城域网常见交换机端口与远程镜像

1、城域网常见交换机端口及远程镜像郭锐雄一、 案例描述镜像即将一个端口的流量复制到另一个端口，以便抓包处理，镜像分三种：1、本地端口镜像：即将一个端口流量镜像到同一交换机的另一端口。2、二层端口镜像（rspan）：将镜像流量转到某一个vlan内，虽然流量是单播，但一般设备对未知单播都会做广播处理，故任何一个加入该vlan的端口均可抓到该镜像流量。3、三层流量接口（erspan）：将流量镜像到远程的三层接口，需要有到该端口的路由。4、流镜像：流镜像是指在设备上配置一定的规则，将符合规则的特定业务流复制到观察端口进行分析和监控。二、 常见交换机镜像配置一、华为S9312端口镜像：1、本地镜像（本例是配

2、置M:N的镜像，即将M个镜像端口的报文复制到N个不同的观察端口，这里讲接口改成一个就是普通的端口镜像）：a) 配置观察端口：Switch observe-port 1 interface-range gigabitethernet 1/0/4 gigabitethernet 1/0/5（如果是单个接口就interface ，不带range）b)配置镜像端口：Switch-GigabitEthernet1/0/1port-mirroringto observe-port 1 inbound /将接口GE1/0/1的入方向绑定到索引为1的观察端口上c) 查看观察端口和镜像端口 display ob

3、serve-port display port-mirroringe) 本地流镜像在Switch上配置接口GE1/0/2为本地观察端口：Switch observe-port 1 interface gigabitethernet 1/0/2在Switch上创建流分类c1，并配置流分类规则匹配以下两类报文：源地址为10.1.1.0/24，目的TCP端口号为80的端口号；Switch acl number 3000 Switch-acl-adv-3000 rule permit tcp source 10.1.1.0 0.0.0.255 destination-port eq 80Switch-

4、acl-adv-3000 quitSwitch traffic classifier c1 operator or Switch-classifier-c1 if-match acl 3000在Switch上创建流行为b1，并配置流行为是流镜像，将指定报文流镜像到本地观察端口GE1/0/2。Switch traffic behavior b1 Switch-behavior-b1 mirroring to observe-port 1Switch-behavior-b1 quit在Switch上创建流策略p1，将流分类和对应的流行为进行绑定，并将流策略应用到接口GE1/0/1的入方向上Swit

5、ch traffic policy p1 Switch-trafficpolicy-p1 classifier c1 behavior b1Switch-trafficpolicy-p1 quitSwitch interface gigabitethernet 1/0/1Switch-GigabitEthernet1/0/1traffic-policy p1 inboundf)查看流分类配置信息 display traffic classifier user-defined c12、 二层端口镜像a) 在SwitchA上配置观察端口 在SwitchA上配置接口GE1/0/2为二层远程观察端口，

6、绑定的VLAN为VLAN10，观察端口会将镜像报文向VLAN10进行转发，不需要在观察端口下进行接口加入VLAN的操作。SwitchAobserve-port 1 interface gigabitethernet1/0/2 vlan 10b) 在SwitchA上配置镜像端口在SwitchA上配置接口GE1/0/1为镜像端口，将其入方向绑定到二层远程观察端口，即将镜像端口接收到的报文复制一份到二层远程观察端口。SwitchA interface gigabitethernet 1/0/1SwitchA-GigabitEthernet1/0/1 port-mirroring to observe

7、-port 1 inbound c) 在SwitchB上创建VLAN10，将接口GE1/0/1和GE1/0/2加入VLAN10，图中的server便能收到镜像报文。d) 验证配置结果的命令和本地镜像一样，这里不做赘述。3、 有时候配置二层远程端口镜像需要关闭MAC学习功能. 由于镜像报文的目的MAC与原始报文目的MAC相同，不是监控设备的MAC，也就是说，镜像报文不能通过MAC表进行转发，而是依赖未知单播的处理流程广播方式进行转发。假设用于走镜像流量的VLAN为vlan10，只要VLAN10对应的MAC表中不包含镜像报文目的MAC对应的表项，镜像报文就可以通过广播方式转发到Server。特别注

