亚洲欧美精品沙发,日韩在线精品视频,亚洲Av每日更新在线观看,亚洲国产另类一区在线5

<pre id="hdphd"></pre>
    • <div id="hdphd"><small id="hdphd"></small></div>
  • 

    1. 

      
	
      
		
      
				
			
		
      
	
      
	
      
		
      			
			
			學(xué)習(xí)啦 > 學(xué)習(xí)電腦 > 電腦入門 >  思科交換機(jī)鏡像配置實(shí)例介紹
		
      
		
      
			
      
				
      
					
      
						
      思科交換機(jī)鏡像配置實(shí)例介紹
      
						
      
							
      
								時(shí)間:
								志藝942 分享
								
							
      						
						
      
					
      
					
      

					
      
					
      思科交換機(jī)鏡像配置實(shí)例介紹
         端口鏡像(port Mirroring)把交換機(jī)一個(gè)或多個(gè)端口(VLAN)的數(shù)據(jù)鏡像到一個(gè)或多個(gè)端口的方法。接下來是小編為大家收集的思科交換機(jī)鏡像配置實(shí)例介紹方法,希望能幫到大家。
         思科交換機(jī)鏡像配置實(shí)例介紹:
         端口鏡像的目的
         由于部署 IDS 產(chǎn)品需要監(jiān)聽網(wǎng)絡(luò)流量(網(wǎng)絡(luò)分析儀同樣也需要),但是在目前廣泛采用的交換網(wǎng)絡(luò)中監(jiān)聽所有流量有相當(dāng)大的困難,因此需要通過配置交換機(jī)來把一個(gè)或多個(gè)端口(VLAN)的數(shù)據(jù)轉(zhuǎn)發(fā)到某一個(gè)端口來實(shí)現(xiàn)對網(wǎng)絡(luò)的監(jiān)聽。
         端口鏡像的功能
         監(jiān)視到進(jìn)出網(wǎng)絡(luò)的所有數(shù)據(jù)包,供安裝了監(jiān)控軟件的管理服務(wù)器抓取數(shù)據(jù),如網(wǎng)吧需提供此功能把數(shù)據(jù)發(fā)往公安部門審查。而企業(yè)出于信息安全、保護(hù)公司機(jī)密的需要,也迫切需要網(wǎng)絡(luò)中有一個(gè)端口能提供這種實(shí)時(shí)監(jiān)控功能。在企業(yè)中用端口鏡像功能,可以很好的對企業(yè)內(nèi)部的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行監(jiān)控管理,在網(wǎng)絡(luò)出現(xiàn)故障的時(shí)候,可以做到很好地故障定位。
         ...
         More...
         端口鏡像(port Mirroring)把交換機(jī)一個(gè)或多個(gè)端口(VLAN)的數(shù)據(jù)鏡像到一個(gè)或多個(gè)端口的方法。
         端口鏡像的目的
         由于部署 IDS 產(chǎn)品需要監(jiān)聽網(wǎng)絡(luò)流量(網(wǎng)絡(luò)分析儀同樣也需要),但是在目前廣泛采用的交換網(wǎng)絡(luò)中監(jiān)聽所有流量有相當(dāng)大的困難,因此需要通過配置交換機(jī)來把一個(gè)或多個(gè)端口(VLAN)的數(shù)據(jù)轉(zhuǎn)發(fā)到某一個(gè)端口來實(shí)現(xiàn)對網(wǎng)絡(luò)的監(jiān)聽。
         端口鏡像的功能
         監(jiān)視到進(jìn)出網(wǎng)絡(luò)的所有數(shù)據(jù)包,供安裝了監(jiān)控軟件的管理服務(wù)器抓取數(shù)據(jù),如網(wǎng)吧需提供此功能把數(shù)據(jù)發(fā)往公安部門審查。而企業(yè)出于信息安全、保護(hù)公司機(jī)密的需要,也迫切需要網(wǎng)絡(luò)中有一個(gè)端口能提供這種實(shí)時(shí)監(jiān)控功能。在企業(yè)中用端口鏡像功能,可以很好的對企業(yè)內(nèi)部的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行監(jiān)控管理,在網(wǎng)絡(luò)出現(xiàn)故障的時(shí)候,可以做到很好地故障定位。
