- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
26-镜像典型配置指导
本章节下载 (189.63 KB)
目 录
本地端口镜像是指将设备的一个或多个端口(源端口)的报文复制到本设备的一个监视端口(目的端口),用于报文的分析和监视。其中,源端口和目的端口必须在同一台设备上。
图1-1 本地端口镜像组网图
某公司内部通过交换机(以S3600-EI为例)实现各部门之间的互连,网络环境描述如下:
l 研发部通过端口Ethernet 1/0/1接入Switch C;
l 市场部通过端口Ethernet 1/0/2接入Switch C;
l 数据监测设备连接在Switch C的Ethernet 1/0/3端口上。
网络管理员希望通过数据监测设备对研发部和市场部收发的报文进行监控。
使用本地端口镜像功能实现该需求,在Switch C上进行如下配置:
l 端口Ethernet 1/0/1和Ethernet 1/0/2为镜像源端口;
l 连接数据监测设备的端口Ethernet 1/0/3为镜像目的端口。
表1-1 配置适用的产品与软硬件版本关系
|
产品 |
软件版本 |
硬件版本 |
|
S5600系列 |
Release 1510、Release 1602软件版本 |
全系列硬件版本 |
|
S5100-SI/EI系列 |
Release 2200、Release 2201软件版本 |
全系列硬件版本 |
|
S3600-SI/EI系列 |
Release 1510、Release 1602软件版本 |
全系列硬件版本 |
|
S3100-EI系列 |
Release 2104、Release 2107软件版本 |
全系列硬件版本 |
|
S3100-C-SI系列 S3100-T-SI系列 |
Release 0011、Release 2102、Release 2107软件版本 |
全系列硬件版本 |
|
S3100-TP-SI系列 |
Release 2102、Release 2107软件版本 |
全系列硬件版本 (除S3100-52TP-SI) |
|
S3100-52TP-SI |
Release 2106、Release 2107软件版本 |
S3100-52TP-SI |
|
S3100-52P |
Release 1500、Release 1602软件版本 |
S3100-52P |
|
S2126-EI |
Release 2102、Release 2106、Release 2107软件版本 |
S2126-EI |
|
S2000-EA系列 |
Release 2107软件版本 |
全系列硬件版本 |
|
E352&E328 |
Release 1510、Release 1602软件版本 |
E352&E328 |
|
E152 |
Release 1500、Release 1602软件版本 |
E152 |
|
E126 |
Release 0011、Release 2102、Release 2107软件版本 |
E126 |
|
E126A |
Release 2104、Release 2107软件版本 |
E126A |
配置Switch C:
# 创建本地镜像组。
<Sysname> system-view
[Sysname] mirroring-group 1 local
# 为本地镜像组配置源端口和目的端口。
[Sysname] mirroring-group 1 mirroring-port Ethernet 1/0/1 Ethernet 1/0/2 both
[Sysname] mirroring-group 1 monitor-port Ethernet 1/0/3
#
mirroring-group 1 local
#
interface Ethernet1/0/1
mirroring-group 1 mirroring-port both
#
interface Ethernet1/0/2
mirroring-group 1 mirroring-port both
#
interface Ethernet1/0/3
mirroring-group 1 monitor-port
#
在配置本地端口镜像时,有如下注意事项:
l 交换机CPU发出的报文不能被镜像。
l 目的端口接收到的报文是经过交换机转发处理后的报文。
l 本地镜像组需要配置源端口、目的端口才能生效。
l 源端口和目的端口不能是现有镜像组的成员端口、Fabric端口(仅S3600/S5600系列以太网交换机有此限制),目的端口不能为汇聚组成员端口、开启了LACP的端口或者开启了STP功能的端口。
l 在S3600-EI系列以太网交换机的以太网端口上配置镜像目的端口时,如果镜像组1没有存在,设备将自动创建本地镜像组1,并将端口加入到镜像组1中;如果镜像组1已经存在并且为非本地镜像组,则配置不能成功。
l 在S3600-SI系列/E352&E328以太网交换机的以太网端口上配置镜像目的端口时,如果用户在不同的端口上执行monitor-port命令,则最后一次配置的结果生效。
远程端口镜像突破了源端口和目的端口必须在同一台设备上的限制,使源端口和目的端口可以跨越网络中的多个设备,从而方便网络管理人员对远程设备上的流量进行监控。
为了实现远程端口镜像功能,需要定义一个特殊的VLAN,称之为远程镜像VLAN(Remote-probe VLAN)。所有被镜像的报文通过该VLAN从源交换机的反射口传递到目的交换机的镜像端口,实现在目的交换机上对源交换机端口收发的报文进行监控的功能。远程端口镜像的应用示意图如图1-2所示。
实现远程端口镜像功能的交换机分为三种:
