- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
08-镜像配置
本章节下载: 08-镜像配置 (430.41 KB)
目 录
设备支持两种运行模式:独立运行模式和IRF模式,缺省情况为独立运行模式。有关IRF模式的介绍,请参见“IRF配置指导”中的“IRF”。
端口镜像是将指定端口(源端口)或VLAN(源VLAN)的报文复制一份到其它端口(目的端口),目的端口会与数据监测设备相连,用户利用这些数据监测设备来分析复制到目的端口的报文,进行网络监控和故障排除。
镜像源是指被监控的对象,经由该对象收发的报文会被复制一份到与数据监测设备相连的端口,用户就可以对这些报文(称为镜像报文)进行监控和分析了。被监控的对象可以是一或多个端口、VLAN中的端口,我们将之分别称为源端口、源VLAN,这些对象所在的设备就称为源设备。
镜像目的是指镜像报文所要到达的目的地,即与数据监测设备相连的那个端口,我们称之为目的端口,目的端口所在的设备就称为目的设备。目的端口会将其收到的镜像报文转发给与之相连的数据监测设备。
· 由于一个目的端口可以同时监控多个镜像源,因此在某些配置下,目的端口可能收到对同一报文的多份拷贝。例如,目的端口Port 1同时监控源端口Port 2和Port 3(这两个端口在同一台设备上)收发的报文,如果某报文从Port 2进入该设备后又从Port 3发送出去,那么该报文将被复制两次给Port 1。
· 在IRF模式下,设备不支持将指定源VLAN的报文镜像到目的端口。
· 设备不支持跨框(即目的端口和源端口(或源VLAN中的端口)位于IRF模式下的两台不同的设备上)配置端口镜像。
镜像方向是指在镜像源上可复制的报文方向,包括:
· 入方向:是指仅复制镜像源收到的报文。
· 出方向:是指仅复制镜像源发出的报文。
· 双向:是指对镜像源收到和发出的报文都进行复制。
镜像组是在端口镜像的实现过程中用到的一个逻辑上的概念,镜像源和镜像目的都要属于某一个镜像组。根据具体的实现方式不同,镜像组可分为本地镜像组、远程源镜像组和远程目的镜像组三类,有关这三类镜像组的具体介绍请参见“1.1.2 端口镜像的分类和实现方式”一节。
反射端口、出端口和远程镜像VLAN都是在二层远程端口镜像的实现过程中用到的概念。远程镜像VLAN是将镜像报文从源设备传送至目的设备的专用VLAN;反射端口和出端口都位于源设备上,都用来将镜像报文发送到远程镜像VLAN中,二者的区别在于前者不必加入远程镜像VLAN中,而后者则必须加入到远程镜像VLAN中。有关源设备、目的设备、反射端口、出端口和远程镜像VLAN的具体介绍,请参见“1.1.2 端口镜像的分类和实现方式”一节。
根据镜像源(即源端口、源VLAN中的端口)与镜像目的(即目的端口)所处的相对位置,我们将端口镜像分为本地端口镜像和远程端口镜像两大类:
当镜像源和镜像目的位于同一台设备上时,称为本地端口镜像。对于本地端口镜像,镜像源和镜像目的都属于同一台设备上的同一个镜像组,该镜像组就称为本地镜像组。
如图1-1所示,镜像源为源端口GE3/0/1,镜像目的为目的端口GE3/0/2,这两个端口位于同一台设备上。设备将进入源端口GE3/0/1的报文复制一份给目的端口GE3/0/2,再由该端口将镜像报文转发给数据监测设备。
当镜像源和镜像目的分处于两台设备上时,称为远程端口镜像。对于远程端口镜像,镜像源和镜像目的分属于不同设备上的不同镜像组:镜像源所在的设备和镜像组分别称为源设备和远程源镜像组,镜像目的所在的设备和镜像组分别称为目的设备和远程目的镜像组,而位于源设备与目的设备之间的设备则统称为中间设备。
根据源设备与目的设备之间的连接关系,又可将远程端口镜像细分为:
· 二层远程端口镜像:源设备与目的设备之间通过二层网络进行连接。
· 三层远程端口镜像:源设备与目的设备之间通过三层网络进行连接。目前设备不支持三层远程端口镜像。
(1) 二层远程端口镜像
二层远程端口镜像的实现方式包括:固定反射端口方式、非固定反射端口方式和出端口方式。其中,固定反射端口方式和非固定反射端口方式也统称为反射端口方式,其区别在于:支持前者的设备内部有一个固定的反射端口,因此无需人工配置反射端口;而支持后者的设备则需人工配置反射端口。目前设备仅支持非固定反射端口方式。
如图1-2所示,源设备将进入源端口GE3/0/1的报文复制一份给反射端口GE3/0/3,再由该端口将镜像报文在远程镜像VLAN中广播,最终镜像报文经由中间设备转发至目的设备。目的设备收到该报文后判别其VLAN ID,若与远程镜像VLAN的VLAN ID相同,就将其转发至目的端口GE3/0/2,最后由该端口将镜像报文转发给数据监测设备。
· 中间设备需允许远程镜像VLAN通过,以确保源设备与目的设备之间的二层网络畅通。
· 在镜像报文从源设备到达目的设备的过程中,请确保其VLAN ID不被修改或删除,否则二层远程镜像功能将失效。
· 对于反射口方式,由于镜像报文将被源设备在远程镜像VLAN中广播,因此通过将源设备上不属于镜像源的端口加入远程镜像VLAN,也可实现本地端口镜像的功能。
· 在一个镜像组中对同一端口收发的报文进行双向镜像时,需在中间设备上进行一些特殊配置才能保证镜像的正常运行。
本地端口镜像的配置需要在同一台设备上进行。配置本地端口镜像时,用户首先要创建一个本地镜像组,然后为该镜像组配置源端口(或源VLAN)和目的端口。
表1-1 本地端口镜像配置任务简介
|
配置任务 |
说明 |
详细配置 |
|
创建本地镜像组 |
必选 |
|
|
配置源端口 |
二者至少选其一 源端口、源VLAN可以只配其一,也可以都配置 |
|
|
配置源VLAN |
||
|
配置目的端口 |
必选 |
创建本地镜像组时还可使用sampler参数引用一个采样器,以便通过对镜像报文进行采样而减少镜像报文的数量。有关采样器的详细介绍,请参见“网络管理和监控配置指导”中的“Sampler”。
