什么是交换机端口镜像及其工作原理Word文件下载.docx
- 文档编号:22463597
- 上传时间:2023-02-04
- 格式:DOCX
- 页数:14
- 大小:35.62KB
什么是交换机端口镜像及其工作原理Word文件下载.docx
《什么是交换机端口镜像及其工作原理Word文件下载.docx》由会员分享,可在线阅读,更多相关《什么是交换机端口镜像及其工作原理Word文件下载.docx(14页珍藏版)》请在冰豆网上搜索。
交换机把某一个端口接收或发送的数据帧完全相同的复制给另一个端口;
其中被复制的端口称为镜像源端口,复制的端口称为镜像目的端口。
)
端口镜像通常有以下几种别名:
PortMirroring通常指允许把一个端口的流量复制到另外一个端口,同时这个端口不能再传输数据。
MonitoringPort监控端口
SpanningPort通常指允许把所有端口的流量复制到另外一个端口,同时这个端口不能再传输数据。
SPANport在Cisco产品中,SPAN通常指SwitchPortANalyzer。
某些交换机的SPAN端口不支持传输数据。
LinkModeport这样,这些流量就可以被一个特殊的设备监控。
它对发现和修理故障有很大的帮助。
端口镜像工作原理:
SPAN(SwitchedPortAnalyzer)的作用主要是为了给某种网络分析器提供网络数据流。
它既可以实现一个VLAN中若干个源端口向一个监控端口镜像数据,也可以从若干个VLAN向一个临控端口镜像数据。
源端口的5号端口上流转的所有数据流均被镜像至10号监控端口,而数据分析设备通过监控端口接收了所有来自5号端口的数据流。
值得注意的是,源端口和镜像端口必须位于同一台交换机上(但也有例外,如Catalyst6000系列交换机);
而且SPAN并不会影响源端口的数据交换,它只是将源端口发送或接收的数据包副本发送到监控端口。
在SPAN任务过程中,用户可以通过参数控制,来指明需要监控的数据流种类;
还可以将一个或多个端、口、一个或多个VLAN作为源端口,并将从这些端口中发送或接收的单向或双向数据流传送至监控端口。
在Catalyst4006交换机中,最多可以配置6个单向的SPAN任务:
2个输入数据流监控、4个输出数据流监控。
一个双向SPAN任务实际上包含一个单向输入和一个单向输出。
而且不仅仅二层交换端口可作为源端口,Catalyst4006上的三层路由端口也可设置为源端口。
SPAN任务不会影响交换机的正常工作。
当一个SPAN任务被建立后,根据交换机所处的不同的状态或操作,任务会处于激活或非激活状态,同时系统会将其记入日志。
通过“showmonitorsession”命令可显示SPAN的当前状态。
如果遇到系统重新启动的情况,在目的端口初始化结束之前,SPAN任务将处于非激活状态。
目的端口(监控端口)可以是交换机上的任意一个交换或路由端口。
当一个目的端口处于激活状态时,任何发送到该端口且与SPAN任务无关的数据包将会被丢弃。
一个目的端口只能处于一个SPAN任务中。
当一个端口被配制成目的端口后就不能再成为源端口,同时冗余链路端口也不能成为SPAN的目的端口。
特别需要指出的是,如果一个Trunk端口被配置成为SPAN的目的端口,则其Trunk功能也将自动停止。
源端口又可以称作被监控端口。
在一个SPAN任务中,可以有一个或多个源端口,而且可以根据用户需要设置为输入方向、输出方向或双向,但无论哪种情况,在一个SPAN任务中,所有源端口的被监控方向都必须是一致的。
在Catalyst4006交换机上的VLAN也可以整体设置为源端口,这意味着被指定VLAN中的所有端口均为当前SPAN任务中的源端口。
Trunk端口可以单独设为源端口,也可以与非Trunk端口一起被设置为源端口,但要注意的是,在监控端口不会识别来自Trunk端口针对不同VLAN的数据封装格式,换句话说,在监控端口收到的数据包将无法辨明是来自哪个VLAN。
SPAN数据流主要分为三类:
(1)输入数据流(IngressSPAN):
指被源端口接收进来,其数据副本发送至监控端口的数据流
(2)输出数据流(EgressSPAN):
指从源端口发送出去,其数据副本发送至监控端口的数据流
(3)双向数据流(BothSPAN):
即为以上两种的综合。
基于VLAN的SPAN是以一个或几个VLAN作为监控对象,其中的所有端口均为源端口,与基于端口的SPAN类似,基于VLAN的SPAN也分为输入数据流、输出数据流和双向数据流监控三种类型。
在配置基于VLAN的SPAN任务过程中,应注意几点:
(1)Trunk端口可以包含在源端口中
(2)针对双向SPAN任务,如果在源VLAN中的两个源端口之间有数据交换,则每一个数据包将有两个副本被转发至镜像端口
