1、S12000/S8600一对多端口镜像配置案例

应用要求

 在单台设备上实现一对多镜像，即PC 1和PC 2均可监控服务器端口的收发流量。

配置要点

1、在设备上（本例为Switch A）创建Remote VLAN（注意：remote vlan不能创建对应的svi，否则可能导致一对多镜像不成功）。

2、指定设备（本例为Switch A）为RSPAN的源设备，配置直连服务器的端口（本例为Gi 4/1）为镜像源端口；选择一个Down状态（无需手工shutdown）的端口（本例为Gi 4/2）为镜像输出端口，将该端口加入Remote VLAN，并配置MAC自环。

3、将直连PC1和PC2的端口加入Remote VLAN。

配置步骤

第一步，在关联设备上配置Remote VLAN。

！在Switch A上创建Remote VLAN 100。

SwitchA#configure terminal

Enter configuration commands, one per line.  End with CNTL/Z.

SwitchA(config)#vlan 100

SwitchA(config-vlan)#remote-span 

SwitchA(config-vlan)#exit

第二步，配置RSPAN源设备。

！在Switch A上，创建RSPAN Session 1，指定该设备为源设备，并配置端口Gi 4/1为源端口，镜像双向数据流。

SwitchA(config)#monitor session 1 remote-source

SwitchA(config)#monitor session 1 source interface gigabitEthernet 4/1 both

！在Switch A上，指定Gi 4/2为镜像输出端口，并加入Remote VLAN 100，配置MAC自环，可以看到原先Down的端口直接UP。

SwitchA(config)#monitor session 1 destination remote vlan 100 interface gigabitEthernet 4/2 switch      //如果目的口没有与外界通信的需求的话，推荐不配置该switch参数

SwitchA(config)#interface gigabitEthernet 4/2

SwitchA(config-if-GigabitEthernet 4/2)#switchport access vlan 100

SwitchA(config-if-GigabitEthernet 4/2)#mac-loopback

SwitchA(config-if-GigabitEthernet 4/2)#no mac-address-learnig   //这条命令务必需要增加，否则导致端口镜像只能到自环口，不能镜像到目的端口（show int co rate可以确认端口数据流量是否有镜像到目的端口）

SwitchA# clear mac-address-table dynamic interface gigabitEthernet 4/2   //配置完成后需要清下自环口的mac地址表

第三步，将直连PC1和PC2的端口加入Remote VLAN。

！配置Switch A的端口Gi 4/3和Gi 4/4属于Remote VLAN 100。

SwitchA(config)#interface range gigabitEthernet 4/3-4

SwitchA(config-if-range)#switchport access vlan 100

验证结果，查看RSPAN状态

SwitchA#show monitor        

sess-num: 1                                   

span-type: SOURCE_SPAN                         //指定为源设备

src-intf:

GigabitEthernet 4/1         frame-type Both

dest-intf:

GigabitEthernet 4/2       

remote vlan 100                                 //属于Remote VLAN

mtp_switch on                                   //允许目的端口正常交换数据

注意：如果S86上面同时有其他trunk口，由于RSPAN的镜像目的口有MAC- loopback功能，会导致流量在remote-vlan中打环，所以需要在所有trunk口上做vlan修剪，将remote-vlan裁剪掉，本例中remove vlan 100。

 

2、我司中低端交换机不支持一对多的目的镜像，有什么替换方法吗？

我司中低端交换机，比如S5750，S3760E等都不支持一对多镜像，这样监控的服务器就不能是两台，但是有时候客户的环境中就是有这样的镜像需求，同时没有S86/12K这样支持一对多镜像的设备时候，有什么好的替代方法吗？

可以采用一对一的镜像，然后在镜像的目的端口不要直接连接监控服务器，而是串接一台二层交换机（可以是傻瓜型的也可以是网管型的），比如千兆的S2928G-E设备。这样将需要的监控服务器再接到这台S2928G-E的其他端口上，利用S29E关闭MAC地址学习功能后，学习不到镜像流的MAC需要广播洪泛的特点，将镜像流广播到各个服务器上，所以该29E只作为镜像用，不能还作为普通交换设备连接其他正常的交换业务。

注意这台做HUB用的交换机，所有的接口要关闭广播风暴控制功能；另外如果镜像的源口的数据是有带tag的，那么29E要创建对应的vlan，上联口要配置trunk，同时下联服务器的端口也必须是TRUNK口；

终上所述，做HUB的交换机要做如下配置：

1、上联57的端口必须配置成TRUNK，而且放通所有VLAN；

2、在S2928G-E上创建1-4094 VLAN数据库；

3、关闭上联57-E接口的MAC地址学习功能；

4、所有接口必须关闭广播风暴控制功能；

5、下联服务器端口也必须配置成TRUNK ；

 