表1-2 创建本地镜像组
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
创建本地镜像组 |
mirroring-group group-id local [ sampler sampler-name ] |
必选 缺省情况下,不存在任何本地镜像组 |
· 在完成源端口(或源VLAN)和目的端口的配置之后,本地镜像组才能生效。
· 创建本地镜像组时若要引用一个采样器,必须先使用sampler sampler-name mode fixed packet-interval rate命令创建该采样器,当前最多支持8组采样器的设置。
可以在系统视图下为指定镜像组配置一个或多个源端口,也可以在接口视图下将当前接口配置为指定镜像组的源端口,二者的配置效果相同。
表1-3 在系统视图下配置源端口
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
为本地镜像组配置源端口 |
mirroring-group group-id mirroring-port mirroring-port-list { both | inbound | outbound } |
必选 缺省情况下,本地镜像组没有源端口 |
表1-4 在接口视图下配置源端口
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入接口视图 |
interface interface-type interface-number |
- |
|
配置本端口为本地镜像组的源端口 |
[ mirroring-group group-id ] mirroring-port { both | inbound | outbound } |
必选 缺省情况下,端口不是任何本地镜像组的源端口 |
· 一个镜像组内可以配置多个源端口。
· 请不要将源端口加入到源VLAN中,否则会影响镜像功能的正常使用。
· 通常,一个端口只能被一个镜像组使用。
· 源端口只能是以太网接口,目的端口可以是以太网接口或二层聚合接口。
在配置源VLAN之前,需完成以下任务:
· 配置源VLAN所使用的静态VLAN
表1-5 配置源VLAN
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
为本地镜像组配置源VLAN |
mirroring-group group-id mirroring-vlan mirroring-vlan-list { both | inbound | outbound } |
必选 缺省情况下,本地镜像组没有源VLAN |
一个镜像组内可以配置多个源VLAN。
可以在系统视图下为指定镜像组配置目的端口,也可以在接口视图下将当前接口配置为指定镜像组的目的端口,二者的配置效果相同。
配置目的端口时,需要注意:
· 请不要将目的端口加入到源VLAN中,或在目的端口上使能生成树协议,否则会影响镜像功能的正常使用。
· 当二层聚合接口作为目的端口时,请勿将其成员端口配置为源端口或将其加入源VLAN,否则会影响镜像功能的正常使用。
· 从目的端口发出的报文包括镜像报文和其他端口正常转发来的报文。为了保证数据监测设备只对镜像报文进行分析,请将目的端口只用于端口镜像,不作其他用途。
· 一个镜像组内只能配置一个目的端口。
· 配置同方向的镜像支持的目的端口的数量,请参见表1-6。
|
单板类型 |
支持的目的端口个数 |
接口和支持的目的端口的所属关系 |
|
48端口千兆以太网接口板 |
2 |
前24个接口支持1个,后24个接口支持1个 |
|
万兆以太网接口板(除LST1XP32REB1、LST1XP32REC1、LST2XP32REC2、 LST2XP32REB1、LST2XP32REC1、 LST1XP16LEB1、LST1XP16LEC1、LST1XP16LEC2单板外) |
* |
每2个接口支持1个 |
|
16端口万兆以太网接口板 |
8 |
每2个奇数位接口支持1个,每2个偶数位接口支持1个 |
|
32端口万兆以太网接口板 |
4 |
接口1、3、5、7、9、11、13、15支持1个; 接口2、4、6、8、10、12、14、16支持1个; 接口17、19、21、23、25、27、29、31支持1个; 接口18、20、22、24、26、28、30、32支持1个 |
表1-7 在系统视图下配置目的端口
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
为本地镜像组配置目的端口 |
mirroring-group group-id monitor-port monitor-port-id |
必选 缺省情况下,本地镜像组没有目的端口 |
表1-8 在接口视图下配置目的端口
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入接口视图 |
interface interface-type interface-number |
- |
|
配置本端口为本地镜像组的目的端口 |
[ mirroring-group group-id ] monitor-port |
必选 缺省情况下,端口不是任何本地镜像组的目的端口 |
· 一个镜像组内只能配置一个目的端口。
· 请不要将目的端口加入到源VLAN中,或在目的端口上使能生成树协议,否则会影响镜像功能的正常使用。
· 从目的端口发出的报文包括镜像报文和其它端口正常转发来的报文。为了保证数据监测设备只对镜像报文进行分析,请将目的端口只用于端口镜像,不作其它用途。
· 目的端口可以是以太网接口或者二层聚合接口。
二层远程端口镜像的配置需要分别在源设备和目的设备上进行;如果存在中间设备,则需要在中间设备上允许远程镜像VLAN通过,以确保源设备与目的设备之间的二层网络畅通。
