遠程鏡像案例

1、目  錄1 端口鏡像配置. 1-11.1 端口鏡像簡介. 1-11.1.1 端口鏡像的基本概念. 1-11.1.2 端口鏡像的分類. 1-11.1.3 端口鏡像的實現(xiàn)方式. 1-21.2 配置本地端口鏡像. 1-41.2.1 配置任務(wù)簡介. 1-41.2.2 創(chuàng)建本地鏡像組. 1-51.2.3 配置源端口. 1-51.2.4 配置目的端口. 1-61.3 配置二層遠程端口鏡像. 1-61.3.1 配置任務(wù)簡介. 1-61.3.2 配置準(zhǔn)備. 1-71.3.3 配置遠程源鏡像組. 1-71.3.4 配置遠程目的鏡像組. 1-101.3.5 利用遠程鏡像VLAN實現(xiàn)本地鏡像支持多個目的端

2、口. 1-111.4 配置三層遠程端口鏡像. 1-131.4.1 配置任務(wù)簡介. 1-131.4.2 配置準(zhǔn)備. 1-141.4.3 創(chuàng)建本地鏡像組. 1-141.4.4 配置源端口. 1-141.4.5 配置目的端口. 1-151.5 配置ONU設(shè)備的本地端口鏡像. 1-161.6 端口鏡像顯示和維護. 1-161.7 端口鏡像典型配置舉例. 1-171.7.1 本地端口鏡像配置舉例. 1-171.7.2 二層遠程端口鏡像配置舉例. 1-181.7.3 利用遠程鏡像VLAN實現(xiàn)本地鏡像支持多個目的端口典型配置舉例. 1-191.7.4 三層遠程端口鏡像配置舉例. 1-201.7.5 ONU設(shè)

3、備的本地端口鏡像配置舉例. 1-232 流鏡像. 2-12.1 流鏡像簡介. 2-12.1.1 流鏡像簡介. 2-12.1.2 遠程流鏡像簡介. 2-12.2 配置流鏡像. 2-12.2.1 配置QoS策略. 2-12.2.2 應(yīng)用QoS策略. 2-22.3 配置遠程流鏡像. 2-32.3.1 源設(shè)備上的配置. 2-32.3.2 目的設(shè)備上的配置. 2-42.4 流鏡像顯示. 2-42.5 流鏡像典型配置舉例. 2-42.5.1 流鏡像配置舉例. 2-42.5.2 遠程流鏡像配置舉例. 2-5 1 端口鏡像配置1.1  端口鏡像簡介端口鏡像是將指定端口（源端口）的報文復(fù)制一

4、份到其它端口（目的端口），目的端口會與數(shù)據(jù)監(jiān)測設(shè)備相連，用戶利用這些數(shù)據(jù)監(jiān)測設(shè)備來分析復(fù)制到目的端口的報文，進行網(wǎng)絡(luò)監(jiān)控和故障排除。  端口鏡像的基本概念為了更好地理解后面的內(nèi)容，首先介紹一下端口鏡像中涉及的基本概念。1. 源端口源端口是被監(jiān)控的端口，用戶可以對通過該端口的報文進行監(jiān)控和分析。2. 目的端口目的端口也可稱為監(jiān)控端口，該端口將接收到的報文轉(zhuǎn)發(fā)到數(shù)據(jù)監(jiān)測設(shè)備，以便對報文進行監(jiān)控和分析。3. 鏡像的方向端口鏡像的方向分為三種：l            &#

5、160; 入方向：僅對從源端口收到的報文進行鏡像。l              出方向：僅對從源端口發(fā)出的報文進行鏡像。l              雙向：對從源端口收到和發(fā)出的報文都進行鏡像。  端口鏡像的分類根據(jù)使用范圍的不同，端口鏡像可分為以下三種類型：l     

6、0;        本地端口鏡像：可以將設(shè)備源端口上的報文復(fù)制到本設(shè)備的目的端口，用于監(jiān)控和分析這些報文。l              二層遠程端口鏡像：可以將本設(shè)備源端口上的報文通過二層網(wǎng)絡(luò)復(fù)制到另一臺設(shè)備的目的端口，用于監(jiān)控和分析這些報文。l             

7、; 三層遠程端口鏡像：可以將本設(shè)備源端口上的報文通過三層網(wǎng)絡(luò)復(fù)制到另一臺設(shè)備的目的端口，用于監(jiān)控和分析這些報文。三層遠程端口鏡像可以實現(xiàn)不同網(wǎng)絡(luò)甚至不同地域間的鏡像功能，極大擴展了鏡像功能監(jiān)測的范圍，并通過隧道方式保證了鏡像報文的安全。適用于在通過隧道連接的不同站點間進行數(shù)據(jù)采集和分析。由于一個目的端口可以同時監(jiān)視多個源端口，在某些配置情況下，目的端口會收到同一個報文的多個復(fù)制報文。例如，目的端口Port 1同時監(jiān)控源端口Port 2和Port 3接收和發(fā)送的所有報文（Port 2和Port 3在同一臺設(shè)備上），如果一個報文從Port 2進入設(shè)備又從Port 3發(fā)送出去，那么這個報文將被復(fù)制兩

