1 镜像

1.1?? 职能介绍

1.1.1? 镜像职能概述

随着网络的发展，对网络的高可用性的要求日益提高。当网络出现异常时，必要对网络节点或者设备的端口进行了数据流量分析以便网络可能急剧复原正常，但同时又要求不影响设备数据流量的正常转发。

镜像是将指定端口的报文复造到另一个衔接有网络监测设备的端口的职能，实现了对可疑的网络节点或者设备端口进行数据流量分析，同时又不影响被监控设备的数据转发。镜像职能重要利用在网络监控和故障排查两种场景中，实现了监控网络信息安全和解决网络故障的主张。

1.1.2? 根基概想

1. 源端口

源端口也称为被监控口，源端口上的数据流会被复造一份到主张端口，用于网络分析或故障排除。

2. 主张端口

主张端口也称为为监控口，与监控设备相衔接的端口，将接管到的源端口报文转发到监控设备。

3. 会话

会话是一个逻辑上的概想，一个齐全的会话由源端口和主张端口组成。

4. SPAN

SPAN（Switch Port Analyzer，互换式端口分析器）也称为本地端口镜像或者本地镜像。指统一个镜像会话的源端口与主张端口在统一台设备上的镜像。

5. RSPAN

RSPAN（Remote Switch Port Analyzer，远程端口镜像）是SPAN的扩大，源端口和指标端口处于分歧的设备。

6. ERSPAN

ERSPAN（Encapsulated Remote Switch Port Analyzer，封装远程端口镜像）是RSPAN的扩大，实现了逾越互换或路由网络的多台设备的远程监控步骤。

7. 远程镜像VLAN

远程镜像VLAN是一种特殊的VLAN，该VLAN只传输镜像报文，不合正常的业务数据进行传输。

8. 输出端口

源设备大将镜像报文发送到中央设备或者主张设备的端口称为输出端口。

9. 源设备

源设备是远程镜像角色之一，指源端口地点的设备，掌管将源端口的报文复造一份到源设备的输出端口，传输给中央设备或主张设备。

10. ?主张设备

主张设备远程镜像角色之一，指远程镜像主张端口地点的设备，掌管将中央设备或者源设备接管到的镜像报文转发给监控设备。

11. ?中央设备

中央设备是远程镜像角色之一，指处于源设备和主张设备之间的设备，掌管将镜像报文传输给下一个中央设备或主张设备。若是源设备与主张设备直接相连，则不存在中央设备。

12. ?镜像数据流

镜像数据流指被镜像的数据报文。镜像会话的数据流蕴含以下三种方向的数据流：

l 输入数据流

所有源端口上接管到的报文都将被复造一份到主张端口。在一个镜像会话中，能够监控一个或多个源端口的输入报文。

l 输出数据流

所有从源端口发送的报文都将复造一份到主张端口。在一个镜像会话中，能够监控一个或多个源端口的输出报文。

l 双向数据流

同时蕴含输入数据流和输出数据流。在一个镜像会话中，可监控一个或多个源端口的输入和输出方向的数据流。

1.1.3? 工作道理

1. SPAN工作道理

如图1-1所示，通过在DeviceA上配置了SPAN，设备将Port 1上的报文复造一份到Port 10，衔接在Port 10上的网络分析设备固然未与Port1直接相连，但是能够接管通过Port1上的所有报文，从而实现了监控Port 1接口传输的数据流的主张。具体工作过程如下：

(1) 设备鉴别与象征出从源端口Port 1进出的报文。

(2) 设备查找Port 1所属的镜像会话。

(3) 设备查找该镜像会话对应的主张端口Port 10。

(4) 设备复造一份进出Port 1的报文发送至Port 10。

(5) Port 10将报文发送至网络分析设备。

图1-1 SPAN工作道理图

2. RSPAN工作道理

如图1-2所示，RSPAN的道理是在源设备、中央设备和主张设备创建一个远程镜像VLAN，且所有参加镜像会话的端口都参与该远程镜像VLAN。远程镜像VLAN中通过广播，使得源设备将镜像报文转发到主张设备，主张设备再将镜像报文转发到网络分析设备。具体工作过程如下：

