- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
20-端口镜像操作
本章节下载 (270 KB)
目 录
端口镜像分为本地端口镜像和远程端口镜像:
l 本地端口镜像是指将设备的一个或多个端口(源端口)的报文复制到本设备的一个监视端口(目的端口),用于报文的分析和监视。其中,源端口和目的端口必须在同一台设备上。
l 远程端口镜像突破了源端口和目的端口必须在同一台设备上的限制,源端口和目的端口间可以跨越多个网络设备。目前,远程端口镜像功能可以穿越二层网络,但无法穿越三层网络。
端口镜像通过镜像组的方式实现,镜像组可以分为本地镜像组、远程源镜像组和远程目的镜像组三类。
端口镜像的实现方式包括:
l 本地端口镜像通过本地镜像组的方式实现。设备将源端口的报文复制一份并转发到目的端口。
l 远程端口镜像通过远程源镜像组和远程目的镜像组互相配合的方式实现。设备将源端口的报文复制一份,然后通过反射口将报文在远程镜像VLAN中进行广播。远程的设备收到报文后,比较报文的VLAN ID和远程目的镜像组的远程镜像VLAN是否相同,如果相同,则将该报文转发到远程目的镜像组的目的端口。
此外,镜像组支持一个目的端口监视多个源端口的功能。
& 说明:
l S3610&S5510系列以太网交换机只支持配置1个本地镜像组或1个远程源镜像组,两者不能同时配置。
l 如果流镜像目的端口和本地端口镜像组的目的端口为不同的端口,则两者不能同时配置。关于流镜像的配置请参见“QoS”模块的相关内容。
配置本地端口镜像时,用户首先要创建一个本地镜像组,然后为本地镜像组配置源端口和目的端口。
表1-1 配置本地端口镜像
|
命令 |
说明 |
||
|
进入系统视图 |
system-view |
- |
|
|
创建本地镜像组 |
mirroring-group group-id local |
必选 |
|
|
为镜像组配置源端口 |
在系统视图下配置源端口 |
mirroring-group group-id mirroring-port mirroring-port-list { inbound | outbound | both } |
二者必选其一 用户可以在系统视图下同时配置多个源端口,也可以在具体的端口视图下配置源端口,两种视图下的配置效果相同 |
|
在端口视图下配置源端口 |
interface interface-type interface-number |
||
|
[ mirroring-group group-id ] mirroring-port { inbound | outbound | both } |
|||
|
quit |
|||
|
为镜像组配置目的端口 |
在系统视图下配置目的端口 |
mirroring-group group-id monitor-port monitor-port-id |
二者必选其一 两种视图下的配置效果相同 |
|
在端口视图下配置目的端口 |
interface interface-type interface-number |
||
|
[ mirroring-group group-id ] monitor-port |
|||
& 说明:
l 本地镜像组需要配置源端口、目的端口才能生效。
l 建议用户不要在目的端口上使能STP、RSTP或MSTP,否则会影响设备的正常使用,反之亦然。
l 源端口和目的端口不能是现有镜像组的成员端口,目的端口不能是聚合成员端口。
l 指定的镜像组必须预先创建,而且一个镜像组只能配置一个目的端口。
为了实现远程端口镜像功能,需要定义一个特殊的VLAN,称之为远程镜像VLAN(Remote-probe VLAN)。所有被镜像的报文通过该VLAN从源交换机的反射口传递到目的交换机的镜像端口,实现在目的交换机上对远程源交换机端口的报文进行监控的功能。对Remote-probe VLAN有以下要求:
l 建议用户将该VLAN中的设备互连端口都配置为Trunk端口;
l 建议用户不要将缺省VLAN配置为Remote-probe VLAN;
l 需要通过配置保证Remote-probe VLAN从源交换机到目的交换机的二层互通性。
远程端口镜像的应用示意图如下所示。
实现了远程端口镜像功能的交换机分为三种:
l 源交换机:被监测的端口所在的交换机,负责将镜像流量复制到Remote-probe VLAN中,然后通过二层转发给中间交换机或目的交换机。
l 中间交换机:网络中处于源交换机和目的交换机之间的交换机,通过Remote-probe VLAN把镜像流量传输给下一个中间交换机或目的交换机。如果源交换机与目的交换机直接相连,则不存在中间交换机。
l 目的交换机:远程镜像目的端口所在的交换机,将从Remote-probe VLAN接收到的镜像流量通过镜像目的端口转发给监控设备。
& 说明:
当交换机作为远程镜像的中间设备或目的设备时,为了保证镜像的正常实现,建议用户在入端口上配置重定向,将Remote-probe VLAN内的报文全部重定向到相应的出端口(中间设备)或镜像目的端口(目的设备)。如果配置为镜像双向(both)报文,则必须在入端口上配置重定向,因为入端口同时学习报文的源与目的MAC地址,报文的出端口与入端口相同,报文被丢弃。关于重定向的配置请参见“QoS”模块的相关内容。
远程源镜像组需要配置源端口、反射口以及远程镜像VLAN。
表1-2 配置远程源镜像组
|
操作 |
命令 |
说明 |
|
|
进入系统视图 |
system-view |
- |
|
|
创建远程源镜像组 |
mirroring-group group-id remote-source |
必选 |
|
|
为镜像组配置源端口 |
在系统视图下配置源端口 |
mirroring-group group-id mirroring-port mirroring-port-list { inbound | outbound | both } |
二者必选其一 用户可以在系统视图下同时配置多个源端口,也可以在具体的端口视图下配置源端口,两种视图下的配置效果相同 |
