鏡像技術

簡介

在網絡中鏡像就是将指定端口的報文或者符合指定規則的報文複制到目的端口，用戶可以利用鏡像技術，進行網絡監管和故障排除。鏡像技術包括三種方式：本地端口鏡像；遠程端口鏡像；流鏡像。

本地端口鏡像

是指将設備的一個或多個端口（源端口）的報文複制到本設備的一個監視端口（目的端口），用于報文的監視和分析。其中源端口和目的端口必須在同一台設備上。

遠程端口鏡像

是指将設備的一個或者多個端口的報文複制并且通過中間的網絡設備轉發到指定的交換機上的目的端口，也就是源端口和目的端口并不是在同一台設備上，中間可以跨越一台或者多台網絡設備。

流鏡像

是指通過ACL規則将具有某特征的數據流鏡像給目的端口。

概念

源端口

源端口是被監控的端口，用戶可以對通過該端口的報文進行監控和分析。

源VLAN

源VLAN是被監控的VLAN，用戶可以對通過該VLAN所有端口的報文進行監控和分析。

源CPU

源CPU是被監控單闆上的CPU，用戶可以對通過該CPU的報文進行監控和分析。

目的端口

目的端口也可稱為監控端口，該端口将接收到的報文轉發到數據監測設備，以便對報文進行監控和分析。

方向

l入方向

僅對從源端口/源VLAN/源CPU收到的報文進行鏡像。

l出方向

僅對從源端口/源VLAN/源CPU發出的報文進行鏡像。

l雙向

對從源端口/源VLAN/源CPU收到和發出的報文都進行鏡像。

分類

端口鏡像的分類

根據使用範圍的不同，端口鏡像可分為以下三種類型：

1.l本地端口鏡像：可以将設備源端口/源VLAN/源CPU上的報文複制到本設備的目的端口，用于監控和分析這些報文。

2.l跨二層遠程端口鏡像：可以将本設備源端口/源VLAN/源CPU上的報文跨越二層網絡複制到另一台設備的目的端口，用于監控和分析這些報文。

3.l跨三層遠程端口鏡像：可以将本設備源端口/源VLAN/源CPU上的報文跨越三層網絡複制到另一台設備的目的端口，用于監控和分析源這些報文。

鏡像組的分類

端口鏡像通過鏡像組的方式實現，鏡像組可以分為本地鏡像組、遠程源鏡像組和遠程目的鏡像組三類。

1.本地端口鏡像實現方式

本地端口鏡像可以對所有報文（包括協議報文和數據報文）進行鏡像，它通過本地鏡像組的方式實現，即源端口/源VLAN中的端口/源CPU和目的端口在同一個本地鏡像組中，設備将源端口（或源VLAN）的報文複制一份并轉發到目的端口。

2.跨二層遠程端口鏡像實現方式

跨二層遠程端口鏡像可以對協議報文之外的所有報文進行鏡像，它通過遠程源鏡像組和遠程目的鏡像組互相配合的方式實現。

3.跨三層遠程端口鏡像實現方式

跨三層遠程端口鏡像可以對協議報文之外的所有報文進行鏡像，它通過遠程源鏡像組、遠程目的鏡像組和GRE隧道互相配合的方式實現。

鏡像端口方式與在線分路器方式對比

網絡監測、分析工具和入侵檢測設備(IDS)正被越來越多的企業網絡用戶重視并加以大量使用，這在網絡商業應用(互聯網、電子商務、存儲網絡)日益發展的今天，選擇網絡監測、分析工具尤顯重要。在交換網絡出現之前，網絡工程師可以方便直接的獲取網絡中的數據，随着交換網絡的快速發展，客觀上要求有更新的數據捕獲技術出現。到現在，盡管實際上交換網絡已經發展了10多年，但在數據捕獲技術的應用上仍然參差不齊，下面将對通過企業交換網絡獲得和讀取數據的兩種基本方法進行書面比較。一種是鏡像端口方式，一種是在線分路器方式。我們将介紹這兩種方式的各自優缺點和推薦使用方向。

數據獲得技術：

在交換網絡中，為了監測、分析網絡性能有兩種有效的獲得數據的方法。

1、鏡像端口(Mirroring或Spanning)：高級的網絡交換機可以将交換機的一個或幾個端口的數據包複制到一個指定的端口，分析儀可以接到鏡像端口接受數據。

2、分路器TAP：分路器TAP可以插入到半/全雙工的10/100/1000M網絡鍊路中，可将這條鍊路的全部數據信息複制到分析儀。

這兩種技術在網絡監測、分析時普遍應用，每一種技術都有其優、缺點。所以兩種技術在所有網絡監測、分析任務中是根據需要來采用的。

鏡像端口劣勢

1、多端口流量鏡像到一個端口上，可引起緩存過載及丢包現象。

2、數據包通過緩存時會被重定時，就不可能精确的确定時間尺度，如：抖動、數據包間隔分析、延遲。

3、大多數據鏡像端口過濾掉不規則的數據包，這就不能為故障排查提供詳盡有用的數據信息。

4、因為鏡像端口的流量使得交換機的CPU負載加重，所以會引起交換機工作性能下降。

鏡像端口應用

1、在帶寬較低且能有較的進行鏡像的鍊路(如分發層或底層網絡)，可以進行多端口鏡像來實現方便靈活的監測、分析。

2、趨勢監測：不需要精确的監測，隻要不定期的數據統計就可以的情況下。

3、協議和應用分析：從一個鏡像端口可以方便、經濟的提供相關的數據信息

4、整個VLAN監測：利用多端口鏡像技術可以方便的監測一個交換機上的一個VLAN的全部。

分路器TAP優勢

1、捕獲100%的數據包，沒有丢包。

2、可監測到不規則的數據包，方便于故障排查。

3、精确的時間戳，沒有延遲和重定時。

4、一次安裝，可方便分析儀接入和移動。

分路器TAP劣勢

1、需額外花費購買分路器TAP。

2、一次隻能看一條鍊路。

3、占用機架空間。 

分路器技術的應用

1、商業鍊路：這些鍊路需要極短的故障排除時間，在這些鍊路中安裝上分路器TAP，網絡工程師可迅速查找、排除突發的問題。

2、核心或骨幹鍊路。它們具有高帶寬利用率，同時在接入、移動分析儀時不能中斷鍊路。分路器TAP保證了數據100%的捕獲而沒有丢包，為精确分析這些鍊路提供了性能保障。

3、VoIPQoS：VoIP服務質量測試需要精确的抖動和丢包率度量。分路器TAP可完全保障這些測試，但鏡像端口會改變抖動值，提供不真實的丢包率。

4、故障查找、排除：保證您能監測到不規則數據包及錯誤的數據包的唯一方式。鏡像端口會将這些數據包全部過濾掉，這樣就不能為工程師查找故障提供重要而完整的數據信息。

5、IDS應用：IDS依靠完整的數據信息來識别入侵模式，分路器TAP能提供可靠的、完整的數據流給入侵檢測系統。

6、服務器群：多端口分路器可以同時連接8/12條鍊路，并可實現遠程自由切換，方便于随時監測、分析。 

結論

通常重要的鍊路和臨界的應用，更喜歡分路器的應用。分路器TAP能提供一個完整、精确數據監測的接入點。鏡像端口通常用在總體趨勢的監測或希望能同時監測到多條鍊路信息的應用。由于鏡像端口的緩存，同步、丢包率不能精确的度量，不能應用在VoIP及其它對時間要求精确的度量上。