H3C 端口镜像配置.docx

1、H3C 端口镜像配置第1章 端口镜像配置1.1 端口镜像简介端口镜像是将指定端口的报文复制一份到镜像目的端口，镜像目的端口会与数据监测设备相连，用户利用这些数据监测设备来分析复制到目的端口的报文，进行网络监控和故障排除。图1-1 端口镜像示意图1.1.1 端口镜像的分类端口镜像分为本地端口镜像和远程端口镜像两种镜像方式：l本地端口镜像是指将设备的一个或多个端口（源端口）的报文复制到本设备的一个监视端口（目的端口），用于报文的监视和分析。其中，源端口和目的端口必须在同一台设备上。l远程端口镜像突破了源端口和目的端口必须在同一台设备上的限制，使源端口和目的端口间可以跨越多个网络设备。目前，远程端口

2、镜像功能可以穿越二层网络，但无法穿越三层网络。1.1.2 端口镜像的实现方式端口镜像通过镜像组的方式实现，镜像组可以分为本地镜像组、远程源镜像组和远程目的镜像组。下面将分别介绍两类端口镜像的实现方式。1. 本地端口镜像本地端口镜像通过本地镜像组的方式实现。源端口和目的端口在同一个本地镜像组中，设备将源端口的报文复制一份并转发到目的端口。2. 远程端口镜像远程端口镜像通过远程源镜像组和远程目的镜像组互相配合的方式实现。远程端口镜像的应用如图1-2所示。图1-2 远程端口镜像应用示意图图中各设备的作用如下：l源设备：源端口所在的设备，用户需要在源设备上创建远程源镜像组。本设备负责将源端口的报文复制

3、一份，然后通过出端口将报文在远程镜像VLAN中进行广播，传输给中间设备或目的设备。l中间设备：网络中处于源设备和目的设备之间的设备。本设备负责将镜像报文传输给下一个中间设备或目的设备。如果源设备与目的设备直接相连，则不存在中间设备。用户需要确保远程镜像VLAN内源设备到目的设备的二层互通性。l目的设备：远程镜像目的端口所在的设备，用户需要在目的设备上创建远程目的镜像组。目的设备收到报文后，比较报文的VLAN ID和远程目的镜像组的远程镜像VLAN是否相同，如果相同，则将该报文通过镜像目的端口转发给监控设备。1.1.3 端口镜像支持的其他功能镜像组还支持一个目的端口监视多个源端口的功能。1.2

4、配置本地端口镜像配置本地端口镜像时，用户首先要创建一个本地镜像组，然后为本地镜像组配置源端口和目的端口。表1-1 配置本地端口镜像操作命令说明进入系统视图system-view-创建本地镜像组mirroring-groupgroup-idlocal必选为镜像组配置源端口在系统视图下配置源端口mirroring-groupgroup-idmirroring-portmirroring-port-listinbound|outbound|both二者必选其一用户可以在系统视图下同时配置多个源端口，也可以在具体的端口视图下配置源端口，两种视图下的配置效果相同在端口视图下配置源端口interfacei

5、nterface-type interface-numbermirroring-groupgroup-idmirroring-portinbound|outbound|bothquit为镜像组配置目的端口在系统视图下配置目的端口mirroring-groupgroup-idmonitor-portmonitor-port-id二者必选其一两种视图下的配置效果相同在端口视图下配置目的端口interfaceinterface-type interface-numbermirroring-groupgroup-idmonitor-port& 说明：l本地镜像组需要配置源端口、目的端口才能生效。l建议

6、用户不要在目的端口上开启STP、RSTP或MSTP，否则可能会影响镜像功能的正常使用。l建议本地镜像目的端口不用做其他用途，仅用于端口镜像。l源端口和目的端口不能是现有镜像组的成员端口。l指定的镜像组必须预先创建，一个镜像组只能配置一个目的端口。1.3 配置远程端口镜像配置远程端口镜像时，用户需要在两台设备上分别配置远程源镜像组和远程目的镜像组。1.3.1 配置远程源镜像组远程源镜像组需要配置源端口、出端口以及远程镜像VLAN。表1-2 配置远程源镜像组操作命令说明进入系统视图system-view-创建远程源镜像组mirroring-groupgroup-idremote-source必选为

7、镜像组配置源端口在系统视图下配置源端口mirroring-groupgroup-idmirroring-portmirroring-port-listboth|inbound|outbound二者必选其一用户可以在系统视图下同时配置多个源端口，也可以在具体的端口视图下配置源端口，两种视图下的配置效果相同在端口视图下配置源端口interfaceinterface-type interface-numbermirroring-groupgroup-idmirroring-portboth|inbound|outboundquit为镜像组配置出端口在系统视图下配置出端口mirroring-group

