- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
18-鏡像配置
本章節下載: 18-鏡像配置 (688.76 KB)
目 錄
1.5 配置三層遠程端口鏡像(Tunnel方式ERSPAN)
1.6 配置三層遠程端口鏡像(配置封裝參數方式ERSPAN)
1.8.3 二層遠程端口鏡像配置舉例(反射端口方式RSPAN)
1.8.4 二層遠程端口鏡像配置舉例(出端口方式RSPAN)
1.8.5 三層遠程端口鏡像配置舉例(Tunnel方式ERSPAN)
1.8.6 三層遠程端口鏡像配置舉例(配置封裝參數方式ERSPAN)
端口鏡像通過將指定端口或CPU的報文複製到與數據監測設備相連的端口,使用戶可以利用數據監測設備分析這些複製過來的報文,以進行網絡監控和故障排除。
鏡像源是指被監控的對象,配置為監控對象的端口為源端口,配置為監控對象的CPU為源CPU。經鏡像源收發的報文會被複製一份到與數據監測設備相連的端口,用戶就可以對這些報文(稱為鏡像報文)進行監控和分析了。
鏡像源所在的設備稱為源設備。
鏡像目的是指鏡像報文所要到達的目的地,即與數據監測設備相連的端口,該端口稱為目的端口。目的端口會將鏡像報文轉發給與之相連的數據監測設備。
由於一個目的端口可以同時監控多個鏡像源,因此在某些組網環境下,目的端口可能收到對同一報文的多份拷貝。例如,目的端口Port A同時監控同一台設備上的源端口Port B和Port C收發的報文,如果某報文從Port B進入該設備後又從Port C發送出去,那麼該報文將被複製兩次給Port A。
目的端口所在的設備稱為目的設備。
鏡像方向是指在鏡像源上可複製哪些方向的報文:
· 入方向:是指僅複製鏡像源收到的報文。
· 出方向:是指僅複製鏡像源發出的報文。
· 雙向:是指對鏡像源收到和發出的報文都進行複製。
鏡像組是一個邏輯上的概念,鏡像源和鏡像目的都要屬於某一個鏡像組。根據具體的實現方式不同,鏡像組可分為本地鏡像組、遠程源鏡像組和遠程目的鏡像組。
反射端口、出端口和遠程鏡像VLAN都是在二層遠程端口鏡像的實現過程中用到的概念。遠程鏡像VLAN是將鏡像報文從源設備傳送至目的設備的專用VLAN;反射端口和出端口都位於源設備上,都用來將鏡像報文發送到遠程鏡像VLAN中。
在配置端口鏡像的設備上,除源端口、目的端口、反射端口、出端口外的其他端口統稱為普通端口。
根據鏡像源與鏡像目的是否位於同一台設備上,可以將端口鏡像分為:
· 本地端口鏡像(SPAN,Switch port Analyzer):當源設備與數據監測設備直接相連時,源設備同時作為目的設備,即由本設備將鏡像報文轉發至數據檢測設備,該端口鏡像稱為本地端口鏡像。
· 遠程端口鏡像:當源設備與數據監測設備不直接相連時,與數據監測設備直接相連的設備作為目的設備,源設備需要將鏡像報文複製一份至目的設備,然後由目的設備將鏡像報文轉發至數據監測設備,該端口鏡像稱為遠程端口鏡像。根據源設備與目的設備之間的連接關係,又可將遠程端口鏡像細分為:
¡ 二層遠程端口鏡像(RSPAN,Remote SPAN):源設備與目的設備之間通過二層網絡進行連接。
¡ 三層遠程端口鏡像(ERSPAN,Encapsulated remote SPAN):源設備與目的設備之間通過三層網絡進行連接。
如圖1-1所示,現在需要設備將進入端口Port A的報文複製一份,從端口Port B將報文轉發給數據監測設備。為滿足該需求,可以配置本地鏡像組,其中源端口為Port A,鏡像方向為入方向,目的端口為Port B。
對於二層遠程端口鏡像,鏡像源和鏡像目的分屬於不同設備上的不同鏡像組:
· 遠程源鏡像組:鏡像源所在的鏡像組。
· 遠程目的鏡像組:鏡像目的所在的鏡像組。
· 中間設備:位於源設備與目的設備之間的設備。
二層遠程端口鏡像的實現包括反射端口方式和出端口方式。
反射端口方式二層遠程端口鏡像報文的轉發過程如圖1-2所示。
(1) 源設備將進入鏡像源的報文複製一份給反射端口。
(2) 反射端口將鏡像報文在遠程鏡像VLAN中廣播。
(3) 鏡像報文經由中間設備轉發至目的設備。
(4) 目的設備收到該報文後判別其VLAN ID,若與遠程鏡像VLAN的VLAN ID相同,則將鏡像報文通過目的端口轉發給數據監測設備。
圖1-2 反射端口方式二層遠程端口鏡像示意圖
出端口方式二層遠程端口鏡像報文的轉發過程如圖1-3所示。
(1) 源設備將進入鏡像源的報文複製一份給出端口。
(2) 出端口將鏡像報文轉發給中間設備。
(3) 中間設備在遠程鏡像VLAN中廣播,最終到達目的設備。
(4) 目的設備收到該報文後判別其VLAN ID,若與遠程鏡像VLAN的VLAN ID相同,則將鏡像報文通過目的端口轉發給數據監測設備。
圖1-3 出端口方式二層遠程端口鏡像示意圖
ERSPAN技術實現的功能是將鏡像報文封裝為協議號是0x88BE的GRE報文,路由到遠端監控設備。
ERSPAN的實現包括Tunnel方式和配置封裝參數方式。
Tunnel方式三層遠程端口鏡像使用本地鏡像組的方式實現,即在源設備和目的設備上分別創建各自的本地鏡像組,每個本地鏡像組也擁有各自的鏡像源和目的端口。不同的是:
· 在源設備上:
¡ 源端口為待監控的端口。
¡ 源CPU為待監控的端口所在的CPU。
¡ 目的端口為用於傳輸鏡像報文的Tunnel接口。
· 在目的設備上:
¡ 源端口為Tunnel接口對應的物理端口。
¡ 目的端口為連接數據監測設備的端口。
Tunnel方式三層遠程端口鏡像報文的轉發過程如圖1-4所示。
(1) 源設備將進入源端口的報文複製一份給其Tunnel接口(即目的端口)。有關Tunnel接口的詳細介紹,請參見“三層技術-IP業務配置指導”中“隧道”。
(2) 報文經由GRE(Generic Routing Encapsulation,通用路由封裝)隧道轉發至目的設備端的Tunnel接口。有關GRE隧道的詳細介紹,請參見“三層技術-IP業務配置指導”中的“GRE”。
(3) 目的設備將從該Tunnel接口對應的物理接口(即源端口)收到的鏡像報文複製一份給目的端口。
(4) 最後由目的設備上的目的端口將鏡像報文轉發到數據監測設備。
鏡像到監測設備的報文為攜帶ERSPAN封裝的報文,因此監測設備必須支持解封裝。
圖1-4 Tunnel方式三層遠程端口鏡像示意圖
配置封裝參數方式三層遠程端口鏡像僅需在源設備上進行配置;同時所有設備上需配置單播路由協議,並確保設備之間的三層網絡暢通。
在源設備上先創建一個本地鏡像組,然後為該鏡像組配置源端口和目的端口。配置目的端口時,指定鏡像報文封裝的目的IP地址為監測設備的地址,源IP地址為目的端口的IP地址。
如圖1-5所示,配置封裝參數方式三層遠程端口鏡像報文的轉發過程為:
(1) 源設備將經過源端口的報文複製一份。
(2) 源設備為複製的報文添加ERSPAN封裝,封裝的源IP地址為目的端口的IP地址,目的IP地址為監測設備的IP地址。
(3) 封裝後的報文通過IP網絡路由轉發到監測設備。
(4) 監測設備對報文進行解封裝,並分析鏡像報文的內容。
配置封裝參數方式ERSPAN鏡像到監測設備的報文為封裝後的報文,因此監測設備必須支持解封裝。
對於二層遠程端口鏡像反射端口方式,源設備的反射端口將鏡像報文在遠程鏡像VLAN中廣播。因此,可以利用遠程鏡像VLAN的原理,在本地設備上創建遠程源鏡像組,並指定遠程鏡像VLAN,同時將本設備上連接數據檢測設備的多個端口加入該VLAN,鏡像報文在遠程鏡像VLAN中廣播時便可以從這些端口中發送出去,實現將鏡像報文輸出到本地多個端口的需求。而對於出端口方式則無此實現。
設備同時配置鏡像和聚合時,請注意避免出現鏡像源端口為聚合組A的成員端口,鏡像目的端口、出端口或反射端口為聚合組B的成員端口的情況,以免聚合組B成員端口接收到聚合組A成員端口的鏡像LACP報文,引起聚合接口震蕩。
對端口入方向的報文進行鏡像,則鏡像後的報文攜帶VLAN Tag的情況與原始報文保持一致;對端口出方向的報文進行鏡像,則鏡像後的報文始終攜帶報文在從源端口發送前所屬VLAN的VLAN Tag。
配置端口鏡像時,如果鏡像源端口屬於多個MSTP實例,則隻有當端口的STP狀態在所有實例中全為Forwarding時,入方向報文才能鏡像成功。關於MSTP功能的詳細介紹,請參見“二層技術-以太網交換配置指導”中的“生成樹”。
當聚合接口作為目的端口時,鏡像的流量隻能在前8個成員端口上負載分擔轉發,前8個成員端口是指按編號大小排序的前8個成員端口。
當鏡像源端口為二層/三層聚合接口或聚合成員端口時,不支持將鏡像目的端口配置為二層聚合接口。反之,當鏡像目的端口配置為二層聚合接口時,不支持將二層/三層聚合接口和聚合成員端口配置為鏡像源端口。
如果配置了telemetry ifa loopback命令,設備最多隻支持創建3個鏡像組。有關telemetry ifa loopback命令的詳細介紹,請參見“Telemetry配置指導”中的“INT”。
在完成鏡像源和鏡像目的配置之後,本地鏡像組才能生效。
設備不支持將三層聚合接口配置為目的端口。
本地端口鏡像配置任務如下:
(1) 創建本地鏡像組
(2) 配置鏡像源
請選擇以下一項任務進行配置:
¡ 配置鏡像源
¡ 配置源CPU
(3) 配置鏡像目的
(1) 進入係統視圖。
system-view
(2) 創建本地鏡像組。
mirroring-group group-id local
缺省情況下,未創建本地鏡像組。
配置源端口時,需要注意的是:
· 一個鏡像組內可以配置多個源端口。
