- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
07-端口镜像配置
本章节下载: 07-端口镜像配置 (276.4 KB)
目 录
端口镜像是将指定端口(源端口)的报文复制一份到其它端口(目的端口),目的端口会与数据监测设备相连,用户利用这些数据监测设备来分析复制到目的端口的报文,进行网络监控和故障排除。
为了更好地理解后面的内容,首先介绍一下端口镜像中涉及的基本概念。
源端口是被监控的端口,用户可以对通过该端口的报文进行监控和分析。
目的端口也可称为监控端口,该端口将接收到的报文转发到数据监测设备,以便对报文进行监控和分析。
端口镜像的方向分为三种:
l 入方向:仅对源端口接收的报文进行镜像。
l 出方向:仅对源端口发送的报文进行镜像。
l 双向:对源端口接收和发送的报文都进行镜像。
端口镜像分为两种:
l 本地端口镜像:是指将设备的一个或多个源端口的报文复制到本设备的一个目的端口,用于报文的监控和分析。其中,源端口和目的端口必须在同一台设备上。
l 远程端口镜像:除了可以实现本地端口镜像的功能外,它还突破了源端口和目的端口必须在同一台设备上的限制,使源端口和目的端口间可以跨越多个网络设备。目前,远程端口镜像功能可以穿越二层网络,但无法穿越三层网络。
l 由于一个目的端口可以同时监视多个源端口,在某些配置情况下,目的端口会收到同一个报文的多个复制报文。例如,目的端口Port 1同时监控源端口Port 2和Port 3接收和发送的所有报文(Port 2和Port 3在同一台设备上),如果一个报文从Port 2进入设备又从Port 3发送出去,那么这个报文将被复制两次送到目的端口Port 1。
l 如果对端口入方向的报文进行镜像,则镜像后的报文携带VLAN Tag的情况与原始报文保持一致;如果对端口出方向的报文进行镜像,则镜像后的报文始终会携带VLAN Tag。
端口镜像通过镜像组的方式实现,镜像组可以分为本地镜像组、远程源镜像组和远程目的镜像组三类。
S3600系列以太网PON OLT交换机最多支持配置4个镜像组。
下面将分别介绍两类端口镜像的实现方式。
本地端口镜像可以对所有报文进行镜像。
本地端口镜像通过本地镜像组的方式实现。源端口和目的端口在同一个本地镜像组中,设备将源端口的报文复制一份并转发到目的端口。
如图1-1所示,源端口的报文被镜像到目的端口,这样,接在目的端口上的数据监测设备就可以对源端口的报文进行监控和分析。
远程端口镜像可以对协议报文之外的所有报文进行镜像。
远程端口镜像通过远程源镜像组和远程目的镜像组互相配合的方式实现。远程端口镜像的示意如图1-2所示。
图中各设备的作用如下:
l 源设备:源端口(或源VLAN中的端口)所在的设备,用户需要在源设备上创建远程源镜像组。本设备负责将源端口(或源VLAN)的报文复制一份,然后通过或者出端口将报文在远程镜像VLAN中进行广播,传输给中间设备或目的设备。
l 中间设备:网络中处于源设备和目的设备之间的设备。本设备负责将镜像报文传输给下一个中间设备或目的设备。如果源设备与目的设备直接相连,则不存在中间设备。用户需要确保远程镜像VLAN内源设备到目的设备的二层网络互通性。
l 目的设备:远程镜像目的端口所在的设备,用户需要在目的设备上创建远程目的镜像组。目的设备收到报文后,比较报文的VLAN ID和远程目的镜像组的远程镜像VLAN是否相同,如果相同,则将该报文通过镜像目的端口转发给数据监测设备。
在一个镜像组中对同一个端口收发的报文进行双向镜像时,需要在中间设备上配置远程镜像VLAN内的禁止MAC地址学习功能。详情请参见“MAC地址表管理配置”部分。
OLT设备的本地端口镜像功能主要用于OLT端口和以太网端口,常见的用法是将OLT端口接收到的报文(即该端口下连接的所有ONU设备的上行报文)或发送的报文镜像到以太网端口,通过以太网端口下连接的数据监测设备对报文进行收集和分析。
配置本地端口镜像时,用户首先要创建一个本地镜像组,然后为本地镜像组配置源端口和目的端口。
表1-1 配置本地端口镜像
|
命令 |
说明 |
||
|
进入系统视图 |
system-view |
- |
|
|
创建本地镜像组 |
mirroring-group groupid local |
必选 |
|
|
为镜像组配置源端口 |
在系统视图下配置源端口 |
mirroring-group groupid mirroring-port mirroring-port-list { both | inbound | outbound } |
必选 用户可以为镜像组配置源端口或源VLAN,也可以为镜像组同时配置源端口和源VLAN 用户可以在系统视图下同时配置多个源端口,也可以在具体的端口视图下配置源端口,两种视图下的配置效果相同 |
|
在以太网端口、OLT端口视图下配置源端口 |
interface interface-type interface-number |
||
|
[ mirroring-group groupid ] mirroring-port { both | inbound | outbound } |
|||
|
quit |
|||
|
为镜像组配置目的端口 |
在系统视图下配置目的端口 |
mirroring-group groupid monitor-port monitor-port-id |
二者必选其一 两种视图下的配置效果相同 |
|
在接口视图下配置目的端口 |
interface interface-type interface-number |
