什么是交换机端口镜像及其工作原理

admin管理员组

文章数量:1532719

2024年2月11日发(作者：)

文档来源为:从网络采集整理.word版本可编辑.欢迎下载支持.

什么是交换机端口镜像及其工作原理

端口镜像（port Mirroring)把交换机一个或者多个端口（VLAN）的数据镜像到一个或者多个端口的方法。

在一些交换机中，我们可以通过对交换机的配置来实现将某个端口上的数据包，拷贝一份到此外一个端口上，这个过程就是“端口镜像”，如下图：

端口1 为镜像端口，端口2 为被镜像端口；因为通过端口1可以看到端口2的流量，所以，我们也称端口1为监控端口，而端口2为被监控端口。

市面上，绝大多数交换机（如cisco产品)的某个口被设置为镜像端口后，接到该端口的主机将无法发送数据包到网内其他机器，变成为了“单向接受”模式； 这种情况，并不利于监控，因为系统无发发送封包到客户机，而导致无法对客户机进行控制；如碰到此无非“网路岗”针对此类情况有专门的解决手段，类情况，用 户可以咨询我公司技术人员。

无非仍然有部份交换机除外，比如：TPLink-SF2005或者TP-Link2428web，因为其价格便 宜， 功能实用，因此我们普通建议客户购买这两款交换机进行监控。注：如果监控的电脑超过了40台建议用TP-Link2428web,这款交换机自带网管功 能，性能比TPLink-SF2005高，而且还有两个千M电口可以做为监控使用。如果使用其它品牌的交换机只要支持端口镜像功能的话也同样可以达到上网 监控，qq和msn聊天监控，邮件监控及抓包分析的效果。

端口镜像的目的

由于部署 IDS 产品需要监听网络流量（网络分析仪同样也需要），但是在目前广泛采用的交换网络中监听所有流量有相当大的艰难，因此需要通过配置交（VLAN）的数据转发到某一个端口来实现对网络的监听。 换机来把一个或者多个端口 端口镜像的功能

监视到进出网络的所有数据包，供安装了监控软件的管理服务器抓取数据,如网吧需提供此功能把数据发往公安部门审查。而企业出于信息安全、保护公司机密的 需要，也迫切需要网络中有一个端口能提供这种实时监控功能。在企业中用端口镜像功能，可以很好的对企业内部的网络数据进行监控管理，在网络出现故障的时 候，可以做到很好地故障定位。普通通过配置端口镜像，安装网路岗监控上网行为管理软件就可以实现对整个网络的监控了。

(备注：交换机把某一个端口接收或者发送的数据帧彻底相同的复制给另一个端口；其中被复制的端口称为镜像源端口，复制的端口称为镜像目的端口。)

端口镜像通常有以下几种别名：

Port Mirroring 通常指允许把一个端口的流量复制到此外一个端口，同时这个端口不能再传输数据。

1文档采集于互联网，如有不妥请联系删除.

文档来源为:从网络采集整理.word版本可编辑.欢迎下载支持.

Monitoring Port 监控端口

Spanning Port 通常指允许把所有端口的流量复制到此外一个端口，同时这个端口不能再传输数据。

SPAN port 在 Cisco 产品中，SPAN 通常指 Switch Port ANalyzer。某些交换机的 SPAN 端口不支持传输数据。

Link Mode port这样，这些流量就可以被一个特殊的设备监控。它对发现和修理故障有很大的匡助。

端口镜像工作原理：SPAN(Switched Port Analyzer)的作用主要是为了给某种网络分析器提供网络数据流。

它既可以实现一个VLAN中若干个源端口向一个监控端口镜像数据，也可以从若干个VLAN向一个临控端口镜像数据。源端口的5号端口上流转的所有数据流 均被镜像至10号监控端口，而数据分析设备通过监控端口接收了所有来自5号端口的数据流。值得注意的是，源端口和镜像端口必须位于同一台交换机上(但也有 例外，如Catalyst 6000系列交换机)；而且SPAN并不会影响源端口的数据交换，它只是将源端口发送或者接收的数据包副本发送到监控端口。

