通过端口镜像实现不同应用场景下网络监控与流量分析.pdf

1、应用技巧Application Skills/通过端口镜像实现不同应用场景下网络监控与流量分析河北刘志波徐莉编者按：介绍通过锐捷8 6 系列交换机实现不同应用场景下端口镜像应用。随着网络安全形势的日益复杂，新场景、新威胁使得网络安全面临更加严峻的考验。端口镜像功能作为对网络流量监控的一个有效安全手段，得到了更加广泛地应用。通过对端口监控流量的分析可以进行安全性的检查，同时也能及时地在网络发生故障时进行准确的定位。端口镜像（PortMirroring）功能是指通过交换机或路由器，将一个或多个源端口的数据流量转发到某一指定端口来实现对网络的监控与流量分析。端口镜像不会改变镜像报文的任何信息，也不会

2、影响原有报文的正常转发。对于源端口，目的端口的介质类型和端口属性没有要求。应用场景一多对一镜像，包含一对一镜像：当用户需要把一台交换机上面的一个口或者是多个端口的流量，镜像（复制）到交换机上面的某个端口的时候，就可以考虑采用交换机的多对一镜像功能。注意，镜像的源端口可以是多个端口的双向流量（both）一起镜像到目的端口，也可以是部分端口的入方向（r x）流量与部分端口的出方向（tx）流量结合起来镜像到某个目的端口，但是目的端口只能是一个，也就是监控的服务器或者网络设备只能是一台，或者是一个端口与交换机连接。组网需求：配置端口镜像，实现监控服务器能够监控G3/24及G3/0口入方向和出方向的数据

3、流，同时监控服务器依然能够实现对外网网络的访问。组网拓扑如图1 所示。对应的命令行配置：RuijieenableRuijie#configure terminalRuijie(config)#monitor session 1 sourceinterface gigabitEthernet 3/0 both-指定端口镜像的源端口为G3/0，即被监控端口，交换机可以指定多个源端口。both表示双方向的数据流，如果只需要镜像进入交换机方向的数据流，则将both关键字改为关键字rx，命令就变为了：monitor session 1 source interfacegigabitEthernet 3/

4、0 rx。如果只需要镜像从交换162 2023.8投稿信箱责任编辑章继刚ApplicationSkills应用技巧如图2，通过showmonitor命令查看。流量分析服务器户需要把一台交换机上面的一个端口或者Web服务器核心交换机PC1图1 多对一镜像组网拓扑图Rui jienshow moni tor号力eP-an-type:LoCAL_SPAN配盟的是本交损机测口储牌-intf:igabitEthernet3/0-intf:igabitEthernet3/24est-intf:gabitEthernet 3/23机出来方向的流量，则可将both关键字改为tx。Ruijie(config)#

5、monitor session 1 sourceinterface gigabitEthernet 3/24 both-指定端口镜像的源端口G3/24；Ruijie(config)#monitor session 1destination interface gigabitEthernet 3/23Switch-指定G3/23口为端口镜像的目的端口，即监控端口。后面加了一个关键字swith，表示目的端口也能够上网，如果不加关键字，那么该端口将不能访问外网。Rujie(config)#endRujie#wr应用场景二G3/24一对多镜像，包含多对多镜像：当用G3/0G3/23PC2frane-t

6、ype Both一使你：3/9 的编入和销出方frame-type Both银德3/2 4的徐入和图2 通过showmonitor命令查看多个端口的流量，镜像（复制）到交换机上面的某几个端口的时候，就可以考虑采用交换机的一对多镜像功能。注意，镜像的源端口可以是多个端口的双向流量（b o t h）一起镜像到目的端口，也可以是部分端口的入方向（rx）流量与部分端口的出方向（tx）流量结合起来镜像到某几个目的端口。一对多镜像，通常在网络中有多台监控服务器（比如数据库操作审计服务器、日志记录服务器、上网行为管理服务器、流量统计或者监控服务器），或者是它们的任意组合接入到同一台交换机上，需要对同一份数据

7、（通常是上联口，或者是关键服务器端口）进行采集的环境。另外一个情况需要特别说明一下，有些用户场景中原来是单台监控服务器，采用的是普通的一对一镜像，后面又新增了某种运用的服务器，需要采集镜像网络中的之前的同一份数据，此时也需要采用一对多镜像功能。由于多对一镜像与一对多镜像配置思路完全不同，所以需要将原来的一对一镜像配置命令删除，重新规划采用一对多的配置方法。【注意】并非所有的交换机都支持一对多镜像。锐捷8 6 系列交换机不能支持一对多，所以这里通过普通RSPAN镜像功能（不使用自环口）将投稿信箱 2023.8163Application Skills应用技巧/责任编辑章继刚shutdown）的端

