各产商交换机端口镜像实施方案.docx
《各产商交换机端口镜像实施方案.docx》由会员分享,可在线阅读,更多相关《各产商交换机端口镜像实施方案.docx(5页珍藏版)》请在冰豆网上搜索。
各产商交换机端口镜像实施方案
主流交换机端口镜像实施方法
一、原理……………………………………………………………..2
二、各品牌交换机实施方法………………………………………..3
1Cisco……………………………………………………...3
23com……………………………………………………...4
3Intel……………………………………………………….5
4Avaya……………………………………………………..6
5华为……………………………………………………….7
6港湾6808…………………………………………..……..8
三、注意事项…………………………………………………………9
2011/5/9
一、原理
当我们需要用IDS这样的东西,或者是sniffer来对网络流量进行捕获和监当我们需要用IDS这样的东西,或者是sniffer来对网络流量进行捕获和监控时,需要有一个监听端口。
我们知道HUB和switch的工作原理是不同的,HUB不基于连接,每个进入HUB的数据包被发送到除进入端口外的所有端口。
而Switch则是面对连接的,数据包只会发送给目的端口。
所以在HUB环境中,IDS或sniffer可以接到任意一个端口上。
但在switch中就必须设置专门的监听端口,用来查看网络的使用情况,这个端口也被称为镜像端口,因为它能从指定的交换机端口中复制端口流量到这个监听端口(镜像端口)中,以便进行流量和协议分析。
二、各品牌交换机实施方法
CiscoCATALYST交换机端口监听配置
CISCOCATALYST交换机分为两种,在CATALYST家族中称侦听端口为分析端口(analysisport)。
1、Catalyst2900XL/3500XL/2950系列交换机端口监听配置(基于CLI)
以下命令配置端口监听:
portmonitor
例:
F0/1和F0/2、F0/3同属VLAN1,F0/1监听F0/2、F0/3端口:
interfaceFastEthernet0/1
portmonitorFastEthernet0/2
portmonitorFastEthernet0/3
portmonitorVLAN1
2、Catalyst4000,5000and6000系列交换机端口监听配置(基于IOS)
以下命令配置端口监听:
setspan
setspansourceportsdestinationport允许用户指定多于一个的源端口。
只要列出要执行SPAN的端口并用逗号分隔即可。
命令行解释器同样允许使用连字符指定一个端口的范围。
下面的例子说明了这个特点。
这里只允许有一个目的端口,并且它总是在指定了SPAN的源端口后来指定。
例如,模块1中端口1和端口2同属VLAN1,端口3在VLAN2,端口4和5在VLAN2,端口2监听端口1和3、4、5,
setspan1/1,1/3-51/2
3COM交换机端口监听配置
3COM交换机中,端口监听被称为“RovingAnalysis”。
网络流量被监听的端口称作“监听口”(MonitorPort),连接监听设备的端口称作“分析口”(AnalyzerPort)。
以下命令配置端口监听:
●指定分析口
featurerovingAnalysisadd,或缩写fra,
当我们需要用IDS这样的东西,或者是sniffer来对网络流量进行捕获和监例如:
Selectmenuoption:
featurerovingAnalysisadd
Selectanalysisslot:
1
Selectanalysisport:
2
●指定监听口并启动端口监听
featurerovingAnalysisstart,或缩写frsta,
例如:
Selectmenuoption:
featurerovingAnalysisstart
Selectslottomonitor(1-12):
1
Selectporttomonitor(1-8):
3
●停止端口监听
featurerovingAnalysisstop,或缩写frsto,
Intel交换机端口监听配置
Intel称端口监听为“MirrorPorts”。
网络流量被监听的端口称作“源端口”(SourcePort),连接监听设备的端口称作“镜像口”(MirrorPort)。
配置端口监听步骤如下:
●在navigation菜单,点击Statistics下的MirrorPorts,弹出Mirror
当我们需要用IDS这样的东西,或者是sniffer来对网络流量进行捕获和监Ports信息。
●在ConfigureSource列中点击端口来选择源端口,弹出MirrorPortsConfiguration。
●进行源端口设置:
源端口是镜像流量的来源口,镜像口是接收来自源端口流量的端口。
●点击Apply确定
可以选择三种监听的方式:
1.连续(Always):
镜像全部流量。
2.周期(Periodic):
在一定周期内镜像全部流量。
镜像周期在SamplingIntervalconfiguration中设置。
3.禁止(Disabled):
关闭流量镜像。
Avaya交换机端口监听配置
在Avaya交换机用户手册中,端口监听被称为“端口镜像”(PortMirror)。
以下命令配置端口监听:
{set|clear}PortMirror
设置端口侦听:
setportmirrorsource-portmirror-portsampling{always|disable|periodic}[max-packets-sec][piggyback-port]
监禁止端口监听:
clearportmirror
命令中,mod-port-range指定端口的范围;mod-port-spec指定特定的端口;piggyback-port指定双向镜像的端口;sampling指定镜像周期;max-packets-sec仅在sampling设置为periodic时使用,指定监听口每秒最多的数据报数量。
华为交换机端口监听配置
华为交换机用户手册中,端口监听被称为“端口镜像”(PortMirroring)。
使用HuaweiLanswitchView管理系统添加一个镜像端口:
●选择DeviceSetup或StackSetup。
●点击PortMirroring。
●点击Add按钮。
●对于堆叠,点击Switch并从列表选择一个交换机。
●点击Reflectfrom并选择流量将被镜像的端口。
●点击Reflectto并选上面所选择的端口上的
港湾6808交换机端口监听配置
例:
步骤1进入以太网接口slot=2,port=1
Harbour(config)#interfaceethernet2/1
步骤2配置以太网接口2/1为2/3的镜像接口
Harbour(config-if-eth2/1)#mirroringress2/3
步骤3退出接口配置模式,进入到配置模式
Harbour(config-if-eth2/1)#exit
步骤4显示镜像信息
Harbour(config)#showmirror2/11-thmirror-toporteth2/1:
ingressportmemberlist:
eth2/3egressportmemberlist:
三、注意
镜像端口可以对一个或多个端口进行镜像,也可以对所有端口进行镜像以监听所有数据包,但也有一些问题,比如当流量大时可能造成交换机丢包。
交换机端口镜像实施方案
升级会员 