Question

镜像交换机是做什么的？

Answer 1

先解释一下端口镜像：端口镜像简单的说，就是把交换机一个（数个）端口（源端口）的流量完全拷贝一份，从另外一个端口（目的端口）发

出去，以便网络管理人员从目的端口通过分析源端口的流量来找出网络存在问题的原因。
cisco的端口镜像叫做SWITCHED PORT ANALYZER，简称SPAN（仅在IOS系统中，下同），因此，端口镜像仅适用于以太网交换端口。Cisco的SPAN

分成三种，SPAN、RSPAN和VSPAN，简单的说，SPAN是指源和目的端口都在同一台机器上、RSPAN指目的和源不在同一交换机上，VSPAN可以镜像

整个或数个VLAN到一个目的端口。

配置方法：
1. SPAN
(1) 创建SPAN源端口
monitor session [i]session_number[/i] source interface interface-id [, | -] [both | rx | tx]
**[i]session_number[/i],SPAN会话号，我记得3550支持的最多本地SPAN是2个，即1或者2。
**interface-id [, | -]源端口接口号，即被镜像的端口，交换机会把这个端口的流量拷贝一份，可以输入多个端口，多个用“,”隔开，

连续的用“-”连接。
**[both | rx | tx]，可选项，是指拷贝源端口双向的(both)、仅进入(rx)还是仅发出(tx)的流量，默认是both。

(2)创建SPAN目的端口
monitor session session_number destination interface interface-id [encapsulation {dot1q [ingress vlan vlan id] | ISL

[ingress]} | ingress vlan vlan id]
**一样的我就不说了。
**session_number要和上面的一致。
**interface-id目的端口，在源端口被拷贝的流量会从这个端口发出去，端口号不能被包含在源端口的范围内。
**[encapsulation {dot1q | isl}]，可选，指被从目的端口发出去时是否使用802.1q和isl封装，当使用802.1q时，对于本地VLAN不进行封

装，其他VLAN封装，ISL则全部封装。

2.VSPAN
(1)创建VSPAN源VLAN
monitor session session_number source vlan vlan-id [, | -] rx
**一样的也不说了，基本和SPAN相同，只是接口号变成了VLAN号，而且只能镜像接收的流量。
(2)创建VSPAN目的端口
monitor session session_number destination interface interface-id [encapsulation {dot1q | isl}]
**和SPAN的一样。

3.RSPAN
RSPAN的配置较为复杂，其流程可以这样来看，交换机把要镜像的端口流量复制一份，然后发到本机的一个反射端口上（reflector-port ）

，在由反射端口将其通过网络转发到目的交换机中的VLAN上（一般情况下，这个VLAN是专为镜像而设的，不要作为客户端接入所用），再在目

的交换机中配置VSPAN，将该VLAN的流量镜像到目的端口，要注意的是，一旦这种RSPAN被使用，该镜像专用VLAN的信息会被转发到所有的VLAN

主干上，造成网络带宽的浪费，因此要配置VLAN修剪(pruning)，另外RSPAN也可以镜像VLAN。
(1)在源交换机上创建RSPAN源端口
**同SPAN或VSPAN
(2)在源交换机上创建VSPAN反射端口和目的VLAN
monitor session session_number destination remote vlan vlan-id reflector-port interface
**vlan-id 目的交换机上转为镜像而设的VLAN
**reflector-port interface源交换机上的镜像端口
(3)在目的交换机上创建VSPAN源VLAN
monitor session session_number source remote vlan vlan-id
**vlan-id就是上面的镜像专用VLAN
(4)在目的交换机上创建VSPAN目的端口
monitor session session_number destination interface interface-id [encapsulation {dot1q | isl}]
**同SPAN

4.其他
(1)端口镜像的过滤，端口镜像是可以做Filter的。
monitor session session_number filter vlan vlan-id [, | -]
**指定源端口进入的流量中，属于哪些VLAN的可以从目的端口发出去。
(2)删除镜像
no monitor session {session_number | all | local | remote}
**session_number指定会话号，all是所有镜像，local是本地镜像，remote是远程镜像。
(3)镜像的目的端口不能正常收发数据，因此不能再作为普通端口使用，可以连接一些网络分析和安全设备，例如装有sniifer的计算机或者Cisco IDS设备。

Answer 2

镜像交换机产品做的比较好的厂家是成都数维通信技术有限公司，相比于其他品牌优势比较大，具体可以从他们官网了解，www.nettap.com.cn，镜像交换机可以解决如下问题：
1、交换机镜像端口不足：基于交换机镜像端口旁路部署的安全设备逐渐增多，在同时部署两个或以上的旁路监听设备之时不仅增加交换机的性能开销，且不能满足各种安全监控设备灵活部署的需要。
2、安全设备部署分散：不同种类的安全监控设备部署在网络各处进行监控分析时，容易形成信息孤岛，导致信息分散，监控资源无法管理，重复监控势必无法避免。
3、无法统一管控：不同种类的安全监控设备关注维度有所区别，监控流量也不同，因此区域管理将增加维护困难，加大了企业运维成本。

4、分析效率低:在网络带宽升级时，企业首先考虑增加安全监控设备的投资，但全量的数据监控分析，势必带有大量无用的背景流，其真正所需的数据并不多，如不能有效过滤，将降低安全设备分析效率。
5、无法监控10/40/100G链路：安全监控设备厂商擅长于从普通1G/10G以太网网卡捕获报文，通过CPU进行流重组、协议解密、数据分析，其技术架构都沉淀在X86平台上，这类解决方案由于受到网卡和硬件架构的局限性，可处理的链路介质和流量都不高
6、无法标识数据源：在采集原始数据时，不能有效的标识数据源来自那些部门或地理位置，将影响安全监控设备及时发现攻击事件或定位故障事件。
7、无法标识数据源：在采集原始数据时，不能有效的标识数据源来自那些部门或地理位置，将影响安全监控设备及时发现攻击事件或定位故障事件。

8、缺乏统一可视化管理：大量采集节点和安全监控设备管理相对独立，采用传统的区域制度进行管理，无法做到全网全局监控，存在许多管理监控盲点。

具体还是要登陆他们官网看一下，上面有他们的联系方式

Answer 3

就是用来做端口侦听诊断的
举例：一台交换机数据有问题，怎么在不断电不断开端口通信的条件下进行数据分析呢？
这时候就用到镜像功能了
原理很简单， 把出问题的端口的数据，全部复制到一个空闲的端口上（端口镜像功能），然后采集分析这个空闲端口的数据，就等同于分析出问题的端口。
最大的好处就是不断电不断开端口通信的条件下分析数据

Answer 4

交换机的端口镜像就是把交换机的源端口的流量完全拷贝一份，从目的端口发出去。一般是网络管理员从目的端口通过分析源端口的流量来找出网络存在问题的原因。
简单的说，一般交换机的端口，你又要分析里面的流量，但是同时不影响原来数据的发送，也就是说原来的端口还是按照原来的方式工作，只是你复制到的端口就用来做监听或找出网络存在问题的原因。