- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
06-鏡像配置
本章節下載: 06-鏡像配置 (528.3 KB)
端口鏡像功能中提到的端口同時表示二層以太網端口和三層以太網端口。三層以太網端口是指被配置為三層模式的以太網端口,有關以太網端口模式切換的操作,請參見“二層技術-以太網交換配置指導”中的“以太網端口配置”。
端口鏡像通過將指定端口的報文複製到與數據監測設備相連的端口,使用戶可以利用數據監測設備分析這些複製過來的報文,以進行網絡監控和故障排除。
鏡像源是指被監控的對象,經由該對象收發的報文會被複製一份到與數據監測設備相連的端口,用戶就可以對這些報文(稱為鏡像報文)進行監控和分析了。被監控的對象是端口,我們將之稱為源端口,這些對象所在的設備就稱為源設備。
鏡像目的是指鏡像報文所要到達的目的地,即與數據監測設備相連的那個端口,我們稱之為目的端口,目的端口所在的設備就稱為目的設備。目的端口會將其收到的鏡像報文轉發給與之相連的數據監測設備。
由於一個目的端口可以同時監控多個鏡像源,因此在某些配置下,目的端口可能收到對同一報文的多份拷貝。例如,目的端口Port 1同時監控源端口Port 2和Port 3(這兩個端口在同一台設備上)收發的報文,如果某報文從Port 2進入該設備後又從Port 3發送出去,那麼該報文將被複製兩次給Port 1。
鏡像方向是指在鏡像源上可複製的報文方向,包括:
l 入方向:是指僅複製鏡像源收到的報文。
l 出方向:是指僅複製鏡像源發出的報文。
l 雙向:是指對鏡像源收到和發出的報文都進行複製。
鏡像組是在端口鏡像的實現過程中用到的一個邏輯上的概念,鏡像源和鏡像目的都要屬於某一個鏡像組。根據具體的實現方式不同,鏡像組可分為本地鏡像組、遠程源鏡像組和遠程目的鏡像組三類,有關這三類鏡像組的具體介紹請參見“1.1.2 端口鏡像的分類和實現方式”一節。
反射端口、出端口和遠程鏡像VLAN都是在二層遠程端口鏡像的實現過程中用到的概念。遠程鏡像VLAN是將鏡像報文從源設備傳送至目的設備的專用VLAN;反射端口和出端口都位於源設備上,都用來將鏡像報文發送到遠程鏡像VLAN中,二者的區別在於前者不必加入遠程鏡像VLAN中,而後者則必須加入到遠程鏡像VLAN中。有關源設備、目的設備、反射端口、出端口和遠程鏡像VLAN的具體介紹,請參見“1.1.2 端口鏡像的分類和實現方式”一節。
反射端口主要用於實現“本地鏡像支持多個目的端口”功能。
根據鏡像源與鏡像目的所處的相對位置,我們將端口鏡像分為本地端口鏡像和遠程端口鏡像兩大類:
當鏡像源和鏡像目的位於同一台設備上時,稱為本地端口鏡像。對於本地端口鏡像,鏡像源和鏡像目的都屬於同一台設備上的同一個鏡像組,該鏡像組就稱為本地鏡像組。
本地鏡像組可支持跨板鏡像,即鏡像源與鏡像目的可以位於同一台設備的不同單板上。
如圖1-1所示,鏡像源為源端口GigabitEthernet1/0/1,鏡像目的為目的端口GigabitEthernet1/0/2,這兩個端口位於同一台設備上。設備將進入源端口GigabitEthernet1/0/1的報文複製一份給目的端口GigabitEthernet1/0/2,再由該端口將鏡像報文轉發給數據監測設備。
當鏡像源和鏡像目的分處於兩台設備上時,稱為遠程端口鏡像。對於遠程端口鏡像,鏡像源和鏡像目的分屬於不同設備上的不同鏡像組:鏡像源所在的設備和鏡像組分別稱為源設備和遠程源鏡像組,鏡像目的所在的設備和鏡像組分別稱為目的設備和遠程目的鏡像組,而位於源設備與目的設備之間的設備則統稱為中間設備。
根據源設備與目的設備之間的連接關係,又可將遠程端口鏡像細分為:
l 二層遠程端口鏡像:源設備與目的設備之間通過二層網絡進行連接。
l 三層遠程端口鏡像:源設備與目的設備之間通過三層網絡進行連接。
(1) 二層遠程端口鏡像
如圖1-2所示,源設備將進入源端口GigabitEthernet1/0/1的報文複製一份給出端口GigabitEthernet1/0/2,該端口將鏡像報文轉發給中間設備,再由中間設備在遠程鏡像VLAN中廣播,最終到達目的設備。目的設備收到該報文後判別其VLAN ID,若與遠程鏡像VLAN的VLAN ID相同,就將其轉發至目的端口GigabitEthernet1/0/2,最後由該端口將鏡像報文轉發給數據監測設備。
l 中間設備需允許遠程鏡像VLAN通過,以確保源設備與目的設備之間的二層網絡暢通。
l 在鏡像報文從源設備到達目的設備的過程中,請確保其VLAN ID不被修改或刪除,否則二層遠程鏡像功能將失效。
l 在一個鏡像組中對同一個端口收發的報文進行雙向鏡像時,需要在源設備、中間設備和目的設備上通過mac-address mac-learning disable命令用來關閉遠程鏡像VLAN的MAC地址學習功能,以保證鏡像功能的正常進行。關於mac-address mac-learning disable命令的詳細信息,請參見“二層技術-以太網交換命令參考”中的“MAC地址表配置命令”。
(2) 三層遠程端口鏡像
三層遠程端口鏡像的實現過程中借用了本地鏡像組的概念,即在源設備和目的設備上分別創建各自的本地鏡像組,每個本地鏡像組也擁有各自的源端口和目的端口。
如圖1-3所示,源設備將進入源端口GigabitEthernet1/0/1的報文複製一份給其Tunnel接口(即目的端口),再經由GRE(Generic Routing Encapsulation,通用路由封裝)隧道轉發至目的設備端的Tunnel接口。目的設備將從其Tunnel接口(即源端口)收到的鏡像報文轉發至目的端口GigabitEthernet1/0/2,最後由該端口將鏡像報文轉發給數據監測設備。
l 有關GRE隧道和Tunnel接口的詳細介紹,請分別參見“三層技術-IP業務配置指導”中的“GRE”和“隧道”。
l 僅有SD係列單板支持三層遠程端口鏡像功能。
首先創建一個本地鏡像組,然後為該鏡像組配置源端口和目的端口。
表1-1 本地端口鏡像配置任務簡介
|
配置任務 |
說明 |
詳細配置 |
|
創建本地鏡像組 |
必選 |
|
|
配置源端口 |
必選 |
|
|
配置目的端口 |
必選 |
|
|
利用遠程鏡像VLAN實現本地鏡像支持多個目的端口 |
可選 |
表1-2 創建本地鏡像組
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建本地鏡像組 |
mirroring-group group-id local |
必選 缺省情況下,不存在任何本地鏡像組 |
在完成源端口和目的端口的配置之後,本地鏡像組才能生效。
可以在係統視圖下為指定鏡像組配置一個或多個源端口,也可以在端口視圖下將當前端口配置為指定鏡像組的源端口,二者的配置效果相同。
表1-3 在係統視圖下配置源端口
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
為本地鏡像組配置源端口 |
mirroring-group group-id mirroring-port mirroring-port-list { both | inbound | outbound } |
必選 缺省情況下,本地鏡像組沒有源端口 |
表1-4 在端口視圖下配置源端口
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入端口視圖 |
interface interface-type interface-number |
- |
|
配置本端口為本地鏡像組的源端口 |
[ mirroring-group group-id ] mirroring-port { both | inbound | outbound } |
必選 缺省情況下,端口不是任何本地鏡像組的源端口 |
l 一個鏡像組內可以配置多個源端口。
l 除了在SD係列單板上,同一個端口可以作為兩個鏡像組的源端口之外,其餘情況下,一個端口隻能加入到一個鏡像組。
可以在係統視圖下為指定鏡像組配置目的端口,也可以在端口視圖下將當前端口配置為指定鏡像組的目的端口,二者的配置效果相同。
表1-5 在係統視圖下配置目的端口
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
