04-端口镜像典型配置指导
本章节下载: 04-端口镜像典型配置指导 (457.06 KB)
目 录
本地端口镜像是指将设备的一个或多个端口(源端口)的报文复制到本设备的一个监视端口(目的端口),用于报文的监视和分析。其中,源端口和目的端口必须在同一台设备上。
某公司内部通过交换机实现各部门之间的互连,网络环境如图1-1所示。
网络管理员希望通过数据监测设备对研发部和市场部访问Internet的流量以及两个部门之间互访的流量进行监控。
由于待镜像的数据全部都会经过连接数据监测设备的交换机(Switch C)进行转发,因此可以使用本地端口镜像功能实现该需求,在Switch C上进行如下配置:
l 将端口GigabitEthernet 1/0/1和GigabitEthernet 1/0/2配置为镜像源端口,对这两个端口接收的报文进行镜像;
l 将连接数据监测设备的端口GigabitEthernet 1/0/3配置为镜像目的端口。
表1-1 配置适用的产品与软硬件版本关系
产品 |
软件版本 |
S7500E系列以太网交换机 |
Release 6100系列,Release 6300系列,Release 6600系列,Release 6610系列 |
S7600系列以太网交换机 |
Release 6600系列,Release 6610系列 |
S5800&S5820X系列以太网交换机 |
Release 1110,Release 1211 |
CE3000-32F以太网交换机 |
Release 1211 |
S5810系列以太网交换机 |
Release 1102 |
S5500-EI系列以太网交换机 |
Release 2202,Release 2208 |
S5500-EI-D系列以太网交换机 |
Release 2208 |
S5500-SI系列以太网交换机 |
Release 2202 ,Release 2208 |
S5120-EI系列以太网交换机 |
Release 2202,Release 2208 |
S5120-EI-D系列以太网交换机 |
Release 1505 |
S5120-SI系列以太网交换机 |
Release 1101,Release 1505 |
S5120-LI系列以太网交换机 |
Release 1107 |
E552&E528以太网交换机 |
Release 1103 |
S3610&S5510系列以太网交换机 |
Release 5301,Release 5303,Release 5306,Release 5309 |
S3500-EA系列以太网交换机 |
Release 5303,Release 5309 |
S3100V2系列以太网交换机 |
Release 5103 |
E126B以太网交换机 |
Release 5103 |
# 创建本地镜像组。
<SwitchC> system-view
[SwitchC] mirroring-group 1 local
# 将GigabitEthernet1/0/1和GigabitEthernet1/0/2配置为镜像源端口,对这两个端口接收的报文进行镜像。
[SwitchC] mirroring-group 1 mirroring-port GigabitEthernet 1/0/1 GigabitEthernet 1/0/2 inbound
# 将GigabitEthernet1/0/3配置为镜像目的端口。
[SwitchC] mirroring-group 1 monitor-port GigabitEthernet 1/0/3
# 显示所有镜像组的配置信息。
[SwitchC] display mirroring-group all
mirroring-group 1:
type: local
status: active
mirroring port:
GigabitEthernet1/0/1 both
GigabitEthernet1/0/2 both
monitor port: GigabitEthernet1/0/3
如果仅需要对两个部门访问Internet的流量进行监控,可以将GigabitEthernet 1/0/4端口配置为镜像源端口,并对从该端口发送的报文进行镜像。
#
mirroring-group 1 local
#
interface GigabitEthernet1/0/1
mirroring-group 1 mirroring-port inbound
#
interface GigabitEthernet1/0/2
mirroring-group 1 mirroring-port inbound
#
interface GigabitEthernet1/0/3
mirroring-group 1 monitor-port
#
需要注意的是:
l 本地镜像组需要配置源端口、目的端口才能生效。其中源端口和目的端口不能是现有镜像组的成员端口,并且一个镜像组只能配置一个目的端口。
l 请用户不要在目的端口上开启生成树功能,否则可能会影响镜像功能的正常使用。
l 目的端口收到的报文包括复制自源端口的报文和来自其它端口的正常转发报文。为了保证数据监测设备只对源端口的报文进行分析,请将目的端口只用于端口镜像,不作其它用途。
l 镜像组的目的端口不能配置为已经接入RRPP环的端口。
远程端口镜像通过远程源镜像组和远程目的镜像组互相配合的方式实现。
远程端口镜像的应用如图1-2所示。
图中各设备的作用如下:
l 源设备:源端口所在的设备,用户需要在源设备上创建远程源镜像组。本设备负责将源端口的报文复制一份,然后通过反射端口将报文在远程镜像VLAN中进行广播,传输给中间设备或目的设备。
l 中间设备:网络中处于源设备和目的设备之间的设备。本设备负责将镜像报文传输给下一个中间设备或目的设备。如果源设备与目的设备直接相连,则不存在中间设备。用户需要确保远程镜像VLAN内源设备到目的设备的二层互通性。
l 目的设备:远程镜像目的端口所在的设备,用户需要在目的设备上创建远程目的镜像组。目的设备收到报文后,比较报文的VLAN ID和远程目的镜像组的远程镜像VLAN是否相同,如果相同,则将该报文通过镜像目的端口转发给监控设备。
某公司内部通过交换机(以S5810系列以太网交换机为例)实现各部门之间的互连,网络环境如图1-3所示。
网络管理员希望通过数据监测设备对研发部发送的报文进行监控。
由于待镜像的数据并非全部都要通过Switch A转发,如果在Switch A上使用本地端口镜像,无法镜像到由Switch C和Switch D本地转发的研发部流量,不符合组网需求。因此,需要使用远程端口镜像功能实现该需求,在各设备上进行如下配置:
l Switch C和Switch D充当源设备,Switch B充当中间设备,Switch A充当目的设备;
l 在Switch C和Switch D上配置远程源镜像组,定义VLAN2(任意未使用的VLAN,此处以VLAN2为例)为远程镜像VLAN,端口GigabitEthernet 1/0/1为镜像源端口,对该端口接收的报文进行镜像;
l 在Switch C和Switch D上配置任意闲置端口作为镜像反射口,此处以GigabitEthernet 1/0/4为例;
l 在Switch A上配置远程目的镜像组,定义VLAN 2为远程镜像VLAN,连接数据监测设备的端口GigabitEthernet 1/0/2为镜像目的端口。
l 配置以下端口为Trunk端口,并允许VLAN2通过:Switch C和Switch D的GigabitEthernet 1/0/2端口,Switch B的GigabitEthernet1/0/1和GigabitEthernet1/0/2端口,Switch A的GigabitEthernet 1/0/1和GigabitEthernet 1/0/3端口。
表1-2 配置适用的产品与软硬件版本关系
产品 |
软件版本 |
S3610&S5510系列以太网交换机 |
Release 5301,Release 5303,Release 5306,Release 5309 |
S3500-EA系列以太网交换机 |
Release 5303,Release 5309 |
S5810系列以太网交换机 |
Release 1102 |
S3100V2系列以太网交换机 |
Release 5103 |
E126B以太网交换机 |
Release 5103 |
(1) 配置Switch C和Switch D(源设备)
# 创建远程源镜像组。
<SwitchC> system-view
[SwitchC] mirroring-group 1 remote-source
# 创建VLAN 2作为远程镜像VLAN。
[SwitchC] vlan 2
[SwitchC-vlan2] quit
# 为远程源镜像组配置远程镜像VLAN、源端口和反射端口。
[SwitchC] mirroring-group 1 remote-probe vlan 2
[SwitchC] mirroring-group 1 mirroring-port GigabitEthernet 1/0/1 inbound
[SwitchC] mirroring-group 1 reflector-port GigabitEthernet 1/0/4
# 配置端口GigabitEthernet 1/0/2的端口类型为Trunk端口,允许VLAN 2的报文通过。
[SwitchC] interface GigabitEthernet 1/0/2
[SwitchC-GigabitEthernet1/0/2] port link-type trunk
[SwitchC-GigabitEthernet1/0/2] port trunk permit vlan 2
Switch D的配置与Switch C的配置完全一致,这里不再赘述。
(2) 配置Switch B(中间设备)
# 配置端口GigabitEthernet 1/0/1的端口类型为Trunk端口,允许VLAN 2的报文通过。
<SwitchB> system-view
[SwitchB] interface GigabitEthernet 1/0/1
[SwitchB-GigabitEthernet1/0/1] port link-type trunk
[SwitchB-GigabitEthernet1/0/1] port trunk permit vlan 2
[SwitchB-GigabitEthernet1/0/1] quit
# 配置端口GigabitEthernet 1/0/2的端口类型为Trunk端口,允许VLAN 2的报文通过。
[SwitchB] interface GigabitEthernet 1/0/2
[SwitchB-GigabitEthernet1/0/2] port link-type trunk
[SwitchB-GigabitEthernet1/0/2] port trunk permit vlan 2
(3) 配置Switch A(目的设备)
# 配置端口GigabitEthernet 1/0/1GigabitEthernet1/0/3的端口类型为Trunk端口,允许VLAN 2的报文通过。
<SwitchA> system-view
[SwitchA] interface GigabitEthernet 1/0/1
[SwitchA-GigabitEthernet1/0/1] port link-type trunk
[SwitchA-GigabitEthernet1/0/1] port trunk permit vlan 2
[SwitchA-GigabitEthernet1/0/1] quit
[SwitchA] interface GigabitEthernet 1/0/3