8、次送到目的端口Port 1。   端口鏡像的實現(xiàn)方式端口鏡像通過鏡像組的方式實現(xiàn)，鏡像組可以分為本地鏡像組、遠程源鏡像組和遠程目的鏡像組三類。1. 本地端口鏡像實現(xiàn)方式本地端口鏡像通過本地鏡像組的方式實現(xiàn)，即源端口和目的端口在同一個本地鏡像組中，設(shè)備將源端口的報文復(fù)制一份并轉(zhuǎn)發(fā)到目的端口。圖1-1 本地端口鏡像示意圖 如圖1-1所示，源端口的報文被鏡像到目的端口，這樣，連接在目的端口上的數(shù)據(jù)監(jiān)測設(shè)備就可以對這些報文進行監(jiān)控和分析。本地鏡像組支持跨板鏡像，即目的端口和源端口可以在同一設(shè)備的不同單板上。 2. 二層遠程端口鏡像實現(xiàn)方式二層遠程端口鏡像通過遠程

9、源鏡像組和遠程目的鏡像組互相配合的方式實現(xiàn)。圖1-2 二層遠程端口鏡像示意圖 如圖1-2所示，用戶在源設(shè)備上創(chuàng)建遠程源鏡像組，在目的設(shè)備上創(chuàng)建遠程目的鏡像組。源設(shè)備將源端口的報文鏡像一份給出端口，由該端口將鏡像報文轉(zhuǎn)發(fā)給中間設(shè)備，再由中間設(shè)備在遠程鏡像VLAN內(nèi)廣播，最終到達目的設(shè)備。目的設(shè)備收到該報文后判斷其VLAN ID，若其VLAN ID與遠程目的鏡像組的遠程鏡像VLAN的VLAN ID相同，就將其轉(zhuǎn)發(fā)至目的端口。這樣，連接在目的端口上的數(shù)據(jù)監(jiān)測設(shè)備就可以對源設(shè)備上源端口的報文進行監(jiān)控和分析。l       

10、   用戶需要確保遠程鏡像VLAN內(nèi)源設(shè)備到目的設(shè)備間二層網(wǎng)絡(luò)的互通性。l          在一個鏡像組中對同一個端口收發(fā)的報文進行雙向鏡像時，需要在源設(shè)備、中間設(shè)備和目的設(shè)備上通過mac-address mac-learning disable命令用來關(guān)閉遠程鏡像VLAN的MAC地址學(xué)習(xí)功能，以保證鏡像功能的正常進行。關(guān)于mac-address mac-learning disable命令的詳細信息，請參見“二層技術(shù)-以太網(wǎng)交換命令參考”中的“MAC地址表配置命令”。 在

11、鏡像報文離開源設(shè)備到達遠程目的設(shè)備過程中，用戶應(yīng)確保鏡像報文中VLAN ID的正確性，如果該VLAN ID被修改或刪除，二層遠程鏡像功能將失效。 3. 三層遠程端口鏡像實現(xiàn)方式三層遠程端口鏡像通過遠程源鏡像組、遠程目的鏡像組和GRE隧道互相配合的方式實現(xiàn)。圖1-3 三層遠程端口鏡像示意圖 如圖1-3所示，在源設(shè)備上，源端口的報文被鏡像到Tunnel接口（作為其目的端口），然后通過GRE隧道發(fā)送至目的設(shè)備，目的設(shè)備在通過Tunnel接口（作為其源端口）將報文轉(zhuǎn)發(fā)至其目的端口。這樣，目的設(shè)備上連接目的端口的數(shù)據(jù)監(jiān)測設(shè)備就可以對源設(shè)備上源端口的報文進行監(jiān)控和分析。l &

12、#160;        有關(guān)GRE隧道的詳細介紹，請參見“三層技術(shù)-IP業(yè)務(wù)配置指導(dǎo)”中的“隧道配置”。l          僅有SD、EB系列單板支持三層遠程端口鏡像功能。 1.2  配置本地端口鏡像  配置任務(wù)簡介本地端口鏡像的配置需要在同一臺設(shè)備上進行。首先創(chuàng)建一個本地鏡像組，然后為該鏡像組配置源端口和目的端口。表1-1 本地端口鏡像配置任務(wù)簡介配置任務(wù)說明詳細配置創(chuàng)建本地鏡像組必選1.2.2

13、60; 配置源端口必選1.2.3  配置目的端口必選1.2.4   l          除了在SD、EB系列單板上，同一個端口可以作為兩個鏡像組的源端口之外，其余情況下，一個端口只能加入到一個鏡像組。l          源端口不能再被用作本鏡像組或其它鏡像組的出端口或目的端口。   創(chuàng)建本地鏡像組表1-2 創(chuàng)建本地鏡像組操作命令說明進入系統(tǒng)視圖system-vie

