镜像配置与管理
个人分类: HCSE——构建企业级交换网络
在日常网络维护中经常遇到网络性能不正常现象(如网络很卡、丢包严重、频繁断网等),会怀疑网络中有病毒在频繁发送广播报文,或者网络中某台主机遇到了不明攻击,或者网络中有用户进行非法的网络应用(如网上看视频、下载大容量文件等)等,此时最有效的手段就是对网络中的特定用户、协议、端口、VLAN中的流量寄信那个捕获,然后录用一些专门的工具软件进行分析。而这时首先需要做的第一件事就是在网络设备上配置好镜像功能,把要监控的流量复制一份到监控设备上,以便在监控设备捕获要监控的流量。
在华为S系列交换机中,“镜像”是这样描述的:在不影响报文正常处理流程的情况下,将镜像端口(源端口)的报文复制一份(并不是重定向原来的报文)到观察端口(目的端口),然后用户可以利用数据监控设备(如安装了Sniffer、Wireshark等数据分析软件的设备)来分析复制到观察端口的报文,进行网络监控和故障排除。
在华为S系列交换机中,镜像又分为“端口镜像”、“流镜像”、“VLAN镜像”和“MAC地址镜像”四大类。它们都有本地镜像和远程镜像之分,其中“端口镜像”和“流镜像”的远程镜像中又有二层远程镜像和三层远程镜像之分,而“VLAN镜像”和“MAC地址镜像”中的远程镜像只有二层远程镜像。
镜像基础
“镜像”是指将镜像端口(源端口)的报文复制一份到观察端口(目的端口),然后利用监控设备来观察、分析复制到观察端口上的报文,以实现网络监控和故障排除。涉及两个重要的概念——镜像端口和观察端口。
“镜像端口”是指被监控的端口,也称镜像源端口,从镜像端口流经的所有指定方向或匹配流分类规则的报文将被复制到观察端口。而“观察端口”是指连接监控设备的端口,也称镜像目的端口,用于输出从镜像端口复制过来的报文,从而可以使用户监控到需要被监控的报文。
一、基本镜像原理
镜像是在不影响报文正常处理流程的情况下,把镜像端口上的报文复制一份到观察端口的过程,所以它不是报文的重定向,数据原来的传输路径仍然不会改变,根据镜像端口的数量不同,又分为“1:1镜像”和“N:1镜像”两大类。
1:1镜像是指仅镜像一个端口上的报文到观察端口,即此时为一个镜像端口、一个观察端口。如下图,镜像端口B的报文被复制到观察端口C。
N:1镜像是指镜像多个端口的报文到观察端口,即此时为多个镜像端口,一个观察端口,表示多个镜像端口上的报文可以镜像到同一个观察端口上。如下图,镜像端口B和镜像端口D的报文分别被复制了一份到观察端口C。
二、镜像分类
华为S系列交换机中,总体支持以下几种类型的镜像:端口镜像、流镜像、VLAN镜像和MAC地址镜像。但在华为S系列交换机的所有类型镜像中,“镜像端口”与“观察端口”只能在同一台交换机上配置。
除了端口镜像可以监控入方向或出方向,或同时监控入方向和出方向外,其他类型镜像都仅可监控入方向的报文。当不再需要对报文进行监控时,建议取消镜像配置,以减少系统开销。
1、端口镜像
“端口镜像”也就是“基于端口的镜像”,是指复制一份从镜像端口流经的报文,然后传送到指定的观察端口的过程。
因为是基于端口的镜像,所以端口镜像可以监控的报文可以是任意方向,可以选择以下3种:
(1)入方向:仅对流入端口的报文进行镜像。
(2)出方向:仅对从端口上流出的报文进行镜像。
(3)双向:同时对流入端口和从端口上流出的报文进行镜像。
端口镜像分为本地端口镜像和远程端口镜像。“本地端口镜像”是指监控设备与观察端口直接相连,如下图:
“远程端口镜像”是指监控设备与观察端口不是直接相连。在这里又分两种情况。
(1)二层远程端口镜像RSPAN(RemoteSwitched Port Analyzer,远程交换端口分析器):监控设备与观察端口所连监控设备之间通过二层网络相连。被监控设备将流经镜像端口的报文封装在镜像VLAN中,然后通过被监控设备的观察端口在远程镜像VLAN中广播,在将报文转发至监控设备,如下图:
在二层远程端口镜像中(其他镜像类型的二层远程镜像也一样),“观察端口”和监控设备直接连接的交换机端口都必须同时加入到镜像VLAN中,但“镜像端口”不能加入VLAN中。
另外,从监控设备所连接的交换机到观察端口的所有二层设备相连的Trunk或带标签的Hybrid端口必须允许镜像VLAN通过,以实现二层互通。
(2)三层远程端口镜像ERSPAN(EncapsulatedRemote SPAN,封装的远程交换端口分析器):监控设备与观察端口所在设备之间通过三层网络相连。被监控设备将流经镜像端口的报文以GRE协议进行封装,然后GRE隧道通过三层IP网络传送到监控设备,如下图:
隧道起始于被监控设备,终止于监控设备所连三层设备,GRE报文源地址为被监控主机IP地址,目的地址为监控设备IP地址。首先要确保三层网络路由畅通。
2、流镜像