[SwitchA-GigabitEthernet1/0/3] port link-type trunk
[SwitchA-GigabitEthernet1/0/3] port trunk permit vlan 2
[SwitchA-GigabitEthernet1/0/3] quit
# 创建远程目的镜像组。
[SwitchA] mirroring-group 1 remote-destination
# 创建VLAN 2。
[SwitchA] vlan 2
[SwitchA-vlan2] quit
# 为远程目的镜像组配置远程镜像VLAN和目的端口。
[SwitchA] mirroring-group 1 remote-probe vlan 2
[SwitchA] mirroring-group 1 monitor-port GigabitEthernet 1/0/2
# 将镜像目的端口加入远程镜像VLAN。将镜像数据发送给监测设备时,不需要携带远程镜像VLAN的VLAN Tag,因此将该端口配置为Access端口。
[SwitchA] interface GigabitEthernet 1/0/2
[SwitchA-GigabitEthernet1/0/2] port access vlan 2
l Switch A上的完整配置:
#
mirroring-group 1 remote-destination
mirroring-group 1 remote-probe vlan 2
#
vlan 2
#
interface GigabitEthernet1/0/1
port link-type trunk
port trunk permit vlan 1 to 2
#
interface GigabitEthernet1/0/2
port access vlan 2
mirroring-group 1 monitor-port
#
interface GigabitEthernet1/0/3
port link-type trunk
port trunk permit vlan 1 to 2
l Switch B上的完整配置:
#
interface GigabitEthernet1/0/1
port link-type trunk
port trunk permit vlan 1 to 2
#
interface GigabitEthernet1/0/2
port link-type trunk
port trunk permit vlan 1 to 2
#
l Switch C和SwitchD上的完整配置:
#
mirroring-group 1 remote-source
mirroring-group 1 remote-probe vlan 2
#
vlan 2
#
interface GigabitEthernet1/0/1
mirroring-group 1 mirroring-port
#
interface GigabitEthernet1/0/2
port link-type trunk
port trunk permit vlan 1 to 2
#
interface GigabitEthernet1/0/4
mirroring-group 1 monitor-port
配置远程端口镜像的源设备时需要注意:
l 远程源镜像组的所有端口都属于同一台设备,一个远程源镜像组只能配置一个反射端口。
l 反射端口不能是现有镜像组的成员端口、聚合组成员端口,不能配置QinQ功能。反射口必须为Access端口且属于缺省VLAN。
l 端口的双工模式、端口速率、MDI属性取值均为缺省值时,才能将端口配置为反射端口;将某个端口配置为反射端口后,不能再修改此端口双工模式、端口速率、MDI属性的取值,即这些属性只能为缺省值。
l 请用户不要在反射端口连接网线,不要在反射端口上配置下列功能:生成树协议、802.1X、IGMP Snooping、静态ARP和MAC地址学习功能,否则可能会影响镜像功能的正常使用。
l 配置远程镜像VLAN时,要求该VLAN为静态VLAN并预先创建。被配置成远程镜像VLAN后,该VLAN不能直接删除,必须先删除远程镜像VLAN的配置才能够删除这个VLAN。如果镜像组生效后,远程镜像VLAN被取消,那么该镜像组将失效。
l 远程镜像VLAN不用做其他用途,仅用于远程镜像。
l 一个远程镜像VLAN只能被一个远程源镜像组使用。
配置远程端口镜像的目的设备时需要注意:
l 目的端口不能是现有镜像组的成员端口。
l 请用户不要在目的端口上开启生成树协议,否则可能会影响镜像功能的正常使用。
l 目的端口不用做其他用途,仅用于端口镜像。
l 配置远程镜像VLAN时,要求该VLAN为静态VLAN并预先创建。被配置成远程镜像VLAN后,该VLAN不能直接删除,必须先删除远程镜像VLAN的配置才能够删除这个VLAN。如果镜像组生效后,远程镜像VLAN被取消,那么该镜像组将失效。
l 一个远程镜像VLAN只能被一个远程目的镜像组使用。
l 远程镜像VLAN不用做其他用途,仅用于远程镜像。
远程端口镜像通过远程源镜像组和远程目的镜像组互相配合的方式实现。
远程端口镜像的应用如图1-4所示。
图中各设备的作用如下:
l 源设备:源端口所在的设备,用户需要在源设备上创建远程源镜像组。本设备负责将源端口的报文复制一份,然后通过出端口将报文在远程镜像VLAN中进行广播,传输给中间设备或目的设备。
l 中间设备:网络中处于源设备和目的设备之间的设备。本设备负责将镜像报文传输给下一个中间设备或目的设备。如果源设备与目的设备直接相连,则不存在中间设备。用户需要确保远程镜像VLAN内源设备到目的设备的二层互通性。
l 目的设备:远程镜像目的端口所在的设备,用户需要在目的设备上创建远程目的镜像组。目的设备收到报文后,比较报文的VLAN ID和远程目的镜像组的远程镜像VLAN是否相同,如果相同,则将该报文通过镜像目的端口转发给监控设备。
某公司内部通过交换机(以S5500-EI系列以太网交换机为例)实现各部门之间的互连,网络环境如图1-5所示。
网络管理员希望通过数据监测设备对研发部发送的报文进行监控。
由于待镜像的数据并非全部要通过Switch A转发,如果在Switch A上使用本地端口镜像,则无法镜像到由Switch C和Switch D本地转发的研发部流量,不符合组网需求。因此,需要使用远程端口镜像功能实现该需求,在各设备上进行如下配置:
l Switch C和Switch D充当源设备,Switch B充当中间设备,Switch A充当目的设备;
l 在Switch C和Switch D上配置远程源镜像组,定义VLAN2(任意未使用的VLAN,此处以VLAN2为例)为远程镜像VLAN,端口GigabitEthernet 1/0/1为镜像源端口,对该端口接收的报文进行镜像;
l 在Switch C和Switch D上配置GigabitEthernet1/0/2为镜像出端口;
l 在Switch A上配置远程目的镜像组,定义VLAN 2为远程镜像VLAN,连接数据监测设备的端口GigabitEthernet 1/0/2为镜像目的端口。
l 配置以下端口为Trunk端口,并允许VLAN2通过:Switch C和Switch D的GigabitEthernet 1/0/2端口,Switch B的GigabitEthernet1/0/1和GigabitEthernet1/0/2端口,Switch A的GigabitEthernet 1/0/1和GigabitEthernet 1/0/3端口。
表1-3 配置适用的产品与软硬件版本关系
产品 |
软件版本 |
S7500E系列以太网交换机 |
Release 6100系列,Release 6300系列,Release 6600系列,Release 6610系列 |
S7600系列以太网交换机 |
Release 6600系列,Release 6610系列 |
S5800&S5820X系列以太网交换机 |
Release 1110,Release 1211 |
CE3000-32F以太网交换机 |
Release 1211 |
S5500-EI系列以太网交换机 |
Release 2202,Release 2208 |
S5500-EI-D系列以太网交换机 |
Release 2208 |
S5500-SI系列以太网交换机 |
Release 2202 ,Release 2208 |
S5120-EI系列以太网交换机 |
Release 2202,Release 2208 |
S5120-EI-D系列以太网交换机 |
Release 1505 |
(1) 配置Switch C和Switch D(源设备)
# 创建远程源镜像组。
<SwitchC> system-view
[SwitchC] mirroring-group 1 remote-source
# 创建VLAN 2。
[SwitchC] vlan 2
[SwitchC-vlan2] quit
# 为远程源镜像组配置远程镜像VLAN、源端口和出端口。
[SwitchC] mirroring-group 1 remote-probe vlan 2
[SwitchC] mirroring-group 1 mirroring-port GigabitEthernet 1/0/1 inbound
[SwitchC] mirroring-group 1 monitor-egress GigabitEthernet 1/0/2
# 配置端口GigabitEthernet 1/0/2的端口类型为Trunk端口,允许VLAN 2的报文通过。
[SwitchC] interface GigabitEthernet 1/0/2
[SwitchC-GigabitEthernet1/0/2] port link-type trunk
[SwitchC-GigabitEthernet1/0/2] port trunk permit vlan 2
Switch D的配置与Switch C的配置完全一致,这里不再赘述。
(2) 配置Switch B(中间设备)
# 配置端口GigabitEthernet 1/0/1的端口类型为Trunk端口,允许VLAN 2的报文通过。
<SwitchB> system-view
[SwitchB] interface GigabitEthernet 1/0/1
[SwitchB-GigabitEthernet1/0/1] port link-type trunk
[SwitchB-GigabitEthernet1/0/1] port trunk permit vlan 2
[SwitchB-GigabitEthernet1/0/1] quit
# 配置端口GigabitEthernet 1/0/2的端口类型为Trunk端口,允许VLAN 2的报文通过。
[SwitchB] interface GigabitEthernet 1/0/2
[SwitchB-GigabitEthernet1/0/2] port link-type trunk
[SwitchB-GigabitEthernet1/0/2] port trunk permit vlan 2
(3) 配置Switch A(目的设备)
# 配置端口GigabitEthernet 1/0/1和GigabitEthernet1/0/3的端口类型为Trunk端口,允许VLAN 2的报文通过。
<SwitchA> system-view
[SwitchA] interface GigabitEthernet 1/0/1
[SwitchA-GigabitEthernet1/0/1] port link-type trunk
[SwitchA-GigabitEthernet1/0/1] port trunk permit vlan 2
