### 端口镜像的配置方法
首先,让我们来看看如何在一个基于三层流的H3C路由器上配置端口镜像。
1. **定义扩展访问控制列表(ACL)**:首先,在路由器上定义一个ACL,用于筛选出需要镜像的流量。 ```html [SwitchA] acl num 100 ``` 2. **定义规则**:然后,添加规则来指定哪些流量将被镜像。这里可以设置源地址和目的地址。 ```html [SwitchA-acl-adv-101] rule 0 permit ip source 1.1.1.1 0 destination any [SwitchA-acl-adv-101] rule 1 permit ip source any destination 1.1.1.1 0 ``` 3. **设置镜像目标端口**:最后,将符合ACL规则的流量镜像到指定端口。 ```html [SwitchA] mirrored-to ip-group 100 interface e0/8 ```
### 端口镜像的类型
端口镜像有几种类型,包括:
- **SPAN(Switched Port Analyzer)**:这是最基本的端口镜像类型,用于在同一台交换机上镜像流量。 - **RSPAN(Remote SPAN)**:这种类型允许将流量从一台交换机镜像到另一台交换机,即使它们不在同一个物理位置。 - **VSPAN(VLAN SPAN)**:VSPAN可以镜像整个或多个VLAN到指定的端口。
### 在路由器上配置端口镜像
与交换机类似,某些企业级路由器也支持端口镜像功能。例如,D-Link的DIR-8000系列路由器就支持端口镜像。配置方法通常包括以下步骤:
1. **创建源端口**:指定需要镜像流量的端口。 2. **创建目的端口**:指定流量将被复制到的端口。 3. **配置过滤条件**:如果需要,可以配置过滤条件来只镜像特定的流量。
### 端口镜像的注意事项
- **流量监控**:确保镜像端口能够正常收发数据,以便进行流量监控。 - **VLAN修剪**:如果使用RSPAN,确保配置VLAN修剪以减少不必要的流量。 - **安全考虑**:确保镜像端口不被非授权用户访问,以免数据泄露。
通过正确配置和使用端口镜像,网络管理员可以更有效地监控和分析网络流量,确保网络的稳定性和安全性。一、h3c路由器端口镜像怎么配置
〖基于三层流的镜像〗
1.定义一条扩展访问控制列表ACL
[SwitchA]acl num 100
2.定义一条规则报文源地址为1.1.1.1/32去往所有目的地址
[SwitchA-acl-adv-101]rule 0 permit ip source 1.1.1.1 0 destination any
3.定义一条规则报文源地址为所有源地址目的地址为1.1.1.1/32
[SwitchA-acl-adv-101]rule 1 permit ip source any destination 1.1.1.1 0
4.将符合上述ACL规则的报文镜像到E0/8端口
[SwitchA]mirrored-to ip-group 100 interface e0/8
二、如何给交换机和路由器做端口镜像
先解释一下端口镜像:端口镜像简单的说,就是把交换机一个(数个)端口(源端口)的流量完全拷贝一份,从另外一个端口(目的端口)发
出去,以便网络管理人员从目的端口通过分析源端口的流量来找出网络存在问题的原因。
Cisco的端口镜像叫做SWITCHED PORT ANALYZER,简称SPAN(仅在IOS系统中,下同),因此,端口镜像仅适用于以太网交换端口。
Cisco的SPAN
分成三种,SPAN、RSPAN和VSPAN,简单的说,SPAN是指源和目的端口都在同一台机器上、RSPAN指目的和源不在同一交换机上,VSPAN可以镜像
整个或数个VLAN到一个目的端口。
配置方法:
1. SPAN
(1) 创建SPAN源端口
monitor session [i]session_number[/i] source interface interface-id [, | -] [both | rx | tx]
