silentteen

鏡像功能主要用于網(wǎng)絡檢測和故障管理，針對涉及私人信息的鏡像操作，需要對鏡像內(nèi)容中的涉密信息進行保護（如一些路由交換設備支持對鏡像報文進行掩碼和裁剪），或者確保鏡像數(shù)據(jù)的使用范圍，避免泄露。

鏡像概念

定義

鏡像是指將指定源的報文復制一份到目的端口。指定源被稱為鏡像源，目的端口被稱為觀察端口，復制的報文被稱為鏡像報文。

鏡像可以在不影響設備對原始報文正常處理的情況下，將其復制一份，并通過觀察端口發(fā)送給監(jiān)控設備，從而判斷網(wǎng)絡中運行的業(yè)務是否正常。

鏡像端口和觀察端口

如圖1-1所示，原始報文經(jīng)過的端口被稱為鏡像端口；連接監(jiān)控設備的端口被稱為觀察端口，用于將鏡像報文發(fā)送給監(jiān)控設備。根據(jù)監(jiān)控設備在網(wǎng)絡中位置的不同，可以將觀察端口分為三類。。

• 本地觀察端口： 與監(jiān)控設備直連的端口被稱為本地觀察端口。此時的鏡像被稱為本地鏡像。
• 二層遠程觀察端口： 通過二層網(wǎng)絡與監(jiān)控設備相連的端口被稱為二層遠程觀察端口。此時的鏡像被稱為二層遠程鏡像。
• 三層遠程觀察端口： 通過三層網(wǎng)絡與監(jiān)控設備相連的端口被稱為三層遠程觀察端口。此時的鏡像被稱為三層遠程鏡像。僅部分交換機支持三層遠程鏡像；

觀察端口專門用于鏡像報文的轉(zhuǎn)發(fā)，因此不要在上面配置其他業(yè)務，防止鏡像報文與其他業(yè)務的數(shù)據(jù)報文在觀察端口上同時轉(zhuǎn)發(fā)會互相影響。

在設備上應用鏡像功能時，如果鏡像過多，會占用較多的設備內(nèi)部轉(zhuǎn)發(fā)帶寬，影響其他業(yè)務轉(zhuǎn)發(fā)。另外，如果鏡像端口的帶寬大于觀察端口的帶寬，比如，鏡像端口的帶寬是1000Mbit/s，觀察端口的帶寬是100Mbit/s，會導致觀察端口因帶寬不足而不能及時轉(zhuǎn)發(fā)全部的鏡像報文，發(fā)生丟包。

鏡像源

鏡像源可以是：

• 端口： 將指定端口接收或發(fā)送的報文復制到觀察端口，此時的鏡像被稱為端口鏡像。
• VLAN： 將指定VLAN內(nèi)所有活動接口接收的報文復制到觀察端口，此時的鏡像被稱為VLAN鏡像。
• MAC地址： 將指定VLAN內(nèi)源MAC地址或目的MAC地址為指定MAC地址的報文復制到觀察端口，此時的鏡像被稱為MAC鏡像。
• 報文流： 將符合指定規(guī)則的報文流復制到觀察端口，此時的鏡像被稱為流鏡像。

鏡像方向

鏡像方向是指將鏡像端口指定方向的報文復制到觀察端口，包括：

• 入方向： 將鏡像端口接收的報文復制到觀察端口上。此時的鏡像被稱為入方向鏡像。
• 出方向： 將鏡像端口發(fā)送的報文復制到觀察端口上。此時的鏡像被稱為出方向鏡像。
• 雙向： 將鏡像端口接收和發(fā)送的報文都復制到觀察端口上。

鏡像原理

端口鏡像

端口鏡像是指將指定端口接收或發(fā)送的報文復制到觀察端口。根據(jù)觀察端口的不同，端口鏡像分為本地端口鏡像和二層遠程端口鏡像

本地端口鏡像

觀察端口為本地觀察端口的端口鏡像，被稱為本地端口鏡像。如圖1-2所示，本地觀察端口將鏡像端口復制來的報文轉(zhuǎn)發(fā)到與其直連的監(jiān)控設備。

二層端口鏡像

觀察端口為二層遠程觀察端口的端口鏡像，被稱為二層遠程端口鏡像。如圖1-3所示，二層遠程端口鏡像中鏡像報文的具體轉(zhuǎn)發(fā)過程如下。

• 鏡像端口將流經(jīng)的原始報文復制到二層遠程觀察端口。
• 二層遠程觀察端口收到鏡像端口復制過來的鏡像報文，在原始報文VLAN標簽（VLAN 10）外層再添加一層VLAN標簽（VLAN 20），以便將鏡像報文向中間二層網(wǎng)絡轉(zhuǎn)發(fā)。值得注意的是，這一步不需要通過端口加入VLAN來完成，是直接通過配置二層遠程觀察端口來實現(xiàn)的。
• SwitchC在接收到二層遠程觀察端口發(fā)來的鏡像報文后，就將鏡像報文向監(jiān)控設備轉(zhuǎn)發(fā)。為了實現(xiàn)這一步，需要將中間二層設備（SwitchC）與二層遠程觀察端口、監(jiān)控設備相連的端口加入VLAN 20，保證SwitchB、SwitchC與監(jiān)控設備間能夠二層通信。

