流量鏡像在企業網絡中必不可少，雖然配置簡單，但也是一個很重要的知識點，今天用實驗簡單演示一下。

網絡拓撲

如上圖所示，想要監控SW2訪問SW1的流量（拓撲圖中由下向上），需要把SW2去往SW1的流量鏡像（複製）一份傳至PC1，PC1上分析監控這些流量。

實際場景中，通常是監控重要的服務器是否受到攻擊；或者監控用戶上互聯網的信息（這個...你懂得），再或者你是一個黑客，你攻陷了SW2，把流量鏡像到你自己這邊，然後分析流量竊取信息……

直接上命令吧，非常簡單，基礎環境命令不貼了，直接貼做端口鏡像的命令：

1.配置觀察端口

[R1]observe-port interface Ethernet 0/0/3

上面命令是把複製的流量給到R1的E0/0/3口（拓撲圖中是傳給了PC1）

2.配置鏡像端口

[R1]int Ethernet 0/0/2

[R1-Ethernet0/0/2]mirror to observe-port inbound

上面命令是複製從接口E0/0/2進入的流量。

驗證

命令就是這麼簡單，現在看看效果：

從1.1.1.2去ping和telnet1.1.1.1，在PC1上用Wireshark抓包看看：

效果演示

可以看見，在PC1的E0/0/1口抓包，1.1.1.2去往1.1.1.1的Ping和Telnet立刻就出現在抓包結果裡。甚至可以看見輸入的SW1用戶名和密碼：

l

j

ds

回車

因telnet是明文傳輸，所以從捕獲的數據包中可以看見輸入了“ljds”之後執行了回車（\r\n）。（用戶名和密碼都是ljds，都能看見，後面就不截圖了）

實驗完成。

本小編的文章主要以Python，網絡通信，linux為主。可以點擊我的頭像查看以往文章，也許有你感興趣的內容。