晚上好,我的网工朋友。
镜像是指将指定源的报文复制一份到目的端口。
那指定源又是啥?指定源被称为镜像源,目的端口被称为观察端口,复制的报文被称为镜像报文。
那……端口镜像、镜像端口、观察端口、MAC镜像、VLAN镜像、流镜像,这些都是啥?
你还在傻傻分不清吗?今天这篇就带你全部了解透。
今日文章阅读福利:《 图解网络系列全套书籍(电子版) 》
添加好友,发送“图解”,即可获得网工行业经典读物《图解HTTP》《图解TCP/IP》《图解网络硬件》三件套。
添加老杨为好友 获取网工必备资源
01
镜像的概念
01 镜像端口和观察端口
如图1所示,原始报文经过的端口被称为镜像端口;连接监控设备的端口被称为观察端口,用于将镜像报文发送给监控设备。
根据监控设备在网络中位置的不同,可以将观察端口分为三类——
本地观察端口:
与监控设备直连的端口被称为本地观察端口。此时的镜像被称为本地镜像。
二层远程观察端口:
通过二层网络与监控设备相连的端口被称为二层远程观察端口。此时的镜像被称为二层远程镜像。
三层远程观察端口:
通过三层网络与监控设备相连的端口被称为三层远程观察端口。此时的镜像被称为三层远程镜像。
注意了,华为S系列盒式交换机不支持三层远程镜像。
观察端口专门用于镜像报文的转发,因此不要在上面配置其他业务,防止镜像报文与其他业务的数据报文在观察端口上同时转发会互相影响。
在设备上应用镜像功能时,如果镜像过多,会占用较多的设备内部转发带宽,影响其他业务转发。
另外,如果镜像端口的带宽大于观察端口的带宽,比如,镜像端口的带宽是1000Mbit/s,观察端口的带宽是100Mbit/s,会导致观察端口因带宽不足而不能及时转发全部的镜像报文,发生丢包。
02 镜像源
镜像源可以是——
端口:
将指定端口接收或发送的报文复制到观察端口,此时的镜像被称为端口镜像。
VLAN:
将指定VLAN内所有活动接口接收的报文复制到观察端口,此时的镜像被称为VLAN镜像。
MAC地址:
将指定VLAN内源MAC地址或目的MAC地址为指定MAC地址的报文复制到观察端口,此时的镜像被称为MAC镜像。
报文流:
将符合指定规则的报文流复制到观察端口,此时的镜像被称为流镜像。
03 镜像方向
镜像方向是指将镜像端口指定方向的报文复制到观察端口,包括——
入方向:
将镜像端口接收的报文复制到观察端口上。此时的镜像被称为入方向镜像。
出方向:
将镜像端口发送的报文复制到观察端口上。此时的镜像被称为出方向镜像。
双向:
将镜像端口接收和发送的报文都复制到观察端口上。
02
镜像原理
01 端口镜像
端口镜像是指将指定端口接收或发送的报文复制到观察端口。
根据观察端口的不同,端口镜像分为本地端口镜像和二层远程端口镜像。
1、本地端口镜像
观察端口为本地观察端口的端口镜像,被称为本地端口镜像。
如下图所示,本地观察端口将镜像端口复制来的报文转发到与其直连的监控设备。
本地端口镜像示意图
2、二层远程端口镜像
观察端口为二层远程观察端口的端口镜像,被称为二层远程端口镜像。
如下图所示,二层远程端口镜像中镜像报文的具体转发过程如下:
二层远程端口镜像示意图
第一步,镜像端口将流经的原始报文复制到二层远程观察端口。
第二步,二层远程观察端口收到镜像端口复制过来的镜像报文,在原始报文VLAN标签(VLAN 10)外层再添加一层VLAN标签(VLAN 20),以便将镜像报文向中间二层网络转发。
值得注意的是,这一步不需要通过端口加入VLAN来完成,是直接通过配置二层远程观察端口来实现的。
最后,SwitchC在接收到二层远程观察端口发来的镜像报文后,就将镜像报文向监控设备转发。
为了实现这一步,需要将中间二层设备(SwitchC)与二层远程观察端口、监控设备相连的端口加入VLAN 20,保证SwitchB、SwitchC与监控设备间能够二层通信。