         (備注:交換機(jī)把某一個(gè)端口接收或發(fā)送的數(shù)據(jù)幀完全相同的復(fù)制給另一個(gè)端口;其中被復(fù)制的端口稱為鏡像源端口,復(fù)制的端口稱為鏡像目的端口。)
         端口鏡像的別名
         端口鏡像通常有以下幾種別名:
         ●Port Mirroring 通常指允許把一個(gè)端口的流量復(fù)制到另外一個(gè)端口,同時(shí)這個(gè)端口不能再傳輸數(shù)據(jù)。
         ●Monitoring Port 監(jiān)控端口
         ●Spanning Port 通常指允許把所有端口的流量復(fù)制到另外一個(gè)端口,同時(shí)這個(gè)端口不能再傳輸數(shù)據(jù)。
         ●SPAN port 在 Cisco 產(chǎn)品中,SPAN 通常指 Switch Port ANalyzer。某些交換機(jī)的 SPAN 端口不支持傳輸數(shù)據(jù)。
         ●Link Mode port這樣,這些流量就可以被一個(gè)特殊的設(shè)備監(jiān)控。它對發(fā)現(xiàn)和修理故障有很大的幫助。
         端口鏡像工作原理:
         SPAN(Switched Port Analyzer)的作用主要是為了給某種網(wǎng)絡(luò)分析器提供網(wǎng)絡(luò)數(shù)據(jù)流。
         它既可以實(shí)現(xiàn)一個(gè)VLAN中若干個(gè)源端口向一個(gè)監(jiān)控端口鏡像數(shù)據(jù),也可以從若干個(gè)VLAN向一個(gè)臨控端口鏡像數(shù)據(jù)。源端口的5號端口上流轉(zhuǎn)的所有數(shù)據(jù)流均被鏡像至10號監(jiān)控端口,而數(shù)據(jù)分析設(shè)備通過監(jiān)控端口接收了所有來自5號端口的數(shù)據(jù)流。值得注意的是,源端口和鏡像端口必須位于同一臺交換機(jī)上(但也有例外,如Catalyst 6000系列交換機(jī));而且SPAN并不會影響源端口的數(shù)據(jù)交換,它只是將源端口發(fā)送或接收的數(shù)據(jù)包副本發(fā)送到監(jiān)控端口。
         在SPAN任務(wù)過程中,用戶可以通過參數(shù)控制,來指明需要監(jiān)控的數(shù)據(jù)流種類;還可以將一個(gè)或多個(gè)端、口、一個(gè)或多個(gè)VLAN作為源端口,并將從這些端口中發(fā)送或接收的單向或雙向數(shù)據(jù)流傳送至監(jiān)控端口。在Catalyst 4006交換機(jī)中,最多可以配置6個(gè)單向的SPAN任務(wù):2個(gè)輸入數(shù)據(jù)流監(jiān)控、4個(gè)輸出數(shù)據(jù)流監(jiān)控。一個(gè)雙向SPAN任務(wù)實(shí)際上包含一個(gè)單向輸入和一個(gè)單向輸出。而且不僅僅二層交換端口可作為源端口,Catalyst 4006上的三層路由端口也可設(shè)置為源端口。
         SPAN 任務(wù)不會影響交換機(jī)的正常工作。當(dāng)一個(gè)SPAN任務(wù)被建立后,根據(jù)交換機(jī)所處的不同的狀態(tài)或操作,任務(wù)會處于激活或非激活狀態(tài),同時(shí)系統(tǒng)會將其記入日志。通過“show monitor session”命令可顯示SPAN的當(dāng)前狀態(tài)。
         如果遇到系統(tǒng)重新啟動(dòng)的情況,在目的端口初始化結(jié)束之前,SPAN任務(wù)將處于非激活狀態(tài)。目的端口(監(jiān)控端口)可以是交換機(jī)上的任意一個(gè)交換或路由端口。當(dāng)一個(gè)目的端口處于激活狀態(tài)時(shí),任何發(fā)送到該端口且與SPAN任務(wù)無關(guān)的數(shù)據(jù)包將會被丟棄。
