- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
28-镜像操作
本章节下载 (438.23 KB)
镜像一般是将符合指定规则的报文复制到镜像目的端口。一般镜像目的端口会接入数据检测设备,用户利用这些设备对镜像过来的报文进行分析,进行网络监控和故障排除等。
流镜像就是将匹配ACL规则的业务流复制到指定的目的端口,用于报文分析和监视。在配置流镜像前用户需要先定义符合需求的ACL规则,设备会引用这些ACL规则进行流识别。
端口镜像,即将指定端口接收或者发送的报文复制到镜像目的端口。
RSPAN(Remote Switched Port Analyzer,远程交换端口分析),即远程端口镜像,突破了被镜像端口和镜像端口必须在同一台交换机上的限制,使被镜像端口和镜像端口可以跨越网络中的多个设备,从而方便网管人员对远程交换机设备进行管理。
RSPAN的应用示意图如下所示。
实现了RSPAN功能的交换机分为三种:
l 源交换机:被监测的端口所在的交换机,负责将需要镜像的流量在Remote-probe VLAN上做二层转发,转发给中间交换机或目的交换机。
l 中间交换机:网络中处于源交换机和目的交换机之间的交换机,通过Remote-probe VLAN把镜像流量传输给下一个中间交换机或目的交换机。如果源交换机与目的交换机直接相连,则不存在中间交换机。
l 目的交换机:远程镜像目的端口所在的交换机,将从Remote-probe VLAN接收到的镜像流量通过镜像目的端口转发给监控设备。
各个交换机上参与镜像的端口如表1-1所示。
|
交换机 |
参与镜像的端口 |
作用 |
|
源交换机 |
源端口(Source Port) |
被监测的用户端口,通过本地端口镜像把用户数据报文复制到指定的反射端口(Reflector port),源端口可以有多个 |
|
反射端口(Reflector port) |
接收本地端口镜像的用户数据报文 |
|
|
Trunk端口 |
将镜像报文发送到中间交换机或者目的交换机 |
|
|
中间交换机 |
Trunk端口 |
将镜像报文发送到目的交换机 中间交换机上要配置两个Trunk端口,和两侧的设备相连 |
|
目的交换机 |
Trunk端口 |
接收远程镜像报文 |
|
镜像目的端口(Destination port) |
远程镜像报文的监控端口 |
为了实现远程端口镜像功能,需要定义一个特殊的VLAN,称之为Remote-probe VLAN。所有被镜像的报文通过该VLAN从源交换机传递到目的交换机的镜像端口,实现在目的交换机上对源交换机的远程端口的报文进行监控的功能。Remote-probe VLAN具有以下特点:
l 建议将该VLAN中的设备互连端口都配置为Trunk端口;
l 不能将缺省VLAN、管理VLAN设置成Remote-probe vlan;
l 需要通过配置保证Remote-probe VLAN从源交换机到目的交换机的二层互通性。
注意:
建议用户不要在Remote-probe VLAN上进行以下操作,否则可能影响报文镜像效果:
l 将镜像源端口配置到本镜像组所使用的Remote-probe VLAN中;
l 配置Remote-probe VLAN的三层接口;
l 运行其他协议报文,承载其他的业务报文;
l 将Remote-probe VLAN用作其他特殊类型的VLAN,如voice VLAN、协议VLAN;
l 配置其他与VLAN相关的功能。
表1-2 S3600-EI系列交换机支持的镜像功能及相关命令
|
功能 |
规格 |
相关命令 |
详细配置 |
|
镜像 |
支持流镜像 |
monitor-port mirrored-to |
|
|
支持端口镜像 |
mirroring-group mirroring-group mirroring-port mirroring-group monitor-port monitor-port mirroring-port |
||
|
支持远程端口镜像 |
mirroring-group mirroring-group mirroring-port mirroring-group reflector-port mirroring-group remote-probe vlan remote-probe vlan enable |
表1-3 S3600-SI系列交换机支持的镜像功能及相关命令
|
功能 |
规格 |
相关命令 |
详细配置 |
|
镜像 |
支持流镜像 |
monitor-port mirrored-to |
|
|
支持端口镜像 |
monitor-port mirroring-port |
l 定义了进行流识别的ACL。关于定义ACL的描述请参见本手册“ACL”模块的描述
l 确定了镜像目的端口
l 确定需要进行流镜像配置的端口和被镜像流的方向
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入镜像目的端口的以太网端口视图 |
interface interface-type interface-number |
- |
|
定义当前端口为镜像目的端口 |
monitor-port |
必选 镜像目的端口上不能使能LACP及STP |
|
退出当前视图 |
quit |
- |
|
进入进行流镜像配置的以太网端口视图 |
interface interface-type interface-number |
- |
|
引用ACL进行流识别,对匹配的报文进行流镜像 |
mirrored-to { inbound | outbound } acl-rule { monitor-interface | cpu } |
必选 |
|
显示流量镜像的参数设置 |
display qos-interface { interface-type interface-number | unit-id } mirrored-to |