為本地鏡像組配置目的端口 |
mirroring-group group-id monitor-port monitor-port-id |
必選 缺省情況下,本地鏡像組沒有目的端口 |
表1-6 在端口視圖下配置目的端口
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入端口視圖 |
interface interface-type interface-number |
- |
|
配置本端口為本地鏡像組的目的端口 |
[ mirroring-group group-id ] monitor-port |
必選 缺省情況下,端口不是任何本地鏡像組的目的端口 |
l 一個鏡像組內隻能配置一個目的端口。
l 請不要在目的端口上使能生成樹協議,否則會影響鏡像功能的正常使用。
l 從目的端口發出的報文包括鏡像報文和其它端口正常轉發來的報文。為了保證數據監測設備隻對鏡像報文進行分析,請將目的端口隻用於端口鏡像,不作其它用途。
l 鏡像組的目的端口不能配置為已經接入RRPP環的端口。
傳統的本地鏡像配置方式僅支持在一個鏡像組中指定一個鏡像目的端口,如果用戶需要將一份監測數據同時發送到多個目的端口,可以利用遠程鏡像VLAN的原理來實現。
在二層遠程端口鏡像中,會使用到遠程鏡像VLAN,鏡像報文在遠程鏡像VLAN中以廣播的方式發送。因此,可以利用遠程鏡像VLAN的原理,在本地設備上創建遠程源鏡像組,並指定遠程鏡像VLAN,同時將本設備上連接數據檢測設備的多個端口加入該VLAN。完成以上配置後,鏡像報文在遠程鏡像VLAN中廣播時便可以從這些端口中發送出去,實現將鏡像報文輸出至多個端口的需求。
表1-7 利用遠程鏡像VLAN實現本地鏡像支持多個目的端口配置
|
操作 |
命令 |
說明 |
|
|
進入係統視圖 |
system-view |
- |
|
|
創建遠程源鏡像組 |
mirroring-group group-id remote-source |
必選 缺省情況下,不存在任何鏡像組 |
|
|
為遠程源鏡像組配置源端口 |
在係統視圖下配置 |
mirroring-group group-id mirroring-port mirroring-port-list { both | inbound | outbound } |
兩種方式必選其一 缺省情況下,鏡像組沒有源端口 |
|
在端口視圖下配置 |
interface interface-type interface-number |
||
|
[ mirroring-group group-id ] mirroring-port { both | inbound | outbound } |
|||
|
quit |
|
||
|
為遠程源鏡像組配置反射端口 |
mirroring-group group-id reflector-port reflector-port |
必選 缺省情況下,鏡像組沒有反射端口 |
|
|
創建遠程鏡像VLAN並進入VLAN視圖 |
vlan vlan-id |
必選 缺省情況下,鏡像組沒有遠程鏡像VLAN |
|
|
將鏡像目的端口加入遠程鏡像VLAN |
port interface-list |
必選 缺省情況下,新建VLAN中不包含任何端口 |
|
|
退出至係統視圖 |
quit |
- |
|
|
為遠程源鏡像組配置遠程鏡像VLAN |
mirroring-group group-id remote-probe vlan rprobe-vlan-id |
必選 缺省情況下,鏡像組沒有遠程鏡像VLAN |
|
l 鏡像反射口必須是Access類型的端口,且必須屬於缺省VLAN(VLAN1)。
l 建議選擇設備上未使用的端口作為鏡像反射口,且建議關閉反射口的生成樹協議。
l Combo端口不能被配置為鏡像反射口。
l 請不要將源端口加入到遠程鏡像VLAN中,否則會影響鏡像功能的正常使用。
l 在一個鏡像組內,如果已經配置了鏡像反射口,則無法再配置鏡像出端口。
l 一個VLAN隻能作為一個遠程源鏡像組的遠程鏡像VLAN,且建議該VLAN隻用於端口鏡像,請不要在該VLAN上配置其它業務功能或創建對應的VLAN接口。
l 遠程鏡像VLAN必須為靜態VLAN,且在被配置成遠程鏡像VLAN後,該VLAN不能直接刪除,必須先刪除遠程鏡像VLAN的配置才能夠刪除這個VLAN。
l 如果鏡像組生效後,遠程鏡像VLAN被取消,那麼該鏡像組將失效。
l 鏡像目的端口必須是Access類型的端口。
二層遠程端口鏡像的配置需要分別在源設備和目的設備上進行;如果存在中間設備,則需要在中間設備上允許遠程鏡像VLAN通過,以確保源設備與目的設備之間的二層網絡暢通。
在配置二層遠程端口鏡像時不建議啟用GVRP(GARP VLAN Registration Protocol,GARP VLAN注冊協議)功能,否則GVRP可能將遠程鏡像VLAN注冊到不需要監控的端口上,導致目的端口收到很多不必要的報文。有關GVRP的詳細介紹,請參見“二層技術-以太網交換配置指導”中的“GVRP”。
首先在源設備上為遠程源鏡像組配置源端口、出端口和遠程鏡像VLAN,然後在目的設備上為遠程目的鏡像組配置遠程鏡像VLAN和目的端口。
表1-8 二層遠程端口鏡像配置任務簡介
|
配置任務 |
說明 |
詳細配置 |
|
|
配置遠程源鏡像組 |
創建遠程源鏡像組 |
必選 |
|
|
配置源端口 |
必選 |
||
|
配置出端口 |
必選 |
||
|
配置遠程鏡像VLAN |
必選 |
||
|
配置遠程目的鏡像組 |
創建遠程目的鏡像組 |
必選 |
|
|
配置目的端口 |
必選 |
||
|
配置遠程鏡像VLAN |
必選 |
||
|
將目的端口加入遠程鏡像VLAN |
必選 |
||
請在源設備上進行如下配置。
表1-9 創建遠程源鏡像組
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建遠程源鏡像組 |
mirroring-group group-id remote-source |
必選 缺省情況下,不存在任何遠程源鏡像組 |
可以在係統視圖下為指定鏡像組配置一個或多個源端口,也可以在端口視圖下將當前端口配置為指定鏡像組的源端口,二者的配置效果相同。
(1) 在係統視圖下配置源端口
表1-10 在係統視圖下配置源端口
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
為遠程源鏡像組配置源端口 |
mirroring-group group-id mirroring-port mirroring-port-list { both | inbound | outbound } |
必選 缺省情況下,遠程源鏡像組沒有源端口 |
(2) 在端口視圖下配置源端口
表1-11 在端口視圖下配置源端口
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入端口視圖 |
interface interface-type interface-number |
- |
|
配置本端口為遠程源鏡像組的源端口 |
[ mirroring-group group-id ] mirroring-port { both | inbound | outbound } |
必選 缺省情況下,端口不是任何遠程源鏡像組的源端口 |
l 一個鏡像組內可以配置多個源端口。
l 請不要將源端口加入到遠程鏡像VLAN中,否則會影響鏡像功能的正常使用。
l 除了在SD係列單板上,同一個端口可以作為兩個鏡像組的源端口之外,其餘情況下,一個端口隻能加入到一個鏡像組。
可以在係統視圖下為指定鏡像組配置出端口,也可以在端口視圖下將當前端口配置為指定鏡像組的出端口,二者的配置效果相同。
(1) 在係統視圖下配置出端口
表1-12 在係統視圖下配置出端口
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
為遠程源鏡像組配置出端口 |
mirroring-group group-id monitor-egress monitor-egress-port |
