端口镜像——配置原理篇
镜像是指将经过指定端口(镜像端口)或者指定VLAN(镜像VLAN)的报文复制一份到另一个指定端口(观察端口),然后转发到网络监控设备,供网络管理员进行网络监控与故障管理。
看官们可以通过下面的这张图了解下镜像具体的工作机制,以及需要注意的地方。
那么镜像在网络维护中具体能做些什么呢?
1、故障定位
在系统运行过程中,可能由于系统软件处理异常、网络设备硬件故障、计算机病毒或用户不正常使用等原因造成网络上流量异常或产生错误报文。为了在不影响系统运行的情况下对网络上的报文进行分析,以定位故障产生的原因,这时候就可以使用镜像。
2、业务可视
为了更好的理解企业内部业务流量模型, 在网络汇聚或核心交换机上,对业务流量进行镜像,以便在不影响正常业务的情况下,使企业各类应用清晰可视。 比如说, 多少用户在上班时间访问QQ; 员工访问公司内部服务器的访问量排名情况。
3、入侵检测
为了发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性, 在企业的上行接口,将所有出入的流量镜像到一个IDS服务器上,进行实时分析。比如外部访问公司服务器的访问量激增,分析一下这些是不是属于攻击报文等。
另外,要特别说明一下,江湖就要有江湖的规矩,坏了规矩,就会招致整个武林的一致声讨。所以,虽然镜像功能如此的强大,但是在华为S系列交换机上用的是时候,请谨记:
该功能主要用于网络检测和故障管理,可能涉及使用个人用户某些通信内容。华为公司无法单方采集或存储用户通信内
容。建议您只有在所适用法律法规允许的目的和范围内方可启用相应的功能。在使用、存储用户通信内容的过程中,您应采取足够的措施以确保用户的通信内容受到严格保护。
好了,看官们现在了解到镜像强大的威力之后,那我们下面就来看看华为S系列交换机哪些不同方式的镜像功能。
功能 定义 产品支持情况 端口镜像 将指定端口(镜像端口)的报文复制到观察端口。 全支持 流镜像 将指定类型的报文复制到观察端口。 全支持 VLAN镜像 将指定VLAN(镜像VLAN)的报文复制到观察端口。 框式交换机和S5720HI不支持 MAC镜像 将指定MAC地址的报文复制到观察端口。
框式交换机和S5720HI不支持
如何配置?
无论上述的哪种方式,主要配置下面两步:
1、创建观察端口。不同的场景可以选择不同的命令,如表所示。
场景 |
对应配置命令 |
观察端口与监控设备直连,本地镜像。 |
observe-port [ <observe-port-index> ] <interfaceinterface-type interface-number> |
观察端口与监控设备通过中间二层网络相连,二层远程镜像。 |
observe-port [ <observe-port-index> ] <interfaceinterface-type interface-number> vlan <vlan-id> |
观察端口与监控设备通过中间三层网络相连,三层远程镜像。(仅框式交换机支持) |
observe-port [ <observe-port-index> ] <interfaceinterface-type interface-number> destination-ip <dest-ip-address> source-ip <source-ip-address> [ dscp <dscp-value> | vlan <vlan-id> ] * |
PS:如果需要将报文复制到多个观察端口,可以将上面的命令执行多次,或者配置观察端口组进行批量配置。
2、将指定的报文镜像到观察端口。不同的镜像方式对应有不同的命令,如表所示。
镜像方式 |
镜像方式 |
端口镜像 |
port-mirroring to observe-port <observe-port-index> { both | inbound | outbound } |
流镜像 |
基于MQC:mirroring to observe-port <observe-port-index>基于ACL:traffic-mirror |
VLAN镜像 |
mirroring to observe-port <observe-port-index> inbound |
MAC镜像 |
mac-mirroring mac-address to observe-port <observe-port-index> inbound |
PS:both | inbound | outbound分别表示镜像设备双向(接收和发送两个方向)/入方向(接收方向)/出方向(发送方向)的报文。
下面小编再通过简单的组网环境演示一下我们常用的二层远程端口镜像是如何配置的吧。
如图所示,员工A与DNS服务器在同一个VLAN,通过二层网络通信,现在监控PC通过在SwitchA配置的二层远程端口镜像,来监控员工A访问DNS服务器的记录。
1、具体每台交换机上的配置如下:
l SwitchA的配置文件
#
sysname SwitchA
#
vlan batch 10 20 //VLAN10为用户VLAN,VLAN20用于转发镜像报文
#
observe-port 1 interface GigabitEthernet0/0/1 vlan 20 //配置GE0/0/1为二层远程观察端口,
用的观察端口索引为1,远程镜像VLAN为VLAN20,复制的报文会通过GE0/0/1向VLAN20转发
#
interface GigabitEthernet0/0/1 //观察端口不需要加入VLAN20,上面的配置已实现镜像报文通过GE0/0/1向VLAN20转发
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 10 //端口加入VLAN,员工A与DNS之间通信
port-mirroring to observe-port 1 inbound //将GE0/0/2入方向的报文(即接收到的员工A发送的报文)镜像到观察端口1(即GE0/0/1)
#
interface GigabitEthernet0/0/3
port link-type access
port default vlan 10 //端口加入VLAN,员工A与DNS之间通信
l SwitchB的配置文件
#
sysname SwitchB
#
vlan batch 20 //用于转发镜像报文到监控PC
#
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 20 //端口加入VLAN,用于转发镜像报文到监控PC
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 20 //端口加入VLAN,用于转发镜像报文到监控PC
2、在SwitchA查看端口镜像的配置情况:
3、 检查员工A与DNS服务器间通信的报文是否镜像到监控PC:
先在监控PC上启用抓包工具,然后在员工A的PC上向DNS服务器发个ping报文。最后通过抓包工具抓取报文。
可以发现抓取到了源地址为员工A地址、目的地址为监控PC地址的ping报文。
端口镜像——配置原理篇的更多相关文章
- 华为S5700配置端口镜像和华三S5120配置802.1X认证记录
一.说明 事情的起因是我们部门有个华为的S5700交换机,想配置端口镜像抓包但让助理买的串口线很久都还没到:而昨天测试部的同事说他们那有台华三的S5120想要配802.1X认证,但只有华为交换机的文档 ...
