项目实例:H3C端口镜像 (镜像单目的端口 镜像多目的端口)
一、项目实例
某局业务系统三级等保项目:配置只列出端口镜像部分,其他部分及设备(略)
1.1 边界部署两台防火墙做HA高可用
1.2 核心使用两台H3C交换机做堆叠,上联线路分别连接防火墙(主)、防火墙(备)
1.3 下联线路连接业务中心、安全监察中心
1.4 IDS入侵检测设备对核心上联线路出入流量做镜像监测
1.5 数据库审计设备对业务中心出入流量做镜像监测
1.6 将核心出口流量全部镜像发往安全监察中心
二、端口说明及网络TOP简图
2.1 核心1-2 :G1/0/0/23、G1/0/0/24、 G2/0/0/23、G2/0/0/24; 4个上联口为镜像源端口(Port Mirroring)
2.2 核心1-2 :G1/0/0/1 G2/0/0/1 连接业务中心端口为镜像源端口(Port Mirroring)
2.3 数据库审计设备G1/0/0/9 为镜像目的端口 (Monitoring Port)
2.4 IDS入侵检测G1/0/0/10 为镜像目的端口 (Monitoring Port)
2.5 其他安全设备G1/0/0/11-15 为镜像目的端口 (Monitoring Port)
2.6 空闲端口XG1/0/0/25 为镜像反射口 (Reflector-Port)
2.7 VLAN1000 为安全监察中心VLAN (将所有安全监察设备的端口,加入VLAN1000中,IDS
、数据库审计设备除外)
三、配置需求
3.1 将核心4个上联接口的出入流量,镜像发往IDS入侵检测设备
3.2 将核心2个连接业务中心接口的出入流量, 镜像发往数据库审计设备
3.3 创建一个监察VLAN 1000,将多个安全监察的设备加入VLAN1000。核心4个上联接口的出入流量发往安全监察中心
四、端口镜像具体配置
4.1 单目的镜像端口设置
将需要镜像的源端口出入流量发给一个目的镜像端口的设备做流量监控
1 ) 实例1: 将核心上联端口的出入流量镜像发给IDS入侵检测设备
[H3C]mirroring-group 1 local #创建本地镜像组1
[H3C]mirroring-group 1 mirroring-port g1/0/0/23 to g1/0/0/24 both #配置镜像组源端口,流量为双向
[H3C]mirroring-group 1 mirroring-port g2/0/0/23 to g2/0/0/24 both #配置镜像组源端口,流量为双向
[H3C]mirroring-group 1 monitor-port g1/0/0/10 #配置镜像组目的端口为IDS入侵检测
[H3C]dis mirroring-group all #查看镜像组
2)实例2:将业务中心的出入流量镜像发给数据库审计设备
[H3C]mirroring-group 2 local #创建本地镜像组2
[H3C]mirroring-group 2 mirroring-port g1/0/0/1 both #配置镜像组源端口,流量为双向
[H3C]mirroring-group 2 mirroring-port g2/0/0/1 both #配置镜像组源端口,流量为双向
[H3C]mirroring-group 2 monitor-port g1/0/0/9 #配置镜像组目的端口为数据库审计设备
[H3C]dis mirroring-group all #查看镜像组
4.2 多目的镜像端口设置
安全监察中心的多个设备需要对核心出入的流量做镜像监控,将核心出入流量镜像发往安全监察中心VLAN1000
[H3C]vlan 1000
[H3C-vlan1000] port g1/0/0/11 to g1/0/0/15 #将安全监察中心设备的端口将入到VLAN1000,IDS、数据库审计设备端口除外[H3C]mirroring-group 3 remote-source #创建远程源镜像组3
[H3C]mirroring-group 3 mirroring-port g1/0/0/23 to g1/0/0/24 both #配置镜像组源端口,流量为双向
[H3C]mirroring-group 3 mirroring-port g2/0/0/23 to g1/0/0/24 both #配置镜像组源端口,流量为双向
[H3C]mirroring-group 3 reflector-port XGE1/0/0/25 #配置为镜像组3的反射口,设备上任意未使用端口
[H3C]mirroring-group 3 remote-probe vlan 1000 #配置VLAN1000作为镜像组3的远程镜像VLAN
[H3C]dis mirroring-group all #查看镜像组
项目实例:H3C端口镜像 (镜像单目的端口 镜像多目的端口)相关推荐
- linux 端口 镜像吗,Linux如何实现镜像端口
在所有高端型号,大多数中端型号以及部分低端型号的交换机/路由器上,都可以配置一个或者多个镜像端口,它是流量分析的利器.然而,Linux上没有现成的技术可以实现镜像端口,当然,我指的不是Linux 3. ...
