第1页 / 共16页
第2页 / 共16页
第3页 / 共16页
第4页 / 共16页
第5页 / 共16页
第6页 / 共16页
第7页 / 共16页
第8页 / 共16页
华三(H3C)华为和中兴交换机常见的远程镜像以及流镜像配置.docx
城域网常见交换机端口及远程镜像
郭锐雄
一、案例描述
镜像即将一个端口的流量复制到另一个端口,以便抓包处理,镜像分三
种:
1、本地端口镜像:即将一个端口流量镜像到同一交换机的另一端口。
2、二层端口镜像(rspan):将镜像流量转到某一个 vlan 内,虽然流量是单
播,但一般设备对未知单播都会做广播处理,故任何一个加入该 vlan 的端
口均可抓到该镜像流量。
3、三层流量接口(erspan):将流量镜像到远程的三层接口,需要有到该端
口的路由。
4、流镜像:流镜像是指在设备上配置一定的规则,将符合规则的特定业务
流复制到观察端口进行分析和监控。
二、常见交换机镜像配置
一、华为 S9312 端口镜像:
1、本地镜像(本例是配置 M:N 的镜像,即将 M 个镜像端口的报文复制
到 N 个不同的观察端口,这里讲接口改成一个就是普通的端口镜像):
a) 配置观察端口:
[Switch] observe-port 1 interface-range gigabitethernet 1/0/4
gigabitethernet 1/0/5(如果是单个接口就 interface ,不带 range)
b) 配置镜像端口:
[Switch-GigabitEthernet1/0/1]port-mirroring
inbound
口上
to observe-port 1
//将接口 GE1/0/1 的入方向绑定到索引为 1 的观察端
c) 查看观察端口和镜像端口
display observe-port
display port-mirroring
e) 本地流镜像
在 Switch 上配置接口 GE1/0/2 为本地观察端口:
[Switch] observe-port 1 interface gigabitethernet 1/0/2
在 Switch 上创建流分类 c1,并配置流分类规则匹配以下两类报
文:源地址为 10.1.1.0/24,目的 TCP 端口号为 80 的端口号;
[Switch] acl number 3000
[Switch-acl-adv-3000] rule permit tcp source 10.1.1.0 0.0.0.255
destination-port eq 80
[Switch-acl-adv-3000] quit
[Switch] traffic classifier c1 operator or
[Switch-classifier-c1] if-match acl 3000
在 Switch 上创建流行为 b1,并配置流行为是流镜像,将指定报
文流镜像到本地观察端口 GE1/0/2。
[Switch] traffic behavior b1
[Switch-behavior-b1] mirroring to observe-port 1
[Switch-behavior-b1] quit
在 Switch 上创建流策略 p1,将流分类和对应的流行为进行绑定,
并将流策略应用到接口 GE1/0/1 的入方向上
[Switch] traffic policy p1
[Switch-trafficpolicy-p1] classifier c1 behavior b1
[Switch-trafficpolicy-p1] quit
[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1]traffic-policy p1 inbound
f) 查看流分类配置信息
display traffic classifier user-defined c1
2、 二层端口镜像
a) 在 SwitchA 上配置观察端口
在 SwitchA 上配置接口 GE1/0/2 为二层远程观察端口,绑定的
VLAN 为 VLAN10,观察端口会将镜像报文向 VLAN10 进行转发,
不需要在观察端口下进行接口加入 VLAN 的操作。
[SwitchA]observe-port 1 interface gigabitethernet1/0/2 vlan 10
b) 在 SwitchA 上配置镜像端口
在 SwitchA 上配置接口 GE1/0/1 为镜像端口,将其入方向绑定到
二层远程观察端口,即将镜像端口接收到的报文复制一份到二层
远程观察端口。
[SwitchA] interface gigabitethernet 1/0/1
[SwitchA-GigabitEthernet1/0/1] port-mirroring to observe-port 1
inbound
c) 在 SwitchB 上 创 建 VLAN10 , 将 接 口 GE1/0/1 和 GE1/0/2 加 入
VLAN10,图中的 server 便能收到镜像报文。
d) 验证配置结果的命令和本地镜像一样,这里不做赘述。
3、 有时候配置二层远程端口镜像需要关闭 MAC 学习功能.
