镜像配置注意事项

不支持二次镜像，即在同一个设备上不支持对镜像报文再次进行镜像。

假设设备A的接口Port1将接收到的报文镜像到设备A的观察端口Port2，那么无法再将Port2出方向报文进行镜像。

不支持在B系列单板的Eth-Trunk接口下配置出方向流镜像。

支持跨板镜像，即镜像端口和观察端口位于不同槽位的单板。

在集群环境下，支持跨成员交换机镜像，即镜像端口和观察端口位于不同的成员交换机；如果观察端口有多个，观察端口可以分布在不同的成员交换机上。

支持Eth-Trunk接口作为观察端口，Eth-Trunk接口最多只能配置8个成员端口，成员端口可以分布在不同的单板或成员交换机上；如果超过8个成员端口，镜像的流量也只会向其中的8个成员端口转发。

LE1D2S04SEC0单板、LE1D2X32SEC0单板、LE1D2H02QEC0单板和X系列单板不支持将一个物理端口同时配置为观察端口和镜像端口。

出方向流镜像仅能镜像到已知单播报文。

如果镜像的是出方向报文，镜像报文与出方向的报文可能不一致。因为出方向的原始报文在进行镜像操作之后，才进行其他转发操作。比如原始报文需要修改DSCP优先级，在修改前，就已经被镜像到了观察端口。

观察端口专门用于镜像报文的转发，因此不要在上面配置其他业务，防止镜像报文与其他业务的数据报文在观察端口上同时转发会互相影响。尤其是当某一接口为Eth-Trunk接口的成员接口时，不要配置该成员接口为观察端口，如果确实需要，请确保该成员接口所承载的业务流量以及镜像流量占用的带宽未超过该接口带宽。

在设备上应用镜像功能时，如果镜像过多，会占用较多的设备内部转发带宽，影响其他业务转发。另外，如果镜像端口的带宽大于观察端口的带宽，比如，镜像端口的带宽是1000Mbit/s，观察端口的带宽是100Mbit/s，会导致观察端口因带宽不足而不能及时转发全部的镜像报文，发生丢包。

在配置二层远程镜像时，建议不要用观察端口绑定的VLAN进行其他业务转发。当观察端口与监控设备之间存在中间网络设备时，需要在中间网络设备的VLAN（观察端口绑定的VLAN）上执行命令mac-address learning disable关闭MAC地址学习功能，并在系统视图下执行命令undo mac-address vlan vlan-id删除该VLAN已学习到的所有MAC地址。

批量配置的观察端口可以分布在不同类型的单板上。

在主控板带LE0MFSUA插卡或主控板为LH2D2SRUDC00的设备上配置RTP Snoop测试例、BFD或MPLS OAM功能时，会占用一个观察端口资源。

观察端口在阻塞状态下也可以转发镜像报文。

在配置流镜像时，如果流分类引用的ACL规则配置了deny参数，对于LE1D2S04SEC0单板、LE1D2X32SEC0单板、LE1D2H02QEC0单板和X系列单板，报文不能被镜像且原始报文也会被丢弃；对于其他单板，报文可以被镜像，但是原始报文会被丢弃。因此如果只需要镜像指定业务报文，所有ACL规则里均配置permit参数即可。