- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
05-H3C_鏡像典型配置舉例
本章節下載: 05-H3C_鏡像典型配置舉例 (1.17 MB)
資料版本:6W100-20200330
產品版本:Release 7585P05
|
Copyright © 2020 bobty下载软件 版權所有,保留一切權利。 非經本公司書麵許可,任何單位和個人不得擅自摘抄、複製本文檔內容的部分或全部,並不得以任何形式傳播。 除bobty下载软件 的商標外,本手冊中出現的其它公司的商標、產品標識及商品名稱,由各自權利人擁有。 本文檔中的信息可能變動,恕不另行通知。 |
目 錄
本文介紹了端口鏡像和流鏡像的典型配置舉例。
本文檔中的配置均是在實驗室環境下進行的配置和驗證,配置前設備的所有參數均采用出廠時的缺省配置。如果您已經對設備進行了配置,為了保證配置效果,請確認現有配置和以下舉例中的配置不衝突。
本文假設您已了解鏡像特性。
如圖1所示,某公司內部各部門使用不同網段的IP地址,其中研發部使用10.1.1.0/24網段,市場部使用12.1.1.0/24網段。現要求通過配置本地端口鏡像功能,使用數據監測設備對研發部和市場部訪問Internet的流量以及兩個部門之間互訪的流量進行監控。
· 本地鏡像組需要配置源端口、目的端口才能生效。其中目的端口不能是現有鏡像組的成員端口。
· 目的端口收到的報文包括複製自源端口的報文和來自其它端口的正常轉發報文。為了保證數據監測設備隻對源端口的報文進行分析,請將目的端口隻用於端口鏡像,不作其它用途。
· 如果目的端口是二層接口,請不要將在目的端口上使能生成樹協議,否則會影響鏡像功能的正常使用。
# 配置Ten-GigabitEthernet1/0/1接口IP地址為10.1.1.1。
<DeviceA> system-view
[DeviceA] interface ten-gigabitethernet 1/0/1
[DeviceA-Ten-GigabitEthernet1/0/1] port link-mode route
[DeviceA-Ten-GigabitEthernet1/0/1] ip address 10.1.1.1 24
[DeviceA-Ten-GigabitEthernet1/0/1] quit
# 請參考以上方法配置圖1中其它接口的IP地址,配置步驟這裏省略。
# 創建本地鏡像組。
[DeviceA] mirroring-group 1 local
# 將Ten-GigabitEthernet1/0/1和Ten-GigabitEthernet1/0/2配置為鏡像源端口,對這兩個端口接收的報文進行鏡像。
[DeviceA] mirroring-group 1 mirroring-port ten-gigabitethernet 1/0/1 ten-gigabitethernet 1/0/2 inbound
# 將Ten-GigabitEthernet1/0/3配置為鏡像目的端口。
[DeviceA] mirroring-group 1 monitor-port ten-gigabitethernet 1/0/3
# 關閉目的端口Ten-GigabitEthernet1/0/3上的生成樹協議。
[DeviceA] interface ten-gigabitethernet 1/0/3
[DeviceA-Ten-GigabitEthernet1/0/3] undo stp enable
[DeviceA-Ten-GigabitEthernet1/0/3] quit
# 在完成上述配置後,在DeviceA上顯示鏡像組1的配置信息。
[DeviceA] display mirroring-group 1
Mirroring group 1:
Type: Local
Status: Active
Mirroring port:
Ten-GigabitEthernet1/0/1 Inbound
Ten-GigabitEthernet1/0/2 Inbound
Monitor port: Ten-GigabitEthernet1/0/3
# 以研發部某台主機10.1.1.2通過ping方式訪問56.56.56.6為例,進行鏡像測試,數據監測設備的抓包數據如圖2所示。
圖2 Wireshark的抓包數據
以上抓包信息表明,配置的本地鏡像功能生效,數據監測設備可以成功對需要監控的流量進行監控。
#
mirroring-group 1 local
#
interface Ten-GigabitEthernet1/0/1
port link-mode route
ip address 10.1.1.1 255.255.255.0
mirroring-group 1 mirroring-port inbound
#
interface Ten-GigabitEthernet1/0/2
port link-mode route
ip address 12.1.1.1 255.255.255.0
mirroring-group 1 mirroring-port inbound
#
interface Ten-GigabitEthernet1/0/3
port link-mode bridge
undo stp enable
mirroring-group 1 monitor-port
#
interface Ten-GigabitEthernet1/0/4
port link-mode route
ip address 56.56.56.5 255.255.255.0
#
如圖3所示,某公司內部各部門通過二層網絡連接到核心設備Device A,各部門使用不同網段的IP地址,其中研發部使用10.1.1.0/24網段,市場部使用12.1.1.0/24網段。現要求通過配置二層遠程端口鏡像功能,使用數據監測設備對研發部發送的報文進行監控。
· 為確保源設備與目的設備之間的鏡像報文可以二層轉發,中間設備連接到源設備和目的設備方向的端口上需允許遠程鏡像VLAN通過。
· 建議用戶先配目的設備,再配中間設備,最後配源設備,以保證鏡像流量的正常轉發。
配置遠程端口鏡像的目的設備和源設備時均需要注意:
· 配置遠程鏡像VLAN時:
¡ 要求該VLAN為靜態VLAN並預先創建。
¡ 要求該VLAN不用做其他用途,僅用於遠程鏡像功能。
¡ 要求該VLAN隻能被一個遠程源鏡像組使用。
· 源設備和目的設備上的遠程鏡像組必須使用相同的遠程鏡像VLAN。
配置遠程端口鏡像的目的設備時需要注意:
· 目的端口不能是現有鏡像組的成員端口。
· 目的端口不用做其他用途,僅用於端口鏡像。
· 如果目的端口是二層接口,請不要在目的端口上使能生成樹協議,否則會影響鏡像功能的正常使用。
配置遠程端口鏡像的源設備時需要注意:
· 請不要將源端口加入到遠程鏡像VLAN中,否則會影響鏡像功能的正常使用。
· 建議選擇設備上未被使用的端口作為反射端口,且不要在該端口上連接網線,否則會影響鏡像功能的正常使用。
· 在將端口配置為反射端口時,該端口上已存在的所有配置都將被清除;在配置為反射端口後,該端口上不能再配置其他業務。
· 隻有當端口的雙工模式、端口速率和MDI屬性值均為缺省值時,才能將其配置為反射端口。當端口已配置為反射端口後,不能再修改其雙工模式、端口速率和MDI屬性值,即這些屬性隻能取缺省值。
# 創建業務VLAN 2和VLAN 3。
<DeviceA> system-view
[DeviceA] vlan 2 to 3
# 創建VLAN 2接口和VLAN 3接口並配置IP地址作為相應VLAN的網關。
[DeviceA] interface Vlan-interface 2
[DeviceA-Vlan-interface2] ip address 10.1.1.1 24
[DeviceA-Vlan-interface2] quit
[DeviceA] interface Vlan-interface 3
[DeviceA-Vlan-interface3] ip address 12.1.1.1 24
[DeviceA-Vlan-interface3] quit
# 配置端口Ten-GigabitEthernet 1/0/1的端口類型為Trunk端口,允許業務VLAN 2、VLAN 3和鏡像VLAN 5的報文通過。
<DeviceA> system-view
[DeviceA] interface ten-gigabitethernet 1/0/1
[DeviceA-Ten-GigabitEthernet1/0/1] port link-type trunk
[DeviceA-Ten-GigabitEthernet1/0/1] port trunk permit vlan 2 3 5
[DeviceA-Ten-GigabitEthernet1/0/1] quit
# 配置端口Ten-GigabitEthernet1/0/2的端口類型為Trunk端口,允許業務VLAN 2和鏡像VLAN 5的報文通過。
[DeviceA] interface ten-gigabitethernet 1/0/2
[DeviceA-Ten-GigabitEthernet1/0/2] port link-type trunk
[DeviceA-Ten-GigabitEthernet1/0/2] port trunk permit vlan 2 5
