端口镜像原理与配置

端口镜像原理与配置课程目标：了解端口镜像的概念和分类掌握交换机和路由器端口镜像的基本配置i目录第1章端口镜像的概念...............................................................................................................................11.1端口镜像概述....................................................................................................................................11.2端口镜像的分类................................................................................................................................21.2.1基于端口的镜像......................................................................................................................31.2.2基于流的镜像..........................................................................................................................41.3路由器配置端口镜像的注意事项....................................................................................................4第2章基于端口的镜像基本配置...............................................................................................................72.1交换机基于端口的镜像....................................................................................................................72.1.1交换机基于端口的镜像基本配置..........................................................................................72.1.2交换机基于端口的镜像配置实例..........................................................................................72.2低端路由器基于端口的镜像............................................................................................................92.2.1低端路由器基于端口的镜像基本配置..................................................................................92.2.2低端路由器基于端口的镜像配置实例................................................................................102.3高端路由器基于端口的镜像..........................................................................................................112.3.1高端路由器基于端口的镜像基本配置................................................................................112.3.2高端路由器基于端口的镜像配置实例................................................................................112.4端口镜像的维护与诊断..................................................................................................................13第3章基于流的镜像基本配置.................................................................................................................153.1交换机基于流的镜像......................................................................................................................153.1.1交换机基于流的镜像基本配置............................................................................................153.1.2交换机基于流的镜像配置实例............................................................................................153.2路由器基于流的镜像......................................................................................................................173.2.1路由器基于流的镜像基本配置............................................................................................173.2.2路由器基于流的镜像配置实例............................................................................................171第1章端口镜像的概念知识点端口镜像的基本概念。端口镜像的分类。路由器配置端口镜像的注意事项。1.1端口镜像概述端口镜像是指将交换机或路由器上一个或多个端口（被镜像端口）的数据复制到一个指定的目的端口（监控端口）上，通过镜像可以在监控端口上获取这些被镜像端口的数据，以便进行网络流量分析、错误诊断等。被监控流量所在端口称为源端口，监控端口称为目的端口，目的端口直接与网络分析器相连。如图1.1-1所示，箭头表示PC-A到PC-B的数据流，箭头表示PC-B到PC-A的数据流。两种数据流都通过端口镜像到监控端口，由网络监控分析器进行分析和诊断。PC-APC-B网络监控分析器监控端口被镜像端口图1.1-1端口镜像的概念端口镜像原理与配置2ZXR10数据设备端口镜像应遵循规则：1．最多可支持8组端口镜像，每组最多可支持8个被镜像端口。2．在一块接口板中，最多只能配置一组端口镜像。3．支持跨接口板的端口镜像，即被镜像端口、监控端口可以在不同接口板上，此时交换机上最多只能配置一组端口镜像。4．可以只监控被镜像端口发送的数据，或只监控被镜像端口接收的数据。1.2端口镜像的分类端口镜像可以从功能、镜像模式和工作范围等方面进行分类。按照功能划分，端口镜像模块分为两种类型：基于端口的镜像端口镜像就是将被监控端口上的数据复制到指定的监控端口，对数据进行分析和监视。在基于端口的镜像模式下，如果源端口和目的端口类型相同，则不用改变链路层封装，直接使用原数据包的链路层转发；若不同，则将原来链路层以上的内容进行二次封装，使用目的接口的链路层封装。基于流的镜像流镜像就是将匹配访问控制列表规则的业务流复制到指定的监控端口，用于报文的分析和监视。在流镜像模式下，由于只对网络层的内容进行镜像，原数据链路层不再被使用，直接使用目的端口的封装类型。按照镜像模式划分，端口镜像分为：Mirror模式把监控流量的副本发送到目的端口进行分析，对原流量不产生任何影响。Redirect模式把监控流量本身发送到目的端口进行分析，导致原流量不能到达原目的地。按照工作范围划分，端口镜像可分为：第1章端口镜像的概念3本地镜像源端口和目的端口在同一个路由器上。远程镜像（基于GRE封装的端口镜像）源端口和目的端口分布在不同的路由器上，镜像流量经过GRE封装后可以实现跨路由器传输。端口镜像的处理过程大体可以划分为以下步骤：1．数据包采集基于端口的镜像，则连同数据链路层一起采集。基于流的镜像，则只采集到经过ACL过滤后的网络层的数据包。2．数据包复制在Mirror镜像模式下，采集到的数据包要复制一份，转发到镜像端口。在Redirect镜像模式下，采样到的流量被直接送到监控端口，而不再进行原转发处理。3．镜像包转发1.2.1基于端口的镜像基于端口的镜像是把被镜像端口的进出数据报文完全拷贝一份到镜像端口，这样来进行流量观测或者故障定位。如图1.2-1所示，ZXR10以太网交换机及ZXR10T600/T1200的2.8.21.B.21.P2及以后版本支持多对一的镜像，即将多个端口的报文复制到一个监控端口上。被镜像口镜像口业务数据镜像数据被镜像口镜像口镜像数据业务数据ZXR10以太网交换机ZXR10T600/T1200图1.2-1基于端口的镜像端口镜像原理与配置41.2.2基于流的镜像基于流镜像的交换机针对某些流进行镜像，每个连接都有两个方向的数据流，对于交换机来说，可以将这两个数据流分开进行镜像。如图1.2-2所示，一台交换机或路由器只支持配置一个监控端口。数据流1的业务数据fei_1/1fei_1/2fei_1/1fei_1/2数据流2的业务数据数据流1的镜像数据ZXR10以太网交换机ZXR10T600/T1200图1.2-2基于流的镜像1.3路由器配置端口镜像的注意事项高端路由器目前只有ZXR10T600/T1200的V2.8.21.B.21.P2以及其后的版本支持端口镜像，低端路由器中ZXR10ZSR支持端口镜像。最多可支持8组端口镜像会话，每组可支持8×8个镜像源端口。目前高端路由器仅支持以太接口的镜像，镜像目的端口需为以太实接口，低端路由器ZXR10ZSR支持从PPP接口镜像到以太接口。镜像目的端口只能作为镜像流量发送端口使用，不能再配置其他任何业务。发送方向流量的镜像仅支持镜像源与目的端口在同一接口板的情况。控制平面的报文镜像仅支持NPCIX线卡接收方向的情况。VPLS，VPWS流量不支持端口镜像。目前仅支持本地镜像，不支持远程镜像。在转发过程中需要被丢弃的报文在镜像时即使配置了ACL也不再受ACL规则控制。同时对发送和接收方向流量进行镜像时，ACL只能应用在其中一个方向。第1章端口镜像的概念5路由器的线卡性能有限，当线卡承载大流量数据转发时，需谨慎使用端口镜像功能。7第2章基于端口的镜像基本配置知识点基于端口的镜像基本配置及