端口镜像原理及问题.doc
8页
95交换机端口镜像实例及说明端口镜像就是将被监控端口上的数据复制到指定的监控端口,対数据进行分析和监视95 支持多对一的镜像,即将多个端口的报文复制到一个监控端口上端口镜像的规格:• 以太网交换机支持多对一的镜像,即将多个端口的报文复制到一个监控端口上;• S8500支持跨板镜像,即监控端口和被监控端口对以位于不同的接口板;• 对于非跨板镜像,一个接口板上所有同方向的镜像组只能配置一个监控端口;• 对于跨板镜像,一个接口板上所有同方向的镜像组也只能配置一个监控端口(该监控端口在另一块接口板上);• 对于监控发送报文方向的端口镜像组,所有镜像组的被监控端口个数Z和不能超过8个;• 同一个端口可以作为不同镜像组的监控端口和被监控端口 ;• 监控端口在同一块48GE非线速单板时,出入镜像的被监控端口必须相同• 对于监控发送报文方向的端口镜像组,所有镜像组的被监控端口个数之和不能超过8个• 对GV48或GP48单板,配置端口镜像有以下特殊限制:被监控端口在同一块GV48或GP48单板上的镜像组(包括入端口镜像和出端口镜像) 只能有一个监控端口系统中配置的所有的端口镜像组,在同一块GV48或GP48单板上最多只能有一个监控 端口。
• XP4B、XP4CA单板端口镜像有以下特殊限制:• 端口镜像不能跨板,并且只能在端口0〜1或端口2〜3之间,并且端口0〜1和端口2〜3各有一个入方向和出方向的监控端口(其他接口板是板内各有一个)端口镜像原理:入镜像原理:入镜像就是将从交换机某个端口进入的报文复制一份发送到分析端口,然后可以在分析 端口对报文进行分析入镜像在原理实现上比佼简单,对交换芯片配置,指定具体被分析的 端口,我们称之为入镜像端口,配置具体耍分析报文的端口,我们称之为分析端口,这样从 入镜像端口进來的报文会通过交换芯片的内部复制给分析端口,类似于报文二层转到到分析 端口在S9500的实现上,每块单板只能有一个入镜像分析端口,所以在配置镜像组时同一单 板的入镜像端口分析端口都必须时同一个报文从入端口进入的报文被复制一份转发到分析 端口,S9500的以太网端口可以是access端口或者是trunk端口,当然也可以是Hybrid 端口,如果入端口报文的VLAN配置与分析端口的的VLAN配置不相同,则镜像报文也有一些 差别,分以下儿种情况:1) 入报文和镜像报文vlan tag属性相同(要么都带tag或者都不带tag),则镜像报 文和原始报文相同。
2) 入报文带vlan tag,镜像报文不带vlan tag,则镜像报文除vlan tag之外与 原始报文相同3) 入报文不带vlan tag,镜像报文带vlan tag,此时vlan为交换机自动分配的 vlan-idc另外在三层转发的时候,可能在路由引擎修改报文的vlan tag,从而导致镜像出來的 vlan-tag与原始报文的vlan-tag不一致出镜像原理:出镜像的实现要稍微复杂一些,出镜像的示意图如下图所示:报文由端口 1进,从端口2转发出去,现在需要将端口2出去的报文镜像到分析端口3 那么在出端口镜像的实现中,我们需要将端口2的端口寄存器的出端口镜像的标志位置上, 在端口 2所在的芯片上将分析端口 3写入分析端口寄存器,然后还需要将岀端口 2写到所有单 板的出镜像源端口寄存器中因为芯片总共有8个出镜像源端口寄存器,所以我们整个系统 最多只支持8个出端口镜像出镜像实现的过程如下描述:1)在报文入端口 1,如果是广播、组播报文,报文复制标志置位;如果是单播报文, 根据其单播目的出口查找出镜像源端口寄存器,如果该出口(端口2)已标记其中,则将报 文复制标志置位;2) 在报文出镜像源端口2,查看该端口是否使能出镜像,如果使能,查看报文复制标 志位,如果报文复制标志位已置位则复制报文并转发到分析端口(端口3),正常报文则从 端口 2出去;3) 在镜像分析端口3,根据报文属性和端口属性封装报文;入镜像缺陷:主要和Zg相关,untag报文打入,在路由引擎中会修改报文的vlan,导致入镜像报文的vlan与入端口的vZLan不一致。
环境:1) 、从g5/3/3入报文,经过三层转发到g5/3/l,2) 、对g5/3/3入方向做一个端口镜像,分析端口为g5/3/4情景一、从g5/3/3打入Tag报文,将g5/3/4在VLAN 10中设为Tag 从分析端口出来的报文打了 VLAN为20的Tag情景二、从g5/3/3打入Tag报文,将g5/3/4在VLAN 1()中设为unTag从分析端口出来的报文为unTag 情景二、从g5/3/3打入unTag报文,将g5/3/4在VLAN 10中设为Tag从分析端口出来的报文打了 VLAN为lag情景四、从g5/3/3打入unTag报文,将g5/3/4在VLAN 10中设为unTag从分析端口出来的报文unTag三层转发报文出镜像:S8500做出端口镜像的三层转发报文再分析端口输出的报文因为其间进行了三层转发, 因此内容与二层报文有所区别,主要是MAC的封装,其转发是按照下而的流程来进行的:1、 在S8500的实现中,三层报文转发是通过报文的目的IP查找路市表项來得到下一跳出端口 的信息以及対应的ARP信息(ARP信息只包含ARP索引,真正的ARP表项是保存在学到ARP 的接口板上,并非所有单板上都有),并根据查找到的这些信息转发到对应的出接口所在的 单板。
