惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

Google DeepMind News
Google DeepMind News
Stack Overflow Blog
Stack Overflow Blog
Hugging Face - Blog
Hugging Face - Blog
博客园_首页
T
The Blog of Author Tim Ferriss
博客园 - 叶小钗
N
Netflix TechBlog - Medium
腾讯CDC
C
Check Point Blog
P
Proofpoint News Feed
Engineering at Meta
Engineering at Meta
GbyAI
GbyAI
S
SegmentFault 最新的问题
F
Fortinet All Blogs
美团技术团队
U
Unit 42
freeCodeCamp Programming Tutorials: Python, JavaScript, Git & More
博客园 - 司徒正美
F
Full Disclosure
Recorded Future
Recorded Future
D
DataBreaches.Net
博客园 - 【当耐特】
Martin Fowler
Martin Fowler
J
Java Code Geeks
I
InfoQ
Y
Y Combinator Blog
A
About on SuperTechFans
AI
AI
爱范儿
爱范儿
Exploit-DB.com RSS Feed
Exploit-DB.com RSS Feed
Forbes - Security
Forbes - Security
W
WeLiveSecurity
M
MIT News - Artificial intelligence
雷峰网
雷峰网
cs.CV updates on arXiv.org
cs.CV updates on arXiv.org
Simon Willison's Weblog
Simon Willison's Weblog
Schneier on Security
Schneier on Security
The GitHub Blog
The GitHub Blog
Security Archives - TechRepublic
Security Archives - TechRepublic
aimingoo的专栏
aimingoo的专栏
Cyber Security Advisories - MS-ISAC
Cyber Security Advisories - MS-ISAC
G
GRAHAM CLULEY
Know Your Adversary
Know Your Adversary
Latest news
Latest news
Threat Intelligence Blog | Flashpoint
Threat Intelligence Blog | Flashpoint
D
Docker
Recent Commits to openclaw:main
Recent Commits to openclaw:main
量子位
V2EX - 技术
V2EX - 技术
Project Zero
Project Zero

梦荟楼的后花园

玩转OpenClaw(Moltbot)|启用webui-梦荟楼的后花园 玩转OpenClaw(Moltbot)|重生之我用ai自动考试-梦荟楼的后花园 银河麒麟CVE-2025-6019漏洞排查和修复-梦荟楼的后花园 国产系统(kylin、uos)维护工具推荐-梦荟楼的后花园 debian常用命令、配置文件位置及配置方式-梦荟楼的后花园 华为防火墙多wan口指定接口进行dns透明代理-梦荟楼的后花园 华为防火墙光电互斥口切换模式-梦荟楼的后花园 天融信防火墙设置双向地址转换-梦荟楼的后花园 1panel添加群晖webdav作为备份账号-梦荟楼的后花园 Windows映射文件夹-梦荟楼的后花园 linux下使用硬盘哨兵查看raid下硬盘健康状态-梦荟楼的后花园 Windows命令查看文件的MD5/SHA1/SHA256-梦荟楼的后花园 雷池最佳实践-梦荟楼的后花园 matomo设置使用cdn获取真实客户端IP-梦荟楼的后花园 Linux硬盘io测试-梦荟楼的后花园 Debian12配置静态ipv4和ipv6-梦荟楼的后花园 雷池专业版4.3.0测评💦-梦荟楼的后花园 长亭新春礼盒开箱-梦荟楼的后花园 盈高准入加密U盘或移动硬盘时一直提示正在等待Windows加载系统盘符-梦荟楼的后花园
华为交换机解决设备观察端口不足的问题-梦荟楼的后花园
梦荟楼 · 2024-01-16 · via 梦荟楼的后花园

如何解决设备观察端口不足的问题

设备上的观察端口规格和1:N规格是有限的,如果当前需要连接的监控设备有很多,需要的观察端口数量超过了规格上限,一般可以通过以下两种方式解决。

配置远程镜像,通过远程观察端口进行内部环回广播

  • 此方案中如果配置多个内部环回口,则需要确保这些环回口加入的VLAN ID不能相同,否则会导致环路。
  • 仅把连接监控设备的端口加入内部环回VLAN,如果有其他端口以Trunk方式加入内部环回VLAN,要及时退出内部环回VLAN,防止VLAN内流量广播。

图1 通过内部环回方式连接多监控设备组网图

fig_dc_cfg_mirror_100706_xs.png

图1所示,网络管理员需要将镜像端口的报文镜像到4台监控设备,而SwitchB可配置观察端口数量少于4。通过远程观察端口内部环回广播的实现过程如下:

