端口镜像(port Mirroring)把交换机一个或多个端口(VLAN)的数据镜像到一个或多个端口的方法。
端口镜像又称端口映射,是网络通信协议的一种方式。
目的
为了方便对一个或多个网络接口的流量进行分析(如 IDS 产品、网络分析仪等),可以通过配置交换机来把一个或多个端口(VLAN)的数据转发到某一个端口来实现对网络的监听,是网络通信协议的一种方式。
功能
监视到进出网络的所有数据包,供安装了监控软件的管理服务器抓取数据,如网吧需提供此功能把数据发往公安部门审查。而企业出于信息安全、保护公司机密的需要,也迫切需要端口镜像
网络中有一个端口能提供这种实时监控功能。在企业中用端口镜像功能,可以很好的对企业内部的网络数据进行监控管理,在网络出现故障的时候,可以做到很好地故障定位。
(备注:交换机把某一个端口接收或发送的数据帧完全相同的复制给另一个端口;其中被复制的端口称为镜像源端口,复制的端口称为镜像目的端口。)
别名
端口镜像通常有以下几种别名:
●Port Mirroring 通常指允许把一个端口的流量复制到另外一个端口,同时这个端口不能再传输数据。
●Monitoring Port 监控端口
●Spanning Port 通常指允许把所有端口的流量复制到另外一个端口,同时这个端口不能再传输数据。
●SPAN port 在 Cisco 产品中,SPAN 通常指 Switch Port ANalyzer。某些交换机的 SPAN 端口不支持传输数据。
●Link Mode port这样,这些流量就可以被一个特殊的设备监控。它对发现和修理故障有很大的帮助。
本地端口镜像
端口镜像,即能将指定端口的数据包复制到本地镜像端口,以进行网络检测和故障
排除。
RSPAN
RSPAN(Remote Switched Port Analyzer ,远程交换端口分析)突破了被镜像端口
和镜像端口必须在同一台交换机上的限制,使被镜像和镜像端口可以跨越网络中的
多个设备,从而方便用户对远程交换机设备进行配置和管理。
端口限速
端口限速就是基于端口的速率限制,它对端口接收或者发送报文的速率进行限制
QoS 规格 相关命令 链接
本地端口
镜像
支持一对多的端口
镜像(即一个镜像
端口,而对被镜像
端口的数量没有限
制)
支持对如下方向的
报文进行监控:
inbound 、
outbound、both
monitor-port
mirroring-port
设置本地端口镜
像
RSPAN
支持对如下方向的
报文进行监控:
inbound 、outbound
mirroring-group group-id
mirroring-port mirroring-port-list
{ inbound | outbound }
mirroring-group group-id
reflector-port reflector-port
mirroring-group group-id { local |
remote-source |
remote-destination }
mirroring-group group-id
remote-probe vlan
remote-probe- vlan-id
设置RSPAN
端口限速
支持端口发送和接
收方向的双向端口
限速,控制粒度最
小为64 Kbit/s
line-rate 设置端口限速
未知组播
报文丢弃
支持 unknown-multicast drop enable
设置未知组播报
文丢弃
端口优先级 priority
方式一:
进入系统视图 system-view -
创建端口镜像组
mirroring-group group-id
local
必选
进入镜像目的端口的以太
网端口视图
interface interface-type
interface-number
-
定义当前端口为镜像目的
端口
monitor-port
必选
镜像目的端口上不能使能
LACP 及STP
退出当前视图 quit -
进入镜像源端口的以太网
端口视图
interface interface-type
interface-number
-
配置镜像源端口,同时指
定被镜像报文的方向
mirroring-port { inbound |
outbound | both }
必选
显示镜像的参数设置
display mirroring-group { all |
local }
可选
display命令可以在任意视图下
执行
方式二:
进入系统视图 system-view -
创建端口镜像组
mirroring-group group-id
local
必选
进入镜像目的端口的以太
网端口视图
interface interface-type
interface-number
-定义当前端口为镜像目的
端口
mirroring-group group-id
monitor-port
必选
镜像目的端口上不能使能
LACP 及STP
退出当前视图 quit -
进入镜像源端口的以太网
端口视图
interface interface-type
interface-number
-
配置镜像源端口,同时指
定被镜像报文的方向
mirroring-group group-id
mirroring-port { both |
inbound | outbound }
必选
显示镜像的参数设置
display mirroring-group { all |
local }
可选
