1、多監聽設備數據鏡像需求解決方案多監聽設備數據鏡像需求解決方案前線技術中心安全工程部前線技術中心安全工程部2013-3-5啟明星辰 第 2 頁 地址：北京市海淀區東北旺西路 8 號中關村軟件園 21 號樓啟明星辰大廈電話傳真：82779151文檔信息文檔名稱多監聽設備數據鏡像需求解決方案_20130305保密級別公開文檔版本編號V1.4擬定人張雷擬定日期復審人復審日期批準人批準日期更改記錄日期修改章節類型*修改描述修改人2011-6-22C模板建立，編寫“利用分光器實現多端口數據鏡像”一節張雷2013-2-26M增加“利用交換機實現多端口數據鏡像”一節易雪蓮2013-

2、3-5M格式修改、章節內容順序調整、文檔整理尹飛張雷* 修改類型分為 C - CREATED M - MODIFIED D - DELETED啟明星辰 第 3 頁 地址：北京市海淀區東北旺西路 8 號中關村軟件園 21 號樓啟明星辰大廈電話傳真：82779151目目 錄錄1 1需求概述需求概述.42 2利利用用分光器實現多端口數據鏡像分光器實現多端口數據鏡像.42.1用戶環境 .42.2使用 1 分 4 分光器.42.3交換機部分模塊參數.62.4光纖接頭、光纖跳線及光纖轉接器說明.63 3利用交換機實現多端口數據鏡像利用交換機實現多端口數據鏡像.83.1解決方案一

3、 .83.1.1用戶網絡環境.83.1.2配置案例 .83.1.3方案特點 .93.2解決方案二 .93.2.1用戶網絡環境.93.2.2配置案例 .93.2.3方案特點 .93.3解決方案三 .103.3.1用戶網絡環境.103.3.2設備組網圖 .103.3.3配置案例 .103.3.4方案特點 .103.4解決方案四 .113.4.1用戶網絡環境.113.4.2設備組網圖 .113.4.3實現原理 .113.4.4配置案例 .123.4.5方案特點 .133.5解決方案五 .133.5.1用戶網絡環境.133.5.2設備組網圖 .133.5.3實現原理 .143.5.4配置案例 .143

4、.5.5方案特點 .16啟明星辰 第 4 頁 地址：北京市海淀區東北旺西路 8 號中關村軟件園 21 號樓啟明星辰大廈電話傳真：827791511 1需求概述需求概述項目實施過程中經常會遇到在同一臺交換機上需要將鏡像數據發送至多臺網絡安全設備，如IDS、旁路審計等設備。這樣就需要交換機提供多路雙向鏡像抓包口與網絡安全設備相連。而大多數交換機通常只支持將源數據鏡像到1個目標接口。那么針對于上文中提出的多路鏡像問題，通常可以通過以下手段來實現：1) 升級交換機的IOS，使交換機支持多路雙向鏡像。2) 如果交換機支持光口，可考慮使用分光器將出口的光分成2路或4路，然后分別

5、接不同的網絡安全設備。3) 利用交換機來滿足多個監聽設備的數據鏡像需求。4) 使用TAP分路器設備。分析：方法1：不一定能找到合適的IOS，另外IOS升級存在一定風險；方法4：TAP價格較貴，少則上萬，大項目或比較專業的項目中優先考慮使用TAP專業設備。一般的項目我們會考慮用第2種或第3種方法來實現。2 2利用分光器實現多端口數據鏡像利用分光器實現多端口數據鏡像2.12.1 用戶環境用戶環境 用戶環境：核心交換機為CISCO4503，帶一個5484卡。要在該交換機上接3個網絡安全設備，需要該交換機提供3路雙向鏡像。2.22.2 使用使用 1 1 分分 4 4 分光器分光器分光器參數和接口卡參數

6、應當匹配，因此首先要查清交換機接口卡的特性。交換機5484卡特性如下：WS-G5484 1000BASE-SX：SC光接口, 波長850nm，傳輸距離550M(多模)，如啟明星辰 第 5 頁 地址：北京市海淀區東北旺西路 8 號中關村軟件園 21 號樓啟明星辰大廈電話傳真：82779151下圖所示：采用的1分4分光器參數如下：千兆 多模 850波長，（5484卡就是1000M 多模 850波長 SC口，分光器參數和接口卡參數兩者應當匹配），價格大概￥960左右。分光器的入口線、出口線的長度和各個線的接頭（SC口還是要LC口）可以定制。分光器不論入口線還是出口線均是單

