镜像是指将经过指定端口(镜像端口)或者指定VLAN(镜像VLAN)的报文复制一份到另一个指定端口(观察端口),然后转发到网络监控设备,供网络管理员进行网络监控与故障管理。

看官们可以通过下面的这张图了解下镜像具体的工作机制,以及需要注意的地方。

那么镜像在网络维护中具体能做些什么呢?

1、故障定位

在系统运行过程中,可能由于系统软件处理异常、网络设备硬件故障、计算机病毒或用户不正常使用等原因造成网络上流量异常或产生错误报文。为了在不影响系统运行的情况下对网络上的报文进行分析,以定位故障产生的原因,这时候就可以使用镜像。

2、业务可视

为了更好的理解企业内部业务流量模型, 在网络汇聚或核心交换机上,对业务流量进行镜像,以便在不影响正常业务的情况下,使企业各类应用清晰可视。 比如说, 多少用户在上班时间访问QQ; 员工访问公司内部服务器的访问量排名情况。

3、入侵检测

为了发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性, 在企业的上行接口,将所有出入的流量镜像到一个IDS服务器上,进行实时分析。比如外部访问公司服务器的访问量激增,分析一下这些是不是属于攻击报文等。

另外,要特别说明一下,江湖就要有江湖的规矩,坏了规矩,就会招致整个武林的一致声讨。所以,虽然镜像功能如此的强大,但是在华为S系列交换机上用的是时候,请谨记:

该功能主要用于网络检测和故障管理,可能涉及使用个人用户某些通信内容。华为公司无法单方采集或存储用户通信内

容。建议您只有在所适用法律法规允许的目的和范围内方可启用相应的功能。在使用、存储用户通信内容的过程中,您应采取足够的措施以确保用户的通信内容受到严格保护。

好了,看官们现在了解到镜像强大的威力之后,那我们下面就来看看华为S系列交换机哪些不同方式的镜像功能。

功能 定义 产品支持情况 端口镜像 将指定端口(镜像端口)的报文复制到观察端口。 全支持 流镜像 将指定类型的报文复制到观察端口。 全支持 VLAN镜像 将指定VLAN(镜像VLAN)的报文复制到观察端口。 框式交换机和S5720HI不支持 MAC镜像 将指定MAC地址的报文复制到观察端口。

框式交换机和S5720HI不支持

如何配置?

无论上述的哪种方式,主要配置下面两步:

1、创建观察端口。不同的场景可以选择不同的命令,如表所示。

场景

对应配置命令

观察端口与监控设备直连,本地镜像。

observe-port [ <observe-port-index> ] <interfaceinterface-type interface-number>

观察端口与监控设备通过中间二层网络相连,二层远程镜像。

observe-port [ <observe-port-index> ] <interfaceinterface-type interface-number> vlan <vlan-id>

观察端口与监控设备通过中间三层网络相连,三层远程镜像。(仅框式交换机支持)

observe-port [ <observe-port-index> ] <interfaceinterface-type interface-number> destination-ip <dest-ip-address> source-ip <source-ip-address> [ dscp <dscp-value> | vlan <vlan-id> ] *

PS:如果需要将报文复制到多个观察端口,可以将上面的命令执行多次,或者配置观察端口组进行批量配置。

2、将指定的报文镜像到观察端口。不同的镜像方式对应有不同的命令,如表所示。

镜像方式

镜像方式

端口镜像

port-mirroring to observe-port <observe-port-index> { both | inbound | outbound }

流镜像

基于MQC:mirroring to observe-port <observe-port-index>基于ACL:traffic-mirror

VLAN镜像

mirroring to observe-port <observe-port-index> inbound

MAC镜像

mac-mirroring mac-address to observe-port <observe-port-index> inbound

PS:both | inbound | outbound分别表示镜像设备双向(接收和发送两个方向)/入方向(接收方向)/出方向(发送方向)的报文。

下面小编再通过简单的组网环境演示一下我们常用的二层远程端口镜像是如何配置的吧。

如图所示,员工A与DNS服务器在同一个VLAN,通过二层网络通信,现在监控PC通过在SwitchA配置的二层远程端口镜像,来监控员工A访问DNS服务器的记录。

1、具体每台交换机上的配置如下:

l SwitchA的配置文件

#

sysname SwitchA

#

vlan batch 10 20   //VLAN10为用户VLAN,VLAN20用于转发镜像报文

#

observe-port 1 interface GigabitEthernet0/0/1 vlan 20  //配置GE0/0/1为二层远程观察端口,

用的观察端口索引为1,远程镜像VLAN为VLAN20,复制的报文会通过GE0/0/1向VLAN20转发

#

interface GigabitEthernet0/0/1   //观察端口不需要加入VLAN20,上面的配置已实现镜像报文通过GE0/0/1向VLAN20转发

#

interface GigabitEthernet0/0/2

port link-type access

port default vlan 10    //端口加入VLAN,员工A与DNS之间通信

port-mirroring to observe-port 1 inbound  //将GE0/0/2入方向的报文(即接收到的员工A发送的报文)镜像到观察端口1(即GE0/0/1)

#

interface GigabitEthernet0/0/3

port link-type access

port default vlan 10   //端口加入VLAN,员工A与DNS之间通信

l SwitchB的配置文件

#

sysname SwitchB

#

vlan batch 20  //用于转发镜像报文到监控PC

#

interface GigabitEthernet0/0/1

port link-type trunk

port trunk allow-pass vlan 20  //端口加入VLAN,用于转发镜像报文到监控PC

#

interface GigabitEthernet0/0/2

port link-type access

port default vlan 20  //端口加入VLAN,用于转发镜像报文到监控PC

2、在SwitchA查看端口镜像的配置情况:

3、 检查员工A与DNS服务器间通信的报文是否镜像到监控PC:

先在监控PC上启用抓包工具,然后在员工A的PC上向DNS服务器发个ping报文。最后通过抓包工具抓取报文。

可以发现抓取到了源地址为员工A地址、目的地址为监控PC地址的ping报文。

端口镜像——配置原理篇的更多相关文章

  1. 华为S5700配置端口镜像和华三S5120配置802.1X认证记录

    一.说明 事情的起因是我们部门有个华为的S5700交换机,想配置端口镜像抓包但让助理买的串口线很久都还没到:而昨天测试部的同事说他们那有台华三的S5120想要配802.1X认证,但只有华为交换机的文档 ...

