- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
15-镜像配置
本章节下载: 15-镜像配置 (282.46 KB)
端口镜像通过将指定端口、VLAN或CPU的报文复制到与数据监测设备相连的端口,使用户可以利用数据监测设备分析这些复制过来的报文,以进行网络监控和故障排除。
镜像源是指被监控的对象,配置为监控对象的端口为源端口,配置为监控对象的VLAN为源VLAN,配置为监控对象的CPU为源CPU。经镜像源收发的报文会被复制一份到与数据监测设备相连的端口,用户就可以对这些报文(称为镜像报文)进行监控和分析了。
镜像源所在的设备称为源设备。
镜像目的是指镜像报文所要到达的目的地,即与数据监测设备相连的端口,该端口称为目的端口。目的端口会将镜像报文转发给与之相连的数据监测设备。
由于一个目的端口可以同时监控多个镜像源,因此在某些组网环境下,目的端口可能收到对同一报文的多份拷贝。例如,目的端口Port A同时监控同一台设备上的源端口Port B和Port C收发的报文,如果某报文从Port B进入该设备后又从Port C发送出去,那么该报文将被复制两次给Port A。
目的端口所在的设备称为目的设备。
镜像方向是指在镜像源上可复制哪些方向的报文:
· 入方向:是指仅复制镜像源收到的报文。
· 出方向:是指仅复制镜像源发出的报文。
· 双向:是指对镜像源收到和发出的报文都进行复制。
镜像组是一个逻辑上的概念,镜像源和镜像目的都要属于某一个镜像组。根据具体的实现方式不同,镜像组可分为本地镜像组、远程源镜像组和远程目的镜像组。
反射端口、出端口和远程镜像VLAN都是在二层远程端口镜像的实现过程中用到的概念。远程镜像VLAN是将镜像报文从源设备传送至目的设备的专用VLAN;反射端口和出端口都位于源设备上,都用来将镜像报文发送到远程镜像VLAN中。
在配置端口镜像的设备上,除源端口、目的端口、反射端口、出端口外的其他端口统称为普通端口。
根据镜像源与镜像目的是否位于同一台设备上,可以将端口镜像分为:
· 本地端口镜像(SPAN,Switch port Analyzer):当源设备与数据监测设备直接相连时,源设备同时作为目的设备,即由本设备将镜像报文转发至数据检测设备,该端口镜像称为本地端口镜像。
· 远程端口镜像:当源设备与数据监测设备不直接相连时,与数据监测设备直接相连的设备作为目的设备,源设备需要将镜像报文复制一份至目的设备,然后由目的设备将镜像报文转发至数据监测设备,该端口镜像称为远程端口镜像。根据源设备与目的设备之间的连接关系,又可将远程端口镜像细分为:
¡ 二层远程端口镜像(RSPAN,Remote SPAN):源设备与目的设备之间通过二层网络进行连接。
¡ 三层远程端口镜像(ERSPAN,Encapsulated remote SPAN):源设备与目的设备之间通过三层网络进行连接。
¡
如图1-1所示,现在需要设备将进入端口Port A的报文复制一份,从端口Port B将报文转发给数据监测设备。为满足该需求,可以配置本地镜像组,其中源端口为Port A,镜像方向为入方向,目的端口为Port B。
ERSPAN(Encapsulated Remote Switch Port Analyzer,封装远程端口镜像)是一种三层远程镜像技术,通过复制指定端口、VLAN或CPU的报文,并通过GRE隧道将复制的报文发送到远程数据监测设备,使用户可以利用数据监测设备分析这些报文(称为镜像报文),以进行网络监控和故障排除。
ERSPAN的实现包括Tunnel方式和配置封装参数方式。
Tunnel方式三层远程端口镜像使用本地镜像组的方式实现,即在源设备和目的设备上分别创建各自的本地镜像组,每个本地镜像组也拥有各自的镜像源和目的端口。不同的是:
· 在源设备上:
¡ 源端口为待监控的端口。
¡ 目的端口为用于传输镜像报文的Tunnel接口。
· 在目的设备上:
¡ 源端口为Tunnel接口对应的物理端口。
¡ 目的端口为连接数据监测设备的端口。
Tunnel方式三层远程端口镜像报文的转发过程如图1-2所示。
(1) 源设备将进入源端口的报文复制一份给其Tunnel接口(即目的端口)。有关Tunnel接口的详细介绍,请参见“接口管理配置指导”中“隧道接口”。
(2) 报文经由GRE(Generic Routing Encapsulation,通用路由封装)隧道转发至目的设备端的Tunnel接口。有关GRE隧道的详细介绍,请参见“三层技术-IP业务配置指导”中的“GRE”。
