查看交换机端口的基本情况，输入命令 show ip int bri，可以查看端口状态，FastEthernet表示百兆以太网端口，GigabitEthernet表示千兆以太网端口。 

输入conf t，进入配置模式。 

设置源镜像口，设置1到5口为源镜像，monitor session 1 source interface gigabitEthernet 1/0/1- 5 ，其中gigabitEthernet1/0/1表示千兆端口1，如果是百兆的话就换成fastEthernet，这里的gigabitEthernet1/0/1或者fastEthernet 0/1要与步骤3中查看到的端口信息一致。     （5后面没有参数表上both，监听双向数据，5后面加上rx只监听接收数据，5后面加tx只监听发送数据。） 

配置目的镜像口，设置6为镜像口，monitor session 1 destination interface gigabitEthernet 1/0/6，使端口6为目的镜像口。 

输入exit，退出设置模式。
查看镜像口配置情况，输入命令show monitor。 

最后输入 wr ，保存设置 

其他： 

1. 镜像口配置错误，则删除镜像口。进入配置模式，输入no monitor session x ，删去配置错误的session就好。 

交换机同时设置多个观察口，解决镜像口不足问题
参考文章：
 
（1）交换机同时设置多个观察口，解决镜像口不足问题
 
（2）https://www.cnblogs.com/OpenCyberSec/p/11008194.html
 
备忘一下。

测IPsec协议的连通性，但协议到了PC的wireshark上已经是解包后的明文，所以在设备侧接入一台烽火s5700交换机，将设备间的报文mirror到pc2上。

1. 记录一下昨天测试的拓扑及命令：



2. 配置端口镜像：

S7800-08（config)#mirror group 1 gigaethernet 1/0/23 //创建镜像组1，设置目的端口为1/0/23

S7800-08（config)#interface gigaethernet 1/0/24 //进入源端口被监控口

S7800-08（config-ge1/0/24)#mirror both group 1 //在源端口应用镜像组1，双向

从pc3上连pc1的ftp server，发现pc2上不停收到vxlan报文，块大小整齐，和pc3上抓到的ftp的块大小相差不大，基本可以判断是加密的IPsec报文。

3. 记录一下vxlan报文：https://blog.csdn.net/octopusflying/article/details/77609199



数据帧封装在物理网络中进行传输，封装和解封装的过程由VTEP节点完成，所以直接在pc2上抓到的FTP 报文都是明文

源地址和目的地址10.14.1.*应该是CPE的ip



4. 抓到的FTP 报文：

https://www.cnblogs.com/huiyuan/p/wireshark.html 先看三次握手







也能从报文看出是PORT模式：

　FTP有两种工作模式，分别是主动模式(PORT)和被动模式(PASV)两种模式，这两种模式是按照FTP服务器的“角度”来说的，更通俗一点说就是：在传输数据时，如果是服务器主动连接客户端，那就是主动模式；如果是客户端主动连接服务器，那就是被动模式。

协议：https://www.cnblogs.com/luoxn28/p/5585458.html

代码实现：https://blog.csdn.net/xu735456/article/details/54846239

全过程报文分析：https://zhuanlan.zhihu.com/p/34109504 （图高糊，不爽）

FTP 建立连接后，都是走TCP 协议的，所以不要傻傻去抓数据块的FTP 协议了好么（说我自己）

 

交换机端口镜像：

镜像口---------数据接口

观察口-----------网络平台管理
设置镜像的作用：

监控 流量是否正常。

提高安全性。

抓取各种密码 等。

如下拓扑图：

利用 观察口来抓取镜像口的ftp的传输过程

1 保证服务端和客服端ip在同一个网段，能正常通信

2配置交换机的接口类型

SW2:

sys

port-group group-member g0/0/1 to g0/0/3

port link-type access                                    ///设置接口类型为access

3配置观察口

sw2：

observer-port 1 int g0/0/3                    ///设置观察口为g/0/0/3  序列
4配置镜像口

sw2b

intface g0/0/1

port-mirroring to observe-port 1 both   设置镜像口为g0/0/1 把数据转到序列号为1的观察口

5 只要能正常通信就能抓到 ，虚拟机中抓不到，真实设备才可以抓到。

————————————————

版权声明：本文为CSDN博主「憨憨.管」的原创文章，遵循 CC 4.0 BY-SA 版权协议，转载请附上原文出处链接及本声明。

原文链接：https://blog.csdn.net/qq_46258964/article/details/105069129