网络管理维护的得力助手：镜像技术

来源：网络技术联盟站 

你好，这里是网络技术联盟站。

网络流量的监测和分析是确保网络安全、性能优化以及故障排查的重要一环。镜像技术是一种在网络管理中广泛使用的高效手段，旨在实现对网络流量的非侵入性监测、分析和记录。本文瑞哥将带大家了解镜像技术的基本原理、应用场景以及它在网络管理中的重要作用。

目录：

• 一、镜像的基本原理

• 二、镜像关键技术

• 2.1 镜像端口

• 2.2 观察端口

• 2.3 本地观察端口

• 2.4 二层远程观察端口

• 2.5 三层远程观察端口

• 三、镜像源

• 3.1 端口镜像

• 3.2 VLAN镜像

• 3.3 MAC镜像

• 3.4 流镜像

• 四、镜像方向

• 4.1 入方向镜像

• 4.2 出方向镜像

• 4.3 双向镜像

• 五、流镜像规则配置方式

• 5.1 基于MQC方式配置

• 5.2 基于ACL方式配置

• 六、总结

一、镜像的基本原理

镜像的基本原理是将特定源端口的数据复制一份，并将其发送到目的端口，以供监控或分析。

通过这种方式，镜像技术允许网络管理员在不中断正常网络流量的情况下，实时地监控特定设备或端口的通信活动。

二、镜像关键技术

2.1 镜像端口

• Mirror Port

镜像端口是原始报文经过的端口，通过配置，这个端口上的数据将被复制一份以供监控或分析。镜像端口的选择通常取决于需要监测的设备或端口。

镜像端口的带宽应适配观察端口的带宽。如果带宽不匹配，可能导致观察端口因带宽不足而无法及时转发全部的镜像报文，导致丢包的情况发生。

2.2 观察端口

• Observation Port

观察端口是连接监控设备的端口，它负责将复制的镜像报文发送给监控设备进行分析。观察端口的位置对于有效的镜像功能至关重要。

观察端口专门用于镜像报文的转发，不应配置其他业务，以免镜像报文与其他数据报文在观察端口上同时转发，从而产生互相影响。

2.3 本地观察端口

• Local Observation Port

本地观察端口是直接与监控设备相连的端口。在这种配置下，镜像报文通过直连方式传送到监控设备，形成本地镜像。这种方式适用于监控设备与被监控设备在同一物理网络中的场景。

2.4 二层远程观察端口

• Layer 2 Remote Observation Port

二层远程观察端口是通过二层网络与监控设备相连的端口。在这种情况下，镜像报文通过二层网络传送到监控设备，形成二层远程镜像。这样的配置适用于监控设备与被监控设备在不同物理网络中但通过二层网络可以直接通信的情况。

2.5 三层远程观察端口

• Layer 3 Remote Observation Port

三层远程观察端口是通过三层网络与监控设备相连的端口。在这种情况下，镜像报文通过三层网络传送到监控设备，形成三层远程镜像。这种配置适用于监控设备与被监控设备在不同的 IP 子网中，需要通过路由器进行通信的情况。

过多的镜像配置可能占用设备内部转发带宽，影响其他业务的正常转发。因此，在应用镜像功能时，需要权衡配置数量和设备性能。

三、镜像源

在网络管理中，镜像技术的应用不仅仅局限于整个端口的流量复制，而是通过灵活的配置，可以选择性地复制特定类型的流量。这种选择性的源被称为镜像源，而不同类型的镜像源提供了更多的管理和监测的可能性，主要有以下镜像：

• 端口镜像
• VLAN镜像
• MAC镜像
• 流镜像

3.1 端口镜像

端口镜像是一种在网络管理中常用的技术，通过将指定端口的接收或发送的报文复制到观察端口，实现对网络流量的详细监测和分析。端口镜像根据观察端口的不同，可以分为本地端口镜像和二层远程端口镜像。

本地端口镜像

本地端口镜像是指将指定端口接收或发送的报文复制到直接连接监控设备的观察端口。在这种配置下，监控设备与被监控端口在同一物理网络中直连。

本地端口镜像具有低延迟、高效率的特点，适用于需要实时监测端口流量的场景。对于局域网内的监测需求，这是一种方便而直接的配置方式。

常用于实时故障排查、性能监测以及安全分析，管理员可以直接连接监控设备进行流量的实时观察和分析。

二层远程端口镜像

二层远程端口镜像是指将指定端口接收或发送的报文复制到通过二层网络与监控设备相连的观察端口。在这种配置下，监控设备与被监控端口可能在不同的物理网络中，但通过二层网络可以直接通信。

