所謂的端口鏡像是把交換機一個或多個端口的數(shù)據(jù)鏡像到一個或多個端口的方法，它的作是將指定端口、VLAN的報文復制一份到其它端口，目的端口會與數(shù)據(jù)監(jiān)測設(shè)備相連，為了方便對一個或多個網(wǎng)絡(luò)接口的流量進行分析，可以通過配置交換機來把一個或多個端口的數(shù)據(jù)轉(zhuǎn)發(fā)到某一個端口來實現(xiàn)對網(wǎng)絡(luò)的監(jiān)聽。

一、根據(jù)使用范圍的不同，端口鏡像可分為以下三種類型

1、本地端口鏡像：可以將設(shè)備源端口/源VLAN/源CPU上的報文復制到本設(shè)備的目的端口，用于監(jiān)控和分析這些報文。

2、跨二層遠程端口鏡像：可以將本設(shè)備源端口/源VLAN/源CPU上的報文跨越二層網(wǎng)絡(luò)復制到另一臺設(shè)備的目的端口，用于監(jiān)控和分析這些報文。

3、跨三層遠程端口鏡像：可以將本設(shè)備源端口/源VLAN/源CPU上的報文跨越三層網(wǎng)絡(luò)復制到另一臺設(shè)備的目的端口，用于監(jiān)控和分析源這些報文。

二、端口鏡像通過鏡像組的方式實現(xiàn)，鏡像組可以分為本地鏡像組、遠程源鏡像組和遠程目的鏡像組三類

●1、本地端口鏡像可以對所有報文進行鏡像，它通過本地鏡像組的方式實現(xiàn)，即源端口/源VLAN中的端口/源CPU和目的端口在同一個本地鏡像組中，設(shè)備將源端口的報文復制一份并轉(zhuǎn)發(fā)到目的端口。

源端口/源VLAN/源CPU的報文被鏡像到目的端口，這樣，連接在目的端口上的數(shù)據(jù)監(jiān)測設(shè)備就可以對這些報文進行監(jiān)控和分析，本地鏡像組支持跨板鏡像，即目的端口和源端口/源VLAN中的端口/源CPU可以在同一設(shè)備的不同單板上。

●2、跨二層遠程端口鏡像可以對協(xié)議報文之外的所有報文進行鏡像，它通過遠程源鏡像組和遠程目的鏡像組互相配合的方式實現(xiàn)，用戶在源設(shè)備上創(chuàng)建遠程源鏡像組，在目的設(shè)備上創(chuàng)建遠程目的鏡像組。源設(shè)備將源端口/源VLAN/源CPU的報文復制一份后，將其通過反射端口在遠程鏡像VLAN中廣播，經(jīng)由中間設(shè)備發(fā)送至目的設(shè)備。

目的設(shè)備收到該報文后，若其VLAN ID與遠程目的鏡像組的遠程鏡像VLAN的VLAN ID相同，就將其轉(zhuǎn)發(fā)至目的端口，這樣，連接在目的端口上的數(shù)據(jù)監(jiān)測設(shè)備就可以對源設(shè)備上源端口/源VLAN/源CPU的報文進行監(jiān)控和分析。

三、用戶在源設(shè)備上創(chuàng)建遠程源鏡像組，在目的設(shè)備上創(chuàng)建遠程目的鏡像組。源設(shè)備將源端口/源VLAN/源CPU的報文復制一份后，將其通過出端口在遠程鏡像VLAN中廣播，經(jīng)由中間設(shè)備發(fā)送至目的設(shè)備，連接在目的端口上的數(shù)據(jù)監(jiān)測設(shè)備就可以對源設(shè)備上源端口/源VLAN/源 CPU的報文進行監(jiān)控和分析。

●1、用戶需要確保遠程鏡像VLAN內(nèi)源設(shè)備到目的設(shè)備間二層網(wǎng)絡(luò)的互通性。

●2、由于源端口/源VLAN/源CPU的報文將被在源設(shè)備的遠程鏡像VLAN中廣播，因此可通過把源設(shè)備上的其它端口加入遠程鏡像VLAN的方式，實現(xiàn)本地端口鏡像的功能，在鏡像報文離開源設(shè)備到達遠程目的設(shè)備過程中，用戶應(yīng)確保鏡像報文中VLAN ID的正確性，如果該VLAN ID被修改或刪除，跨二層遠程鏡像功能將失效。

●3、跨三層遠程端口鏡像可以對協(xié)議報文之外的所有報文進行鏡像，它通過遠程源鏡像組、遠程目的鏡像組和GRE隧道互相配合的方式實現(xiàn)，在源設(shè)備上，源端口/源VLAN/源CPU的報文被鏡像到Tunnel接口，然后通過GRE隧道發(fā)送至目的設(shè)備，目的設(shè)備在通過Tunnel接口將報文轉(zhuǎn)發(fā)至其目的端口。

最后

源端口是被監(jiān)控的端口，用戶可以對通過該端口的報文進行監(jiān)控和分析，源VLAN是被監(jiān)控的VLAN，用戶可以對通過該VLAN所有端口的報文進行監(jiān)控和分析，源CPU是被監(jiān)控單板上的CPU，用戶可以對通過該CPU的報文進行監(jiān)控和分析。