介紹如何設備Cisco交換機或路由器搭配Panabit完成網(wǎng)絡旁路監(jiān)控。

網(wǎng)絡環(huán)境：

　　1、公司網(wǎng)絡下面防火墻下接入3層CISCO switch，現(xiàn)在需要針對主交換機進行端口鏡像實現(xiàn)端口監(jiān)控。

　　2、fa0/39為監(jiān)控機器的網(wǎng)絡端口，fa0/41為被監(jiān)視的端口（可以理解為全局網(wǎng)絡出入端口）

Cisco端口鏡像設置實現(xiàn)網(wǎng)絡旁路監(jiān)控
 

操作步驟：

　　進入交換機配置可以多種選擇，為了方便，個人使用telnet進行網(wǎng)絡配置

　　打開命令提示符，操作如下：

telnet ——為主交換機IP地址，輸入密碼進入用戶模式

switch>enable——進入特權模式

switch#config terminal——進入全局設置模式

switch（config）#mirror session 1 destination interface fa0/39 ——鏡像目的端口fa0/39（監(jiān)控端口）

switch（config）#mirror session 1 source interface fa0/41——鏡像源端口（被監(jiān)控的端口）fa0/41

(config)#exit

(config)#write 保存配置

(config)#show run 查看最后一項，可看到已經(jīng)為監(jiān)控模式

　　現(xiàn)在我們把Panabit主機接到fa0/39端口上，現(xiàn)在就可以監(jiān)控全網(wǎng)信息了。

　　旁路監(jiān)控的好處在于不用變更現(xiàn)在網(wǎng)絡架構。

Cisco各種型號交換機mirror 方法

1。Cat2900XL/3500XL
　　2900XL(config)#interface fastethernet 0/24 //進入接口配置模式下
　　2900XL(config)#port monitor fastethernet 0/1 //配置f0/1為被監(jiān)視得端口
　　2900XL(config)#port monitor fastethernet 0/2 //配置f0/2為被監(jiān)視得端口
　　通過上面得配置就可以把進出f0/1和f0/2兩個端口得流量鏡像到f0/24
　　通過
　　show port monitor可以參看交換機得SPAN配置情況
　　2。Cat2950/3550/3750
　　3550(config)#monitor session 1 source interface f0/1 - 3 rx
　　//指定SPAN session組號為1，源端口為f0/1-f0/3，對進這三個端口的流量
　　//rx-->指明是進端口得流量，tx-->出端口得流量 both 進出得流量
　　3550(config)#monitor session 1 destination interface f0/4
　　//指定監(jiān)視端口為f0/4
　　3。Cat4000/6500 with CatOS
　　set span命令
　　cat4k#set span 1/2 1/3　//把1/2得流量鏡像到1/3

cat4k#set span disable //關閉鏡像mirror
　　4。Cat4500/6500 with IOS
　　同2--Cat2950/3550/3750
　　方法四:VACL
　　VACL=VLAN ACL=Security ACL
　　只能在Cat6500上使用
　　CatOS：
　　c6509 (enable) set security acl ip MyCap permit tcp any any eq 443
　　c6509 (enable) set security acl ip MyCap permit tcp any eq 443 any
　　c6509 (enable) set security acl ip MyCap permit ip any any capture
　　//排除所有訪問443端口的流量，其他流量都是感興趣的
　　c6509 (enable) commit security acl MyCap
　　//定義一個security ACL的name
　　c6509 (enable) set security acl map MyCap 100,101
　　//把security ACL應用到vlan 100和101上
　　c6509 (enable) set security acl capture-ports 3/1
　　//把capture的流量鏡像到3/1端口上
　　IOS：
　　c6509(config)# Access-list 100 permit ip any any
　　c6509(config)# vlan access-map MyCap 10
　　c6509(config-access-map)# match ip address 100
　　c6509(config-access-map)# action forward capture
　　c6509(config)# vlan filter MyCap vlan-list 200 , 201
　　c6509(config)# interface gi3/1
　　c6509(config-if)# switchport capture

