資源描述:
《遠(yuǎn)程鏡像配置的實(shí)現(xiàn)》由會(huì)員上傳分享,免費(fèi)在線閱讀���,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫(kù)��。
1����、1端口鏡像配置1.1?端口鏡像簡(jiǎn)介端口鏡像是將指定端口(源端口)的報(bào)文復(fù)制一份到其它端口(目的端口)��,目的端口會(huì)與數(shù)據(jù)監(jiān)測(cè)設(shè)備相連����,用戶利用這些數(shù)據(jù)監(jiān)測(cè)設(shè)備來(lái)分析復(fù)制到目的端口的報(bào)文����,進(jìn)行網(wǎng)絡(luò)監(jiān)控和故障排除。1.1.1?端口鏡像的基本概念為了更好地理解后面的內(nèi)容�����,首先介紹一下端口鏡像中涉及的基本概念���。1.源端口源端口是被監(jiān)控的端口�����,用戶可以對(duì)通過(guò)該端口的報(bào)文進(jìn)行監(jiān)控和分析。2.目的端口目的端口也可稱為監(jiān)控端口��,該端口將接收到的報(bào)文轉(zhuǎn)發(fā)到數(shù)據(jù)監(jiān)測(cè)設(shè)備���,以便對(duì)報(bào)文進(jìn)行監(jiān)控和分析��。3.鏡像的方向端口鏡像的方向分為三種:
2、l?????????????入方向:僅對(duì)從源端口收到的報(bào)文進(jìn)行鏡像�����。l?????????????出方向:僅對(duì)從源端口發(fā)出的報(bào)文進(jìn)行鏡像�。l?????????????雙向:對(duì)從源端口收到和發(fā)出的報(bào)文都進(jìn)行鏡像���。1.1.2?端口鏡像的分類根據(jù)使用范圍的不同�����,端口鏡像可分為以下三種類型:l?????????????本地端口鏡像:可以將設(shè)備源端口上的報(bào)文復(fù)制到本設(shè)備的目的端口��,用于監(jiān)控和分析這些報(bào)文。l?????????????二層遠(yuǎn)程端口鏡像:可以將本設(shè)備源端口上的報(bào)文通過(guò)二層網(wǎng)絡(luò)復(fù)制到另一臺(tái)設(shè)備的目的端口�����,用于監(jiān)控和
3�����、分析這些報(bào)文����。l?????????????三層遠(yuǎn)程端口鏡像:可以將本設(shè)備源端口上的報(bào)文通過(guò)三層網(wǎng)絡(luò)復(fù)制到另一臺(tái)設(shè)備的目的端口�,用于監(jiān)控和分析這些報(bào)文。三層遠(yuǎn)程端口鏡像可以實(shí)現(xiàn)不同網(wǎng)絡(luò)甚至不同地域間的鏡像功能,極大擴(kuò)展了鏡像功能監(jiān)測(cè)的范圍����,并通過(guò)隧道方式保證了鏡像報(bào)文的安全�。適用于在通過(guò)隧道連接的不同站點(diǎn)間進(jìn)行數(shù)據(jù)采集和分析。由于一個(gè)目的端口可以同時(shí)監(jiān)視多個(gè)源端口���,在某些配置情況下�����,目的端口會(huì)收到同一個(gè)報(bào)文的多個(gè)復(fù)制報(bào)文����。例如����,目的端口Port1同時(shí)監(jiān)控源端口Port2和Port3接收和發(fā)送的所有報(bào)文(Port2和
4、Port3在同一臺(tái)設(shè)備上)�,如果一個(gè)報(bào)文從Port2進(jìn)入設(shè)備又從Port3發(fā)送出去��,那么這個(gè)報(bào)文將被復(fù)制兩次送到目的端口Port1����。?1.1.3?端口鏡像的實(shí)現(xiàn)方式端口鏡像通過(guò)鏡像組的方式實(shí)現(xiàn),鏡像組可以分為本地鏡像組�、遠(yuǎn)程源鏡像組和遠(yuǎn)程目的鏡像組三類���。1.本地端口鏡像實(shí)現(xiàn)方式本地端口鏡像通過(guò)本地鏡像組的方式實(shí)現(xiàn)���,即源端口和目的端口在同一個(gè)本地鏡像組中,設(shè)備將源端口的報(bào)文復(fù)制一份并轉(zhuǎn)發(fā)到目的端口�。圖1-1本地端口鏡像示意圖?如圖1-1所示���,源端口的報(bào)文被鏡像到目的端口��,這樣�,連接在目的端口上的數(shù)據(jù)監(jiān)測(cè)設(shè)備就可以對(duì)
