需求
爲落實好內網安全,將二層接入層網絡設備升級爲三層交換機,將所有流量進行端口鏡像流量分析,以備後續網絡安全覈查。
什麼是端口鏡像?
端口鏡像通過將指定端口的報文複製到與數據監測設備相連的端口,使用戶可以利用數據監測設備分析這些複製過來的報文,以進行網絡監控和故障排除。
什麼是鏡像源?
指被監控的對象,該對象爲設備上的端口,我們稱爲源端口。經由被監控的對象收發的報文會被複制一份到與數據監測設備相連的端口,用戶就可以對這些報文(稱爲鏡像報文)進行監控和分析了。鏡像源所在的設備就稱爲源設備。
鏡像目的
鏡像目的是指鏡像報文所要到達的目的地,即與數據監測設備相連的那個端口,我們稱之爲目的端口,目的端口所在的設備就稱爲目的設備。目的端口會將鏡像報文轉發給與之相連的數據監測設備。
由於一個目的端口可以同時監控多個鏡像源,因此在某些組網環境下,目的端口可能收到對同一報文的多份拷貝。例如,目的端口Port 3同時監控同一臺設備上的源端口Port 1和Port 2收發的報文,如果某報文從Port 2進入該設備後又從Port 1發送出去,那麼該報文將被複制兩次給Port 3。
鏡像方向
入方向:是指僅複製鏡像源收到的報文
出方向:是指僅複製鏡像源發出的報文
雙向:是指對鏡像源收到和發出的報文都進行復制
鏡像組
是一個邏輯上的概念,鏡像源和鏡像目的都要屬於某一個鏡像組。根據具體的實現方式不同,鏡像組可分爲本地鏡像組、遠程源鏡像組和遠程目的鏡像組三類。
端口鏡像的分類和實現方式
根據鏡像源與鏡像目的是否位於同一臺設備上,可以將端口鏡像分爲本地端口鏡像和遠程端口鏡像兩大類。
本地端口鏡像:
當源設備與數據監測設備直接相連時,源設備可以同時作爲目的設備,即由本設備將鏡像報文轉發至數據檢測設備,這種方式實現的端口鏡像稱爲本地端口鏡像。對於本地端口鏡像,鏡像源和鏡像目的屬於同一臺設備上的同一個鏡像組,該鏡像組稱爲本地鏡像組。
現在需要設備將進入端口GigabitEthernet1/0/1的報文複製一份,從端口GigabitEthernet1/0/2將報文轉發給數據監測設備。爲滿足該需求,可以配置本地鏡像組,其中源端口爲GigabitEthernet1/0/1,鏡像方向爲入方向,目的端口爲GigabitEthernet1/0/2。
遠程端口鏡像:
當源設備與數據監測設備不直接相連時,與數據監測設備直接相連的設備作爲目的設備,源設備需要將鏡像報文複製一份至目的設備,然後由目的設備將鏡像報文轉發至數據監測設備,這種方式實現的端口鏡像稱爲遠程端口鏡像。對於遠程端口鏡像,鏡像源和鏡像目的分屬於不同設備上的不同鏡像組:鏡像源所在的鏡像組稱爲遠程源鏡像組,鏡像目的所在的鏡像組稱爲遠程目的鏡像組,而位於源設備與目的設備之間的設備則統稱爲中間設備。
由於源設備與目的設備之間通過二層網絡進行連接,因此遠程端口鏡像又稱爲二層遠程端口鏡像。
源設備將進入源端口的報文複製一份給出端口,該端口將鏡像報文轉發給中間設備,再由中間設備在遠程鏡像VLAN中廣播,最終到達目的設備。目的設備收到該報文後判別其VLAN ID,若與遠程鏡像VLAN的VLAN ID相同,就將鏡像報文通過目的端口轉發給數據監測設備。
根據實際內網情況,這裏採用本地端口鏡像。
配置本地端口鏡像
<SW1> system-view
[SW1] mirroring-group 1 local #創建本地鏡像組
[SW1] mirroring-group 1 mirroring-port G1/0/1 to G1/0/2 both #爲鏡像組配置源端口:同時設置g1/0/1-2爲源端口
[SW1] mirroring-group 1 monitor-port G1/0/3 #爲鏡像組配置目的端口:設置目的端口
Onion 進行數據分析
