| 3.4. 端口镜像 | ||
|---|---|---|
 |
第 3 章 详细配置 | 
|
| 3.4. 端口镜像 | ||
|---|---|---|
|
|
第 3 章 详细配置 |
|
端口镜像 (Port Mirroring) 功能可以让指定IP或协议的流量复制并转发到某一特定的IP(一般是监控机器),对于网吧而已,由于公安监控的需要,端口镜像功能通常是必须的。
端口镜像一般通过带端口镜像的交换机来实现,但这种交换机价格比较贵,故有些小型网吧,在路由和局域网之间串接了一个集线器(HUB)来解决这个问题,然而,这对网络性能造成了很大影响,尤其是当内网数据流量较大时,因为HUB的速率只有10Mbit,这无疑成了网络设备中的瓶颈。
针对此问题,海蜘蛛提出了在路由上来实现端口镜像的解决方案,这样做有以下几个优点:
节省购买镜像端口交换机的成本
不改变现有网络结构,对网络性能没有影响
比硬件方式实现流量复制更为灵活,效率更高
硬件方式是对经过端口的所有类型的流量都进行复制,而一般在网吧需要监控的主要是浏览网页,浏览网页所产生的流量只占很小一部分,网吧内大部分流量是由在线电影、玩游戏、视频聊天、P2P下载等产生的,而这一部分通常不需要监控,也无法监控到有用数据。
在路由上,可以设定特定协议、特定端口的流量复制到监控机上,这样端口镜像的效率大大提高,对路由网卡的负荷也大大减少。
浏览网页使用的是 TCP/HTTP 协议,端口为80,假设监控机的IP地址为 192.168.1.254,设置如下:
新增规则1:对内网发出去的数据进行监控
新增规则2:对外网进来的数据进行监控
最后,启用端口镜像即可
如果要监控所有端口,端口部分留空即可;如果要监控所有协议,协议类型选“TCP+UDP”即可。
下一步就可以在监控机上面打开抓包软件或分析工具对监听到的流量进行分析了。
下面是用 ethereal 抓取到数据包截图:
为了减少局域网网卡的压力,可以在路由上增加一块网卡,专门用于转发监控的数据。增加网卡后,将这块网卡配置为私有IP地址。[注]: 此不能和局域网网卡IP在同一网段。
比如新增网卡的 IP 为 192.168.10.1,监控机的IP为 192.168.10.254,然后修改上面的设置,将 192.168.1.254 改为 192.168.10.254 即可。
|
|
 |
|
| 3.3. 实时流量监测 |  |
第 4 章 错误代码一览表 |