基本介紹
連線埠鏡像,目的,功能,別名,分類,工作原理,建立方法,配置命令,常見配置,
連線埠鏡像
目的
連線埠鏡像功能是對網路流量監控的一個有效的安全手段,對監控流量的分析可以進行安全性的檢查,同時也能及時地在網路發生故障時進行準確的定位。
功能
鏡像的功能簡單地說就是將被監控流量鏡像到監控連線埠,以便對被監控流量進行故障定位、流量分析、流量備份等,監控連線埠一般直接與監控主機等相連。
監視到進出網路的所有數據包,供安裝了監控軟體的管理伺服器抓取數據,如網咖需提供此功能把數據發往公安部門審查。而企業出於信息安全、保護公司機密的需要,也迫切需要網路中有一個連線埠能提供這種實時監控功能。在企業中用連線埠鏡像功能,可以很好的對企業內部的網路數據進行監控管理,在網路出現故障的時候,可以做到很好地故障定位。
連線埠鏡像
連線埠鏡像別名
連線埠鏡像通常有以下幾種別名:
●Port Mirroring 通常指允許把一個連線埠的流量複製到另外一個連線埠,同時這個連線埠不能再傳輸數據。
●Monitoring Port 監控連線埠
●Spanning Port 通常指允許把所有連線埠的流量複製到另外一個連線埠,同時這個連線埠不能再傳輸數據。
●Link Mode port這樣,這些流量就可以被一個特殊的設備監控。它對發現和修理故障有很大的幫助。
分類
連線埠鏡像根據不同的分類標準,鏡像類型也不一樣。
根據鏡像作用的連線埠模式來劃分,連線埠鏡像分為以下三種類型:
- 入口鏡像:只對從該連線埠進入的流量進行鏡像。
- 出口鏡像:只對該連線埠的發出的流量進行鏡像。
- 雙向鏡像:支持對該連線埠收到和發出的雙向流量進行鏡像。
根據鏡像功能劃分,連線埠鏡像分為兩種類型:
- 流鏡像:如果連線埠上配置了ACL並啟用,則認為是流鏡像。流鏡像只採集經過ACL過濾後的數據包,否則認為是純連線埠鏡像。對於ACL流量採集方式,支持在連線埠的方向(出向、入向和雙向三種)上綁定標準訪問列表和擴展訪問列表。
- 純連線埠鏡像:對連線埠進出的流量進行鏡像。
根據鏡像工作的範圍劃分,連線埠鏡像分為兩種類型:
- 本地鏡像:源連線埠和目的連線埠在同一個路由器上。
遠端鏡像:源連線埠和目的連線埠分布在不同的路由器上,鏡像流量經過某種封裝,實現跨路由器傳輸。
工作原理
它既可以實現一個VLAN中若干個源連線埠向一個監控連線埠鏡像數據,也可以從若干個VLAN向一個監控連線埠鏡像數據。源連線埠的5號連線埠上流轉的所有數據流均被鏡像至10號監控連線埠,而數據分析設備通過監控連線埠接收了所有來自5號連線埠的數據流。值得注意的是,源連線埠和鏡像連線埠必須位於同一台交換機上(但也有例外,如Catalyst 6000系列交換機);而且SPAN並不會影響源連線埠的數據交換,它只是將源連線埠傳送或接收的數據包副本傳送到監控連線埠。
在SPAN任務過程中,用戶可以通過參數控制,來指明需要監控的數據流種類;還可以將一個或多個端、口、一個或多個VLAN作為源連線埠,並將從這些連線埠中傳送或接收的單向或雙向數據流傳送至監控連線埠。在Catalyst 4006交換機中,最多可以配置6個單向的SPAN任務:2個輸入數據流監控、4個輸出數據流監控。一個雙向SPAN任務實際上包含一個單向輸入和一個單向輸出。而且不僅僅二層交換連線埠可作為源連線埠,Catalyst 4006上的三層路由連線埠也可設定為源連線埠。
SPAN 任務不會影響交換機的正常工作。當一個SPAN任務被建立後,根據交換機所處的不同的狀態或操作,任務會處於激活或非激活狀態,同時系統會將其記入日誌。通過“show monitor session”命令可顯示SPAN的當前狀態。
如果遇到系統重新啟動的情況,在目的連線埠初始化結束之前,SPAN任務將處於非激活狀態。目的連線埠(監控連線埠)可以是交換機上的任意一個交換或路由連線埠。當一個目的連線埠處於激活狀態時,任何傳送到該連線埠且與SPAN任務無關的數據包將會被丟棄。
一個目的連線埠只能處於一個SPAN任務中。當一個連線埠被配製成目的連線埠後就不能再成為源連線埠,同時冗餘鏈路連線埠也不能成為SPAN的目的連線埠。特別需要指出的是,如果一個 Trunk連線埠被配置成為SPAN的目的連線埠,則其Trunk功能也將自動停止。
源連線埠又可以稱作被監控連線埠。在一個SPAN任務中,可以有一個或多個源連線埠,而且可以根據用戶需要設定為輸入方向、輸出方向或雙向,但無論哪種情況,在一個SPAN任務中,所有源連線埠的被監控方向都必須是一致的。
Trunk連線埠可以單獨設為源連線埠,也可以與非Trunk連線埠一起被設定為源連線埠,但要注意的是,在監控連線埠不會識別來自Trunk連線埠針對不同VLAN的數據封裝格式,換句話說,在監控連線埠收到的數據包將無法辨明是來自哪個VLAN。
SPAN數據流主要分為三類:
(1)輸入數據流(Ingress SPAN):指被源連線埠接收進來,其數據副本傳送至監控連線埠的數據流;
(2)輸出數據流(Egress SPAN):指從源連線埠傳送出去,其數據副本傳送至監控連線埠的數據流;
(3)雙向數據流(Both SPAN):即為以上兩種的綜合。
基於VLAN的SPAN是以一個或幾個VLAN作為監控對象,其中的所有連線埠均為源連線埠,與基於連線埠的SPAN類似,基於VLAN的SPAN也分為輸入數據流、輸出數據流和雙向數據流監控三種類型。
在配置基於VLAN的SPAN任務過程中,應注意幾點:
(1)Trunk連線埠可以包含在源連線埠中;
(3)對有多個源VLAN的SPAN任務來說,如果某個源VLAN被刪除掉,則該VLAN也將從源VLAN列表中刪除;
(4)處於非激活狀態的VLAN無法參與SPAN任務;
(5)對於一個設定為輸入數據流監控的源VLAN來說,來自其他VLAN的路由信息數據包不會被鏡像;此外,從設定為輸出數據流監控的VLAN向其他VLAN傳送出的路由信息數據包也同樣不會被鏡像。換句話說,基於VLAN的SPAN任務只對進出二層交換連線埠的數據包進行鏡像,而不鏡像VLAN之間的路由信息。
