網(wǎng)絡(luò)安全審計(jì)介紹與部署實(shí)施

一、網(wǎng)絡(luò)審計(jì)的概念

1.1 網(wǎng)絡(luò)審計(jì)的起源

審計(jì)起源于財(cái)務(wù)管理，用于審核企業(yè)經(jīng)營(yíng)行為是否合法，審計(jì)從財(cái)務(wù)入手，也就是審核賬務(wù)。把審計(jì)的概念引申到網(wǎng)絡(luò)中可以追溯到IDS（***檢測(cè)系統(tǒng)）研究的早期。最初是對(duì)主機(jī)日志的審計(jì)，發(fā)現(xiàn)***行為，后來發(fā)展成主機(jī)IDS技術(shù)【IDS技術(shù)可分為主機(jī)IDS和網(wǎng)絡(luò)IDS】。由于主機(jī)IDS只對(duì)主機(jī)的行為進(jìn)行檢測(cè)，并且要占用主機(jī)的寶貴資源，隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大，安全廠商想到了通過網(wǎng)絡(luò)鏈路鏡像的方式直接收集網(wǎng)絡(luò)原始信息，就是目前廣泛使用的網(wǎng)絡(luò)IDS。

1.2 網(wǎng)絡(luò)審計(jì)的定義

網(wǎng)絡(luò)審計(jì)就是在網(wǎng)絡(luò)鏈路上將數(shù)據(jù)包鏡像到服務(wù)器（一般可以是IDS,審計(jì)設(shè)備），后期審計(jì)時(shí)在服務(wù)器上進(jìn)行業(yè)務(wù)識(shí)別，將數(shù)據(jù)包還原分析進(jìn)而還原某個(gè)用戶某個(gè)特定時(shí)間的上網(wǎng)行為。以此來判斷用戶上網(wǎng)行為是否合法、提供不法行為證據(jù)、業(yè)務(wù)是否合規(guī)、也可分析當(dāng)前安全防御網(wǎng)絡(luò)系統(tǒng)中的漏洞安全隱患等。

注：審計(jì)行為不是針對(duì)外部***者的，而是針對(duì)網(wǎng)絡(luò)內(nèi)部用戶的。畢竟網(wǎng)絡(luò)中的大多數(shù)安全問題都來自內(nèi)部人員，其作用主要是安全威懾，后期調(diào)查取證。

二、網(wǎng)絡(luò)審計(jì)產(chǎn)品工作原理

2.1 產(chǎn)品設(shè)計(jì)架構(gòu)

在產(chǎn)品的設(shè)計(jì)架構(gòu)上分為控制中心、數(shù)據(jù)庫(kù)、控制臺(tái)、數(shù)據(jù)收集引擎幾個(gè)部分，采用分布式的部署方式。

2.2 信息獲取方式

1. 1、通過網(wǎng)絡(luò)鏈路鏡像方式

典型的方式就是網(wǎng)絡(luò)鏈路的端口鏡像(若是光鏈路也可以用分光設(shè)備)，就是把正常網(wǎng)絡(luò)的通訊信號(hào)(數(shù)據(jù))復(fù)制一份給鏡像設(shè)備。圖中藍(lán)線是IDS的信息收集，紅線是審計(jì)的信息收集。多對(duì)一的鏡像也可以根據(jù)產(chǎn)品的部署情況采用單獨(dú)的數(shù)據(jù)收集引擎，根據(jù)流量采用一對(duì)一鏡像，或多對(duì)一鏡像。

1. 2、從主機(jī)上信息收集方式

在主機(jī)上收集信息一般要安裝Agent軟件，也可以通過Syslog、SNMP等通訊協(xié)議從主機(jī)中獲取。主機(jī)IDS技術(shù)的早期也是對(duì)系統(tǒng)的日志進(jìn)行分析，后來發(fā)展到對(duì)主機(jī)的進(jìn)程、狀態(tài)進(jìn)行監(jiān)控；主機(jī)的系統(tǒng)操作日志、安全日志，數(shù)據(jù)庫(kù)上的操作日志，也同樣是審計(jì)系統(tǒng)的數(shù)據(jù)來源。

