Skip to main content

 路由器设置 > 新闻资讯 > 华为 >

网络设备之端口镜像

2013-09-01 00:26 浏览:
端口镜像是网络设备中很重要的一项功能,起到了管理和监控的作用,对于设备的安全同样也有一定的作用,(监控某重要的 网络设备流通的报文信息,以防有不利于网络安全的事件发生)
 
端口镜像分为本地端口镜像(SPAN)和远程端口镜像(RSPAN)
 
本地端口镜像:局限于网络中同一台设备上,
 
远程端口镜像:镜像端口的被镜像端口不在同一台设备上,可以跨越网络,更方便网管人员对远程交换机设备进行管理
 
端口镜像的配置:
1.首先确定镜像源端口,以及被镜像报文的方向,inbound表示对端口接受的报文进行镜像,outbound表示对于端口发送的报文进行镜像,both则表示同时对端口接受和发送的报文进行镜像
2.确定镜像目的端口
远程端口镜像的示意图:
为了实现远程端口镜像,需要配置一个特殊的vlan,称之为Remote-probe VLAN,所有被镜像的报文都通过该vlan传到目的交换机的镜像端口。
源交换机:被监测端口所在的交换机,负责将镜像的流量通过Remote-probe VLAN向上转发,转发给中间交换机或目的交换机
中间交换机:源交换机和目的交换机之间的交换机,负责通过Remote-probe VLAN将镜像的流量向下一个中间交换机或者目的交换机 转发,如果源交换机与目的交换机中间直连,则不存在中间交换机。
目的交换机:检测端口所在的交换机,将接收到的流量通过镜像目的端口转发给检测设备。
实验准备:
华为S2000-HI交换机2台,h3c防火墙2台,pc一台,linux操作系统虚拟机一台(模拟监控设备)
实验1
本地端口镜像
拓扑图:
配置命令
数据监控设备有抓包工具模拟,安装wireshark或者别的抓包工具也行。
sw-1
<Quidway>system-view 
[Quidway]sysname sw-1
[sw-1]int Vlan-interface 1
[sw-1-Vlan-interface1]ip add 192.168.2.4 24                               //配置ip地址
[sw-1-Vlan-interface1]quit 
[sw-1]local-user user1                                                                   //设置登录账户
New local user added.
[sw-1-luser-user1]password simple 1234 
[sw-1-luser-user1]service-type telnet level 3 
[sw-1-luser-user1]quit 
[sw-1]user-interface vty 0 4
[sw-1-ui-vty0-4]authentication-mode scheme 
[sw-1-ui-vty0-4]quit 
 
sw-2配置
<Quidway>system-view 
[Quidway]sysname sw-2
[sw-2]int Vlan-interface 1
[sw-2-Vlan-interface1]ip add 192.168.2.5 24
[sw-2-Vlan-interface1]quit 
[sw-2]
 
sw-3配置
<Quidway>system-view 
[Quidway]sysname sw-3
[sw-3]mirroring-group 1 local                           //设置本地端口镜像
[sw-3]mirroring-group 1 mirroring-port Ethernet 1/0/2 Ethernet 1/0/4 both        //  设置被镜像端口
[sw-3]mirroring-group 1 monitor-port Ethernet 1/0/6                                        //设置镜像端口
[sw-3]dis mirroring-group 1                                                                  //查看本地镜像组
mirroring-group 1:
    type: local
    status: active
    mirroring port: 
        Ethernet1/0/2  both
        Ethernet1/0/4  both
    monitor port: Ethernet1/0/6
测试:
 
远程端口镜像实验
拓扑图:
sw3配置
<Quidway>system-view 
[Quidway]sysname sw3
[sw3]mirroring-group 1 remote-source                                  //设置镜像组来源
[sw3]vlan 10 
[sw3-vlan10]remote-probe vlan enable                                // 开启镜像相关的vlan
[sw3-vlan10]int e1/0/1
[sw3-Ethernet1/0/1]port link-type trunk                                //设置trunk口
[sw3-Ethernet1/0/1]port trunk permit vlan 10                              // 允许vlan10 通过
 Please wait... Done.
[sw3-Ethernet1/0/1]quit
[sw3]mirroring-group 1 mirroring-port Ethernet 1/0/3 inbound        // 接收被镜像端口进入的报文
[sw3]mirroring-group 1 mirroring-port Ethernet 1/0/5 outbound    // 接受被镜像端口出去的报文
[sw3]mirroring-group 1 remote-probe vlan 10
[sw3]mirroring-group 1 reflector-port e1/0/7                                  //映射镜像端口
[sw3]dis mirroring-group 1
mirroring-group 1:
    type: remote-source
    status: active
    mirroring port: 
        Ethernet1/0/3  inbound
        Ethernet1/0/5  outbound
    reflector port: Ethernet1/0/7
    remote-probe vlan: 10
[sw3]
 
sw2配置
<Quidway>system-view 
[Quidway]sysname sw2
[sw2]vlan 10 
[sw2-vlan10]remote-probe vlan enable 
[sw2-vlan10]quit 
[sw2]
[sw2]int e1/0/1
[sw2-Ethernet1/0/1]port link-type trunk 
[sw2-Ethernet1/0/1]port trunk permit vlan 10
 Please wait... Done.
[sw2-Ethernet1/0/1]int e1/0/3
[sw2-Ethernet1/0/3]port link-type trunk 
[sw2-Ethernet1/0/3]port trunk permit vlan 10
 Please wait... Done.
[sw2-Ethernet1/0/3]quit 
[sw2]
 
sw1配置
<Quidway>system-view 
[Quidway]sysname sw1
[sw1]vlan 10
[sw1-vlan10]remote-probe vlan enable 
[sw1-vlan10]int e1/0/1
[sw1-Ethernet1/0/1]port link-type trunk 
[sw1-Ethernet1/0/1]port trunk permit vlan 10
 Please wait... Done.
[sw1-Ethernet1/0/1]quit 
[sw1]mirroring-group 1 remote-destination 
[sw1]mirroring-group 1 monitor-port e1/0/5
[sw1]mirroring-group 1 remote-probe vlan 10.
[sw1]dis mirroring-group 1
mirroring-group 1:
    type: remote-destination
    status: active
    monitor port: Ethernet1/0/5
    remote-probe vlan: 10
[sw1]
 
pc1配置(防火墙模拟)
<H3C>system-view 
[H3C]sysname pc1
[pc1]local-user user1 
New local user added.
[pc1-luser-user1]password simple 123
[pc1-luser-user1]service-type ftp 
[pc1-luser-user1]q
[pc1]int eth0/0
[pc1-Ethernet0/0]ip add 192.168.2.4 24
[pc1-Ethernet0/0]quit 
[pc1]
 
pc2配置
<H3C>system-view 
[H3C]sysname pc2
[pc2]int eth0/0
[pc2-Ethernet0/0]ip add 192.168.2.5 24
[pc2-Ethernet0/0]q
[pc2]
 
测试:
在pc2上用ftp的方式登录pc1获得的抓包数据