交换机镜像，也被称为端口监控或流量复制技术，广泛应用于网络监控领域。这项技术允许网络管理员将交换机上一个或多个端口传输的数据复制到一个或多个指定的镜像端口上。随后，这些镜像数据可以被发送到各种分析设备，如网络监控器、流量分析器或入侵检测系统（IDS），以供进一步处理。

镜像技术的核心目的在于确保网络正常流量的不受干扰，同时允许对特定流量进行详细的监控和分析。这在多个场景下至关重要，包括但不限于网络问题的排查、应用性能的诊断，以及安全威胁的检测。

根据使用场景和优势的不同，镜像技术主要分为以下几种类型：

• 端口镜像：该方式将特定端口的数据流量复制到镜像端口，适用于对特定端口的流量进行监控。

• 流镜像：通过配置流策略，流镜像能够筛选并复制符合条件的特定业务流到镜像端口，为精细化流量监控提供了可能。

• VLAN镜像：针对特定虚拟局域网（VLAN）内的所有流量进行复制和监控，适用于分析VLAN内的网络健康状况。

• MAC镜像：通常基于MAC地址进行流量筛选和复制，适用于对特定设备的流量进行监控。

这些镜像类型各有其独特的优势和适用场景，网络管理员可以根据实际需求选择合适的镜像方式，以优化网络监控和故障排除工作。

1.端口镜像

1.1什么是端口镜像？

端口镜像（Port Mirroring），是将网络设备上指定端口接收或发送的报文复制到目的端口，可以只复制端口接收或者发送的报文，也可以同时复制接收和发送的报文。指定端口称为镜像端口，目的端口称为观察端口。

1.2端口镜像工作原理

如下图所示，DeviceA上的镜像端口在接收或发送报文的时候，会将报文复制一份到观察端口。观察端口再将复制的原始报文发送给监控设备。

当观察端口和监控设备直连时称为本地镜像。当观察端口和监控设备间不是直连，而是通过二层网络或三层网络相连时称为远程镜像。

• 目的端口通过二层网络与监控设备相连的场景称为二层远程镜像RSPAN（Remote Switched Port Analyzer）。
• 目的端口通过三层网络与监控设备相连的场景称为三层远程镜像ERSPAN（Encapsulated Remote Switched Port Analyzer）。

如下图所示，远程端口镜像场景，观察端口将复制的报文发送给监控设备前会添加一层VLAN Tag或进行GRE封装，便于复制的报文能够穿过中间的二层网络/三层网络，到达监控设备。

1.3端口镜像应用场景

端口镜像具体的应用场景如下：

• 安全监控：

  通过端口镜像，可以将网络流量导入到安全设备中，如入侵检测系统（IDS）或入侵防御系统（IPS），以便实时监测和响应潜在的安全威胁。

• 性能诊断与优化：

  端口镜像使网络管理员能够详细查看网络流量模式，从而帮助发现网络瓶颈。

  通过分析带宽使用情况，可以进行必要的优化措施，如调整网络配置、增加带宽资源等，以提高网络性能和效率。

• 故障排除：

  当网络出现问题时，端口镜像提供了一种快速定位问题的方法。

  管理员可以通过监视特定端口的流量，识别潜在的连接问题或性能瓶颈，从而更快地解决网络故障。

• 法律合规审计：

  某些行业规定必须对网络活动进行记录和审计。

  端口镜像可以轻松实现对特定通信的记录，以满足法规要求。例如，在金融行业或政府机构中，可能需要记录和分析网络流量以确保合规性。

1.4配置举例

这里以华为交换机为例，配置本地端口镜像（1:1），如下图：

上图中，interface1、interface2和interface3分别代表10GE1/0/1、10GE1/0/2、10GE1/0/3，要求通过监控设备Server对行政部访问Internet的流量进行监控。

配置如下：

# 在DeviceA上配置10GE1/0/2为本地观察端口

[DeviceA] observe-port 1 interface 10ge 1/0/2

# 在DeviceA上配置10GE1/0/1为镜像端口，以监控行政部主机发送的报文

[DeviceA] interface 10ge 1/0/1
[DeviceA-10GE1/0/1] port-mirroring observe-port 1 inbound
[DeviceA-10GE1/0/1] quit

