华为端口镜像配置

-.z.session1概述端口镜像原理，将镜像端口的流量复制一份发送到观察端口供观察端口下连的流量分析设备〔软件〕对复制来的镜像端口的流量进展分析，在华为的SPAN端口镜像中观察端口仍然可以发送和承受数据〔思科中观察端口就会停顿正常的数据收发，只能观察从镜像端口复制来的流量〕。一、镜像的分类1、端口镜像端口镜像是基于端口的镜像，分为本地端口镜像、二层远程端口镜像、三层远程端口镜像，镜像的流量可以是入向或者出向。2、流镜像流镜像是基于流的镜像，是根据用户配置的策略traffic-class匹配的流量进展镜像，只支持〔镜像端口的〕入方向，不支持出方向。流镜像分为本地流镜像、二层远程流镜像、三层远程流镜像。3、vlan镜像vlan镜像是基于vlan的镜像，是将制定的vlan的所有活动接口的入方向的流量复制到观察端口，不支持出方向。vlan镜像分为本地vlan镜像、二层远程vlan镜像。4、mac地址镜像基于mac地址的镜像，将匹配源或目的的mac地址的入方向的流量复制到观察关口，不支持出方向。mac地址镜像支持本地mac地址镜像、二层远程mac地址镜像。session2镜像的配置一、端口镜像配置1、本地端口镜像配置[Huawei]observe-port1interfaceg0/0/1

配置一个序列号为1的观察端口g0/0/1[Huawei]interfaceg0/0/2

配置镜像端口[Huawei-GigabitEthernet0/0/2]port-mirroringtoobserve-port1both

配置一个镜像端口，将双向流量复制到序列号为1的观察端口[Huawei-GigabitEthernet0/0/2]quit查看端口配置状态[Huawei]displayobserve-port

----------------------------------------------------------------------

Inde*

:1

Interface:GigabitEthernet0/0/1

Used

:2

----------------------------------------------------------------------[Huawei][Huawei]displayport-mirroring

Port-mirror:

----------------------------------------------------------------------

Mirror-port

Direction

Observe-port

----------------------------------------------------------------------

GigabitEthernet0/0/2

Both

GigabitEthernet0/0/1

----------------------------------------------------------------------[Huawei]2、二层远程端口镜像端口的二层远程镜像的原理是通过创立一个vlan，将镜像端口的流量复制到观察端口中，观察端口在该vlan中进展播送，通过vlan的播送将复制的流量发送到监控设备连接的端口上，进展监控。值得注意的是镜像端口和观察端口必须在一台设备上，镜像端口不能在该vlan〔实际中发现镜像端口也可以在该vlan中〕，而观察端口因为要收集镜像端口的流量，所以必须在这个vlan。在下面拓扑中LSW1上的镜像端口将流量复制到观察端口中，由观察端口在vlan2过播送将从镜像端口复制的流量发送至监控效劳器server1所连接的G0/0/2接口，供server1进展流量的分析。配置：首先创立一个用于播送镜像流量的vlan，分别在lsw1与lsw2上创立vlan2，并将server1连接的接口g0/0/2划分到vlan2中用于接收复制的镜像流量，而pc3默认在vlan1中不属于vlan2不用做其他的配置，在lsw之间允许vlan2的流量通过，注意观察vlan中必须关闭MAC地址学习功能，因为该功能与镜像功能相冲突。[lsw1]vlan2[lsw1-vlan2]mac-addresslearningdisable

必须在观察vlan中关闭mac地址学习功能[lsw1-vlan2]q[lsw1]interfaceg0/0/2

[lsw1-GigabitEthernet0/0/2]portlink-typetrunk[lsw1-GigabitEthernet0/0/2]porttrunkallow-passvlanall[lsw1-GigabitEthernet0/0/2]q[lsw1]observe-port1interfaceg0/0/2vlan2

指定观察端口，并在vlan2中播送复制的流量[lsw1]interfaceg0/0/1[lsw1-GigabitEthernet0/0/1]port-mirroringtoobserve-port1both

