1、 镜像端口的有效性。镜像端口的有效性。目前有效性主要是指 Combo 端口的有效性,由于 Combo 端口可能处于禁用状态,因此在最小完整配置中的端口如果是处于禁 用的 Combo 端口,则镜像组状态仍处于非激活状态。启用该 Combo 口,则 镜像组的状态则自动变为激活状态;反之,如果原来最小完整配置中包含 命运的改变从技术开始,学网络技术,就来网络之路教程店 h t t p :/c c i e h 3c .t a o b a o .c o m 更多资料分享:h t t p :/p a n .b a i d u .c o m /s h a r e /h o m e ?u k =2084365
2、290&v i e w =s h a r e # 系统学习: h t t p :/c c i e h 3c .t a o b a o .c o m 端口镜像典型配置举例 杭州华三通信技术有限公司 第4页, 共15页 Combo 端口的镜像组处于激活状态,如果禁用该 Combo 口,则镜像组也会 变为非激活状态。 ? 远程镜像远程镜像 VLAN 的扩展。的扩展。未知目的 MAC 地址的报文会在 VLAN 内广播,因 此可以利用此特性在禁止 VLAN 学习 MAC 地址的设备上实现多个监控端口 的镜像功能。即配置了远程镜像组的设备上的任何端口只要允许远程镜像 VLAN 的报文通过,则该端口实际上就
3、可以起到监控端口的作用,而并不一 定必须在远程镜像组中配置目的端口。 ? 镜像目的端口的入方向流量及镜像目的端口的入方向流量及 MAC 地址学习。地址学习。端口镜像的目的端口上对入 方向的流量及 MAC 地址学习功能没有做限制,在某些特殊情况下配置不当可 能会引起网络异常。比如镜像目的端口如果连接的是一个比较智能的安全设 备(如 IDS 设备),则禁止镜像目的端口入方向流量就有必要,因为这些设 备可能会发出抑制报文(如 TCP 重置包等)用来中断可疑流量,这可能造成 不期望的结果。再比如镜像目的端口如果连接的是一个中继设备(如二层交 换机),在中继设备中有环路出现的话,那么复制的流可能在镜像目
4、的端口 原路返回,这样会在目的端口上重新学习 MAC 地址,导致网络异常。 4 多个监控端口配置举例 4.1 组网需求 用户有两台监控分析设备,功能不同,一台是专用分析仪,另一台是IDS设备。用 户希望在设备A上能对来自internet的流量同时进行综合分析和入侵检测。组网如图 1 所示。 命运的改变从技术开始,学网络技术,就来网络之路教程店 h t t p :/c c i e h 3c .t a o b a o .c o m 更多资料分享:h t t p :/p a n .b a i d u .c o m /s h a r e /h o m e ?u k =2084365290&v i e
5、w =s h a r e # 系统学习: h t t p :/c c i e h 3c .t a o b a o .c o m 端口镜像典型配置举例 杭州华三通信技术有限公司 第5页, 共15页 Device A 分析仪 IDS Internet GE1/0/25 GE1/0/27 GE1/0/28 图1 多个监控端口配置组网图 4.2 配置思路 由于每个镜像组只能配置一个目的端口,并且源端口只能属于一个镜像组,因此可 以利用远程镜像VLAN来实现镜像到多个目的端口的目的。 ? 在设备上配置远程源镜像组,并保证镜像组处于激活状态; ? 将多个目的端口加入远程镜像 VLAN。 4.3 使用版本
6、本举例是在57设备的COMWAREV500R002B41D001版本上进行配置和验证的。 4.4 配置步骤 ? 说明: 以下配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出 厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有 配置和以下配置不冲突。 本文档不严格与具体软、硬件版本对应。 命运的改变从技术开始,学网络技术,就来网络之路教程店 h t t p :/c c i e h 3c .t a o b a o .c o m 更多资料分享:h t t p :/p a n .b a i d u .c o m /s h a r e /h o m e ?u k
7、 =2084365290&v i e w =s h a r e # 系统学习: h t t p :/c c i e h 3c .t a o b a o .c o m 端口镜像典型配置举例 杭州华三通信技术有限公司 第6页, 共15页 4.4.1 设备A的配置 1. 配置步骤 (1) 配置远程源镜像组。 # 创建远程源镜像组。 system-view DeviceA mirroring-group 1 remote-source # 创建VLAN 2。 DeviceA vlan 2 DeviceA-vlan2 quit # 为远程源镜像组配置远程镜像VLAN、源端口和反射口。 DeviceA m
8、irroring-group 1 remote-probe vlan 2 DeviceA mirroring-group 1 mirroring-port GigabitEthernet 1/0/25 inbound DeviceA mirroring-group 1 reflector-port GigabitEthernet 1/0/26 (2) 在远程镜像VLAN中添加监控端口。 # 进入连接分析仪的接口视图。 DeviceA interface GigabitEthernet 1/0/27 # 将连接分析仪的端口加入远程镜像VLAN。 DeviceA-GigabitEthernet1/
9、0/27 port access vlan 2 # 进入连接IDS设备的接口视图。 DeviceA-GigabitEthernet1/0/27 interface GigabitEthernet 1/0/28 # 将连接IDS设备的端口加入远程镜像VLAN。 DeviceA-GigabitEthernet1/0/28 port access vlan 2 2. 配置文件 display current-configuration # version 5.20, Test 5310 # sysname DeviceA # domain default enable system # telnet
10、 server enable # mirroring-group 1 remote-source 命运的改变从技术开始,学网络技术,就来网络之路教程店 h t t p :/c c i e h 3c .t a o b a o .c o m 更多资料分享:h t t p :/p a n .b a i d u .c o m /s h a r e /h o m e ?u k =2084365290&v i e w =s h a r e # 系统学习: h t t p :/c c i e h 3c .t a o b a o .c o m 端口镜像典型配置举例 杭州华三通信技术有限公司 第7页, 共15页 mirroring-group 1 remote-probe vlan 2 # vlan 1 # vlan 2 # domain system access-limit disable state active