多监听设备数据镜像需求解决方案_20130305(共16页)

1、启明星辰 第 PAGE 18页 地址：北京市海淀区东北旺西路8号中关村软件园21号楼启明星辰大厦电话传真：82779151多监听设备(shbi)数据镜像需求解决方案前线(qinxin)技术中心(zhngxn)安全工程部2013-3-5文档信息(xnx)文档名称多监听设备数据镜像需求解决方案_20130305保密级别公开文档版本编号V1.4拟定人张雷拟定日期复审人复审日期批准人批准日期更改记录日期修改章节类型*修改描述修改人2011-6-22C模板建立，编写“利用分光器实现多端口数据镜像”一节张雷2013-2-26M增加“利用交换机实现多端口数据镜像”一节易雪莲201

2、3-3-5M格式修改、章节内容顺序调整、文档整理尹飞张雷* 修改类型(lixng)分为 C - CREATED M - MODIFIED D - DELETED目 录 TOC o 1-3 h z u HYPERLINK l _Toc350254990 1需求(xqi)概述 PAGEREF _Toc350254990 h 4 HYPERLINK l _Toc350254991 2利用分光(fn un)器实现多端口数据镜像 PAGEREF _Toc350254991 h 4 HYPERLINK l _Toc350254992 2.1用户(yngh)环境 PAGEREF _Toc350254992

3、h 4 HYPERLINK l _Toc350254993 2.2使用1分4分光器 PAGEREF _Toc350254993 h 4 HYPERLINK l _Toc350254994 2.3交换机部分模块参数 PAGEREF _Toc350254994 h 6 HYPERLINK l _Toc350254995 2.4光纤接头、光纤跳线及光纤转接器说明 PAGEREF _Toc350254995 h 6 HYPERLINK l _Toc350254996 3利用交换机实现多端口数据镜像 PAGEREF _Toc350254996 h 8 HYPERLINK l _Toc350254997

4、3.1解决方案一 PAGEREF _Toc350254997 h 8 HYPERLINK l _Toc350254998 3.1.1用户网络环境 PAGEREF _Toc350254998 h 8 HYPERLINK l _Toc350254999 3.1.2配置案例 PAGEREF _Toc350254999 h 8 HYPERLINK l _Toc350255000 3.1.3方案特点 PAGEREF _Toc350255000 h 9 HYPERLINK l _Toc350255001 3.2解决方案二 PAGEREF _Toc350255001 h 9 HYPERLINK l _Toc

5、350255002 3.2.1用户网络环境 PAGEREF _Toc350255002 h 9 HYPERLINK l _Toc350255003 3.2.2配置案例 PAGEREF _Toc350255003 h 9 HYPERLINK l _Toc350255004 3.2.3方案特点 PAGEREF _Toc350255004 h 9 HYPERLINK l _Toc350255005 3.3解决方案三 PAGEREF _Toc350255005 h 10 HYPERLINK l _Toc350255006 3.3.1用户网络环境 PAGEREF _Toc350255006 h 10 H

6、YPERLINK l _Toc350255007 3.3.2设备组网图 PAGEREF _Toc350255007 h 10 HYPERLINK l _Toc350255008 3.3.3配置案例 PAGEREF _Toc350255008 h 10 HYPERLINK l _Toc350255009 3.3.4方案特点 PAGEREF _Toc350255009 h 10 HYPERLINK l _Toc350255010 3.4解决方案四 PAGEREF _Toc350255010 h 11 HYPERLINK l _Toc350255011 3.4.1用户网络环境 PAGEREF _To

7、c350255011 h 11 HYPERLINK l _Toc350255012 3.4.2设备组网图 PAGEREF _Toc350255012 h 11 HYPERLINK l _Toc350255013 3.4.3实现原理 PAGEREF _Toc350255013 h 11 HYPERLINK l _Toc350255014 3.4.4配置案例 PAGEREF _Toc350255014 h 12 HYPERLINK l _Toc350255015 3.4.5方案特点 PAGEREF _Toc350255015 h 13 HYPERLINK l _Toc350255016 3.5解决

