基于网络的镜像的最大优点是，您可以在网络级别设置它，用最少的配置从多个主机捕获流量。基于网络的镜像有不同的类型，但每一种都是为将流量镜像到特定情况下的目标而设计的。所有基于网络的镜像策略的最大的挑战是，它们严重依赖于网络上(物理或虚拟)硬件的功能。

基于网络的镜像主要有三种类型：

SPAN

SPAN(Switched Port Analyzer)直译为交换端口分析器，不同的供应商使用不同的名称。SPAN的关键在于它都是本地流量，即源端口和目标端口都处于同一交换机,并且源端口可以是一个或多个端口.。您可以将交换机上的任何端口配置为将流量镜像到具有跨端口访问权限的系统。

混杂模式类似于SPAN，但是它并没有将只选择的本地端口流量镜像到SPAN端口，而是将每个端口的所有流量都镜像。任何通过交换机的流量都会被镜像。

RSPAN

如果您想镜像的数据流量与目前设备的位置之间的距离不止一个switch，则RSPAN非常有用。RSPAN中的"R"代表remote。使用专用的镜像VLAN，可以跨越从一个交换机到任意数量的其他交换机到目标设备的所有通信。路径中的每个交换机都需要配置为携带包含镜像通信的专用VLAN。

ERSPAN

如果第3层(L3)边界(如路由器、防火墙或第3层交换机)位于要镜像的通信流和流量监控系统的位置之间，那么ERSPAN可能会对您有所帮助。为了跨越第3层边界，ERSPAN将镜像通信封装在一个GRE隧道中，该隧道的地址是流量监控系统上捕获接口的IP地址。被封装的镜像通信就像其他数据包一样在网络中流通。