[DeviceA-Ten-GigabitEthernet1/0/2] quit
# 創建遠程目的鏡像組1。
[DeviceA] mirroring-group 1 remote-destination
# 創建VLAN 5作為遠程鏡像VLAN。
[DeviceA] vlan 5
[DeviceA-vlan5] quit
# 為遠程目的鏡像組1配置遠程鏡像VLAN為VLAN 5,及配置連接數據監測設備的端口Ten-GigabitEthernet 1/0/3為目的端口。
[DeviceA] mirroring-group 1 remote-probe vlan 5
[DeviceA] mirroring-group 1 monitor-port ten-gigabitethernet 1/0/3
# 將鏡像目的端口加入遠程鏡像VLAN。將鏡像數據發送給監測設備時,不需要攜帶遠程鏡像VLAN的VLAN Tag,因此將該端口配置為Access端口。
[DeviceA] interface ten-gigabitethernet 1/0/3
[DeviceA-Ten-GigabitEthernet1/0/3] port access vlan 5
# 關閉目的端口Ten-GigabitEthernet1/0/3上的生成樹協議。
[DeviceA-Ten-GigabitEthernet1/0/3] undo stp enable
[DeviceA-Ten-GigabitEthernet1/0/3] quit
# 創建業務VLAN 2和VLAN 3。
<DeviceB> system-view
[DeviceB] vlan 2 to 3
# 創建VLAN 5作為遠程鏡像VLAN。
[DeviceB] vlan 5
[DeviceB-vlan5] quit
# 配置端口Ten-GigabitEthernet 1/0/1的端口類型為Trunk端口,允許業務VLAN 2、VLAN 3和鏡像VLAN 5的報文通過。
[DeviceB] interface ten-gigabitethernet 1/0/1
[DeviceB-Ten-GigabitEthernet1/0/1] port link-type trunk
[DeviceB-Ten-GigabitEthernet1/0/1] port trunk permit vlan 2 3 5
[DeviceB-Ten-GigabitEthernet1/0/1] quit
# 配置端口Ten-GigabitEthernet 1/0/2的端口類型為Trunk端口,允許業務VLAN 2、VLAN 3和鏡像VLAN 5的報文通過。
[DeviceB] interface ten-gigabitethernet 1/0/2
[DeviceB-Ten-GigabitEthernet1/0/2] port link-type trunk
[DeviceB-Ten-GigabitEthernet1/0/2] port trunk permit vlan 2 3 5
[DeviceB-Ten-GigabitEthernet1/0/2] quit
# 創建業務VLAN 2和VLAN 3。
<DeviceC> system-view
[DeviceC] vlan 2 to 3
# 將端口Ten-GigabitEthernet 1/0/1加入VLAN 2。
[DeviceC] interface ten-gigabitethernet 1/0/1
[DeviceC-Ten-GigabitEthernet1/0/1] port access vlan 2
[DeviceC-Ten-GigabitEthernet1/0/1] quit
# 將端口Ten-GigabitEthernet 1/0/2加入VLAN 3。
[DeviceC] interface ten-gigabitethernet 1/0/2
[DeviceC-Ten-GigabitEthernet1/0/2] port access vlan 3
[DeviceC-Ten-GigabitEthernet1/0/2] quit
# 創建遠程源鏡像組1。
[DeviceC] mirroring-group 1 remote-source
# 創建VLAN 5作為遠程鏡像VLAN。
[DeviceC] vlan 5
[DeviceC-vlan5] quit
# 配置遠程源鏡像組1的遠程鏡像VLAN為VLAN 5,源端口為Ten-GigabitEthernet1/0/1,反射端口為Ten-GigabitEthernet1/0/5。
[DeviceC] mirroring-group 1 remote-probe vlan 5
[DeviceC] mirroring-group 1 mirroring-port ten-gigabitethernet 1/0/1 inbound
[DeviceC] mirroring-group 1 reflector-port ten-gigabitethernet 1/0/5
This operation may delete all settings made on the interface. Continue? [Y/N]: y
# 配置端口Ten-GigabitEthernet 1/0/3的端口類型為Trunk端口,允許業務VLAN 2、VLAN 3和鏡像VLAN 5的報文通過。
[DeviceC] interface ten-gigabitethernet 1/0/3
[DeviceC-Ten-GigabitEthernet1/0/3] port link-type trunk
[DeviceC-Ten-GigabitEthernet1/0/3] port trunk permit vlan 2 3 5
[DeviceC-Ten-GigabitEthernet1/0/3] quit
# 創建業務VLAN 2。
<DeviceD> system-view
[DeviceD] vlan 2
[DeviceD-vlan2] quit
# 將端口Ten-GigabitEthernet 1/0/1加入VLAN 2。
[DeviceD] interface ten-gigabitethernet 1/0/1
[DeviceD-Ten-GigabitEthernet1/0/1] port access vlan 2
[DeviceD-Ten-GigabitEthernet1/0/1] quit
# 創建遠程源鏡像組1。
[DeviceD] mirroring-group 1 remote-source
# 創建VLAN 5作為遠程鏡像VLAN。
[DeviceD] vlan 5
[DeviceD-vlan5] quit
# 配置遠程源鏡像組1的遠程鏡像VLAN為VLAN 5,對源端口Ten-GigabitEthernet1/0/1入方向進行鏡像,反射端口為Ten-GigabitEthernet1/0/5。
[DeviceD] mirroring-group 1 remote-probe vlan 5
[DeviceD] mirroring-group 1 mirroring-port ten-gigabitethernet 1/0/1 inbound
[DeviceD] mirroring-group 1 reflector-port ten-gigabitethernet 1/0/5
This operation may delete all settings made on the interface. Continue? [Y/N]: y
# 配置端口Ten-GigabitEthernet 1/0/2的端口類型為Trunk端口,允許業務VLAN 2和鏡像VLAN 5的報文通過。
[DeviceD] interface ten-gigabitethernet 1/0/2
[DeviceD-Ten-GigabitEthernet1/0/2] port link-type trunk
[DeviceD-Ten-GigabitEthernet1/0/2] port trunk permit vlan 2 5
[DeviceD-Ten-GigabitEthernet1/0/2] quit
# 在完成上述配置後,在DeviceC上顯示鏡像組1的配置信息。
[DeviceC] display mirroring-group 1
Mirroring group 1:
Type: Remote source
Status: Active
Mirroring port:
Ten-GigabitEthernet1/0/1 Inbound
Reflector port: Ten-GigabitEthernet1/0/5
Remote probe VLAN: 5
# 在DeviceA上顯示鏡像組1的配置信息。
[DeviceA] display mirroring-group 1
Mirroring group 1:
Type: Remote destination
Status: Active
Monitor port: Ten-GigabitEthernet1/0/3
Remote probe VLAN: 5
# 以研發部某台主機10.1.1.2通過ping方式訪問市場部某台主機12.1.1.2為例,進行鏡像測試,數據監測設備的抓包數據如圖4所示。
圖4 Wireshark的抓包數據
