端口镜像详解安全.pdf

端口镜像详解

什么是端口镜像?

把交换机一个或多个端口（VLAN）的数据镜像到一个或多个端口的方法。

为什么需要端口镜像?

通常为了部署IDS产品需要网络流量（网络分析仪同样也需要），但是在目前广泛采用的交换网络中

所有流量有相当大的，因此需要通过配置交换机来把一个或多个端口（VLAN）的数据转发到某一个端口

来实现对网络的。

端口镜像的别名

端口镜像通常有以下几种别名：

●PortMirroring

通常指允许把一个端口的流量到另外一个端口，同时这个端口不能再传输数据。

●MonitoringPort

端口

●SpanningPort

通常指允许把所有端口的流量到另外一个端口，同时这个端口不能再传输数据。

●SPANport

在Cisco产品中，SPAN通常指SwitchPortANalyzer。某些交换机的SPAN端口不支持传输数据。

●LinkModeport

支持端口镜像的交换机

大多数中档以上的交换机都支持端口镜像功能，但支持程度不同。

端口镜像配置方法

下面是几种交换机的端口镜像配置方法，主要来自于TaliskerSecurityWizardry

(/)的SwitchPortMirroring

(/switch.htm)

Cisco交换机

特点：●Cisco2900和Cisco3500XL系列交换机

Cisco2950、Cisco3550和Cisco3750系列交换机

Ciscocatylist2550Ciscocatylist3550支持2组monitorsessionenpasswordconfig

term

Switch(config)#monitorsession1destinationinterfacefast0/4（1为sessionid，id范围为1－2）

Switch(config)#monitorsession1sourceinterfacefast0/1,fast0/2,fast0/3(空格，逗号，空格)

Switch(config)#exit

Switch#copyrunning-confstartup-conf

Switch#showport-monitor

Cisco5000系列交换机

使用CatOS的Cisco4000和Cisco6000系列交换机

使用IOS的Cisco4000和Cisco6000系列交换机

Extreme交换机

特点：

●只能创建多对一或者一对一的镜像端口

●可以VLAN的流量

●Extreme会镜像IN和OUT的流量。这就意味着在镜像VLAN的时候，会看到

一个报文至少两次——从VLAN的某个端口出来，并且进入VLAN的另一

个端口。

版本高于4.1的Extreme交换机端口镜像配置方法

{enable|disable}mirroringonport

开启/关闭端口镜像功能，并且指定镜像流量从何端口流出，port-no只能是一个端口

configuremirroring{add|delete}{vlan|port}

指定镜像哪个或哪些VLAN或端口的流量{