· 在配置二层远程端口镜像时不建议启用GVRP(GARP VLAN Registration Protocol,GARP VLAN注册协议)功能,否则GVRP可能将远程镜像VLAN注册到不需要监控的端口上,导致目的端口收到很多不必要的报文。有关GVRP的详细介绍,请参见“二层技术-以太网交换配置指导”中的“GVRP”。
· 在一个镜像组中对同一个端口收发的报文进行双向镜像时,需要在源设备、中间设备和目的设备上关闭远程镜像VLAN的MAC地址学习功能,以保证镜像功能的正常进行。关于MAC地址学习功能的详细介绍,请参见“二层技术-以太网交换配置指导”中的“MAC地址表”。
首先在源设备上为远程源镜像组配置源端口(或源VLAN)、反射端口和远程镜像VLAN,然后在目的设备上为远程目的镜像组配置远程镜像VLAN和目的端口。
表1-9 二层远程端口镜像配置任务简介(非固定反射端口方式)
|
配置任务 |
说明 |
详细配置 |
|
|
配置远程源镜像组 |
创建远程源镜像组 |
必选 |
|
|
配置源端口 |
二者至少选其一 源端口、源VLAN可以只配其一,也可以都配置 |
||
|
配置源VLAN |
|||
|
配置反射端口 |
必选 |
||
|
配置远程镜像VLAN |
必选 |
||
|
配置远程目的镜像组 |
创建远程目的镜像组 |
必选 |
|
|
配置目的端口 |
必选 |
||
|
配置远程镜像VLAN |
必选 |
||
|
将目的端口加入远程镜像VLAN |
必选 |
||
请在源设备上进行如下配置。
表1-10 创建远程源镜像组
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
创建远程源镜像组 |
mirroring-group group-id remote-source |
必选 缺省情况下,不存在任何远程源镜像组 |
可以在系统视图下为指定镜像组配置一个或多个源端口,也可以在接口视图下将当前接口配置为指定镜像组的源端口,二者的配置效果相同。
(1) 在系统视图下配置源端口
表1-11 在系统视图下配置源端口
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
为远程源镜像组配置源端口 |
mirroring-group group-id mirroring-port mirroring-port-list { both | inbound | outbound } |
必选 缺省情况下,远程源镜像组没有源端口 |
(2) 在接口视图下配置源端口
表1-12 在接口视图下配置源端口
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入接口视图 |
interface interface-type interface-number |
- |
|
配置本端口为远程源镜像组的源端口 |
[ mirroring-group group-id ] mirroring-port { both | inbound | outbound } |
必选 缺省情况下,端口不是任何远程源镜像组的源端口 |
· 一个镜像组内可以配置多个源端口。
· 请不要将源端口加入到源VLAN和远程镜像VLAN中,否则会影响镜像功能的正常使用。
· 通常,一个端口只能被一个镜像组使用。
(1) 配置准备
在配置源VLAN之前,需完成以下任务:
· 配置源VLAN所使用的静态VLAN
· 配置远程镜像VLAN所使用的静态VLAN
· 配置前请先在反射口上去使能生成树功能
(2) 配置过程
表1-13 配置源VLAN
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
为远程源镜像组配置源VLAN |
mirroring-group group-id mirroring-vlan mirroring-vlan-list { both | inbound | outbound } |
必选 缺省情况下,远程源镜像组没有源VLAN |
一个镜像组内可以配置多个源VLAN。
配置反射端口前,请先使用undo shutdown命令使接口的管理状态为开启,如果接口的管理状态为关闭DOWN ( Administratively ),系统会打印信息显示配置不成功。
可以在系统视图下为指定镜像组配置反射端口,也可以在接口视图下将当前接口配置为指定镜像组的反射端口,二者的配置效果相同。
(1) 在系统视图下配置反射端口
表1-14 在系统视图下配置反射端口
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
为远程源镜像组配置反射端口 |
mirroring-group group-id reflector-port reflector-port |
必选 缺省情况下,远程源镜像组没有反射端口 |
(2) 在接口视图下配置反射端口
表1-15 在接口视图下配置反射端口
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入接口视图 |
interface interface-type interface-number |
- |
|
配置本端口为远程源镜像组的反射端口 |
mirroring-group group-id reflector-port |
必选 缺省情况下,端口不是任何远程源镜像组的反射端口 |
· 一个镜像组内只能配置一个反射端口。
· 请不要将反射端口加入到源VLAN中,否则会影响镜像功能的正常使用。
· 反射端口必须是Access端口且属于缺省VLAN,不能是现有镜像组的成员端口或流镜像目的端口。
