- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
22-鏡像操作
本章節下載 (249.01 KB)
鏡像是將指定端口的報文複製到鏡像目的端口,鏡像目的端口會接入數據檢測設備,用戶利用這些設備分析目的端口接收到的報文,進行網絡監控和故障排除。
S5100-SI/EI係列以太網交換機支持配置以下四種鏡像方式:
l
本地端口鏡像:設備將源端口的報文複製一份並轉發到目的端口。
l
遠程端口鏡像:通過遠程源鏡像組和遠程目的鏡像組互相配合實現。設備將源端口的報文複製一份,然後通過反射端口將報文在遠程鏡像VLAN中進行廣播。遠程的設備收到報文後,比較報文的VLAN ID和遠程目的鏡像組的遠程鏡像VLAN是否相同,如果相同,則將該報文轉發到遠程目的鏡像組的目的端口。
l
基於MAC的鏡像:設備將匹配指定MAC地址的報文複製一份並轉發到目的端口。
l
基於VLAN的鏡像:設備將指定VLAN內的報文複製一份並轉發到目的端口。
本地端口鏡像是指將設備的一個或多個端口(源端口)的報文複製到本設備的一個監視端口(目的端口),用於報文的分析和監視。其中,源端口和目的端口必須在同一台設備上。
遠程端口鏡像突破了源端口和目的端口必須在同一台設備上的限製,使源端口和目的端口可以跨越網絡中的多個設備,從而方便網絡管理人員對遠程設備上的流量進行監控。
為了實現遠程端口鏡像功能,需要定義一個特殊的VLAN,稱之為遠程鏡像VLAN(Remote-probe VLAN)。所有被鏡像的報文通過該VLAN從源交換機的反射口傳遞到目的交換機的鏡像端口,實現在目的交換機上對源交換機端口收發的報文進行監控的功能。遠程端口鏡像的應用示意圖如圖1-2所示。
實現遠程端口鏡像功能的交換機分為三種:
l
源交換機:被監控的端口所在的交換機,負責將鏡像流量複製到反射端口,然後通過遠程鏡像VLAN傳輸給中間交換機或目的交換機。
l
中間交換機:網絡中處於源交換機和目的交換機之間的交換機,通過遠程鏡像VLAN把鏡像流量傳輸給下一個中間交換機或目的交換機。如果源交換機與目的交換機直接相連,則不存在中間交換機。
l
目的交換機:遠程鏡像目的端口所在的交換機,將從遠程鏡像VLAN接收到的鏡像流量通過鏡像目的端口轉發給監控設備。
各個交換機上參與鏡像的端口如表1-1所示。
|
交換機 |
參與鏡像的端口 |
作用 |
|
源交換機 |
源端口(Source Port) |
被監控的端口,通過本地端口鏡像把報文複製到指定的反射端口(Reflector port),源端口可以有多個 |
|
反射端口(Reflector port) |
接收從被監控端口鏡像的報文,將報文在遠程鏡像VLAN內廣播 |
|
|
Trunk端口 |
將鏡像報文發送到中間交換機或者目的交換機 |
|
|
中間交換機 |
Trunk端口 |
將鏡像報文發送到目的交換機 中間交換機上需要配置兩個Trunk端口,和兩側的設備相連 |
|
目的交換機 |
Trunk端口 |
接收遠程鏡像報文 |
|
鏡像目的端口(Destination port) |
接收從Trunk端口轉發的報文,將報文發送至數據監測設備 |
注意:
l 用戶不能將缺省VLAN、管理VLAN或者動態VLAN配置為遠程鏡像VLAN。
l 建議用戶將遠程鏡像VLAN中的設備互連端口都配置為Trunk端口,並且通過配置保證遠程鏡像VLAN內從源交換機到目的交換機的二層互通性。
l 建議用戶不要為遠程鏡像VLAN配置三層接口,不要在遠程鏡像VLAN上運行其他協議報文,承載其他的業務報文,不要將遠程鏡像VLAN作為Voice VLAN、協議VLAN使用,否則可能會影響遠程端口鏡像功能。
基於MAC的鏡像是指將匹配指定MAC地址的報文鏡像到目的端口,配置了基於MAC的鏡像後,設備將如下報文鏡像到鏡像目的端口:
l
源MAC地址和指定的MAC地址匹配的報文
l
目的MAC地址和指定的MAC地址匹配的報文
與端口鏡像相比,基於MAC的鏡像提供了一種更加精確的鏡像方式,用戶可以對網絡中特定設備的報文進行監控。
基於VLAN的鏡像是指將指定VLAN內的報文鏡像到目的端口,配置了基於VLAN的鏡像後,設備將VLAN內所有端口接收到的所有報文鏡像到目的端口。
與端口鏡像相比,基於VLAN的鏡像提供了一種更加廣泛的鏡像方式,用戶可以對某個VLAN或者某些VLAN內的報文進行監控。
|
配置任務 |
說明 |
詳細配置 |
|
配置本地端口鏡像 |
可選 |
|
|
配置遠程端口鏡像 |
可選 |
|
|
配置基於MAC的鏡像 |
可選 |
|
|
配置基於VLAN的鏡像 |
可選 |
l
確定了鏡像源端口以及被鏡像報文的方向
l
確定了鏡像目的端口
表1-3 配置本地端口鏡像
|
操作 |
命令 |
說明 |
|
|
進入係統視圖 |
system-view |
- |
|
|
創建本地鏡像組 |
mirroring-group group-id local |
必選 |
|
|
為鏡像組配置源端口 |
在係統視圖下配置源端口 |
mirroring-group group-id mirroring-port mirroring-port-list { both | inbound | outbound } |