1.5端口镜像的优点和缺点

1）优点：

• 简单易用：端口镜像技术配置简便，易于理解和操作。
• 配置方便：大多数网络设备均支持端口镜像，配置界面友好或提供命令行工具。
• 广泛适用性：适用于多种网络监控和故障排查场景，如安全监控、性能分析等。
• 实时性：能够实时捕获并复制网络流量，提供即时的网络状态信息。
• 非侵入性：对原始网络流量无直接影响，不会干扰网络正常运行（但需关注观察端口性能）。

2）缺点：

• 观察端口拥塞风险：在大规模网络中，镜像多个端口可能导致观察端口数据拥塞。
• 精细化控制不足：无法对特定流量进行精细过滤，可能捕获大量非关键数据。
• 资源消耗：镜像流量需额外存储空间和处理能力，可能增加网络设备负担。
• 隐私和法律问题：涉及用户隐私和数据保护，需遵守相关法律法规，确保合法合规使用。

2.流镜像

2.1什么是流镜像？

流镜像（Flow Mirroring），是指将符合指定规则的报文流复制到观察端口。它是一种更精细化的镜像方式，它允许管理员根据特定的流量模式来镜像数据包。流镜像可以基于多种条件触发，比如IP地址、MAC地址、VLAN ID、协议类型或端口号等。这种灵活性使得流镜像可以仅捕获感兴趣的特定流量，而不是全部数据。

2.2流镜像的工作原理

如下，流镜像示意图，镜像端口将匹配规则的业务流2复制到观察端口，然后观察端口再将复制的业务流2转发到监控设备。

流镜像有助于减少观察端口上的负载，因为只镜像特定的流量，而不是整个端口的数据。

2.3流镜像的应用场景

流镜像的应用场景主要包括以下几个方面：

• 应用性能监控与优化：

  当网络管理员需要深入分析特定应用程序的网络性能时，可以通过配置流镜像来捕获该应用程序产生的所有网络流量。

  设置流镜像规则，匹配应用程序使用的特定端口、IP地址或协议类型，然后将匹配的流量复制到观察端口。通过分析工具对捕获的流量进行深度解析，可以识别出性能瓶颈、延迟问题或数据传输错误等。

• 网络安全监控与防护

  为了检测和防范网络攻击，如DDoS攻击、恶意软件传播或数据泄露等，网络管理员需要实时监控并分析网络流量中的异常行为。

  通过定义流镜像规则，捕获来自特定IP地址、域名或包含特定内容的流量。将这些流量复制到安全监控系统中，利用机器学习、模式匹配等技术对流量进行实时分析，及时发现并响应潜在的安全威胁。

• 精细化流量管理与调度

  在大型企业或数据中心中，网络管理员需要对网络流量进行精细化管理，以确保关键业务的带宽保障和负载均衡。

  利用流镜像技术，捕获并分析网络中的实时流量数据。通过分析数据的流向、速率和优先级等信息，网络管理员可以制定更合理的流量管理策略，如带宽限制、流量重定向或优先级调整等。这些策略可以帮助优化网络性能，提高业务可用性。

2.4配置举例

这里以：配置本地基于MQC的流镜像（1:1）为例

某生产型公司研发部和市场部分别使用192.168.1.0/24和192.168.2.0/24两个网段地址，通过DeviceA进行通信，监控设备Server与DeviceA直连。用户希望通过监控设备Server对研发部发往市场部的报文进行监控。

上图中，interface1、interface2、interface3分别代表10GE1/0/1、10GE1/0/2、10GE1/0/3。

配置过程如下几步：

# 在DeviceA上配置10GE1/0/2为观察端口

[DeviceA] observe-port 1 interface 10ge 1/0/2

# 在DeviceA上创建流分类c1，并配置流分类规则为匹配源地址为192.168.1.0/24，目的地址为192.168.2.0/24的报文。

[DeviceA] acl number 3000
[DeviceA-acl4-advance-3000] rule permit ip source 192.168.1.0 24 destination 192.168.2.0 24
[DeviceA-acl4-advance-3000] quit
[DeviceA] traffic classifier c1
[DeviceA-classifier-c1] if-match acl 3000
[DeviceA-classifier-c1] quit