|
在端口视图下配置源端口 |
interface interface-type interface-number |
||
|
[ mirroring-group group-id ] mirroring-port { inbound | outbound | both } |
|||
|
quit |
|||
|
为镜像组配置反射口 |
在系统视图下配置反射口 |
mirroring-group group-id reflector-port reflector-port-id |
二者必选其一 两种视图下的配置效果相同 |
|
在端口视图下配置反射口 |
interface interface-type interface-number |
||
|
mirroring-group group-id reflector-port |
|||
|
quit |
|||
|
为镜像组配置远程镜像VLAN |
mirroring-group group-id remote-probe vlan rprobe-vlan-id |
必选 |
|
& 说明:
l 远程源镜像组的所有端口都属于同一台设备,一个远程源镜像组只能配置一个反射口。
l 反射口不能是现有镜像组的成员端口、聚合成员端口,必须是Access端口且属于缺省VLAN;不能配置QinQ、端口环回、业务环回功能。
l 端口的双工模式、端口速率、MDI属性取值均为缺省值时,才能将端口配置为反射口;将某个端口配置为反射口后,不能再修改端口双工模式、端口速率、MDI属性取值,即这些属性只能为缺省值。
l 建议用户不要将源端口加入到远程镜像VLAN,远程镜像VLAN不用做其他用途,仅用于远程镜像。
l 建议用户不要在反射口连接网线,不要在反射口上配置下列功能:STP、RSTP、MSTP、802.1x、IGMP Snooping、静态ARP和MAC地址学习功能,否则会影响设备的正常使用。
l 配置远程镜像VLAN时,要求该VLAN为静态VLAN并预先创建。被配置成远程镜像VLAN后,该VLAN不能直接删除,必须先删除远程镜像VLAN的配置才能够删除这个VLAN。如果镜像组生效后,远程镜像VLAN被取消,那么该镜像组将失效。
l 一个端口只能加入到一个镜像组;一个VLAN只能被一个镜像组使用。
远程目的镜像组需要配置远程镜像VLAN和目的端口。
表1-3 配置远程目的镜像组
|
操作 |
命令 |
说明 |
|
|
进入系统视图 |
system-view |
- |
|
|
创建远程目的镜像组 |
mirroring-group group-id remote-destination |
必选 |
|
|
为镜像组配置远程镜像VLAN |
mirroring-group group-id remote-probe vlan rprobe-vlan-id |
必选 |
|
|
为镜像组配置目的端口 |
在系统视图下配置目的端口 |
mirroring-group group-id monitor-port monitor-port-id |
二者必选其一 两种视图下的配置效果相同 |
|
在端口视图下配置目的端口 |
interface interface-type interface-number |
||
|
[ mirroring-group group-id ] monitor-port |
|||
|
quit |
|||
|
进入目的端口视图 |
interface interface-type interface-number |
- |
|
|
将目的端口加入远程镜像VLAN |
目的端口为Access端口 |
port access vlan rprobe-vlan-id |
三者必选其一 |
|
目的端口为Trunk端口 |
port trunk permit vlan rprobe-vlan-id |
||
|
目的端口为Hybrid端口 |
port hybrid vlan rprobe-vlan-id { tagged | untagged } |
||
& 说明:
l 目的端口不能是现有镜像组的成员端口。
l 一个端口只能加入到一个镜像组;一个VLAN只能被一个镜像组使用。
l 建议用户不要在目的端口上使能STP、RSTP或MSTP,否则会影响设备的正常使用,反之亦然。
l 配置远程镜像VLAN时,要求该VLAN为静态VLAN并预先创建。被配置成远程镜像VLAN后,该VLAN不能直接删除,必须先删除远程镜像VLAN的配置才能够删除这个VLAN。如果镜像组生效后,远程镜像VLAN被取消,那么该镜像组将失效。
完成上述配置后,在任意视图下执行display命令,可以显示配置镜像组后的运行情况。通过查看显示信息,用户可以验证配置的效果。
表1-4 端口镜像显示
|
操作 |
命令 |
|
显示端口镜像组的配置信息 |
display mirroring-group { group-id | local | remote-source | remote-destination | all } |
某公司有两个部门,研发部和市场部。网络描述如下:
l 研发部通过端口Ethernet 1/0/1接入Switch C;
l 市场部通过端口Ethernet 1/0/2接入Switch C;
l 数据检测设备Server连接在Switch C的Ethernet 1/0/3端口上。
网络管理员希望通过Server对研发部和市场部收发的报文进行监控。
使用本地端口镜像功能实现该需求,在Switch C上进行如下配置:
l 端口Ethernet 1/0/1和Ethernet 1/0/2为镜像源端口;
l 连接Server的端口Ethernet 1/0/3为镜像目的端口。
配置Switch C:
# 创建本地镜像组。
<Sysname> system-view
[Sysname] mirroring-group 1 local
# 为本地镜像组配置源端口和目的端口。
[Sysname] mirroring-group 1 mirroring-port Ethernet 1/0/1 Ethernet 1/0/2 both
