目录
1 端口镜像配置.....................................................................................................................................1-1
1.1 端口镜像简介.....................................................................................................................................1-1
1.1.1 端口镜像基本概念...................................................................................................................1-1
1.1.2 端口镜像的分类......................................................................................................................1-1
1.1.3 端口镜像的实现方式...............................................................................................................1-2
1.2 配置本地端口镜像.............................................................................................................................1-3
1.3 配置远程端口镜像.............................................................................................................................1-4
1.3.1 配置准备.................................................................................................................................1-4
1.3.2 配置远程源镜像组...................................................................................................................1-4
1.3.3 配置远程目的镜像组...............................................................................................................1-5
1.4 端口镜像显示和维护..........................................................................................................................1-6
1.5 端口镜像典型配置举例......................................................................................................................1-7
1.5.1 本地端口镜像配置举例...........................................................................................................1-7
1.5.2 远程端口镜像配置举例...........................................................................................................1-8
1 端口镜像配置
1.1 端口镜像简介
端口镜像是将指定端口(源端口)或VLAN(源VLAN)的报文复制一份到其它端口(目的端口),目的端口会与数据监测设备相连,用户利用这些数据监测设备来分析复制到目的端口的报文,进行网络监控和故障排除。
1.1.1 端口镜像基本概念
为了更好地理解后面的内容,首先介绍一下端口镜像中涉及的基本概念。
1. 源端口
源端口是被监控的端口,用户可以对通过该端口的报文进行监控和分析。
2. 源VLAN
源VLAN是被监控的VLAN,用户可以对通过该VLAN所有端口的报文进行监控和分析。
3. 目的端口
目的端口也可称为监控端口,该端口将接收到的报文转发到数据监测设备,以便对报文进行监控和分析。
4. 镜像的方向
端口镜像的方向分为三种:
z入方向:仅对源端口(或源VLAN)接收的报文进行镜像。
z出方向:仅对源端口(或源VLAN)发送的报文进行镜像。
z双向:对源端口(或源VLAN)接收和发送的报文都进行镜像。
1.1.2 端口镜像的分类
端口镜像分为两种:
z本地端口镜像:是指将设备的一个或多个源端口(或源VLAN)的报文复制到本设备的一个目的端口,用于报文的监控和分析。其中,源端口(或源VLAN中的端口)和目的端口必须在
同一台设备上。
z远程端口镜像:除了可以实现本地端口镜像的功能外,它还突破了源端口(或源VLAN中的端口)和目的端口必须在同一台设备上的限制,使源端口(或源VLAN中的端口)和目的端
口间可以跨越多个网络设备。目前,远程端口镜像功能可以穿越二层网络,但无法穿越三层
网络。
由于一个目的端口可以同时监视多个源端口(或源VLAN),在某些配置情况下,目的端口会收到同一个报文的多个复制报文。例如,目的端口Port 1同时监控源端口Port 2和Port 3接收和发送的报文(Port 2和Port 3在同一台设备上),如果一个报文从Port 2进入设备又从Port 3发送出去,那么这个报文将被复制两次送到目的端口Port 1。
1.1.3 端口镜像的实现方式
端口镜像通过镜像组的方式实现,镜像组可以分为本地镜像组、远程源镜像组和远程目的镜像组三类。
下面将分别介绍两类端口镜像的实现方式。
1. 本地端口镜像
本地端口镜像通过本地镜像组的方式实现。源端口(或源VLAN中的端口)和目的端口在同一个本地镜像组中,设备将源端口(或源VLAN)的报文复制一份并转发到目的端口。
如图1-1所示,源端口的报文被镜像到目的端口,这样,接在目的端口上的数据监测设备就可以对源端口的报文进行监控和分析。
图1-1本地端口镜像示意图
本地镜像组支持跨板镜像,即目的端口和源端口(或源VLAN中的端口)可以在同一设备的不同单板上。
2. 远程端口镜像
