如何判断镜像是否成功?

4.1

作者:
笨驴技术
主页:
http://www.imfirewall.com

1. 如何判断端口镜像是否成功?

旁路方式实现网络监控需要端口镜像的支持。但是,我们常常会发现镜像端口已经配置好了,可还是不能实现监控。下面介绍5种可能导致镜像端口配置不成功的原因:

  1. 配置的镜像端口和实际连接的不一致。比如镜像的是5号端口,但是实际连接的是6号端口,建议检查一下接线。
  2. 超级嗅探狗实现监控需要双向(发送+接收)数据包,如果只镜像了单向数据是无法实现监控的。
  3. 安装嗅探狗的电脑要直接接到镜像端口。
  4. 超级嗅探狗的“监听网卡”和“IP段设置”设置不正确。
  5. 监控主机的杀毒软件或者防火墙原因。有些杀毒软件或者防火墙会自动丢弃掉非本机的数据包。建议关掉防火墙和杀毒软件以排除其影响。已知的有影响的软件有:NOD32、瑞星。

下面简单介绍一下怎样检查镜像端口配置是否成功:

  1. 在监控主机上,右击网上邻居--->属性-->右击本地连接-->状态,如下图所示:



  2. 图 1

  3. 当接收到的数据远远大于发出的数据,说明镜像端口配置成功。



  4. 图 2

2. 端口镜像会影响网速吗?

端口镜像功能是通过交换机的硬件芯片来实现的,理论上讲不会对网络产生任何影响。但是在实际使用中,对于有些硬件(硬件老化或者芯片处理性能不佳),不合理的镜像配置会导致交换机负荷太大从而影响交换机正常工作。

所以我们在配置镜像的时候,要考虑到几个原则:

  1. 尽量采用一对一镜像。就是说,一个镜像源端口对应一个目的端口。试想一下,如果你把两个100M口的数据都发送到一个100M的目的端口,目的端口怎么能够来得及处理呢。
  2. 如果由于某些原因必须要有多个镜像源端口,需要考虑到每个源端口的最大流量,总和不能超过目标端口(一般是100M),否则会有丢包。
  3. 只需要镜像互联网端口的数据即可(连接路由器或者防火墙的端口),不需要把所有端口都设置成被镜像口。
  4. 在交换机不支持镜像口通讯的情况下,或者监控的电脑台数比较多时(超过50台),建议使用两块网卡:一块用于监听、另外一块用于封堵和通讯。