远程镜像配置的实现Word文档格式.docx
《远程镜像配置的实现Word文档格式.docx》由会员分享,可在线阅读,更多相关《远程镜像配置的实现Word文档格式.docx(45页珍藏版)》请在冰豆网上搜索。
本地端口镜像:
可以将设备源端口上的报文复制到本设备的目的端口,用于监控和分析这些报文。
二层远程端口镜像:
可以将本设备源端口上的报文通过二层网络复制到另一台设备的目的端口,用于监控和分析这些报文。
三层远程端口镜像:
可以将本设备源端口上的报文通过三层网络复制到另一台设备的目的端口,用于监控和分析这些报文。
三层远程端口镜像可以实现不同网络甚至不同地域间的镜像功能,极大扩展了镜像功能监测的范围,并通过隧道方式保证了镜像报文的安全。
适用于在通过隧道连接的不同站点间进行数据采集和分析。
由于一个目的端口可以同时监视多个源端口,在某些配置情况下,目的端口会收到同一个报文的多个复制报文。
例如,目的端口Port1同时监控源端口Port2和Port3接收和发送的所有报文(Port2和Port3在同一台设备上),如果一个报文从Port2进入设备又从Port3发送出去,那么这个报文将被复制两次送到目的端口Port1。
1.1.3
端口镜像的实现方式
端口镜像通过镜像组的方式实现,镜像组可以分为本地镜像组、远程源镜像组和远程目的镜像组三类。
1.本地端口镜像实现方式
本地端口镜像通过本地镜像组的方式实现,即源端口和目的端口在同一个本地镜像组中,设备将源端口的报文复制一份并转发到目的端口。
图1-1本地端口镜像示意图
如图1-1所示,源端口的报文被镜像到目的端口,这样,连接在目的端口上的数据监测设备就可以对这些报文进行监控和分析。
本地镜像组支持跨板镜像,即目的端口和源端口可以在同一设备的不同单板上。
2.二层远程端口镜像实现方式
二层远程端口镜像通过远程源镜像组和远程目的镜像组互相配合的方式实现。
图1-2二层远程端口镜像示意图
如图1-2所示,用户在源设备上创建远程源镜像组,在目的设备上创建远程目的镜像组。
源设备将源端口的报文镜像一份给出端口,由该端口将镜像报文转发给中间设备,再由中间设备在远程镜像VLAN内广播,最终到达目的设备。
目的设备收到该报文后判断其VLANID,若其VLANID与远程目的镜像组的远程镜像VLAN的VLANID相同,就将其转发至目的端口。
这样,连接在目的端口上的数据监测设备就可以对源设备上源端口的报文进行监控和分析。
用户需要确保远程镜像VLAN内源设备到目的设备间二层网络的互通性。
在一个镜像组中对同一个端口收发的报文进行双向镜像时,需要在源设备、中间设备和目的设备上通过mac-addressmac-learningdisable命令用来关闭远程镜像VLAN的MAC地址学习功能,以保证镜像功能的正常进行。
关于mac-addressmac-learningdisable命令的详细信息,请参见“二层技术-以太网交换命令参考”中的“MAC地址表配置命令”。
在镜像报文离开源设备到达远程目的设备过程中,用户应确保镜像报文中VLANID的正确性,如果该VLANID被修改或删除,二层远程镜像功能将失效。
3.三层远程端口镜像实现方式
三层远程端口镜像通过远程源镜像组、远程目的镜像组和GRE隧道互相配合的方式实现。
图1-3三层远程端口镜像示意图
如图1-3所示,在源设备上,源端口的报文被镜像到Tunnel接口(作为其目的端口),然后通过GRE隧道发送至目的设备,目的设备在通过Tunnel接口(作为其源端口)将报文转发至其目的端口。
这样,目的设备上连接目的端口的数据监测设备就可以对源设备上源端口的报文进行监控和分析。
有关GRE隧道的详细介绍,请参见“三层技术-IP业务配置指导”中的“隧道配置”。
仅有SD、EB系列单板支持三层远程端口镜像功能。
1.2
配置本地端口镜像
1.2.1
配置任务简介
本地端口镜像的配置需要在同一台设备上进行。
首先创建一个本地镜像组,然后为该镜像组配置源端口和目的端口。
表1-1本地端口镜像配置任务简介
配置任务
说明
详细配置
创建本地镜像组
必选
1.2.2
配置源端口
1.2.3
配置目的端口
1.2.4
除了在SD、EB系列单板上,同一个端口可以作为两个镜像组的源端口之外,其余情况下,一个端口只能加入到一个镜像组。
源端口不能再被用作本镜像组或其它镜像组的出端口或目的端口。
创建本地镜像组
表1-2创建本地镜像组
操作
命令
进入系统视图
system-view
-
mirroring-groupgroup-idlocal
缺省情况下,不存在任何镜像组
