根据流量镜像的匹配规则,当同一个镜像源的同一个报文同时符合多个筛选条件规则时,该报文也仅会被匹配一次,匹配原则详细说明如下:
| 匹配原则 | 说明 |
|---|---|
| 顺序匹配 | 根据优先级从高到低按顺序进行匹配。优先级的数字越小,优先级越高,比如1的优先级高于2。 镜像会话优先级:同一个镜像源可同时被关联至多个镜像会话,此时根据镜像会话的优先级,按照从高到低的顺序匹配。 筛选条件规则优先级:一个镜像会话只可以关联一个筛选条件,一个筛选条件中可以包含多个规则,此时根据规则的优先级,按照从高到低的顺序匹配。筛选条件规则分为入方向规则和出方向规则,包含优先级、流量采集策略以及匹配条件。 |
| 唯一匹配 | 报文只要与一个筛选条件规则匹配,就不会再去尝试匹配其他规则。 |
镜像会话的匹配规则如下图所示。当一个镜像源同时被多个镜像会话关联时,以入方向的报文为例,报文根据镜像会话的优先级,按照从高到低的顺序匹配。
当报文匹配上某个镜像会话中的筛选条件入方向规则,则执行以下操作:
- 如果该规则的策略是采集,则镜像该报文。
- 如果该规则的策略是不采集,则不会镜像该报文。
当遍历了所有镜像会话中的筛选条件入方向规则,报文均没有匹配上,则不会镜像该报文,结束。
示例:某个镜像源同时被镜像会话A和镜像会话B关联,镜像会话A的优先级是1,镜像会话B的优先级是2。当镜像源入方向的某个报文同时符合镜像会话A和镜像会话B里的筛选条件规则,此时根据镜像会话优先级,该报文优先匹配镜像会话A中的筛选条件规则,并执行该规则的采集策略,结束后,该报文不会继续匹配镜像会话B。
筛选条件的匹配规则如下图所示。当一个镜像源只被一个镜像会话关联时,以入方向的报文为例,报文根据入方向规则的优先级,按照从高到低的顺序匹配:
当报文匹配上筛选条件的某个入方向规则,则执行以下操作:
- 如果该规则的策略是采集,则镜像该报文。
- 如果该规则的策略是不采集,则不会镜像该报文。
当遍历了筛选条件中的所有入方向规则,报文均没有匹配上,则不会镜像该报文,结束。
示例:当某个镜像源被镜像会话A关联,在镜像会话A的筛选条件中,入方向规则A和规则B的流量匹配条件相同,但优先级和流量采集策略不同。规则A的优先级为1,策略为不采集。规则B的优先级为2,策略为采集。当镜像源入方向的某个报文同时符合规则A和规则B的流量匹配条件时,此时根据规则优先级,该报文优先匹规则A,并执行不采集策略,即不镜像该报文,结束后,该报文不会继续匹配规则B。
