远程镜像配置的实现Word文档格式.docx

1、 本地端口镜像：可以将设备源端口上的报文复制到本设备的目的端口，用于监控和分析这些报文。 二层远程端口镜像：可以将本设备源端口上的报文通过二层网络复制到另一台设备的目的端口，用于监控和分析这些报文。 三层远程端口镜像：可以将本设备源端口上的报文通过三层网络复制到另一台设备的目的端口，用于监控和分析这些报文。三层远程端口镜像可以实现不同网络甚至不同地域间的镜像功能，极大扩展了镜像功能监测的范围，并通过隧道方式保证了镜像报文的安全。适用于在通过隧道连接的不同站点间进行数据采集和分析。由于一个目的端口可以同时监视多个源端口，在某些配置情况下，目的端口会收到同一个报文的多个复制报文。例如，目的端口Po

2、rt 1同时监控源端口Port 2和Port 3接收和发送的所有报文（Port 2和Port 3在同一台设备上），如果一个报文从Port 2进入设备又从Port 3发送出去，那么这个报文将被复制两次送到目的端口Port 1。1.1.3 端口镜像的实现方式端口镜像通过镜像组的方式实现，镜像组可以分为本地镜像组、远程源镜像组和远程目的镜像组三类。1. 本地端口镜像实现方式本地端口镜像通过本地镜像组的方式实现，即源端口和目的端口在同一个本地镜像组中，设备将源端口的报文复制一份并转发到目的端口。图1-1 本地端口镜像示意图如图1-1所示，源端口的报文被镜像到目的端口，这样，连接在目的端口上的数据监测设

3、备就可以对这些报文进行监控和分析。本地镜像组支持跨板镜像，即目的端口和源端口可以在同一设备的不同单板上。2. 二层远程端口镜像实现方式二层远程端口镜像通过远程源镜像组和远程目的镜像组互相配合的方式实现。图1-2 二层远程端口镜像示意图如图1-2所示，用户在源设备上创建远程源镜像组，在目的设备上创建远程目的镜像组。源设备将源端口的报文镜像一份给出端口，由该端口将镜像报文转发给中间设备，再由中间设备在远程镜像VLAN内广播，最终到达目的设备。目的设备收到该报文后判断其VLAN ID，若其VLAN ID与远程目的镜像组的远程镜像VLAN的VLAN ID相同，就将其转发至目的端口。这样，连接在目的端口

4、上的数据监测设备就可以对源设备上源端口的报文进行监控和分析。 用户需要确保远程镜像VLAN内源设备到目的设备间二层网络的互通性。 在一个镜像组中对同一个端口收发的报文进行双向镜像时，需要在源设备、中间设备和目的设备上通过mac-address mac-learning disable命令用来关闭远程镜像VLAN的MAC地址学习功能，以保证镜像功能的正常进行。关于mac-address mac-learning disable命令的详细信息，请参见“二层技术-以太网交换命令参考”中的“MAC地址表配置命令”。在镜像报文离开源设备到达远程目的设备过程中，用户应确保镜像报文中VLAN ID的正确性，

5、如果该VLAN ID被修改或删除，二层远程镜像功能将失效。3. 三层远程端口镜像实现方式三层远程端口镜像通过远程源镜像组、远程目的镜像组和GRE隧道互相配合的方式实现。图1-3 三层远程端口镜像示意图如图1-3所示，在源设备上，源端口的报文被镜像到Tunnel接口（作为其目的端口），然后通过GRE隧道发送至目的设备，目的设备在通过Tunnel接口（作为其源端口）将报文转发至其目的端口。这样，目的设备上连接目的端口的数据监测设备就可以对源设备上源端口的报文进行监控和分析。 有关GRE隧道的详细介绍，请参见“三层技术-IP业务配置指导”中的“隧道配置”。 仅有SD、EB系列单板支持三层远程端口镜像

6、功能。1.2 配置本地端口镜像1.2.1 配置任务简介本地端口镜像的配置需要在同一台设备上进行。首先创建一个本地镜像组，然后为该镜像组配置源端口和目的端口。表1-1 本地端口镜像配置任务简介配置任务说明详细配置创建本地镜像组必选1.2.2 配置源端口1.2.3配置目的端口1.2.4 除了在SD、EB系列单板上，同一个端口可以作为两个镜像组的源端口之外，其余情况下，一个端口只能加入到一个镜像组。 源端口不能再被用作本镜像组或其它镜像组的出端口或目的端口。 创建本地镜像组表1-2 创建本地镜像组操作命令进入系统视图system-view-mirroring-group group-id local

