各类流量&端口镜像_配置
文章目录
-
- 配置本地端口镜像(1:1)
- 配置本地端口镜像(1:N,配置单个观察端口)
- 配置本地端口镜像(1:N,配置观察端口组)
- 配置本地端口镜像(N:1)
- 配置本地端口镜像(M:N)
- 配置二层远程端口镜像
- 配置基于MQC的本地流镜像
- 配置基于MQC的二层远程流镜像
- 配置基于ACL的本地流镜像
- 配置基于ACL的二层远程流镜像
- 配置本地VLAN镜像
- 配置本地MAC镜像
配置本地端口镜像(1:1)
组网需求
如图所示,某公司行政部通过Switch与外部Internet通信,监控设备Server与Switch直连。
现在希望通过Server对行政部访问Internet的流量进行监控。
配置思路:
在Switch进行如下配置,实现Server对所有行政部访问Internet的流量进行监控:
1.配置接口GE0/0/2为本地观察端口,负责向Server转发镜像报文。
2.配置接口GE0/0/1为镜像端口,将行政部访问Internet的流量复制一份到本地观察端口。
操作步骤
1、配置观察端口
#在Switch上配置接口GE0/0/2为本地观察端口。
<HUAWEI> system-view
[HUAWEI] sysname Switch
[Switch] observe-port 1 interface gigabitethernet 0/0/2
#配置观察端口不再转发数据报文。该配置是可选推荐配置,配置后可使观察端口专门用于镜像报文的转发,防止镜像报文与其他业务的数据报文在观察端口上同时转发互相影响。当观察端口有其他VLAN转发报文时,不能配置该命令。
[Switch] observe-port 1 forwarding disable
2、配置镜像端口
#在Switch上配置接口GE0/0/1为镜像端口,将其入方向绑定到本地观察端口,即将镜像端口接收到的报文复制一份到本地观察端口。
[Switch] interface gigabitethernet 0/0/1
[Switch-GigabitEthernet0/0/1] port-mirroring to observe-port 1 inbound
[Switch-GigabitEthernet0/0/1] return
3、验证配置结果
#查看观察端口的配置情况。
<Switch> display observe-port
----------------------------------------------------------------------
Index : 1
Untag-packet : No
Forwarding : No
Interface : GigabitEthernet0/0/2
----------------------------------------------------------------------
#查看镜像端口的配置情况。
<Switch> display port-mirroring
----------------------------------------------------------------------
Observe-port 1 : GigabitEthernet0/0/2
----------------------------------------------------------------------
Port-mirror:
----------------------------------------------------------------------
Mirror-port Direction Observe-port
----------------------------------------------------------------------
1 GigabitEthernet0/0/1 Inbound Observe-port 1
配置本地端口镜像(1:N,配置单个观察端口)
组网需求
如图所示,某公司研发部通过Switch与外部Internet通信,监控设备Server1、Server2、Server3与Switch直连。
现在希望将研发部访问Internet的流量镜像到不同Server上,对流量进行不同的监控分析。
配置思路
在Switch进行如下配置,实现不同Server对研发部访问Internet的流量进行监控:
配置接口GE0/0/2~GE0/0/4为本地观察端口,负责向不同Server转发镜像报文。
配置接口GE0/0/1为镜像端口,将经过镜像端口的流量复制到不同的本地观察端口。
操作步骤
1、配置观察端口
#在Switch上使用单个配置的方式,配置接口GE0/0/2~GE0/0/4为本地观察端口。
<HUAWEI> system-view
[HUAWEI] sysname Switch
[Switch] observe-port 1 interface gigabitethernet 0/0/2
[Switch] observe-port 2 interface gigabitethernet 0/0/3
[Switch] observe-port 3 interface gigabitethernet 0/0/4
#配置观察端口不再转发数据报文。该配置是可选推荐配置,配置后可使观察端口专门用于镜像报文的转发,防止镜像报文与其他业务的数据报文在观察端口上同时转发互相影响。当观察端口有其他VLAN转发报文时,不能配置该命令。
[Switch] observe-port 1 forwarding disable
[Switch] observe-port 2 forwarding disable
[Switch] observe-port 3 forwarding disable
2、配置镜像端口
#在Switch上配置接口GE0/0/1为镜像端口,将其入方向绑定到不同的本地观察端口,即将镜像端口接收到的报文复制到本地观察端口上。
1:N镜像中N的规格是有限的,详细情况请参见1:N镜像规格。
[Switch] interface gigabitethernet 0/0/1
[Switch-GigabitEthernet0/0/1] port-mirroring to observe-port 1 inbound
[Switch-GigabitEthernet0/0/1] port-mirroring to observe-port 2 inbound
[Switch-GigabitEthernet0/0/1] port-mirroring to observe-port 3 inbound
[Switch-GigabitEthernet0/0/1] return
3、验证配置结果
#查看观察端口的配置情况。
<Switch> display observe-port
----------------------------------------------------------------------
Index : 1
Untag-packet : No
Forwarding : No
Interface : GigabitEthernet0/0/2
----------------------------------------------------------------------
Index : 2
Untag-packet : No
Forwarding : No
Interface : GigabitEthernet0/0/3
----------------------------------------------------------------------
Index : 3
Untag-packet : No
Forwarding : No
Interface : GigabitEthernet0/0/4
----------------------------------------------------------------------
