最新各类交换机端口镜像配置.docx
《最新各类交换机端口镜像配置.docx》由会员分享,可在线阅读,更多相关《最新各类交换机端口镜像配置.docx(11页珍藏版)》请在冰豆网上搜索。
最新各类交换机端口镜像配置
各类交换机端口镜像配置
1、什么是端口镜像2
2、为什么需要端口镜像2
3、端口镜像的别名2
4、支持端口镜像的交换机3
5、各种交换机端口镜像配置3
CiscoCATALYST交换机端口监听配置3
cisco:
3550IOS端口映射的举例3
Catalyst4000/5000/6000系列交换机端口监听配置(基于CatOS)4
3COM交换机端口监听配置5
DELL交换机端口监听配置5
NetCore交换机端口监听配置7
Intel交换机端口监听配置7
Avaya交换机端口监听配置8
港湾交换机的配置8
北电交换的设置9
华为交换机端口监听配置9
HP交换机端口监听配置10
Extreme交换机10
Foundry交换机12
Juniper交换机12
1、什么是端口镜像
把交换机一个或多个端口(VLAN)的数据镜像到一个或多个端口的方法。
端口镜像(PortMirroring)可以让用户将所有的流量从一个特定的端口复制到一个镜像端口。
如果您的交换机提供端口镜像功能,则允许管理人员自行设置一个监视管理端口来监视被监视端口的数据。
监视到的数据可以通过PC上安装的网络分析软件来查看,通过对数据的分析就可以实时查看被监视端口的情况。
端口镜像选取的设备原则为网络中连接重要服务器群的交换机或路由器,或是连接到网通的出口路由器。
2、为什么需要端口镜像
通常为了部署流量分析、IDS等产品需要监听网络流量,但是在目前广泛采用的交换网络中监听所有流量有相当大的困难,因此需要通过配置交换机来把一个或多个端口(VLAN)的数据转发到某一个端口来实现对网络的监听。
3、端口镜像的别名
端口镜像通常有以下几种别名:
●PortMirroring
通常指允许把一个端口的流量复制到另外一个端口,同时这个端口不能再传输数据。
●MonitoringPort
监控端口
●SpanningPort
通常指允许把所有端口的流量复制到另外一个端口,同时这个端口不能再传输数据。
●SPANport
在Cisco产品中,SPAN通常指SwitchPortANalyzer。
某些交换机的SPAN端口不支持传输数据。
●LinkModeport
4、支持端口镜像的交换机
大多数中档以上的交换机都支持端口镜像功能,但支持程度不同。
5、各种交换机端口镜像配置
大多数三层交换机和部份两层交换机,具备端口镜像功能,不同的交换机或不同的型号,镜像配置方法的有些区别,下面我们提供常见交换机的镜像配置方法:
CiscoCATALYST交换机端口监听配置
CISCOCATALYST交换机分为两种,在CATALYST家族中称监听端口为分析端口(analysisport)。
1、Catalyst2900XL/3500XL/2950系列交换机端口监听配置(基于CLI)
以下命令配置端口监听:
portmonitor
例如,F0/1和F0/2、F0/5同属VLAN1,F0/1监听F0/2、F0/5端口:
interfaceFastEthernet0/1
portmonitorFastEthernet0/2
portmonitorFastEthernet0/5
portmonitorVLAN1
cisco:
3550IOS端口映射的举例
monitorsession1sourceinterfaceFa0/32both
以上命令的意思是:
在监控组,组"1"的设置中,将Fa0/32的流量作为"源数据"。
命令的后面还有选项分别是rx,tx,both。
rx意思是仅将该接口接收的流量作为"源数据"。
tx的意思是仅将该接口发送的流量作为"源数据"。
both的意思是将该接收进出的流量都作为"源数据"。
其中f0/32口是上行到出口路由器的口,所以这里设置此口监控。
这样设置的问题是,公司内部PC-PC之间的流量是监控不到的。
而cisco设备又只能设置一个"both"状态的口。
所以这个是相对比较好的设置方案。
monitorsession1destinationinterfaceFa0/5
以上命令的意思是:
在监控组,组"1"的设置中,将Fa0/5作为监控的目的口,也就是监控服务器所插的口。
设置完成后,该口将接收到监控组组"1""源接口",在这里也
就是Fa0/32的数据。
注意cisco设备一旦设置了监控后,监控的目的口将不会再接收三层数据。
通常的理解就
是:
"会断网"。
Catalyst4000/5000/6000系列交换机端口监听配置(基于CatOS)
支持2组镜像
En
Showmodule(确认端口所在的模块)
Setspansource(mod/port)destination(mod/port)in|out|bothinpktsenable
Writeternall
Showspan
注:
多个source:
mod/port,mod/port-mod/port连续端口用横杆“-”,非连续端口用逗号“,”
setspanenable允许镜像
setspandisable禁止镜像
setspansourcedestinationin|out|bothinpktsenablecreate(create用于建立第二组镜像)
以下命令配置端口监听:
setspan
例如,模块6中端口1和端口2同属VLAN1,端口3在VLAN2,端口4和5在VLAN2,端口2监听端口1和3、4、5,
setspan6/1,6/3-56/2
3COM交换机端口监听配置
在3COM交换机中,端口监听被称为“RovingAnalysis”。
