- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
09-镜像配置
本章节下载: 09-镜像配置 (297.53 KB)
目 录
本文中的“SPC单板”指的是单板丝印以“SPC”开头(如SPC-GT48L)的单板,“SPE单板”指的是单板丝印以“SPE”开头(如SPE-1020-E-II)的单板。
端口镜像通过将指定端口(源端口)的报文复制到与数据监测设备相连的端口,使用户可以利用数据监测设备分析这些复制过来的镜像报文,以进行网络监控和故障排除。
镜像源是指被监控的对象,经由该对象收发的报文会被复制一份到与数据监测设备相连的端口,用户就可以对这些报文(称为镜像报文)进行监控和分析了。被监控的对象可以是一或多个端口、VLAN中的端口,我们将之分别称为源端口、源VLAN,这些对象所在的设备就称为源设备。
镜像目的是指镜像报文所要到达的目的地,即与数据监测设备相连的那个端口,我们称之为目的端口,目的端口所在的设备就称为目的设备。目的端口会将其收到的镜像报文转发给与之相连的数据监测设备。
由于一个目的端口可以同时监控多个镜像源,因此在某些配置下,目的端口可能收到对同一报文的多份拷贝。例如,目的端口Port 1同时监控源端口Port 2和Port 3(这两个端口在同一台设备上)收发的报文,如果某报文从Port 2进入该设备后又从Port 3发送出去,那么该报文将被复制两次给Port 1。
镜像方向是指在镜像源上可复制的报文方向,包括:
· 入方向:是指仅复制镜像源收到的报文。
· 出方向:是指仅复制镜像源发出的报文。
· 双向:是指对镜像源收到和发出的报文都进行复制。
镜像组是在端口镜像的实现过程中用到的一个逻辑上的概念,镜像源和镜像目的都要属于某一个镜像组。根据具体的实现方式不同,镜像组可分为本地镜像组、远程源镜像组和远程目的镜像组三类,有关这三类镜像组的具体介绍请参见“1.1.2 端口镜像的分类”一节。
反射端口、出端口和远程镜像VLAN都是在二层远程端口镜像的实现过程中用到的概念。远程镜像VLAN是将镜像报文从源设备传送至目的设备的专用VLAN;反射端口和出端口都位于源设备上,都用来将镜像报文发送到远程镜像VLAN中,二者的区别在于前者不必加入远程镜像VLAN中,而后者则必须加入到远程镜像VLAN中。有关源设备、目的设备、反射端口、出端口和远程镜像VLAN的具体介绍,请参见“1.1.2 端口镜像的分类”一节。
根据镜像源(即源端口、源VLAN中的端口)与镜像目的(即目的端口)所处的相对位置,我们将端口镜像分为本地端口镜像和远程端口镜像两大类:
当镜像源和镜像目的位于同一台设备上时,称为本地端口镜像。对于本地端口镜像,镜像源和镜像目的都属于同一台设备上的同一个镜像组,该镜像组就称为本地镜像组。
如图1-1所示,镜像源为源端口GE3/1/1,镜像目的为目的端口GE3/1/2,这两个端口位于同一台设备上。设备将进入源端口GE3/1/1的报文复制一份给目的端口GE3/1/2,再由该端口将镜像报文转发给数据监测设备。
本地镜像组支持跨板镜像,即目的端口和源端口可以在同一设备的不同单板上。
当镜像源和镜像目的分处于两台设备上时,称为远程端口镜像。对于远程端口镜像,镜像源和镜像目的分属于不同设备上的不同镜像组:镜像源所在的设备和镜像组分别称为源设备和远程源镜像组,镜像目的所在的设备和镜像组分别称为目的设备和远程目的镜像组,而位于源设备与目的设备之间的设备则统称为中间设备。
根据源设备与目的设备之间的连接关系,又可将远程端口镜像细分为:
· 二层远程端口镜像:源设备与目的设备之间通过二层网络进行连接。
· 三层远程端口镜像:源设备与目的设备之间通过三层网络进行连接。目前设备不支持三层远程端口镜像。
(1) 二层远程端口镜像
· 二层远程端口镜像的实现方式包括:固定反射端口方式、非固定反射端口方式和出端口方式。其中,固定反射端口方式和非固定反射端口方式也统称为反射端口方式,其区别在于:支持固定反射端口方式的设备内部有一个固定的反射端口,因此无需人工配置反射端口;而支持非固定反射端口方式的设备则需人工配置反射端口,目前设备仅支持非固定反射端口方式。
· 目前,SPE单板不支持以非固定反射端口方式实现的二层远程端口镜像功能。
如图1-2所示,源设备将进入源端口GE3/1/1的报文复制一份给反射端口GE3/1/3,再由该端口将镜像报文在远程镜像VLAN中广播,最终镜像报文经由中间设备转发至目的设备。目的设备收到该报文后判别其VLAN ID,若与远程镜像VLAN的VLAN ID相同,就将其转发至目的端口GE3/1/2,最后由该端口将镜像报文转发给数据监测设备。
本地镜像的配置需要在同一台设备上进行。配置本地镜像时,用户首先要创建一个本地镜像组,然后为该镜像组配置源端口和目的端口。
表1-1 配置本地端口镜像
|
命令 |
说明 |
||
|
进入系统视图 |
system-view |
- |
|
|
创建本地镜像组 |
mirroring-group group-id local |
必选 |
|
|