8、意做二层镜像的时候最好不要同时抓同一端口的出入两个方向的包，以上图中抓HostA和HostB的通信包为例，如果在SwitchA的GE1/0/1口同时抓出、入两个方向的包，因为GE1/0/1的入方向就有以MacA为源MAC地址，以MacB为目的MAC地址的数据流，而GE1/0/1的出方向就会有以MacB源MAC地址、以MacB为目的MAC地址的数据流，因为交换机端口会主动学习数据包的源MAC地址，所以当出、入两个方向被镜像的报文流到达SwitchB的GE1/0/2口时，SwitchB的GE1/0/2口就会在vlan10内同时学习到MacA和MacB地址，见图中SwitchB的mac表，又因为从S

9、witchA镜像过来的数据流的目的MAC也正好是MacA和MacB，所以镜像过来的报文SwitchB便不再认为是未知单播报文，而是认为是普通单播报文从SwitchB的GE1/0/2口在vlan10内发送出去，导致本地Server抓不到包。如果一定要同时抓两个方向的包，则要关闭用于镜像的vlan内的mac地址学习功能。另外，如果vlan10内通过某种其他方式学习到了目的MAC（比如镜像端口加入了vlan10，还有一些更复杂的情况可以参看华为S9312文档里二层远程端口镜像需要关闭MAC学习功能的案例），则此时也需要关闭该vlan内的MAC学习功能，但不推荐这么做，一般配置二层远程端口镜像时不建议

10、用同一个VLAN转发普通业务流量和镜像流量。e) 二层端口的流镜像配置和本地流镜像基本一致，类推一下就可以了，这里不再赘述。4、配置三层远程端口镜像在Switch上进行如下配置，实现Server远程监控研发部访问IInternet的流量：1、配置接口GE1/0/2为三层远程观察端口，指定封装镜像报文的目的地址是监控设备的地址，源地址为Switch上的接口地址。2、配置接口GE1/0/1为镜像端口，将研发部访问Internet的流量复制一份到三层远程观察端口。a)配置观察端口 在Switch上配置接口GE1/0/2为三层远程观察端口，指定封装镜像报文的目的地址是10.2.1.1，源地址是10.1

11、.1.1（源地址可以任意指定本地地址，本例中使用loopback0）Switchobserve-port1interfacegigabitethernet1/0/2 destination-ip 10.2.1.1 source-ip 10.1.1.1 vlan 10配置完成后，观察端口会在镜像报文外层添加GRE隧道头，再将其作为IP报文的数据部分，封装在IP报文内进行转发。注意，如果到目的地址路由的出接口是trunk口的话，一定要带后面的vlan，否则不能成功远程镜像，vlan为到目的地址路由所走的vlan。b)配置镜像端口 在Switch上配置接口GE1/0/1为镜像端口，将其入方向绑定到三

12、层远程观察端口，即将镜像端口接收到的报文复制一份到三层远程观察端口。Switch interface gigabitethernet 1/0/1Switch-GigabitEthernet1/0/1 port-mirroring to observe-port 1 inbound c)验证配置结果的命令和本地镜像一样，这里不做赘述。f)三层镜像的抓包结果是带GRE头的封装的ERSPAN报文（如下图的第一个包，这里目的IP就是截图电脑的IP），如果wireshark不能直接解析的话，则需要强制解析成ERSPAN帧，如图所示：解析完之后就能看到普通的带GRE头的源数据报文：e) 三层接口流镜像三层

