华为路由与交换镜像技术原理与配置学习笔记唐嫣晒女儿追剧照
本次博客会介绍镜像技术原理与配置的内容。
对于这个镜像技术原理与配置在实际的⽹络⼯作环境中,⽤的⽐较多,有的时候遇到⼀些攻击,或者是故障,都会⽤镜像技术引到管理设备上,去抓包进⾏分析。
在⽹络维护的过程中会遇到需要对报⽂进⾏获取和分析的情况,⽐如怀疑有攻击报⽂,此时需要在不影响报⽂转发的情况下,对报⽂进⾏获取和分析。
镜像技术可以在不影响报⽂正常处理流程的情况下,将镜像端⼝的报⽂复制⼀份到观察端⼝,所以说在镜像技术⾥边有两个端⼝,(⼀个是镜像端⼝,⼀个是观察端⼝),把哪个端⼝的流量复制出来就是镜像端⼝,⽤户利⽤数据监控设备来分析复制到观察端⼝的报⽂,进⾏⽹络监控和故障排除。
数据采集的作⽤
⼀般情况下,都会对数据进⾏采集,对数据采集的⽤途⽆⾮就是三个,⼀个是业务实时监控,(可以监控下这个业务是不是正常的,)第⼆个就是当设备出现故障的时候,管理员需要对这个故障进⾏分析,分析的话,往往除了物理层⾯的分析以外们还要去抓取报⽂,去分析报⽂,第三个是去做⽹络流量的优化,有可能通过对数据的采集,对数据包进⾏分析,发现可能有些流量并不是优化的,可能是有问题,
要对某些流量进⾏优化,这个是数据采集⼤体的三个作⽤。
业务实时监控:
软件乱码怎么办⼤型⽹络或数据中⼼⼀般会在汇聚点设置监控系统实时监测⽹络数据流量信息,防范和防⽌业务的异常。
故障处理分析:
⼀些疑难杂症的故障需通过采集实际的报⽂信息来到更加明显的线索。
⽹络流量优化:
朱佳煜回家的诱惑当⽹络系统发展到⼀定规模,对数据流量地精细化控制变的尤为重要。只有实际采集现⽹的真实数据流量,通过专业的流量分析系统定位出⽹络的各种问题,并为此提出优化解决⽅案。
数据采集的⽅法
那么数据采集的⽅法,实际上有很多种,第⼀种就是⽤分光器,有点类似于hub,是三通的线,当被采集的设备发出的流量,需要把它采集过来,那么在中间加个分光器,这个分光器它是⼀个物理设备,是三通,有三个⼝,这样的话,从⼀个接⼝接收到的流量,会向着其他的接⼝,发送⼀份出去,这样的话,在其中⼀个接⼝下边部署采集器,⼀般是服务器,弄⼀些数据报⽂的分析软件⽐如wireshark这样的话,就可以对⼀些报⽂进⾏分析,这种⽅法是必须要有硬件⽀持的。且当⽹络已经成型的情况下,这种⽅式不够灵活,因为要把物理线路拆掉,重新安装新的物理采集器,就是分光器这
种设备。
分光器物理采集:
利⽤物理器件分光器插⼊连接的链路当中,复制出正常的数量流到采集器上⾯。
采集的数据完整可靠,只在中间链路上操作,完全不影响被采集设备的性能,也不占⽤链路带宽。
缺点是每次采集要做物理动作切⼊,相对繁琐且有风险。
适合⽹络业务出⼊⼝⼤型设备的数据流采集,常⽤于连接IDS设备的⽹络环境。
另外⼀种⽅式会稍微好⼀点,会采⽤SNMP,通过SNMP协议,去⽹管⽹络设备,然后进⾏⼀个NMS的集中采集。
NMS集中采集:
利⽤通⽤标准协议SNMP协议传送标准的MIB数据,采集整⽹的配置信息和设备端⼝数据流信息。
优点是可以采集整⽹设备节点信息。
缺点是针对接⼝的数据流信息采集不够精细和完整,⼤部分是统计信息。
适合⽹管中⼼查看设备的参数和性能以及业务信息统计。
镜像概述
镜像定义
将镜像端⼝(源端⼝)的报⽂复制⼀份到观察端⼝(⽬的端⼝)。(这种就叫做镜像,说⽩了就是把某个端⼝的流量完完整整的复制⼀份,然后copy到另外⼀个端⼝上去,这个源端⼝有什么样的流量,到了观察端⼝也有什么样的流量。)
镜像作⽤
获取完整报⽂⽤于分析⽹络状况。(因为这个镜像是对所有的数据进⾏完整的复制,很类似刚才讲的分光器,分光器就是 对所有的数据流量进⾏完整的复制。)
但是对于上⾯两种⽅法来说,采集数据的时候都会影响业务,但是对于镜像来说,是不会影响业务的。所以它的优点是不影响原来的⽹络。
镜像优点
不影响原有⽹络,快捷⽅便。
采集的是实时数据流,真实可靠。
镜像的特点:
在⽹络维护的过程中会遇到需要对报⽂进⾏获取和分析的情况,⽐如怀疑有攻击报⽂,此时需要在不影响报⽂转发的情况下,对报⽂进⾏获取和分析。
镜像可以在不影响报⽂正常处理流程的情况下,将镜像端⼝的报⽂复制⼀份到观察端⼝,⽤户利⽤监控设备来分析复制到观察端⼝的报⽂,进⾏⽹络监控和故障排除。
