2024年3月5日发(作者：饶楚楚)

镜像产生的背景：

数据采集的作用：

1.业务实时监控：大型网络或数据中心一般会在汇聚点设置监控系统实时监测网络数据流量信息，防范和防止业务的异常

2.故障处理分析：一些疑难杂症的故障需通过采集实际的报文信息来找到更加明显的线索

3.网络流量优化：当网络系统发展到一定规模，对数据流量地精细化控制变的尤为重要。只有实际采集现网的真实数据流量，通过专业的流量分析系统定位出网络的各种问题，并为此提出优化解决方案

数据采集的方法：

1.分光器物理采集：

利用物理器件分光器插入连接的链路当中，复制出正常的数量流到采集器上面（只能采集光信号）

优点：采集的数据完整可靠，只在中间链路上操作，完全不影响被采集设备的性能，也不占用链路带宽

缺点：每次采集要做物理动作切入，相对繁琐且有风险

应用场景：适合网络业务出入口大型设备的数据流采集，常用于连接IDS设备的网络环境

集中采集：

利用通用标准协议SNMP协议传送标准的MIB数据，采集整网的配置信息和设备端口数据流信息

优点：可以采集整网设备节点信息

缺点：针对接口的数据流信息采集不够精细和完整，大部分是统计信息

应用场景：适合网管中心查看设备的参数和性能以及业务信息统计

镜像概述：

定义：将镜像端口（源端口）的报文复制一份到观察端口（目的端口）

作用：获取完整报文用于分析网络状况

优点：1.不影响原有网络，快捷方便

2.采集的是实时数据流，真实可靠

角色：1.镜像端口：镜像端口是被监控的端口，从镜像端口流经的所有报文或匹配流分类规则的报文将被复制到观察端口

2.观察端口：观察端口是连接监控设备的端口，用于输出从镜像端口复制过来的报文

配置：

本地端口镜像：

observe-port interface Ethernet2/0/3 //将E2/0/3接口配置为观察端口

mirror to observe-port inbound/outbound/both //接口下配置，将该接口接口配置为镜像端口，镜像所有入/出/双向方向报文

流镜像配置：

流镜像：将镜像端口上特定业务流的报文传送到监控设备进行分析和监控。在流镜像中，镜像端口应用了特定的流策略。如果从镜像端口流经的报文匹配流策略，则将被复制并传送到监控设备

将接口Eth2/0/1配置为本地观察端口。

配置流镜像策略，并在接口Eth2/0/0入方向上应用流策略，将匹配源IP地址为192.168.1.10的报文复制到本地观察端口：

observe-port interface Ethernet2/0/1 //将端口E2/0/1定义为观察端口。

#

acl number 2000 //用ACL匹配IP为192.168.1.10主机。

rule 5 permit source 192.168.1.10 0

#

traffic classifier c1 operator or

if-match acl 2000

#

traffic behavior b1

mirror to observe-port

#

traffic policy p1 //定义流策略，将ACL匹配的流量镜像到观察端口。

classifier c1 behavior b1

#

interface Ethernet2/0/0

traffic-policy p1 inbound //在镜像端口E2/0/0入方向应用流策略。

流镜像与端口镜像的区别是：流镜像采集的是镜像端口上的特定业务流，端口镜像采集的是整个端口的业务流

2024年3月5日发(作者：饶楚楚)

镜像产生的背景：

数据采集的作用：

1.业务实时监控：大型网络或数据中心一般会在汇聚点设置监控系统实时监测网络数据流量信息，防范和防止业务的异常

2.故障处理分析：一些疑难杂症的故障需通过采集实际的报文信息来找到更加明显的线索

3.网络流量优化：当网络系统发展到一定规模，对数据流量地精细化控制变的尤为重要。只有实际采集现网的真实数据流量，通过专业的流量分析系统定位出网络的各种问题，并为此提出优化解决方案

数据采集的方法：

1.分光器物理采集：

利用物理器件分光器插入连接的链路当中，复制出正常的数量流到采集器上面（只能采集光信号）

优点：采集的数据完整可靠，只在中间链路上操作，完全不影响被采集设备的性能，也不占用链路带宽

缺点：每次采集要做物理动作切入，相对繁琐且有风险

应用场景：适合网络业务出入口大型设备的数据流采集，常用于连接IDS设备的网络环境

集中采集：

利用通用标准协议SNMP协议传送标准的MIB数据，采集整网的配置信息和设备端口数据流信息

优点：可以采集整网设备节点信息

缺点：针对接口的数据流信息采集不够精细和完整，大部分是统计信息

应用场景：适合网管中心查看设备的参数和性能以及业务信息统计

镜像概述：

定义：将镜像端口（源端口）的报文复制一份到观察端口（目的端口）

作用：获取完整报文用于分析网络状况

优点：1.不影响原有网络，快捷方便

2.采集的是实时数据流，真实可靠

角色：1.镜像端口：镜像端口是被监控的端口，从镜像端口流经的所有报文或匹配流分类规则的报文将被复制到观察端口

2.观察端口：观察端口是连接监控设备的端口，用于输出从镜像端口复制过来的报文

配置：

本地端口镜像：

observe-port interface Ethernet2/0/3 //将E2/0/3接口配置为观察端口

mirror to observe-port inbound/outbound/both //接口下配置，将该接口接口配置为镜像端口，镜像所有入/出/双向方向报文

流镜像配置：

流镜像：将镜像端口上特定业务流的报文传送到监控设备进行分析和监控。在流镜像中，镜像端口应用了特定的流策略。如果从镜像端口流经的报文匹配流策略，则将被复制并传送到监控设备

将接口Eth2/0/1配置为本地观察端口。

配置流镜像策略，并在接口Eth2/0/0入方向上应用流策略，将匹配源IP地址为192.168.1.10的报文复制到本地观察端口：

observe-port interface Ethernet2/0/1 //将端口E2/0/1定义为观察端口。

#

acl number 2000 //用ACL匹配IP为192.168.1.10主机。

rule 5 permit source 192.168.1.10 0

#

traffic classifier c1 operator or

if-match acl 2000

#

traffic behavior b1

mirror to observe-port

#

traffic policy p1 //定义流策略，将ACL匹配的流量镜像到观察端口。

classifier c1 behavior b1

#

interface Ethernet2/0/0

traffic-policy p1 inbound //在镜像端口E2/0/0入方向应用流策略。

流镜像与端口镜像的区别是：流镜像采集的是镜像端口上的特定业务流，端口镜像采集的是整个端口的业务流