- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
01-TAP配置
本章節下載: 01-TAP配置 (556.96 KB)
目 錄
數據中心網絡日益龐大,對網絡的安全和性能要求也越來越高,如何深入網絡內部提取與監控流量,成為了亟待解決的問題。TAP技術應運而生。
TAP(Test Access Point)也叫分路器,它能夠在不中斷網絡正常流量的情況下,實時獲取網絡流量,並進行高速複製與轉發。TAP將收到的流量進行彙總,複製成多份後同時發送給多台監控設備,以便監控設備進行用戶上網行為分析、異常流量監測和網絡應用監控等。
TAP功能通過QoS策略實現,可以將TAP類型的QoS策略簡稱為TAP策略。TAP策略中通過配置流分類規則對報文進行標記,配置流行為動作對被標記報文進行編輯和重定向到監控組。其中,監控組中可以配置多個成員接口,報文被複製成多份,由多個成員接口發出。
TAP策略支持的報文編輯動作包括:
· 重新標記報文的IP或MAC地址
· 添加、刪除或重新標記報文的VLAN Tag
· 報文截斷
· 新增時間戳及以太網頭
· 刪除Tunnel報文頭
報文進入TAP設備後的處理流程如圖1-1所示:
圖1-1 TAP處理流程
· TAP設備可以直路部署和旁路部署在網絡中:
· 直路部署:TAP設備串聯在用戶網絡中,可以在不影響用戶流量正常收發的前提下,對用戶流量直接進行複製,並將複製後的流量發送給監控設備,供其進行流量分析與監測。此模式下,TAP僅可以配置重定向到監控組動作,不可以配置報文編輯動作。
· 旁路部署:TAP設備旁掛在用戶網絡上,由用戶網絡設備負責將待處理流量送至TAP設備,TAP設備將收到的流量發送給監控設備,供其進行流量分析與監測。此模式下,TAP可以按需配置報文編輯動作。
圖1-2 部署模式示意圖
在TAP策略中,流行為中必須配置重定向到監控組動作,其他報文編輯動作可以根據需求配置。當同一個流行為中配置了多個動作時,命中規則的報文會被執行所有的報文編輯動作,然後執行重定向到監控組動作。
僅SF係列接口板和SG係列接口板支持TAP。
對於VXLAN過路報文,接口入方向上應用TAP策略無法匹配過路報文的內外層源MAC、內層VLAN Tag VLAN ID和內層VLAN Tag 802.1p優先級。
對於GRE和NVGER報文,接口入方向上應用TAP策略無法匹配過路報文的內外層源MAC、和內層VLAN Tag VLAN ID。在應用TAP策略時,SVLAN的相關字段使用的是轉發VLAN,導致外層VLAN Tag VLAN ID和外層VLAN Tag 802.1p優先級無法匹配。
TAP策略通過QoS策略實現,部分QoS命令的詳細介紹請參見“ACL和QoS命令參考”中的“QoS”。
TAP配置任務如下:
(1) 開啟全局TAP模式
(2) 定義類
(3) 定義流行為
¡ M:N複製
¡ 報文截斷
(4) 定義TAP策略
(5) 接口入方向上應用TAP策略
配置重定向到監控組時,請先定義監控組。有關監控組的詳細介紹,請參見“網絡管理和監控配置指導”中的“鏡像”。
當設備連接在生產網絡和監控設備之間僅作為TAP使用時,請開啟全局TAP模式。開啟全局TAP模式後,設備將會關閉不必要的報文轉發功能,防止環路和廣播風暴的產生。
配置此功能之後,會導致未知單播風暴抑製功能與組播風暴抑製功能失效。
(1) 進入係統視圖。
system-view
(2) 開啟全局TAP模式。
tap enable
缺省情況下,全局TAP模式處於關閉狀態。
(1) 進入係統視圖。
system-view
(2) 創建一個類,並進入類視圖。
traffic classifier classifier-name [ operator { and | or } ]
(3) 定義匹配數據包的規則。
if-match match-criteria
缺省情況下,未定義匹配數據包的規則。
if-match命令的介紹,請參見“ACL和QoS命令參考”中的“QoS”。
在某些網絡場景中,需要將M個接口流入設備的報文轉發給N個監控設備。此時,需要配置TAP的M:N複製功能。
圖1-3 M:N複製組網模型
通過創建M個TAP類型QoS策略,且每個策略的流行為中均配置重定向到同一個監控組,監控組中配置N個成員接口作為流量出接口,然後將M個策略分別應用到M個接口上,最終實現將M個入接口接收的報文複製給N個出接口。
(1) 進入係統視圖。
system-view
(2) 創建一個流行為,並進入流行為視圖。
traffic behavior behavior-name
(3) 配置重定向到監控組動作。
redirect monitoring-group group-id
缺省情況下,未配置重定向到監控組動作。
在某些網絡場景中,監控設備需要對報文流入設備的具體接口進行區分。此時可通過配置TAP的重新標記報文的VLAN Tag功能實現此目的。設備對不同接口收到的報文標記不同的VLAN Tag後,發送給監控設備,監控設備可以通過VLAN Tag識別報文的入接口。
圖1-4 重新標記報文的VLAN Tag組網模型
(1) 進入係統視圖。
system-view
(2) 創建一個流行為,並進入流行為視圖。
traffic behavior behavior-name
(3) 配置重新標記報文的VLAN Tag動作。請至少選擇其中一項進行配置。
¡ 重新標記報文的CVLAN。
remark customer-vlan-id vlan-id
缺省情況下,未配置重新標記報文的CVLAN。
¡ 重新標記報文的SVLAN。
remark service-vlan-id vlan-id
缺省情況下,未配置重新標記報文的SVLAN。
(4) 配置重定向到監控組動作。
redirect monitoring-group group-id
缺省情況下,未配置重定向到監控組動作。
在某些網絡場景中,監控設備需要接收不攜帶VLAN Tag或攜帶單層VLAN Tag的報文。此時,需要配置TAP的刪除報文的外層VLAN Tag功能。
圖1-5 刪除報文的外層VLAN Tag組網模型
(1) 進入係統視圖。
system-view
(2) 創建一個流行為,並進入流行為視圖。
traffic behavior behavior-name
(3) 配置刪除報文的外層VLAN Tag動作。
strip-header top-most-vlan
缺省情況下,未配置刪除報文的外層VLAN Tag動作。
(4) 配置重定向到監控組動作。
redirect monitoring-group group-id
缺省情況下,未配置重定向到監控組動作。
在某些網絡場景中,設備不同接口接收到的報文可能攜帶各自的CVLAN,監控設備需要接收攜帶統一SVLAN的報文。此時,需要配置TAP的添加報文的外層VLAN Tag功能。
圖1-6 添加報文的外層VLAN Tag組網模型
(1) 進入係統視圖。
system-view
(2) 創建一個流行為,並進入流行為視圖。
traffic behavior behavior-name
(3) 配置添加報文的外層VLAN Tag動作。
nest top-most vlan vlan-id [ dot1p 802.1p ]
缺省情況下,未配置添加報文的外層VLAN Tag動作。
(4) 配置重定向到監控組動作。
redirect monitoring-group group-id
