一．基本概念

1. 鏡像源

鏡像源是指被監控的對象，該對象為設備上的端口，我們將之稱(chēng)為源端口。經(jīng)由被監控的對象收發(fā)的報文會(huì )被復制一份到與數據監測設備相連的端口，用戶(hù)就可以對這些報文（稱(chēng)為鏡像報文）進(jìn)行監控和分析了。鏡像源所在的設備就稱(chēng)為源設備。

2. 鏡像目的

鏡像目的是指鏡像報文所要到達的目的地，即與數據監測設備相連的那個(gè)端口，我們稱(chēng)之為目的端口，目的端口所在的設備就稱(chēng)為目的設備。目的端口會(huì )將鏡像報文轉發(fā)給與之相連的數據監測設備。

3. 鏡像方向

鏡像方向是指在鏡像源上可復制哪些方向的報文：

1)入方向：是指僅復制鏡像源收到的報文。

2)出方向：是指僅復制鏡像源發(fā)出的報文。

3)雙向：是指對鏡像源收到和發(fā)出的報文都進(jìn)行復制。

4. 鏡像組

鏡像組是一個(gè)邏輯上的概念，鏡像源和鏡像目的都要屬于某一個(gè)鏡像組。根據具體的實(shí)現方式不同，鏡像組可分為本地鏡像組、遠程源鏡像組和遠程目的鏡像組三類(lèi)。

5. 反射端口、出端口和遠程鏡像VLAN

反射端口、出端口和遠程鏡像VLAN都是在二層遠程端口鏡像的實(shí)現過(guò)程中用到的概念。遠程鏡像VLAN是將鏡像報文從源設備傳送至目的設備的專(zhuān)用VLAN；反射端口和出端口都位于源設備上，都用來(lái)將鏡像報文發(fā)送到遠程鏡像VLAN中。

二． 端口鏡像的分類(lèi)和實(shí)現方式

根據鏡像源與鏡像目的是否位于同一臺設備上，可以將端口鏡像分為本地端口鏡像和遠程端口鏡像兩大類(lèi)。

1.本地端口鏡像

當源設備與數據監測設備直接相連時(shí)，源設備可以同時(shí)作為目的設備，即由本設備將鏡像報文轉發(fā)至數據檢測設備，這種方式實(shí)現的端口鏡像稱(chēng)為本地端口鏡像。對于本地端口鏡像，鏡像源和鏡像目的屬于同一臺設備上的同一個(gè)鏡像組，該鏡像組稱(chēng)為本地鏡像組。

圖1-1 本地端口鏡像示意圖

如圖1-1所示，現在需要設備將進(jìn)入端口Ten-GigabitEthernet1/0/1的報文復制一份，從端口Ten-GigabitEthernet1/0/2將報文轉發(fā)給數據監測設備。

為滿(mǎn)足該需求，可以配置本地鏡像組，其中源端口為T(mén)en-GigabitEthernet1/0/1，鏡像方向為入方向，目的端口為T(mén)en-GigabitEthernet1/0/2。

2. 遠程端口鏡像

當源設備與數據監測設備不直接相連時(shí)，與數據監測設備直接相連的設備作為目的設備，源設備需要將鏡像報文復制一份至目的設備，然后由目的設備將鏡像報文轉發(fā)至數據監測設備，這種方式實(shí)現的端口鏡像稱(chēng)為遠程端口鏡像。

對于遠程端口鏡像，鏡像源和鏡像目的分屬于不同設備上的不同鏡像組：鏡像源所在的鏡像組稱(chēng)為遠程源鏡像組，鏡像目的所在的鏡像組稱(chēng)為遠程目的鏡像組，而位于源設備與目的設備之間的設備則統稱(chēng)為中間設備。

由于源設備與目的設備之間通過(guò)二層網(wǎng)絡(luò )進(jìn)行連接，因此遠程端口鏡像又稱(chēng)為二層遠程端口鏡像。

圖1-2 二層遠程端口鏡像示意圖

如圖1-2所示，源設備將進(jìn)入源端口的報文復制一份給出端口，該端口將鏡像報文轉發(fā)給中間設備，再由中間設備在遠程鏡像VLAN中廣播，最終到達目的設備。

