近期有些用户在后台提出这样的疑惑:
“想用科来分析系统看局域网流量,为啥只能显示当前主机?”,“如果我想查看某个具体的IP,怎么做才能实现?”。
这涉及到大家日常工作中一个常见的基础知识——镜像流量。我们将这部分内容整理出来,供大家参考。
网络全流量采集与分析在网络领域具有多方面的重要价值,其应用在网络性能优化、故障排除与诊断、网络行为分析、网络安全分析等领域的价值已经得到了网络管理人员的普遍认可。
但是在本地电脑上通常无法直接抓取到其他主机之间通信的流量,主要原因与网络的硬件设备工作原理和网卡的工作模式密切相关,包括网卡工作模式限制、交换机的转发机制、网络分段等因素。
全流量采集方式有哪些
为了实现对网络全流量的采集,需要根据不同的网络环境和需求,采用合适的采集方式。以下是几种常见的全流量采集方式:
基于集线器(Hub)的采集方式、交换机端口镜像(Port Mirroring)、网络分流器(Network Tap)、基于软件的旁路采集方式、基于虚拟网络的采集方式等。
综上所述,不同的全流量采集方式各有优缺点,在实际应用中,需要根据网络规模、网络架构、采集需求和成本等因素选择合适的采集方式。交换机端口镜像由于其灵活性和适用性,是目前最常用的全流量采集方式之一。
什么是交换机端口镜像
交换机端口镜像是一种常用的全流量采集方式,它通过在交换机上配置镜像端口,将一个或多个源端口(或VLAN)的流量复制到一个或多个指定的镜像端口,然后将采集设备连接到镜像端口,即可捕获到源端口的所有流量。端口镜像可以分为本地端口镜像和远程端口镜像(RSPAN)。本地端口镜像适用于同一交换机上的端口镜像,而远程端口镜像则可以跨交换机进行流量镜像,通过专用的RSPAN VLAN传输镜像流量。这种采集方式的优点是不会影响网络的正常运行,能够准确捕获到指定端口或VLAN的全流量,适用于各种规模的网络环境。
下面我们就以常见的交换机品牌为例,进行交换机端口镜像的配置演示。
常见交换机端口镜像配置
(以下内容仅作为示例供参考)
① 华为
配置本地端口镜像
1、配置镜像目的端口
system-view[Huawei] observe-port 1 interface G0/0/1
2、配置镜像源端口
[Huawei] interface G0/0/2[Huawei-GigabitEthernet0/0/2] port-mirroring to observe-port 1 inbound[Huawei-GigabitEthernet0/0/2] quit
3、检查配置结果
[Huawei]display port-mirroring
配置远程端口镜像
1、配置RSPAN专用VLAN
system-view[Huawei1] vlan 10[Huawei1-vlan10] remote-probe vlan enable[Huawei1-vlan10] quitsystem-view[Huawei2] vlan 10[Huawei2-vlan10] remote-probe vlan enable[Huawei2-vlan10] quit
2、配置镜像源设备
[Huawei1] mirroring-group 1 remote-source[Huawei1] mirroring-group 1 mirroring-port G0/0/2 both[Huawei1] mirroring-group 1 reflector-port G0/0/1[Huawei1] mirroring-group 1 remote-probe vlan 10
3、配置镜像目标设备
[Huawei2] mirroring-group 1 remote-destination[Huawei2] mirroring-group 1 monitor-port G0/0/3[Huawei2] mirroring-group 1 remote-probe vlan 10
配置封装的远程端口镜像
1、配置镜像源设备
system-view[Huawei1] interface GigabitEthernet0/0/2[Huawei1-GigabitEthernet0/0/2] port-mirroring to observe-port 1 inbound[Huawei1-GigabitEthernet0/0/2] quit[Huawei1] mirror to erspan-source[Huawei1-mirror-erspan-source] source-ip 10.3.5.8[Huawei1-mirror-erspan-source] destination-ip 10.35.8.1[Huawei1-mirror-erspan-source] erspan-id 100[Huawei1-mirror-erspan-source] quit
2、配置镜像目标设备
system-view[Huawei2] observe-port 1 interface GigabitEthernet0/0/2[Huawei2] mirror to erspan-destination[Huawei2-mirror-erspan-destination] source-ip 10.3.5.8[Huawei2-mirror-erspan-destination] destination-ip 10.35.8.1[Huawei2-mirror-erspan-destination] erspan-id 100[Huawei2-mirror-erspan-destination] quit
配置流镜像
配置本地VLAN流镜像
1、配置镜像目的端口
[Huawei] observe-port 1 interface G0/0/3
2、配置镜像源VLAN
[Huawei] vlan 10[Huawei-vlan10] mirroring observe-port 1 inbound[Huawei-vlan10] quit
