网络镜像

网络镜像技术允许复制和记录在计算机网络上传输的数据流量，可以将交换机中一个端口的流量复制到另一个端口。

网络镜像广泛用于抓包监控。

用一个场景来举例：

如图，PC1、2、3分别是三台主机，与Switch交换机对应端口连接。若PC2往PC1传送数据，PC3想要去抓包是抓不到的，因为正常的抓包只能抓流经本网卡的流量。

但是如果把g1/0/1端口或g1/0/2端口的流量镜像到g1/0/3，那么PC3就可以收到这些数据。

在上面的例子中，g1/0/1和g1/0/2就是镜像端口，g1/0/3是监听端口

镜像端口的优点：

1. 不影响原有网络
2. 采集的数据是实时流量

根据监听端口的不同，端口镜像分为本地端口镜像和二层远程端口镜像。本篇文章只讲本地端镜像

本地端口镜像

本地端口镜像是指在同一台网络设备上进行的端口镜像，也就是将一个端口的流量复制到同一设备上的另一个端口

上面的例子就是本地端口镜像

具体配置

做镜像流量需要在交换机上进行配置

华三交换机配置命令：

创建本地镜像组
mirroring-group 1 local 
配置镜像口
mirroring-group 1 mirroring-port gigabitethernet1/0/1 both 
配置监听口
mirroring-group 1 monitor-port gigabitethernet1/0/3

其中both表示进出这个端口的流量都会被复制。若为inbound表示只有进入这个端口的流量会被复制，若为outbound表示只有出端口的流量会被复制。

具体参考https://www.h3c.com/cn/d_202203/1561099_30005_0.htm

除了限制进出端口的流量之外，也可以对流量筛选来进行镜像。比如，只想抓192.168.1.2发起的ICMP流量，这种筛选就需要用到ACL网络访问控制列表

了解更多镜像参考https://zhuanlan.zhihu.com/p/620635737