l 源交换机:被监控的端口所在的交换机,负责将镜像流量复制到反射端口,然后通过远程镜像VLAN传输给中间交换机或目的交换机。
l 中间交换机:网络中处于源交换机和目的交换机之间的交换机,通过远程镜像VLAN把镜像流量传输给下一个中间交换机或目的交换机。如果源交换机与目的交换机直接相连,则不存在中间交换机。
l 目的交换机:远程镜像目的端口所在的交换机,将从远程镜像VLAN接收到的镜像流量通过镜像目的端口转发给监控设备。
图1-3 远程端口镜像组网图
某公司内部通过S3600-EI以太网交换机实现各部门之间的互连,网络环境描述如下:
l Switch A、Switch B和Switch C都为S3600-EI系列以太网交换机;
l 部门1通过端口Ethernet 1/0/1接入Switch A;
l 部门2通过端口Ethernet 1/0/2接入Switch A;
l Switch A的端口Ethernet 1/0/3和Switch B的端口Ethernet 1/0/1相连;
l Switch B的端口Ethernet 1/0/2和Switch C的端口Ethernet 1/0/1相连;
l 数据监测设备连接在Switch C的Ethernet 1/0/2端口上。
网络管理员希望通过数据监测设备对部门1和部门2发送的报文进行监控。
使用远程端口镜像功能实现该需求,进行如下配置:
l Switch A充当源交换机,Switch B充当中间交换机,Switch C充当目的交换机;
l 在Switch A上配置远程源镜像组,定义VLAN 10为远程镜像VLAN,端口Ethernet 1/0/1和Ethernet 1/0/2为镜像源端口,端口Ethernet 1/0/4为反射口;
l 在Switch B上配置VLAN 10为远程镜像VLAN;
l 配置Switch A的端口Ethernet 1/0/3、Switch B的端口Ethernet 1/0/1和Ethernet 1/0/2、Switch C的端口Ethernet 1/0/1的端口类型为Trunk,并且都允许VLAN 10的报文通过;
l 在Switch C上配置远程目的镜像组,定义VLAN 10为远程镜像VLAN,连接数据监测设备的端口Ethernet 1/0/2为镜像目的端口。
表1-2 配置适用的产品与软硬件版本关系
|
产品 |
软件版本 |
硬件版本 |
|
S5600系列 |
Release 1510、Release 1602软件版本 |
全系列硬件版本 |
|
S5100-SI/EI系列 |
Release 2200、Release 2201软件版本 |
全系列硬件版本 |
|
S3600-EI系列 |
Release 1510、Release 1602软件版本 |
全系列硬件版本 |
|
S3100-EI系列 |
Release 2104、Release 2107软件版本 |
全系列硬件版本 |
|
S3100-C-SI系列 S3100-T-SI系列 |
Release 0011、Release 2102、Release 2107软件版本 |
全系列硬件版本 |
|
S3100-TP-SI系列 |
Release 2102、Release 2107软件版本 |
全系列硬件版本 (除S3100-52TP-SI) |
|
S3100-52TP-SI |
Release 2106、Release 2107软件版本 |
S3100-52TP-SI |
|
S3100-52P |
Release 1500、Release 1602软件版本 |
S3100-52P |
|
S2126-EI |
Release 2102、Release 2106、Release 2107软件版本 |
S2126-EI |
|
S2000-EA系列 |
Release 2107软件版本 |
全系列硬件版本 |
|
E352&E328 |
Release 1510、Release 1602软件版本 |
E352&E328 |
|
E152 |
Release 1500、Release 1602软件版本 |
E152 |
|
E126 |
Release 0011、Release 2102、Release 2107软件版本 |
E126 |
|
E126A |
Release 2104、Release 2107软件版本 |
E126A |
(1) 配置源交换机(Switch A)
# 创建远程源镜像组。
<Sysname> system-view
[Sysname] mirroring-group 1 remote-source
# 配置远程镜像VLAN。
[Sysname] vlan 10
[Sysname-vlan10] remote-probe vlan enable
[Sysname-vlan10] quit
# 为远程源镜像组配置源端口、反射口和远程镜像VLAN。
[Sysname] mirroring-group 1 mirroring-port Ethernet 1/0/1 Ethernet 1/0/2 inbound
[Sysname] mirroring-group 1 reflector-port Ethernet 1/0/4
[Sysname] mirroring-group 1 remote-probe vlan 10
# 配置端口Ethernet 1/0/3的链路类型为Trunk端口,允许VLAN 10的报文通过。
[Sysname] interface Ethernet 1/0/3
[Sysname-Ethernet1/0/3] port link-type trunk
