鏡像的功效簡單地說就是將被監控流量鏡像到監控端口,以便對被監控流量進行故障定位、流量闡發、流量備份等,監控端口普通乾脆與監控主機等相連。
Iis7服務器監控對象環境下實現端口的修改和查詢。
爲了利便對一個或多個網絡接口(網卡)的流量進行闡發,可以通過配置互換機或路由器來把一個或多個端口(VLAN)的數據轉發到某一個端口,即端口鏡像,來實現對網絡的監聽。
監督到進出網絡的所有數據包,供安置了監控軟件的管理服務器抓取數據,如網吧需提供此功效把數據發往公安片面審查。而企業出於信息安全、保護公司機密的需要,也迫切需要網絡中有一個端口能提供這種及時監控功效。在企業中用端口鏡像功效,可以很好的對企業內部的網絡數據進行監控管理,在網絡出現故障的時候,可以做到很好地故障定位。
(備註:互換機把某一個端口汲取或發送的數據幀徹底相像的複製給另一個端口;其中被複制的端口稱爲鏡像源端口,複製的端口稱爲鏡像目標端口。)
分類
端口鏡像憑據不同的分類標準,鏡像類型也不同樣。憑據鏡像感化的端口模式來分別,端口鏡像分爲以下三品種型:
進口鏡像:只對從該端口進入的流量進行鏡像。
出口鏡像:只對該端口的發出的流量進行鏡像。
雙向鏡像:支持對該端口收到和發出的雙向流量進行鏡像。憑據鏡像功效分別,端口鏡像分爲兩品種型:
流鏡像:要是端口上配置了ACL並啓用,則覺得是流鏡像。流鏡像只採集經過ACL過濾後的數據包,否則覺得是純端口鏡像。對於ACL流量採集方式,支持在端口的方向(出向、入向和雙向三種)上綁定標準走訪列表和擴大走訪列表。
純端口鏡像:對端口進出的流量進行鏡像。
憑據鏡像事情的侷限分別,端口鏡像分爲兩品種型:
本地鏡像:源端口和目標端口在同一個路由器上。
遠端鏡像:源端口和目標端口分佈在不同的路由器上,鏡像流量經過某種封裝,實現跨路由器傳輸。建立要領
Cisco CATALYST互換機端口監聽配置
Cisco CATALYST互換機分爲兩 種,在CATALYST家族中稱偵聽端口爲闡發端 口(analysis port)。
1、Catalyst 2900XL/3500XL/2950系列互換機端口監聽配 置 (基於CLI)
以下號令配置端口監聽:
port monitor
例 如,F0/1和F0/2、F0/3同屬VLAN1,F0/1監聽F0/2、F0/3端口:
interface FastEthernet0/1
port monitor FastEthernet0/2
port monitor FastEthernet0/3
port monitor VLAN1
2、Catalyst 4000,5000 and 6000系列互換機端口監聽配 置 (基於IOS)
以下號令配置端口監聽:
set span
例如,模塊1中端口1和端口2同屬VLAN1,端口3在VLAN2,端口4和5在VLAN2,端口2監聽端 口1和3、4、5,
set span 1/1,1/3-5 1/2
2950/3550/3750
格式如下:
#monitor session number source interface mod_number/port_number both
#monitor session number destination interface mod_mnumber/port_number
//rx-->指明是進端口的流量,tx-->出端口的流量 both 進出的流量
for example:
第一條鏡像,將第一模塊中的源端口爲1-10的鏡像到端口12上面;
#monitor session 1 source interface 1/1-10 both
#monitor session 1 destination interface 1/12
第二條鏡像,將第二模塊中的源端口爲13-20的鏡像到端口24上面;
#monitor session 2 source interface 2/13-20 both
#monitor session 2 destination interface 2/24
當有多條鏡像、多個模塊時改變其中的參數即可。
Catalyst 2950 3550不支持port monitor
C2950#configure terminal
C2950(config)#
C2950(config)#monitor session 1 source interface fastEthernet 0/2
!--- Interface fa 0/2 is configured as source port.
C2950(config)#monitor session 1 destination interface fastEthernet 0/3
!--- Interface fa0/3 is configured as destination port.
配置號令
- 指定闡發口
feature rovingAnalysis add,或縮 寫 f r a,
例 如:
Select menu option: feature rovingAn alysis add
Select analysis slot: 1?& nbsp;
Select analysis port: 2
- 指定監聽口並啓動端口監聽
feature rovingAnalysis start,或縮 寫 f r sta,
例 如:
Select menu option: feature rovingAn alysis start
Select slot to monitor ?(1-12): 1
Select port to monitor&nb sp;?(1-8): 3
- 停止端口監 聽
feature rovingAnalysis stop,或縮 寫 f r sto
常見配置
Intel 稱端口監聽爲“Mirror Ports”。 網絡流量被監聽的端口稱作“源端 口”(Source Port),連接監聽建築的端口稱作“鏡像口”(Mirror Port)。
配置端口監聽步驟如下:
-
在 navigation菜單,點擊Statistics下的Mirror Ports,彈出Mirror Ports信 息。
-
在Configure Source 列中點擊端口來選定源端口, 彈出Mirror Ports Configuration。
- 進行源端口設 置:源端口是鏡像流量的來源口,鏡像口是汲取來自源端口流量的端 口, 點擊Apply確定。
可以選定三種監聽的方 式:
1.連續(Always):鏡像全部流量。
2.週期(Periodic):在一定週期內 鏡像全部流量。鏡像週期在Sampling Interval configuration中設置。
3 .禁止(Disabled):關閉流量鏡像。
在Avaya互換機用戶手冊中,端口監 聽被稱爲“端口鏡像”(Port Mirror)。
以下號令配置端口監聽:
{ set|clear } Port Mirror
設置端口偵 聽:set port mirror <mod-port-range> source-port ?<mod-port-range> mirror-port <mod-port-spec> sampling { always | disable | periodic } [ max-packets-sec <max-packets-sec-value>?& nbsp;] [ piggyback-port<mod-port-spec> ]?&nb sp;
禁止端口監 聽:clear port mirror <mod-port-range>
號令 中,mod-port-range指定端口的侷限;mod-port-spec指定特定的端口;piggyback-port指定雙向鏡像的端口;sampling指定鏡像週期;max-packets-sec僅在sampling設置爲periodic時使用,指定監聽口每秒至多的數據報數目。
華爲互換機用戶手冊中,端口監聽被稱爲“端口鏡 像”(Port Mirroring)。
使用Huawei Lanswitch View管 理體系增加一個鏡像端口:
● 選 擇Device Setup或Stack Setup。
● 點 擊Port Mirroring。
● 點擊Add按 鈕。
● 對於堆疊,點擊Switch並從列表選定一個互換 機。
● 點擊Reflect from並選定流量將被鏡像的端 口。
● 點擊Reflect to並選上面所選定的端口。