端口镜像功能是网络设备的常用功能,它通过将一个或多个端口的数据通信量复制到指定端口来监视网络。 可以通过镜像端口监视和分析网络流量,而不影响源端口的正常吞吐量流量。
端口镜像功能是网络流量监测的有效安全手段,在对监测流量进行分析和安全检查的同时,能够在网络发生故障时及时进行准确定位。 端口镜像功能简单来说,就是将被监视的通信量镜像到监视端口,进行被监视通信量的故障跟踪、通信量分析、通信量备份等功能,监视端口通常直接连接到监视主机等端口镜像功能使安装了监视软件的管理服务能够检索进出网络的所有数据包的数据。 出于信息安全、企业敏感保护的需要,企业必须在网络中拥有提供这种实时监控功能的端口。 在企业中使用端口镜像功能,可以正确监视和管理企业中的网络数据,并在发生网络故障时正确识别故障。
本模块的功能有以下几点。
支持纯物理接口的端口镜像。
支持入流量镜/出流量镜/双向流量镜。
仅支持端口镜像,不支持ACL镜像。
支持将一个接口通信量镜像到一个或多个监视接口。
支持将多个接口流镜像到一个或多个监视接口。
支持配置的端口镜像规则的最大数量为8个。
支持保护功能,如果设备的packet buffer数使用率超过3/4,则不再进行流镜像。
本文档的所有配置都是实验室环境中的配置和验证,配置前设备的所有参数均采用出厂默认配置。 如果已经配置了设备,请确保现有配置与以下示例中的配置不冲突,以确保配置的效果。
本文档假设您了解端口镜像的特性。
如果接口已经用作镜像规则的源接口,则不能将其配置为其他规则的监视接口。
如果接口已经用作镜像规则监视接口,则不能将其配置为其他规则的源接口。
源接口和监视接口不能是同一物理接口,不能配置为源接口、监视接口,也不能同时配置。
管理端口和旁路端口不能配置为监视端口。
不能将在线服务端口配置为监控接口(在线服务端口是当前网络正常工作的物理接口。
端口镜像规则数的规格为8个。
如图1所示,用户有两台监测分析设备,功能不同,一台是专用流量分析器,另一台是IDS设备。 用户希望能够同时对ACG设备的接入和来自互联网的流量进行流量综合分析和入侵检测。
根据网络图构建网络。
(1)登录网站。
)2)创建新的端口镜像规则,并将ACG连接互联网接口流量镜像到ACG和流量分析器连接端口。
(3)创建新的端口镜像规则,并将ACG连接的互联网接口流量镜像到ACG和IDS设备连接的接口。
此示例是在F6610版本中配置和验证的。
1 .登录网站
使用http或https登录ACG1000设备网站,如图2所示。 默认用户名和密码为admin/admin,输入验证码,然后单击按钮。
2 .创建新的端口镜像规则,并将ACG连接互联网接口流量镜像到ACG和流量分析器连接端口
进入左侧树“网络管理端口镜像”,创建新的端口镜像规则port-mirror1,如图3所示。 源端口为ge1,监视接口为ge3,规则类型为双向通信。 按钮。
3 .创建新的端口镜像规则,并将ACG连接的互联网接口通信镜像到ACG和IDS设备连接的接口
进入左侧树“网络管理端口镜像”,单击新端口镜像规则port-mirror2,源端口为ge1,监视接口为ge4,规则类型为双向流量,如图4所示
4 .配置完成后效果图
如图5所示,配置完成后的效果如下图所示。
)1)从ACG设备上看接口业务大小,ge3、ge4接口发送的业务大小等于ge1接口收发业务之和,如下图所示:
)2)用户可以通过两台监控分析仪同时接收互联网流量和来自互联网的流量,启用镜像功能。 这样,用户就可以分别综合分析去往互联网的流量和来自互联网的流量,检测入侵。