2.3 業(yè)務(wù)識(shí)別技術(shù)

收集到的信息需要進(jìn)一步處理，從網(wǎng)絡(luò)鏡像來的數(shù)據(jù)包，首先要還原成通訊協(xié)議，定位到具體的通訊連接，也就是我們常說的業(yè)務(wù)識(shí)別技術(shù)。IDS與審計(jì)的業(yè)務(wù)識(shí)別技術(shù)基本是相同的。

         無論是分析是否為***，還是要記錄用戶的行為過程，識(shí)別出用戶具體在做什么都是必然的。對(duì)于標(biāo)準(zhǔn)協(xié)議的識(shí)別與匹配相對(duì)是容易的，但是很多應(yīng)用采用了加密，或隱藏在其他的通訊協(xié)議中，如P2P等，要識(shí)別起來就比較麻煩，在流量管理技術(shù)中識(shí)別一般采用特征匹配技術(shù)，但是應(yīng)用的特征多，而且變化快，對(duì)于IDS設(shè)備來說，面對(duì)的***是未知的，可能是通過各種通訊手段的，所以對(duì)特征的識(shí)別要求較高一些；而對(duì)于審計(jì)產(chǎn)品來說，要審計(jì)的應(yīng)用是已知的，系統(tǒng)不提供的服務(wù)也沒有必要進(jìn)行審計(jì)，所以對(duì)特征識(shí)別需要簡(jiǎn)單一些。

三、網(wǎng)絡(luò)審計(jì)產(chǎn)品的主要功能

• 記錄使用者的操作行為（可能是內(nèi)部也可能是外部）。何時(shí)登錄，何時(shí)下線，做了什么事…

• 識(shí)別使用者的身份信息，識(shí)別使用者使用的主機(jī)IP。（一般審計(jì)系統(tǒng)都會(huì)與網(wǎng)絡(luò)身份認(rèn)證系統(tǒng)相連接，便于用戶身份信息識(shí)別）

• 利用鏡像到服務(wù)器上的流量可以還原使用者的操作過程。

• 審計(jì)記錄的數(shù)據(jù)是不可修改的。

• 網(wǎng)絡(luò)行為審計(jì)

審計(jì)網(wǎng)絡(luò)使用者在網(wǎng)絡(luò)上的“行為”，根據(jù)網(wǎng)絡(luò)的不同區(qū)域，安全關(guān)注的重點(diǎn)不同，分為不同專項(xiàng)審計(jì)產(chǎn)品。其信息獲取的方式分為：網(wǎng)絡(luò)鏡像方式與主機(jī)安裝代理方式。

4.1.1 網(wǎng)絡(luò)行為審計(jì)：

通過端口鏡像取得原始數(shù)據(jù)包，并還原成連接，恢復(fù)到相應(yīng)的通訊協(xié)議，如：FTP、Http、Telnet、SNMP等，進(jìn)而重現(xiàn)通過該鏈路的網(wǎng)絡(luò)行為。

目的：審計(jì)該鏈路上所有用戶在網(wǎng)絡(luò)上的“公共行為”，一般放在網(wǎng)絡(luò)的主干道上。

重點(diǎn)街區(qū)安裝的攝像機(jī)，對(duì)公共區(qū)域的公共安全進(jìn)行記錄。

缺點(diǎn)：識(shí)別技術(shù)很關(guān)鍵，產(chǎn)品要識(shí)別的應(yīng)用協(xié)議太多，對(duì)安全廠家來說是考驗(yàn)。

