端口镜像是怎么实现的
端口镜像是怎么实现的
介绍交换端口分析器(SPAN)功能有时被称为端口镜像或端口监控,该功能可通过网络分析器(例如交换机探测设备或者其它远程监控(RMON)探测器)选择网络流量进行分析。以前,SPAN是Catalyst交换机族较为基本的功能,但最新推出的CatOS有许多增强功能,而且有许多功能是用户现有才开始使用的。本文并不是SPAN功能的又一种配置指南,而是立足于介绍已实施的SPAN的最新功能。本文将对SPAN的一般问题进行回答,例如:SPAN是什么?我如何对它进行配置?有什么不同的功能(尤其是同时进行多个SPAN话路)?需要何种级别的软件来执行这些功能?SPAN是否会影响交换机的性能?开始配置前规则有关详情,请参阅Cisco技术提示规则。SPAN简要介绍SPAN是什么?为什么需要SPAN?在交换机上引入SPAN功能,是因为交换机和集线器有着根本的差异。当集线器在某端口上接收到一个数据包时,它将向除接收该数据包端口之外的其它所有端口发送一份数据包的拷贝。当交换机启动时,它将根据所接收的不同数据包的源MAC地址开始建立第2层转发表。一旦建立该转发表,交换机将把指定了MAC地址的业务直接转发至相关端口。例如,如果您想要截获从主机A发送至主机B的以太网业务,而两台主机是用集线器相连的,那么只要在该集线器上安装一嗅探器,所有端口均可看见主机A和主机B之间的业务:在交换机
中,当知道了主机B的MAC地址之后,从主机A到主机B的单播业务仅被转发至主机B的端口,因此,嗅探器看不见:在这个配置中,嗅探器将仅截获扩散至所有端口的业务,例如广播业务、具有CGMP 或者IGMP侦听禁止的组播业务以及的单播业务。当交换机的CAM 表中没有目的地的MAC时,将发生单播泛滥。它无法理解向何处发送业务,而将数据包大量发送至VLAN中的所有端口。将主机A发送的单播数据包人工复制到嗅探器端口需要一些附加功能来实现。在上面的图表中,与嗅探器相连的端口配置为:对主机A发送的每一个数据包拷贝进行接收。该端口被称为SPAN端口。下文各节将说明如何对该功能进行精确的调节,使其作用不仅仅限于监控端口。SPAN 术语? 入口业务:进入交换机的业务。? 出口业务:离开交换机的业务。? 源(SPAN)端口:用SPAN功能受监控的端口。? 目的地(SPAN)端口:监控源端口的端口,通常连有一个网络分析器。? 监控端口:在Catalyst2900xl/3500xl/2950术语中,监控端口也是目的地SPAN端口。本地SPAN:? 当被监控端口全部位于同一交换机上作为目的地端口时,SPAN功能为本地SPAN功能。这和下文中的远程SPAN形成对比。远程SPAN或者RSPAN:? 作为目的地端口的某些源端口没有位于同一交换机上。这是一项高级功能,要求有专门的VLAN来传送该业务,并由交换机之间的SPAN进行监控。并非所有交换机均支持RSPAN,所以,请检查各自的版本说明或者配置指南,来核实您要进行配置的交换机是否可以使用该功能。? PSPAN:指基于端口的SPAN。用户对交换机指定一个或者数个源
端口以及一个目的地端口。VSPAN:? 指基于VLAN的SPAN。在给定的交换机中,用户可以使用单个命令来选择对属于专门VLAN的所有端口进行监控。ESPAN? ESPAN指SPAN增强版本。该术语在SPAN的发展期间数次用于命名新增功能,因此意义并不很明确。在本文中避免使用该术语。管理源:? 已配置受监控的源端口或者VLAN的列表。操作源:? 受到有效监控的端口列表。这可能和管理源有所不同。例如,在关闭模式下的端口可能在管理源中出现,但它不受到有效监控。[page]所用的组件本文使用CatOS 5.5作为Catalyst 4000、5000以及6000族的参考。在Catalyst 2900XL/3500XL族中使用了Cisco IOS(r)软件版本12.0(5)XU。虽然本文以后会根据SPAN的变化而更新,但有关SPAN功能的最新发展情况,请参阅文档的版本说明。本文中所提供的信息是在从特殊实验室环境下的设备中产生的。本文中所使用的所有设备均以缺省配置启动。如果您是在实际网络中作业,请确保您在使用所有命令之前,已了解这些命令可能产生的影响。.Catalyst 2900XL/3500XL交换机上的SPAN提供的功能及限制Catalyst 2900XL/3500XL中的端口监控功能没有太过扩展,因此比较容易理解。您可以根据需要创建多个本地PSPAN话路。例如,您可以在您选作目的地SPAN端口的端口配置创建PSPAN话路,只需用端口监视命令列出您想监控的源端口即可。在Catalyst 2900XL/3500XL的术语中,监控端口其实是目的地SPAN端口。? 主要限制在于:与给定话路相关的所有端口(无论源端口还是目的地端口)必须属于同一VLAN。.? 如果您没
有在端口监控命令中指定任何接口,则作为接口的所有其它属于同一VLAN的端口将受到监控。以下限制,摘自Catalyst 2900XL/3500XL 的命令参考:ATM端口是唯一无法受到监控的端口。然而您还是可以对ATM端口进行监控。以下限制适用于具有端口监控能力的各个端口:? 快速EthernetChannel或者千兆EthernetChannel 端口群中不能有监控端口。? 因为端口安全性而无法启用监控端口。? 监控端口不可以是多VLAN端口。? 当端口受到监控时,监控端口必须是同一VLAN的成员。对于监控端口以及受到监控的端口,不允许进行VLAN成员的改变。? 监控端口不可以是动态接入端口或者中继端口。但是,静态接入端口可以对中继线上的VLAN、多VLAN或者动态接入端口进行监控。受到监控的VLAN与静态接入端口有关联。? 如果监控器以及受监控端口为受保护端口,端口监控将不起作用。有关功能冲突的补充信息,请参阅下文的链接:? 管理交换机——管理配置冲突—Catalyst 2900XL/3500XL 系列请注意,处于监控状态的端口不执行生成树协议(STP),但端口仍然属于其镜像的端口VLAN。如果端口监控属于某个环路的一部分(例如,当您将其连接至集线器或者网桥,而环接至网络的其它部分时),您可能会以严重的桥接环路状况收尾,因为您不再受到STP的保护。请参阅“为什么我的SPAN话路会产生一个桥接环路?”一节,看一看产生该情况的一个实例。配置实例在本例中,创建了两个并行的SPAN话路。? 端口Fa0/1将对由端口Fa0/2发送、端口Fa0/5接收的业务进行监控。它也将对往返于
