本地端口鏡像
端口鏡像,即能將指定端口的數據包複製到本地鏡像端口,以進行網絡檢測和故障排除。案例環境:QuidwayS2000-HI系列以太網交換機
案例拓撲:
鏡像源端口爲Ethernet1/0/23,對端口接收和發送的報文都進行鏡像
鏡像目的端口爲Ethernet1/0/1該端口
配置步驟:
[Quidway]mirroring-group 1local
[Quidway]mirroring-group 1 mirroring-port Ethernet1/0/23 both
[Quidway]mirroring-group 1 monitor-port Ethernet1/0/1
測試:
在這裏我使用Linux系統下的wearshark抓包工具來進行檢測
RSPAN
RSPAN(Remote Switched Port Analyzer,遠程交換端口分析)突破了被鏡像端口
和鏡像端口必須在同一臺交換機上的限制,使被鏡像和鏡像端口可以跨越網絡中的
多個設備,從而方便用戶對遠程交換機設備進行配置和管理。
實現了 RSPAN功能的交換機分爲三種:
l源交換機:被監測的端口所在的交換機,負責將需要鏡像的流量在Remote-probe VLAN上做二層轉發,轉發給中間交換機或目的交換機。
l中間交換機:網絡中處於源交換機和目的交換機之間的交換機,通過Remote-probe VLAN 把鏡像流量傳輸給下一個中間交換機或目的交換機。如果源交換機與目的交換機直接相連,則不存在中間交換機。
l目的交換機:遠程鏡像目的端口所在的交換機,將從 Remote-probe VLAN接收到的鏡像流量通過鏡像目的端口轉發給監控設備。
案例環境:QuidwayS2000-HI系列以太網交換機
案例拓撲:配置步驟:
[S1-vlan10]remote-probevlan enable
[S1-vlan10]quit
[S1]interfaceEthernet 1/0/24
[S1-Ethernet1/0/24]portlink-type trunk
[S1-Ethernet1/0/24]porttrunk permit vlan 10
[S1-Ethernet1/0/24]quit
[S1]mirroring-group1 remote-destination
[S1]mirroring-group1 monitor-port Ethernet 1/0/1
[S1]mirroring-group1 remote-probe vlan 10
[S2]vlan10
[S2-vlan10]quit
[S2]interfaceEthernet 1/0/24
[S2-Ethernet1/0/24]portlink-type trunk
[S2-Ethernet1/0/24]porttrunk permit vlan 10
[S2]interfaceEthernet 1/0/1
[S2-Ethernet1/0/1]portlink-type trunk
[S2-Ethernet1/0/1]porttrunk permit vlan 10
[S3-vlan10]remote-probe vlan enable
[S3-vlan10]quit
[S3]interface Ethernet 1/0/1
[S3-Ethernet1/0/1]port link-type trunk
[S3-Ethernet1/0/1]port trunk permit vlan 10
[S3-Ethernet1/0/1]quit
[S3]mirroring-group 1 remote-source
[S3]mirroring-group 1 mirroring-port Ethernet1/0/23 outbound
[S3]mirroring-group 1 reflector-port Ethernet 1/0/5
[S3]mirroring-group 1 remote-probe vlan 10
測試:
方法與案例一相同
Cluster
Cluster通過 HGMP V2實現。使用 HGMP V2功能,網絡管理員可以通過一個主交換機的公網 IP地址,實現對多個交換機的管理。主交換機稱爲管理設備,其它被管理的交換機稱爲成員設備。成員設備一般不設置公網 IP地址,通過管理設備重定向來實現對成員設備的管理和維護。管理設備和成員設備組成了一個“集羣”。管理設備通過收集 NDP/NTDP 信息,瞭解網絡的拓撲結構,從而進行設備的管理與監控。
NDP(Neighbor Discovery Protocol)是用來發現鄰接點相關信息的協議。NDP運行在數據鏈路層,因此可以支持不同的網絡層協議。 NDP用來發現直接相連的鄰居信息,包括鄰接設備的設備類型、軟/硬件版本、連接端口等,另外還可提供設備的 ID、端口地址、硬件平臺等信息。支持 NDP的設備都維護 NDP鄰居信息表,鄰居信息表中的每一表項都是可以老化的。一旦超過老化時間,NDP自動刪除相應的鄰居表項。同時,用戶可以清除當前的 NDP信息以重新收集鄰接信息。
