Зеркалирование — дублирование пакетов одного порта сетевого коммутатора (или VPN) на другом.

Большое количество управляемых сетевых коммутаторов позволяют дублировать трафик от одного или нескольких портов и/или ВЛВС (VLAN) на отдельно взятый порт. В основном это применяется для мониторинга всего трафика в целях безопасности, либо оценки производительности/загрузки сетевого оборудования с применением аппаратных средств.

Пример создания зеркалирования трафика на коммутаторе Cisco 2950:

Monitor session 1 source interface fastethernet 0/1 , 0/2 , 0/3
Monitor session 1 destination interface fastethernet 0/4 encap ingress vlan 1

После этого трафик с портов 0/1-0/3 будет продублирован на порт 0/4 в ВЛВС 1 Просмотр текущих сессий зеркалирования может быть выполнен командой

show monitor session 1

Для настройки непосредственно зеркалирования необязательно использовать «encap ingress vlan 1». Это дополнение нужно, чтобы дать возможность оборудованию, типа Cisco IPS (ASA в режиме IPS), закрывать подозрительные соединения, а не только слушать трафик. По умолчанию, destination port в спан-сессии не принимает входящий трафик. Для определения, какой именно (входящий/исходящий) трафик необходимо зеркалировать, используются варианты:

Только входящий:

Monitor session 1 source interface fastethernet 0/1 rx

Только исходящий:

Monitor session 1 source interface fastethernet 0/1 tx

Оба направления:

Monitor session 1 source interface fastethernet 0/1 both

Ссылки

• Cisco Systems - Catalyst Switched Port Analyzer (SPAN) Configuration Example
• Реализация зеркалирования на устройствах ZyXEL http://zyxel.ru/kb/1830