- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
09-鏡像配置
本章節下載: 09-鏡像配置 (431.65 KB)
目 錄
設備支持兩種運行模式:獨立運行模式和IRF模式,缺省情況為獨立運行模式。有關IRF模式的介紹,請參見“IRF配置指導”中的“IRF”。
端口鏡像是將指定端口(源端口)或VLAN(源VLAN)的報文複製一份到其它端口(目的端口),目的端口會與數據監測設備相連,用戶利用這些數據監測設備來分析複製到目的端口的報文,進行網絡監控和故障排除。
鏡像源是指被監控的對象,經由該對象收發的報文會被複製一份到與數據監測設備相連的端口,用戶就可以對這些報文(稱為鏡像報文)進行監控和分析了。被監控的對象可以是一或多個端口、VLAN中的端口,我們將之分別稱為源端口、源VLAN,這些對象所在的設備就稱為源設備。
鏡像目的是指鏡像報文所要到達的目的地,即與數據監測設備相連的那個端口,我們稱之為目的端口,目的端口所在的設備就稱為目的設備。目的端口會將其收到的鏡像報文轉發給與之相連的數據監測設備。
· 由於一個目的端口可以同時監控多個鏡像源,因此在某些配置下,目的端口可能收到對同一報文的多份拷貝。例如,目的端口Port 1同時監控源端口Port 2和Port 3(這兩個端口在同一台設備上)收發的報文,如果某報文從Port 2進入該設備後又從Port 3發送出去,那麼該報文將被複製兩次給Port 1。
· 在IRF模式下,設備不支持將指定源VLAN的報文鏡像到目的端口。
· 設備不支持跨框(即目的端口和源端口(或源VLAN中的端口)位於IRF模式下的兩台不同的設備上)配置端口鏡像。
鏡像方向是指在鏡像源上可複製的報文方向,包括:
· 入方向:是指僅複製鏡像源收到的報文。
· 出方向:是指僅複製鏡像源發出的報文。
· 雙向:是指對鏡像源收到和發出的報文都進行複製。
鏡像組是在端口鏡像的實現過程中用到的一個邏輯上的概念,鏡像源和鏡像目的都要屬於某一個鏡像組。根據具體的實現方式不同,鏡像組可分為本地鏡像組、遠程源鏡像組和遠程目的鏡像組三類,有關這三類鏡像組的具體介紹請參見“1.1.2 端口鏡像的分類和實現方式”一節。
反射端口、出端口和遠程鏡像VLAN都是在二層遠程端口鏡像的實現過程中用到的概念。遠程鏡像VLAN是將鏡像報文從源設備傳送至目的設備的專用VLAN;反射端口和出端口都位於源設備上,都用來將鏡像報文發送到遠程鏡像VLAN中,二者的區別在於前者不必加入遠程鏡像VLAN中,而後者則必須加入到遠程鏡像VLAN中。有關源設備、目的設備、反射端口、出端口和遠程鏡像VLAN的具體介紹,請參見“1.1.2 端口鏡像的分類和實現方式”一節。
根據鏡像源(即源端口、源VLAN中的端口)與鏡像目的(即目的端口)所處的相對位置,我們將端口鏡像分為本地端口鏡像和遠程端口鏡像兩大類:
當鏡像源和鏡像目的位於同一台設備上時,稱為本地端口鏡像。對於本地端口鏡像,鏡像源和鏡像目的都屬於同一台設備上的同一個鏡像組,該鏡像組就稱為本地鏡像組。
如圖1-1所示,鏡像源為源端口GE3/0/1,鏡像目的為目的端口GE3/0/2,這兩個端口位於同一台設備上。設備將進入源端口GE3/0/1的報文複製一份給目的端口GE3/0/2,再由該端口將鏡像報文轉發給數據監測設備。
當鏡像源和鏡像目的分處於兩台設備上時,稱為遠程端口鏡像。對於遠程端口鏡像,鏡像源和鏡像目的分屬於不同設備上的不同鏡像組:鏡像源所在的設備和鏡像組分別稱為源設備和遠程源鏡像組,鏡像目的所在的設備和鏡像組分別稱為目的設備和遠程目的鏡像組,而位於源設備與目的設備之間的設備則統稱為中間設備。
根據源設備與目的設備之間的連接關係,又可將遠程端口鏡像細分為:
· 二層遠程端口鏡像:源設備與目的設備之間通過二層網絡進行連接。
· 三層遠程端口鏡像:源設備與目的設備之間通過三層網絡進行連接。目前設備不支持三層遠程端口鏡像。
(1) 二層遠程端口鏡像
二層遠程端口鏡像的實現方式包括:固定反射端口方式、非固定反射端口方式和出端口方式。其中,固定反射端口方式和非固定反射端口方式也統稱為反射端口方式,其區別在於:支持前者的設備內部有一個固定的反射端口,因此無需人工配置反射端口;而支持後者的設備則需人工配置反射端口。目前設備僅支持非固定反射端口方式。
如圖1-2所示,源設備將進入源端口GE3/0/1的報文複製一份給反射端口GE3/0/3,再由該端口將鏡像報文在遠程鏡像VLAN中廣播,最終鏡像報文經由中間設備轉發至目的設備。目的設備收到該報文後判別其VLAN ID,若與遠程鏡像VLAN的VLAN ID相同,就將其轉發至目的端口GE3/0/2,最後由該端口將鏡像報文轉發給數據監測設備。
· 中間設備需允許遠程鏡像VLAN通過,以確保源設備與目的設備之間的二層網絡暢通。
· 在鏡像報文從源設備到達目的設備的過程中,請確保其VLAN ID不被修改或刪除,否則二層遠程鏡像功能將失效。
· 對於反射口方式,由於鏡像報文將被源設備在遠程鏡像VLAN中廣播,因此通過將源設備上不屬於鏡像源的端口加入遠程鏡像VLAN,也可實現本地端口鏡像的功能。
· 在一個鏡像組中對同一端口收發的報文進行雙向鏡像時,需在中間設備上進行一些特殊配置才能保證鏡像的正常運行。
本地端口鏡像的配置需要在同一台設備上進行。配置本地端口鏡像時,用戶首先要創建一個本地鏡像組,然後為該鏡像組配置源端口(或源VLAN)和目的端口。
表1-1 本地端口鏡像配置任務簡介
|
配置任務 |
說明 |
詳細配置 |
|
創建本地鏡像組 |
必選 |
|
|
配置源端口 |
二者至少選其一 源端口、源VLAN可以隻配其一,也可以都配置 |
|
|
配置源VLAN |
||
|
配置目的端口 |
必選 |
