大家好，我的网工朋友。

镜像是指将指定源的报文复制一份到目的端口。

那指定源又是啥？指定源被称为镜像源，目的端口被称为观察端口，复制的报文被称为镜像报文。

那……端口镜像、镜像端口、观察端口、MAC镜像、VLAN镜像、流镜像，这些都是啥？

你还在傻傻分不清吗？今天这篇就带你全部了解透。

今日文章阅读福利：《 图解网络系列全套书籍（电子版） 》

私信我，发送“图解”，即可获得网工行业经典读物《图解HTTP》《图解TCP/IP》《图解网络硬件》三件套。

01 镜像的概念

01 镜像端口和观察端口

如图1所示，原始报文经过的端口被称为镜像端口；连接监控设备的端口被称为观察端口，用于将镜像报文发送给监控设备。

根据监控设备在网络中位置的不同，可以将观察端口分为三类——

本地观察端口：

与监控设备直连的端口被称为本地观察端口。此时的镜像被称为本地镜像。

二层远程观察端口：

通过二层网络与监控设备相连的端口被称为二层远程观察端口。此时的镜像被称为二层远程镜像。

三层远程观察端口：

通过三层网络与监控设备相连的端口被称为三层远程观察端口。此时的镜像被称为三层远程镜像。

注意了，华为S系列盒式交换机不支持三层远程镜像。

观察端口专门用于镜像报文的转发，因此不要在上面配置其他业务，防止镜像报文与其他业务的数据报文在观察端口上同时转发会互相影响。

在设备上应用镜像功能时，如果镜像过多，会占用较多的设备内部转发带宽，影响其他业务转发。

另外，如果镜像端口的带宽大于观察端口的带宽，比如，镜像端口的带宽是1000Mbit/s，观察端口的带宽是100Mbit/s，会导致观察端口因带宽不足而不能及时转发全部的镜像报文，发生丢包。

02 镜像源

镜像源可以是——

端口：

将指定端口接收或发送的报文复制到观察端口，此时的镜像被称为端口镜像。

VLAN：

将指定VLAN内所有活动接口接收的报文复制到观察端口，此时的镜像被称为VLAN镜像。

MAC地址：

将指定VLAN内源MAC地址或目的MAC地址为指定MAC地址的报文复制到观察端口，此时的镜像被称为MAC镜像。

报文流：

将符合指定规则的报文流复制到观察端口，此时的镜像被称为流镜像。

03 镜像方向

镜像方向是指将镜像端口指定方向的报文复制到观察端口，包括——

入方向：

将镜像端口接收的报文复制到观察端口上。此时的镜像被称为入方向镜像。

出方向：

将镜像端口发送的报文复制到观察端口上。此时的镜像被称为出方向镜像。

双向：

将镜像端口接收和发送的报文都复制到观察端口上。

02 镜像原理

01 端口镜像

端口镜像是指将指定端口接收或发送的报文复制到观察端口。

根据观察端口的不同，端口镜像分为本地端口镜像和二层远程端口镜像。

1、本地端口镜像

观察端口为本地观察端口的端口镜像，被称为本地端口镜像。

如下图所示，本地观察端口将镜像端口复制来的报文转发到与其直连的监控设备。

2、二层远程端口镜像

观察端口为二层远程观察端口的端口镜像，被称为二层远程端口镜像。

如下图所示，二层远程端口镜像中镜像报文的具体转发过程如下：

第一步，镜像端口将流经的原始报文复制到二层远程观察端口。

第二步，二层远程观察端口收到镜像端口复制过来的镜像报文，在原始报文VLAN标签（VLAN 10）外层再添加一层VLAN标签（VLAN 20），以便将镜像报文向中间二层网络转发。

值得注意的是，这一步不需要通过端口加入VLAN来完成，是直接通过配置二层远程观察端口来实现的。

最后，SwitchC在接收到二层远程观察端口发来的镜像报文后，就将镜像报文向监控设备转发。

为了实现这一步，需要将中间二层设备（SwitchC）与二层远程观察端口、监控设备相连的端口加入VLAN 20，保证SwitchB、SwitchC与监控设备间能够二层通信。

二层远程镜像中，在二层远程观察端口与监控设备之间的二层网络中，需要预留一个VLAN专门用于转发镜像流量；

如上图中的VLAN 20，该VLAN被称为二层远程镜像传输VLAN。

配置镜像的交换机与监控设备之间的二层网络中的所有中间设备必须创建并配置相应接口加入该VLAN，以保证镜像报文能够通过该VLAN被泛洪到监控设备。

必须在所有中间设备上关闭该VLAN的MAC地址学习功能。

该VLAN不能和原始报文所属VLAN相同。

02 VLAN镜像

VLAN镜像是指将指定VLAN接收的报文复制到观察端口。

如下图所示，通过VLAN镜像，交换机仅将来自VLAN 10的报文镜像到监控设备。

同端口镜像类似，根据观察端口的不同，VLAN镜像也可以分为本地VLAN镜像和二层远程VLAN镜像。

值得注意的是：

交换机仅支持入方向VLAN镜像，即仅支持将指定VLAN接收的报文复制到观察端口。

二层远程VLAN镜像中，原始报文所属VLAN和中间二层网络用于转发镜像报文的二层远程镜像VLAN不能相同。

03 MAC镜像

MAC镜像是指将指定VLAN接收的源MAC地址或目的MAC地址为指定MAC地址的报文复制到观察端口。

MAC镜像提供了一种更加精确的镜像方式，用户可以对网络中特定设备的报文进行监控。

如下图所示，通过MAC镜像，交换机仅将来自HostA的报文镜像到监控设备。

同端口镜像类似，根据观察端口的不同，MAC镜像也可以分为本地MAC镜像和二层远程MAC镜像。

值得注意的是：

交换机仅支持将入方向MAC镜像，即仅支持将指定VLAN接收的源MAC地址或目的MAC地址为指定MAC地址的报文复制到观察端口。

二层远程MAC镜像中，原始报文所属VLAN和中间二层网络用于转发镜像报文的二层远程镜像VLAN不能相同。

04 流镜像

流镜像是指将符合指定规则的报文流复制到观察端口。

如下图所示，镜像端口将匹配规则的业务流2复制到观察端口，然后观察端口再将复制的业务流2转发到监控设备。

同端口镜像类似，根据观察端口的不同，流镜像也可以分为本地流镜像和二层远程流镜像。

流镜像属于流行为的一种，在设备上应用时，实际是在全局、VLAN或者端口上应用了包含流镜像行为的流策略。

流镜像中的规则有两种配置方式：基于MQC和基于ACL。

基于MQC方式：

配置复杂，但是支持匹配的规则比基于ACL方式多，而且基于MQC方式的流镜像既支持入方向流镜像，也支持出方向流镜像。

基于ACL方式：

配置简单，但是支持匹配的规则比基于MQC方式少，而且基于ACL方式的流镜像仅支持入方向流镜像。

值得注意的是，二层远程流镜像中，如果包含流镜像行为的流策略应用在VLAN上，该VLAN和中间二层网络用于转发镜像报文的二层远程镜像VLAN不能相同。

整理：老杨丨10年资深网络工程师，更多网工提升干货，请关注公众号：网络工程师俱乐部