13、接口流镜像的配置和本地接口也类似，类推即可。二、华为12808端口镜像：华为12808的本地镜像和二层镜像配置和S9312的配置是一样的，但三层镜像的配置比较特殊，需要两边设备真正的建立GRE通道（S9312只需要镜像端口所在设备配置GRE即可）。三层远端镜像配置（如果12808的隧道是VXLAN，那么需要将设备的隧道模式改为GRE，改完后设备需重启，所以可能实际用处不大）：IP，端口等配置如图所示，两边路由互通，现需要讲HOSTA的上联流量镜像到server，1、 在SwitchA和SwitchB之间配置GRE隧道将隧道模式改为GRESwitchA ip tunnel mode gre*Sw

14、itchA commitSwitchB ip tunnel mode gre*SwitchB commit配置完后需要重启。配置GRE通道SwitchA interface Tunnel 1*SwitchA-Tunnel1 tunnel-protocol gre*SwitchA-Tunnel1 ip address 10.1.4.1 24*SwitchA-Tunnel1 source 10.1.2.2*SwitchA-Tunnel1 destination 10.1.3.2*SwitchA-Tunnel1 quit*SwitchA commitSwitchB interface Tunnel

15、1*SwitchB-Tunnel1 tunnel-protocol gre*SwitchB-Tunnel1 ip address 10.1.4.2 24*SwitchB-Tunnel1 source 10.1.3.2*SwitchB-Tunnel1 destination 10.1.2.2*SwitchB-Tunnel1 quit*SwitchB commit2、 配置SwitchA的远程观察端口和镜像端口。在SwitchA上配置接口Tunnel 1为远程观察端口，配置接10GE1/0/1为镜像端口。SwitchA observe-port 1 interface Tunnel 1*Switc

16、hA interface 10ge 1/0/1*SwitchA-10GE1/0/1 port-mirroring observe-port 1 inbound*SwitchA-10GE1/0/1 quit*SwitchA commit3、 配置SwitchB的本地观察端口和镜像端口。在SwitchB上配置接口10GE1/0/1为本地观察端口，配置接口10GE1/0/2为镜像端口SwitchB observe-port 1 interface 10ge 1/0/1*SwitchB interface 10ge 1/0/2*SwitchB-10GE1/0/2 port-mirroring obse

17、rve-port 1 inbound*SwitchB-10GE1/0/2 quit*SwitchB commit三、华为S2352交换机端口镜像：1、配置本地镜像华为S2352设备配置本地镜像和华为S9312的配置是一样的，这里不做赘述。2、配置二层远程镜像a).在Source Switch设备上配置需要远程镜像的接口和远程镜像VLAN(镜像端口不允许加入到远程镜像VLAN)执行命令vlan vlan-id，创建RSPAN VLAN并进入VLAN视图。 执行命令mac-address learning disable，关闭MAC地址学习功能。执行命令quit返回系统视图。 执行命令observ

18、e-port index interface interface-type interface-number reflect-type vlan vlan-id，配置观察接口（也就是将镜像包发往远程目的交换机的端口，也就是连中间交换机的端口）为反射类型接口并指定远程镜像VLAN。 执行命令interface interface-type interface-number，进入远程镜像源接口的接口视图。 执行命令port-mirroring to observe-port index both | inbound | outbound ，配置接口镜像。 当需要同时监控多个接口的入方向或出方向的报

19、文时，可以重复执行步骤6和步骤7。b).在Intermediate Switch设备上透传远程镜像VLAN c).在Destination Switch设备上配置远程镜像的观察接口先创建镜像VLAN，并保证镜像VLAN的透传。 执行命令interface interface-type interface-number,进入观察接口的接口视图。 执行命令port hybrid untagged vlan vlan-id，将观察接口配置为Hybrid类型并允许远端镜像VLAN的报文通过。 执行命令quit返回系统视图，这样在观察端口便可抓取源端口的镜像报文。3、比较老版本的S2352设备配置有点区

