• 全部
  • 經驗案例
  • 典型配置
  • 技術公告
  • FAQ
  • 漏洞說明
  • 全部
  • 全部
  • 大數據引擎
  • 知了引擎
產品線
搜索
取消
案例類型
發布者
是否解決
是否官方
時間
搜索引擎
匹配模式
高級搜索

H3C S5130S 端口鏡像

2024-05-08提問
  • 0關注
  • 0收藏,2530瀏覽
粉絲:0人 關注:0人

問題描述:

有一台h3c的ACG要接到H3C S5130S交換機上做旁掛,在交換機上配置端口鏡像,將網絡中的雙向流量鏡像到設備中該怎麼操作

最佳答案

您好,參考配置

6  本地流鏡像典型配置舉例

6.1  組網需求

圖7所示,某公司內部各部門使用不同網段的IP地址,其中研發部使用10.1.1.0/24網段,市場部使用12.1.1.0/24網段,公共服務器群使用14.1.1.0/24網段。現要求通過配置本地流鏡像功能,使用數據監測設備對以下兩種數據進行監控:

·     研發部主機訪問Internet時發送的HTTP流量

·     在工作日的非工作時間段(工作時間段為8:30至18:00),市場部從公共服務器群接收到的報文

圖7 本地流鏡像組網示意圖

 

6.2  配置思路

配置本地流鏡像功能時,首先需要根據報文特點製定需要鏡像報文的分類規則,然後,在設備上對以上分類的報文采用鏡像到指定端口(連接數據監測設備的端口)的動作,即可以實現組網需求。

6.3  配置步驟

(1)     配置Device A的接口IP地址。

# 配置接口Ten-GigabitEthernet1/0/1的IP地址為35.35.35.5。

<DeviceA> system-view

[DeviceA] interface ten-gigabitethernet 1/0/1

[DeviceA-Ten-GigabitEthernet1/0/1] port link-mode route

[DeviceA-Ten-GigabitEthernet1/0/1] ip address 35.35.35.5 24

[DeviceA-Ten-GigabitEthernet1/0/1] quit

# 請參考以上方法配置圖7中其它接口的IP地址,配置步驟這裏省略。

(2)     定義對研發部上網流量進行鏡像的QoS策略

# 創建ACL 3000,匹配研發部的上網流量。

[DeviceA] acl advanced 3000

[DeviceA-acl-ipv4-adv-3000] rule permit tcp destination-port eq 80 source 10.1.1.0 0.0.0.255

[DeviceA-acl-ipv4-adv-3000] quit

# 創建流分類classifier_research,匹配ACL 3000。

[DeviceA] traffic classifier classifier_research

[DeviceA-classifier-classifier_research] if-match acl 3000

[DeviceA-classifier-classifier_research] quit

# 定義流行為behavior_research,動作為鏡像至端口Ten-GigabitEthernet 1/0/2。

[DeviceA] traffic behavior behavior_research

[DeviceA-behavior-behavior_research] mirror-to interface ten-gigabitethernet 1/0/2

[DeviceA-behavior-behavior_research] quit

# 定義策略policy_research,為類classifier_research指定流行為behavior_research。

[DeviceA] qos policy policy_research

[DeviceA-qospolicy-policy_research] classifier classifier_research behavior behavior_research

[DeviceA-qospolicy-policy_research] quit

(3)     定義對市場部主機從公共服務器獲取的數據進行鏡像的QoS策略

# 定義兩個非工作時間段,分別為工作日的0:00至8:30和18:00至24:00,並分別命名為“off-work1”和“off-work2”。

[DeviceA] time-range off-work1 0:00 to 8:30 working-day

[DeviceA] time-range off-work2 18:00 to 24:00 working-day

# 創建ACL 3001,通過兩條規則來匹配公共服務器在非工作時間段發往市場部主機的數據。

[DeviceA] acl advanced 3001

[DeviceA-acl-ipv4-adv-3001] rule permit ip destination 12.1.1.0 0.0.0.255 source 14.1.1.0 0.0.0.255 time-range off-work1

[DeviceA-acl-ipv4-adv-3001] rule permit ip destination 12.1.1.0 0.0.0.255 source 14.1.1.0 0.0.0.255 time-range off-work2

[DeviceA-acl-ipv4-adv-3001] quit

# 創建流分類classifier_market,匹配ACL 3001。

[DeviceA] traffic classifier classifier_market

[DeviceA-classifier-classifier_market] if-match acl 3001

[DeviceA-classifier-classifier_market] quit

# 定義流行為behavior_market,動作為鏡像至端口Ten-GigabitEthernet 1/0/2。

[DeviceA] traffic behavior behavior_market

[DeviceA-behavior-behavior_market] mirror-to interface ten-gigabitethernet 1/0/2

[DeviceA-behavior-behavior_market] quit

# 定義策略policy_market,為類classifier_market指定流行為behavior_market。

[DeviceA] qos policy policy_market

[DeviceA-qospolicy-policy_market] classifier classifier_market behavior behavior_market

