鏡像技術是什么

集群技術的一種。是將建立在同一個局域網之上的兩臺服務器通過軟件或其他特殊的網絡設備，將兩臺服務器的硬盤做鏡像。其中，一臺服務器被指定為主服務器，另一臺為從服務器?？蛻糁荒軐χ鞣掌魃系溺R像的卷進行讀寫，即只有主服務器通過網絡向用戶提供服務，從服務器上相應的卷被鎖定以防對數(shù)據的存取。主/從服務器分別通過心跳監(jiān)測線路互相監(jiān)測對方的運行狀態(tài)，當主服務器因故障停機時，從服務器將在很短的時間內接管主服務器的應用。

基本內容

在網絡中鏡像就是將指定端口的報文或者符合指定規(guī)則的報文復制到目的端口，用戶可以利用鏡像技術，進行網絡監(jiān)管和故障排除。鏡像技術包括三種方式：本地端口鏡像；遠程端口鏡像；流鏡像。
本地端口鏡像：是指將設備的一個或多個端口（源端口）的報文復制到本設備的一個監(jiān)視端口（目的端口），用于報文的監(jiān)視和分析。其中源端口和目的端口必須在同一臺設備上。
遠程端口鏡像：是指將設備的一個或多個端口的報文復制并通過中間網絡設備轉發(fā)到指定目的交換機上的目的端口。他突破了源端口和目的端口必須在同一臺設備上的限制，是源端口和目的端口見可以跨越多個網絡設備。
流鏡像：是指通過acl等規(guī)則將具有某特征的數(shù)據流復制到目的端口。
為了更好地理解后面的內容，首先介紹一下端口鏡像中涉及的基本概念。

端口鏡像的概念

1.源端口
源端口是被監(jiān)控的端口，用戶可以對通過該端口的報文進行監(jiān)控和分析。
2.源vlan
源vlan是被監(jiān)控的vlan，用戶可以對通過該vlan所有端口的報文進行監(jiān)控和分析。
3.源cpu
源cpu是被監(jiān)控單板上的cpu，用戶可以對通過該cpu的報文進行監(jiān)控和分析。
4.目的端口
目的端口也可稱為監(jiān)控端口，該端口將接收到的報文轉發(fā)到數(shù)據監(jiān)測設備，以便對報文進行監(jiān)控和分析。
5.鏡像的方向

端口鏡像的方向

l入方向：僅對從源端口/源vlan/源cpu收到的報文進行鏡像。
l出方向：僅對從源端口/源vlan/源cpu發(fā)出的報文進行鏡像。
l雙向：對從源端口/源vlan/源cpu收到和發(fā)出的報文都進行鏡像。

端口鏡像的分類

根據使用范圍的不同，端口鏡像可分為以下三種類型：
l本地端口鏡像：可以將設備源端口/源vlan/源cpu上的報文復制到本設備的目的端口，用于監(jiān)控和分析這些報文。
l跨二層遠程端口鏡像：可以將本設備源端口/源vlan/源cpu上的報文跨越二層網絡復制到另一臺設備的目的端口，用于監(jiān)控和分析這些報文。
l跨三層遠程端口鏡像：可以將本設備源端口/源vlan/源cpu上的報文跨越三層網絡復制到另一臺設備的目的端口，用于監(jiān)控和分析源這些報文。

端口鏡像的實現(xiàn)方式

端口鏡像通過鏡像組的方式實現(xiàn)，鏡像組可以分為本地鏡像組、遠程源鏡像組和遠程目的鏡像組三類。
1.本地端口鏡像實現(xiàn)方式
本地端口鏡像可以對所有報文（包括協(xié)議報文和數(shù)據報文）進行鏡像，它通過本地鏡像組的方式實現(xiàn)，即源端口/源vlan中的端口/源cpu和目的端口在同一個本地鏡像組中，設備將源端口（或源vlan）的報文復制一份并轉發(fā)到目的端口。
2.跨二層遠程端口鏡像實現(xiàn)方式
跨二層遠程端口鏡像可以對協(xié)議報文之外的所有報文進行鏡像，它通過遠程源鏡像組和遠程目的鏡像組互相配合的方式實現(xiàn)。
3.跨三層遠程端口鏡像實現(xiàn)方式

跨三層遠程端口鏡像可以對協(xié)議報文之外的所有報文進行鏡像，它通過遠程源鏡像組、遠程目的鏡像組和gre隧道互相配合的方式實現(xiàn)。

概要

網絡監(jiān)測、分析工具和入侵檢測設備(ids)正被越來越多的企業(yè)網絡用戶重視并加以 大量使用，這在網絡商業(yè)應用(互聯(lián)網、電子商務、存儲網絡)日益發(fā)展的今天，選擇網絡 監(jiān)測、分析工具尤顯重要。在交換網絡出現(xiàn)之前，網絡工程師可以方便直接的獲取網絡中的 數(shù)據，隨著交換網絡的快速發(fā)展，客觀上要求有更新的數(shù)據捕獲技術出現(xiàn)。到現(xiàn)在，盡管實 際上交換網絡已經發(fā)展了 10 多年，但在數(shù)據捕獲技術的應用上仍然參差不齊，下面將對通 過企業(yè)交換網絡獲得和讀取數(shù)據的兩種基本方法進行書面比較。一種是鏡像端口方式，一 種是在線分路器方式。我們將介紹這兩種方式的各自優(yōu)缺點和推薦使用方向。[1]
數(shù)據獲得技術：
在交換網絡中，為了監(jiān)測、分析網絡性能有兩種有效的獲得數(shù)據的方法。