14、w-創(chuàng)建本地鏡像組mirroring-group group-id local必選缺省情況下，不存在任何鏡像組 配置源端口目的端口后，本地鏡像組才能生效。   配置源端口可以在系統(tǒng)視圖下為指定鏡像組配置一個或多個源端口，也可以在端口視圖下將當(dāng)前端口配置為指定鏡像組的源端口，二者的配置效果相同。1. 在系統(tǒng)視圖下配置源端口表1-3 在系統(tǒng)視圖下配置源端口操作命令說明進入系統(tǒng)視圖system-view-為本地鏡像組配置源端口mirroring-group group-id mirroring-port mirroring-port-list both | inboun

15、d | outbound 必選缺省情況下，鏡像組沒有源端口 2. 在端口視圖下配置源端口表1-4 在端口視圖下配置源端口操作命令說明進入系統(tǒng)視圖system-view-進入端口視圖interface interface-type interface-number-配置本端口為本地鏡像組的源端口 mirroring-group group-id mirroring-port both | inbound | outbound 必選缺省情況下，端口不是任何鏡像組的源端口 一個鏡像組內(nèi)可以配置多個源端口。   配置目的端口可以在系統(tǒng)視圖下為指定鏡像組配置目的端

16、口，也可以在端口視圖下將當(dāng)前端口配置為指定鏡像組的目的端口，二者的配置效果相同。1. 在系統(tǒng)視圖下配置目的端口表1-5 在系統(tǒng)視圖下配置目的端口操作命令說明進入系統(tǒng)視圖system-view-為本地鏡像組配置目的端口mirroring-group group-id monitor-port monitor-port-id必選缺省情況下，鏡像組沒有目的端口 2. 在接口視圖下配置目的端口表1-6 在接口視圖下配置目的端口操作命令說明進入系統(tǒng)視圖system-view-進入接口視圖interface interface-type interface-number-配置本端口為本地鏡像組的

17、目的端口 mirroring-group group-id monitor-port必選缺省情況下，端口不是任何鏡像組的目的端口 l          一個鏡像組內(nèi)只能配置一個目的端口。l          請不要在目的端口上使能STP、MSTP和RSTP，否則會影響鏡像功能的正常使用。l          目的端口收

18、到的報文包括復(fù)制自源端口的報文和來自其它端口的正常轉(zhuǎn)發(fā)報文。為了保證數(shù)據(jù)監(jiān)測設(shè)備只對源端口的報文進行分析，請將目的端口只用于端口鏡像，不作其它用途。l          鏡像組的目的端口不能配置為已經(jīng)接入RRPP環(huán)的端口。 1.3  配置二層遠程端口鏡像  配置任務(wù)簡介二層遠程端口鏡像的配置需要分別在源設(shè)備和目的設(shè)備上進行。l          除了在SD、EB系列單板上，同一個端口可以

19、作為兩個鏡像組的源端口之外，其余情況下，一個端口只能加入到一個鏡像組。l          源端口不能再被用作本鏡像組或其它鏡像組的出端口或目的端口。l          如果用戶在設(shè)備上啟用了GVRP（GARP VLAN Registration Protocol，GARP VLAN注冊協(xié)議）功能，GVRP可能將遠程鏡像VLAN注冊到不希望的端口上，此時在目的端口就會收到很多不必要的報文。有關(guān)GVRP的詳細介紹，請

20、參見“二層技術(shù)-以太網(wǎng)交換配置指導(dǎo)”中的“GVRP配置”。 首先在源設(shè)備上為遠程源鏡像組配置源端口、出端口和遠程鏡像VLAN，然后在目的設(shè)備上為遠程目的鏡像組配置遠程鏡像VLAN和目的端口。表1-7 二層遠程端口鏡像配置任務(wù)簡介配置任務(wù)說明詳細配置配置遠程源鏡像組創(chuàng)建遠程源鏡像組必選1.3.3  1. 配置源端口必選1.3.3  2. 配置出端口必選1.3.3  3. 配置遠程鏡像VLAN必選1.3.3  4. 配置遠程目的鏡像組創(chuàng)建遠程目的鏡像組必選1.3.4  1. 配置目的端口必選1.3.4  2. 配置遠程鏡像VLA

21、N必選1.3.4  3. 將目的端口加入遠程鏡像VLAN必選1.3.4  4. 利用遠程鏡像VLAN實現(xiàn)本地鏡像支持多個目的端口可選1.3.5     配置準(zhǔn)備在配置二層遠程端口鏡像之前，需完成以下任務(wù)：l              配置遠程鏡像VLAN所使用的靜態(tài)VLAN源設(shè)備上的遠程源鏡像組和目的設(shè)備上的遠程目的鏡像組必須使用相同的遠程鏡像VLAN。   配置遠程源鏡像組請在源設(shè)備上進行如下配

