镜像技术

镜像概述

镜像：将镜像端口的报文复制一份到观察端口。

镜像的作用：在不影响报文正常转发的情况下，获取完整的报文。

镜像的特点：不影响原有网络；采集的是实时数据流。

镜像的角色

镜像端口：被监控的端口，流经该端口的报文或者匹配后的报文需复制到观察端口。

观察端口：接收镜像端口复制过来的报文。

镜像的基本配置

镜像端口有两种配置策略

1.本地端口镜像：将镜像端口上所有的流量都复制并发送到观察端口。

2.流镜像：通过流策略匹配特定的流量，然后复制并发送到观察端口。

本地端口镜像

需求：将市场部所有报文进行采集并复制发送到监控设备。

配置思路：在连接市场部的接口上配置本地镜像端口。

1.配置观察端口

[R1]observe-port interface GigabitEthernet 0/0/0  //配置接口为观察端口

2.配置镜像口

[R1]interface GigabitEthernet 0/0/5
[R1-GigabitEthernet0/0/5]mirror to observe-port inbound  //镜像所有入方向报文

流镜像

需求：监控市场部192.168.1.10主机发出的所有报文。

配置思路：

1.配置观察端口

2.配置流策略，并在镜像接口上应用流策略。

1.配置观察端口

[R1]observe-port interface GigabitEthernet 0/0/0  //配置观察端口

2.配置流策略

##定义acl匹配报文
[R1]acl number 2000    
[R1-acl-basic-2000]rule 5 permit source 192.168.1.10 0

##定义流分类
[R1]traffic classifier C1 operator or 
[R1-classifier-C1]if-match acl 2000  

##定义流行为
[R1]traffic behavior B1 
[R1-behavior-B1]mirror to observe-port 

##定义流策略（将acl匹配的流量镜像到观察端口）
[R1]traffic policy P1
[R1-trafficpolicy-P1]classifier C1 behavior B1 


##在镜像端口上应用流策略
[R1]interface GigabitEthernet 0/0/5
[R1-GigabitEthernet0/0/5]traffic-policy P1 inbound