可选 display命令可以在任意视图下执行 |
|
显示端口的所有QoS设置信息 |
display qos-interface { interface-type interface-number | unit-id } all |
acl-rule:下发的ACL,可以是多种ACL的组合。组合方式说明如下。
|
组合方式 |
acl-rule的形式 |
|
单独下发一个IP型ACL(包括基本ACL与高级ACL)中所有子规则 |
ip-group acl-number |
|
单独下发一个IP型ACL中一条子规则 |
ip-group acl-number rule rule-id |
|
单独下发一个二层ACL中所有子规则 |
link-group acl-number |
|
单独下发一个二层ACL中一条子规则 |
link-group acl-number rule rule-id |
|
单独下发一个用户自定义ACL中所有子规则 |
user-group acl-number |
|
单独下发一个用户自定义ACL中一条子规则 |
user-group acl-number rule rule-id |
|
同时下发IP型ACL中一条子规则和二层型ACL的一条子规则 |
ip-group acl-number rule rule-id link-group acl-number rule rule-id |
组网需求:
l 交换机的GigabitEthernet 1/1/1接入了10.1.1.1/24网段
l 镜像来自10.1.1.1/24网段的报文到镜像目的端口GigabitEthernet 1/1/4
配置步骤:
<H3C> system-view
[H3C] acl number 2000
[H3C-acl-basic-2000] rule permit source 10.1.1.1 0.0.0.255
[H3C-acl-basic-2000] rule deny source any
[H3C-acl-basic-2000] quit
[H3C] interface gigabitEthernet 1/1/4
[H3C-GigabitEthernet1/1/4] monitor-port
[H3C-GigabitEthernet1/1/4] quit
[H3C] interface gigabitEthernet 1/1/1
[H3C-GigabitEthernet1/1/1] mirrored-to inbound ip-group 2000 monitor-interface
l 确定了镜像源端口,确定了被镜像报文的方向:inbound表示仅对端口接收的报文进行镜像,outbound表示仅对端口发送的报文进行镜像,both表示同时对端口接收和发送的报文进行镜像
l 确定了镜像目的端口
l 确定了镜像组的组号
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
创建端口镜像组 |
mirroring-group group-id local |
必选 |
|
进入镜像目的端口的以太网端口视图 |
interface interface-type interface-number |
- |
|
定义当前端口为镜像目的端口 |
monitor-port |
必选 镜像目的端口上不能使能LACP及STP |
|
退出当前视图 |
quit |
- |
|
进入镜像源端口的以太网端口视图 |
interface interface-type interface-number |
- |
|
配置镜像源端口,同时指定被镜像报文的方向 |
mirroring-port { inbound | outbound | both } |
必选 |
|
显示镜像的参数设置 |
display mirroring-group { all | local } |
可选 display命令可以在任意视图下执行 |
& 说明:
若不创建镜像组而直接在以太网端口下指定镜像目的端口和镜像源端口,则设备自动创建镜像组1。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
创建端口镜像组 |
mirroring-group group-id local |
必选 |
|
进入镜像目的端口的以太网端口视图 |
interface interface-type interface-number |
- |
|
定义当前端口为镜像目的端口 |
mirroring-group group-id monitor-port |
必选 镜像目的端口上不能使能LACP及STP |
|
退出当前视图 |
quit |
- |
|
进入镜像源端口的以太网端口视图 |
interface interface-type interface-number |
- |
|
配置镜像源端口,同时指定被镜像报文的方向 |
mirroring-group group-id mirroring-port { both | inbound | outbound } |
必选 |
|
显示镜像的参数设置 |
display mirroring-group { all | local } |
可选 display命令可以在任意视图下执行 |
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
创建端口镜像组 |
mirroring-group group-id local |
必选 |
|
配置镜像目的端口 |
mirroring-group group-id monitor-port monitor-port |
必选 镜像目的端口上不能使能LACP及STP |
|
配置镜像源端口,同时指定被镜像报文的方向 |
