NE40E端口镜像命令

关于本章
本章描述内容如下表所示。

2.1 简介
镜像是在不影响原有转发的情况下将网络中当前节点通过的报文复制一
份到指定的观测端口。

用户可以根据需要定义被镜像的端口号，然后将
报文分析设备与观测端口相连，进行流量观测。

根据复制报文满足的条件，镜像分为端口镜像和流镜像两种：
●端口镜像：指将镜像端口接收或发送的报文完整地复制输出到指定
的观测端口。

●流镜像：将镜像与流分类相结合，只复制满足特定条件的报文，为
报文分析提供更精细的控制，为报文分析设备过滤不关心的报文，
提高报文分析设备的工作效率。

根据复制报文的方向，镜像又可分为入（上行）镜像和出（下行）镜像
两种：
●上行镜像：指将镜像端口接收到的全部报文或满足特定流分类条件
的报文完整地复制输出到指定的观测端口。

●下行镜像：指将镜像端口即将发送出的全部报文或满足特定流分类
条件的报文完整地复制输出到指定的观测端口。

目前，NE40E既支持上行端口/流镜像又支持下行端口/流镜像。

镜像的典型组网环境如图2-1所示。

图2-1 镜像组网示意图
在NE40E上配置镜像功能时，需要注意：
●对帧不进行过滤或修改。

在输入侧，帧在去掉帧头之前被镜像；而
在输出侧，帧在修改之后被镜像。

●观测端口不能再作为业务口使用。

●NE40E支持不同类型接口之间的镜像，即支持GE接口与POS接口
之间的相互镜像。

但由于不同类型接口的报文封装格式不一致，因
此在解析报文时会出现误差，从而导致出现观测端口的接口计数统
计错误。

●在NE40E上配置下行镜像时，观测端口与镜像端口必须在同一接
口板上，即不支持跨板镜像。

●NE40E只支持GE接口作为观测端口。

●在配置下行镜像时，如果报文的长度超过观测接口的MTU值，该
报文不能被镜像；对于上行镜像，则没有该限制。

2.2 配置基于端口的流量镜像
2.2.1 建立配置任务
应用环境
在网络运行过程中，要对网络设备的端口状况进行观测及分析，直接对
每个端口进行操作，比较繁琐。

通过配置基于端口的流量镜像，可以方
便灵活地实施观测。

前置任务
在配置基于端口的流量镜像之前，需完成以下任务：
●配置镜像端口的物理参数
●配置镜像端口的链路层属性
●配置镜像端口的IP地址
数据准备
在配置基于端口的流量镜像之前，需准备以下数据：
配置过程
●如果同时采用POS口作为镜像端口和观测端口，并且封装PPP协议，
那么当镜像端口发生重启（shutdown/undo shutdown）时，会将PPP
协商报文也镜像到观测端口，导致观测端口也会首先变为Down状态，
与对端进行协商，然后再重新变为Up状态。

●为了避免发生这种镜像端口协议报文干扰的情况，在配置基于端口和
基于流的镜像时，如果同时采用POS口作为镜像端口和观测端口，建
议封装HDLC协议。

2.2.2 配置观测端口
步骤1执行命令system-view，进入系统视图。

步骤2执行命令observe-port [ observe-index ] interface interface-type
interface-number，配置镜像观测端口。

----结束
这里observe-index是指用于镜像观测的端口号，取值可以是1、2，缺省
值是1。

目前，NE40E支持在同一接口板或不同的接口板上同时配置多个镜像端
口，但只能配置一个观测端口，且该端口只能是GE接口。

一旦观测端口被引用，不能直接删除该端口。

如果要删除该观测端口，
必须先执行undo port-mirroring命令取消该端口的引用。

2.2.3 配置基于端口的流量镜像
步骤1执行命令system-view，进入系统视图。

步骤2执行命令Interface interface-type interface-number，进入镜像端口视图。

步骤3执行命令port-mirroring to observe-port observe-index { inbound |
outbound }，启动镜像端口观测上行或下行数据。

----结束
可以采用不同的观测端口分别观测同一镜像端口的上行、下行数据流。

目前，NE40E支持在不同的接口板上配置上行端口镜像，只支持在同一
接口板上配置下行端口镜像。

2.2.4 检查配置结果
2.3 配置基于流的镜像
2.3.1 建立配置任务
应用环境
当需要为报文分析提供更精细的控制时，可以实现端口镜像与流分类相
结合，只复制满足特定条件的报文，为报文分析设备过滤不关心的报文，
提高报文分析设备的工作效率。

