实训一、端口镜像功能及抓包流程

实训一、端口镜像功能及抓包流程

一、 端口汇聚实验

1 功能需求及组网说明

端口汇聚配置

『配置环境参数』

1. 交换机SwitchA和SwitchB通过以太网口实现互连。

2. SwitchA用于互连的端口为e0/1和e0/2，SwitchB用于互连的端口为e0/1和e0/2。

『组网需求』

增加SwitchA的SwitchB的互连链路的带宽，并且能够实现链路备份，使用端口汇聚。

2 数据配置步骤

『端口汇聚数据转发流程』

如上图，如果在汇聚时配置的是ingress属性，假如PC1的数据包进入SwitchA，假如第一次去PING PC2，那么第一次将是广播包，数据包将从汇聚端口的逻辑主端口送出，报文送达Switch2时，此时PC1的MAC也将对应学习到Switch2的逻辑主端口，此时PC2再进行回包主要看PC1的源MAC学习到哪个端口，就会通过哪个端口进行转发，所以ingress是根据流进行转发，如果流是单一的，那么该数据流也将一直走同一个端口，除非该端口故障。

如果在汇聚时配置的是both属性，2个端口汇聚，如PC1的数据包进入SwitchA，假如第一次去PING PC2，那么第一次将是广播包，数据包将从汇聚端口的逻辑主端口送出，报文送达Switch2时，此时PC1的MAC也将对应学习到Switch2的逻辑主端口，此时Switch2将根据自己的算法进行选路：将PC1的MAC（二进制）和PC2的MAC（二进制）的最后一位进行与操作，如果与出来的结果为0，将选择主端口；如果与出来的结果为1，将选择备份端口。也就是说如果对于一个单一的数据流（例如固定两台PC）那么它们的数据流将一直在固定某个端口进行转发。

如果是三个或者四个端口进行汇聚，将PC1的MAC和PC2的MAC（二进制）的最后二位进行与操作，一共四种结果，如果与出来的结果为0，将选择主端口；如果与出来的结果为1，选择第一个备份端口，如果与出来的结果为0，再选择第二个备份端口，依此类推。

如果是五个到八个端口进行汇聚，将PC1的MAC和PC2的MAC（二进制）的最后

三位进行与操作，一共八种结果，再进行端口选择。汇聚端口越多，算法就越复杂。

【SwitchA交换机配置】

1. 进入端口E0/1

[SwitchA]interface Ethernet 0/1

2. 汇聚端口必须工作在全双工模式

[SwitchA-Ethernet0/1]duplex full

3. 汇聚的端口速率要求相同，但不能是自适应

[SwitchA-Ethernet0/1]speed 100

4. 进入端口E0/2

[SwitchA]interface Ethernet 0/2

5. 汇聚端口必须工作在全双工模式

[SwitchA-Ethernet0/2]duplex full

6. 汇聚的端口速率要求相同，但不能是自适应

[SwitchA-Ethernet0/2]speed 100

7. 根据源和目的MAC进行端口选择汇聚

[SwitchA]link-aggregation Ethernet 0/1 to Ethernet 0/2 both

【SwitchA交换机配置】

[SwitchB]interface Ethernet 0/1

[SwitchB-Ethernet0/1]duplex full

[SwitchB-Ethernet0/1]speed 100

[SwitchB]interface Ethernet 0/2

[SwitchB-Ethernet0/2]duplex full

[SwitchB-Ethernet0/2]speed 100

[SwitchB]link-aggregation Ethernet 0/1 to Ethernet 0/2 both

【补充说明】

同一个汇聚组中成员端口的链路类型与主端口的链路类型保持一致，即如果主端口为Trunk端口，则成员端口也为Trunk端口；如主端口的链路类型改为Access端口，则成

员端口的链路类型也变为Access端口

2、配置端口汇聚的时候可用使用参数ingress或者both，两者的区别是：前者表示端口汇聚组中各成员端口仅根据源MAC地址对出端口的流量进行负荷分担；而后者表示端口汇聚组中各成员端口根据源、目的MAC地址对出端口的流量进行负荷分担。

为了保证负荷分担的效果，参与端口汇聚的端口要配置在相同的速率和双工模式下。而且，只有数目较多的主机进行访问时，才能观测出负载的效果。

端口镜像实验

功能需求及组网说明

端口镜像配置

『环境配置参数』

1. PC1接在交换机E0/1端口，IP地址1.1.1.1/24

2. PC2接在交换机E0/2端口，IP地址2.2.2.2/24

3. E0/24为交换机上行端口

4. Server接在交换机E0/8端口，该端口作为镜像端口

『组网需求』

1. 通过交换机端口镜像的功能使用server对两台pc的业务报文进行监控。

2. 按照镜像的不同方式进行配置：

1) 基于端口的镜像

2) 基于流的镜像

2、数据配置步骤

『端口镜像的数据流程』

基于端口的镜像是把被镜像端口的进出数据报文完全拷贝一份到镜像端口，这样来进行流量观测或者故障定位。

【3026等交换机镜像】

S2008/S2016/S2026/S2403H/S3026等交换机支持的都是基于端口的镜像，有两种方法：

方法一

1. 配置镜像（观测）端口

[SwitchA]monitor-port e0/8

2. 配置被镜像端口

[SwitchA]port mirror Ethernet 0/1 to Ethernet 0/2

方法二

1. 可以一次性定义镜像和被镜像端口

[SwitchA]port mirror Ethernet 0/1 to Ethernet 0/2 observing-port Ethernet 0/8

『基于流镜像的数据流程』

基于流镜像的交换机针对某些流进行镜像，每个连接都有两个方向的数据流，对于交换机来说这两个数据流是要分开镜像的。

【3500/3026E/3026F/3050】

〖基于三层流的镜像〗

1. 定义一条扩展访问控制列表

[SwitchA]acl num 100

2. 定义一条规则报文源地址为1.1.1.1/32去往所有目的地址

[SwitchA-acl-adv-101]rule 0 permit ip source 1.1.1.1 0 destination any

3. 定义一条规则报文源地址为所有源地址目的地址为1.1.1.1/32

[SwitchA-acl-adv-101]rule 1 permit ip source any destination 1.1.1.1 0

4. 将符合上述ACL规则的报文镜像到E0/8端口

[SwitchA]mirrored-to ip-group 100 interface e0/8

〖基于二层流的镜像〗

1. 定义一个ACL

[SwitchA]acl num 200

2. 定义一个规则从E0/1发送至其它所有端口的数据包

[SwitchA]rule 0 permit egress interface Ethernet0/1

3. 定义一个规则从其它所有端口到E0/1端口的数据包

[SwitchA]rule 1 permit ingress interface Ethernet0/1

4. 将符合上述ACL的数据包镜像到E0/8

[SwitchA]mirrored-to link-group 200 interface e0/8

3、 测试验证

在观测端口上通过工具软件可以看到被镜像端口的相应的报文，可以进行流量观测或者故障定位。