端口鏡像

端口鏡像

一.本地端口鏡像

 

本地端口鏡像是在同一臺交換機上進行鏡像，應用範圍比較小，在一個企業網中要跨越數十臺交換機，所以本地端口鏡像不經常用。

（1）配置準備

確定了鏡像源端口，確定了被鏡像報文的方向：inbound 表示僅對端口接收的報文進行鏡像，outbound  表示僅對端口發送的報文進行鏡像，both  表示同時對端口接收和發送的報文進行鏡像確定了鏡像目的端口。

（2）配置舉例

  鏡像源端口爲 Ethernet1/0/1，對端口接收和發送的報文都進行鏡像

鏡像目的端口爲 Ethernet1/0/7

（3）拓撲

 

(4）試驗步驟

配置有三種

配置 1：

<Quidway> system-view

System View: return to User View with Ctrl+Z.

[Quidway] mirroring-group 1 local       在本地端口源鏡像組

[Quidway] interface Ethernet1/0/7

[Quidway-Ethernet1/0/7] monitor-port    監控端口

[Quidway-Ethernet1/0/7] quit

[Quidway] interface Ethernet1/0/1 

 

[Quidway-Ethernet1/0/1] mirroring-port both 被監控端口和監控的流量控制方向

配置2：

<Quidway> system-view

System View: return to User View with Ctrl+Z.

[Quidway] mirroring-group 1 local

[Quidway] interface Ethernet1/0/7

[Quidway-Ethernet1/0/7] mirroring-group 1 monitor-port

[Quidway-Ethernet1/0/7] quit

[Quidway] interface Ethernet1/0/1

[Quidway-Ethernet1/0/1] mirroring-group 1 mirroring-port both

配置 3：

<Quidway> system-view

System View: return to User View with Ctrl+Z.

[Quidway] mirroring-group 1 local

[Quidway] mirroring-group 1 monitor-port Ethernet1/0/7

[Quidway] mirroring-group 1 mirroring-port Ethernet1/0/1 both

二.遠程端口鏡像（RSPAN)

 

RSPAN （Remote Switched Port Analyzer，遠程交換端口分析），即遠程端口鏡像，突破了被鏡像端口和鏡像端口必須在同一臺交換機上的限制，使被鏡像端口和鏡像端口可以跨越網絡中的多個設備，從而方便網管人員對遠程交換機設備進行管理。

RSPAN 的應用示意圖如下所示。

 

實現了RSPAN 功能的交換機分爲三種：

源交換機：被監測的端口所在的交換機，負責將需要鏡像的流量在Remote-probe VLAN 上做二層轉發，轉發給中間交換機或目的交換機。

中間交換機：網絡中處於源交換機和目的交換機之間的交換機，通過 Remote-probe VLAN 把鏡像流量傳輸給下一個中間交換機或目的交換機。如果源交換機與目的交換機直接相連，則不存在中間交換機。

目的交換機：遠程鏡像目的端口所在的交換機，將從Remote-probe VLAN 接收到的鏡像流量通過鏡像目的端口轉發給監控設備。

 

