數(shù)據(jù)培訓(xùn)資料：ZXR10-II-07 端口鏡像原理與配置

ZXR10_II_07_200904

端口鏡像原理與配置V1.0學(xué)習(xí)目標(biāo)了解端口鏡像的概念和分類掌握交換機(jī)和路由器端口鏡像的基本配置課程內(nèi)容第一章端口鏡像的概念第一節(jié)端口鏡像的概念第二節(jié)端口鏡像的分類第三節(jié)路由器鏡像注意事項(xiàng)第二章交換機(jī)和路由器端口鏡像的基本配置第一節(jié)基于端口鏡像的基本配置第二節(jié)基于端口鏡像的配置案例第三節(jié)基于流鏡像的基本配置第四節(jié)基于流鏡像的配置案例什么是端口鏡像？PC-APC-B被鏡像端口監(jiān)控端口端口鏡像定義端口鏡像：將交換機(jī)或路由器上一個(gè)或多個(gè)端口(被鏡像端口)的數(shù)據(jù)復(fù)制到一個(gè)指定的目的端口(監(jiān)控端口)上，通過(guò)鏡像可以在監(jiān)控端口上獲取這些被鏡像端口的數(shù)據(jù)，以便進(jìn)行網(wǎng)絡(luò)流量分析、錯(cuò)誤診斷等。課程內(nèi)容第一章端口鏡像的概念第一節(jié)端口鏡像的概念第二節(jié)端口鏡像的分類第三節(jié)路由器鏡像注意事項(xiàng)第二章交換機(jī)和路由器端口鏡像的基本配置第一節(jié)基于端口鏡像的基本配置第二節(jié)基于端口鏡像的配置案例第三節(jié)基于流鏡像的基本配置第四節(jié)基于流鏡像的配置案例端口鏡像的分類基于端口的鏡像端口鏡像就是將被監(jiān)控端口上的數(shù)據(jù)復(fù)制到指定的監(jiān)控端口，對(duì)數(shù)據(jù)進(jìn)行分析和監(jiān)視?；诹鞯溺R像流鏡像就是將匹配訪問(wèn)控制列表規(guī)則的業(yè)務(wù)流復(fù)制到指定的監(jiān)控端口，用于報(bào)文的分析和監(jiān)視?；诙丝诘溺R像基于端口的鏡像是把被鏡像端口的進(jìn)出數(shù)據(jù)報(bào)文完全拷貝一份到鏡像端口，這樣來(lái)進(jìn)行流量觀測(cè)或者故障定位。以太網(wǎng)交換機(jī)及T600/T1200的2.8.21.B.21.P2及以后版本支持多對(duì)一的鏡像，即將多個(gè)端口的報(bào)文復(fù)制到一個(gè)監(jiān)控端口上。被鏡像口鏡像口鏡像數(shù)據(jù)業(yè)務(wù)數(shù)據(jù)被鏡像口鏡像口鏡像數(shù)據(jù)業(yè)務(wù)數(shù)據(jù)基于流的鏡像基于流鏡像的交換機(jī)針對(duì)某些流進(jìn)行鏡像，每個(gè)連接都有兩個(gè)方向的數(shù)據(jù)流，對(duì)于交換機(jī)來(lái)說(shuō)這兩個(gè)數(shù)據(jù)流可以分開(kāi)鏡像。一臺(tái)交換機(jī)或路由器只支持配置一個(gè)監(jiān)控端口。Fei_1/1Fei_1/2數(shù)據(jù)流1的鏡像數(shù)據(jù)數(shù)據(jù)流1的業(yè)務(wù)數(shù)據(jù)數(shù)據(jù)流2的業(yè)務(wù)數(shù)據(jù)Fei_1/1Fei_1/2課程內(nèi)容第一章端口鏡像的概念第一節(jié)端口鏡像的概念第二節(jié)端口鏡像的分類第三節(jié)路由器鏡像注意事項(xiàng)第二章交換機(jī)和路由器端口鏡像的基本配置第一節(jié)基于端口鏡像的基本配置第二節(jié)基于端口鏡像的配置案例第三節(jié)基于流鏡像的基本配置第四節(jié)基于流鏡像的配置案例路由器端口鏡像注意事項(xiàng)高端路由器目前只有T600/T1200的V2.8.21.B.21.P2以及其后的版本支持，低端路由器ZSR也支持鏡像；最多可支持8組端口鏡像會(huì)話，每組可支持8×8個(gè)鏡像源端口；目前高端路由器僅支持以太接口的鏡像，鏡像目的端口需為以太實(shí)接口，低端路由器ZSR支持從PPP接口鏡像到以太接口；鏡像目的端口只能作為鏡像流量發(fā)送端口使用，不能再配置其他任何業(yè)務(wù)；tx方向流量的鏡像僅支持鏡像源與目的端口同板的情況；控制平面的報(bào)文鏡像僅支持NPCIX線卡rx方向的情況；VPLS，VPWS流量不支持鏡像；目前僅支持本地鏡像，不支持遠(yuǎn)程鏡像；在轉(zhuǎn)發(fā)過(guò)程中需要被丟棄的報(bào)文在鏡像時(shí)即使配置了ACL也不再受ACL規(guī)則控制；同時(shí)鏡像rx和tx方向流量時(shí)，ACL只能應(yīng)用在其中一個(gè)方向；在下行發(fā)送時(shí)noarp后上送的包不支持鏡像；線卡性能有限，當(dāng)線卡承載大流量數(shù)據(jù)轉(zhuǎn)發(fā)時(shí)，需謹(jǐn)慎使用端口鏡像功能。課程內(nèi)容第一章端口鏡像的概念第一節(jié)端口鏡像的概念第二節(jié)端口鏡像的分類第三節(jié)路由器鏡像注意事項(xiàng)第二章交換機(jī)和路由器端口鏡像的基本配置第一節(jié)基于端口鏡像的基本配置第二節(jié)基于端口鏡像的配置案例第三節(jié)基于流鏡像的基本配置第四節(jié)基于流鏡像的配置案例交換機(jī)基于端口鏡像的基本配置創(chuàng)建一個(gè)會(huì)話(全局配置)

