H3C 端口镜像配置.docx
- 文档编号:27246053
- 上传时间:2023-06-28
- 格式:DOCX
- 页数:12
- 大小:70.01KB
H3C 端口镜像配置.docx
《H3C 端口镜像配置.docx》由会员分享,可在线阅读,更多相关《H3C 端口镜像配置.docx(12页珍藏版)》请在冰豆网上搜索。
H3C端口镜像配置
第1章 端口镜像配置
1.1 端口镜像简介
端口镜像是将指定端口的报文复制一份到镜像目的端口,镜像目的端口会与数据监测设备相连,用户利用这些数据监测设备来分析复制到目的端口的报文,进行网络监控和故障排除。
图1-1端口镜像示意图
1.1.1 端口镜像的分类
端口镜像分为本地端口镜像和远程端口镜像两种镜像方式:
l 本地端口镜像是指将设备的一个或多个端口(源端口)的报文复制到本设备的一个监视端口(目的端口),用于报文的监视和分析。
其中,源端口和目的端口必须在同一台设备上。
l 远程端口镜像突破了源端口和目的端口必须在同一台设备上的限制,使源端口和目的端口间可以跨越多个网络设备。
目前,远程端口镜像功能可以穿越二层网络,但无法穿越三层网络。
1.1.2 端口镜像的实现方式
端口镜像通过镜像组的方式实现,镜像组可以分为本地镜像组、远程源镜像组和远程目的镜像组。
下面将分别介绍两类端口镜像的实现方式。
1.本地端口镜像
本地端口镜像通过本地镜像组的方式实现。
源端口和目的端口在同一个本地镜像组中,设备将源端口的报文复制一份并转发到目的端口。
2.远程端口镜像
远程端口镜像通过远程源镜像组和远程目的镜像组互相配合的方式实现。
远程端口镜像的应用如图1-2所示。
图1-2远程端口镜像应用示意图
图中各设备的作用如下:
l 源设备:
源端口所在的设备,用户需要在源设备上创建远程源镜像组。
本设备负责将源端口的报文复制一份,然后通过出端口将报文在远程镜像VLAN中进行广播,传输给中间设备或目的设备。
l 中间设备:
网络中处于源设备和目的设备之间的设备。
本设备负责将镜像报文传输给下一个中间设备或目的设备。
如果源设备与目的设备直接相连,则不存在中间设备。
用户需要确保远程镜像VLAN内源设备到目的设备的二层互通性。
l 目的设备:
远程镜像目的端口所在的设备,用户需要在目的设备上创建远程目的镜像组。
目的设备收到报文后,比较报文的VLANID和远程目的镜像组的远程镜像VLAN是否相同,如果相同,则将该报文通过镜像目的端口转发给监控设备。
1.1.3 端口镜像支持的其他功能
镜像组还支持一个目的端口监视多个源端口的功能。
1.2 配置本地端口镜像
配置本地端口镜像时,用户首先要创建一个本地镜像组,然后为本地镜像组配置源端口和目的端口。
表1-1配置本地端口镜像
操作
命令
说明
进入系统视图
system-view
-
创建本地镜像组
mirroring-group group-id local
必选
为镜像组配置源端口
在系统视图下配置源端口
mirroring-group group-idmirroring-port mirroring-port-list{ inbound | outbound | both }
二者必选其一
用户可以在系统视图下同时配置多个源端口,也可以在具体的端口视图下配置源端口,两种视图下的配置效果相同
在端口视图下配置源端口
interface interface-typeinterface-number
[ mirroring-group group-id ]mirroring-port { inbound | outbound | both }
quit
为镜像组配置目的端口
在系统视图下配置目的端口
mirroring-group group-idmonitor-port monitor-port-id
二者必选其一
两种视图下的配置效果相同
在端口视图下配置目的端口
interface interface-typeinterface-number
[ mirroring-group group-id ]monitor-port
& 说明:
l 本地镜像组需要配置源端口、目的端口才能生效。
l 建议用户不要在目的端口上开启STP、RSTP或MSTP,否则可能会影响镜像功能的正常使用。
l 建议本地镜像目的端口不用做其他用途,仅用于端口镜像。
l 源端口和目的端口不能是现有镜像组的成员端口。
l 指定的镜像组必须预先创建,一个镜像组只能配置一个目的端口。
1.3 配置远程端口镜像
配置远程端口镜像时,用户需要在两台设备上分别配置远程源镜像组和远程目的镜像组。
1.3.1 配置远程源镜像组
远程源镜像组需要配置源端口、出端口以及远程镜像VLAN。
表1-2配置远程源镜像组
操作
命令
说明
进入系统视图
system-view
-
创建远程源镜像组
mirroring-group group-idremote-source
必选
为镜像组配置源端口
在系统视图下配置源端口
mirroring-group group-idmirroring-port mirroring-port-list{ both | inbound | outbound }
二者必选其一
用户可以在系统视图下同时配置多个源端口,也可以在具体的端口视图下配置源端口,两种视图下的配置效果相同
在端口视图下配置源端口
interface interface-typeinterface-number
[ mirroring-group group-id ]mirroring-port { both | inbound | outbound }
quit
为镜像组配置出端口
在系统视图下配置出端口
mirroring-group group-id monitor-egress monitor-egress-port-id
二者必选其一
两种视图下的配置效果相同