(3)对有多个源VLAN的SPAN任务来说,如果某个源VLAN被删除掉,则该VLAN也将从源VLAN列表中删除
(4)处于非激活状态的VLAN无法参与SPAN任务;
(5)对于一个设置为输入数据流监控的源VLAN来说,来自其他VLAN的路由信息数据包不会被镜像;
此外,从设置为输出数据流监控的VLAN向其他VLAN发送出的路由信息数据包也同样不会被镜像。
换句话说,基于VLAN的SPAN任务只对进出二层交换端口的数据包进行镜像,而不镜像VLAN之间的路由信息。
所有网间传输的非路由数据包,包括组播包和BPDU(桥接协议数据单元)包,都可以使用SPAN任务进行镜像。
在一些SPAN任务的配置下,会出现同一个SPAN源端口数据包的多个副本被发送到SPAN监控端口的情况。
正像前面提到的那样,在一个双向SPAN任务中,假设a1和a2为源端口,d1为目的端口,如果a1与a2之间有数据包传输,则在a1传向a2的数据包将会被传送到d1两次,反之亦然。
镜像端口建立方法
CiscoCATALYST交换机端口监听配置
CiscoCATALYST交换机分为两种,在CATALYST家族中称侦听端口为分析端口(analysisport)。
1、Catalyst2900XL/3500XL/2950系列交换机端口监听配置(基于CLI)
以下命令配置端口监听:
portmonitor
例如,F0/1和F0/2、F0/3同属VLAN1,F0/1监听F0/2、F0/3端口:
interfaceFastEthernet0/1
portmonitorFastEthernet0/2
portmonitorFastEthernet0/3
portmonitorVLAN1
2、Catalyst4000,5000and6000系列交换机端口监听配置(基于IOS)
setspan
例如,模块1中端口1和端口2同属VLAN1,端口3在VLAN2,端口4和5在VLAN2,端口2监听端口1和3、4、5,
setspan1/1,1/3-51/2
2950/3550/3750
格式如下:
#monitorsessionnumbersourceinterfacemod_number/port_numberboth
#monitorsessionnumberdestinationinterfacemod_mnumber/port_number
C2950(config)#monitorsession1destinationinterfacefastEthernet0/3
!
---Interfacefa0/3isconfiguredasdestinationport.
华为交换机端口镜像配置简单介绍
『环境配置参数』
1.PC1接在交换机E0/1端口,IP地址1.1.1.1/24
2.PC2接在交换机E0/2端口,IP地址2.2.2.2/24
3.E0/24为交换机上行端口
4.Server接在交换机E0/8端口,该端口作为镜像端口
『组网需求』
1.通过交换机端口镜像的功能使用server对两台pc的业务报文进行监控。
2.按照镜像的不同方式进行配置:
1)基于端口的镜像
2)基于流的镜像
二、数据配置步骤『端口镜像的数据流程』
基于端口的镜像是把被镜像端口的进出数据报文完全拷贝一份到镜像端口,这样来进行流量观测或者故障定位。
【3026等交换机镜像】
S2008/S2016/S2026/S2403H/S3026等交换机支持的都是基于端口的镜像,有两种方法:
方法一
1.配置镜像(观测)端口
[SwitchA]monitor-porte0/8
2.配置被镜像端口
[SwitchA]portmirrorEthernet0/1toEthernet0/2
方法二
1.可以一次性定义镜像和被镜像端口
[SwitchA]portmirrorEthernet0/1toEthernet0/2observing-portEthernet0/8
【8016交换机端口镜像配置】
1.假设8016交换机镜像端口为E1/0/15,被镜像端口为E1/0/0,设置端口1/0/15为端口镜像的观测端口。
[SwitchA]portmonitorethernet1/0/15
2.设置端口1/0/0为被镜像端口,对其输入输出数据都进行镜像。
[SwitchA]portmirroringethernet1/0/0bothethernet1/0/15
也可以通过两个不同的端口,对输入和输出的数据分别镜像
1.设置E1/0/15和E2/0/0为镜像(观测)端口
2.设置端口1/0/0为被镜像端口,分别使用E1/0/15和E2/0/0对输入和输出数据进行镜像。
[SwitchA]portmirroringgigabitethernet1/0/0ingressethernet1/0/15