[DeviceA-qospolicy-policy_market] quit

(4)     應用QoS策略

# 將policy_research策略應用到Ten-GigabitEthernet1/0/1端口的入方向。

[DeviceA] interface ten-gigabitethernet 1/0/1

[DeviceA-Ten-GigabitEthernet1/0/1] port link-mode route

[DeviceA-Ten-GigabitEthernet1/0/1] qos apply policy policy_research inbound

[DeviceA-Ten-GigabitEthernet1/0/1] quit

# 將policy_market策略應用到Ten-GigabitEthernet1/0/3端口的入方向。

[DeviceA] interface ten-gigabitethernet 1/0/3

[DeviceA-Ten-GigabitEthernet1/0/3] port link-mode route

[DeviceA-Ten-GigabitEthernet1/0/3] qos apply policy policy_market inbound

[DeviceA-Ten-GigabitEthernet1/0/3] quit

6.4  驗證配置

# 在完成上述配置後,在DeviceA上驗證流鏡像的配置信息。

[DeviceA] display qos policy interface

  Interface: Ten-GigabitEthernet1/0/1

  Direction: Inbound

  Policy: policy_research

   Classifier: classifier_research

     Operator: AND

     Rule(s) :

      If-match acl 3000

     Behavior: behavior_research

      Mirroring:

        Mirror to the interface: Ten-GigabitEthernet1/0/2

 

  Interface: Ten-GigabitEthernet1/0/3

  Direction: Inbound

  Policy: policy_market

   Classifier: classifier_market

     Operator: AND

     Rule(s) :

      If-match acl 3001

     Behavior: behavior_market

      Mirroring:

        Mirror to the interface: Ten-GigabitEthernet1/0/2

# 以研發部某台主機10.1.1.2 通過Telnet方式訪問46.46.46.4的80端口為例,進行鏡像測試,數據監測設備的抓包數據如圖8所示。

圖8 HTTP流量的Wireshark抓包數據

 

以上抓包信息表明,數據監測設備可以成功對研發部主機訪問Internet時發送的HTTP流量進行監控。

# 以市場部某台主機12.1.1.2在非工作時段通過ping方式訪問服務器14.1.1.2為例,進行鏡像測試,數據監測設備的抓包數據如圖9所示。

圖9 對服務器的Wireshark抓包數據

 

以上抓包信息表明,在工作日的非工作時間段(工作時間段為8:30至18:00),數據監測設備可以成功對市場部從公共服務器群接收到的報文進行監控。

6.5  配置文件

#

 time-range off-work1 00:00 to 08:30 working-day

 time-range off-work2 18:00 to 24:00 working-day

#

acl advanced 3000

 rule 0 permit tcp source 10.1.1.0 0.0.0.255 destination-port eq www

acl advanced 3001

 rule 0 permit ip source 14.1.1.0 0.0.0.255 destination 12.1.1.0 0.0.0.255 time-range off-work1

 rule 5 permit ip source 14.1.1.0 0.0.0.255 destination 12.1.1.0 0.0.0.255 time-range off-work2

#

traffic classifier classifier_research operator and

 if-match acl 3000

traffic classifier classifier_market operator and

 if-match acl 3001

#

traffic behavior behavior_research

 mirror-to interface Ten-GigabitEthernet1/0/2

traffic behavior behavior_market

 mirror-to interface Ten-GigabitEthernet1/0/2

#

qos policy policy_research

 classifier classifier_research behavior behavior_research

qos policy policy_market

 classifier classifier_market behavior behavior_market

#

interface Ten-GigabitEthernet1/0/1

 port link-mode route

 ip address 35.35.35.5 255.255.255.0

 qos apply policy policy_research inbound

#

interface Ten-GigabitEthernet1/0/3

 port link-mode route

 ip address 56.56.56.5 255.255.255.0

 qos apply policy policy_market inbound

#

2 個回答
粉絲:98人 關注:11人

參考:

華三(H3C)交換機本地端口鏡像配置通常涉及以下步驟: 進入配置模式:首先,你需要通過命令行界麵(CLI)登錄到交換機,並進入係統視圖。這通常是通過輸入system-view命令來完成的。 創建本地鏡像組:在係統視圖中,使用mirroring-group命令來創建一個本地鏡像組。例如,你可以使用mirroring-group 1 local來創建一個名為1的本地鏡像組。 為鏡像組配置源端口:接下來,你需要指定哪些端口將被鏡像。這可以通過使用mirroring-group命令的mirroring-port選項來完成。你需要指定要鏡像的端口以及鏡像的方向(全部流量、入方向流量或出方向流量)。例如,mirroring-group 1 mirroring-port G0/0/1 both將把G0/0/1端口的全部流量鏡像到目標端口。 為鏡像組配置目的端口:最後,你需要指定鏡像流量的目標端口。這可以通過使用mirroring-group命令的monitor-port選項來完成。你需要指定一個用於接收鏡像流量的端口。 請注意,具體的配置步驟可能會因交換機的型號和版本而有所不同。因此,在進行配置之前,建議查閱相關的交換機文檔或手冊以獲取更詳細的指導。 此外,端口鏡像通常用於網絡監控和故障排查。通過將特定端口的流量鏡像到另一個端口,你可以使用網絡分析工具來捕獲和分析這些流量,從而了解網絡中的通信情況並診斷潛在的問題。