創建本地鏡像組時還可使用sampler參數引用一個采樣器,以便通過對鏡像報文進行采樣而減少鏡像報文的數量。有關采樣器的詳細介紹,請參見“網絡管理和監控配置指導”中的“Sampler”。
表1-2 創建本地鏡像組
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建本地鏡像組 |
mirroring-group group-id local [ sampler sampler-name ] |
必選 缺省情況下,不存在任何本地鏡像組 |
· 在完成源端口(或源VLAN)和目的端口的配置之後,本地鏡像組才能生效。
· 創建本地鏡像組時若要引用一個采樣器,必須先使用sampler sampler-name mode fixed packet-interval rate命令創建該采樣器,當前最多支持8組采樣器的設置。
可以在係統視圖下為指定鏡像組配置一個或多個源端口,也可以在接口視圖下將當前接口配置為指定鏡像組的源端口,二者的配置效果相同。
表1-3 在係統視圖下配置源端口
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
為本地鏡像組配置源端口 |
mirroring-group group-id mirroring-port mirroring-port-list { both | inbound | outbound } |
必選 缺省情況下,本地鏡像組沒有源端口 |
表1-4 在接口視圖下配置源端口
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
配置本端口為本地鏡像組的源端口 |
[ mirroring-group group-id ] mirroring-port { both | inbound | outbound } |
必選 缺省情況下,端口不是任何本地鏡像組的源端口 |
· 一個鏡像組內可以配置多個源端口。
· 請不要將源端口加入到源VLAN中,否則會影響鏡像功能的正常使用。
· 通常,一個端口隻能被一個鏡像組使用。
· 源端口隻能是以太網接口,目的端口可以是以太網接口或二層聚合接口。
在配置源VLAN之前,需完成以下任務:
· 配置源VLAN所使用的靜態VLAN
表1-5 配置源VLAN
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
為本地鏡像組配置源VLAN |
mirroring-group group-id mirroring-vlan mirroring-vlan-list { both | inbound | outbound } |
必選 缺省情況下,本地鏡像組沒有源VLAN |
· 一個鏡像組內可以配置多個源VLAN。
· 混插模式下,為本地鏡像組配置源VLAN 時,業務底板上配置不成功。
可以在係統視圖下為指定鏡像組配置目的端口,也可以在接口視圖下將當前接口配置為指定鏡像組的目的端口,二者的配置效果相同。
配置目的端口時,需要注意:
· 請不要將目的端口加入到源VLAN中,或在目的端口上使能生成樹協議,否則會影響鏡像功能的正常使用。
· 當二層聚合接口作為目的端口時,請勿將其成員端口配置為源端口或將其加入源VLAN,否則會影響鏡像功能的正常使用。
· 從目的端口發出的報文包括鏡像報文和其他端口正常轉發來的報文。為了保證數據監測設備隻對鏡像報文進行分析,請將目的端口隻用於端口鏡像,不作其他用途。
· 一個鏡像組內隻能配置一個目的端口。
· 配置同方向的鏡像支持的目的端口的數量,請參見表1-6。
|
單板類型 |
支持的目的端口個數 |
接口和支持的目的端口的所屬關係 |
|
24端口千兆以太網接口板 |
1 |
* |
|
48端口千兆以太網接口板(除LSR2GV48REB1單板外) |
2 |
前24個接口支持1個,後24個接口支持1個 |
|
LSR2GV48REB1單板 |
1 |
* |
|
萬兆以太網接口板(除LSR1XP16REB1、LSR1XP16REC1單板外) |
4 |
每2個接口支持1個 |
|
16端口萬兆以太網接口板 |
2 |
前8個接口支持1個,後8個接口支持1個 |
表1-7 在係統視圖下配置目的端口
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
為本地鏡像組配置目的端口 |
mirroring-group group-id monitor-port monitor-port-id |
必選 缺省情況下,本地鏡像組沒有目的端口 |
表1-8 在接口視圖下配置目的端口
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
配置本端口為本地鏡像組的目的端口 |
[ mirroring-group group-id ] monitor-port |
必選 缺省情況下,端口不是任何本地鏡像組的目的端口 |
· 一個鏡像組內隻能配置一個目的端口。
· 請不要將目的端口加入到源VLAN中,或在目的端口上使能生成樹協議,否則會影響鏡像功能的正常使用。
· 從目的端口發出的報文包括鏡像報文和其它端口正常轉發來的報文。為了保證數據監測設備隻對鏡像報文進行分析,請將目的端口隻用於端口鏡像,不作其它用途。
· 目的端口可以是以太網接口或者二層聚合接口。
二層遠程端口鏡像的配置需要分別在源設備和目的設備上進行;如果存在中間設備,則需要在中間設備上允許遠程鏡像VLAN通過,以確保源設備與目的設備之間的二層網絡暢通。
· 在配置二層遠程端口鏡像時不建議啟用GVRP(GARP VLAN Registration Protocol,GARP VLAN注冊協議)功能,否則GVRP可能將遠程鏡像VLAN注冊到不需要監控的端口上,導致目的端口收到很多不必要的報文。有關GVRP的詳細介紹,請參見“二層技術-以太網交換配置指導”中的“GVRP”。
