1、先解釋一下端口鏡像：端口鏡像簡單的說，就是把交換機一個(數個)端口(源端口)的流 量完全拷貝一份，從另外一個端口(目的端口)發 出去，以便網絡管理人員從目的端口通過分析源端口的流量來找出網絡存在問題的原因。cisco的端口鏡像叫做SWITCHED PORT ANALYZER,簡稱SPAN(僅在IOS系統中，下 同)，因此，端口鏡像僅適用于以太網交換端口。Cisco的SPAN分成三種，SPAN、RSPAN和VSPAN，簡單的說，SPAN是指源和目的端口都在同一臺機 器上、RSPAN指目的和源不在同一交換機上，VSPAN可以鏡像整個或數個VLAN到一個目的端口。配置方法：SPAN創建SPAN源端口

2、monitor session isession_number/i source interface interface-id , | - both | rx | tx*isession_number/i,SPAN會話號，我記得3550支持的最多本地SPAN是2個，即1或者2。*interface-id , | -源端口接口號，即被鏡像的端口，交換機會把這個端口的流量拷貝一 份，可以輸入多個端口，多個用“,”隔開，連續的用“-”連接。*both | rx | tx，可選項，是指拷貝源端口雙向的(both)、僅進入(rx)還是僅發出(tx)的流 量，默認是both。創建SPAN目的端口monit

3、or session session_number destination interface interface-id encapsulationdot1q ingress vlan vlan id | ISLingress | ingress vlan vlan id* 一樣的我就不說了。*session_number要和上面的一致。*interface-id目的端口，在源端口被拷貝的流量會從這個端口發出去，端口號不能被包 含在源端口的范圍內。*encapsulation dot1q | isl，可選，指被從目的端口發出去時是否使用802.1q和isl封裝，當使用802.1q時，對于本地V

4、LAN不進行封裝，其他VLAN封裝，ISL則全部封裝。VSPAN(1)創建 VSPAN 源 VLANmonitor session session_number source vlan vlan-id , | - rx*一樣的也不說了，基本和SPAN相同，只是接口號變成了 VLAN號，而且只能鏡像接收的流量。(2)創建VSPAN目的端口monitor session session_number destination interface interface-id encapsulationdotlq | isl*和SPAN的一樣。RSPANRSPAN的配置較為復雜，其流程可以這樣來看，交換機

5、把要鏡像的端口流量復制一份， 然后發到本機的一個反射端口上(reflector-port)，在由反射端口將其通過網絡轉發到目的交換機中的VLAN上(一般情況下，這個VLAN 是專為鏡像而設的，不要作為客戶端接入所用)，再在目的交換機中配置VSPAN，將該VLAN的流量鏡像到目的端口，要注意的是，一旦這種RSPAN 被使用，該鏡像專用VLAN的信息會被轉發到所有的VLAN主干上，造成網絡帶寬的浪費，因此要配置VLAN修剪(pruning)，另外RSPAN也可以鏡 像VLAN。在源交換機上創建RSPAN源端口*同 SPAN 或 VSPAN在源交換機上創建VSPAN反射端口和目的VLANmonito

6、r session session_number destination remote vlan vlan-id reflector-port interface*vlan-id目的交換機上轉為鏡像而設的VLAN*reflector-port interface源交換機上的鏡像端口在目的交換機上創建VSPAN源VLANmonitor session session_number source remote vlan vlan-id*vlan-id就是上面的鏡像專用VLAN在目的交換機上創建VSPAN目的端口monitor session session_number destination i

7、nterface interface-id encapsulationdot1q | isl*同 SPAN4.其他(1)端口鏡像的過濾，端口鏡像是可以做Filter的。monitor session session_number filter vlan vlan-id , | -*指定源端口進入的流量中，屬于哪些VLAN的可以從目的端口發出去。(2 )刪除鏡像no monitor session session_number | all | local | remote*session_number指定會話號，all是所有鏡像，local是本地鏡像，remote是遠程鏡像。(3)鏡像的目的端口

8、不能正常收發數據，因此不能再作為普通端口使用，可以 連接一些網絡分析和安全設備，例如裝有sniifer的計算機或者Cisco IDS設備。Cisco CATALYST交換機端口監聽配置CISCO CATALYST交換機分為兩種，在CATALYST家族中稱監聽端口為分析端口 (analysis port)。1、Catalyst 2900XL/3500XL/2950系列交換機端口監聽配置(基于CLI) 以下命令配置端口監聽：port monitor例如，F0/1 和 F0/2、F0/5 同屬 VLAN1，F0/1 監聽 F0/2、F0/5 端口：interface FastEthernet0/1p

9、ort monitor FastEthernet0/2port monitor FastEthernet0/5port monitor VLAN12、Catalyst 4000/5000/6000系列交換機端口監聽配置(基于IOS) 以下命令配置端口監聽：set span例如，模塊6中端口 1和端口 2同屬VLAN1，端口 3在VLAN2，端口 4和5在VLAN2,端口 2 監聽端口 1和3、4、5，set span 6/1,6/3-5 6/2注：我們向正式用戶提供更為詳細的Cisco IOS Software Configuration Guide 如果您是我們的正式用戶請與我們聯系。3CO