7、根光纖，而5484卡本身的特性要求插兩根光纖且形成光回路，燈才能點亮并正常工作。項目中的1分4分光器接法如下：分光器入口光纖（定了5米）接交換機上5484卡的出光口（SC口），而分光器的出口光纖其中的1根（定了5米，SC口）接交換機上5484卡的入光口（SC口），只有這樣才能使5484卡亮燈并工作。分光器出口其余的3根光纖接口要根據自己項目中設備的接口情況選用SC口或LC口，光纖長度自己定。分光器外觀如下圖所示：如果購買的分光器接口是SC口(大方口)，現場IDS或抓包設備是LC口（小方口），可以采取如下方法解決：在分光器SC接口上，接SC-SC光纖轉接器，轉換器另一端接SC-LC的光纖跳線解決

8、。本文第4部分有光纖接頭、光線跳線及光纖啟明星辰 第 6 頁 地址：北京市海淀區東北旺西路 8 號中關村軟件園 21 號樓啟明星辰大廈電話傳真：82779151轉接器的圖示。2.32.3 交換機部分模塊參數交換機部分模塊參數下面列出交換機部分模塊的參數，供大家參考。1) GBIC模塊系列：WS-G5483 1000BASE-T ： RJ-45接口, 傳輸距離100MWS-G5484 1000BASE-SX： SC接口, 波長850nm，傳輸距離550M(多模)WS-G5486 1000BASE-LX： SC接口, 波長1310nm，傳輸距離10KM(單模)WS-G5

9、486-40KM 1000BASE-LX：SC接口, 波長1310nm，DFB, 傳輸距離40KM(單模)WS-G5487 1000BASE-ZX： SC接口，波長1550nm，傳輸距離70KM-80KM(單模)WS-G5487-120KM 1000BASE-ZX： SC接口，波長1550nm，DFB,APD，最大傳輸距離120KM(單模)2) SFP模塊系列：GLC-T 1000BASE-T：RJ-45接口, 傳輸距離100MGLC-SX-MM 1000BASE-SX： LC接口, 波長850nm，傳輸距離500M(多模)GLC-LH-SM 1000BASE-LX： LC接口, 波長1310

10、nm，傳輸距離10KM(單模)GLC-LH-SM-20KM 1000BASE-LX： LC接口, 波長1310nm，傳輸距離20KM(單模)GLC-ZX-SM 1000BASE-ZX： LC接口, 波長1550nm，傳輸距離70KM-80KM(單模)GLC-ZX-SM-120KM 1000BASE-ZX：LC接口, 波長1550nm，最大傳輸距離120KM(單模)2.42.4 光纖接頭、光纖跳線及光纖轉接器說明光纖接頭、光纖跳線及光纖轉接器說明1) 光纖接頭圖示如下：啟明星辰 第 7 頁 地址：北京市海淀區東北旺西路 8 號中關村軟件園 21 號樓啟明星辰大廈電話傳

11、真：82779151上圖中ST為卡口，FC為螺紋口,尺寸相同，都用于配線架2) SC-LC光纖跳線：3) LC-LC光纖跳線4) SC接頭（大方口）如下圖： 啟明星辰 第 8 頁 地址：北京市海淀區東北旺西路 8 號中關村軟件園 21 號樓啟明星辰大廈電話傳真：827791515) SC-SC光纖轉接器如下圖所示：（也叫光纖耦合器或法蘭盤，不要買現場熔接光纖的那種。 ）3 3利用交換機實現多端口數據鏡像利用交換機實現多端口數據鏡像3.13.1 解決方案一解決方案一3.1.1用戶網絡環境用戶網絡環境用戶網絡中有一臺核心交換機，需要在該交換機上接3個網絡安全設備，需要該

12、交換機提供3路雙向鏡像。交換機支持將數據從同一個源接口鏡像到多個目標接口。3.1.2配置案例配置案例CISCO交換機鏡像配置步驟案例：步驟1：配置鏡像源端口啟明星辰 第 9 頁 地址：北京市海淀區東北旺西路 8 號中關村軟件園 21 號樓啟明星辰大廈電話傳真：82779151monitor session 1 source interface Gi0/1 both步驟2：配置鏡像目標端口monitor session 1 destination interface Gi0/46 483.1.3方案特點方案特點優點：不需要加入其他設備，配置簡單。缺點：很多廠商交換機不

