- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
15-鏡像配置
本章節下載: 15-鏡像配置 (342.97 KB)
目 錄
端口鏡像通過將指定端口的報文複製到與數據監測設備相連的端口,使用戶可以利用數據監測設備分析這些複製過來的報文,以進行網絡監控和故障排除。
鏡像源是指被監控的對象,配置為監控對象的端口為源端口。經鏡像源收發的報文會被複製一份到與數據監測設備相連的端口,用戶就可以對這些報文(稱為鏡像報文)進行監控和分析了。
鏡像源所在的設備稱為源設備。
鏡像目的是指鏡像報文所要到達的目的地,即與數據監測設備相連的端口,該端口稱為目的端口。目的端口會將鏡像報文轉發給與之相連的數據監測設備。
由於一個目的端口可以同時監控多個鏡像源,因此在某些組網環境下,目的端口可能收到對同一報文的多份拷貝。例如,目的端口Port A同時監控同一台設備上的源端口Port B和Port C收發的報文,如果某報文從Port B進入該設備後又從Port C發送出去,那麼該報文將被複製兩次給Port A。
目的端口所在的設備稱為目的設備。
鏡像方向是指在鏡像源上可複製哪些方向的報文:
· 入方向:是指僅複製鏡像源收到的報文。
· 出方向:是指僅複製鏡像源發出的報文。
· 雙向:是指對鏡像源收到和發出的報文都進行複製。
鏡像組是一個邏輯上的概念,鏡像源和鏡像目的都要屬於某一個鏡像組。當源設備與數據監測設備直接相連時,源設備同時作為目的設備,即由本設備將鏡像報文轉發至數據檢測設備,該端口鏡像稱為本地端口鏡像。
如圖1-1所示,現在需要設備將進入端口Port A的報文複製一份,從端口Port B將報文轉發給數據監測設備。為滿足該需求,可以配置本地鏡像組,其中源端口為Port A,鏡像方向為入方向,目的端口為Port B。
三層遠程端口鏡像使用本地鏡像組的方式實現,即在源設備和目的設備上分別創建各自的本地鏡像組,每個本地鏡像組也擁有各自的鏡像源和目的端口。不同的是:
· 在源設備上:
¡ 源端口為待監控的端口。
¡ 目的端口為用於傳輸鏡像報文的Tunnel接口。
· 在目的設備上:
¡ 源端口為Tunnel接口對應的物理端口。
¡ 目的端口為連接數據監測設備的端口。
三層遠程端口鏡像報文的轉發過程如圖1-2所示。
(1) 源設備將進入源端口的報文複製一份給其Tunnel接口(即目的端口)。有關Tunnel接口的詳細介紹,請參見“三層技術-IP業務配置指導”中“隧道”。
(2) 報文經由GRE(Generic Routing Encapsulation,通用路由封裝)隧道轉發至目的設備端的Tunnel接口。有關GRE隧道的詳細介紹,請參見“三層技術-IP業務配置指導”中的“GRE”。
(3) 目的設備將從該Tunnel接口對應的物理接口(即源端口)收到的鏡像報文複製一份給目的端口。
(4) 最後由目的設備上的目的端口將鏡像報文轉發到數據監測設備。
將軟轉接口配置為鏡像組源端口時:
· 如果端口工作在二層模式,則對接收或發送的IP報文、IPv6報文或MPLS報文進行鏡像;
· 如果端口工作在三層模式,則對接收或發送的IP報文、IPv6報文或MPLS報文進行鏡像,且端口需配置IP地址。
將硬轉接口配置為鏡像組源端口時可以鏡像的報文與設備的交換芯片有關,請以設備的實際情況為準。
通過port link-mode命令可以切換以太網接口的工作模式,有關以太網接口工作模式切換的操作,請參見“接口管理配置指導”中的“以太網接口”。
在完成鏡像源和鏡像目的配置之後,本地鏡像組才能生效。
鏡像支持對軟件轉發接口和硬件轉發接口進行鏡像,同一個鏡像組中軟件轉發接口和硬件轉發接口不能共存。
本地端口鏡像配置任務如下:
(1) 創建本地鏡像組
(2) 配置鏡像源
(3) 配置鏡像目的
(1) 進入係統視圖。
system-view
(2) 創建本地鏡像組。
mirroring-group group-id local [ keep-link-header ]
配置源端口時,需要注意的是:
· 一個鏡像組內可以配置多個源端口。
· 一個端口隻能被一個鏡像組用作源端口。
· 源端口不能用作目的端口。
· 在係統視圖下配置源端口。
a. 進入係統視圖。
system-view
b. 為本地鏡像組配置源端口。
mirroring-group group-id mirroring-port interface-list { both | inbound | outbound }
缺省情況下,未為本地鏡像組配置源端口。
· 在接口視圖下配置源端口。
a. 進入係統視圖。
system-view
b. 進入接口視圖。
interface interface-type interface-number
c. 配置當前端口為本地鏡像組的源端口。
mirroring-group group-id mirroring-port { both | inbound | outbound }
缺省情況下,未配置當前端口為本地鏡像組的源端口。
不能在目的端口上開啟生成樹協議,否則會影響鏡像功能的正常使用。