在SPAN任务过程中，用户可以通过参数控制，来指明需要监控的数据流种类；还可以将一个或者多个端、口、一个或者多个VLAN作为源端口，并将从这些端口 中发送或者接收的单向或者双向数据流传送至监控端口。在Catalyst 4006交换机中，最多可以配置6个单向的SPAN任务：2个输入数据流监控、4个输出数据流监控。一个双向SPAN任务实际上包含一个单向输入和一个单 向输出。而且不仅仅二层交换端口可作为源端口，Catalyst 4006上的三层路由端口也可设置为源端口。

SPAN 任务不会影响交换机的正常工作。当一个SPAN任务被建立后，根据交换机所处的不同的状态或者操作，任务会处于激活或者非激活状态，同时系统会将其记入日志。通过“show monitor session”命令可显示SPAN的当前状态。

如果遇到系统重新启动的情况，在目的端口初始化结束之前，SPAN任务将处于非激活状态。目的端口(监控端口)可以是交换机上的任意一个交换或者路由端口。当一个目的端口处于激活状态时，任何发送到该端口且与SPAN任务无关的数据包将会被丢弃。

一个目的端口只能处于一个SPAN任务中。当一个端口被配制成目的端口后就不能再成为源端口，同时冗余链路端口也不能成为SPAN的目的端口。特殊需要指出的是，如果一个 Trunk端口被配置成为SPAN的目的端口，则其Trunk功能也将自动住手。

源 端口又可以称作被监控端口。在一个SPAN任务中，可以有一个或者多个源端口，而且可以根据用户需要设置为输入方向、输出方向或者双向，但无论哪种情况，在一 个SPAN任务中，所有源端口的被监控方向都必须是一致的。在Catalyst 4006交换机上的VLAN也可以整体设置为源端口，这意味着被指定VLAN中的所有端口均为当前SPAN任务中的源端口。

2文档采集于互联网，如有不妥请联系删除.

文档来源为:从网络采集整理.word版本可编辑.欢迎下载支持.

Trunk端口可以单独设为源端口，也可以与非Trunk端口一起被设置为源端口，但要注意的是，在监控端口不会识别来自Trunk端口针对不同VLAN的数据封装格式，换句话说，在监控端口收到的数据包将无法辨明是来自哪个VLAN。

SPAN数据流主要分为三类：

(1)输入数据流(Ingress SPAN)：指被源端口接收进来，其数据副本发送至监控端口的数据流

(2)输出数据流(Egress SPAN)：指从源端口发送出去，其数据副本发送至监控端口的数据流

(3)双向数据流(Both SPAN)：即为以上两种的综合。

基于VLAN的SPAN是以一个或者几个VLAN作为监控对象，其中的所有端口均为源端口，与基于端口的SPAN类似，基于VLAN的SPAN也分为输入数据流、输出数据流和双向数据流监控三种类型。

在配置基于VLAN的SPAN任务过程中，应注意几点：

(1)Trunk端口可以包含在源端口中

(2)针对双向SPAN任务，如果在源VLAN中的两个源端口之间有数据交换，则每一个数据包将有两个副本被转发至镜像端口

(3)对有多个源VLAN的SPAN任务来说，如果某个源VLAN被删除掉，则该VLAN也将从源VLAN列表中删除

(4)处于非激活状态的VLAN无法参预SPAN任务；

(5)对于一个设置为输入数据流监控的源VLAN来说，来自其他VLAN的路由信息数据包不会被镜像；此外，从设置为输出数据流监控的VLAN向其他 VLAN发送出的路由信息数据包也同样不会被镜像。换句话说，基于VLAN的SPAN任务只对进出二层交换端口的数据包进行镜像，而不镜像VLAN之间的 路由信息。

所有网间传输的非路由数据包，包括组播包和BPDU(桥接协议数据单元)包，都可以使用SPAN任务进行镜像。

在一些SPAN任务的配置下，会浮现同一个SPAN源端口数据包的多个副本被发送到 SPAN监控端口的情况。正像前面提到的那样，在一个双向SPAN任务中，假设a1和a2为源端口，d1为目的端口，如果a1与a2之间有数据包传输，则 在a1传向a2的数据包将会被传送到d1两次，反之亦然。

镜像端口建立方法

Cisco CATALYST交换机端口监听配置

3文档采集于互联网，如有不妥请联系删除.