二者必選其一 用戶可以在係統視圖下同時配置多個源端口,也可以在具體的端口視圖下配置源端口,兩種視圖下的配置效果相同 |
|
在端口視圖下配置源端口 |
interface interface-type interface-number |
||
|
mirroring-group group-id mirroring-port { both | inbound | outbound } |
|||
|
quit |
|||
|
為鏡像組配置目的端口 |
在係統視圖下配置目的端口 |
mirroring-group group-id monitor-port monitor-port-id |
二者必選其一 兩種視圖下的配置效果相同 |
|
在端口視圖下配置目的端口 |
interface interface-type interface-number |
||
|
mirroring-group group-id monitor-port |
|||
在配置本地端口鏡像時,有如下注意事項:
l
本地鏡像組需要配置源端口、目的端口才能生效。
l
源端口和目的端口不能是現有鏡像組的成員端口,目的端口不能是聚合成員端口、開啟了LACP的端口或者開啟了STP功能的端口。
& 說明:
S5100-SI/EI係列以太網交換機可以充當遠程端口鏡像組網中的源交換機、中間交換機或者目的交換機。
l
確定了鏡像源端口、反射端口和遠程鏡像VLAN
l
確定了被鏡像報文的方向
l
確保遠程鏡像VLAN內源交換機到目的交換機的二層互通性
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建並進入VLAN視圖 |
vlan vlan-id |
vlan-id為VLAN的編號 |
|
配置當前VLAN為遠程鏡像VLAN |
remote-probe vlan enable |
必選 |
|
退出至係統視圖 |
quit |
- |
|
進入與中間交換機或目的交換機相連的以太網端口視圖 |
interface interface-type interface-number |
- |
|
配置當前端口類型為Trunk |
port link-type trunk |
必選 缺省情況下,端口類型為Access |
|
配置當前端口允許遠程鏡像VLAN內的報文通過 |
port trunk permit vlan remote-probe-vlan-id |
必選 |
|
退出至係統視圖 |
quit |
- |
|
創建遠程源鏡像組 |
mirroring-group group-id remote-source |
必選 |
|
為遠程源鏡像組配置源端口 |
mirroring-group group-id mirroring-port mirroring-port-list { both | inbound | outbound } |
必選 |
|
為遠程源鏡像組配置反射端口 |
mirroring-group group-id reflector-port reflector-port |
必選 |
|
為遠程源鏡像組配置遠程鏡像VLAN |
mirroring-group group-id remote-probe vlan remote-probe-vlan-id |
必選 |
在配置源交換機時,有如下注意事項:
l
遠程源鏡像組的所有端口都屬於同一台設備,一個遠程源鏡像組隻能配置一個反射端口。
l
反射端口不能是現有鏡像組的成員端口、聚合成員端口、開啟了LACP的端口或者開啟了STP功能的端口,必須為Access端口且不能配置VLAN-VPN、端口環回檢測功能和端口安全功能。
l
將某個端口配置為反射端口後,不能再修改端口雙工模式、端口速率、MDI屬性的取值。
l
配置遠程鏡像VLAN時,要求該VLAN為靜態VLAN並預先創建。被配置成遠程鏡像VLAN後,該VLAN不能直接刪除,必須先刪除遠程鏡像VLAN的配置才能夠刪除這個VLAN。如果鏡像組生效後,遠程鏡像VLAN被取消,那麼該鏡像組將失效。
l
建議用戶不要在與中間交換機或目的交換機相連的端口上配置鏡像源端口,否則可能引起網絡內的流量混亂。
(1)
配置準備
l
確定了Trunk端口、遠程鏡像VLAN
l
確保遠程鏡像VLAN內源交換機到目的交換機的二層互通性
(2)
配置過程
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建並進入VLAN視圖 |
vlan vlan-id |
vlan-id為VLAN的編號 |
|
配置當前VLAN為遠程鏡像VLAN |
remote-probe vlan enable |
必選 |
|
退出至係統視圖 |
quit |
- |
|
進入與源交換機、目的交換機或其他中間交換機相連的以太網端口視圖 |
interface interface-type interface-number |
- |
|
配置當前端口類型為Trunk |
port link-type trunk |
