多对一镜像,包含一对一镜像:当需要把一台交换机上面的一个口或者是多个端口的流量,镜像(复制)到交换机上面的某个端口的时候,就可以考虑采用交换机的多对一镜像功能。注意镜像的源端口可以是多个端口的双向流量(both)一起镜像到目的口,也可以是部分端口的入方向(rx)流量,与部分端口的出方向(tx)流量一起结合起来镜像到某个目的端口,但是目的端口只能一个,也就是监控的服务器或者网络设备只能一台,或者是一个端口与交换机连接。
多对一镜像,通常在网络中有监控服务器(比如数据库操作审计服务器,日志记录服务器,上网行为管理服务器,流量统计或者监控服务器),视频加速缓存设备(如我司的powercache),故障定位时需要采用的抓包分析(如目的端口接的电脑安装有wireshark,sniffer软件)都需要采用端口镜像功能。
虽然多对一镜像的目的口只能一个,也就是服务器只能接一台,但是有一种特别的运用场景需要注意,就是在一些上网行为管理设备会以旁路的方式并接到我们交换上面,该设备做透明模式工作,需要一个端口收数据,一个端口发数据,监控到网络的上下行流量的模型,从而分析出每个上网的流量,行为,所以该设备需要两个端口接到我们的一台交换机上面(标记为A,B两个端口),这个时候就需要交换机的上联口(标记为C)的入方向的数据镜像到A端口,上联口的出方向的数据镜像到B端口,此运用可以在交换机上面创建两个monitor session,比如1,2,然后session 1将C端口的RX方向镜像到A端口,session 2将C端口的TX方向镜像到B端口,从而实现客户需求,组网拓扑参考如下:
功能简介:
端口镜像:用户可以利用端口镜像(SPAN)提供的功能,将指定端口的报文复制到交换机上另一个连接有网络监测设备的端口,进行网络监控与流量分析。通过SPAN可以监控所有从源端口进入和输出的报文,实现报文快速的,原封不动的“复制”。
端口镜像不会改变镜像报文的任何信息,也不会影响原有报文的正常转发。同时对于源端口,目的端口的介质类型没有要求,可以是光口镜像到电口,也可以是电口的流量镜像到光口。对于源端口,目的端口的属性没有要求,可以是access口镜像到trunk口,也可以是trunk口镜像到access口。
一、组网需求
配置端口镜像,实现监控服务器能够监控g0/1及g0/2口入方向和出方向的数据流,同时监控服务器依然能够实现对外网网络的访问
二、组网拓扑
三、配置要点
要实现监控服务器即能对外网网络的访问,需要在配置交换机端口镜像的目的端口后面加上switch关键字
四、配置步骤
交换机配置:
Ruijie>enable
Ruijie#configure terminal
Ruijie(config)#monitor session 1 source interface gigabitEthernet 0/1 both ——>指定端口镜像的源端口为g0/1,即被监控端口,交换机可以指定多个源端口。both表示双方向的数据流,如果只需要镜像进入交换机方向的数据流,则将both关键字改为关键字rx,命令就变为了:monitor session 1 source interface gigabitEthernet 0/1 rx。如果只需要镜像从交换机出来方向的流量,则可将both关键字改为tx。
Ruijie(config)#monitor session 1 source interface gigabitEthernet 0/2 both ——>指定端口镜像的源端口g0/2,即被监控端口。交换机可以指定多个源端口。both表示双方向的数据流,如果只需要镜像进入交换机方向的数据流,则将both关键字改为关键字rx,如果只需要镜像从交换机出来方向的流量,则可将both关键字改为tx。
Ruijie(config)#monitor session 1 destination interface gigabitEthernet 0/24 switch ——>指定g0/24口为端口镜像的目的端口,即监控端口。后面加了一个关键字swith,表示目的端口也能够上网,如果不加关键字,那么该端口将不能访问外网。(11.x版本强制要加此关键字)
Ruijie(config)#end
Ruijie#wr
五、功能验证
1、查看端口镜像的状态
2、确认监控服务器是否能够访问外网