内容来源:H3C_S7500系列以太网交换机_操作手册-RELEASE_3100系列(V1.04)_镜像操作-新华三集团-H3C
镜像一般是将符合指定规则的报文复制到镜像目的端口。一般镜像目的端口会接入数据检测设备,用户利用这些设备对镜像过来的报文进行分析,进行网络监控和故障排除等。
功能 | 规格 | 相关命令 | 详细配置 |
镜像 | 支持端口镜像 | mirroring-group mirroring-group mirroring-port mirroring-group monitor-port monitor-port mirroring-port | |
支持远程端口镜像 | mirroring-group mirroring-group mirroring-port mirroring-group reflector-port mirroring-group remote-probe vlan remote-probe vlan enable |
| |
支持流镜像 | monitor-port mirrored-to |
| |
支持远程流镜像 | mirroring-group mirroring-group monitor-port mirroring-group reflector-port mirroring-group remote-probe vlan remote-probe vlan enable mirrored-to inbound acl-rule [ system-index ] { interface interface-type interface-number reflector | mirroring-group group-id } |
三、怎么做
1.3.1 配置端口镜像
1. 配置准备
l 确定了镜像源端口,确定了被镜像报文的方向
l 确定了镜像目的端口
2. 在以太网端口视图下配置端口镜像
操作 | 命令 | 说明 |
进入系统视图 | system-view | - |
创建端口镜像组 | mirroring-group group-id local | 必选 |
进入镜像目的端口的以太网端口视图 | interface interface-type interface-number | - |
定义当前端口为镜像目的端口 | mirroring-group group-id monitor-port | 必选 镜像目的端口上不能使能LACP及STP |
退出当前视图 | quit | - |
进入镜像源端口的以太网端口视图 | interface interface-type interface-number | - |
配置镜像源端口,同时指定被镜像报文的方向 | mirroring-group group-id mirroring-port { both | inbound | outbound } | 必选 |
显示镜像的参数设置 | display mirroring-group { all | local } | 可选 display命令可以在任意视图下执行 |
3. 在系统视图下配置端口镜像
操作 | 命令 | 说明 |
进入系统视图 | system-view | - |
创建端口镜像组 | mirroring-group group-id local | 必选 |
配置镜像目的端口 | mirroring-group group-id monitor-port monitor-port | 必选 镜像目的端口上不能使能LACP及STP |
配置镜像源端口,同时指定被镜像报文的方向 | mirroring-group group-id mirroring-port mirroring-port-list { both | inbound | outbound } | 必选 |
显示镜像的参数设置 | display mirroring-group { all | local } | 可选 display命令可以在任意视图下执行 |
4. 配置举例
l 镜像源端口为GigabitEthernet 2/0/1,对端口接收和发送的报文都进行镜像
l 镜像目的端口为GigabitEthernet 2/0/4
配置1:
<H3C> system-view
[H3C] mirroring-group 1 local
[H3C] interface GigabitEthernet 2/0/4
[H3C-GigabitEthernet2/0/4] mirroring-group 1 monitor-port
[H3C-GigabitEthernet2/0/4] quit
[H3C] interface GigabitEthernet 2/0/1
[H3C-GigabitEthernet2/0/1] mirroring-group 1 mirroring-port both
配置2:
<H3C> system-view
[H3C] mirroring-group 1 local
[H3C] mirroring-group 1 monitor-port GigabitEthernet 2/0/4
[H3C] mirroring-group 1 mirroring-port GigabitEthernet 2/0/1 both
1.3.2 配置远程端口镜像
1. 配置准备
l 确定了源交换机、中间交换机、目的交换机
l 确定了镜像源端口、反射端口、镜像目的端口、Remote-probe VLAN
l 通过配置保证了Remote-probe VLAN内从源交换机到目的交换机的二层互通性
l 确定了被监控报文的方向
l 启动了Remote-probe VLAN
2. 源交换机上的配置过程
操作 | 命令 | 说明 |
进入系统视图 | system-view | - |
创建并进入VLAN视图 | vlan vlan-id | vlan-id为目标Remote-probe VLAN的ID |
定义当前VLAN为Remote-probe VLAN | remote-probe vlan enable | 必选 |
退出当前视图 | quit | - |
进入与中间交换机或目的交换机相连的端口视图 | interface interface-type interface-number | - |
配置当前端口类型为Trunk | port link-type trunk | 必选 缺省情况下,端口类型为Access |
