1、H3C SEA系列以太网交换机镜像配置操作手册H3C S2000-EA系列以太网交换机镜像配置操作手册1.1 镜像简介1.1.1 本地端口镜像1.1.2 远程端口镜像1.2 镜像配置1.2.1 配置本地端口镜像1.2.2 配置远程端口镜像1.3 镜像的显示1.4 镜像配置举例1.4.1 本地端口镜像配置举例1.4.2 远程端口镜像配置举例1 镜像配置1.1 镜像简介镜像是将指定端口的报文复制到镜像目的端口,镜像目的端口会接入数据检测设备,用户利用这些设备分析目的端口接收到的报文,进行网络监控和故障排除。图1-1 镜像示意图H3C S2000-EA系列以太网交换机支持配置以下两种镜像方式:l 本
2、地端口镜像:设备将源端口的报文复制一份并转发到目的端口。l 远程端口镜像:通过远程源镜像组和远程目的镜像组互相配合实现。设备将源端口的报文复制一份,然后通过反射端口将报文在远程镜像VLAN中进行广播。远程的设备收到报文后,比较报文的VLAN ID和远程目的镜像组的远程镜像VLAN是否相同,如果相同,则将该报文转发到远程目的镜像组的目的端口。1.1.1 本地端口镜像本地端口镜像是指将设备的一个或多个端口(源端口)的报文复制到本设备的一个监视端口(目的端口),用于报文的分析和监视。其中,源端口和目的端口必须在同一台设备上。1.1.2 远程端口镜像远程端口镜像突破了源端口和目的端口必须在同一台设备上
3、的限制,使源端口和目的端口可以跨越网络中的多个设备,从而方便网络管理人员对远程设备上的流量进行监控。为了实现远程端口镜像功能,需要定义一个特殊的VLAN,称之为远程镜像VLAN(Remote-probe VLAN)。所有被镜像的报文通过该VLAN从源交换机的反射口传递到目的交换机的镜像端口,实现在目的交换机上对源交换机端口收发的报文进行监控的功能。远程端口镜像的应用示意图如图1-2所示。图1-2 远程端口镜像应用示意图实现远程端口镜像功能的交换机分为三种:l 源交换机:被监控的端口所在的交换机,负责将镜像流量复制到反射端口,然后通过远程镜像VLAN传输给中间交换机或目的交换机。l 中间交换机:
4、网络中处于源交换机和目的交换机之间的交换机,通过远程镜像VLAN把镜像流量传输给下一个中间交换机或目的交换机。如果源交换机与目的交换机直接相连,则不存在中间交换机。l 目的交换机:远程镜像目的端口所在的交换机,将从远程镜像VLAN接收到的镜像流量通过镜像目的端口转发给监控设备。各个交换机上参与镜像的端口如表1-1所示。表1-1 交换机上参与镜像的端口交换机参与镜像的端口作用源交换机源端口(Source Port)被监控的端口,通过本地端口镜像把报文复制到指定的反射端口(Reflector port),源端口可以有多个反射端口(Reflector port)接收从被监控端口镜像的报文,将报文在远
5、程镜像VLAN内广播Trunk端口将镜像报文发送到中间交换机或者目的交换机中间交换机Trunk端口将镜像报文发送到目的交换机中间交换机上需要配置两个Trunk端口,和两侧的设备相连目的交换机Trunk端口接收远程镜像报文镜像目的端口(Destination port)接收从Trunk端口转发的报文,将报文发送到数据监测设备l 用户不能将缺省VLAN 1、端口的缺省VLAN或者动态VLAN配置为远程镜像VLAN。l 建议用户将远程镜像VLAN中的设备互连端口都配置为Trunk端口,并且通过配置保证远程镜像VLAN内从源交换机到目的交换机的二层互通性。l 建议用户不要为远程镜像VLAN配置三层接口
6、,不要在远程镜像VLAN上运行其他协议报文,承载其他的业务报文,不要将远程镜像VLAN作为Voice VLAN、协议VLAN使用,否则可能会影响远程端口镜像功能。1.2 镜像配置表1-2 镜像配置任务简介配置任务说明详细配置配置本地端口镜像可选1.2.1配置远程端口镜像可选1.2.21.2.1 配置本地端口镜像1. 配置准备l 确定了镜像源端口以及被镜像报文的方向l 确定了镜像目的端口2. 配置过程表1-3 配置本地端口镜像操作命令说明进入系统视图system-view-创建本地镜像组mirroring-group group-id local必选为镜像组配置源端口在系统视图下配置源端口mir
7、roring-group group-id mirroring-port mirroring-port-list both | inbound | outbound 二者必选其一用户可以在系统视图下同时配置多个源端口,也可以在具体的端口视图下配置源端口,两种视图下的配置效果相同在端口视图下配置源端口interface interface-type interface-numbermirroring-group group-id mirroring-port both | inbound | outbound quit为镜像组配置目的端口在系统视图下配置目的端口mirroring-group g