# 在DeviceA上创建流行为b1，并配置流镜像动作。

[DeviceA] traffic behavior b1
[DeviceA-behavior-b1] mirroring observe-port 1
[DeviceA-behavior-b1] quit

# 在DeviceA上创建流策略p1，将流分类和对应的流行为进行绑定；并将流策略应用到接口10GE1/0/1的入方向上，对研发部访问市场部的报文进行监控。

[DeviceA] traffic policy p1
[DeviceA-trafficpolicy-p1] classifier c1 behavior b1
[DeviceA-trafficpolicy-p1] quit
[DeviceA] interface 10ge 1/0/1
[DeviceA-10GE1/0/1] traffic-policy p1 inbound
[DeviceA-10GE1/0/1] quit

2.5流镜像的优点和缺点

1）优点：

• 精细化控制：流镜像技术提供了高度的精细化控制，允许管理员仅镜像指定的流量，避免了对无关流量的不必要监控。
• 带宽优化：通过仅镜像必要的流量，流镜像技术减少了观察端口的带宽占用，避免了不必要的流量浪费，提高了网络资源的利用效率。

2）缺点：

• 配置复杂度：流镜像技术的配置相对复杂，需要管理员具备较高的技术水平，并明确定义流量筛选规则，以确保监控的准确性和有效性。
• 处理能力受限：当面对大量复杂的流量筛选规则时，交换机的处理能力可能会受到影响，导致性能下降或监控效果不佳。这需要在配置流镜像时权衡规则的复杂性和交换机的处理能力。

3.VLAN镜像

3.1什么是VLAN镜像？

VLAN镜像是将指定VLAN接收或发送的报文复制到观察端口。

3.2VLAN镜像工作原理

如下图，通过VLAN镜像，DeviceA仅将来自VLAN 10的报文镜像到监控设备：

3.3VLAN镜像应用场景

VLAN镜像是一种强大的网络监控工具，它允许管理员对特定VLAN内的通信进行详细的监控和分析。以下是VLAN镜像的常见使用场景：

• VLAN内流量监控

  用于实时监控某个VLAN内的所有通信活动，包括数据包的大小、传输速度、通信频率等。

  通过分析这些数据，管理员可以评估该VLAN的网络健康状况，识别潜在的网络瓶颈或性能问题。

• 隔离流量分析

  在复杂的多VLAN网络中，通过VLAN镜像可以将不同VLAN的流量隔离开来，避免相互干扰。

  管理员可以针对特定的VLAN进行监控，而不会受到其他VLAN流量的影响，从而更准确地分析该VLAN的通信模式和潜在问题。

3.4配置举例

如下图，HostA和HostB同属于VLAN 10，通过DeviceA与外部Internet互通。监控设备Server与DeviceA直连。

（图中：interface1、interface2和interface3分别代表10GE1/0/1、10GE1/0/2、10GE1/0/3）

现要求能通过Server对VLAN 10内的主机访问Internet的流量进行监控。

配置VLAN镜像过程如下：

# 在DeviceA上创建VLAN 10并将接口10GE1/0/1和10GE1/0/2加入VLAN 10

[DeviceA] vlan batch 10
[DeviceA] interface 10ge 1/0/1
[DeviceA-10GE1/0/1] portswitch
[DeviceA-10GE1/0/1] port link-type access
[DeviceA-10GE1/0/1] port default vlan 10
[DeviceA-10GE1/0/1] quit
[DeviceA] interface 10ge 1/0/2
[DeviceA-10GE1/0/2] portswitch
[DeviceA-10GE1/0/2] port link-type access
[DeviceA-10GE1/0/2] port default vlan 10
[DeviceA-10GE1/0/2] quit

# 在DeviceA上配置10GE1/0/3为观察端口

[DeviceA] observe-port 1 interface 10ge 1/0/3

# 在DeviceA上配置VLAN镜像，将VLAN 10内接口接收的报文镜像到观察端口。

[DeviceA] vlan 10
[DeviceA-vlan10] mirroring observe-port 1 inbound
[DeviceA-vlan10] quit

3.5VLAN镜像的优点和缺点

1）优点：

• 针对性监控：适合监控特定VLAN内的所有流量，适用场景广泛，如网络故障排查、性能监控等。
• VLAN级别分析：有助于实现VLAN级别的网络监控和流量分析，提供深入的网络通信洞察。