配置Trunk端口允许Remote-probe VLAN的报文通过 | port trunk permit vlan remote-probe-vlan-id | 必选 源交换机上与中间交换机或目的交换机相连的端口必须添加该配置 |
退出当前视图 | quit | - |
配置远程源镜像组 | mirroring-group group-id remote-source | 必选 |
配置远程镜像源端口 | mirroring-group group-id mirroring-port mirroring-port-list { both | inbound | outbound } | 必选 |
配置远程反射端口 | mirroring-group group-id reflector-port reflector-port | 必选 远程镜像反射端口上不能使能LACP及STP,并且必须是Access端口 当端口被配置为反射端口后,交换机不允许用户改变该端口的端口类型和缺省VLAN ID,也不能把反射端口加到其它VLAN中 |
配置远程源镜像组的Remote-probe VLAN | mirroring-group group-id remote-probe vlan remote-probe-vlan-id | 必选 |
显示远程源镜像组配置 | display mirroring-group remote-source | 可选 display命令可以在任意视图下执行 |
& 说明:
l 如果用户想镜像tagged报文,则需要在反射口上配置VLAN VPN。
l 反射端口无法作为正常的端口转发流量,所以建议用户将没有使用的处于DOWN状态的端口配置为反射端口,且不要在该端口上添加其它配置。
l 不要在与中间交换机或目的交换机相连的端口上配置镜像源端口,否则可能引起网络内的流量混乱。
3. 中间交换机上的配置过程
操作 | 命令 | 说明 |
进入系统视图 | system-view | - |
创建Remote-probe VLAN,并进入VLAN视图 | vlan vlan-id | vlan-id为Remote-probe VLAN的ID |
定义当前VLAN为Remote-probe VLAN | remote-probe vlan enable | 必选 |
退出当前视图 | quit | - |
进入与源交换机或、目的交换机或其他中间交换机相连的端口视图 | interface interface-type interface-number | - |
配置当前端口类型为Trunk | port link-type trunk | 必选 缺省情况下,端口类型为Access |
配置Trunk端口允许Remote-probe VLAN的报文通过 | port trunk permit vlan remote-probe-vlan-id | 必选 中间交换机上与源交换机、目的交换机或其他中间交换机相连的端口都要进行本配置 |
4. 目的交换机上的配置过程
操作 | 命令 | 说明 |
进入系统视图 | system-view | - |
创建Remote-probe VLAN,并进入VLAN视图 | vlan vlan-id | vlan-id为Remote-probe VLAN的ID |
定义当前VLAN为Remote-probe VLAN | remote-probe vlan enable | 必选 |
退出当前视图 | quit | - |
进入与源交换机或中间交换机相连的端口视图 | interface interface-type interface-number | - |
配置当前端口类型为Trunk | port link-type trunk | 必选 缺省情况下,端口类型为Access |
配置Trunk端口允许Remote-probe VLAN的报文通过 | port trunk permit vlan remote-probe-vlan-id | 必选 目的交换机上与源交换机或中间交换机相连的端口都要进行本配置 |
退出当前视图 | quit | - |
配置远程目的镜像组 | mirroring-group group-id remote-destination | 必选 |
配置远程镜像目的端口 | mirroring-group group-id monitor-port monitor-port | 必选 远程镜像目的端口上不能使能LACP及STP,且必须是Access端口 当端口被配置为远程镜像目的端口后,交换机不允许用户改变该端口的端口类型和缺省VLAN ID |
配置远程目的镜像组的Remote-probe VLAN | mirroring-group group-id remote-probe vlan remote-probe-vlan-id | 必选 |
显示远程目的镜像组配置 | display mirroring-group remote-destination | 可选 display命令可以在任意视图下执行 |
5. 配置举例
组网需求:
l Switch A通过GigabitEthernet 2/0/2和数据检测设备相连
l Switch A的Trunk端口GigabitEthernet 2/0/1和Switch B的Trunk端口GigabitEthernet 2/0/1相连
l Switch B的Trunk端口GigabitEthernet 2/0/2和Switch C的Trunk端口GigabitEthernet 2/0/1相连
l Switch C的端口GigabitEthernet 2/0/2和PC1相连
需求为通过数据检测设备对PC1发送的报文进行监控和分析。
使用远程端口镜像功能实现该需求,进行如下配置。
l 定义VLAN 10为Remote-probe VLAN;
l Switch A为目的交换机,连接数据监控设备的端口GigabitEthernet 2/0/2为镜像目的端口。GigabitEthernet 2/0/2必须为Access端口,并且不能使能STP及LACP。
l Switch B为中间交换机
l Switch C为源交换机,GigabitEthernet 2/0/2为镜像源端口,定义GigabitEthernet 2/0/3为反射端口。GigabitEthernet 2/0/3必须为Access端口,并且不能使能STP及LACP。
