镜像概念
定义
镜像是指将指定源的报文复制一份到目的端口。指定源被称为镜像源,目的端口被称为观察端口,复制的报文被称为镜像报文。
镜像可以在不影响设备对原始报文正常处理的情况下,将其复制一份,并通过观察端口发送给监控设备,从而判断网络中运行的业务是否正常。
镜像端口和观察端口
如图1所示,原始报文经过的端口被称为镜像端口;连接监控设备的端口被称为观察端口,用于将镜像报文发送给监控设备。根据监控设备在网络中位置的不同,可以将观察端口分为三类。
- 本地观察端口:与监控设备直连的端口被称为本地观察端口。此时的镜像被称为本地镜像。
- 二层远程观察端口:通过二层网络与监控设备相连的端口被称为二层远程观察端口。此时的镜像被称为二层远程镜像。
- 三层远程观察端口:通过三层网络与监控设备相连的端口被称为三层远程观察端口。此时的镜像被称为三层远程镜像。华为S系列盒式交换机不支持三层远程镜像。
观察端口专门用于镜像报文的转发,因此不要在上面配置其他业务,防止镜像报文与其他业务的数据报文在观察端口上同时转发会互相影响。
在设备上应用镜像功能时,如果镜像过多,会占用较多的设备内部转发带宽,影响其他业务转发。另外,如果镜像端口的带宽大于观察端口的带宽,比如,镜像端口的带宽是1000Mbit/s,观察端口的带宽是100Mbit/s,会导致观察端口因带宽不足而不能及时转发全部的镜像报文,发生丢包。
镜像源
镜像源可以是:
- 端口:将指定端口接收或发送的报文复制到观察端口,此时的镜像被称为端口镜像。
- VLAN:将指定VLAN内所有活动接口接收的报文复制到观察端口,此时的镜像被称为VLAN镜像。
- MAC地址:将指定VLAN内源MAC地址或目的MAC地址为指定MAC地址的报文复制到观察端口,此时的镜像被称为MAC镜像。
- 报文流:将符合指定规则的报文流复制到观察端口,此时的镜像被称为流镜像。
镜像方向
镜像方向是指将镜像端口指定方向的报文复制到观察端口,包括:
- 入方向:将镜像端口接收的报文复制到观察端口上。此时的镜像被称为入方向镜像。
- 出方向:将镜像端口发送的报文复制到观察端口上。此时的镜像被称为出方向镜像。
- 双向:将镜像端口接收和发送的报文都复制到观察端口上。
端口镜像
端口镜像是指将指定端口接收或发送的报文复制到观察端口。根据观察端口的不同,端口镜像分为本地端口镜像和二层远程端口镜像。
本地端口镜像
观察端口为本地观察端口的端口镜像,被称为本地端口镜像。如图1所示,本地观察端口将镜像端口复制来的报文转发到与其直连的监控设备。
二层远程端口镜像
观察端口为二层远程观察端口的端口镜像,被称为二层远程端口镜像。如图2所示,二层远程端口镜像中镜像报文的具体转发过程如下。
- 镜像端口将流经的原始报文复制到二层远程观察端口。
- 二层远程观察端口收到镜像端口复制过来的镜像报文,在原始报文VLAN标签(VLAN 10)外层再添加一层VLAN标签(VLAN 20),以便将镜像报文向中间二层网络转发。值得注意的是,这一步不需要通过端口加入VLAN来完成,是直接通过配置二层远程观察端口来实现的。
- SwitchC在接收到二层远程观察端口发来的镜像报文后,就将镜像报文向监控设备转发。为了实现这一步,需要将中间二层设备(SwitchC)与二层远程观察端口、监控设备相连的端口加入VLAN 20,保证SwitchB、SwitchC与监控设备间能够二层通信。
二层远程镜像中,在二层远程观察端口与监控设备之间的二层网络中,需要预留一个VLAN专门用于转发镜像流量,如图2中的VLAN 20,该VLAN被称为二层远程镜像传输VLAN。
- 配置镜像的交换机与监控设备之间的二层网络中的所有中间设备必须创建并配置相应接口加入该VLAN,以保证镜像报文能够通过该VLAN被泛洪到监控设备。
- 必须在所有中间设备上关闭该VLAN的MAC地址学习功能。
- 该VLAN不能和原始报文所属VLAN相同。
实验需求
如图中所示,某公司行政部通过S2与外部Internet通信,监控设备Server与S2直连。
现在希望通过Server对行政部访问Internet的流量进行监控。
配置思路
在S2进行如下配置,实现Server对所有行政部访问Internet的流量进行监控:
- 配置接口GE0/0/2为本地观察端口,负责向Server转发镜像报文。
- 配置接口GE0/0/1为镜像端口,将行政部访问Internet的流量复制一份到本地观察端口。
- 配置观察端口
# 在S2上配置接口GE0/0/2为本地观察端口。
<Huawei>system-view
Enter system view, return user view with Ctrl+Z.
[Huawei]sysname S2
[S2]undo info-center enable
Info: Information center is disabled.
[S2]observe-port 1 interface GigabitEthernet 0/0/2
2.配置镜像端口
# 在S2上配置接口GE0/0/1为镜像端口,将其入方向绑定到本地观察端口,即将镜像端口接收到的报文复制一份到本地观察端口。
[S2]interface GigabitEthernet 0/0/1
[S2-GigabitEthernet0/0/1]port-mirroring to observe-port 1 inbound
[S2-GigabitEthernet0/0/1]return
3.验证配置结果
# 查看观察端口的配置情况。
#查看镜像端口的配置情况。