端口镜像(port Mirroring)把交换机一个或多个端口(VLAN)的数据镜像到一个或多个端口的方法。 在一些交换机中,我们可以通过对交换机的配置来实现将某个端口上的数据包,拷贝一份到另外一个端口上,这个过程就是“端口镜像”,如下图: 端口1 为镜像端口,端口2 为被镜像端口;因为通过端口1 可以看到端口2 的流量,所以,我们也称端口1 为监控端口,而端口2 为被监控端口。 市面上,绝大多数交换机(如 cisco 产品)的某个口被设置为镜像端口后,接到该端口的主机将无法发送数据包到网内其他机器,变成了“单向接受”模式; 这类情况,并不利于监控,因为系统无发发送封包到客户机,而导致无法对客户机进行控制;针对此类情况有专门的解决手段,用户可以咨询专业技术人员。 不过仍然有部分交换机除外,比如:TPLink-SF2005 或TP-Link2428w eb,因为其价格便宜, 功能实用,因此我们一般建议客户购买这两款交换机进行监控。注:如果监控的电脑超过了 40 台建议用 TP-Link2428w eb,这款交换机自带网管功 能,性能比 TPLink-SF2005 高,而且还有两个千 M 电口可以做为监控使用。如果使用其它品牌的交换机只要支持端口镜像功能的话也同样可以达到上网 监控,qq 和 msn 聊天监控,邮件监控及抓包分析的效果。 端口镜像的目的 由于部署 IDS 产品需要监听网络流量(网络分析仪同样也需要),但是在目前广泛采用的交换网络中监听所有流量有相当大的困难,因此需要通过配置交换机来把一个或多个端口(VLAN)的数据转发到某一个端口来实现对网络的监听。 端口镜像的功能 监视到进出网络的所有数据包,供安装了监控软件的管理服务器抓取数据,如网吧需提供此功能把数据发往公安部门审查。而企业出于信息安全、保护公司机密的 需要,也迫切需要网络中有一个端口能提供这种实时监控功能。在企业中用端口镜像功能,可以很好的对企业内部的网络数据进行监控管理,在网络出现故障的时 候,可以做到很好地故障定位。一般通过配置端口镜像,安装网路岗监控上网行为管理软件就可以实现对整个网络的监控了。 (备注:交换机把某一个端口接收或发送的数据帧完全相同的复制给另一个端口;其中被复制的端口称为镜像源端口,复制的端口称为镜像目的端口。) 端口镜像通常有以下几种别名: Port Mirroring 通常指允许把一个端口的流量复制到另外一个端口,同时这个端口不能再传输数据。 Monitoring Port 监控端口 Spanning P...