關(guān)心主要流量的應(yīng)用協(xié)議解析。但該方法對(duì)于應(yīng)用加密時(shí)就失去了審計(jì)的能力。

4.1.2 主機(jī)審計(jì)：

若網(wǎng)絡(luò)是街道，主機(jī)就是各個(gè)單位的內(nèi)部。在服務(wù)器上安裝審計(jì)代理，審計(jì)主機(jī)使用者的各種行為，把主機(jī)的系統(tǒng)、安全等日志記錄下來相當(dāng)于針對(duì)主機(jī)上運(yùn)行的所有業(yè)務(wù)系統(tǒng)的安全審計(jì)。主機(jī)審計(jì)在終端安全上的發(fā)展最主要的代表性的是非法外聯(lián)審計(jì)，防止涉密信息通過終端外泄。

目的：審計(jì)主機(jī)使用者的行為，或進(jìn)入該主機(jī)(服務(wù)器)的使用者的行為

缺點(diǎn)：主機(jī)審計(jì)需要安裝代理軟件，對(duì)主機(jī)的性能有一定的影響。另外審計(jì)代理的防卸載與防中斷運(yùn)行的能力是必需的，否則產(chǎn)生的審計(jì)“天窗”是致命的安全漏洞。

4.1.3 數(shù)據(jù)庫(kù)審計(jì)：

鏡像數(shù)據(jù)庫(kù)服務(wù)器前的鏈路，審計(jì)數(shù)據(jù)庫(kù)使用行為，可以重現(xiàn)到數(shù)據(jù)庫(kù)的操作命令級(jí)別，如SELECT、UPDATA等。

 目的：數(shù)據(jù)庫(kù)一般是應(yīng)用系統(tǒng)的核心，對(duì)數(shù)據(jù)庫(kù)的操作行為記錄一般能記錄用戶的不法行為過程，并且審計(jì)的操作記錄，也可以為數(shù)據(jù)庫(kù)恢復(fù)提供依據(jù)，對(duì)系統(tǒng)的破壞損失也可以減小。

主機(jī)審計(jì)：也可以在數(shù)據(jù)庫(kù)服務(wù)器上直接安裝審計(jì)終端，對(duì)數(shù)據(jù)庫(kù)進(jìn)行審計(jì)，或者可以利用數(shù)據(jù)庫(kù)系統(tǒng)自身的一些操作日志信息作為審計(jì)分析的數(shù)據(jù)的源。但不同的是數(shù)據(jù)庫(kù)系統(tǒng)的日志可以刪除，審計(jì)系統(tǒng)的審計(jì)日志不可以刪除。

缺點(diǎn)：數(shù)據(jù)庫(kù)的流量很大，審計(jì)記錄的存儲(chǔ)容量相當(dāng)可觀。

4.1.4 互聯(lián)網(wǎng)審計(jì)：

針對(duì)員工上互聯(lián)網(wǎng)的行為的專向?qū)徲?jì)，主要識(shí)別的是Http、SMTP、FTP等協(xié)議，同時(shí)對(duì)互聯(lián)網(wǎng)的常用應(yīng)用如QQ、MSN、BT等也需要識(shí)別?；ヂ?lián)網(wǎng)審計(jì)一般是對(duì)內(nèi)部員工的上網(wǎng)進(jìn)行規(guī)范。

目的：互聯(lián)網(wǎng)出口往往是一個(gè)企業(yè)網(wǎng)絡(luò)的“安全綜合地帶”，是企業(yè)與外界聯(lián)系的必然出口，設(shè)置互聯(lián)網(wǎng)的專項(xiàng)審計(jì)也是很多企業(yè)的管理需求。

 缺點(diǎn)：互聯(lián)網(wǎng)應(yīng)用升級(jí)較快，對(duì)審計(jì)中的識(shí)別技術(shù)要求高，對(duì)于日漸增多的加密應(yīng)用，如Skype、MSN等，對(duì)于審計(jì)來說都是極大的挑戰(zhàn)。