管理接口VLAN 1的业务进行监控。? 端口Fa0/4将对端口Fa0/3以及Fa0/6进行监控。端口Fa0/3、Fa0/4以及Fa0/6均在VLAN 2中进行配置;其它端口以及管理接口均在默认的VLAN 1中进行配置。网络图Catalyst 2900XL/3500XL上的配置样本Catalyst 2900XL/3500XL上的配置样本! interface FastEthernet0/1 port monitor FastEthernet0/2 port monitor FastEthernet0/5 port monitor VLAN1 ! interface FastEthernet0/2 ! interface FastEthernet0/3 switchport access vlan 2 ! interface FastEthernet0/4 port monitor FastEthernet0/3 port monitor FastEthernet0/6 switchport access vlan 2 ! interface FastEthernet0/5 ! interface FastEthernet0/6 switchport access vlan 2 ! ! interface VLAN1 ip address 10.200.8.136 255.255.252.0 no ip directed-broadcast no ip route-cache ! 配置步骤说明如果要将端口Fa0/1配置为源端口Fa0/2、Fa0/5以及管理接口的目的端口,请在配置模式中选择接口Fa0/1:? Switch(config)#int fa0/1Enter the list of ports to be monitored:? Switch(config-if)#port monitor fastEthernet 0/2Switch(config-if)#port monitor fastEthernet 0/5然后,这两个端口接收的或者发送的数据包也会被复制到端口Fa0/1。使用另一版本的port monitor 命令对管理接口的监控进行配置:Switch(config-if)#port monitor VLAN 1?注:?/B>上文中的命令并不意味着端口Fa0/1将监控整个VLAN 1。VLAN 1关键字仅指交
换机的管理接口。? 输入以下命令说明在不同VLAN中监控某个端口是不可能的:Switch(config-if)#port monitor fastEthernet? 0/3FastEthernet0/1 and FastEthernet0/3 are in different vlanTo finish the configuration, configure another session, this time using Fa0/4 as a destination SPAN port:Switch(config-if)#int fa0/4?Switch(config-if)#port monitor fastEthernet 0/3Switch(config-if)#port monitor fastEthernet 0/hernet0/4 FastEthernet0/3FastEthernet0/4 FastEthernet0/6注:?/B>Catalyst 2900XL以及3500XL不支持单一接收方向的SPAN(Rx SPAN或者入口SPAN)或者单一发送方向的SPAN(Tx SPAN或者出口SPAN)。所有配置SPAN的受控端口必须既能进行业务接收(Rx)又能进行业务发送(Tx)。华为【3026等交换机镜像】S2008/S2016/S2026/S2403H/S3026等交换机支持的都是基于端口的镜像,有两种方法:方法一1. 配置镜像(观测)端口[SwitchA]monitor-port e0/82. 配置被镜像端口[SwitchA]port mirror Ethernet 0/1 to Ethernet 0/2方法二1. 可以一次性定义镜像和被镜像端口[SwitchA]port mirror Ethernet 0/1 to Ethernet 0/2 observing-port Ethernet 0/8【8016交换机端口镜像配置】1. 假设8016交换机镜像端口为E1/0/15,被镜像端口为E1/0/0,设置端口1/0/15为端口镜像的观测端口。[SwitchA] port monitor ethernet 1/0/152. 设置端口1/0/0为被镜像端口,对其输入输出数据都进行镜像。[SwitchA] port mirroring ethernet 1/0/0 both
ethernet 1/0/15也可以通过两个不同的端口,对输入和输出的数据分别镜像1. 设置E1/0/15和E2/0/0为镜像(观测)端口[SwitchA] port monitor ethernet 1/0/152. 设置端口1/0/0为被镜像端口,分别使用E1/0/15和E2/0/0对输入和输出数据进行镜像。[SwitchA] port mirroring gigabitethernet 1/0/0 ingress ethernet 1/0/15[SwitchA] port mirroring gigabitethernet 1/0/0 egress ethernet 2/0/0『基于流镜像的数据流程』基于流镜像的交换机针对某些流进行镜像,每个连接都有两个方向的数据流,对于交换机来说这两个数据流是要分开镜像的。【3500/3026E/3026F/3050】〖基于三层流的镜像〗1. 定义一条扩展访问控制列表[SwitchA]acl num 1012. 定义一条规则报文源地址为1.1.1.1/32去往所有目的地址[SwitchA-acl-adv-101]rule 0 permit ip source 1.1.1.1 0 destination any3. 定义一条规则报文源地址为所有源地址目的地址为1.1.1.1/32[SwitchA-acl-adv-101]rule 1 permit ip source any destination 1.1.1.1 04. 将符合上述ACL规则的报文镜像到E0/8端口[SwitchA]mirrored-to ip-group 101 interface e0/8〖基于二层流的镜像〗1. 定义一个ACL[SwitchA]acl num 2002. 定义一个规则从E0/1发送至其它所有端口的数据包[SwitchA]rule 0 permit ingress interface Ethernet0/1 (egress interface any)3. 定义一个规则从其它所有端口到E0/1端口的数据包[SwitchA]rule 1 permit (ingress interface any) egress interface Ethernet0/14. 将符合上述ACL的数据包镜像到E0/8[SwitchA]mirrored-to link-group
