Port mirroring — это функция коммутатора/виртуального свитча, которая делает копию трафика с выбранных портов, VLAN или даже целых агрегатов (LAG) и отправляет её на отдельный «зеркальный» порт. На этот порт подключают анализатор (Wireshark/tcpdump), IDS/IPS, DLP или коллектор.
Варианты
- SPAN (локальный) — источник и приёмник на одном свитче.
- RSPAN (удалённый по L2) — копия едет по специальному RSPAN-VLAN через несколько свитчей.
- ERSPAN (по L3) — кадры инкапсулируются в GRE/IP и улетают на удалённый хост/датасентр.
Что можно зеркалить
- Направление: ingress, egress или оба.
- Объект: порт, VLAN, порт-канал (LAG), иногда — трафик, отобранный по ACL (фильтрация по IP/портам/протоколам).
- Теги: при назначении destination-порта как trunk теги VLAN обычно сохраняются; на access — снимаются.
Где это полезно
- Оперативная диагностика «почему тормозит».
- Подключение IDS/IPS и систем DLP.
- Разбор VoIP/видео, проверка QoS/маркировки.
- Форензика инцидентов без простоя сервисов.
Нюансы и ограничения
- Перегруз приёмника. «Много-к-одному» легко переполнит зеркальный линк: лишние кадры будут теряться. Лучше фильтровать и/или давать порт такой же скорости.
- Не всё видно. Многие устройства отбрасывают кадры с CRC/FCS-ошибкой до зеркалирования; контроль-плейн (CPU-трафик) может не попадать в копию. Для «полного рентгена» в критичных точках используют оптические/медные TAP’ы.
- RSPAN/ERSPAN требуют пути. Для RSPAN нужен транзит RSPAN-VLAN на всём L2-пути; для ERSPAN — пропуск GRE/IP по L3, корректная MTU.
- Ресурсы ASIC. Массовое зеркалирование нагружает чип коммутатора: включайте точечно и на время.
- Безопасность. Зеркальный порт — «окно» в чужой трафик. Ограничьте физический доступ, не разрешайте исходящие передачи с этого порта.
Мини-примеры (концептуально)
- Cisco (локальный SPAN):
monitor session 1 source interface Gi1/0/1 both monitor session 1 destination interface Gi1/0/48 - Cisco (ERSPAN, отправка на удалённый анализатор):
monitor session 2 type erspan-source source interface Gi1/0/1 both destination erspan-id 200 ip address 203.0.113.10 origin ip address 198.51.100.5 - MikroTik (CRS, зеркалирование на порт ether24):
/interface ethernet switch set mirror-source=ether1 mirror-target=ether24
Практические советы
- На анализаторе выключите оффлоады (GRO/LRO/TSO), включите promiscuous mode и задайте большие буферы захвата.
- Если копируете трафик с оверлеев (VXLAN/GENEVE), проверьте MTU и готовность анализатора видеть инкапсуляцию.
- Фиксируйте время (NTP) — так легче сопоставлять события с логами.
VPS с перспективой
Планируете VPS на год? С кодом NEWCOM получаете больше, чем рассчитывали.
Месяц в подарок
COPIED
NEWCOM COPIED