cisco交换机端口镜像设置
CISCO华为交换机端口镜像配置总结
交换机的端口镜像配置好后,就可以方便使用网路岗上网行为管理软件来监控管理您的网络了,使用网路岗可以监控管理公司的上网记录,监控QQ聊天内容,MSN聊天内容,邮件收发记录等。
镜像端口简单的说,就是把交换机一个(数个)端口(源端口)的流量完全拷贝一份,从另外一个端口(目的端口)发出去,以便网络管理人员从目的端口通过分析源端口的流量来找出网络存在问题的原因。
配置好交换机的端口镜像,就可以方便使用网路岗上网行为管理软件来监控管理您的网络了,使用网路岗可以监控管理公司的上网记录,监控QQ聊天内容,MSN聊天内容,邮件收发记录等。
下面我们来看一下华为交换机是如何进行端口镜像配置的:配置环境参数:PC1和PC2的IP地址分别为10.10.1.1/24、10.10.1.2/24组网需求:在SwitchA上配置端口镜像,从PC2上对PC1的收发报文情况进行监控。
华为交换机:S2000EI、S2000C系列端口镜像配置流程mirroring-port用来定义镜像端口,monitor-port用来定义监控端口。
【SwitchA相关配置】1.将端口E0/2配置为监控端口[SwitchA]monitor-portEthernet0/2no-filt2.将端口E0/1配置为镜像端口[SwitchA]mirroring-portEthernet0/1both【补充说明】支持多对一的端口镜像,但是镜像端口必须与监控端口属于同一个芯片内(每8端口一个芯片)。
配置镜像端口时,可以使用参数定义被监控报文的方向。
例如:参数both,表示同时监控端口的接收和发送报文;参数inbound,表示只监控端口接收的报文;参数outbound,表示只监控端口发送的报文。
配置监控端口时,可以使用参数定义监控端口类型。
例如:参数no-filt,表示监控所有的报文;参数filt-da,表示只监控指定的目的mac地址的报文;参数filt-sa,表示只监控指定的源mac地址的报文。
交换机端口镜像配置
CISCO、3COM、华为等主流交换机端口镜像配置各型号交换机端口镜像配置方法和命令"Port Mirror"即端口镜像,端口镜像为网络传输提供了备份通道。
此外,还可以用于进行数据流量监测。
可以这样理解:在端口A和端口B之间建立镜像关系,这样,通过端口A传输的数据将同时通过端口B传输,即使端口A处因传输线路等问题造成数据错误,还有端口B处的数据是可用的。
Cisco交换机端口镜像配置,cisco交换机最多支持2组镜像,支持所有端口镜像。
默认密码ciscoCisco catylist2820:有2个菜单选项先进入menu选项,enable port monitor进入cli模式,enconf terminterface fast0/x 镜像口port monitor fast0/x 被镜像口exitwrCisco catylist2924、2948 Cisco catylist 3524、3548Switch>EnSwitch#Conf termSwitch(config)#Interface fast mod/portSwitch(config-if)#Port monitor mod/portSwitch(config-if)#ExitSwitch(config)#WrCisco catylist 2550 Cisco catylist 3550:支持2组monitor sessionen passwordconfig termSwitch(config)#monitor session 1 destination interface fast0/4(1为session id,id范围为1-2)Switch(config)#monitor session 1 source interface fast0/1 , fast0/2 , fast0/3 (空格,逗号,空格) Switch(config)#exitSwitch#copy running-conf startup-confSwitch#show port-monitorCisco catylist 4000/5000系列Cisco catylist 6000 系列:支持2组镜像EnShow module (确认端口所在的模块)Set span source(mod/port) destination(mod/port) in|out|both inpkts enableWrite tern allShow