· 一個端口作為單向源端口最多可以加入四個鏡像組,作為雙向源端口最多可以加入兩個鏡像組,或者以一個雙向源端口和兩個單向源端口的形式加入三個鏡像組。
· 源端口不能用作反射端口、出端口或目的端口。
配置源CPU時,一個鏡像組內可以配置多個源CPU。
· 在係統視圖下配置源端口。
a. 進入係統視圖。
system-view
b. 為本地鏡像組配置源端口。
mirroring-group group-id mirroring-port interface-list { both | inbound | outbound }
缺省情況下,未為本地鏡像組配置源端口。
· 在接口視圖下配置源端口。
a. 進入係統視圖。
system-view
b. 進入接口視圖。
interface interface-type interface-number
c. 配置當前端口為本地鏡像組的源端口。
mirroring-group group-id mirroring-port { both | inbound | outbound }
缺省情況下,未配置當前端口為本地鏡像組的源端口。
(1) 進入係統視圖。
system-view
(2) 為本地鏡像組配置源CPU。
mirroring-group group-id mirroring-cpu slot slot-number-list inbound
缺省情況下,未為本地鏡像組配置源CPU。
設備僅支持對源CPU收到的報文進行鏡像。
不能在目的端口上開啟生成樹協議,否則會影響鏡像功能的正常使用。
一個本地鏡像組中僅可以配置一個目的端口。
當二層聚合接口作為目的端口時,請勿將其成員端口配置為源端口,否則會影響鏡像功能的正常使用。
從目的端口發出的報文包括鏡像報文和其他端口正常轉發來的報文。為了保證數據監測設備隻對鏡像報文進行分析,請將目的端口隻用於端口鏡像,不作其他用途。
目的端口不能是聚合組的成員端口。
· 在係統視圖下配置目的端口。
a. 進入係統視圖。
system-view
b. 為本地鏡像組配置目的端口。
mirroring-group group-id monitor-port interface-list
缺省情況下,未為本地鏡像組配置目的端口。
· 在接口視圖下配置目的端口。
a. 進入係統視圖。
system-view
b. 進入接口視圖。
interface interface-type interface-number
c. 配置本端口為本地鏡像組的目的端口。
mirroring-group group-id monitor-port
缺省情況下,未配置當前端口為本地鏡像組的目的端口。
二層遠程端口鏡像的配置需要分別在源設備和目的設備上進行;如果存在中間設備,則需要在中間設備上允許遠程鏡像VLAN通過,以確保源設備與目的設備之間的二層網絡暢通。
請先配置目的設備,再配中間設備,最後配源設備,以保證鏡像流量的正常轉發。
在鏡像報文從源設備到達目的設備的過程中,VLAN ID不被修改或刪除,否則二層遠程鏡像功能將失效。
在配置二層遠程端口鏡像時建議關閉MVRP(Multiple VLAN Registration Protocol,多VLAN注冊協議)功能,否則MVRP可能將遠程鏡像VLAN注冊到不需要監控的端口上,導致目的端口收到不必要的報文。有關MVRP的詳細介紹,請參見“二層技術-以太網交換配置指導”中的“MVRP”。
在一個鏡像組中對同一個端口收發的報文進行雙向鏡像時,需要在源設備、中間設備和目的設備上關閉遠程鏡像VLAN的MAC地址學習功能,以保證鏡像功能的正常進行。關於MAC地址學習功能的詳細介紹,請參見“二層技術-以太網交換配置指導”中的“MAC地址表”。
目的設備配置任務如下:
(1) 創建遠程目的鏡像組
(2) 配置目的端口
(3) 配置遠程鏡像VLAN
(4) 將目的端口加入遠程鏡像VLAN
源設備配置任務如下:
(1) 創建遠程源鏡像組
(2) 配置鏡像源
請選擇以下一項任務進行配置:
¡ 配置源端口
¡ 配置源CPU
(3) 配置反射端口
(4) 配置遠程鏡像VLAN
目的設備配置任務如下:
(1) 創建遠程目的鏡像組
(2) 配置目的端口
(3) 配置遠程鏡像VLAN
(4) 將目的端口加入遠程鏡像VLAN
源設備配置任務如下:
(1) 創建遠程源鏡像組
(2) 配置鏡像源
請選擇以下一項任務進行配置:
¡ 配置源端口
¡ 配置源CPU
(3) 配置出端口
(4) 配置遠程鏡像VLAN
僅目的設備需要進行本配置。
(1) 進入係統視圖。
system-view
(2) 創建遠程目的鏡像組。
mirroring-group group-id remote-destination
僅目的設備需要進行本配置。
不能在目的端口上開啟生成樹協議,否則會影響鏡像功能的正常使用。
當二層聚合接口作為目的端口時,請勿將其成員端口配置為源端口,否則會影響鏡像功能的正常使用。
從目的端口發出的報文包括鏡像報文和其他端口正常轉發來的報文。為了保證數據監測設備隻對鏡像報文進行分析,請將目的端口隻用於端口鏡像,不作其他用途。
一個目的端口隻能加入一個鏡像組。
一個遠程目的鏡像組中僅可以配置一個目的端口。
目的端口不能是聚合組的成員端口。
(1) 進入係統視圖。
system-view
(2) 為遠程目的鏡像組配置目的端口。
mirroring-group group-id monitor-port interface-list
缺省情況下,未為遠程鏡像組配置目的端口。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置本端口為遠程目的鏡像組的目的端口。
mirroring-group group-id monitor-port
缺省情況下,未配置當前端口為遠程鏡像組的目的端口。
源設備和目的設備都需要進行本配置。
源設備和目的設備上的遠程鏡像組必須使用相同的遠程鏡像VLAN。
遠程鏡像VLAN必須是已創建的靜態VLAN。
當VLAN被指定為遠程鏡像VLAN後,該VLAN不能再作其他用途。遠程鏡像VLAN內所有協議報文都無法正常交互。
(1) 進入係統視圖。
system-view
(2) 為遠程目的鏡像組配置遠程鏡像VLAN。
mirroring-group group-id remote-probe vlan vlan-id
缺省情況下,未為遠程鏡像組配置遠程鏡像VLAN。
僅目的設備需要進行本配置。
(1) 進入係統視圖。
system-view
(2) 進入目的接口視圖。
interface interface-type interface-number
(3) 將目的端口加入遠程鏡像VLAN。
¡ 將Access類型的目的端口加入遠程鏡像VLAN。
port access vlan vlan-id
¡ 將Trunk類型的目的端口加入遠程鏡像VLAN。
port trunk permit vlan vlan-id
¡ 將Hybrid類型的目的端口加入遠程鏡像VLAN。
port hybrid vlan vlan-id { tagged | untagged }
有關port access vlan、port trunk permit vlan和port hybrid vlan命令的詳細介紹,請參見“二層技術-以太網交換命令參考”中的“VLAN”。
僅源設備需要進行本配置。
(1) 進入係統視圖。
system-view
(2) 創建遠程源鏡像組。
mirroring-group group-id remote-source
僅源設備需要配置鏡像源。
配置源端口時,需要注意的是:
· 不能將源端口加入到遠程鏡像VLAN中,否則會影響鏡像功能的正常使用。
· 一個鏡像組內可以配置多個源端口。
· 一個端口作為單向源端口最多可以加入四個鏡像組,作為雙向源端口最多可以加入兩個鏡像組,或者以一個雙向源端口和兩個單向源端口的形式加入三個鏡像組。
· 源端口不能用作反射端口、出端口或目的端口。
配置源CPU時,一個鏡像組內可以配置多個源CPU。
· 在係統視圖下配置源端口。
a. 進入係統視圖。
system-view
b. 為遠程源鏡像組配置源端口。
mirroring-group group-id mirroring-port interface-list { both | inbound | outbound }
缺省情況下,未為遠程鏡像組配置源端口。
· 在接口視圖下配置源端口。
a. 進入係統視圖。
system-view
b. 進入接口視圖。
interface interface-type interface-number
c. 配置本端口為遠程源鏡像組的源端口。
mirroring-group group-id mirroring-port { both | inbound | outbound }
缺省情況下,未配置當前端口為遠程鏡像組的源端口。
(1) 進入係統視圖。
system-view
(2) 為本地鏡像組配置源CPU。
mirroring-group group-id mirroring-cpu slot slot-number-list inbound
缺省情況下,未為遠程鏡像組配置源CPU。
設備僅支持對源CPU收到的報文進行鏡像。
僅源設備需要進行本配置。
一個鏡像組內隻能配置一個反射端口。
(1) 進入係統視圖。
system-view
(2) 為遠程源鏡像組配置反射端口。
mirroring-group group-id reflector-port interface-type interface-number