8、roup-id monitor-port monitor-port-id二者必选其一两种视图下的配置效果相同在端口视图下配置目的端口interface interface-type interface-numbermirroring-group group-id monitor-port在配置本地端口镜像时,有如下注意事项:l 本地镜像组需要配置源端口、目的端口才能生效。l 目的端口不能是汇聚组成员端口、开启了LACP的端口或者开启了STP功能的端口。1.2.2 配置远程端口镜像H3C S2000-EA系列以太网交换机可以充当远程端口镜像组网中的源交换机、中间交换机或者目的交换机。1. 充当源
9、交换机时的配置(1) 配置准备l 确定了镜像源端口、反射端口和远程镜像VLANl 确定了被镜像报文的方向l 确保远程镜像VLAN内源交换机到目的交换机的二层互通性(2) 配置过程表1-4 配置源交换机操作命令说明进入系统视图system-view-创建并进入VLAN视图vlan vlan-idvlan-id为远程镜像VLAN的编号配置当前VLAN为远程镜像VLANremote-probe vlan enable必选退出至系统视图quit-进入与中间交换机或目的交换机相连的以太网端口视图interface interface-type interface-number-配置当前端口类型为Trun
10、kport link-type trunk必选缺省情况下,端口类型为Access配置当前端口允许远程镜像VLAN内的报文通过port trunk permit vlan remote-probe-vlan-id必选退出至系统视图quit-创建远程源镜像组mirroring-group group-id remote-source必选为远程源镜像组配置源端口mirroring-group group-id mirroring-port mirroring-port-list both | inbound | outbound 必选为远程源镜像组配置反射端口mirroring-group grou
11、p-id reflector-port reflector-port必选为远程源镜像组配置远程镜像VLANmirroring-group group-id remote-probe vlan remote-probe-vlan-id必选在配置源交换机时,有如下注意事项:l 远程源镜像组的所有端口都属于同一台设备,一个远程源镜像组只能配置一个反射端口。l 反射端口不能为汇聚组成员端口、开启了LACP的端口或者开启了STP功能的端口,必须是Access端口且不能配置VLAN-VPN、端口环回检测、包过滤、QoS和端口安全等功能。l 建议用户不要在反射端口上配置VLAN Mapping和灵活QinQ
12、功能,否则会影响镜像功能的正常使用。l 将某个端口配置为反射端口后,不能再修改端口双工模式、端口速率、MDI属性的取值。l 配置远程镜像VLAN时,要求该VLAN为静态VLAN并预先创建。被配置成远程镜像VLAN后,该VLAN不能直接删除,必须先删除远程镜像VLAN的配置才能够删除这个VLAN。如果镜像组生效后,远程镜像VLAN被取消,那么该镜像组将失效。l 建议用户不要在与中间交换机或目的交换机相连的端口上配置镜像源端口,否则可能引起网络内的流量混乱。2. 充当中间交换机时的配置(1) 配置准备l 确定了Trunk端口、远程镜像VLANl 确保远程镜像VLAN内源交换机到目的交换机的二层互通
13、性(2) 配置过程表1-5 配置中间交换机操作命令说明进入系统视图system-view-创建并进入VLAN视图vlan vlan-idvlan-id为远程镜像VLAN的编号配置当前VLAN为远程镜像VLANremote-probe vlan enable必选退出至系统视图quit-进入与源交换机、目的交换机或其他中间交换机相连的以太网端口视图interface interface-type interface-number-配置当前端口类型为Trunkport link-type trunk必选缺省情况下,端口类型为Access配置当前端口允许远程镜像VLAN内的报文通过port trunk
14、 permit vlan remote-probe-vlan-id必选3. 充当目的交换机时的配置(1) 配置准备l 确定了镜像目的端口、远程镜像VLANl 确保远程镜像VLAN内源交换机到目的交换机的二层互通性(2) 配置过程表1-6 配置目的交换机操作命令说明进入系统视图system-view-创建并进入VLAN视图vlan vlan-idvlan-id为远程镜像VLAN的编号配置当前VLAN为远程镜像VLANremote-probe vlan enable必选退出至系统视图quit-进入与源交换机或中间交换机相连的以太网端口视图interface interface-type inter
