端口監(jiān)聽原理

1、交換機(jī)端口的監(jiān)聽配置技巧Catalyst 1900系列交換機(jī)概述Catalyst 1900系列交換機(jī)是以太網(wǎng)絡(luò)較好的工業(yè)標(biāo)準(zhǔn)。它為每個(gè)以太網(wǎng)口提供了低廉的價(jià)格，在工作組中為每個(gè)到桌面的連接提供了10M甚至更高的性能。Catalyst 1900系列交換機(jī)提供了較好的易用性和基于Web的管理界面。標(biāo)準(zhǔn)版本的交換機(jī)在升級(jí)到企業(yè)版時(shí)具有良好的靈活性和擴(kuò)展性，安全性帶寬優(yōu)化，支持網(wǎng)絡(luò)多媒體，和VLAN企業(yè)版本的交換機(jī)預(yù)裝有企業(yè)版的軟件，提供標(biāo)準(zhǔn)版的升級(jí)工具包。 Catalyst 1900 系列標(biāo)準(zhǔn)版：面向各個(gè)桌面和10BaseT集線器的最低成本的交換型以太網(wǎng)；面向100BaseT或100BaseFX主干

2、或服務(wù)器的高速連接；可升級(jí)到企業(yè)版的軟件； Catalyst 1900 系列企業(yè)版：端到端ISL VLAN；通過Fast EtherChannel技術(shù)提供帶寬集合；通過TACACS和多級(jí)控制臺(tái)訪問提供增強(qiáng)的安全；通過Cisco IOS命令行接口(CLI)跨Cisco產(chǎn)品線提供一致的管理界面。1900交換機(jī)適用于網(wǎng)絡(luò)末端的桌面計(jì)算機(jī)接入，是一款典型的低端產(chǎn)品。它提供12或24個(gè)10M端口及2個(gè)100M端口，其中100M端口支持全雙工通訊，可提供高達(dá)200Mbps的端口帶寬。機(jī)器的背板帶寬是320Mbps。 帶企業(yè)版軟件的1900還支持VLAN和ISL Trunking，最多4個(gè)VLAN，但一般情

3、況下，低端的產(chǎn)品對(duì)這項(xiàng)功能的要求不多。某些型號(hào)的1900帶100BaseFX光纖接口。如C1912C、C1924C帶一個(gè)百兆Tx口和一個(gè)百兆Fx口，C1924F帶兩個(gè)100BaseFX接口。 Cisco 1900設(shè)置用80端口的WEB接口來管理。剛一登陸后看到的界面是1900的一個(gè)很簡單的圖形化界面示意當(dāng)前交換機(jī)上接口的物理連接狀況。 在第二欄上的PORT上可以很快的查到當(dāng)前各個(gè)端口的配置狀態(tài)。 在ADDRESS項(xiàng)目里，我們首先需要在動(dòng)態(tài)的地址表里查看自己的主機(jī)MAC地址所對(duì)應(yīng)的交換機(jī)上的以太接口號(hào)。SNMP里面是用來設(shè)置遠(yuǎn)程SNMP管理的一些項(xiàng)目。 在SPAN欄里就是我們這次工作的重點(diǎn)了，在

4、默認(rèn)情況下交換機(jī)里面是沒有啟動(dòng)SPAN監(jiān)聽的。最后配置好了以后就是這個(gè)狀態(tài)，我們?cè)诮粨Q機(jī)的Ethernet8口上監(jiān)聽所有其他口的數(shù)據(jù)流量。 另外在狀態(tài)欄中我們可以時(shí)時(shí)的查看交換機(jī)上所有口的數(shù)據(jù)流量的情況，包括接收轉(zhuǎn)發(fā)等等。 交換機(jī)端口的監(jiān)聽配置技巧（2） 3COM交換機(jī)端口監(jiān)聽配置在3COM交換機(jī)用戶手冊(cè)中，端口監(jiān)聽被稱為“Roving Analysis”。網(wǎng)絡(luò)流量被監(jiān)聽的端口稱作“監(jiān)聽口”（Monitor Port），連接監(jiān)聽設(shè)備的端口稱作“分析口”（Analyzer Port）。 以下命令配置端口監(jiān)聽： 指定分析口 feature rovingAnalysis add，或縮寫 f r a，