· 請選擇設備上未被使用的端口作為反射端口,並不要在該端口上連接網線,否則會影響鏡像功能的正常使用。
· 在將端口配置為反射端口時,該端口將恢複為缺省配置,該端口上不能再配置其他業務。
· 當IRF端口隻綁定了一個物理端口時,請勿將該物理端口配置為反射端口,以免IRF分裂。
缺省情況下,未為遠程源鏡像組配置反射端口。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置本端口為遠程源鏡像組的反射端口。
mirroring-group group-id reflector-port
· 請選擇設備上未被使用的端口作為反射端口,並不要在該端口上連接網線,否則會影響鏡像功能的正常使用。
· 在將端口配置為反射端口時,該端口將恢複為缺省配置,該端口上不能再配置其他業務。
· 當IRF端口隻綁定了一個物理端口時,請勿將該物理端口配置為反射端口,以免IRF分裂。
缺省情況下,未配置本端口為遠程源鏡像組的反射端口。
僅源設備需要進行本配置。
不能在出端口上配置生成樹協議、802.1X、IGMP Snooping、靜態ARP和MAC地址學習,否則會影響鏡像功能的正常使用。
出端口不能是現有鏡像組的成員端口。
一個鏡像組內隻能配置一個出端口。
(1) 進入係統視圖。
system-view
(2) 為遠程源鏡像組配置出端口。
mirroring-group group-id monitor-egress interface-type interface-number
缺省情況下,未為遠程源鏡像組配置出端口。
(3) 進入出端口接口視圖。
interface interface-type interface-number
(4) 將出端口加入遠程鏡像VLAN。
¡ 將Trunk類型的出端口加入遠程鏡像VLAN。
port trunk permit vlan vlan-id
¡ 將Hybrid類型的出端口加入遠程鏡像VLAN。
port hybrid vlan vlan-id { tagged | untagged }
有關port trunk permit vlan和port hybrid vlan命令的詳細介紹,請參見“二層技術-以太網交換命令參考”中的“VLAN”。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置本端口為遠程源鏡像組的出端口。
mirroring-group group-id monitor-egress
缺省情況下,未配置本端口為遠程源鏡像組的出端口。
如果源設備和目的設備之間存在中間設備,則需要在中間設備上配置單播路由協議,以確保源設備與目的設備之間的三層網絡暢通。
配置Tunnel方式ERSPAN前需要先創建服務類型為Tunnel的業務環回組。
若配置了Tunnel方式三層遠程端口鏡像,執行display interface tunnel命令無法統計Tunnel接口的鏡像報文。
源設備配置任務如下:
(2) 配置鏡像源
請選擇以下一項任務進行配置:
¡ 配置源端口
¡ 配置源CPU
(3) 配置鏡像目的
目的設備配置任務如下:
(1) 創建本地鏡像組
(2) 配置鏡像源
(3) 配置鏡像目的
在配置Tunnel方式三層遠程端口鏡像之前,需創建並配置GRE模式的Tunnel接口。該Tunnel接口的源地址和目的地址分別為其對應的源設備和目的設備上物理接口的IP地址。有關Tunnel接口的詳細配置,請參見“三層技術-IP業務配置指導”中的“隧道”。
鏡像到監控設備的報文為攜帶ERSPAN封裝的報文,僅監控設備支持解封裝時,才可以解析鏡像的原始報文。
請分別在源設備和目的設備上進行如下配置。
(1) 進入係統視圖。
system-view
(2) 創建本地鏡像組。
mirroring-group group-id local
缺省情況下,未創建本地鏡像組。
配置源端口時,需要注意的是:
· 在源設備上,請將源端口指定為待監控的端口;而在目的設備上,請將源端口指定為Tunnel接口對應的物理端口。
· 一個端口作為單向源端口最多可以加入四個鏡像組,作為雙向源端口最多可以加入兩個鏡像組,或者以一個雙向源端口和兩個單向源端口的形式加入三個鏡像組。
· 源端口不能用作反射端口、出端口或目的端口。
配置源CPU時,需要注意的是:
· 僅源設備需要配置源CPU。
· 一個鏡像組內可以配置多個源CPU。
· 在係統視圖下配置源端口。
a. 進入係統視圖。
system-view
b. 為本地鏡像組配置源端口。
mirroring-group group-id mirroring-port interface-list { both | inbound | outbound }
缺省情況下,未為本地鏡像組配置源端口。
· 在接口視圖下配置源端口。
a. 進入係統視圖。
system-view
b. 進入接口視圖。
interface interface-type interface-number
c. 配置本端口為本地鏡像組的源端口。
mirroring-group group-id mirroring-port { both | inbound | outbound }
缺省情況下,未配置當前端口為本地鏡像組的源端口。
(1) 進入係統視圖。
system-view
(2) 為本地鏡像組配置源CPU。
mirroring-group group-id mirroring-cpu slot slot-number-list inbound
缺省情況下,未為本地鏡像組配置源CPU。
設備僅支持對源CPU收到的報文進行鏡像。
在源設備上,請將目的端口指定為Tunnel接口;而在目的設備上,請將目的端口指定為連接數據監測設備的端口。
在源設備上,一個本地鏡像組中僅可以配置一個目的Tunnel端口。
在目的設備上,不能在目的端口上開啟生成樹協議,否則會影響鏡像功能的正常使用。
在目的設備上,一個本地鏡像組中僅可以配置一個目的端口。
從目的端口發出的報文包括鏡像報文和其他端口正常轉發來的報文。為了保證數據監測設備隻對鏡像報文進行分析,請將目的端口隻用於端口鏡像,不作其他用途。
目的端口不能是聚合組的成員端口。
· 在係統視圖下配置目的端口。
a. 進入係統視圖。
system-view
b. 為本地鏡像組配置目的端口。
mirroring-group group-id monitor-port interface-list
缺省情況下,未為遠程鏡像組配置目的端口。
· 在接口視圖下配置目的端口。
a. 進入係統視圖。
system-view
b. 進入接口視圖。
interface interface-type interface-number
c. 配置本端口為本地鏡像組的目的端口。
mirroring-group group-id monitor-port
缺省情況下,未配置當前端口為鏡像組的目的端口。
配置封裝參數方式ERSPAN僅需在源設備上進行;同時所有設備上需配置單播路由協議,以確保設備之間的三層網絡暢通。
在源設備上先創建一個本地鏡像組,然後為該鏡像組配置源端口(或源CPU)和目的端口。
配置封裝參數方式ERSPAN,鏡像到監控設備的報文為封裝後的報文,僅監控設備支持解封裝時,才可以解析鏡像的原始報文。
源設備配置任務如下:
(1) 創建本地鏡像組
(2) 配置鏡像源
請選擇以下一項任務進行配置:
¡ 配置源端口
¡ 配置源CPU
(3) 配置鏡像目的
(1) 進入係統視圖。
system-view
(2) 創建本地鏡像組。
mirroring-group group-id local
缺省情況下,未創建本地鏡像組。
配置源端口時,需要注意的是:
· 一個端口作為單向源端口最多可以加入四個鏡像組,作為雙向源端口最多可以加入兩個鏡像組,或者以一個雙向源端口和兩個單向源端口的形式加入三個鏡像組。
· 源端口不能用作反射端口、出端口或目的端口。
配置源CPU時需要注意,一個鏡像組內可以配置多個源CPU。
· 在係統視圖下配置源端口。
a. 進入係統視圖。
system-view
b. 為本地鏡像組配置源端口。
mirroring-group group-id mirroring-port interface-list { both | inbound | outbound }
缺省情況下,未為本地鏡像組配置源端口。
· 在接口視圖下配置源端口。
a. 進入係統視圖。
system-view
b. 進入接口視圖。
interface interface-type interface-number
c. 配置本端口為本地鏡像組的源端口。
mirroring-group group-id mirroring-port { both | inbound | outbound }
缺省情況下,未配置當前端口為本地鏡像組的源端口。
(1) 進入係統視圖。
system-view
(2) 為本地鏡像組配置源CPU。
mirroring-group group-id mirroring-cpu slot slot-number-list inbound
缺省情況下,未為本地鏡像組配置源CPU。
不能在目的端口上開啟生成樹協議,否則會影響鏡像功能的正常使用。
一個本地鏡像組中僅可以配置一個目的端口。
從目的端口發出的報文包括鏡像報文和其他端口正常轉發來的報文。為了保證數據監測設備隻對鏡像報文進行分析,請將目的端口隻用於端口鏡像,不作其他用途。
目的端口不能是聚合組的成員端口。
