华为交换机的镜像概念

华为交换机的镜像概念

定义
镜像是指将指定源的报文复制一份到目的端口。指定源被称为镜像源，目的端口被称为观察端口，复制的报文被称为镜像报文。
镜像可以在不影响设备对原始报文正常处理的情况下，将其复制一份，并通过观察端口发送给监控设备，从而判断网络中运行的业务是否正常。

镜像示意图

镜像端口和观察端口
原始报文经过的端口被称为镜像端口；连接监控设备的端口被称为观察端口，用于将镜像报文发送给监控设备。根据监控设备在网络中位置的不同，可以将观察端口分为三类。
    本地观察端口：与监控设备直连的端口被称为本地观察端口。此时的镜像被称为本地镜像。
    二层远程观察端口：通过二层网络与监控设备相连的端口被称为二层远程观察端口。此时的镜像被称为二层远程镜像。
    三层远程观察端口：通过三层网络与监控设备相连的端口被称为三层远程观察端口。此时的镜像被称为三层远程镜像。关于三层远程镜像，请参见如何获取三层远程镜像（ERSPAN）插件和相关资料，本文档不再介绍。

观察端口专门用于镜像报文的转发，因此不要在上面配置其他业务，防止镜像报文与其他业务的数据报文在观察端口上同时转发会互相影响。
在设备上应用镜像功能时，如果镜像过多，会占用较多的设备内部转发带宽，影响其他业务转发。另外，如果镜像端口的带宽大于观察端口的带宽，比如，镜像端口的带宽是1000Mbit/s，观察端口的带宽是100Mbit/s，会导致观察端口因带宽不足而不能及时转发全部的镜像报文，发生丢包。

镜像源
镜像源可以是：
    端口：将指定端口接收或发送的报文复制到观察端口，此时的镜像被称为端口镜像。
    报文流：将符合指定规则的报文流复制到观察端口，此时的镜像被称为流镜像。

镜像方向
镜像方向是指将镜像端口指定方向的报文复制到观察端口，包括：
    入方向：将镜像端口接收的报文复制到观察端口上。此时的镜像被称为入方向镜像。
    出方向：将镜像端口发送的报文复制到观察端口上。此时的镜像被称为出方向镜像。
    双向：将镜像端口接收和发送的报文都复制到观察端口上。

两种镜像：端口镜像与流镜像

端口镜像
端口镜像是指将指定端口接收或发送的报文复制到观察端口。根据观察端口的不同，端口镜像分为本地端口镜像和二层远程端口镜像。
本地端口镜像
观察端口为本地观察端口的端口镜像，被称为本地端口镜像。如图所示，本地观察端口将镜像端口复制来的报文转发到与其直连的监控设备。

本地端口镜像示意图

二层远程端口镜像
观察端口为二层远程观察端口的端口镜像，被称为二层远程端口镜像。如图所示，二层远程端口镜像中镜像报文的具体转发过程如下。
    镜像端口将流经的原始报文复制到二层远程观察端口。
    二层远程观察端口收到镜像端口复制过来的镜像报文，在原始报文VLAN标签（VLAN 10）外层再添加一层VLAN标签（VLAN 20），以便将镜像报文向中间二层网络转发。值得注意的是，这一步不需要通过端口加入VLAN来完成，是直接通过配置二层远程观察端口来实现的。
    SwitchC在接收到二层远程观察端口发来的镜像报文后，就将镜像报文向监控设备转发。为了实现这一步，需要将中间二层设备（SwitchC）与二层远程观察端口、监控设备相连的端口加入VLAN 20，保证SwitchB、SwitchC与监控设备间能够二层通信。

二层远程镜像中，在二层远程观察端口与监控设备之间的二层网络中，需要预留一个VLAN专门用于转发镜像流量，如图2中的VLAN 20，该VLAN被称为二层远程镜像传输VLAN。
    配置镜像的交换机与监控设备之间的二层网络中的所有中间设备必须创建并配置相应接口加入该VLAN，以保证镜像报文能够通过该VLAN被泛洪到监控设备。
    必须在所有中间设备上关闭该VLAN的MAC地址学习功能。
    该VLAN不能和原始报文所属VLAN相同。