目的設備收到該報文后判別其VLAN ID，若與遠程鏡像VLAN的VLAN ID相同，就將鏡像報文通過(guò)目的端口轉發(fā)給數據監測設備。

三．本地鏡像配置任務(wù)簡(jiǎn)介

1.創(chuàng )建本地鏡像組

表1-1 創(chuàng )建本地鏡像組

2.在系統視圖下配置源端口

表1-2在系統視圖下配置源端口

3. 在接口視圖下配置源端口

表1-3 在接口視圖下配置源端口

4. 在系統視圖下配置目的端口

表1-4 在系統視圖下配置目的端口

5. 在接口視圖下配置目的端口

表1-5 在接口視圖下配置目的端口

6.利用遠程鏡像VLAN實(shí)現本地鏡像支持多個(gè)目的端口

傳統的本地鏡像配置方式僅支持在一個(gè)鏡像組中指定一個(gè)鏡像目的端口，如果用戶(hù)需要將一份監測數據同時(shí)發(fā)送到多個(gè)目的端口，可以利用遠程鏡像VLAN的原理來(lái)實(shí)現。

在二層遠程端口鏡像中，會(huì )使用到遠程鏡像VLAN，鏡像報文在遠程鏡像VLAN中以廣播的方式發(fā)送。

因此，可以利用遠程鏡像VLAN的原理，在本地設備上創(chuàng )建遠程源鏡像組，并指定遠程鏡像VLAN，同時(shí)將本設備上連接數據檢測設備的多個(gè)端口加入該VLAN。

完成以上配置后，鏡像報文在遠程鏡像VLAN中廣播時(shí)便可以從這些端口中發(fā)送出去，實(shí)現將鏡像報文輸出至多個(gè)端口的需求。

表1-6 利用遠程鏡像VLAN實(shí)現本地鏡像支持多個(gè)目的端口配置

四．二層遠程鏡像配置任務(wù)簡(jiǎn)介

1. 創(chuàng )建遠程目的鏡像組

表1-8 創(chuàng )建遠程目的鏡像組

2.配置目的端口

可以在系統視圖下為指定鏡像組配置目的端口，也可以在接口視圖下將當前接口配置為指定鏡像組的目的端口，二者的配置效果相同。

(1)在系統視圖下配置目的端口

表1-9 在系統視圖下配置目的端口

(2)在接口視圖下配置目的端口

表1-10 在接口視圖下配置目的端口

3.配置遠程鏡像VLAN

在配置遠程鏡像VLAN之前，需配置遠程鏡像VLAN所使用的靜態(tài)VLAN。

表1-11 配置遠程鏡像VLAN

4. 將目的端口加入遠程鏡像VLAN

表1-12 將目的端口加入遠程鏡像VLAN

5. 創(chuàng )建遠程源鏡像組

表1-13 創(chuàng )建遠程源鏡像組

6. 配置源端口

可以在系統視圖下為指定鏡像組配置一個(gè)或多個(gè)源端口，也可以在接口視圖下將當前接口配置為指定鏡像組的源端口，二者的配置效果相同。

(1)在系統視圖下配置源端口

表1-14 在系統視圖下配置源端口

(2)在接口視圖下配置源端口

表1-15 在接口視圖下配置源端口

7.配置出端口

可以在系統視圖下為指定鏡像組配置出端口，也可以在接口視圖下將當前接口配置為指定鏡像組的出端口，二者的配置效果相同。

(1)在系統視圖下配置出端口

表1-16 在系統視圖下配置出端口

(2)在接口視圖下配置出端口

表1-17 在接口視圖下配置出端口

8.配置遠程鏡像VLAN

在配置遠程鏡像VLAN之前，需配置遠程鏡像VLAN所使用的靜態(tài)VLAN。

表1-18 配置遠程鏡像VLAN

五．端口鏡像顯示維護

在完成上述配置后，在任意視圖下執行display命令可以顯示配置后鏡像組的運行情況，通過(guò)查看顯示信息驗證配置的效果。

表1-19 端口鏡像顯示和維護

六．本地端口鏡像配置舉例

1. 組網(wǎng)需求

Device通過(guò)端口Ten-GigabitEthernet1/0/1和Ten-GigabitEthernet1/0/2分別連接市場(chǎng)部和技術(shù)部，并通過(guò)端口Ten-GigabitEthernet1/0/3連接Server。