必選 缺省情況下,遠程源鏡像組沒有出端口 |
(2) 在端口視圖下配置出端口
表1-13 在端口視圖下配置出端口
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入端口視圖 |
interface interface-type interface-number |
- |
|
配置本端口為遠程源鏡像組的出端口 |
mirroring-group group-id monitor-egress |
必選 缺省情況下,端口不是任何遠程源鏡像組的出端口 |
l 一個鏡像組內隻能配置一個出端口。
l 出端口不能是現有鏡像組的成員端口。
l 請不要在出端口上配置下列功能:生成樹協議、802.1X、IGMP Snooping、靜態ARP和MAC地址學習,否則會影響鏡像功能的正常使用。
(1) 配置準備
在配置遠程鏡像VLAN之前,需完成以下任務:
l 配置遠程鏡像VLAN所使用的靜態VLAN
(2) 配置過程
表1-14 配置遠程鏡像VLAN
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
為遠程源鏡像組配置遠程鏡像VLAN |
mirroring-group group-id remote-probe vlan rprobe-vlan-id |
必選 缺省情況下,遠程源鏡像組沒有遠程鏡像VLAN |
l 一個VLAN隻能被一個鏡像組使用。
l 被配置成遠程鏡像VLAN後,該VLAN不能直接刪除,必須先刪除遠程鏡像VLAN的配置才能夠刪除這個VLAN。
l 如果鏡像組生效後,遠程鏡像VLAN被取消,那麼該鏡像組將失效。
l 當一個VLAN已被指定為遠程鏡像VLAN後,請不要在該VLAN上配置其它業務功能或創建對應的VLAN接口。
l 源設備和目的設備上的遠程鏡像組必須使用相同的遠程鏡像VLAN。
請在目的設備上進行如下配置。
表1-15 創建遠程目的鏡像組
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建遠程目的鏡像組 |
mirroring-group group-id remote-destination |
必選 缺省情況下,不存在任何遠程目的鏡像組 |
可以在係統視圖下為指定鏡像組配置目的端口,也可以在端口視圖下將當前端口配置為指定鏡像組的目的端口,二者的配置效果相同。
(1) 在係統視圖下配置目的端口
表1-16 在係統視圖下配置目的端口
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
為遠程目的鏡像組配置目的端口 |
mirroring-group group-id monitor-port monitor-port-id |
必選 缺省情況下,遠程目的鏡像組沒有目的端口 |
(2) 在端口視圖下配置目的端口
表1-17 在端口視圖下配置目的端口
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入端口視圖 |
interface interface-type interface-number |
- |
|
配置本端口為遠程目的鏡像組的目的端口 |
[ mirroring-group group-id ] monitor-port |
必選 缺省情況下,端口不是任何遠程目的鏡像組的目的端口 |
l 一個鏡像組內隻能配置一個目的端口。
l 請不要在目的端口上使能生成樹協議,否則會影響鏡像功能的正常使用。
l 從目的端口發出的報文包括鏡像報文和其它端口正常轉發來的報文。為了保證數據監測設備隻對鏡像報文進行分析,請將目的端口隻用於端口鏡像,不作其它用途。
l 鏡像組的目的端口不能配置為已經接入RRPP環的端口。
表1-18 配置遠程鏡像VLAN
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
為遠程目的鏡像組配置遠程鏡像VLAN |
mirroring-group group-id remote-probe vlan rprobe-vlan-id |
必選 缺省情況下,遠程目的鏡像組沒有遠程鏡像VLAN |
l 一個VLAN隻能被一個鏡像組使用。
l 當一個VLAN已被指定為遠程鏡像VLAN後,請不要在該VLAN上配置其它業務功能或創建對應的VLAN接口。
l 被配置成遠程鏡像VLAN後,該VLAN不能直接刪除,必須先刪除遠程鏡像VLAN的配置才能夠刪除這個VLAN。
l 如果鏡像組生效後,遠程鏡像VLAN被取消,那麼該鏡像組將失效。
表1-19 將目的端口加入遠程鏡像VLAN
|
操作 |
命令 |
說明 |
|
|
進入係統視圖 |
system-view |
- |
|
|
進入目的端口視圖 |
interface interface-type interface-number |
- |
|
|
將目的端口加入遠程鏡像VLAN |
目的端口為Access端口 |
port access vlan vlan-id |
三者必選其一 |
|
目的端口為Trunk端口 |
port trunk permit vlan vlan-id |
||
|
目的端口為Hybrid端口 |
port hybrid vlan vlan-id { tagged | untagged } |
||
有關port access vlan、port trunk permit vlan和port hybrid vlan命令的詳細介紹,請參見“二層技術-以太網交換命令參考”中的“VLAN”。
三層遠程端口鏡像的配置需要分別在源設備和目的設備上進行;如果存在中間設備,則需要在中間設備上配置單播路由協議,以確保源設備與目的設備之間的三層網絡暢通。
分別在源設備和目的設備上先創建一個本地鏡像組,然後為該鏡像組配置源端口和目的端口,不同的是:
l 在源設備上,需要將源端口指定為待監控的端口,目的端口指定為Tunnel接口;
l 在目的設備上,需要將源端口指定為Tunnel接口對應的物理端口,目的端口指定為連接數據監測設備的端口。
表1-20 三層遠程端口鏡像配置任務簡介
|
配置任務 |
說明 |
詳細配置 |
|
|
源設備上的配置 |
創建本地鏡像組 |
必選 |
|
|
配置源端口 |
必選 |
||
|
配置目的端口 |
必選 |
||
|
目的設備上的配置 |
創建本地鏡像組 |
必選 |
|
|
配置源端口 |
必選 |
||
|
配置目的端口 |
必選 |
||
在配置三層遠程端口鏡像之前,需完成以下任務:
l 配置Tunnel接口和GRE隧道
請分別在源設備和目的設備上進行如下配置。
表1-21 創建本地鏡像組
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建本地鏡像組 |
mirroring-group group-id local |
必選 缺省情況下,不存在任何本地鏡像組 |
在源設備上,請將源端口指定為待監控的端口;而在目的設備上,請將源端口指定為Tunnel接口對應的物理端口。
可以在係統視圖下為指定鏡像組配置一個或多個源端口,也可以在端口視圖下將當前端口配置為指定鏡像組的源端口,二者的配置效果相同。
表1-22 在係統視圖下配置源端口
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
為本地鏡像組配置源端口 |
mirroring-group group-id mirroring-port mirroring-port-list { both | inbound | outbound } |
必選 缺省情況下,本地鏡像組沒有源端口 |
表1-23 在端口視圖下配置源端口
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入端口視圖 |
interface interface-type interface-number |
- |
|
配置本端口為本地鏡像組的源端口 |
[ mirroring-group group-id ] mirroring-port { both | inbound | outbound } |
