作者：美國福祿克網絡公司

    交換技術已經無處不在。交換機價格近幾年也在不斷下降。

    交換到桌面對大多數公司已經成為可能。用戶可以獲得理想的帶寬。但這使得網絡維護和流量監測變得越來越因難。即使對專門的流量監測設備或協議分析儀也是如此。

    交換機操作

    每增加一個或減少一個網絡設備都會改變網絡結構。交換機會改變它的數據轉發表，所有交換機連接的設備都存儲在這些數據轉發表中。交換機會獲得每個網絡設備的MAC地址，和這些設備所連接的端口，假如轉發的數據有明確的MAC地址，它會順利地直接轉發到相應端口。其它端口上的設備，包括協議分析儀都無法看到這些流量。假如交換機不能確定所轉發的端口，它會發出廣播幀到所有的端口，組播（多播）幀會根據多播地址轉發到一個或幾個端口。

    基于以上轉發原則，一個端口所連接的設備只能獲得下列幾種類型的數據：

    ·廣播數據

    ·多播數據

    ·針對于該主機的單播數據

    ·目的地址目前尚未被交換機學習到的數據

    對于這些有限的流量，協議分析儀所起的作用是非常有限的。

    進行鏡像

    大多數交換機都支持鏡像技術，這可以對交換機進行方便的故障診斷。我們稱之為“mirroring”或“Spanning”。

    鏡像是將交換機某個端口的流量拷貝到另一端口(鏡像端口)，進行監測。

    如圖一。OptiView™集成式分析儀（OPV-INA）連接到一個端口。并設置為接收方式，鏡像主機A所在端口的流量。OPV-INA可以捕捉到從主機A到主機B之間的流量，OPV所連接的端口就是鏡像端口，A和B之間的通訊不會受到鏡像端口的影響。類似于端口間的鏡像，鏡像操作也可以在VLAN之間進行。最典型的鏡像配置是通過Console口或Telnet方式。端口鏡像是一個非常有用的功能，鏡像端口可以用來連接測試設備，如OPV-INA、OPV-WGA進行協議分析。當需要對故障進行診斷時，還能用遠程遙控的方式進行監測或故障診斷。而不需要到現場做物理連接上的改動。

    盡管鏡像的功能很強，但是使用時要小心，因為有可能導致產生交換環路、意外的流量或造成某些主機不可達，出現意外的惡性結果。

    鏡像功能的局限性

    一方面。當診斷工具連接到鏡像口時。最好只接收數據不向網絡發送數據，這是受一些廠商的產品功能控制的。不同的產品特性可能也不一樣。

    對于交換機。鏡像端口可以指定為”接收”模式。或”接收/發送”模式。假如只是”接收”模式。那么OPV-INA就不能主動搜索網絡。假如不能充分利用它的搜索功能。在測試時就阻礙了它的效能。假如OPV-INA不能應答網絡的請求。OPV-INA遠程用戶就不能有效地控制它的工作。用戶可以發出信號到OPV-INA。但是OPV-INA做出回應。

    另一方面。鏡像端口的速率是個問題。它的端口速率必須要高于所測試的端口流量。例如。假如主機A連接到100M的端口。OPV連接到10M的端口。那么超出的流量就會丟棄掉（如圖二）。

    值得注重的是，假如要鏡像的端口是100M全雙工端口，那么總的流量可能會達到200M。對于100M鏡像端口，超過的部分會被丟棄，而且不做任何標記。因此將所有的流量都鏡像到一個無法提供足夠帶寬的慢速端口是無法完成故障診斷任務的。對于故障診斷，需要了解交換機的轉發模式，大多數交換機默認的轉發模式是“存儲轉發”式，這種方式是在轉發數據幀之前要檢查整個幀都是正確的，這樣對于沖突或錯誤的數據就不會被轉發。

    一般情況下，轉發的流量也會從源端口送到鏡像端口，但是對于故障診斷來講，鏡像有不足的地方，鏡像數據中不包括錯誤的數據，除非這個交換機是采用一種低延時的直通式的轉發方式，而且錯誤發生在決定轉發的操作點這后。許多廠商在其產品中不再提供低延時的直通式轉發方式，這樣OPV-INA就不可能探測到有沖突和錯誤的數據，除非OPV-INA要探測的設備是通過集線器和OPV連接到一起的。當使用鏡像技術進行測試或監測時。先了解一下所測試的交換機的數據轉發技術是非常重要的。了解交換方式的方法是查看相關文檔或查看交換機設置。

    SwitchTap功能

    SwitchTap功能可以省時省力安全地在局域網交換機上實現鏡像。集成在OVC應用軟件中的SwitchTap技術提供一種非常巧妙的方式來查看設備連接到哪里。搜索到的網絡設備可以按照不同的類型進行分類(如路由器。交換機。服務器等)。并顯示出ip地址和名稱。SwitchTap可以把某個端口或某個VLAN的全部數據鏡像到網絡分析儀中(如OPV-INA。OPV-WGA)。這個功能是安全的。它可以自動顯示出網絡分析儀所連接的端口。并避免了對網絡設備麻煩的配置。