通過(guò)配置源端口方式的本地端口鏡像，使Server可以監控所有進(jìn)、出市場(chǎng)部和技術(shù)部的報文。

2. 組網(wǎng)圖

圖1-3 本地端口鏡像配置組網(wǎng)圖

3. 配置步驟

# 創(chuàng )建本地鏡像組1。

<Device> system-view

[Device] mirroring-group 1 local

# 配置本地鏡像組1的源端口為T(mén)en-GigabitEthernet1/0/1和Ten-GigabitEthernet1/0/2，目的端口為T(mén)en-GigabitEthernet1/0/3。

[Device] mirroring-group 1 mirroring-port ten-gigabitethernet 1/0/1 ten-gigabitethernet 1/0/2 both

[Device] mirroring-group 1 monitor-port ten-gigabitethernet 1/0/3

# 在目的端口Ten-GigabitEthernet1/0/3上關(guān)閉生成樹(shù)協(xié)議。

[Device] interface ten-gigabitethernet 1/0/3

[Device-Ten-GigabitEthernet1/0/3] undo stp enable

[Device-Ten-GigabitEthernet1/0/3] quit

4. 驗證配置

# 顯示所有鏡像組的配置信息。

[Device] display mirroring-group all

Mirroring group 1:

    Type: Local

    Status: Active

    Mirroring port:

        Ten-GigabitEthernet1/0/1  Both

        Ten-GigabitEthernet1/0/2  Both

    Monitor port: Ten-GigabitEthernet1/0/3

配置完成后，用戶(hù)可以通過(guò)Server監控所有進(jìn)、出市場(chǎng)部和技術(shù)部的報文。

六． 利用遠程鏡像VLAN實(shí)現本地鏡像支持多個(gè)目的端口典型配置舉例

1. 組網(wǎng)需求

三個(gè)部門(mén)A、B、C分別使用Ten-GigabitEthernet1/0/1～Ten-GigabitEthernet1/0/3端口接入DeviceA，現要求通過(guò)鏡像功能，使三臺數據檢測設備ServerA、ServerB、ServerC都能夠對三個(gè)部門(mén)發(fā)送和接收的報文進(jìn)行鏡像。

2. 組網(wǎng)圖

圖1-4利用遠程鏡像VLAN實(shí)現本地鏡像支持多個(gè)目的端口組網(wǎng)圖

3. 配置步驟

# 創(chuàng )建遠程源鏡像組1。

<DeviceA> system-view

[DeviceA] mirroring-group 1 remote-source

# 將接入部門(mén)A、B、C的三個(gè)端口配置為遠程源鏡像組1的源端口。

[DeviceA] mirroring-group 1 mirroring-port ten-gigabitethernet 1/0/1 to ten-gigabitethernet 1/0/3 both

# 將設備上任意未使用的端口（此處以Ten-GigabitEthernet1/0/5為例）配置為鏡像組1的反射口。

[DeviceA] mirroring-group 1 reflector-port ten-gigabitethernet 1/0/5

This operation may delete all settings made on the interface. Continue? [Y/N]:y

# 創(chuàng )建VLAN10作為鏡像組1的遠程鏡像VLAN，并將接入三臺數據檢測設備的端口加入VLAN10。

[DeviceA] vlan 10

[DeviceA-vlan10] port ten-gigabitethernet 1/0/11 to ten-gigabitethernet 1/0/13

[DeviceA-vlan10] quit

# 配置VLAN10作為鏡像組1的遠程鏡像VLAN。

[DeviceA] mirroring-group 1 remote-probe vlan 10

七．二層遠程端口鏡像配置舉例

1. 組網(wǎng)需求

在一個(gè)二層網(wǎng)絡(luò )中，Device A、Device B、DeviceC及Server如下圖所示連接。其中，Device A通過(guò)端口Ten-GigabitEthernet1/0/1連接市場(chǎng)部。

