数据中心解决方案安全技术白皮书(17)

理想状态下被镜像的数据报文应该能够穿越三层网络到达远端的镜像端口，但由于目前被镜像的端口所在的交换机多为低端二层交换机，出于成本和实现难度的考虑，目前厂家实现的远程镜像功能都无法穿越三层网络。

远程镜像功能简称为RSPAN。RSPAN实现的功能为将所有的被镜像报文通过一个特殊的RSPAN VLAN传递到远端的镜像端口。

图18 交换机远程镜像技术

在整个功能实现上主要由以下设备来参与完成：

Source switch

需要被监测的端口所在的交换机，在该交换机上存在三种端口：

Source port

被检测的用户端口，通过在ASIC中设置镜像bit属性将用户数据报文复制到指定的Reflector port。source port可以有多个，对于低端交换机只能实现入方向报文的镜像，对于复杂的交换机可以实现端口双向报文的镜像。

Reflector port

该端口的Pvid为专用的RSPAN vlan id，且为untag端口，同时该端口处于内部自环状态。从source port镜像来的TAG报文从该端口输出时tag被剥离，同时由于该端口自环，因此所有报文又被重新从该端口输入，由于该端口的Pvid为RSPAN vlan id，因此所有的镜像报文会以新的RSPAN vlan在所有vlan trunk端口上进行广播（目的MAC永远学习不到，所以永远为所有端口广播）。

Trunk端口

 将镜像报文发送到中间交换机或者目的交换机。

Intermediate switch

该设备上只存在Trunk端口，是中间交换机专为RSPAN vlan开辟的一条通路。

在所有的vlan trunk端口上广播RSPAN vlan的报文，为了减少不必要的垃圾广播，需要在中间交换机上对于vlan trunk端口进行RSPAN vlan的裁减，使中间交换机和接监测设备的交换机相连的vlan trunk端口才具备RSPAN vlan的通过的能力。

Destination switch

连接监测设备的交换机，在该交换机上存在两种端口：

Destination port

远程镜像报文的监控端口。源端口的报文经过RSPAN vlan的巧妙转发，最终可以在Destination port上接收到。

Trunk端口

接收远程镜像报文。

Remote-probe VLAN

即上文所说的RSPAN vlan。为了实现远程端口管理功能，在三类交换机上需要定义一个特殊的VLAN，这个VLAN称之为Remote-probe VLAN。所有的被镜像的报文通过该VLAN从源交换机传递到目的交换机的镜像端口，实现从目的交换机对源交换机的远程端口的报文进行监控。Remote-probe VLAN具有以下特点：