以上抓包信息表明,配置的二層遠程端口鏡像功能生效,數據監測設備可以成功對對研發部發送的報文進行監控。
· 設備Device A:
#
mirroring-group 1 remote-destination
mirroring-group 1 remote-probe vlan 5
#
vlan 2 to 3
#
vlan 5
#
interface Vlan-interface2
ip address 10.1.1.1 255.255.255.0
#
interface Vlan-interface3
ip address 12.1.1.1 255.255.255.0
#
interface Ten-GigabitEthernet1/0/1
port link-mode bridge
port link-type trunk
port trunk permit vlan 1 to 3 5
#
interface Ten-GigabitEthernet1/0/2
port link-mode bridge
port link-type trunk
port trunk permit vlan 1 to 2 5
#
interface Ten-GigabitEthernet1/0/3
port link-mode bridge
port access vlan 5
undo stp enable
mirroring-group 1 monitor-port
#
· 設備Device B:
#
vlan 2 to 3
#
vlan 5
#
interface Ten-GigabitEthernet1/0/1
port link-mode bridge
port link-type trunk
port trunk permit vlan 1 to 3 5
#
interface Ten-GigabitEthernet1/0/2
port link-mode bridge
port link-type trunk
port trunk permit vlan 1 to 3 5
#
· 設備Device C:
#
mirroring-group 1 remote-source
mirroring-group 1 remote-probe vlan 5
#
vlan 2 to 3
#
vlan 5
#
interface Ten-GigabitEthernet1/0/1
port link-mode bridge
port access vlan 2
mirroring-group 1 mirroring-port inbound
#
interface Ten-GigabitEthernet1/0/2
port link-mode bridge
port access vlan 3
#
interface Ten-GigabitEthernet1/0/3
port link-mode bridge
port link-type trunk
port trunk permit vlan 1 to 3 5
#
interface Ten-GigabitEthernet1/0/5
port link-mode bridge
mirroring-group 1 reflector-port
#
· 設備Device D:
#
mirroring-group 1 remote-source
mirroring-group 1 remote-probe vlan 5
#
vlan 2
#
vlan 5
#
interface Ten-GigabitEthernet1/0/1
port link-mode bridge
port access vlan 2
mirroring-group 1 mirroring-port inbound
#
interface Ten-GigabitEthernet1/0/2
port link-mode bridge
port link-type trunk
port trunk permit vlan 1 to 2 5
#
interface Ten-GigabitEthernet1/0/5
port link-mode bridge
mirroring-group 1 reflector-port
#
如4.1 圖3所示,某公司內部各部門通過二層網絡連接到核心設備Device A,各部門使用不同網段的IP地址,其中研發部使用10.1.1.0/24網段,市場部使用12.1.1.0/24網段。現要求通過配置二層遠程端口鏡像功能,使用數據監測設備對研發部發送的報文進行監控。
圖5 二層遠程端口鏡像組網圖
· 為確保源設備與目的設備之間的鏡像報文可以二層轉發,中間設備連接到源設備和目的設備方向的端口上需允許遠程鏡像VLAN通過。
· 建議用戶先配目的設備,再配中間設備,最後配源設備,以保證鏡像流量的正常轉發。
配置遠程端口鏡像的目的設備和源設備時均需要注意:
· 配置遠程鏡像VLAN時:
¡ 要求該VLAN為靜態VLAN並預先創建。
¡ 要求該VLAN不用做其他用途,僅用於遠程鏡像功能。
¡ 要求該VLAN隻能被一個遠程源鏡像組使用。
· 源設備和目的設備上的遠程鏡像組必須使用相同的遠程鏡像VLAN。
配置遠程端口鏡像的目的設備時需要注意:
· 目的端口不能是現有鏡像組的成員端口。
· 目的端口不用做其他用途,僅用於端口鏡像。
· 如果目的端口是二層接口,請不要在目的端口上使能生成樹協議,否則會影響鏡像功能的正常使用。
配置遠程端口鏡像的源設備時需要注意:
· 請不要將源端口加入到遠程鏡像VLAN中,否則會影響鏡像功能的正常使用。
· 請不要在出端口上配置下列功能:生成樹協議、802.1X、IGMP Snooping、靜態ARP和MAC地址學習,否則會影響鏡像功能的正常使用。
· 出端口不能是現有鏡像組的成員端口。
· 一個鏡像組內隻能配置一個出端口。
· 源端口為三層接口時,隻能通過配置出端口方式實現二層遠程鏡像。
# 創建業務VLAN 2和VLAN 3。
<DeviceA> system-view
[DeviceA] vlan 2 to 3
# 創建VLAN 2接口和VLAN 3接口並配置IP地址作為相應VLAN的網關。
[DeviceA] interface Vlan-interface 2
[DeviceA-Vlan-interface2] ip address 10.1.1.1 24
[DeviceA-Vlan-interface2] quit
[DeviceA] interface Vlan-interface 3
[DeviceA-Vlan-interface3] ip address 12.1.1.1 24
[DeviceA-Vlan-interface3] quit
# 配置端口Ten-GigabitEthernet 1/0/1的端口類型為Trunk端口,允許業務VLAN 2、VLAN 3和鏡像VLAN 5的報文通過。
<DeviceA> system-view
[DeviceA] interface ten-gigabitethernet 1/0/1
[DeviceA-Ten-GigabitEthernet1/0/1] port link-type trunk
[DeviceA-Ten-GigabitEthernet1/0/1] port trunk permit vlan 2 3 5
[DeviceA-Ten-GigabitEthernet1/0/1] quit
# 配置端口Ten-GigabitEthernet1/0/2的端口類型為Trunk端口,允許業務VLAN 2和鏡像VLAN 5的報文通過。
[DeviceA] interface ten-gigabitethernet 1/0/2
[DeviceA-Ten-GigabitEthernet1/0/2] port link-type trunk
[DeviceA-Ten-GigabitEthernet1/0/2] port trunk permit vlan 2 5
[DeviceA-Ten-GigabitEthernet1/0/2] quit
# 創建遠程目的鏡像組1。
[DeviceA] mirroring-group 1 remote-destination
# 創建VLAN 5作為遠程鏡像VLAN。
[DeviceA] vlan 5
[DeviceA-vlan5] quit
# 為遠程目的鏡像組1配置遠程鏡像VLAN為VLAN 5,及配置連接數據監測設備的端口Ten-GigabitEthernet 1/0/3為目的端口。
[DeviceA] mirroring-group 1 remote-probe vlan 5
[DeviceA] mirroring-group 1 monitor-port ten-gigabitethernet 1/0/3
# 將鏡像目的端口加入遠程鏡像VLAN。將鏡像數據發送給監測設備時,不需要攜帶遠程鏡像VLAN的VLAN Tag,因此將該端口配置為Access端口。
[DeviceA] interface ten-gigabitethernet 1/0/3
[DeviceA-Ten-GigabitEthernet1/0/3] port access vlan 5
# 關閉目的端口Ten-GigabitEthernet1/0/3上的生成樹協議。
[DeviceA-Ten-GigabitEthernet1/0/3] undo stp enable