200 interface e0/8【5516】支持对入端口流量进行镜像配置端口Ethernet 3/0/1为监测端口,对Ethernet 3/0/2端口的入流量镜像。[SwitchA]mirror Ethernet 3/0/2 ingress-to Ethernet 3/0/1【6506/6503/6506R】目前该三款产品只支持对入端口流量进行镜像,虽然有outbount参数,但是无法配置。镜像组名为1,监测端口为Ethernet4/0/2,端口Ethernet4/0/1的入流量被镜像。[SwitchA]mirroring-group 1 inbound Ethernet4/0/1 mirrored-to Ethernet4/0/2
S3300端口镜像配置
1.在S-switch上创建VLAN,把相应接口以Trunk方式加入VLAN # 将接口Ethernet0/0/1和Ethernet0/0/3以Trunk方式加入同一VLAN。(以下配置以接口Ethernet0/0/1为例,同 理配置接口Ethernet0/0/3)
[S-switch] display port-mirroring Observe index 1 is set to interface Ethernet0/0/2 Observe Type: Local Interface Ethernet0/0/1 Mirrored to: Observe index 1 Direction: inbound Observe index 2 is not set to any interface Observe index 3 is not set to any interface Observe index 4 is not set to any interface
交换机端口镜像配置
CISCO、3COM、华为等主流交换机端口镜像配置 各型号交换机端口镜像配置方法和命令 "Port Mirror"即端口镜像,端口镜像为网络传输提供了备份通道。此外,还可以用于进行数据流量监测。可以这样理解:在端口A和端口B之间建立镜像关系,这样,通过端口A传输的数据将同时通过端口B传输,即使端口A处因传输线路等问题造成数据错误,还有端口B处的数据是可用的。 Cisco交换机端口镜像配置,cisco交换机最多支持2组镜像,支持所有端口镜像。默认密码cisco Cisco catylist2820: 有2个菜单选项 先进入menu选项,enable port monitor 进入cli模式, en conf term interface fast0/x 镜像口 port monitor fast0/x 被镜像口 exit wr Cisco catylist2924、2948 Cisco catylist 3524、3548 Switch>En Switch#Conf term Switch(config)#Interface fast mod/port Switch(config-if)#Port monitor mod/port Switch(config-if)#Exit Switch(config)#Wr Cisco catylist 2550 Cisco catylist 3550: 支持2组monitor session en password config term Switch(config)#monitor session 1 destination interface fast0/4(1为session id,id范围为1-2)Switch(config)#monitor session 1 source interface fast0/1 , fast0/2 , fast0/3 (空格,逗号,空格) Switch(config)#exit Switch#copy running-conf startup-conf Switch#show port-monitor Cisco catylist 4000/5000系列Cisco catylist 6000 系列: 支持2组镜像 En Show module (确认端口所在的模块) Set span source(mod/port) destination(mod/port) in|out|both inpkts enable Write tern all Show span 注:多个source:mod/port,mod/port-mod/port 连续端口用横杆“-”,非连续端口用逗号“,”
h3c端口镜像配置及实例
1 配置本地端口镜像 2 1.2.1 配置任务简介 本地端口镜像的配置需要在同一台设备上进行。 首先创建一个本地镜像组,然后为该镜像组配置源端口和目的端口。 表1-1 本地端口镜像配置任务简介 ●一个端口只能加入到一个镜像组。 ●源端口不能再被用作本镜像组或其它镜像组的出端口或目的端口。 3 1.2.2 创建本地镜像组 表1-2 创建本地镜像组 配置源端口目的端口后,本地镜像组才能生效。 4 1.2.3 配置源端口 可以在系统视图下为指定镜像组配置一个或多个源端口,也可以在端口视图下将当前端口配置为指定镜像组的源端口,二者的配置效果相同。 1. 在系统视图下配置源端口 表1-3 在系统视图下配置源端口
2. 在端口视图下配置源端口 表1-4 在端口视图下配置源端口 一个镜像组内可以配置多个源端口。 5 1.2.4 配置源CPU 表1-5 配置源CPU 一个镜像组内可以配置多个源CPU。 6 1.2.5 配置目的端口 可以在系统视图下为指定镜像组配置目的端口,也可以在端口视图下将当前端口配置为指定镜像组的目的端口,二者的配置效果相同。
