最全的交换机端口镜像整理文档.docx
- 文档编号:7896860
- 上传时间:2023-01-27
- 格式:DOCX
- 页数:34
- 大小:41.19KB
最全的交换机端口镜像整理文档.docx
《最全的交换机端口镜像整理文档.docx》由会员分享,可在线阅读,更多相关《最全的交换机端口镜像整理文档.docx(34页珍藏版)》请在冰豆网上搜索。
最全的交换机端口镜像整理文档
交换机端口镜像资料收集整理
1端口镜像简介
1.1端口镜像简介
镜像一般是将符合指定规则的报文复制到镜像目的端口。
一般镜像目的端口会接入数据检测设备,用户利用这些设备对镜像过来的报文进行分析,进行网络监控和故障排除等。
图1-1镜像示意图
1.1.1 端口镜像的定义
端口镜像,即把交换机一个或多个端口(VLAN)的数据镜像到一个或多个端口的方法。
1.1.2 端口镜像的目的
通常为了部署IDS产品需要监听网络流量(网络分析仪同样也需要),但是在目前广泛采用的交换网络中监听所有流量有相当大的困难,因此需要通过配置交换机来把一个或多个端口(VLAN)的数据转发到某一个端口来实现对网络的监听。
1.1.3 端口镜像的别名
端口镜像通常有以下几种别名:
PortMirroring:
通常指允许把一个端口的流量复制到另外一个端口,同时这个端口不能再传输数据。
MonitoringPort:
监控端口
SpanningPort:
通常指允许把所有端口的流量复制到另外一个端口,同时这个端口不能再传输数据。
SPANport:
在Cisco产品中,SPAN通常指SwitchPortANalyzer。
某些交换机的SPAN端口不支持传输数据。
LinkModeport:
1.1.4 支持端口镜像的交换机
大多数中档以上的交换机都支持端口镜像功能,但支持程度不同。
1.2端口镜像的类型
1.2.1 远程端口镜像
远程端口镜像,突破了镜像源端口和镜像目的端口必须在同一台交换机上的限制,使镜像源端口和镜像目的端口可以在不同的网络设备上,从而方便网管人员对远程交换机设备进行管理。
远程端口镜像的应用示意图如下所示。
图1-2远程端口镜像应用示意图
实现了远程端口镜像功能的交换机分为三种:
源交换机:
被监测的端口所在的交换机,负责将镜像流量复制到Remote-probeVLAN中,然后二层转发给中间交换机或目的交换机。
中间交换机:
网络中处于源交换机和目的交换机之间的交换机,通过Remote-probeVLAN把镜像流量传输给下一个中间交换机或目的交换机。
如果源交换机与目的交换机直接相连,则不存在中间交换机。
目的交换机:
远程镜像目的端口所在的交换机,将从Remote-probeVLAN接收到的镜像流量通过镜像目的端口转发给监控设备。
说明:
在交换机作为远程镜像的中间设备或目的设备时,为了保证数据镜像的正常实现,建议用户在入接口上配置重定向,将Remote-probeVLAN内的报文全部重定向到相应的出接口(中间设备)或镜像目的端口(目的设备)。
各个交换机上参与镜像的端口如表1-1所示。
表1-1交换机上参与镜像的端口
交换机 参与镜像的端口 作用
源交换机 源端口(SourcePort) 被监测的用户端口,通过本地端口镜像把用户数据报文复制到指定的反射端口(Reflectorport),源端口可以有多个
反射端口(Reflectorport) 接收本地端口镜像的用户数据报文
Trunk端口 将镜像报文发送到中间交换机或者目的交换机
中间交换机 Trunk端口 将镜像报文发送到目的交换机
中间交换机上要配置两个Trunk端口,和两侧的设备相连
目的交换机 Trunk端口 接收远程镜像报文
镜像目的端口(Destinationport) 远程镜像报文的监控端口
为了实现远程端口镜像功能,需要定义一个特殊的VLAN,称之为Remote-probeVLAN。
这个VLAN只传输镜像报文,不能用来承载正常的业务数据。
所有被镜像的报文通过该VLAN从源交换机传递到目的交换机的指定端口,实现在目的交换机上对源交换机的远程端口的报文进行监控的功能。
对Remote-probeVLAN有以下要求:
建议将该VLAN中的设备互连端口都配置为Trunk端口。
不能将缺省VLAN、管理VLAN设置成Remote-probevlan。
需要通过配置保证Remote-probeVLAN从源交换机到目的交换机的二层互通性。
注意:
建议用户不要在Remote-probeVLAN上进行以下操作,否则可能影响报文镜像效果:
将镜像源端口配置到本镜像组所使用的Remote-probeVLAN中。
配置Remote-probeVLAN的三层接口。
运行其他协议报文,承载其他的业务报文。
将Remote-probeVLAN用作其他特殊类型的VLAN,如voiceVLAN、协议VLAN。
配置其他与VLAN相关的功能。
1.2.2 流镜像
流镜像就是将匹配ACL规则的业务流复制到指定的本地端口,用于报文分析和监视。
