端口镜像span、rspan(华为)

RSPAN(Remote Switched Port Analyzer,远程交换端口分析),即远程端口镜像,远程端口镜像(RSPAN)是本地端口镜像(SPAN)的扩展,突破了被镜像端口和镜像端口必须在同一台交换机上的限制,使被镜像端口和镜像,端口可以跨越网络中的多个设备,从而方便网管人员对远程交换机设备进行管理。

在我们的网络中,最为可靠的设备要数防火墙了,通过我们的精心配制安全方案,他确实能给我们带来不错的效果,但这还是远远不够的,像不经过防火前的***它还是无能为力的(来自内部网络的***、不经过防火墙直接通过电话线等上网的主机有可能就成为了别人***的跳板主机),一种叫做数据驱动式的***(内含逻辑×××),内网主机下载下来携带病毒***的文件包,还有一些加密后的***,这些都是防火墙无能为力的,这时我们可以使用一种叫做ids的检测机制,它重在检测没有什么防御功能,升级后的ids叫做ips,相比ids它重在防御,当别人***它是它会做出回应常见的ids有:hids、session-wall、snort这些都是软件,需要安装在主机上,使用起来既麻烦价格又不便宜,还有一种网络ids叫做nids,它只需要安装在网络设备上便可做到对数据的检测,但是它往往不能做到对全网信息的检测(交换机是点到点通讯),在交换机上有一种概念叫端口镜像span便可以解决这个问题。

端口镜像,需要在交换机上设置镜像的源端口(被检测数据来时所经过的端口)和目标端口(链接检测设备的端口),但这只是对检测设备所连接的交换机数据的检测,对于网络上的其他交换的数据检测我们要采用rspan(远程的交换端口分析),我们只需要在网络中心的交换机上连接一台检测设备便可以做到对全网信息的检测。

Rspan中各个交换机和交换机端口的作用:

本地端口镜像配置命令:

创建端口镜像组

mirroring-group group-id local

进入镜像目的端口的以太

interface interface-type interface-number

定义当前端口为镜像目的端口

monitor-port

进入镜像源端口的以太网

interface interface-type interface-number

配置镜像源端口,同时指定被镜像报文的方向

mirroring-port { inbound |outbound | both }

或者用这种方法:

创建端口镜像组

mirroring-group group-id local

配置镜像目的端口

mirroring-group group-id

monitor-port monitor-port

配置镜像源端口,同时指定被镜像报文的方向

mirroring-group group-id

mirroring-port mirroring-port-list { both | inbound | outbound }

下面是一个本地端口span镜像案例:

实验设备:

二层交换机sw

两个防火墙作pc

检测设备是一台linux主机安装有wireshark

参考配置:

在linux安装一个wireshark抓包工具,当做sw上的检测设备

[sw]dis mirroring-group all

mirroring-group 1:

type: local

status: active

mirroring port:

Ethernet1/0/10both

Ethernet1/0/20both

monitor port: Ethernet1/0/2

在pc2上建一个ftp服务器并建立用户:

[pc2]ftp server enable

[pc2]local-user user1

[pc2-luser-user1]password 123456

[pc2-luser-user1]service-type ftp

从pc1上登录pc2的ftp服务器:

在检测设备上检测到登录信息:

接下来是rspan的一个小案例:

基本配置命令:

源交换机上的配置过程

创建Remote-probe vlan

vlan vlan-id

定义当前VLAN为Remote-probe VLAN

remote-probe vlan enable

进入与中间交换机或目的交换机相连的端口视图

interface interface-type interface-number

配置当前端口类型为Trunk

port link-type trunk

port trunk permit vlan remote-probe-vlan-id

配置远程源镜像组

mirroring-group group-id remote-source

配置远程镜像源端口

mirroring-group group-id mirroring-port mirroring-port-list { inbound | outbound }

配置远程反射端口

mirroring-group group-idreflector-port reflector-port

配置远程源镜像组的remote-probe vlan

mirroring-group group-idremote-probe vlanremote-probe-vlan-id

中间交换机配置过程:

创建Remote-probe vlan

vlan vlan-id

定义当前VLAN为Remote-probe VLAN

remote-probe vlan enable

进入与中间交换机或目的交换机相连的端口视图

interface interface-type interface-number

配置当前端口类型为Trunk

port link-type trunk

port trunk permit vlan remote-probe-vlan-id

目的交换机上配置过程:

创建Remote-probe vlan

vlan vlan-id

定义当前VLAN为Remote-probe VLAN

remote-probe vlan enable

进入与中间交换机或目的交换机相连的端口视图

interface interface-type interface-number

配置当前端口类型为Trunk

port link-type trunk

port trunk permit vlan remote-probe-vlan-id

配置远程目的镜像组

mirroring-group group-id remote-destination

配置远程镜像目的端口

mirroring-group group-id monitor-port monitor-port

配置远程源镜像组的remote-probe vlan

mirroring-group group-idremote-probe vlanremote-probe-vlan-id

实验拓扑:

实验目的:

检测设备能检测到pc1访问pc2的数据

参考配置:

目的交换机:

 

中间交换机:

源交换机:

抓包测试结果:

linux nat span端口镜像,端口镜像span、rspan实现数据检测相关推荐

  1. linux nat span端口镜像,SPAN端口镜像

    对于Cisco 2950.Cisco 3550 和 Cisco 3750 系列交换机配置SPAN的源端口,命令格式如下: Switch(config)#[no]monitorsession{sessi ...