運行 NDP的設備定時向所有激活的端口廣播帶有 NDP數據的報文,報文中攜帶有
效保留時間,該時間指示接收設備必須保存該更新數據的時間。接收NDP報文的設
備保存報文中的信息,但不轉發NDP報文。收到的信息如果與舊的信息不同,則更
新 NDP表中的相應數據項。如果相同,則只更新有效保留時間。
NTDP(Neighbor Topology Discovery Protocol)是用來收集網絡拓撲信息的協議。NTDP 爲集羣管理提供可加入集羣的設備信息,收集指定跳數內的交換機的拓撲信息。
NDP爲 NTDP提供鄰接表信息, NTDP根據鄰接信息發送和轉發 NTDP拓撲收集請求,收集一定網絡範圍內每個設備的 NDP信息和它與所有鄰居的連接信息。收集完這些信息後,管理設備或者網管可以根據需要使用這些信息,完成所需的功能。
當成員設備上的 NDP發現鄰居有變化時,通過握手報文將鄰居改變的消息通知管理
設備,管理設備可以啓動NTDP進行指定拓撲收集,從而使NTDP能夠及時反映網
絡拓撲的變化。
案例環境:QuidwayS2000-HI系列以太網交換機、QuidwayS2000-EI系列以太網交換機
案例拓撲:
配置步驟:
先配置羣集中的成員交換機
[S2]ndp enable
[S2]ntdp enable
[S2]interface Ethernet 1/0/1
[S2-Ethernet1/0/1]ndp enable
[S2-Ethernet1/0/1]ntdp enable
[S2-Ethernet1/0/1]quit
[S2]cluster enable
另一個成員交換機S3的配置與S2相同
接着要配置管理交換機S1
[S1]ndp enable
[S1]ntdp enable
[S1]interface Ethernet 1/0/23
[S1-Ethernet1/0/23]ndp enable
[S1-Ethernet1/0/23]ntdp enable
[S1-Ethernet1/0/23]interface Ethernet1/0/24
[S1-Ethernet1/0/24]ndp enable
[S1-Ethernet1/0/24]ntdp enable
[S1-Ethernet1/0/24]quit
[S1]cluster enable
[S1]clu
[S1]cluster
[S1-cluster]ip-pool 192.168.1.1255.255.255.248
[S1-cluster]build test
[test_0.S1-cluster]display cluster members /////查看test羣集中的所有成員
///////////////////////////以下是這個羣集的所有成員////////////////////////////////
SN Device MACAddress Status Name
0 S2403H-HI 000f-e274-4920 Admin test_0.S1
1 Quidway 2403H-EI 000f-e206-73cb Up test_1.S2
2 S2403H-HI 000f-e274-2158 Up test_2.S3
[test_0.S1-cluster]quit
/////////////////////////////設置管理Vlan地址///////////////////////////////////////////
[test_0.S1]interface Vlan-interface 1
[test_0.S1-Vlan-interface1]ip address202.196.10.2 24
[test_0.S1-Vlan-interface1]quit
/////////////////////////新建一個遠程訪問的用戶///////////////////////////
[test_0.S1]local-user Dom
[test_0.S1-luser-dom]password simple 123
[test_0.S1-luser-dom]service-type telnetlevel 3
[test_0.S1-luser-dom]quit
/////////////////////////開啓虛擬接口///////////////////////////////////////
[test_0.S1]user-interface vty 0 4
[test_0.S1-ui-vty0-4]authentication-modescheme
測試:
在IP地址爲202.196.10.1的網管主機上telnet這個羣集的管理交換機