2017年08月25日
對(duì)于中小企業(yè)的網(wǎng)絡(luò)管理員來說管理企業(yè)內(nèi)網(wǎng)數(shù)據(jù)流量的監(jiān)控是非常重要的,一方面我們可以通過分析數(shù)據(jù)流量掌握企業(yè)內(nèi)網(wǎng)的各個(gè)網(wǎng)絡(luò)應(yīng)用,另一方面在網(wǎng)絡(luò)出現(xiàn)故障后可以在第一時(shí)間通過流量分析找出問題所在,同時(shí)如果要安裝網(wǎng)路崗對(duì)局域網(wǎng)內(nèi)的電腦進(jìn)行全面的上網(wǎng)行為管理監(jiān)控的話,那也需要有端口鏡像交換機(jī)的支持才可以的。今天就我們就來一起來學(xué)習(xí)了解下如何通過配置端口鏡像實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)數(shù)據(jù)的監(jiān)控與統(tǒng)計(jì)。
一.為什么要配置端口鏡像:
要想實(shí)現(xiàn)針對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行監(jiān)控,我們當(dāng)然直接可以將sniffer工具放置在網(wǎng)絡(luò)出口處針對(duì)所有流出數(shù)據(jù)包進(jìn)行監(jiān)控,不過這樣實(shí)施最大的問題就是平白無故增加了一個(gè)中間設(shè)備,當(dāng)設(shè)備損壞或出現(xiàn)故障后網(wǎng)絡(luò)傳輸會(huì)中斷,從而影響了員工正常網(wǎng)絡(luò)訪問。即便設(shè)備沒有問題也會(huì)因?yàn)樵黾庸?jié)點(diǎn)帶來速度緩慢的問題,這樣也必然影響企業(yè)網(wǎng)絡(luò)的整體運(yùn)行效率。
為了解決這種直接拿真正出口作為監(jiān)控端口的麻煩,資深的網(wǎng)絡(luò)管理員都采用端口鏡像的方法來平白無故創(chuàng)造一個(gè)與真實(shí)出口一模一樣的端口,所有發(fā)放到內(nèi)網(wǎng)各個(gè)接口或者傳出端口的數(shù)據(jù)包都會(huì)重復(fù)復(fù)制后發(fā)送到這個(gè)鏡像端口,這樣我們就可以同時(shí)實(shí)現(xiàn)不影響網(wǎng)絡(luò)傳輸性能的同時(shí)對(duì)數(shù)據(jù)流量進(jìn)行監(jiān)控了。
實(shí)施端口鏡像后,正常的企業(yè)員工數(shù)據(jù)流量會(huì)以正常報(bào)文的方式傳輸?shù)酵獠烤W(wǎng)絡(luò),而同時(shí)交換機(jī),路由器會(huì)將正常報(bào)文原原本本的復(fù)制一份為鏡像報(bào)文,并且將這個(gè)復(fù)制后的鏡像報(bào)文傳輸?shù)界R像端口,這樣我們?cè)偻ㄟ^網(wǎng)絡(luò)分析設(shè)備或sniffer這樣的網(wǎng)絡(luò)抓包工具就可以實(shí)現(xiàn)對(duì)整個(gè)網(wǎng)絡(luò)所有數(shù)據(jù)包的監(jiān)視控制與統(tǒng)計(jì)了。
那么到底我們?cè)撊绾吾槍?duì)路由交換設(shè)備部署其端口鏡像呢?一般來說各個(gè)設(shè)備的部署方法各不相同,例如命令行配置下的CISCO與H3C在指令方面存在不同,而還有部分設(shè)備不需要一條條指令,全部操作直接在圖形化界面完成即可。下面我們就來分別進(jìn)行介紹。
二.H3C路由交換設(shè)備上配置端口鏡像:
首先我們來了解下如何在命令提示界面下針對(duì)端口鏡像進(jìn)行配置,我們選擇的是H3C公司出品的路由交換設(shè)備,當(dāng)然CISCO設(shè)備配置步驟類似,只是具體指令有所區(qū)別而已。
第一步:首先我們?cè)L問路由交換設(shè)備的管理地址,通過正確的帳戶名稱與密碼進(jìn)入,使用super命令進(jìn)入高級(jí)模式并通過sys進(jìn)入配置模式。
第二步:我們使用如下命令來添加端口鏡像。
