組網需求
如圖1所示,某公司行政部通過SwitchA與外部Internet通信,監控設備Server通過SwitchB與SwitchA相連。
現在希望Server能夠遠程對行政部訪問Internet的流量進行監控。
圖1 配置遠程端口鏡像組網圖
配置思路
進行如下配置,實現Server遠程監控行政部訪問Internet的流量:
- 在SwitchA上配置接口GE0/0/2為遠程觀察端口,負責向綁定的VLAN轉發鏡像報文。
- 在SwitchA上配置接口GE0/0/1為鏡像端口,將行政部訪問Internet的流量復制一份到遠程觀察端口。
- 在SwitchB上創建VLAN,關閉該VALN的MAC地址學習功能。配置接口加入VLAN,負責將觀察端口發送過來的報文向Server轉發。
- 在SwitchA上配置觀察端口
操作步驟
# 在SwitchA上配置接口GE0/0/2為遠程觀察端口,綁定的VLAN為VLAN10。
<HUAWEI> system-view
[HUAWEI] sysname SwitchA
[SwitchA] observe-port 1 interface gigabitethernet 0/0/2 vlan 10
配置完成后,觀察端口會將鏡像報文向VLAN10進行轉發,不需要在觀察端口下進行接口加入VLAN的操作。
在SwitchA上配置鏡像端口
# 在SwitchA上配置接口GE0/0/1為鏡像端口,將其入方向綁定到遠程觀察端口,即將鏡像端口接收到的報文復制一份到遠程觀察端口。
[SwitchA] interface gigabitethernet 0/0/1
[SwitchA-GigabitEthernet0/0/1] port-mirroring to observe-port 1 inbound
[SwitchA-GigabitEthernet0/0/1] return
- 在SwitchB上創建VLAN,配置接口加入VLAN
# 在SwitchB上創建VLAN10,關閉該VALN的MAC地址學習功能,並將接口GE0/0/1和GE0/0/2加入VLAN10。
說明:
該VLAN僅用於轉發鏡像報文,不要使用該VLAN進行其他業務轉發。如果該VLAN已存在,且已學習到MAC地址,請在系統視圖下執行undo mac-address vlan vlan-id命令刪除該VLAN已學習到的所有MAC地址。
<HUAWEI> system-view
[HUAWEI] sysname SwitchB
[SwitchB] vlan 10
[SwitchB-vlan10] mac-address learning disable
[SwitchB-vlan10] quit
[SwitchB] interface gigabitethernet 0/0/1
[SwitchB-GigabitEthernet0/0/1] port link-type access
[SwitchB-GigabitEthernet0/0/1] port default vlan 10
[SwitchB-GigabitEthernet0/0/1] quit
[SwitchB] interface gigabitethernet 0/0/2
[SwitchB-GigabitEthernet0/0/2] port link-type trunk
[SwitchB-GigabitEthernet0/0/2] port trunk allow-pass vlan 10
[SwitchB-GigabitEthernet0/0/2] return
- 驗證配置結果
# 查看觀察端口的配置情況。
<SwitchA> display observe-port
----------------------------------------------------------------------
Index : 1
Untag-packet : No
Interface : GigabitEthernet0/0/2
Vlan : 10
----------------------------------------------------------------------
# 查看鏡像端口的配置情況。
<SwitchA> display port-mirroring
----------------------------------------------------------------------
Observe-port 1 : GigabitEthernet0/0/2
----------------------------------------------------------------------
Port-mirror:
----------------------------------------------------------------------
Mirror-port Direction Observe-port
----------------------------------------------------------------------
1 GigabitEthernet0/0/1 Inbound Observe-port 1
----------------------------------------------------------------------
配置文件
SwitchA的配置文件 # sysname SwitchA # observe-port 1 interface GigabitEthernet0/0/2 vlan 10 # interface GigabitEthernet0/0/1 port-mirroring to observe-port 1 inbound # return SwitchB的配置文件 # sysname SwitchB # vlan batch 10 # vlan 10 mac-address learning disable # interface GigabitEthernet0/0/1 port link-type access port default vlan 10 # interface GigabitEthernet0/0/2 port link-type trunk port trunk allow-pass vlan 10 # Return
背景描述:2條線路,其中一條線路下行帶寬一直跑高在8M左右,而接入層交換機並無對應流量。但下行一直跑高。
故障產生時現象截圖:
下圖是拓撲圖異常時截圖:
排查故障流程:
1、根據以上截圖現象查看是接入層交換機0706有流量流入流出(雖然占用是線路40M出口的,但目前先干他)
2、cacti仙人掌進入0706查看異常下行流量8M左右的,找到port 4端口,異常流量,下接一台服務器
3、奇怪的是這台機器是庫存來的,而且關機,很奇怪關機了還產生下行流量。重裝這台機器還是一樣有流量。
4、遠程ssh進入0706交換機查看端口是沒有限速下行以及端口隔離,搞起
[SR-E23-S5720-0706]int g0/0/4 [SR-E23-S5720-0706-GigabitEthernet0/0/4]qos lr ou in cir 1024 [SR-E23-S5720-0706-GigabitEthernet0/0/4]port-isolate enable
5、這台服務器開啟端口隔離和下行限速后流量降下去了這個port 4,奇怪的是出口的流量下行還是沒降下來,
難不成不是這台機器引起?
