端口镜像原理与配置

1、端口镜像原理与配置课程目标： 了解端口镜像的概念和分类掌握交换机和路由器端口镜像的基本配置第1章端口镜像的概念11.1端口镜像概述11.2端口镜像的分类21.2.1基于端口的镜像31.2.2基于流的镜像41.3路由器配置端口镜像的注意事项4第2章 基于端口的镜像基本配置72.1交换机基于端口的镜像72.1.1交换机基于端口的镜像基本配置72.1.2交换机基于端口的镜像配置实例72.2低端路由器基于端口的镜像92.2.1低端路由器基于端口的镜像基本配置92.2.2低端路由器基于端口的镜像配置实例102.3高端路由器基于端口的镜像112.3.1高端路由器基于端口的镜像基本配置112.3.2高端路由

2、器基于端口的镜像配置实例112.4端口镜像的维护与诊断13第3章 基于流的镜像基本配置153.1交换机基于流的镜像153.1.1交换机基于流的镜像基本配置153.1.2交换机基于流的镜像配置实例153.2路由器基于流的镜像17321路由器基于流的镜像基本配置173.2.2路由器基于流的镜像配置实例17第1章端口镜像的概念ra知识点端口镜像的基本概念。端口镜像的分类。路由器配置端口镜像的注意事项。1.1端口镜像概述th端口镜像是指将交换机或路由器上一个或多个端口（被镜像端口）的数据复制到 一个指定的目的端口（监控端口）上，通过镜像可以在监控端口上获取这些被镜 像端口的数据，以便进行网络流量分析、

3、错误诊断等。被监控流量所在端口称为源端口，监控端口称为冃的端口，目的端口直接与网络 分析器相连。forward,如图1.11所示，箭头表示pc-a到pc-b的数据流，箭头表示pc-b到pc-a的数据流。两种数据流都通过端口镜像到监控 端口，由网络监控分析器进行分析和诊断。监控端口pc-apc-b图1.11端口镜像的概念zxr10数据设备端口镜像应遵循规则：1. 最多可支持8组端口镜像，每组最多可支持8个被镜像端口。2. 在一块接口板中，最多只能配置一组端口镜像。3. 支持跨接口板的端口镜像，即被镜像端口、监控端口可以在不同接口板上, 此吋交换机上最多只能配置一组端口镜像。4. 可以只监控被镜像

4、端口发送的数据，或只监控被镜像端口接收的数据。1.2端口镜像的分类端口镜像可以从功能、镜像模式和工作范围等方面进行分类。按照功能划分，端口镜像模块分为两种类型： 基于端口的镜像端口镜像就是将被监控端口上的数据复制到指定的监控端口，对数据进行 分析和监视。在基于端口的镜像模式下，如果源端口和目的端口类型相同，则不用改变 链路层封装，直接使用原数据包的链路层转发；若不同，则将原來链路层 以上的内容进行二次封装，使用目的接口的链路层封装。 基于流的镜像流镜像就是将匹配访问控制列表规则的业务流复制到指定的监控端口，用 于报文的分析和监视。在流镜像模式下，rti于只对网络层的内容进行镜像，原数据链路层不

5、再被 使用，直接使用目的端口的封装类型。按照镜像模式划分，端口镜像分为： mirror 模式把监控流量的副本发送到目的端口进行分析，对原流量不产生任何影响。 redirect 模式把监控流量本身发送到目的端口进行分析，导致原流量不能到达原目的地。按照工作范围划分，端口镜像可分为： 本地镜像源端口和目的端口在同一个路由器上。 远程镜像（基于gre封装的端口镜像）源端口和目的端口分布在不同的路由器上，镜像流量经过gre封装后可以 实现跨路由器传输。端口镜像的处理过程大体可以划分为以下步骤：1. 数据包采集 基于端口的镜像，则连同数据链路层一起采集。 基于流的镜像，则只采集到经过acl过滤后的网络层