镜像⽀持将多端⼝的流量镜像到同⼀个观察端⼝,配置时没有数量限制,但是需要考虑观察端⼝实际的流量是否超过其转发能⼒,即实际流量是否超过此观察端⼝的最⼤带宽。
如果在主接⼝做端⼝镜像,会将⼦接⼝流量也镜像到观察端⼝。
镜像的⾓⾊阿sir是什么意思
(镜像的⾓⾊有镜像端⼝,观察端⼝还有普通端⼝,普通端⼝的流量是不会被镜像到观察端⼝的,只有定义了某些端⼝是镜像端⼝的话,镜像端⼝和观察端⼝进⾏关联,那么这种情况下,设备就会把镜像端⼝的流量,有可能是出⽅向,有可能是⼊⽅向,也有可能是双向,都可以去复制⼀份放到观察端⼝,那么观察端⼝再连⼀个监控设备,就可以去对数据包进⾏分析了)
镜像端⼝:
镜像端⼝是被监控的端⼝,从镜像端⼝流经的所有报⽂或匹配流分类规则的报⽂将被复制到观察端⼝。
观察端⼝:
观察端⼝是连接监控设备的端⼝,⽤于输出从镜像端⼝复制过来的报⽂。
镜像没有那么难以理解,就⼀句话,就是复制,这个接⼝所有的流量,不管是⼊⽅向的,还是出⽅向的,或者是出⼊⽅向的流量都可以,所有的流量可以复制⼀份,实时流量,只要有流量就复制,没有流量就不会复制。
本地端⼝镜像配置需求
某企业中,办公区1和办公区2⽤户分别通过接⼝Eth2/0/1、Eth2/0/2接⼊Router。⼀台监控设备接在Router的接⼝Eth2/0/3上,⽤于数据分析监控。为保证企业的信息安全,⽤户希望通过监控设备对办公区1和办公区2发送的所有报⽂进⾏监控。
(这种情况下就意味着E2/0/1、E2/0/2实际上就是这个镜像端⼝,E2/0/3就是这个观察端⼝,这样的话,不管是办公区1还是办公区2来的流量,去访问其他设备的时候,全都复制⼀份给监控设备,就可以对这个数据报⽂进⾏监控,进⾏分析了。)
配置思路:
在Router上将接⼝Eth2/0/3配置为本地观察端⼝。
在Router上将接⼝Eth2/0/1和Eth2/0/2配置为镜像端⼝,实现对接⼝报⽂进⾏监控。
本地端⼝镜像配置实现
配置命令:
#
observe-port interface Ethernet2/0/3  //将E2/0/3接⼝配置为观察端⼝。
#
l nterface Ethernet2/0/1
mirror to observe-port inbound  //将E2/0/1接⼝配置为镜像端⼝,镜像所有⼊⽅向报⽂。
因为现在是主要针对办公区域进来的流量,去往外访问的流量,⽤的是inbound,所以在配置端⼝镜像的时候,得根据实际情况,去判断到底是⽤inbound还是outbound
#
interface Ethernet2/0/2
mirror to observe-port inbound  //将E2/0/2接⼝配置为镜像端⼝,镜像所有⼊⽅向报⽂。
流镜像配置需求萧敬腾小s
上⾯是本地端⼝镜像,把这个接⼝所有的流全部都做了复制,但是流镜像是对某条流去做镜像,因为在⼀个⽹络⾥⾯,这个流量太多了,迅雷的流量,http的流量,但是现在只是想监控某⼀个流量,过多的流量不需要监控。
某企业中,市场部⽤户通过接⼝Eth2/0/0接⼊路由器RTA。⼀台监控设备接在RTA的接⼝Eth2/0/1上,⽤于数据分析监控。
⽤户希望监控市场部IP地址为192.168.1.10的主机发出的所有报⽂。(明显是在怀疑这个流量)
流镜像:
将镜像端⼝上特定业务流的报⽂传送到监控设备进⾏分析和监控。在流镜像中,镜像端⼝应⽤了特定的流策略。如果从镜像端⼝流经的报⽂匹配流策略,则将被复制并传送到监控设备。
配置思路:
将接⼝Eth2/0/1配置为本地观察端⼝。
配置流镜像策略,并在接⼝Eth2/0/0⼊⽅向上应⽤流策略,将匹配源IP地址为192.168.1.10的报⽂复制到本地观察端⼝。流镜像配置实现
配置命令:
observe-prt interface Ethernet2/0/1  //将端⼝E2/0/1定义为观察端⼝。#
vans经典款acl number 2000  //⽤ACL匹配IP为192.168.1.10主机。
rule 5 permit source 192.168.1.10 0
#
traffic classifier c1 operator or
if-match acl2000
#
traffic behavior b1
mirror to observe-port
#
traffic policy p1  //定义流策略,将ACL匹配的流量镜像到观察端⼝。