5、 例如： Select menu option: feature rovingAnalysis add Select analysis slot: 1 Select analysis port: 2 指定監(jiān)聽口并啟動(dòng)端口監(jiān)聽 feature rovingAnalysis start，或縮寫 f r sta， 例如： Select menu option: feature rovingAnalysis start Select slot to monitor (1-12): 1 Select port to monitor (1-8): 3 停止端口監(jiān)聽 feature rovingAnalys

6、is stop，或縮寫 f r sto， 刪除分析口并還原其狀態(tài) feature rovingAnalysis remove，或者使用縮寫 f r r， 使用此命令之前需執(zhí)行停止端口監(jiān)聽命令。 查看分析口和監(jiān)聽口的設(shè)置： feature rovingAnalysis summary，或者使用縮寫 f r su， 例如： Select menu option: feature rovingAnalysis summary Monitor port Analysis port State - - - - - - - - - - - - - - - - - - - - - - - - - - - -

7、 - - - - - - - - - - - - - - - - - - Slot 3 Port 5 Slot1 Port2 Enabled Intel交換機(jī)端口監(jiān)聽配置Intel稱端口監(jiān)聽為“Mirror Ports”。 網(wǎng)絡(luò)流量被監(jiān)聽的端口稱作“源端口”（Source Port），連接監(jiān)聽設(shè)備的端口稱作“鏡像口”（Mirror Port）。 以下步驟配置端口監(jiān)聽： 在navigation菜單，點(diǎn)擊Statistics下的Mirror Ports，彈出Mirror Ports信息。 在Configure Source 列中點(diǎn)擊端口來選擇源端口，彈出Mirror Ports Configura

8、tion。 進(jìn)行源端口設(shè)置： 源端口是鏡像流量的來源口，鏡像口是接收來自源端口流量的端口。 點(diǎn)擊Apply確定 可以選擇三種監(jiān)聽的方式： 1連續(xù)（Always）：鏡像全部流量。 2周期（Periodic）：在一定周期內(nèi)鏡像全部流量。鏡像周期在Sampling Interval configuration中設(shè)置。 3禁止（Disabled）：關(guān)閉流量鏡像。 華為交換機(jī)端口監(jiān)聽配置在華為交換機(jī)用戶手冊(cè)中，端口監(jiān)聽被稱為“端口鏡像”（Port Mirroring）。 使用Huawei Lanswitch View管理系統(tǒng)添加一個(gè)鏡像端口： 選擇Device Setup或Stack Setup。 點(diǎn)擊

9、Port Mirroring。 點(diǎn)擊Add按鈕。 對(duì)于堆疊，點(diǎn)擊Switch并從列表選擇一個(gè)交換機(jī)。 點(diǎn)擊Reflect from并選擇流量將被鏡像的端口。 點(diǎn)擊Reflect to并選上面所選擇的端口上的流量將被鏡像至的目的端口。 配置Ethernet0/1為監(jiān)控口， Ethernet0/2為被監(jiān)控口。monitor-port Ethernet0/1monitor Ethernet0/2show monitor 查看設(shè)置是否正常刪除端口映射信息no monitor-port Ethernet0/1no monitor Ethernet0/2請(qǐng)進(jìn)入下一頁，繼續(xù)了解Avaya交換機(jī)的監(jiān)聽配置：

10、交換機(jī)端口的監(jiān)聽配置技巧（3） Avaya交換機(jī)端口監(jiān)聽配置在Avaya交換機(jī)用戶手冊(cè)中，端口監(jiān)聽被稱為“端口鏡像”（Port Mirror）。 以下命令配置端口監(jiān)聽： set|clear Port Mirror 使能端口監(jiān)聽：set port mirror <mod-port-range> source-port <mod-port-range> mirror-port <mod-port-spec> sampling always | disable | periodic max-packets-sec < max-packets-sec-valu

