设备上的观察端口规格和1:N规格是有限的,如果当前需要连接的监控设备有很多,需要的观察端口数量超过了规格上限,一般可以通过以下两种方式解决。
方法一:配置远程镜像,通过远程观察端口进行内部环回广播
说明:
此方案中如果配置多个内部环回口,则需要确保这些环回口加入的VLAN ID不能相同,否则会导致环路。
图1通过内部环回方式连接多监控设备组网图
如图1所示,网络管理员需要将镜像端口的报文镜像到4台监控设备,而SwitchB可配置观察端口数量少于4。通过远程观察端口内部环回广播的实现过程如下:
1. 配置远程端口镜像
[SwitchB] observe-port 1 interface gigabitethernet1/0/1 vlan 20 //配置远程观察端口,VLAN20为用于内部环回广播的VLAN
[SwitchB] interface gigabitethernet1/0/6
[SwitchB-GigabitEthernet1/0/6] port-mirroring to observe-port 1 both //将镜像端口出入方向报文都镜像到内部环回用的远程观察端口
[SwitchB-GigabitEthernet1/0/6] quit
2.配置内部环回功能
[SwitchB] vlan batch 20 //用于内部环回转发,不能在VLAN20配其他业务
[SwitchB] interface gigabitethernet1/0/1
[SwitchB-GigabitEthernet1/0/1] mac-address learning disable //关闭端口MAC动态学习功能,防止内部环回端口学习到其他的MAC地址,将非镜像报文在内部环回转发,同时也可以节省MAC表项资源
[SwitchB-GigabitEthernet1/0/1] stp disable //关闭STP功能,避免内部环回端口因收到设备自己发送的报文,设置成Discarding状态,将端口阻塞
[SwitchB-GigabitEthernet1/0/1] port link-type access
[SwitchB-GigabitEthernet1/0/1] port default vlan 20 //将端口加入内部环回广播用的VLAN
[SwitchB-GigabitEthernet1/0/1] loopback internal //将远程观察端口配置为内部环回端口
[SwitchB-GigabitEthernet1/0/1] quit
[SwitchB] interface gigabitethernet1/0/2
[SwitchB-GigabitEthernet1/0/2] port link-type access
[SwitchB-GigabitEthernet1/0/2] port default vlan 20 //将端口加入内部环回广播用的VLAN
[SwitchB-GigabitEthernet1/0/2] quit
[SwitchB] interface gigabitethernet1/0/3
[SwitchB-GigabitEthernet1/0/3] port link-type access
[SwitchB-GigabitEthernet1/0/3] port default vlan 20 //将端口加入内部环回广播用的VLAN
[SwitchB-GigabitEthernet1/0/3] quit
[SwitchB] interface gigabitethernet1/0/4
[SwitchB-GigabitEthernet1/0/4] port link-type access
[SwitchB-GigabitEthernet1/0/4] port default vlan 20 //将端口加入内部环回广播用的VLAN
[SwitchB-GigabitEthernet1/0/4] quit
[SwitchB] interface gigabitethernet1/0/5
[SwitchB-GigabitEthernet1/0/5] port link-type access
[SwitchB-GigabitEthernet1/0/5] port default vlan 20 //将端口加入内部环回广播用的VLAN
[SwitchB-GigabitEthernet1/0/5] quit
方法二:配置远程镜像,通过中间二层设备进行VLAN广播
图2通过中间二层设备连接多监控设备组网图
如图2所示,网络管理员需要将镜像端口的报文镜像到3台监控设备,而SwitchB可配置观察端口数量少于3。通过SwitchC进行VLAN广播的实现过程如下:
1. 在SwitchB配置远程端口镜像
[SwitchB] observe-port 1 interface gigabitethernet1/0/1 vlan 20 //配置远程观察端口,VLAN20为用于转发镜像报文的普通VLAN
[SwitchB] interface gigabitethernet1/0/2
[SwitchB-GigabitEthernet1/0/2] port-mirroring to observe-port 1 both //将镜像端口出入方向报文都镜像到远程观察端口
[SwitchB-GigabitEthernet1/0/2] quit
2. 在SwitchC配置端口加入VLAN
[SwitchC] interface gigabitethernet1/0/1
[SwitchC-GigabitEthernet1/0/1] port link-type trunk
[SwitchC-GigabitEthernet1/0/1] port trunk allow-pass vlan 20 //将端口加入用于转发镜像报文的VLAN20
[SwitchC-GigabitEthernet1/0/1] quit
[SwitchC] interface gigabitethernet1/0/2
[SwitchC-GigabitEthernet1/0/2] port link-type access
[SwitchC-GigabitEthernet1/0/2] port default-vlan 20 //将端口加入用于转发镜像报文的VLAN20
[SwitchC-GigabitEthernet1/0/2] quit
[SwitchC] interface gigabitethernet1/0/3
[SwitchC-GigabitEthernet1/0/3] port link-type access
[SwitchC-GigabitEthernet1/0/3] port default-vlan 20 //将端口加入用于转发镜像报文的VLAN20
[SwitchC-GigabitEthernet1/0/3] quit
[SwitchC] interface gigabitethernet1/0/4
[SwitchC-GigabitEthernet1/0/4] port link-type access
[SwitchC-GigabitEthernet1/0/4] port default-vlan 20 //将端口加入用于转发镜像报文的VLAN20
[SwitchC-GigabitEthernet1/0/4] quit