2）缺点：

• 观察端口拥塞：在VLAN内流量较大的情况下，可能会导致观察端口拥塞，影响网络性能或导致监控数据丢失。
• 跨VLAN监控受限：仅适用于VLAN范围内的监控，无法直接监控跨VLAN的流量，增加了网络监控的复杂性和局限性。

4.MAC镜像

4.1什么是MAC镜像？

MAC镜像是将特定源或目的MAC地址的网络报文复制到指定观察端口的过程。通过这种方式，网络管理员可以对特定设备的流量进行监控，便于故障排查、性能分析以及安全审查。

4.2MAC镜像工作原理

1）流量匹配：交换机首先根据配置的规则，检查流入和流出接口的报文，寻找符合特定MAC地址的报文。

2）报文复制：一旦发现符合条件的报文，交换机会将这些报文复制并发送到观察端口。

3）数据分析：监控设备（如网络分析仪）接收镜像数据，进行深入分析。

4.3MAC镜像的应用场景

• 故障排查：

  当网络中出现故障或异常时，通过MAC镜像可以捕获并分析相关的数据报文，帮助网络管理员快速识别、定位故障。

• 网络分析和优化：

  通过MAC镜像功能，可以实时监控特定设备的网络流量，了解协议使用和应用程序行为，有助于识别潜在的性能问题，及时进行网络优化。

• 安全防御：利用MAC镜像监控网络流量，可以发现潜在的安全威胁或攻击，如识别入侵行为、恶意攻击等网络安全事件。

• 设备流量监控：监控特定主机或设备的网络流量，适用于排查设备故障或分析设备行为。

4.4配置举例

下面以配置本地MAC镜像为例：

如下图，某公司所有主机通过Switch与外部Internet通信，并且同属于VLAN10。监控设备Server与Switch直连。

现要求通过Server对MAC地址为0001-0001-0001的主机访问Internet的流量进行监控。

配置过程如下：

1）配置接口加入VLAN

在Switch上创建VLAN10，配置接口GE0/0/1～GE0/0/3加入VLAN10：

[Switch] vlan batch 10
[Switch] interface gigabitethernet 0/0/1
[Switch-GigabitEthernet0/0/1] port link-type access     //设置主机侧接口链路类型为access，接口缺省链路类型不是access口
[Switch-GigabitEthernet0/0/1] port default vlan 10
[Switch-GigabitEthernet0/0/1] quit
[Switch] interface gigabitethernet 0/0/2
[Switch-GigabitEthernet0/0/2] port link-type access     //设置主机侧接口链路类型为access，接口缺省链路类型不是access口
[Switch-GigabitEthernet0/0/2] port default vlan 10
[Switch-GigabitEthernet0/0/2] quit
[Switch] interface gigabitethernet 0/0/3
[Switch-GigabitEthernet0/0/3] port link-type access     //设置主机侧接口链路类型为access，接口缺省链路类型不是access口
[Switch-GigabitEthernet0/0/3] port default vlan 10
[Switch-GigabitEthernet0/0/3] quit

2）配置观察端口

在Switch上配置接口GE0/0/4为本地观察端口：

[Switch] observe-port 1 interface gigabitethernet 0/0/4     //配置GE0/0/4为本地观察端口，观察端口索引为1

3）配置MAC地址镜像

在Switch上的VLAN10内配置MAC地址镜像，将其入方向绑定到本地观察端口，即将VLAN10内所有端口接收到的MAC地址为0001-0001-0001的报文复制一份到本地观察端口：

[Switch] vlan 10
[Switch-vlan10] mac-mirroring 0001-0001-0001 to observe-port 1 inbound     //VLAN10内所有接口入方向的MAC地址为0001-0001-0001报文镜像到索引为1的观察端口上
[Switch-vlan10] return

4.5MAC镜像的优点和缺点

1）优点

• 可针对特定设备进行流量监控，精确捕获所需流量。
• 不影响其他MAC地址通信，减少无关数据干扰。

2）缺点

• 配置相对复杂，尤其在设备数量众多时，需逐个MAC地址配置。
• 设备频繁更换MAC地址，增加监控配置维护成本。