11、e> piggyback-port <mod-port-spec> 禁止端口監(jiān)聽：clear port mirror <mod-port-range> 命令中，mod-port-range指定端口的范圍；mod-port-spec指定特定的端口；piggyback-port指定雙向鏡像的端口；sampling指定鏡像周期；max-packets-sec僅在sampling設(shè)置為periodic時(shí)使用，指定監(jiān)聽口每秒最多的數(shù)據(jù)報(bào)數(shù)量。 Cisco交換機(jī)端口監(jiān)聽配置1. Catalyst 2900XL/3500XL/2950系列交換機(jī)端口監(jiān)聽配置 以下命令配置端口監(jiān)聽

12、： port monitor 例如，F(xiàn)0/1和F0/2、F0/2同屬VLAN1，F(xiàn)0/1監(jiān)聽F0/2、F0/2端口： interface FastEthernet0/1 port monitor FastEthernet0/2 port monitor FastEthernet0/5 port monitor VLAN1 2. Catalyst 4000，5000，and 6000系列交換機(jī)端口監(jiān)聽配置 以下命令配置端口監(jiān)聽： set span 例如，模塊6中端口1和端口2同屬VLAN1，端口3在VLAN2，端口4和5在VLAN2，端口2監(jiān)聽端口1和3、4、5， set span 6/1,6/

13、3-5 6/2 以下命令禁止端口監(jiān)聽： set span disable dest_mod/dest_port|all 交換機(jī)端口的監(jiān)聽配置技巧（4） 3Com網(wǎng)管軟件的簡單應(yīng)用說到簡單的網(wǎng)絡(luò)管理這里我介紹的是3Com公司的3Com Network Supervisor 網(wǎng)管軟件。這是一種基于Windows系列平臺(tái)的應(yīng)用，可以提供強(qiáng)大而易于使用的網(wǎng)絡(luò)管理，以滿足企業(yè)的需求。通過以下的功能，該軟件大大地簡化了網(wǎng)絡(luò)管理員的工作: 1. 自動(dòng)探測(cè)網(wǎng)絡(luò)中的設(shè)備- 能探測(cè)到其它可網(wǎng)管產(chǎn)品 2. 主動(dòng)識(shí)別存在的問題- 不同網(wǎng)址段，不同VLAN段都可識(shí)別 3. 向?qū)?qū)動(dòng)的圖形化用戶接口- 控制方便，一切盡在

14、掌握中 4. 自動(dòng)網(wǎng)絡(luò)報(bào)警以快速解決問題- 交換機(jī)運(yùn)作情況可通過e-mail實(shí)時(shí)傳送到網(wǎng)管 為網(wǎng)絡(luò)設(shè)備的管理軟件升級(jí)是一項(xiàng)非常緊張耗時(shí)的工作，尤其是對(duì)大型網(wǎng)絡(luò)。網(wǎng)絡(luò)管理員經(jīng)常需要對(duì)每一臺(tái)網(wǎng)絡(luò)設(shè)備的管理軟件進(jìn)行逐個(gè)升級(jí)，并且分別記錄不同設(shè)備的軟件版本信息。企業(yè)也經(jīng)常會(huì)因?yàn)榈却匾萝浖陌l(fā)布而錯(cuò)過了對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行有效更新和加強(qiáng)新功能的機(jī)會(huì)。今天，我來簡單介紹下3Com公司推出的3Com Network Supervisor這一功能強(qiáng)大并且易于使用的網(wǎng)絡(luò)管理應(yīng)用軟件為網(wǎng)絡(luò)管理人員提供了可以節(jié)省時(shí)間的選擇方案。3Com公司在這套創(chuàng)新軟件產(chǎn)品中加入了許多新功能，包括網(wǎng)絡(luò)管理人員只需要進(jìn)行幾次點(diǎn)擊便可以

