• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

11-网络管理和监控配置指导

目录

15-镜像配置

本章节下载 15-镜像配置  (675.82 KB)

15-镜像配置

  录

1 端口镜像

1.1 端口镜像简介

1.1.1 基本概念

1.1.2 端口镜像的分类

1.1.3 本地端口镜像

1.1.4 二层远程端口镜像

1.1.5 三层远程端口镜像

1.2 镜像配置限制和指导

1.3 配置本地端口镜像

1.3.1 配置限制和指导

1.3.2 配置任务简介

1.3.3 创建本地镜像组

1.3.4 配置镜像源

1.3.5 配置镜像目的

1.4 利用远程镜像VLAN实现本地镜像支持多目的端口

1.5 配置二层远程端口镜像

1.5.1 配置限制和指

1.5.2 反射端口方式二层远程端口镜像配置任务简介

1.5.3 出端口方式二层远程端口镜像配置任务简介

1.5.4 创建远程目的镜像组

1.5.5 配置目的端口

1.5.6 配置远程镜像VLAN

1.5.7 将目的端口加入远程镜像VLAN

1.5.8 创建远程源镜像组

1.5.9 配置镜像源

1.5.10 配置反射端口

1.5.11 配置出端口

1.6 配置三层远程端口镜像

1.6.1 配置限制和指导

1.6.2 配置任务简介

1.6.3 配置准备

1.6.4 创建本地镜像组

1.6.5 配置镜像源

1.6.6 配置镜像目的

1.7 端口镜像显示和维护

1.8 端口镜像典型配置举例

1.8.1 本地端口镜像配置举例(源端口方式)

1.8.2 本地端口镜像配置举例(源CPU方式)

1.8.3 利用远程镜像VLAN实现本地镜像支持多目的端口配置举例

1.8.4 二层远程端口镜像配置举例(反射端口方式)

1.8.5 二层远程端口镜像配置举例(出端口方式)

1.8.6 三层远程端口镜像配置举例

2 流镜像

2.1 流镜像简介

2.2 流镜像到接口分类

2.2.1 流镜像SPAN或RSPAN

2.2.2 流镜像ERSPAN

2.3 流镜像配置限制和指导

2.4 流镜像配置任务简介

2.5 配置流分类

2.6 配置流行为

2.7 配置QoS策略

2.8 应用QoS策略

2.8.1 基于接口应用

2.8.2 基于VLAN应用

2.8.3 基于全局应用

2.8.4 基于控制平面应用

2.9 流镜像显示和维护

2.10 流镜像典型配置举例

2.10.1 流镜像基本组网配置举例

 


1 端口镜像

1.1  端口镜像简介

端口镜像通过将指定端口或CPU的报文复制到与数据监测设备相连的端口,使用户可以利用数据监测设备分析这些复制过来的报文,以进行网络监控和故障排除。

1.1.1  基本概念

1. 镜像源

镜像源是指被监控的对象,配置为监控对象的端口为源端口,配置为监控对象的CPU为源CPU。经镜像源收发的报文会被复制一份到与数据监测设备相连的端口,用户就可以对这些报文(称为镜像报文)进行监控和分析了。

2. 源设备

镜像源所在的设备称为源设备。

3. 镜像目的

镜像目的是指镜像报文所要到达的目的地,即与数据监测设备相连的端口,该端口称为目的端口。目的端口会将镜像报文转发给与之相连的数据监测设备。

由于一个目的端口可以同时监控多个镜像源,因此在某些组网环境下,目的端口可能收到对同一报文的多份拷贝。例如,目的端口Port A同时监控同一台设备上的源端口Port B和Port C收发的报文,如果某报文从Port B进入该设备后又从Port C发送出去,那么该报文将被复制两次给Port A。

4. 目的设备

目的端口所在的设备称为目的设备。

5. 镜像方向

镜像方向是指在镜像源上可复制哪些方向的报文:

·     入方向:是指仅复制镜像源收到的报文。

·     出方向:是指仅复制镜像源发出的报文。

·     双向:是指对镜像源收到和发出的报文都进行复制。

6. 镜像组

镜像组是一个逻辑上的概念,镜像源和镜像目的都要属于某一个镜像组。根据具体的实现方式不同,镜像组可分为本地镜像组、远程源镜像组和远程目的镜像组。

7. 反射端口、出端口和远程镜像VLAN

反射端口、出端口和远程镜像VLAN都是在二层远程端口镜像的实现过程中用到的概念。远程镜像VLAN是将镜像报文从源设备传送至目的设备的专用VLAN;反射端口和出端口都位于源设备上,都用来将镜像报文发送到远程镜像VLAN中。

在配置端口镜像的设备上,除源端口、目的端口、反射端口、出端口外的其他端口统称为普通端口。

1.1.2  端口镜像的分类

根据镜像源与镜像目的是否位于同一台设备上,可以将端口镜像分为:

·     本地端口镜像:当源设备与数据监测设备直接相连时,源设备同时作为目的设备,即由本设备将镜像报文转发至数据检测设备,该端口镜像称为本地端口镜像。

·     远程端口镜像:当源设备与数据监测设备不直接相连时,与数据监测设备直接相连的设备作为目的设备,源设备需要将镜像报文复制一份至目的设备,然后由目的设备将镜像报文转发至数据监测设备,该端口镜像称为远程端口镜像。根据源设备与目的设备之间的连接关系,又可将远程端口镜像细分为:

¡     二层远程端口镜像:源设备与目的设备之间通过二层网络进行连接。

¡     三层远程端口镜像:源设备与目的设备之间通过三层网络进行连接。

1.1.3  本地端口镜像

图1-1 本地端口镜像示意图

图1-1所示,现在需要设备将进入端口Port A的报文复制一份,从端口Port B将报文转发给数据监测设备。为满足该需求,可以配置本地镜像组,其中源端口为Port A,镜像方向为入方向,目的端口为Port B。

1.1.4  二层远程端口镜像

对于二层远程端口镜像,镜像源和镜像目的分属于不同设备上的不同镜像组:

·     远程源镜像组:镜像源所在的镜像组。

·     远程目的镜像组:镜像目的所在的镜像组。

·     中间设备:位于源设备与目的设备之间的设备。

二层远程端口镜像的实现包括反射端口方式和出端口方式。

1. 反射端口方式二层远程端口镜像

反射端口方式二层远程端口镜像报文的转发过程如图1-2所示。

(1)     源设备将进入镜像源的报文复制一份给反射端口。

(2)     反射端口将镜像报文在远程镜像VLAN中广播。

(3)     镜像报文经由中间设备转发至目的设备。

(4)     目的设备收到该报文后判别其VLAN ID,若与远程镜像VLAN的VLAN ID相同,则将镜像报文通过目的端口转发给数据监测设备。

图1-2 反射端口方式二层远程端口镜像示意图

2. 出端口方式

出端口方式二层远程端口镜像报文的转发过程如图1-3所示。

(1)     源设备将进入镜像源的报文复制一份给出端口。

(2)     出端口将镜像报文转发给中间设备。

(3)     中间设备在远程镜像VLAN中广播,最终到达目的设备。

(4)     目的设备收到该报文后判别其VLAN ID,若与远程镜像VLAN的VLAN ID相同,则将镜像报文通过目的端口转发给数据监测设备。

图1-3 出端口方式二层远程端口镜像示意图

1.1.5  三层远程端口镜像

三层远程端口镜像使用本地镜像组的方式实现,即在源设备和目的设备上分别创建各自的本地镜像组,每个本地镜像组也拥有各自的镜像源和目的端口。不同的是:

·     在源设备上:

¡     源端口为待监控的端口。

¡     源CPU为待监控的端口所在的CPU。

¡     目的端口为用于传输镜像报文的Tunnel接口。

·     在目的设备上:

