摘要:镜像是指通过指定端口(源端口或镜像端口)将消息复制到另一个指定端口(目标端口或监视端口)。
目的:在网络运营和维护过程中,为了便于业务监测和故障定位,网络管理员经常获取并分析设备上的业务消息。
镜像可以将镜像端口上的消息复制到监视端口,而不影响设备对消息的正常处理。 网络管理者可以通过网络监视装置分析从观察端口复制的消息,判断在网络上运行的业务是否正常。
原理说明:基本概念: ###镜像端口和观察端口:
镜像端口是被监视的端口,镜像端口发送和接收的消息将复制到与监视设备连接的端口。
监视端口是连接到监视设备的端口,用于将从镜像端口复制的消息发送到监视设备。
由于典型的观察端口专门用于传输镜像通信,因此不建议在上面放置其他通信,以免镜像通信和其他通信在观察端口上同时传输时相互影响。
对设备应用镜像功能时,如果镜像过多,设备内部的传输带宽会增加,可能会影响其他业务传输。 另外,如果镜像端口和观察端口的带宽不一致,例如镜像端口的带宽为1000Mbit/s,观察端口的带宽为100Mbit/s,则观察端口由于带宽不足,无法立即传输所有镜像消息,从而导致parpher
镜像方向镜像端口将指定方向的消息复制到观察端口,包括:
进入方向:将镜像端口接收到的消息复制到观察端口。 送出方向:将镜像端口发送的消息复制到观察端口。 双向:将镜像端口上发送和接收的所有消息复制到监视端口。 端口镜像:端口镜像是指设备复制从镜像端口流出的消息,并将该消息转发到指定的监视端口进行分析和监视。 端口镜像可以分为本地端口镜像和远程端口镜像,具体取决于监视设备在网络上的位置。
本地端口镜像本地端口镜像是指监视端口直接连接到监视设备,在这种情况下,监视端口称为本地监视端口。
远程端口镜像:远程端口镜像是指观察端口和监视设备通过中间网络传输镜像消息,观察端口称为远程观察端口。
双层远程端口镜像是指远程观察端口和监视设备通过双层网络连接。 如下图所示,双层远程端口镜像中的镜像消息的具体转发过程如下。
图:双层远程端口镜像映像中的镜像端口将流动的原始消息复制到远程视口中。 观察远程端口收到从镜像端口复制的镜像消息,在原始VLAN标签(VLAN10 )之外再添加VLAN标签(VLAN20 ),将镜像消息转发到中间双层网络。 值得注意的是,此过程不需要通过端口加入VLAN,而是通过配置远程监视端口直接完成的。 SwitchC在接收到来自远程观察端口的镜像消息时,将镜像消息转发给监视设备。 为此,必须将中间双层设备(SwitchC )、远程观察端口和连接监视设备的端口添加到VLAN20,以确保tchB、SwitchC和监视设备之间的双层通信。 流镜像:流镜像是指在设备上配置一定的规则,并将符合规则的特定业务流复制到用于分析和监视的观察端口。
VLAN镜像—VLAN镜像是指将指定VLAN中所有活动接口的消息镜像到观察端口。 用户可以监视某个VLAN或某个VLAN内的消息。
当前,应用VLAN镜像时,华为s系列磁带盒交换机仅支持将VLAN中活动接口输入方向的消息镜像到观察端口。
与端口镜像一样,VLAN镜像也可以分为本地VLAN镜像和远程VLAN镜像,具体取决于监视设备在网络上的位置。 注意,远程VLAN镜像不能使主机所在的VLAN与用于传输镜像消息的中间双层网络的VLAN相同。
MAC镜像: MAC镜像是指将与VLAN中指定源或目标MAC地址相匹配的消息镜像到监视端口。 MAC地址镜像提供了更精确的镜像,用户可以监视网络上特定设备的消息。
当前,当应用MAC镜像时,华为s系列盒式交换机仅支持将VLAN中活动接口的安装方向与指定源或目标MAC地址相匹配的消息镜像到监视端口
端口镜像配置命令:观察器端口[观察器端口索引]接口类型接口编号[ UNTAG-packet ]///构成一个本地监视端口的接口范围{接口类型接口编号[ to接口类型接口编号] }1- n [ unnerface-type接口编号] 批量配置本地观察端口observer-port observe-port-index接口范围{ add }接口类型接口编号//添加到已配置的本地观察端口组或将端口- mirroringtoobserve-port observe-port-index { both }//镜像端口绑定到观察端口
注意:
一般观察端口专门用于镜像流量的转发,因此不建议在上面配置其他业务,防止镜像流量与其他业务流量在观察端口上同时转发会互相影响。
inbound:将镜像端口入方向绑定到观察端口,即将镜像端口接收的报文复制到观察端口上。outbound:将镜像端口出方向绑定到观察端口,即将镜像端口发送的报文复制到观察端口上。both:将镜像端口双方向绑定到观察端口,将镜像端口收、发的报文都复制到观察端口上。在1:N镜像中,如果镜像端口某一方向绑定的是通过批量方式配置的多个观察端口,则该方向不能再绑定到其他的观察端口。以太网端口和Eth-trunk端口都可以配置为镜像端口。如果将Eth-trunk端口配置为镜像端口,就不能再将其对应的成员端口配置为观察端口。observe-port-index指观察端口的索引,必须与配置的观察端口的索引相同。 本地端口镜像配置:如下图,Gi0/0/02为观察端口,其他三个端口为镜像端口。