monitorsession<session-number>向會(huì)話條目添加源或目的端口(接口配置)monitorsession<session-number>{destination|source[direction{both|tx|rx}]}參數(shù)描述<session-number>會(huì)話號(hào)，范圍1~8destination指定本端口為目的端口source指定本端口為源端口direction配置源端口流量采集方向both配置源端口流量采集方向是入向和出向tx配置源端口流量采集方向是出向rx配置源端口流量采集方向是入向路由器基于端口鏡像的基本配置啟用鏡像功能(全局配置)

monitorsession<session-number>enable/disable創(chuàng)建會(huì)話并加入鏡像源、目的端口(全局配置)monitorsession<session-number>[[source<source-interface>[direction<tx|rx|both>][destination<destination-interface>]參數(shù)描述<session-number>會(huì)話號(hào)，范圍1~8destination指定本端口為目的端口source指定本端口為源端口direction配置源端口流量采集方向both配置源端口流量采集方向是入向和出向tx配置源端口流量采集方向是出向rx配置源端口流量采集方向是入向課程內(nèi)容第一章端口鏡像的概念第一節(jié)端口鏡像的概念第二節(jié)端口鏡像的分類第三節(jié)路由器鏡像注意事項(xiàng)第二章交換機(jī)和路由器端口鏡像的基本配置第一節(jié)基于端口鏡像的基本配置第二節(jié)基于端口鏡像的配置案例第三節(jié)基于流鏡像的基本配置第四節(jié)基于流鏡像的配置案例交換機(jī)基于端口鏡像的配置案例(1)網(wǎng)絡(luò)拓?fù)銹C1192.168.0.1/24PC2192.168.0.2/24PC3Fei_1/1Fei_1/3Fei_1/2交換機(jī)基于端口鏡像的配置案例(2)組網(wǎng)說(shuō)明接口fei_1/1與fei_1/2在同一個(gè)vlan，pc1與pc2為同一網(wǎng)段；

