Возможные причины почему зеркалированный траффик отличается от реального
Причины почему собранный траффик с помощью traffic mirroring отличается от актуального траффика:
1. Для некоторых моделей устройств outbound traffic mirroring может копировать только known unicast пакеты, и не может копировать multicast, broadcast, и unknown unicast пакеты.
2. Операция mirroring выполняется перед другими операциями пересылки исходных пакетов. Например, если необходимо изменить значение DSCP исходных пакетов, mirroring пакеты будут отличаться от исходных пакетов, поскольку они были отправлены в observing порт до изменения параметров пакета.
3. Когда traffic mirroring и traffic shaping (GTS) настроены на интерфейсе, и на интерфейс приходит пакет который попадает под правила traffic shaping (GTS), пакет сначала отправится в observing и только потом будет отброшен с помощью traffic shaping (GTS).
4. Если одновременно настроено traffic mirroring N:1 или multiple 1:1 mirroring, зеркалированные пакеты могут быть потеряны.
5. Если зеркальрованный трафик превышает пропускную способность observing порта, устройство отбрасывает некоторый трафик, поэтому полный трафик не может быть зеркально собран.
6. Traffic filtering настроен на observing порту.
7. Правила фильтрации для зеркалированного траффика применяются только к Ethernet-фреймам. После настройки правила зеркалирования не-Ethernet пакеты будут отброшены.
8. После настройки правила фильтрации для зеркалированного траффика, не-Ethernet пакеты будут отброшены.
9. Если параметр deny используется во время настройки правил для traffic mirroring, пакеты соответствующие параметру deny будут зеркалированы, а оригинальные пакеты отброшены.