· 只有当端口的双工模式、端口速率和MDI属性值均为缺省值时,才能将其配置为反射端口。当端口已配置为反射端口后,不能再修改其双工模式、端口速率和MDI属性值,即这些属性只能取缺省值。
· 请不要在反射端口上连接网线,也不要在反射端口上配置下列功能:生成树协议、802.1X、IGMP Snooping、静态ARP、MAC地址学习、QinQ、端口环回,否则会影响镜像功能的正常使用。
· 设备不支持跨框(即反射端口和源端口(或源VLAN中的端口)位于IRF模式下的两台不同的设备上)配置端口镜像。
(1) 配置准备
在配置远程镜像VLAN之前,需完成以下任务:
· 配置远程镜像VLAN所使用的静态VLAN
(2) 配置过程
表1-16 配置远程镜像VLAN
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
为远程源镜像组配置远程镜像VLAN |
mirroring-group group-id remote-probe vlan rprobe-vlan-id |
必选 缺省情况下,远程源镜像组没有远程镜像VLAN |
· 当一个VLAN已被指定为远程镜像VLAN后,请不要将该VLAN再作其它用途。
· 源设备和目的设备上的远程镜像组必须使用相同的远程镜像VLAN。
请在目的设备上进行如下配置。
表1-17 创建远程目的镜像组
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
创建远程目的镜像组 |
mirroring-group group-id remote-destination |
必选 缺省情况下,不存在任何远程目的镜像组 |
可以在系统视图下为指定镜像组配置目的端口,也可以在接口视图下将当前接口配置为指定镜像组的目的端口,二者的配置效果相同。
(1) 在系统视图下配置目的端口
表1-18 在系统视图下配置目的端口
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
为远程目的镜像组配置目的端口 |
mirroring-group group-id monitor-port monitor-port-id |
必选 缺省情况下,远程目的镜像组没有目的端口 |
(2) 在接口视图下配置目的端口
表1-19 在接口视图下配置目的端口
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入接口视图 |
interface interface-type interface-number |
- |
|
配置本端口为远程目的镜像组的目的端口 |
[ mirroring-group group-id ] monitor-port |
必选 缺省情况下,端口不是任何远程目的镜像组的目的端口 |
· 一个镜像组内只能配置一个目的端口。
· 请不要将目的端口加入到源VLAN中,或在目的端口上使能生成树协议,否则会影响镜像功能的正常使用。
· 从目的端口发出的报文包括镜像报文和其它端口正常转发来的报文。为了保证数据监测设备只对镜像报文进行分析,请将目的端口只用于端口镜像,不作其它用途。
表1-20 配置远程镜像VLAN
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
为远程目的镜像组配置远程镜像VLAN |
mirroring-group group-id remote-probe vlan rprobe-vlan-id |
必选 缺省情况下,远程目的镜像组没有远程镜像VLAN |
当一个VLAN已被指定为远程镜像VLAN后,请不要将该VLAN再作其它用途。
表1-21 将目的端口加入远程镜像VLAN
|
操作 |
命令 |
说明 |
|
|
进入系统视图 |
system-view |
- |
|
|
进入目的接口视图 |
interface interface-type interface-number |
- |
|
|
将目的端口加入远程镜像VLAN |
目的端口为Access端口 |
port access vlan vlan-id |
三者必选其一 |
|
目的端口为Trunk端口 |
port trunk permit vlan vlan-id |
||
|
目的端口为Hybrid端口 |
port hybrid vlan vlan-id { tagged | untagged } |
||
有关port access vlan、port trunk permit vlan和port hybrid vlan命令的详细介绍,请参见“二层技术-以太网交换命令参考”中的“VLAN”。
在完成上述配置后,在任意视图下执行display命令可以显示配置后镜像组的运行情况,通过查看显示信息验证配置的效果。
表1-22 端口镜像显示和维护
|
操作 |
命令 |
|
显示端口镜像组的配置信息 |
display mirroring-group { group-id | all | local | remote-destination | remote-source } [ | { begin | exclude | include } regular-expression ] |
缺省情况下,以太网接口、VLAN接口及聚合接口处于DOWN状态。如果要对这些接口进行配置,请先使用undo shutdown命令使接口状态处于UP状态,如果端口处于DOWN状态,配置可能不成功。
· Device A通过端口GE4/0/1和GE4/0/2分别连接市场部和技术部,并通过端口GE4/0/3连接Server。
· 通过配置源端口方式的本地端口镜像,使Server可以监控所有进、出市场部和技术部的报文。
(1) 配置本地镜像组
# 创建本地镜像组。
<Sysname> system-view
[Sysname] mirroring-group 1 local