必選 缺省情況下,端口不是任何本地鏡像組的源端口 |
l 一個鏡像組內可以配置多個源端口。
l 除了在SD係列單板上,同一個端口可以作為兩個鏡像組的源端口之外,其餘情況下,一個端口隻能加入到一個鏡像組。
在源設備上,請將目的端口指定為Tunnel接口;而在目的設備上,請將目的端口指定為連接數據監測設備的端口。
可以在係統視圖下為指定鏡像組配置目的端口,也可以在端口視圖下將當前端口配置為指定鏡像組的目的端口,二者的配置效果相同。
表1-24 在係統視圖下配置目的端口
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
為本地鏡像組配置目的端口 |
mirroring-group group-id monitor-port monitor-port-id |
必選 缺省情況下,本地鏡像組沒有目的端口 |
表1-25 在端口視圖下配置目的端口
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入端口視圖 |
interface interface-type interface-number |
- |
|
配置本端口為本地鏡像組的目的端口 |
[ mirroring-group group-id ] monitor-port |
必選 缺省情況下,端口不是任何本地鏡像組的目的端口 |
l 一個鏡像組內隻能配置一個目的端口。
l 在目的設備上,請不要在目的端口上使能生成樹協議,否則會影響鏡像功能的正常使用。
l 從目的端口發出的報文包括鏡像報文和其它端口正常轉發來的報文。為了保證數據監測設備隻對鏡像報文進行分析,請將目的端口隻用於端口鏡像,不作其它用途。
l 鏡像組的目的端口不能配置為已經接入RRPP環的端口。
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後鏡像組的運行情況,通過查看顯示信息驗證配置的效果。
表1-26 端口鏡像顯示和維護
|
操作 |
命令 |
|
顯示鏡像組的配置信息 |
display mirroring-group { group-id | all | local | remote-destination | remote-source } [ | { begin | exclude | include } regular-expression ] |
l Device A通過端口GigabitEthernet1/0/1和GigabitEthernet1/0/2分別連接市場部和技術部,並通過端口GigabitEthernet1/0/3連接Server。
l 通過配置源端口方式的本地端口鏡像,使Server可以監控所有進、出市場部和技術部的報文。
(1) 配置本地鏡像組
# 創建本地鏡像組1。
<DeviceA> system-view
[DeviceA] mirroring-group 1 local
# 配置本地鏡像組1的源端口為GigabitEthernet1/0/1和GigabitEthernet1/0/2,目的端口為GigabitEthernet1/0/3。
[DeviceA] mirroring-group 1 mirroring-port gigabitethernet 1/0/1 gigabitethernet 1/0/2 both
[DeviceA] mirroring-group 1 monitor-port gigabitethernet 1/0/3
# 在目的端口GigabitEthernet1/0/3上關閉生成樹協議。
[DeviceA] interface gigabitethernet 1/0/3
[DeviceA-GigabitEthernet1/0/3] undo stp enable
[DeviceA-GigabitEthernet1/0/3] quit
(2) 檢驗配置效果
# 顯示所有鏡像組的配置信息。
[DeviceA] display mirroring-group all
mirroring-group 1:
type: local
status: active
mirroring port:
GigabitEthernet1/0/1 both
GigabitEthernet1/0/2 both
monitor port: GigabitEthernet1/0/3
配置完成後,用戶可以通過Server監控所有進、出市場部和技術部的報文。
三個部門A、B、C分別使用GigabitEthernet1/0/1~GigabitEthernet1/0/3端口接入DeviceA,現要求通過鏡像功能,使三台數據檢測設備ServerA、ServerB、ServerC都能夠對三個部門發送和接收的報文進行鏡像。
圖1-5 利用遠程鏡像VLAN實現本地鏡像支持多個目的端口組網圖
# 創建遠程源鏡像組1。
<DeviceA> system-view
[DeviceA] mirroring-group 1 remote-source
# 將接入部門A、B、C的三個端口配置為遠程源鏡像組1的源端口。
[DeviceA] mirroring-group 1 mirroring-port gigabitethernet 1/0/1 to gigabitethernet 1/0/3 both
# 將設備上任意未使用的端口(此處以GigabitEthernet1/0/5為例)配置為鏡像組1的反射口。
[DeviceA] mirroring-group 1 reflector-port GigabitEthernet 1/0/5
# 創建VLAN10作為鏡像組1的遠程鏡像VLAN,並將接入三台數據檢測設備的端口加入VLAN10。
[DeviceA] vlan 10
[DeviceA-vlan10] port gigabitethernet 3/0/1 to gigabitethernet 3/0/3
[DeviceA-vlan10] quit
# 配置VLAN10作為鏡像組1的遠程鏡像VLAN。
[DeviceA] mirroring-group 1 remote-probe vlan 10
l 在一個二層網絡中,Device A通過端口GigabitEthernet1/0/1連接市場部,並通過Trunk端口GigabitEthernet1/0/2與Device B的Trunk端口GigabitEthernet1/0/1相連;Device C通過端口GigabitEthernet1/0/2連接Server,並通過Trunk端口GigabitEthernet1/0/1與Device B的Trunk端口GigabitEthernet1/0/2相連。其中,Device A支持出端口方式的二層遠程端口鏡像。
l 通過配置二層遠程端口鏡像,使Server可以監控所有進、出市場部的報文。
圖1-6 二層遠程端口鏡像配置組網圖
(1) 配置Device A
# 創建遠程源鏡像組1。
<DeviceA> system-view
[DeviceA] mirroring-group 1 remote-source
# 創建VLAN 2作為遠程鏡像VLAN。
[DeviceA] vlan 2
# 關閉遠程鏡像VLAN的MAC地址學習功能
[DeviceA-vlan2] mac-address mac-learning disable
[DeviceA-vlan2] quit
# 配置遠程源鏡像組1的遠程鏡像VLAN為VLAN 2,源端口為GigabitEthernet1/0/1,出端口為GigabitEthernet1/0/2。
[DeviceA] mirroring-group 1 remote-probe vlan 2
[DeviceA] mirroring-group 1 mirroring-port gigabitethernet 1/0/1 both
[DeviceA] mirroring-group 1 monitor-egress gigabitethernet 1/0/2
# 配置出端口GigabitEthernet1/0/2為Trunk口,允許VLAN 2的報文通過,並在該端口上關閉生成樹協議。
[DeviceA] interface gigabitethernet 1/0/2