由于镜像报文的目的 MAC 与原始报文目的 MAC 相同,不是监
控设备的 MAC,也就是说,镜像报文不能通过 MAC 表进行转发,
而是依赖未知单播的处理流程——广播方式进行转发。假设用于走
镜像流量的 VLAN 为 vlan10,只要 VLAN10 对应的 MAC 表中不包含
镜像报文目的 MAC 对应的表项,镜像报文就可以通过广播方式转发
到 Server。
特别注意做二层镜像的时候最好不要同时抓同一端口的出
入两个方向的包,以上图中抓 HostA 和 HostB 的通信包为例,如果
在 SwitchA 的 GE1/0/1 口同时抓出、入两个方向的包,因为 GE1/0/1
的入方向就有以 MacA 为源 MAC 地址,以 MacB 为目的 MAC 地址的
数据流,而 GE1/0/1 的出方向就会有以 MacB 源 MAC 地址、以 MacB
为目的 MAC 地址的数据流,因为交换机端口会主动学习数据包的源
MAC 地址,所以当出、入两个方向被镜像的报文流到达 SwitchB 的
GE1/0/2 口时,SwitchB 的 GE1/0/2 口就会在 vlan10 内同时学习到
MacA 和 MacB 地址,见图中 SwitchB 的 mac 表,又因为从 SwitchA
镜像过来的数据流的目的 MAC 也正好是 MacA 和 MacB,所以镜像
过来的报文 SwitchB 便不再认为是未知单播报文,而是认为是普通
单播报文从 SwitchB 的 GE1/0/2 口在 vlan10 内发送出去,导致本地
Server 抓不到包。如果一定要同时抓两个方向的包,则要关闭用于
镜像的 vlan 内的 mac 地址学习功能。
另外,如果 vlan10 内通过某种其他方式学习到了目的 MAC(比
如镜像端口加入了 vlan10,还有一些更复杂的情况可以参看华为
S9312 文档里二层远程端口镜像需要关闭 MAC 学习功能的案例),则
此时也需要关闭该 vlan 内的 MAC 学习功能,但不推荐这么做,一般
配置二层远程端口镜像时不建议用同一个 VLAN 转发普通业务流量
和镜像流量。
e) 二层端口的流镜像
配置和本地流镜像基本一致,类推一下就可以了,这里不再赘述。
4、配置三层远程端口镜像
在 Switch 上进行如下配置,实现 Server 远程监控研发部访问
IInternet 的流量:
1、配置接口 GE1/0/2 为三层远程观察端口,指定封装镜像报文
的目的地址是监控设备的地址,源地址为 Switch 上的接口地址。
2、配置接口 GE1/0/1 为镜像端口,将研发部访问 Internet 的流
量复制一份到三层远程观察端口。
a) 配置观察端口
interface
在 Switch 上配置接口 GE1/0/2 为三层远程观察端口,指定封
装镜像报文的目的地址是 10.2.1.1,源地址是 10.1.1.1(源地
址可以任意指定本地地址,本例中使用 loopback0)
[Switch]observe-port 1
destination-ip 10.2.1.1 source-ip 10.1.1.1 vlan 10
gigabitethernet1/0/2
配置完成后,观察端口会在镜像报文外层添加 GRE 隧道头,
再将其作为 IP 报文的数据部分,封装在 IP 报文内进行转发。
注意,如果到目的地址路由的出接口是 trunk 口的话,一定
要带后面的 vlan,否则不能成功远程镜像,vlan 为到目的地
址路由所走的 vlan。
b) 配置镜像端口
在 Switch 上配置接口 GE1/0/1 为镜像端口,将其入方向绑定
到三层远程观察端口,即将镜像端口接收到的报文复制一份
到三层远程观察端口。
[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] port-mirroring to observe-port 1
inbound
c) 验证配置结果的命令和本地镜像一样,这里不做赘述。
f) 三层镜像的抓包结果是带 GRE 头的封装的 ERSPAN 报文(如
下图的第一个包,这里目的 IP 就是截图电脑的 IP),如果
wireshark 不能直接解析的话,则需要强制解析成 ERSPAN 帧,
如图所示:
解析完之后就能看到普通的带 GRE 头的源数据报文:
e) 三层接口流镜像
三层接口流镜像的配置和本地接口也类似,类推即可。
二、华为 12808 端口镜像:
华为 12808 的本地镜像和二层镜像配置和 S9312 的配置是一样的,
但三层镜像的配置比较特殊,需要两边设备真正的建立 GRE 通道(S9312
只需要镜像端口所在设备配置 GRE 即可)。
三层远端镜像配置(如果 12808 的隧道是 VXLAN,那么需要将设备
的隧道模式改为 GRE,改完后设备需重启,所以可能实际用处不大):
IP,端口等配置如图所示,两边路由互通,现需要讲 HOSTA 的上联
流量镜像到 server,
1、 在 SwitchA 和 SwitchB 之间配置 GRE 隧道
将隧道模式改为 GRE
[~SwitchA] ip tunnel mode gre
[*SwitchA] commit
[~SwitchB] ip tunnel mode gre
[*SwitchB] commit
