镜子大家都很熟悉,我们在镜子中可以看到一个相同的自己,这是因为镜子前的物体在镜后成正立的虚像,在视觉上“复制”了一个与镜前完全相同的物体。
网络中也有类似镜子“复制”的行为 —— 镜像,今天文档君就来讲讲镜像。
01、什么是镜像
镜像是将网络设备上指定源的收发报文复制一份送到目的端口,并通过目的端口将复制的报文发送给网络分析设备,从而可以对该报文进行分析。
简单说,当在网络设备上不方便直接查看分析源报文时,那就“复制”一份,在不影响网络设备正常报文转发的情况下,送到方便查看分析的地方。
在我们解决网络故障问题时,镜像是重要的排查手段,通过镜像还可实现网络流量分析、安全防御、流量备份等功能。
02、镜像系统包括什么
一个完整的镜像系统包括网络设备、镜像源、目的端口和网络分析设备。
01、网络设备
网络设备可以是交换机、路由器、防火墙等等。
02、镜像源
镜像源可以是端口、报文流、VLAN 以及 MAC 地址。因此按照镜像源的不同,镜像可分为端口镜像、流镜像、VLAN 镜像以及 MAC 镜像。
4 种镜像源不同,但镜像系统组成类似,我们以端口镜像为例介绍。当网络设备启用端口镜像后,镜像源端口可以是 1 个或多个,源端口也称为镜像端口。
03、目的端口
目的端口是指定的 1 个接收“复制”报文的端口,目的端口也称为观察端口。按照镜像的目的端口所在位置不同,可以分为本地镜像和远程镜像。
04、网络分析设备
网络分析设备连接目的端口,可以是安装了抓包分析软件的计算机,也可以是专用的监控分析仪器。
03、镜像是如何工作的
以端口镜像为例,我们按本地镜像和远程镜像分别介绍。
01、本地镜像
本地镜像的源端口和目的端口在同一个网络设备上,“复制”与“接收”在同一个网络设备上完成。
在网络设备 A 上将端口 1 的报文复制一份到端口 3,在端口 3 中就可以监控端口 1 的报文,即为本地镜像。
02、远程镜像
远程镜像的源端口和目的端口分布在不同的网络设备上,镜像报文需经过跨设备的传输后才能到达指定的目的端口。
将网络设备 A 的端口 1 的报文复制一份送到远端网络设备 B 的端口 3 上,即为远程镜像。
在远程镜像中,网络设备 A 源端口的报文可以通过二层网络或三层网络的进行封装传送,到达网络设备 B 的目的端口,送到与目的端口连接的网络分析设备。
其他镜像类型的工作过程与端口镜像相似。
流镜像是将符合指定规则的一类报文复制到目的端口,当一个镜像会话中配置了 ACL(Access Control List,访问控制列表),则认为是流镜像。流镜像可根据需要采集经 ACL 过滤后的报文,可以在端口的不同方向上(出向、入向或双向)绑定 ACL。
VLAN 镜像是将指定 VLAN(Virtual Local Area Network,虚拟局域网)内所有接口的出入方向报文复制到目的端口。
MAC 镜像是将源 MAC 地址或目的 MAC 地址为指定 MAC 地址的报文复制到目的端口。
04、镜像有哪些应用场景
镜像的应用很多,常见的应用场景举例如下。
01、故障排查
当网络中出现故障或网络异常时,通过镜像可以捕获并分析相关的数据报文,帮助网络管理员快速识别、定位故障,例如网络拥塞、丢包或配置错误等。
02、网络分析和优化
通过镜像功能,可以实时监控网络流量,了解协议使用和应用程序行为。有助于识别潜在的性能问题,及时进行网络优化、确保网络正常运行。同时,还可以根据网络流量数据,规划未来的资源分配和容量扩展。
03、安全防御
利用镜像监控网络流量,可以发现潜在的安全威胁或攻击。例如,企业网络通过镜像可以捕捉到网络中的异常流量,及时识别入侵行为、恶意攻击以及其他网络安全事件,网络管理员可以迅速采取行动以防止潜在的攻击。
04、数据备份
通过镜像可以将数据报文复制一份,备份到指定位置,以实现对重要数据的备份,防止数据丢失。
结语
通过上面介绍可知,镜像是故障排查、网络分析优化、安全防御和数据备份的重要手段。
但镜像使用也不是无限制的。
镜像功能需在法律法规允许的目的和范围内方可使用其相应的功能,在使用中需要确保用户的通信内容受到严格保护。
开启镜像功能会占用网络设备的带宽资源,可能导致设备处理业务的性能下降,严重时甚至可能会影响业务。因此使用镜像功能时需要注意风险,在使用后及时关闭。
本文来自微信公众号:中兴文档 (ID:ztedoc)
广告声明:文内含有的对外跳转链接(包括不限于超链接、二维码、口令等形式),用于传递更多信息,节省甄选时间,结果仅供参考,IT之家所有文章均包含本声明。