社区
通信技术
帖子详情
端口镜像的两个端口需要在同一个网段吗(VLAN)?
monkey_boy
2007-01-26 09:08:25
现在要做整个局域网里面语音数据包的监控,在交换机上要用到端口镜像的功能.请问这个端口镜像的两个口子说对应的IP地址,需要设置为同一网段的地址吗?
...全文
715
2
打赏
收藏
端口镜像的两个端口需要在同一个网段吗(VLAN)?
现在要做整个局域网里面语音数据包的监控,在交换机上要用到端口镜像的功能.请问这个端口镜像的两个口子说对应的IP地址,需要设置为同一网段的地址吗?
复制链接
扫一扫
分享
转发到动态
举报
写回复
配置赞助广告
用AI写文章
2 条
回复
切换为时间正序
请发表友善的回复…
发表回复
打赏红包
wu37102
2007-01-30
打赏
举报
回复
这要看厂商的设备是怎么设计的
端口镜像可以将某个端口的TX/RX报文复制一份到镜像端口,这种情况下,这2个口,就不能有配置
monkey_boy
2007-01-26
打赏
举报
回复
自己顶一下,没人知道呀
网路岗7.03.35官方原版破解
本软件来源于网络,本人搜集,如影响您的权益,请通知删除。 网络岗 旁路监控 如果用户以硬件路由器(或FireWall)为出口上Internet,为实现“通过一台机器监控整个网络”的目的,通常采用下面几种手段: 1.在网关处添加共享式HUB(集线器),Internet出口网络线和监控机网络线均接入HUB。 2.在主交换机网口上设置镜像
端口
(一个镜像
端口
,一个被镜像
端口
);监控机网络线接入镜像
端口
。 上面实现的监控就是所谓的“旁路监控”。 打个更形象的比喻:交警为监视公路上汽车行驶状况,为不影响交通,仅在路边配置一台监控设备,同步监视路上的每辆车,并不
需要
在路中间设卡检查车辆,这种方式相当与“旁路监控”。如果设卡监控,那就应该属于“非旁路监控” 优点: 对网速影响甚小,如果不考虑封堵,可实现电信级的网络监视;所以网络流量庞大且封包需求很少时,必须采用该监控方式。 缺点: 1、封堵TCP连接时采用发送带RST标记的IP包,以破坏TCP连接;系统控制不好的话,则可能导致发送的封包太多,影响网络。 2、不能封堵UDP通讯包。 3、如果监控机处理速度慢,而流量太大,则可能导致分析包丢失。 非旁路监控(拦截式) 1.网路岗NAT 2.网路岗虚拟网桥(单网卡) 3.网路岗网桥(双网卡) 防火墙产品是单纯采用“拦截式”技术的典型网络产品,所有进出FireWall数据包,都必须经过筛选,符合过滤过滤条件的数据包,将被抛弃。 因此,防火墙的处理器性能和筛选规则的复杂程度,将直接影响到防火墙对数据包的处理速度,进而影响到网络速度。 基于网卡、基于帐户、基于IP 所有的网络监控产品,都必须面对这个问题:在对具体电脑进行监控时,以什么信息来判断所捕获的数据包是由哪台机器发出的? “网路岗”提供了多种选项给客户选择,当用户网络是单
网段
,也就是说没有划分不同的IP段,我们建议客户选用“基于网卡”的方式,也就是说以“网卡地址MAC”来作为判断数据包的依据。 相对IP地址来讲,网卡地址一般是不会改变的,而且是全球唯一的。针对单一
网段
内机器而言,网卡地址是网络寻址的重要依据,一旦网卡地址重复或不确定,必然造成网络通讯的紊乱或不稳定。 针对多
网段
(划分
VLAN
)的情况,情况比较复杂,当数据包从某个
VLAN
转到其他
VLAN
时候,数据包中的网卡地址会发生改变,所以,我们捕获的网卡地址是发生变化了的,这时,如果系统对该MAC不加处理而简单使用,必然导致监控错乱。 但是,这种情况,“网路岗”已经充分考虑了其应对策略,我们的客户依然可以选择“基于网卡”的方式,正如单一
网段
环境一样。 当然,如果客户网络庞大,IP地址相对固定,从操作的简单性方面考虑,选择“基于IP”地址来监控也是可以的,用户也必须容忍IP地址是经常变化的。 如果客户对某个范围IP的电脑行为感兴趣,那么用户也可以以“自定义的IP范围”作为一个监控对象来对待。 最后,我们要谈谈“基于帐户”。当客户机通过浏览器上网时候,会出现一个输入用户名和密码的画面,此时,只有当客户拥有了自己的用户名和密码,才拥有了上网的权限,这就是“基于帐户”模式的具体表现。 “基于帐户”的方式从理论上讲,是完美的,因为该方式下,与被监控电脑的网卡地址和IP地址均无关系,而只
