各類交換機(jī)端口鏡像配置

1、1、什么是端口鏡像 22、為什么需要端口鏡像 23、端口鏡像的別名 24、支持端口鏡像的交換機(jī) 35、各種交換機(jī)端口鏡像配置 3CISCO CATALYST 交換機(jī)端口監(jiān)聽(tīng)配置 3CISCO:3550 IOS 端口映射的舉例 3CATALYST 4000/5000/6000 系列交換機(jī)端口監(jiān)聽(tīng)配置 （基于 CAT OS） 43COM 交換機(jī)端口監(jiān)聽(tīng)配置 5DELL 交換機(jī)端口監(jiān)聽(tīng)配置 5N ETCORE 交換機(jī)端口監(jiān)聽(tīng)配置 7INTEL 交換機(jī)端口監(jiān)聽(tīng)配置 7AVAYA 交換機(jī)端口監(jiān)聽(tīng)配置 8港灣交換機(jī)的配置 8北電交換的設(shè)置 9華為交換機(jī)端口監(jiān)聽(tīng)配置 9HP 交換機(jī)端口監(jiān)聽(tīng)配置 10EXTR

2、EME 交換機(jī) 10FOUNDRY 交換機(jī) 12JUNIPER 交換機(jī) 131、什么是端口鏡像把交換機(jī)一個(gè)或多個(gè)端口（ VLAN ）的數(shù)據(jù)鏡像到一個(gè)或多個(gè)端口的方法。 端口鏡像（ Port Mirroring ）可以讓用戶將所有的流量從一個(gè)特定的端口復(fù)制到 一個(gè)鏡像端口。 如果您的交換機(jī)提供端口鏡像功能， 則允許管理人員自行設(shè)置一 個(gè)監(jiān)視管理端口來(lái)監(jiān)視被監(jiān)視端口的數(shù)據(jù)。 監(jiān)視到的數(shù)據(jù)可以通過(guò) PC 上安裝的 網(wǎng)絡(luò)分析軟件來(lái)查看，通過(guò)對(duì)數(shù)據(jù)的分析就可以實(shí)時(shí)查看被監(jiān)視端口的情況。 端口鏡像選取的設(shè)備原則為網(wǎng)絡(luò)中連接重要服務(wù)器群的交換機(jī)或路由器， 或是連 接到網(wǎng)通的出口路由器。2、為什么需要端口鏡像

3、通常為了部署流量分析、 IDS 等產(chǎn)品需要監(jiān)聽(tīng)網(wǎng)絡(luò)流量，但是在目前廣泛 采用的交換網(wǎng)絡(luò)中監(jiān)聽(tīng)所有流量有相當(dāng)大的困難， 因此需要通過(guò)配置交換機(jī)來(lái)把 一個(gè)或多個(gè)端口（ VLAN ）的數(shù)據(jù)轉(zhuǎn)發(fā)到某一個(gè)端口來(lái)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的監(jiān)聽(tīng)。3、端口鏡像的別名 端口鏡像通常有以下幾種別名： Port Mirroring 通常指允許把一個(gè)端口的流量復(fù)制到另外一個(gè)端口， 同時(shí)這個(gè)端口 不能再傳輸數(shù)據(jù)。Monitoring Port監(jiān)控端口Spanning Port通常指允許把所有端口的流量復(fù)制到另外一個(gè)端口， 同時(shí)這個(gè)端口 不能再傳輸數(shù)據(jù)。SPAN port在 Cisco 產(chǎn)品中， SPAN 通常指 Switch Por

4、t ANalyzer 。某些交換機(jī)的 SPAN端口不支持傳輸數(shù)據(jù)。 Link Mode port4、支持端口鏡像的交換機(jī)大多數(shù)中檔以上的交換機(jī)都支持端口鏡像功能，但支持程度不同。5、各種交換機(jī)端口鏡像配置大多數(shù)三層交換機(jī)和部份兩層交換機(jī)，具備端口鏡像功能，不同的交換機(jī)或不同的型號(hào)，鏡像配置方法的有些區(qū)別，下面我們提供常見(jiàn)交換機(jī)的鏡像配置方法：Cisco CATALYST 交換機(jī)端口監(jiān)聽(tīng)配置CISCO CATALYST 交換機(jī)分為兩種，在 CATALYST家族中稱監(jiān)聽(tīng)端口為分析端 口(an alysis port)。1、Catalyst 2900XL/3500XL/2950系列交換機(jī)端口監(jiān)聽(tīng)配置