文档来源为:从网络采集整理.word版本可编辑.欢迎下载支持.

Cisco CATALYST交换机分为两 种，在CATALYST家族中称侦听端口为分析端 口(analysis port)。1、Catalyst 2900XL/3500XL/2950系列交换机端口监听配 置 (基于CLI)

以下命令配置端口监听：port monitor

例 如，F0/1和F0/2、F0/3同属VLAN1，F0/1监听F0/2、F0/3端口：

interface FastEthernet0/1

port monitor FastEthernet0/2

port monitor FastEthernet0/3

port monitor VLAN1

2、Catalyst 4000，5000 and 6000系列交换机端口监听配 置 (基于IOS)

以下命令配置端口监听： set span

例如，模块1中端口1和端口2同属VLAN1，端口3在VLAN2，端口4和5在VLAN2，端口2监听端 口1和3、4、5，

set span 1/1，1/3-5 1/2

2950/3550/3750 格式如下：

#monitor session number source interface mod_number/port_number

both

#monitor session number destination interface

mod_mnumber/port_number

//rx-->指明是进端口得流量，tx-->出端口得流量 both 进出得流量

for example:

第一条镜像，将第一模块中的源端口为1-10的镜像到端口12上面；

#monitor session 1 source interface 1/1-10 both

#monitor session 1 destination interface 1/12

第二条镜像，将第二模块中的源端口为13-20的镜像到端口24上面；

#monitor session 2 source interface 2/13-20 both

#monitor session 2 destination interface 2/24

当有多条镜像、多个模块时改变其中的参数即可。

Catalyst 2950 3550不支持port monitor

4文档采集于互联网，如有不妥请联系删除.

文档来源为:从网络采集整理.word版本可编辑.欢迎下载支持.

C2950#configure terminal

C2950(config)#

C2950(config)#monitor session 1 source interface fastEthernet 0/2

!--- Interface fa 0/2 is configured as source port.

C2950(config)#monitor session 1 destination interface fastEthernet

0/3

!--- Interface fa0/3 is configured as destination port.

华为交换机端口镜像配置简单介绍

『环境配置参数』

1. PC1接在交换机E0/1端口，IP地址

2. PC2接在交换机E0/2端口，IP地址

3. E0/24为交换机上行端口

4. Server接在交换机E0/8端口，该端口作为镜像端口

『组网需求』

1.通过交换机端口镜像的功能使用server对两台pc的业务报文进行监控。

2.按照镜像的不同方式进行配置：

1)基于端口的镜像

2)基于流的镜像

二、 数据配置步骤『端口镜像的数据流程』

基于端口的镜像是把被镜像端口的进出数据报文彻底拷贝一份到镜像端口，这样来进行流量观测或者故障定位。

【3026等交换机镜像】

S2022/S2022/S2026/S2403H/S3026等交换机支持的都是基于端口的镜像，有两种方法：

方法一

5文档采集于互联网，如有不妥请联系删除.

文档来源为:从网络采集整理.word版本可编辑.欢迎下载支持.

