• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

三层镜像

2022-03-14提问
  • 3关注
  • 1收藏,1578浏览
粉丝:0人 关注:0人

问题描述:

求一份三层远程镜像的案例?

组网及组网描述:

求一份三层远程镜像的案例?

最佳答案

粉丝:2人 关注:0人

镜像是目前对网络中数据报文进行监控的常用手段,我们可以对网络中的数据报文镜像抓取分析,可以用来网络质量的分析监控,网络故障的时候还可以对网络的丢包位置进行快速的判断。

当网络中的镜像源设备与镜像目的设备不在同一个二层网络域内时就需要跨三层的远程端口镜像来实现。

在一个三层网络中,Device ADevice BDevice CServer如下图所示连接。其中,Device A通过端口Ten-GigabitEthernet1/0/1连接市场部。

通过配置三层远程端口镜像,并建立OSPF方式的GRE隧道,使得Server可以通过由GRE隧道传输的镜像报文来监控所有进、出市场部的报文。


如图所示,Devcie ADevice C设备通过多跳的三层网络互联,监控Server挂在了远端Device C的下面,现Server需要监控Device A下面1/0/1端口的流量。

 


先看下我们的常规(配置手册)配置方案:

配置步骤

(1)配置IP地址

请按照图配置各接口的IP地址和子网掩码,具体配置过程略。

(2)配置Device A

创建业务环回组1,并配置服务类型为Tunnel

<DeviceA> system-view

[DeviceA] service-loopback group 1 type tunnel

将接口Ten-GigabitEthernet1/0/3加入业务环回组1

[DeviceA] interface ten-gigabitethernet 1/0/3

[DeviceA-Ten-GigabitEthernet1/0/3] port service-loopback group 1

All configurations on the interface will be lost. Continue?[Y/N]:y

[DeviceA-Ten-GigabitEthernet1/0/3] quit

创建GRE模式的Tunnel接口0,并为其配置IP地址和掩码。

[DeviceA] interface tunnel 0 mode gre

[DeviceA-Tunnel0] ip address 50.1.1.1 24

Tunnel接口0分别指定源地址和目的地址。

[DeviceA-Tunnel0] source 20.1.1.1

[DeviceA-Tunnel0] destination 30.1.1.2

[DeviceA-Tunnel0] quit

配置OSPF协议。

[DeviceA] ospf 1

[DeviceA-ospf-1] area 0

[DeviceA-ospf-1-area-0.0.0.0] network 10.1.1.0 0.0.0.255

[DeviceA-ospf-1-area-0.0.0.0] network 20.1.1.0 0.0.0.255

[DeviceA-ospf-1-area-0.0.0.0] quit

[DeviceA-ospf-1] quit

创建本地镜像组1

[DeviceA] mirroring-group 1 local

配置本地镜像组1的源端口为Ten-GigabitEthernet1/0/1,目的端口为Tunnel0

[DeviceA] mirroring-group 1 mirroring-port ten-gigabitethernet 1/0/1 both

[DeviceA] mirroring-group 1 monitor-port tunnel 0

(3)配置Device B

配置OSPF协议。

<DeviceB> system-view

[DeviceB] ospf 1

[DeviceB-ospf-1] area 0

[DeviceB-ospf-1-area-0.0.0.0] network 20.1.1.0 0.0.0.255

[DeviceB-ospf-1-area-0.0.0.0] network 30.1.1.0 0.0.0.255

[DeviceB-ospf-1-area-0.0.0.0] quit

[DeviceB-ospf-1] quit

(4)配置Device C

创建业务环回组1,并配置服务类型为Tunnel

<DeviceC> system-view

[DeviceC] service-loopback group 1 type tunnel

将接口Ten-GigabitEthernet1/0/3加入业务环回组1

[DeviceC] interface ten-gigabitethernet 1/0/3

[DeviceC-Ten-GigabitEthernet1/0/3]port service-loopback group 1

All configurations on the interface will be lost. Continue?[Y/N]:y

[DeviceC-Ten-GigabitEthernet1/0/3]quit

创建GRE模式的Tunnel接口0,并为其配置IP地址和掩码。

[DeviceC] interface tunnel 0 mode gre

[DeviceC-Tunnel0] ip address 50.1.1.2 24

Tunnel接口0分别指定源地址和目的地址。

[DeviceC-Tunnel0]source 30.1.1.2

[DeviceC-Tunnel0]destination 20.1.1.1

[DeviceC-Tunnel0]quit

配置OSPF协议。

[DeviceC]ospf 1

[DeviceC-ospf-1] area 0

[DeviceC-ospf-1-area-0.0.0.0] network 30.1.1.0 0.0.0.255

[DeviceC-ospf-1-area-0.0.0.0] network 40.1.1.0 0.0.0.255

[DeviceC-ospf-1-area-0.0.0.0] quit

[DeviceC-ospf-1] quit

创建本地镜像组1

[DeviceC] mirroring-group 1 local

配置本地镜像组1的源端口为Ten-GigabitEthernet1/0/1,目的端口为Ten-GigabitEthernet1/0/2

[DeviceC] mirroring-group 1 mirroring-port ten-gigabitethernet 1/0/1 inbound

[DeviceC] mirroring-group 1 monitor-port ten-gigabitethernet 1/0/2

上述配置方法为配置手册中的配置案例,从上述配置过程中可以看出配置相当复杂,在镜像源设备Device A上需要配置如下的功能:

