- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
06-鏡像配置
本章節下載: 06-鏡像配置 (262.83 KB)
目 錄
端口鏡像通過將指定端口或VLAN的報文複製到與數據監測設備相連的端口,使用戶可以利用數據監測設備分析這些複製過來的報文,以進行網絡監控和故障排除。
鏡像源是指被監控的對象,經由該對象收發的報文會被複製一份到與數據監測設備相連的端口,用戶就可以對這些報文(稱為鏡像報文)進行監控和分析了。被監控的對象可以是端口或VLAN,我們將之依次稱為源端口和源VLAN,這些對象所在的設備就稱為源設備。
鏡像目的是指鏡像報文所要到達的目的地,即與數據監測設備相連的那個端口,我們稱之為目的端口,目的端口所在的設備就稱為目的設備。目的端口會將其收到的鏡像報文轉發給與之相連的數據監測設備。
鏡像方向是指在鏡像源上可複製的報文方向,包括:
· 入方向:是指僅複製鏡像源收到的報文。
· 出方向:是指僅複製鏡像源發出的報文。
· 雙向:是指對鏡像源收到和發出的報文都進行複製。
鏡像組是在端口鏡像的實現過程中用到的一個邏輯上的概念,鏡像源和鏡像目的都要屬於某一個鏡像組。
當鏡像源和鏡像目的位於同一台設備上時,稱為本地端口鏡像。對於本地端口鏡像,鏡像源和鏡像目的都屬於同一台設備上的同一個鏡像組,該鏡像組就稱為本地鏡像組。
如圖1-1所示,鏡像源為源端口GigabitEthernet1/0/1,鏡像目的為目的端口GigabitEthernet1/0/2,這兩個端口位於同一台設備上。設備將進入源端口GigabitEthernet1/0/1的報文複製一份給目的端口GigabitEthernet1/0/2,再由該端口將鏡像報文轉發給數據監測設備。
首先創建一個本地鏡像組,然後為該鏡像組配置源端口(或源VLAN)和目的端口。
表1-1 本地端口鏡像配置任務簡介
|
配置任務 |
說明 |
詳細配置 |
|
創建本地鏡像組 |
必選 |
|
|
配置源端口 |
根據需要選擇配置其中一個或兩個 |
|
|
配置源VLAN |
||
|
配置目的端口 |
必選 |
表1-2 創建本地鏡像組
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建本地鏡像組 |
mirroring-group group-id local |
必選 缺省情況下,不存在任何本地鏡像組 |
在完成源端口(或源VLAN)和目的端口的配置之後,本地鏡像組才能生效。
可以在係統視圖下為指定鏡像組配置一個或多個源端口,也可以在端口視圖下將當前端口配置為指定鏡像組的源端口,二者的配置效果相同。
表1-3 在係統視圖下配置源端口
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
為本地鏡像組配置源端口 |
mirroring-group group-id mirroring-port mirroring-port-list { both | inbound | outbound } |
必選 缺省情況下,本地鏡像組沒有源端口 |
表1-4 在端口視圖下配置源端口
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入端口視圖 |
interface interface-type interface-number |
- |
|
配置本端口為本地鏡像組的源端口 |
[ mirroring-group group-id ] mirroring-port { both | inbound | outbound } |
必選 缺省情況下,端口不是任何本地鏡像組的源端口 |
· 一個鏡像組內可以配置多個源端口。
· 請不要將源端口加入到源VLAN中,否則會影響鏡像功能的正常使用。
在配置源VLAN之前,需先配置源VLAN所使用的靜態VLAN。
表1-5 配置源VLAN
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
為本地鏡像組配置源VLAN |
mirroring-group group-id mirroring-vlan mirroring-vlan-list inbound |
必選 缺省情況下,本地鏡像組沒有源VLAN |
一個鏡像組內可以配置多個源VLAN。
可以在係統視圖下為指定鏡像組配置目的端口,也可以在端口視圖下將當前端口配置為指定鏡像組的目的端口,二者的配置效果相同。
表1-6 在係統視圖下配置目的端口
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
為本地鏡像組配置目的端口 |
mirroring-group group-id monitor-port monitor-port-id |
必選 缺省情況下,本地鏡像組沒有目的端口 |
表1-7 在端口視圖下配置目的端口
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入端口視圖 |
interface interface-type interface-number |
- |
|
配置本端口為本地鏡像組的目的端口 |
[ mirroring-group group-id ] monitor-port |
必選 缺省情況下,端口不是任何本地鏡像組的目的端口 |
· 一個鏡像組內隻能配置一個目的端口。
· 請不要將目的端口加入到源VLAN中,或在目的端口上使能生成樹協議,否則會影響鏡像功能的正常使用。
· 已經加入到二層聚合組內的成員端口,將不能再配置為鏡像組的目的端口。
· 從目的端口發出的報文包括鏡像報文和其他端口正常轉發來的報文。為了保證數據監測設備隻對鏡像報文進行分析,請將目的端口隻用於端口鏡像,不作其他用途。
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後鏡像組的運行情況,通過查看顯示信息驗證配置的效果。
表1-8 端口鏡像顯示和維護
|
操作 |
命令 |
|
顯示鏡像組的配置信息 |
display mirroring-group { group-id | all | local } [ | { begin | exclude | include } regular-expression ] |
· Device A通過端口GigabitEthernet1/0/1和GigabitEthernet1/0/2分別連接市場部和技術部,並通過端口GigabitEthernet1/0/3連接Server。
