• 文章搜索:

    • 灵犀一指

        • 分享到...

        • 新浪微博
        • 腾讯微博
        • 推荐到豆瓣 豆瓣空间
        • 分享到搜狐微博 搜狐微博
        • 分享到QQ空间 QQ空间
        • 分享到腾讯朋友 腾讯朋友
        • 网易微博分享 网易微博
        • 添加到百度搜藏 百度搜藏
        • 转贴到开心网 开心网
        • 转发好友 告诉聊友
    • 推荐
    • 打印
    • 收藏

    一法定乾坤——S12500S9500E交换机镜像功能限制问题的解决方法

    作者:  |  上传时间:2014-03-20  |  关键字:一法定乾坤——S12500S9500E交换机镜像功能限制问题的解决方法

    --张威

    S12500/S9500E交换机在配置镜像功能时,因为转发芯片的硬件限制,存在如下功能限制:

    1)端口镜像组不能配置多个监控端口

    2)IRF2模式下不支持跨框镜像

    3)设备不支持出方向流镜像

    本文将介绍一个基本方法,该方法通过交换机的其他功能代替实现镜像功能,以此来避开镜像的功能限制。灵活运用该方法,就能解决上述问题。

    一、基本方法

    基本方法的配置,和远程端口镜像的源设备几乎相同(相关配置请参考操作手册),只是目的端口的配置略有不同。

    首先介绍高端交换机作为“远程端口镜像源设备”的内部镜像过程及原理,下面是示意图:

    1. 端口被配置为反射端口后,具有如下功能:

    1)端口环回

    2)QinQ功能

    3)Access端口,加入远程镜像VLAN(remote-probe vlan)

    4)关闭MAC地址学习功能

    注意:反射端口必须关闭STP, 否则会被STP协议阻塞。

    远程镜像VLAN必须关闭MAC地址学习功能。

    2. 内部镜像过程与原理:

    1)报文从源端口进入交换机,被镜像至反射端口;(镜像报文从目的端口发出时,与目的端口的端口属性无关,不进行VLAN有效性检查和剥离VLAN标签的操作)

    2)反射端口设置了端口环回,镜像报文被反射口转发回交换机;

    3)反射端口使能了QinQ功能,返回的镜像报文不论是否带有VLAN标签,都会添加远程镜像VLAN的标签;

    4)远程镜像VLAN关闭了MAC地址学习功能,返回的镜像报文查不到对应的MAC地址表项,就在远程镜像VLAN中广播;

    5)目的端口加入了远程镜像VLAN,自然能够收到该VLAN中广播的镜像报文。

    6)在我们的基本方法中,目的端口就是直接监控端口,需要发送原始镜像报文,所以要剥离远程镜像VLAN标签,目的端口需要设置为Access端口。

    7)对于远程端口镜像,源设备的目的端口只是一个中继端口,镜像报文还要经过中间设备才能到达目的设备,所以要保留远程镜像VLAN标签用于数据转发,源设备目的端口需要设置为trunk端口。

    分析内部镜像过程可以得出:第一步之后的动作其实和镜像功能无关,是交换机的广播功能代替实现了镜像功能,因此不存在镜像功能的限制。灵活运用这个方法,就能解决各类镜像限制问题。我们又称这个方法为镜像环回法

    二、解决端口镜像组不能配置多个监控端口

    1. 采用镜像环回法。

    2. 流镜像到VLAN同样可以解决该问题,目的VLAN可以配置多个监控端口。

    三、解决IRF2模式下不支持跨框镜像

    IRF2模式下,高端交换机不支持跨框端口镜像和流镜像到跨框的目的端口,但支持流镜像到跨框的OAA插卡。

    1. 解决跨框端口镜像,采用镜像环回法。

    2. 解决跨框流镜像,采用流镜像配置,流镜像的目的端口按照反射端口的功能来配置。跨框目的端口加入反射端口所属VLAN,并能剥离该VLAN标签。

    注意:跨框镜像的流量会占用IRF线路带宽,请提前规划,使得IRF线路有足够的带宽。

    解决跨框流镜像的配置举例:

    #

    vlan 30

    mac-address max-mac-count 0

    #

    traffic behavior One

    mirror-to interface GigabitEthernet1/1/0/3

    #

    qos policy One

    classifier One behavior One

    #

    interface GigabitEthernet1/1/0/1

    port access vlan 10

    qos apply policy One inbound

    #

    interface GigabitEthernet1/1/0/3

    port access vlan 30

    loopback internal

    qinq enable

    mac-address max-mac-count 0

    stp disable

    #

    interface GigabitEthernet2/0/0/3

    port access vlan 30

    #

    四、解决设备不支持出方向流镜像

    1. 如果流量集中在某一VLAN中,采用镜像源是VLAN的端口镜像即可,设备支持VLAN出方向流量镜像到目的端口。

    2. 采用镜像环回法,但不配置目的端口,将流镜像策略应用在远程镜像VLAN上。这个方法的解决思路就是,利用镜像环回法,把出方向的流量,变成入方向的流量,这样就能变向实现出方向的流镜像了。

    配置举例:

    #

    vlan 50

    mac-address max-mac-count 0

    #

    mirroring-group 1 remote-source

    mirroring-group 1 remote-probe vlan 50

    #

    interface GigabitEthernet7/0/1

    port access vlan 10

    mirroring-group 1 mirroring-port outbound

    #

    interface GigabitEthernet7/0/21

    port access vlan 50

    mirroring-group 1 reflector-port

    stp disable

    #

    traffic behavior Out

    mirror-to interface GigabitEthernet7/0/7

    #

    qos policy Out

    classifier Out behavior Out

    #

    qos vlan-policy Out vlan 50 inbound

    #

    顶端