         一個(gè)目的端口只能處于一個(gè)SPAN任務(wù)中。當(dāng)一個(gè)端口被配制成目的端口后就不能再成為源端口,同時(shí)冗余鏈路端口也不能成為SPAN的目的端口。特別需要指出的是,如果一個(gè) Trunk端口被配置成為SPAN的目的端口,則其Trunk功能也將自動(dòng)停止。
         源端口又可以稱作被監(jiān)控端口。在一個(gè)SPAN任務(wù)中,可以有一個(gè)或多個(gè)源端口,而且可以根據(jù)用戶需要設(shè)置為輸入方向、輸出方向或雙向,但無論哪種情況,在一個(gè)SPAN任務(wù)中,所有源端口的被監(jiān)控方向都必須是一致的。
         在Catalyst 4006交換機(jī)上的VLAN也可以整體設(shè)置為源端口,這意味著被指定VLAN中的所有端口均為當(dāng)前SPAN任務(wù)中的源端口。
         Trunk端口可以單獨(dú)設(shè)為源端口,也可以與非Trunk端口一起被設(shè)置為源端口,但要注意的是,在監(jiān)控端口不會識別來自Trunk端口針對不同VLAN的數(shù)據(jù)封裝格式,換句話說,在監(jiān)控端口收到的數(shù)據(jù)包將無法辨明是來自哪個(gè)VLAN。
         SPAN數(shù)據(jù)流主要分為三類:
         (1)輸入數(shù)據(jù)流(Ingress SPAN):指被源端口接收進(jìn)來,其數(shù)據(jù)副本發(fā)送至監(jiān)控端口的數(shù)據(jù)流;
         (2)輸出數(shù)據(jù)流(Egress SPAN):指從源端口發(fā)送出去,其數(shù)據(jù)副本發(fā)送至監(jiān)控端口的數(shù)據(jù)流;
         (3)雙向數(shù)據(jù)流(Both SPAN):即為以上兩種的綜合。
         基于VLAN的SPAN是以一個(gè)或幾個(gè)VLAN作為監(jiān)控對象,其中的所有端口均為源端口,與基于端口的SPAN類似,基于VLAN的SPAN也分為輸入數(shù)據(jù)流、輸出數(shù)據(jù)流和雙向數(shù)據(jù)流監(jiān)控三種類型。
         在配置基于VLAN的SPAN任務(wù)過程中,應(yīng)注意幾點(diǎn):
         (1)Trunk端口可以包含在源端口中;
         (2)針對雙向SPAN任務(wù),如果在源VLAN中的兩個(gè)源端口之間有數(shù)據(jù)交換,則每一個(gè)數(shù)據(jù)包將有兩個(gè)副本被轉(zhuǎn)發(fā)至鏡像端口;
         (3)對有多個(gè)源VLAN的SPAN任務(wù)來說,如果某個(gè)源VLAN被刪除掉,則該VLAN也將從源VLAN列表中刪除;
         (4)處于非激活狀態(tài)的VLAN無法參與SPAN任務(wù);
         (5)對于一個(gè)設(shè)置為輸入數(shù)據(jù)流監(jiān)控的源VLAN來說,來自其他VLAN的路由信息數(shù)據(jù)包不會被鏡像;此外,從設(shè)置為輸出數(shù)據(jù)流監(jiān)控的VLAN向其他VLAN發(fā)送出的路由信息數(shù)據(jù)包也同樣不會被鏡像。換句話說,基于VLAN的SPAN任務(wù)只對進(jìn)出二層交換端口的數(shù)據(jù)包進(jìn)行鏡像,而不鏡像VLAN之間的路由信息。
         所有網(wǎng)間傳輸?shù)姆锹酚蓴?shù)據(jù)包,包括組播包和BPDU(橋接協(xié)議數(shù)據(jù)單元)包,都可以使用SPAN任務(wù)進(jìn)行鏡像。
         在一些SPAN任務(wù)的配置下,會出現(xiàn)同一個(gè)SPAN源端口數(shù)據(jù)包的多個(gè)副本被發(fā)送到 SPAN監(jiān)控端口的情況。正像前面提到的那樣,在一個(gè)雙向SPAN任務(wù)中,假設(shè)a1和a2為源端口,d1為目的端口,如果a1與a2之間有數(shù)據(jù)包傳輸,則在a1傳向a2的數(shù)據(jù)包將會被傳送到d1兩次,反之亦然。
         鏡像端口建立方法
         Cisco CATALYST交換機(jī)端口監(jiān)聽配置
         Cisco CATALYST交換機(jī)分為兩 種,在CATALYST家族中稱偵聽端口為分析端 口(analysis port)。1、Catalyst 2900XL/3500XL/2950系列交換機(jī)端口監(jiān)聽配 置 (基于CLI)
