Pheenet菲尼特 發表於 2021-01-09 10:25:16
一、什麼是埠鏡像?埠鏡像的類型與作用
埠鏡像是指在交換機或者路由器上將經過指定埠(源埠)的數據報文複製一份到另一個指定埠(目標埠)上,來實現對網絡流量的分析與監控。一些對實時監控比較注重的用戶在網絡遭受了各種攻擊,需要檢查流量而不希望影響原來的網絡時,可以利用埠鏡像,例如我國文化部和公安部要求網絡服務場所安裝監控軟體,通過埠鏡像採集相關數據,分析用戶的網絡使用情況。
按照工作範圍的劃分,埠鏡像分為兩種類型,本地鏡像和遠程鏡像。
本地鏡像實現在同一臺網絡設備上,監控設備對客戶端的數據分析監控。
遠程鏡像實現跨網絡設備時,監控設備對客戶端的數據分析監控。
二、埠鏡像的原理是什麼?
本地埠鏡像的源埠與目標埠處在同一臺設備上,如下圖所示,通過本地埠鏡像,源埠(Eth 1/1)的數據報文被鏡像到目標埠(Eth 1/2)上,這樣連接在目標埠上的監控設備就可以對經過源埠的數據報文進行監控分析。
遠程埠鏡像的源埠與目標埠處在不同的設備上,如下圖所示,通過遠程鏡像,源埠(Eth 1/3)的數據報文經過兩臺設備的級聯埠(Eth 1/4)後被鏡像到目標埠(Eth 1/3)上,該埠將鏡像數據報文複製到監控設備上,實現跨設備的數據報文監控分析。
三、埠鏡像的熱點問答
1、交換機如何配置埠鏡像?
配置埠鏡像的前提是交換機或者路由器支持埠鏡像功能。您可以根據需求場景選擇配置本地鏡像還是遠程鏡像。
本地鏡像的配置步驟如下:
1、創建VLAN
2、將埠添加到VLAN中
3、配置IP位址
4、在目標埠下進行鏡像命令配置,將源埠的數據報文鏡像到目標埠。
遠程鏡像的配置步驟如下:
1、在全局模式下創建源埠
2、配置一臺交換機uplink埠
3、在全局模式下創建目標埠
4、配置另一臺交換機uplink埠
需要注意的是:
1、在本地鏡像中,必須選擇一個口作為源埠,一個口作為目標埠,配置才能生效;
2、如果需要創建鏡像組,一個鏡像組只能有一個目標埠,可有多個源埠;
3、如果某個埠已經是一個鏡像組的源埠,則不能成為另一個鏡像組的成員埠;
4、如果某個埠已經是一個鏡像組的目標埠,則不能成為另一個鏡像組的成員埠;
5、建議不要在目標埠上使用STP、RSTP或MSTP,否則會影響設備的正常使用。
2、埠鏡像與流鏡像有什麼區別?
埠鏡像與流鏡像都屬於鏡像功能。
每個網絡連接都有入口流、出口流兩個方向的數據流,對於交換機來說這兩個數據流需要分開鏡像。流鏡像是指按照一定的數據流分類規則對數據進行分流,然後將屬於指定流的所有數據鏡像到監控埠,以便進行分析。
流鏡像可以通過訪問控制列表(ACL)的方式匹配合適的流,也可以通過命令匹配,在功能上要比埠鏡像更強大。
3、 埠鏡像與埠映射有什麼區別?
埠映射是指將內網的某個(LAN)IP位址轉發到公網上,或者將外網的(WAN)IP位址轉發到內網上。比如有一臺電腦本地的IP位址是192.168.1.10,在這臺電腦上用百度查詢資料,數據傳輸的流程是:通過路由器用ADSL撥號上百度,百度只能識別到路由器的IP位址,把數據傳給路由器後,路由器通過內置的埠映射表(配置了埠映射路由器才能準確辨別信息應反饋給哪個本地IP)把數據返回到電腦。
埠鏡像與埠映射的主要區別在於:埠鏡像是流量複製的過程,埠映射是流量轉發的過程。
4、如何驗證埠鏡像是否成功?
通常情況下可通過流量抓包軟體進行流量抓包驗證,在監控設備上進行抓包測試,如果可以獲取到源埠發送或接收的數據包,則埠鏡像成功。
責任編輯人:CC
聲明:本文內容及配圖由入駐作者撰寫或者入駐合作網站授權轉載。文章觀點僅代表作者本人,不代表電子發燒友網立場。文章及其配圖僅供工程師學習之用,如有內容圖片侵權或者其他問題,請聯繫本站作侵刪。 侵權投訴