针对vlan做镜像

可以，流镜像

当网络中的镜像源设备与镜像目的设备不在同一个二层网络域内时就需要跨三层的远程端口镜像来实现。

在一个三层网络中，Device A、Device B、Device C及Server如下图所示连接。其中，Device A通过端口Ten-GigabitEthernet1/0/1连接市场部。

通过配置三层远程流镜像，将报文封装在GRE隧道中，使得Server可以通过由GRE隧道传输的镜像报文来监控所有进、出市场部的报文。

如图所示，Devcie A与Device C设备通过多跳的三层网络互联，监控Server挂在了远端Device C的下面，现Server需要监控Device A下面1/0/1端口的流量。

在KMS 201703260010案例中我们介绍了三层远程端口镜像的配置方法，可以实现远程源设备与远程目的设备间三层互联的场景，但是其中需要远程源设备上配置GRE TUNNEL，业务环回组，若是VXLAN环境中还存在GRE TUNNEL接口所使用的loopback不能与VTEP的接口重复的限制。

下面我们来看下三层远程流镜像的配置方法，此种解决方案可以解决上述限制，但是出方向只能镜像到单播转发的报文。

配置步骤

(1)配置IP地址

请根据实际组网配置各接口的IP地址和子网掩码，并通过配置IGP路由协议，打通镜像源设备与镜像目的Server间的路由，具体配置过程略。

(2)配置Device A

# 创建用于匹配流量的ACL。

acl advanced 3000

rule 10 petmit ip

创建QOS策略，说明下下面配置中的4.4.4.2为镜像抓包Server的主机地址，而9.9.9.9为随意指定的ip地址，即使设备上不存在这个ip地址也不影响镜像报文通过该ip地址进行gre报文的封装。mirror-to中的出接口为连接镜像抓包Server方向的接口。

#

traffic classifier mirr operator and

 if-match acl 3000

#

traffic behavior mirr

 mirror-to interface Ten-GigabitEthernet1/0/2 destination-ip 4.4.4.2 source-ip 9.9.9.9

#

qos policy mirr

 classifier mirr behavior mirr

#

将QOS策略应用到物理接口上

#

interface Ten-GigabitEthernet1/0/1

 qos apply policy mirr inbound

qos apply policy mirr outbound

#

查看QOS的实际使用情况如下，可以看到该策略已经在相应的物理端口上生效了，其中Destination-MAC是到达Destination IP路由的下一跳接口MAC。

<H3C>display qos policy interface

Interface: Ten-GigabitEthernet1/0/1

  Direction: Inbound

  Policy: mirr

   Classifier: mirr

     Operator: AND

     Rule(s) :

      If-match acl 3000

     Behavior: mirr

      Mirroring:

        Mirror to the interface: Ten-GigabitEthernet1/0/2

                  Encapsulation: Destination IP address 4.4.4.2

                                 Source IP address 9.9.9.9

                                 Destination-MAC 84d9-31f5-7baf

Interface: Ten-GigabitEthernet1/0/1

  Direction: Outbound

  Policy: mirr

   Classifier: mirr

     Operator: AND

     Rule(s) :

      If-match acl 3000

     Behavior: mirr

      Mirroring:

        Mirror to the interface: Ten-GigabitEthernet1/0/2

                  Encapsulation: Destination IP address 4.4.4.2

                                 Source IP address 9.9.9.9

                                 Destination-MAC 84d9-31f5-7baf

Device B 和Device C无需多余配置，只要保证到4.4.4.2这台主机路由可达即可。

镜像配置成功后，在镜像server上抓取的报文如下：

从上述配置过程中来看，配置方法还是很简单的，仅仅需要在镜像源设备上进行配置qos的配置，并且也无需配置tunnel接口及业务环回组等配置，更无需占用独立的物理端口了。

但是三层远程流镜像也存在限制，目前已知的有如下的限制：

    1、出方向如同普通的流镜像一样，仅仅能镜像单播报文，比如像OSPF、ARP等报文无法抓取到。

    2、Outbound方向镜像时，并且设备处于hardware-resource vxlan borderXXX模式时无法镜像到三层转发的报文。