端口镜像在网络安全中的应用

本地端口镜像（span）

Span ：镜像端口必须与被镜像端口在同一交换机上。

配置准备

1：确定了镜像源端口，被监控的端口

2：确定被镜像报文的方向：inbound表示仅对流入端口的报文进行镜像，outbound表示仅对流出端口的报文进行镜像，both表示同时对端口流入和流出的报文进行镜像

3：确定了镜像目的端口，处于监控状态的端口

配置过程

进入系统视图

system-view

-

创建端口镜像组

mirroring-group group-id local

必选

进入镜像目的端口的以太网端口视图

interface eth

-

定义当前端口为镜像目的端口

monitor-port

必选

镜像目的端口上不能使能LACP及STP

退出当前视图

quit

-

进入镜像源端口的以太网端口视图

interface eth

-

配置镜像源端口，同时指定被镜像报文的方向

mirroring-port { inbound | outbound | both }

必选

显示镜像的参数设置

display mirroring-group { all | local }

可选

display命令可以在任意视图下执行

远程端口镜像（rspan）

RSPAN（Remote Switched Port Analyzer，远程交换端口分析），即远程端口镜像，突破了被镜像端口和镜像端口必须在同一台交换机上的限制，使被镜像端口和镜像端口可以跨越网络中的多个设备，从而方便网管人员对远程交换机设备进行管理。

实现了RSPAN功能的交换机分为三种：

源交换机：被监测的端口所在的交换机，负责将需要镜像的流量在Remote-probe VLAN上做二层转发，转发给中间交换机或目的交换机。

.中间交换机：网络中处于源交换机和目的交换机之间的交换机，通过Remote-probe VLAN把镜像流量传输给下一个中间交换机或目的交换机。如果源交换机与目的交换机直接相连，则不存在中间交换机。

.目的交换机：远程镜像目的端口所在的交换机，将从Remote-probe VLAN接收到的镜像流量通过镜像目的端口转发给监控设备。

各个交换机上的端口:

源交换机:

源端口（Source Port）

被监测的用户端口，通过本地端口镜像把用户数据报文复制到指定的反射端口（Reflector port）。源端口可以有多个。

反射端口（Reflector port）

接收本地端口镜像的用户数据报文

Trunk端口

将镜像报文发送到中间交换机或者目的交换机

中间交换机:

Trunk端口

将镜像报文发送到目的交换机

中间交换机上要配置两个Trunk端口，和两侧的设备相连

目的交换机:

Trunk端口

接收远程镜像报文

镜像目的端口（Destination port）

远程镜像报文的监控端口

为了实现远程端口镜像功能，需要定义一个特殊的VLAN，称之为Remote-probe VLAN。所有被镜像的报文通过该VLAN从源交换机传递到目的交换机的镜像端口，实现在目的交换机上对源交换机的远程端口的报文进行监控的功能。Remote-probe VLAN具有以下特点：

建议将该VLAN中的设备互连端口都配置为Trunk端口；

不能将缺省VLAN、管理VLAN设置成Remote-probe VLAN；

需要通过配置保证Remote-probe VLAN从源交换机到目的交换机的二层互通性；

交换机作为中间设备或者目的设备的时候，不能支持双向(both)镜像。

配置过程：

1：远端交换机：

进入系统视图

system-view

创建Remote-probe VLAN，并进入VLAN视图

vlan vlan-id

定义当前VLAN为Remote-probe VLAN

remote-probe vlan enable

退出当前视图

quit

进入与中间交换机或目的交换机相连的端口视图

interface  eth

配置当前端口类型为Trunk

port link-type trunk

配置TRUNK端口允许Remote-probe VLAN的报文通过

port trunk permit vlan remote-probe-vlan-id

退出当前视图

quit

配置远程源镜像组

mirroring-group group-id remote-source

配置远程镜像源端口

mirroring-group group-id mirroring-port mirroring-port-list { inbound | outbound }

配置远程反射端口

mirroring-group group-id reflector-port reflector-port

配置远程源镜像组的remote-probe VLAN

mirroring-group group-id remote-probe vlan vlan-id

必选

显示远程源镜像组配置

display mirroring-group remote-source

:2：中间交换机：

进入系统视图

system-view

-

创建Remote-probe VLAN，并进入VLAN视图

vlan vlan-id

vlan-id为Remote-probe VLAN的ID

定义当前VLAN为Remote-probe VLAN

remote-probe vlan enable

退出当前视图

quit

进入与源交换机或、目的交换机或其他中间交换机相连的端口视图

interface eth

配置当前端口类型为Trunk

port link-type trunk

配置TRUNK端口允许Remote-probe VLAN的报文通过

port trunk permit vlanvlan-id

:3：目的交换机：

进入系统视图

system-view

创建Remote-probe VLAN，并进入VLAN视图

vlan vlan-id

vlan-id为Remote-probe VLAN的ID

定义当前VLAN为Remote-probe VLAN

remote-probe vlan enable

退出当前视图

quit

进入与源交换机或中间交换机相连的端口视图

interface   eth

配置当前端口类型为Trunk

port link-type trunk

配置TRUNK端口允许Remote-probe VLAN的报文通过

port trunk permit vlan vlan-id

退出当前视图

quit

配置远程目的镜像组

mirroring-group group-id remote-destination

配置远程镜像目的端口

mirroring-group group-id monitor-port monitor-port

配置远程目的镜像组的remote-probe VLAN

mirroring-group group-id remote-probe vlan-id

显示远程目的镜像组配置

display mirroring-group remote-destination