[DeviceA-GigabitEthernet1/0/2] port link-type trunk
[DeviceA-GigabitEthernet1/0/2] port trunk permit vlan 2
[DeviceA-GigabitEthernet1/0/2] undo stp enable
[DeviceA-GigabitEthernet1/0/2] quit
(2) 配置Device B
# 創建VLAN 2作為遠程鏡像VLAN。
<DeviceB> system-view
[DeviceB] vlan 2
# 關閉遠程鏡像VLAN的MAC地址學習功能
[DeviceB-vlan2] mac-address mac-learning disable
[DeviceB-vlan2] quit
# 配置端口GigabitEthernet1/0/1為Trunk口,並允許VLAN 2的報文通過。
[DeviceB] interface gigabitethernet 1/0/1
[DeviceB-GigabitEthernet1/0/1] port link-type trunk
[DeviceB-GigabitEthernet1/0/1] port trunk permit vlan 2
[DeviceB-GigabitEthernet1/0/1] quit
# 配置端口GigabitEthernet1/0/2為Trunk口,並允許VLAN 2的報文通過。
[DeviceB-GigabitEthernet1/0/1] quit
[DeviceB] interface gigabitethernet 1/0/2
[DeviceB-GigabitEthernet1/0/2] port link-type trunk
[DeviceB-GigabitEthernet1/0/2] port trunk permit vlan 2
[DeviceB-GigabitEthernet1/0/2] quit
(3) 配置Device C
# 配置端口GigabitEthernet1/0/1為Trunk口,並允許VLAN 2的報文通過。
<DeviceC> system-view
[DeviceC] interface gigabitethernet 1/0/1
[DeviceC-GigabitEthernet1/0/1] port link-type trunk
[DeviceC-GigabitEthernet1/0/1] port trunk permit vlan 2
[DeviceC-GigabitEthernet1/0/1] quit
# 創建遠程目的鏡像組1。
[DeviceC] mirroring-group 1 remote-destination
# 創建VLAN 2作為遠程鏡像VLAN。
[DeviceC] vlan 2
# 關閉遠程鏡像VLAN的MAC地址學習功能
[DeviceA-vlan2] mac-address mac-learning disable
[DeviceA-vlan2] quit
# 配置遠程目的鏡像組1的遠程鏡像VLAN為VLAN 2,目的端口為GigabitEthernet1/0/2,在該端口上關閉生成樹協議並將其加入VLAN 2。
[DeviceC] mirroring-group 1 remote-probe vlan 2
[DeviceC] interface gigabitethernet 1/0/2
[DeviceC-GigabitEthernet1/0/2] mirroring-group 1 monitor-port
[DeviceC-GigabitEthernet1/0/2] undo stp enable
[DeviceC-GigabitEthernet1/0/2] port access vlan 2
[DeviceC-GigabitEthernet1/0/2] quit
(4) 檢驗配置效果
配置完成後,用戶可以通過Server監控所有進、出市場部的報文。
l 在一個三層網絡中,Device A通過端口GigabitEthernet1/0/1連接市場部,並通過端口GigabitEthernet1/0/2與Device B的端口GigabitEthernet1/0/1相連;Device C通過端口GigabitEthernet1/0/2連接Server,並通過端口GigabitEthernet1/0/1與Device B的端口GigabitEthernet1/0/2相連。
l 通過配置三層遠程端口鏡像,使Server可以通過GRE隧道穿越三層網絡監控所有進、出市場部的報文。
(1) 配置IP地址
請按照圖1-7配置VLAN,並將相應端口加入VLAN,配置各接口的IP地址和子網掩碼,具體配置過程略。
(2) 配置Device A
# 創建接口Tunnel0,並為其配置IP地址和掩碼。
<DeviceA> system-view
[DeviceA] interface tunnel 0
[DeviceA-Tunnel0] ip address 50.1.1.1 24
# 配置Tunnel0接口采用GRE隧道模式,並為該接口指定源地址和目的地址。
[DeviceA-Tunnel0] tunnel-protocol gre
[DeviceA-Tunnel0] source 20.1.1.1
[DeviceA-Tunnel0] destination 30.1.1.2
[DeviceA-Tunnel0] quit
# 創建並配置業務環回組1,服務類型為tunnel。
[DeviceA] service-loopback group 1 type tunnel
# 將設備上的任意端口(此處以GigabitEthernet1/0/3為例)加入業務環回組1。
[DeviceA] interface GigabitEthernet 1/0/3
[DeviceA-GigabitEthernet1/0/3] undo stp enable
[DeviceA-GigabitEthernet1/0/3] port service-loopback group 1
# 在Tunnel接口視圖下指定隧道引用的業務環回組1。
[DeviceA-GigabitEthernet1/0/3] quit
[DeviceA] interface tunnel 0
[DeviceA-Tunnel0] service-loopback-group 1
# 配置OSPF協議。
[DeviceA] ospf 1
[DeviceA-ospf-1] area 0
[DeviceA-ospf-1-area-0.0.0.0] network 10.1.1.0 0.0.0.255
[DeviceA-ospf-1-area-0.0.0.0] network 20.1.1.0 0.0.0.255
[DeviceA-ospf-1-area-0.0.0.0] network 50.1.1.0 0.0.0.255
[DeviceA-ospf-1-area-0.0.0.0] quit
[DeviceA-ospf-1] quit
# 創建本地鏡像組1。
[DeviceA] mirroring-group 1 local
# 配置本地鏡像組1的源端口為GigabitEthernet1/0/1,目的端口為Tunnel0。
[DeviceA] mirroring-group 1 mirroring-port gigabitethernet 1/0/1 both
[DeviceA] mirroring-group 1 monitor-port tunnel 0
(3) 配置Device B
# 配置OSPF協議。
<DeviceB> system-view
[DeviceB] ospf 1
[DeviceB-ospf-1] area 0
[DeviceB-ospf-1-area-0.0.0.0] network 20.1.1.0 0.0.0.255
[DeviceB-ospf-1-area-0.0.0.0] network 30.1.1.0 0.0.0.255
[DeviceB-ospf-1-area-0.0.0.0] quit
