问
m-lag镜像
21小时前提问
- 0关注
- 0收藏,54浏览
zhiliao_Gixe
四段
解决办法:利用专用镜像VLAN汇聚两台M-LAG成员的镜像流量,目的设备只需监听该VLAN流量,无需配置多源端口
配置步骤:
1. 两台M-LAG成员交换机配置:
创建专用镜像VLAN(需在两台设备间透传,如通过peer-link或专用链路):
vlan 100
description MIRROR_VLAN
分别配置本地镜像,将各自源端口流量导入镜像VLAN(SW1示例,SW2替换源端口即可):
mirroring-group 1 local
mirroring-group 1 mirroring-port GigabitEthernet0/1 both // 替换为实际源端口
mirroring-group 1 monitor-port vlan 100
配置连接目的设备的端口允许镜像VLAN通过:
interface GigabitEthernet0/0/24 // 替换为连接目的设备的端口
port trunk permit vlan 100
2. 目的设备配置:
将接收端口加入镜像VLAN,配置本地镜像监听该VLAN流量:
vlan 100
配置步骤:
1. 两台M-LAG成员交换机配置:
创建专用镜像VLAN(需在两台设备间透传,如通过peer-link或专用链路):
vlan 100
description MIRROR_VLAN
分别配置本地镜像,将各自源端口流量导入镜像VLAN(SW1示例,SW2替换源端口即可):
mirroring-group 1 local
mirroring-group 1 mirroring-port GigabitEthernet0/1 both // 替换为实际源端口
mirroring-group 1 monitor-port vlan 100
配置连接目的设备的端口允许镜像VLAN通过:
interface GigabitEthernet0/0/24 // 替换为连接目的设备的端口
port trunk permit vlan 100
2. 目的设备配置:
将接收端口加入镜像VLAN,配置本地镜像监听该VLAN流量:
vlan 100
目的设备这边没法配 mirroring-port 啊?
zhiliao_Sarl5
发表时间:21小时前
目的设备不配源端口怎么镜像?
zhiliao_Sarl5
发表时间:21小时前
你这个场景是典型的 M-LAG 双机 + 只有一个观察口,并且想用 远程镜像,难点在于:
- 两台 M-LAG 交换机都要做源镜像(因为流量两边都有)
- 但观察口只在其中一台,另一台没法直接配 “目的端口”
- 远程镜像里,目的设备不需要配 “源端口”,只需要配 “目的端口”
下面给你最清晰、可直接落地的做法(H3C 平台,DRNI/M-LAG)。
一、正确理解:远程镜像在 M-LAG 里怎么用
- 源设备:两台 M-LAG 交换机(都要配置)
- 每台都建 远程源镜像组
- 把本机的 M-LAG 成员口配成 源端口
- 配置同一个 反射 VLAN(例如 VLAN 999)
- 配置本机的 Peer-Link/IRF 链路口为反射端口
- 目的设备:有观察口的那台交换机(只配一次)
- 建 远程目的镜像组
- 把唯一的观察口配成 目的端口
- 把反射 VLAN 999 映射到这个目的组
一句话:两台都当 “源”,把流量通过 Peer-Link 发到有观察口的那台,再从观察口出去。
二、配置示例(直接抄)
假设
- SW1、SW2 为 M-LAG 双机
- 观察口:SW2 的 Gig1/0/24
- 反射 VLAN:999(专门用来传镜像流量)
- 被监控端口:两台的 Gig1/0/1(M-LAG 成员口)
1)SW1(M-LAG 主 / 备均可)
bash
运行
# 1. 创建远程源镜像组 1
mirroring-group 1 remote-source
# 2. 配置被监控的源端口
mirroring-group 1 mirroring-port Gig1/0/1 both
# 3. 配置反射 VLAN
mirroring-group 1 remote-vlan 999
# 4. 配置反射端口(用 Peer-Link/IRF 口,例如 Ten1/0/27)
mirroring-group 1 reflector-port Ten1/0/27
# 5. 放行 VLAN 999
vlan 999
port Ten1/0/27
2)SW2(有观察口的那台)
bash
运行
# ---------- 作为源设备(和 SW1 一样) ----------
mirroring-group 1 remote-source
mirroring-group 1 mirroring-port Gig1/0/1 both
mirroring-group 1 remote-vlan 999
mirroring-group 1 reflector-port Ten1/0/27
vlan 999
port Ten1/0/27
# ---------- 作为目的设备(关键) ----------
# 1. 创建远程目的镜像组 2
mirroring-group 2 remote-destination
# 2. 把唯一的观察口设为目的端口
mirroring-group 2 monitor-port Gig1/0/24
# 3. 把反射 VLAN 999 映射到目的组
mirroring-group 2 remote-vlan 999
三、为什么目的设备不用配 “源端口”?
- 远程源镜像组:在流量出发的设备上配置,指定 “谁被镜像”
- 远程目的镜像组:在观察口所在设备上配置,只需要指定 “镜像流量从哪个口出去”
- 反射 VLAN 负责把两台交换机的镜像流量都转发到 SW2,然后 SW2 把 VLAN 999 的流量从观察口发出去
四、有没有其他办法?
有,两种备选:
方案 A(推荐,就是上面的远程镜像)
- 不影响 M-LAG
- 不用额外布线
- 两台流量都能镜像到同一个观察口
方案 B:本地镜像 + 把观察口做成 M-LAG
- 如果可以把观察口所在的端口也加入 M-LAG
- 两台都做本地镜像,目的端口都指向这个 M-LAG 观察口
- 缺点:观察口必须是双机聚合,有些环境不允许
方案 C:用 ERSPAN(三层远程镜像)
- 跨三层也能镜像
- 配置更复杂,一般没必要
五、总结一句话
M-LAG 两台都配远程源镜像、同反射 VLAN、反射端口走 Peer-Link;观察口那台额外配远程目的镜像,把反射 VLAN 映射到观察口即可。
编辑答案
➤
✖
亲~登录后才可以操作哦!
确定
✖
✖
你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
✖
举报
×
侵犯我的权益
>
对根叔社区有害的内容
>
辱骂、歧视、挑衅等(不友善)
侵犯我的权益
×
侵犯了我企业的权益
>
抄袭了我的内容
>
诽谤我
>
辱骂、歧视、挑衅等(不友善)
骚扰我
侵犯了我企业的权益
×
您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
抄袭了我的内容
×
原文链接或出处
诽谤我
×
您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
对根叔社区有害的内容
×
垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载
>
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票
不规范转载
×
举报说明
目的设备不配源端口怎么镜像?