6、的数据包。2. 数据包复制 在mirror镜像模式下，采集到的数据包要复制一份，转发到镜像端口。 在redirect镜像模式下，采样到的流量被直接送到监控端口，而不再进行 原转发处理。3. 镜像包转发1.2.1基于端口的镜像基于端口的镜像是把被镜像端11的进出数据报文完全拷贝一份到镜像端11,这样 来进行流量观测或者故障定位。如图 1.2-1 所示,zxr10 以太网交换机及 zxr10t600/t1200 的 2.8.21.b.21.p2 及 以后版本支持多对一的镜像，即将多个端口的报文复制到一个监控端口上。图121zxr1ot600/t1200 镜像口被镜肚于端口的镜像1.2.2基于流的镜

7、像基于流镜像的交换机针对某些流进行镜像，每个连接都有两个方向的数据流，对 于交换机来说，可以将这两个数据流分开进行镜像。如图1.22所示，一台交换机或路由器只支持配置一个监控端口。图1.2-2基于流的镜像1.3路由器配置端口镜像的注意事项 高端路由器目前只有zxr10 t600/t1200的v2.8.21.b.21.p2以及其后的版 本支持端口镜像，低端路由器中zxr10zsr支持端口镜像。 最多可支持8组端口镜像会话，每组可支持8x8个镜像源端口。 目前高端路由器仅支持以太接口的镜像，镜像目的端口需为以太实接口， 低端路由器zxr10zsr支持从ppp接口镜像到以太接口。 镜像目的端口只能作

8、为镜像流量发送端口使用，不能再配置其他任何业务。 发送方向流量的镜像仅支持镜像源与目的端口在同一接口板的情况。 控制平面的报文镜像仅支持npcix线卡接收方向的情况。 vpls, vpws流量不支持端口镜像。 目前仅支持本地镜像，不支持远程镜像。 在转发过程中需要被丢弃的报文在镜像时即使配置了 acl也不再受acl 规则控制。 同时对发送和接收方向流量进行镜像时，acl只能应用在其中一个方向。 路由器的线卡性能有限，当线卡承载大流量数据转发时，需谨慎使用端口 镜像功能。第2章 基于端口的镜像基本配置ra知识点基于端口的镜像基本配置及配置实例。2.1交换机基于端口的镜像2.1.1交换机基于端口的

9、镜像基本配置交换机基于端口镜像的基木配置如下：1. 创建一个会话zxr10(config)#monitor session <session-numbef>命令111 <session-number>为会话号，范围为1 8。2. 进入接口配置模式，设置被镜像端口及数据流方向zxr10(config)#interface <interface-name>zxr10(c on fig-if) #m onitor session <session-number> source direction both |tx|rxj其中： dircclion：配置

10、源端口流量采集方向。 both：配置源端口流量釆集方向是入向和出向。 tx：配置源端口流量采集方向是出向。 rx：配置源端口流量采集方向是入向。3. 设置监控端口zxr 10(config-if)#monitor session <session-number> desination2.1.2交换机基于端口的镜像配置实例如图2-i所示，接口 fei_l/l与fei_l/2在同一个vlan中，pci与pc2为同一网 段，接口 fei_l/3 连接 pc3,且与 fei_l/l> fei_l/2 不在同一 vlan。现在pc1上长时间ping pc2,将揭开fei_l/l作为被镜

11、像口，接口 fei_l/3作为镜 像口，在pc3上对fei_l/l上的数据包进行镜像抓包。fei 1/2pc2192.168.0.2/24图2.m交换机基于端口的镜像配置实例具体配置：zxr10(config)#interfecg fei_l/lzxr10(config-if)#switchport access vlan 10zxr10(config-if)#switchport qinq normalzxr10(config-if)#monitor session 1 source direction bothzxr10(config-if)#exitzxr10(config)#inter

12、fecg fei_l/2zxr10(config-if)#switchport access vlan 10zxr10(config-if)#switchport qinq normalzxr10(config-if)#exitzxr10(config)#interfecg fei_l/3zxr10(config-if)#switchport access vlan 1zxr10(config-if)#switchport qinq normalzxr10(config-if)#monitor session 1 destination显示端口镜像配置与状态：zxr10(config)#sho