(3) 目的设备将从该Tunnel接口对应的物理接口(即源端口)收到的镜像报文复制一份给目的端口。
(4) 最后由目的设备上的目的端口将镜像报文转发到数据监测设备。
配置封装参数方式三层远程端口镜像仅需在源设备上进行配置;同时所有设备上需配置单播路由协议,并确保设备之间的三层网络畅通。
在源设备上先创建一个本地镜像组,然后为该镜像组配置源端口和目的端口。配置目的端口时,指定镜像报文封装的目的IP地址为监测设备的地址,源IP地址为目的端口的IP地址。
如图1-3所示,配置封装参数方式三层远程端口镜像报文的转发过程为:
(1) 源设备将经过源端口的报文复制一份。
(2) 源设备为复制的报文添加ERSPAN封装,封装的源IP地址为目的端口的IP地址,目的IP地址为监测设备的IP地址。
(3) 封装后的报文通过IP网络路由转发到监测设备。
(4) 监测设备对报文进行解封装,并分析镜像报文的内容。
配置封装参数方式ERSPAN镜像到监测设备的报文为封装后的报文,因此监测设备必须支持解封装。
对于二层远程端口镜像反射端口方式,源设备的反射端口将镜像报文在远程镜像VLAN中广播。因此,可以利用远程镜像VLAN的原理,在本地设备上创建远程源镜像组,并指定远程镜像VLAN,同时将本设备上连接数据检测设备的多个端口加入该VLAN,镜像报文在远程镜像VLAN中广播时便可以从这些端口中发送出去,实现将镜像报文输出到本地多个端口的需求。而对于出端口方式则无此实现。
设备同时配置镜像和聚合时,请注意避免出现镜像源端口为聚合组A的成员端口,镜像目的端口、出端口或反射端口为聚合组B的成员端口的情况,以免聚合组B成员端口接收到聚合组A成员端口的镜像LACP报文,引起聚合接口震荡。
在完成镜像源和镜像目的配置之后,本地镜像组才能生效。
镜像支持对软件转发接口和硬件转发接口进行镜像,同一个镜像组中软件转发接口和硬件转发接口不能共存。软件转发接口和硬件转发接口的支持情况与设备的型号有关,请以设备的实际情况为准。
本地镜像组可支持跨板镜像,即镜像源与镜像目的可以位于同一台设备的不同单板上。
本地端口镜像配置任务如下:
(1) 创建本地镜像组
(2) 配置镜像源
请选择以下一项任务进行配置:
¡ 配置镜像源
(3) 配置镜像目的
(1) 进入系统视图。
system-view
(2) 创建本地镜像组。
mirroring-group group-id local [ keep-link-header ]
配置源端口时,需要注意的是:
· 一个镜像组内可以配置多个源端口。
· 一个端口只能被一个镜像组用作源端口。
· 源端口不能用作反射端口、出端口或目的端口。
· 三层聚合接口的成员端口为软件转发接口时,不支持对该端口进行镜像。软件转发接口的支持情况与设备的型号有关,请以设备的实际情况为准。
· 在系统视图下配置源端口。
a. 进入系统视图。
system-view
b. 为本地镜像组配置源端口。
mirroring-group group-id mirroring-port interface-list { both | inbound | outbound }
缺省情况下,未为本地镜像组配置源端口。
· 在接口视图下配置源端口。
c. 进入系统视图。
system-view
d. 进入接口视图。
interface interface-type interface-number
e. 配置当前端口为本地镜像组的源端口。
mirroring-group group-id mirroring-port { both | inbound | outbound }
缺省情况下,未配置当前端口为本地镜像组的源端口。
不能在目的端口上开启生成树协议,否则会影响镜像功能的正常使用。
一个本地镜像组中仅可以配置一个目的端口。
当二层聚合接口作为目的端口时,请勿将其成员端口配置为源端口,否则会影响镜像功能的正常使用。
从目的端口发出的报文包括镜像报文和其他端口正常转发来的报文。为了保证数据监测设备只对镜像报文进行分析,请将目的端口只用于端口镜像,不作其他用途。
· 在系统视图下配置目的端口。
a. 进入系统视图。
system-view
b. 为本地镜像组配置目的端口。
mirroring-group group-id monitor-port interface-type interface-number
