如何用软路由实现端口镜像和上网监控

软路由的好处有很多，你可以使用便宜的台式机+免费的Linux软件来配置软路由。软路由弹性较大，而且台式机处理器性能强大，所以处理效能不错，也较容易扩充。

首先安装完RouterOS后使用它自带的winbox登录。

1.1 点击"Tools",选择"Packet Sniffer"

1.2 点击"Packet Sniffer Settings"

1.3 在"General"标签的"Interface"中选择想要设置端口镜像的网卡，其它选项默认

1.4 在"Streaming"标签的"Server"框中输入监控服务器的IP，然后勾选"Streaming Enabled"

设置完成后，点击"Apply"，再点击"Start"就开始工作了

2. 把超级嗅探狗装在监控服务器上即可实现监控

由于超级嗅探狗禁止某些P2P或者流媒体软件时，需要在路由器上面禁止UDP端口1024-65534。以下是RouterOS上禁止UDP端口的步骤：

3.1 首先打开winbox，点击"IP"选择"Firewall"

3.2 在"Filter Rules"的标签中点击"+"

3.3 在"General"标签中的"Chain"项中选择"forward"，"Protocol"项选择"udp"，"Dst.port"中输入"1024-65534"，在"Out Interface"项中选择你外网的网卡（这里我们将外网网卡命名为wan）

3.4 在"Action"标签中的"Action"项中选择"drop"

需要说明的是，软路由是通过软件方式来实现数据包的镜像，性能和稳定性都比不上交换机提供的“端口镜像”功能。

端口镜像（port Mirroring）功能通过在交换机或路由器上，将一个或多个源端口的数据流量转发到某一个指定端口来实现对网络的监听，指定端口称之为“镜像端口”或“目的端口”，在不严重影响源端口正常吞吐流量的情况下，可以通过镜像端口对网络的流量进行监控分析。在企业中用镜像功能，可以很好地对企业内部的网络数据进行监控管理，在网络出故障的时候，可以快速地定位故障。

目的

为了方便对一个或多个网络接口的流量进行分析（如IDS产品、网络分析仪等），可以通过配置交换机或路由器来把一个或多个端口（VLAN）的数据转发到某一个端口，即端口镜像，来实现对网络的监听。

端口镜像功能是对网络流量监控的一个有效的安全手段，对监控流量的分析可以进行安全性的检查，同时也能及时地在网络发生故障时进行准确的定位。

功能

镜像的功能简单地说就是将被监控流量镜像到监控端口，以便对被监控流量进行故障定位、流量分析、流量备份等，监控端口一般直接与监控主机等相连。

监视到进出网络的所有数据包，供安装了监控软件的管理服务器抓取数据，如网吧需提供此功能把数据发往公安部门审查。而企业出于信息安全、保护公司机密的需要，也迫切需要

端口镜像

网络中有一个端口能提供这种实时监控功能。在企业中用端口镜像功能，可以很好的对企业内部的网络数据进行监控管理，在网络出现故障的时候，可以做到很好地故障定位。

---