1. 配置镜像（观测）端口

[SwitchA]monitor-port e0/8

2. 配置被镜像端口

[SwitchA]port mirror Ethernet 0/1 to Ethernet 0/2

方法二

1. 可以一次性定义镜像和被镜像端口

[SwitchA]port mirror Ethernet 0/1 to Ethernet 0/2 observing-port

Ethernet 0/8

【8016交换机端口镜像配置】

1.假设8016交换机镜像端口为E1/0/15，被镜像端口为E1/0/0，设置端口1/0/15为端口镜像的观测端口。

[SwitchA] port monitor ethernet 1/0/15

2.设置端口1/0/0为被镜像端口，对其输入输出数据都进行镜像。

[SwitchA] port mirroring ethernet 1/0/0 both ethernet 1/0/15

也可以通过两个不同的端口，对输入和输出的数据分别镜像

1. 设置E1/0/15和E2/0/0为镜像（观测）端口

[SwitchA] port monitor ethernet 1/0/15

2.设置端口1/0/0为被镜像端口，分别使用E1/0/15和E2/0/0对输入和输出数据进行镜像。

[SwitchA] port mirroring gigabitethernet 1/0/0 ingress ethernet

1/0/15

[SwitchA] port mirroring gigabitethernet 1/0/0 egress ethernet 2/0/0

『基于流镜像的数据流程』

基于流镜像的交换机针对某些流进行镜像，每一个连接都有两个方向的数据流，对于交换机来说这两个数据流是要分开镜像的。

【3500/3026E/3026F/3050】

6文档采集于互联网，如有不妥请联系删除.

文档来源为:从网络采集整理.word版本可编辑.欢迎下载支持.

〖基于三层流的镜像〗

1. 定义一条扩展访问控制列表

[SwitchA]acl num 100

2. 定义一条规则报文源地址为

[SwitchA-acl-adv-101]rule 0 permit ip source 0 destination any

3. 定义一条规则报文源地址为所有源地址目的地址为

[SwitchA-acl-adv-101]rule 1 permit ip source any destination 0

4.将符合上述ACL规则的报文镜像到E0/8端口

[SwitchA]mirrored-to ip-group 100 interface e0/8

〖基于二层流的镜像〗

1.定义一个ACL

[SwitchA]acl num 200

2.定义一个规则从E0/1发送至其它所有端口的数据包

[SwitchA]rule 0 permit ingress interface Ethernet0/1 egress

interface Ethernet0/2

3.定义一个规则从其它所有端口到E0/1端口的数据包

[SwitchA]rule 1 permit ingress interface Ethernet0/2 egress

interface Ethernet0/1

4.将符合上述ACL的数据包镜像到E0/8

[SwitchA]mirrored-to link-group 200 interface e0/8

【5516/6506/6503/6506R】

目前该三款产品支持对入端口流量进行镜像

1.定义镜像端口

[SwitchA]monitor-port Ethernet 3/0/2

7文档采集于互联网，如有不妥请联系删除.

文档来源为:从网络采集整理.word版本可编辑.欢迎下载支持.

2.定义被镜像端口

[SwitchA]mirroring-port Ethernet 3/0/1 inbound

【补充说明】

1. 镜像普通都可以实现高速率端口镜像低速率端口，例如1000M端口可以镜像100M端口，反之则无法实现

2. 8016支持跨单板端口镜像

三、 测试验证在观测端口上通过工具软件可以看到被镜像端口的相应的报文，可以进行流量观测或者故障定位

注意！在此提醒一下各位，相同型号不同版本的设备，配置方法有时是有差异的，最终还是要以版本对应的操作手册为准。其它品牌的交换机如何镜像参照像关的交换机说明文档配置正确即可，在此就不一一列出来了。

有效正确的配置好交换机的端口镜像才可以正常的使用网路岗上网监控管理软件， 普通配置镜像只要把总出口的数据镜像到对应的网路岗服务器所连交换机的那个口就可以了，即我们说的一对一的端口镜像，如果没有特殊的需要，大家不要做多对 一的端口镜像，即把多个源端口的数据镜像到一个口上，因为普通情况下，只要把总出口的数据镜像到网路岗上就可以实现对整个网络的监控管理了。

熟练掌握下面的交换机端口镜像配置知识点，你只需花几分钟的时间就完成交换机端口镜像配置。本地连接也将在文中提到。

【3026等交换机镜像】

S2022/S2022/S2026/S2403H/S3026等交换机支持的都是基于端口的镜像，有两种方法：

方法一：

◆配置镜像(观测)端口[SwitchA]monitor-port e0/8

◆配置被镜像端口[SwitchA]port mirror Ethernet 0/1 to Ethernet 0/2

方法二：

◆可以一次性定义镜像和被镜像端口[SwitchA]port mirror Ethernet 0/1

to Ethernet 0/2 observing-port Ethernet 0/8

【8016交换机端口镜像配置】

8文档采集于互联网，如有不妥请联系删除.

