OYE数据设备抓包

1、数据设备端口镜像集合内部公开2022/8/7目录第一章:MA5200G设备抓包第二章:NE40设备抓包第三章: S8500设备抓包第四章: S7800设备抓包第五章: S6500系列设备抓包第六章: S3500系列设备抓包第七章: S2000系列设备抓包第一章:MA5200G设备抓包第一节:抓包限制第二节:抓包配置命令第三节:端口镜像配置案例Page 3第一节:抓包限制只有MA5200G支持做端口镜像，MA5200（框式）、MA5200E/F都是不支持。MA5200G支持多个端口的流量镜像到一个端口，但是每块单板上只能有一个被镜像口，镜像观测端口必须为以太网端口，且一定不能是主控板上的以太网端

2、口。只有未进行配置的端口才能设置为镜像观测端口。例如已配置子接口的接口或者BAS接口等，不能配置为镜像观测端口，否则接口的其他业务流量将影响镜像观测。请注意，一块接口板最多只能有一个端口被镜像。Page 4第二节:抓包配置命令MA5200G做端口镜像的命令为：1、指定接PC的observing端口MA5200Gobserving-portEthernet2/0/02、指定镜像的端口MA5200Gport-mirroringEthernet3/0/0ingressEthernet2/0/0/这条命令可以指定观察一个方向的报文也可以是双向的报文（both），可以把双向都镜像到同一个观测口例:把1/

3、0/0和2/0/0的流量都镜像到3/0/0端口上：MA5200Gobserving-port GigabitEthernet 3/0/0 MA5200Gport-mirroring GigabitEthernet 1/0/0 both GigabitEthernet 3/0/0 GigabitEthernet 3/0/0 MA5200Gport-mirroring GigabitEthernet 2/0/0 both GigabitEthernet 3/0/0 GigabitEthernet 3/0/0Page 5第三节:端口镜像配置案例(一)案例一:MA5200G如何针对某个源地址或目的地址

4、进行镜像想对MA5200G下用户和公网上一个地址100.1.1.1进行通信的报文进行抓包，可以按照下面方法进行数据制作。其中，MA5200G镜像为GE8/1/0，观测口为ETH1/0/2。quidwayobserving-filtertest1src-ip100.1.1.1255.255.255.255 /作一个名字为test1的源地址为100.1.1.1地址的规则quidwayobserving-filtertest2dest-ip100.1.1.1255.255.255.255 /作一个名字为test1的目的地址为100.1.1.1地址的规则quidwayobserving-portEth

5、ernet1/0/2/观测端口quidwayport-mirroringGigabitEthernet8/1/0bothEthernet1/0/2ingress-filtertest1Ethernet1/0/2egress-filtertest2 /把上行口GE8/1/0镜像到ETH1/0/2口，第一个监控端口是Ingress报文，使用策略test1进行过滤，第二个监控端口是Egress报文，使用策略test2进行过滤。这样就可以把MA5200G下用户和100.1.1.1通信的所以报文镜像到ETH1/0/2上。192.168.15.10 Page 6案例一:不同端口上同时监控同一个端口的上下行

6、报文配置配置Ethernet3/0/0为镜像端口，其上行数据镜像监控端口为Ethernet3/0/3其下行数据镜像监控端口为Ethernet4/0/1 Quidwayobserving-portethernet3/0/3Quidwayport-mirroringethernet3/0/0ingressethernet3/0/3此时，还要把Ethernet3/0/0下行数据镜像监控端口为Ethernet4/0/1Quidwayport-mirroringethernet3/0/0egressEthernet4/0/1但这个时侯会提示配置失败，因为在一个端口上只能配置一次监控动作，那如果要在不同端

7、口上同时监控同一个端口的上下行报文怎么办呢？可以下面的命令来配置：Quidwayobserving-portethernet4/0/1Quidwayobserving-portethernet3/0/3Quidwayport-mirroringethernet3/0/0bothethernet3/0/3ethernet4/0/1 /第一个监控端口是Ingress报文，第二个监控端口是Egress报文入流量（Ingress）和出流量（Egress）的镜像监控端口也可以是同一端口，并且不受槽位限制 第三节:端口镜像配置案例(二)Page 7第二章:NE40设备抓包第一节:抓包限制第二节:抓包配置命

8、令第三节:端口镜像配置案例Page 8第一节:抓包限制观测端口必须为以太网口。观测端口的速率要大于镜像端口的速率。只有FE、GE 和POS（不包括接口2.5GPOS 和CPOS）支持端口镜像。 一块接口板只能有一个端口被镜像。 不能在观测端口上配置IP地址 。Page 9第二节:抓包配置命令步骤 1 执行命令system-view，进入系统视图。步骤 2 请根据具体需要，选择执行命令进行相应配置 执行命令port-mirroring mirroring-port ingress | egress observing-port，启动镜像端口观测上行或下行数据。 执行命令port-mirrorin

