目的
为了方便对一个或多个网络接口的流量进行分析(如IDS产品、网络分析仪等),可以通过配置交换机或路由器来把一个或多个端口(VLAN)的数据转发到某一个端口,即端口镜像,来实现对网络的监听。
端口镜像功能是对网络流量监控的一个有效的安全手段,对监控流量的分析可以进行安全性的检查,同时也能及时地在网络发生故障时进行准确的定位。
功能
镜像的功能简单地说就是将被监控流量镜像到监控端口,以便对被监控流量进行故障定位、流量分析、流量备份等,监控端口一般直接与监控主机等相连。
监视到进出网络的所有数据包,供安装了监控软件的管理服务器抓取数据,如网吧需提供此功能把数据发往公安部门审查。而企业出于信息安全、保护公司机密的需要,也迫切需要网络中有一个端口能提供这种实时监控功能。在企业中用端口镜像功能,可以很好的对企业内部的网络数据进行监控管理,在网络出现故障的时候,可以做到很好地故障定位。
(备注:交换机把某一个端口接收或发送的数据帧完全相同的复制给另一个端口;其中被复制的端口称为镜像源端口,复制的端口称为镜像目的端口。)
分类
端口镜像根据不同的分类标准,镜像类型也不一样。
根据镜像作用的端口模式来划分,端口镜像分为以下三种类型:
入口镜像:只对从该端口进入的流量进行镜像。
出口镜像:只对该端口的发出的流量进行镜像。
双向镜像:支持对该端口收到和发出的双向流量进行镜像。
根据镜像功能划分,端口镜像分为两种类型:
流镜像:如果端口上配置了ACL并启用,则认为是流镜像。流镜像只采集经过ACL过滤后的数据包,否则认为是纯端口镜像。对于ACL流量采集方式,支持在端口的方向(出向、入向和双向三种)上绑定标准访问列表和扩展访问列表。
纯端口镜像:对端口进出的流量进行镜像。
根据镜像工作的范围划分,端口镜像分为两种类型:
本地镜像:源端口和目的端口在同一个路由器上。
远端镜像:源端口和目的端口分布在不同的路由器上,镜像流量经过某种封装,实现跨路由器传输。
