問題描述:
有一台h3c的ACG要接到H3C S5130S交換機上做旁掛,在交換機上配置端口鏡像,將網絡中的雙向流量鏡像到設備中該怎麼操作
- 2024-05-08提問
- 舉報
-
(0)
最佳答案
您好,參考配置
6 本地流鏡像典型配置舉例
6.1 組網需求
如圖7所示,某公司內部各部門使用不同網段的IP地址,其中研發部使用10.1.1.0/24網段,市場部使用12.1.1.0/24網段,公共服務器群使用14.1.1.0/24網段。現要求通過配置本地流鏡像功能,使用數據監測設備對以下兩種數據進行監控:
· 研發部主機訪問Internet時發送的HTTP流量
· 在工作日的非工作時間段(工作時間段為8:30至18:00),市場部從公共服務器群接收到的報文
6.2 配置思路
配置本地流鏡像功能時,首先需要根據報文特點製定需要鏡像報文的分類規則,然後,在設備上對以上分類的報文采用鏡像到指定端口(連接數據監測設備的端口)的動作,即可以實現組網需求。
6.3 配置步驟
(1) 配置Device A的接口IP地址。
# 配置接口Ten-GigabitEthernet1/0/1的IP地址為35.35.35.5。
<DeviceA> system-view
[DeviceA] interface ten-gigabitethernet 1/0/1
[DeviceA-Ten-GigabitEthernet1/0/1] port link-mode route
[DeviceA-Ten-GigabitEthernet1/0/1] ip address 35.35.35.5 24
[DeviceA-Ten-GigabitEthernet1/0/1] quit
# 請參考以上方法配置圖7中其它接口的IP地址,配置步驟這裏省略。
(2) 定義對研發部上網流量進行鏡像的QoS策略
# 創建ACL 3000,匹配研發部的上網流量。
[DeviceA] acl advanced 3000
[DeviceA-acl-ipv4-adv-3000] rule permit tcp destination-port eq 80 source 10.1.1.0 0.0.0.255
[DeviceA-acl-ipv4-adv-3000] quit
# 創建流分類classifier_research,匹配ACL 3000。
[DeviceA] traffic classifier classifier_research
[DeviceA-classifier-classifier_research] if-match acl 3000
[DeviceA-classifier-classifier_research] quit
# 定義流行為behavior_research,動作為鏡像至端口Ten-GigabitEthernet 1/0/2。
[DeviceA] traffic behavior behavior_research
[DeviceA-behavior-behavior_research] mirror-to interface ten-gigabitethernet 1/0/2
[DeviceA-behavior-behavior_research] quit
# 定義策略policy_research,為類classifier_research指定流行為behavior_research。
[DeviceA] qos policy policy_research
[DeviceA-qospolicy-policy_research] classifier classifier_research behavior behavior_research
[DeviceA-qospolicy-policy_research] quit
(3) 定義對市場部主機從公共服務器獲取的數據進行鏡像的QoS策略
# 定義兩個非工作時間段,分別為工作日的0:00至8:30和18:00至24:00,並分別命名為“off-work1”和“off-work2”。
[DeviceA] time-range off-work1 0:00 to 8:30 working-day
[DeviceA] time-range off-work2 18:00 to 24:00 working-day
# 創建ACL 3001,通過兩條規則來匹配公共服務器在非工作時間段發往市場部主機的數據。
[DeviceA] acl advanced 3001
[DeviceA-acl-ipv4-adv-3001] rule permit ip destination 12.1.1.0 0.0.0.255 source 14.1.1.0 0.0.0.255 time-range off-work1
[DeviceA-acl-ipv4-adv-3001] rule permit ip destination 12.1.1.0 0.0.0.255 source 14.1.1.0 0.0.0.255 time-range off-work2
[DeviceA-acl-ipv4-adv-3001] quit
# 創建流分類classifier_market,匹配ACL 3001。
[DeviceA] traffic classifier classifier_market
[DeviceA-classifier-classifier_market] if-match acl 3001