[DeviceA-Ten-GigabitEthernet1/0/3] quit
# 創建業務VLAN 2和VLAN 3。
<DeviceB> system-view
[DeviceB] vlan 2 to 3
# 創建VLAN 5作為遠程鏡像VLAN。
[DeviceB] vlan 5
[DeviceB-vlan5] quit
# 配置端口Ten-GigabitEthernet 1/0/1的端口類型為Trunk端口,允許業務VLAN 2、VLAN 3和鏡像VLAN 5的報文通過。
[DeviceB] interface ten-gigabitethernet 1/0/1
[DeviceB-Ten-GigabitEthernet1/0/1] port link-type trunk
[DeviceB-Ten-GigabitEthernet1/0/1] port trunk permit vlan 2 3 5
[DeviceB-Ten-GigabitEthernet1/0/1] quit
# 配置端口Ten-GigabitEthernet 1/0/2的端口類型為Trunk端口,允許業務VLAN 2、VLAN 3和鏡像VLAN 5的報文通過。
[DeviceB] interface ten-gigabitethernet 1/0/2
[DeviceB-Ten-GigabitEthernet1/0/2] port link-type trunk
[DeviceB-Ten-GigabitEthernet1/0/2] port trunk permit vlan 2 3 5
[DeviceB-Ten-GigabitEthernet1/0/2] quit
# 創建業務VLAN 2和VLAN 3。
<DeviceC> system-view
[DeviceC] vlan 2 to 3
# 將端口Ten-GigabitEthernet 1/0/1加入VLAN 2。
[DeviceC] interface ten-gigabitethernet 1/0/1
[DeviceC-Ten-GigabitEthernet1/0/1] port access vlan 2
[DeviceC-Ten-GigabitEthernet1/0/1] quit
# 將端口Ten-GigabitEthernet 1/0/2加入VLAN 3。
[DeviceC] interface ten-gigabitethernet 1/0/2
[DeviceC-Ten-GigabitEthernet1/0/2] port access vlan 3
[DeviceC-Ten-GigabitEthernet1/0/2] quit
# 創建遠程源鏡像組1。
[DeviceC] mirroring-group 1 remote-source
# 創建VLAN 5作為遠程鏡像VLAN。
[DeviceC] vlan 5
[DeviceC-vlan5] quit
# 配置遠程源鏡像組1的遠程鏡像VLAN為VLAN 5,源端口為Ten-GigabitEthernet1/0/1,出端口為Ten-GigabitEthernet1/0/3。
[DeviceC] mirroring-group 1 remote-probe vlan 5
[DeviceC] mirroring-group 1 mirroring-port ten-gigabitethernet 1/0/1 inbound
[DeviceC] mirroring-group 1 monitor-egress ten-gigabitEthernet 1/0/3
# 配置端口Ten-GigabitEthernet 1/0/3的端口類型為Trunk端口,允許業務VLAN 2、VLAN 3和鏡像VLAN 5的報文通過。
[DeviceC] interface ten-gigabitethernet 1/0/3
[DeviceC-Ten-GigabitEthernet1/0/3] port link-type trunk
[DeviceC-Ten-GigabitEthernet1/0/3] port trunk permit vlan 2 3 5
[DeviceC-Ten-GigabitEthernet1/0/3] quit
# 關閉出端口Ten-GigabitEthernet1/0/3上的生成樹協議、MAC地址學習功能。
[DeviceC-Ten-GigabitEthernet1/0/3] undo stp enable
[DeviceC-Ten-GigabitEthernet1/0/3] undo mac-address mac-learning enable
[DeviceC-Ten-GigabitEthernet1/0/3] quit
# 創建業務VLAN 2。
<DeviceD> system-view
[DeviceD] vlan 2
[DeviceD-vlan2] quit
# 將端口Ten-GigabitEthernet 1/0/1加入VLAN 2。
[DeviceD] interface ten-gigabitethernet 1/0/1
[DeviceD-Ten-GigabitEthernet1/0/1] port access vlan 2
[DeviceD-Ten-GigabitEthernet1/0/1] quit
# 創建遠程源鏡像組1。
[DeviceD] mirroring-group 1 remote-source
# 創建VLAN 5作為遠程鏡像VLAN。
[DeviceD] vlan 5
[DeviceD-vlan5] quit
# 配置遠程源鏡像組1的遠程鏡像VLAN為VLAN 5,對源端口Ten-GigabitEthernet1/0/1入方向進行鏡像,出端口為Ten-GigabitEthernet1/0/2。
[DeviceD] mirroring-group 1 remote-probe vlan 5
[DeviceD] mirroring-group 1 mirroring-port ten-gigabitethernet 1/0/1 inbound
[DeviceD] mirroring-group 1 monitor-egress ten-gigabitEthernet 1/0/2
# 配置端口Ten-GigabitEthernet 1/0/2的端口類型為Trunk端口,允許業務VLAN 2和鏡像VLAN 5的報文通過。
[DeviceD] interface ten-gigabitethernet 1/0/2
[DeviceD-Ten-GigabitEthernet1/0/2] port link-type trunk
[DeviceD-Ten-GigabitEthernet1/0/2] port trunk permit vlan 2 5
# 關閉出端口Ten-GigabitEthernet1/0/2上的生成樹協議、MAC地址學習功能。
[DeviceD-Ten-GigabitEthernet1/0/2] undo stp enable
[DeviceD-Ten-GigabitEthernet1/0/2] undo mac-address mac-learning enable
[DeviceD-Ten-GigabitEthernet1/0/2] quit
# 在完成上述配置後,在DeviceC上顯示鏡像組1的配置信息。
[DeviceC] display mirroring-group 1
Mirroring group 1:
Type: Remote source
Status: Active
Mirroring port:
Ten-GigabitEthernet1/0/1 Inbound
Monitor egress port: Ten-GigabitEthernet1/0/3
Remote probe VLAN: 5
# 在DeviceA上顯示鏡像組1的配置信息。
[DeviceA] display mirroring-group 1
Mirroring group 1:
Type: Remote destination
Status: Active
Monitor port: Ten-GigabitEthernet1/0/3
Remote probe VLAN: 5
# 以研發部某台主機10.1.1.2通過ping方式訪問市場部某台主機12.1.1.2為例,進行鏡像測試,數據監測設備的抓包數據如4.5 圖4所示。
圖6 Wireshark的抓包數據
以上抓包信息表明,配置的二層遠程端口鏡像功能生效,數據監測設備可以成功對對研發部發送的報文進行監控。
· 設備Device A:
#
mirroring-group 1 remote-destination
mirroring-group 1 remote-probe vlan 5
#
vlan 2 to 3
#
vlan 5
#
interface Vlan-interface2
ip address 10.1.1.1 255.255.255.0
#
interface Vlan-interface3
ip address 12.1.1.1 255.255.255.0
#
interface Ten-GigabitEthernet1/0/1
port link-mode bridge
port link-type trunk