3、S12000端口镜像特性

对于10.4（3b17）之前的版本：每线卡上支持4个SESSION，其中1个SESSION支持输出、入镜像，其他SESSION只能够支持输入镜像；

对于10.4（3b17） 及之后的版本：每线卡输入输出组合共支持4路。例如可以支持2个SESSION，每个SESSION同时监控输入、输出镜像；也可以支持4个SESSION,每SESSION仅作单向的镜像；或者做1个SESSION，同时监控输入，输出镜像，同时另外可再支持2个SESSION，每SESSION仅能做单向的镜像。

 

4、S76能否做跨线卡的端口镜像

不支持，不论是千兆还是万兆，输入还是输出方向，S76无法支持跨线卡的镜像

 

5、S76交换机在用session 1做端口镜像时候报错，配置失败

S76交换机上面不支持session 1镜像，请使用其他session number来配置

 

6、S21，S65，S68等非RGOS 10.x平台的端口镜像注意点

非RGOS 10.x平台的产品，端口镜像的TX方向无法镜像到自身CPU往外发送的数据流，比如S21的ping管理地址的数据包，S21做dot1x认证与radius通信的上联出方向的数据包。

所以在故障排查中如果涉及该种情况，镜像的时候尽量选择对端设备做both镜像，或者中间串接HUB做镜像，否则可能造成数据流不全的结果，影响故障分析。

 

7、端口镜像与ACL共用的说明

镜像源端口不会受ACL影响，数据流会单独复制一份到目的端口，原本的数据流再根据ACL的定义来决定转发还是丢弃。

 

8、IPFIX同端口镜像共用时的一些限制

1）在S8600 交换机上SPAN 及IPFIX 功能都会消耗镜像资源，当镜像资源不足时，会导致配置使能端口的IPFIX 流采样功能失败；

2） 在一个端口上，镜像和采样方向相同时不能同时配置，方向不同时可以同时配置，例如：入镜像和入采样不能同时配置，或者出镜像和出采样也不能同时配置；但是入镜像和出采样可以同时配置，或者入采样和出镜像可以同时配置；

3）当一块交换卡配置了一个带镜像输出源口时，不允许在该交换卡的任何端口上再配置IPFIX 流输出统计功能；

4）一个接口配置为镜像的目的口，该接口不能配置出采样。

 

9、我司交换机端口镜像支持聚合口做为镜像目的口吗

S86/S12000产品支持端口镜像的目的口为聚合口（AP），但是中低端产品，汇聚接入的盒式交换机目前不支持镜像目的口是聚合口，比如S5750E

 

10、基于VLAN SPAN功能的说明

monitor session session-num source vlan vlan-id rx        作用是针对指定VLAN数据流镜像

monitor session session-num filter vlan vlan-id-list          作用是针对指定VLAN数据流不镜像

1）基于VLAN SPAN在29G,3760,5760产品上不支持，57E系列，S86将在10.4（3b16）和10.4（3b17）项目中导入；

10.4（3）的S26,S26E,S3000E,S57支持，但是对于VLAN数据流镜像仅支持rx方向。     

2）对于不支持流镜像的产品，可以通过匹配VID的方式，用匹配ACL的方式，间接实现VLAN镜像功能。

expert access-list extended span

 10 permit ip VID 10 any any any any

Ruijie(config)#moni session 4 source interface g8/1 rx acl span

 

11、各交换产品关于SPAN镜像功能的限制说明

S20系列，S2300系列的交换机不支持跨设备镜像，即在堆叠情况下，如果镜像源端口和镜像目的端口在不同的堆叠成员设备上，镜像将不生效。

 

在S20系列，S2300系列，S2600系列，S5750系列产品上，开启端口镜像，若镜像源端口配置为tx方向，并且打开镜像目的端口允许交换后（switch参数），从镜像目的端口发送一个报文，该报文被转发到镜像源端口，但是此时不能镜像到镜像目的端口(相当于镜像源端口配置tx方向不起作用)；而在S3250系列，S3750系列的交换机上，能够被镜像到镜像目的端口。

 

在S20系列，S2300系列产品上，安全端口下源MAC地址不是安全地址的报文不能够被镜像到镜像目的端口。

 

在S3250系列，S3750系列产品上，跨设备镜像的时候，被镜像报文为untag报文，镜像到镜像目的端口出来的报文会变成带tag的报文。

 

在S5750、S8600系列产品上，若报文所带tag中的vid和交换机的某个端口(如端口A)所属VLAN的vid不一致，该报文发往端口A，那么该报文不能转发也不能被镜像到镜像目的端口。

 