5、(基于CLI)以下命令配置端口監(jiān)聽(tīng)：port mon itor例如，F(xiàn)0/1 和 F0/2、F0/5 同屬 VLAN1，F(xiàn)0/1 監(jiān)聽(tīng) F0/2、F0/5 端口：in terface FastEther net0/1port mon itor FastEther net0/2port mon itor FastEther net0/5port mo nitor VLAN1 cisco:3550 IOS 端口映射的舉例mon itor sessi on 1 source in terface Fa0/32 both以上命令的意思是：在監(jiān)控組，組"1"的設(shè)置中，將Fa0/32的

6、流量作為"源數(shù)據(jù)" 命令的后面還有選項(xiàng)分別是rx,tx,both 。rx意思是僅將該接口接收的流量作為" 源數(shù)據(jù)"°tx的意思是僅將該接口發(fā)送的流量作為"源數(shù)據(jù)"。both的意思是將該接 收進(jìn)出的流量都作為 "源數(shù)據(jù)"。其中 f0/32 口是上行到出口路由器的口，所以這 里設(shè)置此口監(jiān)控。這樣設(shè)置的問(wèn)題是，公司內(nèi)部 PC-PC 之間的流量是監(jiān)控不到的。而 cisco 設(shè)備又 只能設(shè)置一個(gè) "both" 狀態(tài)的口。所以這個(gè)是相對(duì)比較好的設(shè)置方案。monitor session 1 dest

7、ination interface Fa0/5以上命令的意思是：在監(jiān)控組，組 "1" 的設(shè)置中，將 Fa0/5 作為監(jiān)控的目的口，也 就是監(jiān)控服務(wù)器所插的口。設(shè)置完成后，該口將接收到監(jiān)控組組 "1"" 源接口 "，在 這里也就是 Fa0/32 的數(shù)據(jù)。注意 cisco 設(shè)備一旦設(shè)置了監(jiān)控后， 監(jiān)控的目的口將不會(huì)再接收三層數(shù)據(jù)。 通常的 理解就是："會(huì)斷網(wǎng)"。Catalyst 4000/5000/6000 系列交換機(jī)端口監(jiān)聽(tīng)配置 (基于 CatOS)支持 2 組鏡像EnShow module ( 確認(rèn)端口所在的模塊

8、)Set span source(mod/port) destination(mod/port) in|out|both inpkts enableWrite tern allShow span注：多個(gè) source ：mod/port,mod/port-mod/port連續(xù)端口用橫桿 “ ”，非連續(xù)端口用逗號(hào)“，”set span enable允許鏡像set span disable禁止鏡像用于建立第二set span source destination in|out|both inpkts enable create （create 組鏡像 ）以下命令配置端口監(jiān)聽(tīng)：set spa n例如

9、，模塊6中端口 1和端口 2同屬VLAN1 ,端口 3在VLAN2，端口 4和5在VLAN2，端口 2 監(jiān)聽(tīng)端口 1 和 3、4、5，set spa n 6/1,6/3-5 6/23C0M交換機(jī)端口監(jiān)聽(tīng)配置在3C0M交換機(jī)中，端口監(jiān)聽(tīng)被稱為 “Roving Analysis ”。網(wǎng)絡(luò)流量被監(jiān)聽(tīng)的端 口稱作 監(jiān)聽(tīng)口 ”( Monitor Port )，連接監(jiān)聽(tīng)設(shè)備的端口稱作 分析口 ”( Analyzer Port )。以下命令配置端口監(jiān)聽(tīng)：指定分析口feature rovingAnalysis add，或縮寫(xiě) f r a例如：Select menu optio n: feature rovin

10、gAn alysis addSelect an alysis slot: 1Select an alysis port: 2指定監(jiān)聽(tīng)口并啟動(dòng)端口監(jiān)聽(tīng)feature rovingAnalysis start，或縮寫(xiě) f r sta例如：Select menu optio n: feature rovingAn alysis startSelect slot to monitor (1-12): 1Select port to monitor&nb sp; (1-8): 3停止端口監(jiān)聽(tīng)feature rovingAnalysis stop，或縮寫(xiě) f r stoDELL交換機(jī)端口監(jiān)聽(tīng)配置

11、在Dell交換機(jī)中，端口監(jiān)聽(tīng)被稱為 端口鏡像”（Port Mirroring ）。使用交換機(jī) 的管理界面，參數(shù)如下：Dest in ation Port（目的地端口）：定義端口通信要鏡像到的端口號(hào)；Source Port （源端口）：定義被鏡像端口的端口號(hào)。Add （添加）：添加端口鏡像操作。Type （類型）：指定要鏡像的端口通信類型。 可能的字段值包括：“ RX-表示鏡 像進(jìn)入網(wǎng)絡(luò)的數(shù)據(jù)；“TX'-表示鏡像流出網(wǎng)絡(luò)的數(shù)據(jù)；Both （）-表示鏡像所有數(shù) 據(jù)。Status （狀態(tài)）：表示端口的狀態(tài)?？赡艿淖侄沃蛋ǎ骸?Active -表示端口被啟用；“Not Active -表示端

