1、1、什么是端口鏡像22、為什么需要端口鏡像23、端口鏡像的別名24、支持端口鏡像的交換機35、各種交換機端口鏡像配置3Cisco CATALYST交換機端口監聽配置3cisco:3550 IOS端口映射的舉例3Catalyst 4000/5000/6000系列交換機端口監聽配置(基于CatOS)43COM交換機端口監聽配置5DELL交換機端口監聽配置5NetCore交換機端口監聽配置7Intel交換機端口監聽配置7Avaya交換機端口監聽配置8港灣交換機的配置8北電交換的設置9華為交換機端口監聽配置9HP交換機端口監聽配置10Extreme 交換機10Foundry 交換機12Juniper

2、交換機121、 什么是端口鏡像把交換機一個或多個端口（VLAN）的數據鏡像到一個或多個端口的方法。端口鏡像（Port Mirroring）可以讓用戶將所有的流量從一個特定的端口復制到一個鏡像端口。如果您的交換機提供端口鏡像功能，則允許管理人員自行設置一個監視管理端口來監視被監視端口的數據。監視到的數據可以通過PC上安裝的網絡分析軟件來查看，通過對數據的分析就可以實時查看被監視端口的情況。端口鏡像選取的設備原則為網絡中連接重要服務器群的交換機或路由器，或是連接到網通的出口路由器。 2、 為什么需要端口鏡像通常為了部署流量分析、IDS等產品需要監聽網絡流量，但是在目前廣泛采用的交換網絡中監聽所有流

3、量有相當大的困難，因此需要通過配置交換機來把一個或多個端口（VLAN）的數據轉發到某一個端口來實現對網絡的監聽。 3、 端口鏡像的別名端口鏡像通常有以下幾種別名： Port Mirroring 通常指允許把一個端口的流量復制到另外一個端口，同時這個端口不能再傳輸數據。 Monitoring Port 監控端口 Spanning Port 通常指允許把所有端口的流量復制到另外一個端口，同時這個端口不能再傳輸數據。 SPAN port 在 Cisco 產品中，SPAN 通常指 Switch Port ANalyzer。某些交換機的 SPAN 端口不支持傳輸數據。 Link Mode port 4、

4、 支持端口鏡像的交換機大多數中檔以上的交換機都支持端口鏡像功能，但支持程度不同。5、 各種交換機端口鏡像配置大多數三層交換機和部份兩層交換機，具備端口鏡像功能，不同的交換機或不同的型號，鏡像配置方法的有些區別，下面我們提供常見交換機的鏡像配置方法：Cisco CATALYST交換機端口監聽配置CISCO CATALYST交換機分為兩種，在CATALYST家族中稱監聽端口為分析端口(analysis port)。1、Catalyst 2900XL/3500XL/2950系列交換機端口監聽配置(基于CLI)以下命令配置端口監聽：port monitor例如，F0/1和F0/2、F0/5同屬VLAN

5、1，F0/1監聽F0/2、F0/5端口：interface FastEthernet0/1port monitor FastEthernet0/2port monitor FastEthernet0/5port monitor VLAN1cisco:3550 IOS端口映射的舉例monitor session 1 source interface Fa0/32 both以上命令的意思是：在監控組，組"1"的設置中，將Fa0/32的流量作為"源數據"。命令的后面還有選項分別是rx,tx,both。rx意思是僅將該接口接收的流量作為"源數據&quo

6、t;。tx的意思是僅將該接口發送的流量作為"源數據"。both的意思是將該接收進出的流量都作為"源數據"。其中f0/32口是上行到出口路由器的口，所以這里設置此口監控。這樣設置的問題是，公司內部PC-PC之間的流量是監控不到的。而cisco設備又只能設置一個"both"狀態的口。所以這個是相對比較好的設置方案。monitor session 1 destination interface Fa0/5以上命令的意思是：在監控組，組"1"的設置中，將Fa0/5作為監控的目的口，也就是監控服務器所插的口。設置完成后，該口

7、將接收到監控組組"1""源接口"，在這里也就是Fa0/32的數據。注意cisco設備一旦設置了監控后，監控的目的口將不會再接收三層數據。通常的理解就是："會斷網"。Catalyst 4000/5000/6000系列交換機端口監聽配置(基于CatOS)支持2組鏡像EnShow module (確認端口所在的模塊)Set span source(mod/port) destination(mod/port) in|out|both inpkts enableWrite tern allShow span注：多個source：mod/por

