一、什么是端口鏡像？端口鏡像的類型與作用

端口鏡像是指在交換機(jī)或者路由器上將經(jīng)過(guò)指定端口（源端口）的數(shù)據(jù)報(bào)文復(fù)制一份到另一個(gè)指定端口（目標(biāo)端口）上，來(lái)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)流量的分析與監(jiān)控。一些對(duì)實(shí)時(shí)監(jiān)控比較注重的用戶在網(wǎng)絡(luò)遭受了各種攻擊，需要檢查流量而不希望影響原來(lái)的網(wǎng)絡(luò)時(shí)，可以利用端口鏡像，例如我國(guó)文化部和公安部要求網(wǎng)絡(luò)服務(wù)場(chǎng)所安裝監(jiān)控軟件，通過(guò)端口鏡像采集相關(guān)數(shù)據(jù)，分析用戶的網(wǎng)絡(luò)使用情況。

按照工作范圍的劃分，端口鏡像分為兩種類型，本地鏡像和遠(yuǎn)程鏡像。

本地鏡像實(shí)現(xiàn)在同一臺(tái)網(wǎng)絡(luò)設(shè)備上，監(jiān)控設(shè)備對(duì)客戶端的數(shù)據(jù)分析監(jiān)控。

遠(yuǎn)程鏡像實(shí)現(xiàn)跨網(wǎng)絡(luò)設(shè)備時(shí)，監(jiān)控設(shè)備對(duì)客戶端的數(shù)據(jù)分析監(jiān)控。

二、端口鏡像的原理是什么？

本地端口鏡像的源端口與目標(biāo)端口處在同一臺(tái)設(shè)備上，如下圖所示，通過(guò)本地端口鏡像，源端口（Eth 1/1）的數(shù)據(jù)報(bào)文被鏡像到目標(biāo)端口（Eth 1/2）上，這樣連接在目標(biāo)端口上的監(jiān)控設(shè)備就可以對(duì)經(jīng)過(guò)源端口的數(shù)據(jù)報(bào)文進(jìn)行監(jiān)控分析。

遠(yuǎn)程端口鏡像的源端口與目標(biāo)端口處在不同的設(shè)備上，如下圖所示，通過(guò)遠(yuǎn)程鏡像，源端口（Eth 1/3）的數(shù)據(jù)報(bào)文經(jīng)過(guò)兩臺(tái)設(shè)備的級(jí)聯(lián)端口（Eth 1/4）后被鏡像到目標(biāo)端口（Eth 1/3）上，該端口將鏡像數(shù)據(jù)報(bào)文復(fù)制到監(jiān)控設(shè)備上，實(shí)現(xiàn)跨設(shè)備的數(shù)據(jù)報(bào)文監(jiān)控分析。

三、端口鏡像的熱點(diǎn)問(wèn)答

1、交換機(jī)如何配置端口鏡像？

配置端口鏡像的前提是交換機(jī)或者路由器支持端口鏡像功能。您可以根據(jù)需求場(chǎng)景選擇配置本地鏡像還是遠(yuǎn)程鏡像。

本地鏡像的配置步驟如下：

1、創(chuàng)建VLAN

2、將端口添加到VLAN中

3、配置IP地址

4、在目標(biāo)端口下進(jìn)行鏡像命令配置，將源端口的數(shù)據(jù)報(bào)文鏡像到目標(biāo)端口。

遠(yuǎn)程鏡像的配置步驟如下：

1、在全局模式下創(chuàng)建源端口

2、配置一臺(tái)交換機(jī)uplink端口

3、在全局模式下創(chuàng)建目標(biāo)端口

4、配置另一臺(tái)交換機(jī)uplink端口

需要注意的是：

1、在本地鏡像中，必須選擇一個(gè)口作為源端口，一個(gè)口作為目標(biāo)端口，配置才能生效；

2、如果需要?jiǎng)?chuàng)建鏡像組，一個(gè)鏡像組只能有一個(gè)目標(biāo)端口，可有多個(gè)源端口；

3、如果某個(gè)端口已經(jīng)是一個(gè)鏡像組的源端口，則不能成為另一個(gè)鏡像組的成員端口；

4、如果某個(gè)端口已經(jīng)是一個(gè)鏡像組的目標(biāo)端口，則不能成為另一個(gè)鏡像組的成員端口；

5、建議不要在目標(biāo)端口上使用STP、RSTP或MSTP，否則會(huì)影響設(shè)備的正常使用。

2、端口鏡像與流鏡像有什么區(qū)別？

端口鏡像與流鏡像都屬于鏡像功能。

每個(gè)網(wǎng)絡(luò)連接都有入口流、出口流兩個(gè)方向的數(shù)據(jù)流，對(duì)于交換機(jī)來(lái)說(shuō)這兩個(gè)數(shù)據(jù)流需要分開鏡像。流鏡像是指按照一定的數(shù)據(jù)流分類規(guī)則對(duì)數(shù)據(jù)進(jìn)行分流，然后將屬于指定流的所有數(shù)據(jù)鏡像到監(jiān)控端口，以便進(jìn)行分析。

流鏡像可以通過(guò)訪問(wèn)控制列表（ACL）的方式匹配合適的流，也可以通過(guò)命令匹配，在功能上要比端口鏡像更強(qiáng)大。

3、 端口鏡像與端口映射有什么區(qū)別？

端口映射是指將內(nèi)網(wǎng)的某個(gè)（LAN）IP地址轉(zhuǎn)發(fā)到公網(wǎng)上，或者將外網(wǎng)的（WAN）IP地址轉(zhuǎn)發(fā)到內(nèi)網(wǎng)上。比如有一臺(tái)電腦本地的IP地址是192.168.1.10，在這臺(tái)電腦上用百度查詢資料，數(shù)據(jù)傳輸?shù)牧鞒淌牵和ㄟ^(guò)路由器用ADSL撥號(hào)上百度，百度只能識(shí)別到路由器的IP地址，把數(shù)據(jù)傳給路由器后，路由器通過(guò)內(nèi)置的端口映射表（配置了端口映射路由器才能準(zhǔn)確辨別信息應(yīng)反饋給哪個(gè)本地IP）把數(shù)據(jù)返回到電腦。

端口鏡像與端口映射的主要區(qū)別在于：端口鏡像是流量復(fù)制的過(guò)程，端口映射是流量轉(zhuǎn)發(fā)的過(guò)程。

4、如何驗(yàn)證端口鏡像是否成功？

通常情況下可通過(guò)流量抓包軟件進(jìn)行流量抓包驗(yàn)證，在監(jiān)控設(shè)備上進(jìn)行抓包測(cè)試，如果可以獲取到源端口發(fā)送或接收的數(shù)據(jù)包，則端口鏡像成功。
責(zé)任編輯人：CC