热门IT课程【视频教程】-华为/思科/红帽/oraclehttps://xmws-it.blog.csdn.net/article/details/134398330
镜像可以在不影响交换机/路由器等网络设备报文正常处理流程的情况下,将指定源的报文复制一份到目的端口。目的端口与监控设备直接或间接相连,监控设备上安装了分析软件,可以对报文进行分析。
当网络中存在攻击或出现故障时,网络管理员可以通过镜像功能对报文进行获取并分析,找到攻击源或故障原因。
根据镜像源的不同,镜像可以分为端口镜像、流镜像、VLAN镜像、MAC镜像。例如端口镜像代表将指定端口入方向、出方向、或者出入方向的报文复制到目的端口。
根据目的端口与监控设备间的连接方式,镜像可以分为本地镜像和远程镜像。
端口镜像是如何工作的?
端口镜像是将网络设备上指定端口接收或发送的报文复制到目的端口,可以只复制端口接收或者发送的报文,也可以同时复制接收和发送的报文。指定端口称为镜像端口,目的端口称为观察端口。
如下图所示,DeviceA上的镜像端口在接收或发送报文的时候,会将报文复制一份到观察端口。观察端口再将复制的原始报文发送给监控设备。
端口镜像示意图
当观察端口和监控设备直连时称为本地镜像。当观察端口和监控设备间不是直连,而是通过二层网络或三层网络相连时称为远程镜像。
-
目的端口通过二层网络与监控设备相连的场景称为二层远程镜像RSPAN(Remote Switched Port Analyzer)。
-
目的端口通过三层网络与监控设备相连的场景称为三层远程镜像ERSPAN(Encapsulated Remote Switched Port Analyzer)。
如下图所示,远程端口镜像场景,观察端口将复制的报文发送给监控设备前会添加一层VLAN Tag或进行GRE封装,便于复制的报文能够穿过中间的二层网络/三层网络,到达监控设备。
远程端口镜像示意图
其他类型的镜像方式原理与端口镜像类似,例如:
-
流镜像是将符合指定规则的报文流复制到观察端口。
-
VLAN镜像是将指定VLAN内所有活动接口的入方向/出方向的报文复制到观察端口。
-
MAC镜像将指定VLAN内源MAC地址或目的MAC地址为指定MAC地址的报文复制到观察端口。
镜像有哪些应用?
网络维护过程中会遇到需要对报文进行获取和分析的情况,例如怀疑有攻击报文,此时需要在不影响报文转发的情况下,对报文进行获取和分析。
镜像可以在不影响报文正常处理流程的情况下,将镜像端口的报文复制一份到观察端口,用户利用数据监控设备来分析复制到观察端口的报文,进行网络监控和故障排除。
镜像是否影响设备性能?
开启镜像功能会占用设备的带宽资源,导致设备处理业务的性能下降,严重时可能会影响业务。因此镜像功能使用后需要及时关闭,避免影响设备业务流量的转发性能。
端口镜像和流镜像有什么区别?
端口镜像和流镜像都属于镜像。区别在于,端口镜像是将镜像端口所有入方向/出方向的报文复制到观察端口;而流镜像会对端口入方向/出方向的报文进行筛选,只有满足匹配条件的报文才会被复制到观察端口。流镜像中可以通过ACL或相关的配置命令指定具体的匹配条件。
厦门微思网络www.xmws.cn。2002年成立,专业IT认证培训21年,面向全国招生!
微信公众号:厦门微思网络 微信视频号:厦门微思网络我们主要课程有:
网络技术:华为HCIA/ HCIP/HCIE
思科CCNA/CCNP/CCIE
linux:红帽 RHCE/RHCA
数据库: ORACLE OCP/ OCM ;MySQL OCP
虚拟化: VMware VCP/VCAP
安全认证:CISP/CISSP/ CISA
项目管理:PMP
K8S:CKA/CKS
其他课程如:国家软考; ITIL; ACP;Azure...
有计划学习考证咨询我哦