10、M交換機端口監聽配置在3COM交換機中，端口監聽被稱為“Roving Analysis”。網絡流量被監聽的端口稱作“監 聽口”(Monitor Port)，連接監聽設備的端口稱作“分析口 (Analyzer Port)。以下命令配置端口監聽：指定分析口feature rovingAnalysis add，或縮寫 f r a例如：Select menu option: feature rovingAn alysis addSelect analysis slot: 1Select analysis port: 2指定監聽口并啟動端口監聽feature rovingAnalysis start，或

11、縮寫 f r sta例如：Select menu option: feature rovingAn alysis startSelect slot to monitor （1-12）: 1Select port to monitor&nb sp; （1-8）: 3停止端口監聽feature rovingAnalysis sto p，或縮寫 f r stoDELL交換機端口監聽配置在Dell交換機中，端口監聽被稱為“端口鏡像”（Port Mirroring）。使用交換機的管理 界面，參數如下：Destination Port（目的地端口）：定義端口通信要鏡像到的端口號；Source Port （

12、源端口）：定義被鏡像端口的端口號。Add（添加）：添加端口鏡像操作。Type（類型）：指定要鏡像的端口通信類型?？赡艿淖侄沃蛋ǎ骸癛X” -表示鏡像進入網 絡的數據；“TX” -表示鏡像流出網絡的數據；Both（）-表示鏡像所有數據。Status （狀態）：表示端口的狀態。可能的字段值包括：“Active” -表示端口被啟用；“Not Active” -表示端口被禁用。Remove（刪除）：刪除端口鏡像會話?？赡艿淖侄沃蛋ǎ骸耙堰x取”-刪除端口鏡像會 話；“未選取”-保留端口鏡像會話。具體設置：1、在Port Mirroring對話框中的Destination Port中選中目的端口（鏡像

13、端口），再單 擊Add按鈕；2、 在系統將打開“ Add Source Port”（添加源端口）頁面中，定義“ Source Port”（源 端口）和“ Type”（類型）字段，并單擊“ ApplyChanges”（應用更改），使系統接收更 改。（注：如果需要從端口鏡像會話刪除副本端口，請打開“ PortMirroring”（端口鏡像）頁 面，選取“ Remove”（刪除）復選框，再單擊“ ApplyChanges”（應用更改）。系統將刪 除端口鏡像會話，并更新設備。）以下命令配置端口監聽：指定分析口CLI命令實例：Console（config）# interface ethernet 1/e

14、1Console（config-if）# port monitor 1/e8Console# show ports monitorSource port Destination Port Type Status1/e1 1/e8 RX, TX ActiveNetCore交換機端口監聽配置NetCore交換機中，端口監聽被稱為“端口鏡像”（Port Mirroring）。交換機提供四種監視狀態：Off關閉Mirror功能Rx捕獲被監視端口的接收數據Tx捕獲被監視端口的發送數據Both捕獲被監視端口的接收和發送的數據進入NetCore的超級終端，在主菜單中輸入“5”進入端口鏡像設置界面，輸入“ 1

15、”設置端 口鏡像狀態。如設置端口1為鏡像端口，端口8為被鏡像端口，捕獲該端口的接收和發送數據。配置命令如下：選擇配置的選項（1,off, 2.Rx, 3.Tx, 4.Both） : 4選擇捕獲端口： 1選擇被鏡像端口： 8按Esc鍵退回鏡像設置界面，設置成功。Intel交換機端口監聽配置Intel稱端口監聽為“Mirror Ports”。網絡流量被監聽的端口稱作“源端口 (Source Port)，連接監聽設備的端口稱作“鏡像口 (Mirror Port)。配置端口監聽步驟如下：在 navigation 菜單，點擊 Statistics 下的 Mirror Ports,彈出 Mirror Po

16、rts 信息。 在 Configure Source 列中點擊端口來選擇源端口，彈出 Mirror Ports Configuration0 進行源端口設置：源端口是鏡像流量的來源口，鏡像口是接收來自源端口流量的端口。點擊Apply確定可以選擇三種監聽的方式：連續(Always):鏡像全部流量。周期(Periodic):在一定周期內 鏡像全部流量。鏡像周期在Sampling Interval configuration 中設置。禁止(Disabled):關閉流量鏡像。Avaya交換機端口監聽配置在Avaya交換機用戶手冊中，端口監聽被稱為“端口鏡像”(Port Mirror)。以下命令配置端口監聽：set|clear Port Mirror設置端口偵聽：set port mirror source-portmirror-portsampling always max-packets -secpiggyback-port 禁止端口監聽：clear port mirror命令中，mod-port-range 指定端口的范圍；mod-port-spec 指定特定的端口；piggyback-port指定雙向鏡像的端口；sampling指定鏡像周期；max-packe