7、缺省情况下，不存在任何镜像组配置源端口目的端口后，本地镜像组才能生效。 配置源端口可以在系统视图下为指定镜像组配置一个或多个源端口，也可以在端口视图下将当前端口配置为指定镜像组的源端口，二者的配置效果相同。1. 在系统视图下配置源端口表1-3 在系统视图下配置源端口为本地镜像组配置源端口mirroring-group group-id mirroring-port mirroring-port-list both | inbound | outbound 缺省情况下，镜像组没有源端口2. 在端口视图下配置源端口表1-4 在端口视图下配置源端口进入端口视图interface interface-

8、type interface-number配置本端口为本地镜像组的源端口 mirroring-group group-id mirroring-port both | inbound | outbound 缺省情况下，端口不是任何镜像组的源端口一个镜像组内可以配置多个源端口。 配置目的端口可以在系统视图下为指定镜像组配置目的端口，也可以在端口视图下将当前端口配置为指定镜像组的目的端口，二者的配置效果相同。1. 在系统视图下配置目的端口表1-5 在系统视图下配置目的端口为本地镜像组配置目的端口mirroring-group group-id monitor-port monitor-port-i

9、d缺省情况下，镜像组没有目的端口2. 在接口视图下配置目的端口表1-6 在接口视图下配置目的端口进入接口视图配置本端口为本地镜像组的目的端口 mirroring-group group-id monitor-port缺省情况下，端口不是任何镜像组的目的端口 一个镜像组内只能配置一个目的端口。 请不要在目的端口上使能STP、MSTP和RSTP，否则会影响镜像功能的正常使用。 目的端口收到的报文包括复制自源端口的报文和来自其它端口的正常转发报文。为了保证数据监测设备只对源端口的报文进行分析，请将目的端口只用于端口镜像，不作其它用途。 镜像组的目的端口不能配置为已经接入RRPP环的端口。1.3 配置

10、二层远程端口镜像1.3.1二层远程端口镜像的配置需要分别在源设备和目的设备上进行。 如果用户在设备上启用了GVRP（GARP VLAN Registration Protocol，GARP VLAN注册协议）功能，GVRP可能将远程镜像VLAN注册到不希望的端口上，此时在目的端口就会收到很多不必要的报文。有关GVRP的详细介绍，请参见“二层技术-以太网交换配置指导”中的“GVRP配置”。首先在源设备上为远程源镜像组配置源端口、出端口和远程镜像VLAN，然后在目的设备上为远程目的镜像组配置远程镜像VLAN和目的端口。表1-7 二层远程端口镜像配置任务简介配置远程源镜像组创建远程源镜像组1.3.3

11、 1. 2. 配置出端口 3. 配置远程镜像VLAN 4. 配置远程目的镜像组创建远程目的镜像组1.3.4将目的端口加入远程镜像VLAN利用远程镜像VLAN实现本地镜像支持多个目的端口可选1.3.51.3.2 配置准备在配置二层远程端口镜像之前，需完成以下任务： 配置远程镜像VLAN所使用的静态VLAN源设备上的远程源镜像组和目的设备上的远程目的镜像组必须使用相同的远程镜像VLAN。 配置远程源镜像组请在源设备上进行如下配置。1. 创建远程源镜像组表1-8 创建远程源镜像组mirroring-group group-id remote-source2. 配置源端口（1） 在系统视图下配置源端口

12、表1-9 在系统视图下配置源端口为远程源镜像组配置源端口（2） 在端口视图下配置源端口表1-10 在接口视图下配置源端口配置本端口为远程源镜像组的源端口 一个镜像组内可以配置多个源端口。 请不要将源端口加入到远程镜像VLAN中，否则会影响镜像功能的正常使用。3. 配置出端口可以在系统视图下为指定镜像组配置出端口，也可以在端口视图下将当前端口配置为指定镜像组的出端口，二者的配置效果相同。 在系统视图下配置出端口表1-11 在系统视图下配置出端口为远程源镜像组配置出端口mirroring-group group-id monitor-egress monitor-egress-port缺省情况下，

13、镜像组没有出端口 在端口视图下配置出端口表1-12 在接口视图下配置出端口配置本端口为远程源镜像组的出端口mirroring-group group-id monitor-egress缺省情况下，端口不是任何镜像组的出端口 一个镜像组内只能配置一个出端口。 出端口不能是现有镜像组的成员端口。 请不要在出端口上配置下列功能：STP、MSTP、RSTP、802.1X、IGMP Snooping、静态ARP和MAC地址学习，否则会影响镜像功能的正常使用。4. 配置远程镜像VLAN表1-13 配置远程镜像VLAN为远程源镜像组配置远程镜像VLANmirroring-group group-id rem