前置任务
在配置基于端口的镜像之前，需完成以下任务：
●配置被镜像端口的物理参数
●配置镜像端口的链路层属性
●配置镜像端口的IP地址
数据准备
在配置基于流的镜像之前，需准备以下数据：
配置过程
2.3.2 配置观测端口
步骤1执行命令system-view，进入系统视图。

步骤2执行命令observe-port [ observe-index ] interface interface-type
interface-number，配置镜像观测端口。

----结束
这里observe-index是指用于镜像观测的端口号，取值范围为1、2，缺省
为1。

目前，NE40E支持在同一接口板或不同的接口板上同时配置多个镜像端
口，但只能配置一个观测端口。

所有通过流分类规则的报文都将被复制到观测端口。

2.3.3 定义流分类
步骤1执行命令system-view，进入系统视图。

步骤2执行命令traffic classifier c lassifier-name [ operator { and | or } ]，定义流分类并进入类视图。

步骤3请根据实际的组网情况设置匹配规则。

●执行命令if-match acl acl-number，定义ACL匹配规则。

●执行命令if-match dscp dscp-value，定义DSCP匹配规则。

●执行命令if-match tcp syn-flag tcpflag-value，定义TCP Flag匹配规
则。

●执行命令if-match8021p8021p-code，定义VLAN报文的802.1p匹
配规则。

●执行命令if-match source-mac mac-address，定义报文源地址的匹配
规则。

●执行命令if-match destination-mac mac-address，定义报文目的地址
的匹配规则。

●执行命令if-match ip-precedence ip-precedence，定义IP报文优先级
的匹配规则。

●执行命令if-match any，定义匹配所有数据包的规则。

可以根据具体情况选择步骤3中的一种或多种匹配规则。

----结束
2.3.4 定义流行为并配置镜像动作
步骤1执行命令system-view，进入系统视图。

步骤2执行命令traffic behavior behavior–name，定义行为进入流行为视图。

步骤3执行命令port-mirroring to observe-port observe-index，配置流量镜像动作。

----结束
2.3.5 定义流量策略并在策略中为类指定行为
步骤1执行命令system-view，进入系统视图。

步骤2执行命令traffic policy policy-name，定义流量策略并进入策略视图。

步骤3执行命令classifier classifier-name behavior behavior-name，在流量策略中为类指定采用的行为。

----结束
2.3.6 在镜像端口应用流量策略
步骤1执行命令system-view，进入系统视图。

步骤2执行命令interface interface-type interface-number，进入镜像端口视图。

步骤3执行命令traffic-policy policy-name { inbound | outbound }，在接口应用流量策略。

----结束
2.3.7 检查配置结果
2.4 配置举例
本章的配置举例包括以下案例。

●配置基于端口的镜像示例
●配置基于流的镜像示例
2.4.1 配置基于端口的镜像示例
组网需求
如图2-2所示，为了监视从RouterA经由GE3/0/0输入RouterB的报文，
设置RouterB的GE3/0/2为观测端口，然后在GE3/0/0上配置端口镜像，
将所有从GE3/0/0收到的报文都复制一份到GE3/0/2，由分析设备HostD
进行分析。

图2-2 端口镜像配置组网图
配置思路
采用如下思路配置端口镜像。

●把RouterB的GE3/0/2配置为观测端口。

●在RouterB的GE3/0/0端口上配置端口镜像功能。

数据准备
数据规划如下。

●观测端口的端口号
●镜像端口的端口号
配置步骤
步骤1配置各路由器接口的IP地址（略）
步骤2配置GE3/0/2为观测端口。

<RouterB> system-view
[RouterB] observe-port interface gigabitethernet3/0/2
步骤3在GE3/0/0配置端口镜像功能。

[RouterB] interface gigabitethernet3/0/0
[RouterB-GigabitEthernet3/0/0] port-mirroring to observe-port 1 inbound
[RouterB-GigabitEthernet3/0/0] quit
经过上述配置后，端口GE3/0/0上接收的所有报文将被镜像到端口
GE3/0/2上。