22、置。1. 創(chuàng)建遠程源鏡像組表1-8 創(chuàng)建遠程源鏡像組操作命令說明進入系統(tǒng)視圖system-view-創(chuàng)建遠程源鏡像組mirroring-group group-id remote-source必選缺省情況下，不存在任何鏡像組 2. 配置源端口可以在系統(tǒng)視圖下為指定鏡像組配置一個或多個源端口，也可以在端口視圖下將當(dāng)前端口配置為指定鏡像組的源端口，二者的配置效果相同。(1)        在系統(tǒng)視圖下配置源端口表1-9 在系統(tǒng)視圖下配置源端口操作命令說明進入系統(tǒng)視圖system-view-為遠程源鏡像組配置源端口mir

23、roring-group group-id mirroring-port mirroring-port-list both | inbound | outbound 必選缺省情況下，鏡像組沒有源端口 (2)        在端口視圖下配置源端口表1-10 在接口視圖下配置源端口操作命令說明進入系統(tǒng)視圖system-view-進入端口視圖interface interface-type interface-number-配置本端口為遠程源鏡像組的源端口 mirroring-group group-id mirrori

24、ng-port both | inbound | outbound 必選缺省情況下，端口不是任何鏡像組的源端口 l          一個鏡像組內(nèi)可以配置多個源端口。l          請不要將源端口加入到遠程鏡像VLAN中，否則會影響鏡像功能的正常使用。 3. 配置出端口可以在系統(tǒng)視圖下為指定鏡像組配置出端口，也可以在端口視圖下將當(dāng)前端口配置為指定鏡像組的出端口，二者的配置效果相同。(1)&#

25、160;       在系統(tǒng)視圖下配置出端口表1-11 在系統(tǒng)視圖下配置出端口操作命令說明進入系統(tǒng)視圖system-view-為遠程源鏡像組配置出端口mirroring-group group-id monitor-egress monitor-egress-port必選缺省情況下，鏡像組沒有出端口 (2)        在端口視圖下配置出端口表1-12 在接口視圖下配置出端口操作命令說明進入系統(tǒng)視圖system-view-進入端口視圖interface

26、interface-type interface-number-配置本端口為遠程源鏡像組的出端口mirroring-group group-id monitor-egress必選缺省情況下，端口不是任何鏡像組的出端口 l          一個鏡像組內(nèi)只能配置一個出端口。l          出端口不能是現(xiàn)有鏡像組的成員端口。l      

27、0;   請不要在出端口上配置下列功能：STP、MSTP、RSTP、802.1X、IGMP Snooping、靜態(tài)ARP和MAC地址學(xué)習(xí)，否則會影響鏡像功能的正常使用。 4. 配置遠程鏡像VLAN表1-13 配置遠程鏡像VLAN操作命令說明進入系統(tǒng)視圖system-view-為遠程源鏡像組配置遠程鏡像VLANmirroring-group group-id remote-probe vlan rprobe-vlan-id必選缺省情況下，鏡像組沒有遠程鏡像VLAN l       

28、60;  一個VLAN只能被一個鏡像組使用。l          請將遠程鏡像VLAN只用于端口鏡像，不作其它用途。l          被配置成遠程鏡像VLAN后，該VLAN不能直接刪除，必須先刪除遠程鏡像VLAN的配置才能夠刪除這個VLAN。l          如果鏡像組生效后，遠程鏡像VLAN被取消，那么該鏡像

29、組將失效。   配置遠程目的鏡像組請在目的設(shè)備上進行如下配置。1. 創(chuàng)建遠程目的鏡像組表1-14 創(chuàng)建遠程目的鏡像組操作命令說明進入系統(tǒng)視圖system-view-創(chuàng)建遠程目的鏡像組mirroring-group group-id remote-destination必選缺省情況下，不存在任何鏡像組 2. 配置目的端口可以在系統(tǒng)視圖下為指定鏡像組配置目的端口，也可以在端口視圖下將當(dāng)前端口配置為指定鏡像組的目的端口，二者的配置效果相同。(1)        在系統(tǒng)視圖下配置目的端口表1-15 在系

30、統(tǒng)視圖下配置目的端口操作命令說明進入系統(tǒng)視圖system-view-為遠程目的鏡像組配置目的端口mirroring-group group-id monitor-port monitor-port-id必選缺省情況下，鏡像組沒有目的端口 (2)        在端口視圖下配置目的端口表1-16 在接口視圖下配置目的端口操作命令說明進入系統(tǒng)視圖system-view-進入端口視圖interface interface-type interface-number-配置本端口為遠程目的鏡像組的目的端口 mirroring

31、-group group-id monitor-port必選缺省情況下，端口不是任何鏡像組的目的端口 l          一個鏡像組內(nèi)只能配置一個目的端口。l          請不要在目的端口上使能STP、MSTP和RSTP，否則會影響鏡像功能的正常使用。l          目的端口收到的報文包括復(fù)制自源端口的報