port trunk permit vlan 1 to 3 5
#
interface Ten-GigabitEthernet1/0/2
port link-mode bridge
port link-type trunk
port trunk permit vlan 1 to 2 5
#
interface Ten-GigabitEthernet1/0/3
port link-mode bridge
port access vlan 5
undo stp enable
mirroring-group 1 monitor-port
#
· 設備Device B:
#
vlan 2 to 3
#
vlan 5
#
interface Ten-GigabitEthernet1/0/1
port link-mode bridge
port link-type trunk
port trunk permit vlan 1 to 3 5
#
interface Ten-GigabitEthernet1/0/2
port link-mode bridge
port link-type trunk
port trunk permit vlan 1 to 3 5
#
· 設備Device C:
#
mirroring-group 1 remote-source
mirroring-group 1 remote-probe vlan 5
#
vlan 2 to 3
#
vlan 5
#
interface Ten-GigabitEthernet1/0/1
port link-mode bridge
port access vlan 2
mirroring-group 1 mirroring-port inbound
#
interface Ten-GigabitEthernet1/0/2
port link-mode bridge
port access vlan 3
#
interface Ten-GigabitEthernet1/0/3
port link-mode bridge
port link-type trunk
port trunk permit vlan 1 to 3 5
mirroring-group 1 monitor-egress
#
interface Ten-GigabitEthernet1/0/5
port link-mode bridge
mirroring-group 1 reflector-port
#
· 設備Device D:
#
mirroring-group 1 remote-source
mirroring-group 1 remote-probe vlan 5
#
vlan 2
#
vlan 5
#
interface Ten-GigabitEthernet1/0/1
port link-mode bridge
port access vlan 2
mirroring-group 1 mirroring-port inbound
#
interface Ten-GigabitEthernet1/0/2
port link-mode bridge
port link-type trunk
port trunk permit vlan 1 to 2 5
mirroring-group 1 monitor-egress
#
如圖7所示,某公司內部各部門使用不同網段的IP地址,其中研發部使用10.1.1.0/24網段,市場部使用12.1.1.0/24網段,公共服務器群使用14.1.1.0/24網段。現要求通過配置本地流鏡像功能,使用數據監測設備對以下兩種數據進行監控:
· 研發部主機訪問Internet時發送的HTTP流量
· 在工作日的非工作時間段(工作時間段為8:30至18:00),市場部從公共服務器群接收到的報文
配置本地流鏡像功能時,首先需要根據報文特點製定需要鏡像報文的分類規則,然後,在設備上對以上分類的報文采用鏡像到指定端口(連接數據監測設備的端口)的動作,即可以實現組網需求。
(1) 配置Device A的接口IP地址。
# 配置接口Ten-GigabitEthernet1/0/1的IP地址為35.35.35.5。
<DeviceA> system-view
[DeviceA] interface ten-gigabitethernet 1/0/1
[DeviceA-Ten-GigabitEthernet1/0/1] port link-mode route
[DeviceA-Ten-GigabitEthernet1/0/1] ip address 35.35.35.5 24
[DeviceA-Ten-GigabitEthernet1/0/1] quit
# 請參考以上方法配置圖7中其它接口的IP地址,配置步驟這裏省略。
(2) 定義對研發部上網流量進行鏡像的QoS策略
# 創建ACL 3000,匹配研發部的上網流量。
[DeviceA] acl advanced 3000
[DeviceA-acl-ipv4-adv-3000] rule permit tcp destination-port eq 80 source 10.1.1.0 0.0.0.255
[DeviceA-acl-ipv4-adv-3000] quit
# 創建流分類classifier_research,匹配ACL 3000。
[DeviceA] traffic classifier classifier_research
[DeviceA-classifier-classifier_research] if-match acl 3000
[DeviceA-classifier-classifier_research] quit
# 定義流行為behavior_research,動作為鏡像至端口Ten-GigabitEthernet 1/0/2。
[DeviceA] traffic behavior behavior_research
[DeviceA-behavior-behavior_research] mirror-to interface ten-gigabitethernet 1/0/2
[DeviceA-behavior-behavior_research] quit
# 定義策略policy_research,為類classifier_research指定流行為behavior_research。
[DeviceA] qos policy policy_research
[DeviceA-qospolicy-policy_research] classifier classifier_research behavior behavior_research
[DeviceA-qospolicy-policy_research] quit
(3) 定義對市場部主機從公共服務器獲取的數據進行鏡像的QoS策略
# 定義兩個非工作時間段,分別為工作日的0:00至8:30和18:00至24:00,並分別命名為“off-work1”和“off-work2”。
[DeviceA] time-range off-work1 0:00 to 8:30 working-day
[DeviceA] time-range off-work2 18:00 to 24:00 working-day
# 創建ACL 3001,通過兩條規則來匹配公共服務器在非工作時間段發往市場部主機的數據。
[DeviceA] acl advanced 3001
[DeviceA-acl-ipv4-adv-3001] rule permit ip destination 12.1.1.0 0.0.0.255 source 14.1.1.0 0.0.0.255 time-range off-work1
[DeviceA-acl-ipv4-adv-3001] rule permit ip destination 12.1.1.0 0.0.0.255 source 14.1.1.0 0.0.0.255 time-range off-work2
[DeviceA-acl-ipv4-adv-3001] quit
# 創建流分類classifier_market,匹配ACL 3001。
[DeviceA] traffic classifier classifier_market
[DeviceA-classifier-classifier_market] if-match acl 3001
[DeviceA-classifier-classifier_market] quit
# 定義流行為behavior_market,動作為鏡像至端口Ten-GigabitEthernet 1/0/2。
[DeviceA] traffic behavior behavior_market
[DeviceA-behavior-behavior_market] mirror-to interface ten-gigabitethernet 1/0/2
[DeviceA-behavior-behavior_market] quit
# 定義策略policy_market,為類classifier_market指定流行為behavior_market。
[DeviceA] qos policy policy_market