[SwitchA-GigabitEthernet1/0/1] quit
[SwitchA] interface GigabitEthernet 1/0/3
[SwitchA-GigabitEthernet1/0/3] port link-type trunk
[SwitchA-GigabitEthernet1/0/3] port trunk permit vlan 2
[SwitchA-GigabitEthernet1/0/3] quit
# 创建远程目的镜像组。
[SwitchA] mirroring-group 1 remote-destination
# 创建VLAN 2。
[SwitchA] vlan 2
[SwitchA-vlan2] quit
# 为远程目的镜像组配置远程镜像VLAN和目的端口。
[SwitchA] mirroring-group 1 remote-probe vlan 2
[SwitchA] mirroring-group 1 monitor-port GigabitEthernet 1/0/2
# 将镜像目的端口加入远程镜像VLAN。将镜像数据发送给监测设备时,不需要携带远程镜像VLAN的VLAN Tag,因此将该端口配置为Access端口。
[SwitchA] interface GigabitEthernet 1/0/2
[SwitchA-GigabitEthernet1/0/2] port access vlan 2
l Switch A上的完整配置:
#
mirroring-group 1 remote-destination
mirroring-group 1 remote-probe vlan 2
#
vlan 2
#
interface GigabitEthernet1/0/1
port link-type trunk
port trunk permit vlan 1 to 2
#
interface GigabitEthernet1/0/2
port access vlan 2
mirroring-group 1 monitor-port
#
interface GigabitEthernet1/0/3
port link-type trunk
port trunk permit vlan 1 to 2
l Switch B上的完整配置:
#
interface GigabitEthernet1/0/1
port link-type trunk
port trunk permit vlan 1 to 2
#
interface GigabitEthernet1/0/2
port link-type trunk
port trunk permit vlan 1 to 2
#
l Switch C上的完整配置:
#
mirroring-group 1 remote-source
mirroring-group 1 remote-probe vlan 2
#
vlan 2
#
interface GigabitEthernet1/0/1
mirroring-group 1 mirroring-port
#
interface GigabitEthernet1/0/2
port link-type trunk
port trunk permit vlan 1 to 2
mirroring-group 1 monitor-egress
#
配置远程端口镜像的源设备时需要注意:
l 在源设备上通过配置远程源镜像组实现远程镜像功能。
l 远程源镜像组的所有端口都属于同一台设备,一个远程源镜像组只能配置一个出端口。
l 出端口不能为现有镜像组的成员端口。
l 请用户不要在出端口上配置下列功能:生成树协议、802.1x、IGMP Snooping、QinQ、静态ARP和MAC地址学习功能,否则可能会影响镜像功能的正常使用。
l 配置远程镜像VLAN时,要求该VLAN为静态VLAN并预先创建。被配置成远程镜像VLAN后,该VLAN不能直接删除,必须先删除远程镜像VLAN的配置才能够删除这个VLAN。如果镜像组生效后,远程镜像VLAN被取消,那么该镜像组将失效。
l 远程镜像VLAN不用做其他用途,仅用于远程镜像功能。
l 一个远程镜像VLAN只能被一个远程源镜像组使用。
配置远程端口镜像的目的设备时需要注意:
l 目的端口不能是现有镜像组的成员端口。
l 请用户不要在目的端口上使能生成树协议,否则可能会影响镜像功能的正常使用。
l 目的端口不用做其他用途,仅用于端口镜像。
l 配置远程镜像VLAN时,要求该VLAN为静态VLAN并预先创建。被配置成远程镜像VLAN后,该VLAN不能直接删除,必须先删除远程镜像VLAN的配置才能够删除这个VLAN。如果镜像组生效后,远程镜像VLAN被取消,那么该镜像组将失效。
l 远程镜像VLAN不用做其他用途,仅用于远程镜像功能。
l 一个远程镜像VLAN只能被一个远程目的镜像组使用。
三层远程端口镜像通过远程源镜像组、远程目的镜像组和GRE隧道互相配合的方式实现。
如图1-6所示,在源设备上,源端口/源CPU的报文被镜像到Tunnel接口(作为其目的端口),然后通过GRE隧道发送至目的设备,目的设备在通过Tunnel接口(作为其源端口)将报文转发至其目的端口。这样,目的设备上连接目的端口的数据监测设备就可以对源设备上源端口的报文进行监控和分析。
某公司内部各部门使用不同网段的IP地址,其中市场部使用10.1.1.1/24网段,网络管理部门使用40.1.1.1/24网段,组网形式如图1-7所示。
网络管理员希望通过数据监测设备对市场部接收和发送的报文进行监控。
如果使用二层远程端口镜像,镜像报文无法在三层网络之间转发,不能实现组网需求,因此,需要使用三层远程端口镜像实现该需求。由于公司内部使用IPv4网络实现互连,可以采用GRE over IPv4隧道的形式实现三层远程端口镜像。
在各设备上进行如下配置:
l 在Switch A和Switch C上配置GRE over IPv4隧道,使镜像报文可以通过隧道在IPv4网络中传输,Switch B上只需要配置路由协议实现各网段间的路由可达即可。
l 本例中使用OSPF协议实现各网段间路由的发布,用户也可以选择其它路由协议,有关其它路由协议的配置,请参见路由分册中的各个章节,
l 在Switch A上配置本地端口镜像,源端口为接入市场部的端口,目的端口为GRE隧道的Tunnel接口。
l 在Switch C上配置本地端口镜像,源端口为GRE隧道的Tunnel接口对应的物理端口,目的端口为连接数据监测设备的端口。
表1-4 配置适用的产品与软硬件版本关系
产品 |
软件版本 |
S7500E系列以太网交换机 |
Release 6600系列,Release 6610系列 |
S7600系列以太网交换机 |
Release 6600系列,Release 6610系列 |
S5800&S5820X系列以太网交换机 |
Release 1110,Release 1211 |
CE3000-32F以太网交换机 |
Release 1211 |
(1) 配置Switch A(源设备)
# 创建连接市场部和公司内部网络的VLAN及VLAN接口,并将图中各端口加入相应的VLAN。
<SwitchA> system-view
[SwitchA] vlan 10 to 11
Please wait... Done.
[SwitchA] interface Vlan-interface 10
[SwitchA-Vlan-interface10] ip address 10.1.1.1 24
[SwitchA-Vlan-interface10] quit
[SwitchA] interface Vlan-interface 11
[SwitchA-Vlan-interface11] ip address 20.1.1.1 24
[SwitchA-Vlan-interface11] quit
[SwitchA] interface GigabitEthernet 1/0/1
[SwitchA-GigabitEthernet1/0/1] port access vlan 10
[SwitchA-GigabitEthernet1/0/1] quit
[SwitchA] interface GigabitEthernet 1/0/2
[SwitchA-GigabitEthernet1/0/2] port link-type trunk
[SwitchA-GigabitEthernet1/0/2] port trunk permit vlan 11
[SwitchA-GigabitEthernet1/0/2] quit
# 创建接口Tunnel0,并为其配置IP地址和掩码。
[SwitchA] interface tunnel 0
[SwitchA-Tunnel0] ip address 50.1.1.1 24
# 配置Tunnel0接口采用GRE隧道模式,并为该接口指定源地址和目的地址。
[SwitchA-Tunnel0] tunnel-protocol gre
[SwitchA-Tunnel0] source 20.1.1.1
[SwitchA-Tunnel0] destination 30.1.1.2
[SwitchA-Tunnel0] quit
# 创建并配置业务环回组1,服务类型为tunnel。
[SwitchA] service-loopback group 1 type tunnel
# 将设备上的任意未使用的端口(此处以GigabitEthernet1/0/3为例)加入业务环回组1。
[SwitchA] interface GigabitEthernet 1/0/3
[SwitchA-GigabitEthernet1/0/3] undo stp enable
[SwitchA-GigabitEthernet1/0/3] port service-loopback group 1
[SwitchA-GigabitEthernet1/0/3] quit
# 在Tunnel接口视图下指定隧道引用的业务环回组1。
[SwitchA] interface tunnel 0
[SwitchA-Tunnel0] service-loopback-group 1
[SwitchA-Tunnel0] quit
# 配置OSPF协议,将VLAN接口和Tunnel接口的网段进行发布。
[SwitchA] ospf 1
[SwitchA-ospf-1] area 0
[SwitchA-ospf-1-area-0.0.0.0] network 10.1.1.0 0.0.0.255
[SwitchA-ospf-1-area-0.0.0.0] network 20.1.1.0 0.0.0.255
[SwitchA-ospf-1-area-0.0.0.0] network 50.1.1.0 0.0.0.255
[SwitchA-ospf-1-area-0.0.0.0] quit
[SwitchA-ospf-1] quit
# 创建本地镜像组1。
[SwitchA] mirroring-group 1 local
# 配置本地镜像组1的源端口为GigabitEthernet1/0/1,目的端口为Tunnel0。
[SwitchA] mirroring-group 1 mirroring-port gigabitethernet 1/0/1 both
[SwitchA] mirroring-group 1 monitor-port tunnel 0
(2) 配置Switch B(中间设备)
# # 创建连接Switch A和Switch C的VLAN及VLAN接口,并将图中各端口加入相应的VLAN。
<SwitchB> system-view
[SwitchB] vlan 11 to 12
Please wait... Done.
