H3CS5560-EI系列以太网交换机镜像配置手册浙江华途信息安全技术股份有限公司2019年2月1日目录第一章端口镜像简介51.1基本概
念51.1.1镜像源51.1.2镜像目的51.1.3镜像方向51.1.4镜像组51.1.5反射端口、出端口和远程镜像VLAN61.
2端口镜像的分类和实现方式61.2.1本地端口镜像61.2.2远程端口镜像6第二章配置本地端口镜像82.1配置任务前准备82.
1.1通过Console口登录设备82.2创建本地镜像组132.3配置源端口132.3.1在系统视图下配置源端口132.3
.2在接口视图下配置源端口142.4配置目的端口142.4.1在系统视图下配置目的端口142.4.2在接口视图下配置目的端
口152.4.3端口镜像显示和维护15第三章二层远程端口镜像配置163.1组网需求163.2配置步骤173.2.1配置目
的设备173.2.2配置中间设备173.2.3配置源设备183.2.4验证配置19第四章利用远程镜像VLAN实现本地镜像支
持多个目的端口配置204.1组网需求204.2配置步骤204.3华为S5700配置镜像口22各版本建立及修订履历版本号建立/修
订履历作者/日期修订内容V1.0建立毕钰/2019/2/1第一章端口镜像简介基本概念镜像源镜像源是指被监控的对象,该对象为设备上
的端口,我们称为源端口。经由被监控的对象收发的报文会被复制一份到与数据监测设备相连的端口,用户就可以对这些报文(称为镜像报文)进行
监控和分析了。镜像源所在的设备就称为源设备。镜像目的镜像目的是指镜像报文所要到达的目的地,即与数据监测设备相连的那个端口,我们称之
为目的端口,目的端口所在的设备就称为目的设备。目的端口会将镜像报文转发给与之相连的数据监测设备。由于一个目的端口可以同时监控多个镜
像源,因此在某些组网环境下,目的端口可能收到对同一报文的多份拷贝。例如,目的端口Port1同时监控同一台设备上的源端口Port
2和Port3收发的报文,如果某报文从Port2进入该设备后又从Port3发送出去,那么该报文将被复制两次给Port1。镜
像方向镜像方向是指在镜像源上可复制哪些方向的报文:入方向:是指仅复制镜像源收到的报文。出方向:是指仅复制镜像源发出的报文。双向:是
指对镜像源收到和发出的报文都进行复制镜像组镜像组是一个逻辑上的概念,镜像源和镜像目的都要属于某一个镜像组。根据具体的实现方式不同,
镜像组可分为本地镜像组、远程源镜像组和远程目的镜像组三类。反射端口、出端口和远程镜像VLAN反射端口、出端口和远程镜像VLAN都是
在二层远程端口镜像的实现过程中用到的概念。远程镜像VLAN是将镜像报文从源设备传送至目的设备的专用VLAN;反射端口和出端口都位于
源设备上,都用来将镜像报文发送到远程镜像VLAN中。端口镜像的分类和实现方式本地端口镜像当源设备与数据监测设备直接相连时,源设备可
以同时作为目的设备,即由本设备将镜像报文转发至数据检测设备,这种方式实现的端口镜像称为本地端口镜像。对于本地端口镜像,镜像源和镜像
目的属于同一台设备上的同一个镜像组,该镜像组称为本地镜像组。图1-1本地端口镜像示意图远程端口镜像当源设备与数据监测设备不直接相
连时,与数据监测设备直接相连的设备作为目的设备,源设备需要将镜像报文复制一份至目的设备,然后由目的设备将镜像报文转发至数据监测设备
,这种方式实现的端口镜像称为远程端口镜像。对于远程端口镜像,镜像源和镜像目的分属于不同设备上的不同镜像组:镜像源所在的镜像组称为远
程源镜像组,镜像目的所在的镜像组称为远程目的镜像组,而位于源设备与目的设备之间的设备则统称为中间设备。二层远程端口镜像源设备将进入
源端口的报文复制一份给出端口,该端口将镜像报文转给中间设备,再由中间设备在远程镜像中广播,最终到达目的设备。目的设备收到该报文后判
断其与远程镜像属于同一网络,就将镜像报文通过目的端口转发给数据监控设备。为确保源设备与目的设备之间的镜像报文可以二层转发,中间设备
连接到源设备和目的设备方向的端口上需允许远程镜像VLAN通过。在一个镜像组中对同一个端口收发的报文进行双向镜像时,需要在源设备、中
间设备和目的设备上关闭远程镜像VLAN的MAC地址学习功能,以保证镜像功能的正常进行。第二章配置本地端口镜像2.1配置任务前准
备配置镜像时,需进入系统视图。在完成源端口和目的端口的配置之后,本地镜像组才能生效。2.1.1通过Console口登录设备缺省情
况下,通过Console口登录设备。(此处以笔记本电脑为例,Console线非自带,需手动安装驱动)。步骤:PC断电。(PC机串口
不支持热拔插,不能在PC带电情况下,将串口线插入或者拔出PC机)使用产品随机附带的配置口电缆连接PC机和设备。给PC上电。安装驱动
。PC进入计算机管理->设备管理器页面,查看到端口(COM和LPT)下如图所示,则安装驱动成功。右键该设备,选择属性,进入端口
设置,如图。使用连接工具如XShell,新建会话,输入名称,选择协议为SERIAL后,点击左侧连接下拉列表中的SERIAL,出现如
