镜像功能主要用于网络检测和故障管理,可能涉及使用个人用户某些通信内容。本公司无法单方采集或存储用户通信内容。建议您只有在所适用法律法规允许的目的和范围内方可启用相应的功能。在使用、存储用户通信内容的过程中,您应采取足够的措施以确保用户的通信内容受到严格保护。
镜像是指将指定源的报文复制一份到目的端口。指定源被称为镜像源,目的端口被称为观察端口,复制的报文被称为镜像报文。
镜像可以在不影响设备对原始报文正常处理的情况下,将其复制一份,并通过观察端口发送给监控设备,从而判断网络中运行的业务是否正常。
如图1-1所示,原始报文经过的端口被称为镜像端口;连接监控设备的端口被称为观察端口,用于将镜像报文发送给监控设备。根据监控设备在网络中位置的不同,可以将观察端口分为三类。
-
本地观察端口:与监控设备直连的端口被称为本地观察端口。此时的镜像被称为本地镜像。
-
二层远程观察端口:通过二层网络与监控设备相连的端口被称为二层远程观察端口。此时的镜像被称为二层远程镜像。
-
三层远程观察端口:通过三层网络与监控设备相连的端口被称为三层远程观察端口。此时的镜像被称为三层远程镜像。仅部分交换机支持三层远程镜像;
观察端口专门用于镜像报文的转发,因此不要在上面配置其他业务,防止镜像报文与其他业务的数据报文在观察端口上同时转发会互相影响。
在设备上应用镜像功能时,如果镜像过多,会占用较多的设备内部转发带宽,影响其他业务转发。另外,如果镜像端口的带宽大于观察端口的带宽,比如,镜像端口的带宽是1000Mbit/s,观察端口的带宽是100Mbit/s,会导致观察端口因带宽不足而不能及时转发全部的镜像报文,发生丢包。
-
端口:将指定端口接收或发送的报文复制到观察端口,此时的镜像被称为端口镜像。
-
VLAN:将指定VLAN内所有活动接口接收的报文复制到观察端口,此时的镜像被称为VLAN镜像。
-
MAC地址:将指定VLAN内源MAC地址或目的MAC地址为指定MAC地址的报文复制到观察端口,此时的镜像被称为MAC镜像。
-
报文流:将符合指定规则的报文流复制到观察端口,此时的镜像被称为流镜像。
镜像方向是指将镜像端口指定方向的报文复制到观察端口,包括:
-
入方向:将镜像端口接收的报文复制到观察端口上。此时的镜像被称为入方向镜像。
-
出方向:将镜像端口发送的报文复制到观察端口上。此时的镜像被称为出方向镜像。
-
双向:将镜像端口接收和发送的报文都复制到观察端口上。
端口镜像是指将指定端口接收或发送的报文复制到观察端口。根据观察端口的不同,端口镜像分为本地端口镜像和二层远程端口镜像。
观察端口为本地观察端口的端口镜像,被称为本地端口镜像。如图1-2所示,本地观察端口将镜像端口复制来的报文转发到与其直连的监控设备。
观察端口为二层远程观察端口的端口镜像,被称为二层远程端口镜像。如图1-3所示,二层远程端口镜像中镜像报文的具体转发过程如下。
VLAN镜像是指将指定VLAN接收的报文复制到观察端口。如图1-4所示,通过VLAN镜像,交换机仅将来自VLAN 10的报文镜像到监控设备。同端口镜像类似,根据观察端口的不同,VLAN镜像也可以分为本地VLAN镜像和二层远程VLAN镜像。值得注意的是:
-
交换机仅支持入方向VLAN镜像,即仅支持将指定VLAN接收的报文复制到观察端口。
-
二层远程VLAN镜像中,原始报文所属VLAN和中间二层网络用于转发镜像报文的二层远程镜像VLAN不能相同。
MAC镜像是指将指定VLAN接收的源MAC地址或目的MAC地址为指定MAC地址的报文复制到观察端口。MAC镜像提供了一种更加精确的镜像方式,用户可以对网络中特定设备的报文进行监控。如图1-5所示,通过MAC镜像,交换机仅将来自HostA的报文镜像到监控设备。同端口镜像类似,根据观察端口的不同,MAC镜像也可以分为本地MAC镜像和二层远程MAC镜像。
流镜像是指将符合指定规则的报文流复制到观察端口。如图1-6所示,镜像端口将匹配规则的业务流2复制到观察端口,然后观察端口再将复制的业务流2转发到监控设备。同端口镜像类似,根据观察端口的不同,流镜像也可以分为本地流镜像和二层远程流镜像。
流镜像属于流行为的一种,在设备上应用时,实际是在全局、VLAN或者端口上应用了包含流镜像行为的流策略。流镜像中的规则有两种配置方式:基于MQC和基于ACL。
-
基于MQC方式:配置复杂,但是支持匹配的规则比基于ACL方式多,而且基于MQC方式的流镜像既支持入方向流镜像,也支持出方向流镜像。
-
基于ACL方式:配置简单,但是支持匹配的规则比基于MQC方式少,而且基于ACL方式的流镜像仅支持入方向流镜像。