组网图:
配置步骤:
# Switch C的配置
<H3C> system-view
[H3C] vlan 10
[H3C-vlan10] remote-probe vlan enable
[H3C-vlan10] quit
[H3C] interface GigabitEthernet 2/0/1
[H3C-GigabitEthernet2/0/1] port link-type trunk
[H3C-GigabitEthernet2/0/1] port trunk permit vlan 10
[H3C-GigabitEthernet2/0/1] quit
[H3C] mirroring-group 1 remote-source
[H3C] mirroring-group 1 mirroring-port GigabitEthernet 2/0/2 inbound
[H3C] mirroring-group 1 reflector-port GigabitEthernet 2/0/3
[H3C] mirroring-group 1 remote-probe vlan 10
[H3C] display mirroring-group remote-source
mirroring-group 1:
type: remote-source
status: active
mirroring port:
GigabitEthernet2/0/2 inbound
reflector port: GigabitEthernet2/0/3
remote-probe vlan: 10
# Switch B的配置
<H3C> system-view
[H3C] vlan 10
[H3C-vlan10] remote-probe vlan enable
[H3C-vlan10] quit
[H3C] interface GigabitEthernet 2/0/1
[H3C-GigabitEthernet2/0/1] port link-type trunk
[H3C-GigabitEthernet2/0/1] port trunk permit vlan 10
[H3C-GigabitEthernet2/0/1] quit
[H3C] interface GigabitEthernet 2/0/2
[H3C-GigabitEthernet2/0/2] port link-type trunk
[H3C-GigabitEthernet2/0/2] port trunk permit vlan 10
# Switch A的配置
<H3C> system-view
[H3C] vlan 10
[H3C-vlan10] remote-probe vlan enable
[H3C-vlan10] quit
[H3C] interface GigabitEthernet 2/0/1
[H3C-GigabitEthernet2/0/1] port link-type trunk
[H3C-GigabitEthernet2/0/1] port trunk permit vlan 10
[H3C-GigabitEthernet2/0/1] quit
[H3C] mirroring-group 1 remote-destination
[H3C] mirroring-group 1 monitor-port GigabitEthernet 2/0/2
[H3C] mirroring-group 1 remote-probe vlan 10
[H3C] display mirroring-group remote-destination
mirroring-group 1:
type: remote-destination
status: active
monitor port: GigabitEthernet2/0/2
remote-probe vlan: 10
1.3.3 配置流镜像
1. 配置准备
l 定义了进行流识别的ACL。关于定义ACL的描述请参见“ACL”模块
l 确定了镜像目的端口
l 确定需要进行流镜像配置的端口和被镜像流的方向
2. 配置过程
操作 | 命令 | 说明 |
进入系统视图 | system-view | - |
创建镜像组 | mirroring-group group-id local | 必选 |
定义镜像目的端口 | mirroring-group group-id monitor-port monitor-port | 必选 镜像目的端口上不能使能LACP及STP |
进入镜像源端口的以太网端口视图 | interface interface-type interface-number | - |
进入QoS视图 | qos | - |
启动ACL识别流,对匹配的报文进行流镜像 | mirrored-to inbound acl-rule [ system-index ] { interface interface-type interface-number | mirroring-group group-id } | 必选 |
显示流量镜像的参数设置 | display qos-interface [ interface-type interface-number ] mirrored-to | 可选 display命令可以在任意视图下执行 |
显示端口的所有QoS设置信息 | display qos-interface [ interface-type interface-number ] all |
acl-rule:应用的ACL,可以是多种ACL的组合。A型业务板的组合方式如表1-9;非A型业务板的组合方式如表1-10。
表1-9 A型业务板的组合应用ACL方式
组合方式 | acl-rule的形式 |
单独应用一个IP型ACL中所有规则 | ip-group { acl-number | acl-name } |
单独应用一个IP型ACL中一条规则 | ip-group { acl-number | acl-name } rule rule-id |
单独应用一个Link型ACL中所有规则 | link-group { acl-number | acl-name } |
单独应用一个Link型ACL中一条规则 | link-group { acl-number | acl-name } rule rule-id |
