端口镜像的目的
由于部署局域网管理软件产品需要监听网络流量(网络分析仪同样也需要),但是在目前广泛采用的交换网络中监听所有流量有相当大的困难,因此需要通过配置交换机来把一个或多个端口(VLAN)的数据转发到某一个端口来实现对网络的监听。(备注:交换机把某一个端口接收或发送的数据帧完全相同的复制给另一个端口;其中被复制的端口称为镜像源端口,复制的端口称为镜像目的端口。)
端口镜像(port Mirroring)把交换机一个或多个端口(VLAN)的数据镜像到一个或多个端口的方法。
在一些交换机中,我们可以通过对交换机的配置来实现将某个端口上的数据包,拷贝一份到另外一个端口上,这个过程就是“端口镜像”,如下图:
端口1 为镜像端口,端口2 为被镜像端口;因为通过端口1可以看到端口2的流量,所以,我们也称端口1为监控端口,而端口2为被监控端口,关于一些交换机镜像的配置方法及命令可以参考如下的文章http://www.softbar.com/blog/post/2.html
端口镜像的功能
监视到进出网络的所有数据包,供安装了监控软件的管理服务器抓取数据,如网吧需提供此功能把数据发往公安部门审查。而企业出于信息安全、保护公司机密的需要,也迫切需要网络中有一个端口能提供这种实时监控功能。在企业中用端口镜像功能,可以很好的对企业内部的网络数据进行监控管理,在网络出现故障的时候,可以做到很好地故障定位。一般通过配置端口镜像,安装网路岗上网行为管理软件就可以实现对整个网络的监控了。
市面上,绝大多数交换机(如cisco产品)的某个口被设置为镜像端口后,接到该端口的主机将无法发送数据包到网内其他机器,变成了“单向接受”模式;这类情况,并不利于监控,因为系统无发发送封包到客户机,而导致无法对客户机进行控制;不过“网路岗”针对此类情况有专门的解决手段,网路岗通过添加一块网卡作为过滤网卡即可解决这类问题。
下面主要是再介绍一些常用的性价比不错的中低端的交换机,比如:TP-LinkSF 2005或TP-Link 2428web,因为其价格便宜,功能实用,因此我们一般建议客户购买这两款交换机进行监控。注:如果监控的电脑超过了40台建议用TP-Link 2428web,这款交换机自带网管功能,性能比TP-Link SF2005高很多,而且还有两个千M电口可以做为监控使用。如果使用其它品牌的交换机只要支持端口镜像功能,同样可以达到网络监控,qq和msn聊天内空监控,邮件监控及封堵屏蔽网站的效果了。
端口镜像交换机
TL-SF2005
- 5个10/100M 自适应RJ45端口
- 所有端口均具备线速转发能力
- 支持端口自动翻转(Auto MDI/MDIX)功能
- 支持端口镜像功能,提供一个固定上联端口,一个固定监控
- 端口和三个普通端口,轻松实现网络监控
- 支持MAC地址自学习;支持全双工工作模式
如图是Tp-link sf2005在网络中的连接示意图,按照图上标注的说明连接好后,用网路岗就可以实现对整个网络的上网,聊天,邮件,发贴等上网行为的实时监控了。
24+4G千兆Web管理交换机
TL-SL2428WEB
- 24个10/100M自适应RJ45端口,2个10/100/1000M自适应RJ45端口 和2个千兆SFP(mini GBIC)光纤模块扩展插槽,扩展灵活
- 所有端口均具备线速转发能力
- 支持MTU VLAN、Port VLAN和802.1Q Tag VLAN
- 支持端口镜像、端口限速、端口汇聚
- 支持基于端口优先级和802.1p优先级的QoS
- 支持基于Web的管理,提供VCT(线缆检测)及Ping检测等维护手段
下图是TL-SL2428WEB交换机的WEB配置镜像端口介绍图片,监控模式是输入输出,监控端口就是接我们网路岗电脑对应交换机上的端口,被监控端口我们就选择我们的出口,即互联网的出口就可以了,这个出口一般是接路由器、接防火墙,接光纤的口。我们不建议用户选其它其它很多接电脑的口配置为被监控口,因为那种情况是没必要的,而且对交换机的性能也会有影响,我们只要监控到了总出口的数据,也就是监控到其它口上所有的数据了,所以只要把到总出口的数据做一个镜像就可以了。
16口全千兆Web管理交换机
TL-SG2216WEB
- 16个10/100/1000M自适应RJ45,2个千兆SFP(mini GBIC)光纤模块扩展插槽
- 所有端口均具备线速转发能力
- 支持MTU VLAN、Port VLAN和802.1Q Tag VLAN
- 支持端口镜像、端口汇聚
- 支持基于端口优先级和802.1p优先级的QoS
- 支持基于Web的管理,提供VCT(线缆检测)及Ping检测等维护手段
- 更多关于TP-LINK镜像交换机产品可以进入他们官方网站查看,http://www.tp-link.com.cn/pages/product-list.asp?c=23
TEG1208提供8个10/100/1000Mbps自适应RJ45端口,支持平行/交叉线自动识别功能,支持Web管理方式,提供端口镜像、Port Base/Tag VLAN、Trunk以及静态MAC地址表,QoS,端口安全,端口统计等智能配置。TEG1208功能强大,易使用,速度快,性能稳定,是网吧、中小企业、小区智能网络应用最理想的选择。
* 兼容IEEE802.3,IEEE802.3u,IEEE802.3ab以太网标准 * 8个10/100/1000Mbps自适应端口,支持平行/交叉线自动识别(Auto MDI/MDIX)功能,简化网络架设、维护工作 * 支持全双工IEEE802.3x流控,半双工背压(Backpressure)流控 * 高达16Gbps的背板带宽,支持无阻塞线速转发 * 采用存储--转发
TEG1216T提供16个10/100/1000Mbps自适应RJ45端口,两个共享的SFP接口,支持千兆电口与千兆SFP模块光纤接口的自动切换,用户可以按需求,灵活地将网络从100米扩展至80千米以上。TEG1216T提供端口镜像、端口带宽控制、Port Base/Tag VLAN、Trunk以及静态MAC地址表、QoS、端口安全、端口流量统计等智能配置,TEG1216T功能强大,易使用,速度快,性能稳定,是网吧、中小企业、小区智能网络应用最理想的选择。
* 符合IEEE802.3,IEEE802.3u,IEEE802.3ab,IEEE802.3z以太网标准 * 16个10/100/1000Mbps自适应RJ45端口,支持平行/交叉线自动识别(Auto MDI/MDIX)功能 * 提供两个共享的SFP接口,支持千兆电口
还有一些其实品牌的交换机也有端口镜像的功能,如华为交换机,D-LINK交换机,思科交换机等,如果你公司用的交换机具有端口镜像的功能了,就不需要再去购买端口镜像交换机了,只需要在现有的交换机上配置好端口镜像就可以实现整个网络的监控管理了。
欢迎大家下载网路岗7局域网管理软件 http://www.softbar.com,让您可以安全有效快速的管理公司员工的上网行为
网路岗七代官方下载地址:http://www.softbar.com/download.html
