华为端口镜像配置Word格式文档下载.docx

1、vlan 镜像分为本地 vlan 镜像、二层远程 vlan 镜像。4、mac地址镜像基于 mac地址的镜像，将匹配源或目的的 mac地址的入方向的流量复制到观察关 口，不支持出方向。 mac地址镜像支持本地 mac地址镜像、二层远程 mac地址镜 像。session 2 镜像的配置一、端口镜像配置1、本地端口镜像配置Huaweiobserve-port 1 interface g0/0/1 配置一个序列号为 1 的观察 端口 g0/0/1Huaweiinterface g0/0/2 配置镜像端 口Huawei-GigabitEthernet0/0/2port-mirroring to obse

2、rve-port 1both 配置一个镜像端口，将双向流量复制到序列号为 1 的观察端口 Huawei-GigabitEthernet0/0/2quit查看端口配置状态Huaweidisplay observe-portIndex : 1Interface: GigabitEthernet0/0/1Used : 2HuaweiHuaweidisplay port-mirroringPort-mirror:Mirror-portDirectionObserve-portGigabitEthernet0/0/2 BothGigabitEthernet0/0/12、二层远程端口镜像端口的二层远程镜像

3、的原理是通过创建一个 vlan ，将镜像端口的流量 复制到观察端口中， 观察端口在该 vlan 中进行广播， 通过 vlan 的广播将复制的 流量发送到监控设备连接的端口上， 进行监控。值得注意的是镜像端口和观察端 口必须在一台设备上，镜像端口不能在该 vlan （实际中发现镜像端口也可以在 该 vlan 中），而观察端口因为要收集镜像端口的流量，所以必须在这个 vlan 。在下面拓扑中 LSW1上的镜像端口将流量复制到观察端口中， 由观察端口在 vlan2 过广播将从镜像端口复制的流量发送至监控服务器 server1 所连接的 G0/0/2 接 口，供 server1 进行流量的分析。配置：

4、首先创建一个用于广播镜像流量的 vlan ，分别在 lsw1 与 lsw2 上创建 vlan2 ，并将 server1 连接的接口 g0/0/2 划分到 vlan2 中用于接收复制的镜像流 量，而 pc3 默认在 vlan1 中不属于 vlan2 不用做其他的配置，在 lsw 之间允许 vlan2 的流量通过，注意观察 vlan 中必须关闭 MAC地址学习功能，因为该功能与镜像功能相冲突。lsw1vlan 2lsw1-vlan2mac-address learning disable 必须在观察 vlan 中关闭 mac地址学习功能lsw1-vlan2qlsw1interface g0/0/2

5、lsw1-GigabitEthernet0/0/2port link-type trunklsw1-GigabitEthernet0/0/2port trunk allow-pass vlan alllsw1-GigabitEthernet0/0/2qlsw1observe-port 1 interface g0/0/2 vlan 2 指定观察端口，并在 vlan2 中广播复制的流量lsw1interface g0/0/1lsw1-GigabitEthernet0/0/1port-mirroring to observe-port 1 both 指 定镜像端口，将流量复制到序列号为 1 的观察

6、端口lsw1-GigabitEthernet0/0/1qlsw2vlan 2lsw2-vlan2qlsw2interface g0/0/1lsw2-GigabitEthernet0/0/1port link-type trunklsw2-GigabitEthernet0/0/1port trunk allow-pass vlan all将监控设备连接的端口加lsw2-GigabitEthernet0/0/1q lsw2interface g0/0/2入 vlan2 收取从镜像端口复制来的流量lsw2-GigabitEthernet0/0/2port link-type accesslsw2-G

7、igabitEthernet0/0/2port default vlan 2lsw2-GigabitEthernet0/0/2q3、三层远程镜像端口配置端口的三层远程镜像的原理是，通过在 ip 层建立一条 GRE的 tunnel 隧道将镜像端口的流量复制到观察端口，观察端口在通过 GRE-tunnel 隧道将流量发送到监控设备所在的端口上，进行流量的分析。在下面拓扑中 LSW1上的镜像端口将流量复制到观察端口， 由观察端口通过 GRE-tunle 发送至 server2 监控服务器连接的 lsw2 的 E0/0/2 接口，供 server2 对镜像端口的流量进行分析配置如下：首先在 AR1和

8、AR2上分别配置路由网段及静态路由，保证三层互通， 然后在 LSW1上配置镜像端口及观察端口的 gre 隧道。路由部分省略，在 lsw1 上配置：Huaweiobserve-port 1 interface e0/0/1 destination-ip 192.168.2.100source-ip 192.168.1.100 创建观察端口及隧道Huaweiinterface e0/0/2Huawei-Ethernet0/0/1port-mirroring to observe-port 1 both 指定镜像端口和序列号 1Huawei-Ethernet0/0/1quit二、流镜像配置流镜像的配

9、置与端口镜像的配置小异，唯一不同点就是镜像流量抓取的 是流策略中定义的流量， 而不是接口上的所有流量， 另外就是流镜像只支持入方 向的流量的镜像。下面为本地为例： 二层远程和三层远程的配置与端口镜像一致， 只需要将镜像端 口改为流策略。下面拓扑中要求在 LSW1的 G0/0/1 接口上抓取所有 ip-precedence 为 4和 5的流 量进行镜像到观察端口。配置观察端口配置流observe-port 1 interface GigabitEthernet0/0/2 traffic classifier span operator and策略抓取 ipp4 、5 的流量if-match ip

10、-precedence 4 5 traffic behavior spanmirroring to observe-port 1 流策 略的行为是监控#traffic policy spanclassifier span behavior spandrop-profile defaultinterface MEth0/0/1interface GigabitEthernet0/0/1 将流策 略应用于接口上只监控 ipp4 、 5 的流量traffic-policy span inbound三、 vlan 镜像配置vlan 镜像的配置与端口镜像的配置小异，唯一不同点就是 vlan 镜像流 量抓

11、取的是 vlan 中所有活动接口的流量，且只支持入方向的流量的镜像。 下面为本地为例：二层远程的配置与端口镜像一致，只需要将镜像端口改为vlan ，不支持三层远程。面拓扑中要求在 LSW1上抓取所有 vlan2 的流量进行镜像到观察端口。vlan 2 interface GigabitEthernet0/0/1port link-type accessport default vlan 2interface GigabitEthernet0/0/2Huaweiobserve-port 1 interface GigabitEthernet0/0/3 观察端口Huaweivlan 2Huawei

12、-vlan2mirroring to observe-port 1 inbound 镜像 vlan2所有活动接口入向流量Huawei-vlan2quit四、 mac地址镜像配置mac 地址镜像的配置与端口镜像的配置小异，唯一不同点就是 mac 地址镜像流量抓取指定的源或目的 mac地址，且只支持入方向的流量的镜像。二层远程的配置与端口镜像一致，只需要将镜像端口改为 mac 地址，不支持三层远程。下面拓扑中要求在 LSW1上的 vlan2 中仅抓取 pc1 的流量进行镜像到观察端口。配置 mac地址镜像：vlan 2interface GigabitEthernet0/0/1观察端口Huaweiobserve-port 1 interface GigabitEthernet0/0/3Huawei-vlan2mac-mirroring 5489-9831-2DE7 to observe-port 1 inbound 镜像 pc1 的流量到观察端口SPAN镜像检查命令： Huaweidisplay port-mirroring 查看镜像端口