· 在係統視圖下配置目的端口。
a. 進入係統視圖。
system-view
b. 為本地鏡像組配置目的端口。
mirroring-group group-id monitor-port interface-type interface-number [ destination-ip destination-ip-address source-ip source-ip-address [ dscp dscp-value | vlan vlan-id | vrf-instance vrf-name ] *
缺省情況下,未為遠程鏡像組配置目的端口。
· 在接口視圖下配置目的端口。
a. 進入係統視圖。
system-view
b. 進入接口視圖。
interface interface-type interface-number
c. 配置本端口為本地鏡像組的目的端口。
mirroring-group group-id monitor-port [ destination-ip destination-ip-address source-ip source-ip-address [ dscp dscp-value | vlan vlan-id | vrf-instance vrf-name ] *
缺省情況下,未配置當前端口為鏡像組的目的端口。
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後鏡像組的運行情況,通過查看顯示信息驗證配置的效果。
表1-1 端口鏡像顯示和維護
|
操作 |
命令 |
|
顯示鏡像組的配置信息 |
display mirroring-group { group-id | all | local | remote-destination | remote-source } |
Device通過端口Twenty-FiveGigE1/0/1和Twenty-FiveGigE1/0/2分別連接市場部和技術部,並通過端口Twenty-FiveGigE1/0/3連接Server。
通過配置源端口方式的本地端口鏡像,使Server可以監控所有進、出市場部和技術部的報文。
# 創建本地鏡像組1。
<Device> system-view
[Device] mirroring-group 1 local
# 配置本地鏡像組1的源端口為Twenty-FiveGigE1/0/1和Twenty-FiveGigE1/0/2,對源端口收發的報文都進行鏡像,目的端口為Twenty-FiveGigE1/0/3。
[Device] mirroring-group 1 mirroring-port twenty-fivegige 1/0/1 twenty-fivegige 1/0/2 both
[Device] mirroring-group 1 monitor-port twenty-fivegige 1/0/3
# 在目的端口Twenty-FiveGigE1/0/3上關閉生成樹協議。
[Device] interface twenty-fivegige 1/0/3
[Device-Twenty-FiveGigE1/0/3] undo stp enable
[Device-Twenty-FiveGigE1/0/3] quit
# 顯示所有鏡像組的配置信息。
[Device] display mirroring-group all
Mirroring group 1:
Type: Local
Status: Active
Mirroring port:
Twenty-FiveGigE1/0/1 Both
Twenty-FiveGigE1/0/2 Both
Monitor port: Twenty-FiveGigE1/0/3
配置完成後,用戶可以通過Server監控所有進、出市場部和技術部的報文。
Device通過位於其1號槽位單板上的端口Twenty-FiveGigE1/0/1和Twenty-FiveGigE1/0/2分別連接市場部和技術部,並通過端口Twenty-FiveGigE1/0/3連接Server。
通過配置源CPU方式的本地端口鏡像,使Server可以監控所有進市場部和技術部的,且需要經Device slot1的CPU處理的報文。
圖1-7 本地端口鏡像配置組網圖
# 創建本地鏡像組1。
<Device> system-view
[Device] mirroring-group 1 local
# 配置本地鏡像組1的源CPU為位於slot1上的CPU,目的端口為Twenty-FiveGigE1/0/3。
[Device] mirroring-group 1 mirroring-cpu slot 1 inbound
[Device] mirroring-group 1 monitor-port twenty-fivegige 1/0/3
# 在目的端口Twenty-FiveGigE1/0/3上關閉生成樹協議。
[Device] interface twenty-fivegige 1/0/3
[Device-Twenty-FiveGigE1/0/3] undo stp enable
[Device-Twenty-FiveGigE1/0/3] quit
# 顯示所有鏡像組的配置信息。
[Device] display mirroring-group all
Mirroring group 1:
Type: Local
Status: Active
Mirroring CPU:
Slot 1 Inbound
Monitor port: Twenty-FiveGigE1/0/3
配置完成後,用戶可以通過Server監控所有進市場部和技術部的,且需要經Device A的slot1上CPU處理的報文。
在一個二層網絡中,Device A、Device B、Device C及Server如下圖所示連接。其中,Device A通過端口Twenty-FiveGigE1/0/1連接市場部。
通過配置二層遠程端口鏡像,使Server可以監控所有進、出市場部的報文。
圖1-8 二層遠程端口鏡像配置組網圖
(1) 配置Device C
# 配置端口Twenty-FiveGigE1/0/1為Trunk口,並允許VLAN 2的報文通過。
<DeviceC> system-view
[DeviceC] interface twenty-fivegige 1/0/1
[DeviceC-Twenty-FiveGigE1/0/1] port link-type trunk
[DeviceC-Twenty-FiveGigE1/0/1] port trunk permit vlan 2
[DeviceC-Twenty-FiveGigE1/0/1] quit
# 創建遠程目的鏡像組2。
[DeviceC] mirroring-group 2 remote-destination
# 創建VLAN 2作為遠程鏡像VLAN。
[DeviceC] vlan 2
# 關閉VLAN 2的MAC地址學習功能。
[DeviceC-vlan2] undo mac-address mac-learning enable
[DeviceC-vlan2] quit
# 配置遠程目的鏡像組2的遠程鏡像VLAN為VLAN 2,目的端口為Twenty-FiveGigE1/0/2,在該端口上關閉生成樹協議並將其加入VLAN 2。
[DeviceC] mirroring-group 2 remote-probe vlan 2
[DeviceC] interface twenty-fivegige 1/0/2
[DeviceC-Twenty-FiveGigE1/0/2] mirroring-group 2 monitor-port
[DeviceC-Twenty-FiveGigE1/0/2] undo stp enable
[DeviceC-Twenty-FiveGigE1/0/2] port access vlan 2
[DeviceC-Twenty-FiveGigE1/0/2] quit
(2) 配置Device B
# 創建VLAN 2作為遠程鏡像VLAN。
<DeviceB> system-view
[DeviceB] vlan 2
# 關閉VLAN 2的MAC地址學習功能。
[DeviceB-vlan2] undo mac-address mac-learning enable
[DeviceB-vlan2] quit
# 配置端口Twenty-FiveGigE1/0/1為Trunk口,並允許VLAN 2的報文通過。
[DeviceB] interface twenty-fivegige 1/0/1
[DeviceB-Twenty-FiveGigE1/0/1] port link-type trunk
[DeviceB-Twenty-FiveGigE1/0/1] port trunk permit vlan 2
[DeviceB-Twenty-FiveGigE1/0/1] quit
# 配置端口Twenty-FiveGigE1/0/2為Trunk口,並允許VLAN 2的報文通過。
[DeviceB] interface twenty-fivegige 1/0/2
[DeviceB-Twenty-FiveGigE1/0/2] port link-type trunk
[DeviceB-Twenty-FiveGigE1/0/2] port trunk permit vlan 2
[DeviceB-Twenty-FiveGigE1/0/2] quit