文档来源为:从网络采集整理.word版本可编辑.欢迎下载支持.

◆假设8016交换机镜像端口为E1/0/15，被镜像端口为E1/0/0，设置端口1/0/15为交换机端口镜像配置的观测端口。[SwitchA] port monitor ethernet

1/0/15

◆设置端口1/0/0为被镜像端口，对其输入输出数据都进行镜像。[SwitchA]

port mirroring ethernet 1/0/0 both ethernet 1/0/15

也可以通过两个不同的端口，对输入和输出的数据分别镜像

◆设置E1/0/15和E2/0/0为镜像(观测)端口[SwitchA] port monitor

ethernet 1/0/15

◆设置端口1/0/0为被镜像端口，分别使用E1/0/15和E2/0/0对输入和输出数据进行镜像。[SwitchA] port mirroring gigabitethernet 1/0/0 ingress

ethernet 1/0/15[SwitchA] port mirroring gigabitethernet 1/0/0 egress

ethernet 2/0/0

『基于流镜像的数据流程』

基于流镜像的交换机针对某些流进行镜像，每一个连接都有两个方向的数据流，对于交换机来说这两个数据流是要分开镜像的。

【3500/3026E/3026F/3050】

〖基于三层流的镜像〗

◆定义一条扩展访问控制列表[SwitchA]acl num 101

◆定义一条规则报文源地址为 0 permit ip source 0 destination any

◆定义一条规则报文源地址为所有源地址目的地址为 1 permit ip source

any destination 0

◆将符合上述ACL规则的报文镜像到E0/8端口[SwitchA]mirrored-to

ip-group 101 interface e0/8

〖基于二层流的镜像〗

◆定义一个ACL[SwitchA]acl num 200

◆定义一个规则从E0/1发送至其它所有端口的数据包[SwitchA]rule 0

permit ingress interface Ethernet0/1 (egress interface any)

◆定义一个规则从其它所有端口到E0/1端口的数据包[SwitchA]rule 1

permit (ingress interface any) egress interface Ethernet0/1

9文档采集于互联网，如有不妥请联系删除.

文档来源为:从网络采集整理.word版本可编辑.欢迎下载支持.

◆将符合上述ACL的数据包镜像到E0/8[SwitchA]mirrored-to link-group

200 interface e0/8

【5516】

支持对入端口流量进行镜像配置端口Ethernet 3/0/1为监测端口，对Ethernet 3/0/2端口的入流量镜像。[SwitchA]mirror Ethernet 3/0/2

ingress-to Ethernet 3/0/1

【6506/6503/6506R】

目前该三款产品只支持对入端口流量进行镜像，虽然有outbount参数，但是无法配置。镜像组名为1，监测端口为Ethernet4/0 /2，端口Ethernet4/0/1的入流量被镜像。[SwitchA]mirroring-group 1 inbound Ethernet4/0/1

mirrored-to Ethernet4/0/2

【补充说明】

◆镜像普通都可以实现高速率交换机端口镜像配置低速率端口，例如1000M端口可以镜像100M端口，反之则无法实现。

◆8016支持跨单板交换机端口镜像配置。

先解释一下端口镜像：端口镜像简单的说，就是把交换机一个（数个）端口（源端口）的流量彻底拷贝一份，从此外一个端口（目的端口）发

出去，以便网络管理人员从目的端口通过分析源端口的流量来找出网络存在问题的原因。

cisco的端口镜像叫做switched port analyzer，简称span（仅在ios系统中，下同），因此，端口镜像仅合用于以太网交换端口。cisco的span

