- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
21-镜像操作
本章节下载 (218.67 KB)
镜像是将指定端口的报文复制到镜像目的端口,镜像目的端口会接入数据检测设备,用户利用这些设备分析目的端口接收到的报文,进行网络监控和故障排除。
S5100-SI/EI系列以太网交换机支持配置以下五种镜像方式:
l 本地端口镜像:设备将源端口的报文复制一份并转发到目的端口。
l 远程端口镜像:通过远程源镜像组和远程目的镜像组互相配合实现。设备将源端口的报文复制一份,然后通过反射端口将报文在远程镜像VLAN中进行广播。远程的设备收到报文后,比较报文的VLAN ID和远程目的镜像组的远程镜像VLAN是否相同,如果相同,则将该报文转发到远程目的镜像组的目的端口。
l 基于MAC的镜像:设备将匹配指定MAC地址的报文复制一份并转发到目的端口。
l 基于VLAN的镜像:设备将指定VLAN内的报文复制一份并转发到目的端口。
l 流镜像:是指通过引用ACL进行流识别,对通过指定端口的符合一定规则的报文进行监控。
本地端口镜像是指将设备的一个或多个端口(源端口)的报文复制到本设备的一个监视端口(目的端口),用于报文的分析和监视。其中,源端口和目的端口必须在同一台设备上。
远程端口镜像突破了源端口和目的端口必须在同一台设备上的限制,使源端口和目的端口可以跨越网络中的多个设备,从而方便网络管理人员对远程设备上的流量进行监控。
为了实现远程端口镜像功能,需要定义一个特殊的VLAN,称之为远程镜像VLAN(Remote-probe VLAN)。所有被镜像的报文通过该VLAN从源交换机的反射口传递到目的交换机的镜像端口,实现在目的交换机上对源交换机端口收发的报文进行监控的功能。远程端口镜像的应用示意图如图1-2所示。
实现远程端口镜像功能的交换机分为三种:
l 源交换机:被监控的端口所在的交换机,负责将镜像流量复制到反射端口,然后通过远程镜像VLAN传输给中间交换机或目的交换机。
l 中间交换机:网络中处于源交换机和目的交换机之间的交换机,通过远程镜像VLAN把镜像流量传输给下一个中间交换机或目的交换机。如果源交换机与目的交换机直接相连,则不存在中间交换机。
l 目的交换机:远程镜像目的端口所在的交换机,将从远程镜像VLAN接收到的镜像流量通过镜像目的端口转发给监控设备。
各个交换机上参与镜像的端口如表1-1所示。
|
交换机 |
参与镜像的端口 |
作用 |
|
源交换机 |
源端口(Source Port) |
被监控的端口,通过本地端口镜像把报文复制到指定的反射端口(Reflector port),源端口可以有多个 |
|
反射端口(Reflector port) |
接收从被监控端口镜像的报文,将报文在远程镜像VLAN内广播 |
|
|
Trunk端口 |
将镜像报文发送到中间交换机或者目的交换机 |
|
|
中间交换机 |
Trunk端口 |
将镜像报文发送到目的交换机 中间交换机上需要配置两个Trunk端口,和两侧的设备相连 |
|
目的交换机 |
Trunk端口 |
接收远程镜像报文 |
|
镜像目的端口(Destination port) |
接收从Trunk端口转发的报文,将报文发送到数据监测设备 |
l 用户不能将缺省VLAN、管理VLAN或者动态VLAN配置为远程镜像VLAN。
l 建议用户将远程镜像VLAN中的设备互连端口都配置为Trunk端口,并且通过配置保证远程镜像VLAN内从源交换机到目的交换机的二层互通性。
l 建议用户不要为远程镜像VLAN配置三层接口,不要在远程镜像VLAN上运行其他协议报文,承载其他的业务报文,不要将远程镜像VLAN作为Voice VLAN、协议VLAN使用,否则可能会影响远程端口镜像功能。
基于MAC的镜像是指将匹配指定MAC地址的报文镜像到目的端口,配置了基于MAC的镜像后,设备将如下报文镜像到镜像目的端口:
l 源MAC地址和指定的MAC地址匹配的报文
l 目的MAC地址和指定的MAC地址匹配的报文
与端口镜像相比,基于MAC的镜像提供了一种更加精确的镜像方式,用户可以对网络中特定设备的报文进行监控。
基于VLAN的镜像是指将指定VLAN内的报文镜像到目的端口,配置了基于VLAN的镜像后,设备将VLAN内所有端口接收到的所有报文镜像到目的端口。
与端口镜像相比,基于VLAN的镜像提供了一种更加广泛的镜像方式,用户可以对某个VLAN或者某些VLAN内的报文进行监控。
流镜像是指通过引用ACL进行流识别,对通过指定端口的符合一定规则的报文进行监控。与端口镜像对通过端口的所有流量进行监控相比,流镜像提供了更加细致的监控粒度。关于流镜像的详细配置请参见“QoS-QoS Profile”部分。
|
配置任务 |
说明 |
详细配置 |
|
配置本地端口镜像 |
可选 |
|
|
配置远程端口镜像 |
可选 |
|
|
配置基于MAC的镜像 |
可选 |
|
|
配置基于VLAN的镜像 |
可选 |
l 确定了镜像源端口以及被镜像报文的方向
l 确定了镜像目的端口
表1-3 配置本地端口镜像
|
操作 |
命令 |
说明 |
|
|
进入系统视图 |
system-view |
- |
|
|
创建本地镜像组 |
mirroring-group group-id local |
必选 |
|
|
