一、什么是端口鏡像？端口鏡像的類型與作用

端口鏡像是指在交換機或者路由器上將經(jīng)過指定端口（源端口）的數(shù)據(jù)報文復制一份到另一個指定端口（目標端口）上，來實現(xiàn)對網(wǎng)絡(luò)流量的分析與監(jiān)控。一些對實時監(jiān)控比較注重的用戶在網(wǎng)絡(luò)遭受了各種攻擊，需要檢查流量而不希望影響原來的網(wǎng)絡(luò)時，可以利用端口鏡像，例如我國文化部和公安部要求網(wǎng)絡(luò)服務(wù)場所安裝監(jiān)控軟件，通過端口鏡像采集相關(guān)數(shù)據(jù)，分析用戶的網(wǎng)絡(luò)使用情況。

按照工作范圍的劃分，端口鏡像分為兩種類型，本地鏡像和遠程鏡像。

本地鏡像實現(xiàn)在同一臺網(wǎng)絡(luò)設(shè)備上，監(jiān)控設(shè)備對客戶端的數(shù)據(jù)分析監(jiān)控。

遠程鏡像實現(xiàn)跨網(wǎng)絡(luò)設(shè)備時，監(jiān)控設(shè)備對客戶端的數(shù)據(jù)分析監(jiān)控。

二、端口鏡像的原理是什么？

本地端口鏡像的源端口與目標端口處在同一臺設(shè)備上，如下圖所示，通過本地端口鏡像，源端口（Eth 1/1）的數(shù)據(jù)報文被鏡像到目標端口（Eth 1/2）上，這樣連接在目標端口上的監(jiān)控設(shè)備就可以對經(jīng)過源端口的數(shù)據(jù)報文進行監(jiān)控分析。

遠程端口鏡像的源端口與目標端口處在不同的設(shè)備上，如下圖所示，通過遠程鏡像，源端口（Eth 1/3）的數(shù)據(jù)報文經(jīng)過兩臺設(shè)備的級聯(lián)端口（Eth 1/4）后被鏡像到目標端口（Eth 1/3）上，該端口將鏡像數(shù)據(jù)報文復制到監(jiān)控設(shè)備上，實現(xiàn)跨設(shè)備的數(shù)據(jù)報文監(jiān)控分析。

三、端口鏡像的熱點問答

1、交換機如何配置端口鏡像？

配置端口鏡像的前提是交換機或者路由器支持端口鏡像功能。您可以根據(jù)需求場景選擇配置本地鏡像還是遠程鏡像。

本地鏡像的配置步驟如下：

1、創(chuàng)建VLAN

2、將端口添加到VLAN中

3、配置IP地址

4、在目標端口下進行鏡像命令配置，將源端口的數(shù)據(jù)報文鏡像到目標端口。

遠程鏡像的配置步驟如下：

1、在全局模式下創(chuàng)建源端口

2、配置一臺交換機uplink端口

3、在全局模式下創(chuàng)建目標端口

4、配置另一臺交換機uplink端口

需要注意的是：

1、在本地鏡像中，必須選擇一個口作為源端口，一個口作為目標端口，配置才能生效；

2、如果需要創(chuàng)建鏡像組，一個鏡像組只能有一個目標端口，可有多個源端口；

3、如果某個端口已經(jīng)是一個鏡像組的源端口，則不能成為另一個鏡像組的成員端口；

4、如果某個端口已經(jīng)是一個鏡像組的目標端口，則不能成為另一個鏡像組的成員端口；

5、建議不要在目標端口上使用STP、RSTP或MSTP，否則會影響設(shè)備的正常使用。

2、端口鏡像與流鏡像有什么區(qū)別？

端口鏡像與流鏡像都屬于鏡像功能。

每個網(wǎng)絡(luò)連接都有入口流、出口流兩個方向的數(shù)據(jù)流，對于交換機來說這兩個數(shù)據(jù)流需要分開鏡像。流鏡像是指按照一定的數(shù)據(jù)流分類規(guī)則對數(shù)據(jù)進行分流，然后將屬于指定流的所有數(shù)據(jù)鏡像到監(jiān)控端口，以便進行分析。

流鏡像可以通過訪問控制列表（ACL）的方式匹配合適的流，也可以通過命令匹配，在功能上要比端口鏡像更強大。

3、 端口鏡像與端口映射有什么區(qū)別？

端口映射是指將內(nèi)網(wǎng)的某個（LAN）IP地址轉(zhuǎn)發(fā)到公網(wǎng)上，或者將外網(wǎng)的（WAN）IP地址轉(zhuǎn)發(fā)到內(nèi)網(wǎng)上。比如有一臺電腦本地的IP地址是192.168.1.10，在這臺電腦上用百度查詢資料，數(shù)據(jù)傳輸?shù)牧鞒淌牵和ㄟ^路由器用ADSL撥號上百度，百度只能識別到路由器的IP地址，把數(shù)據(jù)傳給路由器后，路由器通過內(nèi)置的端口映射表（配置了端口映射路由器才能準確辨別信息應反饋給哪個本地IP）把數(shù)據(jù)返回到電腦。

端口鏡像與端口映射的主要區(qū)別在于：端口鏡像是流量復制的過程，端口映射是流量轉(zhuǎn)發(fā)的過程。

4、如何驗證端口鏡像是否成功？

通常情況下可通過流量抓包軟件進行流量抓包驗證，在監(jiān)控設(shè)備上進行抓包測試，如果可以獲取到源端口發(fā)送或接收的數(shù)據(jù)包，則端口鏡像成功。
責任編輯人：CC