目录
端口镜像是指将经过指定端口的报文复制一份到另一个指定端口,便于业务监控和故障定位
端口类型
设备复制从镜像端口流经的报文,将复制的报文传送到指定的观察端口进行分析和监控
镜像端口
是指被监控的端口,镜像端口收发的报文将被复制一份到观察端口。
观察端口
是指连接监控设备的端口,用于将镜像端口复制过来的报文发送给监控设备。
镜像端口与观察端口的关系
可以将单个镜像端口的报文复制给多个观察端口
可以将多个镜像端口的报文复制给单个观察端口
可以将多个镜像端口的报文复制给多个观察端口
镜像方向
入方向:将镜像端口接收的报文复制到观察端口上。
出方向:将镜像端口发送的报文复制到观察端口上。
双向: 将镜像端口接收和发送的报文都复制到观察端口上。
观察端口位置
根据端口设备在网络中的位置,分为本地端口镜像和远程端口镜像
本地端口镜像
观察端口与监控设备直连,其转发过程如下
二层远端端口镜像
观察端口与监控设备通过一个二层网络相连,其转发过程如下
端口镜像实现方式
流镜像
流镜像是一种流行为
在设备上配置关于流镜像的流策略,应用在端口、Vlan或全局
将符合策略的报文复制到观察端口进行分析和监控
如果流策略应用在Vlan上,该Vlan与转发镜像报文的中间二层网络的Vlan不能相同
Vlan镜像
将指定Vlan内的所有活动接口的报文复制到观察端口
在二层远程观察端口场景下,主机所用的Vlan与转发镜像报文的中间二层网络的Vlan不能相同
MAC镜像
将Vlan内匹配指定源或目的MAC地址的报文复制到观察端口进行监控与分析
在二层远程观察端口场景下,主机所用的Vlan与转发镜像报文的中间二层网络的Vlan不能相同
配置端口镜像
配置本地观察端口
基于Vlan镜像
配置g0/0/1口为本地观察端口(编号为1)
observe-port 1 interface GigabitEthernet 0/0/1
配置Vlan镜像(将报文复制给编号为1的观察端口)
Vlan 20
mirroring to observe-port 1 inbound
基于接口镜像
配置g0/0/1口为本地观察端口(编号为1)
observe-port 1 interface GigabitEthernet 0/0/1
配置接口镜像(将报文复制给编号为1的观察端口)
Interface g0/0/2
port-mirroring to observe-port 1 inbound
或者在接口下通过acl来做一些限制(此接口下匹配2000的报文复制给编号为1的观察端口)
traffic-mirror inbound acl 2000 to observe-port 1
配置远程流镜像(基于流镜像)
配置g0/0/1口为远程观察端口(编号为1)
observe-port 1 interface GigabitEthernet 0/0/1 vlan 10
vlan 10表示远程观察端口会将镜像报文通过Vlan10发送到对端
注意:远程观察端口不需要再将端口加入到此Vlan10
创建流策略(将匹配acl 2000的报文复制到编号为1的观察端口)
traffic classifier vidos operator and
if-match acl 2000
traffic behavior vidos
mirroring to observe-port 1
traffic policy vidos
classifier vidos behavior vidos
接口应用流策略
interface g0/0/1
traffic-policy vidos inbound