4.2 運(yùn)維審計(jì)：

網(wǎng)絡(luò)的運(yùn)維人員是網(wǎng)絡(luò)的“特殊”使用團(tuán)隊(duì)，一般具有系統(tǒng)的高級(jí)權(quán)限，對(duì)運(yùn)維人員的行為審計(jì)日漸成為安全管理的必備部分，尤其是目前很多企業(yè)為了降低網(wǎng)絡(luò)與系統(tǒng)的維護(hù)成本，采用租用網(wǎng)絡(luò)或者運(yùn)維外包的方式，由企業(yè)外部人員管理網(wǎng)絡(luò)，由外部維護(hù)人員產(chǎn)生的安全案例已經(jīng)逐漸在上升的趨勢(shì)。

目的：運(yùn)維人員具有“特殊”的權(quán)限，又往往是各種業(yè)務(wù)審計(jì)關(guān)注不到的地方，網(wǎng)絡(luò)行為審計(jì)可以審計(jì)運(yùn)維人員經(jīng)過網(wǎng)絡(luò)進(jìn)行的工作行為，但對(duì)設(shè)備的直接操作管理，比如Console方式就沒有記錄。

審計(jì)方式：運(yùn)維審計(jì)的方式不同于其他審計(jì)，尤其是運(yùn)維人員為了安全的要求，開始大量采用加密方式，如RDP、SSL等，加密口令在連接建立的時(shí)候動(dòng)態(tài)生成，通過鏈路鏡像方式是無法審計(jì)的。所以運(yùn)維審計(jì)是一種“制度+技術(shù)”的強(qiáng)行審計(jì)。一般是運(yùn)維人員必須先登錄身份認(rèn)證的“堡壘機(jī)”(或通過路由設(shè)置方式把運(yùn)維的管理連接全部轉(zhuǎn)向運(yùn)維審計(jì)服務(wù)器)，所有運(yùn)維工作通過該堡壘機(jī)進(jìn)行，這樣就可以記錄全部的運(yùn)維行為。由于堡壘機(jī)是運(yùn)維的必然通道，在處理RDP等加密協(xié)議時(shí)，可以由堡壘機(jī)作為加密通道的中間代理，從而獲取通訊中生成的密鑰，也就可以對(duì)加密管理協(xié)議信息進(jìn)行審計(jì)。

缺點(diǎn)：采用單點(diǎn)運(yùn)維通道是為了處理可以加密協(xié)議，但對(duì)運(yùn)維效率有一定影響。并且網(wǎng)絡(luò)上產(chǎn)品種類多，業(yè)務(wù)管理軟件五花八門，管理方式也多種多樣，采用單一的運(yùn)維通道未必都能達(dá)到效果。最重要的是運(yùn)維審計(jì)方案一定要與安全管理制度相配合，要運(yùn)維人員不“接觸”設(shè)備是不可能的。

4.3 業(yè)務(wù)合規(guī)性審計(jì)：

網(wǎng)絡(luò)是業(yè)務(wù)的支撐系統(tǒng)，對(duì)業(yè)務(wù)本身是否“合法”，網(wǎng)絡(luò)層的審計(jì)技術(shù)一般很難判斷，所以業(yè)務(wù)合規(guī)性審計(jì)一般是與業(yè)務(wù)系統(tǒng)相關(guān)聯(lián)的組織開發(fā)的審計(jì)系統(tǒng)，通過業(yè)務(wù)系統(tǒng)中安裝代理的方式，或直接集成在業(yè)務(wù)系統(tǒng)中，獲取業(yè)務(wù)“流水”信息，在單獨(dú)的審計(jì)系統(tǒng)中完成后期審計(jì)，也可以定期對(duì)業(yè)務(wù)系統(tǒng)的業(yè)務(wù)流水日志信息進(jìn)行審計(jì)。

目的：審計(jì)業(yè)務(wù)本身的“合法”性。

產(chǎn)品形式：一般有業(yè)務(wù)開發(fā)公司提供，而不是網(wǎng)絡(luò)安全公司提供，業(yè)務(wù)專業(yè)性非常強(qiáng)，一般為單獨(dú)的審計(jì)系統(tǒng)。

