[Partage d'initiés] Dépannage de réseau Ultimate –mise en miroir de port à distance

79 0 0 0

[Partage d'initiés] Dépannage de réseau Ultimate –mise en miroir de port à distance

 

 

Salut, les gars.

 

Parfois, les problèmes de réseau requièrent des méthodes de dépannage. Les commandes d'affichage, le débogage, les statistiques de trafic peuvent ne pas suffire à fermer le problème, donc une capture avec des paquets de protocole passant par un port ou correspondant à un flux de trafic spécifique, il peut s'avérer utile. Mais que feriez-vous si l'interface/flux cible est loin dans votre réseau et il n'y a pas moyen de voyager rapidement vers ce point de présence et brancher votre station de surveillance directement dans le périphérique ? Mise en miroir de port à distance fera le tour.



Pour commencer, qu'est-ce que le miroir de paquets ? 

 

Est une fonctionnalité qui vous aide à capturer des paquets passant par une interface en ligne.

Comment ça marche ? 

Il copie des paquets qui passent à l'interface et les envoient à un autre.

Pourquoi on a besoin de ça ?

--pour le dépannage ;

--pour les appareils de réseau nécessitant une surveillance du trafic ;

-à des fins éducatives.

Dans le miroir de port à distance, l'interface qui collecte et envoie les paquets à * * * l'hôte yzing n'est pas connectée localement au dispositif de miroir. Le dispositif de surveillance et le port d'observation sont connectés au moyen d'un réseau de couche 2.

Comment ça marche dans ce cas ? Tu as entendu parler de RSPAN ?

Port commuté à distance * * * Yzer (RSPAN) : Le dispositif encapsule les paquets passant par des ports en miroir dans des paquets de VLAN, et le port d'observation diffuse les paquets de VLAN dans le VLAN RSPAN pour acheminer les paquets vers le dispositif de surveillance. Il est obligatoire de déployer le VLAN RSPAN à partir du dispositif de port miroir pour observer le périphérique port par l'intermédiaire de votre réseau de couche 2. 

 

Comment le faire sur le réseau Huawei ? 

Prenons un scénario simple, avec des commutateurs Huawei de série 27&57&77. Topologie :

             https://forum.huawei.com/enterprise/en/data/attachment/forum/dm/ecommunity/uploads/2014/0122/16/52df81ff1258f.PNG

 

L'interface eth2/0 / 1 de S7700 est configurée avec un rôle de port miroir pour le trafic entrant et sortant.



#

interface Ethernet2/0/1

port link-type access

port default vlan 58

port-mirroring to observe-port 3 inbound

port-mirroring to observe-port 3 outbound

#

 

Sur le système, il est nécessaire de configurer le port d'observation et le RSPAN vlan. Le commutateur S7700 encapsule des paquets en miroir dans des paquets VLAN, et ensuite, le port d'observation va diffuser des paquets VLAN dans le VLAN RSPAN et les transmettre au dispositif de surveillance.



#

observe-port 3 interface Ethernet2/0/4 vlan 999

#

 

Il est obligatoire de déployer le réseau RSPAN vlan sur couche 2, du miroir au dispositif d'observation, donc je dois l'ajouter aux troncs.

 

#

interface Ethernet2/0/4

port hybrid tagged vlan 999

#

 



S5700 est un intermédiaire qui devrait et il devrait relayer vlan 999 plus loin à S2700.



#

interface GigabitEthernet0/0/2

port link-type trunk

port trunk allow-pass vlan 999

ntdp enable

ndp enable

#

interface GigabitEthernet0/0/3

port link-type trunk

port trunk allow-pass vlan 999

ntdp enable

ndp enable

#

 



Sur S2700, GI0/0 / 2 recueillera des paquets copiés de RSPAN vlan. Interface GI0/0 / 3 connecté à l'hôte de surveillance. Il est configuré pour annuler l’étiquetage des paquets reçus sur RSPAN vlan

 

#

interface GigabitEthernet0/0/2

port link-type trunk

port trunk allow-pass vlan 999

ntdp enable

ndp enable

interface GigabitEthernet0/0/3

port link-type trunk

port trunk pvid vlan 999

port trunk allow-pass vlan 127 333

#

 

Sur le port miroir, j'ai généré un trafic uniforme composé de 6 paquets sortants et de 16 paquets entrant.