在S3250系列，S3750系列，S2600系列，S5750系列、S8600系列、S20系列、S2300系列产品上，如果开启了IGMP Snooping功能，那么IGMP协议报文将无法镜像到指定端口，同时未知名组播报文也不能被镜像。

 

在S3250系列，S3750系列，S2600系列，S5750，S7600的产品上，从CPU发往被镜像端口的报文将不能被镜像到镜像目的端口。

 

S7600不支持session 1配置。

 

对于S3750和S5750系列，支持打开SPAN目的端口允许交换的功能，相应的配置命令为：monitor session session_num destination interface interface-id switch。

 

对于S3750系列，SPAN支持镜像目的端口封装功能。

 

在S7600、S8600系列产品上，当镜像目的端口发生拥塞时(例如一个100Mbps目的端口监控一个1000Mbps的源口时)，会导致源口发出Pause帧。

 

在S7600系列产品上， 镜像目的端口设置为不参与交换仅对业务流转发有效，从CPU发往镜像目的端口的报文不受影响。

 

S8600交换机上，CPU发出的BPDU报文不能被镜像到镜像目的端口。

 

S8600和S12000交换机上,在dhcp snooping的trust口开启镜像功能，镜像不到dhcp的discover和request请求报文

 

S8600交换机缺省其它端口不能将报文发往镜像目的端口并且镜像目的端口不进行地址学习，但镜像目的端口可以发送报文到其它端口。您可以通过配置镜像目的端口参与交换，允许其它端口将报文发送导致镜像目的端口以及镜像目的端口进行地址学习。

 

在S7600系列交换机上，设置SPAN时如果目的端口不允许交换，当session生效时，会清除目的端口上的动态地址。由于S7600地址表在不同的线卡上是不同步的，其他线卡上的这些地址没有被清除。因此，在地址老化时间到达之前，如果交换机处理的报文的目的地址与镜像目的端口上被清除的动态地址相同，那么这些报文只会被转发到目的端口所在的线卡。当老化时间到达后，转发恢复正常。

 

在S5750、S8600系列产品上，配置输出方向的镜像时，如果被镜像的是组播路由报文，则镜像目的端口输出的报文为路由前的组播报文。

 

在S8600系列产品上，对于同一个端口，镜像功能和IPFIX采样功能在方向相同时不能同时配置，方向不同时可以同时配置。例如：入镜像和入采样不能同时配置，出镜像和出采样也不能同时配置；但是入镜像和出采样可以同时配置，入采样和出镜像可以同时配置。

 

S2900,S3760,S5760设备只支持一个session 1，该session只能属于SPAN或RSPAN。

 

12、S86配置端口镜像，发现源端口只能做rx方向，不能是both（包括tx）方向镜像

现象：

monitor session 3 destination interface GigabitEthernet 5/38 switch

monitor session 3 source interface GigabitEthernet 5/47 rx

monitor session 3 source interface GigabitEthernet 7/10 both

monitor session 3 source interface GigabitEthernet 7/2 both

 

monitor session 2 destination interface GigabitEthernet 5/39 switch

monitor session 2 source interface GigabitEthernet 5/42 both 

monitor session 2 source interface GigabitEthernet 5/41 both

 

针对monitor session 2，3，原来是7槽位线卡的端口都可以做both镜像到5槽位的5/38，现在增加monitor session 3 source interface GigabitEthernet 5/47 rx，发现就只有5槽位的端口无法做both方向（也不能做tx）镜像，只能做rx。

原因分析：

1）S86系列交换机，针对EA,EB线卡，当前的SPAN技术，要求每张线卡只能支持一个session的both（包括TX）镜像，也就是说5槽位线卡的both双向镜像已经被monitor session 2用掉了，总共做了1-42口的both镜像（源端口数量不限），此时如果还要在session 3里面做5槽位GigabitEthernet 5/47 的both就不支持，只能做rx。

2）如果是EC线卡，则每线卡支持2个both方向的session，则没有上述的问题。

解决方法：

将GigabitEthernet 5/47的both方向镜像在session 2里面做，或者是更换一张EC类的线卡。

 

 

13、S5750E RSPAN配置时，目的口是AP口提示错误

Ruijie(config)#monitor session 1 destination remote vlan 7 interface agg 1

Don't support aggregateport as mirror destination.

