網(wǎng)絡(luò)協(xié)議分析端口鏡像

1、實驗二 端口鏡像【實驗?zāi)康摹?、掌握在交換機(jī)上配置端口鏡像的方法；2、通過網(wǎng)絡(luò)協(xié)議分析儀驗證端口鏡像是否配置正確；3、掌握網(wǎng)絡(luò)協(xié)議分析儀的基本使用方法。【實驗學(xué)時】4 學(xué)時【實驗環(huán)境】在如圖 2- 19 所示的實驗拓?fù)鋱D中，在交換機(jī)上配置端口鏡像，在主機(jī) C 上安裝銳捷協(xié)議分析教學(xué)系統(tǒng)，通過其中的網(wǎng)絡(luò)協(xié)議分析儀，對主機(jī) A 和主機(jī) B 之間的數(shù)據(jù)進(jìn)行捕獲。圖 2- 19 實驗拓?fù)鋱D【實驗內(nèi)容】1、學(xué)會在交換機(jī)上配置端口鏡像的方法；2、學(xué)會使用網(wǎng)絡(luò)協(xié)議分析儀捕獲網(wǎng)絡(luò)中特定主機(jī)流量的方法；3、絡(luò)協(xié)議分析儀的各個組成部分及其功能；4、學(xué)會分析數(shù)據(jù)幀的 MAC 首部和 LLC 首部的內(nèi)容；5、理解 M

2、AC 地址的作用；6、理解 MAC 首部中的長度/類型字段的功能；7、學(xué)會觀察并分析數(shù)據(jù)幀中的各個字段內(nèi)容?！緦嶒灹鞒獭块_始Step1:設(shè)定實驗環(huán)境Step2:配置交換機(jī)端口鏡像Step3:從主機(jī)A主機(jī)B理論復(fù)習(xí)YStep4:在主機(jī)C上捕獲數(shù)據(jù)幀問題？N結(jié)束圖 2- 20 實驗流程圖【實驗原理】根據(jù)交換機(jī)的轉(zhuǎn)發(fā)原理，交換機(jī)在收到一個數(shù)據(jù)幀后，根據(jù)該數(shù)據(jù)幀的目的 MAC 地址，通過查找 MAC 地址表可以將數(shù)據(jù)幀轉(zhuǎn)發(fā)給目的主機(jī)。這時，如果該 MAC 地址已經(jīng)存在于 MAC 地址表中，則交換機(jī)上連接的其余主機(jī)是沒有機(jī)會收到該幀的。如圖 2- 21 所示，主機(jī) A 和主機(jī) B 之間的數(shù)據(jù)流，主機(jī) C

3、 是無法接收到的，即使安裝了網(wǎng)絡(luò)協(xié)議分析儀，也不能捕獲主機(jī) A 和主機(jī) B 之間的數(shù)據(jù)。Step5:分析捕獲的數(shù)據(jù)幀Step6:驗證測試再次驗證圖 2- 21 沒有端口鏡像的時候但有時，出于一定的目的，例如想要特定主機(jī)的流量、部署 IDS 或者進(jìn)行網(wǎng)絡(luò)故障排查，就需要使用交換機(jī)的端口鏡像功能，以便能夠捕獲到轉(zhuǎn)發(fā)給不同目的主機(jī)的流量，對某些可疑端口進(jìn)行，同時又不影響被端口的。如圖 2- 22 所示，可以將連接主機(jī) A 和主機(jī) B 的端口鏡像到連接主機(jī) C 的端口上，這樣，主機(jī) A 和主機(jī) B 之間的數(shù)據(jù)就可以被主機(jī) C 捕獲到了。圖 2- 22 有端口鏡像的時候簡單的說，端口鏡像就是把交換機(jī)一個

4、或多個端口（源端口）的流量包括發(fā)送和接收的流量完全拷貝一份，發(fā)送給另外一個端口（目的端口），以便目的端口的主機(jī)可以收到源端口的所有進(jìn)出數(shù)據(jù)幀。這期間，目的端口不能收發(fā)自己的數(shù)據(jù)幀，完全作為源端口的鏡像存在。端口鏡像的數(shù)據(jù)流主要分為三類：、輸入數(shù)據(jù)流（RX）：指被源端口接收進(jìn)來，其數(shù)據(jù)副本發(fā)送至、輸出數(shù)據(jù)流（TX）：指從源端口發(fā)送出去，其數(shù)據(jù)副本發(fā)送至 (3)、雙向數(shù)據(jù)流（Both）：即為以上兩種的綜合。端口的數(shù)據(jù)流；端口的數(shù)據(jù)流；在交換機(jī)上配置端口鏡像需要在全局模式下，包括 2 個步驟：配置源端口和配置目的端口，命令格式為：Switch(config)# monitor sesseserfac

5、e-id rx/tx/both_number source/destinationerface type其中：monitor ses：配置端口鏡像令關(guān)鍵字；ses-number：端口鏡像的會話號，依據(jù)不同的設(shè)備型號支持的會話數(shù)不同，銳捷網(wǎng)絡(luò)的 RG-S3750-24 型交換機(jī)支持 1 個會話；source/destination：指明后續(xù)的端是端口鏡像的源端口還是目的端口；，即鏡像的源端口或者目的端口。如果指定的erface typeerface-id：指定接是源端換機(jī)會把這個端口的流量拷貝一份，可以輸入多個端口，多個用“,”隔開，連續(xù)的用“-”連接；如果指定的是目的端口，在源端口被拷貝的流量