  2. Linux如何实现镜像端口

    在所有高端型号,大多数中端型号以及部分低端型号的交换机/路由器上,都可以配置一个或者多个镜像端口,它是流量分析的利器.然而,Linux上没有现成的技术可以实现镜像端口,当然,我指的不是Linux 3. ...

  3. linux 端口 镜像吗,Linux如何实现镜像端口

    在所有高端型号,大多数中端型号以及部分低端型号的交换机/路由器上,都可以配置一个或者多个镜像端口,它是流量分析的利器.然而,Linux上没有现成的技术可以实现镜像端口,当然,我指的不是Linux 3. ...

  4. linux 端口镜像软件,Linux Bridge的镜像端口实现

    很多种交换机上都可以配置镜像端口,也就是说所有的流量都要顺便发一份到镜像端口,一般都是在镜像端口上接一个主机,上面开启抓包或者审计程序,保证时刻监控网络流量.镜像端口解决了学习型交换机无法抓包的问题. ...

  5. linux下端口镜像,Linux如何实现镜像端口

    在所有高端型号,大多数中端型号以及部分低端型号的交换机/路由器上,都可以配置一个或者多个镜像端口,它是流量分析的利器.然而,Linux上没有现成的技术可以实现镜像端口,当然,我指的不是Linux 3. ...

  6. CentOS下KVM网卡设置成网桥时获取镜像端口的流量

    首先,网桥配置好之后就能实现一个简单的交换机,而交换机的特点就是MAC地址学习,那么KVM的网卡设置成网桥之后,也就是相当于连接到了交换机上. 此时如果要实现在二层交换机或三层交换机做端口镜像,并把这 ...

  7. HuaWei设置镜像端口和观察端口

    配置镜像接口,镜像端口是将报文复制到观察端口. # 将GigabitEthernet0/0/2接口配置为镜像接口. [Switch] interface gigabitethernet 0/0/2   ...

  8. 华为AR路由器镜像端口配置及取消配置

    镜像端口及本地观察端口的配置,可以对镜像端口的流量进行报文监控,抓包,分析网络问题: 公司有电信和联通两条互联网出口专线,配置完策略路由后,发现从外网ping不通电信的IP 原因分析: 1.可能是电信 ...

  9. 华为ensp 镜像端口协议相关配置

    镜像端口相关配置. [R1] observe-port interface GigabitEthernet 0/0/2 #配置观察端口. [R1-GigabitEthernet0/0/0] mirro ...

最新文章

  1. python 之 分割参数getopt
  2. 我们在PMCAFF上偷偷上线了这个
  3. 多媒体开发之wis-stream
  4. oracle shrink space compact,oracle 学习笔记 Shrink 参数 compact
  5. 你不知道的 Node.js 工具函数
  6. lock mysql unlock_MySQL中的lock tables和unlock tables
  7. 解决“HTTP/1.1 405 Method not allowed”问题
  8. SQL 的 left join 和 right join
  9. Eclipse离线安装Java Decompiler插件
  10. Chuck Norris蠕虫网络袭击Linux路由器
  11. 因特网、IPv9、5G及其挑战
  12. python调用java之Jpype异常机制
  13. 不定式和分词作状语的区别
  14. angular7中使用jsonViewer
  15. 微信iOS端无法执行jquery on()方法
  16. 【动漫风格迁移】基于AnimeGAN的安卓APP工具
  17. c语言压力变送器程序设计,基于单片机的压力变送器设计
  18. 提升自信心的十五个心理暗示法
  19. 使用vue+zrender绘制体温单 三测单(2)
  20. 测试相关网址--自动化/

热门文章

  1. getopt函数—分析命令行参数
  2. Windows Server应用之32位系统如何安装64位打印机驱动
  3. Cisco路由器的Flash和NVRAM
  4. Java基础学习总结(16)——Java制作证书的工具keytool用法总结
  5. ES6解构赋值学习总结
  6. winform 控件半透明设置
  7. linux环境中,查询网卡的速度(带宽)
  8. 编程面试中的十个常见错误
  9. 提取操作系统的基本信息(内核、系统版本、网络地址等)
  10. 在64-bit机器上运行32-big的应用程序,需要安装ia32-libs库