局域網(wǎng)協(xié)議-端口鏡像技術(shù)介紹-D

1、技術(shù)介紹 局域網(wǎng)協(xié)議目 錄i目 錄 HYPERLINK l _bookmark0 端口鏡像 HYPERLINK l _bookmark0 1 HYPERLINK l _bookmark0 端口鏡像簡介 HYPERLINK l _bookmark0 1 HYPERLINK l _bookmark0 端口鏡像的基本概念 HYPERLINK l _bookmark0 1 HYPERLINK l _bookmark0 端口鏡像的分類 HYPERLINK l _bookmark0 1 HYPERLINK l _bookmark1 端口鏡像的實現(xiàn)方式 HYPERLINK l _bookmark1 2技術(shù)介

2、紹 局域網(wǎng)協(xié)議端口鏡像 PAGE 4端口鏡像端口鏡像簡介端口鏡像是將指定端口（源端口）、VLAN（源 VLAN）或 CPU（源 CPU）的報文復(fù)制一份到其它端口（目的端口），目的端口會與數(shù)據(jù)監(jiān)測設(shè)備相連，用戶利用這些數(shù)據(jù)監(jiān)測設(shè)備來分析復(fù)制到目的端口的報文，進(jìn)行網(wǎng)絡(luò)監(jiān)控和故障排除。端口鏡像的基本概念為了更好地理解后面的內(nèi)容，首先介紹一下端口鏡像中涉及的基本概念。源端口源端口是被監(jiān)控的端口，用戶可以對通過該端口的報文進(jìn)行監(jiān)控和分析。源 VLAN源 VLAN 是被監(jiān)控的 VLAN，用戶可以對通過該 VLAN 所有端口的報文進(jìn)行監(jiān)控和分析。源 CPU源 CPU 是被監(jiān)控單板上的 CPU，用戶可以對通過

3、該 CPU 的報文進(jìn)行監(jiān)控和分析。目的端口目的端口也可稱為監(jiān)控端口，該端口將接收到的報文轉(zhuǎn)發(fā)到數(shù)據(jù)監(jiān)測設(shè)備，以便對報文進(jìn)行監(jiān)控和分析。鏡像的方向端口鏡像的方向分為三種：入方向：僅對從源端口/源 VLAN/源 CPU 收到的報文進(jìn)行鏡像。出方向：僅對從源端口/源 VLAN/源 CPU 發(fā)出的報文進(jìn)行鏡像。雙向：對從源端口/源 VLAN/源 CPU 收到和發(fā)出的報文都進(jìn)行鏡像。端口鏡像的分類根據(jù)使用范圍的不同，端口鏡像可分為以下三種類型：本地端口鏡像：可以將設(shè)備源端口/源 VLAN/源 CPU 上的報文復(fù)制到本設(shè)備的目的端口，用于監(jiān)控和分析這些報文?？缍舆h(yuǎn)程端口鏡像：可以將本設(shè)備源端口/源 VL

4、AN/源 CPU 上的報文跨越二層網(wǎng)絡(luò)復(fù)制到另一臺設(shè)備的目的端口，用于監(jiān)控和分析這些報文?？缛龑舆h(yuǎn)程端口鏡像：可以將本設(shè)備源端口/源 VLAN/源 CPU 上的報文跨越三層網(wǎng)絡(luò)復(fù)制到另一臺設(shè)備的目的端口，用于監(jiān)控和分析源這些報文。端口鏡像的實現(xiàn)方式端口鏡像通過鏡像組的方式實現(xiàn)，鏡像組可以分為本地鏡像組、遠(yuǎn)程源鏡像組和遠(yuǎn)程目的鏡像組三類。本地端口鏡像實現(xiàn)方式本地端口鏡像可以對所有報文（包括協(xié)議報文和數(shù)據(jù)報文）進(jìn)行鏡像，它通過本地鏡像組的方式實現(xiàn)，即源端口/源 VLAN 中的端口/源 CPU 和目的端口在同一個本地鏡像組中，設(shè)備將源端口（或源VLAN）的報文復(fù)制一份并轉(zhuǎn)發(fā)到目的端口。圖 1 本地端