需要
根据用户帐号来判断监控对象。但其缺点也非常明显,因为客户机每次上网时候,都必须输入帐号及其对应的密码,给客户机上网带来麻烦,而且因为密码容易被忘记,网络管理员还不得不经常为客户机Reset密码。 从目前客户的使用情况来看,“基于帐户”在“宾馆客房”上网方面似乎是非常好的方案。 网桥 先解释一下通常意义下的“网桥”概念。 网桥工作在数据链路层,将
两个
局域网(LAN)连起来,根据MAC地址(物理地址)来转发帧,可以看作一个“低层的路由器”(路由器工作在网络层,根据网络地址如IP地址进行转发)。它可以有效地联接
两个
LAN,使本地通信限制在本
网段
内,并转发相应的信号至另一
网段
,网桥通常用于联接数量不多的、同一类型的
网段
。 网桥通常有透明网桥和源路由选择网桥两大类。 1、透明网桥 简单的讲,使用这种网桥,不
需要
改动硬件和软件,无需设置地址开关,无需装入路由表或参数。只须插入电缆就可以,现有LAN的运行完全不受网桥的任何影响。 2、源路由选择网桥 源路由选择的核心思想是假定每个帧的发送者都知道接收者是否在同一局域网(LAN)上。当发送一帧到另外的
网段
时,源机器将目的地址的高位设置成1作为标记。另外,它还在帧头加进此帧应走的实际路径。 下面图示的是在WinXP和Win2003系统下创建“网桥”:(Win2k下无此功能) 同时选中两块网卡,点Mouse右键,会弹出上图中的菜单。 网桥一旦建立完成,其网卡原配的IP地址将消失,网内其他机器无法通过原来的两块网卡的IP地址来访问该机器。是不是该机器作废了? 不是,用户仍然可以在上面显示的“网络桥”上配置另外的IP。 透明网桥示意图: 左右两边的机器可以相互访问,不用做任何额外的配置,就象两台交换机之间接入新的交换机设备一样。 启用《网路岗》“网络桥” 网路岗也提供了“网络桥”功能,可以在WinXP/2K/2003上使用,应用更加广泛,如用户
需要
较严格的上网过滤,请启用网路岗网桥功能,记住:启用网路岗网桥之前,请确认系统自带的“网络桥”已经删除. 虚拟网桥 “虚拟网桥”实际上是“网路岗”为一种“网络监控技术”而命名的一个技术名词。和实际“网桥”概念完全不同,仅仅因为其通讯过程类似“网桥”罢了。 通常意义上的“网桥”一般
需要
两块网卡来实现, 而这里所谓的“虚拟网桥”只
需要
一块网卡。 下面的网络结构是非常常见的: 机器:192.168.0.2发出的Internet数据包,直接发向网关192.168.0.1 以下是“网路岗”启用“虚拟网桥”功能后,数据包走向图: 当“网路岗”主机启用“虚拟网桥”功能后,从客户机192.168.0.2发向Internet的数据包,先送到“网路岗”主机,然后由“网路岗”主机转发到网关192.168.0.1,反之亦然。 不难看出,要达到一台机器监控整个网络的目的,只
需要
启用“虚拟网桥”功能就可以了,这种监控技术可以在纯交换机环境下实现,不
需要
添加HUB,也不
需要
设置镜像
端口
。行话称之为“装在任何一台电脑上就可以监控整个网络”。 而实际使用中,该技术的缺点非常明显,虽然“网路岗”已经加入该技术,但有必要向客户交代其中问题所在。 缺点1:客户机盲目安装. 既然装在任何一台电脑就可以实现对整个网络的监控,员工或学生是否会随意下载、随意安装、随意监控?这是完全可能的,因为毕竟实现监控的门槛太低。不过,当同时多台机器启用这类监控方式后,网络会出现紊乱状况,很可能导致无法上网。 缺点2:很容易逃避监控 所有采用类似监控技术的产品,均
需要
发送ARP欺骗包,以使正常上网路径发生改变。但是象瑞星等杀毒软件可以识别并抛弃ARP欺骗包,使对本机的监控不能得逞。另外用户也可以通过添加静态路由轻松避免被监控。 因此,在单
网段
环境下,我们建议客户仍然采用传统的“监控手段”。如果客户执意采用该监控手段,那么请注意:“网路岗”可以自动探测出网内其他机器是否启用过类似的监控手段(也许是其他监控产品),并记录在历史记录中。 如何启用“虚拟网桥”? 1、选中“非旁路监控”选项 2、设置“虚拟网桥”相关选项 3、选中并启用“虚拟网桥” 共享上网NAT “网络地址转换”(NAT) 是一种 Internet Engineering Task Force (IETF) 标准,用于允许专用网络上的多台 PC 机(使用专用地址范围,例如 10.0.x.x、192.168.x.x、172.x.x.x)共享单个、可全局路由的 IPv4 地址。经常部署 NAT 的一个主要原因就是 IPv4 地址日渐紧缺。Windows XP 和 Windows Me 中的“Internet 连接共享”及许多 Internet 网关设备都使用 NAT,尤其是在通过 DSL 或电缆调制解调器连接宽带网的情况下。 NAT 对于解决 IPv4 地址耗费问题(在 IPv6 部署中却没必要)尽管成效及时,但毕竟属于临时性的解决方案。这种 IPv4 地址耗费问题在亚洲及世界其它一些地方已比较严重,且日渐成为北美地区