8、group-idmonitor-egressmonitor-egress-port-id二者必选其一两种视图下的配置效果相同在端口视图下配置出端口interfaceinterface-type interface-numbermirroring-groupgroup-idmonitor-egressquit为镜像组配置远程镜像VLANmirroring-groupgroup-idremote-probe vlanrprobe-vlan-id必选& 说明：l远程源镜像组的所有端口都属于同一台设备，一个远程源镜像组只能配置一个出端口。l出端口不能为现有镜像组的成员端口。l建议用户不要将源端口加入到

9、远程镜像VLAN，远程镜像VLAN不用做其他用途，仅用于远程镜像功能。l建议用户不要在出端口上配置下列功能：STP、RSTP、MSTP、802.1x、IGMP Snooping、静态ARP和MAC地址学习功能，否则可能会影响镜像功能的正常使用。l配置远程镜像VLAN时，要求该VLAN为静态VLAN并预先创建。被配置成远程镜像VLAN后，该VLAN不能直接删除，必须先删除远程镜像VLAN的配置才能够删除这个VLAN。如果镜像组生效后，远程镜像VLAN被取消，那么该镜像组将失效。l一个端口只能加入到一个镜像组；一个VLAN只能被一个镜像组使用。1.3.2 配置远程目的镜像组远程目的镜像组需要配置远

10、程镜像VLAN和目的端口。表1-3 配置远程目的镜像组操作命令说明进入系统视图system-view-创建远程目的镜像组mirroring-groupgroup-idremote-destination必选为镜像组配置远程镜像VLANmirroring-groupgroup-idremote-probe vlanrprobe-vlan-id必选为镜像组配置目的端口在系统视图下配置目的端口mirroring-groupgroup-idmonitor-portmonitor-port-id二者必选其一两种视图下的配置效果相同在端口视图下配置目的端口interfaceinterface-type i

11、nterface-numbermirroring-groupgroup-idmonitor-portquit进入目的端口视图interfaceinterface-type interface-number-将目的端口加入远程镜像VLAN目的端口为Access端口port access vlanrprobe-vlan-id三者必选其一目的端口为Trunk端口port trunk permit vlanrprobe-vlan-id目的端口为Hybrid端口port hybridvlanrprobe-vlan-idtagged|untagged& 说明：l远程镜像目的端口不能是现有镜像组的成员端口。

12、l远程镜像目的端口可以为Access、Trunk或Hybrid端口，远程镜像目的端口必须加入到远程镜像VLAN中。l一个端口只能加入到一个镜像组；一个VLAN只能被一个镜像组使用。l建议用户不要在远程镜像目的端口上使能STP、RSTP或MSTP，否则可能会影响镜像功能的正常使用。l建议远程镜像目的端口不用做其他用途，仅用于端口镜像。l配置远程镜像VLAN时，要求该VLAN为静态VLAN并预先创建。被配置成远程镜像VLAN后，该VLAN不能直接删除，必须先删除远程镜像VLAN的配置才能够删除这个VLAN。如果镜像组生效后，远程镜像VLAN被取消，那么该镜像组将失效。1.4 端口镜像显示在完成上述

13、配置后，在任意视图下执行display命令可以显示配置后镜像组的运行情况，通过查看显示信息验证配置的效果。表1-4 端口镜像显示操作命令显示端口镜像组的配置信息display mirroring-groupgroup-id|all|local|remote-destination|remote-source1.5 端口镜像典型配置举例1.5.1 本地端口镜像配置举例1. 组网需求某公司内部通过交换机实现各部门之间的互连，网络环境描述如下：l研发部通过端口GigabitEthernet 1/0/1接入Switch C；l市场部通过端口GigabitEthernet 1/0/2接入Switch C

14、；l数据监测设备连接在Switch C的GigabitEthernet 1/0/3端口上。网络管理员希望通过数据监测设备对研发部和市场部收发的报文进行监控。使用本地端口镜像功能实现该需求，在Switch C上进行如下配置：l端口GigabitEthernet 1/0/1和GigabitEthernet 1/0/2为镜像源端口；l连接数据监测设备的端口GigabitEthernet 1/0/3为镜像目的端口。2. 组网图图1-3 配置本地端口镜像组网图3. 配置步骤配置Switch C：# 创建本地镜像组。 system-viewSwitchC mirroring-group 1 local#

15、为本地镜像组配置源端口和目的端口。SwitchC mirroring-group 1 mirroring-port GigabitEthernet 1/0/1 GigabitEthernet 1/0/2 bothSwitchC mirroring-group 1 monitor-port GigabitEthernet 1/0/3# 显示所有镜像组的配置信息。SwitchC display mirroring-group allmirroring-group 1: type: local status: active mirroring port: GigabitEthernet1/0/1 b

