1、什么是端口镜像?

  1.     端口镜像是将指定端口(源端口)的报文复制一份到其它端口(目的端口),目的端口会与数据监测设备相连,用户利用这些数据监测设备来分析复制到目的端口的报文,进行网络监控和故障排除。(把交换机一个或多个端口(VLAN)的数据镜像到一个或多个端口的方法。)

2、为什么需要端口镜像 ?

  1.     通常为了部署 IDS 产品需要监听网络流量(网络分析仪同样也需要),但是在目前广泛采用的交换网络中监听所有流量有相当大的困难,因此需要通过配置交换机来把一个或多个端口(VLAN)的数据转发到某一个端口来实现对网络的监听。

3、端口镜像的基本概念

3.1、源端口

源端口是被监控的端口,用户可以对通过该端口的报文进行监控和分析。

3.2、目的端口

目的端口也可称为监控端口,该端口将接收到的报文转发到数据监测设备,以便对报文进行监控和分析。

3.3、镜像的方向

端口镜像的方向分为三种:

  • 入方向:仅对源端口接收的报文进行镜像。
  • 出方向:仅对源端口发送的报文进行镜像。

  • 双向:对源端口接收和发送的报文都进行镜像。

    3.4、 端口镜像的分类

    端口镜像分为两种:

  • 本地端口镜像:是指将设备的一个或多个源端口的报文复制到本设备的一个目的端口,用于报文的监控和分析。其中,源端口和目的端口必须在同一台设备上。

  • 远程端口镜像:除了可以实现本地端口镜像的功能外,它还突破了源端口和目的端口必须在同一台设备上的限制,使源端口和目的端口间可以跨越多个网络设备。目前,远程端口镜像功能可以穿越二层网络,但无法穿越三层网络。

    3.5、端口镜像的实现方式

    本地端口镜像可以对所有报文(包括协议报文和数据报文)进行镜像。
    本地端口镜像通过本地镜像组的方式实现。源端口和目的端口在同一个本地镜像组中,设备将源端口的报文复制一份并转发到目的端口。

    4、端口镜像的别名

    1.   端口镜像通常有以下几种别名:<br />        Mirroring Port (镜像端口、源端口)<br />            通常指允许把一个端口的流量复制到另外一个端口,同时这个端口不能再传输数据。<br />        Monitoring Port(监控端口、目的端口)<br />            通常指允许把所有端口的流量复制到另外一个端口,同时这个端口不能再传输数据。

    5、配置本地端口镜像

    配置本地端口镜像时,用户首先要创建一个本地镜像组,然后为本地镜像组配置源端口和目的端口。
操作 命令 说明
进入系统视图 system-view -
创建本地镜像组 mirroring-group _group-id _local 必选
为镜像组配置源端口 在系统视图下配置源端口 mirroring-group group-id mirroring-port mirroring-port-list { both | inbound | outbound } 必选
用户可以在系统视图下同时配置多个源端口,也可以在具体的端口视图下配置源端口,两种视图下的配置效果相同
在端口视图下配置源端口 interface interface-type interface-number
[ mirroring-group _group-id _] mirroring-port { both | inbound | outbound }
quit
为镜像组配置目的端口 在系统视图下配置目的端口 mirroring-group group-id monitor-port monitor-port-id 二者必选其一
两种视图下的配置效果相同
在端口视图下配置目的端口 interface interface-type interface-number
[ mirroring-group group-id ] monitor-port

端口镜像详解 - 图1

  • 本地镜像组需要配置源端口、目的端口才能生效。
  • 一个镜像组中可以配置多个源端口,但只能配置一个目的端口。
  • 一个端口只能被一个镜像组使用。
  • 建议用户不要在目的端口上使能STP、MSTP和RSTP,否则会影响设备的正常使用。
  • 目的端口收到的报文包括复制自源端口的报文和来自其它端口的正常转发报文。为了保证数据监测设备只对源端口的报文进行分析,建议目的端口仅用于端口镜像,不用做其它用途。

    6、端口镜像显示和维护

    在完成上述配置后,在任意视图下执行display命令可以显示配置后镜像组的运行情况,通过查看显示信息验证配置的效果。
操作 命令
显示端口镜像组的配置信息 display mirroring-group { group-id | local }

7、支持端口镜像的交换机

  1.     大多数中档以上的交换机都支持端口镜像功能,但支持程度不同。(有的交换机只能设置一个目的端口,而TYPE交换机就支持多个镜像目的端口)

8、端口镜像配置方法

  1.     下面是交换机的端口镜像配置方法。
  1. <H3C>sys
  2. [H3C]sysname SW1
  3. [SW1]mirroring-group 1 local   //创建本地镜像组、组号为1
  4. [SW1]mirroring-group 1 mirroring-port GigabitEthernet 1/0/2 both  //指定镜像口,监控进出流量
  5. [SW1]mirroring-group 1 monitor-port GigabitEthernet 1/0/1  //指定监控口
  6. [SW1]dis mirroring-group all   //查看镜像组信息
  8. Mirroring group 1:
  10.     Type: Local  //本地镜像
  12.     Status: Active  //镜像状态为激活
  14.     Mirroring port:
  16.         GigabitEthernet1/0/2  Both
  18.     Monitor port: GigabitEthernet1/0/1

比如将交换机1-20口 采用本地端口镜像到21口,现在我还想将1-20口的流量镜像到22口,有什么办法吗

  1. 使用远程端口镜像可以实现多个镜像源镜像到多个目的。
  3. 以下是参考命令:
  5. <SW1>system-view
  7. [SW1]vlan 999   //创建VLAN999,将用于remote-vlan
  9. [SW1-vlan999]quit
  11. [SW1]mirroring-group 1 remote-source  //创建镜像组1,指定为远程源镜像组
  13. [SW1]mirroring-group 1 mirroring-port GigabitEthernet 1/0/2 both  //指定镜像口,镜像进出流量
  15. [SW1]mirroring-group 1 remote-probe vlan 999  //指定remote-vlan
  17. [SW1]mirroring-group 1 reflector-port GigabitEthernet 1/0/5  //指定反射口
  19. This operation may delete all settings made on the interface. Continue? [Y/N]: y   //指定反射口时,会提示该端口的配置会全部被删除,是否要继续,选择Y
  21. [SW1]int ran gi 1/0/1 gi 1/0/4  //将监控设备接入的端口都划分到remote-vlan中,相当于指定为监控口
  23. [SW1-if-range]port link-type access
  25. [SW1-if-range]port access vlan 999
  27. [SW1-if-range]quit
  31. [SW1]dis mirroring-group all  //查看镜像组状态
  33. Mirroring group 1:
  35.     Type: Remote source  //镜像组类型为远程源镜像组
  37.     Status: Active  //镜像组状态为激活
  39.     Mirroring port:
  41.         GigabitEthernet1/0/2  Both
  43.     Reflector port: GigabitEthernet1/0/5
  45.     Remote probe VLAN: 999