当检测设备独立旁路部署时,为实现对流量的检测功能,需要将流量通过分光或者镜像的方式复制到检测设备。
说明: 分光方式的复制流量无需命令行配置,只需要在网络中部署分光器,通过分光器将流量分光到检测设备。
镜像是将网络中某个接口(镜像端口)接收或发送的报文复制一份到指定接口(观测端口),然后发送到检测设备上。用户通过分析检测设备“捕获”的报文,从而了解镜像端口的数据情况。
如图1所示,检测设备与路由器Router1的接口GE1/0/1相连,Router1支持接口作为镜像端口和观测端口。将进入Router1的GE1/0/0接口流量通过端口镜像,复制到接口GE1/0/1,由检测设备进行分析。
镜像的路由器和引流路由器可以是同一路由器,也可以是不同路由器。
这种方式常用于企业网,优点是成本低,不需要额外部署其他设备或器件;缺点是需要在路由器上进行命令行配置。
镜像方式的复制流量只需要在路由器上配置端口镜像相关命令行。无需在检测设备上配置命令行。下面以华为NE80E路由器为例,介绍路由器上的端口镜像配置。
- 配置本地观测端口。
- 执行命令system-view,进入系统视图。
- 执行命令interface interface-type interface-number,进入接口视图。
此接口是指作为本地观测端口的接口,可以作为本地观测端口的接口包括:GE接口及其子接口、Eth-Trunk接口及其子接口、POS接口、IP-Trunk接口。例如图1中,Router1的接口GE1/0/1。
- 执行命令port-observing observe-index observe-index,配置本地观测端口。
当物理接口作为观测端口时,观测端口的索引号必须与该接口所在的接口板的槽位号一致。当逻辑接口作为观测端口时,使用的索引号必须是没有被其他观测端口使用的索引号。
- 执行命令quit,退回系统视图。
- 配置整板镜像的观测端口
- 执行命令slot slot-id,进入槽位视图。
- 执行命令mirror to observe-index observe-index,设置本板镜像的观测端口。
执行此命令后,此观测索引对应的观测端口将作为整个接口板的观测端口,这个观测端口就称为整板镜像的观测端口。当此接口板上有接口进行镜像时,报文就会被镜像到这个整板镜像的观测端口上。整板镜像的观测端口可以配置在本接口板上还可以配置在其他接口板上。
- 执行命令quit,退回系统视图。
- 配置端口镜像功能
- 执行命令interface interface-type interface-number,进入接口视图。
此接口是作为本地镜像端口的接口。可以作为本地镜像端口的接口包括:GE接口及其子接口、POS接口、FR接口、串行接口、MP-Group接口。例如图1中,Router1的接口GE1/0/0。
- 执行命令port-mirroring inbound [ cpu-packet ],观测本地镜像端口的上行流量。
- 执行命令interface interface-type interface-number,进入接口视图。