8、口（本例为G3/1）为镜像输出端口，将该端口加入RemoteVLAN，并配流量分析服务器Web服务器三G3/24G3/23G3/0MAC自环口+G3/1核心交换机PC1图3 一对多镜像组网拓扑图RSPAN目标端口再连接到一台空配置交换机上，划分多个接口到一个VLAN中（RSPAN使用的VLAN中），并关闭所有端口MAC地址学习功能（nomac-address-learning）和端口风暴控制（类似HUB泛洪。由于没有MAC地址学习，报文才会进行泛洪，所以需要关闭风暴控制，防止镜像流量太多被抑制而丢弃），从而实现一对多功能。组网需求：G3/24及G3/0连接外网及Web服务器，G3/22及G3/

9、23连接审计和流量分析服务器，现在需要实现审计和流行分析服务器都能监控G3/0及G3/24口的数据流组网拓扑如图3 所示。配置要点：1.在核心交换机上创建RemoteVLAN。2.指定核心交换机为RSPAN的源设备，配置直连外网，Web服务器的端口G3/24及G3/0为镜像源端口；选择一个Down状态（无需手工置为MAC自环（这里的down状态的端口不是指手动将接口shutdown，而是这个接口之前没有使用，没有连线）。3.将直连审计服务器、流量分析服务器的G3/22G3/22、G 3/2 3 端口加入Remote VLAN。三重点说明：审计服务器需要在交换机上将一个未使用的端口配置成为一个M

10、AC自环口，配置为MAC自环口后，该端口不插网线或光线，接口会自动UP，PC2并且接口状态灯亮绿色。MAC不能做其他配置，也不要打开此接口的交换功能（monitorsession 1 destination remote vlan 100 interfacegigabitEthernet 3/1 不要携带 switch 选项)，否则可能导致监控服务器无法接收到监控数据流。配置步骤如下。交换机配置：1.在交换机上配置RemoteVLAN。在交换机上创建RemoteVLAN100。-这个VLAN需要是在交换机上没有使用的业务VLANRuijie#configure terminalRujie(co

11、nfig)#vlan 100Ruijie(config-vlan)#remote-spanRuijie(config-vlan)#exit2.配置RSPAN源设备。在交换机上创建RSPANSession1，指定该设备为源设备，并配置端口G3/0及G3/24为源端口（源端口配置任意），镜像双向数据流。Ruijie(config)#monitor session 1 remote- 2023.8投稿信箱责任编辑章继刚ApplicationSklls应用技巧Ruijie(config-if-GigabitEthernetRui jieehom monitoress-num:1span-tyT-e:S

12、OURCE_SPANGigabitEthernet3/orc-intf:GigabitEthermnet3/24dest-intf:GigabitEthermnetmotevlan10Ruijietshow runintg3/23Building configuration,Currentconfiguration:102bytesinterfaceGigabitEthernet3/23switchport accessvlan100mac-loopbackno-aaddress-learningRuijieshow int g3/23 statusInterfaceGigabitEtherR

13、uijie(config)#monitor session 1 sourceinterface gigabitEthernet 3/0 bothRuije(config)#monitor session 1 sourceinterface gigabitEthernet 3/24 both指定自环口G3/1为镜像的目的端口。Ruijie(config)#monitor session1 destination remote vlan100 interfacegigabitEthernet 3/1-将 流 量 引 入 到loopback口，最后面不要携带switch命令Ruijie(config

14、)#interface gigabitEthernet3/1Ruijie(config-if-GigabitEthernet 3/1)#switchport access vlan 100Ruijie(config-if-GigabitEthernet 3/1)#mac-loopback-环回口不要再做其他配置，也不要连接线缆。3/1)#endfrane-typeBothfrane-tyreBoth3/1图4查看端口镜像的状态StatusVlanDuplexSpeedet3/23图5查看G3/1端口配置及接口状态Ruijie#clear mac-address-tabledynamic int

15、erface gigabitEthernet 3/1-配置完成后需要清下自环口的MAC地址表3.将监控服务器的端口G3/22及G3/23加入Remote VLAN。配置交换机的端口G3/22和G3/23属于Remote VLAN 100。Ruijie(config)#interface rangeTypegigabitEthernet 3/22-23up100Full1000Ruijie(config-if-range)#switchportaccess vlan 100Ruijie(config-if-range)#endRuijie#wr重点说明：指定自环口G3/1为镜像的目的端口配置中如果开启了switch关键字，那么需要在自环口关闭MAC地址学习功能，并且清除自环口的MAC地址表项；如果没有输入switch关键字，则不需要关闭自环口的MAC地址学习功能。【注意】如果S86上面开启了生成树协议，同时有其他trunk口，由于RSPAN的镜像目的口有MAC-loopback功能，会导致流量在remote-vlan中形成环路，所以需要在所有trunk口上做VLAN修剪，本例中为remove vlan 100。功能验证1.如图4，查看端口镜像的状态。2.如图5，查看G3/1端口配置及接口状态。投稿信箱 2023.8165