1、Quidway S3900 系列以太网交换机 操作手册 镜像 目 录华为所有和机密 版权所有 (c) 华为技术有限公司 i目 录 第1章 镜像配置.1-1 1.1 镜像简介 . 1-1 1.1.1 本地端口镜像 . 1-1 1.1.2 远程端口镜像 . 1-1 1.1.3 流镜像 1-3 1.2 镜像配置 . 1-3 1.2.1 配置本地端口镜像 1-3 1.2.2 配置远程端口镜像 1-5 1.3 镜像显示 . 1-8 1.4 镜像配置举例 . 1-8 1.4.1 本地端口镜像配置举例 1-8 1.4.2 远程端口镜像配置举例 1-10 Quidway S3900 系列以太网交换机 操作手册
2、 镜像 第 1 章 镜像配置华为所有和机密 版权所有 (c) 华为技术有限公司 1-1第 1章 镜像配置 1.1 镜像简介 镜像是将指定端口的报文复制到镜像目的端口, 镜像目的端口会接入数据检测设备,用户利用这些设备分析目的端口接收到的报文,进行网络监控和故障排除。 PC数据监测设备Network镜像源端口镜像目的端口图1-1 镜像示意图 S3900 系列以太网交换机支持配置以下三种镜像方式: z 本地端口镜像 z 远程端口镜像 z 流镜像 1.1.1 本地端口镜像 本地端口镜像是指将设备的一个或多个端口(源端口)的报文复制到本设备的一个监视端口(目的端口),用于报文的分析和监视。其中,源端口
3、和目的端口位于同一台设备上。 1.1.2 远程端口镜像 远程端口镜像突破了源端口和目的端口必须在同一台设备上的限制,使源端口和目的端口可以跨越网络中的多个设备,从而方便网络管理人员对远程设备上的流量进行监控。 为了实现远程端口镜像功能,需要定义一个特殊的 VLAN,称之为远程镜像 VLAN( Remote-probe VLAN)。所有被镜像的报文通过该 VLAN 从源交换机的反射口传第 1 章 镜像配置 Quidway S3900 系列以太网交换机 操作手册镜像1-2 华为所有和机密 版权所有 (c) 华为技术有限公司 递到目的交换机的镜像端口,实现在目的交换机上对源交换机端口收发的报文进行监
4、控的功能。远程端口镜像的应用示意图如 图 1-2所示。 图1-2 远程端口镜像应用示意图 实现远程端口镜像功能的交换机分为三种: z 源交换机:被监控的端口所在的交换机,负责将镜像流量复制到反射端口,然后通过远程镜像 VLAN 传输给中间交换机或目的交换机。 z 中间交换机:网络中处于源交换机和目的交换机之间的交换机,通过远程镜像VLAN 把镜像流量传输给下一个中间交换机或目的交换机。如果源交换机与目的交换机直接相连,则不存在中间交换机。 z 目的交换机:远程镜像目的端口所在的交换机,将从远程镜像 VLAN 接收到的镜像流量通过镜像目的端口转发给监控设备。 各个交换机上参与镜像的端口如 表 1
5、-1所示。 表1-1 交换机上参与镜像的端口 交换机 参与镜像的端口 作用 源端口( Source Port)被监控的端口,通过本地端口镜像把报文复制到指定的反射端口( Reflector port),源端口可以有多个 反射端口( Reflector port) 接收从被监控端口镜像的报文,将报文在远程镜像 VLAN 内广播 源交换机 Trunk 端口 将镜像报文发送到中间交换机或者目的交换机 中间交换机 Trunk 端口 将镜像报文发送到目的交换机 中间交换机上需要配置两个 Trunk 端口,和两侧的设备相连 Trunk 端口 接收远程镜像报文 目的交换机 镜像目的端口( Destinati
6、on port) 接收从 Trunk 端口转发的报文,将报文发送到数据监测设备 Quidway S3900 系列以太网交换机 操作手册 镜像 第 1 章 镜像配置华为所有和机密 版权所有 (c) 华为技术有限公司 1-3注意: z 用户不能将缺省VLAN、管理VLAN或者动态VLAN配置为远程镜像VLAN; z 建议用户将远程镜像VLAN中的设备互连端口都配置为Trunk端口,并且通过配置保证远程镜像VLAN内从源交换机到目的交换机的二层互通性; z 建议用户不要为远程镜像VLAN配置三层接口,不要在远程镜像VLAN上运行其他协议报文,承载其他的业务报文,不要将远程镜像VLAN作为Voice
