• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

11-网络管理和监控配置指导

目录

08-镜像配置

本章节下载 08-镜像配置  (203.24 KB)

08-镜像配置


1 端口镜像

1.1  端口镜像简介

端口镜像通过将指定端口、VLAN或CPU的报文复制到与数据监测设备相连的端口,使用户可以利用数据监测设备分析这些复制过来的报文,以进行网络监控和故障排除。

1.1.1  基本概念

1. 镜像源

镜像源是指被监控的对象,该对象可以是端口、VLAN、设备或单板上的CPU,我们将之依次称为源端口、源VLAN和源CPU。经由被监控的对象收发的报文会被复制一份到与数据监测设备相连的端口,用户就可以对这些报文(称为镜像报文)进行监控和分析了。镜像源所在的设备就称为源设备。

2. 镜像目的

镜像目的是指镜像报文所要到达的目的地,即与数据监测设备相连的那个端口,我们称之为目的端口,目的端口所在的设备就称为目的设备。目的端口会将镜像报文转发给与之相连的数据监测设备。

由于一个目的端口可以同时监控多个镜像源,因此在某些组网环境下,目的端口可能收到对同一报文的多份拷贝。例如,目的端口Port 1同时监控同一台设备上的源端口Port 2和Port 3收发的报文,如果某报文从Port 2进入该设备后又从Port 3发送出去,那么该报文将被复制两次给Port 1。

3. 镜像方向

镜像方向是指在镜像源上可复制哪些方向的报文:

·     入方向:是指仅复制镜像源收到的报文。

·     出方向:是指仅复制镜像源发出的报文。

·     双向:是指对镜像源收到和发出的报文都进行复制。

4. 镜像组

镜像组是一个逻辑上的概念,镜像源和镜像目的都要属于某一个镜像组。

1.1.2  端口镜像的分类和实现方式

当源设备与数据监测设备直接相连时,源设备可以同时作为目的设备,即由本设备将镜像报文转发至数据检测设备,这种方式实现的端口镜像称为本地端口镜像。对于本地端口镜像,镜像源和镜像目的属于同一台设备上的同一个镜像组,该镜像组称为本地镜像组。

图1-1 本地端口镜像示意图

 

图1-1所示,现在需要设备将进入端口GigabitEthernet1/0/1的报文复制一份,从端口GigabitEthernet1/0/2将报文转发给数据监测设备。为满足该需求,可以配置本地镜像组,其中源端口为GigabitEthernet1/0/1,镜像方向为入方向,目的端口为GigabitEthernet1/0/2。

1.2  配置本地端口镜像

1.2.1  配置任务简介

在完成源端口和目的端口的配置之后,本地镜像组才能生效。

表1-1 本地端口镜像配置任务简介

配置任务

说明

详细配置

创建本地镜像组

必选

1.2.2 

配置源端口

必选

1.2.3 

配置目的端口

必选

1.2.4 

 

1.2.2  创建本地镜像组

表1-2 创建本地镜像组

操作

命令

说明

进入系统视图

system-view

-

创建本地镜像组

mirroring-group group-id local

缺省情况下,不存在任何本地镜像组

 

1.2.3  配置源端口

可以在系统视图下为指定镜像组配置一个或多个源端口,也可以在接口视图下将当前接口配置为指定镜像组的源端口,二者的配置效果相同。

配置源端口时,需要注意:

·     一个镜像组内可以配置多个源端口。

·     通常,一个端口只能被一个镜像组使用。

1. 在系统视图下配置源端口

表1-3 在系统视图下配置源端口

操作

命令

说明

进入系统视图

system-view

-

为本地镜像组配置源端口

mirroring-group group-id mirroring-port interface-list { both | inbound | outbound }

缺省情况下,本地镜像组没有源端口

 

2. 在接口视图下配置源端口

表1-4 在接口视图下配置源端口

操作

命令

说明

进入系统视图

system-view

-

进入接口视图

interface interface-type interface-number

必选

配置本端口为本地镜像组的源端口

mirroring-group group-id mirroring-port { both | inbound | outbound }

缺省情况下,端口不是任何本地镜像组的源端口

 

1.2.4  配置目的端口

可以在系统视图下为指定镜像组配置目的端口,也可以在接口视图下将当前接口配置为指定镜像组的目的端口,二者的配置效果相同。

配置目的端口时,需要注意:

·     从目的端口发出的报文包括镜像报文和其他端口正常转发来的报文。为了保证数据监测设备只对镜像报文进行分析,请将目的端口只用于端口镜像,不作其他用途。

·     一个镜像组内只能配置一个目的端口。

1. 在系统视图下配置目的端口

表1-5 在系统视图下配置目的端口

操作

命令

说明

进入系统视图

system-view

-

为本地镜像组配置目的端口

mirroring-group group-id monitor-port interface-type interface-number

缺省情况下,本地镜像组没有目的端口

 