||
|
[ mirroring-group groupid ] monitor-port |
|||
l 本地镜像组需要配置源端口、目的端口才能生效。
l 源端口和目的端口可以是以太网端口和OLT端口。
l 建议用户不要在目的端口上使能STP、MSTP或RSTP,否则会影响设备的正常使用。
l 一个镜像组中可以配置多个源端口,但只能配置一个目的端口。
l 一个端口只能在一个镜像组中被配置。
l 目的端口收到的报文包括复制自源端口的报文和来自其它端口的正常转发报文。为了保证数据监测设备只对源端口的报文进行分析,建议目的端口仅用于端口镜像,不用做其它用途。
OLT设备的远程端口镜像功能主要用于将OLT端口接收到的报文(即该端口下连接的所有ONU设备的上行报文)或发送的报文通过以太网端口发送到远程设备,通过远程设备上的镜像目的端口下挂的数据监测设备收集和分析镜像数据。
配置远程端口镜像时,用户需要在本地设备和远程设备上分别配置远程源镜像组和远程目的镜像组。两个镜像组所使用的远程镜像VLAN必须相同。
确定一个已经存在的静态VLAN作为远程镜像VLAN。
远程源镜像组的配置包括:配置远程镜像组的源端口、出端口以及远程镜像VLAN。
表1-2 配置远程源镜像组
|
操作 |
命令 |
说明 |
|
|
进入系统视图 |
system-view |
- |
|
|
创建远程源镜像组 |
mirroring-group groupid remote-source |
必选 |
|
|
为镜像组配置源端口 |
在系统视图下配置源端口 |
mirroring-group groupid mirroring-port mirroring-port-list { both | inbound | outbound } |
必选 用户可以为镜像组配置源端口或源VLAN,也可以为镜像组同时配置源端口和源VLAN 用户可以在系统视图下同时配置多个源端口,也可以在具体的端口视图下配置源端口,两种视图下的配置效果相同 |
|
在以太网端口、OLT端口视图下配置源端口 |
interface interface-type interface-number |
||
|
[ mirroring-group groupid ] mirroring-port { both | inbound | outbound } |
|||
|
quit |
|||
|
为镜像组配置出端口 |
在系统视图下配置出端口 |
mirroring-group groupid monitor-egress monitor-egress-port-id |
二者必选其一 两种视图下的配置效果相同 |
|
在以太网端口、OLT端口视图下配置出端口 |
interface interface-type interface-number |
||
|
mirroring-group groupid monitor-egress |
|||
|
quit |
|||
|
为镜像组配置远程镜像VLAN |
mirroring-group groupid remote-probe vlan rprobe-vlan-id |
必选 |
|
l 远程源镜像组的源端口和出端口属于同一台设备。
l 源端口可以是以太网端口和OLT端口。
l 建议用户不要将源端口加入到远程镜像VLAN,否则会影响设备的性能。
l 出端口不能是现有镜像组的成员端口。
l 建议用户不要在出端口上配置下列功能:STP、MSTP、RSTP、IGMP Snooping、静态ARP、MAC地址学习,否则会影响设备的正常使用。
l 一个远程源镜像组只能配置一个出端口。
l 当配置VLAN为远程镜像VLAN后,不能直接删除该VLAN,必须先删除远程镜像VLAN的配置才能够删除这个VLAN。如果组生效后,VLAN被删除,那么组也将失效。
l 建议远程镜像VLAN不用做其它用途,仅用于远程镜像。
l 一个端口只能在一个镜像组中被配置,同一个VLAN只能被一个镜像组使用。
远程目的镜像组需要配置远程镜像VLAN和目的端口。
表1-3 配置远程目的镜像组
|
操作 |
命令 |
说明 |
|
|
进入系统视图 |
system-view |
- |
|
|
创建远程目的镜像组 |
mirroring-group groupid remote-destination |
必选 |
|
|
为镜像组配置远程镜像VLAN |
mirroring-group groupid remote-probe vlan rprobe-vlan-id |
必选 |
|
|
为镜像组配置目的端口 |
在系统视图下配置目的端口 |
mirroring-group groupid monitor-port monitor-port-id |
二者必选其一 两种视图下的配置效果相同 |
|
在以太网端口、OLT端口视图下配置目的端口 |
interface interface-type interface-number |
||
|
[ mirroring-group groupid ] monitor-port |
|||
|
quit |
|||
|
进入目的端口视图 |
interface interface-type interface-number |
- |
|
|
将目的端口加入远程镜像VLAN |
目的端口为Access端口 |
port access vlan rprobe-vlan-id |
三者必选其一 |
|
目的端口为Trunk端口 |
port trunk permit vlan rprobe-vlan-id |