  2. spring boot实战(第十三篇)自动配置原理分析

    前言 spring Boot中引入了自动配置,让开发者利用起来更加的简便.快捷,本篇讲利用RabbitMQ的自动配置为例讲分析下Spring Boot中的自动配置原理. 在上一篇末尾讲述了Spring ...

  3. CentOS7 配置网卡端口镜像

    背景 最近一直在研究旁路监测,需要设置一个源端口镜像给两个目的端口(分别接两个监测设备),无奈ip-com交换机没配置明白,研究下使用软件实现暂时代替. 环境 发行版.内核.iptables版本信息如 ...

  4. S5700交换机配置端口镜像

    S5700交换机配置端口镜像 <Quidway>system-view    //进入系统视图 Enter system view, return user view with Ctrl+ ...

  5. H3c交换机配置端口镜像详情

    端口镜像 需要将G0/0/1口的全部流量镜像到G0/0/2口,即G0/0/1为源端口,G0/0/2为目的端口. 配置步骤 1.进入配置模式:system-view: 2.创建本地镜像组:mirrori ...

  6. 【串线篇】spring boot自动配置原理

    配置文件到底能写什么?怎么写?自动配置原理: 配置文件能配置的属性参照 一.自动配置原理: 1.1.SpringBoot启动的时候加载主配置类,开启了自动配置功能 @EnableAutoConfigur ...

  7. Tomcat集群配置学习篇-----分布式应用

    Tomcat集群配置学习篇-----分布式应用 现目前基于javaWeb开发的应用系统已经比比皆是,尤其是电子商务网站,要想网站发展壮大,那么必然就得能够承受住庞大的网站访问量:大家知道如果服务器访问 ...

  8. Tomcat 原理篇

    TOMCAT 原理篇一.Tomcat 组成(Tomcat 由以下组件组成) 1.server a) Server是一个Catalina Servlet容器: b) Server 可以包含一个或多个se ...

  9. 推荐-zabbix原理篇

    推荐-zabbix原理篇(1) 提交 我的留言 加载中 已留言 本文大纲 snmp介绍 监控流程 开源监控工具zabbix zabbix监控功能的实现 支持数据库存储类型 Zabbix架构中的组件 Z ...

随机推荐

  1. 一个tomcat同时部署多个项目

    一个tomcat同时部署多个项目 1. 注意事项: 1. 每一个service的端口号不能产生冲突 2. service的name属性的值可以重复 name="Catalina" ...

  2. Dijkstra算法求最短路径 Java实现

    基本原理: 迪杰斯特拉算法是一种贪心算法. 首先建立一个集合,初始化只有一个顶点.每次将当前集合的所有顶点(初始只有一个顶点)看成一个整体,找到集合外与集合距离最近的顶点,将其加入集合并检查是否修改路 ...

  3. echarts路径图 绘制上海市52路公交车线路

    busLines = [{"coords":[[121.494687,31.253937],[121.494276,31.254031],[121.494226,31.254042 ...

  4. Caused by: javax.persistence.TransactionRequiredException: Executing an update/delete query

    org.springframework.dao.InvalidDataAccessApiUsageException: Executing an update/delete query; nested ...

  5. 牛客NOIP暑期七天营-提高组5

    A:deco的abs. 水题,先%,然后相邻两个数min()一下差值. #include<bits/stdc++.h> #define ll long long using namespa ...

  6. python基础语法9 生成器,面向对象编程思想,三元表达式,列表生成式,生成器表达式(生成式),匿名函数,内置函数

    生成器 1.什么是生成器? 生成的工具. 生成器是一个 "自定义" 的迭代器, 本质上是一个迭代器. 2.如何实现生成器 但凡在函数内部定义了的yield, 调用函数时,函数体代码 ...

  7. Ofbiz项目学习——阶段性小结——查询

    一.组装参数的学习 首先是查询条件,对于查询条件,需要判断是否从前端传递空值?——怎么处理查询空值? 当然可以一个一个进行判断,但是这样代码会导致很多,可以统一处理,形成一个公共方法. 1. 单个处理 ...

  8. Synchronized性质

    Synchronized可重入性质 * 什么是可重入:指的是同一线程的外层函数获得锁之后,内层函数可以直接再次获取该锁,而不是释放当前的锁去重新获取一个锁,这是它的一个优点 * 好处:避免死锁,提升封 ...

  9. MongoDB 大数据技术之mongodb中在嵌套子文档的文档上面建立索引

    一.给collection objectid赋自定义的值 MongoDB Enterprise > db.testid.insert({_id:{imsi:"4567890123&qu ...

  10. cc2530单片机的第一次实验,流水灯

    第一个实验:控制流水灯 P1_0,P1_1,P0_4都连接在发光二极管的负极,所以,当这三个引脚为低电平,也就是0的时候,相应的发光二极管才会亮. 其实这里可以稍微的关注一下寄存器的地址,然后,编程的 ...