32、文和來自其它端口的正常轉(zhuǎn)發(fā)報文。為了保證數(shù)據(jù)監(jiān)測設(shè)備只對源端口的報文進行分析，請將目的端口只用于端口鏡像，不作其它用途。l          鏡像組的目的端口不能配置為已經(jīng)接入RRPP環(huán)的端口。 3. 配置遠程鏡像VLAN表1-17 配置遠程鏡像VLAN操作命令說明進入系統(tǒng)視圖system-view-為遠程目的鏡像組配置遠程鏡像VLANmirroring-group group-id remote-probe vlan rprobe-vlan-id必選缺省情況下，鏡像組沒有遠程鏡像VLAN

33、60;l          一個VLAN只能被一個鏡像組使用。l          請將遠程鏡像VLAN只用于端口鏡像，不作其它用途。l          被配置成遠程鏡像VLAN后，該VLAN不能直接刪除，必須先刪除遠程鏡像VLAN的配置才能夠刪除這個VLAN。l     &#

34、160;    如果鏡像組生效后，遠程鏡像VLAN被取消，那么該鏡像組將失效。 4. 將目的端口加入遠程鏡像VLAN表1-18 將目的端口加入遠程鏡像VLAN操作命令說明進入系統(tǒng)視圖system-view-進入目的接口視圖interface interface-type interface-number-將目的端口加入遠程鏡像VLAN目的端口為Access端口port access vlan vlan-id三者必選其一目的端口為Trunk端口port trunk permit vlan vlan-id目的端口為Hybrid端口port hybrid vl

35、an vlan-id tagged | untagged  有關(guān)port access vlan、port trunk permit vlan和port hybrid vlan命令的詳細介紹，請參見“二層技術(shù)-以太網(wǎng)交換命令參考”中的“VLAN配置命令”。   利用遠程鏡像VLAN實現(xiàn)本地鏡像支持多個目的端口傳統(tǒng)的本地鏡像配置方式僅支持在一個鏡像組中指定一個鏡像目的端口，雖然可以通過在多個鏡像組中指定同一個源端口的方式，實現(xiàn)將流經(jīng)某端口的數(shù)據(jù)鏡像至多個目的端口，但這種方式十分浪費鏡像組資源，并且目的端口的數(shù)量仍然有限。此時可以利用遠程鏡像VLAN的原理來實現(xiàn)這種需

36、求。在二層遠程端口鏡像中，會使用到遠程鏡像VLAN，鏡像報文在遠程鏡像VLAN中以廣播的方式發(fā)送。因此，可以利用遠程鏡像VLAN的原理，在本地設(shè)備上創(chuàng)建遠程源鏡像組，并指定遠程鏡像VLAN，同時將本設(shè)備上連接數(shù)據(jù)檢測設(shè)備的多個端口加入該VLAN。完成以上配置后，鏡像報文在遠程鏡像VLAN中廣播時便可以從這些端口中發(fā)送出去，實現(xiàn)將鏡像報文輸出至多個端口的需求。表1-19 利用遠程鏡像VLAN實現(xiàn)本地鏡像支持多個目的端口配置 操作命令說明進入系統(tǒng)視圖system-view-創(chuàng)建遠程源鏡像組mirroring-group group-id remote-source必選缺省情況下，不存在任何鏡像組為

37、遠程源鏡像組配置源端口在系統(tǒng)視圖下配置mirroring-group group-id mirroring-port mirroring-port-list both | inbound | outbound 兩種方式必選其一缺省情況下，鏡像組沒有源端口在端口視圖下配置interface interface-type interface-number mirroring-group group-id mirroring-port both | inbound | outbound quit 為遠程源鏡像組配置反射端口mirroring-group group-id reflector

38、-port reflector-port必選缺省情況下，鏡像組沒有反射端口創(chuàng)建遠程鏡像VLAN并進入VLAN視圖vlan vlan-id必選缺省情況下，鏡像組沒有遠程鏡像VLAN將鏡像目的端口加入遠程鏡像VLANport interface-list必選缺省情況下，新建VLAN中不包含任何端口退出至系統(tǒng)視圖quit-為遠程源鏡像組配置遠程鏡像VLANmirroring-group group-id remote-probe vlan rprobe-vlan-id必選缺省情況下，鏡像組沒有遠程鏡像VLAN l    SA系列單板的端口不支持被配置成為反射口

39、。l    鏡像反射口必須是Access類型的端口，且必須屬于缺省VLAN（VLAN1）。l    建議選擇設(shè)備上未使用的端口作為鏡像反射口，且建議關(guān)閉反射口的STP功能。l    Combo端口不能被配置為鏡像反射口。l    一個鏡像組內(nèi)可以配置多個源端口。l    請不要將源端口加入到遠程鏡像VLAN中，否則會影響鏡像功能的正常使用。l    在一個鏡像組內(nèi)，如果已經(jīng)配置了鏡像反射口，則無法再配置鏡像出端口。l

