端口鏡像是將指定端口（源端口）、VLAN（源VLAN）或CPU（源CPU）的報(bào)文復(fù)制一份到其它端口（目的端口），目的端口會(huì)與數(shù)據(jù)監(jiān)測(cè)設(shè)備相連，用戶利用這些數(shù)據(jù)監(jiān)測(cè)設(shè)備來分析復(fù)制到目的端口的報(bào)文，進(jìn)行網(wǎng)絡(luò)監(jiān)控和故障排除。

為了更好地理解后面的內(nèi)容，首先介紹一下端口鏡像中涉及的基本概念。

源端口是被監(jiān)控的端口，用戶可以對(duì)通過該端口的報(bào)文進(jìn)行監(jiān)控和分析。

源VLAN是被監(jiān)控的VLAN，用戶可以對(duì)通過該VLAN所有端口的報(bào)文進(jìn)行監(jiān)控和分析。

源CPU是被監(jiān)控單板上的CPU，用戶可以對(duì)通過該CPU的報(bào)文進(jìn)行監(jiān)控和分析。

目的端口也可稱為監(jiān)控端口，該端口將接收到的報(bào)文轉(zhuǎn)發(fā)到數(shù)據(jù)監(jiān)測(cè)設(shè)備，以便對(duì)報(bào)文進(jìn)行監(jiān)控和分析。

端口鏡像的方向分為三種：

l              入方向：僅對(duì)從源端口/源VLAN/源CPU收到的報(bào)文進(jìn)行鏡像。

l              出方向：僅對(duì)從源端口/源VLAN/源CPU發(fā)出的報(bào)文進(jìn)行鏡像。

l              雙向：對(duì)從源端口/源VLAN/源CPU收到和發(fā)出的報(bào)文都進(jìn)行鏡像。

根據(jù)使用范圍的不同，端口鏡像可分為以下三種類型：

l              本地端口鏡像：可以將設(shè)備源端口/源VLAN/源CPU上的報(bào)文復(fù)制到本設(shè)備的目的端口，用于監(jiān)控和分析這些報(bào)文。

l              跨二層遠(yuǎn)程端口鏡像：可以將本設(shè)備源端口/源VLAN/源CPU上的報(bào)文跨越二層網(wǎng)絡(luò)復(fù)制到另一臺(tái)設(shè)備的目的端口，用于監(jiān)控和分析這些報(bào)文。

l              跨三層遠(yuǎn)程端口鏡像：可以將本設(shè)備源端口/源VLAN/源CPU上的報(bào)文跨越三層網(wǎng)絡(luò)復(fù)制到另一臺(tái)設(shè)備的目的端口，用于監(jiān)控和分析源這些報(bào)文。

端口鏡像通過鏡像組的方式實(shí)現(xiàn)，鏡像組可以分為本地鏡像組、遠(yuǎn)程源鏡像組和遠(yuǎn)程目的鏡像組三類。

本地端口鏡像可以對(duì)所有報(bào)文（包括協(xié)議報(bào)文和數(shù)據(jù)報(bào)文）進(jìn)行鏡像，它通過本地鏡像組的方式實(shí)現(xiàn)，即源端口/源VLAN中的端口/源CPU和目的端口在同一個(gè)本地鏡像組中，設(shè)備將源端口（或源VLAN）的報(bào)文復(fù)制一份并轉(zhuǎn)發(fā)到目的端口。

如圖 1所示，源端口/源VLAN/源CPU的報(bào)文被鏡像到目的端口，這樣，連接在目的端口上的數(shù)據(jù)監(jiān)測(cè)設(shè)備就可以對(duì)這些報(bào)文進(jìn)行監(jiān)控和分析。