[SwitchA]portmirroringgigabitethernet1/0/0egressethernet2/0/0
『基于流镜像的数据流程』
基于流镜像的交换机针对某些流进行镜像,每个连接都有两个方向的数据流,对于交换机来说这两个数据流是要分开镜像的。
【3500/3026E/3026F/3050】
〖基于三层流的镜像〗
1.定义一条扩展访问控制列表
[SwitchA]aclnum100
2.定义一条规则报文源地址为1.1.1.1/32去往所有目的地址
[SwitchA-acl-adv-101]rule0permitipsource1.1.1.10destinationany
3.定义一条规则报文源地址为所有源地址目的地址为1.1.1.1/32
[SwitchA-acl-adv-101]rule1permitipsourceanydestination1.1.1.10
4.将符合上述ACL规则的报文镜像到E0/8端口
[SwitchA]mirrored-toip-group100interfacee0/8
〖基于二层流的镜像〗
1.定义一个ACL
[SwitchA]aclnum200
2.定义一个规则从E0/1发送至其它所有端口的数据包
[SwitchA]rule0permitingressinterfaceEthernet0/1egressinterfaceEthernet0/2
3.定义一个规则从其它所有端口到E0/1端口的数据包
[SwitchA]rule1permitingressinterfaceEthernet0/2egressinterfaceEthernet0/1
4.将符合上述ACL的数据包镜像到E0/8
[SwitchA]mirrored-tolink-group200interfacee0/8
【5516/6506/6503/6506R】
目前该三款产品支持对入端口流量进行镜像
1.定义镜像端口
[SwitchA]monitor-portEthernet3/0/2
2.定义被镜像端口
[SwitchA]mirroring-portEthernet3/0/1inbound
【补充说明】
1.镜像一般都可以实现高速率端口镜像低速率端口,例如1000M端口可以镜像100M端口,反之则无法实现
2.8016支持跨单板端口镜像
三、测试验证在观测端口上通过工具软件可以看到被镜像端口的相应的报文,可以进行流量观测或者故障定位
注意!
在此提醒一下各位,相同型号不同版本的设备,配置方法有时是有差异的,最终还是要以版本对应的操作手册为准。
其它品牌的交换机如何镜像参照相关的交换机说明文档配置正确即可,在此就不一一列出来了。
有效正确的配置好交换机的端口镜像才可以正常的使用网路岗上网监控管理软件,一般配置镜像只要把总出口的数据镜像到对应的网路岗服务器所连交换机的那个口就可以了,即我们说的一对一的端口镜像,如果没有特殊的需要,大家不要做多对一的端口镜像,即把多个源端口的数据镜像到一个口上,因为一般情况下,只要把总出口的数据镜像到网路岗上就可以实现对整个网络的监控管理了。
熟练掌握下面的端口镜像配置知识点,你只需花几分钟的时间就完成端口镜像配置。
本地连接也将在文中提到。
方法一:
◆配置镜像(观测)端口[SwitchA]monitor-porte0/8
◆配置被镜像端口[SwitchA]portmirrorEthernet0/1toEthernet0/2
方法二:
◆可以一次性定义镜像和被镜像端口[SwitchA]portmirrorEthernet0/1toEthernet0/2observing-portEthernet0/8
◆假设8016交换机镜像端口为E1/0/15,被镜像端口为E1/0/0,设置端口1/0/15为交换机端口镜像配置的观测端口。
[SwitchA]portmonitorethernet1/0/15
◆设置端口1/0/0为被镜像端口,对其输入输出数据都进行镜像。
[SwitchA]portmirroringethernet1/0/0bothethernet1/0/15
◆设置E1/0/15和E2/0/0为镜像(观测)端口[SwitchA]portmonitorethernet1/0/15
◆设置端口1/0/0为被镜像端口,分别使用E1/0/15和E2/0/0对输入和输出数据进行镜像。
[SwitchA]portmirroringgigabitethernet1/0/0ingressethernet1/0/15[SwitchA]portmirroringgigabitethernet1/0/0egressethernet2/0/0
◆定义一条扩展访问控制列表[SwitchA]aclnum101
◆定义一条规则报文源地址为1.1.1.1/32去往所有目的地址[SwitchA-acl-adv-101]rule0permitipsource0destinationany
