端口镜像在网络安全中的应用
端口镜像在网络安全中的应用
本地端口镜像(span)
Span :镜像端口必须与被镜像端口在同一交换机上。
配置准备
1:确定了镜像源端口,被监控的端口
2:确定被镜像报文的方向:inbound表示仅对流入端口的报文进行镜像,outbound表示仅对流出端口的报文进行镜像,both表示同时对端口流入和流出的报文进行镜像
3:确定了镜像目的端口,处于监控状态的端口
配置过程
进入系统视图
system-view
-
创建端口镜像组
mirroring-group group-id local
必选
进入镜像目的端口的以太网端口视图
interface eth
-
定义当前端口为镜像目的端口
monitor-port
必选
镜像目的端口上不能使能LACP及STP
退出当前视图
quit
-
进入镜像源端口的以太网端口视图
interface eth
-
配置镜像源端口,同时指定被镜像报文的方向
mirroring-port { inbound | outbound | both }
必选
显示镜像的参数设置
display mirroring-group { all | local }
可选
display命令可以在任意视图下执行
远程端口镜像(rspan)
RSPAN(Remote Switched Port Analyzer,远程交换端口分析),即远程端口镜像,突破了被镜像端口和镜像端口必须在同一台交换机上的限制,使被镜像端口和镜像端口可以跨越网络中的多个设备,从而方便网管人员对远程交换机设备进行管理。
实现了RSPAN功能的交换机分为三种:
源交换机:被监测的端口所在的交换机,负责将需要镜像的流量在Remote-probe VLAN上做二层转发,转发给中间交换机或目的交换机。
.中间交换机:网络中处于源交换机和目的交换机之间的交换机,通过Remote-probe VLAN把镜像流量传输给下一个中间交换机或目的交换机。如果源交换机与目的交换机直接相连,则不存在中间交换机。
.目的交换机:远程镜像目的端口所在的交换机,将从Remote-probe VLAN接收到的镜像流量通过镜像目的端口转发给监控设备。
各个交换机上的端口:
源交换机:
源端口(Source Port)
被监测的用户端口,通过本地端口镜像把用户数据报文复制到指定的反射端口(Reflector port)。源端口可以有多个。
反射端口(Reflector port)
接收本地端口镜像的用户数据报文
Trunk端口
将镜像报文发送到中间交换机或者目的交换机
中间交换机:
Trunk端口
将镜像报文发送到目的交换机
中间交换机上要配置两个Trunk端口,和两侧的设备相连
目的交换机:
Trunk端口
接收远程镜像报文
镜像目的端口(Destination port)
远程镜像报文的监控端口
为了实现远程端口镜像功能,需要定义一个特殊的VLAN,称之为Remote-probe VLAN。所有被镜像的报文通过该VLAN从源交换机传递到目的交换机的镜像端口,实现在目的交换机上对源交换机的远程端口的报文进行监控的功能。Remote-probe VLAN具有以下特点:
建议将该VLAN中的设备互连端口都配置为Trunk端口;
不能将缺省VLAN、管理VLAN设置成Remote-probe VLAN;
需要通过配置保证Remote-probe VLAN从源交换机到目的交换机的二层互通性;
交换机作为中间设备或者目的设备的时候,不能支持双向(both)镜像。
配置过程:
1:远端交换机:
进入系统视图
system-view
创建Remote-probe VLAN,并进入VLAN视图
vlan vlan-id
定义当前VLAN为Remote-probe VLAN
remote-probe vlan enable
退出当前视图
quit
进入与中间交换机或目的交换机相连的端口视图
interface eth
配置当前端口类型为Trunk
port link-type trunk
配置TRUNK端口允许Remote-probe VLAN的报文通过
port trunk permit vlan remote-probe-vlan-id
退出当前视图
quit
配置远程源镜像组
mirroring-group group-id remote-source
配置远程镜像源端口
mirroring-group group-id mirroring-port mirroring-port-list { inbound | outbound }
配置远程反射端口
mirroring-group group-id reflector-port reflector-port
配置远程源镜像组的remote-probe VLAN
mirroring-group group-id remote-probe vlan vlan-id
必选
显示远程源镜像组配置
display mirroring-group remote-source
:2:中间交换机:
进入系统视图
system-view
-
创建Remote-probe VLAN,并进入VLAN视图
vlan vlan-id
vlan-id为Remote-probe VLAN的ID
定义当前VLAN为Remote-probe VLAN
remote-probe vlan enable
退出当前视图
quit
进入与源交换机或、目的交换机或其他中间交换机相连的端口视图
interface eth
配置当前端口类型为Trunk
port link-type trunk
配置TRUNK端口允许Remote-probe VLAN的报文通过
port trunk permit vlanvlan-id
:3:目的交换机:
进入系统视图
system-view
创建Remote-probe VLAN,并进入VLAN视图
vlan vlan-id
vlan-id为Remote-probe VLAN的ID
定义当前VLAN为Remote-probe VLAN
remote-probe vlan enable
退出当前视图
quit
进入与源交换机或中间交换机相连的端口视图
interface eth
配置当前端口类型为Trunk
port link-type trunk
配置TRUNK端口允许Remote-probe VLAN的报文通过
port trunk permit vlan vlan-id
退出当前视图
quit
配置远程目的镜像组
mirroring-group group-id remote-destination
配置远程镜像目的端口
mirroring-group group-id monitor-port monitor-port
配置远程目的镜像组的remote-probe VLAN
mirroring-group group-id remote-probe vlan-id
显示远程目的镜像组配置
display mirroring-group remote-destination