(1) 源设备、中央设备和主张设备设备中参加镜像会话的端口均参与到远程镜像VLAN中。

(2) 源设备将源端口中的镜像报文封装远程镜像VLAN的ID，并复造一份到输出端口。

注明

如图1-3对于一对多镜像，必要在源设备的输出端口上开启为MAC回环职能使其成为自环口，并将自环口及与中央设备衔接的接口（图1-3中的Port1和Port2）参与远程镜像VLAN。源端口将报文镜像传输到自环口，镜像报文增长远程镜像VLAN的ID。由于自环口属于远程镜像VLAN且该VLAN不容进建MAC地址，因而反射回来的报文在远程镜像VLAN内广播，肆意参与远程镜像VLAN的接口均可能接管到镜像报文，从而实现一对多镜像。

(3) 输出端口通过远程镜像VLAN将镜像报文输出到中央设备或者主张设备。

(4) 中央设备在远程镜像VLAN中广播镜像报文，将镜像报文透传到下一个中央设备或者主张设备。

注明

若是源设备与主张设备直接衔接，则输出端口将镜像报文输出到主张设备。

(5) 主张设备接管到报文后，通过报文携带的VLAN ID判断该报文是否为镜像报文，当报文携带的VLAN ID与远程镜像VLAN ID一致时，则判断该报文为镜像报文，并将该报文通过主张端口转发给网络分析仪。

图1-2 RSPAN工作道理图

图1-3 基于RSPAN实现的一对多镜像道理图

3. ERSPAN工作道理

在RSPAN中，镜像报文只能在二层内传输，无法跨路由网段转发，而ERSPAN将镜像报文通过GRE（Generic Routing Encapsulation，通用路由和谈封装）隧路封装成IP报文后，再将镜像报文转发到远端镜像设备的主张端口，实现了镜像报文的跨路由网段的传输。

如图1-4所示，ERSPAN的具体工作过程如下。

(1) 源设备将进入源端口的报文复造一份并进行封装。

○ 封装的GRE报文的源IP、主张IP。

○ 设置GRE报文的TTL和DSCP值。

○ 封装IPv6报文的hop-limit和traffic-class值。

注明

镜像报文经过ERSPAN封装后的报文头部体式如图1-5所示。

(2) 通过GRE隧路，将镜像报文转发至主张设备。

(3) 主张设备将镜像报文进行GRE�？榻夥庾�，剥离ERSPAN封装头部后将镜像报文转发到主张端口。

(4) 主张端口将镜像报文转发到网络分析设备。

把稳

进行GRE封装后的IP报文必须是可能在网络中正常路由到主张镜像设备的，因而主张IP通常是路由的下一跳IP。即源设备的输出端口是其要封装的主张IP地址地点的三层通路的下一跳出口，所以镜像输出口必须是路由可达的接口，可所以SVI接口，三层聚合接口或者三层以太网接口。

图1-4 ERSPAN工作道理图

图1-5 ERSPAN封装报文体式图

4. 流镜像的工作道理

流的镜像是在端口镜像的基础上，将源端口与ACL关联，凭据ACL规定对报文进行过滤，达到只镜像指定报文的主张。源端口只有匹配到ACL中permit ace的报文能力被镜像到主张端口。一个源端口只能关联一个ACL�？晒亓�ACL有尺度ACL、扩大ACL、MAC ACL和自界说ACL。

1.2?? 配置限度和领导

l 源端口拥有以下个性：

○ 源端口与输出端口不能为统一端口。

○ 源端口可所以二层以太网接口，三层以太网接口、二层聚合口或三层聚合口。

○ 支持将源设备上的多个源端口数据流镜像到指定的输出端口。

○ 当镜像源端口为三层以太网接口或三层聚合口时，监控的报文蕴含二层报文和三层报文。

○ 在双向监控多个端口的情况下，一份报文由一个端口进入，从另表一个端口输出，只有有监控到一份报文即视为报文被镜像成功。

○ 当端口启用STP并处于BLOCK状态时，该端口的输入或输出的报文也可能被监控到。

○ 源端口和主张端口能够属于统一VLAN，也能够属于分歧VLAN。

○ 若是将源端口参与聚合口，则该源端口将退出镜像会话，仅作为聚合口的成员口，不再作为镜像会话的源端口。

l 主张端口拥有以下个性：

○ 主张端口不能同时作为源端口。

○ 主张端口可所以以太网接口或聚合接口。

l 已经配置的会话ID不能作为其他镜像会话的ID。

l 缺省情况下，镜像主张口没有开启switch职能，主张口不参加数据转发，只接管镜像报文。若是必要主张口参加数据转发，则必要开启switch职能，不然对于流经该端口的数据报文将被抛弃。