mirroring-group group-id mirroring-port mirroring-port-list { both | inbound | outbound } |
必选 |
|
显示镜像的参数设置 |
display mirroring-group { all | local } |
可选 display命令可以在任意视图下执行 |
& 说明:
l 表1-6列出的配置没有指定镜像组,只能在以太网端口视图下为镜像组1添加镜像配置;
l 表1-7列出的配置可以在以太网端口视图下为任何已定义的镜像组添加镜像配置;
l 表1-8列出了系统视图下的配置,所以在配置步骤中必须指定镜像组编号与端口编号。
l 镜像源端口为GigabitEthernet 1/1/1,对端口接收和发送的报文都进行镜像
l 镜像目的端口为GigabitEthernet 1/1/4
配置1:
<H3C> system-view
[H3C] mirroring-group 1 local
[H3C] interface gigabitEthernet 1/1/4
[H3C-GigabitEthernet1/1/4] monitor-port
[H3C-GigabitEthernet1/1/4] quit
[H3C] interface gigabitEthernet 1/1/1
[H3C-GigabitEthernet1/1/1] mirroring-port both
配置2:
<H3C> system-view
[H3C] mirroring-group 1 local
[H3C] interface GigabitEthernet 1/1/4
[H3C-GigabitEthernet1/1/4] mirroring-group 1 monitor-port
[H3C-GigabitEthernet1/1/4] quit
[H3C] interface GigabitEthernet 1/1/1
[H3C-GigabitEthernet1/1/1] mirroring-group 1 mirroring-port both
配置3:
<H3C> system-view
[H3C] mirroring-group 1 local
[H3C] mirroring-group 1 monitor-port GigabitEthernet 1/1/4
[H3C] mirroring-group 1 mirroring-port GigabitEthernet 1/1/1 both
l 确定了源交换机、中间交换机、目的交换机
l 确定了镜像源端口、反射端口、镜像目的端口、Remote-probe VLAN
l 通过配置保证了Remote-probe VLAN内从源交换机到目的交换机的二层互通性
l 确定了被监控报文的方向
l 启动了Remote-probe VLAN
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
创建并进入VLAN视图 |
vlan vlan-id |
vlan-id为目标Remote-probe VLAN的ID |
|
定义当前VLAN为Remote-probe VLAN |
remote-probe vlan enable |
必选 |
|
退出当前视图 |
quit |
- |
|
进入与中间交换机或目的交换机相连的端口视图 |
interface interface-type interface-number |
- |
|
配置当前端口类型为Trunk |
port link-type trunk |
必选 缺省情况下,端口类型为Access |
|
配置Trunk端口允许Remote-probe VLAN的报文通过 |
port trunk permit vlan remote-probe-vlan-id |
必选 源交换机上与中间交换机或目的交换机相连的端口必须添加该配置 |
|
退出当前视图 |
quit |
- |
|
配置远程源镜像组 |
mirroring-group group-id remote-source |
必选 |
|
配置远程镜像源端口 |
mirroring-group group-id mirroring-port mirroring-port-list { both | inbound | outbound } |
必选 |
|
配置远程反射端口 |
mirroring-group group-id reflector-port reflector-port |
必选 远程镜像反射端口上不能使能LACP及STP,并且必须是Access端口 当端口被配置为反射端口后,交换机不允许用户改变该端口的端口类型和缺省VLAN ID,也不能把反射端口加到其它VLAN中 |
|
配置远程源镜像组的Remote-probe VLAN |
mirroring-group group-id remote-probe vlan remote-probe-vlan-id |
必选 |
|
显示远程源镜像组配置 |
display mirroring-group remote-source |
可选 display命令可以在任意视图下执行 |
& 说明:
l 反射端口无法作为正常的端口转发流量,所以建议用户将没有使用的处于DOWN状态的端口配置为反射端口,且不要在该端口上添加其它配置。
l 用户在一个属于某VLAN的端口上配置mac-address max-mac-count 0命令,建议用户不要把该VLAN配置成Remote-probe VLAN,否则远程镜像可能会失效。
l 不要在与中间交换机或目的交换机相连的端口上配置镜像源端口,否则可能引起网络内的流量混乱。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
创建Remote-probe VLAN,并进入VLAN视图 |