1、 鏡像端口(mirroring 或 spanning)：高級的網絡交換機可以將交換機的一個或幾個端口 的數(shù)據包復制到一個指定的端口，分析儀可以接到鏡像端口接受數(shù)據。
2、 分路器 tap：分路器 tap 可以插入到半/全雙工的 10/100/1000m 網絡鏈路中，可將這條 鏈路的全部數(shù)據信息復制到分析儀。
這兩種技術在網絡監(jiān)測、分析時普遍應用，每一種技術都有其優(yōu)、缺點。所以兩種技術在所 有網絡監(jiān)測、分析任務中是根據需要來采用的。

鏡像端口

端口鏡像技術可在企業(yè)級交換機上全面應用，在交換機上有一個指定的鏡像端口以便于分析 儀的接入，交換機一個端口或幾個端口的流量通過背板復制到指定的目的端口，網絡管理員 可以靈活的指定所選哪個端口為鏡像端口。為了避免錯誤的流量進入網絡，許多交換機過濾 掉錯誤的數(shù)據包，所以這些數(shù)據包就不能在鏡像端口捕獲到，而且一些交換機限制鏡像一些 不規(guī)則的數(shù)據包。

端口鏡像的劣勢

1、 多端口流量鏡像到一個端口上，可引起緩存過載及丟包現(xiàn)象。
2、 數(shù)據包通過緩存時會被重定時，就不可能精確的確定時間尺度，如：抖動、數(shù)據包間隔 分析、延遲。
3、 大多數(shù)據鏡像端口過濾掉不規(guī)則的數(shù)據包，這就不能為故障排查提供詳盡有用的數(shù)據信息。
4、 因為鏡像端口的流量使得交換機的 cpu 負載加重，所以會引起交換機工作性能下降。

端口鏡像的應用

1、在帶寬較低且能有較的進行鏡像的鏈路(如分發(fā)層或底層網絡)，可以進行多端口鏡像來 實現(xiàn)方便靈活的監(jiān)測、分析。
2、趨勢監(jiān)測：不需要精確的監(jiān)測，只要不定期的數(shù)據統(tǒng)計就可以的情況下。
3、 協(xié)議和應用分析：從一個鏡像端口可以方便、經濟的提供相關的數(shù)據信息
4、 整個 vlan 監(jiān)測：利用多端口鏡像技術可以方便的監(jiān)測一個交換機上的一個 vlan 的 全部。

分路器 tap 的優(yōu)勢

1、 捕獲 100%的數(shù)據包，沒有丟包。
2、 可監(jiān)測到不規(guī)則的數(shù)據包，方便于故障排查。
3、 精確的時間戳，沒有延遲和重定時。
4、 一次安裝，可方便分析儀接入和移動。

分路器 tap 的劣勢

1、 需額外花費購買分路器 tap。
2、 一次只能看一條鏈路。
3、 占用機架空間。

分路器技術的應用

1、 商業(yè)鏈路：這些鏈路需要極短的故障排除時間，在這些鏈路中安裝上分路器 tap，網絡 工程師可迅速查找、排除突發(fā)的問題。
2、 核心或骨干鏈路。它們具有高帶寬利用率，同時在接入、移動分析儀時不能中斷鏈路。 分路器 tap 保證了數(shù)據 100%的捕獲而沒有丟包，為精確分析這些鏈路提供了性能保障。
3、 voip qos：voip 服務質量測試需要精確的抖動和丟包率度量。分路器 tap 可完全保障 這些測試，但鏡像端口會改變抖動值，提供不真實的丟包率。
4、 故障查找、排除：保證您能監(jiān)測到不規(guī)則數(shù)據包及錯誤的數(shù)據包的唯一方式。鏡像端口 會將這些數(shù)據包全部過濾掉，這樣就不能為工程師查找故障提供重要而完整的數(shù)據信 息。
5、 ids 應用：ids 依靠完整的數(shù)據信息來識別入侵模式，分路器 tap 能提供可靠的、完整 的數(shù)據流給入侵檢測系統(tǒng)。
6、 服務器群：多端口分路器可以同時連接 8/12 條鏈路，并可實現(xiàn)遠程自由切換，方便于隨 時監(jiān)測、分析。

結論

通常重要的鏈路和臨界的應用，更喜歡分路器的應用。分路器 tap 能提供一個完整、精確 數(shù)據監(jiān)測的接入點。鏡像端口通常用在總體趨勢的監(jiān)測或希望能同時監(jiān)測到多條鏈路信息的 應用。由于鏡像端口的緩存，同步、丟包率不能精確的度量，不能應用在 voip 及其它對時 間要求精確的度量上。

上一頁  [1] [2] 

最新評論