8、t,mod/port-mod/port 連續端口用橫桿“”，非連續端口用逗號“，”set span enable 允許鏡像set span disable 禁止鏡像set span source destination in|out|both inpkts enable create (create用于建立第二組鏡像)以下命令配置端口監聽：set span例如，模塊6中端口1和端口2同屬VLAN1，端口3在VLAN2，端口4和5在VLAN2，端口2監聽端口1和3、4、5，set span 6/1,6/3-5 6/23COM交換機端口監聽配置在3COM交換機中，端口監聽被稱為“Roving An

9、alysis”。 網絡流量被監聽的端口稱作“監聽口”（Monitor Port），連接監聽設備的端口稱作“分析口”（Analyzer Port）。以下命令配置端口監聽：指定分析口feature rovingAnalysis add，或縮寫 f r a例如：Select menu option: feature rovingAn alysis addSelect analysis slot: 1Select analysis port: 2指定監聽口并啟動端口監聽feature rovingAnalysis start，或縮寫 f r sta例如：Select menu option: feat

10、ure rovingAn alysis startSelect slot to monitor (1-12): 1Select port to monitor&nb sp; (1-8): 3停止端口監聽feature rovingAnalysis stop，或縮寫 f r stoDELL交換機端口監聽配置在Dell交換機中，端口監聽被稱為“端口鏡像”（Port Mirroring）。使用交換機的管理界面，參數如下：Destination Port（目的地端口）：定義端口通信要鏡像到的端口號；Source Port（源端口）：定義被鏡像端口的端口號。Add（添加）：添加端口鏡像操作。Ty

11、pe（類型）：指定要鏡像的端口通信類型。 可能的字段值包括：“RX”-表示鏡像進入網絡的數據；“TX”-表示鏡像流出網絡的數據；Both（）-表示鏡像所有數據。Status（狀態）：表示端口的狀態。 可能的字段值包括： “Active”-表示端口被啟用；“Not Active”-表示端口被禁用。Remove（刪除）：刪除端口鏡像會話。 可能的字段值包括： “已選取”-刪除端口鏡像會話；“未選取”-保留端口鏡像會話。具體設置：1、在Port Mirroring對話框中的Destination Port中選中目的端口（鏡像端口），再單擊Add按鈕；2、在系統將打開“Add Source Port”

12、（添加源端口）頁面中，定義“Source Port”（源端口）和“Type”（類型）字段，并單擊“Apply Changes”（應用更改）， 使系統接收更改。（注：如果需要從端口鏡像會話刪除副本端口，請打開“Port Mirroring”（端口鏡像）頁面，選取“Remove”（刪除）復選框，再單擊“Apply Changes”（應用更改）。 系統將刪除端口鏡像會話，并更新設備。）以下命令配置端口監聽：指定分析口 CLI 命令實例：Console(config)# interface ethernet 1/e1Console(config-if)# port monitor 1/e8Consol

13、e# show ports monitorSource port Destination Port Type Status- - - -1/e1 1/e8 RX, TX ActiveNetCore交換機端口監聽配置NetCore交換機中，端口監聽被稱為“端口鏡像”（Port Mirroring）。交換機提供四種監視狀態：Off關閉Mirror功能Rx捕獲被監視端口的接收數據Tx捕獲被監視端口的發送數據Both捕獲被監視端口的接收和發送的數據進入NetCore的超級終端，在主菜單中輸入“5”進入端口鏡像設置界面，輸入“1”設置端口鏡像狀態。如設置端口1為鏡像端口，端口8為被鏡像端口，捕獲該端口的

14、接收和發送數據。配置命令如下：1. 選擇配置的選項 (1,off, 2.Rx, 3.Tx, 4.Both) ：42. 選擇捕獲端口：13. 選擇被鏡像端口：8按Esc鍵退回鏡像設置界面，設置成功。Intel交換機端口監聽配置Intel 稱端口監聽為“Mirror Ports”。 網絡流量被監聽的端口稱作“源端口”（Source Port），連接監聽設備的端口稱作“鏡像口”（Mirror Port）。配置端口監聽步驟如下： 在navigation菜單，點擊Statistics下的Mirror Ports，彈出Mirror Ports信息。 在Configure Source 列中點擊端口來選擇源

