端口镜像将指定端口(源端口)、vlan(源vlan)或CPU的报文复制一份到其它端口(目的端口),目的端口会与数据监测设备相连接,用户利用这些数据监测设备来分析复制到目的端口的报文进行网络监控和故障排除

防止抓包:认证、加密、防抓包软件、交换机不做端口镜像

IPv4网络基于单播传输的,采用点到点,sniffer是捕获不到数据流,只能做镜像端口,端口镜像分析某个特定的端口数据流量(单播)

产生镜像,采集数据的用途
1、实时监控业务
2、故障处理分析
3、网络流量优化

端口镜像知识点_端口镜像

华三镜像端口配置

一、本地镜像配置

<H3C>system-view
[H3C]mirroring-group 1 local 建立本地镜像组
[H3C]mirroring-group 1 mirroring-port g1/0/25 g1/0/27 both 配置源端口
[H3C]mirroring-group 1 monitor-port g1/0/28 配置目的端口(IDS分析数据包)

二、远程镜像配置

A设备配置(本设备负责将源端口的报文复制一份,通过反射端口将报文转发到远程镜像vlan)

<H3C>system-view

[H3C]mirroring-group 1 remote-source 创建远程源镜像组
[H3C]vlan 2 创建vlan
[H3C-vlan2]quit
[H3C]mirroring-group 1 remote-probe vlan 2 配置远程镜像vlan
[H3C]mirroring-group 1 mirroring-port g1/0/25 inbound 配置源端口
[H3C]mirroring-group 1 reflector-port g1/0/26 配置反射端口
[H3C]interface g1/0/27
[H3C]port access vlan 2  
[H3C]interface g1/0/28
[H3C]port access vlan 2

中间设备配置(确保远程镜像vlan源设备和目的设备网络的连通性)

<H3C>system-view
[H3C]vlan 2
[H3C-vlan2]remote-probe vlan enable 创建远程镜像vlan

C设备配置(负责目的端口收到报文后,监视远程镜像vlan)

<H3C>system-view

[H3C]mirroring-group 1 remote-denstination 创建远程目的镜像组
[H3C]vlan 2
[H3C-vlan2]quit
[H3C]mirroring-group 1 remote-probe vlan 2 配置远程镜像vlan
[H3C]mirroring-group 1 monitor-port g0/0/1 配置目的端口


华为镜像端口
端口镜像知识点_端口镜像_02

端口镜像知识点_端口镜像_03

一、端口镜像

镜像口(源端口)的报文复制一份到观察端口(目的端口),用户利用数据

[HUAWEI] observe-port 1 interface-range gigabitethernet 1/0/1 to gigabitEthernet 1/0/3  #g1/0/1-3都属于观察口1

[HUAWEI] observe-port 1 interface-range gigabitethernet 1/0/1 to gigabitEthernet 1/0/3 vlan 10 通过二层网络向监控设备转发镜像报文


[HUAWEI] observe-port 1 interface gigabitethernet 1/0/1 设置观察端口1的接口为G1/0/1

[HUAWEI] observe-port 2 interface gigabitethernet 1/0/2
[HUAWEI] observe-port 3 interface gigabitethernet 1/0/3
[HUAWEI] interface gigabitethernet 2/0/1
[HUAWEI-GigabitEthernet2/0/1] port-mirroring to observe-port 1 inbound 监视G2/0/1 #进流量

[HUAWEI-GigabitEthernet2/0/1] port-mirroring to observe-port 2 inbound
[HUAWEI-GigabitEthernet2/0/1] port-mirroring to observe-port 3 inbound
二、流镜像
acl number 3000 #利用扩展acl抓数据流

rule 10 permit ip source 192.168.10.0 0.0.0.255 destination 172.16.1.1 0.0.0.0
traffic classifier A #将ACL 3000抓取的流量放在分类A中

if-match acl 3000
traffic behavior B #制定流行为,命名为B

mirror to observe-port  #发送给观察端口

traffic-policy AB #制定流策略,命名为AB

classifier A behavior B #将分类A流量执行B的行为

interface G0/0/1
traffic-policy AB inbound #当流量进入该端口时,执行策略AB

路由器上配置三层镜像
observe-server destination-ip 10.1.1.1 source-ip 192.168.1.1


Cisco镜像端口配置

本地SPAN
在相同的switch上配置源端口、源VLAN、和目标端口
sw1(config)#monitor session 1 source int f0/1 (both|rx|tx)(被监控端口)
sw1(config)#monitor session 1 destination int f0/8(接分析仪)
sw1#show monitor session 1 detail 注意:目标端口不能再用做其他用途

RSPAN(Remote SPAN)
支持监控不同SW的源端口或VLAN。
sw1(config)#vlan 100
sw1(config-vlan)#remote-span    设置一个span VLAN,可以通过VTP分发下去
sw1(config)#monitor session 1 source int f0/1
sw1(config)#monitor session 1 destination remote vlan 100 reflector-port f0/8(空接口)交换机间一定要Trunking
sw2(config)#monitor session 1 source remote vlan 100
sw2(config)#monitor session 1 destination int f0/3(接分析仪)


Sniffer软件是NAI公司推出的功能强大的协议分析软件,能够快速解码分析

业务审计系统:基于sniffer抓包软件开发,针对镜像过来的流量进行审计记录动作

端口镜像知识点_端口镜像_04


镜像过多:
1、占用较多的设备内部转发带宽,影响其他业务转发。
2、镜像端口的带宽大于观察端口的带宽,会导致观察端口因带宽不足而不能及时转发全部的镜像报文,发生丢包。

在配置二层远程镜像时,建议不要用观察端口绑定的VLAN进行其他业务转发。对于观察端口与监控设备之间的中间网络设备,
1、在观察端口绑定的VLAN上执行命令mac-address learning disable关闭MAC地址学习功能
2、在系统视图下执行命令undo mac-address vlan vlan-id删除该VLAN已学习到的所有MAC地址