02-H3C S12500 镜像典型配置举例
本章节下载: 02-H3C S12500 镜像典型配置举例 (197.4 KB)
H3C S12500镜像配置举例
Copyright © 2013 杭州华三通信技术有限公司 版权所有,保留一切权利。 非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部, 并不得以任何形式传播。本文档中的信息可能变动,恕不另行通知。 |
目 录
本文档介绍了端口镜像和流镜像配置举例。
端口镜像是将指定端口(源端口)或VLAN(源VLAN)的报文复制一份到其它端口(目的端口),目的端口会与数据监测设备相连,用户利用这些数据监测设备来分析复制到目的端口的报文,进行网络监控和故障排除。
端口镜像分为本地端口镜像和远程端口镜像两大类:
· 当镜像源和镜像目的位于同一台设备上时,称为本地端口镜像;
· 当镜像源和镜像目的分处于两台设备上时,称为远程端口镜像。
流镜像是指将指定报文复制到指定目的地,用于报文的分析和监控。它通过QoS策略来实现,即使用流分类技术为待镜像报文定义匹配条件,再通过配置流行为将符合条件的报文镜像至指定目的地。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文假设您已了解镜像特性。
如图1所示,公司两个部门市场部和财经部分别通过端口GE2/0/1、GE2/0/2接入Switch。出于安全考虑,公司希望通过在Switch上配置本地端口镜像使Server对这两个部门收发报文进行监控。
本举例是在S12500-CMW520-R1825P01版本上进行配置和验证的。
· S12500不支持跨框配置本地端口镜像,因此请不要将目的端口和源端口(或源VLAN中的端口)配置在IRF中的2台成员设备上;
· 一个镜像组内只能只能配置一个目的端口,但可以配置多个源端口或源VLAN;
· 一个端口只能被一个镜像组使用;
· 源端口只能是以太网接口,目的端口可以是以太网接口或二层聚合接口;
· 请不要将源端口加入到源VLAN中,否则会影响镜像功能的正常使用;
· 请不要将目的端口加入到源VLAN中,或在目的端口上使能生成树协议,否则会影响镜像功能的正常使用;
· 从目的端口发出的报文包括镜像报文和其它端口正常转发来的报文。为了保证数据监测设备只对镜像报文进行分析,请将目的端口只用于端口镜像,不作其它用途;
· 方案一,镜像源配置为端口:
# 创建本地镜像组。
<Switch> system-view
[Switch] mirroring-group 1 local
# 为本地镜像组配置源端口和目的端口。
[Switch] mirroring-group 1 mirroring-port gigabitethernet 2/0/1
gigabitethernet 2/0/2 both
[Switch] mirroring-group 1 monitor-port gigabitethernet 2/0/3
· 方案二,镜像源配置为VLAN:
# 创建本地镜像组。
<Switch> system-view
[Switch] mirroring-group 1 local
# 创建VLAN 10,并将端口GigabitEthernet2/0/1和GigabitEthernet2/0/2加入VLAN 10。
[Switch] vlan 10
[Switch-vlan10] port GigabitEthernet 2/0/1 GigabitEthernet 2/0/2
[Switch-vlan10] quit
# 配置本地镜像组1的源VLAN为VLAN 10,目的端口为GigabitEthernet2/0/3。
[Switch] mirroring-group 1 mirroring-vlan 10 both
[Switch] mirroring-group 1 monitor-port gigabitethernet 2/0/3
· 选择方案一的验证结果:
# 显示所有镜像组的配置信息。
[Switch] display mirroring-group all
Mirroring group 1:
Type: Local
Status: Active
Mirroring port:
GigabitEthernet2/0/1 Both
GigabitEthernet2/0/2 Both
Monitor port: GigabitEthernet2/0/3
用户可以在Server上监控财经部和市场部两个部门收发的报文。
· 选择方案二的验证结果:
# 显示所有镜像组的配置信息。
[Switch] display mirroring-group all
Mirroring group 1:
Type: Local
Status: Active
Mirroring VLAN:
10 Both
Monitor port: GigabitEthernet2/0/3
用户可以在Server上监控财经部和市场部两个部门收发的报文。
· 选择方案一的配置文件:
[Switch] display current-configuration
#
mirroring-group 1 local
#
interface GigabitEthernet2/0/1
port link-mode bridge
mirroring-group 1 mirroring-port both
#
interface GigabitEthernet2/0/2
port link-mode bridge