    SwitchTap所支持的交換機

    Cisco

    Catalyst2900Catalyst2926

    Catalyst2900XLCatalyst2900MXL

    Catalyst3500XLCatalyst5000

    Catalyst5000Catalyst5502

    Catalyst5505Catalyst5509

    Catalyst6000Catalyst6006

    Catalyst6009Catalyst6506

    Catalyst6509

    Extreme*

    ExtremeSummitExtremeAlpine

    ExtremeBlackDiamond**

    Nortel

    BayStack450

    注重:假如你選擇的交換機不支持SwitchTap。在對話窗口中會顯示“UnsupportedSwitch”。可以通過交換機選項來選擇可能合適的交換機。

    SwitchTap特點

    下面顯示SwitchTap應用的鏡像配置窗口。

    下面是其中的交換機狀態窗口。

    ·Name是通過OVC應用程序探測到的最適合的名稱

    ·IPAddress是交換機的IP地址

    ·Type是OVC應用程序探測到的交換機類型，也可以手動改變類型

    ·MirrorsessionsConfigured 給出對交換機已經配置的鏡像對話數，括弧內是該交換機支持的最大

    鏡像數。

    備注：鏡像對話數是指當前運行的，不是曾經應用的。

    ·Refresh刷新鏡像狀態，可以查看當前的鏡像狀態。

    ·PRoperties打開交換機屬性窗口，選擇交換機。但是需要輸入交換機口令，輸入Telnet口令可以連接到交換機，輸入特權模式口令可以對其進行配置。假如要配置鏡像，兩個口令者要輸入。

    ·ManageMirrorSessions 對所選交換機打開當前的鏡像對話窗口。

    你對交換機可以增加或清除鏡像，交換機名稱會顯示在窗口的標題中。

    MirrorSessions顯示所選交換機的所有已經配置的鏡像對話。每一個已經配置的鏡像都會顯示下列信息：

    ·Name是鏡像的目的端口，包括模塊號，端口號，VLAN號。

    ·PacketDirection指示鏡像端口流量是答應雙向（出和進），還是單方（只能出）。

    ·AddSession在Select MirrorPort Destination對話窗口中。 可以對所選交換機進行鏡像端口的設置。

    注重：當達到交換機可接收的最大鏡像數時，就不可以增加鏡像數。

    使用MirrorPortCategories配置樹，從中選擇連接某個設備的端口，將它設置為鏡像端口。一旦你選擇了一個要鏡像的端口，這個端口的信息就會顯示在右側的列表中。假如這個端口有其它設備與之相連，通過ViewPort按鈕可以查看到。View Port以樹形結構來顯示這個端口連接的設備。

    AcceptIncomingPackets選擇欄，表示鏡像時可以接受雙向的數據。

    RestrictSourcePortsto Single VLAN 選擇欄，在所選交換機具有多個VLAN時，用該欄進行配置。

    注重:設置完全后，必須在配置首頁中選擇ApplyMirrorConfiguration 才可以生效。

    ·RemoveSession清除鏡像

    ·RemoveAllMirrorSessions 停止所有的鏡像操作。

    FlukeNetworksTool

    在FlukeNetworksTool窗口，會顯示如下信息：

    ·SelectedTool顯示可以被SwitchTap調用的Fluke Networks工具。

    ·IPAddressFluke Networks工具地址

    ·ModuleFlukeNetworks工具連接交換機端口所在的模塊號

    ·PortFlukeNetworks工具所連接交換機端口號

    ·VLANFlukeNetworks工具連接交換機端口所在的VLAN號

    ·SharedPort表示該交換機端口是一個連接多個設備的共享端口。背景色用黃色顯示。假如連接的是交換機，會用紅色顯示。

    ·InterfaceTypeFluke Networks工具所連接端口的接口類型。

    ·Status顯示端口狀態(Up或Down)

    ·ViewPort用樹形結果顯示端口所連接的設備類型。

    ·ConfigureasMirrorPort – 通過選擇欄來配置所選端口做為鏡像端口，再通過Apply Mirror Configuration 按鈕生效。

    ·SourcesforthisMirror Port顯示鏡像的源端口，這一窗口在Configure as Mirror Port選擇欄沒有選中前是禁用項，是暗灰色。

    ·AddSource點擊后會彈出Select MirrorPort Source 對話窗口。 以樹形結果列出備選的源端口。Add Source 可以重復使用增加入多個鏡像的源端口。

    ·RemoveSource清除選中的鏡像。

    ·ApplyMirrorConfiguration通過ApplyMirror Configuration使設置生效。配置結果可以通過Switch·atus查看窗口的Refresh來刷新。

    ·ConfigureasMirrorPort也可以通過選擇欄取消選中狀態，所屬配置會隨之清除。

    使用SwitchTap

    設置鏡像是交換機的重要功能。SwitchTap方便地實現了鏡像的創建，治理和清除。使用鏡像方式可以很好地對網絡性能進行監測和故障診斷。然而，對鏡像的使用也可能帶來一些問題，了解鏡像原理和正確地配置是很重要的。選擇合適的鏡像端口是一項嚴謹的工作，假如選擇多個設備共享的端口進行鏡像有可能會對網絡帶來危害，如形成交換環路，產生超負荷的流量等。由于網絡的復雜性，這里只提供一些一般性原則：

    ·仔細閱讀說明書，每個廠商的產品都有不同，了解每項功能的使用限制，即使對同一個硬件產品使用不同版本的軟件也可能有區別。

    ·假設在網絡中有一臺分析工具，如FlukeNetworksOPV-WGA，要使用監測口所連接交換機的端口做為鏡像口，而不是治理口所連接的端口。

    ·交換機不接收來自鏡像端口的數據可以避免路由環路。假如鏡像端口是共享式端口，可以避免向網絡中發送數據。

    ·最好鏡像端口和源端口都在同一個VLAN中。

    ·有的交換機不答應混用VLAN。即使鏡像端口不是共享端口，交換機也不答應將其它VLAN中的數據鏡像過來。

    可能的故障

    假如配置了鏡像后，給網絡帶來了問題，需要迅速清除鏡像：

    ·使用RemoveAllMirror Sessions 對所選的交換機清除所有鏡像。

    ·手動斷開鏡像端口的連接。這樣可以有更多的時間，消除問題。

    ·通過Telnet，WEB方式或Console配置線，直接連接到交換機進行查看或配置。