流量镜像在企业网络中必不可少,虽然配置简单,但也是一个很重要的知识点,今天用实验简单演示一下。
网络拓扑
如上图所示,想要监控SW2访问SW1的流量(拓扑图中由下向上),需要把SW2去往SW1的流量镜像(复制)一份传至PC1,PC1上分析监控这些流量。
实际场景中,通常是监控重要的服务器是否受到攻击;或者监控用户上互联网的信息(这个...你懂得),再或者你是一个黑客,你攻陷了SW2,把流量镜像到你自己这边,然后分析流量窃取信息……
直接上命令吧,非常简单,基础环境命令不贴了,直接贴做端口镜像的命令:
1.配置观察端口
[R1]observe-port interface Ethernet 0/0/3
上面命令是把复制的流量给到R1的E0/0/3口(拓扑图中是传给了PC1)
2.配置镜像端口
[R1]int Ethernet 0/0/2
[R1-Ethernet0/0/2]mirror to observe-port inbound
上面命令是复制从接口E0/0/2进入的流量。
验证
命令就是这么简单,现在看看效果:
从1.1.1.2去ping和,在PC1上用Wireshark抓包看看:
效果演示
可以看见,在PC1的E0/0/1口抓包,1.1.1.2去往1.1.1.1的Ping和Telnet立刻就出现在抓包结果里。甚至可以看见输入的SW1用户名和密码:
l
j
ds
回车
因telnet是明文传输,所以从捕获的数据包中可以看见输入了“ljds”之后执行了回车(\r\n)。(用户名和密码都是ljds,都能看见,后面就不截图了)
实验完成。
本小编的文章主要以Python,网络通信,linux为主。可以点击我的头像查看以往文章,也许有你感兴趣的内容。