二层远程端口镜像适用于设备之间存在二层连接，但可能不在同一物理网络的情况。通过二层网络的连接，实现了远程监测而不必在同一物理位置。

用于监测跨物理网络的流量，特别是在网络拓扑较为复杂、设备分布较为广泛的情况下，提供了便捷的监测手段。

在配置端口镜像时，需要确保镜像端口的带宽不会超过观察端口的带宽，以防止因带宽不匹配而导致丢包或性能问题。

根据实际网络拓扑结构选择合适的端口镜像配置，以满足监测需求。

镜像操作可能对设备性能产生一定开销，因此在配置时需要综合考虑网络规模和设备性能。

3.2 VLAN镜像

VLAN镜像是通过配置，将指定VLAN内接收的报文复制到观察端口。这种配置允许管理员对特定虚拟局域网内的流量进行监测和分析。

工作原理

1. 选择VLAN源： 配置需要进行镜像的VLAN，即希望监测其内流量的虚拟局域网。

2. 配置观察端口： 指定观察端口为本地观察端口或二层远程观察端口，连接监控设备。

3. 复制报文： 所选VLAN内接收的报文将被复制到观察端口，供监控设备进行分析。

本地VLAN镜像

本地VLAN镜像是指将指定VLAN内接收的报文复制到直接连接监控设备的观察端口。监控设备与被监控VLAN在同一物理网络中直连。

本地VLAN镜像具有低延迟和高效率的特点，适用于需要实时监测VLAN内流量的场景。

二层远程VLAN镜像

二层远程VLAN镜像是指将指定VLAN内接收的报文复制到通过二层网络与监控设备相连的观察端口。监控设备与被监控VLAN可能在不同物理网络中，但通过二层网络可以直接通信。

二层远程VLAN镜像适用于VLAN间跨越不同物理网络的情况，通过二层网络连接实现监测。

当需要对特定VLAN内流量进行监测，而不干扰其他VLAN的通信时，可以使用VLAN镜像。

3.3 MAC镜像

MAC镜像是通过配置，将指定VLAN内接收的源MAC地址或目的MAC地址为特定MAC地址的报文复制到观察端口。这种配置允许管理员对网络中特定设备的报文进行监测。

工作原理

1. 选择MAC地址条件： 配置需要进行镜像的MAC地址条件，可以是源MAC地址或目的MAC地址，以及特定的MAC地址。

2. 选择VLAN源： 配置需要进行镜像的VLAN，即希望监测其内流量的虚拟局域网。

3. 配置观察端口： 指定观察端口为本地观察端口或二层远程观察端口，连接监控设备。

4. 复制报文： 满足MAC地址条件的报文将被复制到观察端口，供监控设备进行分析。

本地MAC镜像

本地MAC镜像是指将指定VLAN内接收的源MAC地址或目的MAC地址为特定MAC地址的报文复制到直接连接监控设备的观察端口。监控设备与被监控VLAN在同一物理网络中直连。

本地MAC镜像具有低延迟和高效率的特点，适用于需要实时监测特定设备的流量的场景。

二层远程MAC镜像

二层远程MAC镜像是指将指定VLAN内接收的源MAC地址或目的MAC地址为特定MAC地址的报文复制到通过二层网络与监控设备相连的观察端口。监控设备与被监控VLAN可能在不同物理网络中，但通过二层网络可以直接通信。