¡     源端口为Tunnel接口对应的物理端口。

¡     目的端口为连接数据监测设备的端口。

三层远程端口镜像报文的转发过程如图1-4所示。

(1)     源设备将进入源端口的报文复制一份给其Tunnel接口(即目的端口)。有关Tunnel接口的详细介绍,请参见“三层技术-IP业务配置指导”中“隧道”。

(2)     报文经由GRE(Generic Routing Encapsulation,通用路由封装)隧道转发至目的设备端的Tunnel接口。有关GRE隧道的详细介绍,请参见“三层技术-IP业务配置指导”中的“GRE”。

(3)     目的设备将从该Tunnel接口对应的物理接口(即源端口)收到的镜像报文复制一份给目的端口。

(4)     最后由目的设备上的目的端口将镜像报文转发到数据监测设备。

图1-4 三层远程端口镜像示意图

1.2  镜像配置限制和指导

对于二层远程端口镜像反射端口方式,源设备的反射端口将镜像报文在远程镜像VLAN中广播。因此,可以利用远程镜像VLAN的原理,在本地设备上创建远程源镜像组,并指定远程镜像VLAN,同时将本设备上连接数据检测设备的多个端口加入该VLAN,镜像报文在远程镜像VLAN中广播时便可以从这些端口中发送出去,实现将镜像报文输出到本地多个端口的需求。而对于出端口方式则无此实现。

如果对端口入方向的报文进行镜像,则镜像后的报文携带VLAN Tag的情况与原始报文保持一致,如果对端口出方向的报文进行镜像,则镜像后的报文与报文出端口所配置的Tag属性一致。

在IRF组网下,各种方式的镜像中如果镜像相关端口不属于同一个成员设备,镜像流量就会跨成员设备转发,此时会给IRF链路带来一定压力。

配置了Flow采样的接口,不能再被指定为镜像的源端口;反之亦然。有关sFlow的详细配置,请参见“网络管理和监控配置指导”中的“sFlow”。

如果设备在全局或接口的出方向下发ACL、包过滤或QoS策略匹配报文,则符合匹配条件的镜像报文也会被匹配和处理。

1.3  配置本地端口镜像

1.3.1  配置限制和指导

在完成镜像源和镜像目的配置之后,本地镜像组才能生效。

本地镜像组可支持跨板镜像,即镜像源与镜像目的可以位于同一台设备的不同单板上。

1.3.2  配置任务简介

本地端口镜像配置任务如下:

(1)     创建本地镜像组

(2)     配置镜像源

请选择以下一项任务进行配置:

¡     配置镜像源

¡     配置源CPU

(3)     配置镜像目的

1.3.3  创建本地镜像组

(1)     进入系统视图。

system-view

(2)     创建本地镜像组。

mirroring-group group-id local [ sampler sampler-name ]

1.3.4  配置镜像源

1. 配置限制和指导

配置源端口时,需要注意的是:

·     一个镜像组内可以配置多个源端口。

·     一个源端口无论作为单向源端口还是双向源端口,都只能加入一个镜像组。

·     源端口不能用作反射端口、出端口或目的端口。

设备不支持将二层聚合接口和三层聚合接口配置为本地端口镜像的源端口。

配置源CPU时,一个镜像组内可以配置多个源CPU。

2. 配置源端口

·     在系统视图下配置源端口。

a.     进入系统视图。

system-view

b.     为本地镜像组配置源端口。

mirroring-group group-id mirroring-port interface-list { both | inbound | outbound }

缺省情况下,未为本地镜像组配置源端口。

·     在接口视图下配置源端口。

a.     进入系统视图。

system-view

b.     进入接口视图。

interface interface-type interface-number

c.     配置当前端口为本地镜像组的源端口。

mirroring-group group-id mirroring-port { both | inbound | outbound }

缺省情况下,未配置当前端口为本地镜像组的源端口。

3. 配置源CPU

(1)     进入系统视图。

system-view

(2)     为本地镜像组配置源CPU。

(独立运行模式)

mirroring-group group-id mirroring-cpu slot slot-number-list { both | inbound | outbound }

(IRF模式)

mirroring-group group-id mirroring-cpu chassis chassis-number slot slot-number-list { both | inbound | outbound }

缺省情况下,未为本地镜像组配置源CPU。

设备仅支持对源CPU收到的报文进行镜像。

1.3.5  配置镜像目的

1. 配置限制和指导

不能在目的端口上开启生成树协议,否则会影响镜像功能的正常使用。

一个本地镜像组中可以配置多个目的端口。

当二层聚合接口作为目的端口时,请勿将其成员端口配置为源端口,否则会影响镜像功能的正常使用。

从目的端口发出的报文包括镜像报文和其他端口正常转发来的报文。为了保证数据监测设备只对镜像报文进行分析,请将目的端口只用于端口镜像,不作其他用途。

目的端口不能是聚合组的成员端口。

2. 配置步骤

·     在系统视图下配置目的端口。

a.     进入系统视图。

system-view

b.     为本地镜像组配置目的端口。

mirroring-group group-id monitor-port interface-list

缺省情况下,未为本地镜像组配置目的端口。

·     在接口视图下配置目的端口。

a.     进入系统视图。

system-view

b.     进入接口视图。

interface interface-type interface-number

c.     配置本端口为本地镜像组的目的端口。

mirroring-group group-id monitor-port

缺省情况下,未配置当前端口为本地镜像组的目的端口。

1.4  利用远程镜像VLAN实现本地镜像支持多目的端口

1. 功能简介

利用远程镜像VLAN的原理可以将一份镜像报文同时发送到多个目的端口。

在二层远程端口镜像中,镜像报文在远程镜像VLAN中以广播的方式发送,利用该原理,在本地设备上创建远程源镜像组和远程镜像VLAN,并将本设备上连接数据检测设备的多个端口加入该VLAN,镜像报文在远程镜像VLAN中广播时即可从这些端口中发送出去,实现将镜像报文发送到多个目的端口。

2. 配置限制和指导

请选择设备上未被使用的端口作为反射端口,不能在该端口上连接网线,否则会影响镜像功能的正常使用。

端口配置为反射口时,该端口上已存在的所有配置都将被清除;在被配置为反射口后,该端口上不能再配置其他业务功能。

不能将源端口加入到远程镜像VLAN中,否则会影响镜像功能的正常使用。

一个VLAN只能作为一个远程源镜像组的远程镜像VLAN,且建议该VLAN只用于端口镜像,请不要在该VLAN上配置其他业务功能或创建对应的VLAN接口。

远程镜像VLAN必须为静态VLAN,且在被配置成远程镜像VLAN后,该VLAN不能直接删除,必须先删除远程镜像VLAN的配置才能够删除该VLAN。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     创建远程源镜像组。

mirroring-group group-id remote-source

(3)     为远程源镜像组配置源端口。请选择其中一项进行配置。

¡     在系统视图下配置。

mirroring-group group-id mirroring-port mirroring-port-list { both | inbound | outbound }

