Зеркалирование

Зеркали́рование (англ. port mirroring, SPAN - аббр. от Switched Port Analyzer) — дублирование пакетов одного порта сетевого коммутатора (или VPN) на другом порту.

Большое количество управляемых сетевых коммутаторов позволяют дублировать трафик от одного или нескольких портов и/или ВЛВС (VLAN) на отдельно взятый порт^[1]. В основном это применяется для мониторинга всего трафика в целях безопасности, либо оценки производительности/загрузки сетевого оборудования с применением аппаратных средств.

Также могут реализовываться в виртуальных коммутаторах в системах виртуализации^[1].

Примеры

Пример создания зеркалирования трафика на коммутаторе Cisco 2950:

После этого трафик с портов 0/1-0/3 будет продублирован на порт 0/4 в ВЛВС 1 Просмотр текущих сессий зеркалирования может быть выполнен командой

show monitor session 1

Для настройки непосредственно зеркалирования необязательно использовать «encap ingress vlan 1». Это дополнение нужно, чтобы дать возможность оборудованию, типа Cisco IPS (ASA в режиме IPS), закрывать подозрительные соединения, а не только слушать трафик. По умолчанию, destination port в спан-сессии не принимает входящий трафик. Для определения, какой именно (входящий/исходящий) трафик необходимо зеркалировать, используются варианты:

Только входящий:

Monitor session 1 source interface fastethernet 0/1 rx

Только исходящий:

Monitor session 1 source interface fastethernet 0/1 tx

Оба направления:

Monitor session 1 source interface fastethernet 0/1 both

См. также

Network tap, сетевой отвод - аппаратная реализация зеркалирования^[2]
Брокер сетевых пакетов

Примечания

↑ ¹ ² SwitchReference - The Wireshark Wiki (неопр.). Дата обращения: 18 ноября 2017. Архивировано 18 июля 2017 года.
↑ Port Mirror vs Network Tap – ntop (неопр.). Дата обращения: 18 ноября 2017. Архивировано 1 декабря 2017 года.