在一些SPAN任務的配置下,會出現同一個SPAN源連線埠數據包的多個副本被傳送到 SPAN監控連線埠的情況。正像前面提到的那樣,在一個雙向SPAN任務中,假設a1和a2為源連線埠,d1為目的連線埠,如果a1與a2之間有數據包傳輸,則在a1傳向a2的數據包將會被傳送到d1兩次,反之亦然。
建立方法
Cisco CATALYST交換機分為兩 種,在CATALYST家族中稱偵聽連線埠為分析端 口(analysis port)。
以下命令配置連線埠監聽:
port monitor
例 如,F0/1和F0/2、F0/3同屬VLAN1,F0/1監聽F0/2、F0/3連線埠:
interface FastEthernet0/1
port monitor FastEthernet0/2
port monitor FastEthernet0/3
port monitor VLAN1
以下命令配置連線埠監聽:
set span
例如,模組1中連線埠1和連線埠2同屬VLAN1,連線埠3在VLAN2,連線埠4和5在VLAN2,連線埠2監聽端 口1和3、4、5,
set span 1/1,1/3-5 1/2
2950/3550/3750
格式如下:
#monitor session number source interface mod_number/port_number both
#monitor session number destination interface mod_mnumber/port_number
//rx-->指明是進連線埠的流量,tx-->出連線埠的流量 both 進出的流量
for example:
#monitor session 1 source interface 1/1-10 both
#monitor session 1 destination interface 1/12
#monitor session 2 source interface 2/13-20 both
#monitor session 2 destination interface 2/24
當有多條鏡像、多個模組時改變其中的參數即可。
Catalyst 2950 3550不支持port monitor
C2950#configure terminal
C2950(config)#
C2950(config)#monitor session 1 source interface fastEthernet 0/2
!--- Interface fa 0/2 is configured as source port.
C2950(config)#monitor session 1 destination interface fastEthernet 0/3
!--- Interface fa0/3 is configured as destination port.
配置命令
1. 指定分析口
feature rovingAnalysis add,或縮 寫 f r a,
例 如:
Select menu option: feature rovingAn alysis add
Select analysis slot: 1?& nbsp;
Select analysis port: 2
2. 指定監聽口並啟動連線埠監聽
feature rovingAnalysis start,或縮 寫 f r sta,
例 如:
Select menu option: feature rovingAn alysis start
Select slot to monitor ?(1-12): 1
Select port to monitor&nb sp;?(1-8): 3
3. 停止連線埠監 聽
feature rovingAnalysis stop,或縮 寫 f r sto
常見配置
配置連線埠監聽步驟如下:
1. 在 navigation選單,點擊Statistics下的Mirror Ports,彈出Mirror Ports信 息。
2. 在Configure Source 列中點擊連線埠來選擇源連線埠, 彈出Mirror Ports Configuration。
可以選擇三種監聽的方 式:
1.連續(Always):鏡像全部流量。
3 .禁止(Disabled):關閉流量鏡像。
以下命令配置連線埠監聽:
{ set|clear } Port Mirror
設定連線埠偵 聽:set port mirror <mod-port-range> source-port ?<mod-port-range> mirror-port <mod-port-spec> sampling { always | disable | periodic } [ max-packets-sec <max-packets-sec-value>?& nbsp;] [ piggyback-port<mod-port-spec> ]?&nb sp;
禁止連線埠監 聽:clear port mirror <mod-port-range>
命令 中,mod-port-range指定連線埠的範圍;mod-port-spec指定特定的連線埠;piggyback-port指定雙向鏡像的連線埠;sampling指定鏡像周期;max-packets-sec僅在sampling設定為periodic時使用,指定監聽口每秒最多的數據報數量。
使用Huawei Lanswitch View管 理系統添加一個鏡像連線埠:
● 選 擇Device Setup或Stack Setup。
● 點 擊Port Mirroring。
● 點擊Add按 鈕。
● 對於堆疊,點擊Switch並從列表選擇一個交換 機。
● 點擊Reflect from並選擇流量將被鏡像的端 口。
● 點擊Reflect to並選上面所選擇的連線埠。
