1、配置流镜像
镜像操作是将特定设备端口VLAN中的收发特定种类数据包克隆到监控端口,监控设备仅针对这些指定类型的数据包实施监视。配置方法包含两种,分别是根据访问控制列表实施和基于多队列分类策略实施。
ACL技术实现的流复制功能,适用范围狭窄,仅限于对进入网络的数据包进行监控,无法处理传出流量。
设置监控通道,设置与监控装置直接连接的本地监控通道GE1/0/10
脚本:
system-view
观察端口一,其接口为千兆以太网1/0/10
设立访问控制列表,设立第二层访问控制列表,设定规则用以识别802.1p优先级值为6的数据包。
脚本:
acl 4002
rule permit 8021p 6
quit
(3)配置流镜像。
将全部端口接收的802.1p优先级为6的数据包转存至监控端口GE1/0/10,所有通道均需处理,优先级标记为六,目标端口是GE1/0/10。
脚本:
流量镜像输入访问控制列表4002用于监视端口1
将属于VLAN 20的那些端口收到的优先级标记为6的802.1p数据包,需要转发到监控端口GE1/0/10上。
脚本:
网络镜像是针对VLAN 10的入站流量进行监控的,访问控制列表编号为4002,目标端口是观察端口1
将端口GE2/0/10收到的802.1p优先级为6的数据包转存至端口GE1/0/10进行监测。
脚本:
网络接口千兆以太网2/0/10配置完成
traffic-mirror inbound acl 4002 to observe-port 1
MQC流镜像功能,能够匹配多种报文种类,同时兼容入向和出向的数据流,均可实施镜像操作。
设置监控通道,设定与监控装置直接连接的本地监控通道GE1/0/10。
脚本:
system-view
observe-port 1 端口千兆以太网1/0/10配置界面
建立一个新的流标记,命名为c1,设定其规则用以筛选出802.1p优先级值为6的数据包。
脚本:
traffic classifier c1
if-match 8021p 6
quit
建立一种模式,该模式涉及动作的对称复制,设立一种行为模式b1,并设定其操作为复制动作。
脚本:
traffic behavior b1
mirroring to observe-port 1
quit
建立流规,将流类和流规动作关联到流规上,建立流规p1,将先前设定的流类和流规动作关联到流规p1上。
脚本:
traffic policy p1
classifier c1 behavior b1
quit
(5)应用流策略。
将整个设备所有端口入方向802.1p优先级为6的报文复制到观察端口GE1/0/10。
脚本:
交通管理规则第一条 全局范围 入境方向
将vlan 20下所有端口入方向802.1p优先级为6的报文复制到观察端口GE1/0/10。
脚本:
vlan 20
traffic-policy p1 inbound
将端口GE2/0/10入方向802.1p优先级为6的报文复制到观察端口GE1/0/10。
脚本:
interface gigabitethernet 2/0/10
traffic-policy p1 inbound
2、删除镜像配置
在使用完镜像功能后,删除镜像配置的操作如下:
通过下达指令 display current-configuration,可以检视设备此刻的映像设定。
在镜像通道中取消端口镜像设置,解除监测端口和镜像端口之间的关联,使镜像通道转变为常规端口。
举例:
system-view
interface gigabitethernet 1/0/10
撤销端口镜像功能,以便监测端口一的数据输入
quit
在系统界面执行指令去掉监测端口,移除监控通道。
举例:
undo observe-port 1
必须先解除监控端口和复制端口的关联,然后才能移除监控端口。
