一、镜像简介

镜像指通过将指定报文复制到连接监测设备的端口,使用户可以在监测设备上利用复制的报文对网络进行监控和分析。

镜像源是指被监控的对象,可以是端口、CPU或符合一定特征的数据流。镜像目的端口是连接审计服务器、个人电脑等监测设备的端口。入方向镜像是指仅复制镜像源收到的报文,出方向镜像是指仅复制发出的报文,双向镜像则是指复制收到和发出的报文。

实际运维过程中经常遇到的“抓包”操作,就可以通过镜像来实现。常用的镜像方法有:

  1. 本地端口镜像

  2. 二层远程端口镜像

  3. 远程镜像VLAN实现多目的端口

  4. 三层远程端口镜像

  5. 流镜像

二、本地端口镜像

image.png

本地端口镜像是指镜像源端口和目的端口处于同一台设备上。

示例中,若需要交换机将进入FGE1/0/1的报文复制一份,从FGE1/0/2将报文转发给监测设备,就可以配置本地镜像组,其中源端口为FGE1/0/1,镜像方向为入方向,目的端口为FGE1/0/2,具体配置命令参考下方的配置举例。

不同型号交换机对镜像功能的支持情况不同,这里我们总结出一些本地端口镜像的使用注意事项:


1. 除S12500X-AF、S12500F-AF、S9800系列的F系列单板以及S12500、S9500E系列不支持跨框镜像,其他交换机可以进行跨框镜像,也就是镜像源端口和镜像目的端口分布在堆叠的两台设备上。
2. 对于交换机上送CPU的报文在接口上都可正常被镜像到,而对于CPU发包的镜像,常见交换机中,S6800、S6820、S5130-EI系列交换机CPU发包无法被镜像到;对于S10500、S7500E系列V7交换机,主控板CPU发包可以在业务板上镜像,业务板CPU发包无法被本业务板镜像;对于S12500X-AF H系列单板不区分主控板和业务板CPU,CPU发包均可被镜像到。
3. 目的端口上不能使能生成树协议,否则会影响镜像功能的正常使用。
4. 一个镜像组内可以配置多个源端口,但一个源端口只能加入一个镜像组。
5. S12500X-AF及S12500F-AF的R26XX版本以上及S12500R设备支持一个镜像组内配置多个目的端口,其他交换机只能配置一个目的端口。
6. 为了保证数据监测设备只对镜像报文进行分析,请将目的端口只用于端口镜像,不作其他用途。
7. 当镜像功能不再使用时及时删除镜像配置,避免由于镜像残留配置导致端口拥塞。

image.png

三、二层远程端口镜像

远程端口镜像是指,镜像源端口和目的端口处于不同设备上。如果源设备与目的设备之间通过二层网络连接,则称为二层远程端口镜像,其实现包括反射端口方式和出端口方式。

远程镜像VLAN是指将镜像报文从源设备传送至目的设备的专用VLAN。这里我们也列举出一些注意事项。

1. 远程镜像VLAN仅作为镜像VLAN,不能用作其他业务VLAN,并保证仅必要的端口放通镜像VLAN。
2. 设备上针对远程镜像VLAN,不能配置VLAN-interface虚接口,否则可能导致镜像报文上送CPU出现重复报文。
3. 如果设备运行的是PVST,需要关闭远程镜像VLAN的PVST功能,否则可能导致该VLAN内的STP计算异常,影响端口转发。
4. 镜像源端口不能放通远程镜像VLAN,否则会产生镜像流量在源端口和镜像VLAN之间绕行,影响镜像及设备转发功能。
5. 如果存在中间设备,则需要在中间设备上放通远程镜像VLAN,并保证VLAN ID不被修改或删除,同时要在该VLAN下配置禁止MAC学习功能,否则二层远程镜像功能将失效。
6. 当镜像功能不再使用时及时删除镜像配置,避免由于镜像残留配置导致端口拥塞。

image.png

该方法的实现过程为,源设备将进入镜像源的报文复制一份给反射端口,反射端口将镜像报文在远程镜像VLAN中广播。镜像报文经由中间设备广播转发至目的设备。目的设备收到该报文后判别其VLAN ID,若与远程镜像VLAN的VLAN ID相同,则将镜像报文通过目的端口转发给监测设备。

