XCM8800系列交换机本地端口镜像与ACL镜像功能配置与说明.pdfVIP

XCM8800 系列交换机本地端口镜像与 ACL 镜像功能配置与说明 文档说明： 端口镜像功能是大多数网络监控，排除故障的重要组成部分。依靠端口镜像功能，网络管理者能通过监测、下载、分析数据包 了解到网络情况，解决网络中存在的问题。 XCM88 系列交换机不仅提供了常用的端口镜像功能， 同时还能够通过 ACL 匹配需要分析的流量实现更细化的镜像功能， 大大 提高数据包分析的精度。 文档适用性： 本文档主要介绍 XCM8800 本地镜像功能，对于远程镜像功能有所涉及，但不作具体介绍。 镜像规则与限制： 1. 当关闭镜像功能时，所有的过滤器不能被配置 2. 要改变监控端口，首先要移除所有的过滤器 3. 不能镜像监控端口 4. 镜像配置被移除，当下列情况发生： o 删除一个 VLAN （对于所有基于 VLAN 的过滤） o 删除一个 VLAN 的端口（对于所有 VLAN ，基于端口的过滤） o 不配置一个插槽（ slot ）（对于在该插槽上面的所有基于端口的过滤） 5. 任何的镜像端口也可以为负载共享 （或链路聚合）而启用， 然而， 负载共享组的每个单独端口必须被明确配置为镜像。 6. 镜像过滤器不限制在一个模块上，可以在多个模块上起用。 7. 不能使用管理端口进行镜像 8. 如果你需要镜像的标签包是 1519 到 1522 字节，在 1 对多的镜像情况下， 需要启用 JUMBO 帧和 LOOPBACK 端口。 9. LOOPBACK 口是一个实际的物理端口，是专用于镜像端口，不能用于其它配置，当被指定时， LED 会发亮。 10. 由于某些限制，下面类型的包在使用出站 VLAN 将不能被出口镜像或者基于虚拟端口的镜像。 o CPU 产生的包 o 2 层多播流量 11. 当流量接近线速时，镜像速率可能下降，由于镜像是复制流量，当负载高时，可用带宽将优先用于常规流量，而不是 镜像流量。 基本镜像功能配置步骤与命令： 步骤 1：配置镜像模式 #configure mirroring mode [standard/enhanced] 标准模式下，当一个数据包匹配入站镜像过滤器和出站镜像过滤器时，只能镜像到一份数据包。 增强模式下，当一个数据包匹配入站镜像过滤器和出站镜像过滤器时，会同时镜像到两份数据包。在使用远程镜 像功能时，必须起用增强模式。 步骤 2 ：配置监控端口（流量副本传输到此端口） #enable mirroring to port M 镜像到一个端口 #enable mirroring to port-list X-Y loopback-port Z 镜像到多个端口， loopback 端口用于过渡流量使用，必须是模块上一个真实存在的物理端口，该端口被配置为 loopback 后， 灯会亮起。 步骤 3 ：配置被监控端口 (过滤器 ) #enable mirroring add [vlan name|port ] [ingress/egress] 基于 VLAN 配置镜像过滤器 ,后面跟 VLAN 的名字 基于端口配置镜像过滤器，后面跟 PORT 的号码 在入站方向上进行镜像监控，将流量送到监控口 在出站方向上进行镜像监控，将流量送到监控口 注意： 1、基于 VLAN 的镜像只能将被监控端口的入站的数据包送到镜像端口上。 2 、以上的 M ，X ，Y ，Z 等分别代表不同的物理端口号 配置实例： 我们尝试使用以上拓扑，对 PC1XCM8810PC2 设备的 ICMP 流量进行监控： 基本配置： 1. PC1 的 IP ：10.1.1.100 网关： 10.1.1.1 2. PC2 的 IP ：10.1.2.100 网关： 10.1.2.1 3. XCM8810 交换机起用三层交换特性，起用