[SwitchB] interface Vlan-interface 11
[SwitchB-Vlan-interface11] ip address 20.1.1.2 24
[SwitchB-Vlan-interface11] quit
[SwitchB] interface Vlan-interface 12
[SwitchB-Vlan-interface12] ip address 30.1.1.1 24
[SwitchB-Vlan-interface12] quit
[SwitchB] interface GigabitEthernet 1/0/2
[SwitchB-GigabitEthernet1/0/2] port link-type trunk
[SwitchB-GigabitEthernet1/0/2] port trunk permit vlan 11
[SwitchB-GigabitEthernet1/0/2] quit
[SwitchB] interface GigabitEthernet 1/0/1
[SwitchB-GigabitEthernet1/0/1] port link-type trunk
[SwitchB-GigabitEthernet1/0/1] port trunk permit vlan 12
[SwitchB-GigabitEthernet1/0/1] quit
# 配置OSPF协议,将两个VLAN接口的网段发布。
[SwitchB] ospf 1
[SwitchB-ospf-1] area 0
[SwitchB-ospf-1-area-0.0.0.0] network 20.1.1.0 0.0.0.255
[SwitchB-ospf-1-area-0.0.0.0] network 30.1.1.0 0.0.0.255
[SwitchB-ospf-1-area-0.0.0.0] quit
[SwitchB-ospf-1] quit
(3) 配置Switch C(目的设备)
# # 创建连接Switch B和数据监测设备的VLAN及VLAN接口,并将图中各端口加入相应的VLAN。
<SwitchC> system-view
[SwitchC] vlan 12 to 13
Please wait... Done.
[SwitchC] interface Vlan-interface 12
[SwitchC-Vlan-interface12] ip address 30.1.1.2 24
[SwitchC-Vlan-interface12] quit
[SwitchC] interface Vlan-interface 13
[SwitchC-Vlan-interface13] ip address 40.1.1.1 24
[SwitchC-Vlan-interface13] quit
[SwitchC] interface GigabitEthernet 1/0/1
[SwitchC-GigabitEthernet1/0/1] port link-type trunk
[SwitchC-GigabitEthernet1/0/1] port trunk permit vlan 12
[SwitchC-GigabitEthernet1/0/1] quit
[SwitchC] interface GigabitEthernet 1/0/2
[SwitchC-GigabitEthernet1/0/2] port access vlan 13
[SwitchC-GigabitEthernet1/0/2] quit
# 创建接口Tunnel0,并为其配置IP地址和掩码。
[SwitchC] interface tunnel 0
[SwitchC-Tunnel0] ip address 50.1.1.2 24
# 配置Tunnel0接口采用GRE隧道模式,并为该接口指定源地址和目的地址。
[SwitchC-Tunnel0] tunnel-protocol gre
[SwitchC-Tunnel0] source 30.1.1.2
[SwitchC-Tunnel0] destination 20.1.1.1
[SwitchC-Tunnel0] quit
# 创建并配置业务环回组1,服务类型为tunnel。
[SwitchC] service-loopback group 1 type tunnel
# 将设备上的任意未使用的端口(此处以GigabitEthernet1/0/3为例)加入业务环回组1。
[SwitchC] interface GigabitEthernet 1/0/3
[SwitchC-GigabitEthernet1/0/3] undo stp enable
[SwitchC-GigabitEthernet1/0/3] port service-loopback group 1
# 在Tunnel接口视图下指定隧道引用的业务环回组1。
[SwitchC-GigabitEthernet1/0/3] quit
[SwitchC] interface tunnel 0
[SwitchC-Tunnel0] service-loopback-group 1
[SwitchC-Tunnel0] quit
# 配置OSPF协议,将VLAN接口和Tunnel接口的网段进行发布。
[SwitchC] ospf 1
[SwitchC-ospf-1] area 0
[SwitchC-ospf-1-area-0.0.0.0] network 30.1.1.0 0.0.0.255
[SwitchC-ospf-1-area-0.0.0.0] network 40.1.1.0 0.0.0.255
[SwitchC-ospf-1-area-0.0.0.0] network 50.1.1.0 0.0.0.255
[SwitchC-ospf-1-area-0.0.0.0] quit
[SwitchC-ospf-1] quit
# 创建本地镜像组1。
[SwitchA] mirroring-group 1 local
# 配置本地镜像组1的源端口为GigabitEthernet1/0/1,目的端口为GigabitEthernet1/0/2。
[SwitchC] mirroring-group 1 mirroring-port gigabitethernet 1/0/1 inbound
[SwitchC] mirroring-group 1 monitor-port gigabitethernet 1/0/2
l SwitchA上的完整配置
#
mirroring-group 1 local
#
service-loopback group 1 type tunnel
#
vlan 10 to 11
#
interface Vlan-interface10
ip address 10.1.1.1 255.255.255.0
#
interface Vlan-interface11
ip address 20.1.1.1 255.255.255.0
#
interface GigabitEthernet1/0/1
port access vlan 10
mirroring-group 1 mirroring-port both
#
interface GigabitEthernet1/0/2
port link-type trunk
port trunk permit vlan 1 11
#
interface GigabitEthernet1/0/3
stp disable
port service-loopback group 1
#
interface Tunnel0
ip address 50.1.1.1 255.255.255.0
source 20.1.1.1
destination 30.1.1.2
service-loopback-group 1
mirroring-group 1 monitor-port
#
ospf 1
area 0.0.0.0
network 10.1.1.0 0.0.0.255
network 20.1.1.0 0.0.0.255
network 50.1.1.0 0.0.0.255
l SwitchB上的完整配置
#
vlan 11 to 12
#
interface Vlan-interface11
ip address 20.1.1.2 255.255.255.0
#
interface Vlan-interface12
ip address 30.1.1.1 255.255.255.0
#
interface GigabitEthernet1/0/1
port link-type trunk
port trunk permit vlan 1 12
#
interface GigabitEthernet1/0/2
port link-type trunk
port trunk permit vlan 1 11
#
ospf 1
area 0.0.0.0
network 10.1.1.0 0.0.0.255
network 20.1.1.0 0.0.0.255
l SwitchC上的完整配置
#
mirroring-group 1 local
#
service-loopback group 1 type tunnel
#
vlan 12 to 13
#
interface Vlan-interface12
ip address 30.1.1.2 255.255.255.0
#
interface Vlan-interface13
ip address 40.1.1.1 255.255.255.0
#
interface GigabitEthernet1/0/1
port link-type trunk
port trunk permit vlan 1 12
mirroring-group 1 mirroring-port inbound
#
interface GigabitEthernet1/0/2
port access vlan 13
mirroring-group 1 monitor-port
#
interface GigabitEthernet1/0/3
stp disable
port service-loopback group 1
#
interface Tunnel0
ip address 50.1.1.1 255.255.255.0
source 30.1.1.2
destination 20.1.1.1
service-loopback-group 1
#
ospf 1
area 0.0.0.0
network 30.1.1.0 0.0.0.255
network 40.1.1.0 0.0.0.255
network 50.1.1.0 0.0.0.255
l 目前仅支持通过GRE over IPv4隧道实现三层远程端口镜像功能。
l 在配置GRE over IPv4隧道时,Tunnel的源地址与目的地址唯一标识了一个通道,这些配置在Tunnel两端必须配置,且两端地址互为源地址和目的地址。
l 其它需要关注的配置要点请参见本地端口镜像的配置注意事项。
端口镜像适用于将端口接收或发送的所有流量均进行镜像的情况,更有利于对网络流量进行完整的收集和分析。但在某些情况下,用户只需要对网络中部分流量进行镜像,如果仍然采用端口镜像方式,则会大大浪费网络链路的带宽和监测设备的资源。
此时,可以使用流镜像功能来实现仅对符合某种特征的报文进行镜像。流镜像功能通过QoS策略方式实现,即通过创建流分类来匹配需要镜像的内容,再通过镜像的流行为对报文进行镜像。
某公司内部各部门使用不同网段的IP地址,其中研发部使用10.1.1.1/24网段,市场部使用12.1.1.0/24网段,公共服务器群使用14.1.1.0/24网段,组网形式如图1-8所示。
网络管理员希望通过数据监测设备对以下两种数据进行镜像:
l 研发部主机访问Internet时发送的HTTP流量
l 在工作日的非工作时间段(工作时间段为8:30至18:00),市场部Host A主机从公共服务器群接收到的报文
通过流镜像功能实现以上需求,首先需要根据报文特点制定需要镜像报文的分类规则:
l 研发部主机访问Internet发送的HTTP流量:通过创建源地址为10.1.1.0/24网段、目的端口为TCP 80的ACL来进行匹配。
l 非工作时间段市场部Host A主机从公共服务器群接收到的报文:创建源地址为14.1.1.0/24网段,目的地址为12.1.1.1的ACL,并创建相应的ACL生效时间段来进行匹配。
然后,在Switch A上对以上分类的报文采用镜像到GigabitEthernet1/0/2端口的动作,即可以实现组网需求。
表1-5 配置适用的产品与软硬件版本关系
产品 |
软件版本 |
硬件版本 |