[DeviceA-classifier-classifier_market] quit
# 定義流行為behavior_market,動作為鏡像至端口Ten-GigabitEthernet 1/0/2。
[DeviceA] traffic behavior behavior_market
[DeviceA-behavior-behavior_market] mirror-to interface ten-gigabitethernet 1/0/2
[DeviceA-behavior-behavior_market] quit
# 定義策略policy_market,為類classifier_market指定流行為behavior_market。
[DeviceA] qos policy policy_market
[DeviceA-qospolicy-policy_market] classifier classifier_market behavior behavior_market
[DeviceA-qospolicy-policy_market] quit
(4) 應用QoS策略
# 將policy_research策略應用到Ten-GigabitEthernet1/0/1端口的入方向。
[DeviceA] interface ten-gigabitethernet 1/0/1
[DeviceA-Ten-GigabitEthernet1/0/1] port link-mode route
[DeviceA-Ten-GigabitEthernet1/0/1] qos apply policy policy_research inbound
[DeviceA-Ten-GigabitEthernet1/0/1] quit
# 將policy_market策略應用到Ten-GigabitEthernet1/0/3端口的入方向。
[DeviceA] interface ten-gigabitethernet 1/0/3
[DeviceA-Ten-GigabitEthernet1/0/3] port link-mode route
[DeviceA-Ten-GigabitEthernet1/0/3] qos apply policy policy_market inbound
[DeviceA-Ten-GigabitEthernet1/0/3] quit
6.4 驗證配置
# 在完成上述配置後,在DeviceA上驗證流鏡像的配置信息。
[DeviceA] display qos policy interface
Interface: Ten-GigabitEthernet1/0/1
Direction: Inbound
Policy: policy_research
Classifier: classifier_research
Operator: AND
Rule(s) :
If-match acl 3000
Behavior: behavior_research
Mirroring:
Mirror to the interface: Ten-GigabitEthernet1/0/2
Interface: Ten-GigabitEthernet1/0/3
Direction: Inbound
Policy: policy_market
Classifier: classifier_market
Operator: AND
Rule(s) :
If-match acl 3001
Behavior: behavior_market
Mirroring:
Mirror to the interface: Ten-GigabitEthernet1/0/2
# 以研發部某台主機10.1.1.2 通過Telnet方式訪問46.46.46.4的80端口為例,進行鏡像測試,數據監測設備的抓包數據如圖8所示。
圖8 HTTP流量的Wireshark抓包數據
以上抓包信息表明,數據監測設備可以成功對研發部主機訪問Internet時發送的HTTP流量進行監控。
# 以市場部某台主機12.1.1.2在非工作時段通過ping方式訪問服務器14.1.1.2為例,進行鏡像測試,數據監測設備的抓包數據如圖9所示。
以上抓包信息表明,在工作日的非工作時間段(工作時間段為8:30至18:00),數據監測設備可以成功對市場部從公共服務器群接收到的報文進行監控。
6.5 配置文件
#
time-range off-work1 00:00 to 08:30 working-day
time-range off-work2 18:00 to 24:00 working-day
#
acl advanced 3000
rule 0 permit tcp source 10.1.1.0 0.0.0.255 destination-port eq www
acl advanced 3001
rule 0 permit ip source 14.1.1.0 0.0.0.255 destination 12.1.1.0 0.0.0.255 time-range off-work1
rule 5 permit ip source 14.1.1.0 0.0.0.255 destination 12.1.1.0 0.0.0.255 time-range off-work2
#
traffic classifier classifier_research operator and
if-match acl 3000
