1. 华为交换机16700端口镜像配置概述
端口镜像(Port Mirroring)是网络运维中的一项基础且关键的技术手段,它通过将指定端口的流量复制到监控端口,实现对网络流量的实时监测和分析。在华为S16700系列交换机上配置端口镜像,主要涉及以下几个核心概念:
- 镜像源端口:需要被监控的网络端口,可以是单个物理端口、聚合链路或VLAN
- 镜像目的端口:接收复制流量的端口,通常连接网络分析设备
- 镜像方向:支持入方向(ingress)、出方向(egress)或双向(both)流量镜像
- 镜像优先级:当存在多个镜像会话时,系统按照优先级处理
华为S16700作为数据中心级核心交换机,其镜像功能相比普通交换机有几个显著特点:
- 支持跨板卡镜像,源端口和目的端口可以位于不同业务板
- 提供基于流的精细化镜像能力,可匹配ACL规则进行选择性镜像
- 采用独立监控芯片处理镜像流量,避免影响正常业务转发性能
2. 配置前准备与环境检查
2.1 硬件兼容性确认
在开始配置前,必须检查硬件是否满足镜像功能要求:
- 确认业务板卡型号支持镜像功能(如EH1D2S08SX1E单板)
- 目的端口所在板卡需有足够处理能力(建议使用10GE或更高带宽端口)
- 确保监控设备(如抓包服务器)的接口类型与目的端口匹配
注意:S16700的X1E系列单板每个端口镜像会话最多支持8个源端口,超过此限制需要创建多个镜像会话。
2.2 软件版本验证
通过以下命令检查系统版本:
bash复制display version
确认VRP版本在V800R021C00或更高,早期版本可能存在镜像功能限制。同时检查许可证状态:
bash复制display license
确保没有"port-mirroring"相关的功能限制提示。
2.3 网络拓扑规划
典型镜像部署需要考虑:
- 流量路径:确保镜像流量不形成环路
- 带宽估算:目的端口带宽应大于所有源端口流量总和
- 监控位置:核心链路建议采用1:1镜像,接入层可采用N:1镜像
建议绘制简易拓扑图标注:
- 源设备位置(防火墙/服务器/核心路由等)
- 镜像点选择(入口/出口/关键中转节点)
- 监控服务器连接位置
3. 基础端口镜像配置步骤
3.1 创建本地镜像组
进入系统视图后,创建镜像组:
bash复制system-view
observe-port 1 interface GigabitEthernet 1/0/24
这里将GigabitEthernet1/0/24配置为镜像目的端口,组ID为1。对于10GE端口,建议使用:
bash复制observe-port 1 interface 10GigabitEthernet 3/0/1
3.2 绑定源端口
配置单向入流量镜像:
bash复制interface GigabitEthernet 1/0/1
port-mirroring to observe-port 1 inbound
配置双向流量镜像:
bash复制interface GigabitEthernet 1/0/2
port-mirroring to observe-port 1 both
3.3 VLAN镜像配置
监控整个VLAN的流量:
bash复制vlan 10
mirroring to observe-port 1 inbound
3.4 验证配置
查看镜像组状态:
bash复制display observe-port
检查端口镜像状态:
bash复制display port-mirroring
4. 高级镜像功能配置
4.1 基于ACL的流镜像
创建高级镜像策略:
bash复制acl number 3000
rule 5 permit ip source 192.168.1.0 0.0.0.255 destination any
traffic classifier c1 operator or
if-match acl 3000
traffic behavior b1
mirror to observe-port 1
traffic policy p1
classifier c1 behavior b1
应用策略到端口:
bash复制interface GigabitEthernet 1/0/3
traffic-policy p1 inbound
4.2 远程镜像(RSPAN)配置
创建远程VLAN:
bash复制vlan 100
description RSPAN_VLAN
quit
配置反射端口:
bash复制interface GigabitEthernet 1/0/24
port-mirroring to observe-port 1 inbound
port link-type trunk
port trunk allow-pass vlan 100
在远端交换机配置:
bash复制vlan 100
mirroring to observe-port 1 inbound
4.3 多级镜像与聚合镜像
堆叠环境中的跨设备镜像:
bash复制observe-port 1 interface 10GigabitEthernet 1/0/1
observe-port 1 destination-ip 192.168.100.100
配置ERSPAN将镜像流量封装为IP报文传输。
5. 性能优化与问题排查
5.1 镜像会话性能调优
- 调整镜像报文采样比(降低CPU负载):
bash复制observe-port 1 sampling-rate 100
- 限制镜像速率(保护监控设备):
bash复制observe-port 1 rate-limit 1000
5.2 常见故障排查
- 目的端口无流量:
bash复制display interface GigabitEthernet 1/0/24
检查物理链路状态和双工模式
- 镜像流量不完整:
bash复制reset counters interface
重置计数器后重新观察
- 系统提示资源不足:
bash复制display mirror resource
可能需要减少镜像会话或升级硬件
5.3 监控数据验证方法
- 使用端口统计验证:
bash复制display interface GigabitEthernet 1/0/1
对比入站/出站报文计数
- 测试报文注入:
bash复制ping -a 192.168.1.1 192.168.1.2 -c 5
在监控端捕获验证
6. 生产环境最佳实践
6.1 大型网络镜像部署方案
在数据中心环境中推荐采用分层镜像架构:
- 接入层:配置基本端口镜像用于故障定位
- 汇聚层:部署流镜像实现安全监控
- 核心层:设置采样镜像进行流量分析
典型配置示例:
bash复制# 核心层采样镜像
observe-port 10 interface 10GigabitEthernet 5/0/1
observe-port 10 sampling-rate 1000
# 安全监控镜像
acl number 3100
rule 10 permit tcp destination-port eq 22
traffic classifier SECURE operator or
if-match acl 3100
traffic behavior SECURE-MIRROR
mirror to observe-port 20
traffic policy SECURE-POLICY
classifier SECURE behavior SECURE-MIRROR
6.2 镜像会话管理技巧
- 命名规范建议:
- LOCAL-MIRROR-1A:本地镜像组A
- RSPAN-SECURITY:远程安全镜像
- FLOW-MONITOR:流监控镜像
- 配置备份命令:
bash复制display current-configuration | include mirror
- 自动化脚本示例:
bash复制#!/bin/bash
echo "configure mirror groups..."
ssh admin@switch <<EOF
system-view
observe-port 1 interface 10GigabitEthernet 1/0/24
interface range GigabitEthernet 1/0/1 to GigabitEthernet 1/0/12
port-mirroring to observe-port 1 inbound
commit
return
EOF
6.3 监控数据分析建议
- 使用Wireshark时的过滤器建议:
!stp && !lldp排除协议报文tcp.port==80 || tcp.port==443聚焦web流量
- 流量分析重点指标:
- 会话矩阵(Conversations)
- 协议分布(Protocol Hierarchy)
- 吞吐量趋势(IO Graphs)
- 异常流量特征:
- 相同源IP的高频短连接
- 非常规端口的通信流量
- 异常大小的ICMP报文