端口镜像的类型/作用/原理

一、什么是端口镜像？端口镜像的类型与作用

端口镜像是指在交换机或者路由器上将经过指定端口（源端口）的数据报文复制一份到另一个指定端口（目标端口）上，来实现对网络流量的分析与监控。一些对实时监控比较注重的用户在网络遭受了各种攻击，需要检查流量而不希望影响原来的网络时，可以利用端口镜像，例如我国文化部和公安部要求网络服务场所安装监控软件，通过端口镜像采集相关数据，分析用户的网络使用情况。

按照工作范围的划分，端口镜像分为两种类型，本地镜像和远程镜像。

本地镜像实现在同一台网络设备上，监控设备对客户端的数据分析监控。

远程镜像实现跨网络设备时，监控设备对客户端的数据分析监控。

二、端口镜像的原理是什么？

本地端口镜像的源端口与目标端口处在同一台设备上，如下图所示，通过本地端口镜像，源端口（Eth 1/1）的数据报文被镜像到目标端口（Eth 1/2）上，这样连接在目标端口上的监控设备就可以对经过源端口的数据报文进行监控分析。

远程端口镜像的源端口与目标端口处在不同的设备上，如下图所示，通过远程镜像，源端口（Eth 1/3）的数据报文经过两台设备的级联端口（Eth 1/4）后被镜像到目标端口（Eth 1/3）上，该端口将镜像数据报文复制到监控设备上，实现跨设备的数据报文监控分析。

三、端口镜像的热点问答

1、交换机如何配置端口镜像？

配置端口镜像的前提是交换机或者路由器支持端口镜像功能。您可以根据需求场景选择配置本地镜像还是远程镜像。

本地镜像的配置步骤如下：

1、创建VLAN

2、将端口添加到VLAN中

3、配置IP地址

4、在目标端口下进行镜像命令配置，将源端口的数据报文镜像到目标端口。

远程镜像的配置步骤如下：

1、在全局模式下创建源端口

2、配置一台交换机uplink端口

3、在全局模式下创建目标端口

4、配置另一台交换机uplink端口

需要注意的是：

1、在本地镜像中，必须选择一个口作为源端口，一个口作为目标端口，配置才能生效；

2、如果需要创建镜像组，一个镜像组只能有一个目标端口，可有多个源端口；

3、如果某个端口已经是一个镜像组的源端口，则不能成为另一个镜像组的成员端口；

4、如果某个端口已经是一个镜像组的目标端口，则不能成为另一个镜像组的成员端口；

5、建议不要在目标端口上使用STP、RSTP或MSTP，否则会影响设备的正常使用。

2、端口镜像与流镜像有什么区别？

端口镜像与流镜像都属于镜像功能。

每个网络连接都有入口流、出口流两个方向的数据流，对于交换机来说这两个数据流需要分开镜像。流镜像是指按照一定的数据流分类规则对数据进行分流，然后将属于指定流的所有数据镜像到监控端口，以便进行分析。

流镜像可以通过访问控制列表（ACL）的方式匹配合适的流，也可以通过命令匹配，在功能上要比端口镜像更强大。

3、 端口镜像与端口映射有什么区别？

端口映射是指将内网的某个（LAN）IP地址转发到公网上，或者将外网的（WAN）IP地址转发到内网上。比如有一台电脑本地的IP地址是192.168.1.10，在这台电脑上用百度查询资料，数据传输的流程是：通过路由器用ADSL拨号上百度，百度只能识别到路由器的IP地址，把数据传给路由器后，路由器通过内置的端口映射表（配置了端口映射路由器才能准确辨别信息应反馈给哪个本地IP）把数据返回到电脑。

端口镜像与端口映射的主要区别在于：端口镜像是流量复制的过程，端口映射是流量转发的过程。

4、如何验证端口镜像是否成功？

通常情况下可通过流量抓包软件进行流量抓包验证，在监控设备上进行抓包测试，如果可以获取到源端口发送或接收的数据包，则端口镜像成功。
责任编辑人：CC