthernet1/0/1 is down, line protocol is down (monitoring) Hardware is Gigabit Ethernet, address is 001b.53d1.f681 (bia001b.53d1.f681)MTU 1500 bytes, BW 1000000 Kbit, DLY 10 usec,reliability 255/255, txload 1/255, rxload 1/255Encapsulation ARPA, loopback not setKeepalive set (10 sec)Auto-duplex, Auto-speed, media type is 10/100/1000BaseTX input flow-control is off, output flow-control is unsupported ARP type: ARPA, ARP Timeout 04:00:00Last input never, output 01:24:41, output hang neverLast clearing of "show interface" counters neverInput queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0 Queueing strategy: fifoOutput queue: 0/40 (size/max)5 minute input rate 0 bits/sec, 0 packets/sec5 minute output rate 0 bits/sec, 0 packets/sec0 packets input, 0 bytes, 0 no bufferReceived 0 broadcasts (0 multicast)0 runts, 0 giants, 0 throttles0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored0 watchdog, 0 multicast, 0 pause input0 input packets with dribble condition detected45270775 packets output, 3124068592 bytes, 0 underruns0 output errors, 0 collisions, 1 interface resets0 babbles, 0 late collision, 0 deferred0 lost carrier, 0 no carrier, 0 PAUSE output0 output buffer failures, 0 output buffers swapped out GigabitEthernet1/0/2 is up, line protocol is down (monitoring) Hardware is Gigabit Ethernet, address is 001b.53d1.f682 (bia 001b.53d1.f682)MTU 1500 bytes, BW 1000000 Kbit, DLY 10 usec,reliability 255/255, txload 25/255, rxload 1/255Encapsulation ARPA, loopback not setKeepalive set (10 sec)Full-duplex, 1000Mb/s, media type is 10/100/1000BaseTXinput flow-control is off, output flow-control is unsupported ARP type: ARPA, ARP Timeout 04:00:00Last input never, output 00:27:32, output hang neverLast clearing of "show interface" counters neverInput queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0 Queueing strategy: fifoOutput queue: 0/40 (size/max)5 minute input rate 0 bits/sec, 0 packets/sec5 minute output rate 101566000 bits/sec, 13900 packets/sec0 packets input, 0 bytes, 0 no bufferReceived 0 broadcasts (0 multicast)0 runts, 0 giants, 0 throttles0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored0 watchdog, 0 multicast, 0 pause input0 input packets with dribble condition detected56333567 packets output, 4143302191 bytes, 0 underruns0 output errors, 0 collisions, 1 interface resets0 babbles, 0 late collision, 0 deferred0 lost carrier, 0 no carrier, 0 PAUSE output0 output buffer failures, 0 output buffers swapped out我们用端口镜像1来镜像3-23号端口,镜像端口来镜像24号端口:monitor session 1 source interface Gi1/0/3 - 23monitor session 1 destination interface Gi1/0/1monitor session 2 source interface Gi1/0/24monitor session 2 destination interface Gi1/0/2连续的用“-”连接。
端口镜像端口镜像
端口镜像端口镜像端口镜像这得从网络上的两个东东说起,HUB和交换机。
当我们需要用IDS这样的东西,或者是sniffer来对网络流量进行捕获和监控时,需要有一个监听端口。