 

5750E不支持RSPAN配置时，AP口做目的口

 

 

14、交换机配置了多个端口镜像的session，show run发现显示的顺序是颠倒的是否正常 ？

monitor session 2 destination interface GigabitEthernet 3/14

monitor session 2 source interface GigabitEthernet 3/6 tx

monitor session 2 source interface GigabitEthernet 3/7 tx

monitor session 2 source interface GigabitEthernet 3/4 tx

monitor session 2 source interface GigabitEthernet 3/5 tx

monitor session 1 destination interface GigabitEthernet 3/13

monitor session 1 source interface GigabitEthernet 3/6 rx

monitor session 1 source interface GigabitEthernet 3/7 rx

monitor session 1 source interface GigabitEthernet 3/4 rx

monitor session 1 source interface GigabitEthernet 3/5 rx

 

问题：可以看到show run的结果是先显示monitor session 2，再显示出monitor session 1的，并且指定的source interface也不是按接口编号顺序罗列，而是乱序的是否正常？

解答：这个show run的结果是正常的实现效果，软件的show run显示是按照当初工程师配置镜像的命令顺序来从新到旧依次显示，也就是后配置的镜像是先显示出来的，source interface的结果也是一样的原则。所以当前的show run结果表示当初工程师是先配置了monitor session 1，再配置的monitor session 2的相关内容，是正常的结果，不需担心。

 

15、S86/S12K交换机端口镜像能否支持万兆作为源，千兆作为目的？

支持。这种从大带宽的接口镜像到小带宽的接口的镜像，是可以做的，但是有可能会导致有些镜像流量丢失的情况（因为千兆的接口可能会承载不了万兆的流量）。但是如果从小带宽的接口镜像到大带宽的接口，一般就没有什么问题。

 

 

16、交换机镜像目的端口是否可以和dot1x功能同时开启 ？

不能共用，同时配置时会报冲突。

例如：当交换机配置了端口镜像，设置了端口镜像的目的口为f0/2

Ruijie(config)#mo session 1 source interface f0/1

Ruijie(config)#mo session 1 destination interface f0/2

当再在f0/2口开启dot1x功能时，会报错：

Ruijie(config-if-FastEthernet 0/2)#dot1x port-control auto

Operation not permitted

Ruijie(config-if-FastEthernet 0/2)#*Apr  3 14:02:01: %SECURITY-4-CONFLICT:  Span destination port conflicts with IEEE 802.1X

*Apr  3 14:02:01: %DOT1X-6-FAIL_SET_DOT1X: Failed to create the dot1x-port.
同样，端口镜像的目的口不能和arp-check和ip source guard、端口安全、SAVI功能共用，否则也会报错。并与配置顺序无关，如果先配置dot1x，再配置端口镜像也会提示错误。

 

 

17、交换机配置端口镜像，服务器上发现无法监控到所有数据流？

1、交换机的源端口出方向的流量和入方向的流量的总和不能超过目的端口的带宽。

例如：交换机配置了1个端口作为端口镜像的源端口，目的端口为24口

Ruijie(config)#monitor session 1 source interface g0/1

Ruijie(config)#monitor session 1 destination interface g0/24 

g0/1口的rx方向流量为800M，tx方向流量为300M，这样加起来已经超过了1G的流量，故g0/24口最多只能转发1G的流量，还有100M的流量就会被随机丢弃

可以通过show interface counter rate来查看g0/1口和g0/24口的速率大小。

2、需要确认服务器网卡性能，某些服务器网卡性能比较弱，导致接收到的报文会被丢弃；

3、当g0/1口为trunk口，镜像到目的端口的数据流会带tag，需要确认服务器是否支持接收带tag的报文，由于网卡的差异性可能tag报文会被丢弃。可升级服务器的网卡驱动或更换服务器测试。

 

18、交换机端口镜像的目的口，如果是电口就能抓到数据，如果是光口就不行 ？

最终确认用户这边接25口电口的时候是用电脑网线直连抓包的，当使用光口时，先用光纤连接到光猫，然后通过光猫进行光电转换，再网线连接到PC，而光猫有问题导致流量丢弃。

 

19、S5750/S86/12系列配置端口镜像，目的端口是否能抓到带TAG的报文  

1、对于access口作为源进行端口镜像：

进入access的报文被镜像到目的口后保持原有报文tag，即输入报文原来有tag镜像后就带原有的tag，输入报文没有tag镜像后就不带tag；

从access口出去的报文镜像到目的端口是带access口所配置的tag。

2、对于trunk口作为源进行端口镜像：

从trunk口进入和trunk口出去的报文（非native vlan所在的报文）镜像到目的端口都是带tag的。对于（native vlan的话）从trunk口进入的不会带tag，从trunk输出的会带tag；

3、对于路由口（no switchport）做为源进行端口镜像：

进入路由口RX方向通常是不带tag的，从路由口出去的报文TX方向将带上vlan tag，这个tag是芯片内部数据转发时使用的一个vlan tag，只具有本地意义，正常的数据报文从接口TX出去的时候不会带有该tag，会剥离掉，但是如果是做TX的镜像就会带上该tag字段。该tag将接口配置成no switchport属性的时候随机分配，事先无法确认是vlan几。