指定镜像端口，将流量复制到序列号为1的观察端口[lsw1-GigabitEthernet0/0/1]q[lsw2]vlan2

[lsw2-vlan2]q[lsw2]interfaceg0/0/1

[lsw2-GigabitEthernet0/0/1]portlink-typetrunk[lsw2-GigabitEthernet0/0/1]porttrunkallow-passvlanall[lsw2-GigabitEthernet0/0/1]q[lsw2]interfaceg0/0/2

将监控设备连接的端口参加vlan2收取从镜像端口复制来的流量[lsw2-GigabitEthernet0/0/2]portlink-typeaccess

[lsw2-GigabitEthernet0/0/2]portdefaultvlan2

[lsw2-GigabitEthernet0/0/2]q3、三层远程镜像端口配置端口的三层远程镜像的原理是，通过在ip层建立一条GRE的tunnel隧道将镜像端口的流量复制到观察端口，观察端口在通过GRE-tunnel隧道将流量发送到监控设备所在的端口上，进展流量的分析。在下面拓扑中LSW1上的镜像端口将流量复制到观察端口，由观察端口通过GRE-tunle发送至server2监控效劳器连接的lsw2的E0/0/2接口，供server2对镜像端口的流量进展分析。配置如下：首先在AR1和AR2上分别配置路由网段及静态路由，保证三层互通，然后在LSW1上配置镜像端口及观察端口的gre隧道。路由局部省略，在lsw1上配置：[Huawei]observe-port1interfacee0/0/1destination-ip192.168.2.100source-ip192.168.1.100

创立观察端口及隧道[Huawei]interfacee0/0/2[Huawei-Ethernet0/0/1]port-mirroringtoobserve-port1both

指定镜像端口和序列号1[Huawei-Ethernet0/0/1]quit

二、流镜像配置流镜像的配置与端口镜像的配置小异，唯一不同点就是镜像流量抓取的是流策略中定义的流量，而不是接口上的所有流量，另外就是流镜像只支持入方向的流量的镜像。下面为本地为例：二层远程和三层远程的配置与端口镜像一致，只需要将镜像端口改为流策略。下面拓扑中要求在LSW1的G0/0/1接口上抓取所有ip-precedence为4和5的流量进展镜像到观察端口。observe-port1interfaceGigabitEthernet0/0/2

配置观察端口trafficclassifierspanoperatorand

配置流策略抓取ipp4、5的流量if-matchip-precedence45

*

trafficbehaviorspan

mirroringtoobserve-port1

流策略的行为是监控*trafficpolicyspan

classifierspanbehaviorspan

*

drop-profiledefault

*interfaceMEth0/0/1

*

interfaceGigabitEthernet0/0/1

将流策略应用于接口上只监控ipp4、5的流量traffic-policyspaninbound

*三、vlan镜像配置

vlan镜像的配置与端口镜像的配置小异，唯一不同点就是vlan镜像流量抓取的是vlan中所有活动接口的流量，且只支持入方向的流量的镜像。下面为本地为例：二层远程的配置与端口镜像一致，只需要将镜像端口改为vlan，不支持三层远程。下面拓扑中要求在LSW1上抓取所有vlan2的流量进展镜像到观察端口。配置：vlan2interfaceGigabitEthernet0/0/1

portlink-typeaccess

portdefaultvlan2

*

interfaceGigabitEthernet0/0/2

portlink-typeaccess

portdefaultvlan2

*[Huawei]observe-port1interfaceGigabitEthernet0/0/3

观察端口[Huawei]vlan2[Huawei-vlan2]mirroringtoobserve-port1inbound

镜像vlan2所有活动接口入向流量[Huawei-vlan2]quit四、mac地址镜像配置

mac地址镜像的配置与端口镜像的配置小异，唯一不同点就是mac地址镜像流量抓取指定的源或目的mac地址，且只支持入方向的流量的镜像。下面为本地为例：二层远程的配置与端口镜像一致，只需要将镜像端口改为mac地址，不支持三层远程。下面拓扑中要求在LSW1上的vlan2中仅抓取pc1的流量进展镜像到观察端口。配置mac地址镜像：vlan2interfaceGigabitEthernet0/0/1

portlink-typeaccess

portdefaultvlan2

*

interfaceGigabitEthernet0/0/2

portlink-typeaccess

portdefaultvlan2

*[Huawei]observe-port