将交换机,路由器等网络设备上的一个或者多个端口的数据复制发送到其他端口,以实现对源端口数据的抓取分析,我们把此过程称作端口镜像。
配置举例:如下图拓扑,当用户和服务器之间通讯出现故障,我们可以把用户G0/0/23口的流量镜像到G0/0/24口进行故障分析。
文中有关配置截图均基于 NAC 3.11.0版本
场景1:旁路部署行为审计设备,将内网流量镜像到行为审计设备,以实现对网络行为的监控。
场景2:企业内网部署深信服SIP安全感知平台,IT管理员把交换机内网流量镜像到SIP探针设备。
场景3:网络问题,需要抓包分析某些端口下的流量。
在“SD-LAN”->【流量管理】->【报文镜像】中,新增报文镜像策略,填写相应的配置参数。
1)匹配端口ACL策略:在抓包时可根据策略对端口下的数据包进行过滤,只允许满足策略的数据镜像至目的接口。
使用此功能可以根据策略进行数据包筛选,将指定类型的报文进行镜像,如icmp、TCP等报文。
若不选择有线访问控制策略,则默认放通并镜像所有数据包。此处还支持创建有线访问控制策略并选择(有线访问控制策略配置方式详见对应配置手册)。
注:有线访问控制策略基于端口生效,此处勾选有线访问控制策略后策略不会对所有源端口生效,只会对策略中应用端口生效。
2)交换机:选择需要调用镜像策略的交换机(只能选择一个交换机)
3)源端口:选择需要将交换机那些接口的流量进行镜像(可选择多个源端口)
4)源端口列表:选择接口流量镜像方向
入口镜像:只对从该端口进入的流量进行镜像
出口镜像:只对该端口的发出的流量进行镜像
双向镜像:支持对该端口收到和发出的双向流量进行镜像
5)目的端口:需要把流量复制到的对应目标端口(只能选择一个目的端口)
1)【端口管理】->【端口镜像】,新增一个报文镜像策略
2)模式:选择需要镜像那个方向的包
3)源端口:选择需要镜像那些接口的流量(可选择多个源端口)
4)目的端口:选择需要镜像到那个端口(仅能选择一个目的端口)
入方向:只对从该端口进入的流量进行镜像
出方向:只对该端口的发出的流量进行镜像
入方向和出方向:支持对该端口收到和发出的双向流量进行镜像
1)镜像流量不要超过目的端口的接收范围,否则会出现交换机转发瓶颈
2)安视交换机胖瘦模式下,报文镜像、端口镜像都只能配置一条,源端口支持选择多个,目的端口只能选择一个