问题描述
在网络维护的过程中会遇到需要对报文进行获取和分析的情况,比如怀疑有攻击报文,此时需要在不影响报文转发的情况下,对报文进行获取和分析。
解决方案
镜像可以在不影响报文正常处理流程的情况下,将镜像端口的报文复制一份到观察端口,用户利用数据监控设备来分析复制到观察端口的报文,进行网络监控和故障排除。
镜像是指将镜像端口(源端口)的报文复制到观察端口(目的端口)。
应用场景
/Capture_Packet_(Huawei_VRP)/Port_Mirror/pasted_image001.png)
在某些场景中,我们可能需要监控交换机特定端口的入站或出站报文,或者需要针对特定的流量进行分析,例如上图中,GE0/0/2口上承载了许多流量,基于某种需求,我需要对接口的收发报文进行分析从而进行网络的故障定位。那么我可以在交换机的GE0/0/3口接一个PC,在PC上安装协议分析软件,然后部署端口镜像,将GE0/0/2的入、出站流量镜像到GE0/0/3口上来,接下来我只要在PC上通过协议分析软件查看报文即可。
注意,如果没有端口镜像技术,除非数据包的目的地是监控PC(所连接的端口),否则报文是不会发向该端口的。因此事实上端口镜像就是将某个特定端口的流量拷贝到某个监控端口。
概念术语
镜像方式
/Capture_Packet_(Huawei_VRP)/Port_Mirror/pasted_image.png)
端口镜像:是指设备复制一份从镜像端口流经的报文,并将此报文传送到指定的观察端口进行分析和监控
流镜像,是将镜像端口上特定业务流的报文复制到观察端口进行分析和监控。在流镜像中,镜像端口应用了包含流镜像行为的流策略。如果从镜像端口流经的报文匹配流分类规则,则将被复制到观察端口。
镜像角色
镜像端口是被监控的端口,从镜像端口流经的所有报文或匹配流分类规则的报文将被复制到观察端口。
观察端口是连接监控设备的端口,用于输出从镜像端口复制过来的报文。
观察端口组是连接多个监控设备的一组端口。观察端口组中的多个成员端口分别连接多个监控设备,当使用观察端口组镜像报文时,镜像到观察端口组的报文将被复制到所有的成员端口。