40、    一個VLAN只能作為一個遠程源鏡像組的遠程鏡像VLAN，且建議該VLAN只用于端口鏡像，不作其它用途。l    遠程鏡像VLAN必須為靜態(tài)VLAN，且在被配置成遠程鏡像VLAN后，該VLAN不能直接刪除，必須先刪除遠程鏡像VLAN的配置才能夠刪除這個VLAN。l    如果鏡像組生效后，遠程鏡像VLAN被取消，那么該鏡像組將失效。l    鏡像目的端口必須是Access類型的端口。 1.4  配置三層遠程端口鏡像  配置任務(wù)簡介三層遠程端

41、口鏡像的配置需要分別在源設(shè)備和目的設(shè)備上進行。分別在源設(shè)備和目的設(shè)備上先創(chuàng)建一個本地鏡像組，然后為該鏡像組配置源端口和目的端口，不同的是：l              在源設(shè)備上，需要將源端口指定為待監(jiān)控的端口，目的端口指定為Tunnel接口；l              在目的設(shè)備上，需要將源端口指定為Tunnel接口對應(yīng)的物理端口，目

42、的端口指定為連接數(shù)據(jù)監(jiān)測設(shè)備的端口。表1-20 三層遠程端口鏡像配置任務(wù)簡介配置任務(wù)說明詳細配置源設(shè)備上的配置創(chuàng)建本地鏡像組必選1.4.3  配置源端口必選1.4.4  配置目的端口必選1.4.5  目的設(shè)備上的配置創(chuàng)建本地鏡像組必選1.4.3  配置源端口必選1.4.4  配置目的端口必選1.4.5   l          除了在SD、EB系列單板上，同一個端口可以作為兩個鏡像組的源端口之外，其余情況下，一個端口只能加入到一個鏡像組

43、。l          源端口不能再被用作本鏡像組或其它鏡像組的出端口或目的端口。   配置準(zhǔn)備在配置三層遠程端口鏡像之前，需完成以下任務(wù)：l              配置GRE隧道  創(chuàng)建本地鏡像組請分別在源設(shè)備和目的設(shè)備上進行如下配置。表1-21 創(chuàng)建本地鏡像組操作命令說明進入系統(tǒng)視圖system-view-創(chuàng)建本地鏡像組mirroring-

44、group group-id local必選缺省情況下，不存在任何鏡像組   配置源端口在源設(shè)備上，請將源端口指定為待監(jiān)控的端口；而在目的設(shè)備上，請將源端口指定為Tunnel接口對應(yīng)的物理端口。可以在系統(tǒng)視圖下為指定鏡像組配置一個或多個源端口，也可以在端口視圖下將當(dāng)前端口配置為指定鏡像組的源端口，二者的配置效果相同。1. 在系統(tǒng)視圖下配置源端口表1-22 在系統(tǒng)視圖下配置源端口操作命令說明進入系統(tǒng)視圖system-view-為本地鏡像組配置源端口mirroring-group group-id mirroring-port mirroring-port-list both

45、| inbound | outbound 必選缺省情況下，鏡像組沒有源端口 2. 在端口視圖下配置源端口表1-23 在接口視圖下配置源端口操作命令說明進入系統(tǒng)視圖system-view-進入端口視圖interface interface-type interface-number-配置本端口為本地鏡像組的源端口 mirroring-group group-id mirroring-port both | inbound | outbound 必選缺省情況下，端口不是任何鏡像組的源端口 一個鏡像組內(nèi)可以配置多個源端口。   配置目的端口在源設(shè)備上，請將目的

46、端口指定為Tunnel接口；而在目的設(shè)備上，請將目的端口指定為連接數(shù)據(jù)監(jiān)測設(shè)備的端口?？梢栽谙到y(tǒng)視圖下為指定鏡像組配置目的端口，也可以在端口/Tunnel接口視圖下將當(dāng)前端口/Tunnel接口配置為指定鏡像組的目的端口，二者的配置效果相同。1. 在系統(tǒng)視圖下配置目的端口表1-24 在系統(tǒng)視圖下配置目的端口操作命令說明進入系統(tǒng)視圖system-view-為本地鏡像組配置目的端口mirroring-group group-id monitor-port monitor-port-id必選缺省情況下，鏡像組沒有目的端口 2. 在端口視圖下配置目的端口表1-25 在接口視圖下配置目的端口操作

47、命令說明進入系統(tǒng)視圖system-view-進入端口/Tunnel接口視圖interface interface-type interface-number-配置本端口/Tunnel接口為本地鏡像組的目的端口 mirroring-group group-id monitor-port必選缺省情況下，端口/Tunnel接口不是任何鏡像組的目的端口 l          一個鏡像組內(nèi)只能配置一個目的端口。l        