我们知道HUB和switch的工作原理是不同的,HUB不基于连接,每个进入HUB的数据包被发送到除进入端口外的所有端口。
而Switch 则是面对连接的,数据包只会发送给目的端口。
所以在HUB环境中,IDS或sniffer可以接到任意一个端口上。
但在switch中就必须设置专门的监听端口,用来查看网络的使用情况,这个端口也被称为镜像端口,因为它能从指定的交换机端口中复制端口流量到这个监听端口(镜像端口)中,以便进行流量和协议分析。
目前在中高端交换机中都有端口镜像功能,不过具体厂商的设置方法稍有不同。
补充:镜像端口可以对一个或多个端口进行镜像,也可以对所有端口进行镜像以监听所有数据包,但也有一些问题,比如当流量大时可能造成交换机丢包华为NE80端口镜像配置NE80支持端口镜像功能,可以将系统中某个端口的流量镜像到其它的端口。
出端口的报文和入端口的报文必须分别镜像到不同的端口。
NE80已可以做到POS 622,POS 155,GE、FE到GE、FE的镜像。
配置内容包括:配置端口为镜像端口、配置被镜像端口到镜像端口的映射关系。
例将ethernet 3/0/2的入端口流量和出端口流量分别镜像到ethernet 3/0/0和3/0/1,仅需两条配置:NE80-C(config)#observing-port ethernet3/0/0 //3/0/0为镜像端口NE80-C(config)#observing-port ethernet3/0/1 //3/0/1为镜像端口NE80-C(config)#port-mirroring ethernet3/0/2 both ethernet3/0/0 ethernet3/0/1//3/0/2为被镜像端口,3/0/0镜像3/0/2的入流量,3/0/1镜像3/0/2的出流量。
H3C交换机端口镜像配置方法
H3C交换机端口镜像配置方法交换机将数据从一个端口转发至到另一个端口的处理方式称为交换模式。
不少企业使用的交换机是H3C交换机,那么你知道H3C交换机的端口镜像配置方法吗?下面跟yjbys店铺一起来看看吧!一、端口镜像概念:Port Mirror(端口镜像)是用于进行网络性能监测。
可以这样理解:在端口A 和端口B 之间建立镜像关系,这样,通过端口A 传输的数据将同时复制到端口B ,以便于在端口B 上连接的分析仪或者分析软件进行性能分析或故障判断。
二、端口镜像配置『环境配置参数』1. PC1接在交换机E0/1端口,IP地址1.1.1.1/242. PC2接在交换机E0/2端口,IP地址2.2.2.2/243. E0/24为交换机上行端口4. Server接在交换机E0/8端口,该端口作为镜像端口『组网需求』1. 通过交换机端口镜像的功能使用server对两台pc的业务报文进行监控。
2. 按照镜像的不同方式进行配置:1) 基于端口的镜像2) 基于流的镜像2 数据配置步骤『端口镜像的数据流程』基于端口的镜像是把被镜像端口的进出数据报文完全拷贝一份到镜像端口,这样来进行流量观测或者故障定位。
【3026等交换机镜像】S2008/S2016/S2026/S2403H/S3026等交换机支持的都是基于端口的镜像,有两种方法:方法一1. 配置镜像(观测)端口[SwitchA]monitor-port e0/82. 配置被镜像端口[SwitchA]port mirror Ethernet 0/1 to Ethernet 0/2方法二1. 可以一次性定义镜像和被镜像端口[SwitchA]port mirror Ethernet 0/1 to Ethernet 0/2 observing-port Ethernet 0/8【8016交换机端口镜像配置】1. 假设8016交换机镜像端口为E1/0/15,被镜像端口为E1/0/0,设置端口1/0/15为端口镜像的观测端口。
交换机镜像端口的工作原理及配置方法
交换机镜像端口的工作原理及配置方法交换机镜像端口的工作原理及配置方法对于高级网管员来说,在进行网络故障排查、网络数据流量分析的过程中,有时需要对网络节点或骨干交换机的某些端口进-行数据流量监控分析,而在交换机中设置镜像端口,对某些可疑端口进行监控,同时又不影响被监控端口的数据交换,已成为常用的解决方案之一。
本文以Cisco Catalyst4006交换机为例介绍“交换端口分析器”的工作原理及配置方法。
1.SPAN工作原理SPAN(Switched Port Analyzer)的作用主要是为了给某种网络分析器提供网络数据流。
它既可以实现一个VLAN中若干个源端口向一个监控端口镜像数据,也可以从若干个VLAN向一个临控端口镜像数据。
源端口的5号端口上流转的所有数据流均被镜像至10号监控端口,而数据分析设备通过监控端口接收了所有来自5号端口的数据流(见图1.1.3)。
2.SPAN的配置方法在配置SPAN任务时应遵循以下原则:(1)对数据进行监控分析的设备应搭接在监控端口上;(2)在一个基于VLAN的SPAN任务中不能同时存在源VLAN和过滤VLAN (3)冗余链路端口只能作为SPAN任务的源端口;(4)SPAN任务中所有的源端口的被监控方向必须一致;(5)在设置端口为源端口时,如果没有指定数据流的监控方向,默认为双向; (6)当SPAN任务含有多个源端口时,这些端口可以来自不同的VLAN; (7)取消某一个SPAN任务的命令是:no monitor session任务号;(8)取消所有SPAN任务的命令是:no monitor;(9)SPAN任务的目的端口不能参与到生成树的距离计算中,但由于源端口的BPDU 包可以被镜像,所以SPAN目的端口可以监控到来自源端口的BPDU数据包。
配置SPAN的源端口,应遵循表1.1-3的格式。
表1.1-3命令解释说明Switch(config)_[no]monitorsession{session_number}{source(interface type/num)|{vlan vlan_ID}}[,|-|r_|t_| both] 命令包含SPAN任务号(1——6),源端口(FastEthernet或者GigabitEthernet口),或Vlan号(1——1005),以及被监控数据流的方向;使用no作为恢复命令以下语句显示如何配置源端口为FastEthernet 5/l的SPAN任务,其监控对象为双向数据流:Switch(config)_ monitor session 1 source interface fastethrnet 5/l 配置SPAN的目的端口,应遵循表1.1-4的格式。
交换机可以实现端口镜像吗?
