端口鏡像——配置原理篇

鏡像是指將通過指定端口（鏡像端口）或者指定VLAN（鏡像VLAN）的報文複製一份到另外一個指定端口（觀察端口），而後轉發到網絡監控設備，供網絡管理員進行網絡監控與故障管理。

看官們能夠經過下面的這張圖瞭解下鏡像具體的工做機制，以及須要注意的地方。

那麼鏡像在網絡維護中具體能作些什麼呢？

1、故障定位

在系統運行過程當中，可能因爲系統軟件處理異常、網絡設備硬件故障、計算機病毒或用戶不正常使用等緣由形成網絡上流量異常或產生錯誤報文。爲了在不影響系統運行的狀況下對網絡上的報文進行分析，以定位故障產生的緣由，這時候就可使用鏡像。

2、業務可視

爲了更好的理解企業內部業務流量模型, 在網絡匯聚或核心交換機上，對業務流量進行鏡像，以便在不影響正常業務的狀況下，使企業各種應用清晰可視。 好比說, 多少用戶在上班時間訪問QQ； 員工訪問公司內部服務器的訪問量排名狀況。

3、入侵檢測

爲了發現各類攻擊企圖、攻擊行爲或者攻擊結果，以保證網絡系統資源的機密性、完整性和可用性, 在企業的上行接口，將全部出入的流量鏡像到一個IDS服務器上，進行實時分析。好比外部訪問公司服務器的訪問量激增，分析一下這些是否是屬於攻擊報文等。

另外，要特別說明一下，江湖就要有江湖的規矩，壞了規矩，就會招致整個武林的一致聲討。因此，雖然鏡像功能如此的強大，可是在華爲S系列交換機上用的是時候，請謹記：

該功能主要用於網絡檢測和故障管理，可能涉及使用我的用戶某些通訊內容。華爲公司沒法單方採集或存儲用戶通訊內

容。建議您只有在所適用法律法規容許的目的和範圍內方可啓用相應的功能。在使用、存儲用戶通訊內容的過程當中，您應採起足夠的措施以確保用戶的通訊內容受到嚴格保護。

好了，看官們如今瞭解到鏡像強大的威力以後，那咱們下面就來看看華爲S系列交換機哪些不一樣方式的鏡像功能。

功能 定義 產品支持狀況 端口鏡像 將指定端口（鏡像端口）的報文複製到觀察端口。 全支持 流鏡像 將指定類型的報文複製到觀察端口。 全支持 VLAN鏡像 將指定VLAN（鏡像VLAN）的報文複製到觀察端口。 框式交換機和S5720HI不支持 MAC鏡像 將指定MAC地址的報文複製到觀察端口。

框式交換機和S5720HI不支持

如何配置？

不管上述的哪一種方式，主要配置下面兩步：

一、建立觀察端口。不一樣的場景能夠選擇不一樣的命令，如表所示。

場景	對應配置命令
觀察端口與監控設備直連，本地鏡像。	observe-port [ <observe-port-index> ] <interfaceinterface-type interface-number>
觀察端口與監控設備經過中間二層網絡相連，二層遠程鏡像。	observe-port [ <observe-port-index> ] <interfaceinterface-type interface-number> vlan <vlan-id>
觀察端口與監控設備經過中間三層網絡相連，三層遠程鏡像。（僅框式交換機支持）	observe-port [ <observe-port-index> ] <interfaceinterface-type interface-number> destination-ip <dest-ip-address> source-ip <source-ip-address> [ dscp <dscp-value> | vlan <vlan-id> ] *

PS：若是須要將報文複製到多個觀察端口，能夠將上面的命令執行屢次，或者配置觀察端口組進行批量配置。

二、將指定的報文鏡像到觀察端口。不一樣的鏡像方式對應有不一樣的命令，如表所示。

鏡像方式	鏡像方式
端口鏡像	port-mirroring to observe-port <observe-port-index> { both | inbound | outbound }
流鏡像	基於MQC：mirroring to observe-port <observe-port-index>基於ACL：traffic-mirror
VLAN鏡像	mirroring to observe-port <observe-port-index> inbound
MAC鏡像	mac-mirroring mac-address to observe-port <observe-port-index> inbound

PS：both | inbound | outbound分別表示鏡像設備雙向（接收和發送兩個方向）/入方向（接收方向）/出方向（發送方向）的報文。

下面小編再經過簡單的組網環境演示一下咱們經常使用的二層遠程端口鏡像是如何配置的吧。

如圖所示，員工A與DNS服務器在同一個VLAN，經過二層網絡通訊，如今監控PC經過在SwitchA配置的二層遠程端口鏡像，來監控員工A訪問DNS服務器的記錄。

一、具體每臺交換機上的配置以下：

l SwitchA的配置文件

#

sysname SwitchA

#

vlan batch 10 20   //VLAN10爲用戶VLAN，VLAN20用於轉發鏡像報文

#

observe-port 1 interface GigabitEthernet0/0/1 vlan 20  //配置GE0/0/1爲二層遠程觀察端口，

用的觀察端口索引爲1，遠程鏡像VLAN爲VLAN20，複製的報文會經過GE0/0/1向VLAN20轉發

#

interface GigabitEthernet0/0/1   //觀察端口不須要加入VLAN20，上面的配置已實現鏡像報文經過GE0/0/1向VLAN20轉發

#

interface GigabitEthernet0/0/2

port link-type access

port default vlan 10    //端口加入VLAN，員工A與DNS之間通訊

port-mirroring to observe-port 1 inbound  //將GE0/0/2入方向的報文（即接收到的員工A發送的報文）鏡像到觀察端口1（即GE0/0/1）

#

interface GigabitEthernet0/0/3

port link-type access

port default vlan 10   //端口加入VLAN，員工A與DNS之間通訊

l SwitchB的配置文件

#

sysname SwitchB

#

vlan batch 20  //用於轉發鏡像報文到監控PC

#

interface GigabitEthernet0/0/1

port link-type trunk

port trunk allow-pass vlan 20  //端口加入VLAN，用於轉發鏡像報文到監控PC

#

interface GigabitEthernet0/0/2

port link-type access

port default vlan 20  //端口加入VLAN，用於轉發鏡像報文到監控PC

二、在SwitchA查看端口鏡像的配置狀況：

三、 檢查員工A與DNS服務器間通訊的報文是否鏡像到監控PC：

先在監控PC上啓用抓包工具，而後在員工A的PC上向DNS服務器發個ping報文。最後經過抓包工具抓取報文。

能夠發現抓取到了源地址爲員工A地址、目的地址爲監控PC地址的ping報文。