-
第
1
章
端口镜像配置
1.1
端口镜像简介
端口镜像是将指定端口
的报文复制一份到镜像目的端口,镜像目的端口会与数
据监测设备相连,用户利用这些数
据监测设备来分析复制到目的端口的报文,
进行网络监控和故障排除。
< br>
图
1-1
端口镜像示意图
1.1.1
端口镜像的分类
端口镜像分为本地端口镜像和远程端口镜像两种镜像方式:
?
本地
端口镜像是指将设备的一个或多个端口(源端口)的报文复制到本设备的
一个监视端口(
目的端口),用于报文的监视和分析。其中,源端口和目的端
口必须在同一台设备上。<
/p>
远程端口镜像突破了源端口和目的端口必须在同一台设备上的限
制,
使源端口
和目的端口间可以跨越多个网络设备。目前,远程
端口镜像功能可以穿越二层
网络,但无法穿越三层网络。
?
1.1.2
端口镜像的实现方式
端口镜像通过镜像组的方式实现,镜像组可以分为本地镜像组、远程源镜像组
和远程目的镜像组。下面将分别介绍两类端口镜像的实现方式。
1.
本地端口镜像
本地端口镜像通过本地镜像组的方式实现。
< br>源端口和目的端口在同一个本地镜像组中,设备将源端口的报文复制一份并转
发到
目的端口。
2.
远程端口镜像
远程端口镜像通过远程
源镜像组和远程目的镜像组互相配合的方式实现。
远程端口镜
像的应用如
图
1-2
所示。
图
1-2
远程端口镜像应用示意图
图中各设备的作用如下:
?
源设
备:源端口所在的设备,用户需要在源设备上创建远程源镜像组。本设备
负责将源端口的
报文复制一份,然后通过出端口将报文在远程镜像
VLAN
中进
行广播,传输给中间设备或目的设备。
中间设备:网络中处于源设备和目的设备之间的设备。本设备负责将镜像报文
传输给下
一个中间设备或目的设备。如果源设备与目的设备直接相连,则不存
在中间设备。
用户需要确保远程镜像
VLAN
内源设备到目
的设备的二层互通性。
目的设备:远程镜像目的端口所在的设
备,用户需要在目的设备上创建远程目
的镜像组。目的设备收到报文后,比较报文的
VLAN ID
和远程目的镜像组的远
程镜
像
VLAN
是否相同,如果相同,则将该报文通过镜像目的端口
转发给监控
设备。
?
?
1.1.3
端口镜像支持的其他功能
镜像组还支持一个目的端口监视多个源端口的功能。
1.2
配置
本地端口镜像
< br>配置本地端口镜像时,用户首先要创建一个本地镜像组,然后为本地镜像组配
置源
端口和目的端口。
表
1-1
配置本地端口镜像
操作
命令
说
明
进
入
系
统
视图
创
建
本
地
镜
像
组
mirroring-group
group-
id
local
必
选
system-view
-
操作
命令
说
明
为
镜
像
组
配
置
源
端
在
系
统
视
图
< br>下
配
置
端
口
在
端
口
视
图
下
配
置
源
端
口
mirroring-group
group-id
mirroring-port
mirroring-port-list
{
inbound
|
outbou
nd
|
both
}
二
者
必
选
其
一
用
户
可
以
在
口
源
interface
interface-type interface-
number
[
mirroring-group
group-id
]
mirroring-port
{
inbound
|
outbound
|
both
}
quit
系
统
视
图
下
同
时
配
置
多
个
源
端
口,
也
可
以
在
具
体
的
端
口
视
图
下
配
置
源
端
操作
命令
说
明
口,<
/p>
两
种
视
图
下
的
配
置
效
果
相
同
为
镜
像
组
配
置
目
的
端
在
系
统<
/p>
视
图
下
配
置
目
端
口
在
端
口
视
图
下
配
置
目
的
端
口
mirroring-group
group-id
monitor-port
monitor-port-id
二
者
必
选
其
一
两
种
视
图
下
的
口
的
interface
interface-type interface-
number
[
mirroring-group
group-id
]
monitor-port
配
置
效
果
相
同
?
说明:
l
本地镜像组需要配置源端口、目的端口才能生效。
建议用户不要在目的端口上开启
STP
、
RSTP
或
MSTP
,
否则可能会影响镜
像功能的正常使用。
l
l
建议本地镜像目的端口不用做其他用途,仅用于端口镜像。
源端口和目的端口不能是现有镜像组的成员端口。
指定的镜像组必须预先创建,一个镜像组只能配置一个目的端口。
l
l
1.3
配置远程端口镜像
配置远程端口镜像时,用户需要在两台设备上分别配置远程源镜像组和远程目
< br>的镜像组。
1.3.1
配置远程源镜像组
远程源镜像组需要
配置源端口、出端口以及远程镜像
VLAN
。
< br>
表
1-2
配置远程源镜像组
操作
命令
说
明
进
入
系
统
视图
创
建
远
程
源
镜
像组
为
镜
像
< br>组
配
置
源
端
在
系
统
视
图
下
配
置
端
mirroring-group
group-id
mirroring-port
mirroring-port-list
{
both
|
inbound
|
o
utbound
}
二
者
必
选
其
一
用
户
可
mirroring-group
group-
id
remote-source
必
选
system-view
-
口
源
操作
命令
说
明
口
以
在
系
在
端
口
视
图
下
配
置
源
端
口
< br>
interface
interface-type interface-
number
[
mirroring-group
group-id
]
mirroring-port
{
both
|
inbound
|
outbound
}
quit
统
视
图
下
同
时<
/p>
配
置
多
个
源
端
口,
也
可
以
在
具
体
的
端
口
< br>视
图
下
配
置
源
端
口,
两
种
视
图
下<
/p>
的
配
置
效
操作
命令
说
明
果
相
同
为
镜
像
组
配
置
出
端
在
系
统
视
< br>图
下
配
置
端
口
在
端
口
视
图
下
配
置
出
端
口
mirroring-group
group-id
monitor-egress
monitor-egress-port-id
二
者
必
选
其
一
两
种
视
图
下
口
出
interface
interface-type interface-
number
mirroring-
group
group-id
monitor-
egress
quit
的
配
置
效
果
相
同
为
镜
像
组
配
置
远
程
镜<
/p>
像
VLAN
mirroring-
group
group-id
remote-probe
vlan
rprobe-vlan-id
必
选
?
说明:
远程源镜像组的所有端口都属于同一台设备,一个远程源镜像组只能配置一
个出端口。
l
l
出端口不能为现有镜像组的成员端口。