1端口镜像配置

端口镜像是将指定端口(源端口)的报文复制一份到其它端口(目的端口),目的端口会与数据监测设备相连,用户利用这些数据监测设备来分析复制到目的端口的报文,进行网络监控和故障排除。

1.1.1  端口镜像的基本概念

为了更好地理解后面的内容,首先介绍一下端口镜像中涉及的基本概念。

1. 源端口

源端口是被监控的端口,用户可以对通过该端口的报文进行监控和分析。

2. 目的端口

目的端口也可称为监控端口,该端口将接收到的报文转发到数据监测设备,以便对报文进行监控和分析。

3. 镜像的方向

端口镜像的方向分为三种:

l入方向:仅对源端口接收的报文进行镜像。

l出方向:仅对源端口发送的报文进行镜像。

l双向:对源端口接收和发送的报文都进行镜像。

端口镜像分为两种:

l本地端口镜像:是指将设备的一个或多个源端口的报文复制到本设备的一个目的端口,用于报文的监控和分析。其中,源端口和目的端口必须在同一台设备上。

l远程端口镜像:除了可以实现本地端口镜像的功能外,它还突破了源端口和目的端口必须在同一台设备上的限制,使源端口和目的端口间可以跨越多个网络设备。目前,远程端口镜像功能可以穿越二层网络,但无法穿越三层网络。


lH3C S5120-SI系列交换机仅支持本地端口镜像。

l由于一个目的端口可以同时监视多个源端口,在某些配置情况下,目的端口会收到同一个报文的多个复制报文。例如,目的端口Port 1同时监控源端口Port 2和Port 3接收和发送的所有报文(Port 2和Port 3在同一台设备上),如果一个报文从Port 2进入设备又从Port 3发送出去,那么这个报文将被复制两次送到目的端口Port 1。

1.1.3  端口镜像的实现方式

本地端口镜像可以对所有报文(包括协议报文和数据报文)进行镜像。

本地端口镜像通过本地镜像组的方式实现。源端口和目的端口在同一个本地镜像组中,设备将源端口的报文复制一份并转发到目的端口。


H3C S5120-SI系列交换机支持配置1个本地镜像组。


配置本地端口镜像时,用户首先要创建一个本地镜像组,然后为本地镜像组配置源端口和目的端口。

表1-1 配置本地端口镜像

命令

说明

进入系统视图

system-view

-

创建本地镜像组

mirroring-groupgroup-idlocal

必选

为镜像组配置源端口

在系统视图下配置源端口

mirroring-groupgroup-idmirroring-portmirroring-port-list { both| inbound|outbound }

必选

用户可以在系统视图下同时配置多个源端口,也可以在具体的端口视图下配置源端口,两种视图下的配置效果相同

在端口视图下配置源端口

interface interface-type interface-number
[mirroring-groupgroup-id]mirroring-port { both|inbound | outbound
}
quit

为镜像组配置目的端口

在系统视图下配置目的端口

mirroring-groupgroup-idmonitor-portmonitor-port-id

二者必选其一

两种视图下的配置效果相同

在端口视图下配置目的端口

interface interface-type interface-number

[mirroring-groupgroup-id]monitor-port


l本地镜像组需要配置源端口、目的端口才能生效。

l一个镜像组中可以配置多个源端口,但只能配置一个目的端口。

l一个端口只能被一个镜像组使用。

l建议用户不要在目的端口上使能STP、MSTP和RSTP,否则会影响设备的正常使用。

l目的端口收到的报文包括复制自源端口的报文和来自其它端口的正常转发报文。为了保证数据监测设备只对源端口的报文进行分析,建议目的端口仅用于端口镜像,不用做其它用途。

1.3  端口镜像显示和维护

在完成上述配置后,在任意视图下执行display命令可以显示配置后镜像组的运行情况,通过查看显示信息验证配置的效果。

表1-2 端口镜像显示和维护

操作

命令

显示端口镜像组的配置信息

display mirroring-group{ group-id|local}

1. 组网需求

用户网络描述如下:

l部门1的报文通过端口GigabitEthernet1/0/1接入Device C。

l部门2的报文通过端口GigabitEthernet1/0/2接入Device C。

lServer接在Device C的GigabitEthernet1/0/3端口上。

需求为:用户希望通过Server对部门1和部门2收发的报文进行监控。

使用本地端口镜像功能实现该需求:

l端口GigabitEthernet1/0/1和GigabitEthernet1/0/2为镜像源端口。

l连接Server的端口GigabitEthernet1/0/3为镜像目的端口。

2. 组网图


3. 配置步骤

(1)配置方案1

# 创建本地镜像组。

system-view
[DeviceC] mirroring-group 1 local
# 为本地镜像组配置源端口和目的端口。
[DeviceC] mirroring-group 1 mirroring-port gigabitethernet 1/0/1 gigabitethernet 1/0/2 both
[DeviceC] mirroring-group 1 monitor-port gigabitethernet 1/0/3
# 显示所有镜像组的配置信息。
[DeviceC] display mirroring-group all
mirroring-group 1:
type: local
status: active
mirroring port:
GigabitEthernet1/0/1  both
GigabitEthernet1/0/2  both
monitor port: GigabitEthernet1/0/3

配置完成后,用户就可以在Server上监控部门1和部门2收发的所有报文。