缺省情況下,未配置重定向到監控組動作。
在某些網絡場景中,監控設備需要接收目的地址為自己的報文,或根據源地址信息識別流量入接口。此時,通過配置TAP的重新標記報文的IP/MAC地址功能,可以對報文的源、目的IP地址及源、目的MAC地址進行修改,進而實現需求。
圖1-7 重新標記報文的IP/MAC地址組網模型
(1) 進入係統視圖。
system-view
(2) 創建一個流行為,並進入流行為視圖。
traffic behavior behavior-name
(3) 配置重新標記報文的IP/MAC地址動作。請至少選擇其中一項進行配置。
¡ 重新標記報文的目的IPv4地址。
remark destination-ip ipv4-address
缺省情況下,未配置重新標記報文的目的IPv4地址動作。
¡ 重新標記報文的源IPv4地址。
remark source-ip ipv4-address
缺省情況下,未配置重新標記報文的源IPv4地址動作。
¡ 重新標記報文的目的IPv6地址。
remark destination-ipv6 ipv6-address
缺省情況下,未配置重新標記報文的目的IPv6地址動作。
¡ 重新標記報文的源IPv6地址。
remark source-ipv6 ipv6-address
缺省情況下,未配置重新標記報文的源IPv6地址動作。
¡ 重新標記報文的目的MAC地址。
remark destination-mac mac-address
缺省情況下,未配置重新標記報文的目的MAC地址動作。
¡ 重新標記報文的源MAC地址。
remark source-mac mac-address
缺省情況下,未配置重新標記報文的源MAC地址動作。
(4) 配置重定向到監控組動作。
redirect monitoring-group group-id
缺省情況下,未配置重定向到監控組動作。
在傳統的TAP應用中,主要針對網絡出口設備的流量進行采集與監控,但隨著網絡規模的不斷壯大及越來越高的性能要求,對網絡內部多個節點的流量進行深入監控勢在必行。此時,可以通過配置TAP的添加時間戳及以太網頭功能,實現對網絡內部多個節點流量的時延進行監控的目的。
開啟TAP功能的設備的不同接口分別連接不同的網絡設備,對接口收到的報文新增時間戳及以太網頭,並使用用戶自定義的以太網協議號,再通過重定向到監控組動作轉發給監控設備。如圖1-8所示,Server可以通過ETH Header中的以太網協議號識別此類報文,分析報文攜帶的時間戳T1、T2和T3,計算出網絡時延。
(1) 進入係統視圖。
system-view
(2) 創建一個流行為,並進入流行為視圖。
traffic behavior behavior-name
(3) 配置新增時間戳及以太網頭動作。
timestamp-over-ether destination-mac mac-address source-mac mac-address ethtype-id ethtype-id
缺省情況下,未配置新增時間戳及以太網頭動作。
(4) 配置重定向到監控組動作。
redirect monitoring-group group-id
缺省情況下,未配置重定向到監控組動作。
在某些網絡場景中,為減輕監控設備處理報文的壓力,或避免將報文中的淨載荷信息發送到監控設備。此時,需要開啟TAP的報文截斷功能。
開啟本功能後,設備將對報文執行截斷動作。從二層頭開始對報文進行截斷,截斷後的報文將重新計算CRC,截斷長度為截斷後的報文與CRC的總和。
圖1-9 報文截斷組網模型
被送到SE係列接口板的報文是無法截斷的。
(1) 進入係統視圖。
system-view
(2) 創建一個流行為,並進入流行為視圖。
traffic behavior behavior-name
(3) 開啟報文截斷功能。
truncation enable
缺省情況下,報文截斷功能處於關閉狀態。
(4) 配置重定向到監控組動作。
redirect monitoring-group group-id
缺省情況下,未配置重定向到監控組動作。
(5) 退回係統視圖。
quit
(6) 配置報文截斷長度。
qos truncation length length
缺省情況下,報文截斷長度為128字節。
在某些網絡場景中,監控設備無法解析攜帶GRE/NVGRE/VXLAN頭的報文。此時,需要配置TAP的刪除Tunnel報文頭功能。
通過strip-header命令,刪除Tunnel報文頭到指定的位置。
圖1-10 刪除GRE報文頭示意圖
圖1-11 刪除NVGRE報文頭示意圖
圖1-12 刪除VXLAN報文頭示意圖
圖1-13 刪除Tunnel報文頭組網模型
(1) 進入係統視圖。
system-view
(2) 創建一個流行為,並進入流行為視圖。
traffic behavior behavior-name
(3) 配置刪除Tunnel報文頭動作。
¡ 自定義刪除Tunnel報文頭
strip-header position { l2 | l3 | l4 } [ offset offset-value ]
¡ 刪除GRE報文頭
strip-header gre header-length header-length encap-eth-header destination-mac mac-address source-mac mac-address [ vlan vlan-id [ dot1p dot1p-value ] ] ethtype-id ethtype-id
¡ 刪除NVGRE報文頭
strip-header nvgre
¡ 刪除VXLAN報文頭
strip-header vxlan
缺省情況下,未配置刪除Tunnel報文頭動作。
(4) 配置重定向到監控組動作。
redirect monitoring-group group-id
缺省情況下,未配置重定向到監控組動作。
(1) 進入係統視圖。
system-view
(2) 創建一個TAP策略,並進入TAP策略視圖。
qos tap policy policy-name
(3) 在TAP策略中為類指定采用的流行為。
classifier classifier-name behavior behavior-name
缺省情況下,未指定類對應的流行為。
僅支持在二層以太網接口、三層以太網接口上應用TAP策略。
對於VXLAN過路報文,接口入方向上應用TAP策略無法匹配過路報文的內外層源MAC、內層VLAN Tag VLAN ID和內層VLAN Tag 802.1p優先級。
對於GRE和NVGER報文,接口入方向上應用TAP策略無法匹配過路報文的內外層源MAC、和內層VLAN Tag VLAN ID。
在應用TAP策略時,SVLAN的相關字段使用的是轉發VLAN,導致外層VLAN Tag VLAN ID和外層VLAN Tag 802.1p優先級無法匹配。
接口應用TAP策略後,會影響一些協議報文傳送到CPU,進而影響相關功能,包括:STP、LLDP、DOT1X、LPDT、SMLK、GVRP、PVST、DLDP、DRCP、M-LAG、CDP、EOAM、LACP、ISIS。
(1) 進入接口視圖。
interface interface-type interface-number
(2) 在接口入方向上應用已創建的TAP策略。