span注:多个source:mod/port,mod/port-mod/port 连续端口用横杆“-”,非连续端口用逗号“,”set span enable 允许镜像set span disable 禁止镜像set span source destination in|out|both inpkts enable create (create用于建立第二组镜像) Huawei(华为)s2403h端口监听配置:enconf termmonitor ethernet source_mod/port to ethernet source_mod/port obser ethernet dest_mod/portexitwriteshow monitor-port(注:不可以将非连续端口作为souce,如果镜像单个端口,则不用to,直接到obs ether。
多种交换机端口镜像配置
cisco 3550 镜像配置命令cisco 3550 emi在配置模式进行配置monitor session 1 source interface Fa0/15monitor session 1 destination interface Fa0/1415端口是源端口(接外网的端口),14端口是监视端口(安装互联网管理系统的电脑接在该端口。
华为交换机端口镜像配置[转帖]『端口镜像的数据流程』基于端口的镜像是把被镜像端口的进出数据报文完全拷贝一份到镜像端口,这样来进行流量观测或者故障定位。
【3026等交换机镜像】S2008/S2016/S2026/S2403H/S3026等交换机支持的都是基于端口的镜像,有两种方法:方法一1. 配置镜像(观测)端口[SwitchA]monitor-port e0/82. 配置被镜像端口[SwitchA]port mirror Ethernet 0/1 to Ethernet 0/2方法二1. 可以一次性定义镜像和被镜像端口[SwitchA]port mirror Ethernet 0/1 to Ethernet 0/2 observing-port Ethernet 0/8 【8016交换机端口镜像配置】1. 假设8016交换机镜像端口为E1/0/15,被镜像端口为E1/0/0,设置端口1/0/15为端口镜像的观测端口。
[SwitchA] port monitor ethernet 1/0/152. 设置端口1/0/0为被镜像端口,对其输入输出数据都进行镜像。
[SwitchA] port mirroring ethernet 1/0/0 both ethernet 1/0/15也可以通过两个不同的端口,对输入和输出的数据分别镜像1. 设置E1/0/15和E2/0/0为镜像(观测)端口[SwitchA] port monitor ethernet 1/0/152. 设置端口1/0/0为被镜像端口,分别使用E1/0/15和E2/0/0对输入和输出数据进行镜像。
华为cisco端口镜像配置
HUAWEI&CISCO交换机端口镜像配置案例文中介绍了HUAWEI Quidway 3026、Quidway 3526、Catalyst 2900XL、Catalyst 4000系列(IOS*作系统)端口镜像配置方法。
1. Quidway 3026端口镜像配置方法:以下例子中,镜像端口为e0/18,被镜像端口为e0/3,输入如下命令配置镜像:λ配置镜像端口:Quidway(config)#monitor-port e 0/18(e0/18作为镜像端口)λ配置被镜像端口:Quidway(config)#monitor e 0/3(e0/3 为被镜像端口)λ上述两条命令与以下一条命令等效:Quidway(config)#monitor e 0/3 observing-port e0/18λ查看镜像端口信息:Quidway#show monitor(察看镜像端口信息)Information about monitor port(s)The observing port : Ethernet0/18The monitored ports: Ethernet0/3以上端口镜像配置方法适用于Quidway2008/2016/3026/2403H交换机。
2. Quidway 3526端口镜像配置方法:3526交换机提供基于流规则的镜像,配置方法与Quidway3026不同。