五、網(wǎng)絡(luò)審計(jì)產(chǎn)品部署

5.1 網(wǎng)絡(luò)審計(jì)產(chǎn)品部署位置

網(wǎng)絡(luò)審計(jì)產(chǎn)品的設(shè)計(jì)與網(wǎng)絡(luò)IDS一致，都采用了“旁路”的方式部署，而且關(guān)心的網(wǎng)絡(luò)鏈路大多也是相同的，所以當(dāng)客戶分別部署監(jiān)控與審計(jì)安全產(chǎn)品時(shí)，經(jīng)常出現(xiàn)的一個(gè)現(xiàn)象是：一個(gè)端口要鏡像給兩個(gè)目標(biāo)端口，分別到不同數(shù)據(jù)收集引擎，而且這兩個(gè)引擎的前期工作原理還非常接近。

在分布式的產(chǎn)品結(jié)構(gòu)中，數(shù)據(jù)收集引擎與處理中心是分離的，我們可以把IDS與審計(jì)產(chǎn)品的數(shù)據(jù)收集引擎部分功能分離，進(jìn)而合并兩個(gè)引擎為一個(gè)。這樣做的好處，其一是減少了業(yè)務(wù)鏈路鏡像出來的端口數(shù)。其二是減少了網(wǎng)絡(luò)上引擎設(shè)備的數(shù)量。其三是把鏡像分析的數(shù)據(jù)引擎通用化，可以減低產(chǎn)品的成本，也方便未來新鏡像系統(tǒng)的部署。

安全監(jiān)控與審計(jì)是網(wǎng)絡(luò)安全建設(shè)中不可缺少的兩個(gè)方面，無論是公安部的信息系統(tǒng)等級(jí)保護(hù)要求，還是×××的涉密信息系統(tǒng)技術(shù)要求，監(jiān)控與審計(jì)都是必選項(xiàng)，而且還有細(xì)顆粒度的要求。合理、有效地部署監(jiān)控與審計(jì)系統(tǒng)，對(duì)于保護(hù)你網(wǎng)絡(luò)的安全是重要的，而且是必要的。

5.2網(wǎng)絡(luò)流量鏡像配置

5.5.1 CiscoNetFlow：

NetFlow是一種數(shù)據(jù)交換方式，NetFlow利用標(biāo)準(zhǔn)的交換模式處理數(shù)據(jù)流的第一個(gè)IP包數(shù)據(jù)，生成NetFlow 緩存，隨后同樣的數(shù)據(jù)基于緩存信息在同一個(gè)數(shù)據(jù)流中進(jìn)行傳輸，不再匹配相關(guān)的訪問控制等策略，NetFlow緩存同時(shí)包含了隨后數(shù)據(jù)流的統(tǒng)計(jì)信息。針對(duì)路由器送出的NetFlow數(shù)據(jù)，可以利用NetFlow數(shù)據(jù)采集軟件存儲(chǔ)到服務(wù)器上，以便利用各種NetFlow數(shù)據(jù)分析工具進(jìn)行進(jìn)一步的處理。

在需要鏡像流量的設(shè)備上配置Netflow：

ip cef

flow-sampler-map TEST               //創(chuàng)建Netflow例圖

  mode random one-out-of 100   //設(shè)置例圖模式為100個(gè)包隨機(jī)取1個(gè)