13、w monitor session allsession 1source ports:port: fei_l/lmonitor direction: both第1章第1章基丁流的镜像基木配置destination port:port: fei l/32.2低端路由器基于端口的镜像2.2.1低端路由器基于端口的镜像基本配置低端路由器基于端口镜像的基本配置如下：1. 启用或停用端口镜像功能zxrio(config)#monitor on | off2. 配置镜像模式zxr 10(config)#monitor session <session id> source <source

14、-interface> destination <destination-mterface> mode redirect | mirror)命令中<session-munber>为会话号，范围为18。3. 使能或者停止会话zxr 10(config)#monitor session <session id> enable | disable4. 配置会话目的端口的镜像mac地址(用于镜像源端口是非以太网类型)zxrio(config)#monitor encapsulation mac-address <mac_cidd>5. 配置gre协

15、议兼容cisco的erspan类型zxr 10(config)#monitor encapsulation cisco-erspan6. 配置镜像包为以太网类型zxr 10(config)#monitor encapsulation ether-type7. 强迫ppp-ip类型封装为ipoe类型，非ppp-ip类型封装为pppoe类型zxr 10(config)#monitor encapsulation ppp-to-ethernet8. 在minor模式下，支持对指定截断长度数据包的镜像zxr10(config)#monitor session <session id> so

16、urce <source-interface> destination <destination-mterface> mode mirror truncate-len <truncate length>2.2.2低端路由器基于端口的镜像配置实例如图2.2-1所示，接口 fei_l/l与fei_l/2为路由器上两个端口，fei_l/l属于 192.168.0.0 网段，fei_l/2 属于 10.0.0.0 网段。现在pci上长吋间ping pc2,接口 fei_l/l作为被镜像口，接口 fei_l/3作为镜像 口，在pc3上对接口 fei_l/l上的数据包进

17、行镜像抓包。pc310.1.1.1/24图221低端路由器基于端口的镜像配置实例具体配置：zxr10(config)#interface fei_l/lzxr10(config-if)#ip address 192.168.0.2 255.255.255.0zxr10(config-if)#exitzxr10(config)#interface fei_l/2zxr10(config-if)#ip address 10.0.0.2 255.255 <255.0zxr10(config-if)#exitzxr10(config)#interface fei_l/3zxr10(config-

18、if)#ip address 10.1.1.2 255.255 <255.0zxr10(config-if)#exitzxr10(config)#monitor onzxr10 (config) #monitor session 1 source fei_l/l destination fei_l/3 mode mirror第1章第1章基丁流的镜像基木配置2.3高端路由器基于端口的镜像2.3.1高端路由器基于端口的镜像基本配置高端路由器基于端口镜像的基本配置如下：1. 启用镜像功能zxrio(config)#monitor session <session-numbev> e

19、nable | disable命令中<sessi(m-mimber>为会话号，范i韦i为18。2. 创建会话并加入镜像源、目的端口zxr10(config)#monitor session <session-numbef> source <source-interface> direction tx | rx | both destination <destmation-interface>其中： direction：配置源端口流量采集方向。 both:配置源端口流量采集方向是入向和ill向。 tx:配置源端口流量采集方向是!11向。 rx：配置

20、源端口流量采集方向是入向。2.3.2高端路由器基于端口的镜像配置实例如图2.3-1所示，接口 fei_l/l与fei_l/2为路由器上两个端口，fei_l/l属于 192.168.0.0 网段，fei_l/2 属于 10.0.0.0 网段。现在pc1上长时间ping pc2,接口 fei_l/l作为被镜像口，接口 fei_l/3作为镜像 口，在pc3上对接口上的数据包进行镜像抓包。图2.3-1高端路由器基丁端ii的镜像配置实例具体配置：zxr10(config)#interface fei_l/lzxr10(config-if)#ip address 192.168.0.2 255.255.2

21、55.0zxr10(config-if)#exitzxr10(config)#interface fei_l/2zxr10(config-if)#ip address 10.0.0.2 255.255.255 0zxr10(config-if)#exitzxr10(config)#interface fei_l/3zxr10(config-if)#ip address 10.1.1.2 255.255.255.0zxr10(config-if)#exitzxr10(config)#monitor session 1 enablezxr10(config)#monitor session 1 s