表1-10 非A型业务板的组合应用ACL方式
组合方式 | acl-rule的形式 |
单独应用一个IP型ACL中所有规则 | ip-group { acl-number | acl-name } |
单独应用一个IP型ACL中一条规则 | ip-group { acl-number | acl-name } rule rule-id |
单独应用一个Link型ACL中所有规则 | link-group { acl-number | acl-name } |
单独应用一个Link型ACL中一条规则 | link-group { acl-number | acl-name } rule rule-id |
单独应用一个用户自定义ACL中所有规则 | user-group { acl-number | acl-name } |
单独应用一个用户自定义ACL中一条规则 | user-group { acl-number | acl-name } rule rule-id |
同时应用IP型ACL中一条规则和一个Link型ACL的一条规则 | ip-group { acl-number | acl-name } rule rule-id link-group { acl-number | acl-name } rule rule-id |
& 说明:
在定义镜像目的端口时,用户也可直接进入指定端口的视图执行mirroring-group group-id monitor-port命令,详见相应的命令手册。
3. 配置举例
组网需求:
l 交换机的GigabitEthernet 2/0/1接入了10.1.1.1/24网段
l 镜像来自10.1.1.1/24网段的报文到镜像目的端口GigabitEthernet 2/0/4
配置步骤:
<H3C> system-view
[H3C] acl number 2000
[H3C-acl-basic-2000] rule permit source 10.1.1.1 0.0.0.255
[H3C-acl-basic-2000] rule deny source any
[H3C-acl-basic-2000] quit
[H3C] mirroring-group 3 local
[H3C] mirroring-group 3 monitor-port GigabitEthernet 2/0/4
[H3C] interface GigabitEthernet 2/0/1
[H3C-GigabitEthernet2/0/1] qos
[H3C-qosb-GigabitEthernet2/0/1] mirrored-to inbound ip-group 2000 interface GigabitEthernet 2/0/4
1.3.4 配置远程流镜像
1. 配置准备
l 定义了进行流识别的ACL。关于定义ACL的描述请参见“ACL”模块
l 确定了源交换机、中间交换机、目的交换机
l 确定了反射端口、镜像目的端口、Remote-probe VLAN
l 通过配置保证了Remote-probe VLAN内从源交换机到目的交换机的二层互通性
l 确定了被监控报文的方向
l 启动了Remote-probe VLAN
2. 源交换机上的配置过程
操作 | 命令 | 说明 |
进入系统视图 | system-view | - |
创建并进入VLAN视图 | vlan vlan-id | vlan-id为目标Remote-probe VLAN的ID |
定义当前VLAN为Remote-probe VLAN | remote-probe vlan enable | 必选 |
退出当前视图 | quit | - |
进入与中间交换机或目的交换机相连的端口视图 | interface interface-type interface-number | - |
配置当前端口类型为Trunk | port link-type trunk | 必选 缺省情况下,端口类型为Access |
配置Trunk端口允许Remote-probe VLAN的报文通过 | port trunk permit vlan remote-probe-vlan-id | 必选 源交换机上与中间交换机或目的交换机相连的端口必须添加该配置 |
退出当前视图 | quit | - |
配置远程源镜像组 | mirroring-group group-id remote-source | 必选 |
配置远程反射端口 | mirroring-group group-id reflector-port reflector-port | 必选 远程镜像反射端口上不能使能LACP及STP,并且必须是Access端口 当端口被配置为反射端口后,交换机不允许用户改变该端口的端口类型和缺省VLAN ID,也不能把反射端口加到其它VLAN中 |
配置远程源镜像组的Remote-probe VLAN | mirroring-group group-id remote-probe vlan remote-probe-vlan-id | 必选 |
进入镜像源端口的以太网端口视图 | interface interface-type interface-number | - |
进入QoS视图 | qos | - |
启动ACL识别流,对匹配的报文进行流镜像 | mirrored-to inbound acl-rule [ system-index ] { interface interface-type interface-number reflector | mirroring-group group-id } | 必选 |
显示远程源镜像组配置 | display mirroring-group remote-source | 可选 display命令可以在任意视图下执行 |
显示流量镜像的参数设置 | display qos-interface [ interface-type interface-number ] mirrored-to | |
显示端口的所有QoS设置信息 | display qos-interface [ interface-type interface-number ] all |
acl-rule:应用的ACL,可以是多种ACL的组合。A型业务板的组合方式如表1-9;非A型业务板的组合方式如表1-10。
& 说明:
l 如果用户想镜像tagged报文,则需要在反射口上配置VLAN VPN。