5、口鏡像示意圖如 HYPERLINK l _bookmark1 圖 1所示，源端口/源VLAN/源CPU的報文被鏡像到目的端口，這樣，連接在目的端口上的數(shù)據(jù)監(jiān)測設(shè)備就可以對這些報文進(jìn)行監(jiān)控和分析。本地鏡像組支持跨板鏡像，即目的端口和源端口/源 VLAN 中的端口/源 CPU 可以在同一設(shè)備的不同單板上?？缍舆h(yuǎn)程端口鏡像實現(xiàn)方式跨二層遠(yuǎn)程端口鏡像可以對協(xié)議報文之外的所有報文進(jìn)行鏡像，它通過遠(yuǎn)程源鏡像組和遠(yuǎn)程目的鏡像組互相配合的方式實現(xiàn)。圖 2 跨二層遠(yuǎn)程端口鏡像示意圖（支持反射端口的設(shè)備）源端口反射端口報文在源設(shè)備中的處理過程遠(yuǎn)程鏡像VLAN遠(yuǎn)程鏡像VLAN源端口目的端口 Host數(shù)據(jù)監(jiān)測設(shè)備如

6、 HYPERLINK l _bookmark1 圖 2所示，用戶在源設(shè)備上創(chuàng)建遠(yuǎn)程源鏡像組，在目的設(shè)備上創(chuàng)建遠(yuǎn)程目的鏡像組。源設(shè)備將源端口/源VLAN/源CPU的報文復(fù)制一份后，將其通過反射端口在遠(yuǎn)程鏡像VLAN中廣播，經(jīng)由中間設(shè)備發(fā)送至目的設(shè)備。目的設(shè)備收到該報文后，若其VLAN ID與遠(yuǎn)程目的鏡像組的遠(yuǎn)程鏡像VLAN的VLAN ID相同，就將其轉(zhuǎn)發(fā)至目的端口。這樣，連接在目的端口上的數(shù)據(jù)監(jiān)測設(shè)備就可以對源設(shè)備上源端口/源VLAN/源CPU的報文進(jìn)行監(jiān)控和分析。圖 3 跨二層遠(yuǎn)程端口鏡像示意圖（支持出端口的設(shè)備）如 HYPERLINK l _bookmark2 圖 3所示，用戶在源設(shè)備上創(chuàng)建

7、遠(yuǎn)程源鏡像組，在目的設(shè)備上創(chuàng)建遠(yuǎn)程目的鏡像組。源設(shè)備將源端口/源VLAN/源CPU的報文復(fù)制一份后，將其通過出端口在遠(yuǎn)程鏡像VLAN中廣播，經(jīng)由中間設(shè)備發(fā)送至目的設(shè)備。目的設(shè)備收到該報文后，若其VLAN ID與遠(yuǎn)程目的鏡像組的遠(yuǎn)程鏡像VLAN的VLAN ID相同，就將其轉(zhuǎn)發(fā)至目的端口。這樣，連接在目的端口上的數(shù)據(jù)監(jiān)測設(shè)備就可以對源設(shè)備上源端口/源VLAN/源CPU的報文進(jìn)行監(jiān)控和分析。用戶需要確保遠(yuǎn)程鏡像 VLAN 內(nèi)源設(shè)備到目的設(shè)備間二層網(wǎng)絡(luò)的互通性。由于源端口/源 VLAN/源 CPU 的報文將被在源設(shè)備的遠(yuǎn)程鏡像 VLAN 中廣播，因此可通過把源設(shè)備上的其它端口加入遠(yuǎn)程鏡像 VLAN 的

8、方式，實現(xiàn)本地端口鏡像的功能。在鏡像報文離開源設(shè)備到達(dá)遠(yuǎn)程目的設(shè)備過程中，用戶應(yīng)確保鏡像報文中 VLAN ID 的正確性，如果該 VLAN ID 被修改或刪除，跨二層遠(yuǎn)程鏡像功能將失效?？缛龑舆h(yuǎn)程端口鏡像實現(xiàn)方式跨三層遠(yuǎn)程端口鏡像可以對協(xié)議報文之外的所有報文進(jìn)行鏡像，它通過遠(yuǎn)程源鏡像組、遠(yuǎn)程目的鏡像組和 GRE 隧道互相配合的方式實現(xiàn)。圖 4 跨三層遠(yuǎn)程端口鏡像示意圖目的端口源端口IP networkGRE tunnel源端口目的端口Tunnel接口Tunnel接口HostServer如 HYPERLINK l _bookmark3 圖 4所示，在源設(shè)備上，源端口/源VLAN/源CPU的報文被鏡像