◆定义一条规则报文源地址为所有源地址目的地址为1.1.1.1/32[SwitchA-acl-adv-101]rule1permitipsourceanydestination0
◆将符合上述ACL规则的报文镜像到E0/8端口[SwitchA]mirrored-toip-group101interfacee0/8
◆定义一个ACL[SwitchA]aclnum200
◆定义一个规则从E0/1发送至其它所有端口的数据包[SwitchA]rule0permitingressinterfaceEthernet0/1(egressinterfaceany)
◆定义一个规则从其它所有端口到E0/1端口的数据包[SwitchA]rule1permit(ingressinterfaceany)egressinterfaceEthernet0/1
◆将符合上述ACL的数据包镜像到E0/8[SwitchA]mirrored-tolink-group200interfacee0/8
【5516】
支持对入端口流量进行镜像配置端口Ethernet3/0/1为监测端口,对Ethernet3/0/2端口的入流量镜像。
[SwitchA]mirrorEthernet3/0/2ingress-toEthernet3/0/1
【6506/6503/6506R】
目前该三款产品只支持对入端口流量进行镜像,虽然有outbount参数,但是无法配置。
镜像组名为1,监测端口为Ethernet4/0/2,端口Ethernet4/0/1的入流量被镜像。
[SwitchA]mirroring-group1inboundEthernet4/0/1mirrored-toEthernet4/0/2
◆镜像一般都可以实现高速率交换机端口镜像配置低速率端口,例如1000M端口可以镜像100M端口,反之则无法实现。
◆8016支持跨单板交换机端口镜像配置。
先解释一下端口镜像:
端口镜像简单的说,就是把交换机一个(数个)端口(源端口)的流量完全拷贝一份,从另外一个端口(目的端口)发
出去,以便网络管理人员从目的端口通过分析源端口的流量来找出网络存在问题的原因。
cisco的端口镜像叫做switchedportanalyzer,简称span(仅在ios系统中,下同),因此,端口镜像仅适用于以太网交换端口。
cisco的span
分成三种,span、rspan和vspan,简单的说,span是指源和目的端口都在同一台机器上、rspan指目的和源不在同一交换机上,vspan可以镜像
整个或数个vlan到一个目的端口。
配置方法:
1.span
(1)创建span源端口
monitorsession[i]session_number[/i]sourceinterfaceinterface-id[,|-][both|rx|tx]
**[i]session_number[/i],span会话号,记得3550支持的最多本地span是2个,即1或者2。
**interface-id[,|-]源端口接口号,即被镜像的端口,交换机会把这个端口的流量拷贝一份,可以输入多个端口,多个用“,”隔开,
连续的用“-”连接。
**[both|rx|tx],可选项,是指拷贝源端口双向的(both)、仅进入(rx)还是仅发出(tx)的流量,默认是both。
(2)创建span目的端口
monitorsessionsession_numberdestinationinterfaceinterface-id[encapsulation{dot1q[ingressvlanvlanid]|isl
[ingress]}|ingressvlanvlanid]
**一样的就不说了。
**session_number要和上面的一致。
**interface-id目的端口,在源端口被拷贝的流量会从这个端口发出去,端口号不能被包含在源端口的范围内。
**[encapsulation{dot1q|isl}],可选,指被从目的端口发出去时是否使用和isl封装,当使用时,对于本地vlan不进行封
装,其他vlan封装,isl则全部封装。
(1)创建vspan源vlan
monitorsessionsession_numbersourcevlanvlan-id[,|-]rx
**一样的也不说了,基本和span相同,只是接口号变成了vlan号,而且只能镜像接收的流量。
(2)创建vspan目的端口
monitorsessionsession_numberdestinationinterfaceinterface-id[encaps
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 什么是 交换机 端口 及其 工作 原理