[DeviceA-qospolicy-policy_market] classifier classifier_market behavior behavior_market
[DeviceA-qospolicy-policy_market] quit
(4) 應用QoS策略
# 將policy_research策略應用到Ten-GigabitEthernet1/0/1端口的入方向。
[DeviceA] interface ten-gigabitethernet 1/0/1
[DeviceA-Ten-GigabitEthernet1/0/1] port link-mode route
[DeviceA-Ten-GigabitEthernet1/0/1] qos apply policy policy_research inbound
[DeviceA-Ten-GigabitEthernet1/0/1] quit
# 將policy_market策略應用到Ten-GigabitEthernet1/0/3端口的入方向。
[DeviceA] interface ten-gigabitethernet 1/0/3
[DeviceA-Ten-GigabitEthernet1/0/3] port link-mode route
[DeviceA-Ten-GigabitEthernet1/0/3] qos apply policy policy_market inbound
[DeviceA-Ten-GigabitEthernet1/0/3] quit
# 在完成上述配置後,在DeviceA上驗證流鏡像的配置信息。
[DeviceA] display qos policy interface
Interface: Ten-GigabitEthernet1/0/1
Direction: Inbound
Policy: policy_research
Classifier: classifier_research
Operator: AND
Rule(s) :
If-match acl 3000
Behavior: behavior_research
Mirroring:
Mirror to the interface: Ten-GigabitEthernet1/0/2
Interface: Ten-GigabitEthernet1/0/3
Direction: Inbound
Policy: policy_market
Classifier: classifier_market
Operator: AND
Rule(s) :
If-match acl 3001
Behavior: behavior_market
Mirroring:
Mirror to the interface: Ten-GigabitEthernet1/0/2
# 以研發部某台主機10.1.1.2 通過Telnet方式訪問46.46.46.4的80端口為例,進行鏡像測試,數據監測設備的抓包數據如圖8所示。
圖8 HTTP流量的Wireshark抓包數據
以上抓包信息表明,數據監測設備可以成功對研發部主機訪問Internet時發送的HTTP流量進行監控。
# 以市場部某台主機12.1.1.2在非工作時段通過ping方式訪問服務器14.1.1.2為例,進行鏡像測試,數據監測設備的抓包數據如圖9所示。
以上抓包信息表明,在工作日的非工作時間段(工作時間段為8:30至18:00),數據監測設備可以成功對市場部從公共服務器群接收到的報文進行監控。
#
time-range off-work1 00:00 to 08:30 working-day
time-range off-work2 18:00 to 24:00 working-day
#
acl advanced 3000
rule 0 permit tcp source 10.1.1.0 0.0.0.255 destination-port eq www
acl advanced 3001
rule 0 permit ip source 14.1.1.0 0.0.0.255 destination 12.1.1.0 0.0.0.255 time-range off-work1
rule 5 permit ip source 14.1.1.0 0.0.0.255 destination 12.1.1.0 0.0.0.255 time-range off-work2
#
traffic classifier classifier_research operator and
if-match acl 3000
traffic classifier classifier_market operator and
if-match acl 3001
#
traffic behavior behavior_research
mirror-to interface Ten-GigabitEthernet1/0/2
traffic behavior behavior_market
mirror-to interface Ten-GigabitEthernet1/0/2
#
qos policy policy_research
classifier classifier_research behavior behavior_research
qos policy policy_market
classifier classifier_market behavior behavior_market
#
interface Ten-GigabitEthernet1/0/1
port link-mode route
ip address 35.35.35.5 255.255.255.0
qos apply policy policy_research inbound
#
interface Ten-GigabitEthernet1/0/3
port link-mode route
ip address 56.56.56.5 255.255.255.0
qos apply policy policy_market inbound
#
如圖10所示,某公司內部各部門使用不同網段的IP地址,其中研發部使用10.1.1.0/24網段,市場部使用12.1.1.0/24網段,公共服務器使用14.1.1.0/24網段。現要求通過配置流鏡像,使用數據監測設備對網絡中的流量進行監測,以達到如下需求:
· 通過Device A上連接的監測設備收集公共服務器群發給各客戶端的所有數據,由於文件服務器提供的服務數據較多,因此僅在工作日的非工作時間進行監測(工作時間為8:30至18:00)。
· 通過Device A上連接的監測設備收集市場部主機上網時發送的數據,但對於經理辦公室的主機發送的內容不作收集。
· 通過Device B上連接的數據監測設備監控由研發部工作站向外發送的所有報文,對於研發對外服務器發送的報文,僅在工作日的非工作時間進行監測。
為了過濾同一類數據源中特定源的數據,可以使用鏡像和包過濾功能進行配合,或者通過QoS策略的配置技巧,使特定源的數據不作鏡像或是不輸出到數據監測設備。目前可以采取以下三種方式來進行配置:
· 對特定源數據首先采用filter permit動作,並先於鏡像動作進行配置,使特定源數據不作鏡像。
· 在鏡像數據的出端口采用filter deny動作的QoS策略,過濾掉特定源數據,使其不被監測設備接收。
· 在鏡像數據的出端口上使用packet-filter命令,過濾掉特定源數據,使其不被監測設備接收。
(1) 配置Device A對於公共服務器發送的數據進行鏡像
· 創建並應用對公共服務器發送的所有數據進行鏡像的QoS策略
# 創建ACL 2000,匹配公共服務器網段(14.1.1.0/24)發送的所有數據。
<DeviceA> system-view
[DeviceA] acl basic 2000
[DeviceA-acl-ipv4-basic-2000] rule permit source 14.1.1.0 0.0.0.255
[DeviceA-acl-ipv4-basic-2000] quit
# 創建流分類classifier_servers匹配ACL 2000。
[DeviceA] traffic classifier classifier_servers
[DeviceA-classifier-classifier_servers] if-match acl 2000
[DeviceA-classifier-classifier_servers] quit
# 定義流行為behavior_servers,動作為鏡像至端口Ten-GigabitEthernet 1/0/3。
[DeviceA] traffic behavior behavior_servers
[DeviceA-behavior-behavior_servers] mirror-to interface ten-gigabitethernet 1/0/3
[DeviceA-behavior-behavior_servers] quit
# 定義策略policy_servers,為類classifier_servers指定流行為behavior_servers。
[DeviceA] qos policy policy_servers
[DeviceA-qospolicy-policy_servers] classifier classifier_servers behavior behavior_servers