||
|
目的端口为Hybrid端口 |
port hybrid vlan rprobe-vlan-id { tagged | untagged } |
||
l 当配置VLAN为远程镜像VLAN后,不能直接删除该VLAN,必须先删除远程镜像VLAN的配置才能够删除这个VLAN。如果组生效后,VLAN被删除,那么组也将失效。
l 建议远程镜像VLAN不用做其它用途,仅用于远程镜像。
l 一个端口只能在一个镜像组中被配置,同一个VLAN只能被一个镜像组使用。
l 建议用户不要在目的端口上使能STP、MSTP或RSTP,否则会影响设备的正常使用。
l 目的端口收到的报文包括复制自源端口的报文和来自其它端口的正常转发报文。为了保证数据监测设备只对源端口的报文进行分析,建议目的端口仅用于端口镜像,不用做其它用途。
在EPON环境中,OLT设备可以对ONU设备进行远程的管理和维护。S3600系列以太网PON OLT交换机支持对ONU设备进行本地端口镜像的配置,可以将ONU设备上某个UNI端口接收或发送的数据镜像至另一个UNI端口。
表1-4 配置ONU的UNI本地端口镜像
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入ONU端口视图 |
interface interface-type interface-number |
- |
|
配置源端口及镜像的方向 |
uni uni-number mirroring-port { both | inbound | outbound } |
必选 |
|
配置目的端口 |
uni uni-number monitor-port |
必选 当端口被设置成目的端口后,则该端口就不再参于正常报文的转发,而仅转发镜像过来的报文 |
当配置UNI端口为镜像的目的端口时,建议将该端口的VLAN操作模式配置成VLAN透传模式,以确保镜像报文原封不动地从该端口转发出去,相关操作请参见“VLAN配置”。
在完成上述配置后,在任意视图下执行display命令可以显示配置后镜像组的运行情况,通过查看显示信息验证配置的效果。
表1-5 端口镜像显示和维护
|
操作 |
命令 |
|
显示端口镜像组的配置信息 |
display mirroring-group { groupid | all | local | remote-destination | remote-source } |
用户网络描述如下:
l Device A(S3600以太网PON OLT交换机)的Olt1/0/1端口下通过POS设备连接了多台ONU设备,每台ONU设备下连接了不同的用户。
l Server(数据监测服务器)连接在Device A的GigabitEthernet1/1/1端口上。
l 使用本地端口镜像功能实现将Olt1/0/1端口接收到的所有报文镜像到GigabitEthernet1/1/1端口,以便通过Server对所有ONU的上行数据进行分析。
图1-3 OLT设备本地端口镜像组网图
# 进入系统视图。
<DeviceA> system-view
# 创建本地镜像组。
[DeviceA] mirroring-group 1 local
# 为本地镜像组配置源端口和目的端口分别为Olt1/0/1和GigabitEthernet1/1/1,并指定对Olt1/0/1端口接收到的报文进行镜像。
[DeviceA] mirroring-group 1 mirroring-port Olt 1/0/1 inbound
[DeviceA] mirroring-group 1 monitor-port GigabitEthernet 1/1/1
# 显示所有镜像组的配置信息。
[DeviceC] display mirroring-group all
mirroring-group 1:
type: local
status: active
mirroring port:
Olt1/0/1 inbound
monitor port: GigabitEthernet1/1/1
配置完成后,用户就可以在Server上监控Olt1/0/1端口下挂的所有ONU的上行报文。
用户网络描述如下:
l Device A(S3600以太网PON OLT交换机)的Olt1/0/1端口下通过POS设备连接了多台ONU设备,每台ONU设备下连接了不同的用户。
l Device A的Trunk端口GigabitEthernet 1/1/1和Device B的Trunk端口GigabitEthernet 1/1/1相连。
l Device B的Trunk端口GigabitEthernet 1/1/3和Device C的Trunk端口GigabitEthernet 1/1/1相连。
l Server(数据监测服务器)接在Device C的GigabitEthernet 1/1/3端口上。
需求为:通过Server对DeviceA的Olt1/0/1端口收发的报文进行远程监控。
使用远程端口镜像功能实现该需求,进行如下配置:
l 在Device A上配置远程源镜像组,定义VLAN 2为远程镜像VLAN,端口Olt1/0/1为镜像源端口,端口GigabitEthernet1/1/1为出端口。
l 配置Device A的GigabitEthernet1/1/1端口、Device B的GigabitEthernet1/1/1和 GigabitEthernet1/1/3端口、Device C的GigabitEthernet1/1/1端口为Trunk端口,并且端口均允许VLAN 2的报文通过。