[Sysname] mirroring-group 1 monitor-port Ethernet 1/0/3
# 显示所有镜像组的配置信息。
[Sysname] display mirroring-group all
mirroring-group 1:
type: local
status: active
mirroring port:
Ethernet1/0/1 both
Ethernet1/0/2 both
monitor port: Ethernet1/0/3
配置完成后,用户就可以在Server上监控研发部和市场部收发的所有报文。
某公司有两个部门,部门1和部门2。网络描述如下:
l 部门1的报文通过端口Ethernet 1/0/1接入Switch A;
l 部门2的报文通过端口Ethernet 1/0/2接入Switch A;
l Switch A的Trunk端口Ethernet 1/0/3和Switch B的Trunk端口Ethernet 1/0/1相连;
l Switch B的Trunk端口Ethernet 1/0/2和Switch C的Trunk端口Ethernet 1/0/1相连;
l 数据检测设备Server接在Switch C的Ethernet 1/0/2端口上。
网络管理员希望通过Server对部门1和部门2接收的报文进行监控。
使用远程端口镜像功能实现该需求,进行如下配置:
l 在Switch A上配置远程源镜像组,定义VLAN2为远程镜像VLAN,端口Ethernet 1/0/1和Ethernet 1/0/2为镜像源端口,端口Ethernet 1/0/4为反射口;
l 配置Switch A的Ethernet 1/0/3端口、Switch B的Ethernet 1/0/1和Ethernet 1/0/2端口、Switch C的Ethernet 1/0/1端口为Trunk端口,并且端口均允许VLAN2的报文通过;
l 在Switch C上配置远程目的镜像组,定义VLAN2为远程镜像VLAN,连接Server的端口Ethernet 1/0/2为镜像目的端口。
图1-3 配置远程端口镜像组网图
(1) 配置Switch A:
# 创建远程源镜像组。
<Sysname> system-view
[Sysname] mirroring-group 1 remote-source
# 创建VLAN2。
[Sysname] vlan 2
[Sysname-vlan2] quit
# 为远程源镜像组配置远程镜像VLAN、源端口和反射口。
[Sysname] mirroring-group 1 remote-probe vlan 2
[Sysname] mirroring-group 1 mirroring-port Ethernet 1/0/1 Ethernet 1/0/2 inbound
[Sysname] mirroring-group 1 reflector-port Ethernet 1/0/4
# 配置端口Ethernet 1/0/3的链路类型为Trunk端口,允许VLAN2的报文通过。
[Sysname] interface Ethernet 1/0/3
[Sysname-Ethernet1/0/3] port link-type trunk
[Sysname-Ethernet1/0/3] port trunk permit vlan 2
(2) 配置Switch B:
# 配置端口Ethernet 1/0/1的链路类型为Trunk端口,允许VLAN2的报文通过。
<Sysname> system-view
[Sysname] interface Ethernet 1/0/1
[Sysname-Ethernet1/0/1] port link-type trunk
[Sysname-Ethernet1/0/1] port trunk permit vlan 2
[Sysname-Ethernet1/0/1] quit
# 配置端口Ethernet 1/0/2的链路类型为Trunk端口,允许VLAN2的报文通过。
[Sysname] interface Ethernet 1/0/2
[Sysname-Ethernet1/0/2] port link-type trunk
[Sysname-Ethernet1/0/2] port trunk permit vlan 2
& 说明:
建议用户在端口Ethernet 1/0/1上配置重定向,将Remote-probe VLAN内的报文全部重定向到端口Ethernet 1/0/2。关于重定向的配置请参见“QoS”模块的相关内容。
(3) 配置Switch C:
# 配置端口Ethernet 1/0/1的链路类型为Trunk端口,允许VLAN2的报文通过。
<Sysname> system-view
[Sysname] interface Ethernet 1/0/1
[Sysname-Ethernet1/0/1] port link-type trunk
[Sysname-Ethernet1/0/1] port trunk permit vlan 2
[Sysname-Ethernet1/0/1] quit
# 创建远程目的镜像组。
[Sysname] mirroring-group 1 remote-destination
# 创建VLAN2。
[Sysname] vlan 2
[Sysname-vlan2] quit
# 为远程目的镜像组配置远程镜像VLAN和目的端口。
[Sysname] mirroring-group 1 remote-probe vlan 2
[Sysname] mirroring-group 1 monitor-port Ethernet 1/0/2
配置完成后,用户就可以在Server上监控部门1和部门2接收的所有报文。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