配置準備

確定了源交換機、中間交換機、目的交換機

確定了鏡像源端口、反射端口、鏡像目的端口、Remote-probe VLAN

通過配置保證了 Remote-probe VLAN 內從源交換機到目的交換機的二層互通 性

確定了被監控報文的方向

中間交換機、目的交換機支持按VLAN 不學習 MAC 的功能，並且把一個VLAN

配置成 Remote-probe VLAN 後，系統會在該VLAN 下禁止 MAC 地址學習

如果要配置基於 MAC 的遠程鏡像，需要確定配置的MAC 地址必須是 MAC 地

址表項中存在的靜態 MAC 地址

如果要配置基於VLAN 的遠程鏡像，需要確定相應的VLAN ID

配置舉例

1. 組網需求

Switch A 通過 Ethernet1/0/2 和數據檢測設備相連

Switch A 的Trunk 端口Ethernet1/0/1和Switch B 的Trunk 端口Ethernet 1/0/1相連

Switch B 的Trunk 端口Ethernet1/0/2和Switch C 的Trunk 端口Ethernet 1/0/1相連

Switch C 的端口Ethernet1/0/10和 PC10相連

Switch C 的端口Ethernet1/0/20 和 PC20相連

需求爲通過數據檢測設備對 PC10和PC20 發送的報文進行監控和分析。

使用 RSPAN 功能實現該需求，進行如下配置。

定義VLAN10 爲remote-probe VLAN

SwitchA 爲目的交換機，連接數據監控設備的端口 Ethernet1/0/2 爲鏡像目的端口，Ethernet1/0/2 上不能使用STP

Switch B 爲中間交換機

Switch C 爲源交換機，Ethernet1/0/2 爲鏡像源端口，定義 Ethernet1/0/5 爲反射端口。Ethernet1/0/5 爲access 端口，並且不能使用STP。

2. 網絡拓撲

 

3. 實驗步驟

（1）Switch C 的配置

#進入視圖模式

<Quidway> system-view

#創建remote-probe vlan並進入vlan視圖

[Quidway] vlan 10  

#定義當前vlan爲remote-probe vlan

[Quidway-vlan10] remote-probe vlan enable  

[Quidway-vlan10] quit

#進入與中間交換機連接的接口

[Quidway] interface ethernet1/0/1

#端口類型爲trunk  

[Quidway-Ethernet1/0/1] port link-type trunk

#配置端口trunk允許remote-probe vlan通過

[Quidway-Ethernet1/0/1] port trunk permit vlan 10

[Quidway-Ethernet1/0/1] quit

#配置遠程源鏡像組

[Quidway] mirroring-group 1 remote-source

#配置遠程鏡像源端口（監控PC10和PC20之間流量）

[Quidway] mirroring-group 1 mirroring-port ethernet1/0/10 outbound流量出去監控

[Quidway] mirroring-group 1 mirroring-port ethernet1/0/20 intbound流量進來監控

#配置遠程反射端口，

[Quidway] mirroring-group 1 reflector-port ethernet1/0/5

#配置遠程源鏡像組的remote-probe vlan

[Quidway] mirroring-group 1 remote-probe vlan 10

#查看遠程源鏡像組的配置

[Quidway] display mirroring-group remote-source

（2）Switch B 的配置

<Quidway> system-view

#創建remote-probe vlan並進入vlan視圖

[Quidway] vlan 10

#定義當前vlan爲remote-probe vlan

[Quidway-vlan10] remote-probe vlan enable

[Quidway-vlan10] quit

#進入與目的交換機連接的端口

[Quidway] interface ethernet1/0/1

#端口類型爲trunk

[Quidway-Ethernet1/0/1] port link-type trunk

#配置端口trunk允許remote-probe vlan通過

[Quidway-Ethernet1/0/1] port trunk permit vlan 10

[Quidway-Ethernet1/0/1] quit

#進入與源交換機連接的端口

[Quidway] interface ethernet1/0/2

#端口類型爲trunk

[Quidway-Ethernet1/0/2] port link-type trunk

#配置端口trunk允許remote-probe vlan通過

[Quidway-Ethernet1/0/2] port trunk permit vlan 10

（3）Switch A 的配置

<Quidway> system-view

#創建remote-probe vlan並進入vlan視圖

[Quidway] vlan 10

#定義當前vlan爲remote-probe vlan

[Quidway-vlan10] remote-probe vlan enable

[Quidway-vlan10] quit

#進入與中間交換機連接的端口

[Quidway] interface ethernet1/0/1

#端口類型爲trunk

[Quidway-Ethernet1/0/1] port link-type trunk

#配置端口trunk允許remote-probe vlan通過

[Quidway-Ethernet1/0/1] port trunk permit vlan 10

[Quidway-Ethernet1/0/1] quit

#配置遠程目的鏡像組

[Quidway] mirroring-group 1 remote-destination

#配置遠程鏡像組的目的端口

[Quidway] mirroring-group 1 monitor-port ethernet1/0/2

#配置遠程目的鏡像組的remote-probe vlan

[Quidway] mirroring-group 1 remote-probe vlan 10

#查看目的鏡像組

[Quidway] display mirroring-group remote-destination

4.配置完後，用PC10主機和PC20進行通訊，查看