介紹如何設(shè)備Cisco交換機(jī)或路由器搭配Panabit完成網(wǎng)絡(luò)旁路監(jiān)控。

網(wǎng)絡(luò)環(huán)境：

　　1、公司網(wǎng)絡(luò)下面防火墻下接入3層CISCO switch，現(xiàn)在需要針對(duì)主交換機(jī)進(jìn)行端口鏡像實(shí)現(xiàn)端口監(jiān)控。

　　2、fa0/39為監(jiān)控機(jī)器的網(wǎng)絡(luò)端口，fa0/41為被監(jiān)視的端口（可以理解為全局網(wǎng)絡(luò)出入端口）

Cisco端口鏡像設(shè)置實(shí)現(xiàn)網(wǎng)絡(luò)旁路監(jiān)控
 

操作步驟：

　　進(jìn)入交換機(jī)配置可以多種選擇，為了方便，個(gè)人使用telnet進(jìn)行網(wǎng)絡(luò)配置

　　打開(kāi)命令提示符，操作如下：

telnet ——為主交換機(jī)IP地址，輸入密碼進(jìn)入用戶模式

switch>enable——進(jìn)入特權(quán)模式

switch#config terminal——進(jìn)入全局設(shè)置模式

switch（config）#mirror session 1 destination interface fa0/39 ——鏡像目的端口fa0/39（監(jiān)控端口）

switch（config）#mirror session 1 source interface fa0/41——鏡像源端口（被監(jiān)控的端口）fa0/41

(config)#exit

(config)#write 保存配置

(config)#show run 查看最后一項(xiàng)，可看到已經(jīng)為監(jiān)控模式

　　現(xiàn)在我們把Panabit主機(jī)接到fa0/39端口上，現(xiàn)在就可以監(jiān)控全網(wǎng)信息了。

　　旁路監(jiān)控的好處在于不用變更現(xiàn)在網(wǎng)絡(luò)架構(gòu)。

Cisco各種型號(hào)交換機(jī)mirror 方法

1。Cat2900XL/3500XL
　　2900XL(config)#interface fastethernet 0/24 //進(jìn)入接口配置模式下
　　2900XL(config)#port monitor fastethernet 0/1 //配置f0/1為被監(jiān)視得端口
　　2900XL(config)#port monitor fastethernet 0/2 //配置f0/2為被監(jiān)視得端口
　　通過(guò)上面得配置就可以把進(jìn)出f0/1和f0/2兩個(gè)端口得流量鏡像到f0/24
　　通過(guò)
　　show port monitor可以參看交換機(jī)得SPAN配置情況
　　2。Cat2950/3550/3750
　　3550(config)#monitor session 1 source interface f0/1 - 3 rx
　　//指定SPAN session組號(hào)為1，源端口為f0/1-f0/3，對(duì)進(jìn)這三個(gè)端口的流量
　　//rx-->指明是進(jìn)端口得流量，tx-->出端口得流量 both 進(jìn)出得流量
　　3550(config)#monitor session 1 destination interface f0/4
　　//指定監(jiān)視端口為f0/4
　　3。Cat4000/6500 with CatOS
　　set span命令
　　cat4k#set span 1/2 1/3　//把1/2得流量鏡像到1/3

cat4k#set span disable //關(guān)閉鏡像mirror
　　4。Cat4500/6500 with IOS
　　同2--Cat2950/3550/3750
　　方法四:VACL
　　VACL=VLAN ACL=Security ACL
　　只能在Cat6500上使用
　　CatOS：
　　c6509 (enable) set security acl ip MyCap permit tcp any any eq 443
　　c6509 (enable) set security acl ip MyCap permit tcp any eq 443 any
　　c6509 (enable) set security acl ip MyCap permit ip any any capture
　　//排除所有訪問(wèn)443端口的流量，其他流量都是感興趣的
　　c6509 (enable) commit security acl MyCap
　　//定義一個(gè)security ACL的name
　　c6509 (enable) set security acl map MyCap 100,101
　　//把security ACL應(yīng)用到vlan 100和101上
　　c6509 (enable) set security acl capture-ports 3/1
　　//把capture的流量鏡像到3/1端口上
　　IOS：
　　c6509(config)# Access-list 100 permit ip any any
　　c6509(config)# vlan access-map MyCap 10
　　c6509(config-access-map)# match ip address 100
　　c6509(config-access-map)# action forward capture
　　c6509(config)# vlan filter MyCap vlan-list 200 , 201
　　c6509(config)# interface gi3/1
　　c6509(config-if)# switchport capture