“流镜像”也就是“基于流的镜像”,就是根据用户配置的策略,将镜像端口上指定的入方向(不支持出方向的流镜像)报文复制到观察端口进行分析和监控。在流镜像中,要在镜像端口入方向应用包含流镜像行为的流策略。如果从镜像端口流经的报文匹配流分类规则,则将被复制到观察端口如下图:
流镜像也分本地流镜像和远程流镜像两大类,而远程流镜像也分二层远程流镜像和三层远程流镜像。本地流镜像、二层远程流镜像和三层远程流镜像的网络结构见上面各图。但三层远程流镜像S7700/9300/9300E/9700系列交换机支持。
3、VLAN镜像
VLAN镜像也就是“基于VLAN的镜像”,是指将指定VLAN内所有活动接口的入方向(不支持出方向的VLAN镜像)上的报文镜像到观察端口。用户可以对某个VLAN或者某些VLAN内的报文进行监控。
VLAN镜像仅分本地VLAN镜像和二层远程VLAN镜像两类,无三层远程VLAN镜像。
4、MAC地址镜像
MAC地址镜像即“基于MAC地址的镜像”,是指将匹配源或目的MAC地址的入方向(不支持出方向的MAC地址镜像)报文镜像到观察端口。MAC地址镜像提供了一种更加精确的镜像方式,用户可以对网络中特定设备的报文进行监控。
MAC地址镜像也仅分为本地MAC地址镜像和二层远程MAC地址镜像两类,无三层远程MAC地址镜像。
三、镜像特性的产品支持
1、S2700/3700系列交换机的镜像特性支持。
(1)S2700SI和S2710SI系列不支持基于流、VLAN和MAC地址的远程镜像(仍支持这些类型的本地镜像和基于端口的本地、远程镜像)。其他S2700/3700系列同时支持基于端口、流、VLAN和MAC地址的本地和远程镜像。
(2)S2700和S3700系列均支持将多个端口的入方向和出方向报文镜像到一个观察端口,并且支持两个方向的报文镜像到同一观察端口。但不支持一条流同时镜像到多个观察接口。
(3)S3700、S2700-52P-EI和S2700-52P-PWR-EI系列支持配置4个观察端口;其他S2700系列仅支持配置1个观察端口。
2、S5700/6700系列交换机的镜像特性支持
(1)S5700SI不支持基于流、VLAN和MAC地址的远程镜像(但仍支持这些类型的本地镜像和基于端口的本地、远程镜像)。其他系列均同时支持基于端口、流、VLAN和MAC地址的本地和远程镜像。
(2)S5700和S6700系列支持将多个端口的入方向和出方向报文镜像到一个观察端口,并且支持两个方向的报文镜像到同一观察端口。但不支持一条流同时镜像到多个观察接口。
(3)S5700HI和S5710EI系列支持配置两个观察端口;S5700EI系列支持配置4个观察端口;
3、S7700/9300/9300E/9700系列交换机
(1)仅支持端口镜像和流镜像。
(2)设备支持跨板镜像,观察端口和镜像端口可以配置在同一台设备的不同接口板上。
(3)设备可以配置8个观察端口,支持将一个端口的报文镜像到多个观察端口,但镜像端口的一个方向的流量只能镜像到一个观察端口上。
(4)设备支持将多个端口的入方向和出方向报文镜像到一个观察端口,并且支持连个方向的报文镜像到同一观察端口。
(5)设备每块单板最多可以同时运用3个观察端口,其中两个观察端口用于镜像端口入方向流量,一个观察端口用于镜像端口出方向流量。同一块单板的端口出方向流量只能镜像到同一个观察端口。不支持对镜像报文进行再次镜像。
端口镜像配置与管理
端口镜像是基于端口的镜像,可以对流经端口的入方向、出方向的报文进行单独镜像,或者两个方向的报文同时进行镜像。端口镜像又分为本地端口镜像和远程端口镜像两种,而远程端口镜像又分为二层远程端口镜像和三层远程端口镜像。
配置好后,可通过displayobserve-port任意视图命令查看镜像的观察端口;通过display port-mirroring任意视图命令查看镜像的配置信息。
一、配置本地端口镜像
通过配置本地端口镜像,可以将端口流经的报文复制到与本地观察端口连接的监控设备进行分析和监控。
1、配置本地观察端口
在本地镜像中,监控设备与观察端口是直接相连的,所以观察端口就是监控设备所连接的本地交换机上的端口。
2、配置镜像端口
镜像端口就是要被监控流量的端口,可以是以太网端口或Eth-Trunk端口,可以配置多个镜像端口到同一个观察端口的镜像。如果配置Eth-Trunk为镜像端口,则不能在单独配置其他成员接口为镜像端口。相反,如果要配置Eth-Trunk口下某成员接口为镜像端口,则不能在配置该成员对应的Eth-Trunk口为镜像端口。
二、配置远程端口镜像
通过配置远程端口镜像,可以将端口流经的报文复制到远端监控设备进行分析和监控。远端端口镜像又分二层远程端口镜像和三层远程端口镜像,只有S7700/9300/9300E/9700系列支持三层远程端口镜像。