在使用该方法时,需要配置反射端口,其注意事项如下:

1. 请选择设备上未被使用的端口作为反射端口,并不要在该端口上连接网线,否则会影响镜像功能的正常使用。
2. 在将端口配置为反射端口时,该端口将恢复为缺省配置,该端口上不能再配置其他业务配置。
3. 一个镜像组内只能配置一个反射端口,并且反射端口不能是聚合组及其成员端口。

建议先配置目的设备,再配置中间设备,最后配置源设备,以保证镜像流量的正常转发。
image.png
image.png
image.png

出端口方式二层远程端口镜像
image.png
该方法的实现过程为,源设备将进入镜像源的报文复制一份给出端口,出端口将镜像报文转发给中间设备。中间设备在远程镜像VLAN中广播,最终到达目的设备。目的设备收到该报文后判别其VLAN ID,若与远程镜像VLAN的VLAN ID相同,则将镜像报文通过目的端口转发给监测设备。

image.png

image.png

image.png

四、远程镜像VLAN实现多目的端口

image.png

在本地端口镜像中提到,多数交换机只支持一个镜像组内配置一个目的端口,如果想要实现本地镜像支持多个目的端口怎么办呢?

我们可以通过远程镜像VLAN,利用源设备的反射端口将镜像报文在远程镜像VLAN中广播的原理实现。

该方法的实现过程为,在本地设备上创建远程源镜像组、远程镜像VLAN和反射端口,并将本设备上连接监测设备的多个端口加入该VLAN。镜像报文在远程镜像VLAN中广播时即可从这些端口中发送出去,实现将镜像报文发送到多个目的端口。

image.png

五、三层远程端口镜像

如果远程镜像的源设备与目的设备之间通过三层网络连接,则称为三层远程端口镜像。

三层远程端口镜像有两种实现方式:Tunnel方式和ERSPAN方式。

image.png
Tunnel方式的三层远程端口镜像使用本地镜像组的方式实现,即在源设备和目的设备上分别创建各自的本地镜像组,每个本地镜像组也拥有各自的镜像源和目的端口。不同的是,在源设备上,源端口为待监控的端口,目的端口为用于传输镜像报文的Tunnel接口。在目的设备上,源端口为Tunnel接口对应的物理端口,目的端口为连接监测设备的端口。

该方法的实现过程为,源设备将进入源端口的报文复制一份给Tunnel接口,即目的端口。报文经由GRE隧道转发至目的设备端的Tunnel接口。目的设备将从Tunnel接口对应的物理接口(即源端口)收到的镜像报文解封装后复制一份给目的端口。最后由目的设备上的目的端口将镜像报文转发到监测设备。

在配置三层远程端口镜像之前,需创建并配置GRE模式的Tunnel接口,如果存在中间设备,则需要配置单播路由协议,以确保源设备与目的设备之间三层互通。GRE具体配置可参考产品配置指导。
image.png
image.png

image.png

ERSPAN技术实现的三层远程端口镜像是将镜像报文封装为协议号0x88BE的GRE报文,路由到远端监测设备。其配置仅需在源设备上进行,同时所有设备上配置单播路由协议,并确保设备之间三层互通。

该方法的实现过程为,源设备将经过源端口的报文复制一份,为复制的报文添加ERSPAN封装,封装的源IP地址为目的端口的IP地址,目的IP地址为监测设备的IP地址。封装后的报文通过IP网络路由转发到监测设备,监测设备对报文进行解封装,并分析镜像报文的内容。

ERSPAN方式镜像到监测设备的报文为封装后的报文,因此监测设备必须支持解封装。另外,使用该方法前,请根据产品配置指导确认交换机是否支持该功能。
image.png