ip flow-exportsource Loopback0

ip flow-exportversion 9

ip flow-exportdestination YY.YY.56.100 2222 sctp   //指向NetFlow采集器及端口

  backup destination YY.YY.56.254 2222    //設(shè)置備份Netflow采集器

  backup mode fail-over

interface G0/1

  ip flow ingress       //入方向開啟NetFlow

  ip flow egress       //出方向開啟NetFlow

  flow-sampler TEST        //入方向流量應(yīng)用例圖采用

  flow-sampler TEST egress     //出方向流量應(yīng)用例圖采樣

5.5.2 CiscoSPAN：  

SPAN技術(shù)主要是用來監(jiān)控交換機(jī)上的數(shù)據(jù)流，大體分為兩種類型，本地SPAN（SPAN），基于VLAN的SPAN（VSPAN）和遠(yuǎn)程SPAN（RSPAN）。利用SPAN技術(shù)我們可以把交換機(jī)上某些想要被監(jiān)控端口（以下簡(jiǎn)稱受控端口）的數(shù)據(jù)流COPY或MIRROR一份，發(fā)送給連接在監(jiān)控端口上的流量分析儀，比如CISCO的IDS或是裝了SNIFFER工具的PC。被監(jiān)控的流量類型分為三種，Receive (Rx) SPAN 受控端口的接收流量，Transmit (Tx) SPAN 受控端口的發(fā)送流量，Both 一個(gè)受控端口的接收和發(fā)送流量。

            1.本地SPAN：

            受控端口和 監(jiān)控端口可以在同一臺(tái)交換機(jī)上

swconfig)#monitorsession 1 source interface f0/1   //指定源端口，默認(rèn)both

  ,    Specify another range of interfaces        //可選參數(shù)

  -    Specify a range of interfaces

  both Monitor received and transmitted traffic

  rx   Monitor received traffic only

  tx   Monitor transmitted traffic only

 sw(config)#monitorsession 1 destination interface fastEthernet 0/0  

//指定目的端口（默認(rèn)只接收鏡像流量，屬于自身的一切流量被截?cái)啵?nbsp;         

2.基于VLAN的VSPAN：

基于VLAN的SPAN只能監(jiān)控VLAN中所有活動(dòng)端口接收的流量(only received (Rx) traffic)，如果 

監(jiān)控端口屬于此VLAN，則此端口不在監(jiān)控范圍內(nèi)，VSPAN只監(jiān)控進(jìn)入交換機(jī)的流量，不對(duì)VLAN接口上的路由數(shù)據(jù)做監(jiān)控。

Catalyst 3550交換機(jī)上最多只能設(shè)置兩個(gè)SPANSession，缺省SPAN沒有使用，如果做了設(shè)置，缺省情況下，第一個(gè)被設(shè)為受控端口的接口進(jìn)出流量都會(huì)受到監(jiān)控，以后再追加的受控端口只會(huì)對(duì)接收的流量進(jìn)行監(jiān)控，監(jiān)控端口的默認(rèn)封裝類型為Native，也就是沒有打VLAN的標(biāo)記。

Switch(config)#monitor session 2 source vlan 101 - 102 rx //指定受控端口所屬VLAN

Switch(config)#monitor session 2 destination interface fastethernet0/30  

3.遠(yuǎn)程RSPAN：

RSPAN中要使用一個(gè)專用的VLAN來轉(zhuǎn)發(fā)流量，反射端口會(huì)使用這個(gè)專用VLAN將數(shù)據(jù)流通過TRUNK端口發(fā)送給其它的交換機(jī)，遠(yuǎn)程交換機(jī)再通過此專用VLAN將數(shù)據(jù)流發(fā)送到監(jiān)控端口上的分析儀。 關(guān)于RSPAN VLAN的創(chuàng)建，所有參與RSPAN的交換機(jī)應(yīng)在同一個(gè)VTP域中，不能用VLAN 1，也不能用1002-1005，可以用2-1001的標(biāo)準(zhǔn)VLAN。

Reflector Port反射端口只在RSPAN中使用，與RSPAN中的受控端口在同一臺(tái)交換機(jī)上，是用來將本地的受控端口流量轉(zhuǎn)發(fā)到RSPAN中在另一臺(tái)交換機(jī)上的遠(yuǎn)程監(jiān)控端口的方法，反射端口也只能是一個(gè)實(shí)際的物理端口，它不屬于任何VLAN。反射端口最好是>=受控端口的帶寬，否則可能會(huì)出現(xiàn)丟包的情況。

