镜像配置与管理——2

流镜像配置与管理

流镜像（即“基于流的镜像”）是通过QoS中的复杂流策略对特定的报文进行监控的方法（仅支持入方向的报文监控），也分为本地流镜像和远程流镜像两类，而远程流镜像又分为二层远程流镜像和三层远程流镜像。

配置好后，通过以下display命令查看相关配置。

（1）displayobserve-port查看镜像的观察端口。

（2）displayTraffic behavior user-defined [behavior-name]查看流镜像行为的配置信息。

（3）displayTraffic classifier user-defined [classifier-name]查看流分类的配置信息。

（4）display trafficpolicy user-defined [policy-name [ classifier classifier-name]]查看用户定义的流策略的配置信息。

（5）displaytraffic-policy applied-record [ policy-name]查看指定流镜像策略的应用记录信息。

一、配置本地流镜像

通过配置本地流镜像，可将镜像端口上流经的特定入方向报文复制到本地的监控设备进行分析和监控。

（1）配置本地观察端口

本地镜像中，监控设备与观察端口直接相连。

（2）配置流分类

需要根据实际应用，选择合适的流分类规则，定义对应的复杂流分类。

（3）配置流镜像行为

定义符合流分类规则的所有报文镜像到观察端口的流行为。

（4）配置流镜像策略

创建一个流镜像策略，将以上定义的流分类和流行为关联起来。

（5）应用流镜像策略

将关联了流行为与流分类的完整流策略应用到全局、接口或VLAN上。

二、配置远程流镜像

通过配置远程流镜像，可以将端口流经的特定入方向报文复制到远端的监控设备进行分析和监控。同样可分为二层远程流镜像和三层远程流镜像。在配置远程流镜像之前，需要确保观察端口所在设备与监控设备之间二层或三层网络互通。

三、本地流镜像配置示例

如上，HostA通过Gigabitethernet1/0/1接口接入SwitchA。监控设备Server直连在SwitchA的Gigabitethernet1/0/2接口上。希望通过监控设备Server对HostA发出的802.1p优先级为6的报文进行监控。

本例最关键是要根据802.1p优先级进行流分类，然后定义远程流镜像行为、创建一个流策略，将定义的流分类和流行为进行关联，然后应用到镜像端口入方向上。

（1）在SwitchA上配置Gigabitethernet1/0/2接口为观察端口

<Huawei>system-view

[Huawei]sysname SwitchA

[SwitchA]observe-port 1 interfacegigabitethernet 1/0/2

（2）在SwitchA上创建流分类c1，并配置流分类规则为匹配802.1p优先级为6的报文。

[SwitchA]traffic classifier c1

[SwitchA-classifier-c1]if-match 8021p 6

[SwitchA-classifier-c1]quit

（3）在SwitchA上创建流行为b1，并配置流镜像动作。

[SwitchA]traffic behavior b1

[SwitchA-behavior-b1]mirroring toobserve-port 1

[SwitchA-behavior-b1]quit

（4）在SwitchA上创建流策略p1，将以上定义的流分类c1和对应的流行为b1进行关联，然后将创建的流策略应用镜像端口——Gigabitethernet1/0/1接口入方向上，以实现对HostA发出的802.1p优先级为6的报文进行监控。

[SwitchA]traffic policy p1

[SwitchA-trafficpolicy-p1]classifier c1behavior b1

[SwitchA-trafficpolicy-p1]quit

[SwitchA]interface gigabitethernet1/0/1

[SwitchA-GigabitEthernet1/0/1]traffic-policyp1 inbound

[SwitchA-GigabitEthernet1/0/1]quit

配置好后查看配置信息

VLAN镜像配置与管理

通过VLAN镜像可将指定VLAN内所有活动接口的入方向报文镜像到观察端口。用户可以对某个VLAN或者某些VLAN内的报文进行监控。同样分为本地VLAN镜像和远程VLAN镜像，但是因为VLAN镜像仅是二层网络中的镜像动作，所以只有二层网络远程VLAN镜像，没有三层远程VLAN镜像。仅S2700/3700/5700/6700系列交换机支持VLAN镜像。

一、配置本地VLAN镜像

通过配置本地VLAN镜像，可以将某些VLAN中所有活动接口的入方向报文复制到本地的监控设备进行分析和监控。配置如下：

（1）配置本地观察端口

单播VLAN镜像中，监控设备与观察端口直接相连。

（2）配置VLAN镜像

指定要监控的VLAN，将VLAN中所有活动接口上入方向的二层报文镜像到观察端口。

二、配置远程VLAN镜像

通过配置远程VLAN镜像，可以对某些VLAN中所有活动接口的入方向报文复制到远程监控设备记性分析和监控。在配置远程VLAN镜像前，需确保观察端口所在设备与监控设备之间二层网络互通。