13、支持，或者交換機版本不支持。3.23.2 解決方案二解決方案二3.2.1用戶網絡環境用戶網絡環境用戶網絡中有一臺核心交換機，需要在該交換機上接3個網絡安全設備，需要該交換機提供3路雙向鏡像。交換機支持多組鏡像，將上連口鏡像到一個目標接口，將其他所有接口鏡像到另一個目標接口。3.2.2配置案例配置案例CISCO交換機鏡像配置步驟案例：步驟1：配置鏡像源端口monitor session 1 source interface Gi0/1monitor session 2 source interface Gi0/2 - 46步驟2：配置鏡像目標端口monitor session 1 destina

14、tion interface Gi0/47monitor session 2 destination interface Gi0/483.2.3方案特點方案特點優點：不需要加入其他設備，配置簡單。缺點：第二組鏡像源端口很多，可能會導致目標端口帶寬不夠。啟明星辰 第 10 頁 地址：北京市海淀區東北旺西路 8 號中關村軟件園 21 號樓啟明星辰大廈電話傳真：827791513.33.3 解決方案三解決方案三3.3.1用戶網絡環境用戶網絡環境用戶網絡中有一臺核心交換機，需要在該交換機上接2個網絡安全設備，需要該交換機提供2路雙向鏡像。交換機不支持將一個源接口鏡像到多個目

15、標接口，也不支持多組鏡像，這種情況下我們可以將目標鏡像口連接一個hub（一定要為集線器），來擴展接口。3.3.2設備組網圖設備組網圖G G0 0/ /1 1G G0 0/ /4 48 8H HU UB B核核心心交交換換機機3.3.3配置案例配置案例CISCO交換機鏡像配置步驟案例：步驟1：配置鏡像源端口monitor session 1 source interface Gi0/1步驟2：配置鏡像目標端口monitor session 1 destination interface Gi0/483.3.4方案特點方案特點 優點：該方案利用了集線器組網的特點，即當集線器的一個端口從核心交換機接

16、收到數據后，會將接收的數據廣播至集線器的每一個端口，配置簡單方便。缺點：需要增加一個集線器，100M集線器不多且不好買，1000M集線器基本啟明星辰 第 11 頁 地址：北京市海淀區東北旺西路 8 號中關村軟件園 21 號樓啟明星辰大廈電話傳真：82779151沒有，帶寬的需求不滿足。3.43.4 解決方案四解決方案四3.4.1用戶網絡環境用戶網絡環境用戶網絡中有一臺核心交換機，需要在該交換機上接2個網絡安全設備，需要該交換機提供2路雙向鏡像。但該核心交換機不支持將一個源接口鏡像到多個目標接口，也不支持多組鏡像，且網絡中不能存在HUB或不接受HUB那么低的速率。對于

17、此種情況，可以通過以下方案實現。需要用戶另外增加一臺千兆智能交換機（cisco、H3C、華為等均可，推薦用H3C或華為的，如果使用Cisco交換機，對版本有要求）。3.4.2設備組網圖設備組網圖G G0 0/ /1 1G G0 0/ /4 48 8E E1 1/ /0 0/ /1 1E E1 1/ /0 0/ /3 3E E1 1/ /0 0/ /2 2核核心心交交換換機機二二層層交交換換機機3.4.3實現原理實現原理鏡像數據從目標接口到達交換機后，交換機不會將所有數據洪泛出去，因為交換機轉發數據時會查看MAC地址表，而通過關閉交換機相應VLAN的MAC學習功能，就可以在此VLAN中像HUB一

18、樣洪泛數據，接入在此VLAN中的所有設備都能收到相同的鏡像數據。啟明星辰 第 12 頁 地址：北京市海淀區東北旺西路 8 號中關村軟件園 21 號樓啟明星辰大廈電話傳真：827791513.4.4配置案例配置案例 說明：上圖中核心交換機 G0/1 為鏡像源接口，目標鏡像接口為G0/48，二層交換機 e1/0/1、e1/0/2、e1/0/3 三個接口均屬于 vlan2，此vlan 中只有需要鏡像數據的設備。1) 核心交換機配置：H3C/華為交換機：步驟1：創建本地鏡像組mirroring-group 1 local步驟2：進入端口視圖interface Etherne