远程端口镜像通过远程源镜像组和远程目的镜像组互相配合的方式实现。远程端口镜像的示意如图1-2所示。
图1-2远程端口镜像示意图
源设备中间设备目的设备
数据监测设备
报文在源设备中的处理过程
图中各设备的作用如下:
z源设备:源端口(或源VLAN中的端口)所在的设备,用户需要在源设备上创建远程源镜像组。本设备负责将源端口(或源VLAN)的报文复制一份,然后通过反射口将报文在远程镜像
VLAN中进行广播,传输给中间设备或目的设备。
z中间设备:网络中处于源设备和目的设备之间的设备。本设备负责将镜像报文传输给下一个中间设备或目的设备。如果源设备与目的设备直接相连,则不存在中间设备。用户需要确保
远程镜像VLAN内源设备到目的设备的二层网络互通性。
z目的设备:远程镜像目的端口所在的设备,用户需要在目的设备上创建远程目的镜像组。目的设备收到报文后,比较报文的VLAN ID和远程目的镜像组的远程镜像VLAN ID是否相同,
如果相同,则将该报文通过镜像目的端口转发给数据监测设备。
当远程镜像报文离开源设备到达远程目的设备过程中,用户应确保远程镜像报文中VLAN ID的正确。如果远程镜像VLAN ID被修改或删除,则远程镜像功能失效。
1.2 配置本地端口镜像
配置本地端口镜像时,用户首先要创建一个本地镜像组,然后为本地镜像组配置源端口(或源VLAN)和目的端口。
表1-1配置本地端口镜像
操作命令说明进入系统视图system-view -
创建本地镜像组mirroring-group group-id local 必选
置源端口
outbound }
interface interface-type interface-number [ mirroring-group group-id ] mirroring-port { both | inbound | outbound }
为镜像
组配置
源端口在以太网接口视
图下配置源端口
quit 为镜像
组配置源VLAN 在系统视图下配
置源VLAN
mirroring-group group-id mirroring-vlan
mirroring-vlan-list { both | inbound |
outbound }
必选
用户可以为镜像组配置源端口或
源VLAN,也可以为镜像组同时
配置源端口和源VLAN
用户可以在系统视图下同时配置
多个源端口,也可以在具体的接
口视图下配置源端口,两种视图
下的配置效果相同
在系统视图下配
置目的端口
mirroring-group group-id monitor-port
monitor-port-id
interface interface-type interface-number
为镜像组配置
目的端口在接口视图下配
置目的端口[ mirroring-group group-id ] monitor-port
二者必选其一
两种视图下的配置效果相同
z本地镜像组需要配置源端口(或源VLAN)、目的端口才能生效。
z源VLAN必须是已经存在的静态VLAN。
z建议用户不要将源端口加入到镜像源VLAN,否则会影响设备的性能。
z源端口只能是以太网接口,目的端口可以是以太网接口或二层聚合接口。
z建议用户不要将目的端口加入镜像源VLAN,否则会影响设备的正常使用。
z建议用户不要在目的端口上使能STP、MSTP以及RSTP,否则会影响设备的正常使用。
z一个镜像组中可以配置多个源端口(或源VLAN),但只能配置一个目的端口。
z一个端口只能在一个镜像组中被配置,同一个VLAN只能被一个镜像组使用。
z目的端口收到的报文包括复制自源端口(或源VLAN)的报文和来自其它端口的正常转发报文。
为了保证数据监测设备只对源端口(或源VLAN)的报文进行分析,建议目的端口仅用于端口镜像,不用做其它用途。
1.3 配置远程端口镜像
配置远程端口镜像时,用户需要在两台设备上分别配置远程源镜像组和远程目的镜像组。两个镜像组所使用的远程镜像VLAN必须相同。
1.3.1 配置准备
确定一个已经存在的静态VLAN作为远程镜像VLAN。
1.3.2 配置远程源镜像组
表1-2配置远程源镜像组
操作命令说明进入系统视图system-view -
创建远程源镜像组mirroring-group group-id remote-source 必选
置源端口
outbound }
interface interface-type interface-number [ mirroring-group group-id ] mirroring-port { both | inbound | outbound }
为镜像
组配置
源端口在以太网接口视
图下配置源端口
quit 为镜像
组配置源VLAN 在系统视图下配
置源VLAN
mirroring-group group-id mirroring-vlan
mirroring-vlan-list { both | inbound |
outbound }
必选
用户可以为镜像组配置源端口或
源VLAN,也可以为镜像组同时
配置源端口和源VLAN
用户可以在系统视图下同时配置
多个源端口,也可以在具体的接
口视图下配置源端口,两种视图
下的配置效果相同
在系统视图下配
置反射口
mirroring-group group-id reflector-port
reflector-port-id
interface interface-type interface-number
mirroring-group group-id reflector-port
为镜像
组配置
反射口在以太网接口视
图下配置反射口
quit 二者必选其一
两种视图下的配置效果相同
为镜像组配置远程镜像VLAN mirroring-group group-id remote-probe
vlan rprobe-vlan-id
必选
z远程源镜像组的源端口和反射口属于同一台设备。
z源端口、反射口只能是以太网接口。
z建议用户不要将源端口加入到远程镜像VLAN,否则会影响设备的性能。
z源VLAN必须是已经存在的静态VLAN。
z反射口不能是现有镜像组的成员端口、不能是流镜像目的端口、必须是Access端口且属于缺省VLAN。
z反射口不能配置QinQ和端口环回功能。
z将某个端口配置为反射口后,不能再修改端口双工模式、端口速率。
z建议用户不要在反射口连接网线,不要在反射口上配置下列功能:STP、MSTP、RSTP、IGMP Snooping、静态ARP以及MAC地址学习,否则会影响设备的正常使用。
z建议用户不要将反射口加入镜像源VLAN,否则会影响设备的正常使用。
z当配置VLAN为远程镜像VLAN后,不能直接删除该VLAN,必须先删除远程镜像VLAN的配置才能够删除这个VLAN。如果组生效后,VLAN被删除,那么组也将失效。
z建议远程镜像VLAN不用做其它用途,仅用于远程镜像。
z一个远程源镜像组中可以配置多个源端口(或源VLAN),只能配置一个反射口。
z一个端口只能在一个镜像组中被配置,同一个VLAN只能被一个镜像组使用。
1.3.3 配置远程目的镜像组
远程目的镜像组需要配置远程镜像VLAN和目的端口。
