小贝优选——交换机常用镜像配置步骤总结

此案例适用于小贝优选中的US300，US500，US600系列交换机。

镜像抓包是分析丢包和不通问题的一个好办法。镜像指的是通过将指定报文复制到连接监测设备的端口，使用户可以在监测设备上利用复制的报文对网络进行监控和分析；下面为镜像相关的一些基础概念：

      镜像源：指被监控的对象，可以是端口、CPU或符合一定特征的数据流。
      镜像目的端口：指连接审计服务器、个人电脑等监测设备的端口。
      入方向镜像：仅复制镜像源收到的报文。
      出方向镜像：仅复制镜像源发出的报文。
      双向镜像：同时复制收到和发出的报文。  

实际运维过程中经常遇到“抓包”操作，这就可以通过镜像实现，常用的镜像方法总结如下：

1.本地端口镜像

2.二层远程端口镜像

3.流镜像

1.本地端口镜像

本地端⼝镜像是指镜像源端⼝和⽬的端⼝处于同⼀台设备上。 ⽰例中，若需要交换机将进⼊FGE1/0/1的报⽂复制⼀份，从FGE1/0/2 将 报 ⽂ 转 发 给 监 测 设 备 ， 就可以配 置本地镜像组 ， 其中源端⼝为 FGE1/0/1，镜像⽅向为⼊⽅向，⽬的端⼝为FGE1/0/2，具体配置命令参考下⽅的配置举例。

2.二层远程端口镜像

远程端⼝镜像是指，镜像源端⼝和⽬的端⼝处于不同设备上。如果源设备与⽬的设备之间通过⼆层⽹络连接，则称为⼆层远程端⼝镜像，其实现包括反射端⼝⽅式和出端⼝⽅式。 这里给大家介绍一下反射端口方式。远程镜像VLAN是指将镜像报⽂从源设备传送⾄⽬的设备的专⽤VLAN。

该⽅法的实现过程为，源设备将进⼊镜像源的报⽂复制⼀份给反射端⼝，反射端⼝将镜像报⽂在远程镜像VLAN中⼴播。镜像报⽂经由中间设备 ⼴播转发⾄⽬的设备。⽬的设备收到该报⽂后判别其VLAN ID，若与远程镜像VLAN的VLAN ID相同，则将镜像报⽂通过⽬的端⼝转发给监测设备。

建议先配置⽬的设备，再配置中间设备，最后配置源设备，以保证镜像流量的正常转发。

3.流镜像

流镜像通过QoS实现，设备先通过流分类匹配待镜像的报⽂，再通过 流⾏为将符合条件的报⽂复制⾄指定⽬的地。该⽅式可以灵活配置报⽂的匹配条件，从⽽对报⽂进⾏精细区分，并将区分后的报⽂镜像到⽬的地。

注意事项：

1.目的端口不能使能生成树协议，否则会影响镜像功能的正常使用；

2.为了保证数据监测设备只对镜像报⽂进⾏分析，请将⽬的端⼝只⽤于端⼝镜像，不作其他⽤途；

3.当镜像功能不再使⽤时及时删除镜像配置，避免由于镜像残留配置导致端⼝拥塞；

4.远程镜像VLAN仅作为镜像VLAN，不能⽤作其他业务VLAN， 并保证仅必要的端⼝放通镜像VLAN；

5.设备上针对远程镜像VLAN，不能配置VLAN-interface虚接⼝，否则可能导致镜像报⽂上送CPU出现重复报⽂；

6.请选择设备上未被使⽤的端⼝作为反射端⼝，并不要在该端⼝上连接⽹线，否则会影响镜像功能的正常使⽤；

7.在将端⼝配置为反射端⼝时，该端⼝将恢复为缺省配置，该端⼝上不能再配置其他业务配置；

8.⼀个镜像组内只能配置⼀个反射端⼝，并且反射端⼝不能是聚合组及其成员端⼝；