qos apply tap policy policy-name inbound [ inner-match ]
缺省情況下,未在接口入方向上應用TAP策略。
在任意視圖下執行display命令可以顯示TAP策略的運行情況,通過查看顯示信息驗證配置的效果。
表1-1 TAP顯示和維護
|
操作 |
命令 |
|
顯示類的配置信息 |
(獨立運行模式) display traffic classifier user-defined [ classifier-name ] [ slot slot-number ] (IRF模式) display traffic classifier user-defined [ classifier-name ] [ chassis chassis-number slot slot-number ] (有關本命令的詳細介紹,請參見“ACL和QoS命令參考”中的“QoS”) |
|
顯示流行為的配置信息 |
(獨立運行模式) display traffic behavior user-defined [ behavior-name ] [ slot slot-number ] (IRF模式) display traffic behavior user-defined [ behavior-name ] [ chassis chassis-number slot slot-number ] (有關本命令的詳細介紹,請參見“ACL和QoS命令參考”中的“QoS”) |
|
顯示監控組的配置信息 |
display monitoring-group { group-id | all } (有關本命令的詳細介紹,請參見“網絡管理和監控命令參考”中的“鏡像”) |
|
顯示TAP策略的配置信息 |
(獨立運行模式) display qos policy user-defined tap [ policy-name [ classifier classifier-name ] ] [ slot slot-number ] (IRF模式) display qos policy user-defined tap [ policy-name [ classifier classifier-name ] ] [ chassis chassis-number slot slot-number ] |
|
顯示接口上TAP策略的配置信息和運行情況 |
(獨立運行模式) display qos tap policy interface [ interface-type interface-number [ inbound ] [ slot slot-number ] (IRF模式) display qos tap policy interface [ interface-type interface-number [ inbound ] [ chassis chassis-number slot slot-number ] |
Device D為TAP設備,現需要將接口Ten-GigabitEthernet3/0/1、Ten-GigabitEthernet3/0/2和Ten-GigabitEthernet3/0/3接收的所有報文均複製成兩份,分別通過接口Ten-GigabitEthernet3/0/4和Ten-GigabitEthernet3/0/5發送給Server A和Server B。
圖1-14 M:N複製組網圖
(1) 開啟TAP全局模式
<DeviceD> system-view
[DeviceD] tap enable
(2) 定義監控組
# 創建監控組1,並配置監控組的成員接口為Ten-GigabitEthernet3/0/4和Ten-GigabitEthernet3/0/5。
[DeviceD] monitoring-group 1
[DeviceD-monitoring-group-1] monitoring-port ten-gigabitethernet 3/0/4 to ten-gigabitethernet 3/0/5
[DeviceD-monitoring-group-1] quit
(3) 定義類
# 定義類classifier_tap,匹配所有數據包。
[DeviceD] traffic classifier classifier_tap
[DeviceD-classifier-classifier_tap] if-match any
[DeviceD-classifier-classifier_tap] quit
(4) 定義流行為
# 定義流行為behavior_tap,動作為重定向到監控組1。
[DeviceD] traffic behavior behavior_tap
[DeviceD-behavior-behavior_tap] redirect monitoring-group 1
[DeviceD-behavior-behavior_tap] quit
(5) 定義策略
# 定義TAP類型策略policy_tap,並為類指定流行為。
[DeviceD] qos tap policy policy_tap
[DeviceD-qospolicy-policy_tap] classifier classifier_tap behavior behavior_tap
[DeviceD-qospolicy-policy_tap] quit
(6) 應用策略
# 將TAP類型策略policy_tap應用到接口Ten-GigabitEthernet3/0/1的入方向上。
[DeviceD] interface ten-gigabitethernet 3/0/1
[DeviceD-Ten-GigabitEthernet3/0/1] qos apply tap policy policy_tap inbound
[DeviceD-Ten-GigabitEthernet3/0/1] quit
# 將TAP類型策略policy_tap應用到接口Ten-GigabitEthernet3/0/2的入方向上。
[DeviceD] interface ten-gigabitethernet 3/0/2
[DeviceD-Ten-GigabitEthernet3/0/2] qos apply tap policy policy_tap inbound
[DeviceD-Ten-GigabitEthernet3/0/2] quit
# 將TAP類型策略policy_tap應用到接口Ten-GigabitEthernet3/0/3的入方向上。
[DeviceD] interface ten-gigabitethernet 3/0/3
[DeviceD-Ten-GigabitEthernet3/0/3] qos apply tap policy policy_tap inbound
[DeviceD-Ten-GigabitEthernet3/0/3] quit
Device B為TAP設備,網絡環境如下:
· Device A發往Device C的流量通過Ten-GigabitEthernet3/0/1進入Device B,並通過Ten-GigabitEthernet3/0/2發往Device C;
· Device C發往Device A的流量通過Ten-GigabitEthernet3/0/2進入Device B,並通過Ten-GigabitEthernet3/0/1發往Device A。
