端口镜像在网络安全中的应用
端口镜像在网络安全中的应用
本地端口镜像(span)
Span :镜像端口必须与被镜像端口在同一交换机上。
配置准备
1:确定了镜像源端口,被监控的端口
2:确定被镜像报文的方向:inbound表示仅对流入端口的报文进行镜像,outbound表示仅对流出端口的报文进行镜像,both表示同时对端口流入和流出的报文进行镜像
3:确定了镜像目的端口,处于监控状态的端口
配置过程
进入系统视图
system-view
-
创建端口镜像组
mirroring-group group-id local
必选
进入镜像目的端口的以太网端口视图
interface eth
-
定义当前端口为镜像目的端口
monitor-port
必选
镜像目的端口上不能使能LACP及STP
退出当前视图
quit
-
进入镜像源端口的以太网端口视图
interface eth
-
配置镜像源端口,同时指定被镜像报文的方向
mirroring-port { inbound | outbound | both }
必选
显示镜像的参数设置
display mirroring-group { all | local }
可选
display命令可以在任意视图下执行
远程端口镜像(rspan)
RSPAN(Remote Switched Port Analyzer,远程交换端口分析),即远程端口镜像,突破了被镜像端口和镜像端口必须在同一台交换机上的限制,使被镜像端口和镜像端口可以跨越网络中的多个设备,从而方便网管人员对远程交换机设备进行管理。
实现了RSPAN功能的交换机分为三种:
源交换机:被监测的端口所在的交换机,负责将需要镜像的流量在Remote-probe VLAN上做二层转发,转发给中间交换机或目的交换机。
.中间交换机:网络中处于源交换机和目的交换机之间的交换机,通过Remote-probe VLAN把镜像流量传输给下一个中间交换机或目的交换机。如果源交换机与目的交换机直接相连,则不存在中间交换机。
.目的交换机:远程镜像目的端口所在的交换机,将从Remote-probe VLAN接收到的镜像流量通过镜像目的端口转发给监控设备。
各个交换机上的端口:
源交换机:
源端口(Source Port)
被监测的用户端口,通过本地端口镜像把用户数据报文复制到指定的反射端口(Reflector port)。源端口可以有多个。
反射端口(Reflector port)
接收本地端口镜像的用户数据报文
Trunk端口
将镜像报文发送到中间交换机或者目的交换机
中间交换机:
Trunk端口
将镜像报文发送到目的交换机
中间交换机上要配置两个Trunk端口,和两侧的设备相连
目的交换机:
Trunk端口
接收远程镜像报文
镜像目的端口(Destination port)
远程镜像报文的监控端口
为了实现远程端口镜像功能,需要定义一个特殊的VLAN,称之为Remote-probe VLAN。所有被镜像的报文通过该VLAN从源交换机传递到目的交换机的镜像端口,实现在目的交换机上对源交换机的远程端口的报文进行监控的功能。Remote-probe VLAN具有以下特点:
建议将该VLAN中的设备互连端口都配置为Trunk端口;
不能将缺省VLAN、管理VLAN设置成Remote-probe VLAN;
需要通过配置保证Remote-probe VLAN从源交换机到目的交换机的二层互通性;
交换机作为中间设备或者目的设备的时候,不能支持双向(both)镜像。
配置过程:
1:远端交换机:
进入系统视图
system-view
创建Remote-probe VLAN,并进入VLAN视图
vlan vlan-id
定义当前VLAN为Remote-probe VLAN
remote-probe vlan enable
退出当前视图
quit
进入与中间交换机或目的交换机相连的端口视图
interface eth
配置当前端口类型为Trunk
port link-type trunk
配置TRUNK端口允许Remote-probe VLAN的报文通过
port trunk permit vlan remote-probe-vlan-id
退出当前视图
quit
配置远程源镜像组
mirroring-group group-id remote-source
配置远程镜像源端口
mirroring-group group-id mirroring-port mirroring-port-list { inbound | outbound }
配置远程反射端口
mirroring-group group-id reflector-port reflector-port
配置远程源镜像组的remote-probe VLAN
mirroring-group group-id remote-probe vlan vlan-id
必选
显示远程源镜像组配置
display mirroring-group remote-source
:2:中间交换机:
进入系统视图
system-view
-
创建Remote-probe VLAN,并进入VLAN视图
vlan vlan-id
vlan-id为Remote-probe VLAN的ID
定义当前VLAN为Remote-probe VLAN
remote-probe vlan enable
退出当前视图
quit
进入与源交换机或、目的交换机或其他中间交换机相连的端口视图
interface eth
配置当前端口类型为Trunk
port link-type trunk
配置TRUNK端口允许Remote-probe VLAN的报文通过
port trunk permit vlanvlan-id
:3:目的交换机:
进入系统视图
system-view
创建Remote-probe VLAN,并进入VLAN视图
vlan vlan-id
vlan-id为Remote-probe VLAN的ID
定义当前VLAN为Remote-probe VLAN
remote-probe vlan enable
退出当前视图
quit
进入与源交换机或中间交换机相连的端口视图
interface eth
配置当前端口类型为Trunk
port link-type trunk
配置TRUNK端口允许Remote-probe VLAN的报文通过
port trunk permit vlan vlan-id
退出当前视图
quit
配置远程目的镜像组
mirroring-group group-id remote-destination
配置远程镜像目的端口
mirroring-group group-id monitor-port monitor-port
配置远程目的镜像组的remote-probe VLAN
mirroring-group group-id remote-probe vlan-id
显示远程目的镜像组配置
display mirroring-group remote-destination
转载于:https://blog.51cto.com/7615912/1286958
端口镜像在网络安全中的应用相关推荐
- OVS端口镜像(十五)
ovs中无法直接抓包分析,可以通过端口流量镜像的方式进行抓包 端口流量镜像主要分为两步: 创建mirror,指定mirror中的源端口,目的端口 绑定mirror至bridge 1.创建mirror ...
