一文读懂镜像

发表时间: 2024-02-29 13:58:17 发布于:行业新闻

  镜子大家都很熟悉,我们在镜子中能够正常的看到一个相同的自己,是因为镜子前的物体在镜后成正立的虚像,在视觉上“复制”了一个与镜前完全相同的物体。

  镜像是将网络设备上指定源的收发报文复制一份送到目的端口,并通过目的端口将复制的报文发送给网络分析设备,从而能够对该报文进行分析。

  简单说,当在网络设备上不方便直接查看分析源报文时,那就“复制”一份,在不影响网络设备正常报文转发的情况下,送到方便查看分析的地方。

  在我们解决网络故障问题时,镜像是重要的排查手段,通过镜像还可实现网络流量分析、安全防御、流量备份等功能。

  镜像源可以是端口、报文流、VLAN 以及 MAC 地址。因此按照镜像源的不同,镜像可分为端口镜像、流镜像、VLAN 镜像以及 MAC 镜像。

  4 种镜像源不同,但镜像系统组成类似,我们以端口镜像为例介绍。当网络设备启用端口镜像后,镜像源端口可以是 1 个或多个,源端口也称为镜像端口。

  目的端口是指定的 1 个接收“复制”报文的端口,目的端口也称为观察端口。按照镜像的目的端口所在位置不同,可大致分为本地镜像和远程镜像。

  网络分析设备连接目的端口,可以是安装了抓包分析软件的计算机,也可以是专用的监控分析仪器。

  本地镜像的源端口和目的端口在同一个网络设备上,“复制”与“接收”在同一个网络设备上完成。

  在网络设备 A 上将端口 1 的报文复制一份到端口 3,在端口 3 中就可以监控端口 1 的报文,即为本地镜像。

  远程镜像的源端口和目的端口分布在不同的网络设备上,镜像报文需经过跨设备的传输后才能到达指定的目的端口。

  将网络设备 A 的端口 1 的报文复制一份送到远端网络设备 B 的端口 3 上,即为远程镜像。

  在远程镜像中,网络设备 A 源端口的报文能够最终靠二层网络或三层网络的进行封装传送,到达网络设备 B 的目的端口,送到与目的端口连接的网络分析设备。

  流镜像是将符合指定规则的一类报文复制到目的端口,当一个镜像会话中配置了 ACL(Access Control List,访问控制列表),则认为是流镜像。流镜像可根据自身的需求采集经 ACL 过滤后的报文,可以在端口的不同方向上(出向、入向或双向)绑定 ACL。

  MAC 镜像是将源 MAC 地址或目的 MAC 地址为指定 MAC 地址的报文复制到目的端口。

  当网络中发生故障或网络异常时,通过镜像可以捕获并分析相关的数据报文,帮助网络管理员快速识别、定位故障,例如网络拥塞、丢包或配置错误等。

  通过镜像功能,可以实时监控网络流量,了解协议使用和应用程序行为。有助于识别潜在的性能问题,及时进行网络优化、确保网络正常运行。同时,还能够准确的通过网络流量数据,规划未来的资源分配和容量扩展。

  利用镜像监控网络流量,不难发现潜在的安全威胁或攻击。例如,企业网络通过镜像可以捕捉到网络中的异常流量,及时识别入侵行为、恶意攻击以及其他网络安全事件,网络管理员可以迅速采取行动以防止潜在的攻击。

  通过镜像可以将数据报文复制一份,备份到指定位置,以实现对重要数据的备份,防止数据丢失。

  通过上面介绍可知,镜像是故障排查、网络分析优化、安全防御和数据备份的重要手段。

  镜像功能需在法律和法规允许的目的和范围内方可使用其相应的功能,在使用中需要确保用户的通信内容受到严格保护。

  开启镜像功能会占用网络设备的带宽资源,可能会引起设备处理业务的性能直线下降,严重时甚至可能会影响业务。因此使用镜像功能时必须要格外注意风险,在使用后及时关闭。

  广告声明:文内含有的对外跳转链接(包括不限于超链接、二维码、口令等形式),用于传递更加多信息,节省甄选时间,结果仅供参考,IT之家所有文章均包含本声明。



相关产品
官网app下载入口-官方网站 皖ICP备18026708号-1 | 皖公网安备 皖ICP备18026708号-1 | 技术支持:网站地图