为什么需要端口镜像?通常为了部署IDS产品需要监听网络流量

一种将数据从交换机的一个或多个端口 (VLAN) 镜像到一个或多个端口的方法。

为什么需要端口镜像？

通常为了部署IDS产品，需要监控网络流量（还需要网络分析仪）。 然而，在当前广泛使用的交换网络中监控所有流量是相当困难的。 因此，有必要对交换机进行配置，将一个或多个端口（VLAN）的数据转发到某一端口来监控网络。

端口镜像的别名

端口镜像通常有以下别名：

●港口

通常是指允许一个端口的流量复制到另一个端口，而这个端口不能再传输数据。

● 端口

监控端口

● 端口

通常意味着允许将所有端口流量复制到另一个端口，并且该端口不能再传输数据。

●SPAN端口

在Cisco产品中，SPAN通常指的是端口。 部分交换机的SPAN端口不支持数据传输。

●链接模式端口

支持端口镜像的交换机

大多数中端及以上交换机都支持端口镜像，但支持程度各不相同。

端口镜像配置方法

以下是交换机端口镜像的几种配置方法，主要来自()Port()

思科交换机

特征：

●

Cisco 2900 和 Cisco 系列交换机

●

思科 2950、思科 3550 和思科 3750 系列交换机

Cisco 2550 Cisco 3550 支持 2 组 en terms ()# 1 fast0/4（1 为 id，id 范围为 1-2） ()# 1 fast0/1, fast0/2, fast0/3（空格、逗号、空格) ()#exit #copy -conf -conf #显示端口-

思科 5000 系列交换机

具有 CatOS 的 Cisco 4000 和 Cisco 6000 系列交换机

使用 IOS 的 Cisco 4000 和 Cisco 6000 系列交换机

转变

特征：

●只能创建多对一或一对一的镜像端口

●可监控VLAN流量

● IN 和OUT 流量将被镜像。 这意味着在镜像 VLAN 时，您将至少看到一个数据包两次 - 从 VLAN 的一个端口出来并进入 VLAN 的另一个端口。

4.1以上版本交换机端口镜像配置方法

{| } 在端口上

打开/关闭端口镜像功能，并指定镜像流量流出的端口。 port-no 只能是一个端口。

{ 添加 | } { VLAN | 港口 }

{ VLAN | port } 部分可以重复多次以指定要镜像的 VLAN 或端口。

4.1之前版本交换机端口镜像配置方法

到端口 port-no

启用端口镜像功能，并指定镜像流量流出的端口。 port-no 只能是一个端口。

关闭端口镜像功能

添加端口

镜像端口port-no的流量。 如果该端口包含多个VLAN，这些流量将被镜像到目的端口。

添加端口vlan

镜像端口port-no指定VLAN的流量

添加VLAN

镜像端口中指定VLAN所有端口的流量

德尔波特

取消 port-no 的端口镜像

德尔夫兰

取消指定VLAN的端口镜像

展示

显示端口镜像状态

转变

特征：

●可创建多对多端口镜像

交换机端口镜像配置方法

在配置模式（Mode）下：

端口 { { rx | TX | 两个都}}

确定镜像流量从哪个端口流出，并修改该端口配置

指定要镜像哪些端口的哪些流量（rx指接收流量，tx指发送流量，both指双向流量）， TX | 两个}}部分可以重复

转变

特征：

●每台交换机只能有一个监听端口

●只能镜像IPv4流量

●只能镜像发送的流量（only），不能镜像接收的流量

M系列和T系列端口镜像配置方法

usen@# show - port- { 输入 { inet; 速度 ; 运行- ;} {下一跳

;} 否--检查;} }

选择将采样流量发送到的目标端口

user@# show - 从 {...} 然后 {; ;}

定义采样过滤器以选择感兴趣的流量

user@# 显示单元 0 inet {输入 -;}

选择要应用于端口的采样过滤器

端口镜像的风险

增加开关负载，导致设备不稳定

在某些情况下，会出现丢包的情况，无法保证100%镜像流量。例如，由于多个源端口镜像到一个目的端口，目的端口无法处理，导致丢包。