图所示界面,Port选择时,如果已成功安装驱动,选择项中会自动出现对用COM编号(例为COM4),选择对应即可。并根据上步骤端口设
置的内容选择一致后保存。保存成功,点击连接,连接成功后如图所示,回车进入用户视图。输入system-view,进入系统视图。2.
2创建本地镜像组进入系统视图system-view创建本地镜像组[H3C]mirroring-group1loca
l2.3配置源端口可以在系统视图下为指定镜像组配置一个或多个源端口,也可以在接口视图下将当前接口配置为指定镜像组的源端口,二者的
配置效果相同。配置端口时,需要注意:一个镜像组内可以配置多个源端口源端口不能被用作本地镜像组或其他镜像组的反射端口、出端口或目的端
口一个端口作为单向源端口最多可以加入四个镜像组,作为双向源端口最多可以加入两个镜像组,或者以一个双向源端口和两个单向源端口形式加入
三个镜像组。2.3.1在系统视图下配置源端口进入系统视图system-view(1)为本地镜像组配置单个源端口(此处例
设23端口为源端口,镜像双向数据)[H3C]mirroring-group1mirroring-portGigabitEth
ernet1/0/23both或可设置只镜像入或出:inbound、outbound(2)可设置多个源端口(如,再加设21、2
2端口双向镜像)[H3C]mirroring-group1mirroring-portGigabitEthernet1/0
/21GigabitEthernet1/0/22both(3)也可设置多个相邻端口[H3C]mirroring-group
1mirroring-portGigabitEthernet1/0/11toGigabitEthernet1/0/13
both2.3.2在接口视图下配置源端口进入系统视图system-view进入接口视图(23端口)[H3C]inte
rfaceGigabitEthernet1/0/23配置本端口为本地镜像组的源端口[H3C-GigabitEthernet1/
0/23]mirroring-group1mirroring-portboth[H3C-GigabitEthernet1/0
/23]quit或可设置只镜像入或出:inbound、outbound2.4配置目的端口可以在系统视图下为指定镜像组配置目的端口
,也可以在接口视图下将当前接口配置为指定镜像组的目的端口,二者的配置效果相同。配置目的端口时,需要注意:请不要在目的端口上使用生成
树协议,否则会影响镜像功能的正常使用当二层聚合接口作为目的端口时,请勿将其成员端口配置为源端口,否则会影响镜像功能的正常使用从目的
端口发出的报文包括镜像报文和其他端口正常转发的报文。为了保证数据监测设备只对镜像报文镜像分析,请将目的端口只用于端口镜像,不作其他
用途。一个镜像组内只能配置一个目的端口。2.4.1在系统视图下配置目的端口进入系统视图system-view为本地镜像
组配置目的端口(此处例设24端口为目的端口)[H3C]mirroring-group1monitor-portGigabit
Ethernet1/0/24[H3C]interfaceGigabitEthernet1/0/24[H3C-GigabitE
thernet1/0/24]mirroring-group1monitor-port[H3C-GigabitEthernet1
/0/24]undostpenable[H3C-GigabitEthernet1/0/24]quit2.4.2在接口视图下配
置目的端口进入系统视图system-view进入接口视图(24端口)[H3C]interfaceGigabitEthe
rnet1/0/24配置本端口为本地镜像组的目的端口[H3C-GigabitEthernet1/0/24]mirroring-g
roup1monitor-port[H3C-GigabitEthernet1/0/24]undostpenable[H3C
-GigabitEthernet1/0/24]quit2.4.3端口镜像显示和维护在完成上述配置后,在任意视图下执行displa
y命令可以显示配置后镜像组的运行情况,通过查看显示信息验证配置的效果。进入系统视图system-view[H3C]dis
playmirroring-grouplocal/all如图,则本地镜像配置成功。第三章二层远程端口镜像配置3.1组网需求
在一个二层网络中,DeviceA、DeviceB、DeviceC及Server如下图所示连接。其中,DeviceA通过端口
GigabitEthernet1/0/1连接市场部。通过配置二层远程端口镜像,使Server可以监控所有进、出市场部的报文。二层远
程端口镜像的配置需要分别在源设备和目的设备上进行;如果存在中间设备,则需要在中间设备上允许远程镜像VLAN通过,以确保源设备与目的
设备之间的二层网络畅通。配置二层远程端口镜像时,需要注意:(1)在镜像报文从源设备到达目的设备的过程中,请确保其VLANID不被