8、方案五 PAGEREF _Toc350255016 h 13 HYPERLINK l _Toc350255017 3.5.1用户网络环境 PAGEREF _Toc350255017 h 13 HYPERLINK l _Toc350255018 3.5.2设备组网图 PAGEREF _Toc350255018 h 13 HYPERLINK l _Toc350255019 3.5.3实现原理 PAGEREF _Toc350255019 h 14 HYPERLINK l _Toc350255020 3.5.4配置案例 PAGEREF _Toc350255020 h 14 HYPERLINK l _T

9、oc350255021 3.5.5方案特点 PAGEREF _Toc350255021 h 16需求概述项目(xingm)实施(shsh)过程中经常(jngchng)会遇到在同一台交换机上需要将镜像数据发送至多台网络安全设备，如IDS、旁路审计等设备。这样就需要交换机提供多路双向镜像抓包口与网络安全设备相连。而大多数交换机通常只支持将源数据镜像到1个目标接口。那么针对于上文中提出的多路镜像问题，通常可以通过以下手段来实现：升级交换机的IOS，使交换机支持多路双向镜像。如果交换机支持光口，可考虑使用分光器将出口的光分成2路或4路，然后分别接不同的网络安全设备。利用交换机来满足多个监听设备的数据镜

10、像需求。使用TAP分路器设备。分析：方法1：不一定能找到合适的IOS，另外IOS升级存在一定风险；方法4：TAP价格较贵，少则上万，大项目或比较专业的项目中优先考虑使用TAP专业设备。一般的项目我们会考虑用第2种或第3种方法来实现。利用分光器实现多端口数据镜像用户环境 用户环境：核心交换机为CISCO4503，带一个5484卡。要在该交换机上接3个网络安全设备，需要该交换机提供3路双向镜像。使用1分4分光器分光器参数和接口卡参数应当匹配，因此首先要查清交换机接口卡的特性。交换机5484卡特性如下：WS-G5484 1000BASE-SX：SC光接口(ji ku), 波长850nm，传输距离55

11、0M(多模)，如下(rxi)图所示：采用(ciyng)的1分4分光器参数如下：千兆 多模 850波长，（5484卡就是1000M 多模 850波长 SC口，分光器参数和接口卡参数两者应当匹配），价格大概￥960左右。分光器的入口线、出口线的长度和各个线的接头（SC口还是要LC口）可以定制。分光器不论入口线还是出口线均是单根光纤，而5484卡本身的特性要求插两根光纤且形成光回路，灯才能点亮并正常工作。项目中的1分4分光器接法如下：分光器入口光纤（定了5米）接交换机上5484卡的出光口（SC口），而分光器的出口光纤其中的1根（定了5米，SC口）接交换机上5484卡的入光口（SC口），只有这样才能使

12、5484卡亮灯并工作。分光器出口其余的3根光纤接口要根据自己项目中设备的接口情况选用SC口或LC口，光纤长度自己定。分光器外观如下图所示：如果购买的分光器接口是SC口(大方口)，现场IDS或抓包设备是LC口（小方口），可以采取如下方法解决：在分光器SC接口上，接SC-SC光纤转接器，转换器另一端接SC-LC的光纤跳线解决。本文第4部分有光纤接头、光线跳线及光纤转接器的图示。交换机部分(b fen)模块(m kui)参数下面列出交换机部分模块的参数，供大家(dji)参考。GBIC模块系列：WS-G5483 1000BASE-T ： RJ-45接口, 传输距离100MWS-G5484 1000BA

