场景1:旁路部署行为审计设备,将内网流量镜像到行为审计设备,以实现对网络行为的监控。
场景2:企业内网部署深信服SIP安全感知平台,IT管理员把交换机内网流量镜像到SIP探针设备。
场景3:网络问题,需要抓包分析某些端口下的流量。
文中有关配置截图均基于NAC3.13.0版本,交换机3.6版本。
1、确认当前需要镜像的源接口和目的接口,确认需要进行镜像的流量的方向,是只需要入方向的流量或者只需要出方向的流量,如果全都要则选择双向流量。
2、配置端口镜像功能。
3、将接受镜像流量的设备接到对应的目的端口。
4、使用对应流量分析工具进行查看。
配置端口镜像功能是将镜像源接口流量复制一份发到目的接口不影响网络中的业务。
1、安视交换机只能配置一条镜像策略,并且目的端口只能选一个接口或一个聚合口。
2、任何端口不能即作为了源端口,再作为目的端口:在其中一条策略中作为了目的端口,不能再被其他策略引为源端口。
3、TS79系列澎湃框的镜像规则:
(1)每台交换机上每张板卡最多写4条镜像策略(单向算是1条,同时出方向+入方向算2条),堆叠起来的交换机算一台;
(2)镜像源端口为普通端口:占用端口所在的板卡资源,同一张板卡最多4条镜像策略( 入方向算1条,出方向算1条,出入方向都镜像算2条);
(3)镜像源端口为聚合口,占用所有板卡的资源,不管聚合口有没有这张板卡的端口(入方向算1条,出方向算1条,出入方向都镜像算2条),也就是:
①如果镜像源端口都是聚合口,且是入方向 and 出方向都选,那一台机器最多写2条;
②如果镜像源端口都是聚合口,是入方向 or 出方向都选,那一台机器最多写4条;
③如果镜像源端口既有聚合口,也有普通端口,则聚合口占用每台板卡的资源,剩余的资源被保留,如5张板卡,板卡1做了一组聚合口单方向镜像,那么1-5都只剩3条的资源;
(4)任何端口不能即作为了源端口,再作为目的端口:在其中一条策略中作为了目的端口,不能再被其他策略引为源端口;
(5)不同策略的源端口或者目的端口可以是同一个:端口1镜像到端口2,端口3可以继续镜像到端口2,同源端口时同理;
注意:源端口、目的端口在不同板卡时,占用源端口+目的端口各自板卡的资源;
当前需要将终端访问到核心交换机的流量镜像到镜像抓包终端进行。
在【交换机管理】-【流量管理】-【报文镜像】中,新增报文镜像策略,填写相应的配置参数。
(1)匹配端口ACL策略:在抓包时可根据策略对端口下的数据包进行过滤,只允许满足策略的数据镜像至目的接口。
使用此功能可以根据策略进行数据包筛选,将指定类型的报文进行镜像,如icmp、TCP等报文。
若不选择有线访问控制策略,则默认放通并镜像所有数据包。此处还支持创建有线访问控制策略并选择(有线访问控制策略配置方式详见对应配置手册)。
注:有线访问控制策略基于端口生效,此处勾选有线访问控制策略后策略不会对所有源端口生效,只会对策略中应用端口生效。
1)交换机:选择需要调用镜像策略的交换机(只能选择一个交换机)
2)源端口:选择需要将交换机那些接口的流量进行镜像(可选择多个源端口)
3)源端口列表:选择接口流量镜像方向
入口镜像:只对从该端口进入的流量进行镜像
出口镜像:只对该端口的发出的流量进行镜像
双向镜像:支持对该端口收到和发出的双向流量进行镜像
4)
目的端口:需要把流量复制到的对应目标端口(只能选择一个目的端口)
1)【端口管理】->【端口镜像】,新增一个报文镜像策略
2)模式:选择需要镜像那个方向的包
3)源端口:选择需要镜像那些接口的流量(可选择多个源端口)
4)目的端口:选择需要镜像到那个端口(仅能选择一个目的端口)
入方向:只对从该端口进入的流量进行镜像
出方向:只对该端口的发出的流量进行镜像
入方向和出方向:支持对该端口收到和发出的双向流量进行镜像
在镜像抓包终端使用wireshark工具进行过滤数据包即可看到终端访问网关的数据包。
