鏡像功能介紹

鏡像功能概述

隨著網絡的發展，對網絡的高可用性的要求日益提高。當網絡出現異常時，需要對網絡節點或者設備的端口進行了數據流量分析以便網絡能夠快速恢復正常，但同時又要求不影響設備數據流量的正常轉發。

鏡像是將指定端口的報文復制到另一個連接有網絡監測設備的端口的功能，實現了對可疑的網絡節點或者設備端口進行數據流量分析，同時又不影響被監控設備的數據轉發。鏡像功能主要應用在網絡監控和故障排查兩種場景中，實現了監控網絡信息安全和解決網絡故障的目的。

基本概念

1.    源端口

源端口也稱為被監控口，源端口上的數據流會被復制一份到目的端口，用于網絡分析或故障排除。

2.    目的端口

目的端口也稱為為監控口，與監控設備相連接的端口，將接收到的源端口報文轉發到監控設備。

3.    會話

會話是一個邏輯上的概念，一個完整的會話由源端口和目的端口組成。

4.    SPAN

SPAN（Switch Port Analyzer，交換式端口分析器）也稱為本地端口鏡像或者本地鏡像。指同一個鏡像會話的源端口與目的端口在同一臺設備上的鏡像。

5.    RSPAN

RSPAN（Remote Switch Port Analyzer，遠程端口鏡像）是SPAN的擴展，源端口和目標端口處于不同的設備。

6.    ERSPAN

ERSPAN（Encapsulated Remote Switch Port Analyzer，封裝遠程端口鏡像）是RSPAN的擴展，實現了跨越交換或路由網絡的多臺設備的遠程監控方法。

7.    遠程鏡像VLAN

遠程鏡像VLAN是一種特殊的VLAN，該VLAN只傳輸鏡像報文，不對正常的業務數據進行傳輸。

8.    輸出端口

源設備上將鏡像報文發送到中間設備或者目的設備的端口稱為輸出端口。

9.    源設備

源設備是遠程鏡像角色之一，指源端口所在的設備，負責將源端口的報文復制一份到源設備的輸出端口，傳輸給中間設備或目的設備。

10.  目的設備

目的設備遠程鏡像角色之一，指遠程鏡像目的端口所在的設備，負責將中間設備或者源設備接收到的鏡像報文轉發給監控設備。

11.  中間設備

中間設備是遠程鏡像角色之一，指處于源設備和目的設備之間的設備，負責將鏡像報文傳輸給下一個中間設備或目的設備。如果源設備與目的設備直接相連，則不存在中間設備。

12.  鏡像數據流

鏡像數據流指被鏡像的數據報文。鏡像會話的數據流包含以下三種方向的數據流：

l  輸入數據流

所有源端口上接收到的報文都將被復制一份到目的端口。在一個鏡像會話中，可以監控一個或多個源端口的輸入報文。

l  輸出數據流

所有從源端口發送的報文都將復制一份到目的端口。在一個鏡像會話中，可以監控一個或多個源端口的輸出報文。

l  雙向數據流

同時包含輸入數據流和輸出數據流。在一個鏡像會話中，可監控一個或多個源端口的輸入和輸出方向的數據流。

典型配置舉例

1  SPAN配置舉例

1.    組網需求

如圖1-6所示，通過適當的配置，網絡分析儀能夠監控DeviceA轉發給DeviceB的所有數據流，監控來自DeviceB的特定數據流（如來自PC1和PC2的數據流）。

2.    組網圖

圖1-6     SPAN組網圖

 

3.    配置要點

l  配置DeviceA的GigabitEthernet 0/1和GigabitEthernet 0/2屬于VLAN 1。創建SVI 1，并配置SVI 1地址為10.10.10.10/24。

l  配置DeviceB的GigabitEthernet 0/1屬于VLAN 1。創建SVI 1，并配置SVI 1地址為10.10.10.20/24。

l  配置PC1、PC2的地址分別為10.10.10.1/24和10.10.10.2/24。

l  配置DeviceA的本地鏡像，指定端口GigabitEthernet 0/1和GigabitEthernet 0/2分別為鏡像的源端口和目的端口。監控DeviceA轉發給DeviceB的所有數據流，監控來自DeviceB的特定數據流。