19、t1/0/1步驟3：配置該端口為本地鏡像組源端口mirroring-group 1 mirroring-port both步驟4：進入端口視圖interface Ethernet1/0/48步驟5：配置該端口為本地鏡像組的目的端口mirroring-group 1 monitor-portCisco交換機：步驟1：配置鏡像源端口monitor session 1 source interface Gi0/1步驟2：配置鏡像目的端口monitor session 1 destination interface Gi0/482) 二層交換機配置：華為/H3C（H3C和華為交換機全系列都支持）： 步

20、驟1：進入VLAN視圖vlan 2步驟2：關閉交換機MAC地址學習功能mac-address mac-learning disable步驟3：將端口加入VLAN2port e1/0/1port e1/0/2port e1/0/3CISCO（思科）： 說明：在實驗環境下使用的兩臺 cisco 交換機都是 3560，但兩臺設備版本不同，其中 3560 Version 12.2(25)SEE2 不支持關閉 MAC 地址學習功啟明星辰 第 13 頁 地址：北京市海淀區東北旺西路 8 號中關村軟件園 21 號樓啟明星辰大廈電話傳真：82779151能，3560 Version

21、 12.2(46)SE 支持關閉 MAC 地址學習功能。步驟1：進入接口視圖interface range G0/1 3步驟2：將端口加入VLAN2switchport access vlan 2switchport mode access步驟3：關閉交換機MAC地址學習功能no mac address-table learning vlan 23.4.5方案特點方案特點優點：可以將鏡像數據擴展到很多接口，接入很多需要鏡像數據的設備。缺點：配置相對復雜，需要額外增加智能交換機。3.53.5 解決方案五解決方案五方案五配置復雜，且很容易產生環路，故不建議在實際項目中使用。3.5.1用戶網絡環境用

22、戶網絡環境用戶網絡中有一臺核心交換機，需要在該交換機上接2個網絡安全設備，需要該交換機提供2路雙向鏡像。該交換機不支持將一個源接口鏡像到多個目標接口，也不支持多組鏡像，網絡中不能使用HUB并且沒有多余的交換機可供使用。根據以上需求，我們可以通過以下方案實施多端口數據鏡像。3.5.2設備組網圖設備組網圖1) CISCO交換機：啟明星辰 第 14 頁 地址：北京市海淀區東北旺西路 8 號中關村軟件園 21 號樓啟明星辰大廈電話傳真：82779151G G0 0/ /1 1V VL LA AN N2 2 G G0 0/ /4 45 5 - - G G0 0/ /4 48

23、8G G0 0/ /4 48 82) H3C/華為交換機：G G0 0/ /1 1V VL LA AN N2 2 G G0 0/ /4 45 5 - - G G0 0/ /4 47 7V VL LA AN N3 3 G G0 0/ /4 48 8G G0 0/ /4 48 83.5.3實現原理實現原理與解決方案四的實現原理相同。3.5.4配置案例配置案例1) Cisco交接機配置： 說明： CISCO 交換機組網圖中核心交換機 G0/1 為鏡像源接口，將接口g0/45- 48 劃到 vlan 2，保證此 vlan 中只有目標鏡像口和 IDS、審計等設備。g0/48 接口為目標鏡像口，將 g0/

24、48 口連接一根網線到同一臺交換機的 g0/47 口，其他接口接需要鏡像數據的設備。步驟1：進入端口視圖int range g0/45 48步驟2：將端口加入VLAN2switchport mode accessswitchport access vlan 2步驟3：配置鏡像源端口monitor session 1 source interface Gi0/1 both啟明星辰 第 15 頁 地址：北京市海淀區東北旺西路 8 號中關村軟件園 21 號樓啟明星辰大廈電話傳真：82779151步驟4：配置鏡像目標端口monitor session 1 destination interface Gi0/48步驟5：關閉VLAN2的MAC地址學習功能no mac address-table learning vlan 2步驟6：關閉VLAN2的生成樹功能no spanning-tree vlan 2注意：如果不關閉注意：如果不關閉vlanvlan 2 2的生成樹，可以將的生成樹，可以將4848口放入其他任何口放入其他任何vlanvlan也也同樣解決問