鏡像技術:基本內容,連線埠鏡像,方向,分類,概要,鏡像連線埠,劣勢,套用,TAP

集群技術的一種。是將建立在同一個區域網路之上的兩台伺服器通過軟體或其他特殊的網路設備，將兩台伺服器的硬碟做鏡像。

其中，一台伺服器被指定為主伺服器，另一台為從伺服器。客戶只能對主伺服器上的鏡像的卷進行讀寫，即只有主伺服器通過網路向用戶提供服務，從伺服器上相應的卷被鎖定以防對數據的存取。

主/從伺服器分別通過心跳監測線路互相監測對方的運行狀態，當主伺服器因故障停機時，從伺服器將在很短的時間內接管主伺服器的套用。

基本介紹

中文名：鏡像技術
解釋：集群技術的一種
優勢：捕獲 100%的數據包，沒有丟包
劣勢：占用機架空間

基本內容,連線埠鏡像,方向,分類,概要,鏡像連線埠,劣勢,套用,TAP 優勢,TAP 劣勢,技術的套用,結論,

基本內容

在網路中鏡像就是將指定連線埠的報文或者符合指定規則的報文複製到目的連線埠，用戶可以利用鏡像技術，進行網路監管和故障排除。鏡像技術包括三種方式：本地連線埠鏡像；遠程連線埠鏡像；流鏡像。

本地連線埠鏡像：是指將設備的一個或多個連線埠（源連線埠）的報文複製到本設備的一個監視連線埠（目的連線埠），用於報文的監視和分析。其中源連線埠和目的連線埠必須在同一台設備上。遠程連線埠鏡像：是指將設備的一個或多個連線埠的報文複製並通過中間網路設備轉發到指定目的交換機上的目的連線埠。他突破了源連線埠和目的連線埠必須在同一台設備上的限制，是源連線埠和目的連線埠見可以跨越多個網路設備。

流鏡像：是指通過ACL等規則將具有某特徵的數據流複製到目的連線埠。為了更好地理解後面的內容，首先介紹一下連線埠鏡像中涉及的基本概念。

連線埠鏡像

1.源連線埠

源連線埠是被監控的連線埠，用戶可以對通過該連線埠的報文進行監控和分析。

2.源VLAN

源VLAN是被監控的VLAN，用戶可以對通過該VLAN所有連線埠的報文進行監控和分析。

3.源CPU

源CPU是被監控單板上的CPU，用戶可以對通過該CPU的報文進行監控和分析。

4.目的連線埠

目的連線埠也可稱為監控連線埠，該連線埠將接收到的報文轉發到數據監測設備，以便對報文進行監控和分析。

5.鏡像的方向

方向

l入方向：僅對從源連線埠/源VLAN/源CPU收到的報文進行鏡像。

l出方向：僅對從源連線埠/源VLAN/源CPU發出的報文進行鏡像。

l雙向：對從源連線埠/源VLAN/源CPU收到和發出的報文都進行鏡像。

分類

根據使用範圍的不同，連線埠鏡像可分為以下三種類型：

l本地連線埠鏡像：可以將設備源連線埠/源VLAN/源CPU上的報文複製到本設備的目的連線埠，用於監控和分析這些報文。

l跨二層遠程連線埠鏡像：可以將本設備源連線埠/源VLAN/源CPU上的報文跨越二層網路複製到另一台設備的目的連線埠，用於監控和分析這些報文。

l跨三層遠程連線埠鏡像：可以將本設備源連線埠/源VLAN/源CPU上的報文跨越三層網路複製到另一台設備的目的連線埠，用於監控和分析源這些報文。

連線埠鏡像的實現方式

連線埠鏡像通過鏡像組的方式實現，鏡像組可以分為本地鏡像組、遠程源鏡像組和遠程目的鏡像組三類。

1.本地連線埠鏡像實現方式

本地連線埠鏡像可以對所有報文（包括協定報文和數據報文）進行鏡像，它通過本地鏡像組的方式實現，即源連線埠/源VLAN中的連線埠/源CPU和目的連線埠在同一個本地鏡像組中，設備將源連線埠（或源VLAN）的報文複製一份並轉發到目的連線埠。

2.跨二層遠程連線埠鏡像實現方式

跨二層遠程連線埠鏡像可以對協定報文之外的所有報文進行鏡像，它通過遠程源鏡像組和遠程目的鏡像組互相配合的方式實現。

3.跨三層遠程連線埠鏡像實現方式

跨三層遠程連線埠鏡像可以對協定報文之外的所有報文進行鏡像，它通過遠程源鏡像組、遠程目的鏡像組和GRE隧道互相配合的方式實現。

概要

網路監測、分析工具和入侵檢測設備(IDS)正被越來越多的企業網路用戶重視並加以大量使用，這在網路商業套用(網際網路、電子商務、存儲網路)日益發展的今天，選擇網路監測、分析工具尤顯重要。

