h3cs5500端口镜像配置.docVIP

第1章 端口镜像配置 1.1 端口镜像简介 端口镜像是将指定端口的报文复制一份到镜像目的端口，镜像目的端口会与数据 监测设备相连，用户利用这些数据监测设备来分析复制到目的端口的报文，进行 网络监控和故障排除。 图 1-1 端口镜像示意图 1.1.1 端口镜像的分类 端口镜像分为本地端口镜像和远程端口镜像两种镜像方式： 本地端口镜像是指将设备的一个或多个端口（源端口）的报文复制到本设 备的一个监视端口（目的端口），用于报文的监视和分析。其中，源端口和目的 端口必须在同一台设备上。 远程端口镜像突破了源端口和目的端口必须在同一台设备上的限制，使源 端口和目的端口间可以跨越多个网络设备。目前，远程端口镜像功能可以穿越二 层网络，但无法穿越三层网络。 1.1.2 端口镜像的实现方式 端口镜像通过镜像组的方式实现，镜像组可以分为本地镜像组、远程源镜像组和 远程目的镜像组。下面将分别介绍两类端口镜像的实现方式。 1. 本地端口镜像 本地端口镜像通过本地镜像组的方式实现。 源端口和目的端口在同一个本地镜像组中，设备将源端口的报文复制一份并转发 到目的端口。 2. 远程端口镜像 远程端口镜像通过远程源镜像组和远程目的镜像组互相配合的方式实现。 远程端口镜像的应用如图1-2所示。 图 1-2 远程端口镜像应用示意图 图中各设备的作用如下： 源设备：源端口所在的设备，用户需要在源设备上创建远程源镜像组。本 设备负责将源端口的报文复制一份，然后通过出端口将报文在远程镜像 VLAN 中 进行广播，传输给中间设备或目的设备。 中间设备：网络中处于源设备和目的设备之间的设备。本设备负责将镜像 报文传输给下一个中间设备或目的设备。如果源设备与目的设备直接相连，则不 存在中间设备。用户需要确保远程镜像 VLAN 内源设备到目的设备的二层互通性。 目的设备：远程镜像目的端口所在的设备，用户需要在目的设备上创建远 程目的镜像组。目的设备收到报文后，比较报文的 VLAN ID 和远程目的镜像组的 远程镜像 VLAN 是否相同，如果相同，则将该报文通过镜像目的端口转发给监控 设备。 1.1.3 端口镜像支持的其他功能 镜像组还支持一个目的端口监视多个源端口的功能。 1.2 配置本地端口镜像 配置本地端口镜像时，用户首先要创建一个本地镜像组，然后为本地镜像组配置 源端口和目的端口。 表 1-1 配置本地端口镜像 操作 命令 说明 进入系统视图 view - system- 创建本地镜像组 mirroring-group group-id local 必选 mirroring-group group-id 为 镜 像 组 配 置 源 端 口 在系统视 图下配置 源端口 在端口视 图下配置 源端口 mirroring-port mirroring-port-list { inbound | outbound | both } interface interface-type interface-number [ mirroring-group group-id ] mirroring-port { inbound | outbound | both } 二者必选其一 用户可以在系统视 图下同时配置多个 源端口，也可以在具 体的端口视图下配 置源端口，两种视图 下的配置效果相同 quit 为 在系统视 镜 图下配置 像 目的端口 mirroring-group group-id monitor-port monitor-port-id 组 二者必选其一 interface interface-type 配 interface-number 置 在端口视 两种视图下的配置 目 的 端 口 图下配置 目的端口 [ mirroring-group monitor-port group-id ] 效果相同 说明： 本地镜像组需要配置源端口、目的端口才能生效。 建议用户不要在目的端口上开启 STP、RSTP或 MSTP，否则可能 会影响镜像功能的正常使用。 建议本地镜像目的端口不用做其他用途，仅用于端口镜像。 源端口和目的端口不能是现有镜像组的成员端口。 指定的镜像组必须预先创建，一个镜像组只能配置一个目的端 口。 1.3 配置远程端口镜像 配置远程端口镜像时，用户需要在两台设备上分别配置远程源镜像组和远程目的 镜像组。 1.3.1 配置远程源镜像组 远程源镜像组需要配置源端口、出端口以及远程镜像 VLAN。 表 1-2 配置远程源镜像组 操作 命令 说明 进入系统视图 view - system- 创建远程源镜像组 mirroring-group group-id remote-source 必选 为 镜 像 组 配 置 源 端 口 在系统视 图下配置 源