l 由于其他原因（如端口安全），从源端口输入的报文可能被抛弃，但这不影响镜像职能，该报文依然会被镜像到主张端口。而由于其他原因，从其他端口发送到源端口的报文可能被抛弃，因而该报文也不会发送到主张端口。

l 若是从源端口输出的报文的体式产生扭转时，例如源端口输出经过路由之后的报文，报文的源MAC、主张MAC、VLAN ID以及TTL产生变动时，则镜像到主张端口的报文的体式也会随之产生变动。

l 能够通过在源端口配置ACL达到镜像指定的数据流的主张，支持尺度ACL、扩大ACL、MAC ACL和自界说ACL。

1.3?? 配置工作概览

镜像配置工作如下：

b （可�。�配置ERSPAN的采样职能

c （可�。�配置ERSPAN的属性

1.4?? 配置SPAN

1.4.1? 职能简介

SPAN通过将指定端口或指定VLAN的报文复造到与数据监测设备相连的端口，能够利用数据监测设备分析这些复造过来的报文，以进行网络监控和故障排除。

1.4.2? 配置限杜纂领导

l 配置镜像源端口时，能够同时配置指定部门VLAN作为镜像的数据源、配置指定接口作为镜像的数据源、配置指定接口上的指定流作为镜像的数据源职能。

l 配置镜像源端口时，指定某个VLAN作为镜像的数据源职能与指定部门VLAN作为镜像的数据源、配置指定接口作为镜像的数据源、配置指定接口上的指定流作为镜像的数据源职能互斥。

l 配置镜像源端口时，指定部门VLAN作为镜像的数据源后，同时还必要配置指定接口作为源端口。

l 若是扭转了源端口或主张端口的VLAN配置，配置将顿时生效。

l 若是禁用了源端口或主张端口，镜像职能将失效。

l 若是VLAN或VLAN列表作为镜像源时，要保障主张口有足够大的宽带可能接管整个VLAN的镜像数据。

l 若是在已经生效的指定VLAN为源口的镜像会话中，增长或删除VLAN源口，必要沉新利用整个镜像会话，因而已有的镜像流量可能会出现少量丢包。

1.4.3? 配置步骤

(1) 进入特权模式。

enable

(2) 进入全局配置模式。

configure terminal

(3) 配置镜像源端口。请至少选择其中一项进行配置。

○ 配置指定接口作为镜像的数据源。

monitor session session-number source interface interface-type interface-number [ { both | rx | tx } [ acl acl-name | acl acl-number ]

○ （可�。┡渲弥付ú棵�VLAN不能作为镜像的数据源。

monitor session session-number filter vlan vlan-id-list rx

本号令必要与monitor session source interface号令或monitor session source interface acl号令同时配置使用。

○ 配置指定某些VLAN作为镜像的数据源。

monitor session session-number source vlan vlan-id-list rx

性子能与指定部门VLAN作为镜像的数据源、配置指定接口作为镜像的数据源职能互斥。

缺省情况下，未配置镜像会话的源端口。

(4) 配置镜像主张端口。

monitor session session-number destination interface interface-type interface-number switch

缺省情况下，未配置镜像主张端口。

1.5?? 配置RSPAN

1.5.1? 职能简介

通过配置RSPAN职能，可能跨设备监控数据报文以进行网络监控和故障排除。

1.5.2? 配置限杜纂领导

l 所有参加镜像的报文均要参与远程VLAN中。

l 远程镜像VLAN必须在每台设备中都要进行配置，且VLAN ID必须一致，并且所有参加会话的端口都要参与该VLAN中。请预防将通常端口参与远程镜像VLAN。

l 建议不要将与中央设备相连的端口或与主张设备相连的端口配置为镜像源端口，不然可能引起网络内的流量混乱。

l 为了实现一对多镜像，必要在源设备上拔取一个接口配置为MAC回环口，将输出端口通过MAC回环口的“自环”职能，通过实现将镜像报文输出到多个中央设备或者多个主张设备的职能。