配置本地基于MQC的流镜像
system-view [Huawei] acl 3000[Huawei-acl-adv-3000] rule permit tcp source 10.1.1.10 0 destination-port eq 80[Huawei -acl-adv-3000] quit[Huawei] traffic classifier mirror-class[Huawei-classifier-mirror-class] if-match acl 3000[Huawei-classifier-mirror-class] quit [Huawei] observe-port 1 interface GigabitEthernet 0/0/3[Huawei] traffic behavior ABC[Huawei-ABC-behavior] mirroring observe-port 1[Huawei] quit[Huawei] traffic policy mirror-policy[Huawei-policy-mirror-policy] classifier mirror-class behavior ABC[Huawei-policy-mirror-policy] quit[Huawei] interface GigabitEthernet 0/0/1[Huawei-GigabitEthernet0/0/1] traffic-policy mirror-policy inbound[Huawei-GigabitEthernet0/0/1] quit
② 华三
配置本地端口镜像
1、配置镜像源端口
system-view[H3C] mirroring-group 1 local[H3C] interface gigabitEthernet 1/1/1[H3C-GigabitEthernet1/1/1] mirroring-port both[H3C-GigabitEthernet1/1/1] quit
2、配置镜像目的端口
[H3C] interface GigabitEthernet 1/1/2[H3C-GigabitEthernet1/1/2] monitor-port[H3C-GigabitEthernet1/1/2] quit
配置远程端口镜像
1、配置镜像源交换机
system-view[H3C1] vlan 10[H3C1-vlan10] remote-probe vlan enable[H3C1-vlan10] quit[H3C1] interface GigabitEthernet 1/1/1[H3C1-GigabitEthernet1/1/1] port link-type trunk[H3C1-GigabitEthernet1/1/1] port trunk permit vlan 10[H3C1-GigabitEthernet1/1/1] quit[H3C1] mirroring-group 1 remote-source[H3C1] mirroring-group 1 mirroring-port GigabitEthernet 1/1/2 inbound[H3C1] mirroring-group 1 reflector-port GigabitEthernet 1/1/1[H3C1] mirroring-group 1 remote-probe vlan 10[H3C1] display mirroring-group remote-destination
2、配置镜像目标交换机
system-view[H3C2] vlan 10[H3C2-vlan10] remote-probe vlan enable[H3C2-vlan10] quit[H3C2] interface GigabitEthernet 1/1/1[H3C2-GigabitEthernet1/1/1] port link-type trunk[H3C2-GigabitEthernet1/1/1] port trunk permit vlan 10[H3C2-GigabitEthernet1/1/1] quit[H3C2] mirroring-group 1 remote-destination[H3C2] mirroring-group 1 monitor-port GigabitEthernet 1/1/2[H3C2] mirroring-group 1 remote-probe vlan 10[H3C] display mirroring-group remote-destination
配置封装的远程端口镜像
1、配置镜像源设备
system-view[H3C1] mirroring-group 1 remote-source[H3C1] mirroring-group 1 mirroring-port GigabitEthernet1/0/1 inbound[H3C1] mirroring-group 1 remote-probe ip source 192.168.1.1 destination 192.168.2.1[H3C1] mirroring-group 1 remote-probe erspan-id 100
2、配置镜像目标设备
system-view[H3C2] mirroring-group 1 remote-destination[H3C2] mirroring-group 1 remote-probe ip source 192.168.1.1 destination 192.168.2.1[H3C2] mirroring-group 1 remote-probe erspan-id 100[H3C2] mirroring-group 1 monitor-port GigabitEthernet1/0/24