- spring boot实战(第十三篇)自动配置原理分析
前言 spring Boot中引入了自动配置,让开发者利用起来更加的简便.快捷,本篇讲利用RabbitMQ的自动配置为例讲分析下Spring Boot中的自动配置原理. 在上一篇末尾讲述了Spring ...
- CentOS7 配置网卡端口镜像
背景 最近一直在研究旁路监测,需要设置一个源端口镜像给两个目的端口(分别接两个监测设备),无奈ip-com交换机没配置明白,研究下使用软件实现暂时代替. 环境 发行版.内核.iptables版本信息如 ...
- S5700交换机配置端口镜像
S5700交换机配置端口镜像 <Quidway>system-view //进入系统视图 Enter system view, return user view with Ctrl+ ...
- H3c交换机配置端口镜像详情
端口镜像 需要将G0/0/1口的全部流量镜像到G0/0/2口,即G0/0/1为源端口,G0/0/2为目的端口. 配置步骤 1.进入配置模式:system-view: 2.创建本地镜像组:mirrori ...
- 【串线篇】spring boot自动配置原理
配置文件到底能写什么?怎么写?自动配置原理: 配置文件能配置的属性参照 一.自动配置原理: 1.1.SpringBoot启动的时候加载主配置类,开启了自动配置功能 @EnableAutoConfigur ...
- Tomcat集群配置学习篇-----分布式应用
Tomcat集群配置学习篇-----分布式应用 现目前基于javaWeb开发的应用系统已经比比皆是,尤其是电子商务网站,要想网站发展壮大,那么必然就得能够承受住庞大的网站访问量:大家知道如果服务器访问 ...
- Tomcat 原理篇
TOMCAT 原理篇一.Tomcat 组成(Tomcat 由以下组件组成) 1.server a) Server是一个Catalina Servlet容器: b) Server 可以包含一个或多个se ...
- 推荐-zabbix原理篇
推荐-zabbix原理篇(1) 提交 我的留言 加载中 已留言 本文大纲 snmp介绍 监控流程 开源监控工具zabbix zabbix监控功能的实现 支持数据库存储类型 Zabbix架构中的组件 Z ...
随机推荐
- RxJS——调度器(Scheduler)
调度器 什么是调度器?调度器是当开始订阅时,控制通知推送的.它由三个部分组成. 调度是数据结构.它知道怎样在优先级或其他标准去存储和排队运行的任务 调度器是一个执行上下文.它表示任务在何时何地执行(例 ...
- MyCat教程四:实现读写分离
本文我们来给大家介绍下通过MyCat来实现MySQL的读写分离操作 MyCat读写分离 一.读写分离配置 前面我们已经介绍过了mysql的主从同步和mycat的安装及相关配置文件的介绍,现在我们来 ...
- win10 LTSC系统 安装应用商店和纸牌合集,解决从应用商店安装Solitaire Collection纸牌打开空白的问题
家里台式机换了win10系统,想给老妈玩那个纸牌游戏(我也超喜欢的!. 发现这个系统没有自带纸牌游戏Microsoft Solitaire Collection, 过分的是,连应用商店都没有...呵呵 ...
- 百度地图公交线路查询,并绘制到地图上并获取所有路径经纬度点(可供echarts 路径图使用)
github地址 https://github.com/a1115040996/MyHTML/tree/gh-pages/BDMap 源代码 <!DOCTYPE html PUBLIC &quo ...
- windows定时器编程
目前,Windows下的定时器编程主要有三种方式. 1)SetTimer定时器是利用Windows窗口消息WM_TIMER来实现的.使用方法非常简单,SetTimer创建定时器,KillTimer销毁 ...
- jwt揭秘(含源码示例)
JSON Web Tokens,是一种开发的行业标准 RFC 7519 ,用于安全的表示双方之间的声明.目前,jwt广泛应用在系统的用户认证方面,特别是现在前后端分离项目. 1. jwt认证流程 ...
- 内核中dump_stack的实现原理(2) —— symbol
环境 Linux-4.14 Aarch64 正文 在前面的分析中调用print_symbol("PC is at %s\n", instruction_pointer(regs ...
- Solidity合约中的整数溢出漏洞事件
事件 2018年4月23日 BEC 一夜被偷64亿 2018年4月25日 SMT 再爆类似漏洞,火币Pro和OKEx相继暂停了SMT交易 2018年4月25日 BEC.SMT现重大漏洞,这8个智能合约 ...
- HashMap中的putIfAbsent使用示例
原文:https://blog.csdn.net/k3108001263/article/details/83720445 如果不存在key,则添加到HashMap中,跟put方法相似 如果存在key ...
- Unity 渲染教程(三):使用多张纹理贴图
对多个纹理进行采样 应用一张细节贴图 在线性空间中处理颜色 使用一张splat纹理 这是关于渲染的教程系列的第三部分. 前面的部分介绍了着色器和纹理. 我们已经看到如何使用单个纹理来使平坦表面看起来更 ...