交换机可以实现端口镜像吗?一、什么是端口镜像端口镜像是指网络设备将特定端口上的数据包复制到另一个端口上,以便分析和监控网络流量。
通过端口镜像,我们可以实时监测网络中的数据流动,并进行分析、排查问题等操作。
二、交换机是否支持端口镜像1. 支持端口镜像的交换机类型在现代网络中,大多数企业级交换机都支持端口镜像功能。
这些交换机通常是高性能、高带宽的设备,可以满足对网络流量进行实时监测和分析的需求。
2. 端口镜像的实现原理交换机在实现端口镜像时,会将源端口的所有流量复制到目标端口上。
这样一来,我们就可以通过连接到目标端口的监控设备来获取源端口上的所有数据包,进行进一步的分析和处理。
三、端口镜像的应用场景1. 网络流量分析通过端口镜像,我们可以实时监测网络中的数据流动,了解网络的负载情况、带宽利用率等信息。
这对于网络管理员来说,非常有助于进行网络优化和故障排查。
2. 安全监控端口镜像可以帮助我们实时监测网络中的数据包,对网络安全事件进行及时响应和处理。
例如,我们可以将端口镜像配置到入侵检测系统中,以便及时发现和阻止网络攻击。
3. 网络故障排查当网络出现故障时,我们可以通过端口镜像来分析故障的原因。
通过捕获故障发生时的数据包,我们可以了解网络中是否存在丢包、延迟等问题,并针对性地进行排查和修复。
四、配置端口镜像的步骤1. 确认交换机型号和固件版本不同型号的交换机可能在端口镜像功能实现上存在差异,因此在配置前,需要确认交换机的型号和固件版本。
2. 配置监控设备在进行端口镜像前,需要先准备好用于监控的设备。
这个设备可以是一台计算机、一台网络分析仪器等。
3. 配置端口镜像根据交换机的型号和固件版本,进行相应的配置。
通常情况下,可以通过命令行或者图形界面进行配置。
4. 验证配置结果确认端口镜像配置生效后,我们可以通过监控设备来验证复制过来的数据包是否正常。
五、总结交换机的端口镜像功能提供了高效、实时的网络流量监测和分析手段。
交换机端口镜像配置说明讲义
交换机端口镜像配置说明1. 交换机镜像简介交换机的镜像分为端口镜像和流镜像。
端口镜像是把交换机的一个端口的数量都Copy到另外一个指定的端口。
流镜像是把符合一定规则的数据流都Copy到另外一个指定的端口。
交换机的镜像用来在一个网络中进行抓包分析,我们公司使用交换机镜像一般用在下面两个方面:1:连接IDS的端口2:连接Sniffer主机的端口2. 交换机镜像的配置因为交换机厂商繁多,每个厂商的交换机型号也很多,这里的配置只是举了几个典型的配置。
至于具体的交换机型号如何配置,请参考相关随机文档。
2.1Cisco交换机Cisco交换机上的端口镜像使用的是SPAN(Switched Port Analyzer),它的主要作用是的为了给某种网络分析器提供网络数据流。
它既可以实现一个VLAN中若干个源端口向一个监控端口镜像数据,也可以从若干个VLAN向一个监控端口镜像数据。
SPAN 任务不会影响交换机的正常工作。
当一个SPAN任务被建立后,根据交换机所处的不同的状态或操作,任务会处于激活或非激活状态,同时系统会将其记入日志。
通过“show monitor session”命令可显示SPAN的当前状态。
配置SPAN的源端口,命令格式如下Switch(config)#[no]monitorsession{session_number}{source(interface type/num)|{vlan vlan_ID}}[,|-|rx|tx| both]配置SPAN的目的端口,命令格式如下:Switch(config)#[no]monitorsession(session_number){destination{inter face type/num}}以下例子显示如何配置源端口为FastEthernet 5/l,配置监听端口为FastEthernet 5/48的SPAN任务:Switch(config)#monitor session l source interface fastethernet 5/1 Switch(config)# monitor session 1 destination interface fastethrnet 5/48当SPAN的源端口为Trunk端口时,可以选择监控某个vlan,命令格式如下:Switch(config)#[no]monitor session{session_number}{filter vlan {vlan_ID}[,|-]}监控Trunk端口FastEtheraet4/10上数据流,在该端口上承载着VLANl-VLANl0的数据流,只监控其中VLAN5中的数据流,端口 FastEthernet4/15为监听端口,具体配置方法如下:Switch(config)# monitor session 1 source interface fastethernet 4/10 Switch(config)# monitor session 1 filter vlan 5Switch(config)# monitor session 1 destination interface fastethernet 4/152.2华为3com交换机源端口配置命令:mirroring-port { inbound | outbound | both }inbound | outbound | both:表示被监控报文的方向,inbound 表示仅对端口接收的报文进行监控,outbound表示仅对端口发送的报文进行监控,both 表示同时对端口接收和发送的报文进行监控。
三层交换机之端口镜像(Mirror)