16、oth GigabitEthernet1/0/2 both monitor port: GigabitEthernet1/0/3配置完成后，用户就可以在数据监测设备上监控研发部和市场部收发的所有报文。1.5.2 远程端口镜像配置举例1. 组网需求某公司内部通过交换机实现各部门之间的互连，网络环境描述如下：l部门1通过端口GigabitEthernet 1/0/1接入Switch A；l部门2通过端口GigabitEthernet 1/0/2接入Switch A；lSwitch A的端口GigabitEthernet 1/0/3和Switch B的端口GigabitEthernet 1/0/1相

17、连；lSwitch B的端口GigabitEthernet 1/0/2和Switch C的端口GigabitEthernet 1/0/1相连；l数据监测设备连接在Switch C的端口GigabitEthernet 1/0/2上。网络管理员希望通过数据监测设备对部门1和部门2发送的报文进行监控。使用远程端口镜像功能实现该需求，进行如下配置：lSwitch A充当源设备，Switch B充当中间设备，Switch C充当目的设备；l在Switch A上配置远程源镜像组，定义VLAN 2为远程镜像VLAN，端口GigabitEthernet 1/0/1和GigabitEthernet 1/0/2为

18、镜像源端口，端口GigabitEthernet 1/0/3为出端口；l配置Switch A的端口GigabitEthernet 1/0/3、Switch B的端口GigabitEthernet 1/0/1和GigabitEthernet 1/0/2、Switch C的端口GigabitEthernet 1/0/1的端口类型为Trunk端口，并且都允许VLAN 2的报文通过；l在Switch C上配置远程目的镜像组，定义VLAN 2为远程镜像VLAN，连接数据监测设备的端口GigabitEthernet 1/0/2为镜像目的端口。2. 组网图图1-4 配置远程端口镜像组网图3. 配置步骤(1)配

19、置Switch A（源设备）# 创建远程源镜像组。 system-viewSwitchA mirroring-group 1 remote-source# 创建VLAN 2。（是否要把G1/0/1和G1/0/2也加入VLAN2)SwitchA vlan 2SwitchA-vlan2 quit# 为远程源镜像组配置远程镜像VLAN、源端口和出端口。SwitchA mirroring-group 1 remote-probe vlan 2SwitchA mirroring-group 1 mirroring-port GigabitEthernet 1/0/1 GigabitEthernet 1/

20、0/2 inboundSwitchA mirroring-group 1 monitor-egress GigabitEthernet 1/0/3# 配置端口GigabitEthernet 1/0/3的端口类型为Trunk端口，允许VLAN 2的报文通过。SwitchA interface GigabitEthernet 1/0/3SwitchA-GigabitEthernet1/0/3 port link-type trunkSwitchA-GigabitEthernet1/0/3 port trunk permit vlan 2(2)配置Switch B（中间设备）# 配置端口Gigabi

21、tEthernet 1/0/1的端口类型为Trunk端口，允许VLAN 2的报文通过。 system-viewSwitchB interface GigabitEthernet 1/0/1SwitchB-GigabitEthernet1/0/1 port link-type trunkSwitchB-GigabitEthernet1/0/1 port trunk permit vlan 2SwitchB-GigabitEthernet1/0/1 quit# 配置端口GigabitEthernet 1/0/2的端口类型为Trunk端口，允许VLAN 2的报文通过。SwitchB interfac

22、e GigabitEthernet 1/0/2SwitchB-GigabitEthernet1/0/2 port link-type trunkSwitchB-GigabitEthernet1/0/2 port trunk permit vlan 2(3)配置Switch C（目的设备）# 配置端口GigabitEthernet 1/0/1的端口类型为Trunk端口，允许VLAN 2的报文通过。 system-viewSwitchC interface GigabitEthernet 1/0/1SwitchC-GigabitEthernet1/0/1 port link-type trunkS

23、witchC-GigabitEthernet1/0/1 port trunk permit vlan 2SwitchC-GigabitEthernet1/0/1 quit# 创建远程目的镜像组。SwitchC mirroring-group 1 remote-destination# 创建VLAN 2。SwitchC vlan 2SwitchC-vlan2 quit# 为远程目的镜像组配置远程镜像VLAN和目的端口。SwitchC mirroring-group 1 remote-probe vlan 2SwitchC mirroring-group 1 monitor-port GigabitEthernet 1/0/2SwitchC interface GigabitEthernet 1/0/2SwitchC-GigabitEthernet1/0/2 port access vlan 2配置完成后，用户就可以在数据监测设备上监控部门1和部门2发送的所有报文。