端口鏡像的別名
端口鏡像通常有以下幾種別名：
●Port Mirroring
通常指允許把一個端口的流量復制到另外一個端口，同時這個端口不能再傳輸數(shù)據(jù)。
●Monitoring Port
監(jiān)控端口
●Spanning Port
通常指允許把所有端口的流量復制到另外一個端口，同時這個端口不能再傳輸數(shù)據(jù)。
●SPAN port
在 Cisco 產(chǎn)品中，SPAN 通常指 Switch Port ANalyzer。某些交換機的 SPAN 端口不支持傳輸數(shù)據(jù)。
●Link Mode port
支持端口鏡像的交換機和路由
大多數(shù)中檔以上的交換機都支持端口鏡像功能，部分路由支持端口鏡像但支持程度不同。
端口鏡像配置方法
下面是幾種交換機和海蜘蛛路由端口鏡像配置方法，主要來自于 Talisker Security Wizardry (http://www.securitywizardry.com/) 的 Switch Port Mirroring (http://www.securitywizardry.com/switch.htm)
Cisco 交換機
特點：●Cisco 2900 和 Cisco 3500XL 系列交換機
Cisco 2950、Cisco 3550 和 Cisco 3750 系列交換機
Cisco catylist 2550 Cisco catylist 3550 支持2組monitor session en password config term
Switch(config)#monitor session 1 destination interface fast0/4（1為session id，id范圍為1－2）
Switch(config)#monitor session 1 source interface fast0/1 , fast0/2 , fast0/3 (空格，逗號，空格)
Switch(config)#exit
Switch#copy running-conf startup-conf
Switch#show port-monitor
Cisco 5000 系列交換機
使用 CatOS 的 Cisco 4000 和 Cisco 6000 系列交換機
使用 IOS 的 Cisco 4000 和 Cisco 6000 系列交換機
Extreme 交換機
特點：
●只能創(chuàng)建多對一或者一對一的鏡像端口
●可以監(jiān)聽 VLAN 的流量
●Extreme 會鏡像 IN 和 OUT 的流量。這就意味著在鏡像 VLAN 的時候，會看到一個報文至少兩次— —從 VLAN 的某個端口出來，并且進入 VLAN 的另一個端口。
版本高于4.1的 Extreme 交換機端口鏡像配置方法
{enable | disable} mirroring on port
開啟/關閉端口鏡像功能，并且指定鏡像流量從何端口流出，port-no 只能是一個端口
configure mirroring { add | delete } { vlan | port }
指定鏡像哪個或哪些 VLAN 或端口的流量 { vlan | port } 部分可以重復多次
版本低于 4.1 的 Extreme 交換機端口鏡像配置方法
enable mirror to port port-no
開啟端口鏡像功能，并且指定鏡像流量從何端口流出，port-no 只能是一個端口
disable mirror
關閉端口鏡像功能
config mirror add port 鏡像端口 port-no 的流量，如果這個端口包含多個 VLAN 這些流量都會被鏡像到目的端口
config mirror add port vlan
鏡像端口 port-no 中指定 VLAN 的流量
config mirror add vlan
鏡像端口中指定 VLAN 的所有端口的流量
config mirror del port
取消對 port-no 的端口鏡像
config mirror del vlan
取消對指定 VLAN 的端口鏡像
show mirror
顯示端口鏡像情況
Foundry 交換機 特點：
●可以創(chuàng)建多對多的端口鏡像
Foundry 交換機端口鏡像配置方法
在配置模式中（Configuration Mode）：
interface
port monitor { { rx | tx | both}}
確定鏡像流量從哪個端口流出，修改此端口配置
指定要鏡像哪些端口的哪些流量（rx 指接收的流量，tx 指發(fā)送的流量，both 指雙向流量），{ { rx | tx | both}} 部分可以重復
Juniper 交換機
特點：
●每交換機只能有一個監(jiān)聽端口
●只能鏡像 IPv4 的流量
●只能鏡像發(fā)送（transit only）的流量，不能鏡像接收的流量
Juniper M 系列和 T 系列端口鏡像配置方法
usen@router# show forwarding-options port- mirroring { input {family inet; rate ; run- length ;} output interface {next-hop
;} no-filter-check;} }
選擇將抽樣的流量發(fā)送到哪個目的端口
user@router# show firewall filter mirror-sample from {...} then {sample; accept;}
定義抽樣過濾器，選擇感興趣的流量
user@router# show interface unit 0 family inet filter {input mirror-sample;}
選擇將抽樣的過濾器應用到某個端口
海蜘蛛路由端口鏡像設置是WEB控制非常方便,在這里我就不詳細說明(防火墻--->端口鏡像)
端口鏡像的風險
加重交換機負載，造成設備不穩(wěn)定
在某些情況下會丟包，不能保證 100% 鏡像流量。例如，由于多個源端口鏡像到一個目的端口，目的端口無法處理造成丟包