#查看镜像端口的配置情况。
<Switch> display port-mirroring
----------------------------------------------------------------------
Observe-port 1 : GigabitEthernet0/0/2
Observe-port 2 : GigabitEthernet0/0/3
Observe-port 3 : GigabitEthernet0/0/4
----------------------------------------------------------------------
Port-mirror:
----------------------------------------------------------------------
Mirror-port Direction Observe-port
----------------------------------------------------------------------
1 GigabitEthernet0/0/1 Inbound Observe-port 1
2 GigabitEthernet0/0/1 Inbound Observe-port 2
3 GigabitEthernet0/0/1 Inbound Observe-port 3
----------------------------------------------------------------------
配置本地端口镜像(1:N,配置观察端口组)
组网需求
如图所示,某公司研发部通过Switch与外部Internet通信,监控设备Server1、Server2、Server3与Switch直连。
现在希望将研发部访问Internet的流量镜像到不同Server上,对流量进行不同的监控分析。
配置思路
在Switch进行如下配置,实现不同Server对研发部访问Internet的流量进行监控:
配置接口GE0/0/2~GE0/0/4为本地观察端口,负责向不同Server转发镜像报文。
配置接口GE0/0/1为镜像端口,将经过镜像端口的流量复制到不同的本地观察端口。
操作步骤
1、配置观察端口
#在Switch上使用观察端口组的配置方式,配置接口GE0/0/2~GE0/0/4为本地观察端口。
<HUAWEI> system-view
[HUAWEI] sysname Switch
[Switch] observe-port 1 interface-range gigabitethernet 0/0/2 to gigabitethernet 0/0/4
#配置观察端口不再转发数据报文。该配置是可选推荐配置,配置后可使观察端口专门用于镜像报文的转发,防止镜像报文与其他业务的数据报文在观察端口上同时转发互相影响。当观察端口有其他VLAN转发报文时,不能配置该命令。
[Switch] observe-port 1 forwarding disable
2、配置镜像端口
#在Switch上配置接口GE0/0/1为镜像端口,将其入方向绑定到不同的本地观察端口,即将镜像端口接收到的报文复制到本地观察端口上。
[Switch] interface gigabitethernet 0/0/1
[Switch-GigabitEthernet0/0/1] port-mirroring to observe-port 1 inbound
[Switch-GigabitEthernet0/0/1] return
3、验证配置结果
#查看观察端口的配置情况。
<Switch> display observe-port
----------------------------------------------------------------------
Index : 1
Untag-packet : No
Forwarding : No
Interface-range: GigabitEthernet0/0/2 to GigabitEthernet0/0/4
----------------------------------------------------------------------
#查看镜像端口的配置情况。
<Switch> display port-mirroring
----------------------------------------------------------------------
Observe-port 1 : GigabitEthernet0/0/2 to GigabitEthernet0/0/4
----------------------------------------------------------------------
Port-mirror:
----------------------------------------------------------------------
Mirror-port Direction Observe-port
----------------------------------------------------------------------
1 GigabitEthernet0/0/1 Inbound Observe-port 1
----------------------------------------------------------------------
配置本地端口镜像(N:1)
组网需求
如图所示,某公司科技一部、科技二部、行政部通过Switch与外部Internet通信,监控设备Server与Switch直连。
现在希望通过Server对这三个部门访问Internet的流量进行监控。
配置思路
在Switch进行如下配置,实现Server对所有部门访问Internet的流量进行监控:
配置接口GE0/0/4为本地观察端口,负责向Server转发镜像报文。
配置接口GE0/0/1~GE0/0/3为镜像端口,将所有部门访问Internet的流量复制一份到本地观察端口。
操作步骤
1、配置观察端口
#在Switch上配置接口GE0/0/4为本地观察端口。
<HUAWEI> system-view
[HUAWEI] sysname Switch
[Switch] observe-port 1 interface gigabitethernet 0/0/4
#配置观察端口不再转发数据报文。该配置是可选推荐配置,配置后可使观察端口专门用于镜像报文的转发,防止镜像报文与其他业务的数据报文在观察端口上同时转发互相影响。当观察端口有其他VLAN转发报文时,不能配置该命令。
[Switch] observe-port 1 forwarding disable
2、配置镜像端口
#在Switch上配置接口GE0/0/1~GE0/0/3为镜像端口,将其入方向绑定到本地观察端口,即将镜像端口接收到的报文复制一份到本地观察端口。
[Switch] interface gigabitethernet 0/0/1
[Switch-GigabitEthernet0/0/1] port-mirroring to observe-port 1 inbound
[Switch-GigabitEthernet0/0/1] quit
[Switch] interface gigabitethernet 0/0/2
[Switch-GigabitEthernet0/0/2] port-mirroring to observe-port 1 inbound
[Switch-GigabitEthernet0/0/2] quit
[Switch] interface gigabitethernet 0/0/3
[Switch-GigabitEthernet0/0/3] port-mirroring to observe-port 1 inbound