配置流镜像
[H3C] acl advanced 3000[H3C -acl-ipv4-adv-3000] rule permit ip source 10.3.58.0 0.0.0.255 destination 192.168.1.0 0.0.0.255[H3C -acl-ipv4-adv-3000] quit[H3C] traffic classifier Class_1[H3C -classifier-Class_1] if-match acl 3000[H3C -classifier-Class_1] quit[H3C] traffic behavior Class_2[H3C-behavior-Class_2] mirror-to interface g0/0/1[H3C-behavior-Class_2] quit[H3C] qos policy Class_3[H3C-qospolicy-Class_3] classifier Class_1 behavior Class_2[H3C-qospolicy-Class_3] quit[H3C] interface G0/0/6[H3C -G0/0/6] qos apply policy Class_3 inbound[H3C-G0/0/6] quit
③ 锐捷
配置本地端口镜像
1、配置镜像源端口
Ruijie> enableRuijie# configure terminal Ruijie(config)# monitor session 1 source interface gigabitEthernet 0/1
2、配置镜像目的端口
Ruijie(config)# monitor session 1 destination interface gigabitEthernet 0/2
3、验证命令Ruijie# show monitor
配置远程端口镜像
1、配置镜像源设备
Ruijie1> enableRuijie1# configure terminalRuijie1 (config)# vlan 7Ruijie1 (config-vlan)# remote-spanRuijie1 (config-vlan)# exitRuijie1 (config)# monitor session 1 remote-sourceRuijie1 (config)# monitor session 1 source interface G0/0/2 bothRuijie1 (config)# monitor session 1 destination remote vlan 7 interface G0/0/1 switchRuijie1 (config)# interface G0/0/5Ruijie1 (config-if)# mac-loopbackRuijie1 (config-if)# switchport access vlan 7Ruijie1 (config-if)# exitRuijie1 (config)# interfaceG0/0/1Ruijie1 (config-if-range)# switchport mode trunk
2、配置镜像目标设备
Ruijie2> enableRuijie2# configure terminal Ruijie2 (config)# vlan 7Ruijie2 (config-vlan)# remote-spanRuijie2 (config-vlan)# exitRuijie2 (config)# monitor session 1 remote-destinationRuijie2 (config)# monitor session 1 destination remote vlan 7 interface G0/0/3Ruijie2 (config)# interface G0/0/1Ruijie2 (config-if)# switchport mode trunk
配置封装的远程端口镜像
Ruijie> enableRuijie# configure terminal Ruijie(config)#monitor session 1 erspan-sourceRuijie(config-mon-erspan-src)#source interface G0/0/2 bothRuijie(config-mon-erspan-src)#origin ip address 10.3.5.8Ruijie(config-mon-erspan-src)#destination ip address 10.35.8.100
配置流镜像
Ruijie> enableRuijie# configure terminal Ruijie (config)#ip access-list extended ruijieRuijie (config-ext-nacl)#permit ip 192.168.10.0 0.0.0.255 anyRuijie (config-ext-nacl)#exitRuijie (config)#monitor session 1 source interface gigabitEthernet 0/1 tx Ruijie (config)#monitor session 1 source interface gigabitEthernet 0/1 rx acl ruijieRuijie (config)#monitor session 1 destination interface gigabitEthernet 0/24Ruijie (config)#end
④ 思科
配置本地端口镜像
1、配置镜像源端口