14、ote-probe vlan rprobe-vlan-id缺省情况下，镜像组没有远程镜像VLAN 一个VLAN只能被一个镜像组使用。 请将远程镜像VLAN只用于端口镜像，不作其它用途。 被配置成远程镜像VLAN后，该VLAN不能直接删除，必须先删除远程镜像VLAN的配置才能够删除这个VLAN。 如果镜像组生效后，远程镜像VLAN被取消，那么该镜像组将失效。 配置远程目的镜像组请在目的设备上进行如下配置。1. 创建远程目的镜像组表1-14 创建远程目的镜像组mirroring-group group-id remote-destination2. 配置目的端口 在系统视图下配置目的端口表1-15

15、 在系统视图下配置目的端口为远程目的镜像组配置目的端口 在端口视图下配置目的端口表1-16 在接口视图下配置目的端口配置本端口为远程目的镜像组的目的端口3. 配置远程镜像VLAN表1-17 配置远程镜像VLAN为远程目的镜像组配置远程镜像VLAN4. 将目的端口加入远程镜像VLAN表1-18 将目的端口加入远程镜像VLAN进入目的接口视图目的端口为Access端口port access vlan vlan-id三者必选其一目的端口为Trunk端口port trunk permit vlan vlan-id目的端口为Hybrid端口port hybrid vlan vlan-id tagged

16、| untagged 有关port access vlan、port trunk permit vlan和port hybrid vlan命令的详细介绍，请参见“二层技术-以太网交换命令参考”中的“VLAN配置命令”。 利用远程镜像VLAN实现本地镜像支持多个目的端口传统的本地镜像配置方式仅支持在一个镜像组中指定一个镜像目的端口，虽然可以通过在多个镜像组中指定同一个源端口的方式，实现将流经某端口的数据镜像至多个目的端口，但这种方式十分浪费镜像组资源，并且目的端口的数量仍然有限。此时可以利用远程镜像VLAN的原理来实现这种需求。在二层远程端口镜像中，会使用到远程镜像VLAN，镜像报文在远程镜像V

17、LAN中以广播的方式发送。因此，可以利用远程镜像VLAN的原理，在本地设备上创建远程源镜像组，并指定远程镜像VLAN，同时将本设备上连接数据检测设备的多个端口加入该VLAN。完成以上配置后，镜像报文在远程镜像VLAN中广播时便可以从这些端口中发送出去，实现将镜像报文输出至多个端口的需求。表1-19 利用远程镜像VLAN实现本地镜像支持多个目的端口配置 在系统视图下配置两种方式必选其一在端口视图下配置quit为远程源镜像组配置反射端口mirroring-group group-id reflector-port reflector-port缺省情况下，镜像组没有反射端口创建远程镜像VLAN并进入

18、VLAN视图vlan vlan-id将镜像目的端口加入远程镜像VLANport interface-list缺省情况下，新建VLAN中不包含任何端口退出至系统视图 SA系列单板的端口不支持被配置成为反射口。 镜像反射口必须是Access类型的端口，且必须属于缺省VLAN（VLAN1）。 建议选择设备上未使用的端口作为镜像反射口，且建议关闭反射口的STP功能。 Combo端口不能被配置为镜像反射口。 在一个镜像组内，如果已经配置了镜像反射口，则无法再配置镜像出端口。 一个VLAN只能作为一个远程源镜像组的远程镜像VLAN，且建议该VLAN只用于端口镜像，不作其它用途。 远程镜像VLAN必须为静态VLAN，且在被配置成远程镜像VLAN后，该VLAN不能直接删除，必须先删除远程镜像VLAN的配置才能够删除这个VLAN。 镜像目的端口必须是Access类型的端口。1.4 配置三层远程端口镜像1.4.1三层远程端口镜像的配置需要分别在源设备和目的设备上进行。分别在源设备和目的设备上先创建一个本地镜像组，然后为该镜像组配置源端口和目的端口，不同的是： 在源设备上，需要将源端口指定为待监控的端口，目的端口指定为Tunnel接口； 在目的设备上，需要将源端口指定为Tunnel接口对应的物理端口，目的端口指定为连接数据监测设备的端口。表1-20 三层远程端口镜