¡     请依次执行以下命令在接口视图下配置。

interface interface-type interface-number

mirroring-group group-id mirroring-port { both | inbound | outbound }

quit

(4)     为远程源镜像组配置反射端口。

mirroring-group group-id reflector-port reflector-port

缺省情况下,镜像组没有反射端口。

(5)     创建远程镜像VLAN并进入VLAN视图。

vlan vlan-id

缺省情况下,镜像组没有远程镜像VLAN。

(6)     将镜像目的端口加入远程镜像VLAN。

port interface-list

缺省情况下,新建VLAN中不包含任何端口。

(7)     退出至系统视图。

quit

(8)     为远程源镜像组配置远程镜像VLAN。

mirroring-group group-id remote-probe vlan vlan-id

缺省情况下,镜像组没有远程镜像VLAN。

1.5  配置二层远程端口镜像

1.5.1  配置限制和指导

二层远程端口镜像的配置需要分别在源设备和目的设备上进行;如果存在中间设备,则需要在中间设备上允许远程镜像VLAN通过,以确保源设备与目的设备之间的二层网络畅通。

请先配置目的设备,再配中间设备,最后配源设备,以保证镜像流量的正常转发。

在镜像报文从源设备到达目的设备的过程中,VLAN ID不被修改或删除,否则二层远程镜像功能将失效。

在配置二层远程端口镜像时建议关闭MVRP(Multiple VLAN Registration Protocol,多VLAN注册协议)功能,否则MVRP可能将远程镜像VLAN注册到不需要监控的端口上,导致目的端口收到不必要的报文。有关MVRP的详细介绍,请参见“二层技术-以太网交换配置指导”中的“MVRP”。

仅在如下三种组网环境中才能实现二层远程端口的双向镜像:

·     本系列的两台设备直连。

·     源设备与目的设备同为本系列设备且存在中间设备,中间设备关闭了远程镜像VLAN的MAC地址学习功能。

·     仅源设备为本系列设备且存在中间设备,中间设备和目的设备均关闭了远程镜像VLAN的MAC地址学习功能。

需要注意的是,当中间设备或目的设备不支持关闭远程镜像VLAN的MAC地址学习功能时,需要关闭中间设备或目的设备接收镜像报文端口的MAC地址学习功能,关闭端口的MAC地址学习功能后,该端口只能用于转发镜像报文。

1.5.2  反射端口方式二层远程端口镜像配置任务简介

1. 配置目的设备

目的设备配置任务如下:

(1)     创建远程目的镜像组

(2)     配置目的端口

(3)     配置远程镜像VLAN

(4)     将目的端口加入远程镜像VLAN

2. 配置源设备

源设备配置任务如下:

(1)     创建远程源镜像组

(2)     配置镜像源

请选择以下一项任务进行配置:

¡     配置源端口

¡     配置源CPU

(3)     配置反射端口

(4)     配置远程镜像VLAN

1.5.3  出端口方式二层远程端口镜像配置任务简介

1. 配置目的设备

目的设备配置任务如下:

(1)     创建远程目的镜像组

(2)     配置目的端口

(3)     配置远程镜像VLAN

(4)     将目的端口加入远程镜像VLAN

2. 配置源设备

源设备配置任务如下:

(1)     创建远程源镜像组

(2)     配置镜像源

请选择以下一项任务进行配置:

¡     配置源端口

¡     配置源CPU

(3)     配置出端口

(4)     配置远程镜像VLAN

1.5.4  创建远程目的镜像组

1. 配置限制和指导

仅目的设备需要进行本配置。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     创建远程目的镜像组。

mirroring-group group-id remote-destination [ sampler sampler-name ]

1.5.5  配置目的端口

1. 配置限制和指导

仅目的设备需要进行本配置。

不能在目的端口上开启生成树协议,否则会影响镜像功能的正常使用。

一个远程目的镜像组中可以配置多个目的端口。

当二层聚合接口作为目的端口时,请勿将其成员端口配置为源端口,否则会影响镜像功能的正常使用。

从目的端口发出的报文包括镜像报文和其他端口正常转发来的报文。为了保证数据监测设备只对镜像报文进行分析,请将目的端口只用于端口镜像,不作其他用途。

一个目的端口只能加入一个镜像组。

目的端口不能是聚合组的成员端口。

2. 在系统视图下配置目的端口

(1)     进入系统视图。

system-view

(2)     为远程目的镜像组配置目的端口。

mirroring-group group-id monitor-port interface-list

缺省情况下,未为远程镜像组配置目的端口。

3. 在接口视图下配置目的端口

(1)     进入系统视图。

system-view

(2)     进入接口视图。

interface interface-type interface-number

(3)     配置本端口为远程目的镜像组的目的端口。

mirroring-group group-id monitor-port

缺省情况下,未配置当前端口为远程镜像组的目的端口。

1.5.6  配置远程镜像VLAN

1. 配置限制和指导

源设备和目的设备都需要进行本配置。

源设备和目的设备上的远程镜像组必须使用相同的远程镜像VLAN。

远程镜像VLAN必须是已创建的静态VLAN。

当VLAN被指定为远程镜像VLAN后,该VLAN不能再作其他用途。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     为远程目的镜像组配置远程镜像VLAN。

mirroring-group group-id remote-probe vlan vlan-id

缺省情况下,未为远程镜像组配置远程镜像VLAN。

1.5.7  将目的端口加入远程镜像VLAN

1. 配置限制和指导

仅目的设备需要进行本配置。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入目的接口视图。

interface interface-type interface-number

(3)     将目的端口加入远程镜像VLAN。

¡     将Access类型的目的端口加入远程镜像VLAN。

port access vlan vlan-id

¡     将Trunk类型的目的端口加入远程镜像VLAN。

port trunk permit vlan vlan-id

¡     将Hybrid类型的目的端口加入远程镜像VLAN。

port hybrid vlan vlan-id { tagged | untagged }

有关port access vlanport trunk permit vlanport hybrid vlan命令的详细介绍,请参见“二层技术-以太网交换命令参考”中的“VLAN”。

1.5.8  创建远程源镜像组

1. 配置限制和指导

仅源设备需要进行本配置。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     创建远程源镜像组。

mirroring-group group-id remote-source [ sampler sampler-name ]

1.5.9  配置镜像源

1. 配置限制和指导

仅源设备需要配置镜像源。

配置源端口时,需要注意的是:

·     不能将源端口加入到远程镜像VLAN中,否则会影响镜像功能的正常使用。

·     一个镜像组内可以配置多个源端口。

·     一个源端口无论作为单向源端口还是双向源端口,都只能加入一个镜像组。

·     源端口不能用作反射端口、出端口或目的端口。

设备不支持将二层聚合接口和三层聚合接口配置为二层远程端口镜像的源端口。

配置源CPU时,一个镜像组内可以配置多个源CPU。

2. 配置源端口

·     在系统视图下配置源端口。

a.     进入系统视图。

system-view

b.     为远程源镜像组配置源端口。

mirroring-group group-id mirroring-port interface-list { both | inbound | outbound }

缺省情况下,未为远程镜像组配置源端口。

·     在接口视图下配置源端口。

a.     进入系统视图。

system-view

b.     进入接口视图。

interface interface-type interface-number

c.     配置本端口为远程源镜像组的源端口。

mirroring-group group-id mirroring-port { both | inbound | outbound }

缺省情况下,未配置当前端口为远程镜像组的源端口。

3. 配置源CPU

(1)     进入系统视图。

system-view

(2)     为本地镜像组配置源CPU。

(独立运行模式)

mirroring-group group-id mirroring-cpu slot slot-number-list inbound

(IRF模式)

mirroring-group group-id mirroring-cpu chassis chassis-number slot slot-number-list inbound

缺省情况下,未为远程镜像组配置源CPU。

设备仅支持对源CPU收到的报文进行镜像。

1.5.10  配置反射端口

1. 配置限制和指导

仅源设备需要进行本配置。

一个镜像组内只能配置一个反射端口。

2. 在系统视图下配置反射端口

(1)     进入系统视图。

system-view

(2)     为远程源镜像组配置反射端口。

mirroring-group group-id reflector-port interface-type interface-number

注意

·     请选择设备上未被使用的端口作为反射端口,并不要在该端口上连接网线,否则会影响镜像功能的正常使用。

·     在将端口配置为反射端口时,该端口将恢复为缺省配置,该端口上不能再配置其他业务。

·     当IRF端口只绑定了一个物理端口时,请勿将该物理端口配置为反射端口,以免IRF分裂。

 

