交换机端口镜像简介
端口镜像:是指设备复制从镜像端口流经的报文,并将此报文传送到指定的观察端口进行分析和监控;
实现通过观察端口(目的端口)进行对镜像端口(源端口)流量的监控、分析、故障定位;
根据观察端口的不同,端口镜像分为本地端口镜像和二层远程端口镜像。
镜像端口通俗地说,就是把交换机一个(或多个)端口(源端口)的数据完全拷贝一份,从另外一个(或多个)端口(目的端口)发给网络监管系统,以实现网络管理人员通过网络监管系统分析源端口数据,分析网络故障等。
交换机端口镜像基本工作原理如下图所示:
交换机端口镜像的主要用途
- 故障分析:由于系统异常、网络故障、计算机病毒或用户误操作等原因造成网络上流量异常或产生错误报文,为了不影响系统正常运行,通过分析镜像数据,进行故障分析。
- 业务统计:在网络汇聚或核心交换机上,对业务数据进行镜像,在不影响正常业务的情况下,使企业各类应用数据统计。比如说,多少用户在上班时间访问微信,访问公司内部服务器的访问量排名情况。
- 入侵检测:为了预防各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的保密性、完整性和可用性,在企业的上行接口,将所有出入的流量镜像到一个IDS服务器上,进行实时分析。比如外部访问公司服务器的访问量激增,分析一下这些是不是属于攻击报文等。
基本配置示例
实验环境
将业务数据和外网数据镜像到网络监管平台,用于数据监控和分析。
网络拓扑图
将SW2交换机下的业务数据,通过SW1交换机GE 0/0/1口镜像到SW1交换机GE 0/0/2口;将从外网进入和出去的数据,通过SW1交换机GE 0/0/3口镜像到SW1交换机GE 0/0/2口。
代码段
system-viewsysname SW1observe-port 1 interface GigabitEthernet 0/0/2interface GigabitEthernet 0/0/1port-mirroring to observe-port 1 inboundinterface GigabitEthernet 0/0/3port-mirroring to observe-port 1 both
代码解析
[Huawei]sysname SW1
[SW1]observe-port 1 interface GigabitEthernet 0/0/2 // 将GigabitEthernet 0/0/2设置为观察端口1(目的端口)
[SW1]interface GigabitEthernet 0/0/1
[SW1-GigabitEthernet0/0/1]port-mirroring to observe-port 1 inbound //将GigabitEthernet0/0/1端口(源端口)数据镜像到观察端口1
[SW1-GigabitEthernet0/0/1]interface GigabitEthernet 0/0/3
[SW1-GigabitEthernet0/0/3]port-mirroring to observe-port 1 both
注:both表示镜像端口(源端口)的双向数据都要镜像(拷贝1份),如果只想镜像出口数据,则将both改为outbound,如果只想镜像进口数据,则把both改为inbound 。
查看验证
查看命令:
[SW1]display observe-port //查看观察端口配置
[SW1]display port-mirroring //查看镜像端口配置