· 在一個鏡像組中對同一個端口收發的報文進行雙向鏡像時,需要在源設備、中間設備和目的設備上關閉遠程鏡像VLAN的MAC地址學習功能,以保證鏡像功能的正常進行。關於MAC地址學習功能的詳細介紹,請參見“二層技術-以太網交換配置指導”中的“MAC地址表”。
首先在源設備上為遠程源鏡像組配置源端口(或源VLAN)、反射端口和遠程鏡像VLAN,然後在目的設備上為遠程目的鏡像組配置遠程鏡像VLAN和目的端口。
表1-9 二層遠程端口鏡像配置任務簡介(非固定反射端口方式)
|
配置任務 |
說明 |
詳細配置 |
|
|
配置遠程源鏡像組 |
創建遠程源鏡像組 |
必選 |
|
|
配置源端口 |
二者至少選其一 源端口、源VLAN可以隻配其一,也可以都配置 |
||
|
配置源VLAN |
|||
|
配置反射端口 |
必選 |
||
|
配置遠程鏡像VLAN |
必選 |
||
|
配置遠程目的鏡像組 |
創建遠程目的鏡像組 |
必選 |
|
|
配置目的端口 |
必選 |
||
|
配置遠程鏡像VLAN |
必選 |
||
|
將目的端口加入遠程鏡像VLAN |
必選 |
||
請在源設備上進行如下配置。
表1-10 創建遠程源鏡像組
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建遠程源鏡像組 |
mirroring-group group-id remote-source |
必選 缺省情況下,不存在任何遠程源鏡像組 |
可以在係統視圖下為指定鏡像組配置一個或多個源端口,也可以在接口視圖下將當前接口配置為指定鏡像組的源端口,二者的配置效果相同。
(1) 在係統視圖下配置源端口
表1-11 在係統視圖下配置源端口
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
為遠程源鏡像組配置源端口 |
mirroring-group group-id mirroring-port mirroring-port-list { both | inbound | outbound } |
必選 缺省情況下,遠程源鏡像組沒有源端口 |
(2) 在接口視圖下配置源端口
表1-12 在接口視圖下配置源端口
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
配置本端口為遠程源鏡像組的源端口 |
[ mirroring-group group-id ] mirroring-port { both | inbound | outbound } |
必選 缺省情況下,端口不是任何遠程源鏡像組的源端口 |
· 一個鏡像組內可以配置多個源端口。
· 請不要將源端口加入到源VLAN和遠程鏡像VLAN中,否則會影響鏡像功能的正常使用。
· 通常,一個端口隻能被一個鏡像組使用。
(1) 配置準備
在配置源VLAN之前,需完成以下任務:
· 配置源VLAN所使用的靜態VLAN
· 配置遠程鏡像VLAN所使用的靜態VLAN
· 配置前請先在反射口上去使能生成樹功能
(2) 配置過程
表1-13 配置源VLAN
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
為遠程源鏡像組配置源VLAN |
mirroring-group group-id mirroring-vlan mirroring-vlan-list { both | inbound | outbound } |
必選 缺省情況下,遠程源鏡像組沒有源VLAN |
一個鏡像組內可以配置多個源VLAN。
配置反射端口前,請先使用undo shutdown命令使接口的管理狀態為開啟,如果接口的管理狀態為關閉DOWN ( Administratively ),係統會打印信息顯示配置不成功。
可以在係統視圖下為指定鏡像組配置反射端口,也可以在接口視圖下將當前接口配置為指定鏡像組的反射端口,二者的配置效果相同。
(1) 在係統視圖下配置反射端口
表1-14 在係統視圖下配置反射端口
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
為遠程源鏡像組配置反射端口 |
mirroring-group group-id reflector-port reflector-port |
必選 缺省情況下,遠程源鏡像組沒有反射端口 |
(2) 在接口視圖下配置反射端口
表1-15 在接口視圖下配置反射端口
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
配置本端口為遠程源鏡像組的反射端口 |
mirroring-group group-id reflector-port |
必選 缺省情況下,端口不是任何遠程源鏡像組的反射端口 |
· 一個鏡像組內隻能配置一個反射端口。
· 請不要將反射端口加入到源VLAN中,否則會影響鏡像功能的正常使用。
· 反射端口必須是Access端口且屬於缺省VLAN,不能是現有鏡像組的成員端口或流鏡像目的端口。
· 隻有當端口的雙工模式、端口速率和MDI屬性值均為缺省值時,才能將其配置為反射端口。當端口已配置為反射端口後,不能再修改其雙工模式、端口速率和MDI屬性值,即這些屬性隻能取缺省值。
· 請不要在反射端口上連接網線,也不要在反射端口上配置下列功能:生成樹協議、802.1X、IGMP Snooping、靜態ARP、MAC地址學習、QinQ、端口環回,否則會影響鏡像功能的正常使用。
· 設備不支持跨框(即反射端口和源端口(或源VLAN中的端口)位於IRF模式下的兩台不同的設備上)配置端口鏡像。
