镜子大家都很熟悉,我们在镜子中可以看到一个相同的自己,这是因为镜子前的物体在镜后成正立的虚像,在视觉上“复制”了一个与镜前完全相同的物体。
网络中也有类似镜子“复制”的行为——镜像,今天文档君就来讲讲镜像。
01、什么是镜像?
镜像是将网络设备上指定源的收发报文复制一份送到目的端口,并通过目的端口将复制的报文发送给网络分析设备,从而可以对该报文进行分析。简单说,当在网络设备上不方便直接查看分析源报文时,那就“复制”一份,在不影响网络设备正常报文转发的情况下,送到方便查看分析的地方。
在我们解决网络故障问题时,镜像是重要的排查手段,通过镜像还可实现网络流量分析、安全防御、流量备份等功能。
02、镜像系统包括什么?
一个完整的镜像系统包括网络设备、镜像源、目的端口和网络分析设备。
02、镜像源:镜像源可以是端口、报文流、VLAN以及MAC地址。因此按照镜像源的不同,镜像可分为端口镜像、流镜像、VLAN镜像以及MAC镜像。4种镜像源不同,但镜像系统组成类似,我们以端口镜像为例介绍。当网络设备启用端口镜像后,镜像源端口可以是1个或多个,源端口也称为镜像端口。
03、目的端口:目的端口是指定的1个接收“复制”报文的端口,目的端口也称为观察端口。按照镜像的目的端口所在位置不同,可以分为本地镜像和远程镜像。
04、网络分析设备:网络分析设备连接目的端口,可以是安装了抓包分析软件的计算机,也可以是专用的监控分析仪器。
03、镜像是如何工作的
以端口镜像为例,我们按本地镜像和远程镜像分别介绍。
01、本地镜像:本地镜像的源端口和目的端口在同一个网络设备上,“复制”与“接收”在同一个网络设备上完成。
在网络设备A上将端口1的报文复制一份到端口3,在端口3中就可以监控端口1的报文,即为本地镜像。
02、远程镜像:远程镜像的源端口和目的端口分布在不同的网络设备上,镜像报文需经过跨设备的传输后才能到达指定的目的端口。
将网络设备A的端口1的报文复制一份送到远端网络设备B的端口3上,即为远程镜像。在远程镜像中,网络设备A源端口的报文可以通过二层网络或三层网络的进行封装传送,到达网络设备B的目的端口,送到与目的端口连接的网络分析设备。
其他镜像类型的工作过程与端口镜像相似。
- 流镜像是将符合指定规则的一类报文复制到目的端口,当一个镜像会话中配置了ACL(Access Control List,访问控制列表),则认为是流镜像。流镜像可根据需要采集经ACL过滤后的报文,可以在端口的不同方向上(出向、入向或双向)绑定ACL。VLAN镜像是将指定VLAN(Virtual Local Area Network,虚拟局域网)内所有接口的出入方向报文复制到目的端口。MAC镜像是将源MAC地址或目的MAC地址为指定MAC地址的报文复制到目的端口。
04、镜像有哪些应用场景
镜像的应用很多,常见的应用场景举例如下。
01、故障排查:当网络中出现故障或网络异常时,通过镜像可以捕获并分析相关的数据报文,帮助网络管理员快速识别、定位故障,例如网络拥塞、丢包或配置错误等。
02、网络分析和优化:通过镜像功能,可以实时监控网络流量,了解协议使用和应用程序行为。有助于识别潜在的性能问题,及时进行网络优化、确保网络正常运行。同时,还可以根据网络流量数据,规划未来的资源分配和容量扩展。
03、安全防御:利用镜像监控网络流量,可以发现潜在的安全威胁或攻击。例如,企业网络通过镜像可以捕捉到网络中的异常流量,及时识别入侵行为、恶意攻击以及其他网络安全事件,网络管理员可以迅速采取行动以防止潜在的攻击。
04、数据备份:通过镜像可以将数据报文复制一份,备份到指定位置,以实现对重要数据的备份,防止数据丢失。
结语
通过上面介绍可知,镜像是故障排查、网络分析优化、安全防御和数据备份的重要手段。但镜像使用也不是无限制的。
- 镜像功能需在法律法规允许的目的和范围内方可使用其相应的功能,在使用中需要确保用户的通信内容受到严格保护。开启镜像功能会占用网络设备的带宽资源,可能导致设备处理业务的性能下降,严重时甚至可能会影响业务。因此使用镜像功能时需要注意风险,在使用后及时关闭。
到这里,镜像的介绍就结束了,您是否已经了解了呢?欢迎评论区留言讨论。