三层交换机之端⼝镜像(Mirror)端⼝镜像(Mirror)是指将报⽂从⼀个端⼝镜像到其他端⼝的技术,通常⽤于在不影响业务流的情况下分析报⽂,排查问题。
本⽂介绍三层交换机端⼝镜像(Mirror)的⼏种实现⽅式,以博通交换芯⽚平台为例。
1、上联⼝或者槽位⼝镜像将上联⼝或者槽位⼝的报⽂镜像到其他上联⼝,具体实现上⼜分为两种——指定VLAN镜像、所有VLAN镜像。
这两种⽅式是由交换芯⽚的⼯作模式决定的:#include <bcm/switch.h>int bcm_switch_control_set(int unit, bcm_switch_control_t type, int arg);int bcm_switch_control_get(int unit, bcm_switch_control_t type, int *arg);Mirror to trunk groups is only supported on StrataXGS III switch chips, andin order to use this feature,bcmSwitchDirectedMirroring must be set to 1.If the bcmSwitchDirectedMirroring switch control is disabled(or unsupported),the mirror-to port must be a member of the same VLANs as the mirrored port.1.1、指定VLAN镜像三层交换机的物理端⼝⼀般会配置加⼊VLAN转发域,才能参与报⽂转发。
指定VLAN镜像就是指某个端⼝的报⽂镜像到镜像端⼝,镜像端⼝要在指定的VLAN内,这样就可以过滤指定VLAN的报⽂。
我司三层交换机可以通过⽹管创建Mirror端⼝镜像和VLAN添加端⼝实现。
什么是交换机端口镜像及其工作原理
什么是交换机端口镜像及其工作原理端口镜像(port Mirroring)把交换机一个或者多个端口(VLAN)的数据镜像到一个或者多个端口的方法。
在一些交换机中,我们可以通过对交换机的配置来实现将某个端口上的数据包,拷贝一份到此外一个端口上,这个过程就是“端口镜像”,如下图:端口1 为镜像端口,端口2 为被镜像端口;因为通过端口1可以看到端口2的流量,所以,我们也称端口1为监控端口,而端口2为被监控端口。
市面上,绝大多数交换机(如cisco产品)的某个口被设置为镜像端口后,接到该端口的主机将无法发送数据包到网内其他机器,变成为了“单向接受”模式; 这种情况,并不利于监控,因为系统无发发送封包到客户机,而导致无法对客户机进行控制;无非“网路岗”针对此类情况有专门的解决手段,如碰到此类情况,用户可以咨询我公司技术人员。
无非仍然有部份交换机除外,比如:TPLink-SF2005或者TP-Link2428web,因为其价格便宜,功能实用,因此我们普通建议客户购买这两款交换机进行监控。
注:如果监控的电脑超过了40台建议用TP-Link2428web,这款交换机自带网管功能,性能比TPLink-SF2005高,而且还有两个千M电口可以做为监控使用。
如果使用其它品牌的交换机只要支持端口镜像功能的话也同样可以达到上网 监控,qq和msn聊天监控,邮件监控及抓包分析的效果。
端口镜像的目的由于部署 IDS 产品需要监听网络流量(网络分析仪同样也需要),但是在目前广泛采用的交换网络中监听所有流量有相当大的艰难,因此需要通过配置交换机来把一个或者多个端口(VLAN)的数据转发到某一个端口来实现对网络的监听。
端口镜像的功能监视到进出网络的所有数据包,供安装了监控软件的管理服务器抓取数据,如网吧需提供此功能把数据发往公安部门审查。
而企业出于信息安全、保护公司机密的 需要,也迫切需要网络中有一个端口能提供这种实时监控功能。
在企业中用端口镜像功能,可以很好的对企业内部的网络数据进行监控管理,在网络出现故障的时候,可以做到很好地故障定位。
H3C交换机端口镜像原理
H3C交换机端口镜像原理1. 本地端口镜像原理对于本地端口镜像,镜像源和镜像,目的都属于同一台设备上的同一个镜像组,该镜像组就称为本地镜像组。
本地端口镜像通过本地镜像组的方式实现,即源端口和目的端口在同一个本地镜像组中,设备将源端口的报文复制一份并转发到目的端口。
如图所示,源端口(GE3/0/1)的报文被镜像到目的端口(GE3/0/2),这样连接在目的端口上的数据监测设备就可以对这些报文进行监控和分析。
这是最简单的端口镜像方式。
如果交换机上有多个单板,则本地镜像组支持跨板镜像,即目的端口和源端口可以在同一设备的不同单板上。
2. 二层远程端口镜像原理二层远程端口镜像通过远程源镜像组和远程目的镜像组互相配合的方式实现。
二层远程端口镜像的实现方式包括:固定反射端口方式、非固定反射端口方式和出端口方式。
其中,固定反射端口方式和非固定反射端口方式也统称为反射端口方式,其区别在于:支持前者的设备内部有一个固定的反射端口,因此无需人工配置反射端口;而支持后者的设备则需人工配置反射端口。
如图所示是反射端口方式的二层远程端口镜像示例。
此时源设备将进入源端口GE3/0/1的报文复制一份给反射端口GE3/0/3,再由该反射端口将镜像报文在远程镜像VLAN中广播,最终镜像报文经由中间设备转发至目的设备。
目的设备收到该报文后判别其VLAN ID,如果与远程镜像VLAN的VLAN ID相同,就将其转发至目的端口GE3/0/2,最后由该端口将镜像报文转发给数据监测设备。
如图18-4所示的是出端口方式的二层远程端口镜像示例。
此时源设备将进入源端口GE3/0/1的报文复制一份给出端口GE3/0/2,该端口将镜像报文转发给中间设备,再由中间设备在远程镜像VLAN中广播,最终到达目的设备。