缺省情况下,未为远程源镜像组配置反射端口。

3. 在接口视图下配置反射端口

(1)     进入系统视图。

system-view

(2)     进入接口视图。

interface interface-type interface-number

(3)     配置本端口为远程源镜像组的反射端口。

mirroring-group group-id reflector-port

注意

·     请选择设备上未被使用的端口作为反射端口,并不要在该端口上连接网线,否则会影响镜像功能的正常使用。

·     在将端口配置为反射端口时,该端口将恢复为缺省配置,该端口上不能再配置其他业务。

·     当IRF端口只绑定了一个物理端口时,请勿将该物理端口配置为反射端口,以免IRF分裂。

缺省情况下,未配置本端口为远程源镜像组的反射端口。

1.5.11  配置出端口

1. 配置限制和指导

仅源设备需要进行本配置。

不能在出端口上配置生成树协议、802.1X、IGMP Snooping、静态ARP和MAC地址学习,否则会影响镜像功能的正常使用。

出端口不能是现有镜像组的成员端口。

一个镜像组内只能配置一个出端口。

2. 在系统视图下配置出端口

(1)     进入系统视图。

system-view

(2)     为远程源镜像组配置出端口。

mirroring-group group-id monitor-egress interface-type interface-number

缺省情况下,未为远程源镜像组配置出端口。

(3)     进入出端口接口视图。

interface interface-type interface-number

(4)     将出端口加入远程镜像VLAN。

¡     将Trunk类型的出端口加入远程镜像VLAN。

port trunk permit vlan vlan-id

¡     将Hybrid类型的出端口加入远程镜像VLAN。

port hybrid vlan vlan-id { tagged | untagged }

有关port trunk permit vlanport hybrid vlan命令的详细介绍,请参见“二层技术-以太网交换命令参考”中的“VLAN”。

3. 在接口视图下配置出端口

(1)     进入系统视图。

system-view

(2)     进入接口视图。

interface interface-type interface-number

(3)     配置本端口为远程源镜像组的出端口。

mirroring-group group-id monitor-egress

缺省情况下,未配置本端口为远程源镜像组的出端口。

1.6  配置三层远程端口镜像

1.6.1  配置限制和指导

如果源设备和目的设备之间存在中间设备,则需要在中间设备上配置单播路由协议,以确保源设备与目的设备之间的三层网络畅通。

在IRF组网下,当镜像源端口与镜像目的端口不属于同一个成员设备时,如果镜像目的不可达或原始报文的目的即为本设备时,设备会对镜像报文限速。

1.6.2  配置任务简介

1. 配置源设备

源设备配置任务如下:

(1)     创建本地镜像组

(2)     配置镜像源

请选择以下一项任务进行配置:

¡     配置源端口

¡     配置源CPU

(3)     配置镜像目的

2. 配置目的设备

目的设备配置任务如下:

(1)     创建本地镜像组

(2)     配置镜像源

(3)     配置镜像目的

1.6.3  配置准备

在配置三层远程端口镜像之前,需创建并配置GRE模式的Tunnel接口。该Tunnel接口的源地址和目的地址分别为其对应的源设备和目的设备上物理接口的IP地址。有关Tunnel接口的详细配置,请参见“三层技术-IP业务配置指导”中的“隧道”。

1.6.4  创建本地镜像组

1. 配置限制和指导

请分别在源设备和目的设备上进行如下配置。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     创建本地镜像组。

mirroring-group group-id local

1.6.5  配置镜像源

1. 配置限制和指导

配置源端口时,需要注意的是:

·     在源设备上,请将源端口指定为待监控的端口;而在目的设备上,请将源端口指定为Tunnel接口对应的物理端口。

·     一个源端口无论作为单向源端口还是双向源端口,都只能加入一个镜像组。

·     源端口不能用作反射端口、出端口或目的端口。

·     设备不支持将二层聚合接口和三层聚合接口配置为本地端口镜像组的源端口。

配置源CPU时,需要注意的是:

·     仅源设备需要配置源CPU。

·     一个镜像组内可以配置多个源CPU。

2. 配置源端口

·     在系统视图下配置源端口。

a.     进入系统视图。

system-view

b.     为本地镜像组配置源端口。

mirroring-group group-id mirroring-port interface-list { both | inbound | outbound }

缺省情况下,未为本地镜像组配置源端口。

·     在接口视图下配置源端口。

a.     进入系统视图。

system-view

b.     进入接口视图。

interface interface-type interface-number

c.     配置本端口为本地镜像组的源端口。

mirroring-group group-id mirroring-port { both | inbound | outbound }

缺省情况下,未配置当前端口为本地镜像组的源端口。

3. 配置源CPU

(1)     进入系统视图。

system-view

(2)     为本地镜像组配置源CPU。

(独立运行模式)

mirroring-group group-id mirroring-cpu slot slot-number-list inbound

(IRF模式)

mirroring-group group-id mirroring-cpu chassis chassis-number slot slot-number-list inbound

缺省情况下,未为本地镜像组配置源CPU。

设备仅支持对源CPU收到的报文进行镜像。

1.6.6  配置镜像目的

1. 配置限制和指导

在源设备上,请将目的端口指定为Tunnel接口;而在目的设备上,请将目的端口指定为连接数据监测设备的端口。

在源设备上,一个本地镜像组仅可以配置一个目的Tunnel端口。

在目的设备上,不能在目的端口上开启生成树协议,否则会影响镜像功能的正常使用。

在目的设备上,一个本地镜像组中可以配置多个目的端口。

从目的端口发出的报文包括镜像报文和其他端口正常转发来的报文。为了保证数据监测设备只对镜像报文进行分析,请将目的端口只用于端口镜像,不作其他用途。

目的端口不能是聚合组的成员端口。

2. 配置步骤

·     在系统视图下配置目的端口。

a.     进入系统视图。

system-view

b.     为本地镜像组配置目的端口。

mirroring-group group-id monitor-port interface-list

缺省情况下,未为远程镜像组配置目的端口。

·     在接口视图下配置目的端口。

a.     进入系统视图。

system-view

b.     进入接口视图。

interface interface-type interface-number

c.     配置本端口为本地镜像组的目的端口。

mirroring-group group-id monitor-port

缺省情况下,未配置当前端口为镜像组的目的端口。

1.7  端口镜像显示和维护

在完成上述配置后,在任意视图下执行display命令可以显示配置后镜像组的运行情况,通过查看显示信息验证配置的效果。

表1-1 端口镜像显示和维护

操作

命令

显示镜像组的配置信息

display mirroring-group { group-id | all | local | remote-destination | remote-source }

 

1.8  端口镜像典型配置举例

1.8.1  本地端口镜像配置举例(源端口方式)

1. 组网需求

Device通过端口FortyGigE1/0/1和FortyGigE1/0/2分别连接市场部和技术部,并通过端口FortyGigE1/0/3连接Server。

通过配置源端口方式的本地端口镜像,使Server可以监控所有进、出市场部和技术部的报文。

2. 组网图

图1-5 本地端口镜像配置组网图

3. 配置步骤

说明

缺省情况下,本设备的接口处于ADM(Administratively Down)状态,请根据实际需要在对应接口视图下使用undo shutdown命令开启接口。

 