二层远程镜像中,在二层远程观察端口与监控设备之间的二层网络中,需要预留一个VLAN专门用于转发镜像流量;
如上图中的VLAN 20,该VLAN被称为二层远程镜像传输VLAN。
配置镜像的交换机与监控设备之间的二层网络中的所有中间设备必须创建并配置相应接口加入该VLAN,以保证镜像报文能够通过该VLAN被泛洪到监控设备。
必须在所有中间设备上关闭该VLAN的MAC地址学习功能。
该VLAN不能和原始报文所属VLAN相同。
02 VLAN镜像
VLAN镜像是指将指定VLAN接收的报文复制到观察端口。
如下图所示,通过VLAN镜像,交换机仅将来自VLAN 10的报文镜像到监控设备。
VLAN镜像示意图
同端口镜像类似,根据观察端口的不同,VLAN镜像也可以分为本地VLAN镜像和二层远程VLAN镜像。
值得注意的是:
交换机仅支持入方向VLAN镜像,即仅支持将指定VLAN接收的报文复制到观察端口。
二层远程VLAN镜像中,原始报文所属VLAN和中间二层网络用于转发镜像报文的二层远程镜像VLAN不能相同。
03 MAC镜像
MAC镜像是指将指定VLAN接收的源MAC地址或目的MAC地址为指定MAC地址的报文复制到观察端口。
MAC镜像提供了一种更加精确的镜像方式,用户可以对网络中特定设备的报文进行监控。
如下图所示,通过MAC镜像,交换机仅将来自HostA的报文镜像到监控设备。
MAC镜像示意图
同端口镜像类似,根据观察端口的不同,MAC镜像也可以分为本地MAC镜像和二层远程MAC镜像。
值得注意的是:
交换机仅支持将入方向MAC镜像,即仅支持将指定VLAN接收的源MAC地址或目的MAC地址为指定MAC地址的报文复制到观察端口。
二层远程MAC镜像中,原始报文所属VLAN和中间二层网络用于转发镜像报文的二层远程镜像VLAN不能相同。
04 流镜像
流镜像是指将符合指定规则的报文流复制到观察端口。
如下图所示,镜像端口将匹配规则的业务流2复制到观察端口,然后观察端口再将复制的业务流2转发到监控设备。
同端口镜像类似,根据观察端口的不同,流镜像也可以分为本地流镜像和二层远程流镜像。
流镜像示意图
流镜像属于流行为的一种,在设备上应用时,实际是在全局、VLAN或者端口上应用了包含流镜像行为的流策略。
流镜像中的规则有两种配置方式:基于MQC和基于ACL。
基于MQC方式:
配置复杂,但是支持匹配的规则比基于ACL方式多,而且基于MQC方式的流镜像既支持入方向流镜像,也支持出方向流镜像。
基于ACL方式:
配置简单,但是支持匹配的规则比基于MQC方式少,而且基于ACL方式的流镜像仅支持入方向流镜像。
值得注意的是,二层远程流镜像中,如果包含流镜像行为的流策略应用在VLAN上,该VLAN和中间二层网络用于转发镜像报文的二层远程镜像VLAN不能相同。
文章声明
本文素材整理自网络,由网络工程师俱乐部排版成文,转载请注明出处,侵删。
策划制作
策划:山城 丨 监制:一为
编辑:山城 丨 封面图来源:Pexels及网络,侵删
熟悉老杨的小伙伴都知道,只要有空,我答疑都是免费的,不收任何粉丝的红包。
但是,为了筛选出一批真正想跟老杨学习网络的粉丝小友,给你提供一个干净高效的网络圈子,真正回归技术交流;由资深网工老杨带头发起网工圈子[网络工程师俱乐部]知识星球,面向ICT行业技术从业者们。
与1000+网工一起分享技术、经验、资源。星球内有海量项目案例分享、大佬实战经验分享、1v1有问必答、网工岗位内推、还有N多实用工具和资料干货,囊括了各种技术知识点,行业数据分析报告等等。
如果你对网络感兴趣,或者正在学习网络,欢迎加入我的网工高质量交流圈。
如何加入知识星球?