端口鏡像是網絡設備中很重要的一項功能,起到了管理和監控的做用,對於設備的安全一樣也有必定的做用,(監控某重要的 網絡設備流通的報文信息,以防有不利於網絡安全的事件發生)
端口鏡像分爲本地端口鏡像(SPAN)和遠程端口鏡像(RSPAN)
本地端口鏡像:侷限於網絡中同一臺設備上,
遠程端口鏡像:鏡像端口的被鏡像端口不在同一臺設備上,能夠跨越網絡,更方便網管人員對遠程交換機設備進行管理
端口鏡像的配置:
1.首先肯定鏡像源端口,以及被鏡像報文的方向,inbound表示對端口接受的報文進行鏡像,outbound表示對於端口發送的報文進行鏡像,both則表示同時對端口接受和發送的報文進行鏡像
2.肯定鏡像目的端口
遠程端口鏡像的示意圖:
爲了實現遠程端口鏡像,須要配置一個特殊的vlan,稱之爲Remote-probe VLAN,全部被鏡像的報文都經過該vlan傳到目的交換機的鏡像端口。
源交換機:被監測端口所在的交換機,負責將鏡像的流量經過Remote-probe VLAN向上轉發,轉發給中間交換機或目的交換機
中間交換機:源交換機和目的交換機之間的交換機,負責經過Remote-probe VLAN將鏡像的流量向下一箇中間交換機或者目的交換機 轉發,若是源交換機與目的交換機中間直連,則不存在中間交換機。
目的交換機:檢測端口所在的交換機,將接收到的流量經過鏡像目的端口轉發給檢測設備。
實驗準備:
華爲S2000-HI交換機2臺,h3c防火牆2臺,pc一臺,linux操做系統虛擬機一臺(模擬監控設備)
實驗1
本地端口鏡像
拓撲圖:
配置命令
數據監控設備有抓包工具模擬,安裝wireshark或者別的抓包工具也行。
sw-1
<Quidway>system-view
[Quidway]sysname sw-1
[sw-1]int Vlan-interface 1
[sw-1-Vlan-interface1]ip add 192.168.2.4 24 //配置ip地址
[sw-1-Vlan-interface1]quit
[sw-1]local-user user1 //設置登陸帳戶
New local user added.
[sw-1-luser-user1]password simple 1234
[sw-1-luser-user1]service-type telnet level 3
[sw-1-luser-user1]quit
[sw-1]user-interface vty 0 4
[sw-1-ui-vty0-4]authentication-mode scheme
[sw-1-ui-vty0-4]quit
sw-2配置
<Quidway>system-view
[Quidway]sysname sw-2
[sw-2]int Vlan-interface 1
[sw-2-Vlan-interface1]ip add 192.168.2.5 24
[sw-2-Vlan-interface1]quit
[sw-2]
sw-3配置
<Quidway>system-view
[Quidway]sysname sw-3
[sw-3]mirroring-group 1 local //設置本地端口鏡像
[sw-3]mirroring-group 1 mirroring-port Ethernet 1/0/2 Ethernet 1/0/4 both // 設置被鏡像端口
[sw-3]mirroring-group 1 monitor-port Ethernet 1/0/6 //設置鏡像端口
[sw-3]dis mirroring-group 1 //查看本地鏡像組
mirroring-group 1:
type: local
status: active
mirroring port:
Ethernet1/0/2 both
Ethernet1/0/4 both
monitor port: Ethernet1/0/6
測試:
遠程端口鏡像實驗
拓撲圖:
sw3配置
<Quidway>system-view
[Quidway]sysname sw3
[sw3]mirroring-group 1 remote-source //設置鏡像組來源
[sw3]vlan 10
[sw3-vlan10]remote-probe vlan enable // 開啓鏡像相關的vlan
[sw3-vlan10]int e1/0/1
[sw3-Ethernet1/0/1]port link-type trunk //設置trunk口
[sw3-Ethernet1/0/1]port trunk permit vlan 10 // 容許vlan10 經過
Please wait... Done.
[sw3-Ethernet1/0/1]quit
[sw3]mirroring-group 1 mirroring-port Ethernet 1/0/3 inbound // 接收被鏡像端口進入的報文
[sw3]mirroring-group 1 mirroring-port Ethernet 1/0/5 outbound // 接受被鏡像端口出去的報文
[sw3]mirroring-group 1 remote-probe vlan 10
[sw3]mirroring-group 1 reflector-port e1/0/7 //映射鏡像端口
[sw3]dis mirroring-group 1
mirroring-group 1:
type: remote-source
status: active
mirroring port:
Ethernet1/0/3 inbound
Ethernet1/0/5 outbound
reflector port: Ethernet1/0/7
remote-probe vlan: 10
[sw3]
sw2配置
<Quidway>system-view
[Quidway]sysname sw2
[sw2]vlan 10
[sw2-vlan10]remote-probe vlan enable
[sw2-vlan10]quit
[sw2]
[sw2]int e1/0/1
[sw2-Ethernet1/0/1]port link-type trunk
[sw2-Ethernet1/0/1]port trunk permit vlan 10
Please wait... Done.
[sw2-Ethernet1/0/1]int e1/0/3
[sw2-Ethernet1/0/3]port link-type trunk
[sw2-Ethernet1/0/3]port trunk permit vlan 10
Please wait... Done.
[sw2-Ethernet1/0/3]quit
[sw2]
sw1配置
<Quidway>system-view
[Quidway]sysname sw1
[sw1]vlan 10
[sw1-vlan10]remote-probe vlan enable
[sw1-vlan10]int e1/0/1
[sw1-Ethernet1/0/1]port link-type trunk
[sw1-Ethernet1/0/1]port trunk permit vlan 10
Please wait... Done.
[sw1-Ethernet1/0/1]quit
[sw1]mirroring-group 1 remote-destination
[sw1]mirroring-group 1 monitor-port e1/0/5
[sw1]mirroring-group 1 remote-probe vlan 10.
[sw1]dis mirroring-group 1
mirroring-group 1:
type: remote-destination
status: active
monitor port: Ethernet1/0/5
remote-probe vlan: 10
[sw1]
pc1配置(防火牆模擬)
<H3C>system-view
[H3C]sysname pc1
[pc1]local-user user1
New local user added.
[pc1-luser-user1]password simple 123
[pc1-luser-user1]service-type ftp
[pc1-luser-user1]q
[pc1]int eth0/0
[pc1-Ethernet0/0]ip add 192.168.2.4 24
[pc1-Ethernet0/0]quit
[pc1]
pc2配置
<H3C>system-view
[H3C]sysname pc2
[pc2]int eth0/0
[pc2-Ethernet0/0]ip add 192.168.2.5 24
[pc2-Ethernet0/0]q
[pc2]
測試:
在pc2上用ftp的方式登陸pc1得到的抓包數據