关于交换机端口镜像的注意点

关于交换机端口镜像的注意点所谓的端口镜像是把交换机一个或多个端口的数据镜像到一个或多个端口的方法，它的作是将指定端口、vlan 的报文复制一份到其它端口，目的端口会与数据监测设备相连，为了方便对一个或多个网络接口的流量进行分析，可以通过配置交换机来把一个或多个端口的数据转发到某一个端口来实现对网络的监听。一、根据使用范围的不同，端口镜像可分为以下三种类型1、本地端口镜像：可以将设备源端口/源 vlan/ 源 cpu 上的报文复制到本设备的目的端口，用于监控和分析这些报文。2、跨二层远程端口镜像：可以将本设备源端口/源 vlan/ 源 cpu 上的报文跨越二层网络复制到另一台设备的目的端口，用于监控和分析这些报文。3、跨三层远程端口镜像：可以将本设备源端口/源 vlan/ 源 cpu 上的报文跨越三层网络复制到另一台设备的目的端口，用于监控和分析源这些报文。二、端口镜像通过镜像组的方式实现，镜像组可以分为本地镜像组、远程源镜像组和远程目的镜像组三类1、本地端口镜像可以对所有报文进行镜像，它通过本地镜像组的方式实现，即源端 口/ 源 vlan 中的端口 /源 cpu 和目的端口在同一个本地镜像组中，设备将源端口的报文复制一份并转发到目的端口。精品资料源端口 /源 vlan/ 源 cpu 的报文被镜像到目的端口，这样， 连接在目的端口上的数据监测设备就可以对这些报文进行监控和分析，本地镜像组支持跨板镜像，即目的端口和源端口/源 vlan 中的端口 /源 cpu 可以在同一设备的不同单板上。2、跨二层远程端口镜像可以对协议报文之外的所有报文进行镜像，它通过远程源镜像组和远程目的镜像组互相配合的方式实现， 用户在源设备上创建远程源镜像组， 在目的设备上创建远程目的镜像组。 源设备将源端口 /源 vlan/ 源 cpu 的报文复制一份后， 将其通过反射端口在远程镜像 vlan 中广播，经由中间设备发送至目的设备。目的设备收到该报文后，若其vlanid 与远程目的镜像组的远程镜像vlan 的 vlan id 相同，就将其转发至目的端口，这样，连接在目的端口上的数据监测设备就可以对源设备上源端口 /源 vlan/ 源 cpu 的报文进行监控和分析。三、用户在源设备上创建远程源镜像组，在目的设备上创建远程目的镜像组。源设备将源端口 /源 vlan/ 源 cpu 的报文复制一份后，将其通过出端口在远程镜像vlan 中广播， 经由中间设备发送至目的设备，连接在目的端口上的数据监测设备就可以对源设备上源端口/源 vlan/ 源 cpu 的报文进行监控和分析。1、用户需要确保远程镜像vlan 内源设备到目的设备间二层网络的互通性。2、由于源端口/源 vlan/ 源 cpu 的报文将被在源设备的远程镜像vlan 中广播，因此可通过把源设备上的其它端口加入远程镜像vlan 的方式，实现本地端口镜像的功能，在镜像报文离开源设备到达远程目的设备过程中，用户应确保镜像报文中 vlan id 的正确性，如果该 vlan id 被修改或删除，跨二层远程镜像功能将失效。3、跨三层远程端口镜像可以对协议报文之外的所有报文进行镜像，它通过远程源镜像组、远程目的镜像组和gre 隧道互相配合的方式实现，在源设备上，源端口/ 源 vlan/源 cpu 的报文被镜像到tunnel接口， 然后通过gre 隧道发送至目的设备，目的设备在通过 tunnel 接口将报文转发至其目的端口。最后源端口是被监控的端口，用户可以对通过该端口的报文进行监控和分析，源vlan是被监控的 vlan ，用户可以对通过该vlan 所有端口的报文进行监控和