旁路流量检测--流量镜像,祝大家新年快乐哈
| 阿里云国内75折 回扣 微信号:monov8 |
| 阿里云国际,腾讯云国际,低至75折。AWS 93折 免费开户实名账号 代冲值 优惠多多 微信号:monov8 飞机:@monov6 |
旁路流量检测–流量镜像
在生产环境当中经常会出现核心交换机旁挂入侵检测探针类安全设备用于对生产网络安全进行监测和保障确保网络环境能够安全稳定的运行。
入侵检测系统就不多说对流量进行分析和流量特征库进行比对上报异常流量行为和动作为网络安全管理员提供防护思路取证异常流量五元组信息等等总结来说就是为了保证内网安全运行的安全设备
交换机侧需要将所有流量镜像到IDS上面进行检测分析
这里拿华三交换机举例说明
H3C端口镜像
1. —本地端口镜像
mirroring-group 1 local
mirroring-group 1 mirroring-port port to port both
mirroring-group 1 monitor-port port
2. —远程端口镜像
A: #源交换机
mirroring-group 1 remote-source #创建源镜像
vlan 10 #创建vlan用于传输镜像流量
undo mac-address mac-learning enable #关闭学习mac
mirroring-group 1 remote-probe vlan 10 #配置vlan10用于传输
mirroring-group 1 mirroring-port port to port both #配置监听口
mirroring-group 1 reflector-port port #配置源反射口
interface port #配置出端口并放行传输镜像vlan
port link-type trunk
port trunk permit vlan 10
B: #中间交换机
vlan 10
undo mac-address mac-learning enable #关闭学习mac
interface port
port link-type trunk #配置入端口并放行传输镜像vlan
port trunk permit vlan 10
interface port
port link-type trunk #配置出端口并放行传输镜像vlan
port trunk permit vlan 10
C
mirroring-group 1 remote-destination #远程镜像目的交换机
vlan 10 #传输远程镜像的vlan
undo mac-address mac-learning enable #关闭学习mac
mirroring-group 1 remote-probe vlan 10 #vlan10是远端镜像传输vlan
interface port #镜像流量入接口
port link-type trunk
port trunk permit vlan 10
interface port #镜像流量最终出口
mirroring 1 monitor-port
undo stp enable
port access vlan 10
还有一种情况是本地存在多台检测设备或审计系统都需要进行流量镜像而交换机型号性能不支持开启多个端口可以使用下面第三种方式
3. 本地需要多个镜像口
流量镜像需要多个monitor镜像
mirroring-group 1 remote-source
mirroring-group 1 mirroring-port g1/0/1 to g1/0/20
mirroring-group 1 reflector-port g1/0/23 (未使用端口做反射口)
vlan 999 镜像vlan
最后将需要镜像端口加入access vlan 999即可