目的设备收到该报文后判别其VLAN ID,如果与远程镜像VLAN的VLAN ID相同,就将其转发至目的端口GE3/0/2,最后由该端口将镜像报文转发给数据监测设备。
端口镜像详解
Switch(config)#monitor session 1 destination interface fast0/4(1为session id,id范围为1-2)
●Link Mode port
支持端口镜像的交换机
大多数中档以上的交换机都支持端口镜像功能,但支持程度不同。
端口镜像配置方法
Cisco 交换机
Cisco 2900 和 Cisco 3500XL 系列交换机
Cisco 2950、Cisco 3550 和 Cisco 3750 系列交换机
disable mirror
关闭端口镜像功能
config mirror add port
镜像端口 port-no 的流量,如果这个端口包含多个 VLAN 这些流量都会被镜像到目的端口
config mirror add port vlan
config mirror del vlan
取消对指定 VLAN 的端口镜像
show mirror
显示端口镜像情况
Foundry 交换机
特点:
●可以创建多对多的端口镜像
以下命令配置端口监听:
{ set|clear } Port Mirror
设置端口侦听:set port mirror <mod-port-range> source-port <mod-port-range> mirror-port <mod-port-spec> sampling { always | disable | periodic } [ max-packets-sec < max-packets-sec-value> ] [ piggyback-port <mod-port-spec> ]
交换机端口镜像攻击原理及其相应的防御技术
交换机端口镜像攻击是一种网络攻击手段,通过交换机的端口镜像功能,攻击者可以监控或者截取网络中的数据包,进而获取敏感信息或者实施其他攻击。
本文将对交换机端口镜像攻击的原理进行解释,并提出相应的防御技术。
一、交换机端口镜像攻击原理1.1 交换机端口镜像功能交换机是网络中重要的设备之一,其主要功能是在不同网络设备之间进行数据包的交换和传输。
为了实现网络中数据包的分析和监控,交换机通常具有端口镜像功能,可以将指定端口的数据包镜像到另一个端口,从而实现数据包的监控和分析。
1.2 攻击者利用端口镜像功能进行攻击攻击者可以利用交换机的端口镜像功能,将目标主机的通信数据包镜像到自己的端口上,然后对这些数据包进行分析、截取或篡改。
通过这种方式,攻击者可以获取目标主机的敏感信息,或者实施其他攻击行为,对目标主机造成危害。
1.3 攻击过程攻击者首先获取目标主机所在的交换机的管理权限,然后在交换机上配置端口镜像规则,将目标主机的数据包镜像到攻击者的端口上。
攻击者可以使用抓包工具对这些数据包进行分析,或者进行进一步的攻击行为。
二、交换机端口镜像攻击的防御技术2.1 限制交换机管理权限为了防止攻击者利用交换机的端口镜像功能进行攻击,网络管理员可以限制交换机的管理权限,只允许授权人员进行管理操作。
应定期对交换机的管理口令进行修改,避免被攻击者获取管理权限。
2.2 禁用不必要的端口镜像规则在配置交换机端口镜像规则时,网络管理员应该仔细审查和过滤规则,禁用不必要的端口镜像功能。
只有经过合理授权的人员,才能够配置和使用端口镜像规则,限制攻击者利用该功能进行攻击。
2.3 使用加密通信协议为了防止攻击者通过端口镜像攻击获取敏感信息,网络通信中可以采用加密的通信协议,如SSL、TLS等。
这样即使攻击者截取了数据包,也无法获取其中的明文信息,有效保护通信数据的安全。
2.4 监控网络流量网络管理员可以通过对网络流量进行实时的监控和分析,发现异常的数据流量或者攻击行为。
各类交换机端口镜像配置
1、什么是端口镜像 (2)2、为什么需要端口镜像 (2)3、端口镜像的别名 (2)4、支持端口镜像的交换机 (3)5、各种交换机端口镜像配置 (3)C ISCO CATALYST交换机端口监听配置 (3)CISCO:3550IOS端口映射的举例 (3)C ATALYST 4000/5000/6000系列交换机端口监听配置(基于C AT OS) (4)3COM交换机端口监听配置 (5)DELL交换机端口监听配置 (5)N ET C ORE交换机端口监听配置 (7)I NTEL交换机端口监听配置 (7)A VAYA交换机端口监听配置 (8)港湾交换机的配置 (8)北电交换的设置 (9)华为交换机端口监听配置 (9)HP交换机端口监听配置 (10)E XTREME 交换机 (10)F OUNDRY 交换机 (12)J UNIPER 交换机 (13)1、什么是端口镜像把交换机一个或多个端口(VLAN)的数据镜像到一个或多个端口的方法。
端口镜像(Port Mirroring)可以让用户将所有的流量从一个特定的端口复制到一个镜像端口。
如果您的交换机提供端口镜像功能,则允许管理人员自行设置一个监视管理端口来监视被监视端口的数据。
监视到的数据可以通过PC上安装的网络分析软件来查看,通过对数据的分析就可以实时查看被监视端口的情况。
端口镜像选取的设备原则为网络中连接重要服务器群的交换机或路由器,或是连接到网通的出口路由器。
2、为什么需要端口镜像通常为了部署流量分析、IDS等产品需要监听网络流量,但是在目前广泛采用的交换网络中监听所有流量有相当大的困难,因此需要通过配置交换机来把一个或多个端口(VLAN)的数据转发到某一个端口来实现对网络的监听。