48、;  請不要在目的端口上使能STP、MSTP和RSTP，否則會影響鏡像功能的正常使用。l          目的端口收到的報文包括復(fù)制自源端口的報文和來自其它端口的正常轉(zhuǎn)發(fā)報文。為了保證數(shù)據(jù)監(jiān)測設(shè)備只對源端口的報文進行分析，請將目的端口只用于端口鏡像，不作其它用途。l          鏡像組的目的端口不能配置為已經(jīng)接入RRPP環(huán)的端口。 1.5  配置ONU設(shè)備的本地端口鏡像當(dāng)S760

49、0系列交換機配備了OLT業(yè)務(wù)板后，便可以作為EPON系統(tǒng)中的OLT設(shè)備進行工作。有關(guān)EPON系統(tǒng)的詳細介紹，請參見“二層技術(shù)-以太網(wǎng)交換配置指導(dǎo)”中的“EPON介紹”及相關(guān)章節(jié)。在EPON環(huán)境中，OLT設(shè)備可以對ONU設(shè)備進行遠程的管理和維護。S7600交換機支持對ONU設(shè)備進行本地端口鏡像的配置，可以將ONU設(shè)備上某個UNI端口接收或發(fā)送的數(shù)據(jù)鏡像至另一個UNI端口。表1-26 配置ONU設(shè)備的本地端口鏡像操作命令說明進入系統(tǒng)視圖system-view-進入ONU端口視圖interface interface-type interface-number-配置源端口及鏡像的方向uni uni-

50、number mirroring-port both | inbound | outbound 必選配置目的端口uni uni-number monitor-port必選 l          當(dāng)配置UNI端口為鏡像的目的端口時，建議將該端口的VLAN操作模式配置成VLAN透傳模式，以確保鏡像報文原封不動地從該端口轉(zhuǎn)發(fā)出去，相關(guān)操作請參見“二層技術(shù)-以太網(wǎng)交換配置指導(dǎo)”中的“UNI端口配置”。l        

51、60; 目的端口收到的報文包括復(fù)制自源端口的報文和來自其它端口的正常轉(zhuǎn)發(fā)報文。為了保證數(shù)據(jù)監(jiān)測設(shè)備只對源端口的報文進行分析，請將目的端口只用于端口鏡像，不作其它用途。 1.6  端口鏡像顯示和維護在完成上述配置后，在任意視圖下執(zhí)行display命令可以顯示配置后鏡像組的運行情況，通過查看顯示信息驗證配置的效果。表1-27 端口鏡像顯示和維護操作命令顯示鏡像組的配置信息display mirroring-group group-id | all | local | remote-destination | remote-source | begin | exclude | i

52、nclude regular-expression  1.7  端口鏡像典型配置舉例  本地端口鏡像配置舉例1. 組網(wǎng)需求l              Device A通過端口GigabitEthernet2/0/1和GigabitEthernet2/0/2分別連接市場部和技術(shù)部，并通過端口GigabitEthernet2/0/3連接Server。l       &#

53、160;      通過配置源端口方式的本地端口鏡像，使Server可以監(jiān)控所有進、出市場部和技術(shù)部的報文。2. 組網(wǎng)圖圖1-4 本地端口鏡像配置組網(wǎng)圖 3. 配置步驟(1)        配置本地鏡像組# 創(chuàng)建本地鏡像組1。<DeviceA> system-viewDeviceA mirroring-group 1 local# 配置本地鏡像組1的源端口為GigabitEthernet2/0/1和GigabitEthernet2/0/2，目的端口為Gi

54、gabitEthernet2/0/3。DeviceA mirroring-group 1 mirroring-port gigabitethernet 2/0/1 gigabitethernet 2/0/2 bothDeviceA mirroring-group 1 monitor-port gigabitethernet 2/0/3(2)        檢驗配置效果# 顯示所有鏡像組的配置信息。DeviceA display mirroring-group allmirroring-group 1:  

55、  type: local    status: active    mirroring port:        GigabitEthernet2/0/1  both        GigabitEthernet2/0/2  both    monitor port: GigabitEthernet2/0/3   配

56、置完成后，用戶可以通過Server監(jiān)控所有進、出市場部和技術(shù)部的報文。  二層遠程端口鏡像配置舉例1. 組網(wǎng)需求l              在一個二層網(wǎng)絡(luò)中，Device A通過端口GigabitEthernet2/0/1連接市場部，并通過Trunk端口GigabitEthernet2/0/2與Device B的Trunk端口GigabitEthernet2/0/1相連；Device C通過端口GigabitEthernet2/0/2連接Server，并

57、通過Trunk端口GigabitEthernet2/0/1與Device B的Trunk端口GigabitEthernet2/0/2相連。l              通過配置遠程端口鏡像，使Server可以穿越二層網(wǎng)絡(luò)監(jiān)控所有進、出市場部的報文。2. 組網(wǎng)圖圖1-5 二層遠程端口鏡像配置組網(wǎng)圖 3. 配置步驟(1)        配置Device A# 創(chuàng)建遠程源鏡像組1。<De