网络流量被监听的端口称作“监听口”(MonitorPort),连接监听设备的端口称作“分析口”(AnalyzerPort)。
以下命令配置端口监听:
指定分析口
featurerovingAnalysisadd,或缩写fra
例如:
Selectmenuoption:
featurerovingAnalysisadd
Selectanalysisslot:
1
Selectanalysisport:
2
指定监听口并启动端口监听
featurerovingAnalysisstart,或缩写frsta
例如:
Selectmenuoption:
featurerovingAnalysisstart
Selectslottomonitor(1-12):
1
Selectporttomonitor (1-8):
3
停止端口监听
featurerovingAnalysisstop,或缩写frsto
DELL交换机端口监听配置
在Dell交换机中,端口监听被称为“端口镜像”(PortMirroring)。
使用交换机的管理界面,参数如下:
DestinationPort(目的地端口):
定义端口通信要镜像到的端口号;
SourcePort(源端口):
定义被镜像端口的端口号。
Add(添加):
添加端口镜像操作。
Type(类型):
指定要镜像的端口通信类型。
可能的字段值包括:
“RX”-表示镜像进入网络的数据;“TX”-表示镜像流出网络的数据;Both()-表示镜像所有数据。
Status(状态):
表示端口的状态。
可能的字段值包括:
“Active”-表示端口被启用;“NotActive”-表示端口被禁用。
Remove(删除):
删除端口镜像会话。
可能的字段值包括:
“已选取”-删除端口镜像会话;“未选取”-保留端口镜像会话。
具体设置:
1、在PortMirroring对话框中的DestinationPort中选中目的端口(镜像端口),再单击Add按钮;
2、在系统将打开“AddSourcePort”(添加源端口)页面中,定义“SourcePort”(源端口)和“Type”(类型)字段,并单击“ApplyChanges”(应用更改),使系统接收更改。
(注:
如果需要从端口镜像会话删除副本端口,请打开“PortMirroring”(端口镜像)页面,选取“Remove”(删除)复选框,再单击“ApplyChanges”(应用更改)。
系统将删除端口镜像会话,并更新设备。
)
以下命令配置端口监听:
指定分析口
CLI命令实例:
Console(config)#interfaceethernet1/e1
Console(config-if)#portmonitor1/e8
Console#showportsmonitor
SourceportDestinationPortTypeStatus
---------------------------------------
1/e11/e8RX,TXActive
NetCore交换机端口监听配置
NetCore交换机中,端口监听被称为“端口镜像”(PortMirroring)。
交换机提供四种监视状态:
Off关闭Mirror功能
Rx捕获被监视端口的接收数据
Tx捕获被监视端口的发送数据
Both捕获被监视端口的接收和发送的数据
进入NetCore的超级终端,在主菜单中输入“5”进入端口镜像设置界面,输入“1”设置端口镜像状态。
如设置端口1为镜像端口,端口8为被镜像端口,捕获该端口的接收和发送数据。
配置命令如下:
1.选择配置的选项(1,off,2.Rx,3.Tx,4.Both):
4
2.选择捕获端口:
1
3.选择被镜像端口:
8
按Esc键退回镜像设置界面,设置成功。
Intel交换机端口监听配置
Intel称端口监听为“MirrorPorts”。
网络流量被监听的端口称作“源端口”(SourcePort),连接监听设备的端口称作“镜像口”(MirrorPort)。
配置端口监听步骤如下:
●在navigation菜单,点击Statistics下的MirrorPorts,弹出MirrorPorts信息。
●在ConfigureSource列中点击端口来选择源端口,弹出MirrorPortsConfiguration。
●进行源端口设置:
●源端口是镜像流量的来源口,镜像口是接收来自源端口流量的端口。
●点击Apply确定
可以选择三种监听的方式:
1.连续(Always):
镜像全部流量。
2.周期(Periodic):
在一定周期内镜像全部流量。
镜像周期在SamplingIntervalconfiguration中设置。
3.禁止(Disabled):
关闭流量镜像。
Avaya交换机端口监听配置
在Avaya交换机用户手册中,端口监听被称为“端口镜像”(PortMirror)。
以下命令配置端口监听:
{set|clear}PortMirror
设置端口侦听:
setportmirrorsource-port
mirror-portsampling{always}[max-packets-sec
][piggyback-port]
禁止端口监听:
clearportmirror
命令中,
mod-port-range指定端口的范围;
mod-port-spec指定特定的端口;
piggyback-port指定双向镜像的端口;
sampling指定镜像周期;
max-packets-sec仅在sampling设置为periodic时使用,指定监听口每秒最多的数据报数量。
港湾交换机的配置
confmirr1to24(设置镜像端口24)
confmirr1addport21,25in(需要镜像的端口入流量)
