Cisco学习技术文档-最全的网络协议分析（内部资料）思科网络协议分析

时光与梦 · 发表于 2014-1-14 22:02:38

Cisco学习技术文档-最全的网络协议分析（内部资料）
无标题_副本.jpg

节选:但有时，出于一定的目的，例如想要监控特定主机的流量、部署IDS 或者进行网络故障排查，就需要使用交换机的端口镜像功能，以便能够捕获到转发给不同目的主机的流量，对某些可疑端口进行监控，同时又不影响被监控端口的数据交换。如图2- 22 所示，可以将
连接主机A 和主机B 的端口镜像到连接主机C 的端口上，这样，主机A 和主机B 之间的数据就可以被主机C 捕获到了。简单的说，端口镜像就是把交换机一个或多个端口（源端口）的流量——包括发送和接收的流量——完全拷贝一份，发送给另外一个端口（目的端口），以便目的端口的主机可以收到源端口的所有进出数据帧。这期间，目的端口不能收发自己的数据帧，完全作为源端口的镜像存在。
端口镜像的数据流主要分为三类：
(1)、输入数据流（RX）：指被源端口接收进来，其数据副本发送至监控端口的数据流；
(2)、输出数据流（TX）：指从源端口发送出去，其数据副本发送至监控端口的数据流；
(3)、双向数据流（Both）：即为以上两种的综合。
在交换机上配置端口镜像需要在全局模式下，包括2 个步骤：配置源端口和配置目的端口，命令格式为：
Switch(config)# monitor session session_number source/destination interface type
interface-id [rx/tx/both]
其中：
monitor session：配置端口镜像的命令关键字；
session-number：端口镜像的会话号，依据不同的设备型号支持的会话数不同，锐捷
网络的RG-S3750-24 型交换机支持1 个会话；
source/destination：指明后续的端口号是端口镜像的源端口还是目的端口；
interface type interface-id：指定接口号，即镜像的源端口或者目的端口。如果指定的
是源端口，交换机会把这个端口的流量拷贝一份，可以输入多个端口，多个用“,”隔开，连续
的用“-”连接；如果指定的是目的端口，在源端口被拷贝的流量会从这个端口发出去，注意，
目的端口号不能被包含在源端口的范围内；
rx/tx/both：可选项，在配置端口镜像的源端口时使用，是指拷贝源端口双向的（both）、
仅输入（rx）还是仅输出（tx）的流量，默认是both。
在配置端口镜像任务时应遵循以下原则：
(1)、对数据进行监控分析的设备应搭接在监控端口上；
(2)、聚合链路端口只能作为端口镜像任务的源端口；
(3)、在设置端口为源端口时，如果没有指定数据流的监控方向，默认为双向；
(4)、当端口镜像任务含有多个源端口时，这些端口可以来自不同的VLAN；
(5)、取消某一个端口镜像任务的命令是：no monitor session session-number；
(6)、取消所有端口镜像任务的命令是：no monitor session all。

购买主题 已有 5 人购买 本主题需向作者支付 2 金币 才能浏览