# 为本地镜像组配置源端口为GE4/0/1和GE4/0/2,目的端口为GE4/0/3。
[Sysname] mirroring-group 1 mirroring-port Gigabitethernet 4/0/1 Gigabitethernet 4/0/2 both
[Sysname] mirroring-group 1 monitor-port Gigabitethernet 4/0/3
# 在目的端口GE4/0/3上关闭生成树协议。
[DeviceA] interface Gigabitethernet 4/0/3
[DeviceA-Gigabitethernet4/0/3] undo stp enable
[DeviceA-Gigabitethernet4/0/3] quit
(2) 检验配置效果
# 显示所有镜像组的配置信息。
[DeviceA] display mirroring-group all
mirroring-group 1:
type: local
status: active
mirroring port:
Gigabitethernet4/0/1 both
Gigabitethernet4/0/2 both
mirroring vlan:
monitor port: Gigabitethernet4/0/3
配置完成后,用户可以通过Server监控所有进、出市场部和技术部的报文。
· Device A通过端口GE4/0/1和GE4/0/2分别连接市场部和技术部,且GE4/0/1和GE4/0/2都属于VLAN 2,并通过端口GE4/0/3连接Server。
· 通过配置源VLAN方式的本地端口镜像,使Server可以监控所有进、出市场部和技术部的报文。
图1-4 本地端口镜像配置组网图(源VLAN方式)
(1) 配置本地镜像组
# 创建本地镜像组1。
<DeviceA> system-view
[DeviceA] mirroring-group 1 local
# 创建VLAN 2,并将端口GE4/0/1和GE4/0/2加入VLAN 2。
[DeviceA] vlan 2
[DeviceA-vlan2] port Gigabitethernet 4/0/1 Gigabitethernet 4/0/2
[DeviceA-vlan2] quit
# 配置本地镜像组1的源VLAN为VLAN 2,目的端口为GE4/0/3。
[DeviceA] mirroring-group 1 mirroring-vlan 2 both
[DeviceA] mirroring-group 1 monitor-port Gigabitethernet 4/0/3
# 在目的端口GE4/0/3上关闭生成树协议。
[DeviceA] interface Gigabitethernet 4/0/3
[DeviceA-Gigabitethernet 4/0/3] undo stp enable
[DeviceA-Gigabitethernet 4/0/3] quit
(2) 检验配置效果
# 显示所有镜像组的配置信息。
[DeviceA] display mirroring-group all
mirroring-group 1:
type: local
status: active
mirroring port:
mirroring vlan:
2 both
mirroring CPU:
monitor port: Gigabitethernet 4/0/3
配置完成后,用户可以通过Server监控所有进、出市场部和技术部的报文。
· 在一个二层网络中,Device A通过端口GE4/0/1连接市场部,并通过Trunk端口GE4/0/2与Device B的Trunk端口GE4/0/1相连;Device C通过端口GE4/0/2连接Server,并通过Trunk端口GE4/0/1与Device B的Trunk端口GE4/0/2相连。其中,Device A支持非固定反射端口方式的二层远程端口镜像。
· 通过配置二层远程端口镜像,使Server可以监控所有进、出市场部的报文。
图1-5 二层远程端口镜像配置组网图(非固定反射端口方式)
(1) 配置Device A
# 创建远程源镜像组1。
<DeviceA> system-view
[DeviceA] mirroring-group 1 remote-source
# 创建VLAN 2。
[DeviceA] vlan 2
# 关闭VLAN 2的MAC地址学习功能。
[DeviceA-vlan2] mac-address max-mac-count 0
[DeviceA-vlan2] quit
# 配置远程源镜像组1的远程镜像VLAN为VLAN 2,源端口为GE4/0/1,反射端口为GE4/0/3。
[DeviceA] mirroring-group 1 remote-probe vlan 2
[DeviceA] mirroring-group 1 mirroring-port Gigabitethernet 4/0/1 both
[DeviceA] mirroring-group 1 reflector-port Gigabitethernet 4/0/3
# 配置端口GE4/0/2为Trunk口,并允许VLAN 2的报文通过。
[DeviceA] interface Gigabitethernet 4/0/2
[DeviceA-Gigabitethernet 4/0/2] port link-type trunk
[DeviceA-Gigabitethernet 4/0/2] port trunk permit vlan 2
[DeviceA-Gigabitethernet 4/0/2] quit
(2) 配置Device B
# 创建VLAN 2。
<DeviceB> system-view