**[i]session_number[/i],SPAN会话号,我记得3550支持的最多本地SPAN是2个,即1或者2.
**interface-id [, | -]源端口接口号,即被镜像的端口,交换机会把这个端口的流量拷贝一份,可以输入多个端口,多个用“,”隔开,
连续的用“-”连接。
**[both | rx | tx],可选项,是指拷贝源端口双向的(both)、仅进入(rx)还是仅发出(tx)的流量,默认是both。
(2)创建SPAN目的端口
monitor session session_number destination interface interface-id [encapsulation {dot1q [ingress vlan vlan id] | ISL
[ingress]} | ingress vlan vlan id]
**一样的我就不说了。
**session_number要和上面的一致。
**interface-id目的端口,在源端口被拷贝的流量会从这个端口发出去,端口号不能被包含在源端口的范围内。
**[encapsulation {dot1q | isl}],可选,指被从目的端口发出去时是否使用802.1Q和isl封装,当使用802.1q时,对于本地VLAN不进行封
装,其他VLAN封装,ISL则全部封装。
2.VSPAN
(1)创建VSPAN源VLAN
monitor session session_number source vlan vlan-id [, | -] rx
**一样的也不说了,基本和SPAN相同,只是接口号变成了VLAN号,而且只能镜像接收的流量。
(2)创建VSPAN目的端口
monitor session session_number destination interface interface-id [encapsulation {dot1q | isl}]
**和SPAN的一样。
3.RSPAN
RSPAN的配置较为复杂,其流程可以这样来看,交换机把要镜像的端口流量复制一份,然后发到本机的一个反射端口上(reflector-port )
,在由反射端口将其通过网络转发到目的交换机中的VLAN上(一般情况下,这个VLAN是专为镜像而设的,不要作为客户端接入所用),再在目
的交换机中配置VSPAN,将该VLAN的流量镜像到目的端口,要注意的是,一旦这种RSPAN被使用,该镜像专用VLAN的信息会被转发到所有的VLAN
主干上,造成网络带宽的浪费,因此要配置VLAN修剪(pruning),另外RSPAN也可以镜像VLAN。
(1)在源交换机上创建RSPAN源端口
**同SPAN或VSPAN
(2)在源交换机上创建VSPAN反射端口和目的VLAN
monitor session session_number destination remote vlan vlan-id reflector-port interface
**vlan-id 目的交换机上转为镜像而设的VLAN
**reflector-port interface源交换机上的镜像端口
(3)在目的交换机上创建VSPAN源VLAN
monitor session session_number source remote vlan vlan-id
**vlan-id就是上面的镜像专用VLAN
(4)在目的交换机上创建VSPAN目的端口
monitor session session_number destination interface interface-id [encapsulation {dot1q | isl}]
**同SPAN
4.其他
(1)端口镜像的过滤,端口镜像是可以做Filter的。
monitor session session_number filter vlan vlan-id [, | -]
**指定源端口进入的流量中,属于哪些VLAN的可以从目的端口发出去。
(2)删除镜像
no monitor session {session_number | all | local | remote}
**session_number指定会话号,all是所有镜像,local是本地镜像,remote是远程镜像。
(3)镜像的目的端口不能正常收发数据,因此不能再作为普通端口使用,可以连接一些网络分析和安全设备,例如装有sniifer的计算机或者Cisco IDS设备。
三、在路由器上可以做镜像端口吗
可以的,但是要看你的路由器是否支持。
端口镜像(port Mirroring)功能通过在交换机或路由器上,将一个或多个源端口的数据流量转发到某一个指定端口来实现对网络的监听,指定端口称之为“镜像端口”或“目的端口”,在不严重影响源端口正常吞吐流量的情况下,可以通过镜像端口对网络的流量进行监控分析。
在企业中用镜像功能,可以很好地对企业内部的网络数据进行监控管理,在网络出故障的时候,可以快速地定位故障。
一般情况下,家用路由器是不支持端口镜像的,企业级的路由器大部分都支持。
我用过D-link的DIR-8000系列的上网行为认证路由器就支持端口镜像功能。
