嘿,兄弟们!
不少人在ensp里练抓包,右键点接口选开始抓包,流量立马就出来,总觉得抓包这事儿简单得很。
可一到现网就傻了眼——服务器好好连在交换机上跑业务,想查它的进出流量,总不能把笔记本直接怼到服务器网口上吧?不仅容易断业务,还显得特别不专业。
这时候你就会发现,端口镜像才是现网里抓包、排错的关键工具,今天咱就把它讲得明明白白。
今日文章阅读福利:《网工入门指南》
扫添加小助理微信,备注【入门】,即可获取。
一、先分清端口镜像的两个核心端口
端口镜像听着像专业术语,其实逻辑特别简单,就靠两个端口配合工作,记清它们的分工就行:
一个是镜像端口,作用是提供流量来源。
通常是服务器、终端设备连接交换机的那个端口,比如服务器A插在交换机的G0/0/1口,那G0/0/1就是镜像端口。
它会把服务器进出的所有流量,原封不动复制一份,不影响服务器正常收发数据。
另一个是观察端口,作用是接收并转发复制的流量。
这个端口需要连接审计服务器,或者插你用来抓包的笔记本。
镜像端口复制好流量后,会把流量转发到观察端口,你在观察端口这边抓包、分析,就能看到服务器的所有通信记录,全程不干扰业务运行。
简单说,镜像端口负责“复制流量”,观察端口负责“接收流量”,两者配合就能完成对目标设备流量的监控。
二、现网为啥必须用端口镜像
有人会问,ensp里右键抓包多方便,现网为啥非得用端口镜像?其实是现网和模拟器的场景完全不同:
首先,现网设备不能随便动。服务器、核心交换机都在跑关键业务,你要是把服务器的网线拔下来插笔记本抓包,一拔线业务就中断,领导肯定得找你麻烦,这是绝对不能犯的错。
其次,现网流量复杂且量大。ensp里可能就几台设备,流量简单;但现网里一个端口的流量可能达到上百兆,直接在设备上抓包会占用大量设备资源,影响数据转发效率,甚至导致设备卡顿。
最后,现网有审计需求。很多企业要求保存关键服务器的流量记录,方便后续查问题、追溯责任。靠人工蹲点抓包根本不现实,只能通过端口镜像把流量实时转发到审计服务器,24小时持续存储,出问题时随时调取。
所以说,ensp里的抓包是练手用的,到了现网查故障、做审计,端口镜像是绕不开的工具。