解決辦法:
1、根據以上端口限速以及隔離端口還只是解除服務器的異常流量,但是上聯出口的異常流量還是沒有解決。
2、這時查看0912和0706都是華為交換機,想起了端口鏡像操作,顧名思義:就是將端口流量復制一份至指定端口來分析。
3、因為上聯出口沒有防火牆,並不能直觀的分析這是什么流量,只能流量復制牽引了。剛好0706下這台重裝后的服務器有2個網卡
4、0706下的服務器名字是0690,上面截圖端口對應描述有寫,下面就稱服務器為0690
5、0690服務器重裝的是windows2012系統,安裝wireshark軟件用來待會分析流量。0690網卡1配置公網用來遠程,網卡2用來引入流量,
6、以下是端口鏡像操作:
1.在0912核心交換上配置觀察端口
# 在SwitchA上配置接口GE0/0/5為遠程觀察端口,綁定的VLAN為VLAN99。 (這個5口就是觀察口,下接服務器的,如背景描述)
<0912> system-view
[0912] observe-port 1 interface gigabitethernet 0/0/5 vlan 99
配置完成后,觀察端口會將鏡像報文向VLAN99進行轉發,不需要在觀察端口下進行接口加入VLAN的操作。(也就是0912的5口不需要允許vlan 99通過,5口接0706交換機,因為0960分析流量的服務器在這個口下)
在0912上配置鏡像端口
# 在0912上配置接口GE0/0/24為鏡像端口,將其入方向綁定到遠程觀察端口,即將鏡像端口接收到的報文復制一份到遠程觀察端口。
[0912] interface gigabitethernet 0/0/24
[0912-GigabitEthernet0/0/24] port-mirroring to observe-port 1 inbound
[0912-GigabitEthernet0/0/24] return
2. 在0706上創建VLAN,配置接口加入VLAN
# 在0706上創建VLAN99,關閉該VALN的MAC地址學習功能,並將接口GE0/0/5(這個5口是接0912的)和GE0/0/38(這個38是接0690服務器的網卡2)加入VLAN99。
說明:
該VLAN僅用於轉發鏡像報文,不要使用該VLAN進行其他業務轉發。如果該VLAN已存在,且已學習到MAC地址,請在系統視圖下執行undo mac-address vlan vlan-id命令刪除該VLAN已學習到的所有MAC地址。
<0706> system-view
[0706] vlan 99
[0706-vlan99] mac-address learning disable
[0706-vlan99] quit
[0706] interface gigabitethernet 0/0/38
[0706-GigabitEthernet0/0/38] port link-type access
[0706-GigabitEthernet0/0/38] port default vlan 99
[0706-GigabitEthernet0/0/38] quit
[0706] interface gigabitethernet 0/0/5
[0706-GigabitEthernet0/0/5] port link-type trunk
[0706-GigabitEthernet0/0/5] port trunk allow-pass vlan 99
###允許0912上聯交換機的99vlan端口將復制的流量允許流入,不會刪除原本的vlan配置,不影響生產業務。
[0706-GigabitEthernet0/0/5] return
3.驗證配置結果
# 查看觀察端口的配置情況。
<0912> display observe-port
----------------------------------------------------------------------
Index : 1
Untag-packet : No
Interface : GigabitEthernet0/0/5
Vlan : 99
----------------------------------------------------------------------
# 查看鏡像端口的配置情況。
<0912> display port-mirroring
----------------------------------------------------------------------
Observe-port 1 : GigabitEthernet0/0/5
----------------------------------------------------------------------
Port-mirror:
----------------------------------------------------------------------
Mirror-port Direction Observe-port
----------------------------------------------------------------------
1 GigabitEthernet0/0/24 Inbound Observe-port 1
----------------------------------------------------------------------
7、在服務器上打開wireshark軟件,選擇nic2流量網卡,進行流量分析。查看為下圖:
異常流量時抓的包,查看到目的地址都是本機房的ip:121.xx.xx.137
- 運營商反饋無法屏蔽對方ip,故將自己ip 121.xx.xx.137屏蔽后抓包查看異常流量解除