以下例子中,镜像端口e0/24,被镜像端口e0/1:λ首先定义用来监控的端口:Quidway(config)#monitor-port Ethernet 0/24,定义用0/24口做为监控端口;λ定义流分类规则:因为3526交换机提供基于流规则的镜像,因此要定义流分类规则(若要监控Ethernet0/1的双向业务流则需配置下面两条流分类命令,若只需监控单方向的业务流选择其中之一即可):将从Ethernet0/1输出的业务流镜像到监控端口:Quidway(config)#rule-map l2 rule1 ingress Ethernet0/1 egress any,其中rule1是自定义的rule名字,any是定义对端口Ethernet0/1的所有出业务流进行监控;将从Ethernet0/1输入的业务流镜像到监控端口:Quidway(config)#rule-map l2 rule2 ingress any egressEthernet 0/1,其中any是定义对端口Ethernet0/1的所有入业务流进行监控。
cisco交换机端口镜像的配置
cisco交换机端口镜像的配置镜像大多数交换机都支持镜像技术,这可以对交换机进行方便的故障诊断。
我们称之为“mirroring”或“Spanning”。
镜像是将交换机某个端口的流量拷贝到另一端口(镜像端口),进行监测。
OptiView?集成式分析仪(OPV-INA)连接到一个端口。
并设置为接收方式,镜像主机A所在端口的流量。
OPV-INA 可以捕捉到从主机A到主机B之间的流量,OPV 所连接的端口就是镜像端口,A和B之间的通讯不会受到镜像端口的影响。
类似于端口间的镜像,镜像操作也可以在VLAN 之间进行。
最典型的镜像配置是通过Console 口或Telnet 方式。
端口镜像是一个非常有用的功能,镜像端口可以用来连接测试设备,如OPV-INA 、OPV-WGA 进行协议分析。
当需要对故障进行诊断时,还能用远程遥控的方式进行监测或故障诊断。
而不需要到现场做物理连接上的改动。
尽管镜像的功能很强,但是使用时要小心,因为有可能导致产生交换环路、意外的流量或造成某些主机不可达,出现意外的恶性结果。
镜像功能的局限性一方面,当诊断工具连接到镜像口时。
最好只接收数据不向网络发送数据,这是受一些厂商的产品功能控制的。
不同的产品特性可能也不一样。
对于交换机。
镜像端口可以指定为”接收”模式。
或”接收/发送”模式。
如果只是”接收”模式。
那么OPV-INA 就不能主动搜索网络。
如果不能充分利用它的搜索功能。
在测试时就阻碍了它的效能。
如果OPV-INA 不能应答网络的请求。
OPV-INA 远程用户就不能有效地控制它的工作。
用户可以发出信号到OPV-INA 。
但是OPV-INA 做出回应。
另一方面。
镜像端口的速率是个问题。
它的端口速率必须要高于所测试的端口流量。
例如。
如果主机A连接到100M 的端口。
OPV 连接到10M 的端口。
那么超出的流量就会丢弃值得注意的是,如果要镜像的端口是100M 全双工端口,那么总的流量可能会达到200M 。
思科交换机的镜像配置实例介绍
思科交换机的镜像配置实例介绍端口镜像的目的由于部署 IDS 产品需要监听网络流量网络分析仪同样也需要,但是在目前广泛采用的交换网络中监听所有流量有相当大的困难,因此需要通过配置交换机来把一个或多个端口VLAN的数据转发到某一个端口来实现对网络的监听。
端口镜像的功能监视到进出网络的所有数据包,供安装了监控软件的管理服务器抓取数据,如网吧需提供此功能把数据发往公安部门审查。
而企业出于信息安全、保护公司机密的需要,也迫切需要网络中有一个端口能提供这种实时监控功能。
在企业中用端口镜像功能,可以很好的对企业内部的网络数据进行监控管理,在网络出现故障的时候,可以做到很好地故障定位。
...More...端口镜像port Mirroring把交换机一个或多个端口VLAN的数据镜像到一个或多个端口的方法。
端口镜像的目的由于部署 IDS 产品需要监听网络流量网络分析仪同样也需要,但是在目前广泛采用的交换网络中监听所有流量有相当大的困难,因此需要通过配置交换机来把一个或多个端口VLAN的数据转发到某一个端口来实现对网络的监听。
端口镜像的功能监视到进出网络的所有数据包,供安装了监控软件的管理服务器抓取数据,如网吧需提供此功能把数据发往公安部门审查。
而企业出于信息安全、保护公司机密的需要,也迫切需要网络中有一个端口能提供这种实时监控功能。
在企业中用端口镜像功能,可以很好的对企业内部的网络数据进行监控管理,在网络出现故障的时候,可以做到很好地故障定位。
备注:交换机把某一个端口接收或发送的数据帧完全相同的复制给另一个端口;其中被复制的端口称为镜像源端口,复制的端口称为镜像目的端口。
