- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
12-端口镜像配置
本章节下载: 12-端口镜像配置 (262.46 KB)
目 录
端口镜像是将指定端口(源端口)的报文复制一份到其它端口(目的端口),目的端口会与数据监测设备相连,用户利用这些数据监测设备来分析复制到目的端口的报文,进行网络监控和故障排除。
为了更好地理解后面的内容,首先介绍一下端口镜像中涉及的基本概念。
源端口是被监控的端口,用户可以对通过该端口的报文进行监控和分析。
目的端口也可称为监控端口,该端口将接收到的报文转发到数据监测设备,以便对报文进行监控和分析。
端口镜像的方向分为三种:
l 入方向:仅对源端口接收的报文进行镜像。
l 出方向:仅对源端口发送的报文进行镜像。
l 双向:对源端口接收和发送的报文都进行镜像。
端口镜像分为两种:
l 本地端口镜像:是指将设备的一个或多个源端口的报文复制到本设备的一个目的端口,用于报文的监控和分析。其中,源端口和目的端口必须在同一台设备上。
l 远程端口镜像:除了可以实现本地端口镜像的功能外,它还突破了源端口和目的端口必须在同一台设备上的限制,使源端口和目的端口间可以跨越多个网络设备。目前,远程端口镜像功能可以穿越二层网络,但无法穿越三层网络。
由于一个目的端口可以同时监视多个源端口,在某些配置情况下,目的端口会收到同一个报文的多个复制报文。例如,目的端口Port 1同时监控源端口Port 2和Port 3接收和发送的所有报文(Port 2和Port 3在同一台设备上),如果一个报文从Port 2进入设备又从Port 3发送出去,那么这个报文将被复制两次送到目的端口Port 1。
端口镜像通过镜像组的方式实现,镜像组可以分为本地镜像组、远程源镜像组和远程目的镜像组三类。
下面将分别介绍两类端口镜像的实现方式。
本地端口镜像可以对所有报文(包括协议报文和数据报文)进行镜像。
本地端口镜像通过本地镜像组的方式实现。源端口和目的端口在同一个本地镜像组中,设备将源端口的报文复制一份并转发到目的端口。
如图1-1所示,源端口的报文被镜像到目的端口,这样,接在目的端口上的数据监测设备就可以对源端口的报文进行监控和分析。
远程端口镜像可以对协议报文之外的所有报文进行镜像。
远程端口镜像通过远程源镜像组和远程目的镜像组互相配合的方式实现。远程端口镜像的示意如图1-2所示。
图中各设备的作用如下:
l 源设备:源端口所在的设备,用户需要在源设备上创建远程源镜像组。本设备负责将源端口的报文复制一份,然后通过反射口将报文在远程镜像VLAN中进行广播,传输给中间设备或目的设备。
l 中间设备:网络中处于源设备和目的设备之间的设备。本设备负责将镜像报文传输给下一个中间设备或目的设备。如果源设备与目的设备直接相连,则不存在中间设备。用户需要确保远程镜像VLAN内源设备到目的设备的二层网络互通性。
l 目的设备:远程镜像目的端口所在的设备,用户需要在目的设备上创建远程目的镜像组。目的设备收到报文后,比较报文的VLAN ID和远程目的镜像组的远程镜像VLAN是否相同,如果相同,则将该报文通过镜像目的端口转发给数据监测设备。
l 由于源端口的报文将被在源设备的远程镜像VLAN中广播,因此可通过把源设备上的其它端口加入远程镜像VLAN的方式,实现本地端口镜像的功能。
l 在一个镜像组中对同一个端口收发的报文进行双向镜像时,需要在中间设备上关闭远程镜像VLAN的MAC地址学习功能,以保证镜像功能的正常进行。
在远程镜像报文离开源设备到达远程目的设备过程中,用户应确保远程镜像报文中VLAN ID的正确性,如果该VLAN ID被修改或删除,远程镜像功能将失效。
S5810系列交换机最多支持创建两个镜像组;在配置两个镜像组时,必须是以下类型的组合:
l 一个本地镜像组和一个远程目的镜像组
l 一个远程源镜像组和一个远程目的镜像组
配置本地端口镜像时,用户首先要创建一个本地镜像组,然后为本地镜像组配置源端口和目的端口。
表1-1 配置本地端口镜像
|
命令 |
说明 |
||
|
进入系统视图 |
system-view |
- |
|
|
创建本地镜像组 |
mirroring-group group-id local |
必选 |
|
|
为镜像组配置源端口 |
在系统视图下配置源端口 |
mirroring-group group-id mirroring-port mirroring-port-list { both | inbound | outbound } |
必选 用户可以在系统视图下同时配置多个源端口,也可以在具体的接口视图下配置源端口,两种视图下的配置效果相同 |
|
在接口视图下配置源端口 |
interface interface-type interface-number |
||
|
[ mirroring-group group-id ] mirroring-port { both | inbound | outbound } |
|||
|
quit |
|||
|
为镜像组配置目的端口 |