1. 在系统视图下配置目的端口 表1-6 在系统视图下配置目的端口 2. 在端口视图下配置目的端口 表1-7 在端口视图下配置目的端口 ●一个镜像组内只能配置一个目的端口。 ●请不要在目的端口上使能STP、MSTP和RSTP,否则会影响镜像功能的正常使 用。 ●目的端口收到的报文包括复制自源端口的报文和来自其它端口的正常转发报文。 为了保证数据监测设备只对源端口的报文进行分析,请将目的端口只用于端口镜 像,不作其它用途。 ●镜像组的目的端口不能配置为已经接入RRPP环的端口。 7 1.3 配置二层远程端口镜像 8 1.3.1 配置任务简介 二层远程端口镜像的配置需要分别在源设备和目的设备上进行。 ●一个端口只能加入到一个镜像组。 ●源端口不能再被用作本镜像组或其它镜像组的出端口或目的端口。 ●如果用户在设备上启用了GVRP(GARP VLAN Registration Protocol,GARP VLAN注册协议)功能,GVRP可能将远程镜像VLAN注册到不希望的端口上, 此时在目的端口就会收到很多不必要的报文。有关GVRP的详细介绍,请参见“配 置指导/03-接入/GVRP配置”。
防火墙公网IP设置及端口映射方法
(一)防火墙初始配置 1.导入证书 打开目录“Admin Cert”,双击“SecGateAdmin.p12”,进行安装,密码是“123456”; 2.将电脑的网线与防火墙的WAN口相连,打开防火墙电源。 3.设置好电脑的IP地址为“10.50.10.44”后,用IE打开地址:https://10.50.10.45:8889。 输入用户名和密码进入管理界面。 防火墙的W AN口默认的IP是“10.50.10.45”, 防火墙默认的管理主机IP是:“10.50.10.44” 进入防火墙WEB界面用户名和密码是:“admin”-“firewall” 进入地址是:https://10.50.10.45:8889 4.导入“license许可证文件” 系统配置---升级许可,点如下图中的浏览 ,然后找到与防火墙相对应的lns许可文件,然后再“导入许可证”,导入许可文件后才能进行防火墙的管理。 5.增加管理主机(或改成“管理主机不受限制”) 管理配置—管理主机,增加管理主机的IP地址,或直接在“管理主机不受限制” 上打勾。记得“保存配置”。 6.增加LAN的接口地址:网络配置---接口IP,增加LAN的IP地址为:192.168.11.254, 子网掩码为:255.255.255.0 7.将硬盘录像机的IP改为”192.168.11.250”,子网掩码:”255.255.255.0”,网 关:”192.168.11.254” 8.记得在最上方点击”保存配置”,这样才会在重启后也生效。
(二)防火墙公网地址配置方法: 1.配置公网IP 网络配置---接口IP,增加WAN的IP地址为公网地址,子网掩码为电信或联通提供的子网掩码。 2.配置默认网关 网络配置---策略路由,点“添加”,然后选“路由”,只用在地址框里输入网关地址即可。 3.保存配置。
各种路由器设置端口映射
各种路由器,内网映射外网大全 2009-04-04 18:06 各种ADSL MODEM端口影射 端口映射技术是建站过程中一项关键技术,本次我们通过在论坛征集来自众多建站高手提供的各种不同品牌ADSL MODEM端口映射设置方法和相关应用参数介绍。整理成一份完整的文档资料供更多需要建站的用户参考。在此特别鸣谢提供资料及信息的朋友们! 什么情况下需要做端口映射? 如果网络情况是下面这样的: internet<--->adsl router<--->hub<--->web server internet<--->adsl modem<--->gateway<--->hub<--->web server 那么internet用户想浏览你的web server,80的请求只能到adsl router或gateway,就过不去了。你就要做一个转发,让80请求到adsl router或gateway 后,达到web server,那web server才有可能回应,并返回给你正确内容。这就是端口转发,也叫端口映射。 以下为部分路由器基于Web管理界面的访问地址: 1. DLINK出厂定义的路由器地址是19 2.168.0.1 2. Linksys出厂定义的路由器地址是192.168.1.1 3. 3com出厂定义的路由器地址是192.168.2.1 4. 微软出厂定义的路由器地址是192.168.2.1 5. Netgear出厂定义的路由器地址是192.168.1.1 6. asus出厂定义的路由器地址是192.168.1.1 上面几个是厂家定义地址,如果是带有猫的路由,地址不一定一样。不同厂商的产品也有可能有些差别。例如speedtouch的出厂定义是10.0.0.138,更多型号设备管理界面访问地址,用户可参考产品说明书或者登陆相关产品官方网站了解。 以下为在本介绍文档中出现的设备:TP-LINK TD-8800 TP-Link TD8830 TP-LINK TL-R410 Cyrix686 D-Link DI-704P D-Link DSL-500 阿尔卡特(ALCATEL) S6307KH 合勤 642R GREENNET 1500c 腾达(TENDA)TED 8620
华为交换机端口镜像配置举例
华为交换机端口镜像配置举例 配置实例 文章出处:https://www.360docs.net/doc/847428904.html, 端口镜像是将指定端口的报文复制到镜像目的端口,镜像目的端口会接入数据监测设备,用户利用这些设备分析目的端口接收到的报文,进行网络监控和故障排除。本文介绍一个在华为交换机上通过配置端口镜像实现对数据监测的应用案例,详细的组网结构及配置步骤请查看以下内容。 某公司内部通过交换机实现各部门之间的互连,网络环境描述如下: 1)研发部通过端口Ethernet 1/0/1接入Switch C;λ 2)市场部通过端口Ethernet 1/0/2接入Switch C;λ 3)数据监测设备连接在Switch C的Ethernet 1/0/3端口上。λ 网络管理员希望通过数据监测设备对研发部和市场部收发的报文进行监控。 使用本地端口镜像功能实现该需求,在Switch C上进行如下配置: 1)端口Ethernet 1/0/1和Ethernet 1/0/2为镜像源端口;λ 2)连接数据监测设备的端口Ethernet 1/0/3为镜像目的端口。λ 配置步骤 配置Switch C: # 创建本地镜像组。
小米路由器端口映射该怎么设置才好
小米路由器端口映射该怎么设置才好 路由器系统构成了基于TCP/IP 的国际互联网络Internet 的主体脉络,也可以说,路由器构成了Internet的骨架。小米路由器上不了网,该怎么设置,在网上说要设置端口映射,但是不知道怎么设置,于是在学着设置的时候写了这篇文章,需要的朋友可以参考下 方法步骤 1、打开小米路由器的登陆界面,地址可以查看小米路由器背面的贴标。 2、查看IP地址:登陆进去之后,找到网络高级设置查看网络结构。一般就一级 3、找到上网设置---上网信息。查看公网地址是固定的还是动态的(动态的要借助花生壳做解析)