display 命令可以在任意视图
下执行
方式三:
进入系统视图 system-view -
创建端口镜像组 mirroring-group group-id local 必选
配置镜像目的端口
mirroring-group group-id
monitor-port monitor-port
必选
镜像目的端口上不能使能
LACP 及STP
配置镜像源端口,同时指
定被镜像报文的方向
mirroring-group group-id
mirroring-port mirroring-port-list
{ both | inbound | outbound }
必选
显示镜像的参数设置
display mirroring-group { all |
local }
可选
display 命令可以在任意视
图下执行
配置举例
z 镜像源端口为Ethernet1/0/1,对端口接收和发送的报文都进行镜像
z 镜像目的端口为Ethernet1/0/7
配置1:
System View: return to User View with Ctrl+Z.
[Quidway] mirroring-group 1 local
[Quidway] interface Ethernet1/0/7
[Quidway-Ethernet1/0/7] monitor-port
[Quidway-Ethernet1/0/7] quit
[Quidway] interface Ethernet1/0/1
[Quidway-Ethernet1/0/1] mirroring-port both
配置2:
System View: return to User View with Ctrl+Z.
[Quidway] mirroring-group 1 local
[Quidway] interface Ethernet1/0/7
[Quidway-Ethernet1/0/7] mirroring-group 1 monitor-port
[Quidway-Ethernet1/0/7] quit
[Quidway] interface Ethernet1/0/1
[Quidway-Ethernet1/0/1] mirroring-group 1 mirroring-port both
配置3:
System View: return to User View with Ctrl+Z.
[Quidway] mirroring-group 1 local
[Quidway] mirroring-group 1 monitor-port Ethernet1/0/7
[Quidway] mirroring-group 1 mirroring-port Ethernet1/0/1 both
span案例
拓扑图:
sys
sysname pc-a
dis cu
int eth0/0
ip add 192.168.2.4 24
q
q
dis tcp status
pc-b配置:
sys
sysname pc-b
dis cu
int eth0/0
ip add 192.168.2.4 24
q
q
dis tcp status
ping 192.168.2.4
sw3配置:
sys
sysname sw3
mirroring-group 1 remote-source 进来
vlan 10
remote-probe vlan enable 特殊vlan
int e1/0/23
port link-type trunk
port trunk permit vlan 10
q
mirroring-group 1 mirroring-port eth1/0/10 inbound
mirroring-group 1 mirroring-port eth1/0/20 outbound
[sw3]mirroring-group 1 remote-probe vlan 10
sw3]mirroring-group 1 reflector-port e1/0/5 反射端口
dis mirroring-group all
sw2配置:
sys sysname sw2
vlan 10
[sw2-vlan10]remote-probe vlan enable
q
int e1/0/24
port link-type trunk
[sw2-Ethernet1/0/24]port trunk permit vlan 10
int e1/0/23
port link-type trunk
[sw2-Ethernet1/0/23]port trunk permit vlan 10
sw1配置:
-vlan10]remote-probe vlan enable
int e1/0/23
port link-type trunk
[sw1-Ethernet1/0/23]port trunk permit vlan 10
q
mirroring-group 1 remote-destination 设为目的
mirroring-group 1 monitor-port e1/0/24 镜像监控端口
mirroring-group 1 remote-probe vlan 10
流量来自
dis mirroring-group all
使用wireshare抓包
安装相应软件包(过程略)
命令tshark -ni eth0 -R "tcp.port eq23"