15、face-number-配置当前端口类型为Trunkport link-type trunk必选缺省情况下,端口类型为Access配置当前端口允许远程镜像VLAN的报文通过port trunk permit vlan remote-probe-vlan-id必选退出至系统视图quit-创建远程目的镜像组mirroring-group group-id remote-destination必选为远程目的镜像组配置目的端口mirroring-group group-id monitor-port monitor-port必选为远程目的镜像组配置远程镜像VLANmirroring-group gro
16、up-id remote-probe vlan remote-probe-vlan-id必选在配置目的交换机时,有如下注意事项:l 远程镜像目的端口不能为汇聚组成员端口、开启了LACP的端口或者开启了STP功能的端口。l 配置远程镜像VLAN时,要求该VLAN为静态VLAN并预先创建。被配置成远程镜像VLAN后,该VLAN不能直接删除,必须先删除远程镜像VLAN的配置才能够删除这个VLAN。如果镜像组生效后,远程镜像VLAN被取消,那么该镜像组将失效。1.3 镜像的显示完成上述配置后,在任意视图下执行display命令,可以显示配置镜像后的运行情况。通过查看显示信息,用户可以验证配置的效果。表
17、1-7 镜像的显示操作命令说明显示端口镜像的配置信息display mirroring-group group-id | all | local | remote-destination | remote-source display命令可以在任意视图下执行1.4 镜像配置举例1.4.1 本地端口镜像配置举例1. 组网需求某公司内部通过H3C S2000-EA系列以太网交换机实现各部门之间的互连,网络环境描述如下:l 研发部通过端口Ethernet 1/0/1接入Switch C;l 市场部通过端口Ethernet 1/0/2接入Switch C;l 数据监测设备连接在Switch C的Eth
18、ernet 1/0/3端口上。网络管理员希望通过数据监测设备对研发部和市场部收发的报文进行监控。使用本地端口镜像功能实现该需求,在Switch C上进行如下配置:l 端口Ethernet 1/0/1和Ethernet 1/0/2为镜像源端口;l 连接数据监测设备的端口Ethernet 1/0/3为镜像目的端口。2. 组网图图1-3 配置本地端口镜像组网图3. 配置步骤配置Switch C:# 创建本地镜像组。 system-viewSysname mirroring-group 1 local# 为本地镜像组配置源端口和目的端口。Sysname mirroring-group 1 mirror
19、ing-port Ethernet 1/0/1 Ethernet 1/0/2 bothSysname mirroring-group 1 monitor-port Ethernet 1/0/3# 显示本地镜像组 1的配置信息。Sysname display mirroring-group 1mirroring-group 1: type: local status: active mirroring port: Ethernet1/0/1 both Ethernet1/0/2 both monitor port: Ethernet1/0/3配置完成后,用户可以在数据监测设备上监控研发部和市场部
20、收发的所有报文。1.4.2 远程端口镜像配置举例1. 组网需求某公司内部通过H3C S2000-EA系列以太网交换机实现各部门之间的互连,网络环境描述如下:l Switch A、Switch B和Switch C都为S2000-EA系列以太网交换机;l 部门1通过端口Ethernet 1/0/1接入Switch A;l 部门2通过端口Ethernet 1/0/2接入Switch A;l Switch A的端口Ethernet 1/0/3和Switch B的端口Ethernet 1/0/1相连;l Switch B的端口Ethernet 1/0/2和Switch C的端口Ethernet 1/0
21、/1相连;l 数据监测设备连接在Switch C的Ethernet 1/0/2端口上。网络管理员希望通过数据监测设备对部门1和部门2发送的报文进行监控。使用远程端口镜像功能实现该需求,进行如下配置:l Switch A充当源交换机,Switch B充当中间交换机,Switch C充当目的交换机;l 在Switch A上配置远程源镜像组,定义VLAN 10为远程镜像VLAN,端口Ethernet 1/0/1和Ethernet 1/0/2为镜像源端口,端口Ethernet 1/0/4为反射口;l 在Switch B上配置VLAN 10为远程镜像VLAN;l 配置Switch A的端口Etherne