分成三种，span、rspan和vspan，简单的说，span是指源和目的端口都在同一台机器上、rspan指目的和源不在同一交换机上，vspan可以镜像

整个或者数个vlan到一个目的端口。

配置方法：

1. span

(1) 创建span源端口

monitor session [i]session_number[/i] source interface interface-id [, | -] [both | rx | tx]

**[i]session_number[/i],span会话号， 记得3550支持的最多本地span是2个，即1或者2。

**interface-id [, | -]源端口接口号，即被镜像的端口，交换机会把这个端口的流量拷贝一份，可以输入多个端口，多个用“,”隔开，

连续的用“-”连接。

**[both | rx | tx]，可选项，是指拷贝源端口双向的(both)、仅进入(rx)还是仅发出(tx)的流量，10文档采集于互联网，如有不妥请联系删除.

文档来源为:从网络采集整理.word版本可编辑.欢迎下载支持.

默认是both。

(2)创建span目的端口

monitor session session_number destination interface interface-id [encapsulation {dot1q [ingress

vlan vlan id] | isl

[ingress]} | ingress vlan vlan id]

**一样的 就不说了。

**session_number要和上面的一致。

**interface-id目的端口，在源端口被拷贝的流量会从这个端口发出去，端口号不能被包含在源端口的范围内。

**[encapsulation {dot1q | isl}]，可选，指被从目的端口发出去时是否使用802.1q和isl封装，当使用802.1q时，对于本地vlan不进行封

装，其他vlan封装，isl则全部封装。

(1)创建vspan源vlan

monitor session session_number source vlan vlan-id [, | -] rx

**一样的也不说了，基本和span相同，只是接口号变成为了vlan号，而且只能镜像接收的流量。

(2)创建vspan目的端口

monitor session session_number destination interface interface-id [encapsulation {dot1q | isl}]

**和span的一样。

rspan的配置较为复杂，其流程可以这样来看，交换机把要镜像的端口流量复制一份，然后发到本机的一个反射端口上（reflector-port ）

，在由反射端口将其通过网络转发到目的交换机中的vlan上（普通情况下，这个vlan是专为镜像而设的，不要作为客户端接入所用），再在目

的交换机中配置vspan，将该vlan的流量镜像到目的端口，要注意的是，一旦这种rspan被使用，该镜像专用vlan的信息会被转发到所有的vlan

主干上，造成网络带宽的浪费，因此要配置vlan修剪(pruning)，此外rspan也可以镜像vlan。

(1)在源交换机上创建rspan源端口

**同span或者vspan

(2)在源交换机上创建vspan反射端口和目的vlan

monitor session session_number destination remote vlan vlan-id reflector-port interface

**vlan-id 目的交换机上转为镜像而设的vlan

**reflector-port interface源交换机上的镜像端口

(3)在目的交换机上创建vspan源vlan

11文档采集于互联网，如有不妥请联系删除.

文档来源为:从网络采集整理.word版本可编辑.欢迎下载支持.

monitor session session_number source remote vlan vlan-id

**vlan-id就是上面的镜像专用vlan

(4)在目的交换机上创建vspan目的端口

monitor session session_number destination interface interface-id [encapsulation {dot1q | isl}]

**同span

4.其他

(1)端口镜像的过滤，端口镜像是可以做filter的。

monitor session session_number filter vlan vlan-id [, | -]

**指定源端口进入的流量中，属于哪些vlan的可以从目的端口发出去。

(2)删除镜像

no monitor session {session_number | all | local | remote}

**session_number指定会话号，all是所有镜像，local是本地镜像，remote是远程镜像。

(3)镜像的目的端口不能正常收发数据，因此不能再作为普通端口使用，可以连接一些网络分析和安全设备，例如装有sniifer的计算机或者cisco ids设备。

12文档采集于互联网，如有不妥请联系删除.

本文标签： 端口镜像交换机监控