# 创建本地镜像组1。

<Device> system-view

[Device] mirroring-group 1 local

# 配置本地镜像组1的源端口为FortyGigE1/0/1和FortyGigE1/0/2,对源端口收发的报文都进行镜像,目的端口为FortyGigE1/0/3。

[Device] mirroring-group 1 mirroring-port fortygige 1/0/1 fortygige 1/0/2 both

[Device] mirroring-group 1 monitor-port fortygige 1/0/3

# 在目的端口FortyGigE1/0/3上关闭生成树协议。

[Device] interface fortygige 1/0/3

[Device-FortyGigE1/0/3] undo stp enable

[Device-FortyGigE1/0/3] quit

4. 验证配置

# 显示所有镜像组的配置信息。

[Device] display mirroring-group all

Mirroring group 1:

    Type: Local

    Status: Active

    Mirroring port:

        FortyGigE1/0/1  Both

        FortyGigE1/0/2  Both

    Monitor port: FortyGigE1/0/3

配置完成后,用户可以通过Server监控所有进、出市场部和技术部的报文。

1.8.2  本地端口镜像配置举例(源CPU方式)

1. 组网需求

Device通过位于其1号槽位单板上的端口FortyGigE1/0/1和FortyGigE1/0/2分别连接市场部和技术部,并通过端口FortyGigE1/0/3连接Server。

通过配置源CPU方式的本地端口镜像,使Server可以监控所有进市场部和技术部的,且需要经Device slot1的CPU处理的报文。

2. 组网图

图1-6 本地端口镜像配置组网图

3. 配置步骤

说明

缺省情况下,本设备的接口处于ADM(Administratively Down)状态,请根据实际需要在对应接口视图下使用undo shutdown命令开启接口。

 

# 创建本地镜像组1。

<Device> system-view

[Device] mirroring-group 1 local

# 配置本地镜像组1的源CPU为位于slot1上的CPU,目的端口为FortyGigE1/0/3。

[Device] mirroring-group 1 mirroring-cpu slot 1 inbound

[Device] mirroring-group 1 monitor-port fortygige 1/0/3

# 在目的端口FortyGigE1/0/3上关闭生成树协议。

[Device] interface fortygige 1/0/3

[Device-FortyGigE1/0/3] undo stp enable

[Device-FortyGigE1/0/3] quit

4. 验证配置

# 显示所有镜像组的配置信息。

[Device] display mirroring-group all

Mirroring group 1:

    Type: Local

    Status: Active

    Mirroring CPU:

        Slot 1  Inbound

    Monitor port: FortyGigE1/0/3

配置完成后,用户可以通过Server监控所有进市场部和技术部的,且需要经Device A的slot1上CPU处理的报文。

1.8.3  利用远程镜像VLAN实现本地镜像支持多目的端口配置举例

1. 组网需求

三个部门A、B、C分别使用FortyGigE1/0/1~FortyGigE1/0/3端口接入Device,现要求通过镜像功能,使数据检测设备ServerA和ServerB都能够对三个部门发送和接收的报文进行镜像。

2. 组网图

图1-7 利用远程镜像VLAN实现本地镜像支持多目的端口组网图

 

3. 配置步骤

说明

缺省情况下,本设备的接口处于ADM(Administratively Down)状态,请根据实际需要在对应接口视图下使用undo shutdown命令开启接口。

 

# 创建远程源镜像组1。

<Device> system-view

[Device] mirroring-group 1 remote-source

# 将接入部门A、B、C的三个端口配置为远程源镜像组1的源端口。

[Device] mirroring-group 1 mirroring-port fortygige1/0/1 to fortygige1/0/3 both

# 将设备上任意未使用的端口(此处以Ten-GigabitEthernet1/0/6为例)配置为镜像组1的反射口。

[Device] mirroring-group 1 reflector-port FortyGigE1/0/6

This operation may delete all settings made on the interface. Continue? [Y/N]:y

# 创建VLAN10作为镜像组1的远程镜像VLAN,并将接入数据检测设备的端口加入VLAN10。

[Device] vlan 10

[Device-vlan10] port fortygige1/0/4 to fortygige1/0/5

[Device-vlan10] quit

# 配置VLAN10作为镜像组1的远程镜像VLAN。

[Device] mirroring-group 1 remote-probe vlan 10

1.8.4  二层远程端口镜像配置举例(反射端口方式)

1. 组网需求

在一个二层网络中,Device A、Device B、Device C及Server如下图所示连接。其中,Device A通过端口FortyGigE1/0/1连接市场部。

通过配置二层远程端口镜像,使Server可以监控所有进市场部的报文。

2. 组网图

3. 配置步骤

说明

缺省情况下,本设备的接口处于ADM(Administratively Down)状态,请根据实际需要在对应接口视图下使用undo shutdown命令开启接口。

 

(1)     配置Device C

# 配置端口FortyGigE1/0/1为Trunk口,并允许VLAN 2的报文通过。

<DeviceC> system-view

[DeviceC] interface fortygige 1/0/1

[DeviceC-FortyGigE1/0/1] port link-type trunk

[DeviceC-FortyGigE1/0/1] port trunk permit vlan 2

[DeviceC-FortyGigE1/0/1] quit

# 创建远程目的镜像组2。

[DeviceC] mirroring-group 2 remote-destination

# 创建VLAN 2作为远程镜像VLAN。

[DeviceC] vlan 2

[DeviceC-vlan2] quit

# 配置远程目的镜像组2的远程镜像VLAN为VLAN 2,目的端口为FortyGigE1/0/2,在该端口上关闭生成树协议并将其加入VLAN 2。

[DeviceC] mirroring-group 2 remote-probe vlan 2

[DeviceC] interface fortygige 1/0/2

[DeviceC-FortyGigE1/0/2] mirroring-group 2 monitor-port

[DeviceC-FortyGigE1/0/2] undo stp enable

[DeviceC-FortyGigE1/0/2] port access vlan 2

[DeviceC-FortyGigE1/0/2] quit

(2)     配置Device B

# 创建VLAN 2作为远程镜像VLAN。

<DeviceB> system-view

[DeviceB] vlan 2

[DeviceB-vlan2] quit

# 配置端口FortyGigE1/0/1为Trunk口,并允许VLAN 2的报文通过。

[DeviceB] interface fortygige 1/0/1

[DeviceB-FortyGigE1/0/1] port link-type trunk

[DeviceB-FortyGigE1/0/1] port trunk permit vlan 2

[DeviceB-FortyGigE1/0/1] quit

# 配置端口FortyGigE1/0/2为Trunk口,并允许VLAN 2的报文通过。

[DeviceB] interface fortygige 1/0/2

[DeviceB-FortyGigE1/0/2] port link-type trunk

[DeviceB-FortyGigE1/0/2] port trunk permit vlan 2

[DeviceB-FortyGigE1/0/2] quit

(3)     配置Device A

# 创建远程源镜像组1。

<DeviceA> system-view

[DeviceA] mirroring-group 1 remote-source

# 创建VLAN 2作为远程镜像VLAN。

[DeviceA] vlan 2

[DeviceA-vlan2] quit

# 配置远程源镜像组1的远程镜像VLAN为VLAN 2,源端口为FortyGigE1/0/1,反射端口为FortyGigE1/0/3。

[DeviceA] mirroring-group 1 remote-probe vlan 2

[DeviceA] mirroring-group 1 mirroring-port fortygige 1/0/1 outbound

[DeviceA] mirroring-group 1 reflector-port fortygige 1/0/3

This operation may delete all settings made on the interface. Continue? [Y/N]: y

# 配置端口FortyGigE1/0/2为Trunk口,并允许VLAN 2的报文通过。

[DeviceA] interface fortygige 1/0/2

[DeviceA-FortyGigE1/0/2] port link-type trunk

[DeviceA-FortyGigE1/0/2] port trunk permit vlan 2

[DeviceA-FortyGigE1/0/2] quit

4. 验证配置

# 显示Device C上所有镜像组的配置信息。

[DeviceC] display mirroring-group all

Mirroring group 2:

    Type: Remote destination

    Status: Active

    Monitor port: FortyGigE1/0/2

    Remote probe VLAN: 2

# 显示Device A上所有镜像组的配置信息。

[DeviceA] display mirroring-group all

Mirroring group 1:

    Type: Remote source

    Status: Active

    Mirroring port:

        FortyGigE1/0/1  Outbound

    Reflector port: FortyGigE1/0/3

    Remote probe VLAN: 2

配置完成后,用户可以通过Server监控所有进市场部的报文。

1.8.5  二层远程端口镜像配置举例(出端口方式)

1. 组网需求

在一个二层网络中,Device A、Device B、Device C及Server如下图所示连接。其中,Device A通过端口FortyGigE1/0/1连接市场部。

通过配置二层远程端口镜像,使Server可以监控所有进市场部的报文。

2. 组网图

图1-8 二层远程端口镜像配置组网图

3. 配置步骤

说明

缺省情况下,本设备的接口处于ADM(Administratively Down)状态,请根据实际需要在对应接口视图下使用undo shutdown命令开启接口。

 

(1)     配置Device C

# 配置端口FortyGigE1/0/1为Trunk口,并允许VLAN 2的报文通过。

<DeviceC> system-view

[DeviceC] interface fortygige 1/0/1

[DeviceC-FortyGigE1/0/1] port link-type trunk

[DeviceC-FortyGigE1/0/1] port trunk permit vlan 2

[DeviceC-FortyGigE1/0/1] quit

# 创建远程目的镜像组2。

[DeviceC] mirroring-group 2 remote-destination

# 创建VLAN 2作为远程镜像VLAN。

[DeviceC] vlan 2

[DeviceC-vlan2] quit

# 配置远程目的镜像组2的远程镜像VLAN为VLAN 2,目的端口为FortyGigE1/0/2,在该端口上关闭生成树协议并将其加入VLAN 2。

[DeviceC] mirroring-group 2 remote-probe vlan 2

[DeviceC] interface fortygige 1/0/2

[DeviceC-FortyGigE1/0/2] mirroring-group 2 monitor-port

[DeviceC-FortyGigE1/0/2] undo stp enable

[DeviceC-FortyGigE1/0/2] port access vlan 2

[DeviceC-FortyGigE1/0/2] quit

(2)     配置Device B

# 创建VLAN 2作为远程镜像VLAN。

<DeviceB> system-view

[DeviceB] vlan 2

[DeviceB-vlan2] quit

# 配置端口FortyGigE1/0/1为Trunk口,并允许VLAN 2的报文通过。

[DeviceB] interface fortygige 1/0/1

[DeviceB-FortyGigE1/0/1] port link-type trunk

[DeviceB-FortyGigE1/0/1] port trunk permit vlan 2

[DeviceB-FortyGigE1/0/1] quit

# 配置端口FortyGigE1/0/2为Trunk口,并允许VLAN 2的报文通过。

[DeviceB] interface fortygige 1/0/2

[DeviceB-FortyGigE1/0/2] port link-type trunk

[DeviceB-FortyGigE1/0/2] port trunk permit vlan 2

[DeviceB-FortyGigE1/0/2] quit

(3)     配置Device A

# 创建远程源镜像组1。

<DeviceA> system-view

[DeviceA] mirroring-group 1 remote-source

# 创建VLAN 2作为远程镜像VLAN。

[DeviceA] vlan 2

[DeviceA-vlan2] quit

# 配置远程源镜像组1的远程镜像VLAN为VLAN 2,源端口为FortyGigE1/0/1,出端口为FortyGigE1/0/2。

[DeviceA] mirroring-group 1 remote-probe vlan 2

[DeviceA] mirroring-group 1 mirroring-port fortygige 1/0/1 outbound

[DeviceA] mirroring-group 1 monitor-egress fortygige 1/0/2

# 配置端口FortyGigE1/0/2为Trunk口,允许VLAN 2的报文通过,并在该端口上关闭生成树协议。

[DeviceA] interface fortygige 1/0/2

[DeviceA-FortyGigE1/0/2] port link-type trunk

[DeviceA-FortyGigE1/0/2] port trunk permit vlan 2

[DeviceA-FortyGigE1/0/2] undo stp enable

[DeviceA-FortyGigE1/0/2] quit

4. 验证配置

# 显示Device C上所有镜像组的配置信息。

[DeviceC] display mirroring-group all

Mirroring group 2:

    Type: Remote destination

    Status: Active

    Monitor port: FortyGigE1/0/2

    Remote probe VLAN: 2

# 显示Device A上所有镜像组的配置信息。

[DeviceA] display mirroring-group all

Mirroring group 1:

    Type: Remote source

    Status: Active

    Mirroring port:

        FortyGigE1/0/1  Outbound

    Monitor egress port: FortyGigE1/0/2

    Remote probe VLAN: 2

配置完成后,用户可以通过Server监控所有进市场部的报文。

1.8.6  三层远程端口镜像配置举例

1. 组网需求

在一个三层网络中,Device A、Device B、Device C及Server如下图所示连接。其中,Device A通过端口FortyGigE1/0/1连接市场部。

通过配置三层远程端口镜像,并建立OSPF方式的GRE隧道,使得Server可以通过由GRE隧道传输的镜像报文来监控所有进、出市场部的报文。

2. 组网图

图1-9 三层远程端口镜像配置组网图

3. 配置步骤

说明

缺省情况下,本设备的接口处于ADM(Administratively Down)状态,请根据实际需要在对应接口视图下使用undo shutdown命令开启接口。

 

