交換機端口鏡像配置及說明

端口鏡像概述

　　在介紹端口鏡像配置之前，我們先來看了解一下什麼是端口鏡像，端口鏡像就是把交換機一個或多個端口（VLAN）的數 據鏡像到一個或多個端口的方法。那麼爲什麼需要端口鏡像?通常爲了部署IDS產品需要監聽網絡流量（網絡分析儀同樣也需要），但是在目前廣泛採用的交換網 絡中監聽所有流量有相當大的困難，因此需要通過配置交換機來把一個或多個端口（VLAN）的數據轉發到某一個端口來實現對網絡的監聽。

　　端口鏡像幾種別名

　　1.PortMirroring：通常指允許把一個端口的流量複製到另外一個端口，同時這個端口不能再傳輸數據。

　　2.MonitoringPort：監控端口

　　3.SpanningPort：通常指允許把所有端口的流量複製到另外一個端口，同時這個端口不能再傳輸數據。

　　4.SPANport：在Cisco產品中，SPAN通常指SwitchPortANalyzer。某些交換機的SPAN端口不支持傳輸數據。

　　5.LinkModeport

　　支持端口鏡像的交換機

　　大多數中檔以上的交換機都支持端口鏡像功能，但支持程度不同。

　　端口鏡像配置方法

　　1.Cisco交換機

　　特點：

　　Ciscocatylist2550、Ciscocatylist3550支持2組monitorsession

　　Cisco交換機的端口鏡像配置方法

　　enpassword

　　configterm

　　Switch(config)#monitor session 1 destination interfacefast 0/4（1爲sessionid，id範圍爲1－2）

　　Switch(config)#monitor session 1 source interfacefast 0/1,fast 0/2,fast0/3(空格，逗號，空格) Switch(config)#exit

　　Switch#copy running-conf startup-conf

　　Switch#show port-monitor

2.Extreme交換機

　　特點：

　　只能創建多對一或者一對一的鏡像端口

　　可以監聽VLAN的流量

　　Extreme會鏡像IN和OUT的流量。這就意味着在鏡像VLAN的時候，會看到一個報文至少兩次——從VLAN的某個端口出來，並且進入VLAN的另一個端口。

　　版本高於4.1的Extreme交換機端口鏡像配置方法

　　{enable　disable}mirroring on port

　　開啓/關閉端口鏡像功能，並且指定鏡像流量從何端口流出，port-no只能是一個端口

　　configure mirroring {add　delete}{vlan　port}

　　指定鏡像哪個或哪些VLAN或端口的流量{vlan　port}

　　部分可以重複多次

　　版本低於4.1的Extreme交換機端口鏡像配置方法

　　enable mirror to port port-no

　　開啓端口鏡像功能，並且指定鏡像流量從何端口流出，port-no只能是一個端口

　　disable mirror

　　關閉端口鏡像功能

　　configmirroraddport

　　鏡像端口port-no的流量，如果這個端口包含多個VLAN這些流量都會被鏡像到目的端口

　　config mirror add port

　　vlan

　　鏡像端口port-no中指定VLAN的流量

　　config mirror add vlan

　　鏡像端口中指定VLAN的所有端口的流量

　　config mirror del port

　　取消對port-no的端口鏡像

　　config mirror del vlan

　　取消對指定VLAN的端口鏡像

　　show mirror

　　顯示端口鏡像情況

　　3.Foundry交換機

　　特點：

　　可以創建多對多的端口鏡像

　　Foundry交換機端口鏡像配置方法

　　在配置模式中（Configuration Mode）：

　　interface

　　port monitor{{rx　tx　both}}

　　確定鏡像流量從哪個端口流出，修改此端口配置

　　指定要鏡像哪些端口的哪些流量（rx指接收的流量，tx指發送的流量，both指雙向流量），{{rx　tx　both}}部分可以重複

　　4.Juniper交換機

　　特點：

　　每交換機只能有一個監聽端口

　　只能鏡像IPv4的流量

　　只能鏡像發送（transitonly）的流量，不能鏡像接收的流量

　　JuniperM系列和T系列端口鏡像配置方法

　　user@router#show forwarding-optionsport-mirroring {input{familyinet;rate;run-length;} output interface{next-hop user@router#show firewall filter mirror-sample from{...} then {sample;accept;}

　　定義抽樣過濾器，選擇感興趣的流量

　　user@router#show interface unit 0 familyi net filter {inputmirror-sample;}

　　5.華爲交換機

　　華爲3050交換機端口鏡像配置方法

　　SwitchA相關配置

　　1.將端口E0/2配置爲監控端口

　　[SwitchA]monitor-port Ethernet0/2

　　2.將端口E0/1配置爲鏡像端口

　　[SwitchA]mirroring-port Ethernet0/1 both

　　補充說明：支持多對一的端口鏡像。

　 　鏡像端口配置時，可以使用參數定義被監控報文的方向。例如：參數both，表示同時監控端口的接收和發送報文；參數inbound，表示只監控端口接收 的報文；參數outbound，表示只監控端口發送的報文。需要注意的是：端口鏡像是有風險的，它能加重交換機負載，造成設備不穩定，同時在某些情況下會 丟包，不能保證100%鏡像流量。例如，由於多個源端口鏡像到一個目的端口，目的端口無法處理造成丟包。