端口镜像原理与配置.doc

端口镜像原理与配置 课程目标： 了解端口镜像的概念和分类 掌握交换机和路由器端口镜像的基本配置 目 录 第1章 端口镜像的概念 1 1.1 端口镜像概述 1 1.2 端口镜像的分类 2 1.2.1 基于端口的镜像 3 1.2.2 基于流的镜像 4 1.3 路由器配置端口镜像的注意事项 4 第2章 基于端口的镜像基本配置 7 2.1 交换机基于端口的镜像 7 2.1.1 交换机基于端口的镜像基本配置 7 2.1.2 交换机基于端口的镜像配置实例 7 2.2 低端路由器基于端口的镜像 9 2.2.1 低端路由器基于端口的镜像基本配置 9 2.2.2 低端路由器基于端口的镜像配置实例 10 2.3 高端路由器基于端口的镜像 11 2.3.1 高端路由器基于端口的镜像基本配置 11 2.3.2 高端路由器基于端口的镜像配置实例 11 2.4 端口镜像的维护与诊断 13 第3章 基于流的镜像基本配置 14 3.1 交换机基于流的镜像 14 3.1.1 交换机基于流的镜像基本配置 14 3.1.2 交换机基于流的镜像配置实例 14 3.2 路由器基于流的镜像 16 3.2.1 路由器基于流的镜像基本配置 16 3.2.2 路由器基于流的镜像配置实例 16 端口镜像的概念 ( 知识点 ( 端口镜像的基本概念。 ( 端口镜像的分类。 ( 路由器配置端口镜像的注意事项。 端口镜像概述 端口镜像是指将交换机或路由器上一个或多个端口（被镜像端口）的数据复制到一个指定的目的端口（监控端口）上，通过镜像可以在监控端口上获取这些被镜像端口的数据，以便进行网络流量分析、错误诊断等。 被监控流量所在端口称为源端口，监控端口称为目的端口，目的端口直接与网络分析器相连。 如图1.11所示，箭头表示PC-A到PC-B的数据流，箭头表示PC-B到PC-A的数据流。两种数据流都通过端口镜像到监控端口，由网络监控分析器进行分析和诊断。 图1.11 端口镜像的概念 ZXR10数据设备端口镜像应遵循规则： 1． 最多可支持8组端口镜像，每组最多可支持8个被镜像端口。 2． 在一块接口板中，最多只能配置一组端口镜像。 3． 支持跨接口板的端口镜像，即被镜像端口、监控端口可以在不同接口板上，此时交换机上最多只能配置一组端口镜像。 4． 可以只监控被镜像端口发送的数据，或只监控被镜像端口接收的数据。 端口镜像的分类 端口镜像可以从功能、镜像模式和工作范围等方面进行分类。 按照功能划分，端口镜像模块分为两种类型： ( 基于端口的镜像 端口镜像就是将被监控端口上的数据复制到指定的监控端口，对数据进行分析和监视。 在基于端口的镜像模式下，如果源端口和目的端口类型相同，则不用改变链路层封装，直接使用原数据包的链路层转发；若不同，则将原来链路层以上的内容进行二次封装，使用目的接口的链路层封装。 ( 基于流的镜像 流镜像就是将匹配访问控制列表规则的业务流复制到指定的监控端口，用于报文的分析和监视。 在流镜像模式下，由于只对网络层的内容进行镜像，原数据链路层不再被使用，直接使用目的端口的封装类型。 按照镜像模式划分，端口镜像分为： ( Mirror模式 把监控流量的副本发送到目的端口进行分析，对原流量不产生任何影响。 ( Redirect模式 把监控流量本身发送到目的端口进行分析，导致原流量不能到达原目的地。 按照工作范围划分，端口镜像可分为： ( 本地镜像 源端口和目的端口在同一个路由器上。 ( 远程镜像（基于GRE封装的端口镜像） 源端口和目的端口分布在不同的路由器上，镜像流量经过GRE封装后可以实现跨路由器传输。 端口镜像的处理过程大体可以划分为以下步骤： 1． 数据包采集 ( 基于端口的镜像，则连同数据链路层一起采集。 ( 基于流的镜像，则只采集到经过ACL过滤后的网络层的数据包。 2． 数据包复制 ( 在Mirror镜像模式下，采集到的数据包要复制一份，转发到镜像端口。 ( 在Redirect镜像模式下，采样到的流量被直接送到监控端口，而不再进行原转发处理。 3． 镜像包转发 基于端口的镜像 基于端口的镜像是把被镜像端口的进出数据报文完全拷贝一份到镜像端口，这样来进行流量观测或者故障定位。 如图1.21所示，ZXR10 以太网交换机及ZXR10 T600/T1200的2.8.21.B.21.P2及以后版本支持多对一的镜像，即将多个端口的报文复制到一个监控端口上。 图1.21 基于端口的镜像 基于流的镜像 基于流镜像的交换机针对某些流进行镜像，每个连接都有两个方向的数据流，对于交换机来说，可以将这两个数据流分开进行镜像。 如图1.22所示，一台交换机或路由器只支持配置一个监控端口。 图1.22 基于流的镜像 路由器配置端口镜