在端口视图下配置出端口
interface interface-typeinterface-number
mirroring-group group-idmonitor-egress
quit
为镜像组配置远程镜像VLAN
mirroring-group group-idremote-probevlan rprobe-vlan-id
必选
& 说明:
l 远程源镜像组的所有端口都属于同一台设备,一个远程源镜像组只能配置一个出端口。
l 出端口不能为现有镜像组的成员端口。
l 建议用户不要将源端口加入到远程镜像VLAN,远程镜像VLAN不用做其他用途,仅用于远程镜像功能。
l 建议用户不要在出端口上配置下列功能:
STP、RSTP、MSTP、802.1x、IGMPSnooping、静态ARP和MAC地址学习功能,否则可能会影响镜像功能的正常使用。
l 配置远程镜像VLAN时,要求该VLAN为静态VLAN并预先创建。
被配置成远程镜像VLAN后,该VLAN不能直接删除,必须先删除远程镜像VLAN的配置才能够删除这个VLAN。
如果镜像组生效后,远程镜像VLAN被取消,那么该镜像组将失效。
l 一个端口只能加入到一个镜像组;一个VLAN只能被一个镜像组使用。
1.3.2 配置远程目的镜像组
远程目的镜像组需要配置远程镜像VLAN和目的端口。
表1-3配置远程目的镜像组
操作
命令
说明
进入系统视图
system-view
-
创建远程目的镜像组
mirroring-group group-id remote-destination
必选
为镜像组配置远程镜像VLAN
mirroring-group group-id remote-probevlan rprobe-vlan-id
必选
为镜像组配置目的端口
在系统视图下配置目的端口
mirroring-group group-id monitor-port monitor-port-id
二者必选其一
两种视图下的配置效果相同
在端口视图下配置目的端口
interface interface-typeinterface-number
[ mirroring-group group-id ] monitor-port
quit
进入目的端口视图
interface interface-typeinterface-number
-
将目的端口加入远程镜像VLAN
目的端口为Access端口
portaccessvlan rprobe-vlan-id
三者必选其一
目的端口为Trunk端口
porttrunkpermitvlan rprobe-vlan-id
目的端口为Hybrid端口
porthybrid vlan rprobe-vlan-id { tagged | untagged }
& 说明:
l 远程镜像目的端口不能是现有镜像组的成员端口。
l 远程镜像目的端口可以为Access、Trunk或Hybrid端口,远程镜像目的端口必须加入到远程镜像VLAN中。
l 一个端口只能加入到一个镜像组;一个VLAN只能被一个镜像组使用。
l 建议用户不要在远程镜像目的端口上使能STP、RSTP或MSTP,否则可能会影响镜像功能的正常使用。
l 建议远程镜像目的端口不用做其他用途,仅用于端口镜像。
l 配置远程镜像VLAN时,要求该VLAN为静态VLAN并预先创建。
被配置成远程镜像VLAN后,该VLAN不能直接删除,必须先删除远程镜像VLAN的配置才能够删除这个VLAN。
如果镜像组生效后,远程镜像VLAN被取消,那么该镜像组将失效。
1.4 端口镜像显示
在完成上述配置后,在任意视图下执行display命令可以显示配置后镜像组的运行情况,通过查看显示信息验证配置的效果。
表1-4端口镜像显示
操作
命令
显示端口镜像组的配置信息
displaymirroring-group { group-id | all | local | remote-destination | remote-source }
1.5 端口镜像典型配置举例
1.5.1 本地端口镜像配置举例
1.组网需求
某公司内部通过交换机实现各部门之间的互连,网络环境描述如下:
l 研发部通过端口GigabitEthernet1/0/1接入SwitchC;
l 市场部通过端口GigabitEthernet1/0/2接入SwitchC;
l 数据监测设备连接在SwitchC的GigabitEthernet1/0/3端口上。
网络管理员希望通过数据监测设备对研发部和市场部收发的报文进行监控。
使用本地端口镜像功能实现该需求,在SwitchC上进行如下配置:
l 端口GigabitEthernet1/0/1和GigabitEthernet1/0/2为镜像源端口;
l 连接数据监测设备的端口GigabitEthernet1/0/3为镜像目的端口。
2.组网图
图1-3配置本地端口镜像组网图
3.配置步骤
配置SwitchC:
#创建本地镜像组。
[SwitchC]mirroring-group1local
#为本地镜像组配置源端口和目的端口。
[SwitchC]mirroring-group1mirroring-portGigabitEthernet1/0/1GigabitEthernet1/0/2both
[SwitchC]mirroring-group1monitor-portGigabitEthernet1/0/3
#显示所有镜像组的配置信息。
[SwitchC]displaymirroring-groupall
mirroring-group1:
type:
local
status:
active
mirroringport:
GigabitEthernet1/0/1 both
GigabitEthernet1/0/2 both
monitorport:
GigabitEthernet1/0/3
