实验原理
为保证企业的信息安全,用户希望通过监控设备对Client1收发的所有报文进行监控,镜像可以在不影响报文正常处理流程的情况下,将镜像端口的报文复制一份到观察端口,用户利用数据监控设备来分析复制到观察端口的报文,进行网络监控和故障排除。
实验拓扑
实验步骤
1.设备命名略,根据拓扑给设备配置接口IP地址,步骤略。
2.配置端口镜像路由器AR1的G0/0/0连接到监控设备,需将G0/0/0接口设置为本地观察端口。
[AR1]observe-port interface GigabitEthernet 0/0/0 |
3.在路由器AR1上配置G0/0/1端口为镜像端口,监控Client产生的所有流量。
[AR1]interface GigabitEthernet 0/0/1 [AR1-GigabitEthernet0/0/1]mirror to observe-port both [AR1-GigabitEthernet0/0/1]quit [AR1] |
4.配置流镜像,监控Client2访问Web服务器产生的所有流量,创建流分类WEB,创建ACL 3000匹配Client2的WEB流量报文;
[AR1]acl 3000 [AR1-acl-adv-3000]rule 5 permit tcp source 192.168.2.2 0 destination 100.1.1.100 0 destination-port eq www [AR1-acl-adv-3000]rule 10 permit tcp source 100.1.1.100 0 source-port eq www destination 192.168.2.2 0 [AR1-acl-adv-3000]quit [AR1]traffic classifier WEB [AR1-classifier-WEB]if-match acl 3000 [AR1-classifier-WEB]quit [AR1] |
5.配置流行为WEB,配置本地流镜像功能。
[AR1]traffic behavior WEB [AR1-behavior-WEB]mirror to observe-port [AR1-behavior-WEB]quit [AR1] |
6.配置流镜像策略并应用到接口上,在AR1上创建流策略WEB,将流分类和对应的流行为进行绑定,并将流策略应用到接口G1/0/0的出入方向,对来自Client2的流量产生的报文进行监控。
[AR1]traffic policy WEB [AR1-trafficpolicy-WEB]classifier WEB behavior WEB [AR1-trafficpolicy-WEB]quit [AR1]interface GigabitEthernet 1/0/0 [AR1-GigabitEthernet1/0/0]traffic-policy WEB inbound [AR1-GigabitEthernet1/0/0]traffic-policy WEB outbound [AR1-GigabitEthernet1/0/0]quit [AR1] |
验证结果
1.查看观察端口配置情况。
2.查看镜像端口配置情况。
3.查看流分类的配置情况。
4.查看流策略配置情况。
5.检查本地端口镜像的流量监控,通过Wireshark抓包工具检查观察端口的所有流量监控情况,在路由器AR1的G0/0/0接口抓包。
通过抓包工具的抓包情况观察关于Client产生的所有流量都到达了观察端口,传输到监控设备进行管理。
注:端口镜像指设备复制一份从镜像端口流经的报文,并将此报文传送到指定的管擦端口进行分析和监控。
6.检查流镜像端口监控情况,流镜像端口只针对WEB流镜像进行监控管理,在Client2访问WEb服务器,能观察端口上查看到相应的WEB流量报文,而FTP的流量无法监控。
注:流镜像将镜像端口上特定业务流的报文复制到管擦端口进行分析和监控。
