一、相关需求

随着运营商、教育网VPLS的相关组网日趋增加，运营商为了精细化整个网络的管理并对流量进行数据挖掘分析，就有了如下需求：

对异地的VPLS PE设备某个AC侧端口的流量进行镜像后，能将该流量通过VPLS网络转发到总部（核心设备）下接的流量识别与分析设备，由该服务器对流量进行分析。

如下图所示，用户要求对远端PE-1、PE-2的下行口流量镜像一份后通过VPLS网络转发到核心总部PE-3下挂的流量服务器分析。

二、需求分析

我们可以通过下面思路来实现该需求：

1、在异地PE上和总部核心PE设备上创建一个VSI（专门用于转发镜像流量的）并建立VPLS连接，并在该VSI里关闭MAC地址学习；

2、将PE下行口的流量镜像到本地一个专用端口（本端口仅做镜像使用，不能

与其他业务公用）；

3、在专用端口下配置loopback internal；并将该端口链路类型设置为Access类

型；使能普通QinQ功能；

4、在专用端口下将镜像的VSI与端口PVID的VLAN绑定。

下面，我们来分析下流量的转发过程：

1、异地PE上的业务流量镜像到本地专用端口；

2、因本地专用端口配置了内部打环，流量会从端口发出后又进入该端口。由于端口下配置QinQ功能，报文进入端口时，会打上端口PVID对应的外层VLAN标签；

3、专用端口下配置了镜像VSI与VLAN绑定关系，报文进入端口后进入VPLS转发。由于在本地VSI里没有报文目的MAC对应的转发表项，因此报文将在对应的VSI实例内广播；

4、报文通过VPLS隧道转发到核心节点PE，核心节点PE将该报文继续广播至连接服务器的端口；

5、在二层网络中广播到目的服务器

三、方案验证

3.1 验证组网：

PE1、PE2分别为核心PE、异地PE，PE1与PE2之间建立有一个业务VSI：VSI1。按照需求，需要将PE2下行口G6/0/3的出/入流量镜像后通过VPLS网络转发到核心PE1的G6/0/21接口下联设备进行分析。

3.2 关键配置

3.2.1 核心PE(SR88)上配置

#

mpls lsr-id 1.1.1.1

#

mpls

#

l2vpn

mpls l2vpn

#

mpls ldp

#

vsi 1 static //业务VSI

pwsignal ldp

vsi-id 100

peer 2.2.2.2

#

vsi 2 static //镜像专用VSI

pwsignal ldp

vsi-id 200

peer 2.2.2.2

#

interface LoopBack0

ip address 1.1.1.1 255.255.255.255

#

interface Vlan-interface1

#

interface Vlan-interface10

ip address 10.0.0.1 255.255.255.0

mpls

mpls ldp

#

interface GigabitEthernet6/0/17

port link-mode bridge

port link-type trunk

port trunk permit vlan 1 10

#

interface GigabitEthernet6/0/19 //业务VSI1下行口

port link-mode bridge

port link-type trunk

port trunk permit vlan 1 20

stp disable

service-instance 1

encapsulation s-vid 20

xconnect vsi 1

#

interface GigabitEthernet6/0/21 //镜像vsi2下行口，接收异地PE镜像过来的流量

port link-mode bridge

port access vlan 100

service-instance 1

encapsulation s-vid 100

xconnect vsi 2 access-mode ethernet

//配置成以太接入方式，将外层vlan100 剥掉保证镜像报文的vlan与原始报文一致

#

ospf 1

area 0.0.0.0

network 1.1.1.1 0.0.0.0

network 10.0.0.0 0.0.0.255

3.2.2 异地PE(S95E)上的配置

<S9505E>dis cu

mirroring-group 1 local //镜像组一将G6/0/3的流量镜像到G6/0/5

#

mpls lsr-id 2.2.2.2

#

mpls

#

l2vpn

mpls l2vpn

#

mpls ldp

#

vsi 1 static //业务VSI1

pwsignal ldp

vsi-id 100

peer 1.1.1.1

#

vsi 2 static //镜像VSI2

pwsignal ldp

vsi-id 200

peer 1.1.1.1

#

interface LoopBack0

ip address 2.2.2.2 255.255.255.255

#

interface Vlan-interface10

ip address 10.0.0.2 255.255.255.0

mpls

mpls ldp

#

interface GigabitEthernet6/0/1

port link-mode bridge

port link-type trunk

port trunk permit vlan 1 10

stp disable

#

interface GigabitEthernet6/0/3 //业务VSI1 下行口，镜像源端口

port link-mode bridge

port link-type trunk

port trunk permit vlan 1 20

stp disable

mirroring-group 1 mirroring-port both

service-instance 1

encapsulation s-vid 20

xconnect vsi 1

#

interface GigabitEthernet6/0/5 //镜像目的端口，

port link-mode bridge

port access vlan 100

loopback internal //配置内部环回

stp disable //关闭STP功能

qinq enable //开启QinQ功能

mirroring-group 1 monitor-port

service-instance 1

encapsulation s-vid 100

xconnect vsi 2

#

ospf 1

area 0.0.0.0

network 10.0.0.0 0.0.0.255

network 2.2.2.2 0.0.0.0

3.3 方案验证

在port1 给port 2打流：

在PE2的6/0/3的出方抓包：

在PE1的G6/0/21的出方向抓包：

3.4 注意事项

1、要注意镜像端口的流量大小，避免镜像流量在骨干网上传播时占满带宽；

2、如果存在多个异地PE，那保证只在异地PE与核心PE之间建立关于镜像VSI的VPLS连接，异地PE之间不建立源于镜像VSI的连接，避免镜像流量在异地PE之间转发而浪费带宽；

3、环回端口关闭STP功能；

4、如果核心PE与流量服务器之间连有二层交换机，建议在透传报文的二层交换机的相关VLAN上关闭MAC地址学习，在连服务器的二层交换机上配置远程镜像VLAN和目的端口．