[id_236193772]
根据图示,那家公司行政部分别借助SwitchA与外部互联网进行连接,监控设备Server则经由多台SwitchC、SwitchB与SwitchA建立连接关系。
现在需要远程检测行政部上网数据,希望服务器可以执行这项任务。
图9-13 配置跨多台设备二层远程端口镜像组网图
配置思路
设置相关参数,达成对Server远程监测行政部门上网数据的目的:把SwitchA的GE1/0/2端口设为二级远程监测端口,用来把接收到的数据传送给指定的VLAN。同时把SwitchA的GE1/0/1端口设为复制端口,把行政部门访问外网的全部数据分出一部分到二级远程观察端口。在SwitchB里面设立VLAN,禁用这个VLAN的MAC地址记录功能。设置端口加入VLAN,用来把观察端口传来的数据包转发给SwitchC。在SwitchC上设立VLAN,禁用这个VLAN的MAC地址记录功能。设置端口加入VLAN,用来把观察端口传来的数据包转发给Server。
操作步骤配置观察端口
在交换机A上设置端口GE1/0/2成为第二层远程监测通道,该通道关联的VLAN是VLAN 10。
<HUAWEI> system-view [HUAWEI] sysname SwitchA [SwitchA] 观察端口一 接口 千兆以太网1/0/2 vlan 10
关闭监控端口的数据转发功能,这是一个非强制性的建议设置,设置之后监控端口将专门用于复制数据包的传输,避免复制的数据包和其它业务的数据包在监控端口上同时传输造成相互干扰,如果监控端口上有其它VLAN的数据转发,则不能应用这个指令。
[SwitchA] 观测端口一转发功能已关闭
配置镜像端口
在交换机A上设置接口GE1/0/1为复制端口,该端口收到的数据会原封不动地转发到二层远程监测端口。
[SwitchA] interface gigabitethernet 1/0/1 [SwitchA-GigabitEthernet1/0/1] 镜像端口到观测端口一,接收传入数据 [SwitchA-GigabitEthernet1/0/1] return
在SwitchB上创建VLAN,配置接口加入VLAN
在SwitchB设备中设立VLAN编号为10的虚拟局域网,禁用此VLAN的物理地址记录特性,同时将端口GE1/0/1与端口GE1/0/2划入VLAN编号10的范围内。
这个VLAN专门用来传输复制的数据包,不可以用它来处理其他类型的数据流。如果这个VLAN已经建立,并且已经记录了MAC地址信息,那么请在系统设置界面下,使用取消mac地址vlan vlan-id的指令,把该VLAN所有已登记的MAC地址都清除掉。
<HUAWEI> system-view [HUAWEI] sysname SwitchB [SwitchB] vlan 10 [SwitchB-vlan10] mac-address learning disable [SwitchB-vlan10] quit [SwitchB] interface gigabitethernet 1/0/1 [SwitchB-GigabitEthernet1/0/1] port link-type trunk [SwitchB-GigabitEthernet1/0/1] port trunk allow-pass vlan 10 [SwitchB-GigabitEthernet1/0/1] quit [SwitchB] interface gigabitethernet 1/0/2 [SwitchB-GigabitEthernet1/0/2] port link-type trunk [SwitchB-GigabitEthernet1/0/2] port trunk allow-pass vlan 10 [SwitchB-GigabitEthernet1/0/2] return
在SwitchC上创建VLAN,配置接口加入VLAN
在SwitchC设备里设立VLAN编号10,禁用此VLAN的MAC地址记录功能,同时把端口GE1/0/1和端口GE1/0/2划入VLAN编号10这个广播域。
该VLAN仅用于转发镜像报文,不要使用该VLAN进行其他业务转发。如果该VLAN已存在,且已学习到MAC地址,请在系统视图下执行undo mac-address vlan vlan-id命令删除该VLAN已学习到的所有MAC地址。
<HUAWEI> system-view [HUAWEI] sysname SwitchB [SwitchC] vlan 10 [SwitchC-vlan10] mac-address learning disable [SwitchC-vlan10] quit [SwitchC] interface gigabitethernet 1/0/1 [SwitchC-GigabitEthernet1/0/1] port link-type access [SwitchC-GigabitEthernet1/0/1] port default vlan 10 [SwitchC-GigabitEthernet1/0/1] quit [SwitchC] interface gigabitethernet 1/0/2 [SwitchC-GigabitEthernet1/0/2] port link-type trunk [SwitchC-GigabitEthernet1/0/2] port trunk allow-pass vlan 10 [SwitchC-GigabitEthernet1/0/2] return
验证配置结果
# 查看观察端口的配置情况。
display observe-port 他站在那里,一动不动,目光直视前方,仿佛时间都静止了,周围的一切声音都消失了,只有他一个人沉浸在深深的思考中,周围的人来来往往,却丝毫没有察觉到他的存在,他就这样静静地,直到夕阳西下,天空染成一片橘红色,他才缓缓转过身,迈开脚步,向家的方向走去,脸上带着一丝疲惫,但眼神却更加坚定了。 Index : 1 Untag-packet : No Forwarding : No 接口类型:千兆以太网1/0/2 Vlan : 10 ----------------------------------------------------------------------
# 查看镜像端口的配置情况。
display port-mirroring ---------------------------------------------------------------------- 观察端口一:千兆以太网1/0/2 ---------------------------------------------------------------------- Port-mirror: ---------------------------------------------------------------------- 镜像端口, 指引方向, 观察端口 ---------------------------------------------------------------------- 1 GigabitEthernet1/0/1 Inbound Observe-port 1 这句话可以改写成这样:整个表述被彻底的重新组织了,句式和词汇都进行了大幅度的调整,目的是为了确保与原文的差异性最大化,但是所传达的核心意思并没有发生任何改变,专有名词保持原样,没有任何英文单词被加入其中,最终呈现出来的文本风格与原文保持一致,只是结构上被拆分成若干个更小的分句,每个分句之间用逗号隔开,句末的标点符号也没有被遗漏。
配置文件
SwitchA的配置文件
# sysname SwitchA # 观察端口1的接口是千兆以太网1/0/2 vlan 10 # 观察端口一转发功能已关闭 # interface GigabitEthernet1/0/1 镜像端口到观测端口一,接收方向的数据 # return
SwitchB的配置文件
# sysname SwitchB # vlan batch 10 # vlan 10 mac-address learning disable # interface GigabitEthernet1/0/1 port link-type trunk port trunk allow-pass vlan 10 # interface GigabitEthernet1/0/2 port link-type trunk port trunk allow-pass vlan 10 # return
SwitchC的配置文件
# sysname SwitchC # vlan batch 10 # vlan 10 mac-address learning disable # interface GigabitEthernet1/0/1 port link-type access port default vlan 10 # interface GigabitEthernet1/0/2 port link-type trunk port trunk allow-pass vlan 10 # return