需要
关注的问题。这就是人们为什么长久以来一直关注使用 IPv6 来克服这个问题的原因所在。 除了减少所需的 IPv4 地址外,由于专用网络之外的所有主机都通过一个共享的 IP 地址来监控通讯,因此 NAT 还为专用网络提供了一个隐匿层。NAT 与防火墙或代理服务器不同,但它确实有利于安全。 跨
VLAN
/单
网段
/多
网段
VLAN
,是英文Virtual Local Area Network的缩写,中文名为"虚拟局域网",
VLAN
是一种将局域网(LAN)设备从逻辑上划分(注意,不是从物理上划分)成一个个
网段
(或者说是更小的局域网LAN),从而实现虚拟工作组(单元)的数据交换技术。
VLAN
这一新兴技术主要应用于交换机和路由器中,但目前主流应用还是在交换机之中。不过不是所有交换机都具有此功能,只有三层以上交换机才具有此功能,这一点可以查看相应交换机的说明书即可得知。
VLAN
在交换机上的实现方法,可以大致划分为六类: 1. 基于
端口
的
VLAN
(最常应用的一种
VLAN
划分方法) 2. 基于MAC地址的
VLAN
3. 基于网络层协议的
VLAN
4. 根据IP组播的
VLAN
5. 按策略划分的
VLAN
6. 按用户定义、非用户授权划分的
VLAN
在监控产品中,所谓“跨
VLAN
”监控就是所监控的客户机位于多个
VLAN
中。 单
网段
:整个局域网只有一个IP段,如:192.168.0.x (255.255.255.0) 多
网段
:整个局域网有多个不同IP段,如:192.168.1.x(255.255.255.0) / 192.168.2.x(255.255.255.0) 镜像
端口
/监控
端口
/被监控
端口
在一些交换机中,我们可以通过对交换机的配置来实现将某个
端口
上的数据包,拷贝一份到另外一个
端口
上,这个过程就是“
端口
镜像
”,如下图:
端口
1 为镜像
端口
,
端口
2 为被镜像
端口
;因为通过
端口
1可以看到
端口
2的流量,所以,我们也称
端口
1为监控
端口
,而
端口
2为被监控
端口
。 市面上,绝大多数交换机(如cisco产品)的某个口被设置为镜像
端口
后,接到该
端口
的主机将无法发送数据包到网内其他机器,变成了“单向接受”模式;这类情况,并不利于监控,因为系统无发发送封包到客户机,而导致无法对客户机进行控制;不过“网路岗”针对此类情况有专门的解决手段,如碰到此类情况,用户可以咨询我公司技术人员。 不过仍然有部分交换机除外,比如:TPLink-SF2008 或TPLink-SF2008(web),因为其价格便宜,功能实用,因此我们一般建议客户购买此款交换机进行监控。 汇聚MAC 在多
VLan
环境下,假如
Vlan
-1最靠近因特网,通常情况下,其他
Vlan
的机器发出的数据包都需经过
Vlan
-1 借道连入因特网,那么,其他
Vlan
下的机器发出的IP包经过这样的“路由”进入
Vlan
-1 时,其数据包中原来的网卡地址通常会改变,改变后的地址就是我们这里提到的“汇聚MAC”。 建议用“工具”菜单下的“ip包分析工具”抓包,如发现某个MAC对应多个不同的内网IP,那么这个MAC就是我们要找的MAC值。 MAC采集点 见安装包中程序MacSetup.exe,网卡地址“采集”程序,在跨
VLAN
环境、且选择“基于网卡MAC”的方式监控时才用,一般可在每个
VLAN
中安装一个,不安装也可以,安装“MAC采集点”程序是为了获取更及时、准确、全面的客户机网卡地址情况,且可有效进行IP-MAC绑定。 尽管客户不安装该程序,系统仍然可以跨
VLAN
获取机器MAC信息,所以本程序并非必须安装。 安装方法极其简单,只
需要
在选定的机器上运行此程序即可,不用任何配置.