2. 在接口视图下配置目的端口

表1-6 在接口视图下配置目的端口

操作

命令

说明

进入系统视图

system-view

-

进入接口视图

interface interface-type interface-number

-

配置本端口为本地镜像组的目的端口

mirroring-group group-id monitor-port

缺省情况下,端口不是任何本地镜像组的目的端口

 

1.3  端口镜像显示和维护

在完成上述配置后,在任意视图下执行display命令可以显示配置后镜像组的运行情况,通过查看显示信息验证配置的效果。

表1-7 端口镜像显示和维护

操作

命令

显示镜像组的配置信息

display mirroring-group { group-id | all | local | remote-destination | remote-source }

 

 


2 流镜像

2.1  流镜像简介

流镜像是指将指定报文复制到指定目的地,以便于对报文进行分析和监控。流镜像通过QoS策略来实现,即使用流分类技术为待镜像报文定义匹配条件,再通过配置流行为将符合条件的报文镜像至指定目的地。其优势在于用户通过流分类技术可以灵活地配置匹配条件,从而对报文进行精细区分,并将区分后的报文复制到目的地进行分析。有关QoS策略、流分类和流行为的详细介绍,请参见“ACL和QoS配置指导”中的“QoS配置方式”。

流镜像到接口是将符合条件的报文复制一份到指定接口(与数据检测设备相连的接口),利用数据检测设备分析接口收到的报文。

2.2  流镜像配置任务简介

表2-1 流镜像配置任务简介

配置任务

说明

详细配置

配置报文匹配规则

必选

用来匹配待镜像的报文

2.3.1 

配置流行为

必选

用来指定将报文镜像到哪里(即报文的目的地址)

2.3.2 

配置QoS策略

必选

为流分类指定采用的流行为,即指定哪些报文需要镜像到哪里

2.3.3 

应用QoS策略

基于接口应用

二者至少选其一

指定对来自哪个端口、VLAN等的流量进行镜像

2.3.4  1.

基于控制平面应用

2.3.4  2.

 

2.3  配置流镜像

mirror-to命令外的其他配置命令及相关显示命令的详细介绍,请参见“ACL和QoS命令参考”中的“QoS策略”。

2.3.1  配置报文匹配规则

表2-2 配置报文匹配规则

操作

命令

说明

进入系统视图

system-view

-

定义流分类,并进入流分类视图

traffic classifier tcl-name [ operator { and | or } ]

缺省情况下,不存在任何流分类

配置报文匹配规则

if-match [ not ] match-criteria

缺省情况下,流分类中不存在任何报文匹配规则

 

2.3.2  配置流行为

表2-3 配置流行为

操作

命令

说明

进入系统视图

system-view

-

定义流行为,并进入流行为视图

traffic behavior behavior-name

缺省情况下,不存在任何流行为

在流行为中配置流量的目的地

配置流镜像到接口

mirror-to interface interface-type interface-number

必选

缺省情况下,流行为中未指定流量的目的地

 

说明

在完成上述配置后,在任意视图display traffic behavior命令可以显示用流行的配置信息,通过查示信息验证配置的效果

 

2.3.3  配置QoS策略

表2-4 配置QoS策略

操作

命令

说明

进入系统视图

system-view

-

定义QoS策略,并进入QoS策略视图

qos policy policy-name

缺省情况下,不存在任何策略

为流分类指定采用的流行为

classifier tcl-name behavior behavior-name

缺省情况下,没有为流分类指定采用的流行为

 

说明

在完成上述配置后,在任意视图下执行display qos policy命令可以显示用户定义策略的配置信息,通过查看显示信息验证配置的效果。

 

2.3.4  应用QoS策略

1. 基于接口应用

将QoS策略应用到某接口,可以对该接口指定方向上的流量进行镜像。一个QoS策略可以应用于多个接口,而接口在每个方向上只能应用一个QoS策略。

表2-5 基于接口应用

操作

命令

说明

进入系统视图

system-view

-

进入接口视图

interface interface-type interface-number

-

应用QoS策略到接口

qos apply policy policy-name { inbound | outbound }

-

 

2. 基于控制平面应用

将QoS策略应用到控制平面,可以对控制平面各端口指定方向上的流量进行镜像。

表2-6 基于控制平面应用

操作

命令

说明

进入系统视图

system-view

-

进入控制平面视图

control-plane

三者选其一

应用QoS策略到控制平面

qos apply policy policy-name inbound

-

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们