端口镜像集锦

交换机端口镜像资料收集整理1端口镜像简介1.1端口镜像简介镜像一般是将符合指定规则的报文复制到镜像目的端口。一般镜像目的端口会接入数据检测设备，用户利用这些设备对镜像过来的报文进行分析，进行网络监控和故障排除等。图1-1镜像示意图1.1.1端口镜像的定义端口镜像，即把交换机一个或多个端口（VLAN）的数据镜像到一个或多个端口的方法。1.1.2端口镜像的目的通常为了部署IDS产品需要监听网络流量（网络分析仪同样也需要），但是在目前广泛采用的交换网络中监听所有流量有相当大的困难，因此需要通过配置交换机来把一个或多个端口（VLAN）的数据转发到某一个端口来实现对网络的监听。1.1.3端口镜像的别名端口镜像通常有以下几种别名：PortMirroring：通常指允许把一个端口的流量复制到另外一个端口，同时这个端口不能再传输数据。MonitoringPort：监控端口SpanningPort：通常指允许把所有端口的流量复制到另外一个端口，同时这个端口不能再传输数据。SPANport：在Cisco产品中，SPAN通常指SwitchPortANalyzer。某些交换机的SPAN端口不支持传输数据。LinkModeport：1.1.4支持端口镜像的交换机大多数中档以上的交换机都支持端口镜像功能，但支持程度不同。1.2端口镜像的类型1.2.1远程端口镜像远程端口镜像，突破了镜像源端口和镜像目的端口必须在同一台交换机上的限制，使镜像源端口和镜像目的端口可以在不同的网络设备上，从而方便网管人员对远程交换机设备进行管理。远程端口镜像的应用示意图如下所示。图1-2远程端口镜像应用示意图实现了远程端口镜像功能的交换机分为三种：源交换机：被监测的端口所在的交换机，负责将镜像流量复制到Remote-probeVLAN中，然后二层转发给中间交换机或目的交换机。中间交换机：网络中处于源交换机和目的交换机之间的交换机，通过Remote-probeVLAN把镜像流量传输给下一个中间交换机或目的交换机。如果源交换机与目的交换机直接相连，则不存在中间交换机。目的交换机：远程镜像目的端口所在的交换机，将从Remote-probeVLAN接收到的镜像流量通过镜像目的端口转发给监控设备。说明：在交换机作为远程镜像的中间设备或目的设备时，为了保证数据镜像的正常实现，建议用户在入接口上配置重定向，将Remote-probeVLAN内的报文全部重定向到相应的出接口(中间设备)或镜像目的端口(目的设备)。各个交换机上参与镜像的端口如表1-1所示。表1-1交换机上参与镜像的端口交换机参与镜像的端口作用源交换机源端口（SourcePort）被监测的用户端口，通过本地端口镜像把用户数据报文复制到指定的反射端口（Reflectorport），源端口可以有多个反射端口（Reflectorport）接收本地端口镜像的用户数据报文Trunk端口将镜像报文发送到中间交换机或者目的交换机中间交换机Trunk端口将镜像报文发送到目的交换机中间交换机上要配置两个Trunk端口，和两侧的设备相连目的交换机Trunk端口接收远程镜像报文镜像目的端口（Destinationport）远程镜像报文的监控端口为了实现远程端口镜像功能，需要定义一个特殊的VLAN，称之为Remote-probeVLAN。这个VLAN只传输镜像报文，不能用来承载正常的业务数据。所有被镜像的报文通过该VLAN从源交换机传递到目的交换机的指定端口，实现在目的交换机上对源交换机的远程端口的报文进行监控的功能。对Remote-probeVLAN有以下要求：建议将该VLAN中的设备互连端口都配置为Trunk端口。不能将缺省VLAN、管理VLAN设置成Remote-probevlan。需要通过配置保证Remote-probeVLAN从源交换机到目的交换机的二层互通性。注意：建议用户不要在Remote-probeVLAN上进行以下操作，否则可能影响报文镜像效果：将镜像源端口配置到本镜像组所使用的Remote-probeVLAN中。配置Remote-probeVLAN的三层接口。运行其他协议报文，承载其他的业务报文。将Remote-probeVLAN用作其他特殊类型的VLAN，如voiceVLAN、协议VLAN。配置其他与VLAN相关的功能。1.2.2流镜像流镜像就是将匹配ACL规则的业务流复制到指定的本地端口，用于报文分析和监视。在配置流镜像前用户需要先定义符合需求的ACL规则，设备会引用这些ACL规则进行流识别。1.2.3远程流镜像远程流镜像就是将匹配ACL规则的业务流复制到指定镜像组的反射端口，配合远程端口镜像的相应配置最终把匹配的业务流复制到其它设备的指定端口上。类似于本地流镜像，用户需要在配置镜像前预先定义符合需求的ACL规则。另外，用户需要完成远程端口镜像的全部配置（配置镜像源端口除外）。1.3端口镜像SPAN/RSPAN详解1.3.1SPAN简介SPAN技术主要是用来监控交换机上的数据流，大体分为两种类型，本地SPAN和远程SPAN.----LocalSwitchedPortAnalyzer(SPAN)andRemoteSPAN(RSPAN)，实现方法上稍有不同。利用SPAN技术我们可以把交换机上某些想要被监控端口（以下简称受控端口）的数据流COPY或MIRROR一份，发送给连接在监控端口上的流量分析仪，比如CISCO的IDS或是装了SNIFFER工具的PC.受控端口和监控端口可以在同一台交换机上（本地SPAN），也可以在不同的交换机上（远程SPAN）。1.3.2名词解释SPANSession--SPAN会话SPAN会话是指一组受控端口与一个监控端口之间的数据流。可以同时对多个端口的进入流量或是一个端口的外出流量进行监控，也可以对VLAN内所有端口的进入流量进行监控，但不能同时对多个端口的外出流量及VLAN的外出流量进行监控，可以对处于关闭状态的端口设置SPAN，但此时的SPAN会话是非活动，但只要相关的接口被打开，SPAN就会变为活动的。