端口鏡像是指在交換機(jī)或者路由器上將經(jīng)過(guò)指定端口（源端口）的數(shù)據(jù)報(bào)文復(fù)制一份到另一個(gè)指定端口（目標(biāo)端口）上，來(lái)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)流量的分析與監(jiān)控,。一些對(duì)實(shí)時(shí)監(jiān)控比較注重的用戶在網(wǎng)絡(luò)遭受了各種攻擊,，需要檢查流量而不希望影響原來(lái)的網(wǎng)絡(luò)時(shí)，可以利用端口鏡像,，例如我國(guó)文化部和公安部要求網(wǎng)絡(luò)服務(wù)場(chǎng)所安裝監(jiān)控軟件,，通過(guò)端口鏡像采集相關(guān)數(shù)據(jù)，分析用戶的網(wǎng)絡(luò)使用情況,。

按照工作范圍的劃分,，端口鏡像分為兩種類型，本地鏡像和遠(yuǎn)程鏡像。

本地鏡像實(shí)現(xiàn)在同一臺(tái)網(wǎng)絡(luò)設(shè)備上,，監(jiān)控設(shè)備對(duì)客戶端的數(shù)據(jù)分析監(jiān)控,。

遠(yuǎn)程鏡像實(shí)現(xiàn)跨網(wǎng)絡(luò)設(shè)備時(shí)，監(jiān)控設(shè)備對(duì)客戶端的數(shù)據(jù)分析監(jiān)控,。

本地端口鏡像的源端口與目標(biāo)端口處在同一臺(tái)設(shè)備上,，如下圖所示，通過(guò)本地端口鏡像,，源端口(Eth 1/1)的數(shù)據(jù)報(bào)文被鏡像到目標(biāo)端口(Eth 1/2)上,，這樣連接在目標(biāo)端口上的監(jiān)控設(shè)備就可以對(duì)經(jīng)過(guò)源端口的數(shù)據(jù)報(bào)文進(jìn)行監(jiān)控分析。

遠(yuǎn)程端口鏡像的源端口與目標(biāo)端口處在不同的設(shè)備上,，如下圖所示,，通過(guò)遠(yuǎn)程鏡像，源端口(Eth 1/3)的數(shù)據(jù)報(bào)文經(jīng)過(guò)兩臺(tái)設(shè)備的級(jí)聯(lián)端口(Eth 1/4)后被鏡像到目標(biāo)端口(Eth 1/3)上,，該端口將鏡像數(shù)據(jù)報(bào)文復(fù)制到監(jiān)控設(shè)備上,，實(shí)現(xiàn)跨設(shè)備的數(shù)據(jù)報(bào)文監(jiān)控分析。

配置端口鏡像的前提是交換機(jī)或者路由器支持端口鏡像功能。您可以根據(jù)需求場(chǎng)景選擇配置本地鏡像還是遠(yuǎn)程鏡像,。

本地鏡像的配置步驟如下：

1,、創(chuàng)建VLAN

2、將端口添加到VLAN中

3,、配置IP地址

4,、在目標(biāo)端口下進(jìn)行鏡像命令配置，將源端口的數(shù)據(jù)報(bào)文鏡像到目標(biāo)端口,。

遠(yuǎn)程鏡像的配置步驟如下：

1,、在全局模式下創(chuàng)建源端口

2、配置一臺(tái)交換機(jī)uplink端口

3,、在全局模式下創(chuàng)建目標(biāo)端口

4,、配置另一臺(tái)交換機(jī)uplink端口

需要注意的是：

1、在本地鏡像中,，必須選擇一個(gè)口作為源端口,，一個(gè)口作為目標(biāo)端口，配置才能生效,；

2,、如果需要?jiǎng)?chuàng)建鏡像組，一個(gè)鏡像組只能有一個(gè)目標(biāo)端口,，可有多個(gè)源端口,；

3、如果某個(gè)端口已經(jīng)是一個(gè)鏡像組的源端口,，則不能成為另一個(gè)鏡像組的成員端口,；

4、如果某個(gè)端口已經(jīng)是一個(gè)鏡像組的目標(biāo)端口,，則不能成為另一個(gè)鏡像組的成員端口,；

5、建議不要在目標(biāo)端口上使用STP,、RSTP或MSTP，否則會(huì)影響設(shè)備的正常使用,。

端口鏡像與流鏡像都屬于鏡像功能,。

每個(gè)網(wǎng)絡(luò)連接都有入口流,、出口流兩個(gè)方向的數(shù)據(jù)流，對(duì)于交換機(jī)來(lái)說(shuō)這兩個(gè)數(shù)據(jù)流需要分開(kāi)鏡像。流鏡像是指按照一定的數(shù)據(jù)流分類規(guī)則對(duì)數(shù)據(jù)進(jìn)行分流,，然后將屬于指定流的所有數(shù)據(jù)鏡像到監(jiān)控端口,，以便進(jìn)行分析。

流鏡像可以通過(guò)訪問(wèn)控制列表(ACL)的方式匹配合適的流,，也可以通過(guò)命令匹配,，在功能上要比端口鏡像更強(qiáng)大。

端口映射是指將內(nèi)網(wǎng)的某個(gè)(LAN)IP地址轉(zhuǎn)發(fā)到公網(wǎng)上，或者將外網(wǎng)的(WAN)IP地址轉(zhuǎn)發(fā)到內(nèi)網(wǎng)上,。比如有一臺(tái)電腦本地的IP地址是192.168.1.10,，在這臺(tái)電腦上用百度查詢資料，數(shù)據(jù)傳輸?shù)牧鞒淌牵和ㄟ^(guò)路由器用ADSL撥號(hào)上百度,，百度只能識(shí)別到路由器的IP地址,，把數(shù)據(jù)傳給路由器后，路由器通過(guò)內(nèi)置的端口映射表（配置了端口映射路由器才能準(zhǔn)確辨別信息應(yīng)反饋給哪個(gè)本地IP）把數(shù)據(jù)返回到電腦,。

端口鏡像與端口映射的主要區(qū)別在于：端口鏡像是流量復(fù)制的過(guò)程,，端口映射是流量轉(zhuǎn)發(fā)的過(guò)程。

通常情況下可通過(guò)流量抓包軟件進(jìn)行流量抓包驗(yàn)證，在監(jiān)控設(shè)備上進(jìn)行抓包測(cè)試,，如果可以獲取到源端口發(fā)送或接收的數(shù)據(jù)包,，則端口鏡像成功。