在系统视图下配置目的端口 |
mirroring-group group-id monitor-port monitor-port-id |
二者必选其一 两种视图下的配置效果相同 |
|
在接口视图下配置目的端口 |
interface interface-type interface-number |
||
|
[ mirroring-group group-id ] monitor-port |
|||
l 本地镜像组需要配置源端口、目的端口才能生效。
l 建议用户不要在目的端口上使能STP、MSTP和RSTP,否则会影响设备的正常使用。
l 一个镜像组中可以配置多个源端口,但只能配置一个目的端口。
l 一个端口只能被一个镜像组使用。
l 目的端口收到的报文包括复制自源端口的报文和来自其它端口的正常转发报文。为了保证数据监测设备只对源端口的报文进行分析,建议目的端口仅用于端口镜像,不用做其它用途。
配置远程端口镜像时,用户需要在两台设备上分别配置远程源镜像组和远程目的镜像组。两个镜像组所使用的远程镜像VLAN必须相同。
如果用户在设备上启用了GVRP(GARP VLAN Registration Protocol,GARP VLAN注册协议)功能,GVRP可能将远程镜像VLAN注册到不希望的端口上,此时在目的端口就会收到很多不必要的报文。关于GVRP的介绍,请参见“接入分册”中的“GVRP配置”。
确定一个已经存在的静态VLAN作为远程镜像VLAN。
远程源镜像组需要配置源端口、反射口以及远程镜像VLAN。
表1-2 配置远程源镜像组
|
操作 |
命令 |
说明 |
|
|
进入系统视图 |
system-view |
- |
|
|
创建远程源镜像组 |
mirroring-group group-id remote-source |
必选 |
|
|
为镜像组配置源端口 |
在系统视图下配置源端口 |
mirroring-group group-id mirroring-port mirroring-port-list { both | inbound | outbound } |
必选 用户可以在系统视图下同时配置多个源端口,也可以在具体的接口视图下配置源端口,两种视图下的配置效果相同 |
|
在接口视图下配置源端口 |
interface interface-type interface-number |
||
|
[ mirroring-group group-id ] mirroring-port { both | inbound | outbound } |
|||
|
quit |
|||
|
为镜像组配置反射口 |
在系统视图下配置反射口 |
mirroring-group group-id reflector-port reflector-port-id |
二者必选其一 两种视图下的配置效果相同 |
|
在接口视图下配置反射口 |
interface interface-type interface-number |
||
|
mirroring-group group-id reflector-port |
|||
|
quit |
|||
|
为镜像组配置远程镜像VLAN |
mirroring-group group-id remote-probe vlan rprobe-vlan-id |
必选 |
|
l 远程源镜像组的源端口和反射口属于同一台设备。
l 建议用户不要将源端口加入到远程镜像VLAN,否则会影响设备的性能。
l 反射口不能是现有镜像组的成员端口或流镜像目的端口,必须是Access端口且属于缺省VLAN。
l 反射口不能配置端口环回功能。
l 只有在端口的双工模式、端口速率和MDI属性取值均为缺省值时,才能将端口配置为反射口;将某个端口配置为反射口后,不能再修改端口双工模式、端口速率和MDI属性取值,即这些属性只能为缺省值。
l 建议用户不要在反射口连接网线,不要在反射口上配置下列功能:STP、MSTP、RSTP、IGMP Snooping、静态ARP和MAC地址学习,否则会影响设备的正常使用。
l 当配置VLAN为远程镜像VLAN后,不能直接删除该VLAN,必须先删除远程镜像VLAN的配置才能够删除这个VLAN。如果组生效后,VLAN被删除,那么组也将失效。
l 建议远程镜像VLAN不用做其它用途,仅用于远程镜像。
l 一个远程源镜像组中可以配置多个源端口,只能配置一个反射口。
l 一个端口只能被一个镜像组使用,一个VLAN只能被一个镜像组使用。
远程目的镜像组需要配置远程镜像VLAN和目的端口。
表1-3 配置远程目的镜像组
|
操作 |
命令 |
说明 |
|
|
进入系统视图 |
system-view |
- |
|
|
创建远程目的镜像组 |
mirroring-group group-id remote-destination |
必选 |
|
|
为镜像组配置远程镜像VLAN |
mirroring-group group-id remote-probe vlan rprobe-vlan-id |