为镜像组配置源端口 |
在系统视图下配置源端口 |
mirroring-group group-id mirroring-port mirroring-port-list { both | inbound | outbound } |
二者必选其一 用户可以在系统视图下同时配置多个源端口,也可以在具体的接口视图下配置源端口,两种视图下的配置效果相同 |
|
在接口视图下配置源端口 |
interface interface-type interface-number |
||
|
[ mirroring-group group-id ] mirroring-port { both | inbound | outbound } |
|||
|
quit |
|||
|
为镜像组配置目的端口 |
在系统视图下配置目的端口 |
mirroring-group group-id monitor-port monitor-port-id |
二者必选其一 两种视图下的配置效果相同 |
|
在接口视图下配置目的端口 |
interface interface-type interface-number |
||
|
[ mirroring-group group-id ] monitor-port |
|||
· 配置好源端口和目的端口后,本地镜像组才能生效。
· 建议用户不要在目的端口上使能生成树协议,否则会影响镜像功能的正常使用。
· 一个镜像组中可以配置多个源端口,但只能配置一个目的端口。
· 一个端口只能在一个镜像组中被配置。
· 如果用户在设备上启用了GVRP(GARP VLAN Registration Protocol,GARP VLAN注册协议)功能,GVRP可能将远程镜像VLAN注册到不希望的端口上,此时在目的端口就会收到很多不必要的报文。关于GVRP的介绍,请参见“二层技术-以太网交换配置指导”中的“GVRP”。
· 只有当设备的系统工作模式为SPC或者SPE时,才支持远程镜像功能,混插模式下不支持。
配置远程端口镜像之前,需要完成以下任务:配置远程镜像VLAN所使用的静态VLAN。
· 源设备上的远程源镜像组和目的设备上的远程目的镜像组必须使用相同的远程镜像VLAN。
· 请不要在反射口连接网线,不要在反射口上配置下列功能:生成树协议、IGMP Snooping、静态ARP以及MAC地址学习,否则会影响设备的正常使用。
远程源镜像组需要配置源端口以及远程镜像VLAN。
表1-2 配置远程源镜像组
|
操作 |
命令 |
说明 |
|
|
进入系统视图 |
system-view |
- |
|
|
创建远程源镜像组 |
mirroring-group group-id remote-source |
必选 |
|
|
为镜像组配置源端口 |
在系统视图下配置源端口 |
mirroring-group group-id mirroring-port mirroring-port-list { both | inbound | outbound } |
二者必选其一 用户可以在系统视图下同时配置多个源端口,也可以在具体的接口视图下配置源端口,两种视图下的配置效果相同 |
|
在接口视图下配置源端口 |
interface interface-type interface-number |
||
|
[ mirroring-group group-id ] mirroring-port { both | inbound | outbound } |
|||
|
quit |
|||
|
为镜像组配置反射口 |
在系统视图下配置反射口 |
mirroring-group group-id reflector-port reflector-port-id |
二者必选其一 两种视图下的配置效果相同 |
|
在以太网接口视图下配置反射口 |
interface interface-type interface-number |
||
|
mirroring-group group-id reflector-port |
|||
|
quit |
|||
|
为镜像组配置远程镜像VLAN |
mirroring-group group-id remote-probe vlan rprobe-vlan-id |
必选 |
|
· 请不要将源端口加入到远程镜像VLAN,否则会影响设备的性能。
· 配置远程镜像VLAN时,要求该VLAN已经存在并且为静态VLAN。当配置VLAN为远程镜像VLAN后,不能直接删除该VLAN,必须先删除远程镜像VLAN的配置才能够删除这个VLAN。如果组生效后,VLAN被删除,那么组也将失效。
· 建议远程镜像VLAN不用做其它用途,仅用于远程镜像。
· 一个端口只能在一个镜像组中被配置,同一个VLAN只能被一个镜像组使用。
· 建议用户不要在目的端口上使能生成树协议,否则会影响镜像功能的正常使用。
· 反射口的配置必须在SPC模式下进行。
远程目的镜像组需要配置远程镜像VLAN和目的端口。
表1-3 配置远程目的镜像组