S3610系列以太网交换机 |
Release 5301,Release 5303,Release 5306,Release 5309软件版本 |
全系列硬件版本 |
S5510系列以太网交换机 |
Release 5301,Release 5303,Release 5306,Release 5309软件版本 |
全系列硬件版本 |
S3500-EA系列以太网交换机 |
Release 5303,Release 5309软件版本 |
全系列硬件版本 |
S5120-SI系列以太网交换机 |
Release 1101软件版本 |
全系列硬件版本 |
S5120-EI系列以太网交换机 |
Release 2202软件版本 |
全系列硬件版本 |
S5500-SI系列以太网交换机 |
Release 1207软件版本 |
S5500-28C-SI S5500-52C-SI S5500-28C-PWR-SI S5500-52C-PWR-SI |
Release 1301软件版本 |
S5500-20TP-SI |
|
Release 2202软件版本 |
全系列硬件版本 |
|
S5500-EI系列以太网交换机 |
Release 2102,Release 2202软件版本 |
全系列硬件版本 |
S5820X系列以太网交换机 |
Release 1108软件版本 |
全系列硬件版本 |
S5800系列以太网交换机 |
Release 1108软件版本 |
全系列硬件版本 |
S5810系列以太网交换机 |
Release 1102软件版本 |
全系列硬件版本 |
S7500E系列以太网交换机 |
Release 6100系列,Release 6300系列,Release 6600系列软件版本 |
全系列硬件版本 |
(1) 定义对研发部上网流量进行镜像的QoS策略
# 创建ACL 3000,匹配研发部的上网流量。
<SwitchA> system-view
[SwitchA] acl number 3000
[SwitchA-acl-adv-3000] rule permit tcp destination-port eq 80 source 10.1.1.0 0.0.0.255
[SwitchA-acl-adv-3000] quit
# 创建流分类classifier_research,匹配ACL 3000。
[SwitchA] traffic classifier classifier_research
[SwitchA-classifier-classifier_research] if-match acl 3000
[SwitchA-classifier-classifier_research] quit
# 定义流行为behavior_research,动作为镜像至端口GigabitEthernet 1/0/2。
[SwitchA] traffic behavior behavior_research
[SwitchA-behavior-behavior_research] mirror-to interface GigabitEthernet 1/0/2
[SwitchA-behavior-behavior_research] quit
# 定义策略policy_research,为类classifier_research指定流行为behavior_research。
[SwitchA] qos policy policy_research
[SwitchA-qospolicy-policy_research] classifier classifier_research behavior behavior_
research
[SwitchA-qospolicy-policy_research] quit
(2) 定义对市场部Host A主机从公共服务器获取的数据进行镜像的QoS策略
# 定义两个非工作时间段,分别为工作日的0:00至8:30和18:00至24:00,并分别命名为“off-work1”和“off-work2”。
<SwitchA> system-view
[SwitchA] time-range off-work1 0:00 to 8:30 working-day
[SwitchA] time-range off-work2 18:00 to 24:00 working-day
# 创建ACL 3001,通过两条规则来匹配公共服务器在非工作时间段发往Host A主机的数据。
[SwitchA] acl number 3001
[SwitchA-acl-adv-3001] rule permit ip destination 12.1.1.1 0.0.0.0 source 14.1.1.0 0.0.0.255 time-range off-work1
[SwitchA-acl-adv-3001] rule permit ip destination 12.1.1.1 0.0.0.0 source 14.1.1.0 0.0.0.255 time-range off-work2
[SwitchA-acl-adv-3001] quit
# 创建流分类classifier_market,匹配ACL 3001。
[SwitchA] traffic classifier classifier_market
[SwitchA-classifier-classifier_market] if-match acl 3001
[SwitchA-classifier-classifier_market] quit
# 定义流行为behavior_market,动作为镜像至端口GigabitEthernet 1/0/2。
[SwitchA] traffic behavior behavior_market
[SwitchA-behavior-behavior_market] mirror-to interface GigabitEthernet 1/0/2
[SwitchA-behavior-behavior_market] quit
# 定义策略policy_market,为类classifier_market指定流行为behavior_market。
[SwitchA] qos policy policy_market
[SwitchA-qospolicy-policy_market] classifier classifier_market behavior behavior_market
[SwitchA-qospolicy-policy_market] quit
(3) 应用QoS策略
# 将policy_research策略应用到GigabitEthernet1/0/1端口的入方向。
[SwitchA] interface GigabitEthernet 1/0/1
[SwitchA-GigabitEthernet1/0/1] qos apply policy policy_research inbound
# 将policy_market策略应用到GigabitEthernet1/0/1端口的出方向。
[SwitchA-GigabitEthernet1/0/1] qos apply policy policy_market outbound
如果设备不支持在端口出方向应用QoS策略,则可以将policy_market应用到GigabitEthernet1/0/3端口的入方向,实现的效果相同。
#
time-range off-work1 00:00 to 08:30 working-day
time-range off-work2 18:00 to 24:00 working-day
#
acl number 3000
rule 0 permit tcp source 10.1.1.0 0.0.0.255 destination-port eq www
acl number 3001
rule 0 permit ip source 14.1.1.0 0.0.0.255 destination 12.1.1.1 0 time-range off-work1
rule 5 permit ip source 14.1.1.0 0.0.0.255 destination 12.1.1.1 0 time-range off-work2
#
traffic classifier classifier_research operator and
if-match acl 3000
traffic classifier classifier_market operator and
if-match acl 3001
#
traffic behavior behavior_research
mirror-to interface GigabitEthernet1/0/2
traffic behavior behavior_market
mirror-to interface GigabitEthernet1/0/2
#
qos policy policy_research
classifier classifier_research behavior behavior_research
qos policy policy_market
classifier classifier_market behavior behavior_market
#
interface GigabitEthernet1/0/1
qos apply policy policy_research inbound
qos apply policy policy_market outbound
l 一个QoS策略可以应用到多个端口上,端口的每个方向(inbound/outbound)只能应用一个QoS策略。
l 各产品对inbound和outbound方向的流镜像支持情况如所示:
表1-6 各产品对inbound和outbound方向的流镜像支持情况
产品系列 |
inbound方向 |
outbound方向 |
|
S3610系列以太网交换机 |
支持 |
不支持 |
|
S5510系列以太网交换机 |
支持 |
不支持 |
|
S3500-EA系列以太网交换机 |
支持 |
不支持 |
|
S5120-SI系列以太网交换机 |
支持 |
不支持 |
|
S5120-EI系列以太网交换机 |
支持 |
不支持 |
|
S5500-SI系列以太网交换机 |
支持 |
不支持 |
|
S5500-EI系列以太网交换机 |
支持 |
支持 |
|
S5800系列以太网交换机 |
支持 |
支持 |
|
S5820X系列以太网交换机 |
支持 |
支持 |
|
S5810系列以太网交换机 |
支持 |
不支持 |
|
S7500E系列交换机 |
SA单板 |
支持 |
不支持 |
SC单板 |
支持 |
支持 |
|
EA单板 |
支持 |
不支持 |
|
EB单板 |
支持 |
支持 |
|
SD单板 |
支持 |
支持 |
l 在S5500-EI和S7500E系列交换机上,当mirror-to动作应用于出方向(outbound)时,不能与其他动作同时配置,否则QoS策略将不能成功应用。
在1.5 小节的举例中,我们可以看到,流镜像只适用于将符合条件的数据镜像到本地端口(类似于本地端口镜像),而无法将报文镜像到远程设备上连接的数据监测设备。如果用户有跨设备实现对特定报文镜像的需求,可以通过远程流镜像功能实现。
远程流镜像的实现方法是:首先在本地设备配置流镜像功能,将符合条件的报文镜像至连接到远程数据监测设备的出端口;然后再配置远程源镜像组,并将出端口指定为流镜像中的目的端口,从而可以使流镜像至该目的端口的报文再通过远程镜像功能镜像至远端设备。
某公司内部各部门使用不同网段的IP地址,其中研发部使用10.1.1.1/24网段,市场部使用12.1.1.0/24网段,公共服务器群使用14.1.1.0/24网段,组网形式如图1-9所示。
网络管理员希望通过数据监测设备对以下两种数据进行镜像:
l 研发部主机访问Internet时发送的HTTP流量
l 在工作日的非工作时间段(工作时间段为8:30至18:00),市场部Host A主机从公共服务器群接收到的报文
由于接收和发送待镜像流量的设备并没有与数据监测设备直连,因此使用远程流镜像的方法实现该需求:
l 在Switch A上配置流镜像,从GigabitEthernet1/0/4端口发送镜像后的数据
l 在Switch A上配置远程源镜像组
l 在Switch B上配置远程目的镜像组,GigabitEthernet1/0/2为镜像目的端口
关于在Switch A上配置流分类来匹配指定流,并通过流行为进行镜像的配置思路,请参见流镜像典型指导部分。
表1-7 配置适用的产品与软硬件版本关系
产品 |
软件版本 |
