H3C交换机端口镜像配置方法

Posted 2023-05-01

参考技术A

H3C交换机端口镜像配置方法

　　交换机将数据从一个端口转发至到另一个端口的处理方式称为交换模式。不少企业使用的交换机是H3C交换机，那么你知道H3C交换机的端口镜像配置方法吗?下面跟我一起来看看吧!

　　一、端口镜像概念：

　　Port Mirror(端口镜像)是用于进行网络性能监测。可以这样理解：在端口A 和端口B 之间建立镜像关系，这样，通过端口A 传输的数据将同时复制到端口B ，以便于在端口B 上连接的分析仪或者分析软件进行性能分析或故障判断。

　　二、端口镜像配置

　　『环境配置参数』

　　1. PC1接在交换机E0/1端口，IP地址1.1.1.1/24

　　2. PC2接在交换机E0/2端口，IP地址2.2.2.2/24

　　3. E0/24为交换机上行端口

　　4. Server接在交换机E0/8端口，该端口作为镜像端口

　　『组网需求』

　　1. 通过交换机端口镜像的功能使用server对两台pc的业务报文进行监控。

　　2. 按照镜像的不同方式进行配置：

　　1) 基于端口的镜像

　　2) 基于流的镜像

　　2 数据配置步骤

　　『端口镜像的数据流程』

　　基于端口的镜像是把被镜像端口的进出数据报文完全拷贝一份到镜像端口，这样来进行流量观测或者故障定位。

　　【3026等交换机镜像】

　　S2008/S2016/S2026/S2403H/S3026等交换机支持的都是基于端口的镜像，有两种方法：

　　方法一

　　1. 配置镜像(观测)端口

　　[SwitchA]monitor-port e0/8

　　2. 配置被镜像端口

　　[SwitchA]port mirror Ethernet 0/1 to Ethernet 0/2

　　方法二

　　1. 可以一次性定义镜像和被镜像端口

　　[SwitchA]port mirror Ethernet 0/1 to Ethernet 0/2 observing-port Ethernet 0/8

　　【8016交换机端口镜像配置】

　　1. 假设8016交换机镜像端口为E1/0/15，被镜像端口为E1/0/0，设置端口1/0/15为端口镜像的观测端口。

　　[SwitchA] port monitor ethernet 1/0/15

　　2. 设置端口1/0/0为被镜像端口，对其输入输出数据都进行镜像。

　　[SwitchA] port mirroring ethernet 1/0/0 both ethernet 1/0/15

　　也可以通过两个不同的端口，对输入和输出的数据分别镜像

　　1. 设置E1/0/15和E2/0/0为镜像(观测)端口

　　[SwitchA] port monitor ethernet 1/0/15

　　2. 设置端口1/0/0为被镜像端口，分别使用E1/0/15和E2/0/0对输入和输出数据进行镜像。

　　[SwitchA] port mirroring gigabitethernet 1/0/0 ingress ethernet 1/0/15

　　[SwitchA] port mirroring gigabitethernet 1/0/0 egress ethernet 2/0/0

　　『基于流镜像的数据流程』

　　基于流镜像的交换机针对某些流进行镜像，每个连接都有两个方向的数据流，对于交换机来说这两个数据流是要分开镜像的。

　　【3500/3026E/3026F/3050】

　　〖基于三层流的镜像〗

　　1. 定义一条扩展访问控制列表

　　[SwitchA]acl num 100

　　2. 定义一条规则报文源地址为1.1.1.1/32去往所有目的地址

　　[SwitchA-acl-adv-101]rule 0 permit ip source 1.1.1.1 0 destination any

　　3. 定义一条规则报文源地址为所有源地址目的地址为1.1.1.1/32

　　[SwitchA-acl-adv-101]rule 1 permit ip source any destination 1.1.1.1 0

　　4. 将符合上述ACL规则的报文镜像到E0/8端口

　　[SwitchA]mirrored-to ip-group 100 interface e0/8

　　〖基于二层流的镜像〗

　　1. 定义一个ACL

　　[SwitchA]acl num 200

　　2. 定义一个规则从E0/1发送至其它所有端口的数据包

　　[SwitchA]rule 0 permit ingress interface Ethernet0/1 egress interface Ethernet0/2

　　3. 定义一个规则从其它所有端口到E0/1端口的数据包

　　[SwitchA]rule 1 permit ingress interface Ethernet0/2 egress interface Ethernet0/1

