第十四章、镜像技术和VRF

5、镜像的角色 

（镜像的角色有镜像端口，观察端口还有普通端口，普通端口的流量是不会被镜像到观察端口的，只有定义了某些端口是镜像端口的话，镜像端口和观察端口进行关联，那么这种情况下，设备就会把镜像端口的流量，有可能是出方向，有可能是入方向，也有可能是双向，都可以去复制一份放到观察端口，那么观察端口再连一个监控设备，就可以去对数据包进行分析了）
镜像端口：
镜像端口是被监控的端口，从镜像端口流经的所有报文或匹配流分类规则的报文将被复制到观察端口 
观察端口：
观察端口是连接监控设备的端口，用于输出从镜像端口复制过来的报文

端口镜像示意图

当观察端口和监控设备直连时称为本地镜像。当观察端口和监控设备间不是直连，而是通过二层网络或三层网络相连时称为远程镜像

• 目的端口通过二层网络与监控设备相连的场景称为二层远程镜像RSPAN（Remote Switched Port Analyzer）。
• 目的端口通过三层网络与监控设备相连的场景称为三层远程镜像ERSPAN（Encapsulated Remote Switched Port Analyzer）

如下图所示，远程端口镜像场景，观察端口将复制的报文发送给监控设备前会添加一层 Tag或进行封装，便于复制的报文能够穿过中间的二层网络/三层网络，到达监控设备

远程端口镜像示意图

其他类型的镜像方式原理与端口镜像类似，例如：

• 流镜像是将符合指定规则的报文流复制到观察端口
• VLAN镜像是将指定VLAN内所有活动接口的入方向/出方向的报文复制到观察端口
• MAC镜像将指定VLAN内源MAC地址或目的MAC地址为指定MAC地址的报文复制到观察端口

6、配置命令

配置本地端口镜像

配置远程端口镜像

二、VRF的原理和配置

VRF（Virtual Routing and Forwarding，虚拟路由转发）技术通过在一台三层转发设备上创建多张路由表实现数据或业务的隔离，常用于MPLS VPN、防火墙等一些需要实现隔离的应用场景

1、网络需求

通过部署ACL实现

增加核心交换机

通过VRF技术实现

2、VRF实现过程

部署VRF前

创建VPN实例

部署动态路由协议

常见的应用场景

3、VRP配置

4、配置实例

背景和需求

配置过程：