l MAC回环口无法作为正常的端口转发流量。建议将处于DOWN状态的端口配置为MAC回环口，且不要在该端口上增长其他配置。

1.5.3? 配置步骤

(1) 进入特权模式。

enable

(2) 进入全局配置模式。

configure terminal

(3) 进入VLAN配置模式。

vlan vlan-id

(4) 配置远程VLAN。

remote-span

缺省情况下，未配置远程VLAN。

(5) 退出VLAN配置模式。

exit

(6) 配置远程镜像的源设备。

monitor session session-number remote-source

缺省情况下，未配置远程镜像会话中的源设备。

(7) （可�。┰谠瓷璞干吓渲�MAC自环职能。

a 进入二层以太网接口或三层以太网接口配置模式。

interface interface-type interface-number

b 打开接口MAC自环职能。

mac-loopback

缺省情况下，接口MAC自环职能处于关关状态。

(8) 退出二层以太网接口或三层以太网接口配置模式。

exit

(9) 配置源设备上的源端口。

monitor session session-number source interface interface-type interface-number [ { both | rx | tx } [ acl { acl-name | acl-number } ]

缺省情况下，未配置源设备上的镜像会话源端口。

(10) 配置远程镜像的主张设备。

monitor session session-number remote-destination

缺省情况下，未配置远程镜像的会话主张设备。

(11) 配置源设备上的输出端口或者主张设备上的主张端口。

monitor session session-number destination remote vlan remote-vlan-id interface interface-type interface-number switch

缺省情况下，未配置远程镜像源设备的输出端口或远程镜像主张设备的主张端口。

1.6?? 配置ERSPAN

1.6.1? 配置工作简介

ERSPAN配置工作如下：

(1) 配置ERSPAN根基职能

(2) （可�。�配置ERSPAN的采样职能

(3) （可�。�配置ERSPAN的属性

1.6.2? 配置ERSPAN根基职能

1. 职能简介

配置ERSPAN后网络分析仪能够通过远程镜像监控网络设备的数据流。设备之间均能正常互换数据。

2. 配置步骤

(1) 进入特权模式。

enable

(2) 进入全局配置模式。

configure terminal

(3) 配置ERSPAN会话。

monitor session session-number erspan-source

缺省情况下，未配置ERSPAN会话。

(4) 配置指定接口作为镜像的数据源。

source interface { interface-type interface-numbere | all } [ both | rx [ acl { acl-name | acl-number } ] | tx ]

缺省情况下，未配置镜像源端口，当配置源端口时镜像数据的方向缺省为双向数据流。

(5) 配置封装源IP地址。

original { ip | ipv6 } address ip-address

缺省情况下，未配置GRE封装的指定源IP地址。

(6) 配置封装主张IP地址。

destination { ip | ipv6 } address ip-address

缺省情况下，未配置封装的类型及指定主张IP地址。

1.6.3? 配置ERSPAN的采样职能

1. 配置限杜纂领导

l ERSPAN的采样职能只有在会话或者镜像源端口配置了采样职能时才生效。

l 对于ERSPAN配置流采样的采样比时，采样比会以最靠近的2的n次方生效。如配置的采样比为100，则现实生效的采样比为128。

l 采样比现实生效的领域为2^0~2^14，即1~16384。

2. 配置步骤

(1) 进入特权模式。

enable

(2) 进入全局配置模式。

configure terminal

(3) 配置ERSPAN会话。

monitor session session-umber erspan-source

(4) 配置源端口。

source interface interface-type interface-number { [ rx | tx | both ] }

缺省情况下，未配置镜像源端口，当配置源端口时镜像方向缺省为both方向。

(5) 配置封装源IP地址。

original { ip | ipv6 } address ip-address

缺省情况下，未配置GRE封装的指定源IP地址。

(6) 配置封装主张IP地址。

destination { ip | ipv6 } address ip-address

缺省情况下，未配置封装的类型及指定主张IP地址。

(7) 配置基于流的ERSPAN采样职能。

source interface { interface-type interface-number | all }rx acl { acl-name | acl-number } [ sample ]