一個本地鏡像組中僅可以配置一個目的端口。
從目的端口發出的報文包括鏡像報文和其他端口正常轉發來的報文。為了保證數據監測設備隻對鏡像報文進行分析,請將目的端口隻用於端口鏡像,不作其他用途。
· 在係統視圖下配置目的端口。
a. 進入係統視圖。
system-view
b. 為本地鏡像組配置目的端口。
mirroring-group group-id monitor-port interface-type interface-number
缺省情況下,未為本地鏡像組配置目的端口。
· 在接口視圖下配置目的端口。
a. 進入係統視圖。
system-view
b. 進入接口視圖。
interface interface-type interface-number
c. 配置本端口為本地鏡像組的目的端口。
mirroring-group group-id monitor-port
缺省情況下,未配置當前端口為本地鏡像組的目的端口。
如果源設備和目的設備之間存在中間設備,則需要在中間設備上配置單播路由協議,以確保源設備與目的設備之間的三層網絡暢通。
源設備配置任務如下:
(2) 配置鏡像源
(3) 配置鏡像目的
目的設備配置任務如下:
(1) 創建本地鏡像組
(2) 配置鏡像源
(3) 配置鏡像目的
在配置三層遠程端口鏡像之前,需創建並配置GRE模式的Tunnel接口。該Tunnel接口的源地址和目的地址分別為其對應的源設備和目的設備上物理接口的IP地址。有關Tunnel接口的詳細配置,請參見“三層技術-IP業務配置指導”中的“隧道”。
請分別在源設備和目的設備上進行如下配置。
(1) 進入係統視圖。
system-view
(2) 創建本地鏡像組。
mirroring-group group-id local
配置源端口時,需要注意的是:
· 在源設備上,請將源端口指定為待監控的端口;而在目的設備上,請將源端口指定為Tunnel接口對應的物理端口。
· 一個端口隻能被一個鏡像組用作源端口。
· 源端口不能用作目的端口。
· 在係統視圖下配置源端口。
a. 進入係統視圖。
system-view
b. 為本地鏡像組配置源端口。
mirroring-group group-id mirroring-port interface-list { both | inbound | outbound }
缺省情況下,未為本地鏡像組配置源端口。
· 在接口視圖下配置源端口。
a. 進入係統視圖。
system-view
b. 進入接口視圖。
interface interface-type interface-number
c. 配置本端口為本地鏡像組的源端口。
mirroring-group group-id mirroring-port { both | inbound | outbound }
缺省情況下,未配置當前端口為本地鏡像組的源端口。
在源設備上,請將目的端口指定為Tunnel接口;而在目的設備上,請將目的端口指定為連接數據監測設備的端口。
在源設備上,一個本地鏡像組中僅可以配置一個目的Tunnel端口。
在目的設備上,不能在目的端口上開啟生成樹協議,否則會影響鏡像功能的正常使用。
在目的設備上,一個本地鏡像組中僅可以配置一個目的端口。
從目的端口發出的報文包括鏡像報文和其他端口正常轉發來的報文。為了保證數據監測設備隻對鏡像報文進行分析,請將目的端口隻用於端口鏡像,不作其他用途。
· 在係統視圖下配置目的端口。
a. 進入係統視圖。
system-view
b. 為本地鏡像組配置目的端口。
mirroring-group group-id monitor-port interface-type interface-number
缺省情況下,未為遠程鏡像組配置目的端口。
· 在接口視圖下配置目的端口。
a. 進入係統視圖。
system-view
b. 進入接口視圖。
interface interface-type interface-number
c. 配置本端口為本地鏡像組的目的端口。
mirroring-group group-id monitor-port
缺省情況下,未配置當前端口為鏡像組的目的端口。
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後鏡像組的運行情況,通過查看顯示信息驗證配置的效果。
表1-1 端口鏡像顯示和維護
|
操作 |
命令 |
|
顯示鏡像組的配置信息 |
display mirroring-group { group-id | all | local } |
Device通過端口GigabitEthernet1/0/1和GigabitEthernet1/0/2分別連接市場部和技術部,並通過端口GigabitEthernet1/0/3連接Server。
通過配置源端口方式的本地端口鏡像,使Server可以監控所有進、出市場部和技術部的報文。
# 創建本地鏡像組1。
<Device> system-view
[Device] mirroring-group 1 local