[Switch-GigabitEthernet0/0/3] return
3、验证配置结果
#查看观察端口的配置情况。
<Switch> display observe-port
----------------------------------------------------------------------
Index : 1
Untag-packet : No
Forwarding : No
Interface : GigabitEthernet0/0/4
----------------------------------------------------------------------
#查看镜像端口的配置情况。
<Switch> display port-mirroring
----------------------------------------------------------------------
Observe-port 1 : GigabitEthernet0/0/4
----------------------------------------------------------------------
Port-mirror:
----------------------------------------------------------------------
Mirror-port Direction Observe-port
----------------------------------------------------------------------
1 GigabitEthernet0/0/1 Inbound Observe-port 1
2 GigabitEthernet0/0/2 Inbound Observe-port 1
3 GigabitEthernet0/0/3 Inbound Observe-port 1
----------------------------------------------------------------------
配置本地端口镜像(M:N)
组网需求
如图所示,某公司研发一部、研发二部和市场部通过Switch与外部Internet通信,监控设备Server1、Server2与Switch直连。
现在希望将研发一部、研发二部和市场部访问Internet的流量镜像到不同Server上,对流量进行不同的监控分析。
配置思路
在Switch进行如下配置,实现不同Server对研发一部、研发二部和市场部访问Internet的流量进行监控:
配置接口GE0/0/4~GE0/0/5为本地观察端口,负责向不同Server转发镜像报文。
配置接口GE0/0/1~GE0/0/3为镜像端口,将经过镜像端口的流量复制到不同的本地观察端口。
操作步骤
1、配置观察端口
#在Switch上使用批量配置的方式,配置接口GE0/0/4~GE0/0/5为本地观察端口。
<HUAWEI> system-view
[HUAWEI] sysname Switch
[Switch] observe-port 1 interface-range gigabitethernet 0/0/4 gigabitethernet 0/0/5
#配置观察端口不再转发数据报文。该配置是可选推荐配置,配置后可使观察端口专门用于镜像报文的转发,防止镜像报文与其他业务的数据报文在观察端口上同时转发互相影响。当观察端口有其他VLAN转发报文时,不能配置该命令。
[Switch] observe-port 1 forwarding disable
2、配置镜像端口
#在Switch上配置接口GE0/0/1~GE0/0/3为镜像端口,将其入方向绑定到不同的本地观察端口,即将镜像端口接收到的报文复制到本地观察端口上。
注意:M:N镜像中N的规格是有限的
[Switch] interface gigabitethernet 0/0/1
[Switch-GigabitEthernet0/0/1] port-mirroring to observe-port 1 inbound
[Switch-GigabitEthernet0/0/1] quit
[Switch] interface gigabitethernet 0/0/2
[Switch-GigabitEthernet0/0/2] port-mirroring to observe-port 1 inbound
[Switch-GigabitEthernet0/0/2] quit
[Switch] interface gigabitethernet 0/0/3
[Switch-GigabitEthernet0/0/3] port-mirroring to observe-port 1 inbound
[Switch-GigabitEthernet0/0/3] return
3、验证配置结果
#查看观察端口的配置情况。
<Switch> display observe-port
----------------------------------------------------------------------
Index : 1
Untag-packet : No
Forwarding : No
Interface-range: GigabitEthernet0/0/4 to GigabitEthernet0/0/5
----------------------------------------------------------------------
#查看镜像端口的配置情况。
<Switch> display port-mirroring
----------------------------------------------------------------------
Observe-port 1 : GigabitEthernet0/0/4 to GigabitEthernet0/0/5
----------------------------------------------------------------------
Port-mirror:
----------------------------------------------------------------------
Mirror-port Direction Observe-port
----------------------------------------------------------------------
1 GigabitEthernet0/0/1 Inbound Observe-port 1
2 GigabitEthernet0/0/2 Inbound Observe-port 1
3 GigabitEthernet0/0/3 Inbound Observe-port 1
----------------------------------------------------------------------
配置二层远程端口镜像
组网需求
如图所示,某公司行政部通过Switch与外部Internet通信,监控设备Server与Switch直连。
现在希望通过Server对行政部访问Internet的流量进行监控。
配置思路
在Switch进行如下配置,实现Server对所有行政部访问Internet的流量进行监控:
配置接口GE0/0/2为本地观察端口,负责向Server转发镜像报文。
配置接口GE0/0/1为镜像端口,将行政部访问Internet的流量复制一份到本地观察端口。
操作步骤
1、配置观察端口
#在Switch上配置接口GE0/0/2为本地观察端口。
<HUAWEI> system-view
[HUAWEI] sysname Switch
[Switch] observe-port 1 interface gigabitethernet 0/0/2