二层远程端口镜像示意图

流镜像
原理描述
流镜像是指将符合指定规则的报文流复制到观察端口。如图所示，镜像端口将匹配规则的业务流2复制到观察端口，然后观察端口再将复制的业务流2转发到监控设备。
同端口镜像类似，根据观察端口的不同，流镜像也可以分为本地流镜像和二层远程流镜像。
流镜像示意图

流镜像中的规则
流镜像属于流行为的一种，在设备上应用时，实际是在全局、VLAN或者端口上应用了包含流镜像行为的流策略。流镜像中的规则有两种配置方式：基于MQC和基于ACL。
    基于MQC方式：配置复杂，但是支持匹配的规则比基于ACL方式多，而且基于MQC方式的流镜像既支持入方向流镜像，也支持出方向流镜像。
    基于ACL方式：配置简单，但是支持匹配的规则比基于MQC方式少，而且基于ACL方式的流镜像仅支持入方向流镜像。
有关流策略的详细内容请参见《S12700, S12700E V200R020C10 配置指南-QoS》 MQC配置和基于ACL的简化流策略配置。
值得注意的是，二层远程流镜像中，如果包含流镜像行为的流策略应用在VLAN上，该VLAN和中间二层网络用于转发镜像报文的二层远程镜像VLAN不能相同。

镜像规格
    观察端口规格
    1：N镜像规格
    N：1镜像规格
    M：N镜像规格

观察端口规格
    配置方式
观察端口有单个配置和批量配置两种方式，而且这两种方式可同时配置。批量配置的观察端口相当于加入了一个观察端口组，镜像端口在配置时会绑定整个观察端口组。因此批量配置一般在1：N镜像时使用，主要是为了配置方便，如图所示。

批量配置观察端口示意图

使用情况计算方式
设备上剩余可用观察端口数量受镜像端口入方向和出方向绑定了多少个观察端口的影响。需要注意的是，镜像端口的入方向和出方向可绑定观察端口数量是分开计算的，即使入方向和出方向绑定的是同一个观察端口，入方向和出方向剩余可绑定观察端口数量都会各自减1。
如图所示，以ET1D2X12SSA0单板为例，ET1D2X12SSA0单板最多可配置6个观察端口，所有镜像端口入方向加起来最多可以绑定4个观察端口，出方向加起来最多可以绑定2个观察端口。如果镜像端口入方向和出方向绑定到了同一个观察端口，入方向可以绑定的剩余观察端口数量为3，出方向可以绑定的剩余观察端口数量为1，那么剩余可用观察端口数量为3+1=4，并非是6-1=5。
观察端口使用情况示意图

1：N镜像规格
概念
1：N镜像是指将一个镜像源的报文镜像到N个观察端口。
    对于流镜像，如需实现1：N镜像，只能借助观察端口组。观察端口组中包含多个物理接口，这些物理接口可以同时作为观察端口。
    对于端口镜像，如果镜像端口某一方向绑定的是观察端口组，则该方向不能再绑定其他的观察端口。

N：1镜像规格
N：1镜像是指将N个镜像源的报文镜像到一个观察端口，N无规格限制。
各类镜像方式中N的含义

M：N镜像规格
M：N镜像是指将M个镜像源的报文镜像到N个观察端口。M：N镜像相当于M个1：N镜像叠加，其中M无规格限制，N的规格请参考1：N镜像规格。
观察端口能否收到所有镜像源的镜像报文，不同单板实现不同。假设单位时间内（通常是1秒）所有镜像源的流量大小总和为X，观察端口数量为N，则某个单板镜像报文的流量总和为X * N。对于如下单板，镜像报文的流量总和不能超过指定的值Z，否则会导致部分镜像报文丢失。对于其他单板，所有镜像报文会可以正常处理，不会出现丢失现象。

配置观察端口
背景信息
观察端口专门用于镜像报文的转发，因此不要在上面配置其他业务，防止镜像报文与其他业务的数据报文在观察端口上同时转发会互相影响。
根据配置方式的不同，可以将观察端口分为两类：
    单个观察端口
    观察端口组：一般用于1：N镜像，既可以简化配置，还可以节约观察端口索引（一个观察端口组无论包含多少个端口，仅占用一个观察端口索引）。

镜像（列表、list、全）
http://www.zh-cjh.com/wenzhangguilei/1006.html
文章归类、所有文章列表、LISTLIST
http://www.zh-cjh.com/wangzhangonggao/2195.html