缺省情况下,未为本地镜像组配置目的端口。
· 在接口视图下配置目的端口。
c. 进入系统视图。
system-view
d. 进入接口视图。
interface interface-type interface-number
e. 配置本端口为本地镜像组的目的端口。
mirroring-group group-id monitor-port
缺省情况下,未配置当前端口为本地镜像组的目的端口。
如果源设备和目的设备之间存在中间设备,则需要在中间设备上配置单播路由协议,以确保源设备与目的设备之间的三层网络畅通。
镜像支持对软件转发接口和硬件转发接口进行镜像,同一个镜像组中软件转发接口和硬件转发接口不能共存。软件转发接口和硬件转发接口的支持情况与设备的型号有关,请以设备的实际情况为准。
源设备配置任务如下:
(2) 配置镜像源
请选择以下一项任务进行配置:
¡ 配置源端口
(3) 配置镜像目的
目的设备配置任务如下:
(1) 创建本地镜像组
(2) 配置镜像源
(3) 配置镜像目的
在配置三层远程端口镜像之前,需创建并配置GRE模式的Tunnel接口。该Tunnel接口的源地址和目的地址分别为其对应的源设备和目的设备上物理接口的IP地址。有关Tunnel接口的详细配置,请参见“接口管理配置指导”中的“隧道接口”。
请分别在源设备和目的设备上进行如下配置。
(1) 进入系统视图。
system-view
(2) 创建本地镜像组。
mirroring-group group-id local
配置源端口时,需要注意的是:
· 在源设备上,请将源端口指定为待监控的端口;而在目的设备上,请将源端口指定为Tunnel接口对应的物理端口。
· 一个端口只能被一个镜像组用作源端口还是可被多个镜像组用作源端口,请以设备的实际情况为准。
· 源端口不能用作反射端口、出端口或目的端口。
· 三层聚合接口的成员端口为软件转发接口时,不支持对该端口进行镜像。
·
· 在系统视图下配置源端口。
a. 进入系统视图。
system-view
b. 为本地镜像组配置源端口。
mirroring-group group-id mirroring-port interface-list { both | inbound | outbound }
缺省情况下,未为本地镜像组配置源端口。
· 在接口视图下配置源端口。
c. 进入系统视图。
system-view
d. 进入接口视图。
interface interface-type interface-number
e. 配置本端口为本地镜像组的源端口。
mirroring-group group-id mirroring-port { both | inbound | outbound }
缺省情况下,未配置当前端口为本地镜像组的源端口。
在源设备上,请将目的端口指定为Tunnel接口;而在目的设备上,请将目的端口指定为连接数据监测设备的端口。
在源设备上,一个本地镜像组中可以配置多个目的Tunnel端口还是仅可以配置一个目的Tunnel端口与设备型号有关,请以设备的实际情况为准。
在目的设备上,不能在目的端口上开启生成树协议,否则会影响镜像功能的正常使用。
在目的设备上,一个本地镜像组中可以配置多个目的端口还是仅可以配置一个目的端口与设备型号有关,请以设备的实际情况为准。
从目的端口发出的报文包括镜像报文和其他端口正常转发来的报文。为了保证数据监测设备只对镜像报文进行分析,请将目的端口只用于端口镜像,不作其他用途。
· 在系统视图下配置目的端口。
a. 进入系统视图。
system-view
b. 为本地镜像组配置目的端口。
mirroring-group group-id monitor-port interface-list
缺省情况下,未为远程镜像组配置目的端口。
· 在接口视图下配置目的端口。
c. 进入系统视图。
system-view
d. 进入接口视图。
interface interface-type interface-number
e. 配置本端口为本地镜像组的目的端口。
mirroring-group group-id monitor-port
缺省情况下,未配置当前端口为镜像组的目的端口。
配置封装参数方式ERSPAN仅需在源设备上进行;同时所有设备上需配置单播路由协议,以确保设备之间的三层网络畅通。
在源设备上先创建一个本地镜像组,然后为该镜像组配置源端口和目的端口。