硬件版本 |
S3610系列以太网交换机 |
Release 5301,Release 5303,Release 5306,Release 5309软件版本 |
全系列硬件版本 |
S5510系列以太网交换机 |
Release 5301,Release 5303,Release 5306,Release 5309软件版本 |
全系列硬件版本 |
S3500-EA系列以太网交换机 |
Release 5303,Release 5309软件版本 |
全系列硬件版本 |
S5120-EI系列以太网交换机 |
Release 2202软件版本 |
全系列硬件版本 |
S5500-SI系列以太网交换机 |
Release 1207软件版本 |
S5500-28C-SI S5500-52C-SI S5500-28C-PWR-SI S5500-52C-PWR-SI |
Release 1301软件版本 |
S5500-20TP-SI |
|
Release 2202软件版本 |
全系列硬件版本 |
|
S5500-EI系列以太网交换机 |
Release 2102,Release 2202软件版本 |
全系列硬件版本 |
S5820X系列以太网交换机 |
Release 1108软件版本 |
全系列硬件版本 |
S5800系列以太网交换机 |
Release 1108软件版本 |
全系列硬件版本 |
S5810系列以太网交换机 |
Release 1102软件版本 |
全系列硬件版本 |
S7500E系列以太网交换机 |
Release 6100系列,Release 6300系列,Release 6600系列软件版本 |
全系列硬件版本 |
(1) Switch A上的配置
l 配置流镜像
# 创建ACL 3000,匹配研发部的上网流量。
<SwitchA> system-view
[SwitchA] acl number 3000
[SwitchA-acl-adv-3000] rule permit tcp destination-port eq 80 source 10.1.1.0 0.0.0.255
[SwitchA-acl-adv-3000] quit
# 创建流分类classifier_research,匹配ACL 3000。
[SwitchA] traffic classifier classifier_research
[SwitchA-classifier-classifier_research] if-match acl 3000
[SwitchA-classifier-classifier_research] quit
# 定义流行为behavior_research,动作为镜像至端口GigabitEthernet 1/0/4。
[SwitchA] traffic behavior behavior_research
[SwitchA-behavior-behavior_research] mirror-to interface GigabitEthernet 1/0/4
[SwitchA-behavior-behavior_research] quit
# 定义策略policy_research,为类classifier_research指定流行为behavior_research。
[SwitchA] qos policy policy_research
[SwitchA-qospolicy-policy_research] classifier classifier_research behavior behavior_
research
[SwitchA-qospolicy-policy_research] quit
# 定义两个非工作时间段,分别为工作日的0:00至8:30和18:00至24:00,并分别命名为“off-work1”和“off-work2”。
[SwitchA] time-range off-work1 0:00 to 8:30 working-day
[SwitchA] time-range off-work2 18:00 to 24:00 working-day
# 创建ACL 3001,通过两条规则来匹配公共服务器在非工作时间段发往Host A主机的数据。
[SwitchA] acl number 3001
[SwitchA-acl-adv-3001] rule permit ip destination 12.1.1.1 0.0.0.0 source 14.1.1.0 0.0.0.255 time-range off-work1
[SwitchA-acl-adv-3001] rule permit ip destination 12.1.1.1 0.0.0.0 source 14.1.1.0 0.0.0.255 time-range off-work2
[SwitchA-acl-adv-3001] quit
# 创建流分类classifier_market,匹配ACL 3001。
[SwitchA] traffic classifier classifier_market
[SwitchA-classifier-classifier_market] if-match acl 3001
[SwitchA-classifier-classifier_market] quit
# 定义流行为behavior_market,动作为镜像至端口GigabitEthernet 1/0/4。
[SwitchA] traffic behavior behavior_market
[SwitchA-behavior-behavior_market] mirror-to interface GigabitEthernet 1/0/4
[SwitchA-behavior-behavior_market] quit
# 定义策略policy_market,为类classifier_market指定流行为behavior_market。
[SwitchA] qos policy policy_market
[SwitchA-qospolicy-policy_market] classifier classifier_market behavior behavior_market
[SwitchA-qospolicy-policy_market] quit
# 将policy_research策略应用到GigabitEthernet1/0/1端口的入方向。
[SwitchA] interface GigabitEthernet 1/0/1
[SwitchA-GigabitEthernet1/0/1] qos apply policy policy_research inbound
[SwitchA-GigabitEthernet1/0/1] quit
# 将policy_market策略应用到GigabitEthernet1/0/2端口的出方向。
[SwitchA] interface GigabitEthernet 1/0/2
[SwitchA-GigabitEthernet1/0/2] qos apply policy policy_market outbound
[SwitchA-GigabitEthernet1/0/2] quit
如果设备不支持在端口出方向应用QoS策略,则可以将policy_market应用到GigabitEthernet1/0/3端口的入方向,实现的效果相同。关于各产品对出方向流镜像的支持,请参见表1-6。
l 使用反射口方式配置远程源镜像组(适用于S3610、S5510、S3500-EA、S5810产品)
# 创建远程源镜像组。
[SwitchA] mirroring-group 1 remote-source
# 将任意未使用的VLAN(此处以新创建VLAN2为例)作为远程镜像VLAN。
[SwitchA] vlan 2
[SwitchA-vlan2] quit
# 将VLAN2配置为远程镜像VLAN,并指定任意未使用的端口作为镜像源端口和镜像反射端口(此处分别以GigabitEthernet1/0/10和GigabitEthernet1/0/11为例)。
[SwitchA] mirroring-group 1 remote-probe vlan 2
[SwitchA] mirroring-group 1 mirroring-port GigabitEthernet 1/0/10 inbound
[SwitchA] mirroring-group 1 reflector-port GigabitEthernet 1/0/11
用户需要指定未使用的端口作为源端口,以避免该端口收发的报文也通过远程镜像组被镜像至目的设备。
# 配置端口GigabitEthernet 1/0/4的端口类型为Trunk端口,允许VLAN 2的报文通过。
[SwitchA] interface GigabitEthernet 1/0/4
[SwitchA-GigabitEthernet1/0/4] port link-type trunk
[SwitchA-GigabitEthernet1/0/4] port trunk permit vlan 2
l 使用出端口方式配置远程源镜像组(适用于S5120-EI、S5500-SI、S5500-EI、S5800、S5820X、S7500E产品)
# 创建远程源镜像组。
[SwitchA] mirroring-group 1 remote-source
# 将任意未使用的VLAN(此处以新创建VLAN2为例)作为远程镜像VLAN。
[SwitchA] vlan 2
[SwitchA-vlan2] quit
[SwitchA] mirroring-group 1 remote-probe vlan 2
# 指定任意未使用的端口作为镜像源端口(此处以GigabitEthernet1/0/10为例),将GigabitEthernet 1/0/4配置为镜像出端口。
[SwitchA] mirroring-group 1 mirroring-port GigabitEthernet 1/0/10 inbound
[SwitchA] mirroring-group 1 monitor-egress GigabitEthernet 1/0/4
用户需要指定未使用的端口作为源端口,以避免该端口收发的报文也通过远程镜像组被镜像至目的设备。
# 配置端口GigabitEthernet 1/0/4的端口类型为Trunk端口,允许VLAN 2的报文通过。
[SwitchC] interface GigabitEthernet 1/0/4
[SwitchC-GigabitEthernet1/0/4] port link-type trunk
[SwitchC-GigabitEthernet1/0/4] port trunk permit vlan 2
(2) Switch B上的配置
# 配置端口GigabitEthernet 1/0/1端口类型为Trunk端口,允许VLAN 2的报文通过。
<SwitchB> system-view
[SwitchB] interface GigabitEthernet 1/0/1
[SwitchB-GigabitEthernet1/0/1] port link-type trunk
[SwitchB-GigabitEthernet1/0/1] port trunk permit vlan 2
[SwitchB-GigabitEthernet1/0/1] quit
# 创建远程目的镜像组。
[SwitchB] mirroring-group 1 remote-destination
# 配置与Switch A相同的远程镜像VLAN。
[SwitchB] vlan 2
[SwitchB-vlan2] quit
[SwitchB] mirroring-group 1 remote-probe vlan 2
# 将GigabitEthernet1/0/2配置为远程目的镜像组的目的端口。
[SwitchB] mirroring-group 1 monitor-port GigabitEthernet 1/0/2
# 将镜像目的端口加入远程镜像VLAN。将镜像数据发送给监测设备时,不需要携带远程镜像VLAN的VLAN Tag,因此将该端口配置为Access端口。
[SwitchB] interface GigabitEthernet 1/0/2
[SwitchB-GigabitEthernet1/0/2] port access vlan 2
此处完整配置以使用出端口方式配置远程源镜像组为例。
l Switch A的完整配置
#
mirroring-group 1 remote-source
mirroring-group 1 remote-probe vlan 2