[DeviceB] vlan 2
# 关闭VLAN 2的MAC地址学习功能。
[DeviceB-vlan2] mac-address max-mac-count 0
[DeviceB-vlan2] quit
# 配置端口GE4/0/1为Trunk口,并允许VLAN 2的报文通过。
[DeviceB] interface Gigabitethernet 4/0/1
[DeviceB-Gigabitethernet 4/0/1] port link-type trunk
[DeviceB-Gigabitethernet 4/0/1] port trunk permit vlan 2
[DeviceB-Gigabitethernet 4/0/1] quit
# 配置端口GE4/0/2为Trunk口,并允许VLAN 2的报文通过。
[DeviceB] interface Gigabitethernet 4/0/2
[DeviceB-Gigabitethernet 4/0/2] port link-type trunk
[DeviceB-Gigabitethernet 4/0/2] port trunk permit vlan 2
[DeviceB-Gigabitethernet 4/0/2] quit
(3) 配置Device C
# 配置端口GE4/0/1为Trunk口,并允许VLAN 2的报文通过。
<DeviceC> system-view
[DeviceC] interface Gigabitethernet 4/0/1
[DeviceC-Gigabitethernet 4/0/1] port link-type trunk
[DeviceC-Gigabitethernet 4/0/1] port trunk permit vlan 2
[DeviceC-Gigabitethernet 4/0/1] quit
# 创建远程目的镜像组1。
[DeviceC] mirroring-group 1 remote-destination
# 创建VLAN 2。
[DeviceC] vlan 2
# 关闭VLAN 2的MAC地址学习功能。
[DeviceC-vlan2] mac-address max-mac-count 0
[DeviceC-vlan2] quit
# 配置远程目的镜像组1的远程镜像VLAN为VLAN 2,目的端口为GE4/0/2,在该端口上关闭生成树协议并将其加入VLAN 2。
[DeviceC] mirroring-group 1 remote-probe vlan 2
[DeviceC] interface Gigabitethernet 4/0/2
[DeviceC-Gigabitethernet 4/0/2] mirroring-group 1 monitor-port
[DeviceC-Gigabitethernet 4/0/2] undo stp enable
[DeviceC-Gigabitethernet 4/0/2] port access vlan 2
[DeviceC-Gigabitethernet 4/0/2] quit
(4) 检验配置效果
配置完成后,用户可以通过Server监控所有进、出市场部的报文。
流镜像是指将指定报文复制到指定目的地,用于报文的分析和监控。它通过QoS策略来实现,即使用流分类技术为待镜像报文定义匹配条件,再通过配置流行为将符合条件的报文镜像至指定目的地。流镜像可分为以下三种类型:
· 流镜像到接口:将接口的符合要求的报文复制一份并转发到目的接口。目的接口可以是以太网接口或者聚合接口。
· 流镜像到CPU:将接口的符合要求的报文复制一份并转发到CPU,这里的CPU指的是配置了流镜像的接口所在单板上的CPU。
· 流镜像到VLAN:将接口的符合要求的报文复制一份并在指定的VLAN中广播,VLAN中的接口就可以接收到镜像报文。如果VLAN不存在,也可以预先配置,等VLAN被创建并有接口加入后,流镜像可以自动生效。
· 独立运行模式下,设备不支持将流量流镜像到LST1IPS2A1单板的聚合接口。
· IRF模式下,设备不支持跨框配置流镜像,即被监控流量的入端口与流镜像的目的地(目的端口、目的VLAN内的端口、目的CPU)不能位于IRF的不同成员设备上;但可以配置跨框流镜像到OAA单板上的端口(除LST1IPS2A1单板的第二个内联接口外)。
· 通过QoS策略将流量流镜像到LST1IPS2A1单板的内联接口时,需要配置两个内联口聚合,同时配置聚合组中的最小选中端口数为2,并且不允许其他端口加入该聚合组。
· 有关QoS策略、流分类和流行为的详细介绍,请参见“ACL和QoS配置指导”中的“QoS”。
表2-1 流镜像配置任务简介
|
配置任务 |
说明 |
详细配置 |
|
|
配置报文匹配规则 |
必选 |
||
|
配置流镜像类型 |
配置流镜像到接口 |
三者必选其一 |
|
|
配置流镜像到VLAN |
|||
|
配置流镜像到CPU |
|||
|
配置QoS策略 |
必选 |
||
|
应用QoS策略 |
基于接口应用 |
三者必选其一 实现流镜像功能时,对以太网接口板来说,仅入方向支持。 |
|
|
基于VLAN应用 |
|||
|
基于全局应用 |
|||
表2-2 配置报文匹配规则
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
定义流分类,并进入流分类视图 |
traffic classifier tcl-name [ operator { and | or } ] |
必选 缺省情况下,不存在任何流分类 |
|
配置报文匹配规则 |
if-match [ not ] match-criteria |
必选 缺省情况下,流分类中不存在任何报文匹配规则 |