配置完成后,用户就可以在数据监测设备上监控研发部和市场部收发的所有报文。
1.5.2 远程端口镜像配置举例
1.组网需求
某公司内部通过交换机实现各部门之间的互连,网络环境描述如下:
l 部门1通过端口GigabitEthernet1/0/1接入SwitchA;
l 部门2通过端口GigabitEthernet1/0/2接入SwitchA;
l SwitchA的端口GigabitEthernet1/0/3和SwitchB的端口GigabitEthernet1/0/1相连;
l SwitchB的端口GigabitEthernet1/0/2和SwitchC的端口GigabitEthernet1/0/1相连;
l 数据监测设备连接在SwitchC的端口GigabitEthernet1/0/2上。
网络管理员希望通过数据监测设备对部门1和部门2发送的报文进行监控。
使用远程端口镜像功能实现该需求,进行如下配置:
l SwitchA充当源设备,SwitchB充当中间设备,SwitchC充当目的设备;
l 在SwitchA上配置远程源镜像组,定义VLAN2为远程镜像VLAN,端口GigabitEthernet1/0/1和GigabitEthernet1/0/2为镜像源端口,端口GigabitEthernet1/0/3为出端口;
l 配置SwitchA的端口GigabitEthernet1/0/3、SwitchB的端口GigabitEthernet1/0/1和GigabitEthernet1/0/2、SwitchC的端口GigabitEthernet1/0/1的端口类型为Trunk端口,并且都允许VLAN2的报文通过;
l 在SwitchC上配置远程目的镜像组,定义VLAN2为远程镜像VLAN,连接数据监测设备的端口GigabitEthernet1/0/2为镜像目的端口。
2.组网图
图1-4配置远程端口镜像组网图
3.配置步骤
(1) 配置SwitchA(源设备)
#创建远程源镜像组。
[SwitchA]mirroring-group1remote-source
#创建VLAN2。
(是否要把G1/0/1和G1/0/2也加入VLAN2)
[SwitchA]vlan2
[SwitchA-vlan2]quit
#为远程源镜像组配置远程镜像VLAN、源端口和出端口。
[SwitchA]mirroring-group1remote-probevlan2
[SwitchA]mirroring-group1mirroring-portGigabitEthernet1/0/1GigabitEthernet1/0/2inbound
[SwitchA]mirroring-group1monitor-egressGigabitEthernet1/0/3
#配置端口GigabitEthernet1/0/3的端口类型为Trunk端口,允许VLAN2的报文通过。
[SwitchA]interfaceGigabitEthernet1/0/3
[SwitchA-GigabitEthernet1/0/3]portlink-typetrunk
[SwitchA-GigabitEthernet1/0/3]porttrunkpermitvlan2
(2) 配置SwitchB(中间设备)
#配置端口GigabitEthernet1/0/1的端口类型为Trunk端口,允许VLAN2的报文通过。
[SwitchB]interfaceGigabitEthernet1/0/1
[SwitchB-GigabitEthernet1/0/1]portlink-typetrunk
[SwitchB-GigabitEthernet1/0/1]porttrunkpermitvlan2
[SwitchB-GigabitEthernet1/0/1]quit
#配置端口GigabitEthernet1/0/2的端口类型为Trunk端口,允许VLAN2的报文通过。
[SwitchB]interfaceGigabitEthernet1/0/2
[SwitchB-GigabitEthernet1/0/2]portlink-typetrunk
[SwitchB-GigabitEthernet1/0/2]porttrunkpermitvlan2
(3) 配置SwitchC(目的设备)
#配置端口GigabitEthernet1/0/1的端口类型为Trunk端口,允许VLAN2的报文通过。
[SwitchC]interfaceGigabitEthernet1/0/1
[SwitchC-GigabitEthernet1/0/1]portlink-typetrunk
[SwitchC-GigabitEthernet1/0/1]porttrunkpermitvlan2
[SwitchC-GigabitEthernet1/0/1]quit
#创建远程目的镜像组。
[SwitchC]mirroring-group1remote-destination
#创建VLAN2。
[SwitchC]vlan2
[SwitchC-vlan2]quit
#为远程目的镜像组配置远程镜像VLAN和目的端口。
[SwitchC]mirroring-group1remote-probevlan2
[SwitchC]mirroring-group1monitor-portGigabitEthernet1/0/2
[SwitchC]interfaceGigabitEthernet1/0/2
[SwitchC-GigabitEthernet1/0/2]portaccessvlan2
配置完成后,用户就可以在数据监测设备上监控部门1和部门2发送的所有报文。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- H3C 端口镜像配置 端口 配置