#原创分享#探针镜像流量优化方案，让探针不再不堪重负

目前现状

我们平时去客户现场测试或者实施SIP，习惯性让客户将交换机全端口流量镜像给探针，这样我们态势感知才能发现网络中全量威胁。

可能存在的问题

我们探针的型号从500M-10G不等，经常会遇到客户将所有流量镜像给我们后，探针性能不足的情况这时候，我们就需要采取一些镜像流量优化方法来解决探针性能不足的问题

方法1.

以华为交换机为例，配置镜像口通常用以下命令：

port-mirroring to observe-port 1 both

这个命令是镜像接口的上下行全部流量，配置这条命令后，接口下自动会生成2条命令：

port-mirroring to observe-port 1 inbound

port-mirroring to observe-port 1 outbound

这2条命令分别是镜像接口的上行流量和下行流量

而同一个数据流从一个端口进，那么肯定就会从另一个端口出，镜像一个接口的上行流量，在交换机另一个出接口就是他的下行流量，因此这部分流量我们重复镜像了2遍。

因此如果一台交换机做全端口镜像的话，我们只需要再镜像口配置一条port-mirroringto observe-port 1 inbound或者outbound就可以，没必要配置both，这样就可以节省交换机一半的镜像流量

方法2.

如下图所示，客户是办公网场景，交换机的上行接口为2号口，所有PC都通过这个接口访问互联网，如果所有镜像口做的是both镜像，所有PC访问外网的流量在交换机与PC连接的端口镜像了一次，在2号口又镜像了一次，因此我们可以去掉2号口的镜像配置，如果客户大部分都是访问互联网场景，那么几乎也是节省交换机一半的镜像流量！

感谢分享，有助于工作，学习学习

发帖辛苦，感谢分享~

感谢分享，有助于工作，学习学习

感谢分享，每天坚持学习，有助于工作

坚持每日学习打卡

那为什么官方推荐镜像双向流量呢？

还是建议搞个高性能的设备----------部署确实没问题，查问题的时候，首先就会问镜像是不是没做全

感谢分享探针镜像流量优化方案，有助于实际工作，学习。

楼主分享的案例很实用，具有典型性，希望有更多这样的干货供我们学习参考，非常感谢！