[DeviceB-ospf-1] quit
(4) 配置Device C
# 創建接口Tunnel0,並為其配置IP地址和掩碼。
<DeviceC> system-view
[DeviceC] interface tunnel 0
[DeviceC-Tunnel0] ip address 50.1.1.2 24
# 配置Tunnel0接口采用GRE隧道模式,並為該接口指定源地址和目的地址。
[DeviceC-Tunnel0] tunnel-protocol gre
[DeviceC-Tunnel0] source 30.1.1.2
[DeviceC-Tunnel0] destination 20.1.1.1
[DeviceC-Tunnel0] quit
# 創建並配置業務環回組1,服務類型為tunnel。
[DeviceC] service-loopback group 1 type tunnel
# 將設備上的任意端口(此處以GigabitEthernet1/0/3為例)加入業務環回組1。
[DeviceC] interface GigabitEthernet 1/0/3
[DeviceC-GigabitEthernet1/0/3] undo stp enable
[DeviceC-GigabitEthernet1/0/3] port service-loopback group 1
# 在Tunnel接口視圖下指定隧道引用的業務環回組1。
[DeviceC-GigabitEthernet1/0/3] quit
[DeviceC] interface tunnel 0
[DeviceC-Tunnel0] service-loopback-group 1
[DeviceC-Tunnel0] quit
# 配置OSPF協議。
[DeviceC] ospf 1
[DeviceC-ospf-1] area 0
[DeviceC-ospf-1-area-0.0.0.0] network 30.1.1.0 0.0.0.255
[DeviceC-ospf-1-area-0.0.0.0] network 40.1.1.0 0.0.0.255
[DeviceC-ospf-1-area-0.0.0.0] network 50.1.1.0 0.0.0.255
[DeviceC-ospf-1-area-0.0.0.0] quit
[DeviceC-ospf-1] quit
# 創建本地鏡像組1。
[DeviceC] mirroring-group 1 local
# 配置本地鏡像組1的源端口為GigabitEthernet1/0/1,目的端口為GigabitEthernet1/0/2。
[DeviceC] mirroring-group 1 mirroring-port gigabitethernet 1/0/1 inbound
[DeviceC] mirroring-group 1 monitor-port gigabitethernet 1/0/2
# 在目的端口GigabitEthernet1/0/2上關閉生成樹協議。
[DeviceC] interface gigabitethernet 1/0/2
[DeviceC-GigabitEthernet1/0/2] undo stp enable
[DeviceC-GigabitEthernet1/0/2] quit
(5) 檢驗配置效果
配置完成後,用戶可以通過Server監控所有進、出市場部的報文。
l 本係列產品未形成IRF時,適用本手冊中的“分布式設備”的情況;形成IRF後則適用本手冊中的“分布式IRF設備”的情況。有關IRF特性的詳細介紹,請參見“IRF配置指導”。
l 流鏡像功能中提到的端口包括二層以太網端口和三層以太網端口。三層以太網端口是指被配置為三層模式的以太網端口,有關以太網端口模式切換的操作,請參見“二層技術-以太網交換配置指導”中的“以太網端口配置”。
流鏡像是指將指定報文複製到指定目的地,用於報文的分析和監控。流鏡像通過QoS策略來實現,即使用流分類技術為待鏡像報文定義匹配條件,再通過配置流行為將符合條件的報文鏡像至指定目的地。其優勢在於用戶通過流分類技術可以靈活地製訂匹配條件,從而對報文類型進行精細區分,以獲取更加精確的統計信息。根據報文鏡像的目的地不同,流鏡像可分為以下三種類型:
l 流鏡像到端口:將符合要求的報文複製後轉發到指定端口。
l 流鏡像到CPU:將符合要求的報文複製後轉發到CPU(這裏的CPU是指配置了流鏡像的源端口所在單板上的CPU)。
有關QoS策略、流分類和流行為的詳細介紹,請參見“ACL和QoS配置指導”中的“QoS配置方式”。
遠程流鏡像技術通過流鏡像與遠程端口鏡像功能的配合,可以實現將本地符合流分類條件的報文通過遠程鏡像組鏡像至遠端設備上的指定目的端口。
遠程流鏡像的實現方法是:首先在本地設備配置流鏡像功能,將符合條件的報文鏡像至某個出端口;然後再配置遠程源鏡像組,並將出端口指定為流鏡像中的目的端口,從而可以使流鏡像至該目的端口的報文再通過遠程鏡像功能鏡像至遠端設備。
表2-1 流鏡像配置任務簡介
|
配置任務 |
說明 |
詳細配置 |
|
|
配置報文匹配規則 |
必選 |
||
|
配置流鏡像類型 |
配置流鏡像到端口 |
二者必選其一 |
|
|
配置流鏡像到CPU |
|||
|
配置QoS策略 |
必選 |
||
|
應用QoS策略 |
基於端口應用 |
四者必選其一 |
|
|
基於VLAN應用 |
|||
|
基於全局應用 |
|||
|
基於控製平麵應用 |
|||
表2-2 配置報文匹配規則
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
定義流分類,並進入流分類視圖 |
traffic classifier tcl-name [ operator { and | or } ] |
必選 缺省情況下,不存在任何流分類 |
|
配置報文匹配規則 |
if-match match-criteria |
必選 缺省情況下,流分類中不存在任何報文匹配規則 |
有關traffic classifier和if-match命令的詳細介紹,請參見“ACL和QoS命令參考”中的“QoS策略”。
在同一流行為中隻能配置一種類型的流鏡像。
表2-3 配置流鏡像到端口
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
定義流行為,並進入流行為視圖 |
traffic behavior behavior-name |
必選 缺省情況下,不存在任何流行為 |
|
配置流鏡像到指定端口 |
mirror-to interface interface-type interface-number |
必選 缺省情況下,流行為中未配置任何流鏡像 |
l 有關traffic behavior命令的詳細介紹,請參見“ACL和QoS命令參考”中的“QoS策略”。
l 在使用SD係列單板時,可以通過執行兩次mirror-to interface命令,將報文鏡像至兩個目的端口。需要注意的是,這兩個目的端口必須全部位於SD單板上。如果多次執行mirror-to interface命令,則隻有前兩個鏡像動作可以生效。
表2-4 配置流鏡像到CPU
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
定義流行為,並進入流行為視圖 |
traffic behavior behavior-name |
必選 缺省情況下,不存在任何流行為 |
|
配置流鏡像到CPU |
mirror-to cpu |
必選 缺省情況下,流行為中未配置任何流鏡像 |
l 有關traffic behavior命令的詳細介紹,請參見“ACL和QoS命令參考”中的“QoS策略”。
l 上述CPU是指配置了流鏡像的端口所在單板上的CPU。
表2-5 配置QoS策略
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
定義QoS策略,並進入QoS策略視圖 |
qos policy policy-name |
必選 缺省情況下,不存在任何策略 |
|
為流分類指定采用的流行為 |
