交换机镜像技术四问四答：STP功能关闭原因及镜像端口详解

hwyzw

    具体的镜像技术包含哪些专有名词呢？它又有哪些细分领域呢？在实际使用过程中会不会遭遇什么问题呢？接下来，一张图将让你明白交换机镜像技术！

    交换机镜像技术四问四答

    01.

    为什么观察端口要关闭STP功能？

    STP 也就是 Tree ，它的主要作用是防止在网桥网络中，冗余链路形成环路这种工作。运行 STP 协议的设备会彼此交互 BPDU 报文。通过这种交互，它们能发现网络中的环路。接着，这些设备会有选择地对某些端口进行阻塞。最终，它们将环形网络结构修剪成一棵无环路的树形结构。这样做能防止报文在环形网络中不断循环，也能避免设备因为重复接收相同的报文而导致处理能力下降。使用交换机镜像时，镜像端口会复制一份用户流量到观察端口，同时也会复制一份 BPDU 报文到观察端口。如果该 BPDU 报文比观察端口的 BPDU 报文更优，就会使观察端口被迫降为非指定端口并被阻塞。观察端口一旦被阻塞，所有用户流量都会被丢弃，这样就无法成功镜像报文。

    02.

    为什么二层远程镜像VLAN要关闭MAC学习？

    根据二层远程镜像的原理，我们能得知镜像报文会将原始报文封装一层 VLAN TAG，不论原始报文是否带有 TAG，接着通过二层网络传输到远端设备。倘若中间二层网络未关闭远程镜像 VLAN 的 MAC 学习功能，就会学习到镜像报文的源 MAC 地址。如果只是镜像了单向的流量，通常是不会出现问题的，并且在二层网络中能够正常进行转发。然而，如果镜像了双向的流量，那么二层网络就会把双向流量的源 MAC 都学习到。在基于目的 MAC 地址与 VLAN ID 来查询 MAC 地址表并指导转发的过程里，会发现一个数据包的源 MAC 和目的 MAC 都被学习到了同一个接口上。在这种情况下，该数据包就会被丢弃，进而无法转发到远端监控设备。

    03.

    如何解决观察端口不足的问题？

   

    因为芯片硬件资源有限，一般在一台交换机上能观察的端口不会很多，在极其特殊的情况下，甚至可能只允许配置一个观察端口。然而在实际的工程当中，特别是在网络安全的环境里，常常是有多种类型的、多台安全设备都需要获取网络的原始流量，以便进行分析和监控。这就使得交换机需要把一份流量复制到多个端口，供多台安全设备使用，常见的方法有两种。

    一种是镜像交换机自身泛洪，其思路为：

    1)将所有需要镜像报文的端口划到同一个VLAN中；

    2)将观察端口内部环回，即发出去的包又回到自己；

    3)关闭观察端口MAC地址学习功能，以防影响业务流量转发。

    另一种是借助中间交换机泛洪，其思路为：

    本端交换机与安全设备并非直接相连，而是借助中间的二层交换机来进行连接。

    中间二层交换机把与本端交换机互联的端口以及与安全设备互联的端口划分到同一个 VLAN 中，同时关闭这个 VLAN 的 MAC 地址学习功能。

    本端交换机进行二层远程端口镜像操作，镜像报文会先经过观察端口，然后在其基础上再封装一层 VLAN TAG，最后发送至中间二层交换机。

    中间二层交换机在 VLAN 内部进行泛洪操作，把流量分发到各个安全设备。

    04.

   

    观察端口能否抓到带TAG报文？

    这个问题与观察端口属于何种类型的端口（例如口、Trunk 口、三层路由口等）毫无关联，不会对报文输出是否携带 VLAN TAG 产生影响，关键在于镜像端口的属性。从本质上讲，这是交换机内部的处理机制问题，即究竟是先进行报文复制流程，还是先进行标签处理流程。具体情况如下：

    在入方向，先进行报文复制流程，接着进行标签处理流程。这样一来，观察端口报文就是原始报文。即便端口收到 VID≠PVID 的 TAG 报文，也能够被镜像出来。

    在入方向，若先进行标签处理流程，接着进行报文复制流程，那么观察端口的情况如下：要么端口没有报文，这是因为端口收到 VID≠PVID 的报文时会直接丢弃；要么端口有报文，且这些报文一定带有 TAG，原因是原始报文不带 TAG 时，入端口会打上 PVID。

    在出方向，先进行报文复制流程，接着进行标签处理流程，这样观察端口报文就一定带有 TAG（交换机内部转发时必须带 TAG）；特殊情况是，如果出接口是路由口，那么 TAG 为 4095，这个 TAG 只具有本地意义，正常的数据报文从路由口转发出去时不会带上该 TAG 字段。

    在出方向，如果先进行标签处理流程，接着进行报文复制流程，那么就会出现两种情况。一种情况是观察端口报文不带 TAG，也就是当报文 VID=PVID 时，Trunk 出口会剥掉 TAG；另一种情况是观察端口报文带 TAG，即当报文 VID≠PVID 时，如果 Trunk 口允许通过，就会带 TAG 转出。

    威努特简介

    北京威努特技术有限公司，简称威努特。它是国内工控安全行业的领军者，同时也是中国国有资本风险投资基金旗下的企业。凭借着卓越的技术创新能力，它成为了全球仅六家荣获国际自动化协会认证的企业之一，并且还是首批国家级专精特新“小巨人”企业。

    威努特凭借率先独创的工业网络“白环境”核心技术理念，以自主研发的全系列工控安全产品作为基础。它为电力、轨道交通、石油石化、市政、烟草、智能制造、军工等国家重要行业的用户，提供全生命周期纵深防御的解决方案以及专业化的安全服务。到目前为止，已经为国内以及“一带一路”沿线国家的 4000 多家行业客户，实现了业务的安全合规运行。

    威努特作为中国工控安全的国家队，积极推动产业集群的建设，致力于构建生态圈的发展。它牵头并参与工控安全领域国家和行业标准的制定，还参与重大活动的网络安全保障工作。始终将保护我国关键信息基础设施安全当作自己的责任，致力于成为建设网络强国的中坚力量。