vlan vlan-id |
vlan-id为Remote-probe VLAN的ID |
|
定义当前VLAN为Remote-probe VLAN |
remote-probe vlan enable |
必选 |
|
退出当前视图 |
quit |
- |
|
进入与源交换机或、目的交换机或其他中间交换机相连的端口视图 |
interface interface-type interface-number |
- |
|
配置当前端口类型为Trunk |
port link-type trunk |
必选 缺省情况下,端口类型为Access |
|
配置Trunk端口允许Remote-probe VLAN的报文通过 |
port trunk permit vlan remote-probe-vlan-id |
必选 中间交换机上与源交换机、目的交换机或其他中间交换机相连的端口都要进行本配置 |
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
创建Remote-probe VLAN,并进入VLAN视图 |
vlan vlan-id |
vlan-id为Remote-probe VLAN的ID |
|
定义当前VLAN为Remote-probe VLAN |
remote-probe vlan enable |
必选 |
|
退出当前视图 |
quit |
- |
|
进入与源交换机或中间交换机相连的端口视图 |
interface interface-type interface-number |
- |
|
配置当前端口类型为Trunk |
port link-type trunk |
必选 缺省情况下,端口类型为Access |
|
配置Trunk端口允许Remote-probe VLAN的报文通过 |
port trunk permit vlan remote-probe-vlan-id |
必选 目的交换机上与源交换机或中间交换机相连的端口都要进行本配置 |
|
退出当前视图 |
quit |
- |
|
配置远程目的镜像组 |
mirroring-group group-id remote-destination |
必选 |
|
配置远程镜像目的端口 |
mirroring-group group-id monitor-port monitor-port |
必选 远程镜像目的端口上不能使能LACP及STP,且必须是Access端口 当端口被配置为远程镜像目的端口后,交换机不允许用户改变该端口的端口类型和缺省VLAN ID |
|
配置远程目的镜像组的Remote-probe VLAN |
mirroring-group group-id remote-probe vlan remote-probe-vlan-id |
必选 |
|
显示远程目的镜像组配置 |
display mirroring-group remote-destination |
可选 display命令可以在任意视图下执行 |
& 说明:
用户在一个属于某VLAN的端口上配置mac-address max-mac-count 0命令,建议用户不要把该VLAN配置成Remote-probe VLAN,否则远程镜像可能会失效。
组网需求:
l Switch A通过GigabitEthernet 1/1/2和数据检测设备相连
l Switch A的Trunk端口GigabitEthernet 1/1/1和Switch B的Trunk端口GigabitEthernet 1/1/1相连
l Switch B的Trunk端口GigabitEthernet 1/1/2和Switch C的Trunk端口GigabitEthernet 1/1/1相连
l Switch C的端口GigabitEthernet 1/1/2和PC1相连
需求为通过数据检测设备对PC1发送的报文进行监控和分析。
使用RSPAN功能实现该需求,进行如下配置。
l 定义VLAN 10为Remote-probe VLAN
l Switch A为目的交换机,连接数据监控设备的端口GigabitEthernet 1/1/2为镜像目的端口。GigabitEthernet 1/1/2必须为Access端口,并且不能使能STP及LACP。
l Switch B为中间交换机
l Switch C为源交换机,GigabitEthernet 1/1/2为镜像源端口,定义GigabitEthernet 1/1/3为反射端口。GigabitEthernet 1/1/3必须为Access端口,并且不能使能STP及LACP。
组网图:
配置步骤:
# Switch C的配置
<H3C> system-view
[H3C] vlan 10
[H3C-vlan10] remote-probe vlan enable
[H3C-vlan10] quit
[H3C] interface GigabitEthernet 1/1/1
[H3C-GigabitEthernet1/1/1] port link-type trunk
[H3C-GigabitEthernet1/1/1] port trunk permit vlan 10
[H3C-GigabitEthernet1/1/1] quit
[H3C] mirroring-group 1 remote-source
[H3C] mirroring-group 1 mirroring-port GigabitEthernet 1/1/2 inbound
[H3C] mirroring-group 1 reflector-port GigabitEthernet 1/1/3
[H3C] mirroring-group 1 remote-probe vlan 10
[H3C] display mirroring-group remote-source