12、口被禁用。Remove （刪除）：刪除端口鏡像會(huì)話?？赡艿淖侄沃蛋ǎ阂堰x取”-刪除端口鏡像會(huì)話；朱選取”-保留端口鏡像會(huì)話。具體設(shè)置：1、 在Port Mirroring 對(duì)話框中的Destination Port中選中目的端口（鏡像端口）， 再單擊Add按鈕；2、在系統(tǒng)將打開(kāi)“ Add Source Port （添加源端口）頁(yè)面中，定義“ Source Port（源端口）和“Type”（類型）字段，并單擊“Apply Changes”（應(yīng)用更改）， 使 系統(tǒng)接收更改。（注：如果需要從端口鏡像會(huì)話刪除副本端口，請(qǐng)打開(kāi) “ Port Mirrori ng ”（端口鏡 像）頁(yè)面，選取“ Remo

13、ve （刪除）復(fù)選框，再單擊 “ Apply Cha nges（應(yīng)用更 改）。系統(tǒng)將刪除端口鏡像會(huì)話，并更新設(shè)備。）以下命令配置端口監(jiān)聽(tīng)：指定分析口CLI命令實(shí)例：Con sole（c on fig）# in terface ether net 1/e1Con sole（c on fig-if）# port mon itor 1/e8Con sole# show ports mon itorSource port Desti nati on Port Type Status1/e1 1/e8 RX, TX ActiveNetCore交換機(jī)端口監(jiān)聽(tīng)配置NetCore交換機(jī)中，端口監(jiān)聽(tīng)被稱為端口鏡

14、像”(Port Mirroring )交換機(jī)提供四種監(jiān)視狀態(tài)：Off關(guān)閉Mirror功能Rx捕獲被監(jiān)視端口的接收數(shù)據(jù)Tx捕獲被監(jiān)視端口的發(fā)送數(shù)據(jù)Both捕獲被監(jiān)視端口的接收和發(fā)送的數(shù)據(jù)進(jìn)入NetCore的超級(jí)終端，在主菜單中輸入“5進(jìn)入端口鏡像設(shè)置界面，輸入“ T設(shè)置端口鏡像狀態(tài)。如設(shè)置端口 1為鏡像端口，端口 8為被鏡像端口，捕獲該端口的接收和發(fā)送數(shù)據(jù)。 配置命令如下：1. 選擇配置的選項(xiàng)(1,off, 2.Rx, 3.Tx, 4.Both): 42. 選擇捕獲端口： 13. 選擇被鏡像端口： 8按Esc鍵退回鏡像設(shè)置界面，設(shè)置成功。In tel交換機(jī)端口監(jiān)聽(tīng)配置In tel稱端口監(jiān)聽(tīng)為“

15、Mirror Ports 。網(wǎng)絡(luò)流量被監(jiān)聽(tīng)的端口稱作源端口”(Source Port )，連接監(jiān)聽(tīng)設(shè)備的端口稱作鏡像口”(Mirror Port )。配置端口監(jiān)聽(tīng)步驟如下：在 navigation菜單，點(diǎn)擊 Statistics 下的 Mirror Ports ，彈出 Mirror Ports信息。在Con figure Source列中點(diǎn)擊端口來(lái)選擇源端口，彈出Mirror PortsCon figuratio n。進(jìn)行源端口設(shè)置:源端口是鏡像流量的來(lái)源口，鏡像口是接收來(lái)自源端口流量的端口。點(diǎn)擊Apply確定可以選擇三種監(jiān)聽(tīng)的方式：1 .連續(xù)(Always ):鏡像全部流量。2 .周期(Pe

16、riodic ):在一定周期內(nèi) 鏡像全部流量。鏡像周期在Sampling Intervalcon figurati on中設(shè)置。3 .禁止(Disabled ):關(guān)閉流量鏡像。Avaya交換機(jī)端口監(jiān)聽(tīng)配置在Avaya交換機(jī)用戶手冊(cè)中，端口監(jiān)聽(tīng)被稱為端口鏡像”(Port Mirror ) 以下命令配置端口監(jiān)聽(tīng):set|clear Port Mirror設(shè)置端口偵聽(tīng)：set port mirror source-portmirror-portsampli ng always max-packets -secpiggyback-port 禁止端口監(jiān)聽(tīng)：clear port mirror命令中,mod