6、會從這個端口發(fā)出去，注意，目的端不能被包含在源端口的范圍內(nèi)；rx/tx/both：可選項，在配置端口鏡像的源端口時使用，是指拷貝源端口雙向的（both）、僅輸入（rx）還是僅輸出（tx）的流量，默認(rèn)是 both。在配置端口鏡像任務(wù)時應(yīng)遵循以下原則：(1)、對數(shù)據(jù)進(jìn)行分析的設(shè)備應(yīng)搭接在端口上；、聚合鏈路端口只能作為端口鏡像任務(wù)的源端口；、在設(shè)置端口為源端口時，如果沒有指定數(shù)據(jù)流的方向，默認(rèn)為雙向；(4)、當(dāng)端口鏡像任務(wù)含有多個源端口時，這些端口可以來自不同的 VLAN；(5)、取消某一個端口鏡像任務(wù)令是：no monitor sesses-number；(6)、取消所有端口鏡像任務(wù)令是：no m

7、onitor sesall。在配置鏡像端口過程中，還應(yīng)考慮到數(shù)據(jù)流量過大時，設(shè)備的處理速度及端口數(shù)據(jù)緩存的大小，要盡量減少被數(shù)據(jù)包的丟失?！緦嶒灢襟E】步驟一：在交換機(jī)上配置端口鏡像主機(jī) A 連接交換機(jī)的 FastEthernet 0/1 端口，主機(jī) B 連接交換機(jī)的 FastEthernet 0/10端口，主機(jī) C 連接交換機(jī)的 FastEthernet 0/15 端口，在交換機(jī)上配置：Switch#configure terminalSwitch(config)#monitor ses！配置源端口為 F0/1 端口，Switch(config)#monitor ses！配置目的端口為 F0/

8、15 端口Switch(config)#exit1 sourceerface fastEthernet 0/1 both雙向數(shù)據(jù)流1 destinationerface fastEthernet 0/15步驟二：從主機(jī) A主機(jī) B1、為主機(jī) A 配置 IP 地址 192.168.1.10/24，并在主機(jī) A 上運行 ipconfig /all 命令，得到主機(jī) A 的 MAC 地址；圖 2- 23 主機(jī)A 的 MAC 地址2、為主機(jī) B 配置 IP 地址 192.168.1.20/24，并在主機(jī) B 上運行 ipconfig /all 命令，得到主機(jī) B 的 MAC 地址；圖 2- 24 主機(jī)B

9、 的 MAC 地址3、為主機(jī) C 配置 IP 地址 192.168.1.30/24，并在主機(jī) C 上運行 ipconfig /all 命令，得到主機(jī) C 的 MAC 地址；圖 2- 25 主機(jī) C 的 MAC 地址4、從主機(jī) A主機(jī) B，可以看到主機(jī) A 的 Windows 系統(tǒng)會發(fā)出 4 個包，并收到主機(jī) B 的 4 個響應(yīng)數(shù)據(jù)包；圖 2- 26 主機(jī)A主機(jī)B步驟三：在主機(jī) C 上運行網(wǎng)絡(luò)協(xié)議分析儀捕獲數(shù)據(jù)包1、在主機(jī) A主機(jī) B 的同時，在主機(jī) C 上運行網(wǎng)絡(luò)協(xié)議分析儀，點擊上的“開始”按鈕，捕獲數(shù)據(jù)包，并在上的“結(jié)束”按鈕，停止捕獲；命令運行結(jié)束后，點擊2、可以在網(wǎng)絡(luò)協(xié)議分析儀的“會話樹

10、”中，看到 8 個 ICMP 數(shù)據(jù)包，說明已經(jīng)捕獲到全數(shù)據(jù)包；3、將捕獲到的數(shù)據(jù)包“導(dǎo)出”保存。部的步驟四：對捕獲的數(shù)據(jù)包進(jìn)行分析圖 2- 27 顯示了捕獲的結(jié)果，8 個單播的 ICMP 協(xié)議數(shù)據(jù)包：圖 2- 27 端口鏡像捕獲結(jié)果從中可以看出，IP 地址為 192.168.1.30/24，MAC 地址為 00-12-3f-01-af-5a 的主機(jī) C，捕獲到了主機(jī) A （IP 地址為 192.168.1.10/24，MAC 地址為 00-21-85-04-8b-db）和主機(jī) B（IP 地址為 192.168.1.20/24，MAC 地址為 00-15-58-2f-7e-7e）之間的單播數(shù)據(jù)包

11、，說明端口鏡像正在生效。步驟五：驗證測試使用命令將交換機(jī)中的端口鏡像配置清除：Switch(config)#no monitor ses1此時，從主機(jī) A主機(jī) B，在主機(jī) C 上用網(wǎng)絡(luò)協(xié)議分析儀進(jìn)行捕獲，會發(fā)現(xiàn)無法捕獲到主機(jī) A、B 之間的單播數(shù)據(jù)包?！緟⒖寂渲谩縎witch#show runBuilding configuration.Current configuration : 1267 bytes!hostname Switch!vlan 1!no service password-encryption!erface FastEthernet 0/1!erface FastEthern

12、et 0/2!erface FastEthernet 0/3!erface FastEthernet 0/4!erface FastEthernet 0/5!erface FastEthernet 0/6!erface FastEthernet 0/7!erface FastEthernet 0/8!erface FastEthernet 0/9!erface FastEthernet 0/10!erface FastEthernet 0/11!erface FastEthernet 0/12!erface FastEthernet 0/13!erface FastEthernet 0/14!

13、erface FastEthernet 0/15!erface FastEthernet 0/16!erface FastEthernet 0/17!erface FastEthernet 0/18!erface FastEthernet 0/19!erface FastEthernet 0/20!erface FastEthernet 0/21!erface FastEthernet 0/22!erface FastEthernet 0/23!erface FastEthernet 0/24!erface GigabitEthernet 0/25!erface GigabitEthernet 0/26!erface GigabitEthernet 0/27!erface Gigab