修改或删除,否则二层远程镜像功能将失效。(2)设备不支持将二层聚合接口配置为二层远程端口镜像的源端口或目的端口。(3)在配置二层远
程端口镜像时不建议启用MVRP(MultipleVLANRegistrationProtocol,多VLAN注册协议)功能,
否则MVRP可能将远程镜像VLAN注册到不需要监控的端口上,导致目的端口收到很多不必要的报文。(4)建议用户先配目的设备,再配中间
设备,最后配源设备,以保证镜像流量的正常转发。3.2配置步骤3.2.1配置目的设备(1)配置端口GigabitEthernet
1/0/1为Trunk口,并允许VLAN2的报文通过。system-view[DeviceC]interf
aceGigabitethernet1/0/1[DeviceC-GigabitEthernet1/0/1]portlink
-typetrunk[DeviceC-GigabitEthernet1/0/1]porttrunkpermitvlan
2[DeviceC-GigabitEthernet1/0/1]quit(2)创建远程目的镜像组2[DeviceC]mirror
ing-group2remote-destination(3)创建VLAN2作为远程镜像VLAN[DeviceC]vlan
2(4)关闭VLAN2的MAC地址学习功能[DeviceC-vlan2]undomac-addressmac-learnin
genable[DeviceC-vlan2]quit(5)配置远程目的镜像组2的远程镜像VLAN为VLAN2,目的端口为Gig
abitEthernet1/0/2,在该端口上关闭生成树协议并将其加入VLAN2[DeviceC]mirroring-group
2remote-probevlan2[DeviceC]interfaceGigabitethernet1/0/2[D
eviceC-GigabitEthernet1/0/2]mirroring-group2monitor-port[Devic
eC-GigabitEthernet1/0/2]undostpenable[DeviceC-GigabitEthernet1
/0/2]portaccessvlan2[DeviceC-GigabitEthernet1/0/2]quit3.2.2
配置中间设备(1)创建VLAN2作为远程VLANsystem-view[DeviceB]vlan2(2)
关闭VLAN2的MAC地址学习功能[DeviceB-vlan2]undomac-addressmac-learninge
nable[DeviceB-vlan2]quit(3)配置端口GigabitEthernet1/0/1为Trunk口,并允许VL
AN2的报文通过。[DeviceB]interfaceGigabitethernet1/0/1[DeviceB-Gigab
itEthernet1/0/1]portlink-typetrunk[DeviceB-GigabitEthernet1/0/
1]porttrunkpermitvlan2[DeviceB-GigabitEthernet1/0/1]quit(4)
配置端口GigabitEthernet1/0/2为Trunk口,并允许VLAN2的报文通过。[DeviceB]interfac
eGigabitethernet1/0/2[DeviceB-GigabitEthernet1/0/2]portlink-t
ypetrunk[DeviceB-GigabitEthernet1/0/2]porttrunkpermitvlan2[
DeviceB-GigabitEthernet1/0/2]quit3.2.3配置源设备(1)创建远程源镜像组1>system-view[DeviceA]mirroring-group1remote-source(2)创建VLAN2作
为远程镜像VLAN[DeviceA]vlan2(3)关闭VLAN2的MAC地址学习功能[DeviceA-vlan2]undo
mac-addressmac-learningenable[DeviceA-vlan2]quit(4)配置远程源镜像组1的
远程镜像VLAN为VLAN2,源端口为GigabitEthernet1/0/1,出端口为GigabitEthernet1/0/2
[DeviceA]mirroring-group1remote-probevlan2[DeviceA]mirrorin
g-group1mirroring-portGigabitethernet1/0/1both[DeviceA]mirr
oring-group1monitor-egressGigabitethernet1/0/2(5)?配置端口Gigabit
Ethernet1/0/2为Trunk口,允许VLAN2的报文通过,并在该端口上关闭生成树协议。[DeviceA]interf