配置源端口目的端口后,本地镜像组才能生效。
配置源端口
可以在系统视图下为指定镜像组配置一个或多个源端口,也可以在端口视图下将当前端口配置为指定镜像组的源端口,二者的配置效果相同。
1.在系统视图下配置源端口
表1-3在系统视图下配置源端口
为本地镜像组配置源端口
mirroring-groupgroup-idmirroring-portmirroring-port-list{both|inbound|outbound}
缺省情况下,镜像组没有源端口
2.在端口视图下配置源端口
表1-4在端口视图下配置源端口
进入端口视图
interfaceinterface-typeinterface-number
配置本端口为本地镜像组的源端口
[mirroring-groupgroup-id]mirroring-port{both|inbound|outbound}
缺省情况下,端口不是任何镜像组的源端口
一个镜像组内可以配置多个源端口。
配置目的端口
可以在系统视图下为指定镜像组配置目的端口,也可以在端口视图下将当前端口配置为指定镜像组的目的端口,二者的配置效果相同。
1.在系统视图下配置目的端口
表1-5在系统视图下配置目的端口
为本地镜像组配置目的端口
mirroring-groupgroup-idmonitor-portmonitor-port-id
缺省情况下,镜像组没有目的端口
2.在接口视图下配置目的端口
表1-6在接口视图下配置目的端口
进入接口视图
配置本端口为本地镜像组的目的端口
[mirroring-groupgroup-id]monitor-port
缺省情况下,端口不是任何镜像组的目的端口
一个镜像组内只能配置一个目的端口。
请不要在目的端口上使能STP、MSTP和RSTP,否则会影响镜像功能的正常使用。
目的端口收到的报文包括复制自源端口的报文和来自其它端口的正常转发报文。
为了保证数据监测设备只对源端口的报文进行分析,请将目的端口只用于端口镜像,不作其它用途。
镜像组的目的端口不能配置为已经接入RRPP环的端口。
1.3
配置二层远程端口镜像
1.3.1
二层远程端口镜像的配置需要分别在源设备和目的设备上进行。
如果用户在设备上启用了GVRP(GARPVLANRegistrationProtocol,GARPVLAN注册协议)功能,GVRP可能将远程镜像VLAN注册到不希望的端口上,此时在目的端口就会收到很多不必要的报文。
有关GVRP的详细介绍,请参见“二层技术-以太网交换配置指导”中的“GVRP配置”。
首先在源设备上为远程源镜像组配置源端口、出端口和远程镜像VLAN,然后在目的设备上为远程目的镜像组配置远程镜像VLAN和目的端口。
表1-7二层远程端口镜像配置任务简介
配置远程源镜像组
创建远程源镜像组
1.3.3
1.
2.
配置出端口
3.
配置远程镜像VLAN
4.
配置远程目的镜像组
创建远程目的镜像组
1.3.4
将目的端口加入远程镜像VLAN
利用远程镜像VLAN实现本地镜像支持多个目的端口
可选
1.3.5
1.3.2
配置准备
在配置二层远程端口镜像之前,需完成以下任务:
配置远程镜像VLAN所使用的静态VLAN
源设备上的远程源镜像组和目的设备上的远程目的镜像组必须使用相同的远程镜像VLAN。
配置远程源镜像组
请在源设备上进行如下配置。
1.创建远程源镜像组
表1-8创建远程源镜像组
mirroring-groupgroup-idremote-source
2.配置源端口
(1)
在系统视图下配置源端口
表1-9在系统视图下配置源端口
为远程源镜像组配置源端口
(2)
在端口视图下配置源端口
表1-10在接口视图下配置源端口
配置本端口为远程源镜像组的源端口
一个镜像组内可以配置多个源端口。
请不要将源端口加入到远程镜像VLAN中,否则会影响镜像功能的正常使用。
3.配置出端口
可以在系统视图下为指定镜像组配置出端口,也可以在端口视图下将当前端口配置为指定镜像组的出端口,二者的配置效果相同。
在系统视图下配置出端口
表1-11在系统视图下配置出端口
为远程源镜像组配置出端口
mirroring-groupgroup-idmonitor-egressmonitor-egress-port
缺省情况下,镜像组没有出端口
在端口视图下配置出端口
表1-12在接口视图下配置出端口
配置本端口为远程源镜像组的出端口
mirroring-groupgroup-idmonitor-egress
缺省情况下,端口不是任何镜像组的出端口
一个镜像组内只能配置一个出端口。
出端口不能是现有镜像组的成员端口。