为镜像组配置源端口 |
在系统视图下配置源端口 |
mirroring-group group-id mirroring-port mirroring-port-list { both | inbound | outbound } |
二者必选其一 用户可以在系统视图下同时配置多个源端口,也可以在具体的端口视图下配置源端口,两种视图下的配置效果相同 |
|
在端口视图下配置源端口 |
interface interface-type interface-number |
||
|
mirroring-group group-id mirroring-port { both | inbound | outbound } |
|||
|
quit |
|||
|
为镜像组配置目的端口 |
在系统视图下配置目的端口 |
mirroring-group group-id monitor-port monitor-port-id |
二者必选其一 两种视图下的配置效果相同 |
|
在端口视图下配置目的端口 |
interface interface-type interface-number |
||
|
mirroring-group group-id monitor-port |
|||
在配置本地端口镜像时,有如下注意事项:
l 本地镜像组需要配置源端口、目的端口才能生效。
l 源端口和目的端口不能是现有镜像组的成员端口,目的端口不能是聚合成员端口、开启了LACP的端口或者开启了STP功能的端口。
S5100-SI/EI系列以太网交换机可以充当远程端口镜像组网中的源交换机、中间交换机或者目的交换机。
l 确定了镜像源端口、反射端口和远程镜像VLAN
l 确定了被镜像报文的方向
l 确保远程镜像VLAN内源交换机到目的交换机的二层互通性
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
创建并进入VLAN视图 |
vlan vlan-id |
vlan-id为远程镜像VLAN的编号 |
|
配置当前VLAN为远程镜像VLAN |
remote-probe vlan enable |
必选 |
|
退出至系统视图 |
quit |
- |
|
进入与中间交换机或目的交换机相连的以太网端口视图 |
interface interface-type interface-number |
- |
|
配置当前端口类型为Trunk |
port link-type trunk |
必选 缺省情况下,端口类型为Access |
|
配置当前端口允许远程镜像VLAN内的报文通过 |
port trunk permit vlan remote-probe-vlan-id |
必选 |
|
退出至系统视图 |
quit |
- |
|
创建远程源镜像组 |
mirroring-group group-id remote-source |
必选 |
|
为远程源镜像组配置源端口 |
mirroring-group group-id mirroring-port mirroring-port-list { both | inbound | outbound } |
必选 |
|
为远程源镜像组配置反射端口 |
mirroring-group group-id reflector-port reflector-port |
必选 |
|
为远程源镜像组配置远程镜像VLAN |
mirroring-group group-id remote-probe vlan remote-probe-vlan-id |
必选 |
在配置源交换机时,有如下注意事项:
l 远程源镜像组的所有端口都属于同一台设备,一个远程源镜像组只能配置一个反射端口。
l 反射端口不能是现有镜像组的成员端口、聚合成员端口、开启了LACP的端口或者开启了STP功能的端口,必须为Access端口且不能配置VLAN-VPN、端口环回检测功能和端口安全功能。
l 将某个端口配置为反射端口后,不能再修改端口双工模式、端口速率、MDI属性的取值。
l 配置远程镜像VLAN时,要求该VLAN为静态VLAN并预先创建。被配置成远程镜像VLAN后,该VLAN不能直接删除,必须先删除远程镜像VLAN的配置才能够删除这个VLAN。如果镜像组生效后,远程镜像VLAN被取消,那么该镜像组将失效。
l 建议用户不要在与中间交换机或目的交换机相连的端口上配置镜像源端口,否则可能引起网络内的流量混乱。
(1) 配置准备
l 确定了Trunk端口、远程镜像VLAN
l 确保远程镜像VLAN内源交换机到目的交换机的二层互通性
(2) 配置过程
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
创建并进入VLAN视图 |
vlan vlan-id |
vlan-id为远程镜像VLAN的编号 |
|
配置当前VLAN为远程镜像VLAN |
remote-probe vlan enable |
必选 |
|
退出至系统视图 |
quit |
- |
|
进入与源交换机、目的交换机或其他中间交换机相连的以太网端口视图 |
interface interface-type interface-number |
- |
|
配置当前端口类型为Trunk |
port link-type trunk |