(3) 配置Device A
# 創建遠程源鏡像組1。
<DeviceA> system-view
[DeviceA] mirroring-group 1 remote-source
# 創建VLAN 2作為遠程鏡像VLAN。
[DeviceA] vlan 2
# 關閉VLAN 2的MAC地址學習功能。
[DeviceA-vlan2] undo mac-address mac-learning enable
[DeviceA-vlan2] quit
# 配置遠程源鏡像組1的遠程鏡像VLAN為VLAN 2,源端口為Twenty-FiveGigE1/0/1,反射端口為Twenty-FiveGigE1/0/3。
[DeviceA] mirroring-group 1 remote-probe vlan 2
[DeviceA] mirroring-group 1 mirroring-port twenty-fivegige 1/0/1 both
[DeviceA] mirroring-group 1 reflector-port twenty-fivegige 1/0/3
This operation may delete all settings made on the interface. Continue? [Y/N]: y
# 配置端口Twenty-FiveGigE1/0/2為Trunk口,並允許VLAN 2的報文通過。
[DeviceA] interface twenty-fivegige 1/0/2
[DeviceA-Twenty-FiveGigE1/0/2] port link-type trunk
[DeviceA-Twenty-FiveGigE1/0/2] port trunk permit vlan 2
[DeviceA-Twenty-FiveGigE1/0/2] quit
# 顯示Device C上所有鏡像組的配置信息。
[DeviceC] display mirroring-group all
Mirroring group 2:
Type: Remote destination
Status: Active
Monitor port: Twenty-FiveGigE1/0/2
Remote probe VLAN: 2
# 顯示Device A上所有鏡像組的配置信息。
[DeviceA] display mirroring-group all
Mirroring group 1:
Type: Remote source
Status: Active
Mirroring port:
Twenty-FiveGigE1/0/1 Both
Reflector port: Twenty-FiveGigE1/0/3
Remote probe VLAN: 2
配置完成後,用戶可以通過Server監控所有進、出市場部的報文。
在一個二層網絡中,Device A、Device B、Device C及Server如下圖所示連接。其中,Device A通過端口Twenty-FiveGigE1/0/1連接市場部。
通過配置二層遠程端口鏡像,使Server可以監控所有進、出市場部的報文。
圖1-9 二層遠程端口鏡像配置組網圖
(1) 配置Device C
# 配置端口Twenty-FiveGigE1/0/1為Trunk口,並允許VLAN 2的報文通過。
<DeviceC> system-view
[DeviceC] interface twenty-fivegige 1/0/1
[DeviceC-Twenty-FiveGigE1/0/1] port link-type trunk
[DeviceC-Twenty-FiveGigE1/0/1] port trunk permit vlan 2
[DeviceC-Twenty-FiveGigE1/0/1] quit
# 創建遠程目的鏡像組2。
[DeviceC] mirroring-group 2 remote-destination
# 創建VLAN 2作為遠程鏡像VLAN。
[DeviceC] vlan 2
# 關閉VLAN 2的MAC地址學習功能。
[DeviceC-vlan2] undo mac-address mac-learning enable
[DeviceC-vlan2] quit
# 配置遠程目的鏡像組2的遠程鏡像VLAN為VLAN 2,目的端口為Twenty-FiveGigE1/0/2,在該端口上關閉生成樹協議並將其加入VLAN 2。
[DeviceC] mirroring-group 2 remote-probe vlan 2
[DeviceC] interface twenty-fivegige 1/0/2
[DeviceC-Twenty-FiveGigE1/0/2] mirroring-group 2 monitor-port
[DeviceC-Twenty-FiveGigE1/0/2] undo stp enable
[DeviceC-Twenty-FiveGigE1/0/2] port access vlan 2
[DeviceC-Twenty-FiveGigE1/0/2] quit
(2) 配置Device B
# 創建VLAN 2作為遠程鏡像VLAN。
<DeviceB> system-view
[DeviceB] vlan 2
# 關閉VLAN 2的MAC地址學習功能。
[DeviceB-vlan2] undo mac-address mac-learning enable
[DeviceB-vlan2] quit
# 配置端口Twenty-FiveGigE1/0/1為Trunk口,並允許VLAN 2的報文通過。
[DeviceB] interface twenty-fivegige 1/0/1
[DeviceB-Twenty-FiveGigE1/0/1] port link-type trunk
[DeviceB-Twenty-FiveGigE1/0/1] port trunk permit vlan 2
[DeviceB-Twenty-FiveGigE1/0/1] quit
# 配置端口Twenty-FiveGigE1/0/2為Trunk口,並允許VLAN 2的報文通過。
[DeviceB] interface twenty-fivegige 1/0/2
[DeviceB-Twenty-FiveGigE1/0/2] port link-type trunk
[DeviceB-Twenty-FiveGigE1/0/2] port trunk permit vlan 2
[DeviceB-Twenty-FiveGigE1/0/2] quit
(3) 配置Device A
# 創建遠程源鏡像組1。
<DeviceA> system-view
[DeviceA] mirroring-group 1 remote-source
# 創建VLAN 2作為遠程鏡像VLAN。
[DeviceA] vlan 2
# 關閉VLAN 2的MAC地址學習功能。
[DeviceA-vlan2] undo mac-address mac-learning enable
[DeviceA-vlan2] quit
# 配置遠程源鏡像組1的遠程鏡像VLAN為VLAN 2,源端口為Twenty-FiveGigE1/0/1,出端口為Twenty-FiveGigE1/0/2。
[DeviceA] mirroring-group 1 remote-probe vlan 2
[DeviceA] mirroring-group 1 mirroring-port twenty-fivegige 1/0/1 both
[DeviceA] mirroring-group 1 monitor-egress twenty-fivegige 1/0/2
# 配置端口Twenty-FiveGigE1/0/2為Trunk口,允許VLAN 2的報文通過,並在該端口上關閉生成樹協議。
[DeviceA] interface twenty-fivegige 1/0/2
[DeviceA-Twenty-FiveGigE1/0/2] port link-type trunk
[DeviceA-Twenty-FiveGigE1/0/2] port trunk permit vlan 2
[DeviceA-Twenty-FiveGigE1/0/2] undo stp enable
[DeviceA-Twenty-FiveGigE1/0/2] quit
# 顯示Device C上所有鏡像組的配置信息。
[DeviceC] display mirroring-group all
Mirroring group 2:
Type: Remote destination
Status: Active
Monitor port: Twenty-FiveGigE1/0/2
Remote probe VLAN: 2
# 顯示Device A上所有鏡像組的配置信息。
[DeviceA] display mirroring-group all
Mirroring group 1:
Type: Remote source
Status: Active
Mirroring port:
Twenty-FiveGigE1/0/1 Both
Monitor egress port: Twenty-FiveGigE1/0/2
Remote probe VLAN: 2
配置完成後,用戶可以通過Server監控所有進、出市場部的報文。