必選 缺省情況下,端口類型為Access |
|
配置當前端口允許遠程鏡像VLAN內的報文通過 |
port trunk permit vlan remote-probe-vlan-id |
必選 |
(1)
配置準備
l
確定了鏡像目的端口、遠程鏡像VLAN
l
確保遠程鏡像VLAN內源交換機到目的交換機的二層互通性
(2)
配置過程
表1-6 配置目的交換機
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建並進入VLAN視圖 |
vlan vlan-id |
vlan-id為VLAN的編號 |
|
配置當前VLAN為遠程鏡像VLAN |
remote-probe vlan enable |
必選 |
|
退出至係統視圖 |
quit |
- |
|
進入與源交換機或中間交換機相連的以太網端口視圖 |
interface interface-type interface-number |
- |
|
配置當前端口類型為Trunk |
port link-type trunk |
必選 缺省情況下,端口類型為Access |
|
配置當前端口允許遠程鏡像VLAN的報文通過 |
port trunk permit vlan remote-probe-vlan-id |
必選 |
|
退出至係統視圖 |
quit |
- |
|
創建遠程目的鏡像組 |
mirroring-group group-id remote-destination |
必選 |
|
為遠程目的鏡像組配置目的端口 |
mirroring-group group-id monitor-port monitor-port |
必選 |
|
為遠程目的鏡像組配置遠程鏡像VLAN |
mirroring-group group-id remote-probe vlan remote-probe-vlan-id |
必選 |
在配置目的交換機時,有如下注意事項:
l
遠程鏡像目的端口不能是現有鏡像組的成員端口、聚合成員端口、開啟了LACP的端口或者開啟了STP功能的端口。
l
配置遠程鏡像VLAN時,要求該VLAN為靜態VLAN並預先創建。被配置成遠程鏡像VLAN後,該VLAN不能直接刪除,必須先刪除遠程鏡像VLAN的配置才能夠刪除這個VLAN。如果鏡像組生效後,遠程鏡像VLAN被取消,那麼該鏡像組將失效。
& 說明:
l
配置基於MAC的鏡像時指定的MAC地址必須是MAC地址表項中存在的靜態MAC地址。
l
用戶可以為遠程源鏡像組配置基於MAC的鏡像,實現基於MAC的遠程鏡像功能。
l
確定了匹配的MAC地址
l
確定了鏡像目的端口
表1-7 配置基於MAC的鏡像
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建本地或遠程源鏡像組 |
mirroring-group
group-id { local | remote-source
} |
必選 |
|
配置基於MAC的鏡像 |
mirroring-group group-id mirroring-mac mac vlan vlan-id |
必選 |
|
為鏡像組配置目的端口 |
mirroring-group
group-id monitor-port monitor-port-id |
必選 需要注意的是,配置基於MAC的遠程鏡像時不需要在源交換機上配置目的端口 |
配置基於MAC的鏡像,將源MAC地址或目的MAC地址匹配000f-e20f-0101的報文鏡像到本設備的端口GigabitEthernet 1/0/2。
配置步驟:
<H3C> system-view
[H3C] mac-address static 000f-e20f-0101 interface Gigabitethernet 1/0/1 vlan 2
[H3C] mirroring-group 1 local
[H3C] mirroring-group 1 mirroring-mac 000f-e20f-0101 vlan 2
[H3C] mirroring-group 1 monitor-port GigabitEthernet 1/0/2
& 說明:
用戶可以為遠程源鏡像組配置基於VLAN的鏡像,實現基於VLAN的遠程鏡像功能。
l
確定了指定的VLAN編號
l
確定了鏡像目的端口
表1-8 配置基於VLAN的鏡像
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建本地或遠程源鏡像組 |
mirroring-group
group-id { local | remote-source
} |
必選 |
|
配置基於VLAN的鏡像 |
mirroring-group group-id mirroring-vlan vlan-id inbound |
必選 |
|
為鏡像組配置目的端口 |
mirroring-group
group-id monitor-port monitor-port-id |
必選 需要注意的是,配置基於VLAN的遠程鏡時像不需要在鏡像源交換機上配置目的端口 |
