输入您的问题查找答案
   
 
相关文库文档
更多相关文库文档 >>
联系客服
在线技术支持
客户服务热线:

电话销售热线:

服务时间(法定节假日除外):
家庭产品:
周一至周六:9:00-18:00
商用产品:
周一至周五:9:00-18:00
商用网络动态

与 NETGEAR 监控专用交换机亲密接触

选择德才兼备的 PoE 交换机

NETGEAR 交换机助力聊城第二人民医院智能监控建设

更多动态 >>

网件文库 » 交换机产品  »  XCM8800系列交换机本地端口镜像与ACL镜像功能配置与说明
XCM8800系列交换机本地端口镜像与ACL镜像功能配置与说明

编号:30215       来自:NetGear       更新日期:2021-02-23       访问数量:83087

文档适用产品型号:XCM8806XCM8810

文档说明:

端口镜像功能是大多数网络监控,排除故障的重要组成部分。依靠端口镜像功能,网络管理者能通过监测、下载、分析数据包了解到网络情况,解决网络中存在的问题。

XCM8800 系列交换机不仅提供了常用的端口镜像功能,同时还能够通过 ACL 匹配需要分析的流量实现更细化的镜像功能,大大提高数据包分析的精度。

文档适用性:

本文档主要介绍XCM8800本地镜像功能,对于远程镜像功能有所涉及,但不作具体介绍。

镜像规则与限制:

  1. 当关闭镜像功能时,所有的过滤器不能被配置
  2. 要改变监控端口,首先要移除所有的过滤器
  3. 不能镜像监控端口
  4. 镜像配置被移除,当下列情况发生:
    • 删除一个VLAN(对于所有基于VLAN的过滤)
    • 删除一个VLAN的端口(对于所有VLAN,基于端口的过滤)
    • 不配置一个插槽(slot)(对于在该插槽上面的所有基于端口的过滤)
  5. 任何的镜像端口也可以为负载共享(或链路聚合)而启用,然而,负载共享组的每个单独端口必须被明确配置为镜像。
  6. 镜像过滤器不限制在一个模块上,可以在多个模块上起用。
  7. 不能使用管理端口进行镜像
  8. 如果你需要镜像的标签包是1519到1522字节,在1对多的镜像情况下,需要启用JUMBO帧和LOOPBACK 端口。
  9. LOOPBACK口是一个实际的物理端口,是专用于镜像端口,不能用于其它配置,当被指定时,LED会发亮。
  10. 由于某些限制,下面类型的包在使用出站VLAN将不能被出口镜像或者基于虚拟端口的镜像。
    • CPU产生的包
    • 2层多播流量
  11. 当流量接近线速时,镜像速率可能下降,由于镜像是复制流量,当负载高时,可用带宽将优先用于常规流量,而不是镜像流量。

基本镜像功能配置步骤与命令:

步骤1:配置镜像模式

#configure mirroring mode [standard/enhanced]
standard \\标准模式下,当一个数据包匹配入站镜像过滤器和出站镜像过滤器时,只能镜像到一份数据包。
enhanced \\增强模式下,当一个数据包匹配入站镜像过滤器和出站镜像过滤器时,会同时镜像到两份数据包。在使用远程镜像功能时,必须起用增强模式。

步骤2:配置监控端口(流量副本传输到此端口)

#enable mirroring to port M \\镜像到一个端口
#enable mirroring to port-list X-Y loopback-port Z
\\镜像到多个端口,loopback端口用于过渡流量使用,必须是模块上一个真实存在的物理端口,该端口被配置为loopback后,灯会亮起。

步骤3:配置被监控端口(过滤器)

#configure mirroring add [vlan |port ] [ingress/egress]

vlan \\基于VLAN配置镜像过滤器,后面跟VLAN的名字
port \\基于端口配置镜像过滤器,后面跟PORT的号码
ingress \\在入站方向上进行镜像监控,将流量送到监控口
egress \\在出站方向上进行镜像监控,将流量送到监控口

注意:

  1. 基于VLAN的镜像只能将被监控端口的入站的数据包送到镜像端口上。
  2. 以上的M,X,Y,Z等分别代表不同的物理端口号

配置实例:

我们尝试使用以上拓扑,对PC1----XCM8810----PC2设备的ICMP流量进行监控:

基本配置:

  1. PC1 的IP:10.1.1.100 网关:10.1.1.1
  2. PC2 的IP:10.1.2.100 网关:10.1.2.1
  3. XCM8810交换机起用三层交换特性,起用VLAN特性,起用VLAN间路由特性:
    VLAN SAM-1 的IP:10.1.1.1 分配的端口有8:10
    VLAN SAM-2 的IP:10.1.2.1 分配的端口有8:12
  4. Monitor laptop 是监控入笔记本 安装有Wireshark的免费流量监控软件,接到XCM8810的8:14号端口上。
  5. 端口表示为“插槽:端口号” 例如:8:10代表从上往下数第八个插槽第十个端口。

以下给出三层交换机上面的基本 VLAN 等的配置:

#create vlan sam-1
#create vlan sam-2
#configure vlan sam-1 tag 500
#configure vlan sam-2 tag 1000
#configure vlan default delete ports 8:10,8:12,8:14
#configure vlan sam-1 add ports 8:10 untagged
#configure vlan sam-2 add ports 8:12 untagged
#configure vlan sam-1 ipaddress 10.1.1.1 255.255.255.0
#configure vlan sam-2 ipaddress 10.1.2.1 255.255.255.0
#enable ipforwarding vlan sam-1
#enable ipforwarding vlan sam-2
#save

以下开始配置端口镜像功能 — 基本型:
#configure mirroring mode standard
#enable mirroring to port 8:14
#configure mirroring add port 8:10                //默认情况下不选,则是应用在ingress、egress两个方向
#configure mirroring add port 8:12

通过PC1的长时间PING进行测试: ping 10.1.2.100 –t,通过LAPTOP上面的wireshark抓包。

以下分别是将在vlan、port作端口镜像时应用到端口8:10和8:12抓icmp包情况:

端口8:10

端口8:12

Port 默认不写(ingress/egress)

echo-request
echo-reply

Port 默认不写(ingress/egress)

echo-request
echo-reply

Port ingress

echo-request

Port ingress

echo-reply

Port egress

echo-reply

Port egress

echo-request

vlan sam-1(只镜像入站流量)

echo-request

vlan sam-2(只镜像入站流量)

echo-reply

通过ACL方式实现端口镜像功能:

  1. 步骤1:编写ACL,将ACL中的ACTION项填写为Mirroring。具体原理请参考文档:
    XCM8800 系列交换机 ACL 基础介绍
  2. 步骤2:配置镜像模式
  3. 步骤3:配置监控端口(流量副本传输到此端口)
  4. 步骤4:将ACL配置在需要被监控的端口上。具体原理请参考文档:
    XCM8800 系列交换机 ACL 基础介绍

配置实例:

仍然以上例为基础,使icmp流量作为需要监控的对象,向镜像监控端口发送流量。

vlan 配置请参考上例中的配置语句

以下是ACL的policy配置:
#edit policy sam
entry sama {
if {
protocol icmp;
source-address 10.1.1.0/24;
icmp-type echo-request;
destination-address 10.1.2.0/24;
}
then {
mirror;count number;
} }

以下配置开启端口镜像功能:
#configure mirroring mode standard
#enable mirroring to port 8:14

以下配置ACL到端口8:10和8:12:
configure access-list sam ports 8:10,8:12

通过PC1的长时间PING进行测试: ping 10.1.2.100 –t,通过LAPTOP上面的wireshark抓包。
以下分别是通过ACL将在vlan、port作端口镜像时应用到端口8:10和8:12抓icmp包情况:

端口8:10

端口8:12

Port 默认不写(ingress)

echo-request

Port 默认不写(ingress)

echo-reply

Port ingress

echo-request

Port ingress

echo-reply

Port egress

ACL不能被应用于出站方向

Port egress

ACL不能被应用于出站方向

vlan sam-1(只镜像入站流量)

echo-request

vlan sam-2(只镜像入站流量)

echo-reply

以下是检查ACL或镜像、删除镜像常用命令:

show mirroring //查看镜像
show access-list count vlan sam-1 //查看ACL匹配的包数和ACL应用位置。
show configure vlan //查看vlan配置
show policy sam //查看名字叫sam的ACL POLICY
check policy sam //检查名字叫sam的ACL POLICY
disable mirroring //直接关闭(删除)镜像功能
show vlan //查看vlan

以下例子是show mirroring 命令下的状态:

以上图片中,可以得出:

  1. 镜像的模式为标准。
  2. 端口8:13为监控端口,端口上没有正常连接或没有连接网线。
  3. 有两个过滤器
  4. 过滤器分别配置到端口 8:10和8:12的入站方向
     

序号

日期

跟进人

内容摘要

1

2012-11-02

Sam Li

文档创建

2

2013-11-18

Sam Li

文档修改

 

  
 
以上内容是否为您所需要的答案?
以上内容是否清晰、简明和易于理解的?
您是如何知道网件社区的?