4、端口映射:点击高级设置---端口转发。添加规则开始设置映射 5、添加如图,端口信息和映射的端口(一般是11对应) 6、依次添加端口映射,比如邮件常见是25 110 143等端口。可以点击删除进行删除配置 7、应用规则:特别要注意提醒一下,设置好端口转发规则或者修改。都要点击一下【应用规则】 8、配置好端口映射之后,可以通过telnet或者站长工具扫描端口查看是否正常 相关阅读:路由器安全特性关键点 由于路由器是网络中比较关键的设备,针对网络存在的各种安全隐患,路由器必须具有如下的安全特性: (1)可靠性与线路安全可靠性要求是针对故障恢复和负载能力而提出来的。对于路由器来说,可靠性主要体现在接口故障和网络流量增大两种情况下,为此,备份是路由器不可或缺的手段之一。
当主接口出现故障时,备份接口自动投入工作,保证网络的正常运行。当网络流量增大时,备份接口又可承当负载分担的任务。 (2)身份认证路由器中的身份认证主要包括访问路由器时的身份认证、对端路由器的身份认证和路由信息的身份认证。 (3)访问控制对于路由器的访问控制,需要进行口令的分级保护。有基于IP地址的访问控制和基于用户的访问控制。 (4)信息隐藏与对端通信时,不一定需要用真实身份进行通信。通过地址转换,可以做到隐藏网内地址,只以公共地址的方式访问外部网络。除了由内部网络首先发起的连接,网外用户不能通过地址转换直接访问网内资源。 (5)数据加密 为了避免因为数据窃听而造成的信息泄漏,有必要对所传输的信息进行加密,只有与之通信的对端才能对此密文进行解密。通过对路由器所发送的报文进行加密,即使在Internet上进行传输,也能保证数据的私有性、完整性以及报文内容的真实性。 (6)攻击探测和防范
H3C各种型号交换机端口镜像配置方法总结
H3C各种型号交换机端口镜像配置方法总结 一、端口镜像概念: Port Mirror(端口镜像)是用于进行网络性能监测。可以这样理解:在端口A 和端口B 之间建立镜像关系,这样,通过端口A 传输的数据将同时复制到端口B ,以便于在端口B 上连接的分析仪或者分析软件进行性能分析或故障判断。 二、端口镜像配置 『环境配置参数』 1. PC1接在交换机E0/1端口,IP地址1.1.1.1/24 2. PC2接在交换机E0/2端口,IP地址2.2.2.2/24 3. E0/24为交换机上行端口 4. Server接在交换机E0/8端口,该端口作为镜像端口 『组网需求』 1. 通过交换机端口镜像的功能使用server对两台pc的业务报文进行监控。 2. 按照镜像的不同方式进行配置: 1) 基于端口的镜像 2) 基于流的镜像 2 数据配置步骤 『端口镜像的数据流程』 基于端口的镜像是把被镜像端口的进出数据报文完全拷贝一份到镜像端口,这样来进行流量
观测或者故障定位。 【3026等交换机镜像】 S2008/S2016/S2026/S2403H/S3026等交换机支持的都是基于端口的镜像,有两种方法: 方法一 1. 配置镜像(观测)端口 [SwitchA]monitor-port e0/8 2. 配置被镜像端口 [SwitchA]port mirror Ethernet 0/1 to Ethernet 0/2 方法二 1. 可以一次性定义镜像和被镜像端口 [SwitchA]port mirror Ethernet 0/1 to Ethernet 0/2 observing-port Ethernet 0/8 【8016交换机端口镜像配置】 1. 假设8016交换机镜像端口为E1/0/15,被镜像端口为E1/0/0,设置端口1/0/15为端口镜像的观测端口。 [SwitchA] port monitor ethernet 1/0/15 2. 设置端口1/0/0为被镜像端口,对其输入输出数据都进行镜像。 [SwitchA] port mirroring ethernet 1/0/0 both ethernet 1/0/15
如何使用端口映射功能与 DMZ 主机设置
如何使用端口映射功能与 DMZ 主机设置 端口映射/触发 i. 当您希望向internet提供某些服务时,如FTP,IIS,POP3,将会用到端口映射。 ii. 若您是通过ADSL连接到internet的,某些应用在直接用电脑拨号时可以正常使用,如在线播放、网络游戏、财经软件等,而使用路由器后发现无法使用了,某些情形下,端口映射/触发也能解决。 您可以先咨询这些应用程序的开发商,让他们提供应用程序所使用的端口,然后在路由器上设置 相应端口的映射/触发。 『注』 ?设置端口映射即是使电脑的端口向internet开放,开放的端口越多,承担的安全风险越大,所以应当在有必要使用时才使用。 ?WGR614v5/WGR614v6可以设置20个端口映射服务,一般来说,这对于SOHO用户已足够了。 下面将以WGR614v5为例来陈述,且局域网网段没有使用WGR614v5的默认设置192.168.1.0,而是使用的192.168.6.0网段。 1. 登录路由器管理界面,找到并点击左边功能菜单中的端口映射/端口触发: 2. 此页面默认已选择了“端口映射”,在“服务名称”中列出了一些常用的服务,但下面我们以 建立一个此列表中没有的服务为例。点击页面下方的”添加自定义服务”:
3. 以eMule为例。当在局域网中使用eMule时,通常只能获得LowID,通过端口映射后即 可获得HighID了。在“服务名称”中添加您为此服务的命名,此处我们将其命名为eMule,“服务类型”选择TCP(或者TCP/UDP): 4. “起始端口”和“结束端口”都设置为eMule所使用的端口,如在eMule-0.46c-VeryCD0913 中,默认使用的TCP端口是4662,此参数是在eMule的选项→连接→客户端口中定义的:
S5560-G设备多出口端口镜像配置操作变更
目前设备运行版本号 型号S5560-EI-G,软件版本version 7.1.070, Release 2612P01 镜像性能提升,操作命令有所变更。存在问题,镜像配置不支持反射端口:mirroring-group 1 reflector-port gigabitethernet 1/0/5 正常反射端口配置如下: 利用远程镜像VLAN实现本地镜像支持多个目的端口典型配置举例 1. 组网需求 三个部门A、B、C分别使用GigabitEthernet1/0/1~GigabitEthernet1/0/3端口接入DeviceA,现要求通过镜像功能,使三台数据检测设备ServerA、ServerB、 ServerC都能够对三个部门发送和接收的报文进行镜像。 2. 组网图 图1-5 利用远程镜像VLAN实现本地镜像支持多个目的端口组网图 3. 配置步骤 # 创建远程源镜像组1。