　　4. 将符合上述ACL的数据包镜像到E0/8

　　[SwitchA]mirrored-to link-group 200 interface e0/8

　　【5516/6506/6503/6506R】

　　目前该三款产品支持对入端口流量进行镜像

　　1. 定义镜像端口

　　[SwitchA]monitor-port Ethernet 3/0/2

　　2. 定义被镜像端口

　　[SwitchA]mirroring-port Ethernet 3/0/1 inbound

　　【补充说明】

　　1. 镜像一般都可以实现高速率端口镜像低速率端口，例如1000M端口可以镜像100M端口，反之则无法实现

　　2. 8016支持跨单板端口镜像端口镜像配置

　　『环境配置参数』

　　1. PC1接在交换机E0/1端口，IP地址1.1.1.1/24

　　2. PC2接在交换机E0/2端口，IP地址2.2.2.2/24

　　3. E0/24为交换机上行端口

　　4. Server接在交换机E0/8端口，该端口作为镜像端口

　　『组网需求』

　　1. 通过交换机端口镜像的功能使用server对两台pc的业务报文进行监控。

　　2. 按照镜像的不同方式进行配置：

　　1) 基于端口的镜像

　　2) 基于流的镜像

　　2 数据配置步骤

　　『端口镜像的数据流程』

　　基于端口的镜像是把被镜像端口的进出数据报文完全拷贝一份到镜像端口，这样来进行流量观测或者故障定位。

　　【3026等交换机镜像】

　　S2008/S2016/S2026/S2403H/S3026等交换机支持的都是基于端口的镜像，有两种方法：

　　方法一

　　1. 配置镜像(观测)端口

　　[SwitchA]monitor-port e0/8

　　2. 配置被镜像端口

　　[SwitchA]port mirror Ethernet 0/1 to Ethernet 0/2

华为交换机端口镜像配置

端口镜像

通过配置镜像功能，可以将报文复制到特定的目的地进行分析，以进行网络监控和故障定位。

通俗来讲，镜像是指将经过指定端口（源端口或者镜像端口）的报文复制一份到另一个指定端口（目的端口或者观察端口）。

如下图所示：

在华为中，交换机上做镜像的网口叫做镜像端口，连接监控设备的接口叫做观察口。

一般端口镜像分为1对1 ，1对多，多对1等情况，下面通过简单的案例来进行学习：

1、1对1本地端口镜像（一台监控设备连接一个镜像端口）

测试拓扑图如下所示：

现在我要把LSW1上GE0/0/2接口的流量镜像到GE0/0/1接口上，配置如下：

observe-port 1 interfaceGigabitEthernet0/0/2   #观察口

interface GigabitEthernet0/0/1            #镜像口

port-mirroring to observe-port 1 both        #镜像上下行流量 

可以在设备上通过dis cu命令来查看配置：

此时，我们在PC1上设置开始不停的往LSW1发包：

然后在LSW1上的GE0/0/1口进行抓包，如果有对应的数据的话，说明镜像是OK的：

我们可以清晰的看到由源地址10.10.10.10发往10.10.10.1的数据包，说明镜像做的是正常的。

 

2、多对一端口本地端口镜像（多个监控设备同时监控一个端口）

实验拓扑图如下所示：

由于在配置的时候发生了一个小的插曲，如下：

也就是说设备的每一个插槽只能配置一个观察口，而模拟器上面又不能自助式的配添加插槽，所以这里只把对应的配置列出来：

 

方法一：（单个配置观察端口）

observe-port 1 interfaceGigabitEthernet0/0/1          #观察口1

observe-port 2 interfaceGigabitEthernet0/0/3          #观察口2

interface GigabitEthernet0/0/2                   #镜像口

port-mirroring to observe-port 1 both               #镜像上下行流

port-mirroring to observe-port 2 both              #镜像上下行流

方法二：（批量配置观察端口）

observe-port 1 interface-range G 0/0/X to G0/0/Y        #端口X到Y为观察口

interface GigabitEthernet1/0/1                    #镜像口

port-mirroring to observe-port 1 both               #镜像上下行流

 

3、一对多端口镜像配置（一个监控设备监控多个端口）

测试拓扑图如下所示：

配置示例：

observe-port 1 interfaceGigabitEthernet1/0/4           #观察口

interfaceGigabitEthernet1/0/1                     #镜像口1

port-mirroring to observe-port 1 inbound/outbound/both

interfaceGigabitEthernet1/0/2                     #镜像口2

port-mirroring to observe-port 1inbound/outbound/both

interfaceGigabitEthernet1/0/3                     #镜像口3

port-mirroring to observe-port 1inbound/outbound/both

注意：

镜像可绑定的端口数量要根据设备、或者板卡的型号而定，不同设备不同板卡都不同。在V200R005以前的版本，只有E系列、FA系列、LE0DX12XSA00、LH2D2X12SSA0单板支持1：N端口镜像，而且整机最多支持入方向1：2端口镜像。V200R003及以前版本不支持1：N流镜像。