华为交换机端口镜像配置整理（下）第九天

Posted 2023-05-02

参考技术A 1、配置流镜像

流镜像是指将设备、端口或者VLAN内收、发的指定类型报文复制到观察端口上，监控设备只对指定类型报文进行监测。有两种配置方式，分别为基于ACL和基于MQC(即复杂流分类)。

基于ACL的流镜像:支持匹配的报文类型少，且只支持入方向(收到报文方向)的流镜像。

（1）配置观察端口,配置与监控设备直连的本地观察端口GE1/0/10

脚本：

system-view

observe-port 1 interface gigabitethernet 1/0/10

（2）创建ACL，创建二层ACL，配置的规则是匹配802.1p优先级为6的报文。

脚本：

acl 4002

rule permit 8021p 6

quit

（3）配置流镜像。

将整个设备所有端口入方向802.1p优先级为6的报文复制到观察端口GE1/0/10。

脚本：

traffic-mirror inbound acl 4002 to observe-port 1

将vlan 20下所有端口入方向802.1p优先级为6的报文复制到观察端口GE1/0/10。

脚本：

traffic-mirror vlan 10 inbound acl 4002 to observe-port 1

将端口GE2/0/10入方向802.1p优先级为6的报文复制到观察端口GE1/0/10。

脚本：

interface gigabitethernet 2/0/10

traffic-mirror inbound acl 4002 to observe-port 1

基于MQC的流镜像:支持匹配的报文类型多，入方向、出方向（发送报文方向）的流镜像都支持。

（1）配置观察端口，配置与监控设备直连的本地观察端口GE1/0/10。

脚本：

system-view

observe-port 1 interface gigabitethernet 1/0/10

（2）创建流分类，创建流分类c1，并配置流分类规则是匹配802.1p优先级为6的报文。

脚本：

traffic classifier c1

if-match 8021p 6

quit

（3）创建动作是镜像的流行为，创建流行为b1,并配置动作为流镜像。

脚本：

traffic behavior b1

mirroring to observe-port 1

quit

（4）创建流策略，并将流分类和流行为绑定到流策略上，创建流策略p1，并将之前配置的流分类和流行为绑定到流策略p1上。

脚本：

traffic policy p1

classifier c1 behavior b1

quit

（5）应用流策略。

将整个设备所有端口入方向802.1p优先级为6的报文复制到观察端口GE1/0/10。

脚本：

traffic-policy p1 global inbound

将vlan 20下所有端口入方向802.1p优先级为6的报文复制到观察端口GE1/0/10。

脚本：

vlan 20

traffic-policy p1 inbound

将端口GE2/0/10入方向802.1p优先级为6的报文复制到观察端口GE1/0/10。

脚本：

interface gigabitethernet 2/0/10

traffic-policy p1 inbound

2、删除镜像配置

在使用完镜像功能后，删除镜像配置的操作如下：

（1）使用命令 display current-configuration  ,查看设备当前镜像的配置。

（2）在镜像端口下使用 undo port-mirroring ，删除观察端口与镜像端口的绑定关系，恢复镜像端口为普通端口。

举例：

system-view

interface gigabitethernet 1/0/10

undo port-mirroring to observe-port 1 inbound

quit

（3）在系统视图下使用命令 undo observe-port ，删除观察端口。

举例：

undo observe-port 1

说明：只有先执行第2步，即先删除观察端口与镜像端口的绑定关系，才能删除观察端口。

华为交换机端口镜像配置

端口镜像

通过配置镜像功能，可以将报文复制到特定的目的地进行分析，以进行网络监控和故障定位。

通俗来讲，镜像是指将经过指定端口（源端口或者镜像端口）的报文复制一份到另一个指定端口（目的端口或者观察端口）。

如下图所示：

在华为中，交换机上做镜像的网口叫做镜像端口，连接监控设备的接口叫做观察口。

一般端口镜像分为1对1 ，1对多，多对1等情况，下面通过简单的案例来进行学习：

1、1对1本地端口镜像（一台监控设备连接一个镜像端口）

测试拓扑图如下所示：

现在我要把LSW1上GE0/0/2接口的流量镜像到GE0/0/1接口上，配置如下：

observe-port 1 interfaceGigabitEthernet0/0/2   #观察口

interface GigabitEthernet0/0/1            #镜像口

port-mirroring to observe-port 1 both        #镜像上下行流量 

可以在设备上通过dis cu命令来查看配置：

此时，我们在PC1上设置开始不停的往LSW1发包：

然后在LSW1上的GE0/0/1口进行抓包，如果有对应的数据的话，说明镜像是OK的：

我们可以清晰的看到由源地址10.10.10.10发往10.10.10.1的数据包，说明镜像做的是正常的。

2、多对一端口本地端口镜像（多个监控设备同时监控一个端口）

实验拓扑图如下所示：

由于在配置的时候发生了一个小的插曲，如下：

也就是说设备的每一个插槽只能配置一个观察口，而模拟器上面又不能自助式的配添加插槽，所以这里只把对应的配置列出来：

方法一：（单个配置观察端口）

observe-port 1 interfaceGigabitEthernet0/0/1          #观察口1

observe-port 2 interfaceGigabitEthernet0/0/3          #观察口2

interface GigabitEthernet0/0/2                   #镜像口

port-mirroring to observe-port 1 both               #镜像上下行流

port-mirroring to observe-port 2 both              #镜像上下行流

方法二：（批量配置观察端口）

observe-port 1 interface-range G 0/0/X to G0/0/Y        #端口X到Y为观察口

interface GigabitEthernet1/0/1                    #镜像口

port-mirroring to observe-port 1 both               #镜像上下行流

3、一对多端口镜像配置（一个监控设备监控多个端口）

测试拓扑图如下所示：

配置示例：

observe-port 1 interfaceGigabitEthernet1/0/4           #观察口

interfaceGigabitEthernet1/0/1                     #镜像口1

port-mirroring to observe-port 1 inbound/outbound/both

interfaceGigabitEthernet1/0/2                     #镜像口2

port-mirroring to observe-port 1inbound/outbound/both

interfaceGigabitEthernet1/0/3                     #镜像口3

port-mirroring to observe-port 1inbound/outbound/both

注意：

镜像可绑定的端口数量要根据设备、或者板卡的型号而定，不同设备不同板卡都不同。在V200R005以前的版本，只有E系列、FA系列、LE0DX12XSA00、LH2D2X12SSA0单板支持1：N端口镜像，而且整机最多支持入方向1：2端口镜像。V200R003及以前版本不支持1：N流镜像。

本文出自 “李福林的个人博客” 博客，请务必保留此出处http://lifulin.blog.51cto.com/6904692/1902003