- 端口镜像(基于流的镜像)
[如果您感觉这系列文章有用,还请帮我点个赞,收个藏,让更多的人看到这篇文章] 应用场景: 基于流的镜像:适用在进行网络故障排查时,端口的流量太大,如果进行普通的端口镜像将会导致PC性能无法承受,也难以 ...
- linux 端口镜像软件,Linux Bridge的镜像端口实现
很多种交换机上都可以配置镜像端口,也就是说所有的流量都要顺便发一份到镜像端口,一般都是在镜像端口上接一个主机,上面开启抓包或者审计程序,保证时刻监控网络流量.镜像端口解决了学习型交换机无法抓包的问题. ...
- 源NAT,目的NAT和PAT以及端口映射的区别?
源NAT,目的NAT和PAT以及端口映射的区别? 参考链接: 1.https://blog.51cto.com/hzcto/2418606 2.[转载]网络地址转换(NAT)和端口映射 https:/ ...
- 具有对称性质的单参数混沌镜像系统的切换控制
近年来,混沌已经应用到许多工程领域,例如:信息科学.复杂神经网络.信号处理.通信保密等.因此,许多学者一直探索新的混沌动力学. 一些简单的光滑三维二次连续自治系统能生成混沌.1994年,Sportt提 ...
- 线上Go项目的Docker镜像应该怎么构建?
上期的文章:Kubernetes入门实践--部署运行Go项目发布后,有网友留言说我文章里演示的镜像是把项目文件和Go都打包到了镜像里,这样镜像的占用空间会比较大. Go开发的程序在编译成二进制文件后是 ...
- h3c trunk口改access_H3CNE配置VLAN的Access链路端口和Trunk链路端口
实验 4 VLAN 实验任务一:配置Access链路端口 本实验任务通过在交换机上配置Access链路端口而使PC处于不同VLAN,隔离PC间的访问,从而使学员加深对Access链路端口的理解. 步骤 ...
- h3c trunk口改access,区别:交换机三种端口模式Access、Hybrid和Trunk
[导读]很多朋友一直在问到交换机的几种端口具体是什么作用,这个确实在我们平时中很多朋友容易忽略,那么我们今天来了解下这方面的内容. 很多朋友一直在问到交换机的几种端口具体是什么作用,这个确实在我们平时 ...
- Docker 学习笔记(Docker 架构 / 镜像 / 容器 / 常用命令 / Dockerfile / 镜像仓库)
Docker 1. Docker 入门 1.1 Docker 是什么 1.2 Docker 和 虚拟机 1.3 镜像 容器 仓库 1.4 Docker 架构 1.5 Docker 安装 1.6 doc ...
- 数据库镜像怎么还原数据库_镜像数据库上的日志传送
数据库镜像怎么还原数据库 Both log shipping and mirroring are high availability and disaster recovery options ava ...
最新文章
- 【FFmpeg】FFmpeg常用基本命令
- Python 的列表的一些方法
- 反编译工具dnspy的安装与使用;
- redis学习与入门~~~
- 汇编语言中常用指令对标志位寄存器的影响
- Dynamics CRM2011 通过DeveloperToolkit在VS中部署遇到的问题
- UE4 Light Functions(光源函数)
- hibernate的入门
- AngularJS 的常用特性(四)
- 【HDU-5246】超级赛亚ACMer(贪心)
- TTL转USB TTL 232 CH340
- 客户管理系统代码项目_低代码案例:快速交付包含门店销售终端的SCM供应链管理系统...
- 搜索引擎的查找算法实现
- SpringBoot整合腾讯云直播,生成推拉流配置及工具类详细讲解!
- 如何挑选合适的卫星影像
- 如何注册网站域名?需要注意哪些事项?
- 嵌入式学习(四)——串口
- 计算机图形学——区域填充算法
- 给力!低代码开发平台广州流辰信息科技助您增辉创价值!
- 手机开热点显示互联网无服务器,win10热点无互联网连接的具体解决办法【图文】...