設備上的觀察端口規格和1:N規格是有限的,如果當前需要連接的監控設備有很多,需要的觀察端口數量超過了規格上限,一般可以通過以下兩種方式解決。
方法一:配置遠程鏡像,通過遠程觀察端口進行內部環回廣播
說明:
此方案中如果配置多個內部環回口,則需要確保這些環回口加入的VLAN ID不能相同,否則會導致環路。
圖1通過內部環回方式連接多監控設備組網圖
如圖1所示,網絡管理員需要將鏡像端口的報文鏡像到4台監控設備,而SwitchB可配置觀察端口數量少於4。通過遠程觀察端口內部環回廣播的實現過程如下:
1. 配置遠程端口鏡像
[SwitchB] observe-port 1 interface gigabitethernet1/0/1 vlan 20 //配置遠程觀察端口,VLAN20為用於內部環回廣播的VLAN
[SwitchB] interface gigabitethernet1/0/6
[SwitchB-GigabitEthernet1/0/6] port-mirroring to observe-port 1 both //將鏡像端口出入方向報文都鏡像到內部環回用的遠程觀察端口
[SwitchB-GigabitEthernet1/0/6] quit
2.配置內部環回功能
[SwitchB] vlan batch 20 //用於內部環回轉發,不能在VLAN20配其他業務
[SwitchB] interface gigabitethernet1/0/1
[SwitchB-GigabitEthernet1/0/1] mac-address learning disable //關閉端口MAC動態學習功能,防止內部環回端口學習到其他的MAC地址,將非鏡像報文在內部環回轉發,同時也可以節省MAC表項資源
[SwitchB-GigabitEthernet1/0/1] stp disable //關閉STP功能,避免內部環回端口因收到設備自己發送的報文,設置成Discarding狀態,將端口阻塞
[SwitchB-GigabitEthernet1/0/1] port link-type access
[SwitchB-GigabitEthernet1/0/1] port default vlan 20 //將端口加入內部環回廣播用的VLAN
[SwitchB-GigabitEthernet1/0/1] loopback internal //將遠程觀察端口配置為內部環回端口
[SwitchB-GigabitEthernet1/0/1] quit
[SwitchB] interface gigabitethernet1/0/2
[SwitchB-GigabitEthernet1/0/2] port link-type access
[SwitchB-GigabitEthernet1/0/2] port default vlan 20 //將端口加入內部環回廣播用的VLAN
[SwitchB-GigabitEthernet1/0/2] quit
[SwitchB] interface gigabitethernet1/0/3
[SwitchB-GigabitEthernet1/0/3] port link-type access
[SwitchB-GigabitEthernet1/0/3] port default vlan 20 //將端口加入內部環回廣播用的VLAN
[SwitchB-GigabitEthernet1/0/3] quit
[SwitchB] interface gigabitethernet1/0/4
[SwitchB-GigabitEthernet1/0/4] port link-type access
[SwitchB-GigabitEthernet1/0/4] port default vlan 20 //將端口加入內部環回廣播用的VLAN
[SwitchB-GigabitEthernet1/0/4] quit
[SwitchB] interface gigabitethernet1/0/5
[SwitchB-GigabitEthernet1/0/5] port link-type access
[SwitchB-GigabitEthernet1/0/5] port default vlan 20 //將端口加入內部環回廣播用的VLAN
[SwitchB-GigabitEthernet1/0/5] quit
方法二:配置遠程鏡像,通過中間二層設備進行VLAN廣播
圖2通過中間二層設備連接多監控設備組網圖
如圖2所示,網絡管理員需要將鏡像端口的報文鏡像到3台監控設備,而SwitchB可配置觀察端口數量少於3。通過SwitchC進行VLAN廣播的實現過程如下:
1. 在SwitchB配置遠程端口鏡像
[SwitchB] observe-port 1 interface gigabitethernet1/0/1 vlan 20 //配置遠程觀察端口,VLAN20為用於轉發鏡像報文的普通VLAN
[SwitchB] interface gigabitethernet1/0/2
[SwitchB-GigabitEthernet1/0/2] port-mirroring to observe-port 1 both //將鏡像端口出入方向報文都鏡像到遠程觀察端口
[SwitchB-GigabitEthernet1/0/2] quit
2. 在SwitchC配置端口加入VLAN
[SwitchC] interface gigabitethernet1/0/1
[SwitchC-GigabitEthernet1/0/1] port link-type trunk
[SwitchC-GigabitEthernet1/0/1] port trunk allow-pass vlan 20 //將端口加入用於轉發鏡像報文的VLAN20
[SwitchC-GigabitEthernet1/0/1] quit
[SwitchC] interface gigabitethernet1/0/2
[SwitchC-GigabitEthernet1/0/2] port link-type access
[SwitchC-GigabitEthernet1/0/2] port default-vlan 20 //將端口加入用於轉發鏡像報文的VLAN20
[SwitchC-GigabitEthernet1/0/2] quit
[SwitchC] interface gigabitethernet1/0/3
[SwitchC-GigabitEthernet1/0/3] port link-type access
[SwitchC-GigabitEthernet1/0/3] port default-vlan 20 //將端口加入用於轉發鏡像報文的VLAN20
[SwitchC-GigabitEthernet1/0/3] quit
[SwitchC] interface gigabitethernet1/0/4
[SwitchC-GigabitEthernet1/0/4] port link-type access
[SwitchC-GigabitEthernet1/0/4] port default-vlan 20 //將端口加入用於轉發鏡像報文的VLAN20
[SwitchC-GigabitEthernet1/0/4] quit