mirroring-group 1 mirroring-port both
#
interface GigabitEthernet2/0/3
port link-mode bridge
mirroring-group 1 monitor-port
#
· 选择方案二的配置文件:
[Switch] display current-configuration
#
mirroring-group 1 local
mirroring-group 1 mirroring-vlan 10 both
#
vlan 1
#
vlan 10
#
interface GigabitEthernet2/0/3
port link-mode bridge
mirroring-group 1 monitor-port
#
如图2所示,公司市场部和财经部两个部门分别通过端口GE2/0/3、GE2/0/4接入Switch A。出于安全考虑,公司希望通过配置远程端口镜像使Server对这两个部门的收发报文进行远程监控。
本举例是在S12500-CMW520-R1825P01版本上进行配置和验证的。
· S12500不支持跨框配置远程端口镜像,因此请不要将反射端口和源端口(或源VLAN中的端口)配置在IRF中的2台成员设备上;
· 一个端口只能被一个镜像组使用;
· 请不要将源端口加入到源VLAN和远程镜像VLAN中,否则会影响镜像功能的正常使用;
· 请不要将目的端口加入到源VLAN中,或在目的端口上使能生成树协议,否则会影响镜像功能的正常使用;
· 当远程镜像报文离开源设备到达远程目的设备过程中,用户应确保远程镜像VLAN ID不被修改或删除,否则远程镜像功能失效;
· 在一个镜像组中对同一个端口收发的报文进行双向镜像时,需要在源设备、中间设备和目的设备上关闭远程镜像VLAN的MAC地址学习功能(mac-address max-mac-count 0),以保证镜像功能的正常进行。
对于反射端口的配置,还需要注意以下几点:
· 一个镜像组内只能配置一个反射端口;
· 请不要将反射端口加入到源VLAN中,否则会影响镜像功能的正常使用;
· 反射端口必须是Access端口且属于缺省VLAN,不能是现有镜像组的成员端口或流镜像目的端口;
· 建议用户不要在反射口连接网线,不要在反射口上配置下列功能:生成树协议、802.1X、IGMP Snooping、静态ARP、MAC地址学习、QinQ、端口环回,否则会影响镜像功能的正常使用;
· 只有当端口的双工模式、端口速率和MDI属性值均为缺省值时,才能将其配置为反射端口。当端口已配置为反射端口后,不能再修改其双工模式、端口速率和MDI属性值,即这些属性只能取缺省值。
# 进入系统视图。
<SwitchA> system-view
# 创建远程源镜像组。
[SwitchA] mirroring-group 1 remote-source
# 创建VLAN 2。
[SwitchA] vlan 2
# 关闭VLAN 2的MAC地址学习功能。
[SwitchA-vlan2] mac-address max-mac-count 0
[SwitchA-vlan2] quit
# 为远程源镜像组配置远程镜像VLAN、源端口和反射口。
[SwitchA] mirroring-group 1 remote-probe vlan 2
[SwitchA] mirroring-group 1 mirroring-port gigabitethernet2/0/3
gigabitethernet2/0/4 both
[SwitchA] mirroring-group 1 reflector-port gigabitethernet 2/0/2
# 配置GE2/0/1为Trunk端口,并且允许VLAN 2的报文通过。
[SwitchA] interface gigabitethernet 2/0/1
[SwitchA-GigabitEthernet2/0/1] undo shutdown
[SwitchA-GigabitEthernet2/0/1] port link-type trunk
[SwitchA-GigabitEthernet2/0/1] port trunk permit vlan 2
[SwitchA-GigabitEthernet2/0/1] quit
# 进入系统视图。
<SwitchB> system-view
# 创建VLAN 2。
[SwitchB] vlan 2
# 关闭VLAN 2的MAC地址学习功能。
[SwitchB-vlan2] mac-address max-mac-count 0
[SwitchB-vlan2] quit
# 配置GE2/0/1为Trunk端口,并且允许VLAN 2的报文通过。
[SwitchB] interface gigabitethernet 2/0/1
[SwitchB-GigabitEthernet2/0/1] undo shutdown
[SwitchB-GigabitEthernet2/0/1] port link-type trunk
[SwitchB-GigabitEthernet2/0/1] port trunk permit vlan 2
[SwitchB-GigabitEthernet2/0/1] quit
# 配置GE2/0/2为Trunk端口,并且允许VLAN 2的报文通过。
[SwitchB-GigabitEthernet2/0/2] interface gigabitethernet 2/0/2
