原文連結:https://blog.csdn.net/roshy/article/details/88803223
1.鏡像簡介
鏡像是指将經過指定端口(源端口或者鏡像端口)的封包複制一份到另一個指定端口(目的端口或者觀察端口)。
2.目的:
在網絡營運與維護的過程中,為了便于業務監測和故障定位,網絡管理者時常要擷取裝置上的業務封包進行分析。
鏡像可以在不影響裝置對封包進行正常處理的情況下,将鏡像端口的封包複制一份到觀察端口。網絡管理者通過網絡監控裝置就可以分析從觀察端口複制過來的封包,判斷網絡中運作的業務是否正常。
3.基本概念:
鏡像端口和觀察端口
鏡像端口:是指被監控的端口,鏡像端口收發的封包将被複制一份到與監控裝置相連的端口。
觀察端口:是指連接配接監控裝置的端口,用于将鏡像端口複制過來的封包發送給監控裝置。
一般觀察端口專門用于鏡像流量的轉發,是以不建議在上面配置其他業務,防止鏡像流量與其他業務流量在觀察端口上同時轉發會互相影響。
在裝置上應用鏡像功能時,如果鏡像過多,會占用較多的裝置内部轉發帶寬,可能影響其他業務轉發。另外,如果鏡像端口與觀察端口的帶寬不一緻,比如,鏡像端口的帶寬是1000Mbit/s,觀察端口的帶寬是100Mbit/s,則有可能導緻觀察端口因帶寬不足而不能及時轉發全部的鏡像封包,發生丢包情況。
4.鏡像方向:
鏡像方向是指将鏡像端口指定方向的封包複制到觀察端口,包括:
入方向:将鏡像端口接收的封包複制到觀察端口上。
出方向:将鏡像端口發送的封包複制到觀察端口上。
雙向:将鏡像端口接收和發送的封包都複制到觀察端口上。
5.端口鏡像:
端口鏡像是指裝置複制從鏡像端口流經的封包,并将此封包傳送到指定的觀察端口進行分析和監控。端口鏡像根據監控裝置在網絡中位置的不同,分為本地端口鏡像和遠端端口鏡像。
(1)本地端口鏡像:
本地端口鏡像是指觀察端口鏡像口)與監控裝置(如探針)直接相連,此時觀察端口被稱為本地觀察端口。
(2)遠端端口鏡像:
遠端端口鏡像是指觀察端口與監控裝置通過中間網絡傳輸鏡像封包,此時觀察端口被稱為遠端觀察端口。
原理:源端口和目的端口位于不同交換機上,原理是将源端口的流量鏡像到本端VLAN中,然後通過TRUNK傳送到目的裝置。再将本地裝置中VLAN中的資料鏡像到指定的端口中。
需要将遠端交換機的觀察端口、監控裝置被監控的端口都加入VLAN777,保證兩個裝置間能夠二層通信。
6.流鏡像:
流鏡像是指在裝置上配置一定的規則,将符合規則的特定業務流複制到觀察端口進行分析和監控。
(1)VLAN鏡像:
VLAN鏡像是指将指定VLAN内所有活動接口的封包鏡像到觀察端口。使用者可以對某個VLAN或者某些VLAN内的封包進行監控。
目前,華為S系列盒式交換機在應用VLAN鏡像時,僅支援将VLAN内活動接口入方向的封包鏡像到觀察端口。
同端口鏡像類似,根據監控裝置在網絡中位置的不同,VLAN鏡像也可以分為原生VLAN鏡像和遠端VLAN鏡像。值得注意的是,遠端VLAN鏡像中,主機所在VLAN和用于轉發鏡像封包的中間二層網絡的VLAN不能相同。