20、别，如下所示（下面步骤中与新版本配置相同部分已忽略）：a)、在Source S-switch 设备上需将镜像vlan配置为RSPAN VLAN。操作步骤执行命令vlan vlan-id，创建远程镜像VLAN 并进入VLAN 视图。执行命令rspan vlan enable，配置VLAN 为RSPAN VLAN。执行命令quit 返回系统视图。执行命令observing-port o-index interface interface-type interface-number relay-type，配置观察接口为中继类型接口。b)、在Intermediate S-switch 设备上也需将镜像

21、vlan配置为RSPAN VLAN。执行命令system-view，进入系统视图。执行命令vlan vlan-id，创建远程镜像VLAN 并进入VLAN 视图。执行命令rspan vlan enable，配置VLAN 为RSPAN VLAN。执行命令quit 返回系统视图。然后再透传该VLAN。c)、在Destination S-switch 设备上配置远程镜像的观察接口执行命令system-view，进入系统视图。执行命令vlan vlan-id，创建远程镜像VLAN 并进入VLAN 视图。执行命令rspan vlan enable，配置VLAN 为RSPAN VLAN。执行命令quit 返

22、回系统视图。执行命令observing-port o-index interface interface-type interface-number remote-type，配置观察接口为远程镜像类型，其余配置和上面新版本的配置是一样的。4、华为S2352设备的流镜像配置和S9312一样，不再赘述，且该设备不支持三层远程镜像。四、中兴89121、本地端口镜像配置：端口gei_3/3连接了一台监控计算机，需监控gei_1/2收的流量a).将gei_1/2配置为镜像端口ZXR10(config)#interface gei_1/2ZXR10(config-if)#monitor session 1

23、 source direction rxb).将gei_3/3配置为观察端口ZXR10(config)#interface gei_3/3ZXR10(config-if)#monitor session 1 destinationc). 要监控gei_1/1、gei_1/2和gei_2/2收到的数据，可以通过上述的接口模式按个配置，也可以在全局配置模式下批量配置，配置如下：全局配置模式：ZXR10(config)#monitor session 1 source gei_1/1-2,gei_2/2 direction rx destination gei_3/32、本地端口流镜像将端口gei_

24、1/8上源IP地址为168.2.5.6的数据流镜像到gei_1/4上。ZXR10(config)#acl standard number 10ZXR10(config-std-acl)#rule 1 permit 168.2.5.5ZXR10(config-std-acl)#rule 2 permit 168.2.5.6ZXR10(config-std-acl)#exitZXR10(config)#traffic-mirror in 10 rule-id 2 interfaceZXR10(config)#interface gei_1/8ZXR10(config-if)#ip access-g

25、roup 10 inZXR10(config-if)#exitZXR10(config)#interface gei_1/4ZXR10(config-if)#monitor session 1 destination3、二层端口远程镜像 二层端口远程镜像配置比较简单，以上面本地端口镜像的配置为例，只有观察端口配置有些区别其余配置均没有区别.以上图为例：将gei_3/3配置为流镜像的观察端口，并配置观察所用的vlan为10：ZXR10(config)#interface gei_3/3ZXR10(config-if)#monitor session 1 destination rspan-vla

26、nid 10依次类推，如果要配置二层端口远程流镜像，除观察端口要如上配置vlan外，其余流镜像配置和本地流镜像一样。4、三层端口远程镜像如图所示，在Switch1与Switch2之间建立一个tunnel，Switch1的端口gei_1/1作为镜像的源端口，配置ERSPAN镜像。配置完成后，经过Switch1端口gei_1/1的报文就会封装ERSPAN的头，镜像到指定的目的IP上，比如图中的20.20.20.20，也可以直接指到抓包的Server的IP，只要保证路由可达。配置如下：ZXR10(config)#interface gei_1/1ZXR10(config-gei_1/1)#monit

27、or session 1 source direction bothZXR10(config-gei_1/1)#exitZXR10(config)#interface tunnel1ZXR10(config-tunnel1)#tunnel mode gre ipZXR10(config-tunnel1)#tunnel source ipv4 10.10.10.10ZXR10(config-tunnel1)#tunnel destination ipv4 20.20.20.20ZXR10(config-tunnel1)#monitor session 1 destination erspan f