|
操作 |
命令 |
说明 |
|
|
进入系统视图 |
system-view |
- |
|
|
创建远程目的镜像组 |
mirroring-group group-id remote-destination |
必选 |
|
|
为镜像组配置远程镜像VLAN |
mirroring-group group-id remote-probe vlan rprobe-vlan-id |
必选 |
|
|
为镜像组配置目的端口 |
在系统视图下配置目的端口 |
mirroring-group group-id monitor-port monitor-port-id |
二者必选其一 两种视图下的配置效果相同 |
|
在接口视图下配置目的端口 |
interface interface-type interface-number |
||
|
[ mirroring-group group-id ] monitor-port |
|||
|
quit |
|||
|
进入目的接口视图 |
interface interface-type interface-number |
- |
|
|
将目的端口加入远程镜像VLAN |
目的端口为Access端口 |
port access vlan rprobe-vlan-id |
三者必选其一 |
|
目的端口为Trunk端口 |
port trunk permit vlan rprobe-vlan-id |
||
|
目的端口为Hybrid端口 |
port hybrid vlan rprobe-vlan-id { tagged | untagged } |
||
在完成上述配置后,在任意视图下执行display命令可以显示配置后镜像组的运行情况,通过查看显示信息验证配置的效果。
表1-4 端口镜像显示和维护
|
操作 |
命令 |
|
显示镜像组的配置信息 |
display mirroring-group { group-id | all | local | remote-destination | remote-source } [ | { begin | exclude | include } regular-expression ] |
· Device A通过端口GE3/1/1和GE3/1/2分别连接市场部和技术部,并通过端口GE3/1/3连接Server。
· 通过配置源端口方式的本地端口镜像,使Server可以监控所有进、出市场部和技术部的报文。
图1-3 本地端口镜像配置组网图(源端口方式)
(1) 配置本地镜像组
# 创建本地镜像组1。
<DeviceA> system-view
[DeviceA] mirroring-group 1 local
# 配置本地镜像组1的源端口为GE3/1/1和GE3/1/2,目的端口为GE3/1/3。
[DeviceA] mirroring-group 1 mirroring-port GigabitEthernet3/1/1 GigabitEthernet3/1/2 both
[DeviceA] mirroring-group 1 monitor-port GigabitEthernet3/1/3
# 在目的端口GE3/1/3上关闭生成树协议。
[DeviceA] interface GigabitEthernet3/1/3
[DeviceA-GigabitEthernet3/1/3] undo stp enable
[DeviceA-GigabitEthernet3/1/3] quit
(2) 检验配置效果
# 显示所有镜像组的配置信息。
[DeviceA] display mirroring-group all
mirroring-group 1:
type: local
status: active
mirroring port:
GigabitEthernet3/1/1 both
GigabitEthernet3/1/2 both
monitor port: GigabitEthernet3/1/3
配置完成后,用户可以通过Server监控所有进、出市场部和技术部的报文。
此功能仅SPC单板支持。
· 在一个二层网络中,Device A通过端口GE3/0/1连接市场部,并通过Trunk端口GE3/0/2与Device B的Trunk端口GE3/0/1相连;Device C通过端口GE3/0/2连接Server,并通过Trunk端口GE3/0/1与Device B的Trunk端口GE3/0/2相连。其中,Device A支持非固定反射端口方式的二层远程端口镜像。
· 通过配置二层远程端口镜像,使Server可以监控所有进、出市场部的报文。
图1-4 二层远程端口镜像配置组网图(非固定反射端口方式)
(1) 配置Device A
# 创建远程源镜像组1。
<DeviceA> system-view
[DeviceA] mirroring-group 1 remote-source
# 创建VLAN 2。
[DeviceA] vlan 2