远程端口镜像的主要配置任务如下,配置前,需要确保观察端口所在设备与监控设备之间二层或三层网络互通。
1、配置远程观察端口
远程镜像中,监控设备与观察端口所在设备之间跨越二层或三层网络相连。设备将镜像报文封装VLAN或GRE IP报文,然后通过观察端口在远程镜像VLAN中广播,将报文转发至监控设备。
2、配置镜像端口
镜像端口可以是以太网端口或Eth-Trunk端口。同样,如果配置Eth-Trunk口为镜像端口,则不能再单独配置其成员接口为镜像端口。相反,如果配置Eth-Trunk口下某成员接口为镜像端口,则不能再配置Eth-Trunk口为镜像端口。
示例:配置Gigabitethernet1/0/2接口为二层远程镜像观察端口,接口所属VLAN为2。
<Huawei>system-view
[Huawei]observe-port 1 interfacegigabitethernet1/0/2 vlan 2
示例:配置Gigabitethernet1/0/1接口为三层远程镜像观察端口,目的IP为1.1.1.1,源IP为2.2.2.2。
<Huawei>system-view
[Huawei]oberve-port 2 interfacegigabitethernet 1/0/1 destination-ip 1.1.1.1 source-ip 2.2.2.2
三、本地端口镜像配置示例
如上拓扑,HostA通过Gigabitethernet1/0/1接口接入SwitchA。监控设备Server直连在SwitchA的接口Gigabitethernet1/0/2上。用户希望通过监控设备Server对HostA发送的报文进行监控。
本地端口进行配置很简单,分别配置观察端口和镜像端口。观察端口为SwitchA的Gigabitethernet1/0/2,镜像端口为SwitchA的Gigabitethernet1/0/1接口。
(1)在SwitchA上配置Gigabitethernet1/0/2接口为观察端口。
<Huawei>system-view
[Huawei]sysname SwitchA
[SwitchA]observe-port 1 interfacegigabitethernet 1/0/2
(2)在SwitchA上配置Gigabitethernet1/0/1接口为镜像端口,以监控HostA发送的报文。
[SwitchA]interface Gigabitethernet 1/0/1
[SwitchA-Gigabitethernet1/0/1]port-mirroringto observe-port 1 inbound
[SwitchA-Gigabitethernet1/0/1]quit
配置好后,通过displayobserv-port查看观察端口的配置情况
四、二层远程端口镜像配置示例
如上拓扑所示,HostA通过Gigabitethernet1/0/2接口接入SwitchA。监控设备Server接在SwitchC的Gigabitethernet1/0/1接口上。SwitchA与SwitchC通过二层网络互连。用户希望通过监控设备Server对HostA发送的报文进行远程监控。
二层远程端口镜像与本地端口镜像配置差不多,主要不同是需要事先配置好各二层交换机端口中的VLAN属性,以实现各二层设备间二层可达。另外在二层网络各交换机上创建镜像VLAN,把观察端口以及监控设备相连的交换机端口加入镜像VLAN中,同时要确保二层网络传输中各交换机相连的Trunk端口允许镜像VLAN通过。
(1)配置各交换机接口类型,并按图中所示加入对应的VLAN中,使各设备间二层可达。
SwitchA上的配置:
<Huawei>system-view
[Huawei]sysname SwitchA
[SwitchA]vlan batch 2 to 3 #-- VLAN2作为镜像VLAN
[SwitchA]interface gigabitethernet 1/0/1
[SwitchA-Gigabitethernet1/0/1]portlink-type trunk
[SwitchA-Gigabitethernet1/0/1]port trunkallow-pass vlan 2 #--在观察端口上允许镜像VLAN2通过
[SwitchA-Gigabitethernet1/0/1]quit
[SwitchA]interface gigabitethernet 1/0/2
[SwitchA-Gigabitethernet1/0/2]portlink-type access
[SwitchA-Gigabitethernet1/0/2]port defaultvlan 3 #-- 把镜像端口加入VLAN3中