必选 缺省情况下,端口类型为Access |
|
配置当前端口允许远程镜像VLAN内的报文通过 |
port trunk permit vlan remote-probe-vlan-id |
必选 |
(1) 配置准备
l 确定了镜像目的端口、远程镜像VLAN
l 确保远程镜像VLAN内源交换机到目的交换机的二层互通性
(2) 配置过程
表1-6 配置目的交换机
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
创建并进入VLAN视图 |
vlan vlan-id |
vlan-id为远程镜像VLAN的编号 |
|
配置当前VLAN为远程镜像VLAN |
remote-probe vlan enable |
必选 |
|
退出至系统视图 |
quit |
- |
|
进入与源交换机或中间交换机相连的以太网端口视图 |
interface interface-type interface-number |
- |
|
配置当前端口类型为Trunk |
port link-type trunk |
必选 缺省情况下,端口类型为Access |
|
配置当前端口允许远程镜像VLAN的报文通过 |
port trunk permit vlan remote-probe-vlan-id |
必选 |
|
退出至系统视图 |
quit |
- |
|
创建远程目的镜像组 |
mirroring-group group-id remote-destination |
必选 |
|
为远程目的镜像组配置目的端口 |
mirroring-group group-id monitor-port monitor-port |
必选 |
|
为远程目的镜像组配置远程镜像VLAN |
mirroring-group group-id remote-probe vlan remote-probe-vlan-id |
必选 |
在配置目的交换机时,有如下注意事项:
l 远程镜像目的端口不能是现有镜像组的成员端口、聚合成员端口、开启了LACP的端口或者开启了STP功能的端口。
l 配置远程镜像VLAN时,要求该VLAN为静态VLAN并预先创建。被配置成远程镜像VLAN后,该VLAN不能直接删除,必须先删除远程镜像VLAN的配置才能够删除这个VLAN。如果镜像组生效后,远程镜像VLAN被取消,那么该镜像组将失效。
l 配置基于MAC的镜像时指定的MAC地址必须是MAC地址表项中存在的静态MAC地址。
l 用户可以为远程源镜像组配置基于MAC的镜像,实现基于MAC的远程镜像功能。
l 确定了匹配的MAC地址
l 确定了镜像目的端口
表1-7 配置基于MAC的镜像
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
创建本地或远程源镜像组 |
mirroring-group group-id { local | remote-source } |
必选 |
|
配置基于MAC的镜像 |
mirroring-group group-id mirroring-mac mac vlan vlan-id |
必选 |
|
为镜像组配置目的端口 |
mirroring-group group-id monitor-port monitor-port-id |
必选 需要注意的是,配置基于MAC的远程镜像时不需要在源交换机上配置目的端口 |
配置基于MAC的镜像,将源MAC地址或目的MAC地址匹配000f-e20f-0101的报文镜像到本设备的端口GigabitEthernet 1/0/2。
配置步骤:
<Sysname> system-view
[Sysname] mac-address static 000f-e20f-0101 interface Gigabitethernet 1/0/1 vlan 2
[Sysname] mirroring-group 1 local
[Sysname] mirroring-group 1 mirroring-mac 000f-e20f-0101 vlan 2
[Sysname] mirroring-group 1 monitor-port GigabitEthernet 1/0/2
用户可以为远程源镜像组配置基于VLAN的镜像,实现基于VLAN的远程镜像功能。
l 确定了指定的VLAN编号
l 确定了镜像目的端口
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
创建本地或远程源镜像组 |
mirroring-group group-id { local | remote-source } |
必选 |
|
配置基于VLAN的镜像 |
mirroring-group group-id mirroring-vlan vlan-id inbound |
必选 |
|
为镜像组配置目的端口 |
mirroring-group group-id monitor-port monitor-port-id |
必选 需要注意的是,配置基于VLAN的远程镜时像不需要在镜像源交换机上配置目的端口 |
配置基于VLAN的镜像,将VLAN 2内所有端口接收的报文镜像到本设备的端口GigabitEthernet 1/0/2。
