一文读懂镜像

01、什么是镜像

镜像是将网络设备上指定源的收发报文复制一份送到目的端口，并通过目的端口将复制的报文发送给网络分析设备，从而可以对该报文进行分析。

简单说，当在网络设备上不方便直接查看分析源报文时，那就“复制”一份，在不影响网络设备正常报文转发的情况下，送到方便查看分析的地方。

在我们解决网络故障问题时，镜像是重要的排查手段，通过镜像还可实现网络流量分析、安全防御、流量备份等功能。

02、镜像系统包括什么

一个完整的镜像系统包括网络设备、镜像源、目的端口和网络分析设备。

01、网络设备

网络设备可以是交换机、路由器、防火墙等等。

02、镜像源

镜像源可以是端口、报文流、VLAN 以及 MAC 地址。因此按照镜像源的不同，镜像可分为端口镜像、流镜像、VLAN 镜像以及 MAC 镜像。

4 种镜像源不同，但镜像系统组成类似，我们以端口镜像为例介绍。当网络设备启用端口镜像后，镜像源端口可以是 1 个或多个，源端口也称为镜像端口。

03、目的端口

目的端口是指定的 1 个接收“复制”报文的端口，目的端口也称为观察端口。按照镜像的目的端口所在位置不同，可以分为本地镜像和远程镜像。

04、网络分析设备

网络分析设备连接目的端口，可以是安装了抓包分析软件的计算机，也可以是专用的监控分析仪器。

03、镜像是如何工作的

以端口镜像为例，我们按本地镜像和远程镜像分别介绍。

01、本地镜像

本地镜像的源端口和目的端口在同一个网络设备上，“复制”与“接收”在同一个网络设备上完成。

在网络设备 A 上将端口 1 的报文复制一份到端口 3，在端口 3 中就可以监控端口 1 的报文，即为本地镜像。

02、远程镜像

远程镜像的源端口和目的端口分布在不同的网络设备上，镜像报文需经过跨设备的传输后才能到达指定的目的端口。

将网络设备 A 的端口 1 的报文复制一份送到远端网络设备 B 的端口 3 上，即为远程镜像。

在远程镜像中，网络设备 A 源端口的报文可以通过二层网络或三层网络的进行封装传送，到达网络设备 B 的目的端口，送到与目的端口连接的网络分析设备。

其他镜像类型的工作过程与端口镜像相似。

流镜像是将符合指定规则的一类报文复制到目的端口，当一个镜像会话中配置了 ACL（Access Control List，访问控制列表），则认为是流镜像。流镜像可根据需要采集经 ACL 过滤后的报文，可以在端口的不同方向上（出向、入向或双向）绑定 ACL。

VLAN 镜像是将指定 VLAN（Virtual Local Area Network，虚拟局域网）内所有接口的出入方向报文复制到目的端口。

MAC 镜像是将源 MAC 地址或目的 MAC 地址为指定 MAC 地址的报文复制到目的端口。

04、镜像有哪些应用场景

镜像的应用很多，常见的应用场景举例如下。

01、故障排查

当网络中出现故障或网络异常时，通过镜像可以捕获并分析相关的数据报文，帮助网络管理员快速识别、定位故障，例如网络拥塞、丢包或配置错误等。

02、网络分析和优化

通过镜像功能，可以实时监控网络流量，了解协议使用和应用程序行为。有助于识别潜在的性能问题，及时进行网络优化、确保网络正常运行。同时，还可以根据网络流量数据，规划未来的资源分配和容量扩展。

03、安全防御

利用镜像监控网络流量，可以发现潜在的安全威胁或攻击。例如，企业网络通过镜像可以捕捉到网络中的异常流量，及时识别入侵行为、恶意攻击以及其他网络安全事件，网络管理员可以迅速采取行动以防止潜在的攻击。

04、数据备份

通过镜像可以将数据报文复制一份，备份到指定位置，以实现对重要数据的备份，防止数据丢失。

结语

通过上面介绍可知，镜像是故障排查、网络分析优化、安全防御和数据备份的重要手段。

但镜像使用也不是无限制的。

镜像功能需在法律法规允许的目的和范围内方可使用其相应的功能，在使用中需要确保用户的通信内容受到严格保护。

开启镜像功能会占用网络设备的带宽资源，可能导致设备处理业务的性能下降，严重时甚至可能会影响业务。因此使用镜像功能时需要注意风险，在使用后及时关闭。

本文来自微信公众号：中兴文档 （ID：ztedoc）

广告声明：文内含有的对外跳转链接（包括不限于超链接、二维码、口令等形式），用于传递更多信息，节省甄选时间，结果仅供参考，IT之家所有文章均包含本声明。