#配置观察端口不再转发数据报文。该配置是可选推荐配置,配置后可使观察端口专门用于镜像报文的转发,防止镜像报文与其他业务的数据报文在观察端口上同时转发互相影响。当观察端口有其他VLAN转发报文时,不能配置该命令。
[Switch] observe-port 1 forwarding disable
2、配置镜像端口
#在Switch上配置接口GE0/0/1为镜像端口,将其入方向绑定到本地观察端口,即将镜像端口接收到的报文复制一份到本地观察端口。
[Switch] interface gigabitethernet 0/0/1
[Switch-GigabitEthernet0/0/1] port-mirroring to observe-port 1 inbound
[Switch-GigabitEthernet0/0/1] return
3、验证配置结果
#查看观察端口的配置情况。
<Switch> display observe-port
----------------------------------------------------------------------
Index : 1
Untag-packet : No
Forwarding : No
Interface : GigabitEthernet0/0/2
----------------------------------------------------------------------
#查看镜像端口的配置情况。
<Switch> display port-mirroring
----------------------------------------------------------------------
Observe-port 1 : GigabitEthernet0/0/2
----------------------------------------------------------------------
Port-mirror:
----------------------------------------------------------------------
Mirror-port Direction Observe-port
----------------------------------------------------------------------
1 GigabitEthernet0/0/1 Inbound Observe-port 1
----------------------------------------------------------------------
配置基于MQC的本地流镜像
组网需求
如图所示,某公司科技部和行政部分别使用10.1.1.0/24和10.1.2.0/24两个网段地址,通过Switch与外部Internet,或者相互之间进行通信,监控设备Server与Switch直连。
现在希望通过Server对科技部下面两类流量进行监控:
·科技部访问WWW的报文流。
·科技部发往行政部的报文流。
配置思路
在Switch配置流镜像,实现Server对指定报文流的监控:
配置接口GE0/0/2为本地观察端口,负责向Server转发镜像报文。
配置流分类,匹配的报文流为访问WWW的报文流和发往行政部的报文流;配置流行为,将报文镜像到本地观察端口。
配置流镜像策略,绑定创建的流分类和流行为,并在接口GE0/0/1上应用流策略。
操作步骤
1、配置观察端口
#在Switch上配置接口GE0/0/2为本地观察端口。
<HUAWEI> system-view
[HUAWEI] sysname Switch
[Switch] observe-port 1 interface gigabitethernet 0/0/2
#配置观察端口不再转发数据报文。该配置是可选推荐配置,配置后可使观察端口专门用于镜像报文的转发,防止镜像报文与其他业务的数据报文在观察端口上同时转发互相影响。当观察端口有其他VLAN转发报文时,不能配置该命令。
[Switch] observe-port 1 forwarding disable
2、配置流分类
#在Switch上创建流分类c1,并配置流分类规则匹配以下两类报文:源地址为10.1.1.0/24,目的TCP端口号为WWW的端口号;源地址为10.1.1.0/24,目的地址为10.1.2.0/24。
[Switch] acl number 3000
[Switch-acl-adv-3000] rule permit tcp source 10.1.1.0 0.0.0.255 destination-port eq www
[Switch-acl-adv-3000] quit
[Switch] acl number 3001
[Switch-acl-adv-3001] rule permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255
[Switch-acl-adv-3001] quit
[Switch] traffic classifier c1 operator or
[Switch-classifier-c1] if-match acl 3000
[Switch-classifier-c1] if-match acl 3001
[Switch-classifier-c1] quit
3、配置流行为
#在Switch上创建流行为b1,并配置流行为是流镜像,将指定报文流镜像到本地观察端口GE0/0/2。
[Switch] traffic behavior b1
[Switch-behavior-b1] mirroring to observe-port 1
[Switch-behavior-b1] quit
对于S6720-EI和S6720S-EI,配置出方向流镜像时,不能再配置其他流行为,否则出方向流镜像不生效。
4、配置流策略并应用到接口上
#在Switch上创建流策略p1,将流分类和对应的流行为进行绑定,并将流策略应用到接口GE0/0/1的入方向上,对科技部指定的报文流进行监控。
[Switch] traffic policy p1
[Switch-trafficpolicy-p1] classifier c1 behavior b1
[Switch-trafficpolicy-p1] quit
[Switch] interface gigabitethernet 0/0/1
[Switch-GigabitEthernet0/0/1] traffic-policy p1 inbound
[Switch-GigabitEthernet0/0/1] return
5、验证配置结果
#查看流分类的配置信息。
<Switch> display traffic classifier user-defined c1
User Defined Classifier Information:
Classifier: c1
Operator: OR
Rule(s) : if-match acl 3000
if-match acl 3001
#查看流策略的配置信息。
<Switch> display traffic policy user-defined p1
User Defined Traffic Policy Information:
Policy: p1
Classifier: c1
Operator: OR
Behavior: b1
Mirroring to observe-port 1
#查看观察端口的配置情况。
<Switch> display observe-port
----------------------------------------------------------------------
Index : 1
Untag-packet : No
Forwarding : No
Interface : GigabitEthernet0/0/2