在一個三層網絡中,Device A、Device B、Device C及Server如下圖所示連接。其中,Device A通過端口Twenty-FiveGigE1/0/1連接市場部。
通過配置Tunnel方式三層遠程端口鏡像,並建立OSPF方式的GRE隧道,使得Server可以通過由GRE隧道傳輸的鏡像報文來監控所有進、出市場部的報文。
圖1-10 Tunnel方式三層遠程端口鏡像配置組網圖
(1) 配置IP地址
請按照圖1-10配置各接口的IP地址和子網掩碼,具體配置過程略。
(2) 配置Device A
# 創建業務環回組1,並配置服務類型為Tunnel。
<DeviceA> system-view
[DeviceA] service-loopback group 1 type tunnel
# 將接口Twenty-FiveGigE1/0/3加入業務環回組1。
[DeviceA] interface twenty-fivegige 1/0/3
[DeviceA-Twenty-FiveGigE1/0/3] port service-loopback group 1
All configurations on the interface will be lost. Continue?[Y/N]:y
[DeviceA-Twenty-FiveGigE1/0/3] quit
# 創建GRE模式的Tunnel接口1,並為其配置IP地址和掩碼。
[DeviceA] interface tunnel 1 mode gre
[DeviceA-Tunnel1] ip address 50.1.1.1 24
# 為Tunnel接口1分別指定源地址和目的地址。
[DeviceA-Tunnel1] source 20.1.1.1
[DeviceA-Tunnel1] destination 30.1.1.2
[DeviceA-Tunnel1] quit
# 配置OSPF協議。
[DeviceA] ospf 1
[DeviceA-ospf-1] area 0
[DeviceA-ospf-1-area-0.0.0.0] network 10.1.1.0 0.0.0.255
[DeviceA-ospf-1-area-0.0.0.0] network 20.1.1.0 0.0.0.255
[DeviceA-ospf-1-area-0.0.0.0] quit
[DeviceA-ospf-1] quit
# 創建本地鏡像組1。
[DeviceA] mirroring-group 1 local
# 配置本地鏡像組1的源端口為Twenty-FiveGigE1/0/1,目的端口為Tunnel1。
[DeviceA] mirroring-group 1 mirroring-port twenty-fivegige 1/0/1 both
[DeviceA] mirroring-group 1 monitor-port tunnel 1
(3) 配置Device B
# 配置OSPF協議。
<DeviceB> system-view
[DeviceB] ospf 1
[DeviceB-ospf-1] area 0
[DeviceB-ospf-1-area-0.0.0.0] network 20.1.1.0 0.0.0.255
[DeviceB-ospf-1-area-0.0.0.0] network 30.1.1.0 0.0.0.255
[DeviceB-ospf-1-area-0.0.0.0] quit
[DeviceB-ospf-1] quit
(4) 配置Device C
# 創建業務環回組1,並配置服務類型為Tunnel。
<DeviceC> system-view
[DeviceC] service-loopback group 1 type tunnel
# 將接口Twenty-FiveGigE1/0/3加入業務環回組1。
[DeviceC] interface twenty-fivegige 1/0/3
[DeviceC-Twenty-FiveGigE1/0/3] port service-loopback group 1
All configurations on the interface will be lost. Continue?[Y/N]:y
[DeviceC-Twenty-FiveGigE1/0/3] quit
# 創建GRE模式的Tunnel接口1,並為其配置IP地址和掩碼。
[DeviceC] interface tunnel 1 mode gre
[DeviceC-Tunnel1] ip address 50.1.1.2 24
# 為Tunnel接口1分別指定源地址和目的地址。
[DeviceC-Tunnel1] source 30.1.1.2
[DeviceC-Tunnel1] destination 20.1.1.1
[DeviceC-Tunnel1] quit
# 配置OSPF協議。
[DeviceC] ospf 1
[DeviceC-ospf-1] area 0
[DeviceC-ospf-1-area-0.0.0.0] network 30.1.1.0 0.0.0.255
[DeviceC-ospf-1-area-0.0.0.0] network 40.1.1.0 0.0.0.255
[DeviceC-ospf-1-area-0.0.0.0] quit
[DeviceC-ospf-1] quit
# 創建本地鏡像組1。
[DeviceC] mirroring-group 1 local
# 配置本地鏡像組1的源端口為Twenty-FiveGigE1/0/1,目的端口為Twenty-FiveGigE1/0/2。
[DeviceC] mirroring-group 1 mirroring-port twenty-fivegige 1/0/1 inbound
[DeviceC] mirroring-group 1 monitor-port twenty-fivegige 1/0/2
# 顯示Device A上所有鏡像組的配置信息。
[DeviceA] display mirroring-group all
Mirroring group 1:
Type: Local
Status: Active
Mirroring port:
Twenty-FiveGigE1/0/1 Both
Monitor port: Tunnel1
# 顯示Device C上所有鏡像組的配置信息。
[DeviceC] display mirroring-group all
Mirroring group 1:
Type: Local
Status: Active
Mirroring port:
Twenty-FiveGigE1/0/1 Inbound
Monitor port: Twenty-FiveGigE1/0/2
配置完成後,用戶可以通過Server監控所有進、出市場部的報文。
在一個三層網絡中,Device A、Device B、Device C及Server如下圖所示連接。其中,Device A通過端口Twenty-FiveGigE1/0/1連接市場部。
通過配置封裝參數方式三層遠程端口鏡像,使得Server可以通過由Device C轉發過來的鏡像報文監控所有進、出市場部的報文。
(1) 配置IP地址
請按照圖1-11配置各接口的IP地址和子網掩碼,具體配置過程略。
(2) 配置Device A
# 配置OSPF協議。
[DeviceA] ospf 1
[DeviceA-ospf-1] area 0
[DeviceA-ospf-1-area-0.0.0.0] network 10.1.1.0 0.0.0.255
[DeviceA-ospf-1-area-0.0.0.0] network 20.1.1.0 0.0.0.255
[DeviceA-ospf-1-area-0.0.0.0] quit
[DeviceA-ospf-1] quit
# 創建本地鏡像組1。
[DeviceA] mirroring-group 1 local
# 配置本地鏡像組1的源端口為Twenty-FiveGigE1/0/1,目的端口為Twenty-FiveGigE1/0/2,鏡像報文的目的IP地址為40.1.1.2,源IP地址為20.1.1.1。
[DeviceA] mirroring-group 1 mirroring-port twenty-fivegige 1/0/1 both
[DeviceA] mirroring-group 1 monitor-port twenty-fivegige 1/0/2 destination-ip 40.1.1.2 source-ip 20.1.1.1
(3) 配置Device B
# 配置OSPF協議。
<DeviceB> system-view
[DeviceB] ospf 1
[DeviceB-ospf-1] area 0
[DeviceB-ospf-1-area-0.0.0.0] network 20.1.1.0 0.0.0.255
[DeviceB-ospf-1-area-0.0.0.0] network 30.1.1.0 0.0.0.255
[DeviceB-ospf-1-area-0.0.0.0] quit
[DeviceB-ospf-1] quit
(4) 配置Device C
# 配置OSPF協議。
[DeviceC] ospf 1
[DeviceC-ospf-1] area 0