缺省情况下，未配置基于流的ERSPAN采样职能。

(8) （可�。┡渲玫牟裳德�。

sampling-rate rate

缺省情况下，采样频率是1:1，暗示每个报文都进行采样。

1.6.4? 配置ERSPAN的属性

1. 配置步骤

(1) 进入特权模式。

enable

(2) 进入全局配置模式。

configure terminal

(3) 配置ERSPAN会话。

monitor session session-number erspan-source

(4) 配置ERSPAN会话的属性。以下配置均为可选，请凭据现实需要至少选择其中一项进行配置。

○ 封装IP TTL

ip ttl ttl-value

缺省情况下，封装IP报文的TTL值为64。

○ 封装IP DSCP

ip dscp dscp-value

缺省情况下，封装IP报文的DSCP值为0。

○ 封装IPv6 hop-limit值。

ipv6 hop-limit value

缺省情况下，封装IPv6报文的hop-limit值为64。

○ 封装ipv6 traffic-class值。

ipv6 traffic-class value

缺省情况下，封装IPv6报文的traffic-class值为0。

traffic-class的可配置领域为0~255，但现实只有前6比特封装生效，即只有DSCP（0-63）封装生效，后2比特补0。

○ 配置ERSPAN与VRF联动。

vrf vrf-name

缺省情况下，未配置ERSPAN与VRF联动职能。

配置该职能时VRF必须已经存在。

(5) （可�。┕毓�ERSPAN会话。

shutdown

缺省情况下，会话职能处于开启状态。

1.7?? 监督与守护

能够通过show号令行查看职能配置后的运行情况以验证配置成效。

能够通过debug号令行列举输出的各类调试信息。

表1-1 SPAN-RSPAN监督与守护

作用	号令
查看镜像会话信息	show monitor [ session session-number ]
打开镜像会话的调试开关	debug span

1.8?? 典型配置举例

1.8.1? SPAN配置举例

1. 组网需要

如图1-6所示，通过适当的配置，网络分析仪可能监控DeviceA转发给DeviceB的所罕见据流，监控来自DeviceB的特定数据流（如来自PC1和PC2的数据流）。

2. 组网图

图1-6 SPAN组网图

3. 配置重点

l 配置DeviceA的GigabitEthernet 0/1和GigabitEthernet 0/2属于VLAN 1。创建SVI 1，并配置SVI 1地址为10.10.10.10/24。

l 配置DeviceB的GigabitEthernet 0/1属于VLAN 1。创建SVI 1，并配置SVI 1地址为10.10.10.20/24。

l 配置PC1、PC2的地址别离为10.10.10.1/24和10.10.10.2/24。

l 配置DeviceA的本地镜像，指定端口GigabitEthernet 0/1和GigabitEthernet 0/2别离为镜像的源端口和主张端口。监控DeviceA转发给DeviceB的所罕见据流，监控来自DeviceB的特定数据流。

4. 配置步骤

# 配置DeviceA的GigabitEthernet 0/1和GigabitEthernet 0/2属于VLAN 1。

DeviceA> enable

DeviceA# configure terminal

DeviceA(config)# vlan 1

DeviceA(config-vlan)# exit

# 在DeviceA上创建SVI 1，并配置SVI 1地址为10.10.10.10/24。

DeviceA(config)# interface vlan 1

DeviceA(config-if-VLAN 1)# ip address 10.10.10.10 255.255.255.0

DeviceA(config-if-VLAN 1)# exit

# 配置DeviceB的GigabitEthernet 0/1属于VLAN 1。

DeviceB# configure

DeviceB(config)# vlan 1

DeviceB(config-vlan)# exit

# 在DeviceB上创建SVI 1，并配置SVI 1地址为10.10.10.20/24。

DeviceB (config)# interface vlan 1

DeviceB(config-if-VLAN 1)# ip address 10.10.10.20 255.255.255.0

DeviceB(config-if-VLAN 1)# exit

# 在DeviceA上配置ACL，匹配源地址为10.10.10.20的报文。

DeviceA(config)# access-list 100 permit ip host 10.10.10.20 any

# 在DeviceA上配置端口GigabitEthernet 0/1为镜像的源端口，监控DeviceA转发给DeviceB的所罕见据流，监控来自DeviceB的特定数据流。

DeviceA(config)# monitor session 1 source interface gigabitethernet 0/1 tx

DeviceA(config)# monitor session 1 source interface gigabitethernet 0/1 rx acl 100

