1、于激活狀態時，任何發送到該端口且與SPAN任務無關的數據包將會被丟棄。于激活狀態時，任何發送到該端口且與SPAN任務無關的數據包將會被丟棄。交換機端口鏡像及其工作原理VLAN）的數據鏡像到一個或多個端端口鏡像（portMirroring）把交換機一個或多個端口（口的方法。在一些交換機中，我們可以通過對交換機的配置來實現將某個端口上的數據包，拷貝一份到另外一個端口上，這個過程就是“端口鏡像”，如下圖：于激活狀態時，任何發送到該端口且與SPAN任務無關的數據包將會被丟棄。于激活狀態時，任何發送到該端口且與SPAN任務無關的數據包將會被丟棄。于激活狀態時，任何發送到該端口且與SPAN任務無關的數據包

2、將會被丟棄。于激活狀態時，任何發送到該端口且與SPAN任務無關的數據包將會被丟棄。端口1為鏡像端口，端口2為被鏡像端口；因為通過端口1可以看到端口2的流量，所以，我們也稱端口1為監控端口，而端口2為被監控端口。市面上，絕大多數交換機（如cisco產品）的某個口被設置為鏡像端口后，接到該端口的主機將無法發送數據包到網內其他機器，變成了“單向接受”模式；這類情況，并不利于監控，因為系統無發發送封包到客戶機，而導致無法對客戶機進行控制；不過“網路崗”針對此類情況有專門的解決手段，如碰到此類情況，用戶可以咨詢我公司技術人員。不過仍然有部分交換機除外，比如：TPLink-SF2005或TP-Link24

3、28web,因為其價格便宜，功能實用，因此我們一般建議客戶購買這兩款交換機進行監控。注：如果監控的電腦超于激活狀態時，任何發送到該端口且與SPAN任務無關的數據包將會被丟棄。于激活狀態時，任何發送到該端口且與SPAN任務無關的數據包將會被丟棄。于激活狀態時，任何發送到該端口且與SPAN任務無關的數據包將會被丟棄。于激活狀態時，任何發送到該端口且與SPAN任務無關的數據包將會被丟棄。過了40臺建議用TP-Link2428web,這款交換機自帶網管功能，性能比TPLink-SF2005高，而于激活狀態時，任何發送到該端口且與SPAN任務無關的數據包將會被丟棄。于激活狀態時，任何發送到該端口且與SP

4、AN任務無關的數據包將會被丟棄。且還有兩個千M電口可以做為監控使用。如果使用其它品牌的交換機只要支持端口鏡像功能于激活狀態時，任何發送到該端口且與SPAN任務無關的數據包將會被丟棄。于激活狀態時，任何發送到該端口且與SPAN任務無關的數據包將會被丟棄。的話也同樣可以達到上網監控，qq和msn聊天監控，郵件監控及抓包分析的效果。端口鏡像的目的于激活狀態時，任何發送到該端口且與SPAN任務無關的數據包將會被丟棄。于激活狀態時，任何發送到該端口且與SPAN任務無關的數據包將會被丟棄。于激活狀態時，任何發送到該端口且與SPAN任務無關的數據包將會被丟棄。于激活狀態時，任何發送到該端口且與SPAN任務無

5、關的數據包將會被丟棄。由于部署IDS產品需要監聽網絡流量（網絡分析儀同樣也需要），但是在目前廣泛采用于激活狀態時，任何發送到該端口且與SPAN任務無關的數據包將會被丟棄。于激活狀態時，任何發送到該端口且與SPAN任務無關的數據包將會被丟棄。的交換網絡中監聽所有流量有相當大的困難，因此需要通過配置交換機來把一個或多個端口于激活狀態時，任何發送到該端口且與SPAN任務無關的數據包將會被丟棄。于激活狀態時，任何發送到該端口且與SPAN任務無關的數據包將會被丟棄。（VLAN）的數據轉發到某一個端口來實現對網絡的監聽。端口鏡像的功能監視到進出網絡的所有數據包，供安裝了監控軟件的管理服務器抓取數據供此功能

6、把數據發往公安部門審查。而企業出于信息安全、保護公司機密的需要，,如網吧需提也迫切需要網絡中有一個端口能提供這種實時監控功能。業內部的網絡數據進行監控管理，在網絡出現故障的時候，通過配置端口鏡像，安裝網路崗監控上網行為管理軟件就可以實現對整個網絡的監控了。在企業中用端口鏡像功能，可以做到很好地故障定位。可以很好的對企一般（備注：交換機把某一個端口接收或發送的數據幀完全相同的復制給另一個端口；其中被復制的端口稱為鏡像源端口，復制的端口稱為鏡像目的端口。）端口鏡像通常有以下幾種別名：PortMirroring通常指允許把一個端口的流量復制到另外一個端口，同時這個端口不能再傳輸數據。Monitori