在交換網路出現之前，網路工程師可以方便直接的獲取網路中的數據，隨著交換網路的快速發展，客觀上要求有更新的數據捕獲技術出現。到現在，儘管實際上交換網路已經發展了 10 多年，但在數據捕獲技術的套用上仍然參差不齊，下面將對通過企業交換網路獲得和讀取數據的兩種基本方法進行書面比較。一種是鏡像連線埠方式，一種是線上分路器方式。我們將介紹這兩種方式的各自優缺點和推薦使用方向。

數據獲得技術：

在交換網路中，為了監測、分析網路性能有兩種有效的獲得數據的方法。

1、鏡像連線埠(Mirroring 或 Spanning)：高級的網路交換機可以將交換機的一個或幾個連線埠的數據包複製到一個指定的連線埠，分析儀可以接到鏡像連線埠接受數據。

2、分路器 TAP：分路器 TAP 可以插入到半/全雙工的 10/100/1000M 網路鏈路中，可將這條鏈路的全部數據信息複製到分析儀。

這兩種技術在網路監測、分析時普遍套用，每一種技術都有其優、缺點。所以兩種技術在所有網路監測、分析任務中是根據需要來採用的。

鏡像連線埠

連線埠鏡像技術可在企業級交換機上全面套用，在交換機上有一個指定的鏡像連線埠以便於分析儀的接入，交換機一個連線埠或幾個連線埠的流量通過背板複製到指定的目的連線埠，網路管理員可以靈活的指定所選哪個連線埠為鏡像連線埠。為了避免錯誤的流量進入網路，許多交換機過濾掉錯誤的數據包，所以這些數據包就不能在鏡像連線埠捕獲到，而且一些交換機限制鏡像一些不規則的數據包。

劣勢

1、多連線埠流量鏡像到一個連線埠上，可引起快取過載及丟包現象。

2、數據包通過快取時會被重定時，就不可能精確的確定時間尺度，如：抖動、數據包間隔分析、延遲。

3、大多數據鏡像連線埠過濾掉不規則的數據包，這就不能為故障排查提供詳盡有用的數據信息。

4、因為鏡像連線埠的流量使得交換機的 CPU 負載加重，所以會引起交換機工作性能下降。

套用

1、在頻寬較低且能有較的進行鏡像的鏈路(如分發層或底層網路)，可以進行多連線埠鏡像來實現方便靈活的監測、分析。

2、趨勢監測：不需要精確的監測，只要不定期的數據統計就可以的情況下。

3、協定和套用分析：從一個鏡像連線埠可以方便、經濟的提供相關的數據信息

4、整個 VLAN 監測：利用多連線埠鏡像技術可以方便的監測一個交換機上的一個 VLAN 的全部。

TAP 優勢

1、捕獲 100%的數據包，沒有丟包。

2、可監測到不規則的數據包，方便於故障排查。

3、精確的時間戳，沒有延遲和重定時。

4、一次安裝，可方便分析儀接入和移動。

TAP 劣勢

1、需額外花費購買分路器 TAP。

2、一次只能看一條鏈路。

3、占用機架空間。

技術的套用

1、商業鏈路：這些鏈路需要極短的故障排除時間，在這些鏈路中安裝上分路器 TAP，網路工程師可迅速查找、排除突發的問題。

2、核心或骨幹鏈路。它們具有高頻寬利用率，同時在接入、移動分析儀時不能中斷鏈路。分路器 TAP 保證了數據 100%的捕獲而沒有丟包，為精確分析這些鏈路提供了性能保障。

3、 VoIP QoS：VoIP 服務質量測試需要精確的抖動和丟包率度量。分路器 TAP 可完全保障這些測試，但鏡像連線埠會改變抖動值，提供不真實的丟包率。

4、故障查找、排除：保證您能監測到不規則數據包及錯誤的數據包的唯一方式。鏡像連線埠會將這些數據包全部過濾掉，這樣就不能為工程師查找故障提供重要而完整的數據信息。

5、 IDS 套用：IDS 依靠完整的數據信息來識別入侵模式，分路器 TAP 能提供可靠的、完整的數據流給入侵檢測系統。

6、伺服器群：多連線埠分路器可以同時連線 8/12 條鏈路，並可實現遠程自由切換，方便於隨時監測、分析。

結論

通常重要的鏈路和臨界的套用，更喜歡分路器的套用。分路器 TAP 能提供一個完整、精確數據監測的接入點。鏡像連線埠通常用在總體趨勢的監測或希望能同時監測到多條鏈路信息的套用。

由於鏡像連線埠的快取，同步、丟包率不能精確的度量，不能套用在 VoIP 及其它對時間要求精確的度量上。

鏡像技術