28、lags enabletpid 0x8100 ttl 128 ZXR10(config-tunnel1)#exit这里本地收到的将是封装了GRE报文头的ERSPAN数据包，解析方法见上面S9312里的三层镜像中WIireShark的操作。但是中兴89系列的三层远程镜像有问题，只支持当到目的IP去的路由所指的上联端口（如图中Switch1的1/2口）和镜像端口（如图中Switch1的1/1口）在同一块板卡时，才能正确转发镜像流，如不在同一板卡，比如假设图中Switch1和Switch2是通过2/1口互联，中兴89交换机就不会把镜像封装GRE报文头，而是和处理本地镜像一样，Switch1直接把1/

29、1口的镜像流镜像到2/1口，则Switch2收到的报文就不带GRE封装头，像图中没有经过路由器还没有什么问题，但如果Switch1和Switch2中间经过了路由器，则中间路由器便不能将报文转到Switch2上。五、H3C12510端口镜像1、本地端口镜像a). 组网需求通过配置源端口方式的本地端口镜像，使Server可以监控所有进、出市场部和技术部的报文。b). 组网图c). 配置步骤# 创建本地镜像组1 system-viewDevice mirroring-group 1 local# 配置本地镜像组1的源端口为GigabitEthernet4/0/1和GigabitEthernet4/0

30、/2，目的端口为GigabitEthernet4/0/3。Devicemirroring-group 1 mirroring-port GigabitEthernet4/0/1 GigabitEthernet 4/0/2 bothDevice mirroring-group 1 monitor-port GigabitEthernet 4/0/3d). 验证配置Device display mirroring-group all 2、本地流镜像a). 组网需求 某公司内的各部门之间使用不同网段的IP地址，其中市场部和技术部分别使用192.168.1.0/24和192.168.2.0/24网段.

31、通过配置流镜像，使Server可以监控技术部访问互联网的80端口流量，以及技术部在工作时间发往市场部的IP流量。b). 组网图c). 配置步骤# 创建ACL 3000，并定义如下规则：匹配技术部访问80端口的报文，以及在工作时间由技术部发往市场部的IP报文。DeviceA acl number 3000DeviceA-acl-adv-3000 rule permit tcp source 192.168.2.0 0.0.0.255 destination-port eq 80DeviceA-acl-adv-3000 rule permit ip source 192.168.2.0 0.0.0

32、.255 destination 192.168.1.0 0.0.0.255 DeviceA-acl-adv-3000 quit# 创建流分类tech_c，并配置报文匹配规则为ACL 3000。DeviceA traffic classifier tech_cDeviceA-classifier-tech_c if-match acl 3000DeviceA-classifier-tech_c quit# 创建流行为tecn_b，并配置流镜像到接口GigabitEthernet4/0/3。DeviceA traffic behavior tech_bDeviceA-behavior-tech_

33、b mirror-to interface GigabitEthernet 4/0/3DeviceA-behavior-tech_b quit# 创建QoS策略tech_p，在策略中为流分类tech_c指定采用流行为tech_b。DeviceA qos policy tech_pDeviceA-qospolicy-tech_p classifier tech_c behavior tech_bDeviceA-qospolicy-tech_p quit# 将QoS策略tech_p应用到接口GigabitEthernet4/0/4的入方向上。DeviceA interface GigabitEthernet 4/0/4DeviceA-GigabitEthernet4/0/4 qos apply policy tech_p inboundDeviceA-GigabitEthernet4/0/4 quit3、二层远程端口镜像a). 组网需求通过配置二层远程端口镜像，使Server可以监控所有进、出市场部的报文。b). 组网图c). 配置步骤(1).配置Device A# 创建远程源镜像组1。 system-viewDeviceA mirroring-group 1 remote-source# 创建V