二层远程MAC镜像适用于VLAN间跨越不同物理网络的情况，通过二层网络连接实现监测。

当需要监测网络中特定设备的通信时，可以使用MAC镜像，以源MAC地址或目的MAC地址为条件进行过滤。

交换机通常仅支持入方向MAC镜像，即仅支持将指定VLAN接收的报文复制到观察端口。

配置时需要确保MAC地址条件与指定VLAN内的报文匹配。

3.4 流镜像

流镜像是一种网络管理技术，通过指定规则，将符合这些规则的报文流复制到观察端口，以便进一步的监测和分析。

原理描述

• 匹配规则定义： 在流镜像配置中，管理员需要定义匹配规则，这些规则可以基于报文的各种属性，例如源/目的IP地址、协议类型、端口号等。

• 流镜像源选择： 配置需要进行镜像的流，即需要匹配指定规则的报文流。

• 配置观察端口： 指定观察端口为本地观察端口或二层远程观察端口，连接监控设备。

• 复制报文流： 符合匹配规则的报文流将被复制到观察端口，供监控设备进行分析。

本地流镜像

本地流镜像是指将符合指定规则的报文流复制到直接连接监控设备的观察端口。监控设备与被监控流在同一物理网络中直连。

本地流镜像具有低延迟和高效率的特点，适用于需要实时监测特定流的场景。

二层远程流镜像

二层远程流镜像是指将符合指定规则的报文流复制到通过二层网络与监控设备相连的观察端口。监控设备与被监控流可能在不同物理网络中，但通过二层网络可以直接通信。

二层远程流镜像适用于流需要在不同物理网络中监测的情况，通过二层网络连接实现监测。

当需要对特定报文流进行详细监测和分析时，可以使用流镜像功能。

确保定义的匹配规则准确无误，以确保只有符合条件的报文流被复制。

镜像操作可能对设备性能产生一定开销，因此需要根据设备性能和网络规模进行合理配置。

确保流镜像的带宽不会超过观察端口的带宽，避免带宽不匹配导致的性能问题。

通过这些不同类型的镜像源，网络管理员可以更加灵活地配置镜像功能，以满足特定的监测需求。后面会详细解释这些类型的镜像源。

四、镜像方向

在网络管理中，除了选择不同类型的镜像源外，还可以通过配置镜像方向来精细控制复制到观察端口的报文。镜像方向定义了从镜像端口到观察端口的数据流的方向，具体包括入方向、出方向和双向。

4.1 入方向镜像

入方向镜像是指将镜像端口接收的报文复制到观察端口上。这意味着被监测设备接收到的所有入站流量都将被复制到观察端口，方便进行详细的分析和监测。

入方向镜像常用于分析设备接收到的流量，用于检测潜在的网络问题、异常行为或安全威胁。

4.2 出方向镜像

出方向镜像是指将镜像端口发送的报文复制到观察端口上。这允许管理员监测设备发送的所有出站流量，为网络性能优化和安全审计提供有力支持。

出方向镜像通常用于分析设备发送的流量，帮助检测性能问题、确认数据包的有效传输以及监测出站通信的安全性。

4.3 双向镜像

双向镜像是指将镜像端口接收和发送的报文都复制到观察端口上。这提供了全面的流量监测，包括设备的入站和出站通信。

双向镜像适用于需要全方位监测设备通信的场景，帮助管理员全面了解设备与网络的交互，用于网络故障排查、性能优化和安全审计。

双向镜像会占用更多的系统资源，因为它需要复制设备接收和发送的所有报文。在配置时要注意设备性能和资源的消耗。

在配置镜像方向时，要注意遵循隐私和合规性的规定，确保合法监测和分析网络流量。

通过合理选择镜像方向，网络管理员可以有针对性地监测和分析网络流量，帮助确保网络的稳定性、安全性和高性能运行。

五、流镜像规则配置方式

在流镜像中，规则的配置方式主要有两种：基于MQC（模块化质量类）和基于ACL（访问控制列表）。这两种方式各有优势和限制，管理员可以根据具体需求选择适合的配置方式。

5.1 基于MQC方式配置

• 配置较为复杂，但支持的匹配规则较多。
• 支持入方向和出方向的流镜像。
• 支持更多的匹配规则，提供更大的灵活性。
• 可以同时配置入方向和出方向的流镜像。

5.2 基于ACL方式配置

• 配置简单，但支持的匹配规则相对较少。
• 仅支持入方向的流镜像。
• 配置直观简单，适用于基本的流镜像需求。
• 仅需配置入方向流镜像时，是一种便捷的方式。

在基于ACL方式的二层远程流镜像中，如果包含流镜像行为的流策略应用在VLAN上，该VLAN和中间二层网络用于转发镜像报文的二层远程镜像VLAN不能相同。

无论采用哪种配置方式，都需要确保配置的规则匹配准确，以确保只有符合条件的报文流被复制。

在选择配置方式时，需要考虑设备性能和资源的消耗，尤其是在网络规模较大的情况下。

确保了解网络拓扑结构，特别是在进行二层远程流镜像时，确保中间网络的配置正确，避免出现问题。

六、总结

镜像技术作为网络管理的一项重要工具，为管理员提供了一种非侵入性监测网络流量的方式。通过及时发现和解决问题，优化性能以及保障网络安全，镜像技术在维护健康、高效、安全的网络运行中发挥着不可替代的作用。网络管理员应熟练掌握镜像技术，以更好地管理和维护复杂的现代网络架构。