端口鏡像是將指定端口(源端口)�����、VLAN(源VLAN)或CPU(源CPU)的報文復(fù)制一份到其它端口(目的端口)�����,目的端口會與數(shù)據(jù)監(jiān)測設(shè)備相連��,用戶利用這些數(shù)據(jù)監(jiān)測設(shè)備來分析復(fù)制到目的端口的報文���,進行網(wǎng)絡(luò)監(jiān)控和故障排除�。
端口鏡像的基本概念
為了更好地理解后面的內(nèi)容���,首先介紹一下端口鏡像中涉及的基本概念��。
1. 源端口
源端口是被監(jiān)控的端口���,用戶可以對通過該端口的報文進行監(jiān)控和分析��。
2. 源VLAN
源VLAN是被監(jiān)控的VLAN����,用戶可以對通過該VLAN所有端口的報文進行監(jiān)控和分析。
3. 源CPU
源CPU是被監(jiān)控單板上的CPU�����,用戶可以對通過該CPU的報文進行監(jiān)控和分析��。
4. 目的端口
目的端口也可稱為監(jiān)控端口,該端口將接收到的報文轉(zhuǎn)發(fā)到數(shù)據(jù)監(jiān)測設(shè)備����,以便對報文進行監(jiān)控和分析。
5. 鏡像的方向
端口鏡像的方向分為三種:
l 入方向:僅對從源端口/源VLAN/源CPU收到的報文進行鏡像���。
l 出方向:僅對從源端口/源VLAN/源CPU發(fā)出的報文進行鏡像��。
l 雙向:對從源端口/源VLAN/源CPU收到和發(fā)出的報文都進行鏡像����。
根據(jù)使用范圍的不同�,端口鏡像可分為以下三種類型:
l 本地端口鏡像:可以將設(shè)備源端口/源VLAN/源CPU上的報文復(fù)制到本設(shè)備的目的端口,用于監(jiān)控和分析這些報文���。
l 跨二層遠(yuǎn)程端口鏡像:可以將本設(shè)備源端口/源VLAN/源CPU上的報文跨越二層網(wǎng)絡(luò)復(fù)制到另一臺設(shè)備的目的端口�,用于監(jiān)控和分析這些報文�。
l 跨三層遠(yuǎn)程端口鏡像:可以將本設(shè)備源端口/源VLAN/源CPU上的報文跨越三層網(wǎng)絡(luò)復(fù)制到另一臺設(shè)備的目的端口,用于監(jiān)控和分析源這些報文����。
端口鏡像的實現(xiàn)方式
端口鏡像通過鏡像組的方式實現(xiàn),鏡像組可以分為本地鏡像組�、遠(yuǎn)程源鏡像組和遠(yuǎn)程目的鏡像組三類�。
1. 本地端口鏡像實現(xiàn)方式
本地端口鏡像可以對所有報文(包括協(xié)議報文和數(shù)據(jù)報文)進行鏡像����,它通過本地鏡像組的方式實現(xiàn),即源端口/源VLAN中的端口/源CPU和目的端口在同一個本地鏡像組中��,設(shè)備將源端口(或源VLAN)的報文復(fù)制一份并轉(zhuǎn)發(fā)到目的端口��。
如圖 1所示�����,源端口/源VLAN/源CPU的報文被鏡像到目的端口��,這樣�,連接在目的端口上的數(shù)據(jù)監(jiān)測設(shè)備就可以對這些報文進行監(jiān)控和分析。
本地鏡像組支持跨板鏡像�����,即目的端口和源端口/源VLAN中的端口/源CPU可以在同一設(shè)備的不同單板上���。
2. 跨二層遠(yuǎn)程端口鏡像實現(xiàn)方式
跨二層遠(yuǎn)程端口鏡像可以對協(xié)議報文之外的所有報文進行鏡像,它通過遠(yuǎn)程源鏡像組和遠(yuǎn)程目的鏡像組互相配合的方式實現(xiàn)��。
(支持反射端口的設(shè)備)
所示,用戶在源設(shè)備上創(chuàng)建遠(yuǎn)程源鏡像組�,在目的設(shè)備上創(chuàng)建遠(yuǎn)程目的鏡像組。源設(shè)備將源端口/源VLAN/源CPU的報文復(fù)制一份后�,將其通過反射端口在遠(yuǎn)程鏡像VLAN中廣播,經(jīng)由中間設(shè)備發(fā)送至目的設(shè)備����。目的設(shè)備收到該報文后,若其VLAN ID與遠(yuǎn)程目的鏡像組的遠(yuǎn)程鏡像VLAN的VLAN ID相同���,就將其轉(zhuǎn)發(fā)至目的端口���。這樣,連接在目的端口上的數(shù)據(jù)監(jiān)測設(shè)備就可以對源設(shè)備上源端口/源VLAN/源CPU的報文進行監(jiān)控和分析���。
如圖 3所示����,用戶在源設(shè)備上創(chuàng)建遠(yuǎn)程源鏡像組����,在目的設(shè)備上創(chuàng)建遠(yuǎn)程目的鏡像組。源設(shè)備將源端口/源VLAN/源CPU的報文復(fù)制一份后���,將其通過出端口在遠(yuǎn)程鏡像VLAN中廣播��,經(jīng)由中間設(shè)備發(fā)送至目的設(shè)備�。目的設(shè)備收到該報文后,若其VLAN ID與遠(yuǎn)程目的鏡像組的遠(yuǎn)程鏡像VLAN的VLAN ID相同��,就將其轉(zhuǎn)發(fā)至目的端口�����。這樣����,連接在目的端口上的數(shù)據(jù)監(jiān)測設(shè)備就可以對源設(shè)備上源端口/源VLAN/源CPU的報文進行監(jiān)控和分析。
l 用戶需要確保遠(yuǎn)程鏡像VLAN內(nèi)源設(shè)備到目的設(shè)備間二層網(wǎng)絡(luò)的互通性���。
l 由于源端口/源VLAN/源CPU的報文將被在源設(shè)備的遠(yuǎn)程鏡像VLAN中廣播�,因此可通過把源設(shè)備上的其它端口加入遠(yuǎn)程鏡像VLAN的方式��,實現(xiàn)本地端口鏡像的功能����。
在鏡像報文離開源設(shè)備到達遠(yuǎn)程目的設(shè)備過程中����,用戶應(yīng)確保鏡像報文中VLAN ID的正確性���,如果該VLAN ID被修改或刪除,跨二層遠(yuǎn)程鏡像功能將失效�。
3. 跨三層遠(yuǎn)程端口鏡像實現(xiàn)方式
跨三層遠(yuǎn)程端口鏡像可以對協(xié)議報文之外的所有報文進行鏡像,它通過遠(yuǎn)程源鏡像組����、遠(yuǎn)程目的鏡像組和GRE隧道互相配合的方式實現(xiàn)。
如圖 4所示�����,在源設(shè)備上����,源端口/源VLAN/源CPU的報文被鏡像到Tunnel接口(作為其目的端口),然后通過GRE隧道發(fā)送至目的設(shè)備��,目的設(shè)備在通過Tunnel接口(作為其源端口)將報文轉(zhuǎn)發(fā)至其目的端口�����。這樣����,連接在目的端口上的數(shù)據(jù)監(jiān)測設(shè)備就可以對源設(shè)備上源端口/源VLAN/源CPU的報文進行監(jiān)控和分析�����。
