端口鏡像概述

在介紹端口鏡像配置之前，我們先來看了解一下什么是端口鏡像，端口鏡像就是把交換機一個或多個端口（VLAN）的數據鏡像到一個或多個端口的方法。那么為什么需要端口鏡像?通常為了部署IDS產品需要監聽網絡流量（網絡分析儀同樣也需要），但是在目前廣泛采用的交換網絡中監聽所有流量有相當大的困難，因此需要通過配置交換機來把一個或多個端口（VLAN）的數據轉發到某一個端口來實現對網絡的監聽。

端口鏡像幾種別名

1.PortMirroring：通常指允許把一個端口的流量復制到另外一個端口，同時這個端口不能再傳輸數據。

2.MonitoringPort：監控端口

3.SpanningPort：通常指允許把所有端口的流量復制到另外一個端口，同時這個端口不能再傳輸數據。

4.SPANport：在Cisco產品中，SPAN通常指SwitchPortANalyzer。某些交換機的SPAN端口不支持傳輸數據。

5.LinkModeport

支持端口鏡像的交換機

大多數中檔以上的交換機都支持端口鏡像功能，但支持程度不同。

端口鏡像配置方法

1.Cisco交換機

特點：

Ciscocatylist2550、Ciscocatylist3550支持2組monitorsession

Cisco交換機的端口鏡像配置方法

enpassword  
 
configterm  
 
Switch(config)#monitorsession1destinationinterfacefast0/4（1為sessionid，id范圍為1－2）  
 
Switch(config)#monitorsession1sourceinterfacefast0/1,fast0/2,fast0/3(空格，逗號，空格)  
 
Switch(config)#exit  
 
Switch#copyrunning-confstartup-conf  
 
Switch#showport-monitor 

2.Extreme交換機

特點：

只能創建多對一或者一對一的鏡像端口

可以監聽VLAN的流量

Extreme會鏡像IN和OUT的流量。這就意味著在鏡像VLAN的時候，會看到一個報文至少兩次——從VLAN的某個端口出來，并且進入VLAN的另一個端口。

版本高于4.1的Extreme交換機端口鏡像配置方法

{enable|disable}mirroringonport

開啟/關閉端口鏡像功能，并且指定鏡像流量從何端口流出，port-no只能是一個端口

configuremirroring{add|delete}{vlan|port

}

指定鏡像哪個或哪些VLAN或端口的流量{vlan|port

}

部分可以重復多次

版本低于4.1的Extreme交換機端口鏡像配置方法

enablemirrortoportport-no

開啟端口鏡像功能，并且指定鏡像流量從何端口流出，port-no只能是一個端口

disablemirror

關閉端口鏡像功能

configmirroraddport

鏡像端口port-no的流量，如果這個端口包含多個VLAN這些流量都會被鏡像到目的端口

configmirroraddport

vlan

鏡像端口port-no中指定VLAN的流量

configmirroraddvlan

鏡像端口中指定VLAN的所有端口的流量

configmirrordelport

取消對port-no的端口鏡像

configmirrordelvlan

取消對指定VLAN的端口鏡像

showmirror

顯示端口鏡像情況

#p#

3.Foundry交換機

特點：

可以創建多對多的端口鏡像

Foundry交換機端口鏡像配置方法

在配置模式中（ConfigurationMode）：

interface

portmonitor{{rx|tx|both}}

確定鏡像流量從哪個端口流出，修改此端口配置

指定要鏡像哪些端口的哪些流量（rx指接收的流量，tx指發送的流量，both指雙向流量），{{rx|tx|both}}部分可以重復

4.Juniper交換機

特點：

每交換機只能有一個監聽端口

只能鏡像IPv4的流量

只能鏡像發送（transitonly）的流量，不能鏡像接收的流量

JuniperM系列和T系列端口鏡像配置方法

usen@router#showforwarding-optionsport-mirroring{input{familyinet;rate;run-length;}outputinterface{next-hopuser@router#showfirewallfiltermirror-samplefrom{...}then{sample;accept;}

定義抽樣過濾器，選擇感興趣的流量

user@router#showinterfaceunit0familyinetfilter{inputmirror-sample;}

5.華為交換機

華為3050交換機端口鏡像配置方法

SwitchA相關配置

1.將端口E0/2配置為監控端口

[SwitchA]monitor-portEthernet0/2

2.將端口E0/1配置為鏡像端口

[SwitchA]mirroring-portEthernet0/1both

補充說明：支持多對一的端口鏡像。

鏡像端口配置時，可以使用參數定義被監控報文的方向。例如：參數both，表示同時監控端口的接收和發送報文；參數inbound，表示只監控端口接收的報文；參數outbound，表示只監控端口發送的報文。需要注意的是：端口鏡像是有風險的，它能加重交換機負載，造成設備不穩定，同時在某些情況下會丟包，不能保證100%鏡像流量。例如，由于多個源端口鏡像到一個目的端口，目的端口無法處理造成丟包。