# 在DeviceA上配置GigabitEthernet 0/2为镜像的主张端口。

DeviceA(config)# monitor session 1 destination interface gigabitethernet 0/2

5. 验证配置了局

# 通过show monitor号令查看镜像是否正确配置。

DeviceA# show monitor

sess-num: 1

span-type: LOCAL_SPAN

src-intf:

　GigabitEthernet 0/1　　　　 frame-type TX Only

src-intf:

　GigabitEthernet 0/1　　　　 frame-type RX Only

rx acl id 100

dest-intf:

　GigabitEthernet 0/2

6. 配置文件

l DeviceA的配置文件

hostname DeviceA

ip access-list extended 100

?10 permit ip host 10.10.10.20 any

interface VLAN 1

?ip address 10.10.10.10 255.255.255.0

monitor session 1 destination interface GigabitEthernet 0/2

monitor session 1 source interface GigabitEthernet 0/1 tx

monitor session 1 source interface GigabitEthernet 0/1 rx acl 100

end

l DeviceB的配置文件

hostname DeviceB

interface VLAN 1

?ip address 10.10.10.20 255.255.255.0

end

1.8.2? 基于RSPAN实现的一对多镜像职能配置举例

忠告

当部署一对多端口镜像时，必须使用switchport trunk allowed vlan remove vlan-list号令裁剪掉各镜像设备上trunk类型的接口中广播的VLAN，不然trunk接口可能会被广播的流量占满导致业务中断。

1. 组网需要

如图1-7所示，网络分析仪能够通过远程镜像职能，实此刻主张设备DeviceB和DeviceC上监控源设备DeviceA上的双向数据流。且设备之间均能正常互换数据。

2. 组网图

图1-7 基于RSPAN实现的一对多镜像职能网图

3. 配置重点

l 配置DeviceA为源设备，配置远程镜像VLAN，配置端口GigabitEthernet 0/1为源端口，与主张设备相连的端口GigabitEthernet 0/3和GigabitEthernet 0/4为输出端口，配置GigabitEthernet 0/2接口为MAC回环口，用于实现一对多镜像的“反射”职能。配置输出端口可互换职能。

l DeviceB和DeviceC配置为主张设备，配置远程镜像VLAN，与源设备相连的端口GigabitEthernet 0/1作为源端口，配置Trunk端口，与网络分析仪相连的端口GigabitEthernet 0/2配置为镜像主张端口，并配置镜像主张端口可互换职能。

4. 配置步骤

# 配置DeviceA为源设备。

(1) 配置远程VLAN。

DeviceA> enable

DeviceA# configure terminal

DeviceA(config)# vlan 7

DeviceA(config-vlan)# remote-span

DeviceA(config-vlan)# exit

(2) 配置源端口。

DeviceA(config)# monitor session 1 remote-source

DeviceA(config)# monitor session 1 source interface gigabitethernet 0/1 both

(3) 配置输出端口。

DeviceA(config)# monitor session 1 destination remote vlan 7 interface gigabitethernet 0/2 switch

(4) 配置回环口。

DeviceA(config)# interface gigabitethernet 0/2

DeviceA(config-if)# mac-loopback

DeviceA(config-if)# switchport access vlan 7

DeviceA(config-if)# exit

DeviceA(config)# interface range gigabitethernet 0/3-4

DeviceA(config-if-range)# switchport mode trunk

# 配置DeviceB为主张设备。

(1) 配置远程VLAN。

DeviceB> enable

DeviceB# configure

DeviceB(config)# vlan 7

DeviceB(config-vlan)# remote-span

DeviceB(config-vlan)# exit

(2) 配置主张端口。

DeviceB(config)# monitor session 1 remote-destination

DeviceB(config)# monitor session 1 destination remote vlan 7 interface gigabitethernet 0/2 switch