Cisco>enableCisco#configure terminalCisco (config)monitor session 1 source interface G0/22、配置镜像目的端口Cisco (config)monitor session 1 destination interface G0/1
3、配置镜像类型被本地端口镜像
Cisco (config)monitor session 1 type localCisco (config)source interface G0/2Cisco (config)destination interface G0/24Cisco (config)end
配置远程端口镜像
1、配置RSPAN专用VLAN
Cisco1>enableCisco1# configure terminalCisco1(config)# vlan 200Cisco1(config-vlan)# remote-spanCisco1(config-vlan)# endCisco1# show vlan remote-spanCisco2>enableCisco2# configure terminalCisco2(config)# vlan 200Cisco2(config-vlan)# remote-spanCisco2(config-vlan)# endCisco2# show vlan remote-span
2、配置镜像源设备
Cisco1>enableCisco1# configure terminalCisco1(config)# monitor session 1 source interface G0/2 rxCisco1(config)# monitor session 1 destination remote vlan 200Cisco1(config)# monitor session 1 reflector-port G0/1Cisco1(config)# exit
3、配置镜像目标设备
Cisco2>enableCisco2# configure terminalCisco2(config)# monitor session 1 source remote vlan 200Cisco2(config)# monitor session 1 destination interface G0/2Cisco2(config)# exit
配置封装的远程端口镜像
1、配置镜像源设备
Cisco1>enableCisco1# configure terminalCisco1(config)# monitor session 1 type erspan-sourceCisco1(config-mon-erspan-src)# source interface gig0/1/0 rxCisco1(config-mon-erspan-src)# no shutdownCisco1(config-mon-erspan-src)# destinationCisco1(config-mon-erspan-src-dst)# erspan-id 101Cisco1(config-mon-erspan-src-dst)# ip address 10.1.1.1Cisco1(config-mon-erspan-src-dst)# origin ip address 172.16.1.1
2、配置镜像目标设备
Cisco2>enableCisco2# configure terminalCisco2(config)# monitor session 2 type erspan-destinationCisco2(config-mon-erspan-dst)# destination interface gigabitEthernet2/2/1Cisco2(config-mon-erspan-dst)# no shutdownCisco2(config-mon-erspan-dst)# sourceCisco2(config-mon-erspan-dst-src)# erspan-id 101Cisco2(config-mon-erspan-dst-src)# ip address 10.1.1.1
配置流镜像
Cisco> enableCisco# configure terminalCisco (config)#ip access 1 permit 192.168.1.0 0.0.0.255Cisco (config)# monitor session 2 source interface G0/1Cisco (config)# monitor session 2 destination interface G0/2 encapsulation replicateCisco (config)# monitor session 2 filter ip access-group 1Cisco (config)# end
快速获取更多教程与技术干货
作为领先的流量分析厂商,科来已持续多年进行技术分享与推广,内容涵盖了从底层原理、分析样本、工具使用、案例分析等不同层级的开放式教程,并包括了图文教程、音视频等多种类的资源结构,帮助用户与学习者以更低门槛掌握网络分析这一重要而底层的基础技术。
软件教程使用:面向工程师不同阶段、不同场景下的业务分析需求,系统梳理了5大系列视频教程,涵盖数字业务保障数百个垂直场景与技术标签,帮助用户利用更快速掌握日常业务的分析与解决思路。
协议知识详解:提供系统全面的协议梳理,帮学习者从原理到应用深度了解协议底层知识。知识库涵盖基于八大协议分类,数百项常见协议,深度打通资源体系,用户可随时通过快捷传送通道,直达对应数据包样本页面,开启相关实践。
数据包样本下载:科来从基于不同场景整理了近百数据包样本,供学习者解码与深度分析,用户同样可随时通过双向通道快速直达协议详情篇目。