17、-port -rangemod-port-specpiggyback-port指定端口的范圍；指定特定的端口；指定雙向鏡像的端口;sampli ng 指定鏡像周期；max-packets-sec 僅在 sampling 設(shè)置為 periodic 時(shí)使用，指定監(jiān)聽(tīng)口每秒最多的數(shù)據(jù)報(bào)數(shù)量。港灣交換機(jī)的配置conf mirr 1 to 24 （設(shè)置鏡像端口 24 ）conf mirr 1 add port 21,25 in （ 需要鏡像的端口入流量）conf mirr 1 add port 21,25 eg（ 需要鏡像的端口出流量）conf mirr 1 dis （ 消除鏡像）北電交換的設(shè)置Pass

18、port8600 的做端口鏡像的命令 （ 在 86 的 cli 接口下做 ）實(shí)際上這些工作都可以在 Java Device Manager下面做 （ 一個(gè)非常直觀的圖形化配置工具）1.第一步 config diag mirror-by-port enable true打開(kāi)端口鏡像功能2. config diag mirror-by-port 1 create in-port 3/46 out 3/2這句話的意思就是創(chuàng)建一個(gè)端口鏡像條目 1（1 只是一個(gè) id 用來(lái)區(qū)別不同條目 ） 被鏡像的端口是 3/46,3/2 就是用于接 Sniffer 的端口3. config diag mirror-b

19、y-port 1 mode both 這句話意思是被鏡像的端口的雙向流量都要被 Monitor 用完之后要 config diag mirror-by-port enable false 華為交換機(jī)端口監(jiān)聽(tīng)配置 華為 6506R：如： mirroring-group 1 inband gigabitethernet 1/0/0 mirroring to gigabitethernet 1/0/1 把該交換機(jī)的 1/0/0 端口，鏡像到 1/0/1華為 s8512下面為將 4/1 的出流量和入流量全部境像到 4/2 上：Mirroring-group 1 outbound 4/1 mirrore

20、d-to 4/2Mirroring-group 2 inbound 4/1 mirrored-to 4/2華為 VRP S3526 ver3.1 華為交換機(jī)用戶手冊(cè)中，端口監(jiān)聽(tīng)被稱為 “端口鏡像 ”（ Port Mirroring ）。 使用 Huawei Lanswitch View 管理系統(tǒng)添加一個(gè)鏡像端口：選擇Device Setup 或 Stack Setup。點(diǎn)擊Port Mirroring 。點(diǎn)擊 Add按鈕。對(duì)于堆疊，點(diǎn)擊Switch并從列表選擇一個(gè)交換機(jī)。點(diǎn)擊Reflect from并選擇流量將被鏡像的端口。點(diǎn)擊Reflect to并選上面所選擇的端口上的HP交換機(jī)端口監(jiān)聽(tīng)配置

21、全局模式（conf ter）：mirror-port a6（a6為接流量分析軟件的端口）int a1-a3,a5,vlan20,trk2,mesh monitor （設(shè)置 a1,a2,a3,a5,trunk2 mesh為被境像的端口，即源端口）show mon itor（顯示境像設(shè)置結(jié)果）ctrl+zwrite memory（保存）Extreme 交換機(jī)特點(diǎn)：只能創(chuàng)建多對(duì)一或者一對(duì)一的鏡像端口可以監(jiān)聽(tīng) VLAN 的流量 Extreme會(huì)鏡像IN和OUT的流量。這就意味著在鏡像VLAN 的時(shí)候，會(huì)看到一個(gè)報(bào)文至少兩次一一從 VLAN 的某個(gè)端口出來(lái)，并且進(jìn)入VLAN 的另一個(gè)端口。版本高于4.1

22、的Extreme交換機(jī)端口鏡像配置方法en able | disable mirrori ng on port開(kāi)啟/關(guān)閉端口鏡像功能，并且指定鏡像流量從何端口流出,port-no只能是一個(gè)端configure mirroring add | delete vlan | port 指定鏡像哪個(gè)或哪些 VLAN 或端口的流量 vlan | port 部分可以重復(fù)多次。版本低于 4.1 的 Extreme 交換機(jī)端口鏡像配置方法enable mirror to port port-no開(kāi)啟端口鏡像功能，并且指定鏡像流量從何端口流出，port-no 只能是一個(gè)端口disable mirror關(guān)閉端口鏡像功能config mirror add port鏡像端口port-no 的流量， 如果這個(gè)端口包含多個(gè)VLAN 這些流量都會(huì)被鏡像到目的端口config mirror add port vlan鏡像端口port-no 中指定 VLAN 的流量config mirror add vlan鏡像端口中指定 VLAN 的所有端口的流量config mirror del portconfig mirror del vl