15、通過網(wǎng)絡(luò)輕松進(jìn)行網(wǎng)絡(luò)設(shè)備管理軟件的升級(jí)。 3Com公司的Network Supervisor網(wǎng)絡(luò)管理軟件的增強(qiáng)產(chǎn)品包能夠幫助網(wǎng)絡(luò)管理人員通過大型網(wǎng)絡(luò)輕松完成新軟件的升級(jí)工作。這一創(chuàng)新功能是通過Network Supervisor網(wǎng)絡(luò)管理軟件基于Web的“即時(shí)更新”功能下載最新版本的3Com設(shè)備軟件而得以實(shí)現(xiàn)的。網(wǎng)絡(luò)管理人員可以憑借這一功能保持網(wǎng)絡(luò)設(shè)備始終運(yùn)行在最新版本的管理軟件之上，并且能夠迅速地利用新管理軟件所具有的新功能。Network Supervisor網(wǎng)絡(luò)管理軟件的增強(qiáng)產(chǎn)品包還提高了3Com Network Supervisor網(wǎng)絡(luò)管理軟件所能夠支持的節(jié)點(diǎn)數(shù)，使其能夠被用來管理更大規(guī)

16、模的網(wǎng)絡(luò)能夠支持多達(dá)2500臺(tái)IP設(shè)備。 3Com公司的Network Supervisor Version 3.5版本現(xiàn)在已經(jīng)能夠支持作為網(wǎng)絡(luò)管理軟件安全性基礎(chǔ)之一的多重SNMP community string。這一功能可以使網(wǎng)絡(luò)管理人員加強(qiáng)對(duì)網(wǎng)絡(luò)設(shè)備管理的控制能力，防止假冒的管理者對(duì)設(shè)備配置隨意改動(dòng)。3.5版的Network Supervisor Version軟件還能夠以IP子網(wǎng)的形式或者簡單的第二層視圖的方式來向網(wǎng)絡(luò)管理人員展示網(wǎng)絡(luò)圖，因而即使是對(duì)于超大型的網(wǎng)絡(luò)，該軟件也能夠?yàn)槠涔芾砣藛T提供一幅有關(guān)網(wǎng)絡(luò)整體環(huán)境布局的完整視圖。利用開放的網(wǎng)絡(luò)管理平臺(tái)進(jìn)行網(wǎng)絡(luò)管理，3.5版的Networ

17、k Supervisor Version軟件還能夠?qū)崿F(xiàn)從3Com Network Supervisor網(wǎng)管平臺(tái)上向HP OpenView Network Node Manager平臺(tái)上轉(zhuǎn)發(fā)告警信息，從而使網(wǎng)絡(luò)的管理人員能夠更加集中地對(duì)網(wǎng)絡(luò)運(yùn)行狀態(tài)進(jìn)行監(jiān)控。 3Com公司的Network Supervisor網(wǎng)絡(luò)管理軟件能夠通過圖形化方式來發(fā)現(xiàn)、映射并且展示網(wǎng)絡(luò)中的各種鏈路配置以及IP設(shè)備分布情況，其中包括3Com公司的3Com NBX IP話音系統(tǒng)以及來自包括Cisco、HP和Nortel等其他廠商的第三方設(shè)備。利用Network Supervisor網(wǎng)絡(luò)管理軟件，管理人員能夠輕松地對(duì)網(wǎng)絡(luò)所承