DeviceB(config)# interface gigabitethernet 0/1

DeviceB(config-if)# switchport mode trunk

# 配置DeviceC为主张设备。

(1) 配置远程VLAN。

DeviceC> enable

DeviceC# configure

DeviceC(config)# vlan 7

DeviceC(config-vlan)# remote-span

DeviceC(config-vlan)# exit

(2) 配置主张端口。

DeviceC(config)# monitor session 1 remote-destination

DeviceC(config)# monitor session 1 destination remote vlan 7 interface gigabitethernet 0/2 switch

DeviceC(config)# interface gigabitethernet 0/1

DeviceC(config-if)# switchport mode trunk

5. 验证配置了局

# 在DeviceA上通过show monitor号令查看镜像源设备配置了局。

DeviceA# show monitor

sess-num: 1

span-type: SOURCE_SPAN

src-intf:

GigabitEthernet 0/1　　　frame-type Both

dest-intf:

GigabitEthernet　0/2

Remote vlan 7

mtp_switch on

# 在DeviceB和DeviceC中通过show monitor号令查看镜像主张设备配置了局。以DeviceB为例注明。

DeviceB# show monitor

sess-num: 1

span-type: DEST_SPAN

dest-intf:

GigabitEthernet　0/2

Remote vlan 7

mtp_switch on

6. 配置文件

l DeviceA的配置文件

hostname DeviceA

vlan 7

?remote-span

interface GigabitEthernet 0/2

?mac-loopback

?switchport access vlan 7

interface GigabitEthernet 0/3

switchport mode trunk

interface GigabitEthernet 0/4

switchport mode trunk

monitor session 1 remote-source

monitor session 1 source interface GigabitEthernet 0/1 both

monitor session 1 destination remote vlan 7 interface GigabitEthernet0/2 switch

end

l DeviceB的配置文件

hostname DeviceB

vlan 7

?remote-span

interface GigabitEthernet 0/1

?switchport mode trunk

monitor session 1 remote-destination

monitor session 1 destination remote vlan 7 interface GigabitEthernet0/2 switch

end

l DeviceC的配置文件

hostname Device

vlan 7

?remote-span

interface GigabitEthernet 0/1

?switchport mode trunk

monitor session 1 remote-destination

monitor session 1 destination remote vlan 7 interface GigabitEthernet 0/2 switch

end

7. 常见谬误

l 源设备、中央设备、主张设备均要配置远程VLAN且VID必须一致。

l 带宽大的端口被镜像到带宽幼的端口可能会造成丢包。

1.8.3? ERSPAN根基职能配置举例

1. 组网需要

如图1-8中所示。网管但愿通过网络分析仪对DeviceA和DeviceC的流量进行监控。其中对于DeviceA，监控双向数据流；对于DeviceC，仅监控部门发送到Device的报文。为了合理利用资源，对监控报文进行采样，采样率为1000。

2. 组网图

图1-8 ERSPAN配置举例组网图

3. 配置重点

l 配置各设备之间三层路由可达。

l 配置DeviceB为源设备。GigabitEthernet 0/1，GigabitEthernet 0/2均为源端口，监控GigabitEthernet 0/1的双向数据报文，对于GigabitEthernet 0/2的报文，仅镜像主张IP为2.1.1.1的报文，GigabitEthernet 0/3为镜像报文出口。