六、流镜像

image.png

流镜像通过QoS实现,设备先通过流分类匹配待镜像的报文,再通过流行为将符合条件的报文复制至指定目的地。该方式可以灵活配置报文的匹配条件,从而对报文进行精细区分,并将区分后的报文镜像到目的地。

流镜像可以支持多种镜像目的,如接口、监控组、CPU、gRPC、INT处理器等,我们以流镜像到接口为例。

image.png

七、镜像资源

每款交换机的镜像规格不同,超出规格的镜像配置将无法生效。

镜像组与流镜像都会占用镜像资源:镜像组占用镜像源端口所在芯片资源,入方向和出方向各占用1个资源;MQC流镜像占用MQC下发单板芯片资源,每个mirror-to占用1个资源,1个策略同时下发至出方向和入方向时,占用2倍镜像资源。

以V7 S10500交换机SG系列业务板为例,每芯片底层共有4个镜像资源。按照如下镜像规划,首先配置镜像组1的both方向镜像后,1框0槽业务板被占用2个镜像资源。接着配置镜像组2的inbound方向镜像后,1框0槽业务板又被占用1个镜像资源,共被占用3个镜像资源。最后配置镜像组3的both方向镜像时,由于还需要2个镜像资源,设备将出现镜像资源不足告警。此时由于1框0槽业务板只剩下1个镜像资源,因此可以调整镜像组3为inbound或outbound方向镜像。

image.png

八、抓包小技巧

实际抓包过程中,大家可能会遇到个人电脑无法抓取到报文VLAN tag信息和Wireshark软件无法缓存大量报文的问题,这里给大家介绍两个抓包小技巧:

1、大部分网卡默认配置为自动识别数据包中的VLAN tag信息,并将其去除再送给上层应用,因此按照默认配置Wireshark无法抓取到数据包中的VLAN tag信息,此时需要修改网卡高级设置,使原始报文的VLAN tag信息正常显示,具体配置方法请参考网络教程啦。

2、当需要使用Wireshark长时间抓包或抓取的数据流量过大时,可以使用Wireshark命令行抓包方法,将报文直接缓存到本地硬盘中,方法参考如下。

首先,在Wireshark图形化界面查找到网卡信息:
image.png

接着,在命令提示符下切换到Wireshark安装目录,使用命令dumpcap.exe -i \Device\NPF_{70F4F310-5321-40D2-93A9-DFD0D1ED319D} -w d:test.pcap -b filesize:5000可直接进行抓包并保持到本地D盘中,其中:

-i: 后面接的是网卡信息。

-w: 后面接的是保存的数据包路径和文件名。

-b: 后面接的是每个文件的大小,5000单位是KB,即50M,每50M保存为一个文件,多个文件命名方式是 “指定的文件名_序号_日期时间.扩展名”。
image.png
可通过Ctrl+C停止抓包,在本地硬盘目录下可看到抓包数据。
image.png

九、镜像总结

  1. 镜像功能配置规划时应该避免目的端口和反射端口出现拥塞,例如,避免将多个万兆源端口的流量镜像到一个万兆目的口。

  2. 如果排障过程中使用到了镜像功能,当镜像功能不再使用时请及时删除镜像配置,避免由于镜像残留配置导致端口拥塞。

  3. 每款交换机对镜像功能的支持情况不同,具体请参考H3C官网对应型号和软件版本的《配置指导-网络管理和监控配置指导-镜像配置》章节。

转载于:https://mp.weixin.qq.com/s?__biz=MzA4NTQzNzMxNA==&mid=2654032070&idx=1&sn=d9a0c5b0339680bbfd15352b918b458e&chksm=84120e2bb365873d5c3f44293d7f38557e2ac724e06465fe0b9b2b0f97cf56602c9645348c98&scene=178&cur_album_id=1650946741094973443#rd

打赏
支付宝 微信
上一篇 下一篇