7、VLAN、协议VLAN使用,否则可能会影响远程端口镜像功能。 1.1.3 流镜像 流镜像是指通过引用 ACL 进行流识别,对通过指定端口的符合一定规则的报文进行监控。与端口镜像对通过端口的所有流量进行监控相比,流镜像提供了更加细致的监控粒度。关于流镜像的详细配置请参见“ QoS-QoS Profile”部分。 1.2 镜像配置 表1-2 镜像配置任务简介 配置任务 说明 详细配置 配置本地端口镜像 可选 1.2.1 配置远程端口镜像 可选 1.2.2 说明: S3900-EI系列以太网交换机只支持配置一个本地端口镜像目的端口或者一个远程端口镜像反射端口,且二者不能同时配置。 1.2.1 配置本
8、地端口镜像 1. 配置准备 z 确定了镜像源端口以及被镜像报文的方向 z 确定了镜像目的端口 第 1 章 镜像配置 Quidway S3900 系列以太网交换机 操作手册镜像1-4 华为所有和机密 版权所有 (c) 华为技术有限公司 2. 配置过程 表1-3 配置S3900-EI系列以太网交换机支持的本地端口镜像 操作 命令 说明 进入系统视图 system-view - 创建本地镜像组 mirroring-group group-id local 必选 在系统视图下配置源端口 mirroring-group group-id mirroring-port mirroring-port-lis
9、t both | inbound | outbound interface interface-type interface-number mirroring-group group-id mirroring-port both | inbound | outbound 为镜像组配置源端口 在端口视图下配置源端口 quit 二者必选其一 用户可以在系统视图下同时配置多个源端口,也可以在具体的端口视图下配置源端口,两种视图下的配置效果相同 在系统视图下配置目的端口 mirroring-group group-id monitor-port monitor-port-id interface in
10、terface-type interface-number 为镜像组配置目的端口 在端口视图下配置目的端口 mirroring-group group-id monitor-port 二者必选其一 两种视图下的配置效果相同 表1-4 配置S3900-SI系列以太网交换机支持的本地端口镜像 操作 命令 说明 进入系统视图 system-view - 进入以太网端口 interface interface-type interface-number - 定义当前端口为镜像源端口 mirroring-port both | inbound | outbound 必选 配置镜像源端口 退出至系统视图
11、quit - 进入以太网端口 interface interface-type interface-number - 配置镜像目的端口 定义当前端口为镜像目的端口 monitor-port 必选 在配置本地端口镜像时,有如下注意事项: z 本地镜像组需要配置源端口、目的端口才能生效。 z 源端口和目的端口不能是现有镜像组的成员端口、 Fabric 端口,目的端口不能为汇聚组成员端口、开启了 LACP 功能的端口或者开启了 STP 功能的端口。 Quidway S3900 系列以太网交换机 操作手册 镜像 第 1 章 镜像配置华为所有和机密 版权所有 (c) 华为技术有限公司 1-51.2.2
12、配置远程端口镜像 说明: z S3900-SI系列以太网交换机不支持配置远程端口镜像功能。 z S3900-EI系列以太网交换机可以充当远程端口镜像组网中的源交换机、中间交换机或者目的交换机。 1. 充当源交换机时的配置 (1) 配置准备 z 确定了镜像源端口、反射端口和远程镜像 VLAN z 确定了被镜像报文的方向 z 确保远程镜像 VLAN 内源交换机到目的交换机的二层互通性 (2) 配置过程 表1-5 配置源交换机 操作 命令 说明 进入系统视图 system-view - 创建并进入 VLAN 视图 vlan vlan-id vlan-id 为远程镜像 VLAN 的编号 配置当前 VL
13、AN 为远程镜像 VLAN remote-probe vlan enable 必选 退出至系统视图 quit - 进入与中间交换机或目的交换机相连的以太网端口视图 interface interface-type interface-number - 配置当前端口类型为Trunk port link-type trunk 必选 缺省情况下,端口类型为Access 配置当前端口允许远程镜像 VLAN 内的报文通过 port trunk permit vlan remote-probe-vlan-id 必选 退出至系统视图 quit - 创建远程源镜像组 mirroring-group group
