本文档适用于TS澎湃系列、RS安视系列、NS智感系列、HS蜂速系列交换机端口镜像配置指导。
端口镜像是将交换机上的一个或者多个端口的数据复制发送到其他端口,以实现对源端口数据的抓取分析。
场景1:旁路部署行为审计设备,将内网流量镜像到行为审计设备,以实现对网络行为的监控。
场景2:企业内网部署深信服SIP安全感知平台,IT管理员把交换机内网流量镜像到SIP探针设备。
场景3:网络问题,需要抓包分析某些端口下的流量。
RS安视系列、NS智感系列、HS蜂速系列端口镜像说明:
1、一台交换机仅支持1条端口镜像(无论单向、双向都算是1条),堆叠起来的交换机算一台。
2、源端口支持选择多个,目的端口仅支持选择一个(N:1)。RS安视交换机SW3.6及以上版本,有3款交换机(RS6500-54Q-EI-48X、RS6520-54Q-EI-48X、RS5300-28X-EI-24S)支持N:M端口镜像,支持镜像到4个目的端口。
3、源端口支持电口、光口、聚合口;目的端口支持电口、光口、聚合口。其中HS蜂速系列交换机目的端口不支持选择聚合口。
4、一条镜像条目里,任何端口不能即是源端口,又是目的端口。
5、一条镜像条目中是目的端口,不能再被其他镜像条目引用为源端口。
TS79澎湃系列交换机端口镜像说明:
1、一台交换机上每张板卡最多支持4条端口镜像(入方向算1条,出方向算1条,出入方向都镜像算2条),堆叠起来的交换机算一台。
2、镜像源端口为电口或光口时:镜像条目占用源端口所在的板卡资源,同一张板卡最多4条镜像策略(入方向算1条,出方向算1条,出入方向都镜像算2条);
3、镜像源端口为聚合口时:镜像条目占用所有板卡的资源,不管聚合口有没有这张板卡的端口(入方向算1条,出方向算1条,出入方向都镜像算2条),也就是:
①如果镜像源端口都是聚合口,且是入方向和出方向都选,那么一台机器最多写2条镜像条目。
②如果镜像源端口都是聚合口,只选择入方向或者出方向,那么一台机器最多写4条镜像条目。
③如果镜像源端口既有聚合口,也有普通端口时:则聚合口占用每台板卡的资源,剩余的资源被保留,如5张板卡,板卡1做了一组聚合口单方向镜像,那么1-5都只剩3条镜像条目。
4、一条镜像条目里,任何端口不能即是源端口,又是目的端口。
5、一条镜像条目中是目的端口,不能再被其他镜像条目引用为源端口。
6、不同镜像条目的源端口或者目的端口可以是同一个:端口1镜像到端口2,端口3也可以同时镜像到端口2;端口1镜像到端口2,端口1也可以同时镜像到端口4。
7、支持跨板卡镜像,源端口、目的端口在不同板卡时,镜像条目占用源端口+目的端口各自板卡的资源。
配置端口镜像一般不影响业务,需注意配置正确,目的端口请勿选错成业务口。
1、如果在源端口上同时配置了流镜像和端口镜像,只能生效流镜像,端口镜像不生效。
2、镜像的源端口流量不要超过目的端口的接收性能,防止交换机出现转发瓶颈。
3、交换机不支持远程镜像。
如下图,将用户流量镜像到管理员PC,需要在接入交换机将G23口的流量镜像到G24口。
在【端口管理】-【端口镜像】新增一个镜像策略。
镜像方向:选择需要镜像哪个方向的包。
入方向:只对从源端口接收的流量进行镜像。
出方向:只对从源端口发出的流量进行镜像。
入方向和出方向:对从源端口接收和发出的双向流量进行镜像。
源端口:要抓取的流量经过的端口。
目的端口:接收流量设备所接的端口。
在目的端口连接的终端,如拓扑的G24口PC上,使用wireshark工具进行抓包分析。
问题:新增端口镜像提示:端口镜像不能大于[1],请刷新页面。或最多添加1条端口镜像策略!
原因:该交换机只支持同时配置1条端口镜像条目。
解决方法:删除现有的1条端口镜像策略后重新新增,或修改现有的端口镜像策略。
问题:新增镜像提示:业务板卡(槽位ID:x)所配置的端口镜像策略已达到6,支持上限是4。
原因:端口镜像会话达到上限,TS澎湃交换机整机支持4条端口镜像(单向4条或双向2条),如果配置了2条双向镜像后,再添加第三条双向镜像时,会提示下图报错。
解决办法:删除现有的端口镜像策略后重新新增,或修改现有的端口镜像策略。