#
time-range off-work1 00:00 to 08:30 working-day
time-range off-work2 18:00 to 24:00 working-day
#
acl number 3000
rule 0 permit tcp source 10.1.1.0 0.0.0.255 destination-port eq www
acl number 3001
rule 0 permit ip source 14.1.1.0 0.0.0.255 destination 12.1.1.1 0 time-range off-work1
rule 5 permit ip source 14.1.1.0 0.0.0.255 destination 12.1.1.1 0 time-range off-work2
#
vlan 2
#
traffic classifier classifier_research operator and
if-match acl 3000
traffic classifier classifier_market operator and
if-match acl 3001
#
traffic behavior behavior_research
mirror-to interface GigabitEthernet1/0/4
traffic behavior behavior_market
mirror-to interface GigabitEthernet1/0/4
#
qos policy policy_market
classifier classifier_market behavior behavior_market
qos policy policy_research
classifier classifier_research behavior behavior_research
#
interface GigabitEthernet1/0/1
qos apply policy policy_research inbound
#
interface GigabitEthernet1/0/2
qos apply policy policy_market outbound
#
interface GigabitEthernet1/0/4
port link-type trunk
port trunk permit vlan 1 to 2
mirroring-group 1 monitor-egress
#
interface GigabitEthernet1/0/10
mirroring-group 1 mirroring-port inbound
l Switch B的完整配置
#
mirroring-group 1 remote-destination
mirroring-group 1 remote-probe vlan 2
#
vlan 2
interface GigabitEthernet1/0/1
port link-type trunk
port trunk permit vlan 1 to 2
#
interface GigabitEthernet1/0/2
port access vlan 2
mirroring-group 1 monitor-port
l 远程流镜像功能是通过流镜像和二层远程端口镜像配合使用来实现的,相关的配置注意事项请参见1.2 、1.3 和1.5 小节中相应的配置注意事项部分。
某公司内部各部门使用不同网段的IP地址,其中研发部使用10.1.1.1/24网段,市场部使用12.1.1.0/24网段,公共服务器使用14.1.1.0/24网段。组网形式如图1-10所示。
网络管理员希望通过数据监测设备对网络中的流量进行监测,有以下详细需求:
l 通过Switch A上连接的监测设备收集公共服务器群发给各客户端的所有数据,由于文件服务器提供的服务数据较多,因此仅在工作日的非工作时间进行监测(工作时间为8:30至18:00)。
l 通过Switch A上连接的监测设备收集市场部主机上网时发送的数据,但对于经理办公室的主机发送的内容不作收集。
l 通过Switch B上连接的数据监测设备监控由研发部工作站向外发送的所有报文,对于研发对外服务器发送的报文,仅在工作日的非工作时间进行监测。
在本例中,镜像的需求是对某一区域内全部数据中的少量数据不进行镜像,而对其它数据都进行镜像。如果单独使用端口镜像功能,无法实现该需求;如果使用上文中介绍的流镜像配置方式,为了过滤同一类数据源中特定源的数据,需要为其余每个数据源都单独配置流分类匹配规则,配置工作量大,且不能适应网络的变化。
因此,我们可以使用镜像和包过滤功能进行配合,或者通过QoS策略的配置技巧,使特定源的数据不作镜像或是不输出到数据监测设备。目前可以采取以下三种方式来进行配置:
l 对特定源数据首先采用filter permit动作,并先于镜像动作下发,使特定源数据不作镜像。
l 在镜像数据的出端口采用filter deny动作的QoS策略,过滤掉特定源数据,使其不被监测设备接收。
l 在镜像数据的出端口上使用packet-filter命令,过滤掉特定源数据,使其不被监测设备接收。
在本例中,可以在Switch A和Switch B上分别采用三种方式进行如下配置,来实现组网需求:
l 在Switch A上配置流镜像,对GigabitEthernet1/0/4端口上接收到的由公共服务器网段发送的所有报文进行镜像,目的端口为GigabitEthernet1/0/3端口;同时在GigabitEthernet1/0/3端口的出方向配置QoS策略,在工作时间对于源地址为14.1.10的报文采取filter deny的动作进行过滤。
l 在Switch A上配置流镜像,对GigabitEthernet1/0/2端口接收到的市场部上网数据进行镜像,并针对源地址为12.1.1.100的上网数据配置filter permit动作,使其先于镜像动作下发,从而使来自该地址的上网数据不再执行镜像动作。
l 在Switch B上配置本地端口镜像,将GigabitEthernet1/0/1端口接收的所有数据都镜像至GigabitEthernet1/0/2端口,而在GigabitEthernet1/0/2端口,利用packet-filter功能过滤掉研发对外服务器在工作时间发送的报文。
l 支持fiter permit动作的产品和版本
表1-8 支持fiter permit动作的的产品与软硬件版本关系
产品 |
软件版本 |
硬件版本 |
S3610系列以太网交换机 |
Release 5301,Release 5303,Release 5306,Release 5309软件版本 |
全系列硬件版本 |
S5510系列以太网交换机 |
Release 5301,Release 5303,Release 5306,Release 5309软件版本 |
全系列硬件版本 |
S3500-EA系列以太网交换机 |
Release 5303,Release 5309软件版本 |
全系列硬件版本 |
S5120-SI系列以太网交换机 |
Release 1101软件版本 |
全系列硬件版本 |
S5120-EI系列以太网交换机 |
Release 2202软件版本 |
全系列硬件版本 |
S5500-SI系列以太网交换机 |
Release 1207软件版本 |
S5500-28C-SI S5500-52C-SI S5500-28C-PWR-SI S5500-52C-PWR-SI |
Release 1301软件版本 |
S5500-20TP-SI |
|
Release 2202软件版本 |
全系列硬件版本 |
|
S5500-EI系列以太网交换机 |
Release 2102,Release 2202软件版本 |
全系列硬件版本 |
S5820X系列以太网交换机 |
Release 1108软件版本 |
全系列硬件版本 |
S5800系列以太网交换机 |
Release 1108软件版本 |
全系列硬件版本 |
S5810系列以太网交换机 |
Release 1102软件版本 |
全系列硬件版本 |
S7500E系列以太网交换机 |
Release 6100系列,Release 6300系列,Release 6600系列软件版本 |
全系列硬件版本 |
l 支持在出方向应用filter deny动作的产品和版本
表1-9 支持在出方向应用filter deny动作的产品和版本
产品 |
软件版本 |
硬件版本 |
S5500-EI系列以太网交换机 |
Release 2102,Release 2202软件版本 |
全系列硬件版本 |
S5820X系列以太网交换机 |
Release 1108软件版本 |
全系列硬件版本 |
S5800系列以太网交换机 |
Release 1108软件版本 |
全系列硬件版本 |
S7500E系列以太网交换机 |
Release 6100系列,Release 6300系列,Release 6600系列软件版本 |
全系列硬件版本 |
l 支持packet-filter功能的产品和版本
表1-10 支持packet-filter功能的产品与软硬件版本关系
产品 |
软件版本 |
硬件版本 |
S5820X系列以太网交换机 |
Release 1108软件版本 |
全系列硬件版本 |
S5800系列以太网交换机 |
Release 1108软件版本 |
全系列硬件版本 |
(1) 配置Switch A对于公共服务器发送的数据进行镜像
l 创建并应用对公共服务器发送的所有数据进行镜像的QoS策略
# 创建ACL 2000,匹配公共服务器网段(14.1.1.0/24)发送的所有数据。
<SwitchA> system-view
[SwitchA] acl number 2000
[SwitchA-acl-basic-2000] rule permit source 14.1.1.0 0.0.0.255
[SwitchA-acl-basic-2000] quit
# 创建流分类classifier_servers匹配ACL 2000。
[SwitchA] traffic classifier classifier_servers
[SwitchA-classifier-classifier_servers] if-match acl 2000
[SwitchA-classifier-classifier_servers] quit
# 定义流行为behavior_servers,动作为镜像至端口GigabitEthernet 1/0/3。
[SwitchA] traffic behavior behavior_servers
[SwitchA-behavior-behavior_servers] mirror-to interface GigabitEthernet 1/0/3
[SwitchA-behavior-behavior_servers] quit
# 定义策略policy_servers,为类classifier_servers指定流行为behavior_servers。
[SwitchA] qos policy policy_servers
[SwitchA-qospolicy-policy_servers] classifier classifier_servers behavior behavior_servers
[SwitchA-qospolicy-policy_servers] quit
# 将策略policy_servers应用到GigabitEthernet 1/0/4端口的入方向
[SwitchA] interface GigabitEthernet 1/0/4
[SwitchA-GigabitEthernet1/0/4] qos apply policy policy_servers inbound
[SwitchA-GigabitEthernet1/0/4] quit
l 通过QoS策略过滤文件服务器在工作时间发送的数据
# 定义一个ACL生效时间段,为工作日的8:30至18:00,并命名为“work-time”。
[SwitchA] time-range work-time 8:30 to 18:00 working-day
# 创建ACL 2001,创建规则来匹配文件服务器(14.1.1.10)在工作时间段发送的数据。
[SwitchA] acl number 2001
[SwitchA-acl-basic-2001] rule permit source 14.1.1.10 0.0.0.0 time-range work-time
[SwitchA-acl-basic-2001] quit