14、-id remote-source 必选 为远程源镜像组配置源端口 mirroring-group group-id mirroring-port mirroring-port-list both | inbound | outbound 必选 为远程源镜像组配置反射端口 mirroring-group group-id reflector-port reflector-port 必选 第 1 章 镜像配置 Quidway S3900 系列以太网交换机 操作手册镜像1-6 华为所有和机密 版权所有 (c) 华为技术有限公司 操作 命令 说明 为远程源镜像组配置远程镜像 VLAN mirrori
15、ng-group group-id remote-probe vlan remote-probe-vlan-id 必选 在配置源交换机时,有如下注意事项: z 远程源镜像组的所有端口都属于同一台设备, 一个远程源镜像组只能配置一个反射端口。 z 反射端口不能是现有镜像组的成员端口、 Fabric 端口、汇聚组成员端口、开启了 LACP 的端口或者开启了 STP 功能的端口, 必须是 Access 端口且不能配置VLAN-VPN、端口环回检测、包过滤、 QoS 和端口安全等功能。 z 将某个端口配置为反射端口后,不能再修改端口双工模式、端口速率、 MDI属性的取值。 z 配置远程镜像 VLAN
16、时,要求该 VLAN 为静态 VLAN 并预先创建。被配置成远程镜像 VLAN 后,该 VLAN 不能直接删除,必须先删除远程镜像 VLAN 的配置才能够删除这个 VLAN。如果镜像组生效后,远程镜像 VLAN 被取消,那么该镜像组将失效。 z 建议用户不要在与中间交换机或目的交换机相连的端口上配置镜像源端口, 否则可能引起网络内的流量混乱。 2. 充当中间交换机时的配置 (1) 配置准备 z 确定了 Trunk 端口、远程镜像 VLAN z 确保远程镜像 VLAN 内源交换机到目的交换机的二层互通性 (2) 配置过程 表1-6 配置中间交换机 操作 命令 说明 进入系统视图 system-v
17、iew - 创建并进入 VLAN 视图 vlan vlan-id vlan-id 为远程镜像 VLAN的编号 配置当前 VLAN 为远程镜像 VLAN remote-probe vlan enable 必选 退出至系统视图 quit - 进入与源交换机、目的交换机或其他中间交换机相连的以太网端口视图 interface interface-type interface-number - Quidway S3900 系列以太网交换机 操作手册 镜像 第 1 章 镜像配置华为所有和机密 版权所有 (c) 华为技术有限公司 1-7操作 命令 说明 配置当前端口类型为Trunk port link-t
18、ype trunk 必选 缺省情况下,端口类型为Access 配置当前端口允许远程镜像 VLAN 内的报文通过 port trunk permit vlan remote-probe-vlan-id 必选 需要注意的是,当 S3900 系列以太网交换机充当远程端口镜像组网中的中间交换机时,不支持镜像双向( both)报文的功能。 3. 充当目的交换机时的配置 (1) 配置准备 z 确定了镜像目的端口、远程镜像 VLAN z 确保远程镜像 VLAN 内源交换机到目的交换机的二层互通性 (2) 配置过程 表1-7 配置目的交换机 操作 命令 说明 进入系统视图 system-view - 创建并进
19、入 VLAN 视图 vlan vlan-id vlan-id 为远程镜像 VLAN的编号 配置当前 VLAN 为远程镜像 VLAN remote-probe vlan enable 必选 退出至系统视图 quit - 进入与源交换机或中间交换机相连的以太网端口视图 interface interface-type interface-number - 配置当前端口类型为Trunk port link-type trunk 必选 缺省情况下,端口类型为Access 配置当前端口允许远程镜像 VLAN 的报文通过 port trunk permit vlan remote-probe-vlan-i