镜像支持对软件转发接口和硬件转发接口进行镜像,同一个镜像组中软件转发接口和硬件转发接口不能共存。软件转发接口和硬件转发接口的支持情况与设备的型号有关,请以设备的实际情况为准。
配置封装参数方式ERSPAN,镜像到监控设备的报文为封装后的报文,仅监控设备支持解封装时,才可以解析镜像的原始报文。
源设备配置任务如下:
(1) 创建本地镜像组
(2) 配置镜像源
请选择以下一项任务进行配置:
¡ 配置镜像源
¡ 配置镜像源
(3) 配置镜像目的
(1) 进入系统视图。
system-view
(2) 创建本地镜像组。
mirroring-group group-id local
配置源端口时,需要注意的是:
· 一个端口只能被一个镜像组用作源端口还是可被多个镜像组用作源端口,请以设备的实际情况为准。
· 源端口不能用作反射端口、出端口或目的端口。
· 三层聚合接口的成员端口为软件转发接口时,不支持对该端口进行镜像。
· 在系统视图下配置源端口。
a. 进入系统视图。
system-view
b. 为本地镜像组配置源端口。
mirroring-group group-id mirroring-port interface-list { both | inbound | outbound }
缺省情况下,未为本地镜像组配置源端口。
· 在接口视图下配置源端口。
c. 进入系统视图。
system-view
d. 进入接口视图。
interface interface-type interface-number
e. 配置本端口为本地镜像组的源端口。
mirroring-group group-id mirroring-port { both | inbound | outbound }
缺省情况下,未配置当前端口为本地镜像组的源端口。
(1) 进入系统视图。
system-view
(2) 为本地镜像组配置源CPU。
mirroring-group group-id mirroring-cpu slot slot-number-list { both | inbound | outbound }
缺省情况下,未为本地镜像组配置源CPU。
不能在目的端口上开启生成树协议,否则会影响镜像功能的正常使用。
一个本地镜像组中可以配置多个目的端口还是仅可以配置一个目的端口与设备型号有关,请以设备的实际情况为准。
从目的端口发出的报文包括镜像报文和其他端口正常转发来的报文。为了保证数据监测设备只对镜像报文进行分析,请将目的端口只用于端口镜像,不作其他用途。
· 在系统视图下配置目的端口。
a. 进入系统视图。
system-view
b. 为本地镜像组配置目的端口。
mirroring-group group-id monitor-port interface-type interface-number | vrf-instance vrf-name | reflector-port interface-type interface-number probe-vlan probe-vlan-id ] * [ destination-mac mac-address ] | destination-mac mac-address }
缺省情况下,未为远程镜像组配置目的端口。
· 在接口视图下配置目的端口。
c. 进入系统视图。
system-view
d. 进入接口视图。
interface interface-type interface-number
e. 配置本端口为本地镜像组的目的端口。
mirroring-group group-id monitor-port | vrf-instance vrf-name | reflector-port interface-type interface-number probe-vlan probe-vlan-id ] * [ destination-mac mac-address ] | destination-mac mac-address } [ pop-label | truncation ] *
缺省情况下,未配置当前端口为镜像组的目的端口。
可在任意视图下执行以下命令,显示镜像组的配置信息。
display mirroring-group { group-id | all | local }
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