配置远程端口镜像
<SwitchB> system-view
[SwitchB] observe-port 1 interface gigabitethernet0/0/1 vlan 20   //配置远程观察端口,VLAN20为用于内部环回广播的VLAN
[SwitchB] interface gigabitethernet0/0/6
[SwitchB-GigabitEthernet0/0/6] port-mirroring to observe-port 1 both   //将镜像端口出入方向报文都镜像到内部环回用的远程观察端口
[SwitchB-GigabitEthernet0/0/6] quit
配置内部环回功能
[SwitchB] vlan batch 20   //用于内部环回转发,不能在VLAN20配其他业务。
[SwitchB] interface gigabitethernet0/0/1
[SwitchB-GigabitEthernet0/0/1] mac-address learning disable   //关闭端口MAC动态学习功能,防止内部环回端口学习到其他的MAC地址,将非镜像报文在内部环回转发,同时也可以节省MAC表项资源
[SwitchB-GigabitEthernet0/0/1] stp disable   //关闭STP功能,避免内部环回端口因收到设备自己发送的报文,设置成Discarding状态,将端口阻塞
[SwitchB-GigabitEthernet0/0/1] port link-type access
[SwitchB-GigabitEthernet0/0/1] port default vlan 20   //将端口加入内部环回广播用的VLAN
[SwitchB-GigabitEthernet0/0/1] loopback internal   //将远程观察端口配置为内部环回端口
[SwitchB-GigabitEthernet0/0/1] quit
[SwitchB] interface gigabitethernet0/0/2
[SwitchB-GigabitEthernet0/0/2] port link-type access
[SwitchB-GigabitEthernet0/0/2] port default vlan 20   //将端口加入内部环回广播用的VLAN
[SwitchB-GigabitEthernet0/0/2] quit
[SwitchB] interface gigabitethernet0/0/3
[SwitchB-GigabitEthernet0/0/3] port link-type access
[SwitchB-GigabitEthernet0/0/3] port default vlan 20   //将端口加入内部环回广播用的VLAN
[SwitchB-GigabitEthernet0/0/3] quit
[SwitchB] interface gigabitethernet0/0/4
[SwitchB-GigabitEthernet0/0/4] port link-type access
[SwitchB-GigabitEthernet0/0/4] port default vlan 20   //将端口加入内部环回广播用的VLAN
[SwitchB-GigabitEthernet0/0/4] quit
[SwitchB] interface gigabitethernet0/0/5
[SwitchB-GigabitEthernet0/0/5] port link-type access
[SwitchB-GigabitEthernet0/0/5] port default vlan 20   //将端口加入内部环回广播用的VLAN
[SwitchB-GigabitEthernet0/0/5] quit

配置远程镜像,通过中间二层设备进行VLAN广播

图2 通过中间二层设备连接多监控设备组网图

fig_dc_cfg_mirror_100707_xs.png

图2所示,网络管理员需要将镜像端口的报文镜像到3台监控设备,而SwitchB可配置观察端口数量少于3。通过SwitchC进行VLAN广播的实现过程如下:

在SwitchB配置远程端口镜像
<SwitchB> system-view
[SwitchB] observe-port 1 interface gigabitethernet0/0/1 vlan 20   //配置远程观察端口,VLAN20为用于转发镜像报文的普通VLAN
[SwitchB] interface gigabitethernet0/0/2
[SwitchB-GigabitEthernet0/0/2] port-mirroring to observe-port 1 both   //将镜像端口出入方向报文都镜像到远程观察端口
[SwitchB-GigabitEthernet0/0/2] quit
在SwitchC配置端口加入VLAN
[SwitchC] interface gigabitethernet0/0/1
[SwitchC-GigabitEthernet0/0/1] port link-type trunk
[SwitchC-GigabitEthernet0/0/1] port trunk allow-pass vlan 20   //将端口加入用于转发镜像报文的VLAN20
[SwitchC-GigabitEthernet0/0/1] quit
[SwitchC] interface gigabitethernet0/0/2
[SwitchC-GigabitEthernet0/0/2] port link-type access
[SwitchC-GigabitEthernet0/0/2] port default-vlan 20   //将端口加入用于转发镜像报文的VLAN20
[SwitchC-GigabitEthernet0/0/2] quit
[SwitchC] interface gigabitethernet0/0/3
[SwitchC-GigabitEthernet0/0/3] port link-type access
[SwitchC-GigabitEthernet0/0/3] port default-vlan 20   //将端口加入用于转发镜像报文的VLAN20
[SwitchC-GigabitEthernet0/0/3] quit
[SwitchC] interface gigabitethernet0/0/4
[SwitchC-GigabitEthernet0/0/4] port link-type access
[SwitchC-GigabitEthernet0/0/4] port default-vlan 20   //将端口加入用于转发镜像报文的VLAN20
[SwitchC-GigabitEthernet0/0/4] quit