[SwitchB-GigabitEthernet2/0/2] undo shutdown
[SwitchB-GigabitEthernet2/0/2] port link-type trunk
[SwitchB-GigabitEthernet2/0/2] port trunk permit vlan 2
[SwitchB-GigabitEthernet2/0/2] quit
# 进入系统视图。
<SwitchC> system-view
# 创建VLAN 2。
[SwitchC] vlan 2
# 关闭VLAN 2的MAC地址学习功能。
[SwitchC-vlan2] mac-address max-mac-count 0
[SwitchC-vlan2] quit
# 配置GE3/0/1为Trunk端口,并且允许VLAN 2的报文通过。
[SwitchC] interface gigabitethernet 3/0/1
[SwitchC-GigabitEthernet3/0/1] undo shutdown
[SwitchC-GigabitEthernet3/0/1] port link-type trunk
[SwitchC-GigabitEthernet3/0/1] port trunk permit vlan 2
[SwitchC-GigabitEthernet3/0/1] quit
# 创建远程目的镜像组。
[SwitchC] mirroring-group 1 remote-destination
# 为远程目的镜像组配置远程镜像VLAN和目的端口。
[SwitchC] mirroring-group 1 remote-probe vlan 2
[SwitchC] interface gigabitethernet 3/0/2
[SwitchC-GigabitEthernet3/0/2] undo shutdown
[SwitchC-GigabitEthernet3/0/2] mirroring-group 1 monitor-port
[SwitchC-GigabitEthernet3/0/2] port access vlan 2
[SwitchC-GigabitEthernet3/0/2] quit
# 显示Switch A上所有镜像组的配置信息。
[SwitchA] display mirroring-group all
Mirroring group 1:
Type: Remote source
Status: Active
Mirroring port:
GigabitEthernet2/0/3 Both
GigabitEthernet2/0/4 Both
Reflector port: GigabitEthernet2/0/2
Remote probe VLAN: 2
# 显示Switch C上所有镜像组的配置信息。
[SwitchC] display mirroring-group all
Mirroring group 1:
Type: Remote destination
Status: Active
Monitor port: GigabitEthernet3/0/2
Remote probe VLAN: 2
用户可以在Server上监控财经部和市场部两个部门收发的报文。
· Switch A
[SwitchA] display current-configuration
#
mirroring-group 1 remote-source
mirroring-group 1 remote-probe vlan 2
#
vlan 2
#
mac-address max-mac-count 0
#
interface GigabitEthernet2/0/1
port link-mode bridge
port link-type trunk
port trunk permit vlan 1 to 2
#
interface GigabitEthernet2/0/2
port link-mode bridge
mirroring-group 1 reflector-port
#
interface GigabitEthernet2/0/3
port link-mode bridge
mirroring-group 1 mirroring-port both
#
interface GigabitEthernet2/0/4
port link-mode bridge
mirroring-group 1 mirroring-port both
· Switch B
[SwitchB] display current-configuration
#
vlan 2
#
mac-address max-mac-count 0
#
interface GigabitEthernet2/0/1
port link-mode bridge
port link-type trunk
port trunk permit vlan 1 to 2
#
interface GigabitEthernet2/0/2
port link-type trunk
port trunk permit vlan 1 to 2
· Switch C
[SwitchC] display current-configuration
#
mirroring-group 1 remote-destination
mirroring-group 1 remote-probe vlan 2