----------------------------------------------------------------------
#查看镜像的配置情况。
<Switch> display port-mirroring
----------------------------------------------------------------------
Observe-port 1 : GigabitEthernet0/0/2
----------------------------------------------------------------------
Stream-mirror:
----------------------------------------------------------------------
Behavior Direction Observe-port
----------------------------------------------------------------------
1 b1 - Observe-port 1
----------------------------------------------------------------------
配置基于MQC的二层远程流镜像
组网需求
如图所示,外部访问用户通过SwitchA访问公司的服务器,防病毒监控设备Server通过SwitchB与SwitchA相连。
现在公司官网被恶意攻击瘫痪,网络管理员希望Server能够远程对TCP端口号匹配WWW端口号的报文流进行分析,定位出恶意攻击源。
配置思路
进行如下配置,实现Server远程监控指定TCP端口号的流量:
在SwitchA上配置接口GE0/0/2为二层远程观察端口,负责向绑定的VLAN转发镜像报文。
在SwitchA上配置流分类,匹配的报文流为TCP端口号是WWW端口号的报文流;配置流行为,将报文镜像到观察端口。
在SwitchA上配置流镜像策略,绑定创建的流分类和流行为,并在接口GE0/0/1上应用流策略。
在SwitchB上创建VLAN,关闭该VLAN的MAC地址学习功能。配置接口加入VLAN,负责将观察端口发送过来的报文向Server转发。
操作步骤
1、在SwitchA上配置观察端口
#在SwitchA上配置接口GE0/0/2为二层远程观察端口,绑定的VLAN为VLAN10。
<HUAWEI> system-view
[HUAWEI] sysname SwitchA
[SwitchA] observe-port 1 interface gigabitethernet 0/0/2 vlan 10
#配置观察端口不再转发数据报文。该配置是可选推荐配置,配置后可使观察端口专门用于镜像报文的转发,防止镜像报文与其他业务的数据报文在观察端口上同时转发互相影响。当观察端口有其他VLAN转发报文时,不能配置该命令。
[SwitchA] observe-port 1 forwarding disable
2、在SwitchA上配置流分类
#在SwitchA上创建流分类c1,并配置流分类规则为匹配TCP端口号是WWW端口号的报文。
[SwitchA] acl number 3000
[SwitchA-acl-adv-3000] rule permit tcp destination-port eq www
[SwitchA-acl-adv-3000] quit
[SwitchA] traffic classifier c1
[SwitchA-classifier-c1] if-match acl 3000
[SwitchA-classifier-c1] quit
3、在SwitchA上配置流行为
#在SwitchA上创建流行为b1,并配置流行为是流镜像,将指定报文流镜像到观察端口GE0/0/2。
[SwitchA] traffic behavior b1
[SwitchA-behavior-b1] mirroring to observe-port 1
[SwitchA-behavior-b1] quit
对于S6720-EI和S6720S-EI,配置出方向流镜像时,不能再配置其他流行为,否则出方向流镜像不生效。
4、在SwitchA上配置流策略并应用到接口上
#在SwitchA上创建流策略p1,将流分类和对应的流行为进行绑定,并将流策略应用到接口GE0/0/1的入方向上,对指定TCP端口号的流量进行监控。
[SwitchA] traffic policy p1
[SwitchA-trafficpolicy-p1] classifier c1 behavior b1
[SwitchA-trafficpolicy-p1] quit
[SwitchA] interface gigabitethernet 0/0/1
[SwitchA-GigabitEthernet0/0/1] traffic-policy p1 inbound
[SwitchA-GigabitEthernet0/0/1] return
5、在SwitchB上创建VLAN,配置接口加入VLAN
#在SwitchB上创建VLAN10,关闭该VLAN的MAC地址学习功能,并将接口GE0/0/1和GE0/0/2加入VLAN10。
该VLAN仅用于转发镜像报文,不要使用该VLAN进行其他业务转发。如果该VLAN已存在,且已学习到MAC地址,请在系统视图下执行undo mac-address vlan vlan-id命令删除该VLAN已学习到的所有MAC地址。
<HUAWEI> system-view
[HUAWEI] sysname SwitchB
[SwitchB] vlan 10
[SwitchB-vlan10] mac-address learning disable
[SwitchB-vlan10] quit
[SwitchB] interface gigabitethernet 0/0/1
[SwitchB-GigabitEthernet0/0/1] port link-type access
[SwitchB-GigabitEthernet0/0/1] port default vlan 10
[SwitchB-GigabitEthernet0/0/1] quit
[SwitchB] interface gigabitethernet 0/0/2
[SwitchB-GigabitEthernet0/0/2] port link-type trunk
[SwitchB-GigabitEthernet0/0/2] port trunk allow-pass vlan 10
[SwitchB-GigabitEthernet0/0/2] return
6、验证配置结果
#查看流分类的配置信息。
<SwitchA> display traffic classifier user-defined c1
User Defined Classifier Information:
Classifier: c1
Operator: OR
Rule(s) : if-match acl 3000
#查看流策略的配置信息。
<SwitchA> display traffic policy user-defined p1
User Defined Traffic Policy Information:
Policy: p1
Classifier: c1
Operator: OR
Behavior: b1
Mirroring to observe-port 1
#查看观察端口的配置情况。
<SwitchA> display observe-port
----------------------------------------------------------------------
Index : 1
Untag-packet : No
Forwarding : No
Interface : GigabitEthernet0/0/2
Vlan : 10
----------------------------------------------------------------------