13、SE-SX： SC接口, 波长850nm，传输距离550M(多模)WS-G5486 1000BASE-LX： SC接口, 波长1310nm，传输距离10KM(单模)WS-G5486-40KM 1000BASE-LX：SC接口, 波长1310nm，DFB, 传输距离40KM(单模)WS-G5487 1000BASE-ZX： SC接口，波长1550nm，传输距离70KM-80KM(单模)WS-G5487-120KM 1000BASE-ZX： SC接口，波长1550nm，DFB,APD，最大传输距离120KM(单模)SFP模块系列：GLC-T 1000BASE-T：RJ-45接口, 传输距离100M

14、GLC-SX-MM 1000BASE-SX： LC接口, 波长850nm，传输距离500M(多模)GLC-LH-SM 1000BASE-LX： LC接口, 波长1310nm，传输距离10KM(单模)GLC-LH-SM-20KM 1000BASE-LX： LC接口, 波长1310nm，传输距离20KM(单模)GLC-ZX-SM 1000BASE-ZX： LC接口(ji ku), 波长1550nm，传输距离70KM-80KM(单模)GLC-ZX-SM-120KM 1000BASE-ZX：LC接口, 波长(bchng)1550nm，最大传输距离120KM(单模)光纤接头(ji tu)、光纤跳线及光纤

15、转接器说明光纤接头图示如下：上图中ST为卡口，FC为螺纹口,尺寸相同，都用于配线架SC-LC光纤跳线：LC-LC光纤跳线SC接头(ji tu)（大方(dfng)口）如下(rxi)图： SC-SC光纤转接器如下图所示：（也叫光纤耦合器或法兰盘，不要买现场熔接光纤的那种。）利用(lyng)交换机实现(shxin)多端口数据镜像解决方案一用户(yngh)网络环境用户网络中有一台核心交换机，需要在该交换机上接3个网络安全设备，需要该交换机提供3路双向镜像。交换机支持将数据从同一个源接口镜像到多个目标接口。配置案例CISCO交换机镜像配置步骤案例：步骤1：配置镜像源端口monitor session 1

16、 source interface Gi0/1 both步骤2：配置镜像目标端口monitor session 1 destination interface Gi0/46 48方案特点优点：不需要加入其他设备，配置简单。缺点：很多厂商交换机不支持，或者交换机版本不支持。解决方案二用户网络环境用户网络中有一台核心交换机，需要在该交换机上接3个网络安全设备，需要该交换机提供3路双向镜像。交换机支持多组镜像，将上连口镜像到一个目标接口，将其他所有接口镜像到另一个目标接口。配置(pizh)案例CISCO交换机镜像配置(pizh)步骤(bzhu)案例：步骤1：配置镜像源端口monitor sessio

17、n 1 source interface Gi0/1monitor session 2 source interface Gi0/2 - 46步骤2：配置镜像目标端口monitor session 1 destination interface Gi0/47monitor session 2 destination interface Gi0/48方案特点优点：不需要加入其他设备，配置简单。缺点：第二组镜像源端口很多，可能会导致目标端口带宽不够。解决方案三用户网络环境用户网络中有一台核心交换机，需要在该交换机上接2个网络安全设备，需要该交换机提供2路双向镜像。交换机不支持将一个源接口镜像到多个

18、目标接口，也不支持多组镜像，这种情况下我们可以将目标镜像口连接一个hub（一定要为集线器），来扩展接口。设备组网图配置(pizh)案例CISCO交换机镜像配置(pizh)步骤(bzhu)案例：步骤1：配置镜像源端口monitor session 1 source interface Gi0/1步骤2：配置镜像目标端口monitor session 1 destination interface Gi0/48方案特点 优点：该方案利用了集线器组网的特点，即当集线器的一个端口从核心交换机接收到数据后，会将接收的数据广播至集线器的每一个端口，配置简单方便。缺点：需要增加一个集线器，100M集线器不多

