一、什么是端口鏡像？端口鏡像的類型與作用

端口鏡像是指在交換機或者路由器上將經過指定端口（源端口）的數據報文復制一份到另一個指定端口（目標端口）上，來實現對網絡流量的分析與監控。一些對實時監控比較注重的用戶在網絡遭受了各種攻擊，需要檢查流量而不希望影響原來的網絡時，可以利用端口鏡像，例如我國文化部和公安部要求網絡服務場所安裝監控軟件，通過端口鏡像采集相關數據，分析用戶的網絡使用情況。

按照工作范圍的劃分，端口鏡像分為兩種類型，本地鏡像和遠程鏡像。

本地鏡像實現在同一臺網絡設備上，監控設備對客戶端的數據分析監控。

遠程鏡像實現跨網絡設備時，監控設備對客戶端的數據分析監控。

二、端口鏡像的原理是什么？

本地端口鏡像的源端口與目標端口處在同一臺設備上，如下圖所示，通過本地端口鏡像，源端口（Eth 1/1）的數據報文被鏡像到目標端口（Eth 1/2）上，這樣連接在目標端口上的監控設備就可以對經過源端口的數據報文進行監控分析。

遠程端口鏡像的源端口與目標端口處在不同的設備上，如下圖所示，通過遠程鏡像，源端口（Eth 1/3）的數據報文經過兩臺設備的級聯端口（Eth 1/4）后被鏡像到目標端口（Eth 1/3）上，該端口將鏡像數據報文復制到監控設備上，實現跨設備的數據報文監控分析。

三、端口鏡像的熱點問答

1、交換機如何配置端口鏡像？

配置端口鏡像的前提是交換機或者路由器支持端口鏡像功能。您可以根據需求場景選擇配置本地鏡像還是遠程鏡像。

本地鏡像的配置步驟如下：

1、創建VLAN

2、將端口添加到VLAN中

3、配置IP地址

4、在目標端口下進行鏡像命令配置，將源端口的數據報文鏡像到目標端口。

遠程鏡像的配置步驟如下：

1、在全局模式下創建源端口

2、配置一臺交換機uplink端口

3、在全局模式下創建目標端口

4、配置另一臺交換機uplink端口

需要注意的是：

1、在本地鏡像中，必須選擇一個口作為源端口，一個口作為目標端口，配置才能生效；

2、如果需要創建鏡像組，一個鏡像組只能有一個目標端口，可有多個源端口；

3、如果某個端口已經是一個鏡像組的源端口，則不能成為另一個鏡像組的成員端口；

4、如果某個端口已經是一個鏡像組的目標端口，則不能成為另一個鏡像組的成員端口；

5、建議不要在目標端口上使用STP、RSTP或MSTP，否則會影響設備的正常使用。

2、端口鏡像與流鏡像有什么區別？

端口鏡像與流鏡像都屬于鏡像功能。

每個網絡連接都有入口流、出口流兩個方向的數據流，對于交換機來說這兩個數據流需要分開鏡像。流鏡像是指按照一定的數據流分類規則對數據進行分流，然后將屬于指定流的所有數據鏡像到監控端口，以便進行分析。

流鏡像可以通過訪問控制列表（ACL）的方式匹配合適的流，也可以通過命令匹配，在功能上要比端口鏡像更強大。

3、 端口鏡像與端口映射有什么區別？

端口映射是指將內網的某個（LAN）IP地址轉發到公網上，或者將外網的（WAN）IP地址轉發到內網上。比如有一臺電腦本地的IP地址是192.168.1.10，在這臺電腦上用百度查詢資料，數據傳輸的流程是：通過路由器用ADSL撥號上百度，百度只能識別到路由器的IP地址，把數據傳給路由器后，路由器通過內置的端口映射表（配置了端口映射路由器才能準確辨別信息應反饋給哪個本地IP）把數據返回到電腦。

端口鏡像與端口映射的主要區別在于：端口鏡像是流量復制的過程，端口映射是流量轉發的過程。

4、如何驗證端口鏡像是否成功？

通常情況下可通過流量抓包軟件進行流量抓包驗證，在監控設備上進行抓包測試，如果可以獲取到源端口發送或接收的數據包，則端口鏡像成功。
責任編輯人：CC