RSPAN的Session分成RSPANSource Session和RSPAN Destination Session兩部分，所以相應(yīng)的配置也要分別在Session的源和目的交換機(jī)上做。

Switch(config)#vlan 800          //為RSPAN創(chuàng)建專用的VLAN；源，中間及目的交換機(jī)都要配置該VLAN

Switch(config-vlan)#remote-span //可以使用sh vlan id 800查看RSPANVLAN狀態(tài)

在源交換機(jī)上配置Source Session：

Switch(config)#monitor session 1 source interface fastethernet0/10 - 13 

Switch(config)# monitorsession 1 source interface fastethernet0/15 rx 

Switch(config)#monitor session 1 destination remote vlan 800 reflector-portfastethernet0/20 

在目的交換機(jī)上配置Destination Session：

Switch(config)#monitor session 1 source remote vlan 800 

Switch(config)# monitorsession 1 destination interface fastethernet0/30      

5.5.3 華為SPAN：

端口鏡像原理，將鏡像端口的流量復(fù)制一份發(fā)送到觀察端口供觀察端口下連的流量分析設(shè)備（軟件）對(duì)復(fù)制來的鏡像端口的流量進(jìn)行分析，在華為的SPAN端口鏡像中觀察端口仍然可以發(fā)送和接受數(shù)據(jù)（思科中觀察端口就會(huì)停止正常的數(shù)據(jù)收發(fā)，只能觀察從鏡像端口復(fù)制來的流量）。華為SPAN一般分為以下幾種：

1.端口鏡像

端口鏡像是基于端口的鏡像，分為本地端口鏡像、二層遠(yuǎn)程端口鏡像、三層遠(yuǎn)程端口鏡像，鏡像的流量可以是入向或者出向。

本地端口鏡像：

[Huawei]observe-port1 interface g0/0/1     //配置一個(gè)序列號(hào)為1的觀察端口g0/0/1

[Huawei]interfaceg0/0/2                       //配置鏡像端口

[Huawei-GigabitEthernet0/0/2]port-mirroringto observe-port 1 both       //配置一個(gè)鏡像端口，將雙向流量復(fù)制到序列號(hào)為1的觀察端口

二層遠(yuǎn)程端口鏡像：

首先創(chuàng)建一個(gè)用于廣播鏡像流量的vlan，分別在lsw1與lsw2上創(chuàng)建vlan2，LSW1將鏡像端口G0/0/1的流量鏡像到G0/0/2口，通過G0/0/2口廣播到鏡像VLAN2中被處于VLAN2的Server1收到。

[lsw1]vlan 2

[lsw1-vlan2]mac-address learning disable//必須在觀察vlan中關(guān)閉mac地址學(xué)習(xí)

[lsw1]observe-port1 interface g0/0/2 vlan 2     //指定觀察端口，并在vlan2中廣播復(fù)制的流量

[lsw1]interfaceg0/0/1

[lsw1-GigabitEthernet0/0/1]port-mirroringto observe-port 1 both     //指定鏡像端口，將流量復(fù)制到序列號(hào)為1的觀察端口

[lsw2]vlan 2

三層遠(yuǎn)程端口鏡像配置：

  端口的三層遠(yuǎn)程鏡像的原理是，通過在ip層建立一條GRE的tunnel隧道將鏡像端口的流量復(fù)制到觀察端口，觀察端口在通過GRE-tunnel隧道將流量發(fā)送到監(jiān)控設(shè)備所在的端口上，進(jìn)行流量的分析。在下面拓?fù)渲蠰SW1上的鏡像端口將流量復(fù)制到觀察端口，由觀察端口通過GRE-tunle發(fā)送至server2監(jiān)控服務(wù)器連接的lsw2的E0/0/2接口，供server2對(duì)鏡像端口的流量進(jìn)行分析。