图:本地端口镜像配置命令:
[SW]dis current-configuration #sysname SW#observe-port 1 interface GigabitEthernet0/0/1 //观察端口#interface GigabitEthernet0/0/3 port-mirroring to observe-port 1 inbound port-mirroring to observe-port 1 outbound#interface GigabitEthernet0/0/4 port-mirroring to observe-port 1 inbound port-mirroring to observe-port 1 outbound#interface GigabitEthernet0/0/5 port-mirroring to observe-port 1 inbound port-mirroring to observe-port 1 outbound# 远程端口镜像:如下图,PC8为监控器,通过两台交换机实现对PC6,7出入流量的监控。
图:远程端口镜像配置命令:
<SW2>dis current-configuration #sysname SW2#observe-port 1 interface GigabitEthernet0/0/3 vlan 10 //配置远程观察端口所属VLAN10#interface GigabitEthernet0/0/1 port-mirroring to observe-port 1 inbound port-mirroring to observe-port 1 outbound#interface GigabitEthernet0/0/2 port-mirroring to observe-port 1 inbound port-mirroring to observe-port 1 outbound#interface GigabitEthernet0/0/3 port link-type trunk port trunk allow-pass vlan 10# <SW3>display current-configuration #sysname SW3#vlan batch 10#interface GigabitEthernet0/0/1 port link-type trunk port trunk allow-pass vlan 10#interface GigabitEthernet0/0/2 port link-type access port default vlan 10# 流镜像配置示例:如下图,AR4设备监控源从源10.0.12.0地址的出去的流量。
图:流镜像配置命令:
<AR2>dis current-configuration # sysname AR2# observe-port interface GigabitEthernet0/0/1#acl number 2000 rule 5 permit source 10.1.12.0 0.0.0.255 #traffic classifier c1 operator or if-match acl 2000#traffic behavior b1 mirror to observe-port #traffic policy p1 classifier c1 behavior b1#interface GigabitEthernet0/0/0 ip address 10.1.12.2 255.255.255.0 mirror to observe-port inbound#interface GigabitEthernet0/0/1 ip address 10.1.24.2 255.255.255.0 traffic-policy p1 inbound traffic-policy p1 outbound#interface GigabitEthernet0/0/2 ip address 10.1.23.2 255.255.255.0 #ospf 1 area 0.0.0.0 network 10.1.12.0 0.0.0.255 network 10.1.23.0 0.0.0.255 network 10.1.24.0 0.0.0.255 #参考文档:华为HedEx文档