classifier tcl-name behavior behavior-name |
必選 缺省情況下,沒有為流分類指定采用的流行為 |
有關qos policy和classifier behavior命令的詳細介紹,請參見“ACL和QoS命令參考”中的“QoS策略”。
有關應用QoS策略的詳細介紹,請參見“ACL和QoS配置指導”中的“QoS配置方式”。
將QoS策略應用到某端口,可以對該端口指定方向上的流量進行鏡像。一個QoS策略可以應用於多個端口,而端口在每個方向上隻能應用一個QoS策略。
表2-6 基於端口應用
|
操作 |
命令 |
說明 |
|
|
進入係統視圖 |
system-view |
- |
|
|
進入相應視圖 |
進入端口視圖 |
interface interface-type interface-number |
二者必選其一 端口視圖下的配置隻對當前端口生效;端口組視圖下的配置將對端口組中的所有端口生效 |
|
進入端口組視圖 |
port-group manual port-group-name |
||
|
應用QoS策略到端口 |
qos apply policy policy-name { inbound | outbound } |
必選 |
|
有關qos apply policy命令的詳細介紹,請參見“ACL和QoS命令參考”中的“QoS策略”。
將QoS策略應用到某VLAN,可以對該VLAN內各端口指定方向上的流量進行鏡像。
表2-7 基於VLAN應用
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
應用QoS策略到指定VLAN |
qos vlan-policy policy-name vlan vlan-id-list { inbound | outbound } |
必選 |
有關qos vlan-policy命令的詳細介紹,請參見“ACL和QoS命令參考”中的“QoS策略”。
將QoS策略應用到全局,可以對設備各端口指定方向上的流量進行鏡像。
表2-8 基於全局應用
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
應用QoS策略到全局 |
qos apply policy policy-name global { inbound | outbound } |
必選 |
有關qos apply policy命令的詳細介紹,請參見“ACL和QoS命令參考”中的“QoS策略”。
將QoS策略應用到控製平麵,可以對控製平麵入方向上的流量進行鏡像。
表2-9 基於控製平麵應用
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入控製平麵視圖(分布式設備) |
control-plane slot slot-number |
|
|
進入控製平麵視圖(分布式IRF設備) |
control-plane chassis chassis-number slot slot-number |
|
|
應用QoS策略到控製平麵 |
qos apply policy policy-name inbound |
必選 |
有關control-plane和qos apply policy命令的詳細介紹,請參見“ACL和QoS命令參考”中的“QoS策略”。
遠程流鏡像需要在源設備和目的設備上進行如下配置:
l 流鏡像配置:在源設備上配置流鏡像功能,將符合條件的報文鏡像至連接目的設備的端口(假設為端口A)。配置步驟請參見2.3 。
l 遠程源鏡像組配置:在源設備上配置遠程源鏡像組,並將出端口配置為流鏡像配置中的目的端口(即端口A)。配置步驟請參見1.3.2 。
在配置遠程源鏡像組的源端口時,建議指定為未使用的端口,以避免該端口收發的報文也通過遠程鏡像組被鏡像至目的設備。
在目的設備上隻需要配置遠程目的鏡像組即可,配置步驟請參見1.3.3 。
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後流鏡像的運行情況,通過查看顯示信息驗證配置的效果。
表2-10 流鏡像顯示和維護
|
操作 |
命令 |
|
顯示用戶自定義流行為的配置信息 |
display traffic behavior user-defined [ behavior-name ] [ | { begin | exclude | include } regular-expression ] |
|
顯示用戶自定義策略的配置信息 |
display qos policy user-defined [ policy-name [ classifier tcl-name ] ] [ | { begin | exclude | include } regular-expression ] |
有關display traffic behavior和display qos policy命令的詳細介紹,請參見“ACL和QoS命令參考”中的“QoS策略”。
l 某公司內的各部門之間使用不同網段的IP地址,其中市場部和技術部分別使用192.168.1.0/24和192.168.2.0/24網段,該公司的工作時間為每周工作日的8點到18點。
l 通過配置流鏡像,使Server可以監控技術部訪問互聯網的WWW流量,以及技術部在工作時間發往市場部的IP流量。
圖2-1 流鏡像典型配置組網圖
(1) 配置監控技術部訪問互聯網的流量
# 創建ACL 3000,並定義如下規則:匹配技術部(192.168.2.0/24網段)訪問WWW的報文。
<DeviceA> system-view
[DeviceA] acl number 3000
[DeviceA-acl-adv-3000] rule permit tcp source 192.168.2.0 0.0.0.255 destination-port eq www
[DeviceA-acl-adv-3000] quit
# 創建流分類tech_c,並配置報文匹配規則為ACL 3000。
[DeviceA] traffic classifier tech_c
[DeviceA-classifier-tech_c] if-match acl 3000
[DeviceA-classifier-tech_c] quit
# 創建流行為tech_b,並配置流鏡像到端口GigabitEthernet1/0/3。
[DeviceA] traffic behavior tech_b
[DeviceA-behavior-tech_b] mirror-to interface gigabitethernet 1/0/3
[DeviceA-behavior-tech_b] quit
# 創建QoS策略tech_p,並指定流分類tech_c采用流行為tech_b。
[DeviceA] qos policy tech_p
[DeviceA-qospolicy-tech_p] classifier tech_c behavior tech_b
[DeviceA-qospolicy-tech_p] quit
# 將QoS策略tech_p應用到端口GigabitEthernet1/0/1的出方向上。
[DeviceA] interface gigabitethernet 1/0/1
[DeviceA-GigabitEthernet1/0/1] qos apply policy tech_p outbound
[DeviceA-GigabitEthernet1/0/1] quit
(2) 配置監控技術部發往市場部的流量
# 定義工作時間:創建名為work的時間段,其時間範圍為每周工作日的8點到18點。
[DeviceA] time-range work 8:0 to 18:0 working-day
# 創建ACL 3001,並定義如下規則:匹配在工作時間由技術部(192.168.2.0/24網段)發往市場部(192.168.1.0/24網段)的IP報文。
[DeviceA] acl number 3001
[DeviceA-acl-adv-3001] rule permit ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 time-range work