58、viceA> system-viewDeviceA mirroring-group 1 remote-source# 創(chuàng)建VLAN 2。DeviceA vlan 2DeviceA-vlan2 quit# 配置遠程源鏡像組1的遠程鏡像VLAN為VLAN 2，源端口為GigabitEthernet2/0/1，出端口為GigabitEthernet2/0/2。DeviceA mirroring-group 1 remote-probe vlan 2DeviceA mirroring-group 1 mirroring-port gigabitethernet 2/0/1 bothDeviceA

59、 mirroring-group 1 monitor-egress gigabitethernet 2/0/2# 配置端口GigabitEthernet2/0/2為Trunk口，并允許VLAN 2的報文通過。DeviceA interface gigabitethernet 2/0/2DeviceA-GigabitEthernet2/0/2 port link-type trunkDeviceA-GigabitEthernet2/0/2 port trunk permit vlan 2DeviceA-GigabitEthernet2/0/2 quit(2)   &

60、#160;    配置Device B# 配置端口GigabitEthernet2/0/1為Trunk口，并允許VLAN 2的報文通過。<DeviceB> system-viewDeviceB interface gigabitethernet 2/0/1DeviceB-GigabitEthernet2/0/1 port link-type trunkDeviceB-GigabitEthernet2/0/1 port trunk permit vlan 2DeviceB-GigabitEthernet2/0/1 quit# 配置端口GigabitEth

61、ernet2/0/2為Trunk口，并允許VLAN 2的報文通過。DeviceB-GigabitEthernet2/0/1 quitDeviceB interface gigabitethernet 2/0/2DeviceB-GigabitEthernet2/0/2 port link-type trunkDeviceB-GigabitEthernet2/0/2 port trunk permit vlan 2DeviceB-GigabitEthernet2/0/2 quit(3)        配置Device C# 配置

62、端口GigabitEthernet2/0/1為Trunk口，并允許VLAN 2的報文通過。<DeviceC> system-viewDeviceC interface gigabitethernet 2/0/1DeviceC-GigabitEthernet2/0/1 port link-type trunkDeviceC-GigabitEthernet2/0/1 port trunk permit vlan 2DeviceC-GigabitEthernet2/0/1 quit# 創(chuàng)建遠程目的鏡像組1。DeviceC mirroring-group 1 remote-destinat

63、ion# 創(chuàng)建VLAN 2。DeviceC vlan 2DeviceC-vlan2 quit# 配置遠程目的鏡像組1的遠程鏡像VLAN為VLAN 2，目的端口為GigabitEthernet2/0/2，并將端口GigabitEthernet2/0/2加入VLAN 2。DeviceC mirroring-group 1 remote-probe vlan 2DeviceC interface gigabitethernet 2/0/2DeviceC-GigabitEthernet2/0/2 mirroring-group 1 monitor-portDeviceC-GigabitEthernet

64、2/0/2 port access vlan 2DeviceC-GigabitEthernet2/0/2 quit(4)        檢驗配置效果配置完成后，用戶可以通過Server監(jiān)控所有進、出市場部的報文。  利用遠程鏡像VLAN實現(xiàn)本地鏡像支持多個目的端口典型配置舉例1. 組網(wǎng)需求三個部門A、B、C分別使用GigabitEthernet2/0/1GigabitEthernet2/0/3端口接入SwitchA，現(xiàn)要求通過鏡像功能，使三臺數(shù)據(jù)檢測設(shè)備ServerA、ServerB、ServerC都能夠?qū)θ齻€部門

65、發(fā)送和接收的報文進行鏡像。2. 組網(wǎng)圖圖1-6 利用遠程鏡像VLAN實現(xiàn)本地鏡像支持多個目的端口組網(wǎng)圖3. 配置步驟# 創(chuàng)建遠程源鏡像組1。<SwitchA> system-viewSwitchA mirroring-group 1 remote-source# 將接入部門A、B、C的三個端口配置為遠程源鏡像組1的源端口。SwitchA mirroring-group 1 mirroring-port gigabitethernet 2/0/1 to gigabitethernet 2/0/3 both# 將設(shè)備上任意未使用的端口（此處以GigabitEthernet2/0/5為例

66、）配置為鏡像組1的反射口。SwitchA mirroring-group 1 reflector-port GigabitEthernet 2/0/5# 創(chuàng)建VLAN10作為鏡像組1的遠程鏡像VLAN，并將接入三臺數(shù)據(jù)檢測設(shè)備的端口加入VLAN10。SwitchA vlan 10SwitchA-vlan10 port gigabitethernet 3/0/1 to gigabitethernet 3/0/3SwitchA-vlan10 quit# 配置VLAN10作為鏡像組1的遠程鏡像VLAN。SwitchA mirroring-group 1 remote-probe vlan 10  三層遠程端口鏡像配置舉例1. 組網(wǎng)需求l              在一個三層網(wǎng)絡(luò)中，Device A通過端口GigabitEthernet2/0/1連接市場部，并通過端口GigabitEthernet2/0/2與Device B的端口GigabitEthernet2/0/