有关traffic classifier和if-match命令的详细介绍,请参见“ACL和QoS命令参考”中的“QoS策略”。
流镜像可分为流镜像到接口、流镜像到VLAN和流镜像到CPU三种类型,在同一流行为中只能配置其中一种。
表2-3 配置流镜像到接口
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
定义流行为,并进入流行为视图 |
traffic behavior behavior-name |
必选 缺省情况下,不存在任何流行为 |
|
配置流镜像到指定接口 |
mirror-to interface interface-type interface-number [ backup-interface interface-type interface-number ] |
必选 缺省情况下,流行为中未配置任何流镜像 |
|
配置流镜像引用的采样器 |
mirror-to interface interface-type interface-number [ backup-interface interface-type interface-number ] sampler sampler-name |
可选 缺省情况下,流镜像未引用任何采样器 |
配置跨框流镜像到OAA单板的端口时,OAA单板的端口必须包含在VLAN 1内。同时,建议您尽量不要在VLAN 1内配置其它业务,以免影响统计结果。
· 有关traffic behavior命令的详细介绍,请参见“ACL和QoS命令参考”中的“QoS策略”。
· 有关采样器的详细介绍,请参见“网络管理和监控配置指导”中的“Sampler”。
表2-4 配置流镜像到VLAN
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
定义流行为,并进入流行为视图 |
traffic behavior behavior-name |
必选 缺省情况下,不存在任何流行为 |
|
配置流镜像到指定VLAN |
mirror-to vlan vlan-id |
必选 缺省情况下,流行为中未配置任何流镜像 对于LST1XP16LEB1、LST1XP16LEC1、 LST1XP16LEC2单板,配置流镜像到指定VLAN时,功能不支持。 |
· 有关traffic behavior命令的详细介绍,请参见“ACL和QoS命令参考”中的“QoS策略”。
· 允许将流量镜像到尚未创建的VLAN,待该VLAN被创建并有端口加入后,本配置将在这些端口上自动生效。
表2-5 配置流镜像到CPU
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
定义流行为,并进入流行为视图 |
traffic behavior behavior-name |
必选 缺省情况下,不存在任何流行为 |
|
配置流镜像到CPU |
mirror-to cpu |
必选 缺省情况下,流行为中未配置任何流镜像 |
· 有关traffic behavior命令的详细介绍,请参见“ACL和QoS命令参考”中的“QoS策略”。
· 上述CPU是指配置了流镜像的接口所在单板上的CPU。
表2-6 配置QoS策略
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
定义QoS策略,并进入QoS策略视图 |
qos policy policy-name |
必选 缺省情况下,不存在任何策略 |
|
为流分类指定采用的流行为 |
classifier tcl-name behavior behavior-name |
必选 缺省情况下,没有为流分类指定采用的流行为 |
有关qos policy和classifier behavior命令的详细介绍,请参见“ACL和QoS命令参考”中的“QoS策略”。
有关应用QoS策略的详细介绍,请参见“ACL和QoS配置指导”中的“QoS配置方式”。
将QoS策略应用到某接口,可以方便对该接口上的流量进行管理。一个QoS策略可以应用于多个接口,而接口在出/入的每个方向上只能应用一个QoS策略。
表2-7 基于接口应用
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入接口视图 |
interface interface-type interface-number |
- |
|
应用QoS策略到接口 |
qos apply policy policy-name inbound |
必选 |
有关qos apply policy命令的详细介绍,请参见“ACL和QoS命令参考”中的“QoS策略”。
将QoS策略应用到某VLAN,可以对该VLAN内各端口指定方向上的流量进行镜像。
表2-8 基于VLAN应用
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
应用QoS策略到指定VLAN |
qos vlan-policy policy-name vlan vlan-id-list inbound |
必选 |
有关qos vlan-policy命令的详细介绍,请参见“ACL和QoS命令参考”中的“QoS策略”。
将QoS策略应用到全局,可以对设备各端口指定方向上的流量进行镜像。
表2-9 基于全局应用
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
应用QoS策略到全局 |
qos apply policy policy-name global inbound |
必选 |
有关qos apply policy命令的详细介绍,请参见“ACL和QoS命令参考”中的“QoS策略”。
在完成上述配置后,在任意视图下执行display命令可以显示配置后流镜像的运行情况,通过查看显示信息验证配置的效果。