# 配置本地鏡像組1的源端口為GigabitEthernet1/0/1和GigabitEthernet1/0/2,對源端口收發的報文都進行鏡像,目的端口為GigabitEthernet1/0/3。
[Device] mirroring-group 1 mirroring-port gigabitethernet 1/0/1 gigabitethernet 1/0/2 both
[Device] mirroring-group 1 monitor-port gigabitethernet 1/0/3
# 在目的端口GigabitEthernet1/0/3上關閉生成樹協議。
[Device] interface gigabitethernet 1/0/3
[Device-GigabitEthernet1/0/3] undo stp enable
[Device-GigabitEthernet1/0/3] quit
# 顯示所有鏡像組的配置信息。
[Device] display mirroring-group all
Mirroring group 1:
Type: Local
Status: Active
Mirroring port:
GigabitEthernet1/0/1 Both
GigabitEthernet1/0/2 Both
Monitor port: GigabitEthernet1/0/3
配置完成後,用戶可以通過Server監控所有進、出市場部和技術部的報文。
在一個三層網絡中,Device A、Device B、Device C及Server如下圖所示連接。其中,Device A通過端口GigabitEthernet1/0/1連接市場部。
通過配置三層遠程端口鏡像,並建立OSPF方式的GRE隧道,使得Server可以通過由GRE隧道傳輸的鏡像報文來監控所有進、出市場部的報文。
(1) 配置IP地址
請按照圖1-4配置各接口的IP地址和子網掩碼,具體配置過程略。
(2) 配置Device A
# 創建GRE模式的Tunnel接口0,並為其配置IP地址和掩碼。
<DeviceA> system-view
[DeviceA] interface tunnel 0 mode gre
[DeviceA-Tunnel0] ip address 50.1.1.1 24
# 為Tunnel接口0分別指定源地址和目的地址。
[DeviceA-Tunnel0] source 20.1.1.1
[DeviceA-Tunnel0] destination 30.1.1.2
[DeviceA-Tunnel0] quit
# 配置OSPF協議。
[DeviceA] ospf 1
[DeviceA-ospf-1] area 0
[DeviceA-ospf-1-area-0.0.0.0] network 10.1.1.0 0.0.0.255
[DeviceA-ospf-1-area-0.0.0.0] network 20.1.1.0 0.0.0.255
[DeviceA-ospf-1-area-0.0.0.0] quit
[DeviceA-ospf-1] quit
# 創建本地鏡像組1。
[DeviceA] mirroring-group 1 local
# 配置本地鏡像組1的源端口為GigabitEthernet1/0/1,目的端口為Tunnel0。
[DeviceA] mirroring-group 1 mirroring-port gigabitethernet 1/0/1 both
[DeviceA] mirroring-group 1 monitor-port tunnel 0
(3) 配置Device B
# 配置OSPF協議。
<DeviceB> system-view
[DeviceB] ospf 1
[DeviceB-ospf-1] area 0
[DeviceB-ospf-1-area-0.0.0.0] network 20.1.1.0 0.0.0.255
[DeviceB-ospf-1-area-0.0.0.0] network 30.1.1.0 0.0.0.255
[DeviceB-ospf-1-area-0.0.0.0] quit
[DeviceB-ospf-1] quit
(4) 配置Device C
# 創建GRE模式的Tunnel接口0,並為其配置IP地址和掩碼。
<DeviceC> system-view
[DeviceC] interface tunnel 0 mode gre
[DeviceC-Tunnel0] ip address 50.1.1.2 24
# 為Tunnel接口0分別指定源地址和目的地址。
[DeviceC-Tunnel0] source 30.1.1.2
[DeviceC-Tunnel0] destination 20.1.1.1
[DeviceC-Tunnel0] quit
# 配置OSPF協議。
[DeviceC] ospf 1
[DeviceC-ospf-1] area 0
[DeviceC-ospf-1-area-0.0.0.0] network 30.1.1.0 0.0.0.255