3、端口镜像的别名端口镜像通常有以下几种别名:●Port Mirroring通常指允许把一个端口的流量复制到另外一个端口,同时这个端口不能再传输数据。
●Monitoring Port监控端口●Spanning Port通常指允许把所有端口的流量复制到另外一个端口,同时这个端口不能再传输数据。
交换机端口镜像原理
交换机端口镜像原理
交换机端口镜像是指从发起镜像的端口复制流量并转发到一个指定的监控端口的过程。
交换机在镜像过程中会复制发起镜像的端口上的所有流量,并将复制的流量转发到一个指定的监控端口,以便进行流量分析、监控或记录。
以下是交换机端口镜像的工作原理:
1. 镜像源端口:交换机会选择一个或多个特定的端口作为镜像源端口,将其上的所有进出流量都进行复制。
2. 镜像目标端口:交换机会配置一个或多个镜像目标端口,复制的镜像流量将会被转发到这些目标端口。
3. 镜像会话:交换机会建立一个镜像会话,将镜像源端口上的流量复制到镜像目标端口上。
镜像会话可以根据配置的规则进行过滤或选择需要镜像的特定流量。
4. 交换机处理流程:交换机在收到一个数据包时,会先判断该数据包是否需要进行镜像。
对于需要镜像的数据包,交换机会复制一份相同的数据包并将其发往镜像目标端口。
5. 镜像数据包处理:镜像目标端口上的数据包可以被连接到一个监控设备、数据录像设备或网络分析工具等,以便对复制的流量进行监视和分析。
通过交换机端口镜像,可以实现对特定端口或特定流量的全面
监控,有助于网络管理人员识别网络问题、监控网络性能以及进行安全审计等操作。
华三交换机端口镜像
华3多型号交换机端口镜像配置方法华3多型号交换机端口镜像配置方法有不少朋友在问华为交换机镜像方面的问题。
通过本人现有的资料和文档,现把各种型号的交换机镜像方法总结一下。
以便各位朋友能够方便查阅!我想在学会配置之前,对于端口镜像的基本概念还是要一定的了解吧!一、端口镜像概念:Port Mirror(端口镜像)是用于进行网络性能监测。
可以这样理解:在端口A 和端口B 之间建立镜像关系,这样,通过端口A 传输的数据将同时复制到端口B ,以便于在端口B 上连接的分析仪或者分析软件进行性能分析或故障判断。
二、端口镜像配置『环境配置参数』1. PC1接在交换机E0/1端口,IP地址1.1.1.1/242. PC2接在交换机E0/2端口,IP地址2.2.2.2/243. E0/24为交换机上行端口4. Server接在交换机E0/8端口,该端口作为镜像端口『组网需求』1. 通过交换机端口镜像的功能使用server对两台pc的业务报文进行监控。
2. 按照镜像的不**式进行配置:1) 基于端口的镜像2) 基于流的镜像2 数据配置步骤『端口镜像的数据流程』基于端口的镜像是把被镜像端口的进出数据报文完全拷贝一份到镜像端口,这样来进行流量观测或者故障定位。
【3026等交换机镜像】S2008/S2016/S2026/S2403H/S3026等交换机支持的都是基于端口的镜像,有两种方法:方法一1. 配置镜像(观测)端口[SwitchA]monitor-port e0/82. 配置被镜像端口[SwitchA]port mirror Ethernet 0/1 to Ethernet 0/2方法二1. 可以一次性定义镜像和被镜像端口[SwitchA]port mirror Ethernet 0/1 to Ethernet 0/2 observing-port Ethernet 0/8 【8016交换机端口镜像配置】1. 假设8016交换机镜像端口为E1/0/15,被镜像端口为E1/0/0,设置端口1/0/15为端口镜像的观测端口。
端口镜像集锦
交换机端口镜像资料收集整理1 端口镜像简介1.1 端口镜像简介镜像一般是将符合指定规则的报文复制到镜像目的端口。
一般镜像目的端口会接入数据检测设备,用户利用这些设备对镜像过来的报文进行分析,进行网络监控和故障排除等。
图1-1 镜像示意图1.1.1 端口镜像的定义端口镜像,即把交换机一个或多个端口(VLAN)的数据镜像到一个或多个端口的方法。
1.1.2 端口镜像的目的通常为了部署 IDS 产品需要监听网络流量(网络分析仪同样也需要),但是在目前广泛采用的交换网络中监听所有流量有相当大的困难,因此需要通过配置交换机来把一个或多个端口(VLAN)的数据转发到某一个端口来实现对网络的监听。
1.1.3 端口镜像的别名端口镜像通常有以下几种别名:Port Mirroring :λ通常指允许把一个端口的流量复制到另外一个端口,同时这个端口不能再传输数据。
Monitoring Port :λ监控端口Spanning Port :λ通常指允许把所有端口的流量复制到另外一个端口,同时这个端口不能再传输数据。
SPAN port :λ在 Cisco 产品中,SPAN 通常指 Switch Port ANalyzer。
某些交换机的 SPAN 端口不支持传输数据。
Linkλ Mode port :1.1.4 支持端口镜像的交换机大多数中档以上的交换机都支持端口镜像功能,但支持程度不同。
1.2 端口镜像的类型1.2.1 远程端口镜像远程端口镜像,突破了镜像源端口和镜像目的端口必须在同一台交换机上的限制,使镜像源端口和镜像目的端口可以在不同的网络设备上,从而方便网管人员对远程交换机设备进行管理。
远程端口镜像的应用示意图如下所示。
图1-2 远程端口镜像应用示意图实现了远程端口镜像功能的交换机分为三种:λ源交换机:被监测的端口所在的交换机,负责将镜像流量复制到Remote-probe VLAN中,然后二层转发给中间交换机或目的交换机。
port mirror(端口镜像)
Copyright © 2004, Cameo Communications, Inc. All rights reserved.
