h3c路由器端口镜像怎么配置如何给交换机和路由器做端口镜像
內(nèi)容導(dǎo)航:
- h3c路由器端口鏡像怎么配置
- 如何給交換機(jī)和路由器做端口鏡像
- 在路由器上可以做鏡像端口嗎
一、h3c路由器端口鏡像怎么配置
〖基于三層流的鏡像〗
1.定義一條擴(kuò)展訪(fǎng)問(wèn)控制列表ACL
[SwitchA]acl num 100
2.定義一條規(guī)則報(bào)文源地址為1.1.1.1/32去往所有目的地址
[SwitchA-acl-adv-101]rule 0 permit ip source 1.1.1.1 0 destination any
3.定義一條規(guī)則報(bào)文源地址為所有源地址目的地址為1.1.1.1/32
[SwitchA-acl-adv-101]rule 1 permit ip source any destination 1.1.1.1 0
4.將符合上述ACL規(guī)則的報(bào)文鏡像到E0/8端口
[SwitchA]mirrored-to ip-group 100 interface e0/8
二、如何給交換機(jī)和路由器做端口鏡像
先解釋一下端口鏡像:端口鏡像簡(jiǎn)單的說(shuō),就是把交換機(jī)一個(gè)(數(shù)個(gè))端口(源端口)的流量完全拷貝一份,從另外一個(gè)端口(目的端口)發(fā)
出去,以便網(wǎng)絡(luò)管理人員從目的端口通過(guò)分析源端口的流量來(lái)找出網(wǎng)絡(luò)存在問(wèn)題的原因。
cisco的端口鏡像叫做SWITCHED PORT ANALYZER,簡(jiǎn)稱(chēng)SPAN(僅在IOS系統(tǒng)中,下同),因此,端口鏡像僅適用于以太網(wǎng)交換端口。
Cisco的SPAN
分成三種,SPAN、RSPAN和VSPAN,簡(jiǎn)單的說(shuō),SPAN是指源和目的端口都在同一臺(tái)機(jī)器上、RSPAN指目的和源不在同一交換機(jī)上,VSPAN可以鏡像
整個(gè)或數(shù)個(gè)VLAN到一個(gè)目的端口。
配置方法:
1. SPAN
(1) 創(chuàng)建SPAN源端口
monitor session [i]session_number[/i] source interface interface-id [, | -] [both | rx | tx]
**[i]session_number[/i],SPAN會(huì)話(huà)號(hào),我記得3550支持的最多本地SPAN是2個(gè),即1或者2.
**interface-id [, | -]源端口接口號(hào),即被鏡像的端口,交換機(jī)會(huì)把這個(gè)端口的流量拷貝一份,可以輸入多個(gè)端口,多個(gè)用“,”隔開(kāi),
連續(xù)的用“-”連接。
**[both | rx | tx],可選項(xiàng),是指拷貝源端口雙向的(both)、僅進(jìn)入(rx)還是僅發(fā)出(tx)的流量,默認(rèn)是both。
(2)創(chuàng)建SPAN目的端口
monitor session session_number destination interface interface-id [encapsulation {dot1q [ingress vlan vlan id] | ISL
[ingress]} | ingress vlan vlan id]
**一樣的我就不說(shuō)了。
**session_number要和上面的一致。
**interface-id目的端口,在源端口被拷貝的流量會(huì)從這個(gè)端口發(fā)出去,端口號(hào)不能被包含在源端口的范圍內(nèi)。
**[encapsulation {dot1q | isl}],可選,指被從目的端口發(fā)出去時(shí)是否使用802.1q和isl封裝,當(dāng)使用802.1q時(shí),對(duì)于本地VLAN不進(jìn)行封
裝,其他VLAN封裝,ISL則全部封裝。
2.VSPAN
(1)創(chuàng)建VSPAN源VLAN
monitor session session_number source vlan vlan-id [, | -] rx
**一樣的也不說(shuō)了,基本和SPAN相同,只是接口號(hào)變成了VLAN號(hào),而且只能鏡像接收的流量。
(2)創(chuàng)建VSPAN目的端口
monitor session session_number destination interface interface-id [encapsulation {dot1q | isl}]