9、g mirroring-port both ingres-port egress-port，启动镜像端口观测上行和下行数据。可以采用不同的观测端口观测同一镜像端口的上行、下行数据流注:一块接口板最多只能有一个端口被镜像，可以指定某一端口的上行数据或下行数据,或者上下行数据同时被镜像。Page 10第三节:抓包配置举例如图所示，路由器的端口Ethernet3/0/1 的IP 地址为129.1.1.100/24。主机A 的IP地址129.1.2.111/24，主机A 与端口Ethernet3/0/1 之间有可达路由，可以ping 通。主机B 的IP 地址为129.2.2.222/24。设置端口Et

10、hernet3/0/1 为镜像端口，端口Ethernet3/0/14和端口Ethernet3/0/15 为观测端口。Page 11步骤 1 对Ethernet3/0/1 的上行数据流进行镜像# 需要对Ethernet3/0/1 的上行数据的数据流进行镜像，需要进行如下配置。 system-viewRouter interface Ethernet3/0/1Router-Ethernet3/0/1 ip address 129.1.1.100 255.255.255.0Router observing-port ethernet 3/0/14Router port-mirroring ether

11、net3/0/1 ingress ethernet3/0/14步骤 2 对Ethernet3/0/1 的下行数据流进行镜像# 需要对Ethernet3/0/1 的下行数据的数据流进行镜像，需要进行如下配置。Router observing-port ethernet 3/0/15Router port-mirroring ethernet3/0/1 egress ethernet3/0/15经过上述配置后，从端口Ethernet3/0/1 发出的数据将被镜像到端口Ethernet3/0/15 上。步骤 3 对Ethernet3/0/1 的上、下行数据流进行镜像# 需要对Ethernet3/0/

12、1 的上、下行数据的数据流进行镜像，需要进行如下配置。Router observing-port ethernet3/0/14Router observing-port ethernet3/0/15Router port-mirroring ethernet3/0/1 both ethernet3/0/14 ethernet3/0/15查看流量镜像情况可以用ping 命令或其他产生流量的方法。例如：从主机A 发10 个ping 报文到端口Ethernet3/0/1，将主机B 与端口Ethernet3/0/14 连接，在主机B 使用抓包工具接收主机A 发出的全部报文。从路由器端口Ethernet

13、3/0/1 发10 个ping 报文到主机A，将主机B 与端口Ethernet3/0/15 连接，在主机B 使用抓包工具应该接收到从端口Ethernet3/0/1 发出的全部报文。Page 12第三章: S8500设备抓包第一节:抓包限制第二节:抓包配置命令Page 13第一节:抓包限制8500支持端口的跨板镜像，方便问题的定位。端口镜像的对于带tag报文存在一个小缺陷需要注意：如果被镜像端口的报文带tag，而监控端口是Access端口，则镜像后抓到的报文会缺少tag头；要规避这个小缺陷也很简单，只要将监控端口同样设置为trunk类型即可。 对于非跨板镜像，一个接口板上所有同方向的镜像组只能配

14、置一个监控端口.对于跨板镜像，一个接口板上所有同方向的镜像组也只能配置一个监控端口（该监控端口在另一块接口板上）。对于监控发送报文方向的端口镜像组，所有镜像组的被监控端口个数之和不能超过8个。同一个端口可以作为不同镜像组的监控端口和被监控端口。 S8500系列交换机的Pos端口不支持镜像和聚合Page 14第二节:抓包配置命令mirroring-group groupId inbound | outbound mirroring-port-list & mirrored-to mornitor-portPage 15第四章: S7800设备抓包第一节:抓包限制第二节:抓包配置命令Page 16

15、第一节:抓包限制镜像组支持跨板镜像，即目的端口和源端口可以在同一设备的不同单板上。同时，镜像组还支持一个目的端口监视多个源端口的功能。本地镜像组需要配置源端口、目的端口才能生效。 建议用户不要在目的端口上开启STP、RSTP 或MSTP，否则可能会影响镜像功能的正常使用。 建议目的端口不用做其他用途，仅用于端口镜像。 源端口和目的端口不能是现有镜像组的成员端口。 指定的镜像组必须预先创建，一个镜像组只能配置一个目的端Page 17第二节:抓包配置命令（同S3500-EA部分）进入系统视图 system-view 创建本地镜像组 mirroring-group group-id local 必选

16、为镜像组配置源端口,二者必选其一1.在系统视图下配置源端口mirroring-group group-id mirroring-port mirroring-port-list inbound | outbound | both 2.在端口视图下配置源端口interface interface-typeinterface-number mirroring-group group-id mirroring-port inbound | outbound| both 为镜像组配置目的端口,二者必选其一 1.在系统视图下配置目的端口mirroring-group group-idmonitor-po