# 将设备上任意未使用的端口(此处以GigabitEthernet1/0/5为例)配置为镜像组1的反射口。 [DeviceA] mirroring-group 1 reflector-port gigabitethernet 1/0/5 # 创建VLAN10作为镜像组1的远程镜像VLAN,并将接入三台数据检测设备的端口加入VLAN10。 [DeviceA] vlan 10 [DeviceA-vlan10] port gigabitethernet 1/0/11 to gigabitethernet 1/0/13 [DeviceA-vlan10] quit # 配置VLAN10作为镜像组1的远程镜像VLAN。 [DeviceA] mirroring-group 1 remote-probe vlan 10 新版本不支持反射端口,用以下办法解决 采用本地镜像+vlan方式实现。具体原理及配置参考下面: 配置方法: 外接交换机 #将端口5、6、7、8、9加入VLAN2 [H3C-vlan2]port gigabitethernet 1/0/5 to port gigabitethernet 1/0/9 #禁止vlan2内的端口学习MAC地址 [H3C-vlan2]undo mac-address mac-learning enable [H3C- gigabitethernet 1/0/5]mac-address max-mac-count 0 #创建本地镜像组 [H3C] mirroring-group 1 local # 为本地镜像组配置源端口和目的端口。 [H3C]mirroring-group 1 mirroring-port gigabitethernet 1/0/1 to gigabitethernet 1/0/3 both [H3C]mirroring-group 1 monitor-port gigabitethernet 1/0/4
端口镜像典型配置举例
端口镜像典型配置举例 1.5.1 本地端口镜像配置举例 1. 组网需求 某公司内部通过交换机实现各部门之间的互连,网络环境描述如下: ●研发部通过端口GigabitEthernet 1/0/1接入Switch C; ●市场部通过端口GigabitEthernet 1/0/2接入Switch C; ●数据监测设备连接在Switch C的GigabitEthernet 1/0/3端口上。 网络管理员希望通过数据监测设备对研发部和市场部收发的报文进行监控。 使用本地端口镜像功能实现该需求,在Switch C上进行如下配置: ●端口GigabitEthernet 1/0/1和GigabitEthernet 1/0/2为镜像源端口; ●连接数据监测设备的端口GigabitEthernet 1/0/3为镜像目的端口。 2. 组网图 图1-3 配置本地端口镜像组网图 3. 配置步骤 配置Switch C: # 创建本地镜像组。
防火墙怎么做端口映射
防火墙怎么做端口映射 出差订酒店就用趣出差,单单有返现,关注微信小程序或下载APP立即领取100元返现红包 防火墙做端口映射是怎么样的呢,.那么防火墙又是怎么做端口映射的?下面是我收集整理的,希望对大家有帮助~~ 防火墙做端口映射的方法 工具/原料 路由器 方法/步骤 知道要供给外网访问的端口号 做了某某游戏服务器、网站、监控或财务软件主机等以下把这台电脑称为主机,这些如果要访问都需要开放端口号。首先你要清楚知道软件要开放哪些端口号? 举例:如建了个网站默认需要开放80端口,由于80端口一般被宽带提供商屏蔽了,所以要到iis换个端口号如8282如图。 注,如果不知道端口号,可以做DMZ主机。DMZ主机相当于把整台主机暴露在网络上,端口映射只是开通一条通道。
固定主机的IP地址 如图192.168.1.88 IP地址要改为不属于DHCP分配地址范围没并且和网内其他联网设置的IP 一样,防止冲突。 如果不会可参见下方链接。 1如何固定手机电脑IP 关闭主机防火墙或在防火墙添加须开放端口 打开控制面板--windows防火墙--设置关闭防火墙 注,防火墙添加须开放端口适合高手使用,新手建议关闭也方便后续排查错误。 路由器做端口映射 一般在转发规则下的虚拟服务器,点击添加条目,输入需要开放的端口和对应的的主机ip,协议可选TCP或UDP,保存。需开放多个端口可继续添加。 注,不通路由器叫法,位置都可能不一样,原理一样。 如果有主机接在下级路由器参考下方链接设置。 如果不知道端口号,可以做DMZ主机。DMZ设置就比较简单,只要输入要开放主机的内网IP即可。建议做端口映射。
H3C交换机端口镜像配置命令
端口镜像配置命令 1.1 端口镜像配置命令 1.1.1 display mirroring-group 【命令】 display mirroring-group { group-id| all | local | remote-destination | remote-source } 【视图】 任意视图 【参数】 group-id:端口镜像组的组号,取值范围为1~2。 all:所有镜像组。 local:本地镜像组。 remote-destination:远程目的镜像组。 remote-source:远程源镜像组。 【描述】 display mirroring-group命令用来显示端口镜像组的信息。 不同的镜像组类型,其显示内容不同。设备将按照镜像组号的顺序进行显示。【举例】 # 显示所有镜像组的信息。
monitor port: Ethernet1/0/3 mirroring-group 2: type: remote-source status: inactive mirroring port: Ethernet1/0/4 inbound reflector port: remote-probe vlan: 1900 表1-1 display mirroring-group命令显示信息描述表 1.1.2 mirroring-group 【命令】 mirroring-group group-id{ local | remote-source | remote-destination } undo mirroring-group{ group-id|local | remote-source|remote-destination | all } 【视图】 系统视图 【参数】 group-id:端口镜像组的组号,取值范围为1~2。
