交换机端口镜像实施方案Word文档下载推荐.docx

交换机端口镜像实施方案Word文档下载推荐.docx

《交换机端口镜像实施方案Word文档下载推荐.docx》由会员分享，可在线阅读，更多相关《交换机端口镜像实施方案Word文档下载推荐.docx（5页珍藏版）》请在冰豆网上搜索。

一、原理

当我们需要用IDS这样的东西，或者是sniffer来对网络流量进行捕获和监当我们需要用IDS这样的东西，或者是sniffer来对网络流量进行捕获和监控时，需要有一个监听端口。

我们知道HUB和switch的工作原理是不同的，HUB不基于连接，每个进入HUB的数据包被发送到除进入端口外的所有端口。

而Switch则是面对连接的，数据包只会发送给目的端口。

所以在HUB环境中，IDS或sniffer可以接到任意一个端口上。

但在switch中就必须设置专门的监听端口，用来查看网络的使用情况，这个端口也被称为镜像端口，因为它能从指定的交换机端口中复制端口流量到这个监听端口（镜像端口）中，以便进行流量和协议分析。

二、各品牌交换机实施方法

CiscoCATALYST交换机端口监听配置

CISCOCATALYST交换机分为两种，在CATALYST家族中称侦听端口为分析端口（analysisport）。

1、Catalyst2900XL/3500XL/2950系列交换机端口监听配置（基于CLI）

以下命令配置端口监听：

portmonitor

例：

F0/1和F0/2、F0/3同属VLAN1，F0/1监听F0/2、F0/3端口：

interfaceFastEthernet0/1

portmonitorFastEthernet0/2

portmonitorFastEthernet0/3

portmonitorVLAN1

2、Catalyst4000，5000and6000系列交换机端口监听配置（基于IOS）

setspan

setspansourceportsdestinationport允许用户指定多于一个的源端口。

只要列出要执行SPAN的端口并用逗号分隔即可。

命令行解释器同样允许使用连字符指定一个端口的范围。

下面的例子说明了这个特点。

这里只允许有一个目的端口，并且它总是在指定了SPAN的源端口后来指定。

例如，模块1中端口1和端口2同属VLAN1，端口3在VLAN2，端口4和5在VLAN2，端口2监听端口1和3、4、5，

setspan1/1，1/3-51/2

3COM交换机端口监听配置

3COM交换机中，端口监听被称为“RovingAnalysis”。

网络流量被监听的端口称作“监听口”（MonitorPort），连接监听设备的端口称作“分析口”（AnalyzerPort）。

●指定分析口

featurerovingAnalysisadd，或缩写fra，

当我们需要用IDS这样的东西，或者是sniffer来对网络流量进行捕获和监例如：

Selectmenuoption:

featurerovingAnalysisadd

Selectanalysisslot:

1

Selectanalysisport:

2

●指定监听口并启动端口监听

featurerovingAnalysisstart，或缩写frsta，

例如：

featurerovingAnalysisstart

Selectslottomonitor（1-12）:

Selectporttomonitor（1-8）:

3

●停止端口监听

featurerovingAnalysisstop，或缩写frsto，

Intel交换机端口监听配置

Intel称端口监听为“MirrorPorts”。

网络流量被监听的端口称作“源端口”（SourcePort），连接监听设备的端口称作“镜像口”（MirrorPort）。

配置端口监听步骤如下：

●在navigation菜单，点击Statistics下的MirrorPorts，弹出Mirror

当我们需要用IDS这样的东西，或者是sniffer来对网络流量进行捕获和监Ports信息。

●在ConfigureSource列中点击端口来选择源端口，弹出MirrorPortsConfiguration。

●进行源端口设置：

源端口是镜像流量的来源口，镜像口是接收来自源端口流量的端口。

●点击Apply确定

可以选择三种监听的方式：

1．连续（Always）：

镜像全部流量。

2．周期（Periodic）：

在一定周期内镜像全部流量。

镜像周期在SamplingIntervalconfiguration中设置。

3．禁止（Disabled）：

关闭流量镜像。

Avaya交换机端口监听配置

在Avaya交换机用户手册中，端口监听被称为“端口镜像”（PortMirror）。

{set|clear}PortMirror

设置端口侦听：

setportmirror<

mod-port-range>

source-port<

mirror-port<

mod-port-spec>

sampling{always|disable|periodic}[max-packets-sec<

max-packets-sec-value>

][piggyback-port<

]

监禁止端口监听：

clearportmirror<

命令中，mod-port-range指定端口的范围；

mod-port-spec指定特定的端口；

piggyback-port指定双向镜像的端口；

sampling指定镜像周期；

max-packets-sec仅在sampling设置为periodic时使用，指定监听口每秒最多的数据报数量。

华为交换机端口监听配置

华为交换机用户手册中，端口监听被称为“端口镜像”（PortMirroring）。

使用HuaweiLanswitchView管理系统添加一个镜像端口：

●选择DeviceSetup或StackSetup。

●点击PortMirroring。

●点击Add按钮。

●对于堆叠，点击Switch并从列表选择一个交换机。

●点击Reflectfrom并选择流量将被镜像的端口。

●点击Reflectto并选上面所选择的端口上的

港湾6808交换机端口监听配置

步骤1进入以太网接口slot=2,port=1

Harbour（config）#interfaceethernet2/1

步骤2配置以太网接口2/1为2/3的镜像接口

Harbour（config-if-eth2/1）#mirroringress2/3

步骤3退出接口配置模式，进入到配置模式

Harbour（config-if-eth2/1）#exit

步骤4显示镜像信息

Harbour（config）#showmirror2/11-thmirror-toporteth2/1:

ingressportmemberlist:

eth2/3egressportmemberlist:

三、注意

镜像端口可以对一个或多个端口进行镜像，也可以对所有端口进行镜像以监听所有数据包，但也有一些问题，比如当流量大时可能造成交换机丢包。