#查看镜像端口的配置情况。
<SwitchA> display port-mirroring
----------------------------------------------------------------------
Observe-port 1 : GigabitEthernet0/0/2
----------------------------------------------------------------------
Stream-mirror:
----------------------------------------------------------------------
Behavior Direction Observe-port
----------------------------------------------------------------------
1 b1 - Observe-port 1
----------------------------------------------------------------------
配置基于ACL的本地流镜像
组网需求
如图所示,某公司科技部和行政部分别使用10.1.1.0/24和10.1.2.0/24两个网段地址,通过Switch与外部Internet,或者相互之间进行通信,监控设备Server与Switch直连。
现在希望通过Server对科技部下面两类流量进行监控:
科技部访问WWW的报文流。
科技部发往行政部的报文流。
配置思路
在Switch配置流镜像,实现Server对指定报文流的监控:
配置接口GE0/0/2为本地观察端口,负责向Server转发镜像报文。
配置高级ACL,匹配科技部访问WWW的报文和发往行政部的报文。
在接口GE0/0/1上配置基于ACL的流策略,对上述匹配的报文进行镜像。
操作步骤
1、配置观察端口
#在Switch上配置接口GE0/0/2为本地观察端口。
<HUAWEI> system-view
[HUAWEI] sysname Switch
[Switch] observe-port 1 interface gigabitethernet 0/0/2
#配置观察端口不再转发数据报文。该配置是可选推荐配置,配置后可使观察端口专门用于镜像报文的转发,防止镜像报文与其他业务的数据报文在观察端口上同时转发互相影响。当观察端口有其他VLAN转发报文时,不能配置该命令。
[Switch] observe-port 1 forwarding disable
2、配置高级ACL
#在Switch上分别创建编号为3000、3001的ACL,并配置ACL 3000的规则是匹配源地址为10.1.1.0/24,目的TCP端口号为WWW的报文;ACL 3001的规则是匹配源地址为10.1.1.0/24,目的地址为10.1.2.0/24的报文。
[Switch] acl number 3000
[Switch-acl-adv-3000] rule permit tcp source 10.1.1.0 0.0.0.255 destination-port eq www
[Switch-acl-adv-3000] quit
[Switch] acl number 3001
[Switch-acl-adv-3001] rule permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255
[Switch-acl-adv-3001] quit
3、配置基于ACL的流策略
#在Switch的接口GE0/0/1上配置基于ACL的流策略,对上述匹配的两类报文进行镜像。
[Switch] interface gigabitethernet 0/0/1
[Switch-GigabitEthernet0/0/1] traffic-mirror inbound acl 3000 to observe-port 1
[Switch-GigabitEthernet0/0/1] traffic-mirror inbound acl 3001 to observe-port 1
[Switch-GigabitEthernet0/0/1] return
4、验证配置结果
#查看ACL规则和流行为信息。
<Switch> display traffic-applied interface gigabitethernet 0/0/1 inbound
-----------------------------------------------------------
ACL applied inbound interface GigabitEthernet0/0/1
ACL 3000
rule 5 permit tcp source 10.1.1.0 0.0.0.255 destination-port eq www (match-counter 0)
ACTIONS:
mirror to observe-port 1
-----------------------------------------------------------
ACL 3001
rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255 (match-counter 0)
ACTIONS:
mirror to observe-port 1
-----------------------------------------------------------
#查看观察端口的配置情况。
<Switch> display observe-port
----------------------------------------------------------------------
Index : 1
Untag-packet : No
Forwarding : No
Interface : GigabitEthernet0/0/2
----------------------------------------------------------------------
#查看镜像的配置情况。
<Switch> display port-mirroring
----------------------------------------------------------------------
Observe-port 1 : GigabitEthernet0/0/2
----------------------------------------------------------------------
Stream-mirror:
----------------------------------------------------------------------
Behavior Direction Observe-port
----------------------------------------------------------------------
1 SACL - Observe-port 1
----------------------------------------------------------------------
配置基于ACL的二层远程流镜像
组网需求
如图所示,外部访问用户通过SwitchA访问公司的服务器,防病毒监控设备Server通过SwitchB与SwitchA相连。
现在公司官网被恶意攻击瘫痪,网络管理员希望Server能够远程对TCP端口号匹配WWW端口号的报文流进行分析,定位出恶意攻击源。
配置思路
进行如下配置,实现Server远程监控指定TCP端口号的流量:
在SwitchA上配置接口GE0/0/2为二层远程观察端口,负责向绑定的VLAN转发镜像报文。
在SwitchA上配置高级ACL,匹配的报文流为TCP端口号是WWW端口号的报文流。