必选 |
|
|
为镜像组配置目的端口 |
在系统视图下配置目的端口 |
mirroring-group group-id monitor-port monitor-port-id |
二者必选其一 两种视图下的配置效果相同 |
|
在接口视图下配置目的端口 |
interface interface-type interface-number |
||
|
[ mirroring-group group-id ] monitor-port |
|||
|
quit |
|||
|
进入目的接口视图 |
interface interface-type interface-number |
- |
|
|
将目的端口加入远程镜像VLAN |
目的端口为Access端口 |
port access vlan rprobe-vlan-id |
三者必选其一 |
|
目的端口为Trunk端口 |
port trunk permit vlan rprobe-vlan-id |
||
|
目的端口为Hybrid端口 |
port hybrid vlan rprobe-vlan-id { tagged | untagged } |
||
l 当配置VLAN为远程镜像VLAN后,不能直接删除该VLAN,必须先删除远程镜像VLAN的配置才能够删除这个VLAN。如果组生效后,VLAN被删除,那么组也将失效。
l 建议远程镜像VLAN不用做其它用途,仅用于远程镜像。
l 一个端口只能被一个镜像组使用,一个VLAN只能被一个镜像组使用。
l 建议用户不要在目的端口上使能STP、MSTP和RSTP,否则会影响设备的正常使用。
l 目的端口收到的报文包括复制自源端口的报文和来自其它端口的正常转发报文。为了保证数据监测设备只对源端口的报文进行分析,建议目的端口仅用于端口镜像,不用做其它用途。
在完成上述配置后,在任意视图下执行display命令可以显示配置后镜像组的运行情况,通过查看显示信息验证配置的效果。
表1-4 端口镜像显示和维护
|
操作 |
命令 |
|
显示端口镜像组的配置信息 |
display mirroring-group { group-id | all | local | remote-destination | remote-source } |
某公司内部通过交换机实现各部门之间的互连,网络环境描述如下:
l 研发部通过端口GigabitEthernet 1/0/1接入Switch C;
l 市场部通过端口GigabitEthernet 1/0/2接入Switch C;
l 数据监测设备连接在Switch C的GigabitEthernet 1/0/3端口上。
网络管理员希望通过数据监测设备对研发部和市场部收发的报文进行监控。
使用本地端口镜像功能实现该需求,在Switch C上进行如下配置:
l 端口GigabitEthernet 1/0/1和GigabitEthernet 1/0/2为镜像源端口;
l 连接数据监测设备的端口GigabitEthernet 1/0/3为镜像目的端口。
图1-3 配置本地端口镜像组网图
配置Switch C:
# 创建本地镜像组。
<SwitchC> system-view
[SwitchC] mirroring-group 1 local
# 为本地镜像组配置源端口和目的端口。
[SwitchC] mirroring-group 1 mirroring-port GigabitEthernet 1/0/1 GigabitEthernet 1/0/2 both
[SwitchC] mirroring-group 1 monitor-port GigabitEthernet 1/0/3
# 显示所有镜像组的配置信息。
[SwitchC] display mirroring-group all
mirroring-group 1:
type: local
status: active
mirroring port:
GigabitEthernet1/0/1 both
GigabitEthernet1/0/2 both
monitor port: GigabitEthernet1/0/3
配置完成后,用户就可以在数据监测设备上监控研发部和市场部收发的所有报文。
用户网络描述如下:
l 部门1的报文通过端口GigabitEthernet1/0/1接入Switch A。
l 部门2的报文通过端口GigabitEthernet1/0/2接入Switch A。
l Switch A的Trunk端口GigabitEthernet1/0/3和Switch B的Trunk端口GigabitEthernet1/0/1相连。
l Switch B的Trunk端口GigabitEthernet1/0/2和Switch C的Trunk端口GigabitEthernet1/0/1相连。
l Server接在Switch C的GigabitEthernet1/0/2端口上。
需求为:用户希望通过Server对部门1和部门2收发的报文进行远程监控。