4.    配置步驟

# 配置DeviceA的GigabitEthernet 0/1和GigabitEthernet 0/2屬于VLAN 1。

DeviceA> enable

DeviceA# configure terminal

DeviceA(config)# vlan 1

DeviceA(config-vlan)# exit

# 在DeviceA上創建SVI 1，并配置SVI 1地址為10.10.10.10/24。

DeviceA(config)# interface vlan 1

DeviceA(config-if-VLAN 1)# ip address 10.10.10.10 255.255.255.0

DeviceA(config-if-VLAN 1)# exit

# 配置DeviceB的GigabitEthernet 0/1屬于VLAN 1。

DeviceB# configure

DeviceB(config)# vlan 1

DeviceB(config-vlan)# exit

# 在DeviceB上創建SVI 1，并配置SVI 1地址為10.10.10.20/24。

DeviceB (config)# interface vlan 1

DeviceB(config-if-VLAN 1)# ip address 10.10.10.20 255.255.255.0

DeviceB(config-if-VLAN 1)# exit

# 在DeviceA上配置ACL，匹配源地址為10.10.10.20的報文。

DeviceA(config)# access-list 100 permit ip host 10.10.10.20 any

# 在DeviceA上配置端口GigabitEthernet 0/1為鏡像的源端口，監控DeviceA轉發給DeviceB的所有數據流，監控來自DeviceB的特定數據流。

DeviceA(config)# monitor session 1 source interface gigabitethernet 0/1 tx

DeviceA(config)# monitor session 1 source interface gigabitethernet 0/1 rx acl 100

# 在DeviceA上配置GigabitEthernet 0/2為鏡像的目的端口。

DeviceA(config)# monitor session 1 destination interface gigabitethernet 0/2

5.    驗證配置結果

# 通過show monitor命令查看鏡像是否正確配置。

DeviceA# show monitor

sess-num: 1

span-type: LOCAL_SPAN

src-intf:

　GigabitEthernet 0/1　　　　 frame-type TX Only

src-intf:

　GigabitEthernet 0/1　　　　 frame-type RX Only

rx acl id 100

dest-intf:

　GigabitEthernet 0/2

6.    配置文件

l  DeviceA的配置文件

hostname DeviceA

!

ip access-list extended 100

 10 permit ip host 10.10.10.20 any

!

interface VLAN 1

 ip address 10.10.10.10 255.255.255.0

!

monitor session 1 destination interface GigabitEthernet 0/2

monitor session 1 source interface GigabitEthernet 0/1 tx

monitor session 1 source interface GigabitEthernet 0/1 rx acl 100

!

end

l  DeviceB的配置文件

hostname DeviceB

!

interface VLAN 1

 ip address 10.10.10.20 255.255.255.0

!

end

2  基于RSPAN實現的一對多鏡像功能配置舉例

 

1.    組網需求

如圖1-7所示，網絡分析儀可以通過遠程鏡像功能，實現在目的設備DeviceB和DeviceC上監控源設備DeviceA上的雙向數據流。且設備之間均能正常交換數據。

2.    組網圖

圖1-7     基于RSPAN實現的一對多鏡像功能網圖

 

3.    配置要點

l  配置DeviceA為源設備，配置遠程鏡像VLAN，配置端口GigabitEthernet 0/1為源端口，與目的設備相連的端口GigabitEthernet 0/3和GigabitEthernet 0/4為輸出端口，配置GigabitEthernet 0/2接口為MAC回環口，用于實現一對多鏡像的“反射”功能。配置輸出端口可交換功能。

l  DeviceB和DeviceC配置為目的設備，配置遠程鏡像VLAN，與源設備相連的端口GigabitEthernet 0/1作為源端口，配置Trunk端口，與網絡分析儀相連的端口GigabitEthernet 0/2配置為鏡像目的端口，并配置鏡像目的端口可交換功能。

4.    配置步驟

# 配置DeviceA為源設備。

(1)   配置遠程VLAN。

DeviceA> enable

DeviceA# configure terminal

DeviceA(config)# vlan 7

DeviceA(config-vlan)# remote-span

DeviceA(config-vlan)# exit

(2)   配置源端口。

DeviceA(config)# monitor session 1 remote-source

DeviceA(config)# monitor session 1 source interface gigabitethernet 0/1 both

(3)   配置輸出端口。

DeviceA(config)# monitor session 1 destination remote vlan 7 interface gigabitethernet 0/2 switch

(4)   配置回環口。

DeviceA(config)# interface gigabitethernet 0/2

DeviceA(config-if)# mac-loopback

DeviceA(config-if)# switchport access vlan 7

DeviceA(config-if)# exit

DeviceA(config)# interface range gigabitethernet 0/3-4

DeviceA(config-if-range)# switchport mode trunk

# 配置DeviceB為目的設備。

(1)   配置遠程VLAN。

DeviceB> enable

DeviceB# configure

DeviceB(config)# vlan 7

DeviceB(config-vlan)# remote-span

DeviceB(config-vlan)# exit

(2)   配置目的端口。

DeviceB(config)# monitor session 1 remote-destination

DeviceB(config)# monitor session 1 destination remote vlan 7 interface gigabitethernet 0/2 switch