(1)     配置IP地址

请按照图1-9配置各接口的IP地址和子网掩码,具体配置过程略。

(2)     配置Device A

# 创建业务环回组1,并配置服务类型为Tunnel。

<DeviceA> system-view

[DeviceA] service-loopback group 1 type tunnel

# 将接口FortyGigE1/0/3加入业务环回组1。

[DeviceA] interface fortygige 1/0/3

[DeviceA-FortyGigE1/0/3] port service-loopback group 1

All configurations on the interface will be lost. Continue?[Y/N]:y

[DeviceA-FortyGigE1/0/3] quit

# 创建GRE模式的Tunnel接口0,并为其配置IP地址和掩码。

[DeviceA] interface tunnel 0 mode gre

[DeviceA-Tunnel0] ip address 50.1.1.1 24

# 为Tunnel接口0分别指定源地址和目的地址。

[DeviceA-Tunnel0] source 20.1.1.1

[DeviceA-Tunnel0] destination 30.1.1.2

[DeviceA-Tunnel0] quit

# 配置OSPF协议。

[DeviceA] ospf 1

[DeviceA-ospf-1] area 0

[DeviceA-ospf-1-area-0.0.0.0] network 10.1.1.0 0.0.0.255

[DeviceA-ospf-1-area-0.0.0.0] network 20.1.1.0 0.0.0.255

[DeviceA-ospf-1-area-0.0.0.0] quit

[DeviceA-ospf-1] quit

# 创建本地镜像组1。

[DeviceA] mirroring-group 1 local

# 配置本地镜像组1的源端口为FortyGigE1/0/1,目的端口为Tunnel0。

[DeviceA] mirroring-group 1 mirroring-port fortygige 1/0/1 both

[DeviceA] mirroring-group 1 monitor-port tunnel 0

(3)     配置Device B

# 配置OSPF协议。

<DeviceB> system-view

[DeviceB] ospf 1

[DeviceB-ospf-1] area 0

[DeviceB-ospf-1-area-0.0.0.0] network 20.1.1.0 0.0.0.255

[DeviceB-ospf-1-area-0.0.0.0] network 30.1.1.0 0.0.0.255

[DeviceB-ospf-1-area-0.0.0.0] quit

[DeviceB-ospf-1] quit

(4)     配置Device C

# 创建业务环回组1,并配置服务类型为Tunnel。

<DeviceC> system-view

[DeviceC] service-loopback group 1 type tunnel

# 将接口FortyGigE1/0/3加入业务环回组1。

[DeviceC] interface fortygige 1/0/3

[DeviceC-FortyGigE1/0/3] port service-loopback group 1

All configurations on the interface will be lost. Continue?[Y/N]:y

[DeviceC-FortyGigE1/0/3] quit

# 创建GRE模式的Tunnel接口0,并为其配置IP地址和掩码。

[DeviceC] interface tunnel 0 mode gre

[DeviceC-Tunnel0] ip address 50.1.1.2 24

# 为Tunnel接口0分别指定源地址和目的地址。

[DeviceC-Tunnel0] source 30.1.1.2

[DeviceC-Tunnel0] destination 20.1.1.1

[DeviceC-Tunnel0] quit

# 配置OSPF协议。

[DeviceC] ospf 1

[DeviceC-ospf-1] area 0

[DeviceC-ospf-1-area-0.0.0.0] network 30.1.1.0 0.0.0.255

[DeviceC-ospf-1-area-0.0.0.0] network 40.1.1.0 0.0.0.255

[DeviceC-ospf-1-area-0.0.0.0] quit

[DeviceC-ospf-1] quit

# 创建本地镜像组1。

[DeviceC] mirroring-group 1 local

# 配置本地镜像组1的源端口为FortyGigE1/0/1,目的端口为FortyGigE1/0/2。

[DeviceC] mirroring-group 1 mirroring-port fortygige 1/0/1 inbound

[DeviceC] mirroring-group 1 monitor-port fortygige 1/0/2

4. 验证配置

# 显示Device A上所有镜像组的配置信息。

[DeviceA] display mirroring-group all

Mirroring group 1:

    Type: Local

    Status: Active

    Mirroring port:

        FortyGigE1/0/1  Both

    Monitor port: Tunnel0

# 显示Device C上所有镜像组的配置信息。

[DeviceC] display mirroring-group all

Mirroring group 1:

    Type: Local

    Status: Active

    Mirroring port:

        FortyGigE1/0/1  Inbound

    Monitor port: FortyGigE1/0/2

配置完成后,用户可以通过Server监控所有进、出市场部的报文。

 


2 流镜像

2.1  流镜像简介

流镜像是指将指定报文复制到指定目的地,以便于对报文进行分析和监控。

流镜像通过QoS实现,设备先通过流分类匹配待镜像的报文,再通过流行为将符合条件的报文镜像至指定目的地。该方式可以灵活配置报文的匹配条件,从而对报文进行精细区分,并将区分后的报文镜像到目的地。有关QoS的详细介绍,请参见“ACL和QoS配置指导”中的“QoS”。

根据报文镜像的目的地不同,流行为可分为以下类型:

·     流镜像到接口:将符合条件的报文复制一份到指定接口,利用数据检测设备分析接口收到的报文。

·     流镜像到监控组:监控组由一个或者多个成员端口组成,将符合条件的报文复制一份到监控组后,监控组再将报文复制到每一个成员端口,成员端口将镜像报文直接转发到数据监测设备。

·     流镜像到CPU:将符合条件的报文复制一份到CPU(这里的CPU是指报文进入的单板上的CPU),通过CPU分析报文的内容,或者将特定的协议报文上送。(独立运行模式)(IRF模式)

2.2  流镜像到接口分类

与端口镜像类似,根据镜像源与镜像目的是否位于同一台设备上,流镜像到接口也可以分为:

·     流镜像SPAN:流镜像到本地接口。

·     流镜像RSPAN:流镜像到接口后,根据镜像报文所属VLAN或QoS重定向功能将报文转发到二层远程接口。

·     流镜像ERSPAN:将流镜像报文封装为协议号是0x88BE的GRE报文,路由到三层远程监控设备。

2.2.1  流镜像SPAN或RSPAN

在源设备上配置QoS策略,流分类匹配指定特征的报文,流行为配置流镜像到接口(不指定loopback参数,不指定destination-ipsource-ip封装参数)。设备接收到匹配流分类的报文后,复制一份转发到流行为指定的接口,由该接口将镜像报文转发到监测设备。

图2-1 流镜像SPAN示意图

 

如果需要将流镜像报文转发到二层远程接口实现RSPAN,可以在流镜像到接口后根据镜像报文所属VLAN或QoS重定向功能将镜像报文转发到二层远程接口。

2.2.2  流镜像ERSPAN

流镜像ERSPAN有如下几种实现方式:

·     loopback方式

·     配置封装参数方式

·     监控组方式

配置流镜像ERSPAN时所有设备上需配置单播路由协议,并确保设备之间的三层网络畅通。

1. loopback方式

图2-2所示,loopback方式流镜像ERSPAN的实现方式为:

(1)     在源设备上配置QoS策略并将策略下发到源接口上,流分类匹配指定特征的报文,流行为配置流镜像到接口Port B并指定loopback参数。

(2)     在源设备上配置QoS策略并将策略下发到Port B,流分类匹配镜像报文,流行为将报文重定向到Tunnel接口。

(3)     目的设备将从Tunnel接口收到的镜像报文解封装,然后根据报文的目的IP地址(即原始报文的目的IP地址)转发报文。因此,目的设备上需要存在到达该目的地址的路由/ARP。

图2-2 loopback方式流镜像ERSPAN示意图

 

2. 配置封装参数方式

在源设备上配置QoS策略,流分类匹配指定特征的报文,流行为配置流镜像到接口。配置流镜像到接口时,有两种方式。

·     指定出接口方式:同时指定出接口和封装参数,设备给镜像报文加封装后从指定接口发出。

·     路由出接口方式:不指定出接口,只指定封装参数。设备给镜像报文加封装后,根据封装报文的源IP地址和目的IP地址查表转发,路由出接口即为镜像报文的目的端口。

采用这种方式时,可以通过路由协议的负载分担实现将镜像报文转发到多个目的端口。

图2-3所示,配置封装参数方式流镜像ERSPAN的实现方式为:

(1)     源设备将匹配流分类的报文复制一份。

(2)     设备为报文添加ERSPAN封装后从指定接口发出或者根据封装报文的源IP地址和目的IP查表转发。

(3)     封装后的报文通过IP网络路由转发到监测设备。

(4)     监测设备对报文进行解封装,并分析镜像报文的内容。

通过本方式镜像到监测设备的报文为封装后的报文,因此监测设备必须支持解封装。

图2-3 配置封装参数方式流镜像ERSPAN示意图

 

3. 监控组方式

图2-4所示,监控组方式流镜像到三层远程设备的实现方式为:

(1)     在源设备上配置监控组,为监控组添加成员端口时配置封装参数。

(2)     在源设备上配置QoS策略,流分类匹配指定特征的报文,流行为配置镜像到监控组。

(3)     设备将符合条件的报文复制一份到监控组后,监控组成员端口为报文添加ERSPAN封装后从指定接口发出或者根据封装报文的源IP地址和目的IP查表转发。

(4)     封装后的报文通过IP网络路由转发到监测设备。

(5)     监测设备对报文进行解封装,并分析镜像报文的内容。

通过本方式镜像到监测设备的报文为封装后的报文,因此监测设备必须支持解封装。

图2-4 流镜像到三层远程设备(监控组方式)