- linux nat span端口镜像,端口镜像span、rspan实现数据检测
端口镜像span.rspan(华为) RSPAN(Remote Switched Port Analyzer,远程交换端口分析),即远程端口镜像,远程端口镜像(RSPAN)是本地端口镜像(SPAN)的 ...
- OVS端口镜像(十四)
OVS上实现端口镜像的基本流程如下: 创建mirror,在mirror中指定镜像数据源及镜像目的地 将创建的mirror应用到bridge中 镜像数据源可以通过下面几个选项来指定: select_al ...
- 端口镜像 流量过滤_技术盛宴 | 流量可视化之ERSPAN的前世今生
SPAN(Switch Port Analyzer)是当下常用的网络监控和排错工具,SPAN也通常被称作端口镜像.它可以让我们以旁路的方式来监控网络流量,不会对现网的业务造成干扰,同时将监控流量的副本 ...
- 交换机端口镜像(锐捷)
[实验名称] <?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" /> ...
- 端口镜像NIDS技术(sniffer抓包)
端口镜像NIDS技术(sniffer抓包) NIDS是Network Intrusion Detection System的缩写,即网络***检测系统,主要用于检测Hacker或Cracker通过网络 ...
- sql server远程主机强迫关闭了一个_交换机远程端口镜像
端口镜像(port Mirroring)功能是网络设备上常用的功能,将一个或多个端口的数据流量复制到某一个指定端口来实现对网络的监控.在不影响源端口正常吞吐流量的情况下,可以通过镜像端口对网络的流量进 ...
- 各型号交换机端口镜像配置方法和命令
各型号交换机端口镜像配置方法和命令 "Port Mirror"即端口镜像,端口镜像为网络传输提供了备份通道.此外,还可以用于进行数据流量监测.可以这样理解:在端口A和端口B之间建立 ...
- {电脑救助站}常用知识1 来自常用知识( 网络安全中起重大作用的 Windows 命令)
常用知识( 网络安全中起重大作用的 Windows 命令) 常用在线查毒链接 3 楼 超级兔子的在线检测功能 4楼 准确探索间谍软件或广告软件 5楼 预防间谍软 ...
最新文章
- 使用pt-slave-delay实现mysql的延迟备份
- Ubuntu安装apt出现报错如何操作(简单记录)
- G6 图可视化引擎——入门教程——绘制 Tutorial 案例
- 给正在备战秋招的同学一些小建议
- python 日志输出变量_python中记录打印的log模块logging的用法实例
- 结对项目--wordCount
- 动态设置HTML:v-html
- POJ3581 后缀数组
- Python 认识字典
- 图的存储结构——邻接表
- windos系统如何获得超级管理员权限
- mysql a foreign key constraint fails_外键记录有存在,插入数据却报错a foreign key constraint fails...
- 俞敏洪励志演讲:摆脱恐惧
- 痞子衡嵌入式:我被邀请做科锐国际旗下数科同道主办的技术沙龙嘉宾
- 知识体系更新迭代的探索
- 分享一个Spring MVC 根据图片URL,下载图片的方法
- 征信衍生规则中的逾期强变量都有哪些?
- pytorch安装问题总结
- 全球人工智能(AI)在药物发现中的应用市场--行业趋势和2029年预测
- matlab抽样判决器,QPSK解调抽样判决报错