表2-10 流镜像显示和维护
|
操作 |
命令 |
|
显示用户自定义流行为的配置信息 |
display traffic behavior user-defined [ behavior-name ] [ | { begin | exclude | include } regular-expression ] |
|
显示用户自定义策略的配置信息 |
display qos policy user-defined [ policy-name [ classifier tcl-name ] ] [ | { begin | exclude | include } regular-expression ] |
有关display traffic behavior和display qos policy命令的详细介绍,请参见“ACL和QoS命令参考”中的“QoS策略”。
· 某公司内的各部门之间使用不同网段的IP地址,其中市场部和技术部分别使用192.168.1.0/24和192.168.2.0/24网段,该公司的工作时间为每周工作日的8点到18点。
· 通过配置流镜像,使Server可以监控技术部访问互联网的WWW流量,以及技术部在工作时间发往市场部的IP流量。
图2-1 流镜像典型配置组网图
(1) 配置监控技术部访问互联网的流量
# 创建ACL 3000,并定义如下规则:匹配技术部(192.168.2.0/24网段)访问WWW的报文。
<DeviceA> system-view
[DeviceA] acl number 3000
[DeviceA-acl-adv-3000] rule permit tcp source 192.168.2.0 0.0.0.255 destination-port eq www
[DeviceA-acl-adv-3000] quit
# 创建流分类tech_c,并配置报文匹配规则为ACL 3000。
[DeviceA] traffic classifier tech_c
[DeviceA-classifier-tech_c] if-match acl 3000
[DeviceA-classifier-tech_c] quit
# 创建流行为tech_b,并配置流镜像到接口GE4/0/3。
[DeviceA] traffic behavior tech_b
[DeviceA-behavior-tech_b] mirror-to interface Gigabitethernet 4/0/3
[DeviceA-behavior-tech_b] quit
# 创建QoS策略tech_p,并指定流分类tech_c采用流行为tech_b。
[DeviceA] qos policy tech_p
[DeviceA-qospolicy-tech_p] classifier tech_c behavior tech_b
[DeviceA-qospolicy-tech_p] quit
# 将QoS策略tech_p应用到接口GE4/0/4的入方向上。
[DeviceA] interface Gigabitethernet 4/0/4
[DeviceA-Gigabitethernet4/0/4] qos apply policy tech_p inbound
[DeviceA-Gigabitethernet4/0/4] quit
(2) 配置监控技术部发往市场部的流量
# 定义工作时间:创建名为work的时间段,其时间范围为每周工作日的8点到18点。
[DeviceA] time-range work 8:0 to 18:0 working-day
# 创建ACL 3001,并定义如下规则:匹配在工作时间由技术部(192.168.2.0/24网段)发往市场部(192.168.1.0/24网段)的IP报文。
[DeviceA] acl number 3001
[DeviceA-acl-adv-3001] rule permit ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 time-range work
[DeviceA-acl-adv-3001] quit
# 创建流分类mkt_c,并配置报文匹配规则为ACL 3001。
[DeviceA] traffic classifier mkt_c
[DeviceA-classifier-mkt_c] if-match acl 3001
[DeviceA-classifier-mkt_c] quit
# 创建流行为mkt_b,并配置流镜像到接口GE4/0/3。
[DeviceA] traffic behavior mkt_b
[DeviceA-behavior-mkt_b] mirror-to interface Gigabitethernet 4/0/3
[DeviceA-behavior-mkt_b] quit
# 创建QoS策略mkt_p,并指定流分类mkt_c采用流行为mkt_b。
[DeviceA] qos policy mkt_p
[DeviceA-qospolicy-mkt_p] classifier mkt_c behavior mkt_b
[DeviceA-qospolicy-mkt_p] quit
# 将QoS策略mkt_p应用到接口GE4/0/4的入方向上。
[DeviceA] interface Gigabitethernet 4/0/4
[DeviceA-Gigabitethernet4/0/4] qos apply policy mkt_p inbound
(3) 检验配置效果
配置完成后,用户可以通过Server监控技术部访问互联网的WWW流量,以及技术部在工作时间发往市场部的IP流量。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