通過(guò)配置二層遠程端口鏡像，使Server可以監控所有進(jìn)、出市場(chǎng)部的報文。

2. 組網(wǎng)圖

圖1-5 二層遠程端口鏡像配置組網(wǎng)圖

3. 配置步驟

(1)配置Device C

# 配置端口Ten-GigabitEthernet1/0/1為T(mén)runk口，并允許VLAN 2的報文通過(guò)。

<DeviceC> system-view

[DeviceC] interface ten-gigabitethernet 1/0/1

[DeviceC-Ten-GigabitEthernet1/0/1] port link-type trunk

[DeviceC-Ten-GigabitEthernet1/0/1] port trunk permit vlan 2

[DeviceC-Ten-GigabitEthernet1/0/1] quit

# 創(chuàng )建遠程目的鏡像組2。

[DeviceC] mirroring-group 2 remote-destination

# 創(chuàng )建VLAN 2作為遠程鏡像VLAN。

[DeviceC] vlan 2

# 關(guān)閉VLAN 2的MAC地址學(xué)習功能。

[DeviceC-vlan2] undo mac-address mac-learning enable

[DeviceC-vlan2] quit

# 配置遠程目的鏡像組2的遠程鏡像VLAN為VLAN 2，目的端口為T(mén)en-GigabitEthernet1/0/2，在該端口上關(guān)閉生成樹(shù)協(xié)議并將其加入VLAN 2。

[DeviceC] mirroring-group 2 remote-probe vlan 2

[DeviceC] interface ten-gigabitethernet 1/0/2

[DeviceC-Ten-GigabitEthernet1/0/2] mirroring-group 2 monitor-port

[DeviceC-Ten-GigabitEthernet1/0/2] undo stp enable

[DeviceC-Ten-GigabitEthernet1/0/2] port access vlan 2

[DeviceC-Ten-GigabitEthernet1/0/2] quit

(2)配置Device B

# 創(chuàng )建VLAN 2作為遠程鏡像VLAN。

<DeviceB> system-view

[DeviceB] vlan 2

# 關(guān)閉VLAN 2的MAC地址學(xué)習功能。

[DeviceB-vlan2] undo mac-address mac-learning enable

[DeviceB-vlan2] quit

# 配置端口Ten-GigabitEthernet1/0/1為T(mén)runk口，并允許VLAN 2的報文通過(guò)。

[DeviceB] interface ten-gigabitethernet 1/0/1

[DeviceB-Ten-GigabitEthernet1/0/1] port link-type trunk

[DeviceB-Ten-GigabitEthernet1/0/1] port trunk permit vlan 2

[DeviceB-Ten-GigabitEthernet1/0/1] quit

# 配置端口Ten-GigabitEthernet1/0/2為T(mén)runk口，并允許VLAN 2的報文通過(guò)。

[DeviceB] interface ten-gigabitethernet 1/0/2

[DeviceB-Ten-GigabitEthernet1/0/2] port link-type trunk

[DeviceB-Ten-GigabitEthernet1/0/2] port trunk permit vlan 2

[DeviceB-Ten-GigabitEthernet1/0/2] quit

(3)配置Device A

# 創(chuàng )建遠程源鏡像組1。

<DeviceA> system-view

[DeviceA] mirroring-group 1 remote-source

# 創(chuàng )建VLAN 2作為遠程鏡像VLAN。

[DeviceA] vlan 2

# 關(guān)閉VLAN 2的MAC地址學(xué)習功能。

[DeviceA-vlan2] undo mac-address mac-learning enable

[DeviceA-vlan2] quit

# 配置遠程源鏡像組1的遠程鏡像VLAN為VLAN 2，源端口為T(mén)en-GigabitEthernet1/0/1，出端口為T(mén)en-GigabitEthernet1/0/2。

[DeviceA] mirroring-group 1 remote-probe vlan 2

[DeviceA] mirroring-group 1 mirroring-port ten-gigabitethernet 1/0/1 both

[DeviceA] mirroring-group 1 monitor-egress ten-gigabitethernet 1/0/2

# 配置端口Ten-GigabitEthernet1/0/2為T(mén)runk口，允許VLAN 2的報文通過(guò)，并在該端口上關(guān)閉生成樹(shù)協(xié)議。

[DeviceA] interface ten-gigabitethernet 1/0/2

[DeviceA-Ten-GigabitEthernet1/0/2] port link-type trunk

[DeviceA-Ten-GigabitEthernet1/0/2] port trunk permit vlan 2

[DeviceA-Ten-GigabitEthernet1/0/2] undo stp enable

[DeviceA-Ten-GigabitEthernet1/0/2] quit

4. 驗證配置

# 顯示Device A上所有鏡像組的配置信息。

[DeviceA] display mirroring-group all

Mirroring group 1:

    Type: Remote source

    Status: Active

    Mirroring port:

        Ten-GigabitEthernet1/0/1  Both

    Remote probe VLAN: 2

# 顯示Device C上所有鏡像組的配置信息。

[DeviceC] display mirroring-group all

Mirroring group 2:

    Type: Remote destination

    Status: Active

    Monitor port: Ten-GigabitEthernet1/0/2

    Remote probe VLAN: 2

配置完成后，用戶(hù)可以通過(guò)Server監控所有進(jìn)、出市場(chǎng)部的報文。