19、且不好买，1000M集线器基本没有，带宽的需求不满足。解决方案四用户网络环境用户网络中有一台核心交换机，需要在该交换机上接2个网络安全设备，需要该交换机提供2路双向镜像。但该核心交换机不支持将一个源接口镜像到多个目标接口，也不支持多组镜像，且网络中不能存在HUB或不接受HUB那么低的速率。对于此种情况，可以通过以下方案实现。需要用户另外增加一台千兆智能交换机（cisco、H3C、华为等均可，推荐用H3C或华为的，如果使用Cisco交换机，对版本有要求）。设备(shbi)组网图实现(shxin)原理镜像数据从目标接口到达交换机后，交换机不会将所有数据洪泛出去，因为交换机转发数据时会(sh hu)

20、查看MAC地址表，而通过关闭交换机相应VLAN的MAC学习功能，就可以在此VLAN中像HUB一样洪泛数据，接入在此VLAN中的所有设备都能收到相同的镜像数据。配置案例说明：上图中核心交换机G0/1为镜像源接口，目标镜像接口为G0/48，二层交换机e1/0/1、e1/0/2、e1/0/3三个接口均属于vlan2，此vlan中只有需要镜像数据的设备。核心交换机配置：H3C/华为交换机：步骤1：创建本地镜像组mirroring-group 1 local步骤2：进入端口视图interface Ethernet1/0/1步骤3：配置该端口为本地镜像组源端口mirroring-group 1 mirro

21、ring-port both步骤4：进入端口视图interface Ethernet1/0/48步骤5：配置该端口为本地镜像组的目的端口mirroring-group 1 monitor-portCisco交换机：步骤(bzhu)1：配置镜像源端口monitor session 1 source interface Gi0/1步骤2：配置(pizh)镜像目的端口monitor session 1 destination interface Gi0/48二层交换机配置(pizh)：华为/H3C（H3C和华为交换机全系列都支持）： 步骤1：进入VLAN视图vlan 2步骤2：关闭交换机MAC地址学

22、习功能mac-address mac-learning disable步骤3：将端口加入VLAN2port e1/0/1port e1/0/2port e1/0/3CISCO（思科）： 说明：在实验环境下使用的两台cisco交换机都是3560，但两台设备版本不同，其中3560 Version 12.2(25)SEE2不支持关闭MAC地址学习功能，3560 Version 12.2(46)SE支持关闭MAC地址学习功能。步骤1：进入接口视图interface range G0/1 3步骤2：将端口加入VLAN2switchport access vlan 2switchport mode acc

23、ess步骤3：关闭交换机MAC地址学习功能no mac address-table learning vlan 2方案特点优点：可以将镜像数据扩展到很多接口，接入很多需要镜像数据的设备。缺点：配置相对复杂，需要额外增加智能交换机。解决方案五方案(fng n)五配置复杂，且很容易(rngy)产生环路，故不建议在实际项目(xingm)中使用。用户网络环境用户网络中有一台核心交换机，需要在该交换机上接2个网络安全设备，需要该交换机提供2路双向镜像。该交换机不支持将一个源接口镜像到多个目标接口，也不支持多组镜像，网络中不能使用HUB并且没有多余的交换机可供使用。根据以上需求，我们可以通过以下方案实施多

24、端口数据镜像。设备组网图CISCO交换机：H3C/华为交换机：实现原理与解决方案四的实现原理相同。配置(pizh)案例Cisco交接(jioji)机配置：说明(shumng)： CISCO交换机组网图中核心交换机G0/1为镜像源接口，将接口g0/45- 48划到vlan 2，保证此vlan中只有目标镜像口和IDS、审计等设备。g0/48接口为目标镜像口，将g0/48口连接一根网线到同一台交换机的g0/47口，其他接口接需要镜像数据的设备。步骤1：进入端口视图int range g0/45 48步骤2：将端口加入VLAN2switchport mode accessswitchport access vlan 2步骤3：配置镜像源端口monitor session 1 source interface Gi0/1 both步骤4：配置镜像目标端口monitor session 1 destination interface Gi0/48步骤5：关闭VLAN2的MAC地址学习功能no mac address-table learning vlan 2步骤6：关