DeviceB(config)# interface gigabitethernet 0/1

DeviceB(config-if)# switchport mode trunk

# 配置DeviceC為目的設備。

(1)   配置遠程VLAN。

DeviceC> enable

DeviceC# configure

DeviceC(config)# vlan 7

DeviceC(config-vlan)# remote-span

DeviceC(config-vlan)# exit

(2)   配置目的端口。

DeviceC(config)# monitor session 1 remote-destination

DeviceC(config)# monitor session 1 destination remote vlan 7 interface gigabitethernet 0/2 switch

DeviceC(config)# interface gigabitethernet 0/1

DeviceC(config-if)# switchport mode trunk

5.    驗證配置結果

# 在DeviceA上通過show monitor命令查看鏡像源設備配置結果。

DeviceA# show monitor

sess-num: 1

span-type: SOURCE_SPAN

src-intf:

GigabitEthernet 0/1　　　frame-type Both

dest-intf:

GigabitEthernet　0/2

Remote vlan 7

mtp_switch on

# 在DeviceB和DeviceC中通過show monitor命令查看鏡像目的設備配置結果。以DeviceB為例說明。

DeviceB# show monitor

sess-num: 1

span-type: DEST_SPAN

dest-intf:

GigabitEthernet　0/2

Remote vlan 7

mtp_switch on

6.    配置文件

l  DeviceA的配置文件

hostname DeviceA

!

vlan 7

!

 remote-span

!

interface GigabitEthernet 0/2

 mac-loopback

 switchport access vlan 7

!

interface GigabitEthernet 0/3

switchport mode trunk

interface GigabitEthernet 0/4

switchport mode trunk

!

monitor session 1 remote-source

monitor session 1 source interface GigabitEthernet 0/1 both

monitor session 1 destination remote vlan 7 interface GigabitEthernet0/2 switch

!

end

l  DeviceB的配置文件

hostname DeviceB

!

vlan 7

 remote-span

!

interface GigabitEthernet 0/1

 switchport mode trunk

!

monitor session 1 remote-destination

monitor session 1 destination remote vlan 7 interface GigabitEthernet0/2 switch

!

end

l  DeviceC的配置文件

hostname Device

!

vlan 7

 remote-span

!

interface GigabitEthernet 0/1

 switchport mode trunk

 !

monitor session 1 remote-destination

monitor session 1 destination remote vlan 7 interface GigabitEthernet 0/2 switch

!

end

7.    常見錯誤

l  源設備、中間設備、目的設備均要配置遠程VLAN且VID必須一致。

l  帶寬大的端口被鏡像到帶寬小的端口可能會造成丟包。

3  ERSPAN基本功能配置舉例

1.    組網需求

如圖1-8中所示。網管希望通過網絡分析儀對DeviceA和DeviceC的流量進行監控。其中對于DeviceA，監控雙向數據流；對于DeviceC，僅監控部分發送到Device的報文。為了合理利用資源，對監控報文進行采樣，采樣率為1000。

2.    組網圖

圖1-8     ERSPAN配置舉例組網圖

 

3.    配置要點

l  配置各設備之間三層路由可達。

l  配置DeviceB為源設備。GigabitEthernet 0/1，GigabitEthernet 0/2均為源端口，監控GigabitEthernet 0/1的雙向數據報文，對于GigabitEthernet 0/2的報文，僅鏡像目的IP為2.1.1.1的報文，GigabitEthernet 0/3為鏡像報文出口。