traffic classifier classifier_market operator and
if-match acl 3001
#
traffic behavior behavior_research
mirror-to interface Ten-GigabitEthernet1/0/2
traffic behavior behavior_market
mirror-to interface Ten-GigabitEthernet1/0/2
#
qos policy policy_research
classifier classifier_research behavior behavior_research
qos policy policy_market
classifier classifier_market behavior behavior_market
#
interface Ten-GigabitEthernet1/0/1
port link-mode route
ip address 35.35.35.5 255.255.255.0
qos apply policy policy_research inbound
#
interface Ten-GigabitEthernet1/0/3
port link-mode route
ip address 56.56.56.5 255.255.255.0
qos apply policy policy_market inbound
#
- 2024-05-08回答
- 評論(0)
- 舉報
-
(0)
參考:
- 2024-05-08回答
- 評論(1)
- 舉報
-
(0)
華三(H3C)交換機本地端口鏡像配置通常涉及以下步驟: 進入配置模式:首先,你需要通過命令行界麵(CLI)登錄到交換機,並進入係統視圖。這通常是通過輸入system-view命令來完成的。 創建本地鏡像組:在係統視圖中,使用mirroring-group命令來創建一個本地鏡像組。例如,你可以使用mirroring-group 1 local來創建一個名為1的本地鏡像組。 為鏡像組配置源端口:接下來,你需要指定哪些端口將被鏡像。這可以通過使用mirroring-group命令的mirroring-port選項來完成。你需要指定要鏡像的端口以及鏡像的方向(全部流量、入方向流量或出方向流量)。例如,mirroring-group 1 mirroring-port G0/0/1 both將把G0/0/1端口的全部流量鏡像到目標端口。 為鏡像組配置目的端口:最後,你需要指定鏡像流量的目標端口。這可以通過使用mirroring-group命令的monitor-port選項來完成。你需要指定一個用於接收鏡像流量的端口。 請注意,具體的配置步驟可能會因交換機的型號和版本而有所不同。因此,在進行配置之前,建議查閱相關的交換機文檔或手冊以獲取更詳細的指導。 此外,端口鏡像通常用於網絡監控和故障排查。通過將特定端口的流量鏡像到另一個端口,你可以使用網絡分析工具來捕獲和分析這些流量,從而了解網絡中的通信情況並診斷潛在的問題。
華三(H3C)交換機本地端口鏡像配置通常涉及以下步驟: 進入配置模式:首先,你需要通過命令行界麵(CLI)登錄到交換機,並進入係統視圖。這通常是通過輸入system-view命令來完成的。 創建本地鏡像組:在係統視圖中,使用mirroring-group命令來創建一個本地鏡像組。例如,你可以使用mirroring-group 1 local來創建一個名為1的本地鏡像組。 為鏡像組配置源端口:接下來,你需要指定哪些端口將被鏡像。這可以通過使用mirroring-group命令的mirroring-port選項來完成。你需要指定要鏡像的端口以及鏡像的方向(全部流量、入方向流量或出方向流量)。例如,mirroring-group 1 mirroring-port G0/0/1 both將把G0/0/1端口的全部流量鏡像到目標端口。 為鏡像組配置目的端口:最後,你需要指定鏡像流量的目標端口。這可以通過使用mirroring-group命令的monitor-port選項來完成。你需要指定一個用於接收鏡像流量的端口。 請注意,具體的配置步驟可能會因交換機的型號和版本而有所不同。因此,在進行配置之前,建議查閱相關的交換機文檔或手冊以獲取更詳細的指導。 此外,端口鏡像通常用於網絡監控和故障排查。通過將特定端口的流量鏡像到另一個端口,你可以使用網絡分析工具來捕獲和分析這些流量,從而了解網絡中的通信情況並診斷潛在的問題。
編輯答案
親~登錄後才可以操作哦!
確定你的郵箱還未認證,請認證郵箱或綁定手機後進行當前操作
舉報
×
侵犯我的權益
×
侵犯了我企業的權益
×
- 1. 您舉報的內容是什麼?(請在郵件中列出您舉報的內容和鏈接地址)
- 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)
- 3. 是哪家企業?(營業執照,單位登記證明等證件)
- 4. 您與該企業的關係是?(您是企業法人或被授權人,需提供企業委托授權書)
抄襲了我的內容
×
原文鏈接或出處
誹謗我
×
- 1. 您舉報的內容以及侵犯了您什麼權益?(請在郵件中列出您舉報的內容、鏈接地址,並給出簡短的說明)
- 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)
對根叔社區有害的內容
×
不規範轉載
×
舉報說明