aceGigabitethernet1/0/2[DeviceA-GigabitEthernet1/0/2]portlink
-typetrunk[DeviceA-GigabitEthernet1/0/2]porttrunkpermitvlan
2[DeviceA-GigabitEthernet1/0/2]undostpenable[DeviceA-GigabitEt
hernet1/0/2]quit3.2.4验证配置显示目的设备(DeviceC)上所有镜像组的配置信息。[DeviceC]
displaymirroring-groupallMirroringgroup2:Type:Remotedestin
ationStatus:ActiveMonitorport:GigabitEthernet1/0/2Remotepr
obeVLAN:2显示源设备(DeviceA)上所有镜像组的配置信息。[DeviceA]displaymirroring
-groupallMirroringgroup1:Type:RemotesourceStatus:ActiveM
irroringport:GigabitEthernet1/0/1BothMonitoregressport:Gig
abitethernet1/0/2RemoteprobeVLAN:2配置完成后,用户可以通过Server监控所有进、出市场
部的报文。第四章利用远程镜像VLAN实现本地镜像支持多个目的端口配置4.1组网需求三个部门A、B、C分别使用GigabitEt
hernet1/0/1~GigabitEthernet1/0/3端口接入DeviceA,现要求通过镜像功能,使三台数据检测设备Se
rverA、ServerB、ServerC都能够对三个部门发送和接收的报文进行镜像。4.2配置步骤(1)创建远程源镜像组1eviceA>system-view[DeviceA]mirroring-group1remote-source(2)将接
入部门A、B、C的三个端口配置为远程源镜像组1的源端口。[DeviceA]mirroring-group1mirroring
-portgigabitethernet1/0/1togigabitethernet1/0/3both(3)将设备上任
意未使用的端口(此处以GigabitEthernet1/0/5为例)配置为镜像组1的反射口。[DeviceA]mirroring
-group1reflector-portgigabitethernet1/0/5Thisoperationmayd
eleteallsettingsmadeontheinterface.Continue?[Y/N]:y(4)创建V
LAN10作为镜像组1的远程镜像VLAN,并将接入三台数据检测设备的端口加入VLAN10。[DeviceA]vlan10[De
viceA-vlan10]portgigabitethernet1/0/11togigabitethernet1/0/
13[DeviceA-vlan10]quit(5)?配置VLAN10作为镜像组1的远程镜像VLAN。[DeviceA]mirr
oring-group1remote-probevlan104.3华为S5700配置镜像口4.3.1单端口镜像:47口镜像
到48口,端口索引为1。system-view[Quidway]observe-port1interfa
cegigabitethernet0/0/48(设置观察端口48)[Quidway]interfaceGigabitEth
ernet0/0/47(设置监视口)[Quidway-GigabitEthernet0/0/47]port-mirroring
toobserve-port1?bothBoth(inboundandoutbound)inboundInboundoutboundOutbound4.3.2多端口镜像?11到15口镜像到48口[Quidway]port-group1[Quidway-port-group-1]group-mumberGigabitEthernet0/0/11toGigabitEthernet0/0/15[Quidway-port-group-1]port-mirroringtoobserve-port1{both|inbound|outbound}4.3.3VLAN镜像[Quidway]vlan2[Quidway-vlan2]mirroringtoobserve-port1inbound4.3.4配置观察端口组成员端口为GigabitEthernet0/0/3、GigabitEthernet0/0/5,索引为2。system-view[HUAWEI]observe-port2interface-rangegigabitethernet0/0/3GigabitEthernet0/0/5H3CS5560-EI系列以太网交换机镜像配置手册浙江华途信息安全技术股份有限公司网址:http://www.huatusoft.com22/22 |
|