查看流量镜像情况可以用ping命令或其他产生流量的方法。

例如：从
RouterA发10个ping报文到端口GE3/0/0，在主机D上应该能接收到
RouterA发出的全部报文。

----结束
配置文件
●RouterA的配置文件
#
sysname routerA
#
interface GigabitEthernet1/0/0
ip address 7.1.1.1 255.255.255.0
#
interface GigabitEthernet2/0/0
ip address 1.1.1.1 255.255.255.0
#
interface GigabitEthernet3/0/0
ip address 2.2.2.2 255.255.255.0
#
return
●RouterB的配置文件
#
sysname RouterB
#
observe-port 1 interface GigabitEthernet3/0/2
#
interface GigabitEthernet3/0/0
ip address 7.1.1.2 255.255.255.0
port-mirroring to observe-port 1 inbound
#
interface GigabitEthernet3/0/1
ip address 8.1.1.2 255.255.255.0
#
interface GigabitEthernet3/0/2
ip address 9.1.1.1 255.255.255.0
#
return
●RouterC的配置文件
#
sysname routerC
#
interface GigabitEthernet1/0/0
ip address 8.1.1.1 255.255.255.0
#
return
2.4.2 配置基于流的镜像示例
组网需求
如图2-2所示，为了监视从RouterA经由GE3/0/0输入RouterB的报文，
设置RouterB的GE3/0/2为观测端口，然后在GE3/0/0上配置端口镜像。

为了提高HostD的工作效率，在端口GE3/0/0上配置流量策略，只复制
源地址为2.2.2.2的报文到GE3/0/2。

配置思路
采用如下思路配置端口镜像。

●把RouterB的GE3/0/2配置为观测端口。

●在RouterB的GE3/0/0端口上配置流量策略，将流分类与端口镜像
相结合。

数据准备
数据规划如下。

●观测端口的端口号
●镜像端口的端口号
●ACL号，流分类名，流行为名，流策略名
配置步骤
步骤1配置各路由器接口的IP地址（略）
步骤2配置GE3/0/2为观测端口
<RouterB> system-view
[RouterB] observe-port interface gigabitethernet3/0/2
步骤3在镜像端口GE3/0/0上配置流量策略
# 定义ACL规则。

[RouterB] acl 2001
[RouterB-acl-basic-2001] rule permit source 2.2.2.2 0.0.0.0
[RouterB-acl-basic-2001] quit
# 配置流分类，定义基于ACL的匹配规则。

[RouterB] traffic classifier a
[RouterB-classifier-a] if-match acl 2001
[RouterB-classifier-a] quit
# 配置完成后，可以通过display命令查看类的配置信息。

[RouterB] display traffic classifier user-defined
User Defined Classifier Information:
Classifier: a
Operator: AND
Rule(s) : if-match acl 2001
# 定义流行为，配置镜像功能。

[RouterB] traffic behavior e
[RouterB-behavior-e] port-mirroring to observe-port 1
[RouterB-behavior-e] quit
# 定义流量策略，将流分类与流行为关联。

[RouterB] traffic policy 1
[RouterB-trafficpolicy-1] classifier a behavior e
[RouterB-trafficpolicy-1] quit
# 将流量策略应用到接口上。

[RouterB] interface gigabitethernet3/0/0
[RouterB-GigabitEthernet3/0/0] traffic-policy 1 inbound
[RouterB-GigabitEthernet3/0/0] quit
查看流量镜像情况可以用ping命令或其他产生流量的方法。

例如：从
RouterA分别发10个源地址为2.2.2.2/32和1.1.1.1/32的ping报文到端口
GE3/0/0，在主机D上应该能接收到RouterA发出的源地址为2.2.2.2/32
的报文。

----结束
配置文件
RouterA的配置文件
#
sysname routerA
#
interface GigabitEthernet1/0/0
ip address 7.1.1.1 255.255.255.0
#
interface GigabitEthernet2/0/0
ip address 1.1.1.1 255.255.255.0
#
interface GigabitEthernet3/0/0
ip address 2.2.2.2 255.255.255.0
#
return
●RouterB的配置文件
#
sysname RouterB
#
observe-port 1 interface GigabitEthernet3/0/2 #
acl number 2001
rule 5 permit source 2.2.2.2 0.0.0.0
#
traffic classifier a operator and
if-match acl 2001
#
traffic behavior e
port-mirroring to observe-port 1
#
traffic policy 1
classifier a behavior e
#
interface GigabitEthernet3/0/0
ip address 7.1.1.2 255.255.255.0
traffic-policy 1 inbound
#
interface GigabitEthernet3/0/1
ip address 8.1.1.2 255.255.255.0
#
interface GigabitEthernet3/0/2
ip address 9.1.1.1 255.255.255.0
#
return
●RouterC的配置文件
#
sysname routerC
#
interface GigabitEthernet1/0/0
ip address 8.1.1.1 255.255.255.0
#
return。