交換機端口鏡像作用 為什么監(jiān)控需要端口鏡像交換機
2017年08月25日
對于中小企業(yè)的網(wǎng)絡管理員來說管理企業(yè)內(nèi)網(wǎng)數(shù)據(jù)流量的監(jiān)控是非常重要的,一方面我們可以通過分析數(shù)據(jù)流量掌握企業(yè)內(nèi)網(wǎng)的各個網(wǎng)絡應用���,另一方面在網(wǎng)絡出現(xiàn)故障后可以在第一時間通過流量分析找出問題所在��,同時如果要安裝網(wǎng)路崗對局域網(wǎng)內(nèi)的電腦進行全面的上網(wǎng)行為管理監(jiān)控的話�,那也需要有端口鏡像交換機的支持才可以的�����。今天就我們就來一起來學習了解下如何通過配置端口鏡像實現(xiàn)對網(wǎng)絡數(shù)據(jù)的監(jiān)控與統(tǒng)計。
一.為什么要配置端口鏡像:
要想實現(xiàn)針對網(wǎng)絡數(shù)據(jù)進行監(jiān)控�,我們當然直接可以將sniffer工具放置在網(wǎng)絡出口處針對所有流出數(shù)據(jù)包進行監(jiān)控,不過這樣實施最大的問題就是平白無故增加了一個中間設(shè)備�,當設(shè)備損壞或出現(xiàn)故障后網(wǎng)絡傳輸會中斷,從而影響了員工正常網(wǎng)絡訪問�。即便設(shè)備沒有問題也會因為增加節(jié)點帶來速度緩慢的問題,這樣也必然影響企業(yè)網(wǎng)絡的整體運行效率�����。
為了解決這種直接拿真正出口作為監(jiān)控端口的麻煩��,資深的網(wǎng)絡管理員都采用端口鏡像的方法來平白無故創(chuàng)造一個與真實出口一模一樣的端口����,所有發(fā)放到內(nèi)網(wǎng)各個接口或者傳出端口的數(shù)據(jù)包都會重復復制后發(fā)送到這個鏡像端口,這樣我們就可以同時實現(xiàn)不影響網(wǎng)絡傳輸性能的同時對數(shù)據(jù)流量進行監(jiān)控了��。
實施端口鏡像后���,正常的企業(yè)員工數(shù)據(jù)流量會以正常報文的方式傳輸?shù)酵獠烤W(wǎng)絡����,而同時交換機�����,路由器會將正常報文原原本本的復制一份為鏡像報文�,并且將這個復制后的鏡像報文傳輸?shù)界R像端口,這樣我們再通過網(wǎng)絡分析設(shè)備或sniffer這樣的網(wǎng)絡抓包工具就可以實現(xiàn)對整個網(wǎng)絡所有數(shù)據(jù)包的監(jiān)視控制與統(tǒng)計了���。
那么到底我們該如何針對路由交換設(shè)備部署其端口鏡像呢?一般來說各個設(shè)備的部署方法各不相同��,例如命令行配置下的CISCO與H3C在指令方面存在不同��,而還有部分設(shè)備不需要一條條指令���,全部操作直接在圖形化界面完成即可。下面我們就來分別進行介紹�����。
二.H3C路由交換設(shè)備上配置端口鏡像:
首先我們來了解下如何在命令提示界面下針對端口鏡像進行配置��,我們選擇的是H3C公司出品的路由交換設(shè)備��,當然CISCO設(shè)備配置步驟類似���,只是具體指令有所區(qū)別而已�����。
第一步:首先我們訪問路由交換設(shè)備的管理地址�,通過正確的帳戶名稱與密碼進入,使用super命令進入高級模式并通過sys進入配置模式��。
第二步:我們使用如下命令來添加端口鏡像�。
[Quidway] mirroring-group 1 inbound Ethernet 3/1/1 mirrored-to Ethernet 3/1/48,這個指令的意思就是建立一個鏡像對應群組關(guān)系�,我們命令為1,當然同一個路由交換設(shè)備他的不同mirroring-group是通過這個序號來區(qū)別的��,接下來的inbound表示是傳入方向的數(shù)據(jù)進行鏡像�����,之后則是把Ethernet 3/1/48端口設(shè)置為Ethernet 3/1/1接口的鏡像�,通過監(jiān)控Ethernet 3/1/48接口實現(xiàn)對流入Ethernet 3/1/1接口數(shù)據(jù)包的監(jiān)視與統(tǒng)計。
第三步:最后再通過SAVE或COPY run start等命令保存配置更改后就可以實現(xiàn)端口鏡像功能了�。我們把網(wǎng)絡分析設(shè)備或sniffer工具連接到Ethernet 3/1/48接口來分析流入Ethernet 3/1/1接口的網(wǎng)絡數(shù)據(jù)包。
小提示:
當然在我們配置端口鏡像時是可以實現(xiàn)將多個端口對應一個鏡像的�����,我們可以通過“接口1 接口2 mirrored-to 鏡像端口”命令來實現(xiàn)將多個端口對應一個鏡像接口,另外還可以通過“接口1 to 接口8 mirrored-to 鏡像端口”來實現(xiàn)將1到8這幾個端口對應一個鏡像接口的功能��。在使用網(wǎng)路崗時��,也需要交換機配置鏡像后才可以正常監(jiān)控(注:如果是非旁路監(jiān)控的話����,網(wǎng)路崗不需要交換機配置鏡像端口的)�����,我們建議是配置一對一的端口鏡像����,這樣配置效果最好,把交換機上總出口的數(shù)據(jù)鏡像到網(wǎng)路崗所連的端口���,這樣能監(jiān)控到所有數(shù)據(jù)��,而且對交換機的性能影響不大��,多對一的端口鏡像相對一對一的鏡像比較耗交換機的資源�。
三.圖形化界面下鏡像端口的設(shè)置:
當然除了CISCO與H3C公司的產(chǎn)品外��,我們還經(jīng)常會碰到不少中低端路由交換產(chǎn)品,他們同樣具備設(shè)置鏡像端口的功能����,而且這類設(shè)備在界面顯示方面更加人性化,配置都可以通過圖形選擇來完成��。這里不再一一舉例�����。
四�����,總結(jié):
鏡像端口功能幫助我們這些企業(yè)網(wǎng)絡管理員更好的掌握企業(yè)內(nèi)網(wǎng)運行狀態(tài)�����,提高了排查故障的速度��,同時可以在網(wǎng)絡出現(xiàn)問題前分析數(shù)據(jù)包實現(xiàn)防患于未燃的目的���。通過網(wǎng)絡協(xié)議分析設(shè)備和sniffer等軟件我們可以將數(shù)據(jù)包信息保存成文件來妥善保管�����,為日后調(diào)查閱覽提供數(shù)據(jù)支持���。
五���,鏡像交換機品牌
主流的可管理的交換機大多數(shù)都具備端口鏡像功能,因為端口鏡像功能屬于交換機的基本功能了��,大多數(shù)企業(yè)可能在監(jiān)控管理網(wǎng)絡���,分析網(wǎng)絡數(shù)據(jù)時都會用到交換機的端口鏡像功能,所以說中小企業(yè)在部署網(wǎng)絡時���,主交換機應當選擇好一些的可網(wǎng)管的交換機���,這樣當網(wǎng)絡出問題時或是要監(jiān)控管理網(wǎng)絡時,都可以通過配置交換機的端口鏡像來實現(xiàn)���。