请不要在出端口上配置下列功能:
STP、MSTP、RSTP、802.1X、IGMPSnooping、静态ARP和MAC地址学习,否则会影响镜像功能的正常使用。
4.配置远程镜像VLAN
表1-13配置远程镜像VLAN
为远程源镜像组配置远程镜像VLAN
mirroring-groupgroup-idremote-probevlanrprobe-vlan-id
缺省情况下,镜像组没有远程镜像VLAN
一个VLAN只能被一个镜像组使用。
请将远程镜像VLAN只用于端口镜像,不作其它用途。
被配置成远程镜像VLAN后,该VLAN不能直接删除,必须先删除远程镜像VLAN的配置才能够删除这个VLAN。
如果镜像组生效后,远程镜像VLAN被取消,那么该镜像组将失效。
配置远程目的镜像组
请在目的设备上进行如下配置。
1.创建远程目的镜像组
表1-14创建远程目的镜像组
mirroring-groupgroup-idremote-destination
2.配置目的端口
在系统视图下配置目的端口
表1-15在系统视图下配置目的端口
为远程目的镜像组配置目的端口
在端口视图下配置目的端口
表1-16在接口视图下配置目的端口
配置本端口为远程目的镜像组的目的端口
3.配置远程镜像VLAN
表1-17配置远程镜像VLAN
为远程目的镜像组配置远程镜像VLAN
4.将目的端口加入远程镜像VLAN
表1-18将目的端口加入远程镜像VLAN
进入目的接口视图
目的端口为Access端口
portaccessvlanvlan-id
三者必选其一
目的端口为Trunk端口
porttrunkpermitvlanvlan-id
目的端口为Hybrid端口
porthybridvlanvlan-id{tagged|untagged}
有关portaccessvlan、porttrunkpermitvlan和porthybridvlan命令的详细介绍,请参见“二层技术-以太网交换命令参考”中的“VLAN配置命令”。
利用远程镜像VLAN实现本地镜像支持多个目的端口
传统的本地镜像配置方式仅支持在一个镜像组中指定一个镜像目的端口,虽然可以通过在多个镜像组中指定同一个源端口的方式,实现将流经某端口的数据镜像至多个目的端口,但这种方式十分浪费镜像组资源,并且目的端口的数量仍然有限。
此时可以利用远程镜像VLAN的原理来实现这种需求。
在二层远程端口镜像中,会使用到远程镜像VLAN,镜像报文在远程镜像VLAN中以广播的方式发送。
因此,可以利用远程镜像VLAN的原理,在本地设备上创建远程源镜像组,并指定远程镜像VLAN,同时将本设备上连接数据检测设备的多个端口加入该VLAN。
完成以上配置后,镜像报文在远程镜像VLAN中广播时便可以从这些端口中发送出去,实现将镜像报文输出至多个端口的需求。
表1-19利用远程镜像VLAN实现本地镜像支持多个目的端口配置
在系统视图下配置
两种方式必选其一
在端口视图下配置
quit
为远程源镜像组配置反射端口
mirroring-groupgroup-idreflector-portreflector-port
缺省情况下,镜像组没有反射端口
创建远程镜像VLAN并进入VLAN视图
vlanvlan-id
将镜像目的端口加入远程镜像VLAN
portinterface-list
缺省情况下,新建VLAN中不包含任何端口
退出至系统视图
SA系列单板的端口不支持被配置成为反射口。
镜像反射口必须是Access类型的端口,且必须属于缺省VLAN(VLAN1)。
建议选择设备上未使用的端口作为镜像反射口,且建议关闭反射口的STP功能。
Combo端口不能被配置为镜像反射口。
在一个镜像组内,如果已经配置了镜像反射口,则无法再配置镜像出端口。
一个VLAN只能作为一个远程源镜像组的远程镜像VLAN,且建议该VLAN只用于端口镜像,不作其它用途。
远程镜像VLAN必须为静态VLAN,且在被配置成远程镜像VLAN后,该VLAN不能直接删除,必须先删除远程镜像VLAN的配置才能够删除这个VLAN。
镜像目的端口必须是Access类型的端口。
1.4
配置三层远程端口镜像
1.4.1
三层远程端口镜像的配置需要分别在源设备和目的设备上进行。
分别在源设备和目的设备上先创建一个本地镜像组,然后为该镜像组配置源端口和目的端口,不同的是:
在源设备上,需要将源端口指定为待监控的端口,目的端口指定为Tunnel接口;
在目的设备上,需要将源端口指定为Tunnel接口对应的物理端口,目的端口指定为连接数据监测设备的端口。
表1-20三层远程端口镜
升级会员 