[DeviceA-vlan2] quit
# 配置远程源镜像组1的远程镜像VLAN为VLAN 2,源端口为GE3/0/1,反射端口为GE3/0/3。
[DeviceA] mirroring-group 1 remote-probe vlan 2
[DeviceA] mirroring-group 1 mirroring-port GigabitEthernet3/0/1 both
[DeviceA] mirroring-group 1 reflector-port GigabitEthernet3/0/3
# 配置端口GE3/0/2为Trunk口,并允许VLAN 2的报文通过。
[DeviceA] interface GigabitEthernet3/0/2
[DeviceA-GigabitEthernet3/0/2] port link-type trunk
[DeviceA-GigabitEthernet3/0/2] port trunk permit vlan 2
[DeviceA-GigabitEthernet3/0/2] quit
# 在反射端口GE3/0/3上关闭生成树协议。
[DeviceA] interface GigabitEthernet3/0/3
[DeviceA-GigabitEthernet3/0/3] undo stp enable
[DeviceA-GigabitEthernet3/0/3] quit
(2) 配置Device B
# 创建VLAN 2。
<DeviceB> system-view
[DeviceB] vlan 2
[DeviceB-vlan2] quit
# 配置端口GE3/0/1为Trunk口,并允许VLAN 2的报文通过。
[DeviceB] interface GigabitEthernet3/0/1
[DeviceB-GigabitEthernet3/0/1] port link-type trunk
[DeviceB-GigabitEthernet3/0/1] port trunk permit vlan 2
[DeviceB-GigabitEthernet3/0/1] quit
# 配置端口GE3/0/2为Trunk口,并允许VLAN 2的报文通过。
[DeviceB] interface GigabitEthernet3/0/2
[DeviceB-GigabitEthernet3/0/2] port link-type trunk
[DeviceB-GigabitEthernet3/0/2] port trunk permit vlan 2
[DeviceB-GigabitEthernet3/0/2] quit
(3) 配置Device C
# 配置端口GE3/0/1为Trunk口,并允许VLAN 2的报文通过。
<DeviceC> system-view
[DeviceC] interface GigabitEthernet3/0/1
[DeviceC-GigabitEthernet3/0/1] port link-type trunk
[DeviceC-GigabitEthernet3/0/1] port trunk permit vlan 2
[DeviceC-GigabitEthernet3/0/1] quit
# 创建远程目的镜像组1。
[DeviceC] mirroring-group 1 remote-destination
# 创建VLAN 2。
[DeviceC] vlan 2
[DeviceC-vlan2] quit
# 配置远程目的镜像组1的远程镜像VLAN为VLAN 2,目的端口为GE3/0/2,在该端口上关闭生成树协议并将其加入VLAN 2。
[DeviceC] mirroring-group 1 remote-probe vlan 2
[DeviceC] interface GigabitEthernet3/0/2
[DeviceC-GigabitEthernet3/0/2] mirroring-group 1 monitor-port
[DeviceC-GigabitEthernet3/0/2] undo stp enable
[DeviceC-GigabitEthernet3/0/2] port access vlan 2
[DeviceC-GigabitEthernet3/0/2] quit
(4) 检验配置效果
配置完成后,用户可以通过Server监控所有进、出市场部的报文。
流镜像,即将指定的报文复制到用户指定的目的地,用于报文的分析和监视。
流镜像分为三种:流镜像到接口、流镜像到CPU、流镜像到VLAN。
· 流镜像到接口:将接口的符合要求的报文复制一份并转发到目的接口。
· 流镜像到CPU:将接口的符合要求的报文复制一份并转发到CPU,这里的CPU指的是配置了流镜像的接口所在单板上的CPU。
· 流镜像到VLAN:将接口的符合要求的报文复制一份并在指定的VLAN中广播,VLAN中的接口就可以接收到镜像报文。如果VLAN不存在,也可以预先配置,等VLAN被创建并有接口加入后,流镜像可以自动生效。