[DeviceC-ospf-1-area-0.0.0.0] network 30.1.1.0 0.0.0.255
[DeviceC-ospf-1-area-0.0.0.0] network 40.1.1.0 0.0.0.255
[DeviceC-ospf-1-area-0.0.0.0] quit
[DeviceC-ospf-1] quit
# 顯示Device A上所有鏡像組的配置信息。
[DeviceA] display mirroring-group all
Mirroring group 1:
Type: Local
Status: Active
Mirroring port:
Twenty-FiveGigE1/0/1 Both
Monitor port: Twenty-FiveGigE1/0/2
Encapsulation: Destination IP address 40.1.1.2
Source IP address 20.1.1.1
Destination MAC address 000f-e241-5e5b
配置完成後,用戶可以通過Server監控所有進、出市場部的報文。
流鏡像是指將指定報文複製到指定目的地,以便於對報文進行分析和監控。
流鏡像通過QoS實現,設備先通過流分類匹配待鏡像的報文,再通過流行為將符合條件的報文鏡像至指定目的地。該方式可以靈活配置報文的匹配條件,從而對報文進行精細區分,並將區分後的報文鏡像到目的地。有關QoS的詳細介紹,請參見“ACL和QoS配置指導”中的“QoS”。
根據報文鏡像的目的地不同,流行為可分為以下類型:
· 流鏡像到接口:將符合條件的報文複製一份到指定接口,利用數據檢測設備分析接口收到的報文。
· 流鏡像到CPU:將符合條件的報文複製一份到CPU(這裏的CPU是指報文進入的成員設備上的CPU),通過CPU分析報文的內容,或者將特定的協議報文上送。
· 流鏡像到gRPC:將符合條件的報文複製一份到gRPC。
· 流鏡像到INT處理器:將符合條件的報文複製一份到INT處理器。
與端口鏡像類似,根據鏡像源與鏡像目的是否位於同一台設備上,流鏡像到接口也可以分為:
· 流鏡像SPAN:流鏡像到本地接口。
· 流鏡像RSPAN:流鏡像到接口後,根據鏡像報文所屬VLAN或QoS重定向功能將報文轉發到二層遠程接口。
· 流鏡像ERSPAN:將流鏡像報文封裝為協議號是0x88BE(ERSPANv2)或者0x22EB(ERSPANv3)的GRE報文,路由到三層遠程監控設備。
在源設備上配置QoS策略,流分類匹配指定特征的報文,流行為配置流鏡像到接口(不指定loopback參數,不指定destination-ip和source-ip封裝參數)。設備接收到匹配流分類的報文後,複製一份轉發到流行為指定的接口,由該接口將鏡像報文轉發到監測設備。
圖2-1 流鏡像SPAN示意圖
如果需要將流鏡像報文轉發到二層遠程接口實現RSPAN,可以在流鏡像到接口後根據鏡像報文所屬VLAN或QoS重定向功能將鏡像報文轉發到二層遠程接口。
ERSPAN的封裝格式包括ERSPANv2和ERSPANv3:
· ERSPANv2將鏡像報文封裝為協議號為0x88BE的GRE報文。
· ERSPANv3將鏡像報文封裝為協議號為0x22EB的GRE報文。
· ERSPANv3相比於ERSPANv2,引入了一個更大、更靈活的複合報文頭,滿足日益複雜和多樣化的網絡監控場景(比如網絡管理、入侵檢測、性能和延遲分析等),這些場景中需要知道原始鏡像幀的所有參數,包括那些不存在於原始鏡像幀本身的內容。
流鏡像ERSPAN有如下幾種實現方式:
· loopback方式
· 配置封裝參數方式
配置流鏡像ERSPAN時所有設備上需配置單播路由協議,並確保設備之間的三層網絡暢通。
如圖2-2所示,loopback方式流鏡像ERSPAN的實現方式為:
(1) 在源設備上配置QoS策略並將策略下發到源接口上,流分類匹配指定特征的報文,流行為配置流鏡像到接口Port B並指定loopback參數。
(2) 在源設備上配置QoS策略並將策略下發到Port B,流分類匹配鏡像報文,流行為將報文重定向到Tunnel接口。
(3) 目的設備將從Tunnel接口收到的鏡像報文解封裝,然後根據報文的目的IP地址(即原始報文的目的IP地址)轉發報文。因此,目的設備上需要存在到達該目的地址的路由/ARP。
圖2-2 loopback方式流鏡像ERSPAN示意圖
在源設備上配置QoS策略,流分類匹配指定特征的報文,流行為配置流鏡像到接口。配置流鏡像到接口時,有兩種方式。
· 指定出接口方式:同時指定出接口和封裝參數,設備給鏡像報文加封裝後從指定接口發出。
· 路由出接口方式:不指定出接口,隻指定封裝參數。設備給鏡像報文加封裝後,根據封裝報文的源IP地址和目的IP地址查表轉發,路由出接口即為鏡像報文的目的端口。
采用這種方式時,可以通過路由協議的負載分擔實現將鏡像報文轉發到多個目的端口。
如圖2-3所示,配置封裝參數方式流鏡像ERSPAN的實現方式為:
(1) 源設備將匹配流分類的報文複製一份。
(2) 設備為報文添加ERSPAN封裝後從指定接口發出或者根據封裝報文的源IP地址和目的IP查表轉發。
(3) 封裝後的報文通過IP網絡路由轉發到監測設備。
(4) 監測設備對報文進行解封裝,並分析鏡像報文的內容。
通過本方式鏡像到監測設備的報文為封裝後的報文,因此監測設備必須支持解封裝。
流鏡像配置中,除mirror-to命令外的其他配置命令及相關顯示命令的詳細介紹,請參見“ACL和QoS命令參考”中的“QoS策略”。
對於三層以太網接口和三層以太網子接口,在出方向應用QoS策略實現流鏡像時,請勿在類中配置包含匹配VLAN屬性的規則。
引用了采樣器的鏡像和NetStream、IPv6 NetStream、Netanalysis、sFlow、INT、Telemetry Stream、MOD功能互斥,不能同時配置。有關 NetStream、IPv6 NetStream、Netanalysis和sFlow的詳細配置,請參見“網絡管理和監控配置指導”中的“NetStream”、“IPv6 NetStream”、“Netanalysis”和“sFlow”。有關INT、Telemetry Stream和MOD的詳細配置,請參見“Telemetry配置指導”中的“INT”、“Telemetry Stream”和“MOD”。
流鏡像配置任務如下:
(1) 配置流分類
該配置用來匹配待鏡像的報文。
(2) 配置流行為
該配置用來指定鏡像報文的目的地。
(3) 配置QoS策略
該配置為流分類指定流行為,即指定哪些報文需要鏡像到哪裏。
(4) 應用QoS策略
請選擇以下一項任務進行配置:
¡ 基於接口應用
¡ 基於VLAN應用
¡ 基於全局應用
¡ 基於控製平麵應用
(1) 進入係統視圖。
system-view
(2) 定義流分類,並進入流分類視圖。
traffic classifier classifier-name [ operator { and | or } ]
(3) 配置報文匹配規則。
if-match match-criteria
(4) (可選)顯示用戶定義流分類的配置信息。
display traffic classifier user-defined [ classifier-name ] [ slot slot-number ]
有關該命令的詳細介紹,請參見“ACL和QoS命令參考”中的“QoS”。
(1) 進入係統視圖。
system-view
(2) (可選)配置ERSPANv3鏡像報文中的Switch ID。
mirroring erspanv3 switch-id switch-id
缺省情況下,ERSPANv3鏡像報文中的Switch ID的值為0。
(3) 定義流行為,並進入流行為視圖。
traffic behavior behavior-name
(4) 配置鏡像報文的目的地。請選擇其中一項進行配置。
¡ 配置流鏡像到接口。
命令形式一
mirror-to interface interface-type interface-number [ sampler sampler-name ] [ truncation ] [ loopback | [ { destination-ip destination-ip-address source-ip source-ip-address | destination-ipv6 destination-ipv6-address source-ipv6 source-ipv6-address } [ erspanv3 | vxlan vxlan-id [ destination-port destination-port-value | source-port source-port-value ] * ] [ dscp dscp-value | vlan vlan-id | vrf-instance vrf-name ] * ]
命令形式二
mirror-to interface { destination-ip destination-ip-address source-ip source-ip-address | destination-ipv6 destination-ipv6-address source-ipv6 source-ipv6-address } [ erspanv3 | vxlan vxlan-id [ destination-port destination-port-value | source-port source-port-value ] * ] [ sampler sampler-name ] [ truncation ] [ dscp dscp-value | vlan vlan-id | vrf-instance vrf-name ] *
