端口鏡像:通過配置鏡像功能,可以将封包複制到特定的目的地進行分析,以進行網絡監控和故障定位。
通俗來講,鏡像是指将經過指定端口(源端口或者鏡像端口)的封包複制一份到另一個指定端口(目的端口或者觀察端口)。
如下圖所示:
在華為中,交換機上做鏡像的網口叫做鏡像端口,連接配接監控裝置的接口叫做觀察口。
一般端口鏡像分為1對1 ,1對多,多對1等情況,下面通過簡單的案例來進行學習:
1、1對1本地端口鏡像(一台監控裝置連接配接一個鏡像端口)
測試拓撲圖如下所示:
現在我要把LSW1上GE0/0/2接口的流量鏡像到GE0/0/1接口上,配置如下:
observe-port 1 interfaceGigabitEthernet0/0/2 #觀察口
interface GigabitEthernet0/0/1 #鏡像口
port-mirroring to observe-port 1 both #鏡像上下行流量
可以在裝置上通過dis cu指令來檢視配置:
此時,我們在PC1上設定開始不停的往LSW1發包:
然後在LSW1上的GE0/0/1口進行抓包,如果有對應的資料的話,說明鏡像是OK的:
我們可以清晰的看到由源位址10.10.10.10發往10.10.10.1的資料包,說明鏡像做的是正常的。
2、多對一端口本地端口鏡像(多個監控裝置同時監控一個端口)
實驗拓撲圖如下所示:
由于在配置的時候發生了一個小的插曲,如下:
也就是說裝置的每一個插槽隻能配置一個觀察口,而模拟器上面又不能自助式的配添加插槽,是以這裡隻把對應的配置列出來:
方法一:(單個配置觀察端口)
observe-port 1 interfaceGigabitEthernet0/0/1 #觀察口1
observe-port 2 interfaceGigabitEthernet0/0/3 #觀察口2
interface GigabitEthernet0/0/2 #鏡像口
port-mirroring to observe-port 1 both #鏡像上下行流
port-mirroring to observe-port 2 both #鏡像上下行流
方法二:(批量配置觀察端口)
observe-port 1 interface-range G 0/0/X to G0/0/Y #端口X到Y為觀察口
interface GigabitEthernet1/0/1 #鏡像口
port-mirroring to observe-port 1 both #鏡像上下行流
3、一對多端口鏡像配置(一個監控裝置監控多個端口)
測試拓撲圖如下所示:
配置示例:
observe-port 1 interfaceGigabitEthernet1/0/4 #觀察口
interfaceGigabitEthernet1/0/1 #鏡像口1
port-mirroring to observe-port 1 inbound/outbound/both
interfaceGigabitEthernet1/0/2 #鏡像口2
port-mirroring to observe-port 1inbound/outbound/both
interfaceGigabitEthernet1/0/3 #鏡像口3
port-mirroring to observe-port 1inbound/outbound/both
注意:
鏡像可綁定的端口數量要根據裝置、或者闆卡的型号而定,不同裝置不同闆卡都不同。在V200R005以前的版本,隻有E系列、FA系列、LE0DX12XSA00、LH2D2X12SSA0單闆支援1:N端口鏡像,而且整機最多支援入方向1:2端口鏡像。V200R003及以前版本不支援1:N流鏡像。