端口镜像的别名端口镜像通常有以下几种别名:●Port Mirroring 通常指允许把一个端口的流量复制到另外一个端口,同时这个端口不能再传输数据。
●Monitoring Port 监控端口●Spanning Port 通常指允许把所有端口的流量复制到另外一个端口,同时这个端口不能再传输数据。
cisco交换机端口镜像
远程SPAN注意的问题
•
(1)在所有源、目标及中间设备中配RSPAN VLAN。 对所配置的
RSPAN VLAN的编号没有任何限制。可手工配置高于1024 编号的VLAN作为
RSPAN VLAN
(2)中间设备也需支持RSPAN VLAN
(3)RSPAN VLAN只能承载RSPAN 流量
(4)除了承载RSPAN VLAN的端口外,不要把任何端口配置到RSPAN
可成为混合源端口。目标端口可配置干道封装(dot1q或isl)以设定转发的数据
包,即监控哪些数据。如果目标端口不配置干道封装,则在把监控的数据复
制镜像到目标端口时就清除掉ISL或dot1q。目标端口必须专用于SPAN,不能
学习任何MAC地址。
本地SPAN注意的问题
•
(1)源端口不能同时配为目标端口
erspan-id id-number //与erspan id相关联。与源交换机中的ID号相同。 • 注意IOS版本要求
6509上的远程SPAN配置
•
用带捕获选项的VACL监控性能
1、VACL监控的概念:6500的交换机才有。即只监控匹配ACL的流量。
2、注意点:
(1)捕获端口不能使用ATM端口
(2)源端口可以属不同VLAN
(3)端口通道接口(etherchannel)可配为源端口,但不能配为目标端口。
(4)一个目标端口只能做一个SPAN会话的目标端口
(5)IOS交换机中二层、三层接口都可做源和目标端口
(6)目标端口不参与生成树实例
(7)VSPAN只能监控VLAN中进出第二层端口的流量。
本地SPAN的配置
即每个拥有源端口或源VLAN的远程交换机上都有一个相同的 rspan vlan, 以承载本地被监控端口或VLAN的流量。这个 rspan vlan再通过干线把数据包 传到目的交换机。到达目的交换机后,再把这个rspan vlan中的所有数据包复 制到目的端口,以达到监控的目的。
Cisco 交换机配置镜像端口
镜像口就是把交换机上的其他口的数据流量全部转到一个口或者两个口上,通常被用作排查问题或者获取数据流量。
1,设置源镜像口(被观察的),设置1到5口为源镜像,
monitor session 1 source interface gigabitEthernet 1/0/1- 5
其中gigabitEthernet1/0/1表示千兆端口1,如果是百兆的话就换成fastE thernet,这里的gigabitEthernet1/0/1或者fastEthernet 0/1要与步骤3中查看到的端口信息一致。
monitor session 1 source interface gigabitEthernet 1/0/1- 5
这条命令的-与5之间有空格的。
5后面没有参数表示both,监听双向数据,5后面加上rx只监听接收数据,5后面加tx只监听发送数据。
如果只镜像一个口的数据,直接写某个口。
2,配置目的镜像口(作为观察一方)。
monitor session 1 destination interface gigabitEthernet 1/0/6
使端口6为目的镜像口。
注意事项同步骤4或者步骤5。
查看镜像口配置情况。
输入exit,退出设置模式。
输入命令show monitor。
3,镜像口配置错误,则删除镜像口。
root模式下,输入conf t。
no monitor session 1。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
先解释一下端口镜像:端口镜像简单的说,就是把交换机一个(数个)端口(源端口)的流量完全拷贝一份,从另外一个端口(目的端口)发出去,以便网络管理人员从目的端口通过分析源端口的流量来找出网络存在问题的原因。
cisco的端口镜像叫做SWITCHED PORT ANALYZER,简称SPAN(仅在IOS系统中,下同),因此,端口镜像仅适用于以太网交换端口。
Cisco的SPAN。
分成三种,SPAN、RSPAN和VSPAN,简单的说,SPAN是指源和目的端口都在同一台机器上、RSPAN指目的和源不在同一交换机上,VSPAN可以镜像整个或数个VLAN到一个目的端口。
配置方法:
1. SPAN
(1) 创建SPAN源端口
