在生产环节中,我们有时候会因为要排查网络的问题需要用到抓包。那么在现实生产环境中,如何在网络中抓取数据包呢?答案肯定是用到镜像。那么镜像又是啥呢,下面听我慢慢道来。
镜像是指将经过指定端口(镜像端口)或者指定VLAN(镜像VLAN)的报文复制一份到另一个指定端口(观察端口),然后转发到网络监控设备,供网络管理员进行网络监控与故障管理。
看官们可以通过下面的这张图了解下镜像具体的工作机制,以及需要注意的地方。
那么镜像在网络维护中具体能做些什么呢?
1、故障定位
在系统运行过程中,可能由于系统软件处理异常、网络设备硬件故障、计算机病毒或用户不正常使用等原因造成网络上流量异常或产生错误报文。为了在不影响系统运行的情况下对网络上的报文进行分析,以定位故障产生的原因,这时候就可以使用镜像。
2、业务可视
为了更好的理解企业内部业务流量模型, 在网络汇聚或核心交换机上,对业务流量进行镜像,以便在不影响正常业务的情况下,使企业各类应用清晰可视。比如说, 多少用户在上班时间访问QQ; 员工访问公司内部服务器的访问量排名情况。
3、入侵检测
为了发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性, 在企业的上行接口,将所有出入的流量镜像到一个IDS服务器上,进行实时分析。比如外部访问公司服务器的访问量激增,分析一下这些是不是属于攻击报文等。
4、如何配置?
4.1、创建观察端口
1、观察端口与监控设备直连,本地镜像。
observe-port [ <observe-port-index> ] <interface interface-type interface-number>
2、观察端口与监控设备通过中间二层网络相连,二层远程镜像。
observe-port [ <observe-port-index> ] <interface interface-type interface-number> vlan <vlan-id>
4.2、将指定的报文镜像到观察端口
端口镜像:port-mirroring to observe-port <observe-port-index> { both | inbound | outbound }
MAC镜像:mac-mirroring mac-address to observe-port <observe-port-index> inbound
VLAN镜像 mirroring to observe-port <observe-port-index> inbound
PS:both | inbound | outbound分别表示镜像设备双向/入方向/出方向的报文。
实验环境:
SwitchA的配置文件:
#
sysname SwitchA
#
vlan batch 10 20 //VLAN10为用户VLAN,VLAN20用于转发镜像报文
#
//配置GE0/0/1为二层远程观察端口,用的观察端口索引为1,远程镜像VLAN为VLAN20,复制的报文会通过GE0/0/1向VLAN20转发
observe-port 1 interface GigabitEthernet0/0/1 vlan 20
#
interface GigabitEthernet0/0/1 //观察端口不需要加入VLAN20,上面的配置已实现镜像报文通过GE0/0/1向VLAN20转发
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 10 //端口加入VLAN,员工A与DNS之间通信
port-mirroring to observe-port 1 inbound //将GE0/0/2入方向的报文(即接收到的员工A发送的报文)镜像到观察端口1(即GE0/0/1)
#
interface GigabitEthernet0/0/3
port link-type access
port default vlan 10 //端口加入VLAN,员工A与DNS之间通信
SwitchB的配置文件
#
sysname SwitchB
#
vlan batch 20 //用于转发镜像报文到监控PC
#
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 20 //端口加入VLAN,用于转发镜像报文到监控PC
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 20 //端口加入VLAN,用于转发镜像报文到监控PC
在SwitchA查看端口镜像的配置情况:
检查员工A与DNS服务器间通信的报文是否镜像到监控PC先在监控PC上启用抓包工具,然后在员工A的PC上向DNS服务器发个ping报文。最后通过抓包工具抓取报文。