S5750/S86系列配置端口镜像,目的端口是否能抓到带TAG的报文
输入镜像(RX)的报文和原始报文tag相同(输入镜像,镜像的就是原始的输入报文,输入报文有tag镜像就带tag,输入报文没有tag镜像就不带tag),输出镜像(TX)都将带vlan tag。
另外和目的端口是什么类型的端口(例如是access口、trunk口、no switchport)没有任何关系,不影响报文输出是否带tag,也就是关键看镜像源端口属性。
举例:
1、对于access口作为源进行端口镜像:
进入access的报文镜像到目的端口是不带tag的,从access口出去的报文镜像到目的端口是带access 口所配置的tag。
2、对于trunk口作为源进行端口镜像:
从trunk口进入和trunk口出去的报文(非native vlan所在的报文)镜像到目的端口都是带tag的。如果是native vlan所在的报文都不带tag。
3、对于路由口(no switchport)做为源进行端口镜像:
进入路由口RX方向通常是不带tag的,从路由口出去的报文TX方向将带上vlan tag,这个tag是芯片内部数据转发时使用的一个vlan tag,只具有本地意义,正常的数据报文从接口TX出去的时候不会带有该tag,会剥离掉,但是如果是做TX的镜像就会带上该tag字段。该tag将接口配置成no switchport属性的时候随机分配,事先无法确认是vlan几。
附加说明1:如果用电脑上面的抓包软件,比如wiresharke来捕获数据包,但是发现报文里面都没有带tag,与预期的不一致,那么有一个关键点是要确保您的电脑的网卡具备识别tag标签的能力,否则在网卡收包的时候就将tag自动去除掉,这样你的wiresharke就无法解析出tag层信息。通常这与你注册表的设置,网卡属性的设置,或者网卡驱动程序非最新,具体由于不同厂商的网卡型号不一样,原因也不尽相同,具体解决方案需要尝试上网检索。
附加说明2:由于TX方向的镜像都将携带有VLAN TAG的标签,这个是芯片设计决定,目前无法更改,所以针对旁路方式的安全设备可能在处理VLAN TAG的报文时存在问题,此时需要更改拓扑为透明串接,或者是调整安全设备的设置使之忽略或者处理该vlan tag,或者是在交换机与镜像旁路方式接的安全设备之间再增加一台二层交换机设备,配置access,trunk,hybrid等任意一种接口属性,让二层交换机剥离该vlan tag,这样最终广播给安全设备的报文就不带任何tag了。
发布时间:2014-08-06
点击量:6314
文档评价