端口镜像配置
的需要,也迫切需要
例如,模块1中端口1和端口2同属VLAN1,端口3在VLAN2,端口4和5在VLAN2,端口2监听端口1和3、4、5, set span 1/1,1/3-5 1/2 2950/3550/3750 格式如下: #monitor session number source interface mod_number/port_number both #monitor session number destination interface mod_mnumber/port_number //rx-->指明是进端口得流量,tx-->出端口得流量 both 进出得流量 for example: 第一条镜像,将第一模块中的源端口为1-10的镜像到端口12上面; #monitor session 1 source interface 1/1-10 both #monitor session 1 destination interface 1/12 第二条镜像,将第二模块中的源端口为13-20的镜像到端口24上面; #monitor session 2 source interface 2/13-20 both #monitor session 2 destination interface 2/24 当有多条镜像、多个模块时改变其中的参数即可。 Catalyst 2950 3550不支持port monitor C2950#configure terminal C2950(config)# C2950(config)#monitor session 1 source interface fastEthernet 0/2 !--- Interface fa 0/2 is configured as source port. C2950(config)#monitor session 1 destination interface fastEthernet 0/3 !--- Interface fa0/3 is configured as destination port. 4配置命令 1. 指定分析口 feature rovingAnalysis add,或缩写 f r a, 例如: Select menu option: feature rovingAn alysis add Select analysis slot: 1?& nbsp; Select analysis port: 2 2. 指定监听口并启动端口监听 feature rovingAnalysis start,或缩写 f r sta, 例如: Select menu option: feature rovingAn alysis start Select slot to monitor ?(1-12): 1 Select port to monitor&nb sp;?(1-8): 3
端口映射详解
端口映射详解 一、端口映射的定义 端口映射又称端口转发。端口映射过程就如同你家在一个小区里B栋2410室,你朋友来找你,找到小区门口,不知道你住哪层哪号?就问守门的保安,保安很客气的告诉了他你家详细门牌号,这样你朋友很轻松的找到了你家。这个过程就是外网访问内网通过端口映射的形象说法。 二、为什么要进行端口映射 目前的网络接入主要有2种: 1.ADSL连接猫再直接连接主机,这种情况主机是直接进行ADSL宽带拨号,连接上网通过运行CMD执行ipconfig /all命令可以查看到,PPP拨号连接所获取到得是一个公网IP 地址,这种类型的网络是不需要做端口映射的(如下图所示) 2.ADSL通过路由器来进行拨号,主机通过路由器来进行共享上网,这种情况下主机获
取到得通常会是一个192.168.x.x类型的私有内网IP地址,这类情况下,是需要在路由器做端口映射,转发端口到对应的服务器上; 三、端口映射的设置方法 常见端口列表: 要进行端口映射,首先需要了解清楚服务程序所需要映射的端口是多少 以下列举了部分服务需要映射的默认服务端口号 turbomail邮件服务 SMTP TCP25 POP3 TCP110 turbomail (webmail)服务 HTTP 8080 以下讲解几款市面主流品牌路由器的端口映射 1)Tp-link R460+ 1、内网192.168.1.21是TurboMail服务器,TP-LINK系列路由器的默认管理地址为192.168.0.1,账号admin密码admin 登录到路由器的管理界面,点击路由器的转发规则—虚拟服务器—添加新条目(如图)。
常用镜像配置
常用交换机镜像设置 以下一些典型交换机的监听口的配置方法,供用户参考,更多信息应当参考具体的交换机的使用配置手册。 a) Cisco 交换机端口监听配置 Catalyst 4506 系列交换机端口监听配置 1) 以下命令配置端口监听: monitor session 例如,Gi0/2-Gi0/5 同属VLAN1,Gi0/1 监听Gi0/2-Gi0/5 的端口: monitor session source interface Gi0/2 -5 both monitor session destination interface Gi0/1 2) 以下命令禁止端口监听: no monitor session 3) 以下命令用来显示镜像组: show monitor session b) Cisco nexus系列交换机(N7K端口监听配置 Switchport Analyzer (SPAN):SPAN 可被用于给源端口到目的端口的流量做一个 镜象流量,以便提供给数据包分析器或对住机的具体应用和故障排除分析器进行管理。 A SPAN 的目标接口需要配置成switchport monitor 接口,同时进程应处于active 状态。 1. 配置目标SPAN 接口: n7000(config)# interface ethernet 2/14 n7000(config-if)# switchport n7000(config-if)# switchport monitor (配置目标monitor 接口) 2. 端口镜像配置: n7000(config)# monitor session 1 n7000(config-monitor)# description Inbound(rx)/both SPAN on Eth 2/13 n7000(config-monitor)# source interface ethernet 2/13 rx/both( 配置源monitor 接口)