15
Training Lectures
结束
Thanks!
Copyright © 2004, Cameo Communications, Inc. All rights reserved.
• Port1 SA: 00 00 00 00 00 01 DA:00 00 00 00 00 02; Port2 SA:00 00 00 00 00 02 DA:00 00 00 00 00 01. (Learning first)
• 下列叙述正确的有:
Copyright © 2004, Cameo Communications, Inc. All rights reserved.
在端口a和端口和端口b之间建立镜像关系后通过端口a传输的数据将同时通过端口传输的数据将同时通过端口b即使端口a因线路问题造成数据错误端口因线路问题造成数据错误端口b的数据仍然可用
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
什么是交换机端口镜像及其工作原理端口镜像(port Mirroring)把交换机一个或多个端口(VLAN)的数据镜像到一个或多个端口的方法。
在一些交换机中,我们可以通过对交换机的配置来实现将某个端口上的数据包,拷贝一份到另外一个端口上,这个过程就是“端口镜像”,如下图:端口1 为镜像端口,端口2 为被镜像端口;因为通过端口1可以看到端口2的流量,所以,我们也称端口1为监控端口,而端口2为被监控端口。
市面上,绝大多数交换机(如cisco产品)的某个口被设置为镜像端口后,接到该端口的主机将无法发送数据包到网内其他机器,变成了“单向接受”模式;这类情况,并不利于监控,因为系统无发发送封包到客户机,而导致无法对客户机进行控制;不过“网路岗”针对此类情况有专门的解决手段,如碰到此类情况,用户可以咨询我公司技术人员。
不过仍然有部分交换机除外,比如:TPLink-SF2005或TP-Link2428web,因为其价格便宜,功能实用,因此我们一般建议客户购买这两款交换机进行监控。
注:如果监控的电脑超过了40台建议用TP-Link2428web,这款交换机自带网管功能,性能比TPLink-SF2005高,而且还有两个千M电口可以做为监控使用。
如果使用其它品牌的交换机只要支持端口镜像功能的话也同样可以达到上网监控,qq和msn聊天监控,邮件监控及抓包分析的效果。
端口镜像的目的由于部署 IDS 产品需要监听网络流量(网络分析仪同样也需要),但是在目前广泛采用的交换网络中监听所有流量有相当大的困难,因此需要通过配置交换机来把一个或多个端口(VLAN)的数据转发到某一个端口来实现对网络的监听。
端口镜像的功能监视到进出网络的所有数据包,供安装了监控软件的管理服务器抓取数据,如网吧需提供此功能把数据发往公安部门审查。
而企业出于信息安全、保护公司机密的需要,也迫切需要网络中有一个端口能提供这种实时监控功能。
在企业中用端口镜像功能,可以很好的对企业内部的网络数据进行监控管理,在网络出现故障的时候,可以做到很好地故障定位。
一般通过配置端口镜像,安装网路岗监控上网行为管理软件就可以实现对整个网络的监控了。
(备注:交换机把某一个端口接收或发送的数据帧完全相同的复制给另一个端口;其中被复制的端口称为镜像源端口,复制的端口称为镜像目的端口。
)端口镜像通常有以下几种别名:Port Mirroring 通常指允许把一个端口的流量复制到另外一个端口,同时这个端口不能再传输数据。
Monitoring Port 监控端口Spanning Port 通常指允许把所有端口的流量复制到另外一个端口,同时这个端口不能再传输数据。
SPAN port 在 Cisco 产品中,SPAN 通常指 Switch Port ANalyzer。
某些交换机的 SPAN 端口不支持传输数据。
Link Mode port这样,这些流量就可以被一个特殊的设备监控。
它对发现和修理故障有很大的帮助。
端口镜像工作原理:SPAN(Switched Port Analyzer)的作用主要是为了给某种网络分析器提供网络数据流。
它既可以实现一个VLAN中若干个源端口向一个监控端口镜像数据,也可以从若干个VLAN向一个临控端口镜像数据。
源端口的5号端口上流转的所有数据流均被镜像至10号监控端口,而数据分析设备通过监控端口接收了所有来自5号端口的数据流。
值得注意的是,源端口和镜像端口必须位于同一台交换机上(但也有例外,如Catalyst 6000系列交换机);而且SPAN并不会影响源端口的数据交换,它只是将源端口发送或接收的数据包副本发送到监控端口。
在SPAN任务过程中,用户可以通过参数控制,来指明需要监控的数据流种类;还可以将一个或多个端、口、一个或多个VLAN作为源端口,并将从这些端口中发送或接收的单向或双向数据流传送至监控端口。
在Catalyst 4006交换机中,最多可以配置6个单向的SPAN任务:2个输入数据流监控、4个输出数据流监控。
一个双向SPAN任务实际上包含一个单向输入和一个单向输出。
而且不仅仅二层交换端口可作为源端口,Catalyst 4006上的三层路由端口也可设置为源端口。
SPAN 任务不会影响交换机的正常工作。
当一个SPAN任务被建立后,根据交换机所处的不同的状态或操作,任务会处于激活或非激活状态,同时系统会将其记入日志。
通过“show monitor session”命令可显示SPAN的当前状态。
如果遇到系统重新启动的情况,在目的端口初始化结束之前,SPAN任务将处于非激活状态。
目的端口(监控端口)可以是交换机上的任意一个交换或路由端口。
当一个目的端口处于激活状态时,任何发送到该端口且与SPAN任务无关的数据包将会被丢弃。
一个目的端口只能处于一个SPAN任务中。
当一个端口被配制成目的端口后就不能再成为源端口,同时冗余链路端口也不能成为SPAN的目的端口。