2.3  流镜像配置限制和指导

流镜像配置中,除mirror-to命令外的其他配置命令及相关显示命令的详细介绍,请参见“ACL和QoS命令参考”中的“QoS策略”。

在IRF组网下,如果镜像源与镜像目的不属于同一个成员设备,且镜像目的为单端口时,将无法镜像到广播报文和未知单播报文。

2.4  流镜像配置任务简介

流镜像配置任务如下:

(1)     配置流分类

该配置用来匹配待镜像的报文。

(2)     配置流行为

该配置用来指定镜像报文的目的地。

(3)     配置QoS策略

该配置为流分类指定流行为,即指定哪些报文需要镜像到哪里。

(4)     应用QoS策略

请选择以下一项任务进行配置:

¡     基于接口应用

¡     基于VLAN应用

¡     基于全局应用

¡     基于控制平面应用

2.5  配置流分类

(1)     进入系统视图。

system-view

(2)     定义流分类,并进入流分类视图。

traffic classifier classifier-name [ operator { and | or } ]

(3)     配置报文匹配规则。

if-match match-criteria

(4)     (可选)显示用户定义流分类的配置信息。

display traffic classifier

该命令可在任意视图下执行。

2.6  配置流行为

1. 配置步骤

(1)     进入系统视图。

system-view

(2)     配置监控组。配置流镜像到监控组时为必选。

a.     创建监控组,并进入监控组视图

monitoring-group group-id [ sampler sampler-name ]

b.     配置监控组的成员端口。

命令形式一

monitoring-port interface-list [ destination-ip destination-ip-address source-ip source-ip-address [ dscp dscp-value | vlan vlan-id | vrf-instance  vrf-name ] * [ destination-mac mac-address ] ]

命令形式二

monitoring-port destination-ip destination-ip-address source-ip source-ip-address [ dscp dscp-value | vlan vlan-id | vrf-instance vrf-name ] * [ destination-mac mac-address ]

缺省情况下,未配置监控组的成员端口。

c.     (可选)开启监控组的镜像报文截断功能。

truncation enable

缺省情况下,监控组的镜像报文截断功能处于关闭状态。

d.     退回系统视图。

quit

(3)     定义流行为,并进入流行为视图。

traffic behavior behavior-name

(4)     配置镜像报文的目的地。请选择其中一项进行配置。

¡     配置流镜像到接口。

mirror-to interface interface-type interface-number

缺省情况下,未配置流镜像到接口。

¡     配置流镜像到监控组

mirror-to monitoring-group group-id

缺省情况下,未配置流镜像到监控组

¡     配置流镜像到CPU。

mirror-to cpu

缺省情况下,未配置流镜像到CPU。

(5)     (可选)显示用户定义流行为的配置信息。

display traffic behavior

该命令可在任意视图下执行。

2.7  配置QoS策略

(1)     进入系统视图。

system-view

(2)     定义QoS策略,并进入QoS策略视图。

qos policy policy-name

(3)     为流分类指定采用的流行为。

classifier classifier-name behavior behavior-name

缺省情况下,未为流分类指定流行为。

(4)     (可选)显示用户定义策略的配置信息。

display qos policy

该命令可在任意视图下执行。

2.8  应用QoS策略

2.8.1  基于接口应用

1. 配置限制和指导

将QoS策略应用到接口后,可以对该接口的流量进行镜像。

一个QoS策略可以应用于多个接口。

一个接口在每个方向上只能应用一个QoS策略。

出方向应用QoS策略配置流镜像时,在流行为视图下,推荐仅配置流镜像动作,否则,多个流行为动作之间可能存在互斥关系。

设备不支持对聚合口出方向的报文进行流镜像。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入接口视图。

interface interface-type interface-number

(3)     应用QoS策略到接口。

qos apply policy policy-name { inbound | outbound }

(4)     (可选)显示接口上QoS策略的配置信息和运行情况。

display qos policy interface

该命令可在任意视图下执行。

2.8.2  基于VLAN应用

1. 配置限制和指导

将QoS策略应用到VLAN后,可以对该VLAN内各端口的流量进行镜像。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     应用QoS策略到指定VLAN。

qos vlan-policy policy-name vlan vlan-id-list { inbound | outbound }

(3)     (可选)显示基于VLAN应用QoS策略的信息。

display qos vlan-policy

该命令可在任意视图下执行。

2.8.3  基于全局应用

1. 配置限制和指导

将QoS策略应用到全局后,可以对设备所有端口的流量进行镜像。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     应用QoS策略到全局。

qos apply policy policy-name global { inbound | outbound }

(3)     (可选)显示基于全局应用QoS策略的信息。

display qos policy global

该命令可在任意视图下执行。

2.8.4  基于控制平面应用

1. 配置限制和指导

将QoS策略应用到控制平面后,可以对控制平面各端口的流量进行镜像。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入控制平面视图。

(独立运行模式)

control-plane slot slot-number

(IRF模式)

control-plane chassis chassis-number slot slot-number

(3)     应用QoS策略到控制平面。

qos apply policy policy-name inbound

(4)     (可选)显示控制平面应用QoS策略的信息。

display qos policy control-plane

该命令可在任意视图下执行。

2.9  流镜像显示和维护

在完成上述配置后,在任意视图下执行display命令可以显示配置后流镜像的运行情况,通过查看显示信息验证配置的效果。

表2-1 流镜像显示和维护

操作

命令

显示监控组的配置信息

display monitoring-group { group-id | all }

 

2.10  流镜像典型配置举例

2.10.1  流镜像基本组网配置举例

1. 组网需求

某公司内的各部门之间使用不同网段的IP地址,其中市场部和技术部分别使用192.168.1.0/24和192.168.2.0/24网段,该公司的工作时间为每周工作日的8点到18点。

通过配置流镜像,使Server可以监控技术部访问互联网的WWW流量,以及技术部在工作时间发往市场部的IP流量。

2. 组网图

图2-5 流镜像典型配置组网图

3. 配置步骤

说明

缺省情况下,本设备的接口处于ADM(Administratively Down)状态,请根据实际需要在对应接口视图下使用undo shutdown命令开启接口。

 

# 定义工作时间:创建名为work的时间段,其时间范围为每周工作日的8点到18点。

<Device> system-view

[Device] time-range work 8:00 to 18:00 working-day

# 创建一个编号为3000的IPv4高级ACL,并定义如下规则:匹配技术部访问WWW的报文,以及在工作时间由技术部发往市场部的IP报文。

[Device] acl advanced 3000

[Device-acl-ipv4-adv-3000] rule permit tcp source 192.168.2.0 0.0.0.255 destination-port eq www

[Device-acl-ipv4-adv-3000] rule permit ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 time-range work

[Device-acl-ipv4-adv-3000] quit

# 创建流分类tech_c,并配置报文匹配规则为ACL 3000。

[Device] traffic classifier tech_c

[Device-classifier-tech_c] if-match acl 3000

[Device-classifier-tech_c] quit

# 创建流行为tech_b,并配置流镜像到接口FortyGigE1/0/3。

[Device] traffic behavior tech_b

[Device-behavior-tech_b] mirror-to interface fortygige 1/0/3

[Device-behavior-tech_b] quit

# 创建QoS策略tech_p,在策略中为流分类tech_c指定采用流行为tech_b。

[Device] qos policy tech_p

[Device-qospolicy-tech_p] classifier tech_c behavior tech_b

[Device-qospolicy-tech_p] quit

# 将QoS策略tech_p应用到接口FortyGigE1/0/4的入方向上。

[Device] interface fortygige 1/0/4

[Device-FortyGigE1/0/4] qos apply policy tech_p inbound

[Device-FortyGigE1/0/4] quit

4. 验证配置

配置完成后,用户可以通过Server监控技术部访问互联网的WWW流量,以及技术部在工作时间发往市场部的IP流量。

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们