7、ngPort監控端口SpanningPort通常指允許把所有端口的流量復制到另外一個端口，同時這個端口不能再傳輸數據。SPANport在Cisco產品中，SPAN通常指SwitchPortANalyzer。某些交換機的SPAN端口不支持傳輸數據。LinkModeport這樣，這些流量就可以被一個特殊的設備監控。它對發現和修理故障有很大的幫助。端口鏡像工作原理：SPAN（SwitchedPortAnalyzer）的作用主要是為了給某種網絡分析器提供網絡數據流。它既可以實現一個VLAN中若干個源端口向一個監控端口鏡像數據，也可以從若干個VLAN向一個臨控端口鏡像數據。源端口的5號端口上流轉的所有數

8、據流均被鏡像至10號監控端口，而數據分析設備通過監控端口接收了所有來自5號端口的數據流。值得注意的是，源端口和鏡像端口必須位于同一臺交換機上（但也有例外，如Catalyst6000系列交換機）；而于激活狀態時，任何發送到該端口且與SPAN任務無關的數據包將會被丟棄。于激活狀態時，任何發送到該端口且與SPAN任務無關的數據包將會被丟棄。且SPAN并不會影響源端口的數據交換，它只是將源端口發送或接收的數據包副本發送到監控端口。在SPAN任務過程中，用戶可以通過參數控制，來指明需要監控的數據流種類；還可以將一個或多個端、口、一個或多個VLAN作為源端口，并將從這些端口中發送或接收的單向或雙向數據流傳

9、送至監控端口。在Catalyst4006交換機中，最多可以配置6個單向的SPAN任務：2個輸入數據流監控、4個輸出數據流監控。一個雙向SPAN任務實際上包含一個單向輸入和一個單向輸出。而且不僅僅二層交換端口可作為源端口，Catalyst4006上的三層路由端口也可設置為源端口。SPAN任務不會影響交換機的正常工作。當一個SPAN任務被建立后，根據交換機所處的于激活狀態時，任何發送到該端口且與SPAN任務無關的數據包將會被丟棄。于激活狀態時，任何發送到該端口且與SPAN任務無關的數據包將會被丟棄。“showmonitorsession命令可顯示SPAN的當前狀態。如果遇到系統重新啟動的情況，在目

10、的端口初始化結束之前，SPAN任務將處于非激活狀態。目的端口（監控端口）可以是交換機上的任意一個交換或路由端口。當一個目的端口處不同的狀態或操作，任務會處于激活或非激活狀態，同時系統會將其記入日志。通過Catalyst29503550不支持portmonitor一個目的端口只能處于一個為源端口，同時冗余鏈路端口也不能成為SPAN任務中。當一個端口被配制成目的端口后就不能再成Trunk端口被配置成為SPAN的目的端口，則其SPAN的目的端口。特別需要指出的是，如果一個Trunk功能也將自動停止。源端口又可以稱作被監控端口。在一個SPAN任務中，可以有一個或多個源端口，而且可以SPAN任務中，根據

11、用戶需要設置為輸入方向、輸出方向或雙向，但無論哪種情況，在一個Catalyst29503550不支持portmonitor所有源端口的被監控方向都必須是一致的。在Catalyst4006交換機上的VLAN也可以整體Catalyst29503550不支持portmonitor設置為源端口，這意味著被指定VLAN中的所有端口均為當前SPAN任務中的源端口。Catalyst29503550不支持portmonitorTrunk端口可以單獨設為源端口，也可以與非Trunk端口一起被設置為源端口，但要注Catalyst29503550不支持portmonitor意的是，在監控端口不會識別來自Trunk端

12、口針對不同VLAN的數據封裝格式，換句話說，Catalyst29503550不支持portmonitorVLAN。在監控端口收到的數據包將無法辨明是來自哪個SPAN數據流主要分為三類：(1)輸入數據流(IngressSPAN)：指被源端口接收進來，其數據副本發送至監控端口的數據流(2)輸出數據流(EgressSPAN)：指從源端口發送出去，其數據副本發送至監控端口的數據流(3)00000(BothSPAN)：即為以上兩種的綜合。基于VLAN的SPAN是以一個或幾個VLAN作為監控對象，其中的所有端口均為源端口，與基于端口的SPAN類似，基于VLAN的SPAN也分為輸入數據流、輸出數據流和000

13、00監控三種類型。在配置基于VLAN的SPAN任務過程中，應注意幾點：Trunk端口可以包含在源端口中DD00SPAN任務，如果在源VLAN中的兩個源端口之間有00交換，則每一個數0包將有兩個副本被轉發至鏡像端口00000VLAN的SPAN任務來說，如果某個源VLAN被刪除掉，則該VLAN也將從源VLAN列表中刪除處于非激活狀態的VLAN無法參與SPAN任務；對于一個設置為輸入000監控的源VLAN來說，來自其他VLAN的路由信息00包不會被鏡像；此外，從設置為輸出000監控的VLAN0其他VLAN發送出的路由信息00包也同樣不會被鏡像。DODD,基于VLAN的SPAN任務只對進出二層交換端口