**和SPAN的一樣。
3.RSPAN
RSPAN的配置較為復(fù)雜,其流程可以這樣來(lái)看,交換機(jī)把要鏡像的端口流量復(fù)制一份,然后發(fā)到本機(jī)的一個(gè)反射端口上(reflector-port )
,在由反射端口將其通過(guò)網(wǎng)絡(luò)轉(zhuǎn)發(fā)到目的交換機(jī)中的VLAN上(一般情況下,這個(gè)VLAN是專(zhuān)為鏡像而設(shè)的,不要作為客戶(hù)端接入所用),再在目
的交換機(jī)中配置VSPAN,將該VLAN的流量鏡像到目的端口,要注意的是,一旦這種RSPAN被使用,該鏡像專(zhuān)用VLAN的信息會(huì)被轉(zhuǎn)發(fā)到所有的VLAN
主干上,造成網(wǎng)絡(luò)帶寬的浪費(fèi),因此要配置VLAN修剪(pruning),另外RSPAN也可以鏡像VLAN。
(1)在源交換機(jī)上創(chuàng)建RSPAN源端口
**同SPAN或VSPAN
(2)在源交換機(jī)上創(chuàng)建VSPAN反射端口和目的VLAN
monitor session session_number destination remote vlan vlan-id reflector-port interface
**vlan-id 目的交換機(jī)上轉(zhuǎn)為鏡像而設(shè)的VLAN
**reflector-port interface源交換機(jī)上的鏡像端口
(3)在目的交換機(jī)上創(chuàng)建VSPAN源VLAN
monitor session session_number source remote vlan vlan-id
**vlan-id就是上面的鏡像專(zhuān)用VLAN
(4)在目的交換機(jī)上創(chuàng)建VSPAN目的端口
monitor session session_number destination interface interface-id [encapsulation {dot1q | isl}]
**同SPAN
4.其他
(1)端口鏡像的過(guò)濾,端口鏡像是可以做Filter的。
monitor session session_number filter vlan vlan-id [, | -]
**指定源端口進(jìn)入的流量中,屬于哪些VLAN的可以從目的端口發(fā)出去。
(2)刪除鏡像
no monitor session {session_number | all | local | remote}
**session_number指定會(huì)話(huà)號(hào),all是所有鏡像,local是本地鏡像,remote是遠(yuǎn)程鏡像。
(3)鏡像的目的端口不能正常收發(fā)數(shù)據(jù),因此不能再作為普通端口使用,可以連接一些網(wǎng)絡(luò)分析和安全設(shè)備,例如裝有sniifer的計(jì)算機(jī)或者Cisco IDS設(shè)備。
三、在路由器上可以做鏡像端口嗎
可以的,但是要看你的路由器是否支持。
端口鏡像(port Mirroring)功能通過(guò)在交換機(jī)或路由器上,將一個(gè)或多個(gè)源端口的數(shù)據(jù)流量轉(zhuǎn)發(fā)到某一個(gè)指定端口來(lái)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的監(jiān)聽(tīng),指定端口稱(chēng)之為“鏡像端口”或“目的端口”,在不嚴(yán)重影響源端口正常吞吐流量的情況下,可以通過(guò)鏡像端口對(duì)網(wǎng)絡(luò)的流量進(jìn)行監(jiān)控分析。
在企業(yè)中用鏡像功能,可以很好地對(duì)企業(yè)內(nèi)部的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行監(jiān)控管理,在網(wǎng)絡(luò)出故障的時(shí)候,可以快速地定位故障。
一般情況下,家用路由器是不支持端口鏡像的,企業(yè)級(jí)的路由器大部分都支持。
我用過(guò)D-Link的DIR-8000系列的上網(wǎng)行為認(rèn)證路由器就支持端口鏡像功能。
總結(jié)
以上是生活随笔為你收集整理的h3c路由器端口镜像怎么配置如何给交换机和路由器做端口镜像的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: [NOIP-S 2020]游记(附考前注
- 下一篇: 第五人格怎么获得回声/回声有什么作用