網監利器鏡像——原理配置篇
鏡像是指將經過指定端口(鏡像端口)或者指定VLAN(鏡像VLAN)的報文復制一份到另一個指定端口(觀察端口),然後轉發到網絡監控設備,供網絡管理員進行網絡監控與故障管理。
看官們可以通過下面的這張圖了解下鏡像具體的工作機制,以及需要註意的地方。
那麽鏡像在網絡維護中具體能做些什麽呢?
1、故障定位
在系統運行過程中,可能由於系統軟件處理異常、網絡設備硬件故障、計算機病毒或用戶不正常使用等原因造成網絡上流量異常或產生錯誤報文。為了在不影響系統運行的情況下對網絡上的報文進行分析,以定位故障產生的原因,這時候就可以使用鏡像。
2、業務可視
為了更好的理解企業內部業務流量模型, 在網絡匯聚或核心交換機上,對業務流量進行鏡像,以便在不影響正常業務的情況下,使企業各類應用清晰可視。 比如說, 多少用戶在上班時間訪問QQ; 員工訪問公司內部服務器的訪問量排名情況。
3、入侵檢測
為了發現各種攻擊企圖、攻擊行為或者攻擊結果,以保證網絡系統資源的機密性、完整性和可用性, 在企業的上行接口,將所有出入的流量鏡像到一個IDS服務器上,進行實時分析。比如外部訪問公司服務器的訪問量激增,分析一下這些是不是屬於攻擊報文等。
另外,要特別說明一下,江湖就要有江湖的規矩,壞了規矩,就會招致整個武林的一致聲討。所以,雖然鏡像功能如此的強大,但是在華為S系列交換機上用的是時候,請謹記:
該功能主要用於網絡檢測和故障管理,可能涉及使用個人用戶某些通信內容。華為公司無法單方采集或存儲用戶通信內
容。建議您只有在所適用法律法規允許的目的和範圍內方可啟用相應的功能。在使用、存儲用戶通信內容的過程中,您應采取足夠的措施以確保用戶的通信內容受到嚴格保護。
好了,看官們現在了解到鏡像強大的威力之後,那我們下面就來看看華為S系列交換機哪些不同方式的鏡像功能。
功能 定義 產品支持情況 端口鏡像 將指定端口(鏡像端口)的報文復制到觀察端口。 全支持 流鏡像 將指定類型的報文復制到觀察端口。 全支持 VLAN鏡像 將指定VLAN(鏡像VLAN)的報文復制到觀察端口。 框式交換機和S5720HI不支持 MAC鏡像 將指定MAC地址的報文復制到觀察端口。
框式交換機和S5720HI不支持
如何配置?
無論上述的哪種方式,主要配置下面兩步:
1、創建觀察端口。不同的場景可以選擇不同的命令,如表所示。
| 場景 | 對應配置命令 |
| 觀察端口與監控設備直連,本地鏡像。 | observe-port [ <observe-port-index> ] <interfaceinterface-type interface-number> |
| 觀察端口與監控設備通過中間二層網絡相連,二層遠程鏡像。 | observe-port [ <observe-port-index> ] <interfaceinterface-type interface-number> vlan <vlan-id> |
| 觀察端口與監控設備通過中間三層網絡相連,三層遠程鏡像。(僅框式交換機支持) | observe-port [ <observe-port-index> ] <interfaceinterface-type interface-number> destination-ip <dest-ip-address> source-ip <source-ip-address> [ dscp <dscp-value> | vlan <vlan-id> ] * |
PS:如果需要將報文復制到多個觀察端口,可以將上面的命令執行多次,或者配置觀察端口組進行批量配置。
2、將指定的報文鏡像到觀察端口。不同的鏡像方式對應有不同的命令,如表所示。
| 鏡像方式 | 鏡像方式 |
| 端口鏡像 | port-mirroring to observe-port <observe-port-index> { both | inbound | outbound } |
| 流鏡像 | 基於MQC:mirroring to observe-port <observe-port-index>基於ACL:traffic-mirror |
| VLAN鏡像 | mirroring to observe-port <observe-port-index> inbound |
| MAC鏡像 | mac-mirroring mac-address to observe-port <observe-port-index> inbound |
PS:both | inbound | outbound分別表示鏡像設備雙向(接收和發送兩個方向)/入方向(接收方向)/出方向(發送方向)的報文。
下面小編再通過簡單的組網環境演示一下我們常用的二層遠程端口鏡像是如何配置的吧。
如圖所示,員工A與DNS服務器在同一個VLAN,通過二層網絡通信,現在監控PC通過在SwitchA配置的二層遠程端口鏡像,來監控員工A訪問DNS服務器的記錄。
1、具體每臺交換機上的配置如下:
l SwitchA的配置文件
#
sysname SwitchA
#
vlan batch 10 20 //VLAN10為用戶VLAN,VLAN20用於轉發鏡像報文
#
observe-port 1 interface GigabitEthernet0/0/1 vlan 20 //配置GE0/0/1為二層遠程觀察端口,
用的觀察端口索引為1,遠程鏡像VLAN為VLAN20,復制的報文會通過GE0/0/1向VLAN20轉發
#
interface GigabitEthernet0/0/1 //觀察端口不需要加入VLAN20,上面的配置已實現鏡像報文通過GE0/0/1向VLAN20轉發
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 10 //端口加入VLAN,員工A與DNS之間通信
port-mirroring to observe-port 1 inbound //將GE0/0/2入方向的報文(即接收到的員工A發送的報文)鏡像到觀察端口1(即GE0/0/1)
#
interface GigabitEthernet0/0/3
port link-type access
port default vlan 10 //端口加入VLAN,員工A與DNS之間通信
l SwitchB的配置文件
#
sysname SwitchB
#
vlan batch 20 //用於轉發鏡像報文到監控PC
#
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 20 //端口加入VLAN,用於轉發鏡像報文到監控PC
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 20 //端口加入VLAN,用於轉發鏡像報文到監控PC
2、在SwitchA查看端口鏡像的配置情況:
3、 檢查員工A與DNS服務器間通信的報文是否鏡像到監控PC:
先在監控PC上啟用抓包工具,然後在員工A的PC上向DNS服務器發個ping報文。最後通過抓包工具抓取報文。
可以發現抓取到了源地址為員工A地址、目的地址為監控PC地址的ping報文。
網監利器鏡像——原理配置篇