在配置流镜像前用户需要先定义符合需求的ACL规则,设备会引用这些ACL规则进行流识别。
1.2.3 远程流镜像
远程流镜像就是将匹配ACL规则的业务流复制到指定镜像组的反射端口,配合远程端口镜像的相应配置最终把匹配的业务流复制到其它设备的指定端口上。
类似于本地流镜像,用户需要在配置镜像前预先定义符合需求的ACL规则。
另外,用户需要完成远程端口镜像的全部配置(配置镜像源端口除外)。
1.3端口镜像SPAN/RSPAN详解
1.3.1 SPAN简介
SPAN技术主要是用来监控交换机上的数据流,大体分为两种类型,本地SPAN和远程SPAN.----LocalSwitchedPortAnalyzer(SPAN)andRemoteSPAN(RSPAN),实现方法上稍有不同。
利用SPAN技术我们可以把交换机上某些想要被监控端口(以下简称受控端口)的数据流COPY或MIRROR一份,发送给连接在监控端口上的流量分析仪,比如CISCO的IDS或是装了SNIFFER工具的PC.受控端口和监控端口可以在同一台交换机上(本地SPAN),也可以在不同的交换机上(远程SPAN)。
1.3.2 名词解释
SPANSession--SPAN会话
SPAN会话是指一组受控端口与一个监控端口之间的数据流。
可以同时对多个端口的进入流量或是一个端口的外出流量进行监控,也可以对VLAN内所有端口的进入流量进行监控,但不能同时对多个端口的外出流量及VLAN的外出流量进行监控,可以对处于关闭状态的端口设置SPAN,但此时的SPAN会话是非活动,但只要相关的接口被打开,SPAN就会变为活动的。
监控端口最好是>=受控端口的带宽,否则可能会出现丢包的情况。
SPANTraffic--SPAN的流量
使用本地SPAN可以监控所有的网络流量,包括multicast、bridgeprotocoldataunit(BPDU),和CDP、VTP、DTP、STP、PagP、LACPpackets.RSPAN不能监控二层协议。
TrafficTypes--流量类型
被监控的流量类型分为三种,Receive(Rx)SPAN受控端口的接收流量,Transmit(Tx)SPAN受控端口的发送流量,Both一个受控端口的接收和发送流量。
SourcePort--SPAN会话的源端口(也就是monitoredport-即受控端口)
受控端口可以是实际的物理端口、VLAN、以太通道端口组EtherChannel,物理端口可以在不同的VLAN中,受控端口如果是VLAN则包括此VLAN中的所以物理端口,受控端口如果是以太通道则包括组成此以太通道组的所有物理端口,如果受控端口是一个TRUNK干道端口,则此TRUNK端口上承载的所有VLAN流量都会受到监控,也可以使用filtervlan参数进行调整,只对filtervlan中指定的VLAN数据流量做监控。
DestinationPort--SPAN会话的目的端口(也就是monitoringport-即监控端口)
监控端口只能是单独的一个实际物理端口,一个监控端口同时只能在一个SPAN会话中使用,监控端口不参与其它的二层协议如:
Layer2protocols
CiscoDiscoveryProtocol(CDP),VLANTrunkProtocol(VTP),DynamicTrunkingProtocol(DTP),SpanningTreeProtocol(STP),PortAggregationProtocol(PagP),LinkAggregationControlProtocol(LACP).
缺省情况下监控端口不会转发除SPANSession以外的任何其它的数据流,也可以通过设置ingress参数,打开监控端口的二层转发功能,比如当连接CISCOIDS的时会有这种需求,此时IDS不仅要接收SPANSession的数据流,IDS旧碓谕缰谢够嵊肫渌璞赣型ㄑ读髁浚砸蚩嗫囟丝诘?
二层转发功能。
ReflectorPort--反射端口
反射端口只在RSPAN中使用,与RSPAN中的受控端口在同一台交换机上,是用来将本地的受控端口流量转发到RSPAN中在另一台交换机上的远程监控端口的方法,反射端口也只能是一个实际的物理端口,它不属于任何VLAN(ItisinvisibletoallVLANs.)。
RSPAN中还要使用一个专用的VLAN来转发流量,反射端口会使用这个专用VLAN将数据流通过TRUNK端口发送给其它的交换机,远程交换机再通过此专用VLAN将数据流发送到监控端口上的分析仪。
关于RSPANVLAN的创建,所有参与RSPAN的交换机应在同一个VTP域中,不能用VLAN1,也不能用1002-1005,这是保留的(reservedforTokenRingandFDDIVLANs),如果是2-1001的标准VLAN,则只要在VTPServer上创建即可,其它的交换机会自动学到,如果是1006-4094的扩展VLAN,则需要在所有交换机上创建此专用VLAN.