[DeviceA-qospolicy-policy_servers] quit
# 將策略policy_servers應用到Ten-GigabitEthernet 1/0/4端口的入方向
[DeviceA] interface ten-gigabitethernet 1/0/4
[DeviceA-Ten-GigabitEthernet1/0/4] port link-mode route
[DeviceA-Ten-GigabitEthernet1/0/4] qos apply policy policy_servers inbound
[DeviceA-Ten-GigabitEthernet1/0/4] quit
· 通過QoS策略過濾文件服務器在工作時間發送的數據
# 定義一個ACL生效時間段,為工作日的8:30至18:00,並命名為“work-time”。
[DeviceA] time-range work-time 8:30 to 18:00 working-day
# 創建ACL 2001,創建規則來匹配文件服務器(14.1.1.10)在工作時間段發送的數據。
[DeviceA] acl basic 2001
[DeviceA-acl-ipv4-basic-2001] rule permit source 14.1.1.10 0.0.0.0 time-range work-time
[DeviceA-acl-ipv4-basic-2001] quit
# 創建流分類classifier_fileserver,匹配ACL 2001。
[DeviceA] traffic classifier classifier_fileserver
[DeviceA-classifier-classifier_fileserver] if-match acl 2001
[DeviceA-classifier-classifier_fileserver] quit
# 定義流行為behavior_fileserver,動作為拒絕通過。
[DeviceA] traffic behavior behavior_fileserver
[DeviceA-behavior-behavior_fileserver] filter deny
[DeviceA-behavior-behavior_fileserver] quit
# 定義策略policy_fileserver,為類classifier_fileserver指定流行為behavior_fileserver。
[DeviceA] qos policy policy_fileserver
[DeviceA-qospolicy-policy_fileserver] classifier classifier_fileserver behavior behavior_fileserver
[DeviceA-qospolicy-policy_fileserver] quit
# 將策略policy_fileserver應用到Ten-GigabitEthernet 1/0/3端口的出方向
[DeviceA] interface ten-gigabitethernet 1/0/3
[DeviceA-Ten-GigabitEthernet1/0/3] qos apply policy policy_fileserver outbound
[DeviceA-Ten-GigabitEthernet1/0/3] quit
(2) 配置Device A對市場部的上網報文進行鏡像
· 創建對市場部所有上網報文進行鏡像的流分類和流行為
# 創建ACL 3000,匹配市場部所在網段(12.1.1.0/24)的上網流量。
[DeviceA] acl advanced 3000
[DeviceA-acl-ipv4-adv-3000] rule permit tcp destination-port eq 80 source 12.1.1.0 0.0.0.255
[DeviceA-acl-ipv4-adv-3000] quit
# 創建流分類classifier_market,匹配ACL 3000。
[DeviceA] traffic classifier classifier_market
[DeviceA-classifier-classifier_market] if-match acl 3000
[DeviceA-classifier-classifier_market] quit
# 定義流行為behavior_market,動作為鏡像至端口Ten-GigabitEthernet 1/0/3。
[DeviceA] traffic behavior behavior_market
[DeviceA-behavior-behavior_market] mirror-to interface ten-gigabitethernet 1/0/3
[DeviceA-behavior-behavior_market] quit
· 創建對市場部經理辦公室主機的上網報文采取允許通過動作的流分類和流行為
# 創建ACL 3001,匹配市場部經理辦公室的主機(12.1.1.100)的上網流量。
[DeviceA] acl advanced 3001
[DeviceA-acl-ipv4-adv-3001] rule permit tcp destination-port eq 80 source 12.1.1.100 0.0.0.0
[DeviceA-acl-ipv4-adv-3001] quit
# 創建流分類classifier_market_mgr,匹配ACL 3001。
[DeviceA] traffic classifier classifier_market_mgr
[DeviceA-classifier-classifier_market_mgr] if-match acl 3001
[DeviceA-classifier-classifier_market_mgr] quit
# 定義流行為behavior_market_mgr,動作為允許通過。
[DeviceA] traffic behavior behavior_market_mgr
[DeviceA-behavior-behavior_market_mgr] filter permit
[DeviceA-behavior-behavior_market_mgr] quit
· 創建QoS策略,將兩組流分類和流行為分別進行關聯
# 定義策略policy_market。
[DeviceA] qos policy policy_market
# 首先將為經理辦公室主機配置的流分類和流行為進行關聯。
[DeviceA-qospolicy-policy_market] classifier classifier_market_mgr behavior behavior_market_mgr
# 然後將對市場部上網報文進行鏡像的流分類和流行為進行關聯。
[DeviceA-qospolicy-policy_market] classifier classifier_market behavior behavior_market
# 顯示當前策略下的流分類和流行為的配置順序。
[DeviceA-qospolicy-policy_market] display this
#
qos policy policy_market
classifier classifier_market_mgr behavior behavior_market_mgr
classifier classifier_market behavior behavior_market
#
return
[DeviceA-qospolicy-policy_market] quit
可以看到,對於經理辦公室主機的流分類和流行為會先下發,因此該主機發送的上網報文將不會再執行鏡像動作。
· 應用QoS策略
# 將策略policy_market應用到Ten-GigabitEthernet1/0/2端口的入方向
[DeviceA] interface ten-gigabitethernet 1/0/2
[DeviceA-Ten-GigabitEthernet1/0/2] qos apply policy policy_market inbound
[DeviceA-Ten-GigabitEthernet1/0/2] quit
· 在Device B上配置本地鏡像
# 創建本地鏡像組。
<DeviceB> system-view
[DeviceB] mirroring-group 1 local
# 將Ten-GigabitEthernet1/0/1配置為鏡像源端口,對這個端口接收的報文進行鏡像。
[DeviceB] mirroring-group 1 mirroring-port ten-gigabitethernet 1/0/1 inbound
# 將Ten-GigabitEthernet1/0/2配置為鏡像目的端口。
[DeviceB] mirroring-group 1 monitor-port ten-gigabitethernet 1/0/2
· 通過packet-filter功能過濾研發對外服務器在工作時間發送的數據