远程VLAN镜像的配置：

（1）配置远程观察端口

远程镜像中，监控设备与观察端口所在设备之间跨越二层网络相连。设备将镜像报文封装VLAN，然后通过观察端口在远程镜像VLAN中广播，将报文转发至监控设备。

（2）配置VLAN镜像

指定要监控的VLAN。

三、本地VLAN镜像配置示例

如上图，HostA和HostB通过Gigabitethernet0/0/1与Gigabitethernet0/0/2接口接入SwitchA，HostA和HostB同属于VLAN10。监控设备Server直连在SwitchA的Gigabitethernet0/0/3接口上。现希望通过监控设备Server对VLAN10的所有活动接口的入流量进行监控。

（1）配置接口类型及所属VLAN

<Huawei>system-view

[Huawei]sysname SwitchA

[SwitchA]vlan 10

[SwitchA-Vlan10]quit

[SwitchA]interface gigabitethernet0/0/1

[SwitchA-GigabitEthernet0/0/1]portlink-type access

[SwitchA-GigabitEthernet0/0/1]port defaultvlan 10

[SwitchA-GigabitEthernet0/0/1]quit

[SwitchA]interface gigabitethernet0/0/2

[SwitchA-GigabitEthernet0/0/2]portlink-type access

[SwitchA-GigabitEthernet0/0/2]port defaultvlan 10

[SwitchA-GigabitEthernet0/0/2]quit

         （2）配置Gigabitethernet0/0/3接口为观察端口

[SwitchA]observe-port 1 interfacegigabitethernet 0/0/3

（3）配置监控VLAN10中所有活动接口入方向报文。

[SwitchA]vlan 10

[SwitchA-Vlan10]mirroring to observe-port 1inbound

[SwitchA-Vlan10]quit

验证配置结果：

MAC地址镜像配置与管理

MAC地址镜像（即基于MAC地址的镜像）是将匹配源或目的MAC地址的入方向报文镜像到观察端口，提供了一种更加精确的镜像方式，用户可以对网络中特定设备的报文进行监控，也有本地MAC地址镜像和远程MAC地址镜像两大类。因为是基于二层报文的报文镜像，所以在远程MAC地址镜像中也仅有二层远程MAC地址镜像一种。

一、配置本地MAC地址镜像

通过配置本地MAC地址镜像，可以将指定源或目的MAC地址的报文复制到本地的监控设备进行分析和监控。配置方法：

（1）配置本地观察端口

在本地镜像中，监控设备与观察端口直接相连。

（2）配置MAC地址镜像

指定用于匹配报文的源MAC地址或目的MAC地址，将符合条件的入方向的二层报文镜像到观察端口。

二、配置远程MAC地址镜像

通过配置远程MAC地址镜像，可以将指定源或目的MAC地址的报文复制到远程的监控设备进行分析和监控。远程MAC地址镜像只有二层远程MAC地址镜像。

三、本地MAC电子化镜像配置示例

HostA和HostB通过Gigabitethernet0/0/1与Gigabitethernet0/0/2接口接入SwitchA，HostA和HostB同属于VLAN10。监控设备Server直连在SwitchA的Gigabitethernet0/0/3接口上。希望对VLAN10中源或目的MAC地址为0001-0001-0001的入方向流量进行监控。

本地MAC地址镜像的配置很简单，只需配置SwitchA的Gigabitethernet0/0/3接口为观察端口，使直连的监控设备Server能够接收到镜像报文。然后在VLAN10视图下配置基于MAC地址的镜像动作即可，配置步骤：

（1）配置各接口类型和所属VLAN

<Huawei>system-view

[Huawei]sysname SwitchA

[SwitchA]vlan 10

[SwitchA-Vlan10]quit

[SwitchA]interface gigabitethernet0/0/1

[SwitchA-GigabitEthernet0/0/1]portlink-type access

[SwitchA-GigabitEthernet0/0/1]port defaultvlan 10

[SwitchA-GigabitEthernet0/0/1]quit

[SwitchA]interface gigabitethernet0/0/2

[SwitchA-GigabitEthernet0/0/2]portlink-type access

[SwitchA-GigabitEthernet0/0/2]port defaultvlan 10

[SwitchA-GigabitEthernet0/0/2]quit

         （2）配置Gigabitethernet0/0/3接口为观察端口

[SwitchA]observe-port 1 interfacegigabitethernet 0/0/3

（3）配置基于MAC地址的镜像动作。

[SwitchA]vlan 10

[SwitchA-Vlan10]mac-mirroring0001-0001-0001 to observe-port 1 inbound

配置好后的验证