網監利器鏡像—原理配置篇

在生產環節中，我們有時候會因爲要排查網絡的問題需要用到抓包。那麼在現實生產環境中，如何在網絡中抓取數據包呢？答案肯定是用到鏡像。那麼鏡像又是啥呢，下面聽我慢慢道來。

鏡像是指將經過指定端口（鏡像端口）或者指定VLAN（鏡像VLAN）的報文複製一份到另一個指定端口（觀察端口），然後轉發到網絡監控設備，供網絡管理員進行網絡監控與故障管理。

看官們可以通過下面的這張圖瞭解下鏡像具體的工作機制，以及需要注意的地方。

那麼鏡像在網絡維護中具體能做些什麼呢？

1、故障定位

在系統運行過程中，可能由於系統軟件處理異常、網絡設備硬件故障、計算機病毒或用戶不正常使用等原因造成網絡上流量異常或產生錯誤報文。爲了在不影響系統運行的情況下對網絡上的報文進行分析，以定位故障產生的原因，這時候就可以使用鏡像。

2、業務可視

爲了更好的理解企業內部業務流量模型, 在網絡匯聚或核心交換機上，對業務流量進行鏡像，以便在不影響正常業務的情況下，使企業各類應用清晰可視。比如說, 多少用戶在上班時間訪問QQ； 員工訪問公司內部服務器的訪問量排名情況。

3、入侵檢測

爲了發現各種攻擊企圖、攻擊行爲或者攻擊結果，以保證網絡系統資源的機密性、完整性和可用性, 在企業的上行接口，將所有出入的流量鏡像到一個IDS服務器上，進行實時分析。比如外部訪問公司服務器的訪問量激增，分析一下這些是不是屬於攻擊報文等。

4、如何配置？

4.1、創建觀察端口

1、觀察端口與監控設備直連，本地鏡像。
observe-port [ <observe-port-index> ] <interface interface-type interface-number>
2、觀察端口與監控設備通過中間二層網絡相連，二層遠程鏡像。
observe-port [ <observe-port-index> ] <interface interface-type interface-number> vlan <vlan-id>

4.2、將指定的報文鏡像到觀察端口

端口鏡像：port-mirroring to observe-port <observe-port-index> { both | inbound | outbound }
MAC鏡像:mac-mirroring mac-address to observe-port <observe-port-index> inbound
VLAN鏡像 mirroring to observe-port <observe-port-index> inbound

PS：both | inbound | outbound分別表示鏡像設備雙向/入方向/出方向的報文。

實驗環境：

SwitchA的配置文件：

#
sysname SwitchA
#
vlan batch 10 20 //VLAN10爲用戶VLAN，VLAN20用於轉發鏡像報文
#
//配置GE0/0/1爲二層遠程觀察端口，用的觀察端口索引爲1，遠程鏡像VLAN爲VLAN20，複製的報文會通過GE0/0/1向VLAN20轉發
observe-port 1 interface GigabitEthernet0/0/1 vlan 20 
#
interface GigabitEthernet0/0/1 //觀察端口不需要加入VLAN20，上面的配置已實現鏡像報文通過GE0/0/1向VLAN20轉發
#
interface GigabitEthernet0/0/2
 port link-type access
 port default vlan 10 //端口加入VLAN，員工A與DNS之間通信
 port-mirroring to observe-port 1 inbound //將GE0/0/2入方向的報文（即接收到的員工A發送的報文）鏡像到觀察端口1（即GE0/0/1）
#
interface GigabitEthernet0/0/3
 port link-type access
 port default vlan 10 //端口加入VLAN，員工A與DNS之間通信

SwitchB的配置文件

#
sysname SwitchB
#
vlan batch 20 //用於轉發鏡像報文到監控PC
#
interface GigabitEthernet0/0/1
 port link-type trunk
 port trunk allow-pass vlan 20 //端口加入VLAN，用於轉發鏡像報文到監控PC
#
interface GigabitEthernet0/0/2
 port link-type access
 port default vlan 20 //端口加入VLAN，用於轉發鏡像報文到監控PC

在SwitchA查看端口鏡像的配置情況：

檢查員工A與DNS服務器間通信的報文是否鏡像到監控PC先在監控PC上啓用抓包工具，然後在員工A的PC上向DNS服務器發個ping報文。最後通過抓包工具抓取報文。