在SwitchA的接口GE0/0/1上配置基于ACL的流策略,对上述匹配的报文进行镜像。
在SwitchB上创建VLAN,关闭该VLAN的MAC地址学习功能。配置接口加入VLAN,负责将观察端口发送过来的报文向Server转发。
操作步骤
1、在SwitchA上配置观察端口
#在SwitchA上配置接口GE0/0/2为二层远程观察端口,绑定的VLAN为VLAN10。
<HUAWEI> system-view
[HUAWEI] sysname SwitchA
[SwitchA] observe-port 1 interface gigabitethernet 0/0/2 vlan 10
#配置观察端口不再转发数据报文。该配置是可选推荐配置,配置后可使观察端口专门用于镜像报文的转发,防止镜像报文与其他业务的数据报文在观察端口上同时转发互相影响。当观察端口有其他VLAN转发报文时,不能配置该命令。
[SwitchA] observe-port 1 forwarding disable
2、在SwitchA上配置高级ACL
#在SwitchA上分别创建编号为3000的ACL,并配置ACL 3000的规则是匹配TCP端口号是WWW端口号的报文。
[SwitchA] acl number 3000
[SwitchA-acl-adv-3000] rule permit tcp destination-port eq www
[SwitchA-acl-adv-3000] quit
3、在SwitchA上配置基于ACL的流策略
#在SwitchA的接口GE0/0/1上配置基于ACL的流策略,对上述匹配的报文进行镜像。
[SwitchA] interface gigabitethernet 0/0/1
[SwitchA-GigabitEthernet0/0/1] traffic-mirror inbound acl 3000 to observe-port 1
[SwitchA-GigabitEthernet0/0/1] return
4、在SwitchB上创建VLAN,配置接口加入VLAN
#在SwitchB上创建VLAN10,关闭该VLAN的MAC地址学习功能,并将接口GE0/0/1和GE0/0/2加入VLAN10。
注意:该VLAN仅用于转发镜像报文,不要使用该VLAN进行其他业务转发。如果该VLAN已存在,且已学习到MAC地址,请在系统视图下执行undo mac-address vlan vlan-id命令删除该VLAN已学习到的所有MAC地址。
<HUAWEI> system-view
[HUAWEI] sysname SwitchB
[SwitchB] vlan 10
[SwitchB-vlan10] mac-address learning disable
[SwitchB-vlan10] quit
[SwitchB] interface gigabitethernet 0/0/1
[SwitchB-GigabitEthernet0/0/1] port link-type access
[SwitchB-GigabitEthernet0/0/1] port default vlan 10
[SwitchB-GigabitEthernet0/0/1] quit
[SwitchB] interface gigabitethernet 0/0/2
[SwitchB-GigabitEthernet0/0/2] port link-type trunk
[SwitchB-GigabitEthernet0/0/2] port trunk allow-pass vlan 10
[SwitchB-GigabitEthernet0/0/2] return
5、验证配置结果
#查看ACL规则和流行为信息。
<SwitchA> display traffic-applied interface gigabitethernet 0/0/1 inbound
-----------------------------------------------------------
ACL applied inbound interface GigabitEthernet0/0/1
ACL 3000
rule 5 permit tcp destination-port eq www (match-counter 0)
ACTIONS:
mirror to observe-port 1
-----------------------------------------------------------
#查看观察端口的配置情况。
<SwitchA> display observe-port
----------------------------------------------------------------------
Index : 1
Untag-packet : No
Forwarding : No
Interface : GigabitEthernet0/0/2
Vlan : 10
----------------------------------------------------------------------
#查看镜像端口的配置情况。
<SwitchA> display port-mirroring
----------------------------------------------------------------------
Observe-port 1 : GigabitEthernet0/0/2
----------------------------------------------------------------------
Stream-mirror:
----------------------------------------------------------------------
Behavior Direction Observe-port
----------------------------------------------------------------------
1 SACL - Observe-port 1
----------------------------------------------------------------------
配置本地VLAN镜像
组网需求
如图所示,某公司所有主机通过Switch与外部Internet通信,监控设备Server与Switch直连。
现在希望通过Server对VLAN 10内的主机访问Internet的流量进行监控。
配置思路
创建VLAN 10和20,将Switch与主机相连的接口分别加入VLAN 10和20,实现主机与Switch间的二层互通。
配置接口GE0/0/3为本地观察端口,负责向Server转发镜像报文。
配置VLAN镜像,将VLAN 10内所有主机访问Internet的流量复制一份到本地观察端口。
操作步骤
1、配置接口加入VLAN
#在Switch上创建VLAN 10和20,配置接口GE0/0/1和GE0/0/2分别加入VLAN 10和20。
<HUAWEI> system-view
[HUAWEI] sysname Switch
[Switch] vlan batch 10 20
[Switch] interface gigabitethernet 0/0/1
[Switch-GigabitEthernet0/0/1] port link-type access
[Switch-GigabitEthernet0/0/1] port default vlan 10
[Switch-GigabitEthernet0/0/1] quit
[Switch] interface gigabitethernet 0/0/2
[Switch-GigabitEthernet0/0/2] port link-type access
