问
M-LAG端口镜像
5小时前提问
- 0关注
- 0收藏,34浏览
zhiliao_Gixe
四段
配置步骤及关键命令
1. 配置镜像专用VLAN(两台M-LAG设备均执行)
vlan 100
description Mirror_VLAN
quit
interface Peer-Link接口(如Ten-GigabitEthernet1/0/49)
port trunk permit vlan 100 (或放行所有VLAN)
quit
2. 在无观察端口的M-LAG成员设备(源设备)配置远程源镜像组
mirror-group 1 remote-source
mirror-group 1 mirroring-port GigabitEthernetX/Y both (both可替换为in/out,按需选择)
mirror-group 1 remote-probe vlan 100
quit
3. 在有观察端口的M-LAG成员设备(目的设备)配置远程目的镜像组
mirror-group 1 remote-destination
mirror-group 1 remote-probe vlan 100
mirror-group 1 monitor-port GigabitEthernetA/B
interface GigabitEthernetA/B
stp disable (避免STP阻塞镜像端口)
quit
4. 验证配置
display mirror-group 1
注意事项
镜像VLAN仅用于传输镜像流量,请勿添加业务端口;
目的端口不能参与M-LAG;
操作前请备份设备配置。
1. 配置镜像专用VLAN(两台M-LAG设备均执行)
vlan 100
description Mirror_VLAN
quit
interface Peer-Link接口(如Ten-GigabitEthernet1/0/49)
port trunk permit vlan 100 (或放行所有VLAN)
quit
2. 在无观察端口的M-LAG成员设备(源设备)配置远程源镜像组
mirror-group 1 remote-source
mirror-group 1 mirroring-port GigabitEthernetX/Y both (both可替换为in/out,按需选择)
mirror-group 1 remote-probe vlan 100
quit
3. 在有观察端口的M-LAG成员设备(目的设备)配置远程目的镜像组
mirror-group 1 remote-destination
mirror-group 1 remote-probe vlan 100
mirror-group 1 monitor-port GigabitEthernetA/B
interface GigabitEthernetA/B
stp disable (避免STP阻塞镜像端口)
quit
4. 验证配置
display mirror-group 1
注意事项
镜像VLAN仅用于传输镜像流量,请勿添加业务端口;
目的端口不能参与M-LAG;
操作前请备份设备配置。
在M-LAG组网中,想把另一台交换机的流量镜像到一台交换机上,最简单的方法就是用 二层远程端口镜像(RSPAN)。通过在交换机之间建立一个专门的“镜像传输VLAN”,就能把多台设备的流量汇聚到一个监控口。
核心配置示例:跨设备流量镜像 (RSPAN)
下面以两台M-LAG成员设备 Switch A 和 Switch B 为例,目标是把它们的指定流量都镜像到 Switch A 的 GigabitEthernet1/0/1 端口。
准备工作
规划一个专用的镜像VLAN:例如
VLAN 100,需要确保该VLAN在所有涉及的交换机上创建,并透传(Trunk)到相应的互联端口。禁止MAC地址学习:为防止广播环路,务必在镜像VLAN中关闭MAC地址学习功能。
关闭STP:为避免生成树协议影响,建议在监控端口(目的端口)上关闭STP。
1. 在每台源交换机(Switch A & Switch B)上配置远程源镜像组
这个配置需要在每台需要被监控的交换机上都执行一次,用于指定“要镜像谁的流量”以及“通过哪个VLAN发送”。
# 创建VLAN 100作为专用镜像VLAN,并关闭其MAC地址学习功能
[H3C] vlan 100
[H3C-vlan100] undo mac-address mac-learning enable
[H3C-vlan100] quit
# 创建远程源镜像组,ID为1
[H3C] mirroring-group 1 remote-source
# 配置镜像源端口,例如:监控GigabitEthernet1/0/2端口的双向流量
[H3C] mirroring-group 1 mirroring-port GigabitEthernet 1/0/2 both
# 指定反射端口,该端口不接任何线缆,专用 # 该命令会清空此端口原有配置,并自动加入镜像VLAN
[H3C] mirroring-group 1 reflector-port GigabitEthernet 1/0/24
# 指定远程镜像VLAN为VLAN 100
[H3C] mirroring-group 1 remote-probe vlan 100
2. 仅在其中一台交换机(Switch A)上配置远程目的镜像组
这是关键一步,只需在连接了监控设备的那台交换机上操作,用来指定“监控设备接在哪个端口”。
# 创建远程目的镜像组,ID为1
# 指定监控端口,即连接分析设备的物理端口,并关闭其STP功能
[H3C] mirroring-group 1 monitor-port GigabitEthernet 1/0/1
[H3C] interface GigabitEthernet 1/0/1
[H3C-GigabitEthernet1/0/1] undo stp enable
[H3C-GigabitEthernet1/0/1] quit
# 指定远程镜像VLAN为VLAN 100
[H3C] mirroring-group 1 remote-probe vlan 100
# 将监控端口加入VLAN 100(确保报文能出来)
[H3C] interface GigabitEthernet 1/0/1
[H3C-GigabitEthernet1/0/1] port access vlan 100
[H3C-GigabitEthernet1/0/1] quit
补充:如何实现“一对多”镜像
如果审计设备需要双机热备,必须接在两个不同的端口上,可以借助RSPAN的机制来扩展。这个方法利用了RSPAN会在整个VLAN内广播镜像流量的特性:
第一步:按照上面的步骤,将镜像流量汇聚到
Switch A的监控口G1/0/1。第二步:在
Switch A上,将第二个监控口G1/0/2也设置为access类型并加入到镜像VLAN 100中。这样,VLAN 100内的广播流量也会从G1/0/2发送出去,实现一份流量同时发给两个监控设备。
我这个交换机不支持反射端口命令,反射端口是必须的嘛?