值得注意的是,二层远程流镜像中,如果包含流镜像行为的流策略应用在VLAN上,该VLAN和中间二层网络用于转发镜像报文的二层远程镜像VLAN不能相同。
观察端口专门用于镜像报文的转发,因此不要在上面配置其他业务,防止镜像报文与其他业务的数据报文在观察端口上同时转发会互相影响。根据配置方式的不同,可以将观察端口分为两类:
-
观察端口组:一般用于1:N镜像,既可以简化配置,还可以节约观察端口索引(一个观察端口组无论包含多少个端口,仅占用一个观察端口索引)。
① 执行命令system-view,进入系统视图。
②执行命令observe-port [ observe-port-index ] interface interface-type interface-number [ untag-packet ],配置单个本地观察端口。
③(建议)执行命令observe-port observe-port-index forwarding disable,配置观察端口不再转发数据报文。
① 执行命令system-view,进入系统视图。
②执行命令observe-port [ observe-port-index ] interface-range { interface-type interface-number [ to interface-type interface-number ] } &<1-n> [ untag-packet ],配置本地观察端口组。
③ (可选)执行命令observe-portobserve-port-index interface-range { add | delete } interface-type interface-number,向已存在的本地观察端口组添加或者删除指定的端口。
④(建议)执行命令observe-port observe-port-index forwarding disable,配置观察端口不再转发数据报文。
① 执行命令system-view,进入系统视图。
②执行命令observe-port [ observe-port-index ] interfaceinterface-type interface-number vlanvlan-id,配置单个二层远程观察端口并指定二层远程镜像传输VLAN。
[HUAWEI] interface gigabitethernet 0/0/2
[HUAWEI-GigabitEthernet0/0/2] undo port-mirroring to observe-port 1 inbound //取消镜像端口与观察端口的绑定关系
[HUAWEI-GigabitEthernet0/0/2] quit
[HUAWEI] undo observe-port 1 //删除观察端口
[HUAWEI-vlan10] undo mirroring to observe-port 1 inbound //取消VLAN与观察端口的绑定关系
[HUAWEI] undo observe-port 1 //删除观察端口
[HUAWEI-vlan10] undo mac-mirroring 1-1-1 to observe-port 1 inbound //取消MAC地址与观察端口的绑定关系
[HUAWEI-vlan10] quit[HUAWEI] undo observe-port 1 //删除观察端口
[HUAWEI] interface gigabitethernet 0/0/2
[HUAWEI-GigabitEthernet0/0/2] undo traffic-policy p1 inbound //取消应用的流策略[HUAWEI-GigabitEthernet0/0/2] quit
[HUAWEI] undo traffic policy p1 //删除流策略
[HUAWEI] undo traffic behavior b1 //删除流行为
[HUAWEI] undo traffic classifier c1 //删除流分类(可选操作,如果该流分类被其他流策略引用,可以不删除)
[HUAWEI] undo observe-port 1 //删除观察端
原文始发于微信公众号(系统安全运维):什么是镜像?端口镜像、VLAN镜像、MAC镜像、流镜像等,一文带你了解
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/1347935.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论