反射端口最好是>=受控端口的带宽,否则可能会出现丢包的情况。
VLAN-BasedSPAN--基于VLAN的SPAN
基于VLAN的SPAN只能监控VLAN中所有活动端口接收的流量(onlyreceived(Rx)traffic),如果监控端口属于此VLAN,则此端口不在监控范围内,VSPAN只监控进入交换机的流量,不对VLAN接口上的路由数据做监控。
(VSPANonlymonitorstrafficthatenterstheswitch,nottrafficthatisroutedbetweenVLANs.Forexample,ifaVLANisbeingRx-monitoredandthemultilayerswitchroutestrafficfromanotherVLANtothemonitoredVLAN,thattrafficisnotmonitoredandisnotreceivedontheSPANdestinationport.)
1.3.3 SPAN和RSPAN与其它特性的互操作性
Routing--SPAN不监控VLAN间的路由数据;(不好理解)
Routing—IngressSPANdoesnotmonitorroutedtraffic.VSPANonlymonitorstrafficthatenterstheswitch,nottrafficthatisroutedbetweenVLANs.Forexample,ifaVLANisbeingRx-monitoredandthemultilayerswitchroutestrafficfromanotherVLANtothemonitoredVLAN,thattrafficisnotmonitoredandnotreceivedontheSPANdestinationport.
STP--监控端口和反射端口不会参与STP,但SPAN对受控端口的STP没有影响;
CDP--监控端口不参与CDP;
VTP--RSPANVLAN可以被修剪pruning;
VLANandtrunking--可以修改受控端口、监控端口和反射端口的VLAN和TRUNK设置,受控端口的改变会立即生效,而监控端口和反射端口则要在从SPAN中去除后才会生效;
EtherChannel--整个以太通道组可以做为受控端口使用,如果一个属于某个以太通道组的物理端口被配成了受控端口、监控端口或反射端口,则此端口会自动从以太通道组去除,当SPAN删除后,它又会自动加入原以太通道组;
QoS--由于受QoS的策略影响,监控端口上收到的数据流会与受控端口实际的数据流不同,比如DSCP值被修改等;
Multicast--SPAN可以监控组播的数据流;
Portsecurity--安全端口不能做为监控端口使用;
802.1x--受控端口、监控端口和反射端口上可以设置802.1x,但有些限制。
2各品牌交换机端口镜像配置
2.1思科系列交换机
CISCOCATALYST交换机分为两种,在CATALYST家族中称监听端口为分析端口(analysisport)。
cisco交换机最多支持2组镜像,支持所有端口镜像。
2.1.1 如何在CiscoCatalyst系列交换机上配置镜像(SPAN)端口
CiscoCatalyst系列交换机,IOS软件
在进行网络故障排查、网络数据流量分析的过程中,有时需要对网络节点或骨干交换机的某些端口进-行数据流量监控分析,而在交换机中设置镜像(SPAN)端口,可以对某些可疑端口进行监控,同时又不影响被监控端口的数据交换。
SPAN(SwitchedPortAnalyzer)的作用主要是为了给某种网络分析器提供网络数据流。
它既可以实现一个VLAN中若干个源端口向一个监控端口镜像数据,也可以从若干个VLAN向一个监控端口镜像数据。
SPAN任务不会影响交换机的正常工作。
当一个SPAN任务被建立后,根据交换机所处的不同的状态或操作,任务会处于激活或非激活状态,同时系统会将其记入日志。
通过“showmonitorsession”命令可显示SPAN的当前状态。
SPAN数据流主要分为三类:
(1)输入数据流(IngressSPAN):
指被源端口接收进来,其数据副本发送至监控端口的数据流;
(2)输出数据流(EgressSPAN):
指从源端口发送出去,其数据副本发送至监控端口的数据流;
(3)双向数据流(BothSPAN):
即为以上两种的综合。
在配置SPAN任务时应遵循以下原则:
(1)对数据进行监控分析的设备应搭接在监控端口上;
(2)冗余链路端口只能作为SPAN任务的源端口;
(3)SPAN任务中所有的源端口的被监控方向必须一致;
(4)在设置端口为源端口时,如果没有指定数据流的监控方向,默认为双向;
(5)当SPAN任务含有多个源端口时,这些端口可以来自不同的VLAN;
(6)取消某一个SPAN任务的命令是:
nomonitorsession任务号;
(7)取消所有SPAN任务的命令是:
nomonitor;
(8)SPAN任务的目的端口不能参与到生成树的距离计算中,但由于源端口的BPDU包可以被镜像,所以SPAN目的端口可以监控到来自源端口的BPDU数据包。
配置SPAN的源端口,命令格式如下:
Switch(config)#[no]monitorsession
{source(interfacetype/num)|{vlanvlan_ID}}[,|-|rx|tx|both]
以下例子显示如何配置源端口为FastEthernet5/l的SPAN任务,其监控对象为双向数据流:
Switch(config)#monitorsession1sourceinterfacefastethrnet5/l
配置SPAN的目的端口,命令格式如下:
Switch(config)#[no]monitorsession(session_number){destination{interfacetype/num}}