mirroring-group 1:
type: remote-source
status: active
mirroring port:
GigabitEthernet1/1/2 outbound
reflector port: GigabitEthernet1/1/3
remote-probe vlan: 10
# Switch B的配置
<H3C> system-view
[H3C] vlan 10
[H3C-vlan10] remote-probe vlan enable
[H3C-vlan10] quit
[H3C] interface GigabitEthernet 1/1/1
[H3C-GigabitEthernet1/1/1] port link-type trunk
[H3C-GigabitEthernet1/1/1] port trunk permit vlan 10
[H3C-GigabitEthernet1/1/1] quit
[H3C] interface GigabitEthernet 1/1/2
[H3C-GigabitEthernet1/1/2] port link-type trunk
[H3C-GigabitEthernet1/1/2] port trunk permit vlan 10
# Switch A的配置
<H3C> system-view
[H3C] vlan 10
[H3C-vlan10] remote-probe vlan enable
[H3C-vlan10] quit
[H3C] interface GigabitEthernet 1/1/1
[H3C-GigabitEthernet1/1/1] port link-type trunk
[H3C-GigabitEthernet1/1/1] port trunk permit vlan 10
[H3C-GigabitEthernet1/1/1] quit
[H3C] mirroring-group 1 remote-destination
[H3C] mirroring-group 1 monitor-port GigabitEthernet 1/1/2
[H3C] mirroring-group 1 remote-probe vlan 10
[H3C] display mirroring-group remote-destination
mirroring-group 1:
type: remote-destination
status: active
monitor port: GigabitEthernet1/1/2
remote-probe vlan: 10
在完成上述配置后,在任意视图下执行display命令都可以显示配置后镜像功能的运行情况。用户可以通过查看显示信息验证配置的效果。
|
操作 |
命令 |
|
显示镜像组的参数设置 |
display mirroring-group { group-id | all | local | remote-destination | remote-source } |
|
显示流镜像的参数设置 |
display qos-interface { interface-type interface-number | unit-id } mirrored-to |
S3600-SI流镜像配置与S3600-EI流镜像配置相同,请参见1.3.1 配置流镜像。
l 确定了镜像源端口,确定了被镜像报文的方向:inbound表示仅对端口接收的报文进行镜像,outbound表示仅对端口发送的报文进行镜像,both表示同时对端口接收和发送的报文进行镜像
l 确定了镜像目的端口
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入镜像目的端口的以太网端口视图 |
interface interface-type interface-number |
- |
|
定义当前端口为镜像目的端口 |
monitor-port |
必选 镜像目的端口上不能使能LACP及STP |
|
退出当前视图 |
quit |
- |
|
进入镜像源端口的以太网端口视图 |
interface interface-type interface-number |
- |
|
配置镜像源端口,同时指定被镜像报文的方向 |
mirroring-port { inbound | outbound | both } |
必选 |
|
显示镜像的参数设置 |
display mirror |
可选 display命令可以在任意视图下执行 |
l 镜像源端口为GigabitEthernet 1/1/1,对端口接收和发送的报文都进行镜像
l 镜像目的端口为GigabitEthernet 1/1/4
配置步骤:
<H3C> system-view
[H3C] interface gigabitEthernet 1/1/4
[H3C-GigabitEthernet1/1/4] monitor-port
[H3C-GigabitEthernet1/1/4] quit
[H3C] interface gigabitEthernet 1/1/1
[H3C-GigabitEthernet1/1/1] mirroring-port both
在完成上述配置后,在任意视图下执行display命令都可以显示配置后镜像功能的运行情况。用户可以通过查看显示信息验证配置的效果。
|
操作 |
命令 |
|
显示端口镜像的参数设置 |
display mirror |
|
显示流镜像的参数设置 |
display qos-interface { interface-type interface-number | unit-id } mirrored-to |
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