22、ource fei_l/l direction both destination fei l/3显示端口镜像配置与状态：zxr10(config)#show monitor session allsession 1source ports:port: fei_l/lmonitor direction: bothdestination port:port: fei l/3第1章第1章基丁流的镜像基木配置24端口镜像的维护与诊断可以在除用户模式外所有模式下使用命令show monitor session detail |<session-number> detail来显示用户配置的端口

23、镜像会话的详细信息。基于流的镜像基本配置=1ra知识点基于流的镜像基本配置及配置实例。3.1交换机基于流的镜像3.1.1交换机基于流的镜像基本配置交换机基于流镜像的基木配置如下：zxrio(config)#traffic-mirror in <acl-no> <acl-name> rule-id <rule-no> cpu | interface其屮，<rule-no>为acl中的规则号，范围l100； cpu为配置流镜像到cpu； interface为配置流镜像到端口。3.1.2交换机基于流的镜像配置实例如图 3.1-1 所示，接口 fei_l

24、/l 和 fei_l/2 在同一个 vlan 中，pci 和 pc3、pc2 和 pc4分别在同一网段;接口 fei_l/3连接pc5,且与fei_l/l、fei_l/2不在同一 vlan。现在pci和pc2上分别ping pc3和pc4o接口 fei_l/3作为镜像口，在pc5上对 pci到pc3的数据流进行镜像抓包。poi9iif1&.0j1.24p219111/24pc5p4i92j 用图311交换机基于流的镜像配置实例具体配置：zxr10(config)#acl basic number 1zxr10(config-basic-acl)#rule 1 permit 192168

25、.00 0 0.00zxr10(config-basic-acl)#rule 2 permit 192.168.1.0 0.0.0.0zxr10(config-basic-acl)#exitzxr10(config)#traffic-mirror in 1 rule-id 1 interfacezxr10(config)#interface fei_l/lzxr10(config-if)#ip access-group 1 inzxr10(config-if)#switchport access vlan 10zxr10(config-if)#switchport qinq normalzxr

26、10(config-if)#exitzxr10(config)#interface fei_l/2zxr10(config-if)#switchport access vlan 10zxr10(config-if)#switchport qinq normalzxr10(config-if)#exitzxr10(config)#interface fei_l/3zxr10(config-if)#switchport access vlan 1zxr10(config-if)#switchport qinq normalzxr10(config-if)#monitor session 1 des

27、tination查看流镜像配置：zxr10(config)#show aclacl basic number 1rule 1 permit 192.168.0.0 0.0.00rule 2 permit 192.168.1.0 0.0.00zxr10(config)#show qostraffic-mirror in 1 rule-id 1 interfacezxr10(config)#show monitor session 1session 1source ports:destination port:port: fei l/3第1章第1章基丁流的镜像基木配置3.2路由器基于流的镜像3.2

28、.1路由器基于流的镜像基本配置路由器基于流镜像的基本配置如下：zxr10(config)#monitor session <session-number> source <source-inteiface> direction tx | rx | both) acl <acl-munber acl-name> in | out destination <destination-interface>3.2.2路由器基于流的镜像配置实例如图3.2-1所示，路由器r1上接入pc1和pc2的两个网段,r2上接入pc3和pc4 的两个网段。现在pc1与pc

29、2同时ping pc3, r2上的接口 fei_l/3作为镜像口，接口 fei_l/l 作为被镜像口，在pc4上只对pc1到pc3的数据流进行镜像抓包。rlr2pc2pc410.1.1.1/24172.16.0.1/24图3.2-1路由器基于流镜像的配置实例r1具体配置:zxr10(config)#interface fei_l/lzxr10(config-if)#ip address 192.168.0.2 255.255.255.0zxr10(config-if)#exitzxr10(config)#interface fei_l/2zxr10(config-if)#ip address 10.11.2 255.255.255.0zxr10(config-if)#exitzxr10(config)#int£ei l/3zxr10(config-