17、rt monitor-port-id2.在端口视图下配置目的端口interface interface-typeinterface-number mirroring-group group-id monitor-portPage 18第五章: S6500系列设备抓包第一节:抓包限制第二节:抓包配置命令Page 19第一节:抓包限制S6500交换机一个单板一个方向的流量只能有一个监控端口，即使存在跨板端口镜像的情况也是一样的。下面的情况是不能实现的：同一块单板，1口入流量镜像到2口，3口入流量镜像到4口。此情况是由硬件限制造成的，与软件版本无关。 Page 201、S6500对端口镜像inbou

18、nd与outbound功能的支持，是由业务板硬件芯片决定的（VRP要在VRP310-0033及以上版本）。2、S6500业务板的芯片分为两大类：CXE厂商与BCM厂商，CXE厂商应用在S6500业务板的芯片组又分为：G3、H2、K1三种芯片。BCM厂商应用在S6500业务板的芯片组只有一种：我们就称为BCM芯片。3、K1芯片组：支持端口镜像的inbound与outbound，H2芯片组：支持端口镜像的inbound与outbound，G3芯片组：只支持端口镜像的inbound，BCM芯片组：只支持端口镜像的inbound。4、查看业务板采用什么类型芯片做如下操作：S6506R:31_（进入隐藏

19、模式）S6506R:31-hidecmd_displaydrv（设备的底层驱动信息）回显的底层信息比较多，其中有如下显示就是业务板的芯片信息：TheSlotNo:0=TheversionofCXEchip0is:CXEG3TheversionofCXEchip1is:CXEG3=TheSlotNo:1=TheversionofCXEchip0is:CXEG3= Page 21操作命令说明进入系统视图system-view-创建端口镜像组mirroring-group group-id local必选进入镜像目的端口的以太网端口视图interface interface-type interfa

20、ce-number-定义当前端口为镜像目的端口mirroring-group group-id monitor-port必选镜像目的端口上不能使能LACP及STP退出当前视图quit-进入镜像源端口的以太网端口视图interface interface-type interface-number-配置镜像源端口，同时指定被镜像报文的方向mirroring-group group-id mirroring-port both | inbound | outbound 必选显示镜像的参数设置display mirroring-group all | local 可选display命令可以在任意视图

21、下执行第二节:抓包配置命令Page 22第六章: S3500系列设备抓包第一节:抓包配置命令第二节:抓包举例Page 23进入系统视图 system-view -创建本地镜像组 mirroring-group group-id local 必选为镜像组配置源端口:1.在系统视图下配置源端口mirroring-group group-idmirroring-port mirroring-port-list inbound | outbound | both 2.在端口视图下配置源端口interface interface-type interface-number mirroring-group

22、 group-id mirroring-port inbound | outbound| both quit以上二者必选其一用户可以在系统视图下同时配置多个源端口，也可以在具体的端口视图下配置源端口，两种视图下的配置效果相同第一节:抓包配置命令 (S3500-EA)Page 24为镜像组配置目的端口1.在系统视图下配置目的端口mirroring-group group-id monitor-port monitor-port-id2.在端口视图下配置目的端口 interface interface-type interface-number mirroring-group group-id m

23、onitor-port二者必选其一,两种视图下的配置效果相同第一节:抓包配置命令(S3500-EA)续Page 25第二节:抓包举例(S3500-EA)1. 组网需求某公司内部通过交换机实现各部门之间的互连，网络环境描述如下： 研发部通过端口Ethernet 1/0/1 接入Switch C； 市场部通过端口Ethernet 1/0/2 接入Switch C； 数据监测设备连接在Switch C 的Ethernet 1/0/3 端口上。网络管理员希望通过数据监测设备对研发部和市场部收发的报文进行监控。使用本地端口镜像功能实现该需求，在Switch C 上进行如下配置： 端口Ethernet 1

24、/0/1 和Ethernet 1/0/2 为镜像源端口； 连接数据监测设备的端口Ethernet 1/0/3 为镜像目的端口。Page 263. 配置步骤配置Switch C：# 创建本地镜像组。 system-viewSwitchC mirroring-group 1 local# 为本地镜像组配置源端口和目的端口。SwitchC mirroring-group 1 mirroring-port Ethernet 1/0/1 Ethernet 1/0/2 bothSwitchC mirroring-group 1 monitor-port Ethernet 1/0/3# 显示所有镜像组的配置

25、信息。SwitchC display mirroring-group allmirroring-group 1:type: localstatus: activemirroring port:Ethernet1/0/1 bothEthernet1/0/2 bothmonitor port: Ethernet1/0/3配置完成后，用户就可以在Server 上监控部门1 和部门2 收发的所有报文。第二节:抓包举例(S3500-EA)续Page 27S3528G配置命令 monitor-port Ethernet0/13 inbound monitor-port Ethernet0/13 outboun