一对多镜像,包含多对多镜像:当需要把一台交换机上面的一个口或者是多个端口的流量,镜像(复制)到交换机上面的某几个端口的时候,就可以考虑采用交换机的一对多镜像功能。注意镜像的源端口可以是多个端口的双向流量(both)一起镜像到目的口,也可以是部分端口的入方向(rx)流量,与部分端口的出方向(tx)流量一起结合起来镜像到某几个目的端口。
一对多镜像,通常在网络中有多台监控服务器(比如数据库操作审计服务器,日志记录服务器,上网行为管理服务器,流量统计或者监控服务器),视频加速
缓存设备(如我司的powercache),或者是他们的任意组合接入到同一台交换机上,需要对同一份数据(通常是上联口,或者是关键服务器端口)进行采集的环境。
另外一个情况需要特别说明下,有些客户场景中原来是单台监控服务器,采用的是普通的一对一镜像,后面又新增了某种运用的服务器,需要采集/镜像
网络中的之前的同一份数据,此时也需要采用一对多镜像功能,由于多对一镜像与一对多镜像配置思路完全不同,所以需要将原来的一对一镜像配置命令删除掉,重新规划采用一对多的配置方法。
功能简介:
端口镜像:用户可以利用端口镜像(SPAN)提供的功能,将指定端口的报文复制到交换机上另一个连接有网络监测设备的端口,进行网络监控与流量分析。通过SPAN可以监控所有从源端口进入和输出的报文,实现报文快速的,原封不动的“复制”。
端口镜像不会改变镜像报文的任何信息,也不会影响原有报文的正常转发。同时对于源端口,目的端口的介质类型没有要求,可以是光口镜像到电口,也可以是电口的流量镜像到光口。对于源端口,目的端口的属性没有要求,可以是access口镜像到trunk口,也可以是trunk口镜像到access口。
注:一对多(多对多)可以将一个端口的流量,镜像到多个目标端口,并非所有的交换机都支持一对多镜像。
提示:对于不支持一对多的设备,可以通过普通RSPAN镜像功能(不使用自环口)将RSPAN目标端口再连接到一台空配置交换机上,划分多个接口到一个VLAN中(RSPAN使用的VLAN中)并关闭所有端口MAC地址学习功能(no mac-address-learning)和端口风暴控制(类似HUB泛洪,由于没有MAC地址学习,报文才会进行泛洪,所以需要关闭风暴控制防止镜像流量太多被抑制而丢弃),从而实现一对多功能。
一、组网需求
g4/1及g4/2下面连接用户,g4/21及g4/22连接两台监控服务器,现在需要实现监控服务器1及监控服务器2都能监控g4/1及g4/2口的数据流
二、组网拓扑
三、配置要点
1)在核心交换机上创建Remote VLAN。
2)指定核心交换机为RSPAN的源设备,配置直连PC1,PC2的端口g4/1及g4/2为镜像源端口;选择一个Down状态(无需手工shutdown)的端口(本例为G 4/23)为镜像输出端口,将该端口加入Remote VLAN,并配置为MAC自环。(这里的down状态的端口不是指手动将接口shutdown,而是这个接口之前没有使用,没有连线)
3)将直连监控服务器1,监控服务器2的G4/21,G4/22端口加入Remote VLAN。
重点说明:
1)需要在交换机上将一个未使用的端口配置成为一个mac自环口,配置为mac自环口后,该端口不插网线或光线,接口会自动UP,并且接口状态灯亮绿色。MAC不能做其他配置,也不要打开此接口的交换功能,否则可能导致监控服务器无法接收到监控数据流(锐捷11.x设备除外,因为锐捷11.x设备是强制要求开启switch字段的,不然配置不成功)
四、配置步骤
交换机配置:
1、在交换机上配置Remote VLAN。建议远程vlan设置为4000以下的vlan ID
在交换机上创建Remote VLAN 100。 ——>这个VLAN需要是在交换机上没有使用的业务VLAN
Ruijie>enable
Ruijie#configure terminal ——>进入全局配置模式
Ruijie(config)#vlan 100
Ruijie(config-vlan)#remote-span
Ruijie(config-vlan)#exit
2、配置vlan修剪,节约带宽。
重点说明:
注意:由于RSPAN的镜像目的口启用MAC- loopback功能,会导致流量在remote-vlan中打环,所以需要在所有trunk口上做vlan修剪,限制镜像流量的防洪范围,本例中需要修剪 vlan 100。
先确认不需要接收镜像数据的接口,主要是看交换机的trunk接口,不需要接受vlan 100数据的trunk口要将vlan 100修剪掉,修剪的方式如下:
Ruijie(config)#interface gigabitEthernet 4/10
Ruijie(config-if-GigabitEthernet 4/10)#switchport trunk allowed vlan remove 100 ——>去掉vlan 100
3、配置RSPAN源设备。
在交换机上创建RSPAN Session 1,指定该设备为源设备,并配置端口g4/1及g4/2为源端口(源端口配置任意),镜像双向数据流。
Ruijie(config)#monitor session 1 remote-source—-开启端口镜像
Ruijie(config)#monitor session 1 source interface gigabitEthernet 4/1 both
Ruijie(config)#monitor session 1 source interface gigabitEthernet 4/2 both
指定自环口g4/23为镜像的目的端口
Ruijie(config)#monitor session 1 destination remote vlan 100 interface gigabitEthernet 4/23 switch ——>将流量引入到loopback口,(因为锐捷11.x设备是强制要求开启switch字段的,不然配置不成功),那么需要在自环口关闭mac地址学习功能,并且清除自环口的MAC地址表项,如果没有敲switch关键字则不需要关闭自环口的mac地址学习功能。
Ruijie(config)#interface gigabitEthernet 4/23
Ruijie(config-if-GigabitEthernet 4/23)#switchport access vlan 100
Ruijie(config-if-GigabitEthernet 4/23)#mac-loopback ——>环回口会不要再做其他配置,也不要连接线缆。
Ruijie(config-if-GigabitEthernet 4/23)# no mac-address-learning ——>在自环口关闭mac地址学习功能
Ruijie(config-if-GigabitEthernet 4/23)#end
Ruijie# clear mac-address-table dynamic interface gigabitEthernet 4/23 ——>配置完成后需要清下自环口的mac地址表
4、将监控服务器的端口g4/21及g4/22加入Remote VLAN
配置交换机的端口g4/21和g4/22属于Remote VLAN 100。
Ruijie(config)#interface range gigabitEthernet 4/21-22
Ruijie(config-if-range)#switchport access vlan 100
Ruijie(config-if-range)#end
Ruijie#wr
五、功能验证
1、查看端口镜像的状态
2、查看g4/23端口配置及接口状态
六、配置脚本
enable
conf t
vlan 100
remote-span
exit
monitor session 1 remote-source
monitor session 1 source interface gigabitEthernet 4/1 both
monitor session 1 source interface gigabitEthernet 4/2 both
monitor session 1 destination remote vlan 100 interface gigabitEthernet 4/23
interface gigabitEthernet 4/23
switchport access vlan 100
mac-loopback (注:配置该命令前,需要将所有的trunk链路将目的镜像vlan裁剪掉)
interface range gigabitEthernet 4/21-22
switchport access vlan 100