首先在AR1和AR2上分別配置路由網(wǎng)段及靜態(tài)路由，保證三層互通，然后在LSW1上配置鏡像端口及觀察端口的gre隧道。

在lsw1上配置：

[Huawei]observe-port1 interface e0/0/1 destination-ip 192.168.2.100 source-ip 192.168.1.100   //創(chuàng)建觀察端口及隧道

[Huawei]interfacee0/0/2

[Huawei-Ethernet0/0/1]port-mirroringto observe-port 1 both    //指定鏡像端口1

2.流鏡像

流鏡像是基于流的鏡像，是根據(jù)用戶配置的劉策略traffic-class匹配的流量進(jìn)行鏡像，只支持（鏡像端口的）入方向，不支持出方向。流鏡像分為本地流鏡像、二層遠(yuǎn)程流鏡像、三層遠(yuǎn)程流鏡像。

3.VLAN鏡像

vlan鏡像是基于vlan的鏡像，是將制定的vlan內(nèi)的所有活動(dòng)接口的入方向的流量復(fù)制到觀察端口，不支持出方向。vlan鏡像分為本地vlan鏡像、二層遠(yuǎn)程vlan鏡像，不支持三層遠(yuǎn)程。

本地VLAN鏡像：

[Huawei]observe-port1 interface GigabitEthernet0/0/3     //指定觀察端口

[Huawei]vlan 2

[Huawei-vlan2]mirroringto observe-port 1 inbound   //鏡像vlan2中所有活動(dòng)接口的入向流量

二層遠(yuǎn)程VLAN鏡像：

二層遠(yuǎn)程的配置與端口鏡像一致，只需要將鏡像端口改為vlan，不支持三層遠(yuǎn)程。

4.MAC地址鏡像

基于mac地址的鏡像，將匹配源或目的的mac地址的入方向的流量復(fù)制到觀察關(guān)口，不支持出方向。mac地址鏡像支持本地mac地址鏡像、二層遠(yuǎn)程mac地址鏡像。

5.5.4 華為Netstream:

NetStream是一種基于網(wǎng)絡(luò)流信息的統(tǒng)計(jì)與發(fā)布技術(shù)，可以對(duì)網(wǎng)絡(luò)中的通信量和資源使用情況進(jìn)行分類和統(tǒng)計(jì)，基于各種業(yè)務(wù)和不同的QoS進(jìn)行管理和計(jì)費(fèi)。華為Netstream技術(shù)等同于Cisco NetFlow技術(shù)。

在需要鏡像流量的設(shè)備上配置Netstream：

1、配置交換機(jī)的流發(fā)送

[Huawei]ipnetstream timeout active 100         流活躍時(shí)間

[Huawei]ipnetstream timeout inactive 3          流老化時(shí)間

[Huawei]ipnetstream export version 9            netstream版本，只支持v9

[Huawei]ipnetstream export source x.x.x.x         發(fā)送流的交換機(jī)ip

[Huawei]ipnetstream export host a.a.a.a 11111    發(fā)送流的目的ip及目的端口號(hào)

2、配置交換機(jī)某個(gè)端口的netstream功能

[Huawei-Ethernet0/0/1]ipnetstream inbound            接口進(jìn)方向的數(shù)據(jù)轉(zhuǎn)成流

[Huawei-Ethernet0/0/1]ipnetstream outbound          接口出方向的數(shù)據(jù)轉(zhuǎn)成流

[Huawei-Ethernet0/0/1]ipnetstream sampler fix-packets 1000 inbound設(shè)置采樣率

[Huawei-Ethernet0/0/1]ipnetstream sampler fix-packets 1000 outbound

配置完成后就可以把有netstream功能的接口的數(shù)據(jù)轉(zhuǎn)成流發(fā)送到指定設(shè)備的指定端口，dis netstream all查看當(dāng)前交換機(jī)所有的netstream配置