组网需求
如图1所示,某公司行政部通过SwitchA与外部Internet通信,监控设备Server通过SwitchB与SwitchA相连。
现在希望Server能够远程对行政部访问Internet的流量进行监控。
图1 配置远程端口镜像组网图
配置思路
进行如下配置,实现Server远程监控行政部访问Internet的流量:
- 在SwitchA上配置接口GE0/0/2为远程观察端口,负责向绑定的VLAN转发镜像报文。
- 在SwitchA上配置接口GE0/0/1为镜像端口,将行政部访问Internet的流量复制一份到远程观察端口。
- 在SwitchB上创建VLAN,关闭该VALN的MAC地址学习功能。配置接口加入VLAN,负责将观察端口发送过来的报文向Server转发。
- 在SwitchA上配置观察端口
操作步骤
# 在SwitchA上配置接口GE0/0/2为远程观察端口,绑定的VLAN为VLAN10。
<HUAWEI> system-view
[HUAWEI] sysname SwitchA
[SwitchA] observe-port 1 interface gigabitethernet 0/0/2 vlan 10
配置完成后,观察端口会将镜像报文向VLAN10进行转发,不需要在观察端口下进行接口加入VLAN的操作。
在SwitchA上配置镜像端口
# 在SwitchA上配置接口GE0/0/1为镜像端口,将其入方向绑定到远程观察端口,即将镜像端口接收到的报文复制一份到远程观察端口。
[SwitchA] interface gigabitethernet 0/0/1
[SwitchA-GigabitEthernet0/0/1] port-mirroring to observe-port 1 inbound
[SwitchA-GigabitEthernet0/0/1] return
- 在SwitchB上创建VLAN,配置接口加入VLAN
# 在SwitchB上创建VLAN10,关闭该VALN的MAC地址学习功能,并将接口GE0/0/1和GE0/0/2加入VLAN10。
说明:
该VLAN仅用于转发镜像报文,不要使用该VLAN进行其他业务转发。如果该VLAN已存在,且已学习到MAC地址,请在系统视图下执行undo mac-address vlan vlan-id命令删除该VLAN已学习到的所有MAC地址。
<HUAWEI> system-view
[HUAWEI] sysname SwitchB
[SwitchB] vlan 10
[SwitchB-vlan10] mac-address learning disable
[SwitchB-vlan10] quit
[SwitchB] interface gigabitethernet 0/0/1
[SwitchB-GigabitEthernet0/0/1] port link-type access
[SwitchB-GigabitEthernet0/0/1] port default vlan 10
[SwitchB-GigabitEthernet0/0/1] quit
[SwitchB] interface gigabitethernet 0/0/2
[SwitchB-GigabitEthernet0/0/2] port link-type trunk
[SwitchB-GigabitEthernet0/0/2] port trunk allow-pass vlan 10
[SwitchB-GigabitEthernet0/0/2] return
- 验证配置结果
# 查看观察端口的配置情况。
<SwitchA> display observe-port
----------------------------------------------------------------------
Index : 1
Untag-packet : No
Interface : GigabitEthernet0/0/2
Vlan : 10
----------------------------------------------------------------------
# 查看镜像端口的配置情况。
<SwitchA> display port-mirroring
----------------------------------------------------------------------
Observe-port 1 : GigabitEthernet0/0/2
----------------------------------------------------------------------
Port-mirror:
----------------------------------------------------------------------
Mirror-port Direction Observe-port
----------------------------------------------------------------------
1 GigabitEthernet0/0/1 Inbound Observe-port 1
----------------------------------------------------------------------
配置文件
SwitchA的配置文件 # sysname SwitchA # observe-port 1 interface GigabitEthernet0/0/2 vlan 10 # interface GigabitEthernet0/0/1 port-mirroring to observe-port 1 inbound # return SwitchB的配置文件 # sysname SwitchB # vlan batch 10 # vlan 10 mac-address learning disable # interface GigabitEthernet0/0/1 port link-type access port default vlan 10 # interface GigabitEthernet0/0/2 port link-type trunk port trunk allow-pass vlan 10 # Return
背景描述:2条线路,其中一条线路下行带宽一直跑高在8M左右,而接入层交换机并无对应流量。但下行一直跑高。
故障产生时现象截图:
下图是拓扑图异常时截图:
排查故障流程:
1、根据以上截图现象查看是接入层交换机0706有流量流入流出(虽然占用是线路40M出口的,但目前先干他)
2、cacti仙人掌进入0706查看异常下行流量8M左右的,找到port 4端口,异常流量,下接一台服务器
3、奇怪的是这台机器是库存来的,而且关机,很奇怪关机了还产生下行流量。重装这台机器还是一样有流量。
4、远程ssh进入0706交换机查看端口是没有限速下行以及端口隔离,搞起
[SR-E23-S5720-0706]int g0/0/4 [SR-E23-S5720-0706-GigabitEthernet0/0/4]qos lr ou in cir 1024 [SR-E23-S5720-0706-GigabitEthernet0/0/4]port-isolate enable
5、这台服务器开启端口隔离和下行限速后流量降下去了这个port 4,奇怪的是出口的流量下行还是没降下来,
难不成不是这台机器引起?