20、d 必选 退出至系统视图 quit - 创建远程目的镜像组 mirroring-group group-id remote-destination 必选 为远程目的镜像组配置目的端口 mirroring-group group-id monitor-port monitor-port 必选 为远程目的镜像组配置远程镜像 VLAN mirroring-group group-id remote-probe vlan remote-probe-vlan-id 必选 第 1 章 镜像配置 Quidway S3900 系列以太网交换机 操作手册镜像1-8 华为所有和机密 版权所有 (c) 华为技术有限
21、公司 在配置目的交换机时,有如下注意事项: z 当 S3900 系列以太网交换机充当远程端口镜像组网中的目的交换机时,不支持镜像双向( both)报文的功能。 z 远程镜像目的端口不能是现有镜像组的成员端口、 Fabric 端口、汇聚组成员端口、开启了 LACP 功能的端口或者开启了 STP 功能的端口。 z 配置远程镜像 VLAN 时,要求该 VLAN 为静态 VLAN 并预先创建。被配置成远程镜像 VLAN 后,该 VLAN 不能直接删除,必须先删除远程镜像 VLAN 的配置才能够删除这个 VLAN。如果镜像组生效后,远程镜像 VLAN 被取消,那么该镜像组将失效。 1.3 镜像显示 完成
22、上述配置后,在任意视图下执行 display 命令,可以显示配置镜像后的运行情况。通过查看显示信息,用户可以验证配置的效果。 表1-8 镜像的显示 操作 命令 说明 显示 S3900-EI 系列以太网交换机支持的端口镜像的配置信息 display mirroring-group group-id | all | local | remote-destination | remote-source 显示 S3900-SI 系列以太网交换机支持的端口镜像的配置信息 display mirror display 命令可以在任意视图下执行 1.4 镜像配置举例 1.4.1 本地端口镜像配置举例 1.
23、组网需求 某公司内部通过 S3900-EI 以太网交换机实现各部门之间的互连,网络环境描述如下: z 研发部通过端口 Ethernet 1/0/1 接入 Switch C; z 市场部通过端口 Ethernet 1/0/2 接入 Switch C; z 数据监测设备连接在 Switch C 的 Ethernet 1/0/3 端口上。 网络管理员希望通过数据监测设备对研发部和市场部收发的报文进行监控。 使用本地端口镜像功能实现该需求,在 Switch C 上进行如下配置: Quidway S3900 系列以太网交换机 操作手册 镜像 第 1 章 镜像配置华为所有和机密 版权所有 (c) 华为技术
24、有限公司 1-9z 端口 Ethernet 1/0/1 和 Ethernet 1/0/2 为镜像源端口; z 连接数据监测设备的端口 Ethernet 1/0/3 为镜像目的端口。 2. 组网图 图1-3 配置本地端口镜像组网图 3. 配置步骤 配置 Switch C: # 创建本地镜像组。 system-view system-view system-view system-view Sysname mirroring-group 1 remote-destination # 配置远程镜像 VLAN。 Sysname vlan 10 Sysname-vlan10 remote-probe v
25、lan enable Sysname-vlan10 quit # 为远程目的镜像组配置目的端口和远程镜像 VLAN。 Sysname mirroring-group 1 monitor-port Ethernet 1/0/2 Sysname mirroring-group 1 remote-probe vlan 10 # 配置端口 Ethernet 1/0/1 的链路类型为 Trunk 端口,允许 VLAN 10 的报文通过。 Sysname interface Ethernet 1/0/1 Sysname-Ethernet1/0/1 port link-type trunk Sysname-Ethernet1/0/1 port trunk permit vlan 10 Sysname-Ethernet1/0/1 quit # 显示远程目的镜像组 1 的配置信息。 Sysname display mirroring-group 1 mirroring-group 1: type: remote-destination status: active monitor port: Ethernet1/0/2 remote-probe vlan: 10 配置完成后,用户可以在数据监测设备上监控部门 1 和部门 2 发送的所有报文。