22、t 1/0/3、Switch B的端口Ethernet 1/0/1和Ethernet 1/0/2、Switch C的端口Ethernet 1/0/1的端口类型为Trunk,并且都允许VLAN 10的报文通过;l 在Switch C上配置远程目的镜像组,定义VLAN 10为远程镜像VLAN,连接数据监测设备的端口Ethernet 1/0/2为镜像目的端口。2. 组网图图1-4 配置远程端口镜像组网图3. 配置步骤(1) 配置源交换机(Switch A)# 创建远程源镜像组。 system-viewSysname mirroring-group 1 remote-source# 配置远程镜像VLA
23、N。Sysname vlan 10Sysname-vlan10 remote-probe vlan enableSysname-vlan10 quit# 为远程源镜像组配置源端口、反射口和远程镜像VLAN。Sysname mirroring-group 1 mirroring-port Ethernet 1/0/1 Ethernet 1/0/2 inboundSysname mirroring-group 1 reflector-port Ethernet 1/0/4Sysname mirroring-group 1 remote-probe vlan 10# 配置端口Ethernet 1/0
24、/3的链路类型为Trunk端口,允许VLAN 10的报文通过。Sysname interface Ethernet 1/0/3Sysname-Ethernet1/0/3 port link-type trunkSysname-Ethernet1/0/3 port trunk permit vlan 10Sysname-Ethernet1/0/3 quit# 显示远程源镜像组 1的配置信息。Sysname display mirroring-group 1mirroring-group 1: type: remote-source status: active mirroring port: E
25、thernet1/0/1 inbound Ethernet1/0/2 inbound reflector port: Ethernet1/0/4 remote-probe vlan: 10(2) 配置中间交换机(Switch B)# 创建远程镜像VLAN。 system-viewSysname vlan 10Sysname-vlan10 remote-probe vlan enableSysname-vlan10 quit# 配置端口Ethernet 1/0/1的链路类型为Trunk端口,允许VLAN 10的报文通过。Sysname interface Ethernet 1/0/1Sysnam
26、e-Ethernet1/0/1 port link-type trunkSysname-Ethernet1/0/1 port trunk permit vlan 10Sysname-Ethernet1/0/1 quit# 配置端口Ethernet 1/0/2的链路类型为Trunk端口,允许VLAN 10的报文通过。Sysname interface Ethernet 1/0/2Sysname-Ethernet1/0/2 port link-type trunkSysname-Ethernet1/0/2 port trunk permit vlan 10(3) 配置目的交换机(Switch C)
27、# 创建远程目的镜像组。 system-viewSysname mirroring-group 1 remote-destination# 配置远程镜像VLAN。Sysname vlan 10Sysname-vlan10 remote-probe vlan enableSysname-vlan10 quit# 为远程目的镜像组配置目的端口和远程镜像VLAN。Sysname mirroring-group 1 monitor-port Ethernet 1/0/2Sysname mirroring-group 1 remote-probe vlan 10# 配置端口Ethernet 1/0/1的
28、链路类型为Trunk端口,允许VLAN 10的报文通过。Sysname interface Ethernet 1/0/1Sysname-Ethernet1/0/1 port link-type trunkSysname-Ethernet1/0/1 port trunk permit vlan 10Sysname-Ethernet1/0/1 quit# 显示远程目的镜像组 1的配置信息。Sysname display mirroring-group 1mirroring-group 1: type: remote-destination status: active monitor port: Eth