使用远程端口镜像功能实现该需求,进行如下配置:
l 在Switch A上配置远程源镜像组,定义VLAN 2为远程镜像VLAN,端口GigabitEthernet1/0/1和GigabitEthernet1/0/2为镜像源端口,端口GigabitEthernet1/0/4为反射口。
l 配置Switch A的GigabitEthernet1/0/3端口、Switch B的GigabitEthernet1/0/1和GigabitEthernet1/0/2端口、Switch C的GigabitEthernet1/0/1端口为Trunk端口,并且端口均允许VLAN 2的报文通过。
l 在Switch C上配置远程目的镜像组,定义VLAN 2为远程镜像VLAN,连接Server的端口GigabitEthernet1/0/2为镜像目的端口。
图1-4 配置远程端口镜像组网图
(1) 配置Switch A(源设备)
# 创建远程源镜像组。
<SwitchA> system-view
[SwitchA] mirroring-group 1 remote-source
# 创建VLAN 2。
[SwitchA] vlan 2
[SwitchA-vlan2] quit
# 为远程源镜像组配置远程镜像VLAN、源端口和反射口。
[SwitchA] mirroring-group 1 remote-probe vlan 2
[SwitchA] mirroring-group 1 mirroring-port gigabitethernet 1/0/1 gigabitethernet 1/0/2 both
[SwitchA] mirroring-group 1 reflector-port gigabitethernet 1/0/4
# 配置GigabitEthernet1/0/3为Trunk端口,并且允许VLAN 2的报文通过。
[SwitchA] interface gigabitethernet 1/0/3
[SwitchA-GigabitEthernet1/0/3] port link-type trunk
[SwitchA-GigabitEthernet1/0/3] port trunk permit vlan 2
(2) 配置Switch B(中间设备)
# 配置GigabitEthernet1/0/1为Trunk端口,并且允许VLAN 2的报文通过。
<SwitchB> system-view
[SwitchB] interface gigabitethernet 1/0/1
[SwitchB-GigabitEthernet1/0/1] port link-type trunk
[SwitchB-GigabitEthernet1/0/1] port trunk permit vlan 2
# 配置GigabitEthernet1/0/2为Trunk端口,并且允许VLAN 2的报文通过。
[SwitchB-GigabitEthernet1/0/1] quit
[SwitchB] interface gigabitethernet 1/0/2
[SwitchB-GigabitEthernet1/0/2] port link-type trunk
[SwitchB-GigabitEthernet1/0/2] port trunk permit vlan 2
(3) 配置Switch C(目的设备)
# 配置GigabitEthernet1/0/1为Trunk端口,并且允许VLAN 2的报文通过。
<SwitchC> system-view
[SwitchC] interface gigabitethernet 1/0/1
[SwitchC-GigabitEthernet1/0/1] port link-type trunk
[SwitchC-GigabitEthernet1/0/1] port trunk permit vlan 2
[SwitchC-GigabitEthernet1/0/1] quit
# 创建远程目的镜像组。
[SwitchC] mirroring-group 1 remote-destination
# 创建VLAN 2。
[SwitchC] vlan 2
[SwitchC-vlan2] quit
# 为远程目的镜像组配置远程镜像VLAN和目的端口。
[SwitchC] mirroring-group 1 remote-probe vlan 2
[SwitchC] interface gigabitethernet 1/0/2
[SwitchC-GigabitEthernet1/0/2] mirroring-group 1 monitor-port
[SwitchC-GigabitEthernet1/0/2] port access vlan 2
配置完成后,用户就可以在Server上监控部门1和部门2收发的所有报文。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