[DeviceC-ospf-1-area-0.0.0.0] network 40.1.1.0 0.0.0.255
[DeviceC-ospf-1-area-0.0.0.0] quit
[DeviceC-ospf-1] quit
# 創建本地鏡像組1。
[DeviceC] mirroring-group 1 local
# 配置本地鏡像組1的源端口為GigabitEthernet1/0/1,目的端口為GigabitEthernet1/0/2。
[DeviceC] mirroring-group 1 mirroring-port gigabitethernet 1/0/1 inbound
[DeviceC] mirroring-group 1 monitor-port gigabitethernet 1/0/2
# 顯示Device A上所有鏡像組的配置信息。
[DeviceA] display mirroring-group all
Mirroring group 1:
Type: Local
Status: Active
Mirroring port:
GigabitEthernet1/0/1 Both
Monitor port: Tunnel0
# 顯示Device C上所有鏡像組的配置信息。
[DeviceC] display mirroring-group all
Mirroring group 1:
Type: Local
Status: Active
Mirroring port:
GigabitEthernet1/0/1 Inbound
Monitor port: GigabitEthernet1/0/2
配置完成後,用戶可以通過Server監控所有進、出市場部的報文。
流鏡像是指將指定報文複製到指定目的地,以便於對報文進行分析和監控。
流鏡像通過QoS實現,設備先通過流分類匹配待鏡像的報文,再通過流行為將符合條件的報文鏡像至指定目的地。該方式可以靈活配置報文的匹配條件,從而對報文進行精細區分,並將區分後的報文鏡像到目的地。有關QoS的詳細介紹,請參見“ACL和QoS配置指導”中的“QoS”。
流鏡像配置中,除mirror-to命令外的其他配置命令及相關顯示命令的詳細介紹,請參見“ACL和QoS命令參考”中的“QoS策略”。
流鏡像配置任務如下:
(1) 配置流分類
該配置用來匹配待鏡像的報文。
(2) 配置流行為
該配置用來指定鏡像報文的目的地。
(3) 配置QoS策略
該配置為流分類指定流行為,即指定哪些報文需要鏡像到哪裏。
(4) 應用QoS策略
請選擇以下一項任務進行配置:
¡ 基於接口應用
¡ 基於控製平麵應用
(1) 進入係統視圖。
system-view
(2) 定義流分類,並進入流分類視圖。
traffic classifier classifier-name [ operator { and | or } ]
(3) 配置報文匹配規則。
if-match [ not ] match-criteria
(4) (可選)顯示用戶定義流分類的配置信息。
display traffic classifier
該命令可在任意視圖下執行。
(1) 進入係統視圖。
system-view
(2) 定義流行為,並進入流行為視圖。
traffic behavior behavior-name
(3) 配置流鏡像到接口。
¡ 配置流鏡像到接口。
命令形式一
mirror-to interface interface-type interface-number [ destination-ip destination-ip-address source-ip source-ip-address [ dscp dscp-value | erspan-id erspan-id-value | vlan vlan-id | vrf-instance vrf-name ] * ] [ destination-mac mac-address ] ]
缺省情況下,未配置流鏡像到接口。
命令形式二
mirror-to interface { destination-ip destination-ip-address source-ip source-ip-address } [ dscp dscp-value | erspan-id erspan-id-value | vlan vlan-id | vrf-instance vrf-name ] * [ destination-mac mac-address ]
缺省情況下,未配置流鏡像到接口。
使用命令形式一配置流鏡像到接口時,設備會將報文鏡像到指定出接口。
使用命令形式二配置流鏡像到接口時,設備會先給鏡像報文封裝指定的參數,並根據鏡像報文封裝的源IP地址和目的IP地址進行查表轉發,路由出接口即為鏡像報文的目的端口。通過配置路由協議的負載分擔,支持多個接口同時作為鏡像報文的目的端口。若當前鏡像目的端口故障,則使用路由協議重新計算出來的出接口繼續轉發鏡像報文。
設備不支持配置流鏡像到三層以太網接口。