monitor session session_number source interface interface-id [, | -] [both | rx | tx]
**session_number,SPAN会话号,我记得3550支持的最多本地SPAN是2个,即1或者2。
**interface-id [, | -]源端口接口号,即被镜像的端口,交换机会把这个端口的流量拷贝一份,可以输入多个端口,多个用“,”隔开,连续的用“-”连接。
**[both | rx | tx],可选项,是指拷贝源端口双向的(both)、仅进入(rx)还是仅发出(tx)的流量,默认是both。
(2)创建SPAN目的端口
monitor session session_number destination interface interface-id [encapsulation {dot1q [ingress vlan vlan id] | ISL [ingress]} | ingress vlan vlan id]
**一样的我就不说了。
**session_number要和上面的一致。
**interface-id目的端口,在源端口被拷贝的流量会从这个端口发出去,端口号不能被包含在源端口的范围内。
**[encapsulation {dot1q | isl}],可选,指被从目的端口发出去时是否使用802.1q和isl封装,当使用802.1q时,对于本地VLAN不进行封装,其他VLAN封装,ISL则全部封装。
2.VSPAN
(1)创建VSPAN源VLAN
monitor session session_number source vlan vlan-id [, | -] rx
**一样的也不说了,基本和SPAN相同,只是接口号变成了VLAN号,而且只能镜像接收的流量。
(2)创建VSPAN目的端口
monitor session session_number destination interface interface-id [encapsulation {dot1q | isl}]
**和SPAN的一样。
3.RSPAN
RSPAN的配置较为复杂,其流程可以这样来看,交换机把要镜像的端口流量复制一份,然后发到本机的一个反射端口上(reflector-port )
,在由反射端口将其通过网络转发到目的交换机中的VLAN上(一般情况下,这个VLAN 是专为镜像而设的,不要作为客户端接入所用),再在目
的交换机中配置VSPAN,将该VLAN的流量镜像到目的端口,要注意的是,一旦这种RSPAN 被使用,该镜像专用VLAN的信息会被转发到所有的VLAN
主干上,造成网络带宽的浪费,因此要配置VLAN修剪(pruning),另外RSPAN也可以镜像VLAN。
(1)在源交换机上创建RSPAN源端口
**同SPAN或VSPAN
(2)在源交换机上创建VSPAN反射端口和目的VLAN
monitor session session_number destination remote vlan vlan-id reflector-port interface
**vlan-id 目的交换机上转为镜像而设的VLAN
**reflector-port interface源交换机上的镜像端口
(3)在目的交换机上创建VSPAN源VLAN
monitor session session_number source remote vlan vlan-id
**vlan-id就是上面的镜像专用VLAN
(4)在目的交换机上创建VSPAN目的端口
monitor session session_number destination interface interface-id [encapsulation {dot1q | isl}]
**同SPAN
4.其他
(1)端口镜像的过滤,端口镜像是可以做Filter的。
monitor session session_number filter vlan vlan-id [, | -]
**指定源端口进入的流量中,属于哪些VLAN的可以从目的端口发出去。
(2)删除镜像
no monitor session {session_number | all | local | remote}
**session_number指定会话号,all是所有镜像,local是本地镜像,remote是远程镜像。
(3)镜像的目的端口不能正常收发数据,因此不能再作为普通端口使用,可以连接一些网络分析和安全设备,例如装有sniifer的计算机或者Cisco IDS设备。