· 通過配置源端口方式的本地端口鏡像,使Server可以監控所有進、出市場部和技術部的報文。
圖1-2 本地端口鏡像配置組網圖
(1) 配置本地鏡像組
# 創建本地鏡像組1。
<DeviceA> system-view
[DeviceA] mirroring-group 1 local
# 配置本地鏡像組1的源端口為GigabitEthernet1/0/1和GigabitEthernet1/0/2,目的端口為GigabitEthernet1/0/3。
[DeviceA] mirroring-group 1 mirroring-port GigabitEthernet 1/0/1 GigabitEthernet 1/0/2 both
[DeviceA] mirroring-group 1 monitor-port GigabitEthernet 1/0/3
# 在目的端口GigabitEthernet1/0/3上關閉生成樹協議。
[DeviceA] interface GigabitEthernet 1/0/3
[DeviceA-GigabitEthernet1/0/3] undo stp enable
[DeviceA-GigabitEthernet1/0/3] quit
(2) 檢驗配置效果
# 顯示所有鏡像組的配置信息。
[DeviceA] display mirroring-group all
mirroring-group 1:
type: local
status: active
mirroring port:
GigabitEthernet1/0/1 both
GigabitEthernet1/0/2 both
monitor port: GigabitEthernet1/0/3
配置完成後,用戶可以通過Server監控所有進、出市場部和技術部的報文。
流鏡像是指將指定報文複製到指定目的地,用於報文的分析和監控。流鏡像通過QoS策略來實現,即使用流分類技術為待鏡像報文定義匹配條件,再通過配置流行為將符合條件的報文鏡像至指定目的地。其優勢在於用戶通過流分類技術可以靈活地製訂匹配條件,從而對報文類型進行精細區分,以獲取更加精確的統計信息。可將流鏡像到端口:即將符合要求的報文複製後轉發到指定端口。
有關QoS策略、流分類和流行為的詳細介紹,請參見“ACL和QoS配置指導”中的“QoS”。
表2-1 流鏡像配置任務簡介
|
配置任務 |
說明 |
詳細配置 |
|
|
配置報文匹配規則 |
必選 |
||
|
配置流鏡像到端口 |
必選 |
||
|
配置QoS策略 |
必選 |
||
|
應用QoS策略 |
基於端口應用 |
三者必選其一 |
|
|
基於VLAN應用 |
|||
|
基於全局應用 |
|||
表2-2 配置報文匹配規則
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
定義流分類,並進入流分類視圖 |
traffic classifier tcl-name [ operator { and | or } ] |
必選 缺省情況下,不存在任何流分類 |
|
配置報文匹配規則 |
if-match match-criteria |
必選 缺省情況下,流分類中不存在任何報文匹配規則 |
有關traffic classifier和if-match命令的詳細介紹,請參見“ACL和QoS命令參考”中的“QoS”。
表2-3 配置流鏡像到端口
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
定義流行為,並進入流行為視圖 |
traffic behavior behavior-name |
必選 缺省情況下,不存在任何流行為 |
|
配置流鏡像到指定端口 |
mirror-to interface interface-type interface-number |
必選 缺省情況下,流行為中未配置任何流鏡像 |
有關traffic behavior命令的詳細介紹,請參見“ACL和QoS命令參考”中的“QoS”。
表2-4 配置QoS策略
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
定義QoS策略,並進入QoS策略視圖 |
qos policy policy-name |
必選 缺省情況下,不存在任何策略 |
|
為流分類指定采用的流行為 |
classifier tcl-name behavior behavior-name |
必選 缺省情況下,沒有為流分類指定采用的流行為 |
有關qos policy和classifier behavior命令的詳細介紹,請參見“ACL和QoS命令參考”中的“QoS”。
有關應用QoS策略的詳細介紹,請參見“ACL和QoS配置指導”中的“QoS”。
將QoS策略應用到某端口,可以對該端口入方向上的流量進行鏡像。一個QoS策略可以應用於多個端口,而每個端口在入方向上隻能應用一個QoS策略。
表2-5 基於端口應用
|
操作 |
命令 |
說明 |
|
|
進入係統視圖 |
system-view |
- |
|
|
進入相應視圖 |
進入端口視圖 |
interface interface-type interface-number |
二者必選其一 端口視圖下的配置隻對當前端口生效;端口組視圖下的配置將對端口組中的所有端口生效 |
|
進入端口組視圖 |
port-group manual port-group-name |
||
|
應用QoS策略到端口 |
qos apply policy policy-name { inbound | outbound } |
必選 |
|
有關qos apply policy命令的詳細介紹,請參見“ACL和QoS命令參考”中的“QoS”。
將QoS策略應用到某VLAN,可以對該VLAN內各端口入方向上的流量進行鏡像。
表2-6 基於VLAN應用
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
應用QoS策略到指定VLAN |
qos vlan-policy policy-name vlan vlan-id-list inbound |
必選 |
有關qos vlan-policy命令的詳細介紹,請參見“ACL和QoS命令參考”中的“QoS”。
將QoS策略應用到全局,可以對設備各端口入方向上的流量進行鏡像。
表2-7 基於全局應用
