實驗拓撲
實驗需求
實驗步驟
配置觀察端口
1. 在AR1上配置接口GE0/0/2為本地觀察端口
[Huawei]observe-port interface GigabitEthernet 0/0/2
配置鏡像端口
2. 在AR1上配置接口GE0/0/0為鏡像端口,將其入方向綁定到本地觀察端口,即將鏡像端口接收到的報文復制一份到本地觀察端口。
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]mirror to observe-port inbound
3. 驗證配置結果
查看鏡像端口的配置情況
[Huawei]dis mirror-port
---------------------------------------------------------------------------
Mirror-port Direction Observe-dest
---------------------------------------------------------------------------
1 GigabitEthernet0/0/0 Inbound GigabitEthernet0/0/2
---------------------------------------------------------------------------
4. 抓包分析
抓取3.0的網段的數據包,在PC2上PING PC3
個人分析:PING 命令的過程,依托於ICMP協議實現
G0/0/2的端口可以進行觀察到 PC2發出的請求數據包。
個人分析:鏡像是指將經過指定端口的報文復制一份到另一個指定端口,便於檢測和故障定位
個人總結:
1. Ping過程解析
分析下抓包的數據。流程如下:
PC2(192.168.2.1)發起ping請求,ping 192.168.3.1
PC2電腦廣播發起ARP請求,查詢 192.168.3.1的MAC地址。
PC3電腦應答ARP請求,向PC2發起單向應答,告訴PC2自己的MAC地址為:5489-98c3-6257
知道了MAC地址后,開始進行真正的ping請求,由於PC2電腦可以根據PC3電腦發送的請求知道源MAC地址,同時進行ARP 緩存到本地,所有就可以根據源MAC地址進行響應了。
2. VLAN三種模式分析
Access類型的端口只能屬於1個VLAN, 一般用於連接計算機的端口;
Trunk類型的端口可以允許多個VLAN通過,可以接收和發送多個VLAN的報文,一般用於交換機之間的連接端口;
Hybrid類型的端口可以允許多個VLAN通過,可以接收和發送多個VLAN的報文,可以用於交換機之間的連接,也可以用於連接用戶的計算機。
Hybrid端口和Trunk端口在接收數據時,處理方法是一樣的,唯一不同之處在於發送數據時:Hybrid端口可以允許多個VLAN的報文發送時不打標簽,而Trunk端口只允許缺省VLAN的報文發送時不打標簽。
untag就是普通的Ethernet報文,普通PC機的網卡是可以識別這樣的報文進行通訊;
tag報文結構的變化是在源mac地址和目的mac地址后,加上了4bytes的vlan信息,也就是vlan tag頭,一般來說這樣的報文普通PC機的網卡是不能識別的。