要求通過配置Device B實現如下需求:
· 將Ten-GigabitEthernet3/0/1收到的流量重定向到監控組中的聚合接口,最終發往Device D;
· 將Ten-GigabitEthernet3/0/2收到的流量重定向到監控組中的聚合接口,最終發往Device D;
· Device B的聚合負載分擔類型為逐流負載分擔,按照報文的源、目的IP地址區分流;
· 由於Ten-GigabitEthernet3/0/1和Ten-GigabitEthernet3/0/2接口收到的兩種報文流的源、目的IP是相反的,聚合接口在進行聚合負載分擔時,兩種報文流會經不同成員鏈路發往Device D,所以需要通過配置全局采用的聚合負載分擔HASH算法為1類型,保證兩種報文流經同一條成員鏈路發往Device D。
圖1-15 M:N複製到聚合接口組網圖
(1) 開啟TAP全局模式
<DeviceB> system-view
[DeviceB] tap enable
(2) 定義聚合組
# 創建二層聚合組Bridge-Aggregation 1。
[DeviceB] interface bridge-aggregation 1
[DeviceB-Bridge-Aggregation1] quit
# 將二層以太網接口Ten-GigabitEthernet3/0/3、Ten-GigabitEthernet3/0/4和Ten-GigabitEthernet3/0/5加入聚合組Bridge-Aggregation 1中。
[DeviceB] interface ten-gigabitethernet 3/0/3
[DeviceB-Ten-GigabitEthernet3/0/3] port link-aggregation group 1
[DeviceB-Ten-GigabitEthernet3/0/3] quit
[DeviceB] interface ten-gigabitethernet 3/0/4
[DeviceB-Ten-GigabitEthernet3/0/4] port link-aggregation group 1
[DeviceB-Ten-GigabitEthernet3/0/4] quit
[DeviceB] interface ten-gigabitethernet 3/0/5
[DeviceB-Ten-GigabitEthernet3/0/5] port link-aggregation group 1
[DeviceB-Ten-GigabitEthernet3/0/5] quit
(3) 定義監控組
# 創建監控組1,並配置監控組的成員接口為Bridge-Aggregation 1
[DeviceB] monitoring-group 1
[DeviceB-monitoring-group-1] monitoring-port bridge-aggregation 1
[DeviceB-monitoring-group-1] quit
(4) 定義類
# 定義IPv4高級ACL 3001,並為其創建如下規則:匹配源IP為192.168.1.1、目的IP為192.168.2.1的數據包。
[DeviceB] acl advanced 3001
[DeviceB-acl-ipv4-adv-3001] rule permit ip source 192.168.1.1 0 destination 192.168.2.1 0
[DeviceB-acl-ipv4-adv-3001] quit
# 定義類classifier1,匹配ACL 3001。
[DeviceB] traffic classifier classifier1
[DeviceB-classifier-classifier1] if-match acl 3001
[DeviceB-classifier-classifier1] quit
# 定義IPv4高級ACL 3002,並為其創建如下規則:匹配源IP為192.168.2.1、目的IP為192.168.1.1的數據包。
[DeviceB] acl advanced 3002
[DeviceB-acl-ipv4-adv-3002] rule permit ip source 192.168.2.1 0 destination 192.168.1.1 0
[DeviceB-acl-ipv4-adv-3002] quit
# 定義類classifier2,匹配ACL 3002。
[DeviceB] traffic classifier classifier2
[DeviceB-classifier-classifier2] if-match acl 3002
[DeviceB-classifier-classifier2] quit
(5) 定義流行為
# 定義流行為behavior1,動作為重定向到監控組1。
[DeviceB] traffic behavior behavior1
[DeviceB-behavior-behavior1] redirect monitoring-group 1
[DeviceD-behavior-behavior1] quit
(6) 定義策略
# 定義TAP類型策略policy1,並為類classifier1指定流行為behavior1。
[DeviceB] qos tap policy policy1
[DeviceB-qospolicy-policy1] classifier classifier1 behavior behavior1
[DeviceB-qospolicy-policy1] quit
# 定義TAP類型策略policy2,並為類classifier2指定流行為behavior1。
[DeviceB] qos tap policy policy2
[DeviceB-qospolicy-policy2] classifier classifier2 behavior behavior1
[DeviceB-qospolicy-policy2] quit
(7) 應用策略
# 將TAP類型策略policy1應用到接口Ten-GigabitEthernet3/0/1的入方向上。
[DeviceB] interface ten-gigabitethernet 3/0/1
[DeviceB-Ten-GigabitEthernet3/0/1] qos apply tap policy policy1 inbound
[DeviceB-Ten-GigabitEthernet3/0/1] quit
# 將TAP類型策略policy2應用到接口Ten-GigabitEthernet3/0/2的入方向上。
[DeviceB] interface ten-gigabitethernet 3/0/2
[DeviceB-Ten-GigabitEthernet3/0/2] qos apply tap policy policy2 inbound
[DeviceB-Ten-GigabitEthernet3/0/2] quit
(8) 配置全局采用的聚合負載分擔類型為按報文的源、目的IP地址進行聚合負載分擔。
[DeviceB] link-aggregation global load-sharing mode source-ip destination-ip
(9) 配置聚合全局負載分擔算法為1類型。