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
應用QoS策略到全局 |
qos apply policy policy-name global inbound |
必選 |
有關qos apply policy命令的詳細介紹,請參見“ACL和QoS命令參考”中的“QoS”。
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後流鏡像的運行情況,通過查看顯示信息驗證配置的效果。
表2-8 流鏡像顯示和維護
|
操作 |
命令 |
|
顯示用戶自定義流行為的配置信息 |
display traffic behavior user-defined [ behavior-name ] [ | { begin | exclude | include } regular-expression ] |
|
顯示用戶自定義策略的配置信息 |
display qos policy user-defined [ policy-name [ classifier tcl-name ] ] [ | { begin | exclude | include } regular-expression ] |
有關display traffic behavior和display qos policy命令的詳細介紹,請參見“ACL和QoS命令參考”中的“QoS”。
· 某公司內的各部門之間使用不同網段的IP地址,其中市場部和技術部分別使用192.168.1.0/24和192.168.2.0/24網段,該公司的工作時間為每周工作日的8點到18點。
· 通過配置流鏡像,使Server可以監控技術部訪問互聯網的WWW流量,以及技術部在工作時間發往市場部的IP流量。
圖2-1 流鏡像典型配置組網圖
(1) 配置監控技術部訪問互聯網的流量
# 創建ACL 3000,並定義如下規則:匹配技術部(192.168.2.0/24網段)訪問WWW的報文。
<DeviceA> system-view
[DeviceA] acl number 3000
[DeviceA-acl-adv-3000] rule permit tcp source 192.168.2.0 0.0.0.255 destination-port eq www
[DeviceA-acl-adv-3000] quit
# 創建流分類tech_c,並配置報文匹配規則為ACL 3000。
[DeviceA] traffic classifier tech_c
[DeviceA-classifier-tech_c] if-match acl 3000
[DeviceA-classifier-tech_c] quit
# 創建流行為tech_b,並配置流鏡像到端口GigabitEthernet1/0/3。
[DeviceA] traffic behavior tech_b
[DeviceA-behavior-tech_b] mirror-to interface GigabitEthernet 1/0/3
[DeviceA-behavior-tech_b] quit
# 創建QoS策略tech_p,並指定流分類tech_c采用流行為tech_b。
[DeviceA] qos policy tech_p
[DeviceA-qospolicy-tech_p] classifier tech_c behavior tech_b
[DeviceA-qospolicy-tech_p] quit
# 將QoS策略tech_p應用到端口GigabitEthernet1/0/4的入方向上。
[DeviceA] interface GigabitEthernet 1/0/4
[DeviceA-GigabitEthernet1/0/4] qos apply policy tech_p inbound
[DeviceA-GigabitEthernet1/0/4] quit
(2) 配置監控技術部發往市場部的流量
# 定義工作時間:創建名為work的時間段,其時間範圍為每周工作日的8點到18點。
[DeviceA] time-range work 8:0 to 18:0 working-day
# 創建ACL 3001,並定義如下規則:匹配在工作時間由技術部(192.168.2.0/24網段)發往市場部(192.168.1.0/24網段)的IP報文。
[DeviceA] acl number 3001
[DeviceA-acl-adv-3001] rule permit ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 time-range work
[DeviceA-acl-adv-3001] quit
# 創建流分類mkt_c,並配置報文匹配規則為ACL 3001。
[DeviceA] traffic classifier mkt_c
[DeviceA-classifier-mkt_c] if-match acl 3001
[DeviceA-classifier-mkt_c] quit
# 創建流行為mkt_b,並配置流鏡像到端口GigabitEthernet1/0/3。
[DeviceA] traffic behavior mkt_b
[DeviceA-behavior-mkt_b] mirror-to interface GigabitEthernet 1/0/3
[DeviceA-behavior-mkt_b] quit
# 創建QoS策略mkt_p,並指定流分類mkt_c采用流行為mkt_b。
[DeviceA] qos policy mkt_p
[DeviceA-qospolicy-mkt_p] classifier mkt_c behavior mkt_b
[DeviceA-qospolicy-mkt_p] quit
# 將QoS策略mkt_p應用到接口GigabitEthernet1/0/2的出方向上。
[DeviceA] interface GigabitEthernet 1/0/2
[DeviceA-GigabitEthernet1/0/2] qos apply policy mkt_p outbound
(3) 檢驗配置效果
配置完成後,用戶可以通過Server監控技術部訪問互聯網的WWW流量,以及技術部在工作時間發往市場部的IP流量。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