zhiliao_Sarl5
发表时间:3小时前
更多>>
我这个交换机不支持反射端口命令,反射端口是必须的嘛?
zhiliao_Sarl5
发表时间:3小时前
M-LAG 组网下,本地镜像不能跨设备;要把 “另一台 M-LAG peer 交换机” 的源端口流量也镜像到同一台观察口,只能用二层远程镜像(Remote Mirroring),通过一个专门的镜像 VLAN 把流量跨设备转发到观察口所在交换机。
下面直接给你可照着配的最简方案(两台 M-LAG 交换机:SW1、SW2;观察口在 SW1)。
一、原理一句话
- SW2(无观察口):配置远程源镜像组,把要镜像的端口流量 → 反射端口 → 镜像 VLAN → 发往 SW1。
- SW1(有观察口):配置远程目的镜像组,接收镜像 VLAN 流量 → 从本地观察口发出。
- M-LAG 心跳 /peer 链路放通镜像 VLAN即可。
二、规划(先定好)
- 镜像 VLAN:VLAN 4000(专用,别挪作他用)
- SW1:观察口
G1/0/24;M-LAG peer 口G1/0/27 - SW2:源端口
G1/0/10;反射口G1/0/26;M-LAG peer 口G1/0/27
三、SW1(主,有观察口)配置
plaintext
# 1. 创建镜像VLAN
vlan 4000
undo mac-address mac-learning enable # 禁止MAC学习,防环路
quit
# 2. 配置远程目的镜像组
mirroring-group 1 remote-destination
mirroring-group 1 remote-probe vlan 4000
mirroring-group 1 monitor-port GigabitEthernet 1/0/24 # 你的观察口
# 3. M-LAG peer口放通镜像VLAN
interface GigabitEthernet 1/0/27
port link-type trunk
port trunk permit vlan 4000
quit
四、SW2(备,无观察口)配置
plaintext
# 1. 创建镜像VLAN(同SW1)
vlan 4000
undo mac-address mac-learning enable
quit
# 2. 配置远程源镜像组
mirroring-group 1 remote-source
mirroring-group 1 remote-probe vlan 4000
mirroring-group 1 mirroring-port GigabitEthernet 1/0/10 inbound # 要镜像的源口
mirroring-group 1 reflector-port GigabitEthernet 1/0/26 # 反射口,空着不接网线
# 3. M-LAG peer口放通镜像VLAN
interface GigabitEthernet 1/0/27
port link-type trunk
port trunk permit vlan 4000
quit
五、关键点(必看)
- 本地镜像跨设备不生效,必须用远程镜像。
- 镜像 VLAN 只能专用于镜像,不能跑业务,必须关闭 MAC 学习H3C。
- SW2 的反射口不要接网线,否则会环路。
- M-LAG 的 peer 链路(两台互连的口)必须放通镜像 VLANH3C。
六、验证命令
plaintext
display mirroring-group all
display vlan 4000
display interface GigabitEthernet 1/0/24我这个交换机不支持反射端口命令,反射端口是必须的嘛?
zhiliao_Sarl5
发表时间:3小时前
更多>>
我这个交换机不支持反射端口命令,反射端口是必须的嘛?
zhiliao_Sarl5
发表时间:3小时前
编辑答案
➤
✖
亲~登录后才可以操作哦!
确定
✖
✖
你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
✖
举报
×
侵犯我的权益
>
对根叔社区有害的内容
>
辱骂、歧视、挑衅等(不友善)
侵犯我的权益
×
侵犯了我企业的权益
>
抄袭了我的内容
>
诽谤我
>
辱骂、歧视、挑衅等(不友善)
骚扰我
侵犯了我企业的权益
×
您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
抄袭了我的内容
×
原文链接或出处
诽谤我
×
您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
对根叔社区有害的内容
×
垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载
>
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票
不规范转载
×
举报说明