(1) 配置準備
在配置遠程鏡像VLAN之前,需完成以下任務:
· 配置遠程鏡像VLAN所使用的靜態VLAN
(2) 配置過程
表1-16 配置遠程鏡像VLAN
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
為遠程源鏡像組配置遠程鏡像VLAN |
mirroring-group group-id remote-probe vlan rprobe-vlan-id |
必選 缺省情況下,遠程源鏡像組沒有遠程鏡像VLAN |
· 當一個VLAN已被指定為遠程鏡像VLAN後,請不要將該VLAN再作其它用途。
· 源設備和目的設備上的遠程鏡像組必須使用相同的遠程鏡像VLAN。
請在目的設備上進行如下配置。
表1-17 創建遠程目的鏡像組
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建遠程目的鏡像組 |
mirroring-group group-id remote-destination |
必選 缺省情況下,不存在任何遠程目的鏡像組 |
可以在係統視圖下為指定鏡像組配置目的端口,也可以在接口視圖下將當前接口配置為指定鏡像組的目的端口,二者的配置效果相同。
(1) 在係統視圖下配置目的端口
表1-18 在係統視圖下配置目的端口
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
為遠程目的鏡像組配置目的端口 |
mirroring-group group-id monitor-port monitor-port-id |
必選 缺省情況下,遠程目的鏡像組沒有目的端口 |
(2) 在接口視圖下配置目的端口
表1-19 在接口視圖下配置目的端口
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
配置本端口為遠程目的鏡像組的目的端口 |
[ mirroring-group group-id ] monitor-port |
必選 缺省情況下,端口不是任何遠程目的鏡像組的目的端口 |
· 一個鏡像組內隻能配置一個目的端口。
· 請不要將目的端口加入到源VLAN中,或在目的端口上使能生成樹協議,否則會影響鏡像功能的正常使用。
· 從目的端口發出的報文包括鏡像報文和其它端口正常轉發來的報文。為了保證數據監測設備隻對鏡像報文進行分析,請將目的端口隻用於端口鏡像,不作其它用途。
表1-20 配置遠程鏡像VLAN
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
為遠程目的鏡像組配置遠程鏡像VLAN |
mirroring-group group-id remote-probe vlan rprobe-vlan-id |
必選 缺省情況下,遠程目的鏡像組沒有遠程鏡像VLAN |
當一個VLAN已被指定為遠程鏡像VLAN後,請不要將該VLAN再作其它用途。
表1-21 將目的端口加入遠程鏡像VLAN
|
操作 |
命令 |
說明 |
|
|
進入係統視圖 |
system-view |
- |
|
|
進入目的接口視圖 |
interface interface-type interface-number |
- |
|
|
將目的端口加入遠程鏡像VLAN |
目的端口為Access端口 |
port access vlan vlan-id |
三者必選其一 |
|
目的端口為Trunk端口 |
port trunk permit vlan vlan-id |
||
|
目的端口為Hybrid端口 |
port hybrid vlan vlan-id { tagged | untagged } |
||
有關port access vlan、port trunk permit vlan和port hybrid vlan命令的詳細介紹,請參見“二層技術-以太網交換命令參考”中的“VLAN”。
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後鏡像組的運行情況,通過查看顯示信息驗證配置的效果。
表1-22 端口鏡像顯示和維護
|
操作 |
命令 |
|
顯示端口鏡像組的配置信息 |
display mirroring-group { group-id | all | local | remote-destination | remote-source } [ | { begin | exclude | include } regular-expression ] |
缺省情況下,以太網接口、VLAN接口及聚合接口處於DOWN狀態。如果要對這些接口進行配置,請先使用undo shutdown命令使接口狀態處於UP狀態,如果端口處於DOWN狀態,配置可能不成功。
· Device A通過端口GE4/0/1和GE4/0/2分別連接市場部和技術部,並通過端口GE4/0/3連接Server。
· 通過配置源端口方式的本地端口鏡像,使Server可以監控所有進、出市場部和技術部的報文。
(1) 配置本地鏡像組
# 創建本地鏡像組。
<Sysname> system-view
[Sysname] mirroring-group 1 local
# 為本地鏡像組配置源端口為GE4/0/1和GE4/0/2,目的端口為GE4/0/3。
[Sysname] mirroring-group 1 mirroring-port Gigabitethernet 4/0/1 Gigabitethernet 4/0/2 both
[Sysname] mirroring-group 1 monitor-port Gigabitethernet 4/0/3