配置基於VLAN的鏡像,將VLAN 2內所有端口接收的報文鏡像到本設備的端口GigabitEthernet 1/0/2。
配置步驟:
<H3C> system-view
[H3C] mirroring-group 1 local
[H3C] mirroring-group 1 mirroring-vlan 2 inbound
[H3C] mirroring-group 1 monitor-port GigabitEthernet 1/0/2
完成上述配置後,在任意視圖下執行display命令,可以顯示配置鏡像後的運行情況。通過查看顯示信息,用戶可以驗證配置的效果。
表1-9 鏡像的顯示
|
操作 |
命令 |
說明 |
|
顯示端口鏡像的配置信息 |
display mirroring-group {
group-id | all | local | remote-destination | remote-source } |
display命令可以在任意視圖下執行 |
某公司內部通過交換機實現各部門之間的互連,網絡環境描述如下:
l
研發部通過端口GigabitEthernet 1/0/1接入Switch C;
l
市場部通過端口GigabitEthernet 1/0/2接入Switch C;
l
數據監測設備連接在Switch C的GigabitEthernet 1/0/3端口上。
網絡管理員希望通過數據監測設備對研發部和市場部收發的報文進行監控。
使用本地端口鏡像功能實現該需求,在Switch C上進行如下配置:
l
端口GigabitEthernet 1/0/1和GigabitEthernet 1/0/2為鏡像源端口;
l
連接數據監測設備的端口GigabitEthernet 1/0/3為鏡像目的端口。
圖1-3 配置本地端口鏡像組網圖
配置Switch C:
# 創建本地鏡像組。
<H3C> system-view
[H3C] mirroring-group 1 local
# 為本地鏡像組配置源端口和目的端口。
[H3C] mirroring-group 1 mirroring-port GigabitEthernet 1/0/1 GigabitEthernet 1/0/2 both
[H3C] mirroring-group 1 monitor-port GigabitEthernet 1/0/3
# 顯示本地鏡像組 1的配置信息。
[H3C] display mirroring-group 1
mirroring-group 1:
type: local
status: active
mirroring port:
GigabitEthernet1/0/1 both
GigabitEthernet1/0/2 both
mirroring mac:
mirroring vlan:
monitor port: GigabitEthernet1/0/3
配置完成後,用戶可以在數據監測設備上監控研發部和市場部收發的所有報文。
某公司內部通過交換機實現各部門之間的互連,網絡環境描述如下:
l
Switch A、Switch B和Switch C都為S5100-EI係列以太網交換機(如果使用其他交換機,則交換機必須支持遠程端口鏡像功能,例如H3C S3600-EI係列以太網交換機);
l
部門1通過端口GigabitEthernet
1/0/1接入Switch A;
l
部門2通過端口GigabitEthernet
1/0/2接入Switch A;
l
Switch A的端口GigabitEthernet
1/0/3和Switch B的端口GigabitEthernet
1/0/1相連;
l
Switch B的端口GigabitEthernet
1/0/2和Switch C的端口GigabitEthernet
1/0/1相連;
l
數據監測設備連接在Switch C的GigabitEthernet
1/0/2端口上。
網絡管理員希望通過數據監測設備對部門1和部門2發送的報文進行監控。
使用遠程端口鏡像功能實現該需求,進行如下配置:
l
Switch A充當源交換機,Switch B充當中間交換機,Switch C充當目的交換機;
l
在Switch A上配置遠程源鏡像組,定義VLAN 10為遠程鏡像VLAN,端口GigabitEthernet
1/0/1和GigabitEthernet 1/0/2為鏡像源端口,端口GigabitEthernet 1/0/4為反射口;
l
在Switch B上配置VLAN 10為遠程鏡像VLAN;
l
配置Switch A的端口GigabitEthernet
1/0/3、Switch B的端口GigabitEthernet
1/0/1和GigabitEthernet 1/0/2、Switch C的端口GigabitEthernet
1/0/1的端口類型為Trunk,並且都允許VLAN 10的報文通過;
l
在Switch C上配置遠程目的鏡像組,定義VLAN 10為遠程鏡像VLAN,連接數據監測設備的端口GigabitEthernet
1/0/2為鏡像目的端口。
圖1-4 配置遠程端口鏡像組網圖
(1)