tp,link怎么设置端口映射
tp,link 怎么设置端口映射 篇一:Tp-link TL-WR841N 无线路由器端口映射到外网如何设置? 这里针对 TP-LINK 的无线路由器进行演示如何设置端口映射和访问控制,演示使用的具 体型号是 TP-LINK TL-WR841N 3G 无线路由器如何设置端口映射。 什么是端口映射? 端口映射又称端口转发,有的又称之为 NAT、虚拟服务器。端口映射过程就如同您家在 一个小区里 B 栋 2410 室,你朋友来找你,找到小区门口,不知道你住哪层哪号?就问守门的 保安,保安很客气的告诉了他您家详细门牌号码,这样你朋友很轻松的找到了你家。这个过程 就是外网访问内网通过端口映射的形象说法。 如我在内网架设了一台 WEB 服务器,对应的内 网 IP 为 192.168.1.101 是 WEB 服务器, TP-LINK 系列路由器的默认管理地址为 http://192.168.0.1, 账号 admin 密码 admin 登录到路由器的管理界面,点击路由器的转发规则—虚拟服务器—添 加新条目, 端口映射的功能是用的比较多的, 比如可以使用端口映射的功能将内网的 WEB 服务器发 布到互联网上。 要实现这种功能, 首先登入无线路由器管理界面, 找到“转发规则-虚拟服务器”, 然后在右侧点击“添加新条目”来添加一条新的映射。 一般的步骤是添加一条端口映射规则 服务端口号:就是在无线路由器 WAN 口上打开的端口,这里以 HTTP 服务的 80 端口为 例。 IP 地址:是指映射到内网的主机 IP。 协议:可以选择 TCP 或者 UDP,如果你不知道是哪个,就选择 ALL。 状态:可以选择生效或者失效,默认是生效。 常用服务端口号: 可以选择常用的服务, 然后在服务端口号和协议的地方就会自动填写。 可以参阅 WINDOWS 下常用的服务以及对应的端口这篇文章来了解常用服务与对应的端口号。 设置完成之后,点击保存,一条端口映射的设置就算完成了,如下图所示: 以下讲解几 款市面主流品牌路由器的端口映射: 1)Tp-link 路由器(以 Tp-link R460 为例) 内 网 IP : 192.168.1.101 是 WEB 服 务 器 , TP-LINK 系 列 路 由 器 的 默 认 管 理 地 址 为 http://192.168.0.1,账号 admin 密码 admin 登录到路由器的管理界面,点击路由器的转发规则 —虚拟服务器—添加新条目,如图 3: 端口映射设置如下:服务端口号填写 80,如果填写为 80-82 则代表映射 80、81、82 端 口,IP 地址填写内网 WEB 服务器的 IP 地址 192.168.1.101,协议设置为 TCP,若对端口协议类型 不了解可以设置选择为 ALL,代表所有(包括 TCP 和 UDP),状态必须设置为生效。 注意:常用服务端口号,是作为一种帮助提示的作用,不需要选择,然后单击保存,映射 成功,如图 4: 2)D-link 路由器(以 D-LINK DI624+A 为例) 1 / 7
H3C交换机配置端口镜像
要求:将端口23的数据被端口10监控的到,也就是说23口是被镜像,端口10是镜像端口! 配置步骤: 1:登录到交换机(这里我们采用telnet方式) 2:输入密码 3:显示现实系统信息
端口镜像是怎么实现的
端口镜像是怎么实现的 介绍交换端口分析器(SPAN)功能有时被称为端口镜像或端口监控,该功能可通过网络分析器(例如交换机探测设备或者其它远程监控(RMON)探测器)选择网络流量进行分析。以前,SPAN是Catalyst交换机族较为基本的功能,但最新推出的CatOS有许多增强功能,而且有许多功能是用户现有才开始使用的。本文并不是 SPAN功能的又一种配置指南,而是立足于介绍已实施的SPAN的最新功能。本文将对SPAN的一般问题进行回答,例如:SPAN是什么?我如何对它进行配置?有什么不同的功能(尤其是同时进行多个SPAN话路)?需要何种级别的软件来执行这些功能?SPAN是否会影响交换机的性能?开始配置前规则有关详情,请参阅Cisco技术提示规则。SPAN简要介绍SPAN是什么?为什么需要SPAN?在交换机上引入SPAN功能,是因为交换机和集线器有着根本的差异。当集线器在某端口上接收到一个数据包时,它将向除接收该数据包端口之外的其它所有端口发送一份数据包的拷贝。当交换机启动时,它将根据所接收的不同数据包的源MAC地址开始建立第2层转发表。一旦建立该转发表,交换机将把指定了MAC地址的业务直接转发至相关端口。例如,如果您想要截获从主机A发送至主机B的以太网业务,而两台主机是用集线器相连的,那么只要在该集线器上安装一嗅探器,所有端口均可看见主机A和主机B之间的业务:在交换机
中,当知道了主机B的MAC地址之后,从主机A到主机B的单播业务仅被转发至主机B的端口,因此,嗅探器看不见:在这个配置中,嗅探器将仅截获扩散至所有端口的业务,例如广播业务、具有CGMP 或者IGMP侦听禁止的组播业务以及的单播业务。当交换机的CAM 表中没有目的地的MAC时,将发生单播泛滥。它无法理解向何处发 送业务,而将数据包大量发送至VLAN中的所有端口。将主机A发送的单播数据包人工复制到嗅探器端口需要一些附加功能来实现。在上面的图表中,与嗅探器相连的端口配置为:对主机A发送的每一个数据包拷贝进行接收。该端口被称为SPAN端口。下文各节将说明如何对该功能进行精确的调节,使其作用不仅仅限于监控端口。SPAN 术语? 入口业务:进入交换机的业务。? 出口业务:离开交换机的业务。? 源(SPAN)端口:用SPAN功能受监控的端口。? 目的地(SPAN)端口:监控源端口的端口,通常连有一个网络分析器。? 监控端口:在Catalyst2900xl/3500xl/2950术语中,监控端口也是目的地SPAN端口。本地SPAN:? 当被监控端口全部位于同一交换机上作为目的地端口时,SPAN功能为本地SPAN功能。这和下文中的远程SPAN形成对比。远程SPAN或者RSPAN:? 作为目的地端口的某些源端口没有位于同一交换机上。这是一项高级功能,要求有专门的VLAN来传送该业务,并由交换机之间的SPAN进行监控。并非所有交换机均支持RSPAN,所以,请检查各自的版本说明 或者配置指南,来核实您要进行配置的交换机是否可以使用该功能。? PSPAN:指基于端口的SPAN。用户对交换机指定一个或者数个源