# 在目的端口GE4/0/3上關閉生成樹協議。
[DeviceA] interface Gigabitethernet 4/0/3
[DeviceA-Gigabitethernet4/0/3] undo stp enable
[DeviceA-Gigabitethernet4/0/3] quit
(2) 檢驗配置效果
# 顯示所有鏡像組的配置信息。
[DeviceA] display mirroring-group all
mirroring-group 1:
type: local
status: active
mirroring port:
Gigabitethernet4/0/1 both
Gigabitethernet4/0/2 both
mirroring vlan:
monitor port: Gigabitethernet4/0/3
配置完成後,用戶可以通過Server監控所有進、出市場部和技術部的報文。
· Device A通過端口GE4/0/1和GE4/0/2分別連接市場部和技術部,且GE4/0/1和GE4/0/2都屬於VLAN 2,並通過端口GE4/0/3連接Server。
· 通過配置源VLAN方式的本地端口鏡像,使Server可以監控所有進、出市場部和技術部的報文。
圖1-4 本地端口鏡像配置組網圖(源VLAN方式)
(1) 配置本地鏡像組
# 創建本地鏡像組1。
<DeviceA> system-view
[DeviceA] mirroring-group 1 local
# 創建VLAN 2,並將端口GE4/0/1和GE4/0/2加入VLAN 2。
[DeviceA] vlan 2
[DeviceA-vlan2] port Gigabitethernet 4/0/1 Gigabitethernet 4/0/2
[DeviceA-vlan2] quit
# 配置本地鏡像組1的源VLAN為VLAN 2,目的端口為GE4/0/3。
[DeviceA] mirroring-group 1 mirroring-vlan 2 both
[DeviceA] mirroring-group 1 monitor-port Gigabitethernet 4/0/3
# 在目的端口GE4/0/3上關閉生成樹協議。
[DeviceA] interface Gigabitethernet 4/0/3
[DeviceA-Gigabitethernet 4/0/3] undo stp enable
[DeviceA-Gigabitethernet 4/0/3] quit
(2) 檢驗配置效果
# 顯示所有鏡像組的配置信息。
[DeviceA] display mirroring-group all
mirroring-group 1:
type: local
status: active
mirroring port:
mirroring vlan:
2 both
mirroring CPU:
monitor port: Gigabitethernet 4/0/3
配置完成後,用戶可以通過Server監控所有進、出市場部和技術部的報文。
· 在一個二層網絡中,Device A通過端口GE4/0/1連接市場部,並通過Trunk端口GE4/0/2與Device B的Trunk端口GE4/0/1相連;Device C通過端口GE4/0/2連接Server,並通過Trunk端口GE4/0/1與Device B的Trunk端口GE4/0/2相連。其中,Device A支持非固定反射端口方式的二層遠程端口鏡像。
· 通過配置二層遠程端口鏡像,使Server可以監控所有進、出市場部的報文。
圖1-5 二層遠程端口鏡像配置組網圖(非固定反射端口方式)
(1) 配置Device A
# 創建遠程源鏡像組1。
<DeviceA> system-view
[DeviceA] mirroring-group 1 remote-source
# 創建VLAN 2。
[DeviceA] vlan 2
# 關閉VLAN 2的MAC地址學習功能。
[DeviceA-vlan2] mac-address max-mac-count 0
[DeviceA-vlan2] quit
# 配置遠程源鏡像組1的遠程鏡像VLAN為VLAN 2,源端口為GE4/0/1,反射端口為GE4/0/3。
[DeviceA] mirroring-group 1 remote-probe vlan 2
[DeviceA] mirroring-group 1 mirroring-port Gigabitethernet 4/0/1 both
[DeviceA] mirroring-group 1 reflector-port Gigabitethernet 4/0/3
# 配置端口GE4/0/2為Trunk口,並允許VLAN 2的報文通過。
[DeviceA] interface Gigabitethernet 4/0/2
[DeviceA-Gigabitethernet 4/0/2] port link-type trunk
[DeviceA-Gigabitethernet 4/0/2] port trunk permit vlan 2
[DeviceA-Gigabitethernet 4/0/2] quit
(2) 配置Device B
# 創建VLAN 2。
<DeviceB> system-view
[DeviceB] vlan 2
# 關閉VLAN 2的MAC地址學習功能。
[DeviceB-vlan2] mac-address max-mac-count 0
[DeviceB-vlan2] quit
# 配置端口GE4/0/1為Trunk口,並允許VLAN 2的報文通過。
[DeviceB] interface Gigabitethernet 4/0/1
