由于需要将家庭网络中的全部流量送到NDR分析系统进行分析,因此需要一个具备流量镜像功能的交换机或者路由器。在前面文章所提及的家庭网络架构中,需要一台交换机即可拷贝东西向流量以及南北向流量。当然如果家庭中的路由器或者其他设备具备交换机镜像功能,也可以拿来使用是通常来说家庭路由器都不具备流量镜像的能力。
流量镜像
流量镜像就是流量拷贝,即将流量拷贝一份送到指定的机器上进行分析。通常网络通信中网卡只接受目的地址为本机的流量,而忽略目的地址飞本机的流量。但是如果将网卡设置成为混杂的模式,则网卡会接受目的地址不是本机的流量,从而进行分析。
常见家用路由器
下图1一款家庭网络中常见的路由器,但是该路由器并无mirror的功能,因此不符合要求:
图1
镜像功能交换机
由于只需要将LAN网络中的流量镜像,因此具备镜像功能的交换机即可。具备镜像功能的交换机很多,如下型号为tp-link TL-SG105E,如下图2:
图2
可以根据自己的不同需求进行选择即可
配置镜像功能
如下图3为tp-link TL-SG105E交换机的登陆页面
图3
交换机的地址和密码在出厂的时候都贴在交换机上,由于默认的交换机地址为192.168.1.1。但是如果该地址和网络中的地址冲突,建议先把该交换机和电脑直连,访问192.168.1.1后,修改对应的IP地址,如下图4所示:
图4
将DHCP的功能禁止,设置交换机为静态的IP地址。在前期没有换分VLAN的情况下,由于交换机直连的是防火前的LAN口,因此该IP可以和防火墙LAN口IP处于同一个网段。如果不在同一个网络,则需要配置交换机的网关为防火墙LAN口的地址。
完成交换机地址的设置,就可把交换机连接入网。设置每个交换机口的作用,我的交换机每个口的作用如下:
- 1号口为防火墙LAN口的接入口
- 2号口为NDR系统的接入口。
- 3号口为无线路由器的接入口
- 4号口为有线交换机的接入口
由于2号口为送往NDR流量的口,因此需要把通过2号口作为镜像流量的接收口,如下图5:
图5
需要将连接到防火墙LAN口的流量也就是整个家庭网络的流量将进行拷贝,因此设置如下图6:
图6
选中1号口,将进出口的流量都进行镜像,应用之后可以看到port1的进出口流量都是enable状态。
检查镜像功能是否正常,如下图7:
图7
图7中RX为recieve缩写,即接收的流量,TX为transmit缩写,即发送的流量。可以看到PORT2端口发送的数据量基本等于port1进出口流量的总和,说明port的流量都被镜像到port2,然后被发送到NDR系统了。
以上就是交换机流量镜像的配置的过程,希望对你有用。
本文为CSDN村中少年原创文章,未经允许不得转载,博主链接这里。