[SwitchA-Gigabitethernet1/0/2]quit
SwitchB上的配置
<Huawei>system-view
[Huawei]sysname SwitchB
[SwitchB]vlan 2
[SwitchB-Vlan2]quit
[SwitchB]interface gigabitethernet 1/0/1
[SwitchB-Gigabitethernet1/0/1]portlink-type trunk
[SwitchB-Gigabitethernet1/0/1]port trunkallow-pass vlan 2 #--在二层设备间的链路上允许镜像VLAN2通过
[SwitchB-Gigabitethernet1/0/1]quit
[SwitchB]interface gigabitethernet 1/0/2
[SwitchB-Gigabitethernet1/0/2]portlink-type trunk
[SwitchB-Gigabitethernet1/0/2]port trunkallow-pass vlan 2#--在二层设备间的链路上允许镜像VLAN2通过
[SwitchB-Gigabitethernet1/0/2]quit
SwitchC上的配置
<Huawei>system-view
[Huawei]sysname SwitchC
[SwitchC]vlan 2
[SwitchC-Vlan2]quit
[SwitchC]interface gigabitethernet 1/0/1
[SwitchC-Gigabitethernet1/0/2]portlink-type access #--把监控设备相连端口加入镜像VLAN中
[SwitchC-Gigabitethernet1/0/2]port defaultvlan 2
[SwitchC-Gigabitethernet1/0/2]quit
[SwitchC]interface gigabitethernet 1/0/2
[SwitchC-Gigabitethernet1/0/2]portlink-type trunk
[SwitchC-Gigabitethernet1/0/2]port trunkallow-pass vlan 2 #--在二层设备间的链路上允许镜像VLAN2通过
[SwitchC-Gigabitethernet1/0/2]quit
(2)在SwitchA上配置Gigabitethernet1/0/1接口为远程观察端口,并且指定通过镜像VLAN2广播。
[SwitchA]oberve-port 1 interfacegigabitethernet 1/0/1 vlan 2
(3)在SwitchA上配置Gigabitethernet1/0/2接口为镜像端口,并监控入方向的报文。
[SwitchA]interface gigabitethernet 1/0/2
[SwitchA-Gigabitethernet1/0/2]port-mirroringto observe-port 1 inbound
[SwitchA-Gigabitethernet1/0/2]quit
五、三层远程端口镜像配置示例
如上拓扑,HostA通过Gigabitethernet1/0/2接口接入SwitchA。监控设备Server连接在SwitchB的Gigabitethernet1/0/2接口上。HostA与Server之间跨越三层网络且路由可达。现希望通过监控设备Server对HostA发送的报文进行远程监控。
假设已经配置好了三层网络间的路由,三层远程端口镜像的配置就很简单,配置好观察端口和镜像端口就行了。
(1)在SwitchA上配置Gigabitethernet1/0/1接口为三层远程观察端口,并指定封装的GRE报文报头中的目的IP地址为Server的IP地址,源IP地址为被监控主机HostA的IP地址。
<Huawei>system-view
[Huawei]sysname SwitchA
[SwitchA]observe-port 1 interfacegigabitethernet 1/0/1 destination-ip 10.2.1.1 source-ip 10.1.1.1
(2)在SwitchA上配置Gigabitethernet1/0/2接口为镜像端口,并指定仅监控该端口上的入方向报文。
[SwitchA]interface gigabitethernet 1/0/2
[SwitchA-Gigabitethernet1/0/2]port-mirroringto observe-port 1 inbound
[SwitchA-Gigabitethernet1/0/2]quit