[DeviceB-Gigabitethernet 4/0/1] port link-type trunk
[DeviceB-Gigabitethernet 4/0/1] port trunk permit vlan 2
[DeviceB-Gigabitethernet 4/0/1] quit
# 配置端口GE4/0/2為Trunk口,並允許VLAN 2的報文通過。
[DeviceB] interface Gigabitethernet 4/0/2
[DeviceB-Gigabitethernet 4/0/2] port link-type trunk
[DeviceB-Gigabitethernet 4/0/2] port trunk permit vlan 2
[DeviceB-Gigabitethernet 4/0/2] quit
(3) 配置Device C
# 配置端口GE4/0/1為Trunk口,並允許VLAN 2的報文通過。
<DeviceC> system-view
[DeviceC] interface Gigabitethernet 4/0/1
[DeviceC-Gigabitethernet 4/0/1] port link-type trunk
[DeviceC-Gigabitethernet 4/0/1] port trunk permit vlan 2
[DeviceC-Gigabitethernet 4/0/1] quit
# 創建遠程目的鏡像組1。
[DeviceC] mirroring-group 1 remote-destination
# 創建VLAN 2。
[DeviceC] vlan 2
# 關閉VLAN 2的MAC地址學習功能。
[DeviceC-vlan2] mac-address max-mac-count 0
[DeviceC-vlan2] quit
# 配置遠程目的鏡像組1的遠程鏡像VLAN為VLAN 2,目的端口為GE4/0/2,在該端口上關閉生成樹協議並將其加入VLAN 2。
[DeviceC] mirroring-group 1 remote-probe vlan 2
[DeviceC] interface Gigabitethernet 4/0/2
[DeviceC-Gigabitethernet 4/0/2] mirroring-group 1 monitor-port
[DeviceC-Gigabitethernet 4/0/2] undo stp enable
[DeviceC-Gigabitethernet 4/0/2] port access vlan 2
[DeviceC-Gigabitethernet 4/0/2] quit
(4) 檢驗配置效果
配置完成後,用戶可以通過Server監控所有進、出市場部的報文。
流鏡像是指將指定報文複製到指定目的地,用於報文的分析和監控。它通過QoS策略來實現,即使用流分類技術為待鏡像報文定義匹配條件,再通過配置流行為將符合條件的報文鏡像至指定目的地。流鏡像可分為以下三種類型:
· 流鏡像到接口:將接口的符合要求的報文複製一份並轉發到目的接口。目的接口可以是以太網接口或者聚合接口。
· 流鏡像到CPU:將接口的符合要求的報文複製一份並轉發到CPU,這裏的CPU指的是配置了流鏡像的接口所在單板上的CPU。
· 流鏡像到VLAN:將接口的符合要求的報文複製一份並在指定的VLAN中廣播,VLAN中的接口就可以接收到鏡像報文。如果VLAN不存在,也可以預先配置,等VLAN被創建並有接口加入後,流鏡像可以自動生效。
· 獨立運行模式下,設備不支持將流量流鏡像到LST1IPS2A1單板的聚合接口。
· IRF模式下,設備不支持跨框配置流鏡像,即被監控流量的入端口與流鏡像的目的地(目的端口、目的VLAN內的端口、目的CPU)不能位於IRF的不同成員設備上;但可以配置跨框流鏡像到OAA單板上的端口(除LST1IPS2A1單板的第二個內聯接口外)。
· 通過QoS策略將流量流鏡像到LST1IPS2A1單板的內聯接口時,需要配置兩個內聯口聚合,同時配置聚合組中的最小選中端口數為2,並且不允許其他端口加入該聚合組。
· 有關QoS策略、流分類和流行為的詳細介紹,請參見“ACL和QoS配置指導”中的“QoS”。
表2-1 流鏡像配置任務簡介
|
配置任務 |
說明 |
詳細配置 |
|
|
配置報文匹配規則 |
必選 |
||
|
配置流鏡像類型 |
配置流鏡像到接口 |
三者必選其一 |
|
|
配置流鏡像到VLAN |
|||
|
配置流鏡像到CPU |
|||
|
配置QoS策略 |
必選 |
||
|
應用QoS策略 |
基於接口應用 |
三者必選其一 實現流鏡像功能時,對業務底板來說,入方向和出方向均支持;對以太網接口板來說,僅入方向支持。 |
|
|
基於VLAN應用 |
|||
|
基於全局應用 |
|||
表2-2 配置報文匹配規則
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
定義流分類,並進入流分類視圖 |
traffic classifier tcl-name [ operator { and | or } ] |
必選 缺省情況下,不存在任何流分類 |
|
配置報文匹配規則 |
if-match [ not ] match-criteria |
必選 缺省情況下,流分類中不存在任何報文匹配規則 |
有關traffic classifier和if-match命令的詳細介紹,請參見“ACL和QoS命令參考”中的“QoS策略”。
流鏡像可分為流鏡像到接口、流鏡像到VLAN和流鏡像到CPU三種類型,在同一流行為中隻能配置其中一種。
表2-3 配置流鏡像到接口
