一、端口映射与端口转发

1.1 端口映射（Port Mapping）

端口映射通常是指将内网中的主机端口映射到公网上的某个端口。例如，假设有一台内网电脑（设备A）和一台拥有公网IP的中间服务器（设备C）。设备A的某个端口可以映射到设备C的相应端口上，这样，当外部用户访问设备C的该端口时，实际上就相当于访问了设备A的内网端口。这种设置使得内网中的服务可以通过公网被访问，而无需将内网主机直接暴露在公网上。

1.2 端口转发（Port Forwarding）

端口转发则是将一个端口的数据流量转发到另一个端口。在某些情况下，内网中的设备（设备B）可能无法直接访问外网，但可以通过另一台设备（设备A）进行通信。如果设备A可以访问外网，那么可以设置端口转发，将来自设备B的数据通过设备A转发到外网。这样，设备B就可以通过设备A间接地访问外网服务。

端口转发通常需要指定源IP和端口号和目的IP和端口号。

1.3 端口映射与端口转发核心区别

端口映射是将外网的一个端口完全映射给内网一个地址的指定端口，而端口转发是将发往外网的一个端口的通信完全转发给内网一个地址的指定端口。端口映射可以实现外网到内网和内网到外网双向的通信，而端口转发只能实现外网到内网的单向通信。

二、DMZ主机

DMZ 是英文“demilitarized zone”的缩写，中文名称为“隔离区”，也称“非军事化区”。

一般网络分成内网和外网，也就是LAN和WAN，当有1台物理位置上的1台服务器，需要被外网访问，并且，也被内网访问的时候，有2种方法：一种是放在LAN中，一种是放在DMZ。

因为防火墙默认情况下，是为了保护内网的，所以，一般的策略是禁止外网访问内网，许可内网访问外网。但如果这个服务器能被外网所访问，那么，就意味着这个服务器已经处于不可信任的状态，那么，这个服务器就不能（主动）访问内网。所以，如果服务器放在内网（通过端口重定向让外网访问），一旦这个服务器被攻击，则内网将会处于非常不安全的状态。

但DMZ就是为了让外网能访问内部的资源，也就是这个服务器，而内网呢，也能访问这个服务器，但这个服务器是不能主动访问内网的。DMZ就是这样的一个区域。为了让物理位置在内网的，并且，希望能被外网所访问的这样的一个区域。

三、流量镜像，端口镜像，流量转发，MAC镜像

3.1 流量镜像

• 定义：根据预设规则（如IP、端口、协议）筛选特定数据流，仅复制匹配流量到监控端口。
• 原理：通过ACL或MQC策略定义匹配条件（例：源IP 192.168.10.10）。
• 方向支持：支持入向、出向及双向监控。

3.2 端口镜像

• 定义：将一个或多个物理端口的全量流量（包括广播/错误帧）复制到观察端口。
• 原理：无差别复制源端口所有数据包。
• 方向支持：可配置入向、出向或双向。

3.3 流量转发

• 定义：数据包在网络中的正常传输过程（不涉及复制）。
• 原理：依赖路由表或MAC地址表决策下一跳。

3.4 MAC镜像

• 定义：基于MAC地址过滤流量，复制指定设备的通信数据。
• 原理：在指定VLAN内匹配源/目的MAC（例：00:11:22:33:44:55）。
• 方向限制：多数设备仅支持入向监控。

3.5 核心目的对比

3.6 技术特性差异

3.7 典型应用场景

流量镜像

• 场景：审计用户行为（财务系统请求）、定位DDoS攻击源
• 案例：镜像 192.168.1.100 → 安全设备

端口镜像

• 场景：抓包分析延迟、排查广播风暴
• 案例：复制 Fa0/1 → Fa0/24（Wireshark抓包）

MAC镜像

• 场景：监控关键服务器访问、定位异常设备
• 案例：镜像 00:e0:fc:12:34:56 → 监控端口

3.8 关键总结