配置完后需要重启。
配置 GRE 通道
[~SwitchA] interface Tunnel 1
[*SwitchA-Tunnel1] tunnel-protocol gre
[*SwitchA-Tunnel1] ip address 10.1.4.1 24
[*SwitchA-Tunnel1] source 10.1.2.2
[*SwitchA-Tunnel1] destination 10.1.3.2
[*SwitchA-Tunnel1] quit
[*SwitchA] commit[~SwitchB] interface Tunnel 1
[*SwitchB-Tunnel1] tunnel-protocol gre
[*SwitchB-Tunnel1] ip address 10.1.4.2 24
[*SwitchB-Tunnel1] source 10.1.3.2
[*SwitchB-Tunnel1] destination 10.1.2.2
[*SwitchB-Tunnel1] quit
[*SwitchB] commit
2、 配置 SwitchA 的远程观察端口和镜像端口。
在 SwitchA 上 配 置 接 口 Tunnel 1 为 远 程 观 察 端 口 , 配 置 接
10GE1/0/1 为镜像端口。
[~SwitchA] observe-port 1 interface Tunnel 1
[*SwitchA] interface 10ge 1/0/1
[*SwitchA-10GE1/0/1] port-mirroring observe-port 1 inbound
[*SwitchA-10GE1/0/1] quit
[*SwitchA] commit
3、 配置 SwitchB 的本地观察端口和镜像端口。
在 SwitchB 上配置接口 10GE1/0/1 为本地观察端口,配置接口
10GE1/0/2 为镜像端口
[~SwitchB] observe-port 1 interface 10ge 1/0/1
[*SwitchB] interface 10ge 1/0/2
[*SwitchB-10GE1/0/2] port-mirroring observe-port 1 inbound
[*SwitchB-10GE1/0/2] quit
[*SwitchB] commit
三、华为 S2352 交换机端口镜像:
1、配置本地镜像
华为 S2352 设备配置本地镜像和华为 S9312 的配置是一样的,这里
不做赘述。
2、配置二层远程镜像
a).在 Source Switch 设备上配置需要远程镜像的接口和远程镜 像
VLAN(镜像端口不允许加入到远程镜像 VLAN)
执行命令 vlan vlan-id,创建 RSPAN VLAN 并进入 VLAN 视图。
执行命令 mac-address learning disable,关闭 MAC 地址学习功能。
执行命令 quit 返回系统视图。
执行命令 observe-port index interface interface-type interface-number
reflect-type vlan vlan-id,配置观察接口(也就是将镜像包发往远程目的
交换机的端口,也就是连中间交换机的端口)为反射类型接口并指定远
程镜像 VLAN。
执行命令 interface interface-type interface-number,进入远程镜像源
接口的接口视图。
执 行 命 令 port-mirroring to observe-port index { both | inbound |
outbound },配置接口镜像。
当需要同时监控多个接口的入方向或出方向的报文时,可以重复执
行步骤 6 和步骤 7。
b).在 Intermediate Switch 设备上透传远程镜像 VLAN
c).在 Destination Switch 设备上配置远程镜像的观察接口
先创建镜像 VLAN,并保证镜像 VLAN 的透传。
执行命令 interface interface-type interface-number,进入观察接口的接
口视图。
执行命令 port hybrid untagged vlan vlan-id,将观察接口配置为 Hybrid
相关推荐
2023年江西萍乡中考道德与法治真题及答案.doc
2012年重庆南川中考生物真题及答案.doc
2013年江西师范大学地理学综合及文艺理论基础考研真题.doc
2020年四川甘孜小升初语文真题及答案I卷.doc
2020年注册岩土工程师专业基础考试真题及答案.doc
2023-2024学年福建省厦门市九年级上学期数学月考试题及答案.doc
2021-2022学年辽宁省沈阳市大东区九年级上学期语文期末试题及答案.doc
2022-2023学年北京东城区初三第一学期物理期末试卷及答案.doc
2018上半年江西教师资格初中地理学科知识与教学能力真题及答案.doc
2012年河北国家公务员申论考试真题及答案-省级.doc
2020-2021学年江苏省扬州市江都区邵樊片九年级上学期数学第一次质量检测试题及答案.doc
2022下半年黑龙江教师资格证中学综合素质真题及答案.doc