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
定義流行為,並進入流行為視圖 |
traffic behavior behavior-name |
必選 缺省情況下,不存在任何流行為 |
|
配置流鏡像到指定接口 |
mirror-to interface interface-type interface-number [ backup-interface interface-type interface-number ] |
必選 缺省情況下,流行為中未配置任何流鏡像 |
|
配置流鏡像引用的采樣器 |
mirror-to interface interface-type interface-number [ backup-interface interface-type interface-number ] sampler sampler-name |
可選 缺省情況下,流鏡像未引用任何采樣器 |
配置跨框流鏡像到OAA單板的端口時,OAA單板的端口必須包含在VLAN 1內。同時,建議您盡量不要在VLAN 1內配置其它業務,以免影響統計結果。
· 有關traffic behavior命令的詳細介紹,請參見“ACL和QoS命令參考”中的“QoS策略”。
· 有關采樣器的詳細介紹,請參見“網絡管理和監控配置指導”中的“Sampler”。
表2-4 配置流鏡像到VLAN
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
定義流行為,並進入流行為視圖 |
traffic behavior behavior-name |
必選 缺省情況下,不存在任何流行為 |
|
配置流鏡像到指定VLAN |
mirror-to vlan vlan-id |
必選 缺省情況下,流行為中未配置任何流鏡像 |
· 有關traffic behavior命令的詳細介紹,請參見“ACL和QoS命令參考”中的“QoS策略”。
· 允許將流量鏡像到尚未創建的VLAN,待該VLAN被創建並有端口加入後,本配置將在這些端口上自動生效。
表2-5 配置流鏡像到CPU
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
定義流行為,並進入流行為視圖 |
traffic behavior behavior-name |
必選 缺省情況下,不存在任何流行為 |
|
配置流鏡像到CPU |
mirror-to cpu |
必選 缺省情況下,流行為中未配置任何流鏡像 |
· 有關traffic behavior命令的詳細介紹,請參見“ACL和QoS命令參考”中的“QoS策略”。
· 上述CPU是指配置了流鏡像的接口所在單板上的CPU。
表2-6 配置QoS策略
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
定義QoS策略,並進入QoS策略視圖 |
qos policy policy-name |
必選 缺省情況下,不存在任何策略 |
|
為流分類指定采用的流行為 |
classifier tcl-name behavior behavior-name |
必選 缺省情況下,沒有為流分類指定采用的流行為 |
有關qos policy和classifier behavior命令的詳細介紹,請參見“ACL和QoS命令參考”中的“QoS策略”。
有關應用QoS策略的詳細介紹,請參見“ACL和QoS配置指導”中的“QoS配置方式”。
將QoS策略應用到某接口,可以方便對該接口上的流量進行管理。一個QoS策略可以應用於多個接口,而接口在出/入的每個方向上隻能應用一個QoS策略。
表2-7 基於接口應用
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
應用QoS策略到接口 |
qos apply policy policy-name { inbound | outbound } |
必選 outbound關鍵字僅在業務底板上支持 |
有關qos apply policy命令的詳細介紹,請參見“ACL和QoS命令參考”中的“QoS策略”。
將QoS策略應用到某VLAN,可以對該VLAN內各端口指定方向上的流量進行鏡像。
表2-8 基於VLAN應用
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
應用QoS策略到指定VLAN |
qos vlan-policy policy-name vlan vlan-id-list { inbound | outbound } |
必選 outbound關鍵字僅在業務底板上支持 |
有關qos vlan-policy命令的詳細介紹,請參見“ACL和QoS命令參考”中的“QoS策略”。
將QoS策略應用到全局,可以對設備各端口指定方向上的流量進行鏡像。
表2-9 基於全局應用
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
應用QoS策略到全局 |
qos apply policy policy-name global { inbound | outbound } |
必選 outbound關鍵字僅在業務底板上支持 |
有關qos apply policy命令的詳細介紹,請參見“ACL和QoS命令參考”中的“QoS策略”。
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後流鏡像的運行情況,通過查看顯示信息驗證配置的效果。
表2-10 流鏡像顯示和維護
|
操作 |
命令 |
|
顯示用戶自定義流行為的配置信息 |