(4) (可選)顯示用戶定義流行為的配置信息。
display traffic behavior
該命令可在任意視圖下執行。
(1) 進入係統視圖。
system-view
(2) 定義QoS策略,並進入QoS策略視圖。
qos policy policy-name
(3) 為流分類指定采用的流行為。
classifier classifier-name behavior behavior-name
缺省情況下,未為流分類指定流行為。
(4) (可選)顯示用戶定義策略的配置信息。
display qos policy
該命令可在任意視圖下執行。
將QoS策略應用到接口後,可以對該接口的流量進行鏡像。
一個QoS策略可以應用於多個接口。
一個接口在每個方向上隻能應用一個QoS策略。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 應用QoS策略到接口。
qos apply policy policy-name { inbound | outbound }
(4) (可選)顯示接口上QoS策略的配置信息和運行情況。
display qos policy interface
該命令可在任意視圖下執行。
將QoS策略應用到控製平麵後,可以對控製平麵各端口的流量進行鏡像。
(1) 進入係統視圖。
system-view
(2) 進入控製平麵視圖。
(獨立運行模式)
control-plane
(IRF模式)
control-plane slot slot-number
(3) 應用QoS策略到控製平麵。
qos apply policy policy-name inbound
(4) (可選)顯示控製平麵應用QoS策略的信息。
display qos policy control-plane
該命令可在任意視圖下執行。
某公司內的各部門之間使用不同網段的IP地址,其中市場部和技術部分別使用192.168.1.0/24和192.168.2.0/24網段,該公司的工作時間為每周工作日的8點到18點。
通過配置流鏡像,使Server可以監控技術部訪問互聯網的WWW流量,以及技術部在工作時間發往市場部的IP流量。
圖2-1 流鏡像典型配置組網圖
# 定義工作時間:創建名為work的時間段,其時間範圍為每周工作日的8點到18點。
<Device> system-view
[Device] time-range work 8:00 to 18:00 working-day
# 創建一個編號為3000的IPv4高級ACL,並定義如下規則:匹配技術部訪問WWW的報文,以及在工作時間由技術部發往市場部的IP報文。
[Device] acl advanced 3000
[Device-acl-ipv4-adv-3000] rule permit tcp source 192.168.2.0 0.0.0.255 destination-port eq www
[Device-acl-ipv4-adv-3000] rule permit ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 time-range work
[Device-acl-ipv4-adv-3000] quit
# 創建流分類tech_c,並配置報文匹配規則為ACL 3000。
[Device] traffic classifier tech_c
[Device-classifier-tech_c] if-match acl 3000
[Device-classifier-tech_c] quit
# 創建流行為tech_b,並配置流鏡像到接口GigabitEthernet1/0/3。
[Device] traffic behavior tech_b
[Device-behavior-tech_b] mirror-to interface gigabitethernet 1/0/3
[Device-behavior-tech_b] quit
# 創建QoS策略tech_p,在策略中為流分類tech_c指定采用流行為tech_b。
[Device] qos policy tech_p
[Device-qospolicy-tech_p] classifier tech_c behavior tech_b
[Device-qospolicy-tech_p] quit
# 將QoS策略tech_p應用到接口GigabitEthernet1/0/4的入方向上。
[Device] interface gigabitethernet 1/0/4
[Device-GigabitEthernet1/0/4] qos apply policy tech_p inbound
[Device-GigabitEthernet1/0/4] quit
配置完成後,用戶可以通過Server監控技術部訪問互聯網的WWW流量,以及技術部在工作時間發往市場部的IP流量。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