配置Switch A
# 創建遠程源鏡像組。
<H3C> system-view
[H3C] mirroring-group 1 remote-source
# 配置遠程鏡像VLAN。
[H3C] vlan 10
[H3C-vlan10] remote-probe vlan enable
[H3C-vlan10] quit
# 為遠程源鏡像組配置源端口、反射口和遠程鏡像VLAN。
[H3C] mirroring-group 1 mirroring-port GigabitEthernet 1/0/1 GigabitEthernet 1/0/2 inbound
[H3C] mirroring-group 1 reflector-port GigabitEthernet 1/0/4
[H3C] mirroring-group 1 remote-probe vlan 10
# 配置端口GigabitEthernet
1/0/3的鏈路類型為Trunk端口,允許VLAN 10的報文通過。
[H3C] interface GigabitEthernet 1/0/3
[H3C-GigabitEthernet1/0/3] port link-type trunk
[H3C-GigabitEthernet1/0/3] port trunk permit vlan 10
[H3C-GigabitEthernet1/0/3] quit
# 顯示遠程源鏡像組 1的配置信息。
[H3C] display mirroring-group 1
mirroring-group 1:
type: remote-source
status: active
mirroring port:
GigabitEthernet1/0/1 inbound
GigabitEthernet1/0/2 inbound
mirroring mac:
mirroring vlan:
reflector port: GigabitEthernet1/0/4
remote-probe vlan: 10
(2)
配置Switch B
# 創建遠程鏡像VLAN。
<H3C> system-view
[H3C] vlan 10
[H3C-vlan10] remote-probe vlan enable
[H3C-vlan10] quit
# 配置端口GigabitEthernet
1/0/1的鏈路類型為Trunk端口,允許VLAN 10的報文通過。
[H3C] interface GigabitEthernet 1/0/1
[H3C-GigabitEthernet1/0/1] port link-type trunk
[H3C-GigabitEthernet1/0/1] port trunk permit vlan 10
[H3C-GigabitEthernet1/0/1] quit
# 配置端口GigabitEthernet
1/0/2的鏈路類型為Trunk端口,允許VLAN 10的報文通過。
[H3C] interface GigabitEthernet 1/0/2
[H3C-GigabitEthernet1/0/2] port link-type trunk
[H3C-GigabitEthernet1/0/2] port trunk permit vlan 10
(3)
配置Switch C
# 創建遠程目的鏡像組。
<H3C> system-view
[H3C] mirroring-group 1 remote-destination
# 配置遠程鏡像VLAN。
[H3C] vlan 10
[H3C-vlan10] remote-probe vlan enable
[H3C-vlan10] quit
# 為遠程目的鏡像組配置目的端口和遠程鏡像VLAN。
[H3C] mirroring-group 1 monitor-port GigabitEthernet 1/0/2
[H3C] mirroring-group 1 remote-probe vlan 10
# 配置端口GigabitEthernet
1/0/1的鏈路類型為Trunk端口,允許VLAN 10的報文通過。
[H3C] interface GigabitEthernet 1/0/1
[H3C-GigabitEthernet1/0/1] port link-type trunk
[H3C-GigabitEthernet1/0/1] port trunk permit vlan 10
[H3C-GigabitEthernet1/0/1] quit
# 顯示遠程目的鏡像組 1的配置信息。
[H3C] display mirroring-group 1
mirroring-group 1:
type: remote-destination
status: active
monitor port: GigabitEthernet1/0/2
remote-probe vlan: 10
配置完成後,用戶可以在數據監測設備上監控部門1和部門2發送的所有報文。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