zhiliao_sEUyB 發表時間:2024-05-08 更多>>

華三(H3C)交換機本地端口鏡像配置通常涉及以下步驟: 進入配置模式:首先,你需要通過命令行界麵(CLI)登錄到交換機,並進入係統視圖。這通常是通過輸入system-view命令來完成的。 創建本地鏡像組:在係統視圖中,使用mirroring-group命令來創建一個本地鏡像組。例如,你可以使用mirroring-group 1 local來創建一個名為1的本地鏡像組。 為鏡像組配置源端口:接下來,你需要指定哪些端口將被鏡像。這可以通過使用mirroring-group命令的mirroring-port選項來完成。你需要指定要鏡像的端口以及鏡像的方向(全部流量、入方向流量或出方向流量)。例如,mirroring-group 1 mirroring-port G0/0/1 both將把G0/0/1端口的全部流量鏡像到目標端口。 為鏡像組配置目的端口:最後,你需要指定鏡像流量的目標端口。這可以通過使用mirroring-group命令的monitor-port選項來完成。你需要指定一個用於接收鏡像流量的端口。 請注意,具體的配置步驟可能會因交換機的型號和版本而有所不同。因此,在進行配置之前,建議查閱相關的交換機文檔或手冊以獲取更詳細的指導。 此外,端口鏡像通常用於網絡監控和故障排查。通過將特定端口的流量鏡像到另一個端口,你可以使用網絡分析工具來捕獲和分析這些流量,從而了解網絡中的通信情況並診斷潛在的問題。

zhiliao_sEUyB 發表時間:2024-05-08

編輯答案

你正在編輯答案

如果你要對問題或其他回答進行點評或詢問,請使用評論功能。

分享擴散:

提出建議

    +

親~登錄後才可以操作哦!

確定

親~檢測到您登陸的賬號未在http://hclhub.h3c.com進行注冊

注冊後可訪問此模塊

跳轉hclhub

你的郵箱還未認證,請認證郵箱或綁定手機後進行當前操作

舉報

×

侵犯我的權益 >
對根叔社區有害的內容 >
辱罵、歧視、挑釁等(不友善)

侵犯我的權益

×

泄露了我的隱私 >
侵犯了我企業的權益 >
抄襲了我的內容 >
誹謗我 >
辱罵、歧視、挑釁等(不友善)
騷擾我

泄露了我的隱私

×

您好,當您發現根叔知了上有泄漏您隱私的內容時,您可以向根叔知了進行舉報。 請您把以下內容通過郵件發送到pub.zhiliao@h3c.com 郵箱,我們會盡快處理。
  • 1. 您認為哪些內容泄露了您的隱私?(請在郵件中列出您舉報的內容、鏈接地址,並給出簡短的說明)
  • 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)

侵犯了我企業的權益

×

您好,當您發現根叔知了上有關於您企業的造謠與誹謗、商業侵權等內容時,您可以向根叔知了進行舉報。 請您把以下內容通過郵件發送到 pub.zhiliao@h3c.com 郵箱,我們會在審核後盡快給您答複。
  • 1. 您舉報的內容是什麼?(請在郵件中列出您舉報的內容和鏈接地址)
  • 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)
  • 3. 是哪家企業?(營業執照,單位登記證明等證件)
  • 4. 您與該企業的關係是?(您是企業法人或被授權人,需提供企業委托授權書)
我們認為知名企業應該坦然接受公眾討論,對於答案中不準確的部分,我們歡迎您以正式或非正式身份在根叔知了上進行澄清。

抄襲了我的內容

×

原文鏈接或出處

誹謗我

×

您好,當您發現根叔知了上有誹謗您的內容時,您可以向根叔知了進行舉報。 請您把以下內容通過郵件發送到pub.zhiliao@h3c.com 郵箱,我們會盡快處理。
  • 1. 您舉報的內容以及侵犯了您什麼權益?(請在郵件中列出您舉報的內容、鏈接地址,並給出簡短的說明)
  • 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)
我們認為知名企業應該坦然接受公眾討論,對於答案中不準確的部分,我們歡迎您以正式或非正式身份在根叔知了上進行澄清。

對根叔社區有害的內容

×

垃圾廣告信息
色情、暴力、血腥等違反法律法規的內容
政治敏感
不規範轉載 >
辱罵、歧視、挑釁等(不友善)
騷擾我
誘導投票

不規範轉載

×

舉報說明