l  配置鏡像報文的采樣率為1000。

4.    配置步驟

# 配置DeviceB的地址。

DeviceB> enable

DeviceB# configure terminal

DeviceB(config)# interface gigabitethernet 0/1

DeviceB(config-if-GigabitEthernet 0/1)# ip address 1.1.1.1 255.255.255.0

DeviceB(config-if-GigabitEthernet 0/1)# exit

DeviceB(config)# interface gigabitethernet 0/2

DeviceB(config-if-GigabitEthernet 0/1)# ip address 2.1.1.1 255.255.255.0

DeviceB(config-if-GigabitEthernet 0/1)# exit

DeviceB(config)# interface gigabitethernet 0/3

DeviceB(config-if-GigabitEthernet 0/1)# ip address 13.1.1.1 255.255.255.0

DeviceB(config-if-GigabitEthernet 0/1)# exit

# 配置DeviceA的地址。

DeviceA> enable

DeviceA# configure terminal

DeviceA(config)# interface gigabitethernet 0/1

DeviceA(config-if-GigabitEthernet 0/1)# ip address 1.1.1.2 255.255.255.0

DeviceA(config-if-GigabitEthernet 0/1)# exit

# 配置DeviceC地址。

DeviceC> enable

DeviceC# configure terminal

DeviceC(config)# interface gigabitethernet 0/1

DeviceC(config-if-GigabitEthernet 0/1)# ip address 2.1.1.2 255.255.255.0

DeviceC(config-if-GigabitEthernet 0/1)# exit

# 在DeviceB上配置ACL。

DeviceB(config)#access-list 1 permit host 1.1.1.1

# 創建ERSPAN Session 1，設置為源設備，并設置端口GigabitEthernet 0/1為源端口，鏡像雙向數據流，端口GigabitEthernet 0/2也為源端口，僅進行目的地址為1.1.1.1的報文。

DeviceB(config)# monitor session 1 erspan-source

DeviceB(config-mon-erspan-src)# source interface gigabitethernet 0/1 both

DeviceB(config-mon-erspan-src)# source interface gigabitethernet 0/2 rx acl acl1

DeviceB(config-mon-erspan-src)# origin ip address 10.1.1.2

DeviceB(config-mon-erspan-src)# destination ip address 3.1.1.2

# 開啟鏡像報文采用功能并配置采樣率為1000。

DeviceB(config-mon-erspan-src)# sample enable

DeviceB(config-mon-erspan-src)# sample rate 1000

5.    驗證配置結果

# 驗證DeviceB與DeviceA之間三層可通。

DeviceB# ping 1.1.1.2

Sending 5, 100-byte ICMP Echoes to 1.1.1.2, timeout is 2 seconds:

　< press Ctrl+C to break >

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 2/3/8 ms.

# 驗證DeviceB與DeviceC之間三層可通。

DeviceB# ping 2.1.1.2

Sending 5, 100-byte ICMP Echoes to 2.1.1.2, timeout is 2 seconds:

　< press Ctrl+C to break >

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 2/3/8 ms.

# 驗證DeviceB與網絡分析儀之間三層可通。

DeviceB# ping 3.1.1.2

Sending 5, 100-byte ICMP Echoes to 3.1.1.2, timeout is 2 seconds:

　< press Ctrl+C to break >

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 2/3/8 ms.

# 通過show access-lists命令查看ACL配置成功。

DeviceB# show access-lists

 

ip access-list standard 1

 10 permit host 1.1.1.1

# 通過show monitor命令查看配置結果，ERSPAN會話處于Active狀態。

DeviceB# show monitor

sess-num: 1

span-type: ERSPAN_SOURCE

src-intf:

　GigabitEthernet 0/1　　　　 frame-type: Both　　　　TX status: Active　 RX status: Active　

src-intf:

　GigabitEthernet 0/2　　　　 frame-type: RX Only　　 Rx acl id: 1　　　

status: Active

original ip address: 2.1.1.2

destination ip address: 3.1.1.2

ip ttl: 64

ip dscp: 0

sample rate: 1000

vrf: default

6.    配置文件

l  DeviceA的配置文件

hostname DeviceA

!

interface GigabitEthernet 0/1

 ip address 1.1.1.2 255.255.255.0

!

end

l  DeviceC的配置文件

hostname DeviceC

!

interface GigabitEthernet 0/1

 ip address 2.1.1.2 255.255.255.0

!

end

l  DeviceB的配置文件

hostname DeviceB

!

ip access-list standard 1

 10 permit host 1.1.1.1

!

interface GigabitEthernet 0/1

 ip address 1.1.1.1 255.255.255.0

!

interface GigabitEthernet 0/2

 ip address 2.1.1.1 255.255.255.0

!

interface GigabitEthernet 0/3

 ip address 3.1.1.1 255.255.255.0

!

monitor session 1 erspan-source

 source interface gigabitEthernet 0/1 both

 source interface gigabitEthernet 0/2 rx acl acl1

 origin ip address 10.1.1.2

 destination ip address 3.1.1.2

 sample enable

 sample rate 1000

!

end

7.    常見錯誤

l  配置ERSPAN鏡像的會話ID已經被配置了RSPAN或LOCAL SPAN。

l  從源設備到目的設備的三層路由無法互通。