14、的00包進行鏡像，而不鏡像VLAN之間的路由信息。所有網間傳輸的非路由00包，包括組播包和BPDU(橋接協議00單元)0,0000在一些SPAN任務的配置下，會出現同一個SPAN源端口000的多個副本被發送到SPAN用SPAN任務進行鏡像。監控端口的情況。正像前面提到的那樣，在一個雙向SPAN任務中，假設al和a2為源端口，dl為目的端口，如果al與a2之間有數據包傳輸，則在al傳向a2的數據包將會被傳送到dl兩次，反之亦然。鏡像端口建立方法CiscoCATALYST交換機端口監聽配置CiscoCATALYST交換機分為兩種，在CATALYST家族中稱偵聽端口為分析端口（analysispor

15、t）。l、Catalyst2900XL/3500XL/2950系列交換機端口監聽配置（基于CLI）以下命令配置端口監聽：portmonitor例如，FO/1和FO/2、F0/3同屬VLAN1，FO/1監聽FO/2、F0/3端口：interfaceFastEthernet0/lportmonitorFastEthernet0/2portmonitorFastEthernet0/3portmonitorVLANl2、Catalyst4000，5000and6000系列交換機端口監聽配置（基于IOS）以下命令配置端口監聽：setspan例如，模塊1中端口1和端口2同屬VLAN1，端口3在VLAN2,

16、端口4和5在VLAN2,端口2監聽端口1和3、4、5，setspanl/l，l/3-5l/22950/3550/3750格式如下：#monitorsessionnumbersourceinterfacemod_number/port_numberboth#monitorsessionnumberdestinationinterfacemod_mnumber/port_number/rx-指明是進端口得流量，tx-出端口得流量both進出得流量forexample:第一條鏡像，將第一模塊中的源端口為1TO的鏡像到端口12上面；#monitorsessionlsourceinterfacel/l-

17、l0both#monitorsession1destinationinterface1/12第二條鏡像，將第二模塊中的源端口為13-20的鏡像到端口24上面；#monitorsession2sourceinterface2/13-20both#monitorsession2destinationinterface2/24當有多條鏡像、多個模塊時改變其中的參數即可。C2950#configureterminalC2950(config)#C2950(config)#monitorsession1sourceinterfacefastEthernet0/2!-Interfacefa0/2iscon

18、figuredassourceport.C2950(config)#monitorsession1destinationinterfacefastEthernet0/3!-Interfacefa0/3isconfiguredasdestinationport.華為交換機端口鏡像配置簡單介紹環境配置參數PCI接在交換機E0/1端口，IP地址1.1.1.1/24PC2接在交換機E0/2端口，IP地址2.2.2.2/24E0/24為交換機上行端口Server接在交換機E0/8端口，該端口作為鏡像端口組網需求通過交換機端口鏡像的功能使用server對兩臺pc的業務報文進行監控。按照鏡像的不同方式進行配

19、置：基于端口的鏡像基于流的鏡像二、數據配置步驟端口鏡像的數據流程基于端口的鏡像是把被鏡像端口的進出數據報文完全拷貝一份到鏡像端口，這樣來進行流量觀測或者故障定位。【3026等交換機鏡像】S2008/S2016/S2026/S2403H/S3026等交換機支持的都是基于端口的鏡像，有兩種方法：方法一配置鏡像(觀測)端口SwitchAmonitor-porte0/8配置被鏡像端口SwitchAportmirrorEthernet0/1toEthernet0/2方法二可以一次性定義鏡像和被鏡像端口SwitchAportmirrorEthernet0/1toEthernet0/2observing-p

20、ortEthernet0/8【8016交換機端口鏡像配置】假設8016交換機鏡像端口為E1/0/15,被鏡像端口為E1/0/0,設置端口1/0/15為端口鏡像的觀測端口。SwitchAportmonitorethernet1/0/15設置端口1/0/0為被鏡像端口，對其輸入輸出數據都進行鏡像。SwitchAportmirroringethernet1/0/0bothethernet1/0/15也可以通過兩個不同的端口，對輸入和輸出的數據分別鏡像設置E1/0/150E2/0/0為鏡像（觀測）端口SwitchAportmonitorethernet1/0/15設置端口1/0/0為被鏡像端口，分別使

21、用E1/0/15OE2/0/0對輸入和輸出數據進行鏡像。SwitchAportmirroringgigabitethernet1/0/0ingressethernet1/0/15SwitchAportmirroringgigabitethernet1/0/0egressethernet2/0/0基于流鏡像的數據流程基于流鏡像的交換機針對某些流進行鏡像，每個連接都有兩個方向的數據流，對于交換機來說這兩個數據流是要分開鏡像的。【3500/3026E/3026F/3050】基于三層流的鏡像定義一條擴展訪問控制列表SwitchAaclnum100定義一條規則報文源地址為1.1.1.1/32去往所有目的地址SwitchA-acl-adv-101rule0permitipsource1.1.1.10destinationany定義一條規則報文源地址為所有源地址目的地址為1.1.1.1/32SwitchA-acl-adv-101rule1permitipsourceanydestination1.1.1.104.00000ACL規則的報文鏡像到E0/8端口SwitchAmirrored-toip-group100interfacee0/8基于二層流的鏡像1.定義一個ACLSwitchAaclnum2002.定義一個規則從E0/1發送至其它所有端口的數據包SwitchArule0pe