[DeviceB] link-aggregation global load-sharing algorithm 1
Device C為TAP設備,現需要通過配置Device C實現如下需求:
· 對接口Ten-GigabitEthernet3/0/1接收的報文重新標記CVLAN為10;
· 對接口Ten-GigabitEthernet3/0/2接收的報文重新標記CVLAN為20;
· 將攜帶CVLAN 為10和20的報文通過接口Ten-GigabitEthernet3/0/3發送給Server,使得Server可以利用VLAN Tag區分報文在Device C上的入接口。
(1) 開啟TAP全局模式
<DeviceC> system-view
[DeviceC] tap enable
(2) 定義監控組
# 創建監控組1,並配置監控組的成員接口為Ten-GigabitEthernet3/0/3。
[DeviceC] monitoring-group 1
[DeviceC-monitoring-group-1] monitoring-port ten-gigabitethernet 3/0/3
[DeviceC-monitoring-group-1] quit
(3) 定義類
# 定義類classifier_tap,匹配所有數據包。
[DeviceC] traffic classifier classifier_tap
[DeviceC-classifier-classifier_tap] if-match any
[DeviceC-classifier-classifier_tap] quit
(4) 定義流行為
# 定義流行為behavior_tap1,並配置兩個動作:重新標記報文的CVLAN為10和重定向到監控組1。
[DeviceC] traffic behavior behavior_tap1
[DeviceC-behavior-behavior_tap1] remark customer-vlan-id 10
[DeviceC-behavior-behavior_tap1] redirect monitoring-group 1
[DeviceC-behavior-behavior_tap1] quit
# 定義流行為behavior_tap2,並配置兩個動作:重新標記報文的CVLAN為20和重定向到監控組1。
[DeviceC] traffic behavior behavior_tap2
[DeviceC-behavior-behavior_tap2] remark customer-vlan-id 20
[DeviceC-behavior-behavior_tap2] redirect monitoring-group 1
[DeviceC-behavior-behavior_tap2] quit
(5) 定義策略
# 定義TAP類型策略policy_tap1,並為類classifier_tap指定流行為behavior_tap1。
[DeviceC] qos tap policy policy_tap1
[DeviceC-qospolicy-policy_tap1] classifier classifier_tap behavior behavior_tap1
[DeviceC-qospolicy-policy_tap1] quit
# 定義TAP類型策略policy_tap2,並為類classifier_tap指定流行為behavior_tap2。
[DeviceC] qos tap policy policy_tap2
[DeviceC-qospolicy-policy_tap2] classifier classifier_tap behavior behavior_tap2
[DeviceC-qospolicy-policy_tap2] quit
(6) 應用策略
# 將TAP類型策略policy_tap1應用到接口Ten-GigabitEthernet3/0/1的入方向上。
[DeviceC] interface ten-gigabitethernet 3/0/1
[DeviceC-Ten-GigabitEthernet3/0/1] qos apply tap policy policy_tap1 inbound
[DeviceC-Ten-GigabitEthernet3/0/1] quit
# 將TAP類型策略policy_tap2應用到接口Ten-GigabitEthernet3/0/2的入方向上。
[DeviceC] interface ten-gigabitethernet 3/0/2
[DeviceC-Ten-GigabitEthernet3/0/2] qos apply tap policy policy_tap2 inbound
[DeviceC-Ten-GigabitEthernet3/0/2] quit
Device C為TAP設備,接口Ten-GigabitEthernet3/0/1和Ten-GigabitEthernet3/0/2接收的報文均攜帶雙層VLAN Tag。
現需要通過配置Device C,刪除接口Ten-GigabitEthernet3/0/1和Ten-GigabitEthernet3/0/2接收報文的外層VLAN Tag,然後將報文通過接口Ten-GigabitEthernet3/0/3發送給Server。
(1) 開啟TAP全局模式
<DeviceC> system-view
[DeviceC] tap enable
(2) 定義監控組
# 創建監控組1,並配置監控組的成員接口為Ten-GigabitEthernet3/0/3。
[DeviceC] monitoring-group 1
[DeviceC-monitoring-group-1] monitoring-port ten-gigabitethernet 3/0/3
[DeviceC-monitoring-group-1] quit
(3) 定義類
# 定義類classifier_tap,匹配所有數據包。
[DeviceC] traffic classifier classifier_tap
[DeviceC-classifier-classifier_tap] if-match any
[DeviceC-classifier-classifier_tap] quit
(4) 定義流行為
# 定義流行為behavior_tap,並配置兩個動作:刪除報文的外層VLAN Tag和重定向到監控組1。
[DeviceC] traffic behavior behavior_tap
[DeviceC-behavior-behavior_tap] strip-header top-most-vlan
[DeviceC-behavior-behavior_tap] redirect monitoring-group 1
[DeviceC-behavior-behavior_tap] quit
(5) 定義策略
# 定義TAP類型策略policy_tap,並為類指定流行為。
[DeviceC] qos tap policy policy_tap
[DeviceC-qospolicy-policy_tap] classifier classifier_tap behavior behavior_tap