本地鏡像組支持跨板鏡像，即目的端口和源端口/源VLAN中的端口/源CPU可以在同一設(shè)備的不同單板上。

跨二層遠(yuǎn)程端口鏡像可以對(duì)協(xié)議報(bào)文之外的所有報(bào)文進(jìn)行鏡像，它通過遠(yuǎn)程源鏡像組和遠(yuǎn)程目的鏡像組互相配合的方式實(shí)現(xiàn)。

（支持反射端口的設(shè)備）

所示，用戶在源設(shè)備上創(chuàng)建遠(yuǎn)程源鏡像組，在目的設(shè)備上創(chuàng)建遠(yuǎn)程目的鏡像組。源設(shè)備將源端口/源VLAN/源CPU的報(bào)文復(fù)制一份后，將其通過反射端口在遠(yuǎn)程鏡像VLAN中廣播，經(jīng)由中間設(shè)備發(fā)送至目的設(shè)備。目的設(shè)備收到該報(bào)文后，若其VLAN ID與遠(yuǎn)程目的鏡像組的遠(yuǎn)程鏡像VLAN的VLAN ID相同，就將其轉(zhuǎn)發(fā)至目的端口。這樣，連接在目的端口上的數(shù)據(jù)監(jiān)測(cè)設(shè)備就可以對(duì)源設(shè)備上源端口/源VLAN/源CPU的報(bào)文進(jìn)行監(jiān)控和分析。

如圖 3所示，用戶在源設(shè)備上創(chuàng)建遠(yuǎn)程源鏡像組，在目的設(shè)備上創(chuàng)建遠(yuǎn)程目的鏡像組。源設(shè)備將源端口/源VLAN/源CPU的報(bào)文復(fù)制一份后，將其通過出端口在遠(yuǎn)程鏡像VLAN中廣播，經(jīng)由中間設(shè)備發(fā)送至目的設(shè)備。目的設(shè)備收到該報(bào)文后，若其VLAN ID與遠(yuǎn)程目的鏡像組的遠(yuǎn)程鏡像VLAN的VLAN ID相同，就將其轉(zhuǎn)發(fā)至目的端口。這樣，連接在目的端口上的數(shù)據(jù)監(jiān)測(cè)設(shè)備就可以對(duì)源設(shè)備上源端口/源VLAN/源CPU的報(bào)文進(jìn)行監(jiān)控和分析。

l    用戶需要確保遠(yuǎn)程鏡像VLAN內(nèi)源設(shè)備到目的設(shè)備間二層網(wǎng)絡(luò)的互通性。

l    由于源端口/源VLAN/源CPU的報(bào)文將被在源設(shè)備的遠(yuǎn)程鏡像VLAN中廣播，因此可通過把源設(shè)備上的其它端口加入遠(yuǎn)程鏡像VLAN的方式，實(shí)現(xiàn)本地端口鏡像的功能。

在鏡像報(bào)文離開源設(shè)備到達(dá)遠(yuǎn)程目的設(shè)備過程中，用戶應(yīng)確保鏡像報(bào)文中VLAN ID的正確性，如果該VLAN ID被修改或刪除，跨二層遠(yuǎn)程鏡像功能將失效。

跨三層遠(yuǎn)程端口鏡像可以對(duì)協(xié)議報(bào)文之外的所有報(bào)文進(jìn)行鏡像，它通過遠(yuǎn)程源鏡像組、遠(yuǎn)程目的鏡像組和GRE隧道互相配合的方式實(shí)現(xiàn)。

如圖 4所示，在源設(shè)備上，源端口/源VLAN/源CPU的報(bào)文被鏡像到Tunnel接口（作為其目的端口），然后通過GRE隧道發(fā)送至目的設(shè)備，目的設(shè)備在通過Tunnel接口（作為其源端口）將報(bào)文轉(zhuǎn)發(fā)至其目的端口。這樣，連接在目的端口上的數(shù)據(jù)監(jiān)測(cè)設(shè)備就可以對(duì)源設(shè)備上源端口/源VLAN/源CPU的報(bào)文進(jìn)行監(jiān)控和分析。