命令形式三
mirror-to interface interface-type interface-number reflector-port interface-type interface-number strip-vlan vlan-id
使用命令形式三配置流鏡像到端口時,需要將命令指定的兩個端口均加入流鏡像類型的業務環回組,該命令才能生效。有關業務環回組的詳細介紹,請參見“二層技術-以太網交換配置指導”中的“業務環回組”。
缺省情況下,未配置流鏡像到接口。
當配置報文封裝地址為IPv6地址時,不支持配置erspanv3參數。
如果同時配置一個普通類型的QoS策略和一個鏡像類型的QoS策略,二者匹配相同的流,但是封裝不同的VXLAN ID,實際封裝的VXLAN ID是相同的,請避免這樣配置。
設備最多支持配置四個目的接口(以太網端口或二層聚合接口)。
¡ 配置流鏡像到CPU。
mirror-to cpu
缺省情況下,未配置流鏡像到CPU。
¡ 配置流鏡像到gRPC。
mirror-to grpc
缺省情況下,未配置流鏡像到gRPC。
配置流鏡像到gRPC,設備會將QoS策略流分類匹配到的報文自動鏡像到與設備相連的gRPC網管服務器,以此分析設備轉發的流量。
¡ 配置流鏡像到INT處理器。
mirror-to ifa-processor [ sampler sampler-name ] [ vxlan ]
缺省情況下,未配置流鏡像到INT處理器。
有關INT的詳細使用請參見“Telemetry配置指導”中的“INT”。
(5) (可選)顯示用戶定義流行為的配置信息。
display traffic behavior user-defined [ behavior-name ] [ slot slot-number ]
有關該命令的詳細介紹,請參見“ACL和QoS命令參考”中的“QoS”。
(1) 進入係統視圖。
system-view
(2) 定義QoS策略,並進入QoS策略視圖。
qos [ mirroring ] policy policy-name
(3) 為流分類指定采用的流行為。
classifier classifier-name behavior behavior-name
缺省情況下,未為流分類指定流行為。
(4) (可選)顯示用戶定義策略的配置信息。
display qos policy user-defined mirroring [ policy-name [ classifier classifier-name ] ] [ slot slot-number ]
有關該命令的詳細介紹,請參見“ACL和QoS命令參考”中的“QoS”。
將QoS策略應用到接口後,可以對該接口的流量進行鏡像。
一個QoS策略可以應用於多個接口。
一個接口在每個方向上隻能應用一個QoS策略。
出方向應用QoS策略配置流鏡像時,在流行為視圖下,推薦僅配置流鏡像動作,否則,多個流行為動作之間可能存在互斥關係。
設備不支持對聚合口出方向的報文進行流鏡像。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 應用QoS策略到接口。
qos apply [ mirroring ] policy policy-name { inbound | outbound }
(4) (可選)顯示接口上QoS策略的配置信息和運行情況。
display qos [ mirroring ] policy interface [ interface-type interface-number [ inbound | outbound ] [ slot slot-number ]
有關該命令的詳細介紹,請參見“ACL和QoS命令參考”中的“QoS”。
將QoS策略應用到VLAN後,可以對該VLAN內各端口的流量進行鏡像。
(1) 進入係統視圖。
system-view
(2) 應用QoS策略到指定VLAN。
qos vlan-policy policy-name vlan vlan-id-list inbound
基於VLAN應用流鏡像策略時,僅支持應用到入方向。
(3) (可選)顯示基於VLAN應用QoS策略的信息。
display qos vlan-policy { name policy-name | vlan [ vlan-id ] } [ inbound | outbound ] [ slot slot-number ]
有關該命令的詳細介紹,請參見“ACL和QoS命令參考”中的“QoS”。
將QoS策略應用到全局後,可以對設備所有端口的流量進行鏡像。
(1) 進入係統視圖。
system-view
(2) 應用QoS策略到全局。
qos apply [ mirroring ] policy policy-name global inbound
基於全局應用流鏡像策略時,僅支持應用到入方向。
(3) (可選)顯示基於全局應用QoS策略的信息。
display qos [ mirroring ] policy global [ inbound | outbound ] [ slot slot-number ]
有關該命令的詳細介紹,請參見“ACL和QoS命令參考”中的“QoS”。
將QoS策略應用到控製平麵後,可以對控製平麵各端口的流量進行鏡像。
(1) 進入係統視圖。
system-view
(2) 進入控製平麵視圖。
control-plane slot slot-number
(3) 應用QoS策略到控製平麵。
qos apply [ mirroring ] policy policy-name inbound
(4) (可選)顯示控製平麵應用QoS策略的信息。
display qos policy control-plane [ slot slot-number ]
有關該命令的詳細介紹,請參見“ACL和QoS命令參考”中的“QoS”。
某公司內的各部門之間使用不同網段的IP地址,其中市場部和技術部分別使用192.168.1.0/24和192.168.2.0/24網段,該公司的工作時間為每周工作日的8點到18點。
通過配置流鏡像,使Server可以監控技術部訪問互聯網的WWW流量,以及技術部在工作時間發往市場部的IP流量。
圖2-4 流鏡像典型配置組網圖
# 定義工作時間:創建名為work的時間段,其時間範圍為每周工作日的8點到18點。
<Device> system-view
[Device] time-range work 8:00 to 18:00 working-day
# 創建一個編號為3000的IPv4高級ACL,並定義如下規則:匹配技術部訪問WWW的報文,以及在工作時間由技術部發往市場部的IP報文。
[Device] acl advanced 3000
[Device-acl-ipv4-adv-3000] rule permit tcp source 192.168.2.0 0.0.0.255 destination-port eq www
[Device-acl-ipv4-adv-3000] rule permit ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 time-range work
[Device-acl-ipv4-adv-3000] quit
# 創建流分類tech_c,並配置報文匹配規則為ACL 3000。
[Device] traffic classifier tech_c
[Device-classifier-tech_c] if-match acl 3000
[Device-classifier-tech_c] quit
# 創建流行為tech_b,並配置流鏡像到接口Twenty-FiveGigE1/0/3。
[Device] traffic behavior tech_b
[Device-behavior-tech_b] mirror-to interface twenty-fivegige 1/0/3
[Device-behavior-tech_b] quit
# 創建QoS策略tech_p,在策略中為流分類tech_c指定采用流行為tech_b。
[Device] qos policy tech_p
[Device-qospolicy-tech_p] classifier tech_c behavior tech_b
[Device-qospolicy-tech_p] quit
# 將QoS策略tech_p應用到接口Twenty-FiveGigE1/0/4的入方向上。
[Device] interface twenty-fivegige 1/0/4
[Device-Twenty-FiveGigE1/0/4] qos apply policy tech_p inbound
[Device-Twenty-FiveGigE1/0/4] quit
配置完成後,用戶可以通過Server監控技術部訪問互聯網的WWW流量,以及技術部在工作時間發往市場部的IP流量。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
