端口鏡像是將指定端口（源端口）、VLAN（源VLAN）或CPU（源CPU）的報文復制一份到其它端口（目的端口），目的端口會與數據監測設備相連，用戶利用這些數據監測設備來分析復制到目的端口的報文，進行網絡監控和故障排除。

為了更好地理解后面的內容，首先介紹一下端口鏡像中涉及的基本概念。

源端口是被監控的端口，用戶可以對通過該端口的報文進行監控和分析。

源VLAN是被監控的VLAN，用戶可以對通過該VLAN所有端口的報文進行監控和分析。

源CPU是被監控單板上的CPU，用戶可以對通過該CPU的報文進行監控和分析。

目的端口也可稱為監控端口，該端口將接收到的報文轉發到數據監測設備，以便對報文進行監控和分析。

端口鏡像的方向分為三種：

l              入方向：僅對從源端口/源VLAN/源CPU收到的報文進行鏡像。

l              出方向：僅對從源端口/源VLAN/源CPU發出的報文進行鏡像。

l              雙向：對從源端口/源VLAN/源CPU收到和發出的報文都進行鏡像。

根據使用范圍的不同，端口鏡像可分為以下三種類型：

l              本地端口鏡像：可以將設備源端口/源VLAN/源CPU上的報文復制到本設備的目的端口，用于監控和分析這些報文。

l              跨二層遠程端口鏡像：可以將本設備源端口/源VLAN/源CPU上的報文跨越二層網絡復制到另一臺設備的目的端口，用于監控和分析這些報文。

l              跨三層遠程端口鏡像：可以將本設備源端口/源VLAN/源CPU上的報文跨越三層網絡復制到另一臺設備的目的端口，用于監控和分析源這些報文。

端口鏡像通過鏡像組的方式實現，鏡像組可以分為本地鏡像組、遠程源鏡像組和遠程目的鏡像組三類。

本地端口鏡像可以對所有報文（包括協議報文和數據報文）進行鏡像，它通過本地鏡像組的方式實現，即源端口/源VLAN中的端口/源CPU和目的端口在同一個本地鏡像組中，設備將源端口（或源VLAN）的報文復制一份并轉發到目的端口。

如圖 1所示，源端口/源VLAN/源CPU的報文被鏡像到目的端口，這樣，連接在目的端口上的數據監測設備就可以對這些報文進行監控和分析。

本地鏡像組支持跨板鏡像，即目的端口和源端口/源VLAN中的端口/源CPU可以在同一設備的不同單板上。

跨二層遠程端口鏡像可以對協議報文之外的所有報文進行鏡像，它通過遠程源鏡像組和遠程目的鏡像組互相配合的方式實現。

（支持反射端口的設備）

所示，用戶在源設備上創建遠程源鏡像組，在目的設備上創建遠程目的鏡像組。源設備將源端口/源VLAN/源CPU的報文復制一份后，將其通過反射端口在遠程鏡像VLAN中廣播，經由中間設備發送至目的設備。目的設備收到該報文后，若其VLAN ID與遠程目的鏡像組的遠程鏡像VLAN的VLAN ID相同，就將其轉發至目的端口。這樣，連接在目的端口上的數據監測設備就可以對源設備上源端口/源VLAN/源CPU的報文進行監控和分析。

如圖 3所示，用戶在源設備上創建遠程源鏡像組，在目的設備上創建遠程目的鏡像組。源設備將源端口/源VLAN/源CPU的報文復制一份后，將其通過出端口在遠程鏡像VLAN中廣播，經由中間設備發送至目的設備。目的設備收到該報文后，若其VLAN ID與遠程目的鏡像組的遠程鏡像VLAN的VLAN ID相同，就將其轉發至目的端口。這樣，連接在目的端口上的數據監測設備就可以對源設備上源端口/源VLAN/源CPU的報文進行監控和分析。

l    用戶需要確保遠程鏡像VLAN內源設備到目的設備間二層網絡的互通性。

l    由于源端口/源VLAN/源CPU的報文將被在源設備的遠程鏡像VLAN中廣播，因此可通過把源設備上的其它端口加入遠程鏡像VLAN的方式，實現本地端口鏡像的功能。

在鏡像報文離開源設備到達遠程目的設備過程中，用戶應確保鏡像報文中VLAN ID的正確性，如果該VLAN ID被修改或刪除，跨二層遠程鏡像功能將失效。

跨三層遠程端口鏡像可以對協議報文之外的所有報文進行鏡像，它通過遠程源鏡像組、遠程目的鏡像組和GRE隧道互相配合的方式實現。

如圖 4所示，在源設備上，源端口/源VLAN/源CPU的報文被鏡像到Tunnel接口（作為其目的端口），然后通過GRE隧道發送至目的設備，目的設備在通過Tunnel接口（作為其源端口）將報文轉發至其目的端口。這樣，連接在目的端口上的數據監測設備就可以對源設備上源端口/源VLAN/源CPU的報文進行監控和分析。