端口镜像是网络设备中很重要的一项功能,起到了管理和监控的作用,对于设备的安全同样也有一定的作用,(监控某重要的 网络设备流通的报文信息,以防有不利于网络安全的事件发生)
端口镜像分为本地端口镜像(SPAN)和远程端口镜像(RSPAN)
本地端口镜像:局限于网络中同一台设备上,
远程端口镜像:镜像端口的被镜像端口不在同一台设备上,可以跨越网络,更方便网管人员对远程交换机设备进行管理
端口镜像的配置:
1.首先确定镜像源端口,以及被镜像报文的方向,inbound表示对端口接受的报文进行镜像,outbound表示对于端口发送的报文进行镜像,both则表示同时对端口接受和发送的报文进行镜像
2.确定镜像目的端口
远程端口镜像的示意图:
为了实现远程端口镜像,需要配置一个特殊的vlan,称之为Remote-probe VLAN,所有被镜像的报文都通过该vlan传到目的交换机的镜像端口。
源交换机:被监测端口所在的交换机,负责将镜像的流量通过Remote-probe VLAN向上转发,转发给中间交换机或目的交换机
中间交换机:源交换机和目的交换机之间的交换机,负责通过Remote-probe VLAN将镜像的流量向下一个中间交换机或者目的交换机 转发,如果源交换机与目的交换机中间直连,则不存在中间交换机。
目的交换机:检测端口所在的交换机,将接收到的流量通过镜像目的端口转发给检测设备。
实验准备:
华为S2000-HI交换机2台,h3c防火墙2台,pc一台,linux操作系统虚拟机一台(模拟监控设备)
实验1
本地端口镜像
拓扑图:
配置命令
数据监控设备有抓包工具模拟,安装wireshark或者别的抓包工具也行。
sw-1
<Quidway>system-view
[Quidway]sysname sw-1
[sw-1]int Vlan-interface 1
[sw-1-Vlan-interface1]ip add 192.168.2.4 24 //配置ip地址
[sw-1-Vlan-interface1]quit
[sw-1]local-user user1 //设置登录账户
New local user added.
[sw-1-luser-user1]password simple 1234
[sw-1-luser-user1]service-type telnet level 3
[sw-1-luser-user1]quit
[sw-1]user-interface vty 0 4
[sw-1-ui-vty0-4]authentication-mode scheme
[sw-1-ui-vty0-4]quit
sw-2配置
<Quidway>system-view
[Quidway]sysname sw-2
[sw-2]int Vlan-interface 1
[sw-2-Vlan-interface1]ip add 192.168.2.5 24
[sw-2-Vlan-interface1]quit
[sw-2]
sw-3配置
<Quidway>system-view
[Quidway]sysname sw-3
[sw-3]mirroring-group 1 local //设置本地端口镜像
[sw-3]mirroring-group 1 mirroring-port Ethernet 1/0/2 Ethernet 1/0/4 both // 设置被镜像端口
[sw-3]mirroring-group 1 monitor-port Ethernet 1/0/6 //设置镜像端口
[sw-3]dis mirroring-group 1 //查看本地镜像组
mirroring-group 1:
type: local
status: active
mirroring port:
Ethernet1/0/2 both
Ethernet1/0/4 both
monitor port: Ethernet1/0/6
测试:
远程端口镜像实验
拓扑图:
sw3配置
<Quidway>system-view
[Quidway]sysname sw3
[sw3]mirroring-group 1 remote-source //设置镜像组来源
[sw3]vlan 10
[sw3-vlan10]remote-probe vlan enable // 开启镜像相关的vlan
[sw3-vlan10]int e1/0/1
[sw3-Ethernet1/0/1]port link-type trunk //设置trunk口
[sw3-Ethernet1/0/1]port trunk permit vlan 10 // 允许vlan10 通过
Please wait... Done.
[sw3-Ethernet1/0/1]quit
[sw3]mirroring-group 1 mirroring-port Ethernet 1/0/3 inbound // 接收被镜像端口进入的报文
[sw3]mirroring-group 1 mirroring-port Ethernet 1/0/5 outbound // 接受被镜像端口出去的报文
[sw3]mirroring-group 1 remote-probe vlan 10
[sw3]mirroring-group 1 reflector-port e1/0/7 //映射镜像端口
[sw3]dis mirroring-group 1
mirroring-group 1:
type: remote-source
status: active
mirroring port:
Ethernet1/0/3 inbound
Ethernet1/0/5 outbound
reflector port: Ethernet1/0/7
remote-probe vlan: 10
[sw3]
sw2配置
<Quidway>system-view
[Quidway]sysname sw2
[sw2]vlan 10
[sw2-vlan10]remote-probe vlan enable
[sw2-vlan10]quit
[sw2]
[sw2]int e1/0/1
[sw2-Ethernet1/0/1]port link-type trunk
[sw2-Ethernet1/0/1]port trunk permit vlan 10
Please wait... Done.
[sw2-Ethernet1/0/1]int e1/0/3
[sw2-Ethernet1/0/3]port link-type trunk
[sw2-Ethernet1/0/3]port trunk permit vlan 10
Please wait... Done.
[sw2-Ethernet1/0/3]quit
[sw2]
sw1配置
<Quidway>system-view
[Quidway]sysname sw1
[sw1]vlan 10
[sw1-vlan10]remote-probe vlan enable
[sw1-vlan10]int e1/0/1
[sw1-Ethernet1/0/1]port link-type trunk
[sw1-Ethernet1/0/1]port trunk permit vlan 10
Please wait... Done.
[sw1-Ethernet1/0/1]quit
[sw1]mirroring-group 1 remote-destination
[sw1]mirroring-group 1 monitor-port e1/0/5
[sw1]mirroring-group 1 remote-probe vlan 10.
[sw1]dis mirroring-group 1
mirroring-group 1:
type: remote-destination
status: active
monitor port: Ethernet1/0/5
remote-probe vlan: 10
[sw1]
pc1配置(防火墙模拟)
<H3C>system-view
[H3C]sysname pc1
[pc1]local-user user1
New local user added.
[pc1-luser-user1]password simple 123
[pc1-luser-user1]service-type ftp
[pc1-luser-user1]q
[pc1]int eth0/0
[pc1-Ethernet0/0]ip add 192.168.2.4 24
[pc1-Ethernet0/0]quit
[pc1]
pc2配置
<H3C>system-view
[H3C]sysname pc2
[pc2]int eth0/0
[pc2-Ethernet0/0]ip add 192.168.2.5 24
[pc2-Ethernet0/0]q
[pc2]
测试:
在pc2上用ftp的方式登录pc1获得的抓包数据