confmirr1addport21,25eg(需要镜像的端口出流量)
confmirr1dis(消除镜像)
北电交换的设置
Passport8600的做端口镜像的命令(在86的cli接口下做)
实际上这些工作都可以在JavaDeviceManager下面做(一个非常直观的图形化配置工具)
1.第一步configdiagmirror-by-portenabletrue
打开端口镜像功能
2.configdiagmirror-by-port1createin-port3/46out3/2
这句话的意思就是创建一个端口镜像条目1(1只是一个id用来区别不同条目)
被镜像的端口是3/46,3/2就是用于接Sniffer的端口
3.configdiagmirror-by-port1modeboth
这句话意思是被镜像的端口的双向流量都要被Monitor
用完之后要configdiagmirror-by-portenablefalse
华为交换机端口监听配置
华为6506R:
如:
mirroring-group1inbandgigabitethernet1/0/0mirroringtogigabitethernet1/0/1
把该交换机的1/0/0端口,镜像到1/0/1
华为s8512
下面为将4/1的出流量和入流量全部境像到4/2上:
Mirroring-group1outbound4/1mirrored-to4/2
Mirroring-group2inbound4/1mirrored-to4/2
华为VRPS3526ver3.1
华为交换机用户手册中,端口监听被称为“端口镜像”(PortMirroring)。
使用HuaweiLanswitchView管理系统添加一个镜像端口:
选择DeviceSetup或StackSetup。
点击PortMirroring。
点击Add按钮。
对于堆叠,点击Switch并从列表选择一个交换机。
点击Reflectfrom并选择流量将被镜像的端口。
点击Reflectto并选上面所选择的端口上的
HP交换机端口监听配置
全局模式(confter):
mirror-porta6(a6为接流量分析软件的端口)
inta1-a3,a5,vlan20,trk2,meshmonitor(设置a1,a2,a3,a5,trunk2mesh为被境像的端口,即源端口)
showmonitor(显示境像设置结果)
ctrl+z
writememory(保存)
Extreme交换机
特点:
●只能创建多对一或者一对一的镜像端口
●可以监听VLAN的流量
●Extreme会镜像IN和OUT的流量。
这就意味着在镜像VLAN的时候,会看到一个报文至少两次——从VLAN的某个端口出来,并且进入VLAN的另一个端口。
版本高于4.1的Extreme交换机端口镜像配置方法
{enable|disable}mirroringonport
开启/关闭端口镜像功能,并且指定镜像流量从何端口流出,port-no只能是一个端口
configuremirroring{add|delete}{vlan|port}
指定镜像哪个或哪些VLAN或端口的流量{vlan|port}部分可以重复多次。
版本低于4.1的Extreme交换机端口镜像配置方法
enablemirrortoportport-no
开启端口镜像功能,并且指定镜像流量从何端口流出,port-no只能是一个端口
disablemirror
关闭端口镜像功能
configmirroraddport
镜像端口port-no的流量,如果这个端口包含多个VLAN这些流量都会被镜像到目的端口
configmirroraddportvlan
镜像端口port-no中指定VLAN的流量
configmirroraddvlan
镜像端口中指定VLAN的所有端口的流量
configmirrordelport
取消对port-no的端口镜像
configmirrordelvlan
取消对指定VLAN的端口镜像
showmirror
显示端口镜像情况
Foundry交换机
特点:
●可以创建多对多的端口镜像
Foundry交换机端口镜像配置方法
在配置模式中(ConfigurationMode):
interface
portmonitor{{rx|tx|both}}
确定镜像流量从哪个端口流出,修改此端口配置
指定要镜像哪些端口的哪些流量(rx指接收的流量,tx指发送的流量,both指双向流量),{{rx|tx|both}}部分可以重复
Juniper交换机
特点:
●每交换机只能有一个监听端口
●只能镜像IPv4的流量
●只能镜像发送(transitonly)的流量,不能镜像接收的流量
JuniperM系列和T系列端口镜像配置方法
usen@router#showforwarding-optionsport-mirroring{input{familyinet;rate;run-length;}outputinterface{next-hop
;}no-filter-check;}}
选择将抽样的流量发送到哪个目的端口
user@router#showfirewallfiltermirror-samplefrom{...}then{sample;accept;}
定义抽样过滤器,选择感兴趣的流量
user@router#showinterfaceunit0familyinetfilter{inputmirror-sample;}
选择将抽样的过滤器应用到某个端口
端口镜像的风险
加重交换机负载,造成设备不稳定
在某些情况下会丢包,不能保证100%镜像流量。
例如,由于多个源端口镜像到一个目的端口,目的端口无法处理造成丢包
升级会员 