监控端口最好是=受控端口的带宽，否则可能会出现丢包的情况。SPANTraffic--SPAN的流量使用本地SPAN可以监控所有的网络流量，包括multicast、bridgeprotocoldataunit(BPDU)，和CDP、VTP、DTP、STP、PagP、LACPpackets.RSPAN不能监控二层协议。TrafficTypes--流量类型被监控的流量类型分为三种，Receive(Rx)SPAN受控端口的接收流量，Transmit(Tx)SPAN受控端口的发送流量，Both一个受控端口的接收和发送流量。SourcePort--SPAN会话的源端口（也就是monitoredport-即受控端口）受控端口可以是实际的物理端口、VLAN、以太通道端口组EtherChannel，物理端口可以在不同的VLAN中，受控端口如果是VLAN则包括此VLAN中的所以物理端口，受控端口如果是以太通道则包括组成此以太通道组的所有物理端口，如果受控端口是一个TRUNK干道端口，则此TRUNK端口上承载的所有VLAN流量都会受到监控，也可以使用filtervlan参数进行调整，只对filtervlan中指定的VLAN数据流量做监控。DestinationPort--SPAN会话的目的端口（也就是monitoringport-即监控端口）监控端口只能是单独的一个实际物理端口，一个监控端口同时只能在一个SPAN会话中使用，监控端口不参与其它的二层协议如：Layer2protocolsCiscoDiscoveryProtocol(CDP),VLANTrunkProtocol(VTP),DynamicTrunkingProtocol(DTP),SpanningTreeProtocol(STP),PortAggregationProtocol(PagP),LinkAggregationControlProtocol(LACP).缺省情况下监控端口不会转发除SPANSession以外的任何其它的数据流，也可以通过设置ingress参数，打开监控端口的二层转发功能，比如当连接CISCOIDS的时会有这种需求，此时IDS不仅要接收SPANSession的数据流，IDS旧碓谕缰谢够嵊肫渌璞赣型ㄑ读髁浚砸蚩嗫囟丝诘?二层转发功能。ReflectorPort--反射端口反射端口只在RSPAN中使用，与RSPAN中的受控端口在同一台交换机上，是用来将本地的受控端口流量转发到RSPAN中在另一台交换机上的远程监控端口的方法，反射端口也只能是一个实际的物理端口，它不属于任何VLAN(ItisinvisibletoallVLANs.)。RSPAN中还要使用一个专用的VLAN来转发流量，反射端口会使用这个专用VLAN将数据流通过TRUNK端口发送给其它的交换机，远程交换机再通过此专用VLAN将数据流发送到监控端口上的分析仪。关于RSPANVLAN的创建，所有参与RSPAN的交换机应在同一个VTP域中，不能用VLAN1，也不能用1002-1005，这是保留的(reservedforTokenRingandFDDIVLANs)，如果是2-1001的标准VLAN，则只要在VTPServer上创建即可，其它的交换机会自动学到，如果是1006-4094的扩展VLAN，则需要在所有交换机上创建此专用VLAN.反射端口最好是=受控端口的带宽，否则可能会出现丢包的情况。VLAN-BasedSPAN--基于VLAN的SPAN基于VLAN的SPAN只能监控VLAN中所有活动端口接收的流量(onlyreceived(Rx)traffic)，如果监控端口属于此VLAN，则此端口不在监控范围内，VSPAN只监控进入交换机的流量，不对VLAN接口上的路由数据做监控。(VSPANonlymonitorstrafficthatenterstheswitch,nottrafficthatisroutedbetweenVLANs.Forexample,ifaVLANisbeingRx-monitoredandthemultilayerswitchroutestrafficfromanotherVLANtothemonitoredVLAN,thattrafficisnotmonitoredandisnotreceivedontheSPANdestinationport.)1.3.3SPAN和RSPAN与其它特性的互操作性Routing--SPAN不监控VLAN间的路由数据；(不好理解)Routing—IngressSPANdoesnotmonitorroutedtraffic.VSPANonlymonitorstrafficthatenterstheswitch,nottrafficthatisroutedbetweenVLANs.Forexample,ifaVLANisbeingRx-monitoredandthemultilayerswitchroutestrafficfromanotherVLANtothemonitoredVLAN,thattrafficisnotmonitoredandnotreceivedontheSPANdestinationport.STP--监控端口和反射端口不会参与STP，但SPAN对受控端口的STP没有影响；CDP--监控端口不参与CDP；VTP--RSPANVLAN可以被修剪pruning；VLANandtrunking--可以修改受控端口、监控端口和反射端口的VLAN和TRUNK设置，受控端口的改变会立即生效，而监控端口和反射端口则要在从SPAN中去除后才会生效；EtherChannel--整个以太通道组可以做为受控端口使用，如果一个属于某个以太通道组的物理端口被配成了受控端口、监控端口或反射端口，则此端口会自动从以太通道组去除，当SPAN删除后，它又会自动加入原以太通道组；QoS--由于受Q