- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
26-镜像操作
本章节下载 (122.56 KB)
镜像一般是将符合指定规则的报文复制到镜像目的端口。一般镜像目的端口会接入数据检测设备,用户利用这些设备对镜像过来的报文进行分析,进行网络监控和故障排除等。
流镜像就是将匹配ACL规则的业务流复制到指定的目的端口,用于报文分析和监视。在配置流镜像前用户需要先定义符合需求的ACL规则,设备会引用这些ACL规则进行流识别。
端口镜像,即将指定端口接收或者发送的报文复制到镜像目的端口。
表1-1 E352&E328交换机支持的镜像功能及相关命令
|
功能 |
规格 |
相关命令 |
详细配置 |
|
镜像 |
支持流镜像 |
monitor-port mirrored-to |
|
|
支持端口镜像 |
monitor-port mirroring-port |
l 定义了进行流识别的ACL。关于定义ACL的描述请参见本手册“ACL”模块的描述
l 确定了镜像目的端口
l 确定需要进行流镜像配置的端口和被镜像流的方向
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入镜像目的端口的以太网端口视图 |
interface interface-type interface-number |
- |
|
定义当前端口为镜像目的端口 |
monitor-port |
必选 镜像目的端口上不能使能LACP及STP |
|
退出当前视图 |
quit |
- |
|
进入进行流镜像配置的以太网端口视图 |
interface interface-type interface-number |
- |
|
引用ACL进行流识别,对匹配的报文进行流镜像 |
mirrored-to { inbound | outbound } acl-rule { monitor-interface | cpu } |
必选 |
|
显示流量镜像的参数设置 |
display qos-interface { interface-type interface-number | unit-id } mirrored-to |
可选 display命令可以在任意视图下执行 |
|
显示端口的所有QoS设置信息 |
display qos-interface { interface-type interface-number | unit-id } all |
acl-rule:下发的ACL,可以是多种ACL的组合。组合方式说明如下。
表1-3 组合下发ACL的方式
|
组合方式 |
acl-rule的形式 |
|
单独下发一个IP型ACL(包括基本ACL与高级ACL)中所有子规则 |
ip-group acl-number |
|
单独下发一个IP型ACL中一条子规则 |
ip-group acl-number rule rule-id |
|
单独下发一个二层ACL中所有子规则 |
link-group acl-number |
|
单独下发一个二层ACL中一条子规则 |
link-group acl-number rule rule-id |
|
单独下发一个用户自定义ACL中所有子规则 |
user-group acl-number |
|
单独下发一个用户自定义ACL中一条子规则 |
user-group acl-number rule rule-id |
|
同时下发IP型ACL中一条子规则和二层型ACL的一条子规则 |
ip-group acl-number rule rule-id link-group acl-number rule rule-id |
组网需求:
l 交换机的GigabitEthernet 1/1/1接入了10.1.1.1/24网段
l 镜像来自10.1.1.1/24网段的报文到镜像目的端口GigabitEthernet 1/1/4
配置步骤:
<H3C> system-view
[H3C] acl number 2000
[H3C-acl-basic-2000] rule permit source 10.1.1.1 0.0.0.255
[H3C-acl-basic-2000] rule deny source any
[H3C-acl-basic-2000] quit
[H3C] interface gigabitEthernet 1/1/4
[H3C-GigabitEthernet1/1/4] monitor-port
[H3C-GigabitEthernet1/1/4] quit
[H3C] interface gigabitEthernet 1/1/1
[H3C-GigabitEthernet1/1/1] mirrored-to inbound ip-group 2000 monitor-interface
l 确定了镜像源端口,确定了被镜像报文的方向:inbound表示仅对端口接收的报文进行镜像,outbound表示仅对端口发送的报文进行镜像,both表示同时对端口接收和发送的报文进行镜像
l 确定了镜像目的端口
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入镜像目的端口的以太网端口视图 |
interface interface-type interface-number |
- |
|
定义当前端口为镜像目的端口 |
monitor-port |
必选 镜像目的端口上不能使能LACP及STP |
|
退出当前视图 |
quit |
- |
|
进入镜像源端口的以太网端口视图 |
interface interface-type interface-number |
- |
|
配置镜像源端口,同时指定被镜像报文的方向 |
mirroring-port { inbound | outbound | both } |
必选 |
|
显示镜像的参数设置 |
display mirror |
可选 display命令可以在任意视图下执行 |
l 镜像源端口为GigabitEthernet 1/1/1,对端口接收和发送的报文都进行镜像
l 镜像目的端口为GigabitEthernet 1/1/4
配置步骤:
<H3C> system-view
[H3C] interface gigabitEthernet 1/1/4
[H3C-GigabitEthernet1/1/4] monitor-port
[H3C-GigabitEthernet1/1/4] quit
[H3C] interface gigabitEthernet 1/1/1
[H3C-GigabitEthernet1/1/1] mirroring-port both
在完成上述配置后,在任意视图下执行display命令都可以显示配置后镜像功能的运行情况。用户可以通过查看显示信息验证配置的效果。
|
操作 |
命令 |
|
显示端口镜像的参数设置 |
display mirror |
|
显示流镜像的参数设置 |
display qos-interface { interface-type interface-number | unit-id } mirrored-to |
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
