旁路镜像、端口镜像、旁路监控

常见的网络监控模式可以分为两种

一种是旁路监控模式
另一种是串联监控模式。

“旁路监控模式”一般是指通过交换机等网络设备的“端口镜像”功能来实现监控，在此模式下，监控设备只需要连接到交换机的指定镜像端口，所以形象的称之为“旁路监控”。

而串联模式一般是通过网关、网桥或者代理服务器的模式来进行监控，由于监控设备做为网关或者网桥串联在网络中，所以称之为“串联监控模式”。

旁路模式的优缺点

优点：

旁路监控模式部署起来比较灵活方便，只需要在交换机上面配置镜像端口即可。不会影响现有的网络结构。而串联模式一般要作为网关、网桥或者代理服务器，所以需要对现有网络结构进行变动。
旁路模式分析的是镜像端口拷贝过来的数据，对原始传递的数据包不会造成延时，不会对网速造成任何影响。而串联模式是串联在网络中的，那么所有的数据必须先经过监控系统，通过监控系统的分析检查之后，才能够发送到各个客户端，所以会对网速有一定的延时。
旁路监控设备一旦故障或者停止运行，不会影响现有网络。而串联监控设备如果出现故障，会导致网络中断。

缺点：

需要交换机或者路由支持“端口镜像”功能才可以实现监控。
旁路模式采用发送RST包的方式来断开TCP连接，不能禁止UDP通讯。对于UDP应用，一般还需要在路由器上面禁止UDP端口进行配合。而串联模式不存在该问题。

串联模式的优缺点

优点：

利用windows自带的“网关”、“网桥”功能即可实现，不需要硬件设备的支持。
可以禁止UDP通讯数据包。

缺点：

需要更改现有的网络结构。
与“旁路监控”相比较，“网关”、“网桥”的配置更加复杂些。
由于是串联模式，当局域网电脑台数多时，对网速有少许的影响。这个主要取决于电脑的硬件配置。

交换机镜像端口配置

用户模式：查看初始化相关信息
特权模式：查看所有信息、调试、保持配置信息
全局模式：配置所有信息、针对整个路由器或交换机的所有接口
接口模式：针对某一个接口的配置
线控模式：对路由器进行控制的接口配置

sw-1#show monitor      检查是否已存在镜像的配置
sw-1#conf t                    进入全局模式
sw-1<config>#monitor session 2 source int f0/12 both         监控端口f0/12（外网口或叫被镜像端口）  both代表双向监听数据   rx代表接收数据   tx代表发送数据
sw-1<config>#monitor session 2 destination int f0/24         把信息复制到f0/24（镜像端口）
sw-1<config>#end        返回
sw-1#show monitor session 2
把F0/12 进来的出去的数据复制一份给F0/24，这样我们在晟为就可以截取到数据了。

赏

谢谢你请我吃糖果

微信