[DeviceA-acl-adv-3001] quit
# 創建流分類mkt_c,並配置報文匹配規則為ACL 3001。
[DeviceA] traffic classifier mkt_c
[DeviceA-classifier-mkt_c] if-match acl 3001
[DeviceA-classifier-mkt_c] quit
# 創建流行為mkt_b,並配置流鏡像到端口GigabitEthernet1/0/3。
[DeviceA] traffic behavior mkt_b
[DeviceA-behavior-mkt_b] mirror-to interface gigabitethernet 1/0/3
[DeviceA-behavior-mkt_b] quit
# 創建QoS策略mkt_p,並指定流分類mkt_c采用流行為mkt_b。
[DeviceA] qos policy mkt_p
[DeviceA-qospolicy-mkt_p] classifier mkt_c behavior mkt_b
[DeviceA-qospolicy-mkt_p] quit
# 將QoS策略mkt_p應用到端口GigabitEthernet1/0/2的出方向上。
[DeviceA] interface gigabitethernet 1/0/2
[DeviceA-GigabitEthernet1/0/2] qos apply policy mkt_p outbound
(3) 檢驗配置效果
配置完成後,用戶可以通過Server監控技術部訪問互聯網的WWW流量,以及技術部在工作時間發往市場部的IP流量。
用戶網絡描述如下:
l DeviceA的GigabitEthernet1/0/2端口下連接有10.1.1.1/24網段的主機;
l DeviceC的GigabitEthernet1/0/2端口連接了數據監測設備。
l DeviceA通過DeviceB連接至DeviceC,各設備互連的端口如圖2-2所示。
要求配置遠程流鏡像功能,將通過DeviceA的GigabitEthernet1/0/2端口接收到的來自10.1.1.1/24網段的報文鏡像到數據監測設備。
l 配置Device A:
# 配置基本IPv4 ACL 2000,匹配源IP地址為10.1.1.1/24網段的報文。
<DeviceA> system-view
[DeviceA] acl number 2000
[DeviceA-acl-basic-2000] rule permit source 10.1.1.1 255.255.255.0
[DeviceA-acl-basic-2000] quit
# 配置流分類規則,使用基本IPv4 ACL 2000進行流分類。
[DeviceA] traffic classfier 1
[DeviceA-classifier-1] if-match acl 2000
[DeviceA-classifier-1] quit
# 配置流行為,定義流鏡像到端口GigabitEthernet 1/0/1的動作。
[DeviceA] traffic behavior 1
[DeviceA-behavior-1] mirror-to interface GigabitEthernet 1/0/1
[DeviceA-behavior-1] quit
# 配置QoS策略1,為流分類1指定流行為1。
[DeviceA] qos policy 1
[DeviceA-policy-1] classifier 1 behavior 1
[DeviceA-policy-1] quit
# 將QoS策略應用到端口GigabitEthernet 1/0/2上。
[DeviceA] interface GigabitEthernet 1/0/2
[DeviceA-GigabitEthernet1/0/2] qos apply policy 1 inbound
[DeviceA-GigabitEthernet1/0/2] quit
# 創建遠程源鏡像組1。
[DeviceA] mirroring-group 1 remote-source
# 創建VLAN 2。
[DeviceA] vlan 2
[DeviceA-vlan2] quit
# 為遠程源鏡像組配置遠程鏡像VLAN為2,選擇一個未使用的端口作為源端口,此處以GigabitEthernet1/0/48為例,出端口為GigabitEthernet1/0/1。
[DeviceA] mirroring-group 1 remote-probe vlan 2
[DeviceA] mirroring-group 1 mirroring-port GigabitEthernet 1/0/48 inbound
[DeviceA] mirroring-group 1 monitor-egress GigabitEthernet 1/0/1
# 配置端口GigabitEthernet1/0/1的端口類型為Trunk端口,允許VLAN 2的報文通過。
[DeviceA] interface GigabitEthernet 1/0/1
[DeviceA-GigabitEthernet1/0/1] port link-type trunk
[DeviceA-GigabitEthernet1/0/1] port trunk permit vlan 2
l 配置Device B
# 配置端口GigabitEthernet1/0/1的端口類型為Trunk端口,允許VLAN 2的報文通過。
<DeviceB> system-view
[DeviceB] interface GigabitEthernet 1/0/1
[DeviceB-GigabitEthernet1/0/1] port link-type trunk
[DeviceB-GigabitEthernet1/0/1] port trunk permit vlan 2
[DeviceB-GigabitEthernet1/0/1] quit
# 配置端口GigabitEthernet1/0/2的端口類型為Trunk端口,允許VLAN 2的報文通過。
[DeviceB] interface GigabitEthernet 1/0/2
[DeviceB-GigabitEthernet1/0/2] port link-type trunk
[DeviceB-GigabitEthernet1/0/2] port trunk permit vlan 2
l 配置Device C
# 配置端口GigabitEthernet1/0/1的端口類型為Trunk端口,允許VLAN 2的報文通過。
<DeviceC> system-view
[DeviceC] interface GigabitEthernet 1/0/1
[DeviceC-GigabitEthernet1/0/1] port link-type trunk
[DeviceC-GigabitEthernet1/0/1] port trunk permit vlan 2
[DeviceC-GigabitEthernet1/0/1] quit
# 創建遠程目的鏡像組。
[DeviceC] mirroring-group 1 remote-destination
# 創建VLAN 2。
[DeviceC] vlan 2
[DeviceC-vlan2] quit
# 為遠程目的鏡像組配置遠程鏡像VLAN和目的端口。
[DeviceC] mirroring-group 1 remote-probe vlan 2
[DeviceC] mirroring-group 1 monitor-port GigabitEthernet 1/0/2
[DeviceC] interface GigabitEthernet 1/0/2
[DeviceC-GigabitEthernet 1/0/2] port access vlan 2
配置完成後,用戶就可以在數據監測設備上監控來自10.1.1.1/24網段的報文。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
