锐捷RG-N18000-X 交换机一对多端口镜像(RSPAN)保姆级实战指南
作为一名网络工程师在进行网络监控、流量分析或安全审计时我们经常会遇到这样的需求需要将同一份网络流量同时发送给多台监控服务器如数据库审计、上网行为管理、IPS等。此时普通的“一对一”镜像便无法满足需求我们需要启用一对多镜像多对多镜像功能。本文将以锐捷核心交换机 RG-N18000-X 为例详细讲解如何通过配置 RSPAN远程端口镜像和 MAC 自环口实现流量的“一对多”精准分发。一、 核心原理与避坑指南在锐捷设备中实现一对多镜像的核心思路是利用一个未使用的物理端口配置为MAC自环口mac-loopback将镜像流量打入指定的Remote VLAN中。由于关闭了 MAC 地址学习流量会在该 VLAN 内像 Hub 一样泛洪从而让所有加入该 VLAN 的监控服务器端口都能接收到完整的镜像数据。避坑提醒如果你的网络原先已经配置了普通的“一对一”镜像现在需要升级为“一对多”必须先删除原有的一对一镜像配置命令再重新规划 RSPAN 配置。两者的配置思路完全不同共存会导致镜像失效。二、 完整配置实战步骤1. 创建 Remote VLAN首先创建一个专门用于承载镜像流量的远程 VLAN本例使用 VLAN 503并声明其为 remote-span 属性。GZ-B2R514-JGN506-CS01(config)# vlan 503 GZ-B2R514-JGN506-CS01(config-vlan)# name jingxiang GZ-B2R514-JGN506-CS01(config-vlan)# remote-span GZ-B2R514-JGN506-CS01(config-vlan)# exit2. 配置 RSPAN 源设备与源端口创建镜像会话如 session 1指定需要被监控的多个源端口并抓取双向both流量。3. 配置 MAC 自环口核心步骤选择一个当前未使用、处于 Down 状态的端口本例为 te4/48作为自环口。注意该端口绝对不能连接任何线缆GZ-B2R514-JGN506-CS01(config)# interface TenGigabitEthernet 4/48 GZ-B2R514-JGN506-CS01(config-if)# description jingxiang_mac-zihuan_port GZ-B2R514-JGN506-CS01(config-if)# switchport mode access GZ-B2R514-JGN506-CS01(config-if)# switchport access vlan 503 GZ-B2R514-JGN506-CS01(config-if)# no mac-address-learning ! 关闭MAC地址学习使流量泛洪 GZ-B2R514-JGN506-CS01(config-if)# no storm-control broadcast ! 关闭广播风暴控制防止镜像流量被丢弃 GZ-B2R514-JGN506-CS01(config-if)# no storm-control multicast ! 关闭组播风暴控制 GZ-B2R514-JGN506-CS01(config-if)# no storm-control unicast ! 关闭单播风暴控制 GZ-B2R514-JGN506-CS01(config-if)# mac-loopback ! 开启MAC自环接口状态灯会自动变绿 GZ-B2R514-JGN506-CS01(config-if)# end注配置完成后建议清理一下该自环口可能残留的动态 MAC 地址表项GZ-B2R514-JGN506-CS01# clear mac-address-table dynamic interface TenGigabitEthernet 4/484. 将监控服务器端口加入 Remote VLAN将所有需要接收镜像数据的监控服务器端口如 IPS 探针、审计服务器等划入 VLAN 503。GZ-B2R514-JGN506-CS01(config)# interface TenGigabitEthernet 2/23 GZ-B2R514-JGN506-CS01(config-if)# switchport mode access GZ-B2R514-JGN506-CS01(config-if)# description to_IDC_kelai GZ-B2R514-JGN506-CS01(config-if)# switchport access vlan 503 GZ-B2R514-JGN506-CS01e(config-if)# exit GZ-B2R514-JGN506-CS01(config)# interface TenGigabitEthernet 3/15 GZ-B2R514-JGN506-CS01(config-if)# description to_IPS GZ-B2R514-JGN506-CS01(config-if)# switchport mode access GZ-B2R514-JGN506-CS01(config-if)# switchport access vlan 503 GZ-B2R514-JGN506-CS01(config-if)# end三、 验证与排障配置完成后我们可以通过以下命令验证镜像是否生效1. 检查自环口状态确认 te4/48 端口处于up状态且属于 VLAN 503。预期输出接口状态为 upVlan 为 503Duplex 为 FullSpeed 为 10G。2. 检查镜像会话状态确认 session 1 的源端口、目的端口自环口以及 Remote VLAN 是否正确。show monitor预期输出sess-num 为1span-type 为 SOURCE_SPAN列出所有源端口frame-type Bothdest-intf 为 TenGigabitEthernet 4/48且显示 remote vlan 503mtp_switch on。通过这套标准化的 RSPAN 配置我们可以轻松实现核心交换机流量的“一对多”分发。在实际生产环境中由于 RSPAN 会在 VLAN 内产生泛洪流量建议确保承载镜像的 VLAN 和 Trunk 链路具备充足的带宽冗余避免因镜像流量过大而影响正常业务。