[DeviceC-qospolicy-policy_tap] quit
(6) 應用策略
# 將TAP類型策略policy_tap應用到接口Ten-GigabitEthernet3/0/1的入方向上。
[DeviceC] interface ten-gigabitethernet 3/0/1
[DeviceC-Ten-GigabitEthernet3/0/1] qos apply tap policy policy_tap inbound
[DeviceC-Ten-GigabitEthernet3/0/1] quit
# 將TAP類型策略policy_tap應用到接口Ten-GigabitEthernet3/0/2的入方向上。
[DeviceC] interface ten-gigabitethernet 3/0/2
[DeviceC-Ten-GigabitEthernet3/0/2] qos apply tap policy policy_tap inbound
[DeviceC-Ten-GigabitEthernet3/0/2] quit
Device C為TAP設備, 接口Ten-GigabitEthernet3/0/1和Ten-GigabitEthernet3/0/2接收的報文均攜帶單層VLAN Tag。
現需要通過配置Device C,對接口Ten-GigabitEthernet3/0/1和Ten-GigabitEthernet3/0/2接收報文添加外層的VLAN Tag為10,然後將報文通過接口Ten-GigabitEthernet3/0/3發送給Server。
(1) 開啟TAP全局模式
<DeviceC> system-view
[DeviceC] tap enable
(2) 定義監控組
# 創建監控組1,並配置監控組的成員接口為Ten-GigabitEthernet3/0/3。
[DeviceC] monitoring-group 1
[DeviceC-monitoring-group-1] monitoring-port ten-gigabitethernet 3/0/3
[DeviceC-monitoring-group-1] quit
(3) 定義類
# 定義類classifier_tap,匹配所有數據包。
[DeviceC] traffic classifier classifier_tap
[DeviceC-classifier-classifier_tap] if-match any
[DeviceC-classifier-classifier_tap] quit
(4) 定義流行為
# 定義流行為behavior_tap,並配置兩個動作:添加報文的外層VLAN Tag為10和重定向到監控組1。
[DeviceC] traffic behavior behavior_tap
[DeviceC-behavior-behavior_tap] nest top-most vlan 10
[DeviceC-behavior-behavior_tap] redirect monitoring-group 1
[DeviceC-behavior-behavior_tap] quit
(5) 定義策略
# 定義TAP類型策略policy_tap,並為類指定流行為。
[DeviceC] qos tap policy policy_tap
[DeviceC-qospolicy-policy_tap] classifier classifier_tap behavior behavior_tap
[DeviceC-qospolicy-policy_tap] quit
(6) 應用策略
# 將TAP類型策略policy_tap應用到接口Ten-GigabitEthernet3/0/1的入方向上。
[DeviceC] interface ten-gigabitethernet 3/0/1
[DeviceC-Ten-GigabitEthernet3/0/1] qos apply tap policy policy_tap inbound
[DeviceC-Ten-GigabitEthernet3/0/1] quit
# 將TAP類型策略policy_tap應用到接口Ten-GigabitEthernet3/0/2的入方向上。
[DeviceC] interface ten-gigabitethernet 3/0/2
[DeviceC-Ten-GigabitEthernet3/0/2] qos apply tap policy policy_tap inbound
[DeviceC-Ten-GigabitEthernet3/0/2] quit
Device B為TAP設備,現需要通過配置Device B,對接口Ten-GigabitEthernet3/0/1接收報文重新標記其目的MAC地址為Server的MAC地址,然後將報文通過接口Ten-GigabitEthernet3/0/2發送給Server。
圖1-19 重新標記報文的目的MAC地址組網圖
(1) 開啟TAP全局模式
<DeviceB> system-view
[DeviceB] tap enable
(2) 定義監控組
# 創建監控組1,並配置監控組的成員接口為Ten-GigabitEthernet3/0/2。
[DeviceB] monitoring-group 1
[DeviceB-monitoring-group-1] monitoring-port ten-gigabitethernet 3/0/2
[DeviceB-monitoring-group-1] quit
(3) 定義類
# 定義類classifier_tap,匹配所有數據包。
[DeviceB] traffic classifier classifier_tap
[DeviceB-classifier-classifier_tap] if-match any
[DeviceB-classifier-classifier_tap] quit
(4) 定義流行為
# 定義流行為behavior_tap,並配置兩個動作:重新標記報文的目的MAC地址為0050-ba27-bed3和重定向到監控組1。
[DeviceB] traffic behavior behavior_tap
[DeviceB-behavior-behavior_tap] remark destination-mac 0050-ba27-bed3
[DeviceB-behavior-behavior_tap] redirect monitoring-group 1
[DeviceB-behavior-behavior_tap] quit
(5) 定義策略
# 定義TAP類型策略policy_tap,並為類指定流行為。
[DeviceB] qos tap policy policy_tap
[DeviceB-qospolicy-policy_tap] classifier classifier_tap behavior behavior_tap
[DeviceB-qospolicy-policy_tap] quit
(6) 應用策略
# 將TAP類型策略policy_tap應用到接口Ten-GigabitEthernet3/0/1的入方向上。
[DeviceB] interface ten-gigabitethernet 3/0/1