l 配置镜像报文的采样率为1000。

4. 配置步骤

# 配置DeviceB的地址。

DeviceB> enable

DeviceB# configure terminal

DeviceB(config)# interface gigabitethernet 0/1

DeviceB(config-if-GigabitEthernet 0/1)# ip address 1.1.1.1 255.255.255.0

DeviceB(config-if-GigabitEthernet 0/1)# exit

DeviceB(config)# interface gigabitethernet 0/2

DeviceB(config-if-GigabitEthernet 0/1)# ip address 2.1.1.1 255.255.255.0

DeviceB(config-if-GigabitEthernet 0/1)# exit

DeviceB(config)# interface gigabitethernet 0/3

DeviceB(config-if-GigabitEthernet 0/1)# ip address 13.1.1.1 255.255.255.0

DeviceB(config-if-GigabitEthernet 0/1)# exit

# 配置DeviceA的地址。

DeviceA> enable

DeviceA# configure terminal

DeviceA(config)# interface gigabitethernet 0/1

DeviceA(config-if-GigabitEthernet 0/1)# ip address 1.1.1.2 255.255.255.0

DeviceA(config-if-GigabitEthernet 0/1)# exit

# 配置DeviceC地址。

DeviceC> enable

DeviceC# configure terminal

DeviceC(config)# interface gigabitethernet 0/1

DeviceC(config-if-GigabitEthernet 0/1)# ip address 2.1.1.2 255.255.255.0

DeviceC(config-if-GigabitEthernet 0/1)# exit

# 在DeviceB上配置ACL。

DeviceB(config)#access-list 1 permit host 1.1.1.1

# 创建ERSPAN Session 1，设置为源设备，并设置端口GigabitEthernet 0/1为源端口，镜像双向数据流，端口GigabitEthernet 0/2也为源端口，仅进行主张地址为1.1.1.1的报文。

DeviceB(config)# monitor session 1 erspan-source

DeviceB(config-mon-erspan-src)# source interface gigabitethernet 0/1 both

DeviceB(config-mon-erspan-src)# source interface gigabitethernet 0/2 rx acl acl1

DeviceB(config-mon-erspan-src)# origin ip address 10.1.1.2

DeviceB(config-mon-erspan-src)# destination ip address 3.1.1.2

# 开启镜像报文选取职能并配置采样率为1000。

DeviceB(config-mon-erspan-src)# sample enable

DeviceB(config-mon-erspan-src)# sample rate 1000

5. 验证配置了局

# 验证DeviceB与DeviceA之间三层可通。

DeviceB# ping 1.1.1.2

Sending 5, 100-byte ICMP Echoes to 1.1.1.2, timeout is 2 seconds:

　< press Ctrl+C to break >

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 2/3/8 ms.

# 验证DeviceB与DeviceC之间三层可通。

DeviceB# ping 2.1.1.2

Sending 5, 100-byte ICMP Echoes to 2.1.1.2, timeout is 2 seconds:

　< press Ctrl+C to break >

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 2/3/8 ms.

# 验证DeviceB与网络分析仪之间三层可通。

DeviceB# ping 3.1.1.2

Sending 5, 100-byte ICMP Echoes to 3.1.1.2, timeout is 2 seconds:

　< press Ctrl+C to break >

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 2/3/8 ms.

# 通过show access-lists号令查看ACL配置成功。

DeviceB# show access-lists

ip access-list standard 1

?10 permit host 1.1.1.1

# 通过show monitor号令查看配置了局，ERSPAN会话处于Active状态。

DeviceB# show monitor

sess-num: 1

span-type: ERSPAN_SOURCE

src-intf:

　GigabitEthernet 0/1　　　　 frame-type: Both　　　　TX status: Active　 RX status: Active　

src-intf:

　GigabitEthernet 0/2　　　　 frame-type: RX Only　　 Rx acl id: 1　　　

status: Active

original ip address: 2.1.1.2

destination ip address: 3.1.1.2

ip ttl: 64

ip dscp: 0

sample rate: 1000

vrf: default

6. 配置文件

l DeviceA的配置文件

hostname DeviceA

interface GigabitEthernet 0/1

?ip address 1.1.1.2 255.255.255.0

end

l DeviceC的配置文件

hostname DeviceC

interface GigabitEthernet 0/1

?ip address 2.1.1.2 255.255.255.0

end

l DeviceB的配置文件

hostname DeviceB

ip access-list standard 1

?10 permit host 1.1.1.1

interface GigabitEthernet 0/1

?ip address 1.1.1.1 255.255.255.0

interface GigabitEthernet 0/2

?ip address 2.1.1.1 255.255.255.0

interface GigabitEthernet 0/3

?ip address 3.1.1.1 255.255.255.0

monitor session 1 erspan-source

?source interface gigabitEthernet 0/1 both

?source interface gigabitEthernet 0/2 rx acl acl1

?origin ip address 10.1.1.2

?destination ip address 3.1.1.2

?sample enable

?sample rate 1000

end

7. 常见谬误

l 配置ERSPAN镜像的会话ID已经被配置了RSPAN或LOCAL SPAN。