流量监控:通过端口镜像,可以实时监视和分析网络流量。网络管理员可以捕获进出指定端口的数据包,便于分析和故障排除。
性能分析:可以监测网络性能,识别瓶颈和延迟问题。通过分析镜像的数据,了解用户体验和应用性能。
安全审计:端口镜像可以用于检测潜在的安全威胁,捕获恶意流量或异常活动,有助于进行安全审计和事件响应。
网络故障排除:当出现网络问题时,使用端口镜像可以帮助识别问题的根源。监控流量可以快速找到故障或配置错误。
观察端口(Monitoring Port):可能指的是通过网络监控工具直接监控的端口。这些端口可能没有镜像配置,但是仍然可以被监控软件使用以捕获流量。
镜像端口(Mirrored Port):特指配置了端口镜像功能的端口,数据流量会被复制到另一端口上。这样,连接到这个镜像端口的监控设备(如流量分析器或入侵检测系统)可以获取流量的完整视图。
在上图中,PC1和PC2充当模拟终端,通过DHCP自动获取IP地址。当前,位于AR2左侧的终端使用Wireshark对g/0/0/0接口下的数据包进行捕获。
基础配置
AR1
#
dhcp enable
#
interface GigabitEthernet0/0/0
ip address 192.168.1.254 255.255.255.0
dhcp select interface
dhcp server dns-list 114.114.114.114
#
interface GigabitEthernet0/0/1
ip address 100.0.0.1 255.255.255.0
#
查看终端是否获得IP地址
定义观察端口和镜像端口
AR1
observe-port interface GigabitEthernet0/0/1 ##把该端口配置为观察端口
#
interface GigabitEthernet0/0/0
mirror to observe-port both ##定义此接口为镜像端口,both允许捕获进出的数据
#
在PC2上运行 ipconfig /renew 命令以重新申请IP地址。同时,在Wireshark上对e0/0/1接口进行抓包,以观察数据流量。
通过端口镜像,我们可以成功捕获到AR2的g0/0/0接口下的数据流量。
