一文讀懂鏡像

01、什么是鏡像

鏡像是將網(wǎng)絡(luò)設(shè)備上指定源的收發(fā)報(bào)文復(fù)制一份送到目的端口，并通過目的端口將復(fù)制的報(bào)文發(fā)送給網(wǎng)絡(luò)分析設(shè)備，從而可以對(duì)該報(bào)文進(jìn)行分析。

簡單說，當(dāng)在網(wǎng)絡(luò)設(shè)備上不方便直接查看分析源報(bào)文時(shí)，那就“復(fù)制”一份，在不影響網(wǎng)絡(luò)設(shè)備正常報(bào)文轉(zhuǎn)發(fā)的情況下，送到方便查看分析的地方。

在我們解決網(wǎng)絡(luò)故障問題時(shí)，鏡像是重要的排查手段，通過鏡像還可實(shí)現(xiàn)網(wǎng)絡(luò)流量分析、安全防御、流量備份等功能。

02、鏡像系統(tǒng)包括什么

一個(gè)完整的鏡像系統(tǒng)包括網(wǎng)絡(luò)設(shè)備、鏡像源、目的端口和網(wǎng)絡(luò)分析設(shè)備。

01、網(wǎng)絡(luò)設(shè)備

網(wǎng)絡(luò)設(shè)備可以是交換機(jī)、路由器、防火墻等等。

02、鏡像源

鏡像源可以是端口、報(bào)文流、VLAN 以及 MAC 地址。因此按照鏡像源的不同，鏡像可分為端口鏡像、流鏡像、VLAN 鏡像以及 MAC 鏡像。

4 種鏡像源不同，但鏡像系統(tǒng)組成類似，我們以端口鏡像為例介紹。當(dāng)網(wǎng)絡(luò)設(shè)備啟用端口鏡像后，鏡像源端口可以是 1 個(gè)或多個(gè)，源端口也稱為鏡像端口。

03、目的端口

目的端口是指定的 1 個(gè)接收“復(fù)制”報(bào)文的端口，目的端口也稱為觀察端口。按照鏡像的目的端口所在位置不同，可以分為本地鏡像和遠(yuǎn)程鏡像。

04、網(wǎng)絡(luò)分析設(shè)備

網(wǎng)絡(luò)分析設(shè)備連接目的端口，可以是安裝了抓包分析軟件的計(jì)算機(jī)，也可以是專用的監(jiān)控分析儀器。

03、鏡像是如何工作的

以端口鏡像為例，我們按本地鏡像和遠(yuǎn)程鏡像分別介紹。

01、本地鏡像

本地鏡像的源端口和目的端口在同一個(gè)網(wǎng)絡(luò)設(shè)備上，“復(fù)制”與“接收”在同一個(gè)網(wǎng)絡(luò)設(shè)備上完成。

在網(wǎng)絡(luò)設(shè)備 A 上將端口 1 的報(bào)文復(fù)制一份到端口 3，在端口 3 中就可以監(jiān)控端口 1 的報(bào)文，即為本地鏡像。

02、遠(yuǎn)程鏡像

遠(yuǎn)程鏡像的源端口和目的端口分布在不同的網(wǎng)絡(luò)設(shè)備上，鏡像報(bào)文需經(jīng)過跨設(shè)備的傳輸后才能到達(dá)指定的目的端口。

將網(wǎng)絡(luò)設(shè)備 A 的端口 1 的報(bào)文復(fù)制一份送到遠(yuǎn)端網(wǎng)絡(luò)設(shè)備 B 的端口 3 上，即為遠(yuǎn)程鏡像。

在遠(yuǎn)程鏡像中，網(wǎng)絡(luò)設(shè)備 A 源端口的報(bào)文可以通過二層網(wǎng)絡(luò)或三層網(wǎng)絡(luò)的進(jìn)行封裝傳送，到達(dá)網(wǎng)絡(luò)設(shè)備 B 的目的端口，送到與目的端口連接的網(wǎng)絡(luò)分析設(shè)備。

其他鏡像類型的工作過程與端口鏡像相似。

• 流鏡像是將符合指定規(guī)則的一類報(bào)文復(fù)制到目的端口，當(dāng)一個(gè)鏡像會(huì)話中配置了 ACL（Access Control List，訪問控制列表），則認(rèn)為是流鏡像。流鏡像可根據(jù)需要采集經(jīng) ACL 過濾后的報(bào)文，可以在端口的不同方向上（出向、入向或雙向）綁定 ACL。

• VLAN 鏡像是將指定 VLAN（Virtual Local Area Network，虛擬局域網(wǎng)）內(nèi)所有接口的出入方向報(bào)文復(fù)制到目的端口。

• MAC 鏡像是將源 MAC 地址或目的 MAC 地址為指定 MAC 地址的報(bào)文復(fù)制到目的端口。

04、鏡像有哪些應(yīng)用場景

鏡像的應(yīng)用很多，常見的應(yīng)用場景舉例如下。

01、故障排查

當(dāng)網(wǎng)絡(luò)中出現(xiàn)故障或網(wǎng)絡(luò)異常時(shí)，通過鏡像可以捕獲并分析相關(guān)的數(shù)據(jù)報(bào)文，幫助網(wǎng)絡(luò)管理員快速識(shí)別、定位故障，例如網(wǎng)絡(luò)擁塞、丟包或配置錯(cuò)誤等。

02、網(wǎng)絡(luò)分析和優(yōu)化

通過鏡像功能，可以實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)流量，了解協(xié)議使用和應(yīng)用程序行為。有助于識(shí)別潛在的性能問題，及時(shí)進(jìn)行網(wǎng)絡(luò)優(yōu)化、確保網(wǎng)絡(luò)正常運(yùn)行。同時(shí)，還可以根據(jù)網(wǎng)絡(luò)流量數(shù)據(jù)，規(guī)劃未來的資源分配和容量擴(kuò)展。

03、安全防御

利用鏡像監(jiān)控網(wǎng)絡(luò)流量，可以發(fā)現(xiàn)潛在的安全威脅或攻擊。例如，企業(yè)網(wǎng)絡(luò)通過鏡像可以捕捉到網(wǎng)絡(luò)中的異常流量，及時(shí)識(shí)別入侵行為、惡意攻擊以及其他網(wǎng)絡(luò)安全事件，網(wǎng)絡(luò)管理員可以迅速采取行動(dòng)以防止?jié)撛诘墓簟?/p>

04、數(shù)據(jù)備份

通過鏡像可以將數(shù)據(jù)報(bào)文復(fù)制一份，備份到指定位置，以實(shí)現(xiàn)對(duì)重要數(shù)據(jù)的備份，防止數(shù)據(jù)丟失。

結(jié)語

通過上面介紹可知，鏡像是故障排查、網(wǎng)絡(luò)分析優(yōu)化、安全防御和數(shù)據(jù)備份的重要手段。

但鏡像使用也不是無限制的。

• 鏡像功能需在法律法規(guī)允許的目的和范圍內(nèi)方可使用其相應(yīng)的功能，在使用中需要確保用戶的通信內(nèi)容受到嚴(yán)格保護(hù)。

• 開啟鏡像功能會(huì)占用網(wǎng)絡(luò)設(shè)備的帶寬資源，可能導(dǎo)致設(shè)備處理業(yè)務(wù)的性能下降，嚴(yán)重時(shí)甚至可能會(huì)影響業(yè)務(wù)。因此使用鏡像功能時(shí)需要注意風(fēng)險(xiǎn)，在使用后及時(shí)關(guān)閉。

本文來自微信公眾號(hào)：中興文檔 （ID：ztedoc）

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。