    1、配置业务环回组,将物理端口加入业务环回组,配置GRE类型的Tunel接口

    2、本地镜像,并且本地镜像的出接口是GTE Tunne接口。

    3、Tunnel接口指定了IP地址,并且指定了source destination ip地址

在镜像目的设备上需要配置如下的功能:

    1、配置业务环回组,将物理端口加入业务环回组,配置GRE类型的Tunel接口

    2、本地镜像,将GRE报文经过的物理端口作为镜像源端口

    3、配置Tunel接口,Tunnel接口指定了IP地址,并且指定了sourcedestination ip地址

上述配置方法镜像源、目的设备上都需要占用业务环回端口,造成了物理端口的浪费,并且tunnel接口指定了ip地址,有些时候ip地址对于网络来说非常珍贵。并且在镜像目的设备上还需要配置本地镜像,需要将镜像目的设备上行口的流量全部镜像给目的监控server,这样肯定会把Device C这台交换机上行口的所有上行流量镜像过去,这显然是不合理且不可接受的。

那有啥好的方法可以解决上述问题吗?

优化方案组网:

配置步骤:

(1)配置IP地址

配置各设备各接口的IP地址和子网掩码,ip地址与常规配置组网方案中的一样,具体配置过程略。

(2)配置Device A

创建业务环回组1,并配置服务类型为Tunnel

<DeviceA> system-view

[DeviceA] service-loopback group 1 type tunnel

将接口Ten-GigabitEthernet1/0/3加入业务环回组1

[DeviceA] interface ten-gigabitethernet 1/0/3

[DeviceA-Ten-GigabitEthernet1/0/3] port service-loopback group 1

All configurations on the interface will be lost. Continue?[Y/N]:y

[DeviceA-Ten-GigabitEthernet1/0/3] quit

创建GRE模式的Tunnel接口0,无需为其配置IP地址和掩码。

[DeviceA] interface tunnel 0 mode gre

Tunnel接口0分别指定源地址和目的地址,其中目的地址直接指定为监控Server的主机ip地址。

[DeviceA-Tunnel0] source 20.1.1.1

[DeviceA-Tunnel0] destination 40.1.1.2

[DeviceA-Tunnel0] quit

配置OSPF协议。

[DeviceA] ospf 1

[DeviceA-ospf-1] area 0

[DeviceA-ospf-1-area-0.0.0.0] network 20.1.1.0 0.0.0.255

[DeviceA-ospf-1-area-0.0.0.0] quit

[DeviceA-ospf-1] quit

创建本地镜像组1

[DeviceA] mirroring-group 1 local

配置本地镜像组1的源端口为Ten-GigabitEthernet1/0/1,目的端口为Tunnel0

[DeviceA]mirroring-group 1 mirroring-port ten-gigabitethernet 1/0/1 both

[DeviceA] mirroring-group 1 monitor-port tunnel 0

(3)配置Device B

配置OSPF协议。

<DeviceB> system-view

[DeviceB] ospf 1

[DeviceB-ospf-1] area 0

[DeviceB-ospf-1-area-0.0.0.0] network 20.1.1.0 0.0.0.255

[DeviceB-ospf-1-area-0.0.0.0] network 30.1.1.0 0.0.0.255

[DeviceB-ospf-1-area-0.0.0.0] quit

[DeviceB-ospf-1] quit

(4)配置Device C,注意这里Device C上只需配置OSPF协议即可,确保Server上配置ip地址40.1.1.2(加入Server上没有配置IP地址,则在Device上配置静态ARP表项,确保Device C上可以将目的地址是40.1.1.2的报文转发给Server

配置OSPF协议。

[DeviceC]ospf 1

[DeviceC-ospf-1] area 0

[DeviceC-ospf-1-area-0.0.0.0] network 30.1.1.0 0.0.0.255

[DeviceC-ospf-1-area-0.0.0.0] network 40.1.1.0 0.0.0.255

[DeviceC-ospf-1-area-0.0.0.0] quit

[DeviceC-ospf-1] quit

通过上述配置,仅仅在镜像源Device A上进行镜像及业务环回组,tunnel相关的配置即可,在镜像监控Server所在的主机上无需任何配置,只要保证正常发布镜像Server主机的路由,并且报文到镜像目的主机可达即可。

直接在镜像Server抓包即可抓取GRE封装的报文,由于采用的是本地both镜像可以抓取到如下的报文:

   1、可以抓取Device A设备上XGE1/0/1端口inbound方向的单播报文、广播及组播报文。

   2、可以抓取Device A设备上XGE1/0/1端口outbound方向的单播报文、广播及组播报文(含自身CPU发送OSPF组播的报文)。

 


   1、镜像源设备Device A上配置业务环回组,Tunnel端口,并且Tunnel接口的目的ip为镜像Serverip地址。

   2、镜像的目的接口为Tunnel

   3、配置业务环回口,否则Tunnel端口无法up

暂无评论

0 个回答

该问题暂时没有网友解答

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明