[Switch-GigabitEthernet0/0/2] port default vlan 20
[Switch-GigabitEthernet0/0/2] quit
2、配置观察端口
#在Switch上配置接口GE0/0/3为本地观察端口。
[Switch] observe-port 1 interface gigabitethernet 0/0/3
#配置观察端口不再转发数据报文。该配置是可选推荐配置,配置后可使观察端口专门用于镜像报文的转发,防止镜像报文与其他业务的数据报文在观察端口上同时转发互相影响。当观察端口有其他VLAN转发报文时,不能配置该命令。
[Switch] observe-port 1 forwarding disable
3、配置VLAN镜像
#将VLAN 10内所有活动接口接收到的报文复制一份到本地观察端口。
[Switch] vlan 10
[Switch-vlan10] mirroring to observe-port 1 inbound
[Switch-vlan10] return
4、验证配置结果
#查看观察端口的配置情况。
<Switch> display observe-port
----------------------------------------------------------------------
Index : 1
Untag-packet : No
Forwarding : No
Interface : GigabitEthernet0/0/3
----------------------------------------------------------------------
#查看镜像功能的配置情况。
<Switch> display port-mirroring
----------------------------------------------------------------------
Observe-port 1 : GigabitEthernet0/0/3
----------------------------------------------------------------------
Vlan-mirror:
----------------------------------------------------------------------
Mirror-vlan Direction Observe-port
----------------------------------------------------------------------
10 Inbound Observe-port 1
----------------------------------------------------------------------
配置本地MAC镜像
组网需求
如图所示,某公司所有主机通过Switch与外部Internet通信,并且同属于VLAN 10。监控设备Server与Switch直连。
现在希望通过Server对HostA(MAC地址为0001-0001-0001的主机)访问Internet的流量进行监控。
配置思路
创建VLAN 10,将Switch与主机相连的接口加入VLAN 10,实现主机与Switch间的二层互通。
配置接口GE0/0/4为本地观察端口,负责向Server转发镜像报文。
在VLAN 10内配置MAC镜像,将VLAN 10内指定MAC地址的主机访问Internet的流量复制一份到本地观察端口。
操作步骤
1、配置接口加入VLAN
#在Switch上创建VLAN 10,配置接口GE0/0/1~GE0/0/3加入VLAN 10。
<HUAWEI> system-view
[HUAWEI] sysname Switch
[Switch] vlan batch 10
[Switch] interface gigabitethernet 0/0/1
[Switch-GigabitEthernet0/0/1] port link-type access
[Switch-GigabitEthernet0/0/1] port default vlan 10
[Switch-GigabitEthernet0/0/1] quit
[Switch] interface gigabitethernet 0/0/2
[Switch-GigabitEthernet0/0/2] port link-type access
[Switch-GigabitEthernet0/0/2] port default vlan 10
[Switch-GigabitEthernet0/0/2] quit
[Switch] interface gigabitethernet 0/0/3
[Switch-GigabitEthernet0/0/3] port link-type access
[Switch-GigabitEthernet0/0/3] port default vlan 10
[Switch-GigabitEthernet0/0/3] quit
2、配置观察端口
#在Switch上配置接口GE0/0/4为本地观察端口。
[Switch] observe-port 1 interface gigabitethernet 0/0/4
#配置观察端口不再转发数据报文。该配置是可选推荐配置,配置后可使观察端口专门用于镜像报文的转发,防止镜像报文与其他业务的数据报文在观察端口上同时转发互相影响。当观察端口有其他VLAN转发报文时,不能配置该命令。
[Switch] observe-port 1 forwarding disable
3、配置MAC地址镜像
#在Switch上的VLAN10内配置MAC地址镜像,将其入方向绑定到本地观察端口,即将VLAN10内所有活动接口接收到的MAC地址为0001-0001-0001的报文复制一份到本地观察端口。
[Switch] vlan 10
[Switch-vlan10] mac-mirroring 0001-0001-0001 to observe-port 1 inbound
[Switch-vlan10] return
4、验证配置结果
#查看观察端口的配置情况。
<Switch> display observe-port
----------------------------------------------------------------------
Index : 1
Untag-packet : No
Forwarding : No
Interface : GigabitEthernet0/0/4
----------------------------------------------------------------------
#查看镜像功能的配置情况。
<Switch> display port-mirroring
----------------------------------------------------------------------
Observe-port 1 : GigabitEthernet0/0/4
----------------------------------------------------------------------
Mac-mirror:
----------------------------------------------------------------------
Mirror-mac Vlan Direction Observe-port
----------------------------------------------------------------------
0001-0001-0001 10 Inbound Observe-port 1
----------------------------------------------------------------------