思科路由器端口镜像的注意点介绍
一、根据使用范围的不同,端口镜像可分为以下三种类型
1、本地端口镜像:可以将设备源端口/源VLAN/源CPU上的报文复制到本设备的目的端口,用于监控和分析这些报文。
2、跨二层远程端口镜像:可以将本设备源端口/源VLAN/源CPU上的报文跨越二层网络复制到另一台设备的目的端口,用于监控和分析这些报文。
3、跨三层远程端口镜像:可以将本设备源端口/源VLAN/源CPU上的报文跨越三层网络复制到另一台设备的目的端口,用于监控和分析源这些报文。
二、端口镜像通过镜像组的方式实现,镜像组可以分为本地镜像组、远程源镜像组和远程目的镜像组三类
1、本地端口镜像可以对所有报文进行镜像,它通过本地镜像组的方式实现,即源端口/源VLAN中的端口/源CPU和目的端口在同一个本地镜像组中,设备将源端口的报文复制一份并转发到目的端口。
源端口/源VLAN/源CPU的报文被镜像到目的端口,这样,连接在目的端口上的数据监测设备就可以对这些报文进行监控和分析,本地镜像组支持跨板镜像,即目的端口和源端口/源VLAN中的端口/源CPU可以在同一设备的不同单板上。
2、跨二层远程端口镜像可以对协议报文之外的所有报文进行镜像,它通过远程源镜像组和远程目的镜像组互相配合的方式实现,用户在源设备上创建远程源镜像组,在目的设备上创建远程目的镜像组。源设备将源端口/源VLAN/源CPU的报文复制一份后,将其通过反射端口在远程镜像VLAN中广播,经由中间设备发送至目的设备。
目的设备收到该报文后,若其VLAN ID与远程目的镜像组的远程镜像VLAN的VLAN ID相同,就将其转发至目的端口,这样,连接在目的端口上的数据监测设备就可以对源设备上源端口/源VLAN/源CPU的报文进行监控和分析。
三、用户在源设备上创建远程源镜像组,在目的设备上创建远程目的镜像组。源设备将源端口/源VLAN/源CPU的报文复制一份后,将其通过出端口在远程镜像VLAN中广播,经由中间设备发送至目的设备,连接在目的端口上的数据监测设备就可以对源设备上源端口/源VLAN/源CPU的报文进行监控和分析。
1、用户需要确保远程镜像VLAN内源设备到目的设备间二层网络的互通性。
2、由于源端口/源VLAN/源CPU的报文将被在源设备的远程镜像VLAN中广播,因此可通过把源设备上的其它端口加入远程镜像VLAN的方式,实现本地端口镜像的功能,在镜像报文离开源设备到达远程目的设备过程中,用户应确保镜像报文中VLAN ID的正确性,如果该VLAN ID被修改或删除,跨二层远程镜像功能将失效。
3、跨三层远程端口镜像可以对协议报文之外的所有报文进行镜像,它通过远程源镜像组、远程目的镜像组和GRE隧道互相配合的方式实现,在源设备上,源端口/源VLAN/源CPU的报文被镜像到Tunnel接口,然后通过GRE隧道发送至目的设备,目的设备在通过Tunnel接口将报文转发至其目的端口。
最后给大家说一下,源端口是被监控的端口,用户可以对通过该端口的报文进行监控和分析,源VLAN是被监控的VLAN,用户可以对通过该VLAN所有端口的报文进行监控和分析,源CPU是被监控单板上的CPU,用户可以对通过该CPU的报文进行监控和分析。