华为交换机各种配置实例
交换机配置(一)
端口
限速基本配置 交换机配置(二)
端口
绑定基本配置 交换机配置(三)ACL基本配置 防止同
网段
ARP欺骗的ACL 交换机配置(四)密码恢复 交换机配置(五)三层交换配置 交换机配置(六)
端口
镜像
配置 交换机配置(七)DHCP配置 交换机配置(八)配置文件管理 交换机配置(九)远程管理配置 交换机配置(十)STP配置 交换机配置(十一)私有
VLAN
配置 交换机配置(十二)
端口
trunk、hybrid应用配置 其中包括各系列交换机的配置
【H3C V7路由器实战视频课程系列-4】NAT和
端口
镜像
配置与管理
本课程详细、深入介绍了H3C路由器中各种静态NAT,动态NAT,以及本地
端口
镜像
和远程
端口
镜像
的技术原理,以及具体应用配置与管理方法。课程中还有大量的实战实验案例,更容易加深对技术原理和配置思路、配置方法的理解。
2023年全国职业院校技能大赛-网络系统管理赛项题第4套A模块
2023年全国职业院校技能大赛 GZ073网络系统管理赛项 赛题第4套 模块A:网络构建 目 录 一、任务清单 1 (一)基础配置 1 (二)有线网络配置 1 (三)无线网络配置 3 (四)出口网络配置 4 (五)网络运维配置 5 (六)SDN网络配置 5 附录1:拓扑图 6 附录2:地址规划表 7 一、任务清单 (一)基础配置 1.根据附录1、附录2,配置设备接口信息。 2.所有交换机和无线控制器开启SSH服务,用户名密码分别为admin、Ruijie1234;密码为明文类型,特权密码为Ruijie123。 3.交换设备配置SNMP功能,向主机172.16.0.254发送Trap消息版本采用V2C,读写的Community为“Test1234”,只读的Community为“Public123”,开启Trap消息。 (二)有线网络配置 1.在全网Trunk链路上做
VLAN
修剪。 2.在S7交换机使用Private
Vlan
。 3.在S3上只针对A公司涉密部门
VLAN
10
网段
与总部
VLAN
40
网段
流量(ACL编号100)做
端口
镜像
,目的
端口
为
网络课程设计,使用交换机
利用华为交换机S3928 或S2116完成
端口
镜像
实现网络包的捕获 利用常见的协议分析软件对常见网络通信服务中使用的协议进行分析,针对分析对象设计相关应用软件。 3.1S2116交换机做接入层交换机,S3928做汇聚层交换机; 3.2 使用一台AR 28-11做核心层路由器,设该台路由器为KR,KR通过NAT的方式将一个
网段
上的数据包转发到另一个
网段
上; 3.3 S2116上与S3928上的同一
VLAN
可以相互通信; 3.4 设与S2116相连的计算机为C1,与KR相连的计算机为C2,并且C1和C2处于
两个
完全不同的
网段
上(如C1的网址为192.168.1.3,而C2的网址为10.0.0.3)要求C1和C2之间可以进行通信,并且数据包均要流经S2116、S3928、KR。 在Linux平台上,使用Tomcat+mysql工具,搭建一个能够显示一个动态网页的简单的网站(动态内容必须从数据库中获取)。 在Linux系统下使用iptables构建网络防火墙。配置包括: •内核中开启IP转发功能; •分析数据过滤需以及数据流向; •根据分析结果设定iptables规则。
通信技术
4,358
社区成员
28,927
社区内容
发帖
与我相关
我的任务
通信技术
通信技术相关讨论
复制链接
扫一扫
分享
社区描述
通信技术相关讨论
社区管理员
加入社区
获取链接或二维码
近7日
近30日
至今
加载中
查看更多榜单
社区公告
暂无公告
试试用AI创作助手写篇文章吧
+ 用AI写文章