[DeviceB-Ten-GigabitEthernet3/0/1] qos apply tap policy policy_tap inbound
[DeviceB-Ten-GigabitEthernet3/0/1] quit
Device D為TAP設備,現需要通過配置Device D實現如下需求:
· 對接口Ten-GigabitEthernet3/0/1接收的協議為TCP的報文添加目的MAC地址為0050-ba27-bed4,源MAC地址為0050-ba27-bed1,以太網協議號為FF;
· 對接口Ten-GigabitEthernet3/0/2接收的協議為TCP的報文添加目的MAC地址為0050-ba27-bed4,源MAC地址為0050-ba27-bed2,以太網協議號為FF;
· 對接口Ten-GigabitEthernet3/0/3接收的協議為TCP的報文添加目的MAC地址為0050-ba27-bed4,源MAC地址為0050-ba27-bed3,以太網協議號為FF;
· 然後將上述被編輯報文通過接口Ten-GigabitEthernet3/0/4發送給Server。
(1) 開啟TAP全局模式
<DeviceD> system-view
[DeviceD] tap enable
(2) 定義監控組
# 創建監控組1,並配置監控組的成員接口為Ten-GigabitEthernet3/0/4。
[DeviceD] monitoring-group 1
[DeviceD-monitoring-group-1] monitoring-port ten-gigabitethernet 3/0/4
[DeviceD-monitoring-group-1] quit
(3) 定義類
# 創建一個編號為3001的IPv4高級ACL,並定義匹配協議類型為TCP的規則。
[DeviceD] acl advanced 3001
[DeviceD-acl-ipv4-adv-3001] rule permit tcp
[DeviceD-acl-ipv4-adv-3001] quit
# 定義類classifier_tap,匹配IPv4 ACL3001。
[DeviceD] traffic classifier classifier_tap
[DeviceD-classifier-classifier_tap] if-match acl 3001
[DeviceD-classifier-classifier_tap] quit
(4) 定義流行為
# 定義流行為behavior_tap1,並配置兩個動作:添加目的MAC地址為0050-ba27-bed4,源MAC地址為0050-ba27-bed1,以太網協議號為FF;重定向到監控組1。
[DeviceD] traffic behavior behavior_tap1
[DeviceD-behavior-behavior_tap1] timestamp-over-ether destination-mac 0050-ba27-bed4 source-mac 0050-ba27-bed1 ethtype-id ff
[DeviceD-behavior-behavior_tap1] redirect monitoring-group 1
[DeviceD-behavior-behavior_tap1] quit
# 定義流行為behavior_tap2,並配置兩個動作:添加目的MAC地址為0050-ba27-bed4,源MAC地址為0050-ba27-bed2,以太網協議號為FF;重定向到監控組1。
[DeviceD] traffic behavior behavior_tap2
[DeviceD-behavior-behavior_tap2] timestamp-over-ether destination-mac 0050-ba27-bed4 source-mac 0050-ba27-bed2 ethtype-id ff
[DeviceD-behavior-behavior_tap2] redirect monitoring-group 1
[DeviceD-behavior-behavior_tap2] quit
# 定義流行為behavior_tap3,並配置兩個動作:添加目的MAC地址為0050-ba27-bed4,源MAC地址為0050-ba27-bed3,以太網協議號為FF;重定向到監控組1。
[DeviceD] traffic behavior behavior_tap3
[DeviceD-behavior-behavior_tap3] timestamp-over-ether destination-mac 0050-ba27-bed4 source-mac 0050-ba27-bed3 ethtype-id ff
[DeviceD-behavior-behavior_tap3] redirect monitoring-group 1
[DeviceD-behavior-behavior_tap3] quit
(5) 定義策略
# 定義TAP類型策略policy_tap1,並為類classifier_tap指定流行為behavior_tap1。
[DeviceD] qos tap policy policy_tap1
[DeviceD-qospolicy-policy_tap1] classifier classifier_tap behavior behavior_tap1
[DeviceD-qospolicy-policy_tap1] quit
# 定義TAP類型策略policy_tap2,並為類classifier_tap指定流行為behavior_tap2。
[DeviceD] qos tap policy policy_tap2
[DeviceD-qospolicy-policy_tap2] classifier classifier_tap behavior behavior_tap2
[DeviceD-qospolicy-policy_tap2] quit
# 定義TAP類型策略policy_tap3,並為類classifier_tap指定流行為behavior_tap3。
[DeviceD] qos tap policy policy_tap3
[DeviceD-qospolicy-policy_tap3] classifier classifier_tap behavior behavior_tap3
[DeviceD-qospolicy-policy_tap3] quit
(6) 應用策略
# 將TAP類型策略policy_tap1應用到接口Ten-GigabitEthernet3/0/1的入方向上。
[DeviceD] interface ten-gigabitethernet 3/0/1
[DeviceD-Ten-GigabitEthernet3/0/1] qos apply tap policy policy_tap1 inbound
[DeviceD-Ten-GigabitEthernet3/0/1] quit
# 將TAP類型策略policy_tap2應用到接口Ten-GigabitEthernet3/0/2的入方向上。
[DeviceD] interface ten-gigabitethernet 3/0/2
[DeviceD-Ten-GigabitEthernet3/0/2] qos apply tap policy policy_tap2 inbound