[Sysname-Ethernet1/0/3] port trunk permit vlan 10
(2) 配置中间交换机(Switch B)
# 创建远程镜像VLAN。
<Sysname> system-view
[Sysname] vlan 10
[Sysname-vlan10] remote-probe vlan enable
[Sysname-vlan10] quit
# 配置端口Ethernet 1/0/1的链路类型为Trunk端口,允许VLAN 10的报文通过。
[Sysname] interface Ethernet 1/0/1
[Sysname-Ethernet1/0/1] port link-type trunk
[Sysname-Ethernet1/0/1] port trunk permit vlan 10
# 配置端口Ethernet 1/0/2的链路类型为Trunk端口,允许VLAN 10的报文通过。
[Sysname] interface Ethernet 1/0/2
[Sysname-Ethernet1/0/2] port link-type trunk
[Sysname-Ethernet1/0/2] port trunk permit vlan 10
(3) 配置目的交换机(Switch C)
# 创建远程目的镜像组。
<Sysname> system-view
[Sysname] mirroring-group 1 remote-destination
# 配置远程镜像VLAN。
[Sysname] vlan 10
[Sysname-vlan10] remote-probe vlan enable
[Sysname-vlan10] quit
# 为远程目的镜像组配置目的端口和远程镜像VLAN。
[Sysname] mirroring-group 1 monitor-port Ethernet 1/0/2
[Sysname] mirroring-group 1 remote-probe vlan 10
# 配置端口Ethernet 1/0/1的链路类型为Trunk端口,允许VLAN 10的报文通过。
[Sysname] interface Ethernet 1/0/1
[Sysname-Ethernet1/0/1] port link-type trunk
[Sysname-Ethernet1/0/1] port trunk permit vlan 10
l 源交换机(Switch A)上的配置
#
mirroring-group 1 remote-source
#
vlan 10
remote-probe vlan enable
#
interface Ethernet1/0/1
mirroring-group 1 mirroring-port inbound
#
interface Ethernet1/0/2
mirroring-group 1 mirroring-port inbound
#
interface Ethernet1/0/3
port link-type trunk
port trunk permit vlan 1 10
#
interface Ethernet1/0/4
duplex full
speed 100
mirroring-group 1 reflector-port
#
mirroring-group 1 remote-probe vlan 10
#
l 中间交换机(Switch B)上的配置
#
vlan 10
remote-probe vlan enable
#
interface Ethernet1/0/1
port link-type trunk
port trunk permit vlan 1 10
#
interface Ethernet1/0/2
port link-type trunk
port trunk permit vlan 1 10
#
l 目的交换机(Switch C)上的配置
#
mirroring-group 1 remote-destination
#
vlan 10
remote-probe vlan enable
#
interface Ethernet1/0/1
port link-type trunk
port trunk permit vlan 1 10
#
interface Ethernet1/0/2
port access vlan 10
mirroring-group 1 monitor-port
#
在配置源交换机时,有如下注意事项:
l 远程源镜像组的所有端口都属于同一台设备,一个远程源镜像组只能配置一个反射端口。
l 反射端口不能是现有镜像组的成员端口、Fabric端口(仅S3600/S5600系列以太网交换机有此限制)、汇聚组成员端口、开启了LACP的端口或者开启了STP功能的端口,必须是Access端口且不能配置VLAN-VPN、端口环回检测、包过滤、QoS和端口安全等功能。
l 将某个端口配置为反射端口后,不能再修改端口双工模式、端口速率、MDI属性的取值。
l 建议用户不要在反射端口上配置VLAN Mapping和灵活QinQ功能,否则会影响镜像功能的正常使用。
l 配置远程镜像VLAN时,要求该VLAN为静态VLAN并预先创建。被配置成远程镜像VLAN后,该VLAN不能直接删除,必须先删除远程镜像VLAN的配置才能够删除这个VLAN。如果镜像组生效后,远程镜像VLAN被取消,那么该镜像组将失效。
l 用户不能将缺省VLAN、管理VLAN或者动态VLAN配置为远程镜像VLAN。
l 建议用户将远程镜像VLAN中的设备互连端口都配置为Trunk端口,并且通过配置保证远程镜像VLAN内从源交换机到目的交换机的二层互通性。