5����、這些報(bào)文進(jìn)行監(jiān)控和分析。本地鏡像組支持跨板鏡像�,即目的端口和源端口可以在同一設(shè)備的不同單板上。?2.二層遠(yuǎn)程端口鏡像實(shí)現(xiàn)方式二層遠(yuǎn)程端口鏡像通過(guò)遠(yuǎn)程源鏡像組和遠(yuǎn)程目的鏡像組互相配合的方式實(shí)現(xiàn)�。圖1-2二層遠(yuǎn)程端口鏡像示意圖?如圖1-2所示,用戶在源設(shè)備上創(chuàng)建遠(yuǎn)程源鏡像組,在目的設(shè)備上創(chuàng)建遠(yuǎn)程目的鏡像組����。源設(shè)備將源端口的報(bào)文鏡像一份給出端口,由該端口將鏡像報(bào)文轉(zhuǎn)發(fā)給中間設(shè)備�����,再由中間設(shè)備在遠(yuǎn)程鏡像VLAN內(nèi)廣播����,最終到達(dá)目的設(shè)備。目的設(shè)備收到該報(bào)文后判斷其VLANID�����,若其VLANID與遠(yuǎn)程目的鏡像組的遠(yuǎn)程鏡像VL
6�����、AN的VLANID相同�����,就將其轉(zhuǎn)發(fā)至目的端口�。這樣���,連接在目的端口上的數(shù)據(jù)監(jiān)測(cè)設(shè)備就可以對(duì)源設(shè)備上源端口的報(bào)文進(jìn)行監(jiān)控和分析。l?????????用戶需要確保遠(yuǎn)程鏡像VLAN內(nèi)源設(shè)備到目的設(shè)備間二層網(wǎng)絡(luò)的互通性���。l?????????在一個(gè)鏡像組中對(duì)同一個(gè)端口收發(fā)的報(bào)文進(jìn)行雙向鏡像時(shí),需要在源設(shè)備�����、中間設(shè)備和目的設(shè)備上通過(guò)mac-addressmac-learningdisable命令用來(lái)關(guān)閉遠(yuǎn)程鏡像VLAN的MAC地址學(xué)習(xí)功能�����,以保證鏡像功能的正常進(jìn)行����。關(guān)于mac-addressmac-learningdisab
7、le命令的詳細(xì)信息���,請(qǐng)參見(jiàn)“二層技術(shù)-以太網(wǎng)交換命令參考”中的“MAC地址表配置命令”���。?在鏡像報(bào)文離開(kāi)源設(shè)備到達(dá)遠(yuǎn)程目的設(shè)備過(guò)程中�����,用戶應(yīng)確保鏡像報(bào)文中VLANID的正確性,如果該VLANID被修改或刪除����,二層遠(yuǎn)程鏡像功能將失效。?3.三層遠(yuǎn)程端口鏡像實(shí)現(xiàn)方式三層遠(yuǎn)程端口鏡像通過(guò)遠(yuǎn)程源鏡像組����、遠(yuǎn)程目的鏡像組和GRE隧道互相配合的方式實(shí)現(xiàn)�。圖1-3三層遠(yuǎn)程端口鏡像示意圖?如圖1-3所示,在源設(shè)備上�����,源端口的報(bào)文被鏡像到Tunnel接口(作為其目的端口)���,然后通過(guò)GRE隧道發(fā)送至目的設(shè)備,目的設(shè)備在通過(guò)Tunnel
8�����、接口(作為其源端口)將報(bào)文轉(zhuǎn)發(fā)至其目的端口�。這樣�,目的設(shè)備上連接目的端口的數(shù)據(jù)監(jiān)測(cè)設(shè)備就可以對(duì)源設(shè)備上源端口的報(bào)文進(jìn)行監(jiān)控和分析�����。l?????????有關(guān)GRE隧道的詳細(xì)介紹����,請(qǐng)參見(jiàn)“三層技術(shù)-IP業(yè)務(wù)配置指導(dǎo)”中的“隧道配置”����。l?????????僅有SD����、EB系列單板支持三層遠(yuǎn)程端口鏡像功能����。?1.2?配置本地端口鏡像1.2.1?配置任務(wù)簡(jiǎn)介本地端口鏡像的配置需要在同