· 有关QoS策略、流分类和流行为的详细介绍,请参见“ACL和QoS配置指导”中的“QoS”。
· 对SPE单板来说,流镜像功能入方向和出方向均支持;对SPC单板来说,仅入方向支持流镜像功能。
配置流镜像时,用户首先要有一个已经存在的流行为,然后进入流行为视图进行流镜像的相关配置。
在配置流镜像动作时,同一个流行为中流镜像类型只能为流镜像到接口、流镜像到CPU、流镜像到VLAN中的一种。
表2-1 配置流镜像到接口
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入流行为视图 |
traffic behavior behavior-name |
- |
|
为流行为配置流镜像目的接口 |
mirror-to interface interface-type interface-number |
必选 |
如果同一个流行为中多次配置流镜像到接口,那么后来的配置将覆盖已有的配置。
表2-2 配置流镜像到CPU
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入流行为视图 |
traffic behavior behavior-name |
- |
|
为流行为配置流镜像到CPU |
mirror-to cpu |
必选 这里的CPU指的是接口所在单板的CPU |
表2-3 配置流镜像到VLAN
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入流行为视图 |
traffic behavior behavior-name |
- |
|
为流行为配置流镜像到VLAN |
mirror-to vlan vlan-id |
必选 |
· 在配置流镜像到VLAN时,目的VLAN可以不存在,等VLAN被创建且有接口加入后,流镜像在加入的接口自动生效。
· 如果同一个流行为中多次配置流镜像到VLAN,那么后来的配置将覆盖已有的配置。
在完成上述配置后,在任意视图下执行display命令可以显示配置后镜像组的运行情况,通过查看显示信息验证配置的效果。
表2-4 镜像显示和维护
|
操作 |
命令 |
|
display traffic behavior user-defined [ behavior-name ] [ | { begin | exclude | include } regular-expression ] |
|
|
显示用户自定义策略的配置内容 |
display qos policy user-defined [ policy-name [ classifier tcl-name ] ] [ | { begin | exclude | include } regular-expression ] |
用户网络描述如下:
· Host通过接口GigabitEthernet3/1/1接入设备Device。
· Server接在设备Device的GigabitEthernet3/1/2接口上。
需求为:通过Server对Host发出的所有报文进行分析监控。
图2-1 配置流镜像到接口组网图
配置Device:
# 进入系统视图。
<Device> system-view
# 配置ACL 2000,匹配所有报文。
[Device] acl number 2000
[Device-acl-basic-2000] rule 1 permit
[Device-acl-basic-2000] quit
# 配置流分类规则,使用ACL 2000进行流分类。
[Device] traffic classifier 1
[Device-classifier-1] if-match acl 2000
[Device-classifier-1] quit
# 配置流行为,有流镜像到GigabitEthernet3/1/2的动作。
[Device] traffic behavior 1
[Device-behavior-1] mirror-to interface GigabitEthernet 3/1/2
[Device-behavior-1] quit
# 配置QoS策略,流分类1匹配流行为1。
[Device] qos policy 1
[Device-qospolicy-1] classifier 1 behavior 1
[Device-qospolicy-1] quit
# 把策略应用到接口GigabitEthernet3/1/1入方向上。
[Device] interface GigabitEthernet 3/1/1
[Device-GigabitEthernet3/1/1] qos apply policy 1 inbound
配置完成后,用户就可以在Server上对Host发出的所有报文进行分析监控。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
