目录
应用场景
功能简介
一、组网需求
二、组网拓扑
三、配置要点
四、配置步骤
五、功能验证
应用场景
一对多镜像,包含多对多镜像:当你需要把一台交换机上面的一个口或者是多个端口的流量,镜像(复制)到交换机上面的某几个端口的时候,就可以考虑采用交换机的一对多镜像功能。注意镜像的源端口可以是多个端口的双向流量(both)一起镜像到目的口,也可以是部分端口的入方向(rx)流量,与部分端口的出方向(tx)流量一起结合起来镜像到某几个目的端口。
一对多镜像,通常在网络中有多台监控服务器(比如数据库操作审计服务器,日志记录服务器,上网行为管理服务器,流量统计或者监控服务器),视频加速缓存设备(如我司的powercache),或者是他们的任意组合接入到同一台交换机上,需要对同一份数据(通常是上联口,或者是关键服务器端口)进行采集的环境。
另外一个情况需要特别说明下,有些客户场景中原来是单台监控服务器,采用的是普通的一对一镜像,后面又新增了某种运用的服务器,需要采集/镜像网络中的之前的同一份数据,此时也需要采用一对多镜像功能,由于多对一镜像与一对多镜像配置思路完全不同,所以需要将原来的一对一镜像配置命令删除掉,重新规划采用一对多的配置方法。
功能简介
端口镜像:用户可以利用端口镜像(SPAN)提供的功能,将指定端口的报文复制到交换机上另一个连接有网络监测设备的端口,进行网络监控与流量分析。通过SPAN可以监控所有从源端口进入和输出的报文,实现报文快速的,原封不动的“复制”。
端口镜像不会改变镜像报文的任何信息,也不会影响原有报文的正常转发。同时对于源目端口的介质类型没有要求,可以是光口镜像到电口,也可以是电口的流量镜像到光口。对于源目端口的属性没有要求,可以是access口镜像到trunk口,也可以是trunk口镜像到access口。
提示:目前并非所有的设备都支持一对多镜像,对于不支持一对多镜像的设备,可以通过普通RSPAN镜像功能(不使用自环口)将RSPAN目标端口再连接到一台空配置交换机上,划分多个接口到一个VLAN中(RSPAN使用的VLAN中)并关闭所有端口MAC地址学习功能(no mac-address-learning)和端口风暴控制(no storm-control broadcast、no strom-control multicast、no storm-control unicast)(类似HUB泛洪,由于没有MAC地址学习,报文才会进行泛洪,所以需要关闭风暴控制防止镜像流量太多被抑制而丢弃),从而实现一对多功能。
一、组网需求
g4/1及g4/2下面连接用户,g4/21及g4/22连接两台监控服务器,现在需要实现监控服务器1及监控服务器2都能监控g4/1及g4/2口的数据流
二、组网拓扑
三、配置要点
1)在核心交换机上创建Remote VLAN。
2)指定核心交换机为RSPAN的源设备,配置直连PC1,PC2的端口g4/1及g4/2为镜像源端口;选择一个Down状态(无需手工shutdown)的端口(本例为G 4/23)为镜像输出端口,将该端口加入Remote VLAN,并配置为MAC自环。(这里的down状态的端口不是指手动将接口shutdown,而是这个接口之前没有使用,没有连线)
3)将直连监控服务器1,监控服务器2的G4/21,G4/22端口加入Remote VLAN。
重点说明:
1)需要在交换机上将一个未使用的端口配置成为一个mac自环口,配置为mac自环口后,该端口不插网线或光线,接口会自动UP,并且接口状态灯亮绿色。Lookback口不能做其他配置,否则可能导致监控服务器无法接收到监控数据流。
2)配置镜像目的口的时候,在11.X部分软件版本需要强制携带switch选项(monitor session 1 destination remote vlan 100 interface gigabitEthernet 4/23 switch),10.x软件平台版本不需要携带switch选项(monitor session 1 destination remote vlan 100 interface gigabitEthernet 4/23)。
四、配置步骤
交换机配置:
1、在交换机上配置Remote VLAN。
在交换机上创建Remote VLAN 100。 ------>这个VLAN需要是在交换机上没有使用的业务VLAN,不能针对该vlan创建SVI,否则可能导致镜像不成功
Ruijie#configure terminal
Ruijie(config)#vlan 100
Ruijie(config-vlan)#remote-span
Ruijie(config-vlan)#exit
2、配置RSPAN源设备。
在交换机上创建RSPAN Session 1,指定该设备为源设备,并配置端口g4/1及g4/2为源端口(源端口配置任意),镜像双向数据流。
Ruijie(config)#monitor session 1 remote-source
Ruijie(config)#monitor session 1 source interface gigabitEthernet 4/1 both
Ruijie(config)#monitor session 1 source interface gigabitEthernet 4/2 both
指定自环口g4/23为镜像的目的端口
Ruijie(config)#monitor session 1 destination remote vlan 100 interface gigabitEthernet 4/23 switch------>将流量引入到loopback口,11.X部分软件版本需要强制携带switch选项,10.x软件平台版本不需要携带switch选项
Ruijie(config)#interface gigabitEthernet 4/23
Ruijie(config-if-GigabitEthernet 4/23)#switchport access vlan 100
Ruijie(config-if-GigabitEthernet 4/23)#mac-loopback ------>环口会不要再做其他配置,也不要连接线缆。
Ruijie(config-if-GigabitEthernet 4/23)#end
Ruijie# clear mac-address-table dynamic interface gigabitEthernet 4/23 ------>配置完成后需要清下自环口的mac地址表
3、将监控服务器的端口g4/21及g4/22加入Remote VLAN
配置交换机的端口g4/21和g4/22属于Remote VLAN 100。
Ruijie(config)#interface range gigabitEthernet 4/21-22
Ruijie(config-if-range)#switchport access vlan 100
Ruijie(config-if-range)#end
Ruijie#wr
重点说明:
注意:如果设备上面开启了生成树协议,同时有其他trunk口,由于RSPAN的镜像目的口有MAC- loopback功能,会导致流量在remote-vlan中打环,所以需要在所有trunk口上做vlan修剪,本例中remove vlan 100。
指定自环口g4/23为镜像的目的端口配置中如果开启了switch关键字,那么需要在自环口关闭mac地址学习功能,并且清除自环口的MAC地址表项,如果没有敲switch关键字则无不需要关闭自环口的mac地址学习功能。
五、功能验证
1、查看端口镜像的状态
2、查看g4/23端口配置及接口状态