端口镜像是什么意思？

1、端口镜像概述

1.1 镜像是什么

镜像是指通过将指定端口的数据报文复制到另一个与网络分析设备连接的端口，以实现对网络流量镜像监控的目的。

随着网络的发展，对网络的高可用性的要求日益提高。当网络出现异常时，需要对网络节点或者设备的端口进行数据流量分析以快速定位网络问题使网络尽快恢复正常，但同时又要求不影响设备数据流量的正常转发，通过镜像功能就能够实现这一目的。

1.2 基本概念

●源端口

源端口指被监控设备上的指定端口，也称为被监控口。在镜像中，源端口上的数据流会被复制一份到目的端口，用于网络分析或故障排除。

●目的端口

目的端口是与网络分析设备相连接的端口，也称为监控口。目的端口用于将接收到的源端口报文转发到网络分析设备。

●远程镜像VLAN

远程镜像VLAN是一种特殊的VLAN，该VLAN只传输镜像报文，不对正常的业务数据进行传输。

●源设备

源设备是远程端口镜像角色之一，指源端口所在的设备，负责将源端口的报文复制一份到源设备的输出端口，传输给中间设备或目的设备。

●中间设备

中间设备是远程端口镜像角色之一，指处于源设备和目的设备之间的设备，负责将镜像报文传输给下一个中间设备或目的设备。如果源设备与目的设备直接相连，则不存在中间设备。

●目的设备

目的设备远程端口镜像角色之一，指远程镜像目的端口所在的设备，负责将中间设备或者源设备接收到的镜像报文转发给监控设备。

2、端口镜像工作原理

2.1 本地端口镜像的工作原理

本地端口镜像是指源端口与目的端口在同一台设备的镜像，也称为本地镜像。

如图2-1所示，被监控设备将进入源端口数据报文复制一份到目的端口，通过目的端口将被复制的数据报文转发到网络分析仪。网络分析仪虽然未直接与源端口连接，但通过镜像功能接收到了源端口上的数据报文，从而实现监控源端口中所传输的数据报文的目的。

图2-1 本地端口镜像工作原理图

2.2 远程端口镜像的工作原理

远程端口镜像是对本地镜像功能的扩展，指的是源端口与目的端口不在同一台设备上的镜像。

如图2-2所示，一个完整的远程端口镜像工作过程由源设备、中间设备和目的设备共同完成。远程端口镜像的原理如下：

(1) 在源设备、中间设备和目的设备创建一个远程镜像VLAN，且所有参与镜像会话的端口都加入该远程镜像VLAN。

(2) 远程镜像VLAN通过广播，将源设备从源端口中复制的数据报文转发到中间设备。

(3) 中间设备上的远程镜像VLAN继续通过广播，将从源设备接收到的数据报文转发到目的设备。

(4) 目的设备再将镜像报文转发到网络分析设备。实现监控源设备的源端口中所传输的数据报文的目的。

图2-2 远程端口镜像工作原理图

2.3 封装远程端口镜像的工作原理

在远程端口镜像中，镜像报文只能在二层内传输，无法跨路由网段转发，而封装远程端口镜像是对远程端口镜像功能的扩展，实现了跨越交换或路由网络的多台设备的远程监控。

如图2-3所示，源设备将进入源端口的报文复制一份并通过GRE（Generic Routing Encapsulation，通用路由协议封装）隧道封装成IP报文。GRE隧道将镜像报文转发到远端镜像设备的目的端口，实现了镜像报文的跨路由网段的传输。

图2-3 封装远程端口镜像工作原理图

3、流量镜像

流量镜像是在端口镜像的基础上，将源端口与ACL（Access Control List，访问控制列表）关联，根据ACL规则对报文进行过滤，达到只镜像指定报文的目的。源端口只有匹配到ACL中permit类型的ACE（Access Control Entry，访问控制条目）的报文才能被镜像到目的端口。一个源端口只能关联一个ACL。

4、结论

镜像功能主要应用在网络监控和故障排查两种场景中，对可疑的网络节点或者设备端口进行数据流量分析。通过镜像功能实现了监控网络信息安全和解决网络故障的目的。