l 反射端口无法作为正常的端口转发流量,所以建议用户将没有使用的处于DOWN状态的端口配置为反射端口,且不要在该端口上添加其它配置。
3. 中间交换机上的配置过程
中间交换机上的配置与远程端口镜像配置中完全相同,参见1.3.2 3. 中间交换机上的配置过程。
4. 目的交换机上的配置过程
目的交换机上的配置与远程端口镜像配置中完全相同,参见1.3.2 4. 目的交换机上的配置过程。
5. 配置举例
组网需求:
l Switch A通过GigabitEthernet 2/0/2和数据检测设备相连
l Switch A的Trunk端口GigabitEthernet 2/0/1和Switch B的Trunk端口GigabitEthernet 2/0/1相连
l Switch B的Trunk端口GigabitEthernet 2/0/2和Switch C的Trunk端口GigabitEthernet 2/0/1相连
l Switch C的端口GigabitEthernet 2/0/2接入了10.1.1.1/24网段
使用远程流镜像功能把来自10.1.1.1/24网段的报文镜像到Switch A的GigabitEthernet 2/0/2以便数据检测设备监控流量:
l 定义VLAN 10为Remote-probe VLAN
l Switch A为目的交换机,连接数据监控设备的端口GigabitEthernet 2/0/2为镜像目的端口。GigabitEthernet 2/0/2必须为Access端口,并且不能使能STP及LACP
l Switch B为中间交换机
l Switch C为源交换机,定义GigabitEthernet 2/0/3为反射端口。GigabitEthernet 2/0/3必须为Access端口,并且不能使能STP及LACP。在端口GigabitEthernet 2/0/2配置流镜像功能
组网图:
图1-4 远程流镜像组网示意图
配置步骤:
# Switch A的配置
<H3C> system-view
[H3C] vlan 10
[H3C-vlan10] remote-probe vlan enable
[H3C-vlan10] quit
[H3C] interface GigabitEthernet 2/0/1
[H3C-GigabitEthernet2/0/1] port link-type trunk
[H3C-GigabitEthernet2/0/1] port trunk permit vlan 10
[H3C-GigabitEthernet2/0/1] quit
[H3C] mirroring-group 1 remote-destination
[H3C] mirroring-group 1 monitor-port GigabitEthernet 2/0/2
[H3C] mirroring-group 1 remote-probe vlan 10
[H3C] display mirroring-group remote-destination
mirroring-group 1:
type: remote-destination
status: active
monitor port: GigabitEthernet2/0/2
remote-probe vlan: 10
# Switch B的配置
<H3C> system-view
[H3C] vlan 10
[H3C-vlan10] remote-probe vlan enable
[H3C-vlan10] quit
[H3C] interface GigabitEthernet 2/0/1
[H3C-GigabitEthernet2/0/1] port link-type trunk
[H3C-GigabitEthernet2/0/1] port trunk permit vlan 10
[H3C-GigabitEthernet2/0/1] quit
[H3C] interface GigabitEthernet 2/0/2
[H3C-GigabitEthernet2/0/2] port link-type trunk
[H3C-GigabitEthernet2/0/2] port trunk permit vlan 10
# Switch C的配置
<H3C> system-view
[H3C] acl number 2000
[H3C-acl-basic-2000] rule permit source 10.1.1.1 0.0.0.255
[H3C-acl-basic-2000] rule deny source any
[H3C-acl-basic-2000] quit
[H3C] vlan 10
[H3C-vlan10] remote-probe vlan enable
[H3C-vlan10] quit
[H3C] interface GigabitEthernet 2/0/1
[H3C-GigabitEthernet2/0/1] port link-type trunk
[H3C-GigabitEthernet2/0/1] port trunk permit vlan 10
[H3C-GigabitEthernet2/0/1] quit
[H3C] mirroring-group 1 remote-source
[H3C] mirroring-group 1 reflector-port GigabitEthernet 2/0/3
[H3C] mirroring-group 1 remote-probe vlan 10
[H3C] interface GigabitEthernet 2/0/2
[H3C-GigabitEthernet2/0/2] qos
[H3C-qosb-GigabitEthernet2/0/2] mirrored-to inbound ip-group 2000 interface GigabitEthernet 2/0/3 reflector
[H3C-qosb-GigabitEthernet2/0/2] display qos-interface GigabitEthernet2/0/2 mirrored-to
GigabitEthernet2/0/2: mirrored-to
Inbound:
Matches: Acl 2000 rule 0 running
Mirrored to: mirroring-group 1