2、 在出接口根据ARP索引在ARP表中查找ARP中对应的下一跳的MAC,并根据这个MAC来 封装报文的DM AC,然后转发报文在上面的转发原理中,我们是通过ARP索引来封装报文的DMAC的,而目前S8500的ARP表 项并没有全局同步(聚合ARP除外),ARP表项只有在本单板有意义出端口镜像报文在分 析端口封装DMAC的时候也是根据ARP索引来封装的所以当跨板出端口镜像(端口2与端 口3不在同一块单板上)的时候,在出端口上可以通过ARP索引找到正确的DMAC封装报文, 但是在分析端口所在的单板上,根据这个ARP索引却不能找到正确的DMAC來封装报文,在 出端口所在的单板上分配的ARP索引在分析端口所在的单板上没有意义,如果正好被分配 了,对应的MAC值也并非是报文三层转发后真正的目的MAC,如果该索引没有被分配,那 么ARP索引对应的MAC表项就是全0的MACo这也就是有时我们在通过出端口镜像抓包分析 时出现报文目的MAC为0的原因端口镜像常见问题:1,端口镜像对于带tag的报文的处理具体入端口情况进行了测试:看下面的表格端口镜像出方向的报文对于(ag报文存在缺陷,即镜像出来的报文和实际的报文在vlan如g上可能存在差异需要注意,镜像出來报文的tag不能做为实际报文的tag來进行问题分析。
如设 备上不存在vlan 110,但出方向的报文镜像后可能携带110的tag.入入端口属性入端口PVID出端n属性出端口PVID分析端U属性分析端MPVID结论端Access110Access110Access1101、入端口报文不带tag,分析口110110110端口报文无tag镜2、入端口报文带tag 110,分像析端口报文无tag二Access110Trunk1Access1101、入端口报文不带tag,分析层110110110端口报文无tag报2、入端口报文带tag 110,分文析端口报文无tagAccess110Trunk1Trunk11、入端口报文不带tog,分析110110110端口报文带tag 1102、入端口报文带tag 110,分析端口报文带tag 110Trunk1Trunk1Trunk1入端口报文带tag 110,分析no110110端口报文带tag 110Trunk1Access110Trunk1入端口报文带tag 110,分析110110110端口报文带tag 110Trunk1Access110Access110入端口报文带tag 110,分析110110110端口报文无tag入Access110Access120Access1101、入端口报文不带tag,分析端110120110端口报文带tag 120,出端口口报文不带tag镜2、入端口报文带tag 110,分像析端口报文带tag 110,出端二口报文不带tog层Access110Trunkn1Access1101、入端口报文不带tag,分析报110120110端口报文带tag 120,出端口文报文带tag 1202、入端口报文带tag 110,分析端口报文带tag 110,出端口报文带tag 120Access110Trunkn1Access1201、入端口报文不带tag,分析110120120端口报文不带tag,出端口报文带tag 1202、入端口报文带tag 110,分析端口报文不带tag,出端口报文带tag 120Access110Trunkn1Trunkn11、入端口报文不带tag,分析110120110端口报文带tag 120,出端口报文带tag 1202、入端口报文带tag 110,分析端口报文带tag 110,出端口报文带tag 120Access110Trunkn1Trunkn11、入端口报文不带tag,分析110120120端口报文带tag 120,出端口报文带tag 1202、入端口报文带tag 110,分析端口报文带tag 110,出端口报文带t碉120Trunk110Trunkn1Trunkn1入端口报文带tag 110,分析110120110端口报文带tag 110Trunk110Trunkn1Trunkn1入端口报文带tag 110,分析110120120。