[Quidway] mirroring-group 1 inbound Ethernet 3/1/1 mirrored-to Ethernet 3/1/48,這個(gè)指令的意思就是建立一個(gè)鏡像對(duì)應(yīng)群組關(guān)系,我們命令為1,當(dāng)然同一個(gè)路由交換設(shè)備他的不同mirroring-group是通過這個(gè)序號(hào)來區(qū)別的,接下來的inbound表示是傳入方向的數(shù)據(jù)進(jìn)行鏡像,之后則是把Ethernet 3/1/48端口設(shè)置為Ethernet 3/1/1接口的鏡像,通過監(jiān)控Ethernet 3/1/48接口實(shí)現(xiàn)對(duì)流入Ethernet 3/1/1接口數(shù)據(jù)包的監(jiān)視與統(tǒng)計(jì)。
第三步:最后再通過SAVE或COPY run start等命令保存配置更改后就可以實(shí)現(xiàn)端口鏡像功能了。我們把網(wǎng)絡(luò)分析設(shè)備或sniffer工具連接到Ethernet 3/1/48接口來分析流入Ethernet 3/1/1接口的網(wǎng)絡(luò)數(shù)據(jù)包。
小提示:
當(dāng)然在我們配置端口鏡像時(shí)是可以實(shí)現(xiàn)將多個(gè)端口對(duì)應(yīng)一個(gè)鏡像的,我們可以通過“接口1 接口2 mirrored-to 鏡像端口”命令來實(shí)現(xiàn)將多個(gè)端口對(duì)應(yīng)一個(gè)鏡像接口,另外還可以通過“接口1 to 接口8 mirrored-to 鏡像端口”來實(shí)現(xiàn)將1到8這幾個(gè)端口對(duì)應(yīng)一個(gè)鏡像接口的功能。在使用網(wǎng)路崗時(shí),也需要交換機(jī)配置鏡像后才可以正常監(jiān)控(注:如果是非旁路監(jiān)控的話,網(wǎng)路崗不需要交換機(jī)配置鏡像端口的),我們建議是配置一對(duì)一的端口鏡像,這樣配置效果最好,把交換機(jī)上總出口的數(shù)據(jù)鏡像到網(wǎng)路崗所連的端口,這樣能監(jiān)控到所有數(shù)據(jù),而且對(duì)交換機(jī)的性能影響不大,多對(duì)一的端口鏡像相對(duì)一對(duì)一的鏡像比較耗交換機(jī)的資源。
三.圖形化界面下鏡像端口的設(shè)置:
當(dāng)然除了CISCO與H3C公司的產(chǎn)品外,我們還經(jīng)常會(huì)碰到不少中低端路由交換產(chǎn)品,他們同樣具備設(shè)置鏡像端口的功能,而且這類設(shè)備在界面顯示方面更加人性化,配置都可以通過圖形選擇來完成。這里不再一一舉例。
四,總結(jié):
鏡像端口功能幫助我們這些企業(yè)網(wǎng)絡(luò)管理員更好的掌握企業(yè)內(nèi)網(wǎng)運(yùn)行狀態(tài),提高了排查故障的速度,同時(shí)可以在網(wǎng)絡(luò)出現(xiàn)問題前分析數(shù)據(jù)包實(shí)現(xiàn)防患于未燃的目的。通過網(wǎng)絡(luò)協(xié)議分析設(shè)備和sniffer等軟件我們可以將數(shù)據(jù)包信息保存成文件來妥善保管,為日后調(diào)查閱覽提供數(shù)據(jù)支持。
五,鏡像交換機(jī)品牌
主流的可管理的交換機(jī)大多數(shù)都具備端口鏡像功能,因?yàn)槎丝阽R像功能屬于交換機(jī)的基本功能了,大多數(shù)企業(yè)可能在監(jiān)控管理網(wǎng)絡(luò),分析網(wǎng)絡(luò)數(shù)據(jù)時(shí)都會(huì)用到交換機(jī)的端口鏡像功能,所以說中小企業(yè)在部署網(wǎng)絡(luò)時(shí),主交換機(jī)應(yīng)當(dāng)選擇好一些的可網(wǎng)管的交換機(jī),這樣當(dāng)網(wǎng)絡(luò)出問題時(shí)或是要監(jiān)控管理網(wǎng)絡(luò)時(shí),都可以通過配置交換機(jī)的端口鏡像來實(shí)現(xiàn)。