端口鏡像的別名
端口鏡像通常有以下幾種別名：
●Port Mirroring
通常指允許把一個(gè)端口的流量復(fù)制到另外一個(gè)端口，同時(shí)這個(gè)端口不能再傳輸數(shù)據(jù)。
●Monitoring Port
監(jiān)控端口
●Spanning Port
通常指允許把所有端口的流量復(fù)制到另外一個(gè)端口，同時(shí)這個(gè)端口不能再傳輸數(shù)據(jù)。
●SPAN port
在 Cisco 產(chǎn)品中，SPAN 通常指 Switch Port ANalyzer。某些交換機(jī)的 SPAN 端口不支持傳輸數(shù)據(jù)。
●Link Mode port
支持端口鏡像的交換機(jī)和路由
大多數(shù)中檔以上的交換機(jī)都支持端口鏡像功能，部分路由支持端口鏡像但支持程度不同。
端口鏡像配置方法
下面是幾種交換機(jī)和海蜘蛛路由端口鏡像配置方法，主要來(lái)自于 Talisker Security Wizardry (http://www.securitywizardry.com/) 的 Switch Port Mirroring (http://www.securitywizardry.com/switch.htm)
Cisco 交換機(jī)
特點(diǎn)：●Cisco 2900 和 Cisco 3500XL 系列交換機(jī)
Cisco 2950、Cisco 3550 和 Cisco 3750 系列交換機(jī)
Cisco catylist 2550 Cisco catylist 3550 支持2組monitor session en password config term
Switch(config)#monitor session 1 destination interface fast0/4（1為session id，id范圍為1－2）
Switch(config)#monitor session 1 source interface fast0/1 , fast0/2 , fast0/3 (空格，逗號(hào)，空格)
Switch(config)#exit
Switch#copy running-conf startup-conf
Switch#show port-monitor
Cisco 5000 系列交換機(jī)
使用 CatOS 的 Cisco 4000 和 Cisco 6000 系列交換機(jī)
使用 IOS 的 Cisco 4000 和 Cisco 6000 系列交換機(jī)
Extreme 交換機(jī)
特點(diǎn)：
●只能創(chuàng)建多對(duì)一或者一對(duì)一的鏡像端口
●可以監(jiān)聽(tīng) VLAN 的流量
●Extreme 會(huì)鏡像 IN 和 OUT 的流量。這就意味著在鏡像 VLAN 的時(shí)候，會(huì)看到一個(gè)報(bào)文至少兩次— —從 VLAN 的某個(gè)端口出來(lái)，并且進(jìn)入 VLAN 的另一個(gè)端口。
版本高于4.1的 Extreme 交換機(jī)端口鏡像配置方法
{enable | disable} mirroring on port
開(kāi)啟/關(guān)閉端口鏡像功能，并且指定鏡像流量從何端口流出，port-no 只能是一個(gè)端口
configure mirroring { add | delete } { vlan | port }
指定鏡像哪個(gè)或哪些 VLAN 或端口的流量 { vlan | port } 部分可以重復(fù)多次
版本低于 4.1 的 Extreme 交換機(jī)端口鏡像配置方法
enable mirror to port port-no
開(kāi)啟端口鏡像功能，并且指定鏡像流量從何端口流出，port-no 只能是一個(gè)端口
disable mirror
關(guān)閉端口鏡像功能
config mirror add port 鏡像端口 port-no 的流量，如果這個(gè)端口包含多個(gè) VLAN 這些流量都會(huì)被鏡像到目的端口
config mirror add port vlan
鏡像端口 port-no 中指定 VLAN 的流量
config mirror add vlan
鏡像端口中指定 VLAN 的所有端口的流量
config mirror del port
取消對(duì) port-no 的端口鏡像
config mirror del vlan
取消對(duì)指定 VLAN 的端口鏡像
show mirror
顯示端口鏡像情況
Foundry 交換機(jī) 特點(diǎn)：
●可以創(chuàng)建多對(duì)多的端口鏡像
Foundry 交換機(jī)端口鏡像配置方法
在配置模式中（Configuration Mode）：
interface
port monitor { { rx | tx | both}}
確定鏡像流量從哪個(gè)端口流出，修改此端口配置
指定要鏡像哪些端口的哪些流量（rx 指接收的流量，tx 指發(fā)送的流量，both 指雙向流量），{ { rx | tx | both}} 部分可以重復(fù)
Juniper 交換機(jī)
特點(diǎn)：
●每交換機(jī)只能有一個(gè)監(jiān)聽(tīng)端口
●只能鏡像 IPv4 的流量
●只能鏡像發(fā)送（transit only）的流量，不能鏡像接收的流量
Juniper M 系列和 T 系列端口鏡像配置方法
usen@router# show forwarding-options port- mirroring { input {family inet; rate ; run- length ;} output interface {next-hop
;} no-filter-check;} }
選擇將抽樣的流量發(fā)送到哪個(gè)目的端口
user@router# show firewall filter mirror-sample from {...} then {sample; accept;}
定義抽樣過(guò)濾器，選擇感興趣的流量
user@router# show interface unit 0 family inet filter {input mirror-sample;}
選擇將抽樣的過(guò)濾器應(yīng)用到某個(gè)端口
海蜘蛛路由端口鏡像設(shè)置是WEB控制非常方便,在這里我就不詳細(xì)說(shuō)明(防火墻--->端口鏡像)
端口鏡像的風(fēng)險(xiǎn)
加重交換機(jī)負(fù)載，造成設(shè)備不穩(wěn)定
在某些情況下會(huì)丟包，不能保證 100% 鏡像流量。例如，由于多個(gè)源端口鏡像到一個(gè)目的端口，目的端口無(wú)法處理造成丟包