文档适用产品型号：XCM8806、XCM8810

文档说明：

端口镜像功能是大多数网络监控，排除故障的重要组成部分。依靠端口镜像功能，网络管理者能通过监测、下载、分析数据包了解到网络情况，解决网络中存在的问题。

XCM8800 系列交换机不仅提供了常用的端口镜像功能，同时还能够通过 ACL 匹配需要分析的流量实现更细化的镜像功能，大大提高数据包分析的精度。

文档适用性：

本文档主要介绍XCM8800本地镜像功能，对于远程镜像功能有所涉及，但不作具体介绍。

镜像规则与限制：

1. 当关闭镜像功能时，所有的过滤器不能被配置
2. 要改变监控端口，首先要移除所有的过滤器
3. 不能镜像监控端口
4. 镜像配置被移除，当下列情况发生：
   • 删除一个VLAN（对于所有基于VLAN的过滤）
   • 删除一个VLAN的端口（对于所有VLAN，基于端口的过滤）
   • 不配置一个插槽（slot）（对于在该插槽上面的所有基于端口的过滤）
5. 任何的镜像端口也可以为负载共享（或链路聚合）而启用，然而，负载共享组的每个单独端口必须被明确配置为镜像。
6. 镜像过滤器不限制在一个模块上，可以在多个模块上起用。
7. 不能使用管理端口进行镜像
8. 如果你需要镜像的标签包是1519到1522字节，在1对多的镜像情况下，需要启用JUMBO帧和LOOPBACK 端口。
   
9. LOOPBACK口是一个实际的物理端口，是专用于镜像端口，不能用于其它配置，当被指定时，LED会发亮。
   
10. 由于某些限制，下面类型的包在使用出站VLAN将不能被出口镜像或者基于虚拟端口的镜像。
    • CPU产生的包
    • 2层多播流量
11. 当流量接近线速时，镜像速率可能下降，由于镜像是复制流量，当负载高时，可用带宽将优先用于常规流量，而不是镜像流量。

基本镜像功能配置步骤与命令：

步骤1：配置镜像模式

#configure mirroring mode [standard/enhanced]
standard \\标准模式下，当一个数据包匹配入站镜像过滤器和出站镜像过滤器时，只能镜像到一份数据包。
enhanced \\增强模式下，当一个数据包匹配入站镜像过滤器和出站镜像过滤器时，会同时镜像到两份数据包。在使用远程镜像功能时，必须起用增强模式。

步骤2：配置监控端口（流量副本传输到此端口）

#enable mirroring to port M \\镜像到一个端口
#enable mirroring to port-list X-Y loopback-port Z
\\镜像到多个端口，loopback端口用于过渡流量使用，必须是模块上一个真实存在的物理端口，该端口被配置为loopback后，灯会亮起。

步骤3：配置被监控端口(过滤器)

#configure mirroring add [vlan |port ] [ingress/egress]

注意：

1. 基于VLAN的镜像只能将被监控端口的入站的数据包送到镜像端口上。
2. 以上的M，X，Y，Z等分别代表不同的物理端口号

配置实例：

我们尝试使用以上拓扑，对PC1----XCM8810----PC2设备的ICMP流量进行监控：

基本配置：

1. PC1 的IP：10.1.1.100 网关：10.1.1.1
2. PC2 的IP：10.1.2.100 网关：10.1.2.1
3. XCM8810交换机起用三层交换特性，起用VLAN特性，起用VLAN间路由特性：
   VLAN SAM-1 的IP：10.1.1.1 分配的端口有8：10
   VLAN SAM-2 的IP：10.1.2.1 分配的端口有8：12
4. Monitor laptop 是监控入笔记本 安装有Wireshark的免费流量监控软件，接到XCM8810的8：14号端口上。
5. 端口表示为“插槽:端口号” 例如：8:10代表从上往下数第八个插槽第十个端口。

以下给出三层交换机上面的基本 VLAN 等的配置：

#create vlan sam-1
#create vlan sam-2
#configure vlan sam-1 tag 500
#configure vlan sam-2 tag 1000
#configure vlan default delete ports 8:10,8:12,8:14
#configure vlan sam-1 add ports 8:10 untagged
#configure vlan sam-2 add ports 8:12 untagged
#configure vlan sam-1 ipaddress 10.1.1.1 255.255.255.0
#configure vlan sam-2 ipaddress 10.1.2.1 255.255.255.0
#enable ipforwarding vlan sam-1
#enable ipforwarding vlan sam-2
#save

以下开始配置端口镜像功能 — 基本型：
#configure mirroring mode standard
#enable mirroring to port 8:14
#configure mirroring add port 8:10                //默认情况下不选，则是应用在ingress、egress两个方向
#configure mirroring add port 8:12

通过PC1的长时间PING进行测试： ping 10.1.2.100 –t,通过LAPTOP上面的wireshark抓包。

以下分别是将在vlan、port作端口镜像时应用到端口8:10和8:12抓icmp包情况：

通过ACL方式实现端口镜像功能：

1. 步骤1：编写ACL，将ACL中的ACTION项填写为Mirroring。具体原理请参考文档：
   《XCM8800 系列交换机 ACL 基础介绍》
2. 步骤2：配置镜像模式
3. 步骤3：配置监控端口（流量副本传输到此端口）
4. 步骤4：将ACL配置在需要被监控的端口上。具体原理请参考文档：
   《XCM8800 系列交换机 ACL 基础介绍》

配置实例：

仍然以上例为基础，使icmp流量作为需要监控的对象，向镜像监控端口发送流量。

vlan 配置请参考上例中的配置语句

以下是ACL的policy配置：
#edit policy sam
entry sama {
if {
protocol icmp;
source-address 10.1.1.0/24;
icmp-type echo-request;
destination-address 10.1.2.0/24;
}
then {
mirror;count number;
} }

以下配置开启端口镜像功能：
#configure mirroring mode standard
#enable mirroring to port 8:14

以下配置ACL到端口8:10和8:12：
configure access-list sam ports 8:10,8:12

通过PC1的长时间PING进行测试： ping 10.1.2.100 –t,通过LAPTOP上面的wireshark抓包。
以下分别是通过ACL将在vlan、port作端口镜像时应用到端口8:10和8:12抓icmp包情况：

以下是检查ACL或镜像、删除镜像常用命令：

以下例子是show mirroring 命令下的状态：

以上图片中，可以得出：

1. 镜像的模式为标准。
2. 端口8:13为监控端口，端口上没有正常连接或没有连接网线。
3. 有两个过滤器
4. 过滤器分别配置到端口 8：10和8：12的入站方向