配置步骤:
<Sysname> system-view
[Sysname] mirroring-group 1 local
[Sysname] mirroring-group 1 mirroring-vlan 2 inbound
[Sysname] mirroring-group 1 monitor-port GigabitEthernet 1/0/2
完成上述配置后,在任意视图下执行display命令,可以显示配置镜像后的运行情况。通过查看显示信息,用户可以验证配置的效果。
表1-9 镜像的显示
|
操作 |
命令 |
说明 |
|
显示端口镜像的配置信息 |
display mirroring-group { group-id | all | local | remote-destination | remote-source } |
display命令可以在任意视图下执行 |
某公司内部通过交换机实现各部门之间的互连,网络环境描述如下:
l 研发部通过端口GigabitEthernet 1/0/1接入Switch C;
l 市场部通过端口GigabitEthernet 1/0/2接入Switch C;
l 数据监测设备连接在Switch C的GigabitEthernet 1/0/3端口上。
网络管理员希望通过数据监测设备对研发部和市场部收发的报文进行监控。
使用本地端口镜像功能实现该需求,在Switch C上进行如下配置:
l 端口GigabitEthernet 1/0/1和GigabitEthernet 1/0/2为镜像源端口;
l 连接数据监测设备的端口GigabitEthernet 1/0/3为镜像目的端口。
图1-3 配置本地端口镜像组网图
配置Switch C:
# 创建本地镜像组。
<Sysname> system-view
[Sysname] mirroring-group 1 local
# 为本地镜像组配置源端口和目的端口。
[Sysname] mirroring-group 1 mirroring-port GigabitEthernet 1/0/1 GigabitEthernet 1/0/2 both
[Sysname] mirroring-group 1 monitor-port GigabitEthernet 1/0/3
# 显示本地镜像组 1的配置信息。
[Sysname] display mirroring-group 1
mirroring-group 1:
type: local
status: active
mirroring port:
GigabitEthernet1/0/1 both
GigabitEthernet1/0/2 both
mirroring mac:
mirroring vlan:
monitor port: GigabitEthernet1/0/3
配置完成后,用户可以在数据监测设备上监控研发部和市场部收发的所有报文。
某公司内部通过交换机实现各部门之间的互连,网络环境描述如下:
l Switch A、Switch B和Switch C都为S5100-EI系列以太网交换机(如果使用其他交换机,则交换机必须支持远程端口镜像功能,例如H3C S3600-EI系列以太网交换机);
l 部门1通过端口GigabitEthernet 1/0/1接入Switch A;
l 部门2通过端口GigabitEthernet 1/0/2接入Switch A;
l Switch A的端口GigabitEthernet 1/0/3和Switch B的端口GigabitEthernet 1/0/1相连;
l Switch B的端口GigabitEthernet 1/0/2和Switch C的端口GigabitEthernet 1/0/1相连;
l 数据监测设备连接在Switch C的GigabitEthernet 1/0/2端口上。
网络管理员希望通过数据监测设备对部门1和部门2发送的报文进行监控。
使用远程端口镜像功能实现该需求,进行如下配置:
l Switch A充当源交换机,Switch B充当中间交换机,Switch C充当目的交换机;
l 在Switch A上配置远程源镜像组,定义VLAN 10为远程镜像VLAN,端口GigabitEthernet 1/0/1和GigabitEthernet 1/0/2为镜像源端口,端口GigabitEthernet 1/0/4为反射端口;
l 在Switch B上配置VLAN 10为远程镜像VLAN;
l 配置Switch A的端口GigabitEthernet 1/0/3、Switch B的端口GigabitEthernet 1/0/1和GigabitEthernet 1/0/2、Switch C的端口GigabitEthernet 1/0/1的端口类型为Trunk,并且都允许VLAN 10的报文通过;
l 在Switch C上配置远程目的镜像组,定义VLAN 10为远程镜像VLAN,连接数据监测设备的端口GigabitEthernet 1/0/2为镜像目的端口。
图1-4 配置远程端口镜像组网图
(1) 配置源交换机(Switch A)
# 创建远程源镜像组。
<Sysname> system-view
[Sysname] mirroring-group 1 remote-source