fei_1/3接pc3，且與fei_1/1、fei_1/2不在同一vlan。在pc1上長(zhǎng)時(shí)間pingpc2。fei_1/1作為被鏡像口，fei_1/3作為鏡像口，在pc3上對(duì)fei_1/1上的數(shù)據(jù)包進(jìn)行鏡像抓包。交換機(jī)基于端口鏡像的配置案例(3)詳細(xì)配置interfacefei_1/1negotiationautoswitchportaccessvlan10switchportqinqnormalmonitorsession1sourcedirectionbothinterfacefei_1/2negotiationautoswitchportaccessvlan10switchportqinqnormalinterfacefei_1/3negotiationautoswitchportaccessvlan1switchportqinqnormalmonitorsession1destination交換機(jī)基于端口鏡像的配置案例(4)顯示端口鏡像配置與狀態(tài)ZXR10(config)#showmonitorsessionallSession1------------SourcePorts:Port:fei_1/1MonitorDirection:bothDestinationPort:Port:fei_1/3路由器基于端口鏡像的配置案例(1)

網(wǎng)絡(luò)拓?fù)銹C1192.168.0.1/24PC210.0.0.1/24PC3Fei_1/1Fei_1/3Fei_1/210.1.1.1/24路由器基于端口鏡像的配置案例(2)組網(wǎng)說(shuō)明接口fei_1/1與fei_1/2為路由器上兩個(gè)端口，fei_1/1為192.168.0.0網(wǎng)段，fei_1/2為10.0.0.0網(wǎng)段。在pc1上長(zhǎng)時(shí)間pingpc2。fei_1/1作為被鏡像口，fei_1/3作為鏡像口，在pc3上對(duì)fei_1/1上的數(shù)據(jù)包進(jìn)行鏡像抓包。路由器基于端口鏡像的配置案例(3)詳細(xì)配置Interfacefei_1/1Ipaddress192.168.0.2255.255.255.0Interfacefei_1/2Ipaddress10.0.0.2255.255.255.0Interfacefei_1/3Ipaddress10.1.1.2255.255.255.0monitorsession1enablemonitorsession1sourcefei_1/1directionbothdestinationfei_1/3路由器基于端口鏡像的配置案例(4)顯示端口鏡像配置ShowmonitorsessionallSession1------------SourcePorts:Port:fei_1/1MonitorDirection:bothDestinationPort:Port:fei_1/3低端路由器基于端口鏡像的配置案例(5)1．端口鏡像功能的啟用和停用：monitor{on|off}2．配置鏡像模式：monitorsession<num>source<interface>destination<interface>[mode{mirror|redirect}]3．會(huì)話的使能和停止管理：monitorsession<SessionID>{enable|disable}4．配置會(huì)話目的端口的鏡像MAC地址(用于鏡像源端口是非以太網(wǎng)類型)：monitorencapsulationmac-address

<xxxx.xxxx.xxxx>5．配置grp協(xié)議兼容cisco的erspan類型：

monitorencapsulationcisco-erspan6．配置鏡像包為以太網(wǎng)類型：monitorencapsulationether-type7．強(qiáng)迫pppip類型封裝為ipoe類型，非pppip類型封裝為pppoe類型。

monitorencapsulationppp-to-ethernet8．在Mirror模式下，支持對(duì)指定截?cái)嚅L(zhǎng)度數(shù)據(jù)包的鏡像

monitorsession<num>source<interface>destination<interface>modemirrortruncate-len<TruncateLength>低端路由器基于端口鏡像的配置案例(6)以P21頁(yè)圖為例Interfacefei_1/1Ipaddress192.168.0.2255.255.255.0Interfacefei_1/2Ipaddress10.0.0.2255.255.255.0Interfacefei_1/3Ipaddress10.1.1.2255.255.255.0monitoronmonitorsession1sourcefei_1/1destinationfei_1/3modemirror