l 在Device C上配置远程目的镜像组,定义VLAN 2为远程镜像VLAN,连接Server的端口GigabitEthernet1/1/3为镜像目的端口。
图1-4 OLT设备远程端口镜像组网图
(1) 配置Device A(源设备)
# 进入系统视图。
<DeviceA> system-view
# 创建远程源镜像组。
[DeviceA] mirroring-group 1 remote-source
# 创建VLAN 2。
[DeviceA] vlan 2
[DeviceA-vlan2] quit
# 为远程源镜像组配置远程镜像VLAN、源端口和出端口。
[DeviceA] mirroring-group 1 remote-probe vlan 2
[DeviceA] mirroring-group 1 mirroring-port Olt 1/0/1 both
[DeviceA] mirroring-group 1 monitor-egress GigabitEthernet 1/1/1
# 配置GigabitEthernet 1/1/1为Trunk端口,并且允许VLAN 2的报文通过。
[DeviceA] interface GigabitEthernet 1/1/1
[DeviceA-GigabitEthernet1/1/1] port link-type trunk
[DeviceA-GigabitEthernet1/1/1] port trunk permit vlan 2
(2) 配置Device B(中间设备)
# 进入系统视图。
<DeviceB> system-view
# 配置GigabitEthernet 1/1/1为Trunk端口,并且允许VLAN 2的报文通过。
[DeviceB] interface GigabitEthernet 1/1/1
[DeviceB-GigabitEthernet1/1/1] port link-type trunk
[DeviceB-GigabitEthernet1/1/1] port trunk permit vlan 2
# 配置GigabitEthernet 1/1/3为Trunk端口,并且允许VLAN 2的报文通过。
[DeviceB-GigabitEthernet1/1/1] interface GigabitEthernet 1/1/3
[DeviceB-GigabitEthernet1/1/3] port link-type trunk
[DeviceB-GigabitEthernet1/1/3] port trunk permit vlan 2
(3) 配置Device C(目的设备)
# 进入系统视图。
<DeviceC> system-view
# 配置GigabitEthernet 1/1/1为Trunk端口,并且允许VLAN 2的报文通过。
[DeviceC] interface GigabitEthernet 1/1/1
[DeviceC-GigabitEthernet1/1/1] port link-type trunk
[DeviceC-GigabitEthernet1/1/1] port trunk permit vlan 2
[DeviceC-GigabitEthernet1/1/1] quit
# 创建远程目的镜像组。
[DeviceC] mirroring-group 1 remote-destination
# 创建VLAN 2。
[DeviceC] vlan 2
[DeviceC-vlan2] quit
# 为远程目的镜像组配置远程镜像VLAN和目的端口。
[DeviceC] mirroring-group 1 remote-probe vlan 2
[DeviceC] interface GigabitEthernet 1/1/3
[DeviceC-GigabitEthernet1/1/3] mirroring-group 1 monitor-port
[DeviceC-GigabitEthernet1/1/3] port access vlan 2
配置完成后,用户就可以在Server上监控DeviceA的Olt1/0/1端口收发的所有报文。
用户网络描述如下:
l Device A(S3600以太网PON OLT交换机)的Olt1/0/1端口下连接了一台ONU设备,对应的ONU端口为Onu1/0/1:1,该ONU设备上连接有终端主机以及Server(数据监测设备)。
l 终端主机连接在ONU设备的UNI1和UNI2端口下,Server连接在ONU设备的UNI3端口下。
l 在DeviceA上远程配置ONU设备的本地端口镜像功能,将UNI1端口接收到的报文镜像至UNI3端口,使Server能够对HostA主机发出的所有报文进行收集。
图1-5 配置本地端口镜像组网图
# 进入系统视图。
<DeviceA> system-view
# 进入ONU端口视图。
[DeviceA] interface Onu 1/0/1:1
# 配置ONU设备的本地镜像源端口为UNI1端口,镜像方向为入方向。
[DeviceA] uni 1 mirroring-port inbound
# 配置ONU设备的本地镜像目的端口为UNI3端口。
[DeviceA] uni 3 monitor-port
配置完成后,用户就可以在Server上监控HostA发出的所有报文。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
