项目实例:H3C端口镜像 (镜像单目的端口 镜像多目的端口)
一、项目实例
某局业务系统三级等保项目:配置只列出端口镜像部分,其他部分及设备(略)
1.1 边界部署两台防火墙做HA高可用
1.2 核心使用两台H3C交换机做堆叠,上联线路分别连接防火墙(主)、防火墙(备)
1.3 下联线路连接业务中心、安全监察中心
1.4 IDS入侵检测设备对核心上联线路出入流量做镜像监测
1.5 数据库审计设备对业务中心出入流量做镜像监测
1.6 将核心出口流量全部镜像发往安全监察中心
二、端口说明及网络TOP简图
2.1 核心1-2 :G1/0/0/23、G1/0/0/24、 G2/0/0/23、G2/0/0/24; 4个上联口为镜像源端口(Port Mirroring)
2.2 核心1-2 :G1/0/0/1 G2/0/0/1 连接业务中心端口为镜像源端口(Port Mirroring)
2.3 数据库审计设备G1/0/0/9 为镜像目的端口 (Monitoring Port)
2.4 IDS入侵检测G1/0/0/10 为镜像目的端口 (Monitoring Port)
2.5 其他安全设备G1/0/0/11-15 为镜像目的端口 (Monitoring Port)
2.6 空闲端口XG1/0/0/25 为镜像反射口 (Reflector-Port)
2.7 VLAN1000 为安全监察中心VLAN (将所有安全监察设备的端口,加入VLAN1000中,IDS
、数据库审计设备除外)
三、配置需求
3.1 将核心4个上联接口的出入流量,镜像发往IDS入侵检测设备
3.2 将核心2个连接业务中心接口的出入流量, 镜像发往数据库审计设备
3.3 创建一个监察VLAN 1000,将多个安全监察的设备加入VLAN1000。核心4个上联接口的出入流量发往安全监察中心
四、端口镜像具体配置
4.1 单目的镜像端口设置
将需要镜像的源端口出入流量发给一个目的镜像端口的设备做流量监控
1 ) 实例1: 将核心上联端口的出入流量镜像发给IDS入侵检测设备
[H3C]mirroring-group 1 local #创建本地镜像组1
[H3C]mirroring-group 1 mirroring-port g1/0/0/23 to g1/0/0/24 both #配置镜像组源端口,流量为双向
[H3C]mirroring-group 1 mirroring-port g2/0/0/23 to g2/0/0/24 both #配置镜像组源端口,流量为双向
[H3C]mirroring-group 1 monitor-port g1/0/0/10 #配置镜像组目的端口为IDS入侵检测
[H3C]dis mirroring-group all #查看镜像组2)实例2:将业务中心的出入流量镜像发给数据库审计设备
[H3C]mirroring-group 2 local #创建本地镜像组2
[H3C]mirroring-group 2 mirroring-port g1/0/0/1 both #配置镜像组源端口,流量为双向
[H3C]mirroring-group 2 mirroring-port g2/0/0/1 both #配置镜像组源端口,流量为双向
[H3C]mirroring-group 2 monitor-port g1/0/0/9 #配置镜像组目的端口为数据库审计设备
[H3C]dis mirroring-group all #查看镜像组4.2 多目的镜像端口设置
安全监察中心的多个设备需要对核心出入的流量做镜像监控,将核心出入流量镜像发往安全监察中心VLAN1000
[H3C]vlan 1000
[H3C-vlan1000] port g1/0/0/11 to g1/0/0/15 #将安全监察中心设备的端口将入到VLAN1000,IDS、数据库审计设备端口除外[H3C]mirroring-group 3 remote-source #创建远程源镜像组3
[H3C]mirroring-group 3 mirroring-port g1/0/0/23 to g1/0/0/24 both #配置镜像组源端口,流量为双向
[H3C]mirroring-group 3 mirroring-port g2/0/0/23 to g1/0/0/24 both #配置镜像组源端口,流量为双向
[H3C]mirroring-group 3 reflector-port XGE1/0/0/25 #配置为镜像组3的反射口,设备上任意未使用端口
[H3C]mirroring-group 3 remote-probe vlan 1000 #配置VLAN1000作为镜像组3的远程镜像VLAN
[H3C]dis mirroring-group all #查看镜像组