端口镜像原理及问题.docVIP

95交换机端口镜像实例及说明 端口镜像就是将被监控端口上的数据复制到指定的监控端口，对数据进行分析和监视。95支持多对一的镜像，即将多个端口的报文复制到一个监控端口上。 端口镜像的规格： 以太网交换机支持多对一的镜像，即将多个端口的报文复制到一个监控端口上； S8500支持跨板镜像，即监控端口和被监控端口可以位于不同的接口板； 对于非跨板镜像，一个接口板上所有同方向的镜像组只能配置一个监控端口； 对于跨板镜像，一个接口板上所有同方向的镜像组也只能配置一个监控端口（该监控端口在另一块接口板上）； 对于监控发送报文方向的端口镜像组，所有镜像组的被监控端口个数之和不能超过8个； 同一个端口可以作为不同镜像组的监控端口和被监控端口； 监控端口在同一块48GE非线速单板时，出入镜像的被监控端口必须相同。 对于监控发送报文方向的端口镜像组，所有镜像组的被监控端口个数之和不能超过8个 对GV48或GP48单板，配置端口镜像有以下特殊限制： 被监控端口在同一块GV48或GP48单板上的镜像组（包括入端口镜像和出端口镜像）只能有一个监控端口。 系统中配置的所有的端口镜像组，在同一块GV48或GP48单板上最多只能有一个监控端口。 XP4B、XP4CA单板端口镜像有以下特殊限制： 端口镜像不能跨板，并且只能在端口0～1或端口2~3之间，并且端口0～1和端口2～3各有一个入方向和出方向的监控端口（其他接口板是板内各有一个）。 端口镜像原理： 入镜像原理： 入镜像就是将从交换机某个端口进入的报文复制一份发送到分析端口，然后可以在分析端口对报文进行分析。入镜像在原理实现上比较简单，对交换芯片配置，指定具体被分析的端口，我们称之为入镜像端口，配置具体要分析报文的端口，我们称之为分析端口，这样从入镜像端口进来的报文会通过交换芯片的内部复制给分析端口，类似于报文二层转到到分析端口。 在S9500的实现上，每块单板只能有一个入镜像分析端口分以下几种情况： 1) 入报文和镜像报文vlan tag属性相同(要么都带tag或者都不带tag)，则镜像报文和原始报文相同。 2) 入报文带vlan tag，镜像报文不带vlan tag，则镜像报文除vlan tag之外与原始报文相同。 3) 入报文不带vlan tag，镜像报文带vlan tag，此时vlan为 出镜像示意图 1) 在报文入端口1，如果是广播、组播报文，置位；如果是单播报文，根据其单播目的查找出镜像源端口寄存器，如果该出口已标记其中，则置位； 2) 在报文出镜像源端口2，查看该端口是否使能出镜像，如果使能，，如果已置位则复制报文并转发到分析端口3，正常报文则从端口2出去； 3) 在镜像分析端口3，和端口属性报文； 入镜像主要和vlan tag相关，untag报文打入，在路由引擎中修改报文的vlan，导致入镜像的vlan与入端口的vlan不一致。 环境： 1）、从g5/3/3入报文，经过三层转发到g5/3/1， 2）、对g5/3/3入方向做一个端口镜像，分析端口为g5/3/4 情景一、 从g5/3/3打入Tag报文，将g5/3/4在VLAN 10中设为Tag 从分析端口出来的报文打了VLAN为20的Tag 情景二、 从g5/3/3打入Tag报文，将g5/3/4在VLAN 10中设为unTag 从分析端口出来的报文为unTag 情景三、 从g5/3/3打入unTag报文，将g5/3/4在VLAN 10中设为Tag 从分析端口出来的报文打了VLAN为1ag 情景四、 从g5/3/3打入unTag报文，将g5/3/4在VLAN 10中设为unTag 从分析端口出来的报文unTag 三层转发报文出镜像Trunkn 120 1 Access 110 110 1、入端口报文不带tag，分析端口报文带tag 120，出端口报文带tag 120 2、入端口报文带tag 110，分析端口报文带tag 110，出端口报文带tag 120 Access 110 110 Trunkn 120 1 Access 120 120 1、入端口报文不带tag，分析端口报文不带tag，出端口报文带tag 120 2、入端口报文带tag 110，分析端口报文不带tag，出端口报文带tag 120 Access 110 110 Trunkn 120 1 Trunkn 110 1 1、入端口报文不带tag，分析端口报文带tag 120，出端口报文带tag 120 2、入端口报文带tag 110，分析端口报文带tag 110，出端口报文带tag 120 Access 110 110 Trunkn 120 1 Trunkn 120 1 1、入端口报文不带tag，分析端口报文带tag 120，出端口报文带tag 120 2