端口镜像(port Mirroring)功能是网络设备上常用的功能,将一个或多个端口的数据流量复制到某一个指定端口来实现对网络的监控。在不影响源端口正常吞吐流量的情况下,可以通过镜像端口对网络的流量进行监控分析。
端口镜像功能是对网络流量监控的一个有效的安全手段,对监控流量进行分析和安全性的检查,同时也能及时的在网络发生故障时进行准确的定位。端口镜像功能简单地说就是将被监控流量镜像到监控端口,以便对被监控流量进行故障定位、流量分析、流量备份等,监控端口一般直接与监控主机等相连。端口镜像功能能够将进出网络的所有数据包,供安装了监控软件的管理服务器抓取数据,如网吧需要提供此功能把数据发往公安部门审查。而企业出于信息安全、保护公司机密的需要,也迫切需要网络中有一个端口能提供这种实时监控功能。在企业中用端口镜像功能,可以很好的对企业内部的网络数据进行监控管理,在网络出现故障的时候,可以做到很好地故障定位。
本模块功能具有如下功能点:
·支持纯物理接口的端口镜像。
·支持入流量镜像/出流量镜像/双向流量镜像。
·支持纯端口镜像,不支持ACL镜像。
·支持一个接口流量镜像到一个或多个监控接口。
·支持多个接口流量镜像到一个或多个监控接口。
·支持配置的最大端口镜像规则数量为8条。
·支持保护功能,当设备packet buffer数量使用率超过3/4时不再进行流量镜像。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解端口镜像特性。
·接口已经作为镜像规则源接口时不可再配置为其它规则的监控接口。
·接口已经作为镜像规则监控接口时不可再配置为其它规则的源接口。
·源接口和监控接口不能是同一个物理接口,要么配置为源接口,要么配置为监控接口,不能同时配置。
·管理口以及旁路接口不可配置为监控接口。
·在线业务口不可配置为监控接口(在线业务口即为现网在跑正常业务的物理接口)。
·端口镜像规则数量规格为8条。
如
按照组网图组网。
(1)登录Web网管。
(2)新建端口镜像规则,将ACG连接Internet接口流量镜像到ACG与流量分析仪所连接口。
(3)新建端口镜像规则,将ACG连接Internet接口流量镜像到ACG与IDS设备所连接口。
本举例是在R6608版本上进行配置和验证的。
1. 登录Web网管
如
2. 新建端口镜像规则,将ACG连接Internet接口流量镜像到ACG与流量分析仪所连接口
如
3. 新建端口镜像规则,将ACG连接Internet接口流量镜像到ACG与IDS设备所连接口
如
4. 配置完成后效果图
如
(1)在ACG设备查看接口流量大小,如下图所示,ge3、ge4接口发送的流量大小等于ge1接口接收和发送流量之和。
(2)用户在两台监控分析设备上可以同时收到去往和来自Internet的流量,镜像功能生效。这样,用户就可以对去往和来自Internet的流量分别进行综合分析和入侵检测了。
·《H3C SecPath ACG1000系列应用控制网关Web配置手册》中的“端口镜像”
·《H3C SecPath ACG1000系列应用控制网关 典型配置举例》中的“端口镜像”
·《H3C SecPath ACG1000系列应用控制网关对外测试手册》中的“端口镜像”
·《H3C SecPath ACG1000系列应用控制网关 用户FAQ》中的“端口镜像”
