多监听设备数据镜像需求解决方案_20130305.doc

多监听设备数据镜像需求解决方案 前线技术中心安全工程部 2013-3-5 文档信息文档名称 保密级别 文档版本编号 人 日期 复审人 复审日期 人 日期 修改描述 修改人 2011-6-22 C 模板建立，编写“利用分光器实现多端口数据镜像”一节 张雷 2013-2-26 M 增加“利用交换机实现多端口数据镜像”一节 易雪莲 2013-3-5 M 格式修改、章节内容顺序调整、文档整理 尹飞 张雷 * 修改类型分为 C - CREATED M - MODIFIED D - DELETED 目 录 1 需求概述 4 2 利用分光器实现多端口数据镜像 4 2.1 用户环境 4 2.2 使用1分4分光器 4 2.3 交换机部分模块参数 6 2.4 光纤接头、光纤跳线及光纤转接器说明 6 3 利用交换机实现多端口数据镜像 8 3.1 解决方案一 8 3.1.1 用户网络环境 8 3.1.2 配置案例 8 3.1.3 方案特点 9 3.2 解决方案二 9 3.2.1 用户网络环境 9 3.2.2 配置案例 9 3.2.3 方案特点 9 3.3 解决方案三 10 3.3.1 用户网络环境 10 3.3.2 设备组网图 10 3.3.3 配置案例 10 3.3.4 方案特点 10 3.4 解决方案四 11 3.4.1 用户网络环境 11 3.4.2 设备组网图 11 3.4.3 实现原理 11 3.4.4 配置案例 12 3.4.5 方案特点 13 3.5 解决方案五 13 3.5.1 用户网络环境 13 3.5.2 设备组网图 13 3.5.3 实现原理 14 3.5.4 配置案例 14 3.5.5 方案特点 16 需求概述 项目实施过程中经常会遇到在同一台交换机上需要将镜像数据发送至多台网络安全设备，如IDS、旁路审计等设备。这样就需要交换机提供多路双向镜像抓包口与网络安全设备相连。而大多数交换机通常只支持将源数据镜像到1个目标接口。那么针对于上文中提出的多路镜像问题，通常可以通过以下手段来实现： 升级交换机的IOS，使交换机支持多路双向镜像。 如果交换机支持光口，可考虑使用分光器将出口的光分成2路或4路，然后分别接不同的网络安全设备。 利用交换机来满足多个监听设备的数据镜像需求。 使用TAP分路器设备。 分析：方法1：不一定能找到合适的IOS，另外IOS升级存在一定风险；方法4：TAP价格较贵，少则上万，大项目或比较专业的项目中优先考虑使用TAP专业设备。一般的项目我们会考虑用第2种或第3种方法来实现。 利用分光器实现多端口数据镜像 用户环境 用户环境：核心交换机为CISCO4503，带一个5484卡。要在该交换机上接3个网络安全设备，需要该交换机提供3路双向镜像。 使用1分4分光器 分光器参数和接口卡参数应当匹配，因此首先要查清交换机接口卡的特性。 交换机5484卡特性如下： WS-G5484 1000BASE-SX：SC光接口, 波长850nm，传输距离550M(多模)，如下图所示： 采用的1分4分光器参数如下：千兆 多模 850波长，（5484卡就是1000M 多模 850波长 SC口，分光器参数和接口卡参数两者应当匹配），价格大概￥960左右。分光器的入口线、出口线的长度和各个线的接头（SC口还是要LC口）可以定制。 分光器不论入口线还是出口线均是单根光纤，而5484卡本身的特性要求插两根光纤且形成光回路，灯才能点亮并正常工作。项目中的1分4分光器接法如下：分光器入口光纤（定了5米）接交换机上5484卡的出光口（SC口），而分光器的出口光纤其中的1根（定了5米，SC口）接交换机上5484卡的入光口（SC口），只有这样才能使5484卡亮灯并工作。分光器出口其余的3根光纤接口要根据自己项目中设备的接口情况选用SC口或LC口，光纤长度自己定。 分光器外观如下图所示： 如果购买的分光器接口是SC口(大方口)，现场IDS或抓包设备是LC口（小方口），可以采取如下方法解决：在分光器SC接口上，接SC-SC光纤转接器，转换器另一端接SC-LC的光纤跳线解决。本文第4部分有光纤接头、光线跳线及光纤转接器的图示。 交换机部分模块参数 下面列出交换机部分模块的参数，供大家参考。 GBIC模块系列： WS-G5483 1000BASE-T ： RJ-45接口, 传输距离100M WS-G5484 1000BASE-SX： SC接口, 波长850nm，传输距离550M(多模) WS-G5486 1000BASE-LX： SC接口, 波长1310nm，传输距离10KM(单模) WS-G5486-40KM 1000BASE-LX：SC接口, 波长1310nm