         以下命令配置端口監(jiān)聽:
         port monitor
         例 如,F(xiàn)0/1和F0/2、F0/3同屬VLAN1,F(xiàn)0/1監(jiān)聽F0/2、F0/3端口:
         interface FastEthernet0/1
         port monitor FastEthernet0/2
         port monitor FastEthernet0/3
         port monitor VLAN1
         2、Catalyst 4000,5000 and 6000系列交換機(jī)端口監(jiān)聽配 置 (基于IOS)
         以下命令配置端口監(jiān)聽:
         set span
         例如,模塊1中端口1和端口2同屬VLAN1,端口3在VLAN2,端口4和5在VLAN2,端口2監(jiān)聽端 口1和3、4、5,
         set span 1/1,1/3-5 1/2
         2950/3550/3750
         格式如下:
         #monitor session number source interface mod_number/port_number both
         #monitor session number destination interface mod_mnumber/port_number
         //rx-->指明是進(jìn)端口得流量,tx-->出端口得流量 both 進(jìn)出得流量
         for example:
         第一條鏡像,將第一模塊中的源端口為1-10的鏡像到端口12上面;
         #monitor session 1 source interface 1/1-10 both
         #monitor session 1 destination interface 1/12
         第二條鏡像,將第二模塊中的源端口為13-20的鏡像到端口24上面;
         #monitor session 2 source interface 2/13-20 both
         #monitor session 2 destination interface 2/24
         當(dāng)有多條鏡像、多個(gè)模塊時(shí)改變其中的參數(shù)即可。
         Catalyst 2950 3550不支持port monitor
         C2950#configure terminal
         C2950(config)#
         C2950(config)#monitor session 1 source interface fastEthernet 0/2
         !--- Interface fa 0/2 is configured as source port.
         C2950(config)#monitor session 1 destination interface fastEthernet 0/3
         !--- Interface fa0/3 is configured as destination port.
       看了“思科交換機(jī)鏡像配置實(shí)例介紹”還想看:
       1.思科交換機(jī)基本配置實(shí)例講解
       2.思科交換機(jī)怎么配置鏡像口 思科交換機(jī)配置鏡像口技巧
       3.Cisco交換機(jī)常用配置命令總結(jié)
       4.思科交換機(jī)配置教程詳解
       5.思科交換機(jī)配置命令介紹
       6.Cisco交換機(jī)基本配置方法
       
					
      
					
      
					
      
						
        
							
							
        
						
      
					
      		
				
      
				
				
      
			
      
			
			
      
		
      
	
      
	



	
      	
	2743402