# 配置远程镜像VLAN。
[Sysname] vlan 10
[Sysname-vlan10] remote-probe vlan enable
[Sysname-vlan10] quit
# 为远程源镜像组配置源端口、反射口和远程镜像VLAN。
[Sysname] mirroring-group 1 mirroring-port GigabitEthernet 1/0/1 GigabitEthernet 1/0/2 inbound
[Sysname] mirroring-group 1 reflector-port GigabitEthernet 1/0/4
[Sysname] mirroring-group 1 remote-probe vlan 10
# 配置端口GigabitEthernet 1/0/3的链路类型为Trunk端口,允许VLAN 10的报文通过。
[Sysname] interface GigabitEthernet 1/0/3
[Sysname-GigabitEthernet1/0/3] port link-type trunk
[Sysname-GigabitEthernet1/0/3] port trunk permit vlan 10
[Sysname-GigabitEthernet1/0/3] quit
# 显示远程源镜像组 1的配置信息。
[Sysname] display mirroring-group 1
mirroring-group 1:
type: remote-source
status: active
mirroring port:
GigabitEthernet1/0/1 inbound
GigabitEthernet1/0/2 inbound
mirroring mac:
mirroring vlan:
reflector port: GigabitEthernet1/0/4
remote-probe vlan: 10
(2) 配置中间交换机(Switch B)
# 创建远程镜像VLAN。
<Sysname> system-view
[Sysname] vlan 10
[Sysname-vlan10] remote-probe vlan enable
[Sysname-vlan10] quit
# 配置端口GigabitEthernet 1/0/1的链路类型为Trunk端口,允许VLAN 10的报文通过。
[Sysname] interface GigabitEthernet 1/0/1
[Sysname-GigabitEthernet1/0/1] port link-type trunk
[Sysname-GigabitEthernet1/0/1] port trunk permit vlan 10
[Sysname-GigabitEthernet1/0/1] quit
# 配置端口GigabitEthernet 1/0/2的链路类型为Trunk端口,允许VLAN 10的报文通过。
[Sysname] interface GigabitEthernet 1/0/2
[Sysname-GigabitEthernet1/0/2] port link-type trunk
[Sysname-GigabitEthernet1/0/2] port trunk permit vlan 10
(3) 配置目的交换机(Switch C)
# 创建远程目的镜像组。
<Sysname> system-view
[Sysname] mirroring-group 1 remote-destination
# 配置远程镜像VLAN。
[Sysname] vlan 10
[Sysname-vlan10] remote-probe vlan enable
[Sysname-vlan10] quit
# 为远程目的镜像组配置目的端口和远程镜像VLAN。
[Sysname] mirroring-group 1 monitor-port GigabitEthernet 1/0/2
[Sysname] mirroring-group 1 remote-probe vlan 10
# 配置端口GigabitEthernet 1/0/1的链路类型为Trunk端口,允许VLAN 10的报文通过。
[Sysname] interface GigabitEthernet 1/0/1
[Sysname-GigabitEthernet1/0/1] port link-type trunk
[Sysname-GigabitEthernet1/0/1] port trunk permit vlan 10
[Sysname-GigabitEthernet1/0/1] quit
# 显示远程目的镜像组 1的配置信息。
[Sysname] display mirroring-group 1
mirroring-group 1:
type: remote-destination
status: active
monitor port: GigabitEthernet1/0/2
remote-probe vlan: 10
配置完成后,用户可以在数据监测设备上监控部门1和部门2发送的所有报文。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