18、受的流量壓力進(jìn)行監(jiān)控、設(shè)定極限與告警、觀察網(wǎng)絡(luò)事件、以用戶所要求的格式生成監(jiān)測(cè)報(bào)告并運(yùn)行各類設(shè)備配置工具。 在做簡單的網(wǎng)絡(luò)管理的時(shí)候我采用的是3COM公司的這款網(wǎng)絡(luò)管理軟件。它體積小巧但是功能還算不錯(cuò)，是個(gè)很好的網(wǎng)絡(luò)管理入門級(jí)的軟件，安裝好了之后我們需要在FILE菜單里選擇NEW的項(xiàng)目。 通常情況下，3COM的工具可以應(yīng)用在各種網(wǎng)絡(luò)環(huán)境下包括在公網(wǎng)上使用，我們這里為了簡單的講解就選擇在當(dāng)前的子網(wǎng)里進(jìn)行自動(dòng)發(fā)現(xiàn)。 默認(rèn)情況下有很多個(gè)具體的參數(shù)需要設(shè)置但我們也可以全部選用默認(rèn)的配置等以后使用多了再慢慢摸索，直接點(diǎn)擊完成就好了。 之后軟件會(huì)自動(dòng)的搜索我們所定義的當(dāng)前網(wǎng)絡(luò)的范圍主機(jī)。 交換機(jī)端口的監(jiān)聽

19、配置技巧（5） 掃描完成后，就可以看到如圖的網(wǎng)絡(luò)拓?fù)鋱D了，是不是非常直觀我們可以清楚的看到中間是一臺(tái)CISCO 1900的交換機(jī)在它上面接著需要終端計(jì)算機(jī)，1900上層是一臺(tái)CISCO 3640的路由設(shè)備，整個(gè)網(wǎng)絡(luò)結(jié)構(gòu)很清楚的展現(xiàn)在了我們面前。 選擇其中一臺(tái)計(jì)算機(jī)的圖標(biāo)用鼠標(biāo)右鍵可以立即開始一個(gè)監(jiān)視進(jìn)程，我們可以看到所有用綠色圖標(biāo)表示的計(jì)算機(jī)都是正在監(jiān)視而且被監(jiān)視計(jì)算機(jī)情況屬于正常狀況。 通過查看詳細(xì)的監(jiān)視表，我們知道這款軟件其實(shí)是用PING的方法和模擬一些簡單服務(wù)請(qǐng)求來判斷被監(jiān)視服務(wù)器的運(yùn)行狀況的，這里服務(wù)器可以模擬出ftp http smtp pop3 dns nfs等幾種不同的服務(wù)探測(cè)。

20、 當(dāng)發(fā)現(xiàn)其中有的服務(wù)器的一些服務(wù)停止響應(yīng)了以后，就會(huì)馬上用紅色的顯示來報(bào)警。上面拓?fù)浣Y(jié)構(gòu)中用紅色顯示的計(jì)算機(jī)就是被發(fā)現(xiàn)有服務(wù)停止響應(yīng)了狀態(tài)了。利用Network Supervisor網(wǎng)絡(luò)管理軟件，管理人員能夠輕松地對(duì)網(wǎng)絡(luò)所承受的流量壓力進(jìn)行監(jiān)控、設(shè)定極限與告警、觀察網(wǎng)絡(luò)事件、以用戶所要求的格式生成監(jiān)測(cè)報(bào)告并運(yùn)行各類設(shè)備配置工具。 這個(gè)軟件的自動(dòng)探測(cè)功能具有非常重要的作用，而第二層網(wǎng)絡(luò)視圖功能也為我們從網(wǎng)絡(luò)整體的角度了解網(wǎng)絡(luò)設(shè)備之間的關(guān)系提供了幫助。由于管理過程是通過一套"基于事業(yè)觸發(fā)的"系統(tǒng)來完成，而不是通過詢問的方式來實(shí)現(xiàn)，因而現(xiàn)在利用3Com公司的這套軟件的解決方案對(duì)大量的網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行監(jiān)控已經(jīng)變成了一項(xiàng)高效率、高靈活性的工作，極大減輕了網(wǎng)絡(luò)管理人員的負(fù)擔(dān)。支持端口鏡像的交換機(jī)型號(hào)：交換機(jī)品牌型號(hào)備注Ciscocisco catalyst 1900/2900/3500 series swithcesSPANcisco catalyst 4000/5000/6000 series swithces3Com3Com SuperStack II 3300Rovi