二層遠程鏡像中，在二層遠程觀察端口與監(jiān)控設備之間的二層網(wǎng)絡中，需要預留一個VLAN專門用于轉(zhuǎn)發(fā)鏡像流量，如圖1-3中的VLAN 20，該VLAN被稱為二層遠程鏡像傳輸VLAN。

• 配置鏡像的交換機與監(jiān)控設備之間的二層網(wǎng)絡中的所有中間設備必須創(chuàng)建并配置相應接口加入該VLAN，以保證鏡像報文能夠通過該VLAN被泛洪到監(jiān)控設備。
• 必須在所有中間設備上關閉該VLAN的MAC地址學習功能（為監(jiān)控設備配置固定的端口，交換機就只會將該MAC地址的數(shù)據(jù)包發(fā)送到指定的端口，而不會廣播到所有的端口上）。
• 該VLAN不能和原始報文所屬VLAN相同。

VLAN鏡像

VLAN鏡像是指將指定VLAN接收的報文復制到觀察端口。如圖1-4所示，通過VLAN鏡像，交換機僅將來自VLAN 10的報文鏡像到監(jiān)控設備。同端口鏡像類似，根據(jù)觀察端口的不同，VLAN鏡像也可以分為本地VLAN鏡像和二層遠程VLAN鏡像。值得注意的是：

• 僅S系列盒式交換機支持VLAN鏡像。
• 交換機僅支持入方向VLAN鏡像，即僅支持將指定VLAN接收的報文復制到觀察端口。
• 二層遠程VLAN鏡像中，原始報文所屬VLAN和中間二層網(wǎng)絡用于轉(zhuǎn)發(fā)鏡像報文的二層遠程鏡像VLAN不能相同。

MAC鏡像

MAC鏡像是指將指定VLAN接收的源MAC地址或目的MAC地址為指定MAC地址的報文復制到觀察端口。MAC鏡像提供了一種更加精確的鏡像方式，用戶可以對網(wǎng)絡中特定設備的報文進行監(jiān)控。如圖1-5所示，通過MAC鏡像，交換機僅將來自HostA的報文鏡像到監(jiān)控設備。同端口鏡像類似，根據(jù)觀察端口的不同，MAC鏡像也可以分為本地MAC鏡像和二層遠程MAC鏡像。

值得注意的是：

• 僅S系列盒式交換機支持MAC鏡像。

• 交換機僅支持將入方向MAC鏡像，即僅支持將指定VLAN接收的源MAC地址或目的MAC地址為指定MAC地址的報文復制到觀察端口。

• 二層遠程MAC鏡像中，原始報文所屬VLAN和中間二層網(wǎng)絡用于轉(zhuǎn)發(fā)鏡像報文的二層遠程鏡像VLAN不能相同。

  圖1-5 MAC鏡像示意圖

  流鏡像

  原理

  流鏡像是指將符合指定規(guī)則的報文流復制到觀察端口。如圖1-6所示，鏡像端口將匹配規(guī)則的業(yè)務流2復制到觀察端口，然后觀察端口再將復制的業(yè)務流2轉(zhuǎn)發(fā)到監(jiān)控設備。同端口鏡像類似，根據(jù)觀察端口的不同，流鏡像也可以分為本地流鏡像和二層遠程流鏡像。

規(guī)則

流鏡像屬于流行為的一種，在設備上應用時，實際是在全局、VLAN或者端口上應用了包含流鏡像行為的流策略。流鏡像中的規(guī)則有兩種配置方式：基于MQC和基于ACL。

• 基于MQC方式： 配置復雜，但是支持匹配的規(guī)則比基于ACL方式多，而且基于MQC方式的流鏡像既支持入方向流鏡像，也支持出方向流鏡像。
• 基于ACL方式： 配置簡單，但是支持匹配的規(guī)則比基于MQC方式少，而且基于ACL方式的流鏡像僅支持入方向流鏡像。

值得注意的是，二層遠程流鏡像中，如果包含流鏡像行為的流策略應用在VLAN上，該VLAN和中間二層網(wǎng)絡用于轉(zhuǎn)發(fā)鏡像報文的二層遠程鏡像VLAN不能相同。