#
vlan 2
#
mac-address max-mac-count 0
#
interface GigabitEthernet3/0/1
port link-mode bridge
port link-type trunk
port trunk permit vlan 1 to 2
#
interface GigabitEthernet3/0/2
port link-mode bridge
port access vlan 2
mirroring-group 1 monitor-port
#
如图3所示,公司员工通过交换机Switch访问内部数据服务器。出于安全考虑,公司希望通过在Switch连接用户网络的接口GE2/0/1上配置流镜像,使Server对用户访问数据服务器的报文流进行监控。
本举例是在S12500-CMW520-R1825P01版本上进行配置和验证的。
· S12500不支持跨框配置流镜像,即被监控流量的入端口与流镜像的目的地(目的端口、目的VLAN内的端口、目的CPU)不能位于IRF的不同成员设备上;但可以配置跨框流镜像到OAA单板上的端口;
· 流镜像可分为流镜像到接口、流镜像到VLAN和流镜像到CPU三种类型,在同一流行为中只能配置其中一种;
· 允许将流量镜像到尚未创建的VLAN,待该VLAN被创建并有端口加入后,本配置将在这些端口上自动生效。
# 进入系统视图。
<Switch> system-view
# 配置流分类规则,匹配目的IP地址为10.0.0.1的报文。
[Switch] acl number 3000
[Switch-acl-adv-3000] rule permit ip destination 10.0.0.1 0
[Switch-acl-adv-3000] quit
[Switch] traffic classifier TC_mirror
[Switch-classifier-TC_mirror] if-match acl 3000
[Switch-classifier-TC_mirror] quit
[Switch] traffic behavior TB_mirror
# 配置流镜像目的为端口GE2/0/2。
[Switch-behavior-TB_mirror] mirror-to interface GigabitEthernet 2/0/2
# 配置QoS策略,将指定的类和指定的流行为绑定。
[Switch-behavior-TB_mirror] quit
[Switch] qos policy TP_mirror
[Switch-qospolicy-TP_mirror] classifier TC_mirror behavior TB_mirror
[Switch-qospolicy-TP_mirror] quit
# 将QoS策略应用到Switch连接用户网络的端口GE2/0/1。
[Switch] interface GigabitEthernet 2/0/1
[Switch-GigabitEthernet2/0/1] undo shutdown
[Switch-GigabitEthernet2/0/1] qos apply policy TP_mirror inbound
[Switch-GigabitEthernet2/0/1] quit
# 查看端口GE2/0/1 上QoS策略的配置信息和运行情况。
[Switch] display qos policy interface GigabitEthernet 2/0/1
Interface: GigabitEthernet2/0/1
Direction: Inbound
Policy: TP_mirror
Classifier: TC_mirror
Operator: AND
Rule(s) : If-match acl 3000
Behavior: TB_mirror
Mirror enable:
Mirror type: interface
Mirror destination: GigabitEthernet2/0/2
用户可以在Server上监控到发往数据服务器的报文流。
[Switch] display current-configuration
#
acl number 3000
rule 0 permit ip destination 10.0.0.1 0
#
vlan 10
#
traffic classifier TC_mirror operator and
if-match acl 3000
#
traffic behavior TB_mirror
mirror-to interface GigabitEthernet2/0/2
#
qos policy TP_mirror
classifier TC_mirror behavior TB_mirror
#
interface GigabitEthernet2/0/1
port link-mode bridge
port access vlan 10
qos apply policy TP_mirror inbound
· 《H3C S12500系列路由交换机 网络管理和监控配置指导》中的“镜像”
· 《H3C S12500系列路由交换机 网络管理和监控命令参考》中的“镜像”
· 《H3C S12500系列路由交换机 二层技术-以太网交换配置指导》中的“MAC地址表”
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!