以下内容摘自今年4月全新上市Cisco/H3C交换机高级配置与管理技术手册》,其姊妹篇——《Cisco/H3C交换机配置与管理完全手册》(第2版)也正在全国热销中。

18.1.2 H3C交换机端口镜像原理

在上节已介绍到,在H3C以太网交换机中支持本地端口镜像、二层远程端口镜像和三层远程端口镜像三种。本节要介绍这三种端口镜像的镜像原理。

1. 本地端口镜像原理

对于本地端口镜像,镜像源和镜像,目的都属于同一台设备上的同一个镜像组,该镜像组就称为本地镜像组。本地端口镜像通过本地镜像组的方式实现,即源端口和目的端口在同一个本地镜像组中,设备将源端口的报文复制一份并转发到目的端口。

如图18-2所示,源端口(GE3/0/1)的报文被镜像到目的端口(GE3/0/2),这样连接在目的端口上的数据监测设备就可以对这些报文进行监控和分析。这是最简单的端口镜像方式。如果交换机上有多个单板,则本地镜像组支持跨板镜像,即目的端口和源端口可以在同一设备的不同单板上。

H3C交换机端口镜像原理_H3C

18-2本地端口镜像示例

 2. 二层远程端口镜像原理

二层远程端口镜像通过远程源镜像组和远程目的镜像组互相配合的方式实现。二层远程端口镜像的实现方式包括:固定反射端口方式、非固定反射端口方式和出端口方式。其中,固定反射端口方式和非固定反射端口方式也统称为反射端口方式,其区别在于:支持前者的设备内部有一个固定的反射端口,因此无需人工配置反射端口;而支持后者的设备则需人工配置反射端口。

如图18-3所示是反射端口方式的二层远程端口镜像示例。此时源设备将进入源端口GE3/0/1的报文复制一份给反射端口GE3/0/3,再由该反射端口将镜像报文在远程镜像VLAN中广播,最终镜像报文经由中间设备转发至目的设备。目的设备收到该报文后判别其VLAN ID,如果与远程镜像VLANVLAN ID相同,就将其转发至目的端口GE3/0/2,最后由该端口将镜像报文转发给数据监测设备。

H3C交换机端口镜像原理_端口镜像_02

18-3  反射端口方式的二层远程端口镜像示例

 如图18-4所示的是出端口方式的二层远程端口镜像示例。此时源设备将进入源端口GE3/0/1的报文复制一份给出端口GE3/0/2,该端口将镜像报文转发给中间设备,再由中间设备在远程镜像VLAN中广播,最终到达目的设备。目的设备收到该报文后判别其VLAN ID,如果与远程镜像VLANVLAN ID相同,就将其转发至目的端口GE3/0/2,最后由该端口将镜像报文转发给数据监测设备。

H3C交换机端口镜像原理_H3C_03

18-4  出端口方式的二层远程端口镜像示例

 【注意】中间设备需允许远程镜像VLAN通过,以确保源设备与目的设备之间的二层网络畅通。在镜像报文从源设备到达目的设备的过程中,请确保其VLAN ID不被修改或删除,否则二层远程镜像功能将失效。

对于反射口方式,由于镜像报文将被源设备在远程镜像VLAN中广播,因此通过将源设备上不属于镜像源的端口加入远程镜像VLAN,也可实现本地端口镜像的功能;而对于出端口方式则无此实现。

如果要在一个镜像组中对同一个端口收发的报文进行双向镜像时,需要在源设备、中间设备和目的设备上通过mac-address mac-learning disable命令用来关闭远程镜像VLANMAC地址学习功能,以保证镜像功能的正常进行。具体将在本章后面介绍。

3. 三层远程端口镜像原理

三层远程端口镜像通过远程源镜像组、远程目的镜像组和GRE隧道互相配合的方式实现,但仅少数H3C交换机系列支持,如S5500-EIS58S7500E等系列。在如图18-5所示,在源设备上源端口(GE2/0/1)的报文被镜像到Tunnel接口(作为其目的端口),然后通过GRE隧道发送至目的设备,目的设备再通过Tunnel接口(作为其源端口)将报文转发至其目的端口(2/0/2)。这样,目的设备上连接目的端口的数据监测设备就可以对源设备上源端口的报文进行监控和分析。

H3C交换机端口镜像原理_H3C_04

18-5 三层远程端口镜像示例