l 建议用户不要为远程镜像VLAN配置三层接口,不要在远程镜像VLAN上运行其他协议报文,承载其他的业务报文,不要将远程镜像VLAN作为Voice VLAN、协议VLAN使用,否则可能会影响远程端口镜像功能。
l 建议用户不要在与中间交换机或目的交换机相连的端口上配置镜像源端口,否则可能引起网络内的流量混乱。
l 当中间交换机或目的交换机为S3600-EI/S5600时,不支持镜像双向(both)报文的功能。
l S3100-SI系列以太网交换机不支持配置both参数。
在配置目的交换机时,有如下注意事项:
l 交换机CPU发出的报文不能被镜像。
l 目的端口接收到的报文是经过交换机转发处理后的报文。
l 远程镜像目的端口不能是现有镜像组的成员端口、Fabric端口(仅S3600/S5600系列以太网交换机有此限制)、汇聚组成员端口、开启了LACP的端口或者开启了STP功能的端口。
l 配置远程镜像VLAN时,要求该VLAN为静态VLAN并预先创建。被配置成远程镜像VLAN后,该VLAN不能直接删除,必须先删除远程镜像VLAN的配置才能够删除这个VLAN。如果镜像组生效后,远程镜像VLAN被取消,那么该镜像组将失效。
流镜像是指通过引用ACL进行流识别,将通过指定端口的匹配ACL规则的报文镜像到目的端口。
某公司内部通过交换机(以S3600系列以太网交换机为例)实现各部门之间的互连,网络环境描述如下:
PC 1和PC 2通过端口Ethernet 1/0/1接入Switch,PC 1的IP地址为192.168.0.1;
数据监测设备连接在Switch的Ethernet 1/0/2端口上。
网络管理员希望通过数据监测设备对PC 1发送的报文进行监控。
使用流镜像功能实现该需求,在Switch上进行如下配置:
l 在端口Ethernet 1/0/1上配置流镜像,将匹配源IP地址为192.168.0.1的报文镜像到目的端口;
l 连接数据监测设备的端口Ethernet 1/0/2为流镜像目的端口。
|
产品 |
软件版本 |
硬件版本 |
|
S5600系列 |
Release 1510、Release 1602软件版本 |
全系列硬件版本 |
|
S5100-EI系列 |
Release 2200、Release 2201软件版本 |
全系列硬件版本 |
|
S3600-SI/EI系列 |
Release 1510、Release 1602软件版本 |
全系列硬件版本 |
|
S3100-EI系列 |
Release 2104软件版本、Release 2107 |
全系列硬件版本 |
|
S3100-52P |
Release 1500、Release 1602软件版本 |
S3100-52P |
|
S2000-EA系列 |
Release 2107软件版本 |
全系列硬件版本 |
|
E352&E328 |
Release 1510、Release 1602软件版本 |
E352&E328 |
|
E152 |
Release 1500、Release 1602软件版本 |
E152 |
|
E126A |
Release 2104、Release 2107软件版本 |
E126A |
# 配置基本ACL 2000,匹配源IP地址为192.168.0.1的报文。
<Sysname> system-view
[Sysname] acl number 2000
[Sysname-acl-basic-2000] rule permit source 192.168.0.1 0
[Sysname-acl-basic-2000] quit
# 在端口Ethernet 1/0/1上配置流镜像,将匹配源IP地址为192.168.0.1的报文镜像到目的端口
[Sysname] interface Ethernet 1/0/1
[Sysname-Ethernet1/0/1] mirrored-to inbound ip-group 2000 monitor-interface
[Sysname-Ethernet1/0/1] quit
# 配置端口Ethernet 1/0/2为流镜像目的端口。
[Sysname] interface Ethernet 1/0/2
[Sysname-Ethernet1/0/2] monitor-port
#
mirroring-group 1 local
#
acl number 2000
rule 0 permit source 192.168.0.1 0
#
interface Ethernet1/0/1
mirrored-to inbound ip-group 2000 rule 0 monitor-interface
#
interface Ethernet1/0/2
mirroring-group 1 monitor-port
#
在配置流镜像时,有如下注意事项:
l 流镜像目的端口不能是现有镜像组的成员端口、Fabric端口(仅S3600/S5600系列以太网交换机有此限制),不能是汇聚组成员端口、开启了LACP的端口或者开启了STP功能的端口。
l 在S3600-EI系列以太网交换机的以太网端口上配置流镜像目的端口时,如果镜像组1没有存在,设备将自动创建本地镜像组1,并将端口加入到镜像组1中;如果镜像组1已经存在并且为非本地镜像组,则配置不能成功。
l 在S3600-SI系列/E352&E328以太网交换机的以太网端口上配置流镜像目的端口时,如果用户在不同的端口上执行monitor-port命令,则最后一次配置的结果生效。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