 

<S7700>display interface Ethernet2/0/1

----------------------------------------------------------------------------------------------

Last 10 seconds input rate 194832 bits/sec, 16 packets/sec

Last 10 seconds output rate 75568 bits/sec, 6 packets/sec

----------------------------------------------------------------------------------------------

 

Avec cette configuration actuelle, je peux voir des paquets miroirs quittant l'interface S7700 et atteindre S5700 entrant

 

< S7700>display interface Ethernet2/0/4

-----------------------------------------------------------------------------------------

Last 10 seconds input rate 176 bits/sec, 0 packets/sec

Last 10 seconds output rate 261600 bits/sec, 22 packets/sec

-----------------------------------------------------------------------------------------

 

[S5700]display interface GigabitEthernet 0/0/2

--------------------------------------------------------------------------------------------------

Last 10 seconds input rate 261600 bits/sec, 22 packets/sec

Last 10 seconds output rate 0 bits/sec, 0 packets/sec

--------------------------------------------------------------------------------------------------

 

Mais je ne vois aucun paquet à l'interface d'observation sortante. Qu'est-ce qui pourrait être la raison ?

 

[S5700]display interface GigabitEthernet 0/0/3

----------------------------------------------------------------------------------------

Last 10 seconds input rate 0 bits/sec, 0 packets/sec

Last 10 seconds output rate 0 bits/sec, 0 packets/sec

-----------------------------------------------------------------------

Il est clair que les trames arrivent sur le commutateur. La prochaine étape consiste à vérifier et à correspondre à sa valeur d'adresse MAC de destination avec une entrée dans la table d'adresses MAC de commutateur.

 

Laissez-les vérifier la table mac-adresse pour vlan 999 pour voir comment ressemble à :

 

<S5700>display mac-address dynamic vlan 999

-------------------------------------------------------------------------------

MAC Address    VLAN/VSI                          Learned-From        Type     

-------------------------------------------------------------------------------

aaaa-bb1e-5a54 999/-                               GE0/0/2             dynamic  

aaaa-bb11-cccc  999/-                               GE0/0/2             dynamic  

aaaa-bb22 5a54 999/-                               GE0/0/2             dynamic  

………………………………………………………………………………………………

 

Donc aucune entrée de gigabitethernet0/0 / 3 n'a été prise. Cela signifie que le trafic sera retourné à GigabitEthernet0/0 / 2 et parce que la destination mac est en fait source mac frame sera abandonnée.

En raison de la fonction d'apprentissage, les mac-adresses sont en train de peupler la table. Il enregistre l'adresse MAC source et l'interface entrante de la trame Ethernet dans une entrée d'adresse MAC. Lorsque le commutateur reçoit d'autres trames Ethernet destinées à cette adresse MAC, le S5700 transmet les trames à travers l'interface sortante correspondante selon l'entrée d'adresse MAC.

Lors de la mise en miroir bidirectionnelle, les paquets entrants et entrants seront copiés et livrés par le port observé. Ces paquets arriveront sur le commutateur intermédiaire, mais ici le commutateur abandonnera les trames ethernet qui traversent l'interface qui a appris cette destination mac-address de destination. Habituellement commutez les trames de diffusion qui ne correspondent à aucune entrée dans le mac-table mais parce que cette destination est vue comme source, les paquets seront abandonnés sur GI0/0 / 3.

La solution ici est de désactiver l'apprentissage mac-address sur RSPAN vlan Donc aucune entrée mac-address ne sera créée dans la table mac-address donc tout le trafic sera inondé sur RSPAN vlan.

 

[S5700]vlan 999

[S5700-vlan999]mac-address learning disable 

[S5700]undo mac-address dynamic vlan 999  \\ mac-adress need to be aged out instantly

 

 

En utilisant cette séquence de commande, la table d'adresse mac sera vide et la couche 2 en avant sera faite diffuser toutes les trames dans RSPAN vlan 999

De cette façon, les paquets seront envoyés par Gi0/0 / 3

 

[S5700]display interface GigabitEthernet 0/0/3
-----------------------------------------------------------------------------------------
Last 10 seconds input rate 0 bits/sec, 0 packets/sec
Last 10 seconds output rate 287216 bits/sec, 24 packets/sec

----------------------------------------------------------------------------------------

Conclusion :

Pour un miroir à distance est nécessaire pour désactiver l'apprentissage mac-adresse sur le VLAN RSPAN sur les dispositifs intermédiaires, sinon les paquets seront retournés par des commutateurs intermédiaires et définitivement abandonnés.

 

J'espère profiter de la lecture de ce cas :)

 

  • x
  • Standard:

Responder

envoyer
Connectez-vous pour répondre. Se connecter | Enregistrer

Remarque Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».
Si le bouton de la pièce-jointe n'est pas disponible, mettez à jour Adobe Flash Player à la dernière version.
Connectez-vous pour participer à la communication et au partage

Connectez-vous pour participer à la communication et au partage

S'identifier