[DeviceD-Ten-GigabitEthernet3/0/2] quit
# 將TAP類型策略policy_tap3應用到接口Ten-GigabitEthernet3/0/3的入方向上。
[DeviceD] interface ten-gigabitethernet 3/0/3
[DeviceD-Ten-GigabitEthernet3/0/3] qos apply tap policy policy_tap3 inbound
[DeviceD-Ten-GigabitEthernet3/0/3] quit
Device B為TAP設備,現需要通過配置Device B,對接口Ten-GigabitEthernet3/0/1接收報文進行截斷,將截斷後的報文通過接口Ten-GigabitEthernet3/0/2發送給Server。
(1) 開啟TAP全局模式
<DeviceB> system-view
[DeviceB] tap enable
(2) 定義監控組
# 創建監控組1,並配置監控組的成員接口為Ten-GigabitEthernet3/0/2。
[DeviceB] monitoring-group 1
[DeviceB-monitoring-group-1] monitoring-port ten-gigabitethernet 3/0/2
[DeviceB-monitoring-group-1] quit
(3) 定義類
# 創建一個編號為3001的IPv4高級ACL,並定義匹配協議類型為TCP、源IP地址為10.0.0.1且掩碼為255.255.255.0的規則。
[DeviceB] acl advanced 3001
[DeviceB-acl-ipv4-adv-3001] rule permit tcp source 10.0.0.1 255.255.255.0
[DeviceB-acl-ipv4-adv-3001] quit
# 定義類classifier_tap,匹配IPv4 ACL3001。
[DeviceB] traffic classifier classifier_tap
[DeviceB-classifier-classifier_tap] if-match acl 3001
[DeviceB-classifier-classifier_tap] quit
(4) 定義流行為
# 定義流行為behavior_tap,並配置兩個動作:開啟報文截斷功能和重定向到監控組1。
[DeviceB] traffic behavior behavior_tap
[DeviceB-behavior-behavior_tap] truncation enable
[DeviceB-behavior-behavior_tap] redirect monitoring-group 1
[DeviceB-behavior-behavior_tap] quit
(5) 配置報文截斷
# 配置報文截斷長度為100字節。
[DeviceB] qos truncation length 100
(6) 定義策略
# 定義TAP類型策略policy_tap,並為類指定流行為。
[DeviceB] qos tap policy policy_tap
[DeviceB-qospolicy-policy_tap] classifier classifier_tap behavior behavior_tap
[DeviceB-qospolicy-policy_tap] quit
(7) 應用策略
# 將TAP類型策略policy_tap應用到接口Ten-GigabitEthernet3/0/1的入方向上。
[DeviceB] interface ten-gigabitethernet 3/0/1
[DeviceB-Ten-GigabitEthernet3/0/1] qos apply tap policy policy_tap inbound
[DeviceB-Ten-GigabitEthernet3/0/1] quit
Device B為TAP設備,由於Server不支持解析NVGRE協議報文,現需要在Device B上實現NVGRE報文頭刪除功能。對接口Ten-GigabitEthernet3/0/1接收的NVGRE報文進行NVGRE報文頭刪除,然後將報文通過接口Ten-GigabitEthernet3/0/2發送給Server。
圖1-22 NVGRE報文頭刪除組網圖
(1) 開啟TAP全局模式
<DeviceB> system-view
[DeviceB] tap enable
(2) 定義監控組
# 創建監控組1,並配置監控組的成員接口為Ten-GigabitEthernet3/0/2。
[DeviceB] monitoring-group 1
[DeviceB-monitoring-group-1] monitoring-port ten-gigabitethernet 3/0/2
[DeviceB-monitoring-group-1] quit
(3) 定義類
# 定義類classifier_tap,匹配NVGRE協議且VSID為FFFF28的報文。
[DeviceB] traffic classifier classifier_tap
[DeviceB-classifier-classifier_tap] if-match nvgre-vsid ffff28
[DeviceB-classifier-classifier_tap] quit
(4) 定義流行為
# 定義流行為behavior_tap,並配置兩個動作:刪除Tunnel報文頭到外層四層頭起始位置再向後偏移4字節,即刪除外層二層頭、外層三層頭和NVGRE報文的GRE頭;重定向到監控組1。
[DeviceB] traffic behavior behavior_tap
[DeviceB-behavior-behavior_tap] strip-header position l4 offset 4
[DeviceB-behavior-behavior_tap] redirect monitoring-group 1
[DeviceB-behavior-behavior_tap] quit
(5) 定義策略
# 定義TAP類型策略policy_tap,並為類指定流行為。
[DeviceB] qos tap policy policy_tap
[DeviceB-qospolicy-policy_tap] classifier classifier_tap behavior behavior_tap
[DeviceB-qospolicy-policy_tap] quit
(6) 應用策略
# 將TAP類型策略policy_tap應用到接口Ten-GigabitEthernet3/0/1的入方向上。
[DeviceB] interface ten-gigabitethernet 3/0/1
[DeviceB-Ten-GigabitEthernet3/0/1] qos apply tap policy policy_tap inbound
[DeviceB-Ten-GigabitEthernet3/0/1] quit
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