# 创建流分类classifier_fileserver,匹配ACL 2001。
[SwitchA] traffic classifier classifier_fileserver
[SwitchA-classifier-classifier_fileserver] if-match acl 2001
[SwitchA-classifier-classifier_fileserver] quit
# 定义流行为behavior_fileserver,动作为拒绝通过。
[SwitchA] traffic behavior behavior_fileserver
[SwitchA-behavior-behavior_fileserver] filter deny
[SwitchA-behavior-behavior_fileserver] quit
# 定义策略policy_fileserver,为类classifier_fileserver指定流行为behavior_fileserver。
[SwitchA] qos policy policy_fileserver
[SwitchA-qospolicy-policy_fileserver] classifier classifier_fileserver behavior behavior_
fileserver
[SwitchA-qospolicy-policy_fileserver] quit
# 将策略policy_fileserver应用到GigabitEthernet 1/0/3端口的出方向
[SwitchA] interface GigabitEthernet 1/0/3
[SwitchA-GigabitEthernet1/0/3] qos apply policy policy_servers outbound
[SwitchA-GigabitEthernet1/0/3] quit
(2) 配置Switch A对市场部的上网报文进行镜像
l 创建对市场部所有上网报文进行镜像的流分类和流行为
# 创建ACL 3000,匹配市场部所在网段(12.1.1.0/24)的上网流量。
[SwitchA] acl number 3000
[SwitchA-acl-adv-3000] rule permit tcp destination-port eq 80 source 12.1.1.0 0.0.0.255
[SwitchA-acl-adv-3000] quit
# 创建流分类classifier_market,匹配ACL 3000。
[SwitchA] traffic classifier classifier_market
[SwitchA-classifier-classifier_market] if-match acl 3000
[SwitchA-classifier-classifier_market] quit
# 定义流行为behavior_market,动作为镜像至端口GigabitEthernet 1/0/3。
[SwitchA] traffic behavior behavior_market
[SwitchA-behavior-behavior_market] mirror-to interface GigabitEthernet 1/0/3
[SwitchA-behavior-behavior_market] quit
l 创建对市场部经理办公室主机的上网报文采取允许通过动作的流分类和流行为
# 创建ACL 3001,匹配市场部经理办公室的主机(12.1.1.100)的上网流量。
[SwitchA] acl number 3001
[SwitchA-acl-adv-3001] rule permit tcp destination-port eq 80 source 12.1.1.100 0.0.0.0
[SwitchA-acl-adv-3001] quit
# 创建流分类classifier_market_mgr,匹配ACL 3001。
[SwitchA] traffic classifier classifier_market_mgr
[SwitchA-classifier-classifier_market_mgr] if-match acl 3001
[SwitchA-classifier-classifier_market_mgr] quit
# 定义流行为behavior_market_mgr,动作为允许通过。
[SwitchA] traffic behavior behavior_market_mgr
[SwitchA-behavior-behavior_market_mgr] filter permit
[SwitchA-behavior-behavior_market_mgr] quit
l 创建QoS策略,将两组流分类和流行为分别进行关联
# 定义策略policy_market。
[SwitchA] qos policy policy_market
# 首先将为经理办公室主机配置的流分类和流行为进行关联。
[SwitchA-qospolicy-policy_market] classifier classifier_market_mgr behavior behavior_
market_mgr
# 然后将对市场部上网报文进行镜像的流分类和流行为进行关联。
[SwitchA-qospolicy-policy_market] classifier classifier_market behavior behavior_market
# 显示当前策略下的流分类和流行为下发顺序。
[SwitchA-qospolicy-policy_market] display this
#
qos policy policy_market
classifier classifier_market_mgr behavior behavior_market_mgr
classifier classifier_market behavior behavior_market
#
return
[SwitchA-qospolicy-policy_market] quit
可以看到,对于经理办公室主机的流分类和流行为会先下发,因此该主机发送的上网报文将不会再执行镜像动作。
l 应用QoS策略
# 将策略policy_market应用到GigabitEthernet1/0/2端口的入方向
[SwitchA] interface GigabitEthernet 1/0/2
[SwitchA-GigabitEthernet1/0/2] qos apply policy policy_market inbound
(3) 配置Switch B对研发部发送的数据进行镜像
l 在Switch B上配置本地镜像
# 创建本地镜像组。
<SwitchB> system-view
[SwitchB] mirroring-group 1 local
# 将GigabitEthernet1/0/1配置为镜像源端口,对这个端口接收的报文进行镜像。
[SwitchB] mirroring-group 1 mirroring-port GigabitEthernet 1/0/1 inbound
# 将GigabitEthernet1/0/2配置为镜像目的端口。
[SwitchB] mirroring-group 1 monitor-port GigabitEthernet 1/0/2
l 通过packet-filter功能过滤研发对外服务器在工作时间发送的数据
# 定义一个ACL生效时间段,为工作日的8:30至18:00,并命名为“work-time”。
[SwitchB] time-range work-time 8:30 to 18:00 working-day
# 创建ACL 2000,创建规则来匹配研发对外服务器(10.1.1.1)在工作时间段发送的数据。
[SwitchB] acl number 2000
[SwitchB-acl-basic-2000] rule permit source 10.1.1.1 0.0.0.0 time-range work-time
[SwitchB-acl-basic-2000] quit
# 在GigabitEthernet1/0/2的出方向使用packet-filter功能,对匹配ACL 2000的报文进行过滤。
[SwitchB] interface GigabitEthernet1/0/2
[SwitchB-GigabitEthernet1/0/2] packet-filter 2000 outbound
l Switch A的完整配置
#
time-range work-time 08:30 to 18:00 working-day
#
acl number 2000
rule 0 permit source 14.1.1.0 0.0.0.255
acl number 2001
rule 0 permit source 14.1.1.10 0 time-range work-time
#
acl number 3000
rule 0 permit tcp source 12.1.1.0 0.0.0.255 destination-port eq www
acl number 3001
rule 0 permit tcp source 12.1.1.100 0 destination-port eq www
#
traffic classifier classifier_servers operator and
if-match acl 2000
traffic classifier classifier_fileserver operator and
if-match acl 2001
traffic classifier classifier_market operator and
if-match acl 3000
traffic classifier classifier_market_mgr operator and
if-match acl 3001
#
traffic behavior behavior_servers
mirror-to interface GigabitEthernet1/0/3
traffic behavior behavior_fileserver
filter deny
traffic behavior behavior_market
mirror-to interface GigabitEthernet1/0/3
traffic behavior behavior_market_mgr
filter permit
#
qos policy policy_fileserver
classifier classifier_fileserver behavior behavior_fileserver
qos policy policy_market
classifier classifier_market_mgr behavior behavior_market_mgr
classifier classifier_market behavior behavior_market
qos policy policy_servers
classifier classifier_servers behavior behavior_servers
#
interface GigabitEthernet1/0/2
qos apply policy policy_market inbound
#
interface GigabitEthernet1/0/3
qos apply policy policy_servers outbound
#
interface GigabitEthernet1/0/4
qos apply policy policy_servers inbound
l Switch B的完整配置
#
mirroring-group 1 local
#
time-range work-time 08:30 to 18:00 working-day
#
acl number 2000
rule 0permit source 10.1.1.1 0 time-range work-time
#
interface GigabitEthernet1/0/1
mirroring-group 1 mirroring-port inbound
#
interface GigabitEthernet1/0/2
packet-filter 2000 outbound
mirroring-group 1 monitor-port
无
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!