課程內(nèi)容第一章端口鏡像的概念第一節(jié)端口鏡像的概念第二節(jié)端口鏡像的分類第三節(jié)路由器鏡像注意事項(xiàng)第二章交換機(jī)和路由器端口鏡像的基本配置第一節(jié)基于端口鏡像的基本配置第二節(jié)基于端口鏡像的配置案例第三節(jié)基于流鏡像的基本配置第四節(jié)基于流鏡像的配置案例交換機(jī)基于流鏡像的基本配置流鏡像配置(全局配置)traffic-mirrorin<acl-number>rule-id<rule-no>{cpu|interface}參數(shù)描述<acl-number>

ACL表號(hào)rule-id<rule-no>

ACL中的規(guī)則號(hào)，范圍1~100cpu流鏡像到CPUinterface流鏡像到端口路由器基于流鏡像的基本配置流鏡像配置(全局配置)monitorsession<session-number>[[source<source-interface>[direction<tx|rx|both>][acl<acl-number|acl-name><in|out>]][destination<destination-interface>]]參數(shù)描述<acl-number>|<acl-name>ACL表號(hào)|ACL名稱rule-id<rule-no>

ACL中的規(guī)則號(hào)課程內(nèi)容第一章端口鏡像的概念第一節(jié)端口鏡像的概念第二節(jié)端口鏡像的分類第三節(jié)路由器鏡像注意事項(xiàng)第二章交換機(jī)和路由器端口鏡像的基本配置第一節(jié)基于端口鏡像的基本配置第二節(jié)基于端口鏡像的配置案例第三節(jié)基于流鏡像的基本配置第四節(jié)基于流鏡像的配置案例交換機(jī)基于流鏡像的配置案例(1)網(wǎng)絡(luò)拓?fù)銹C1192.168.0.1/24PC3192.168.0.2/24PC5Fei_1/1Fei_1/3Fei_1/2PC2192.168.1.1/24PC4192.168.1.2/24交換機(jī)基于流鏡像的配置案例(2)組網(wǎng)說(shuō)明接口fei_1/1、fei_1/2在同一個(gè)vlan，pc1和pc3、pc2和pc4分別在同一網(wǎng)段；fei_1/3接pc5，且與fei_1/1、fei_1/2不在同一vlan。在pc1、pc2分別pingpc3、pc4。fei_1/3作為鏡像口，在pc5上對(duì)pc1到pc3的數(shù)據(jù)流進(jìn)行鏡像抓包。交換機(jī)基于流鏡像的配置案例(3)詳細(xì)配置aclbasicnumber1rule1permit192.168.0.00.0.0.0rule2permit192.168.1.00.0.0.0traffic-mirrorin1rule-id1interfaceinterfacefei_1/3negotiationautoswitchportaccessvlan1switchportqinqnormalmonitorsession1destinationinterfacefei_1/1negotiationautoipaccess-group1inswitchportaccessvlan10switchportqinqnormalinterfacefei_1/2negotiationautoswitchportaccessvlan10switchportqinqnormal交換機(jī)基于流鏡像的配置案例(4)查看流鏡像配置ZXR10(config)#showaclaclbasicnumber1rule1permit192.168.0.00.0.0.0rule2permit192.168.1.00.0.0.0ZXR10(config)#showqostraffic-mirrorin1rule-id1interfaceZXR10(config)#showmonitorsession1Session1------------SourcePorts:DestinationPort:Port:fei_1/3路由器基于流鏡像的配置案例(1)網(wǎng)絡(luò)拓?fù)銹C1192.168.0.1/24PC310.0.0.1/24Fei_1/1Fei_1/3Fei_1/2PC210.1.1.1/24R1R2PC4172.16.0.1/24Fei_1/1Fei_1/2Fei_1/3路由器基于流鏡像的配置案例(2)組網(wǎng)說(shuō)明R1上接入PC1、PC2的兩個(gè)網(wǎng)段；R2上接PC3、PC4。在pc1、pc2同時(shí)pingpc3。R2上的fei_1/3作為鏡像口，fei_1/1作為被鏡像口，在pc4上只對(duì)pc1到pc3的數(shù)據(jù)流進(jìn)行鏡像抓包。路由器基于流鏡像的配置案例(3)詳細(xì)配