# 定義一個ACL生效時間段,為工作日的8:30至18:00,並命名為“work-time”。
[DeviceB] time-range work-time 8:30 to 18:00 working-day
# 創建ACL 2000,創建規則來匹配研發對外服務器(10.1.1.2)在工作時間段發送的數據。
[DeviceB] acl basic 2000
[DeviceB-acl-ipv4-basic-2000] rule deny source 10.1.1.2 0.0.0.0 time-range work-time
[DeviceB-acl-ipv4-basic-2000] quit
# 在Ten-GigabitEthernet1/0/2的出方向使用packet-filter功能,對匹配ACL 2000的報文進行過濾。
[DeviceB] interface ten-gigabitethernet1/0/2
[DeviceB-Ten-GigabitEthernet1/0/2] packet-filter 2000 outbound
[DeviceB-Ten-GigabitEthernet1/0/2] quit
# 在完成上述配置後,在DeviceA上驗證流鏡像的配置信息。
[DeviceA] display qos policy interface
Interface: Ten-GigabitEthernet1/0/2
Direction: Inbound
Policy: policy_market
Classifier: classifier_market_mgr
Operator: AND
Rule(s) : If-match acl 3001
Behavior: behavior_market_mgr
Filter enable: Permit
Classifier: classifier_market
Operator: AND
Rule(s) : If-match acl 3000
Behavior: behavior_market
Mirroring:
Mirror to the interface: Ten-GigabitEthernet1/0/3
Interface: Ten-GigabitEthernet1/0/3
Direction: Outbound
Policy: policy_fileserver
Classifier: classifier_fileserver
Operator: AND
Rule(s) : If-match acl 2001
Behavior: behavior_fileserver
Mirroring:
Mirror to the interface: Ten-GigabitEthernet1/0/3
Interface: Ten-GigabitEthernet1/0/4
Direction: Inbound
Policy: policy_servers
Classifier: classifier_servers
Operator: AND
Rule(s) : If-match acl 2000
Behavior: behavior_servers
Mirroring:
Mirror to the interface: Ten-GigabitEthernet1/0/3
# 在DeviceB上驗證鏡像組1的配置信息。
[DeviceB] display mirroring-group 1
Mirroring group 1:
Type: Local
Status: Active
Mirroring port:
Ten-GigabitEthernet1/0/1 Inbound
Monitor port: Ten-GigabitEthernet1/0/2
# 以市場部上網流量為例,進行抓包分析:分別使用市場部某台主機12.1.1.2和經理辦公室的主機12.1.1.100 通過Telnet方式訪問57.57.57.7的80端口進行鏡像測試,數據監控設備的抓包數據如圖11所示。
圖11 HTTP流量的Wireshark抓包數據
以上抓包信息表明,可以實現通過Device A上連接的監測設備收集市場部主機上網時發送的數據,但對於經理辦公室的主機發送的內容不作收集。
· 設備Device A:
#
time-range work-time 08:30 to 18:00 working-day
#
acl basic 2000
rule 0 permit source 14.1.1.0 0.0.0.255
acl basic 2001
rule 0 permit source 14.1.1.10 0 time-range work-time
#
acl advanced 3000
rule 0 permit tcp source 12.1.1.0 0.0.0.255 destination-port eq www
acl advanced 3001
rule 0 permit tcp source 12.1.1.100 0 destination-port eq www
#
traffic classifier classifier_servers operator and
if-match acl 2000
traffic classifier classifier_fileserver operator and
if-match acl 2001
traffic classifier classifier_market operator and
if-match acl 3000
traffic classifier classifier_market_mgr operator and
if-match acl 3001
#
traffic behavior behavior_servers
mirror-to interface Ten-GigabitEthernet1/0/3
traffic behavior behavior_fileserver
filter deny
traffic behavior behavior_market
mirror-to interface Ten-GigabitEthernet1/0/3
traffic behavior behavior_market_mgr
filter permit
#
qos policy policy_fileserver
classifier classifier_fileserver behavior behavior_fileserver
qos policy policy_market
classifier classifier_market_mgr behavior behavior_market_mgr
classifier classifier_market behavior behavior_market
qos policy policy_servers
classifier classifier_servers behavior behavior_servers
#
interface Ten-GigabitEthernet1/0/1
port link-mode bridge
port link-type trunk
port trunk permit vlan 1 to 2
#
interface Ten-GigabitEthernet1/0/2
port link-mode bridge
port link-type trunk
port trunk permit vlan 1 3
qos apply policy policy_market inbound
#
interface Ten-GigabitEthernet1/0/3
port link-mode bridge
qos apply policy policy_fileserver outbound
#
interface Ten-GigabitEthernet1/0/4
port link-mode route
ip address 57.57.57.5 255.255.255.0
qos apply policy policy_servers inbound
#
· 設備Device B:
#
mirroring-group 1 local
#
time-range work-time 08:30 to 18:00 working-day
#
acl basic 2000
rule 0 deny source 10.1.1.2 0 time-range work-time
#
interface Ten-GigabitEthernet1/0/1
port link-mode bridge
port access vlan 2
mirroring-group 1 mirroring-port inbound
#
interface Ten-GigabitEthernet1/0/2
port link-mode bridge
packet-filter 2000 outbound
mirroring-group 1 monitor-port
#
· H3C S10500係列以太網交換機 網絡管理和監控配置指導-R758X
· H3C S10500係列以太網交換機 網絡管理和監控命令參考-R758X
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