特别需要指出的是,如果一个 Trunk端口被配置成为SPAN的目的端口,则其Trunk功能也将自动停止。
源端口又可以称作被监控端口。
在一个SPAN任务中,可以有一个或多个源端口,而且可以根据用户需要设置为输入方向、输出方向或双向,但无论哪种情况,在一个SPAN任务中,所有源端口的被监控方向都必须是一致的。
在Catalyst 4006交换机上的VLAN也可以整体设置为源端口,这意味着被指定VLAN中的所有端口均为当前SPAN任务中的源端口。
Trunk端口可以单独设为源端口,也可以与非Trunk端口一起被设置为源端口,但要注意的是,在监控端口不会识别来自Trunk端口针对不同VLAN的数据封装格式,换句话说,在监控端口收到的数据包将无法辨明是来自哪个VLAN。
SPAN数据流主要分为三类:(1)输入数据流(Ingress SPAN):指被源端口接收进来,其数据副本发送至监控端口的数据流(2)输出数据流(Egress SPAN):指从源端口发送出去,其数据副本发送至监控端口的数据流(3)双向数据流(Both SPAN):即为以上两种的综合。
基于VLAN的SPAN是以一个或几个VLAN作为监控对象,其中的所有端口均为源端口,与基于端口的SPAN类似,基于VLAN的SPAN也分为输入数据流、输出数据流和双向数据流监控三种类型。
在配置基于VLAN的SPAN任务过程中,应注意几点:(1)Trunk端口可以包含在源端口中(2)针对双向SPAN任务,如果在源VLAN中的两个源端口之间有数据交换,则每一个数据包将有两个副本被转发至镜像端口(3)对有多个源VLAN的SPAN任务来说,如果某个源VLAN被删除掉,则该VLAN也将从源VLAN列表中删除(4)处于非激活状态的VLAN无法参与SPAN任务;(5)对于一个设置为输入数据流监控的源VLAN来说,来自其他VLAN的路由信息数据包不会被镜像;此外,从设置为输出数据流监控的VLAN向其他 VLAN 发送出的路由信息数据包也同样不会被镜像。
换句话说,基于VLAN的SPAN任务只对进出二层交换端口的数据包进行镜像,而不镜像VLAN之间的路由信息。
所有网间传输的非路由数据包,包括组播包和BPDU(桥接协议数据单元)包,都可以使用SPAN任务进行镜像。
在一些SPAN任务的配置下,会出现同一个SPAN源端口数据包的多个副本被发送到 SPAN监控端口的情况。
正像前面提到的那样,在一个双向SPAN任务中,假设a1和a2为源端口,d1为目的端口,如果a1与a2之间有数据包传输,则在a1传向a2的数据包将会被传送到d1两次,反之亦然。
镜像端口建立方法Cisco CATALYST交换机端口监听配置Cisco CATALYST交换机分为两种,在CATALYST家族中称侦听端口为分析端口(analysis port)。
1、Catalyst 2900XL/3500XL/2950系列交换机端口监听配置 (基于CLI)以下命令配置端口监听:port monitor例如,F0/1和F0/2、F0/3同属VLAN1,F0/1监听F0/2、F0/3端口:interface FastEthernet0/1port monitor FastEthernet0/2port monitor FastEthernet0/3port monitor VLAN12、Catalyst 4000,5000 and 6000系列交换机端口监听配置 (基于IOS)以下命令配置端口监听:set span例如,模块1中端口1和端口2同属VLAN1,端口3在VLAN2,端口4和5在VLAN2,端口2监听端口1和3、4、5,set span 1/1,1/3-5 1/22950/3550/3750 格式如下:#monitor session number source interface mod_number/port_number both#monitor session number destination interfacemod_mnumber/port_number//rx-->指明是进端口得流量,tx-->出端口得流量 both 进出得流量for example:第一条镜像,将第一模块中的源端口为1-10的镜像到端口12上面;#monitor session 1 source interface 1/1-10 both#monitor session 1 destination interface 1/12第二条镜像,将第二模块中的源端口为13-20的镜像到端口24上面;#monitor session 2 source interface 2/13-20 both#monitor session 2 destination interface 2/24当有多条镜像、多个模块时改变其中的参数即可。
Catalyst 2950 3550不支持port monitorC2950#configure terminalC2950(config)#C2950(config)#monitor session 1 source interface fastEthernet 0/2!--- Interface fa 0/2 is configured as source port.C2950(config)#monitor session 1 destination interface fastEthernet 0/3!--- Interface fa0/3 is configured as destination port.华为交换机端口镜像配置简单介绍『环境配置参数』1. PC1接在交换机E0/1端口,IP地址2. PC2接在交换机E0/2端口,IP地址3. E0/24为交换机上行端口4. Server接在交换机E0/8端口,该端口作为镜像端口『组网需求』1.通过交换机端口镜像的功能使用server对两台pc的业务报文进行监控。