15、端口， 彈出Mirror Ports Configuration。 進行源端口設置： 源端口是鏡像流量的來源口，鏡像口是接收來自源端口流量的端口。 點擊Apply確定可以選擇三種監聽的方式：1連續（Always）：鏡像全部流量。2周期（Periodic）：在一定周期內 鏡像全部流量。鏡像周期在Sampling Interval configuration中設置。3禁止（Disabled）：關閉流量鏡像。Avaya交換機端口監聽配置在Avaya交換機用戶手冊中，端口監聽被稱為“端口鏡像”（Port Mirror）。以下命令配置端口監聽：set|clear Port Mirror設置端口偵聽： s

16、et port mirror source-port mirror-portsampling always max-packets -sec piggyback-port 禁止端口監 聽：clear port mirror 命令中，mod-port-range 指定端口的范圍；mod-port-spec 指定特定的端口；piggyback-port 指定雙向鏡像的端口；sampling 指定鏡像周期；max-packets-sec 僅在sampling設置為periodic時使用，指定監聽口每秒最多的數據報數量。港灣交換機的配置conf mirr 1 to 24 (設置鏡像端口24）conf

17、mirr 1 add port 21,25 in (需要鏡像的端口入流量）conf mirr 1 add port 21,25 eg (需要鏡像的端口出流量）conf mirr 1 dis (消除鏡像）北電交換的設置Passport8600的做端口鏡像的命令(在86的cli接口下做)實際上這些工作都可以在Java Device Manager下面做(一個非常直觀的圖形化配置工具)1.第一步config diag mirror-by-port enable true打開端口鏡像功能2.config diag mirror-by-port 1 create in-port 3/46 out 3/2

18、這句話的意思就是創建一個端口鏡像條目1(1只是一個id用來區別不同條目) 被鏡像的端口是3/46,3/2就是用于接Sniffer的端口3.config diag mirror-by-port 1 mode both這句話意思是被鏡像的端口的雙向流量都要被Monitor用完之后要config diag mirror-by-port enable false華為交換機端口監聽配置華為6506R：如：mirroring-group 1 inband gigabitethernet 1/0/0 mirroring to gigabitethernet 1/0/1把該交換機的1/0/0端口，鏡像到1/0

19、/1華為s8512下面為將4/1的出流量和入流量全部境像到4/2上：Mirroring-group 1 outbound 4/1 mirrored-to 4/2Mirroring-group 2 inbound 4/1 mirrored-to 4/2華為VRP S3526 ver3.1華為交換機用戶手冊中，端口監聽被稱為“端口鏡像”（Port Mirroring）。使用Huawei Lanswitch View管理系統添加一個鏡像端口：選擇Device Setup或Stack Setup。點擊Port Mirroring。點擊Add按鈕。對于堆疊，點擊Switch并從列表選擇一個交換機。點擊R

20、eflect from并選擇流量將被鏡像的端口。點擊Reflect to并選上面所選擇的端口上的HP交換機端口監聽配置全局模式（conf ter）：mirror-port a6 (a6為接流量分析軟件的端口)int a1-a3,a5,vlan20,trk2,mesh monitor (設置a1,a2,a3,a5,trunk2 mesh為被境像的端口，即源端口)show monitor （顯示境像設置結果） ctrl+zwrite memory （保存）Extreme 交換機 特點： 只能創建多對一或者一對一的鏡像端口 可以監聽 VLAN 的流量 Extreme 會鏡像 IN 和 OUT 的流量

21、。這就意味著在鏡像 VLAN 的時候，會看到一個報文至少兩次從 VLAN 的某個端口出來，并且進入 VLAN 的另一個端口。 版本高于4.1的 Extreme 交換機端口鏡像配置方法 enable | disable mirroring on port 開啟/關閉端口鏡像功能，并且指定鏡像流量從何端口流出，port-no 只能是一個端口 configure mirroring add | delete vlan | port 指定鏡像哪個或哪些 VLAN 或端口的流量 vlan | port 部分可以重復多次。版本低于 4.1 的 Extreme 交換機端口鏡像配置方法 enable mirr

22、or to port port-no 開啟端口鏡像功能，并且指定鏡像流量從何端口流出，port-no 只能是一個端口 disable mirror 關閉端口鏡像功能 config mirror add port 鏡像端口 port-no 的流量，如果這個端口包含多個 VLAN 這些流量都會被鏡像到目的端口 config mirror add port vlan 鏡像端口 port-no 中指定 VLAN 的流量 config mirror add vlan 鏡像端口中指定 VLAN 的所有端口的流量 config mirror del port 取消對 port-no 的端口鏡像 config mirror del vlan 取消對指定 VLAN 的端口鏡像 show mirror