以下例子显示如何配置目的端口为FastEthernet5/48的SPAN任务:
Switch(config)#monitorsessionldestinationinterfacefastethernet5/48
当SPAN任务的源端口为Trunk端口时,命令格式如下:
Switch(config)#[no]monitorsession{filtervlan[,|-]}
以下例子是当源端口为Trunk端口时,如何配置监控其中的VLANl~VLAN5和VLAN9:
Switch(config)#monitorsession2filtervlan1-5,9
以下是一个综合例子,将用到前面所提到的各种命令:
监控Trunk端口FastEtheraet4/10上的双向数据流(在该端口上承载着VLANl~VLANl005的数据流),只监控其中VLAN57中的数据流,端口
FastEthernet4/15为目的端口,具体配置方法如下:
Switch(config)#monitorsession1sourceinterfacefastethernet4/10
Switch(config)#monitorsession1filtervlan57
Switch(config)#monitorsession1destinationinterfacefastethernet4/15
如果想释放该SPAN任务,输入如下命令:
Switch(config)#nomonitorsession1
以下语句显示如何检验SPAN任务的配置结果:
Switch#showmonitorsession2
在配置镜像端口(SPAN)过程中,还应考虑到数据流量过大时,设备的处理速度及端口数据缓存的大小,要尽量减少被监控数据包的丢失。
2.1.2 Catalyst2900XL/3500XL/2950系列交换机端口监听配置(基于CLI)
以下命令配置端口监听:
portmonitor
例如,F0/1和F0/2、F0/5同属VLAN1,F0/1监听F0/2、F0/5端口:
interfaceFastEthernet0/1
portmonitorFastEthernet0/2
portmonitorFastEthernet0/5
portmonitorVLAN1
2.1.3 Catalyst4000/5000/6000系列交换机端口监听配置(基于IOS)
以下命令配置端口监听:
setspan
例如,模块6中端口1和端口2同属VLAN1,端口3在VLAN2,端口4和5在VLAN2,端口2监听端口1和3、4、5,
setspan6/1,6/3-56/2
2.1.4 Ciscocatylist2820
有2个菜单选项
先进入menu选项,enableportmonitor
进入cli模式,
en
confterm
interfacefast0/x镜像口
portmonitorfast0/x被镜像口
exit
wr
2.1.5 Ciscocatylist2924、2948Ciscocatylist3524、3548
Switch>En
Switch#Confterm
Switch(config)#Interfacefastmod/port
Switch(config-if)#Portmonitormod/port
Switch(config-if)#Exit
Switch(config)#Wr
2.1.6 Ciscocatylist2550Ciscocatylist3550nomonitorsession1
Switch(config)#nomonitorsession1
Switch(config)#monitorsession1sourceinterfacegigabitEthernet1/1both
Switch(config)#monitorsession1destinationinterfacegigabitEthernet1/8
Switch(config)#end
Switch#showmonitorsession1
支持2组monitorsession
enpassword
configterm
Switch(config)#monitorsession1destinationinterfacefast0/4(1为sessionid,id范围为1-2)
Switch(config)#monitorsession1sourceinterfacefast0/1,fast0/2,fast0/3(空格,逗号,空格)
Switch(config)#exit
Switch#copyrunning-confstartup-conf
Switch#showport-monitor
2.1.7 Ciscocatylist4000/5000系列Ciscocatylist6000系列
支持2组镜像
En
Showmodule(确认端口所在的模块)
Setspansource(mod/port)destination(mod/port)in|out|bothinpktsenable
Writeternall
Showspan
注:
多个source:
mod/port,mod/port-mod/port连续端口用横杆“-”,非连续端口用逗号“,”
setspanenable//允许镜像
setspandisable//禁止镜像
setspansource|destinationin|out|bothinpktsenablecreate(create用于建立第二组镜像)
2.1.8 Cat2950/3550/3750
3550(config)#monitorsession1sourceinterfacef0/1-3rx
//指定SPAN
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 交换机 端口 整理 文档