一、简介
可以称之为网络安全的第一道防线,当涉及到网络监测和故障排除时会提到端口镜像技术。
端口镜像,也被称作“端口监视”或“端口抄送”,是一种网络管理的技术。简单来说,就是把一个网络设备上的某个端口的流量复制到另一个端口,然后我们可以对这个流量进行监测和分析。这个技术一般用在网络出问题时帮助我们找到问题所在,分析网络流量,监测网络性能,以及进行安全审计。有了端口镜像,网络管理员就可以在不影响网络正常工作的前提下,观察和记录网络流量。
二、原理
想象一下,你的网络就像一条繁忙的公路,数据包就像路上的汽车。现在,你想要监控这条路上发生了什么,但又不希望干扰交通。
首先,你找了一个正在使用中的路口(选择源端口),这个路口有很多车辆经过,你想要看看这些车辆都去了哪里。
然后,你找了一个专门的停车区(选择目标端口),这个停车区通常连接着一些专门的监控设备,比如摄像头或者记录仪。
接下来,你告诉路口的交警(启用端口镜像),说:“嘿,我要看看从那个路口过去的车辆,把它们的信息也发到那个停车区去。”一旦交警设置好(配置完成),所有从那个路口过去的车辆信息都会自动复制一份到停车区。这样,你就可以在停车区用监控设备看到所有经过路口的车辆,而不会影响路上的交通(网络的正常运行)。
简单来说,端口镜像就像是让你在网络上看监控录像,你可以看到所有数据的流动,但不会影响到数据本身。通过这种方式,监测设备可以实时地监视和记录流经源端口的所有数据流量,无需干扰网络的正常运行。
三、优缺点
1、优点
- 成本低,使用现有的交换机功能。
- 通过网络远程配置。
- 捕获交换机内流量。
2、缺点
- 在频繁使用的全双工链路上丢弃数据包。
- 过滤掉物理层错误。
- 复制数据可能会加重交换机 CPU 的负担。
- 可能会改变帧时序、改变响应时间并降低网络性能。
四、应用场景
- 故障排除和调试
- 流量分析和优化
- 安全监控和威胁检测
- 网络规划和容量规划
五、基本配置
1、配置端口解释
(1)镜像端口和观察端口:
镜像端口:是指被监控的端口,镜像端口收发的报文将被复制一份到观察端口。
观察端口:是指连接监控设备的端口,用于将镜像端口复制过来的报文发送给监控设备。
(2)镜像方向,
入方向:将镜像端口接收的报文复制到观察端口上。
出方向:将镜像端口发送的报文复制到观察端口上。
双向:将镜像端口接收和发送的报文都复制到观察端口上。
(3)端口镜像分类
本地端口镜像是指观察端口与监控设备直接相连,此时观察端口被称为本地观察端口。
远程端口镜像是指观察端口与监控设备通过中间网络传输镜像报文,此时观察端口被称为远程观察端口。
(4)基本配置思路
2、华为交换机镜像配置
(1)先配置观察端口
[huawei]observe-port 1 interface GigabitEthernet 0/0/24(2)然后再进入需要镜像的端口
[Huawei]interface GigabitEthernet 0/0/23(3)在配置镜像端口模式
[Huawei-GigabitEthernet0/0/23]port-mirroring to observe-port 1 both(4)配置完成之后用display current 查看下配置
display current-configuration interface GigabitEthernet 0/0/23
port-mirroring to observe-port 1 inbound
port-mirroring to observe-port 1 outbound3、思科交换机镜像配置
(1)在源端口交换机上配置:
Switch1(config)#vlan100 //vlan号必须独立于现网使用的vlan,不能和业务vlan相同,
Switch1(config-vlan)#name SPAN-VLAN //为vlan 100名字配置为SPAN-VLAN
Switch1(config-vlan)#remote-span //模式改成RSPAN,特殊vlan来做端口镜像
Switch1(config)#monitor session 2 source interface Gig 0/1 //配置要抓取原端口的流量
Switch1(config)#monitor session 2 destination remote vlan 100 //目的端口配置为SPAN的vlan(2)在目的端口交换机上配置:
Switch2(config)#vlan100 //vlan要和被抓取流量端口的交换机vlan要一致
Switch2(config-vlan)#name SPAN-VLAN //为vlan 100名字配置为SPAN-VLAN
Switch2(config-vlan)#remote-span //模式改成RSPAN,特殊vlan来做端口镜像
Switch2(config)#monitor session 3 destination interface Gig 0/2 //配置要抓取原端口的流量,这里的session 号不需要和Switch1的一致
Switch1(config)#monitor session 3 source remote vlan 100 //目的端口配置为SPAN的vlan号(3)Switch#show monitor //查看端口镜像配置
Switch#show monitor4、juniper交换机镜像配置
操作步骤:
(1)建立一个端口镜像名称,并且指定需要作镜像的端口,同一个镜像名称可以指定多个要镜像的端口的。
(2)创建镜像名称之后,指定需要镜像的输出端口,然后在输出端口接个sniffer就可以抓取镜像的流量了。
//编辑镜像名称参数,port_monitor是镜像名称,如果不存在就创建一个新的
lab@EX4200-1# editethernet-switching-options analyzer port_monitor
lab@EX4200-1# set inputegress interface ge-0/0/10.0 #定义要镜像端口输出流量
lab@EX4200-1# set inputingress interface ge-0/0/10.0 #定义要镜像端口输入流量
lab@EX4200-1# set outputinterface ge-0/0/1.0 #定义输出端口(接sniffer的端口)也可以定义基于fireware的端口镜像。
#设置镜像输出端口
lab@EX4200-1# top
lab@EX4200-1# set ethernet-switching-options analyzer port_monitor output interfacege-0/0/10.0#设置过滤条件,具体条件设置请参考JUNOS的filter设置
lab@EX4200-1# edit firewall family ethernet-switching filter mirror_filter # “ mirror_filter为policy名称
lab@EX4200-1#set term 1 from destination-address 192.0.2.16/28 #第一个条目term 1目的IP地址
lab@EX4200-1#set term 1 fromsource-address 192.0.2.16/28 #指定源IP地址
lab@EX4200-1#set term 1 fromdestination-port 80 # 指定目的端口#定义符合条件进行镜像动作,port_monitor就是上面定义的镜像名称
lab@EX4200-1#set term 1 then analyzer port_monitor
lab@EX4200-1#set term 2 then accept #生成第二条term条目,指定其它流量不镜像#设置需要镜像端口的filter参数
lab@EX4200-1# top
lab@EX4200-1# delete interfacesge-0/0/1 unit 0
lab@EX4200-1# setinterfaces ge-0/0/1 unit 0 family ethernet-switching
lab@EX4200-1#set interfaces ge-0/0/0 unit 0 family ethernet-switchingfilter input mirror_filter5、华三交换机镜像配置
1.创建本地镜像组
[SW]mirroring-group 1 local2.配置本地镜像组1的源端口为GE1/0/2和GE1/0/3,并镜像两端口的双向流量。
[SW]mirroring-group 1 mirroring-port GigabitEthernet 1/0/2 to GigabitEthernet 1/0/3 both3.配置本地镜像目的观察端口为GE1/0/4。
[SW]mirroring-group 1 monitor-port GigabitEthernet 1/0/44.在目的端口GE1/0/4上关闭生成树协议,以免影响镜像功能的正常使用。
[SW]interface GigabitEthernet 1/0/4
[SW-GigabitEthernet1/0/4]undo stp enable5.使用display mirroring-group all查看镜像组的配置信息。
display mirroring-group all