解决办法:
1、根据以上端口限速以及隔离端口还只是解除服务器的异常流量,但是上联出口的异常流量还是没有解决。
2、这时查看0912和0706都是华为交换机,想起了端口镜像操作,顾名思义:就是将端口流量复制一份至指定端口来分析。
3、因为上联出口没有防火墙,并不能直观的分析这是什么流量,只能流量复制牵引了。刚好0706下这台重装后的服务器有2个网卡
4、0706下的服务器名字是0690,上面截图端口对应描述有写,下面就称服务器为0690
5、0690服务器重装的是windows2012系统,安装wireshark软件用来待会分析流量。0690网卡1配置公网用来远程,网卡2用来引入流量,
6、以下是端口镜像操作:
1.在0912核心交换上配置观察端口
# 在SwitchA上配置接口GE0/0/5为远程观察端口,绑定的VLAN为VLAN99。 (这个5口就是观察口,下接服务器的,如背景描述)
<0912> system-view
[0912] observe-port 1 interface gigabitethernet 0/0/5 vlan 99
配置完成后,观察端口会将镜像报文向VLAN99进行转发,不需要在观察端口下进行接口加入VLAN的操作。(也就是0912的5口不需要允许vlan 99通过,5口接0706交换机,因为0960分析流量的服务器在这个口下)
在0912上配置镜像端口
# 在0912上配置接口GE0/0/24为镜像端口,将其入方向绑定到远程观察端口,即将镜像端口接收到的报文复制一份到远程观察端口。
[0912] interface gigabitethernet 0/0/24
[0912-GigabitEthernet0/0/24] port-mirroring to observe-port 1 inbound
[0912-GigabitEthernet0/0/24] return
2. 在0706上创建VLAN,配置接口加入VLAN
# 在0706上创建VLAN99,关闭该VALN的MAC地址学习功能,并将接口GE0/0/5(这个5口是接0912的)和GE0/0/38(这个38是接0690服务器的网卡2)加入VLAN99。
说明:
该VLAN仅用于转发镜像报文,不要使用该VLAN进行其他业务转发。如果该VLAN已存在,且已学习到MAC地址,请在系统视图下执行undo mac-address vlan vlan-id命令删除该VLAN已学习到的所有MAC地址。
<0706> system-view
[0706] vlan 99
[0706-vlan99] mac-address learning disable
[0706-vlan99] quit
[0706] interface gigabitethernet 0/0/38
[0706-GigabitEthernet0/0/38] port link-type access
[0706-GigabitEthernet0/0/38] port default vlan 99
[0706-GigabitEthernet0/0/38] quit
[0706] interface gigabitethernet 0/0/5
[0706-GigabitEthernet0/0/5] port link-type trunk
[0706-GigabitEthernet0/0/5] port trunk allow-pass vlan 99
###允许0912上联交换机的99vlan端口将复制的流量允许流入,不会删除原本的vlan配置,不影响生产业务。
[0706-GigabitEthernet0/0/5] return
3.验证配置结果
# 查看观察端口的配置情况。
<0912> display observe-port
----------------------------------------------------------------------
Index : 1
Untag-packet : No
Interface : GigabitEthernet0/0/5
Vlan : 99
----------------------------------------------------------------------
# 查看镜像端口的配置情况。
<0912> display port-mirroring
----------------------------------------------------------------------
Observe-port 1 : GigabitEthernet0/0/5
----------------------------------------------------------------------
Port-mirror:
----------------------------------------------------------------------
Mirror-port Direction Observe-port
----------------------------------------------------------------------
1 GigabitEthernet0/0/24 Inbound Observe-port 1
----------------------------------------------------------------------
7、在服务器上打开wireshark软件,选择nic2流量网卡,进行流量分析。查看为下图:
异常流量时抓的包,查看到目的地址都是本机房的ip:121.xx.xx.137
- 运营商反馈无法屏蔽对方ip,故将自己ip 121.xx.xx.137屏蔽后抓包查看异常流量解除