display traffic behavior user-defined [ behavior-name ] [ | { begin | exclude | include } regular-expression ] |
|
顯示用戶自定義策略的配置信息 |
display qos policy user-defined [ policy-name [ classifier tcl-name ] ] [ | { begin | exclude | include } regular-expression ] |
有關display traffic behavior和display qos policy命令的詳細介紹,請參見“ACL和QoS命令參考”中的“QoS策略”。
· 某公司內的各部門之間使用不同網段的IP地址,其中市場部和技術部分別使用192.168.1.0/24和192.168.2.0/24網段,該公司的工作時間為每周工作日的8點到18點。
· 通過配置流鏡像,使Server可以監控技術部訪問互聯網的WWW流量,以及技術部在工作時間發往市場部的IP流量。
圖2-1 流鏡像典型配置組網圖
(1) 配置監控技術部訪問互聯網的流量
# 創建ACL 3000,並定義如下規則:匹配技術部(192.168.2.0/24網段)訪問WWW的報文。
<DeviceA> system-view
[DeviceA] acl number 3000
[DeviceA-acl-adv-3000] rule permit tcp source 192.168.2.0 0.0.0.255 destination-port eq www
[DeviceA-acl-adv-3000] quit
# 創建流分類tech_c,並配置報文匹配規則為ACL 3000。
[DeviceA] traffic classifier tech_c
[DeviceA-classifier-tech_c] if-match acl 3000
[DeviceA-classifier-tech_c] quit
# 創建流行為tech_b,並配置流鏡像到接口GE4/0/3。
[DeviceA] traffic behavior tech_b
[DeviceA-behavior-tech_b] mirror-to interface Gigabitethernet 4/0/3
[DeviceA-behavior-tech_b] quit
# 創建QoS策略tech_p,並指定流分類tech_c采用流行為tech_b。
[DeviceA] qos policy tech_p
[DeviceA-qospolicy-tech_p] classifier tech_c behavior tech_b
[DeviceA-qospolicy-tech_p] quit
# 將QoS策略tech_p應用到接口GE4/0/4的入方向上。
[DeviceA] interface Gigabitethernet 4/0/4
[DeviceA-Gigabitethernet4/0/4] qos apply policy tech_p inbound
[DeviceA-Gigabitethernet4/0/4] quit
(2) 配置監控技術部發往市場部的流量
# 定義工作時間:創建名為work的時間段,其時間範圍為每周工作日的8點到18點。
[DeviceA] time-range work 8:0 to 18:0 working-day
# 創建ACL 3001,並定義如下規則:匹配在工作時間由技術部(192.168.2.0/24網段)發往市場部(192.168.1.0/24網段)的IP報文。
[DeviceA] acl number 3001
[DeviceA-acl-adv-3001] rule permit ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 time-range work
[DeviceA-acl-adv-3001] quit
# 創建流分類mkt_c,並配置報文匹配規則為ACL 3001。
[DeviceA] traffic classifier mkt_c
[DeviceA-classifier-mkt_c] if-match acl 3001
[DeviceA-classifier-mkt_c] quit
# 創建流行為mkt_b,並配置流鏡像到接口GE4/0/3。
[DeviceA] traffic behavior mkt_b
[DeviceA-behavior-mkt_b] mirror-to interface Gigabitethernet 4/0/3
[DeviceA-behavior-mkt_b] quit
# 創建QoS策略mkt_p,並指定流分類mkt_c采用流行為mkt_b。
[DeviceA] qos policy mkt_p
[DeviceA-qospolicy-mkt_p] classifier mkt_c behavior mkt_b
[DeviceA-qospolicy-mkt_p] quit
# 將QoS策略mkt_p應用到接口GE4/0/4的入方向上。
[DeviceA] interface Gigabitethernet 4/0/4
[DeviceA-Gigabitethernet4/0/4] qos apply policy mkt_p inbound
(3) 檢驗配置效果
配置完成後,用戶可以通過Server監控技術部訪問互聯網的WWW流量,以及技術部在工作時間發往市場部的IP流量。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
