华为端口镜像
您好!
一、端口镜像就是将被监控端口上的数据复制到指定的监控端口,对数据进行分析和监视。
配置端口镜像:
[S8500]mirroring-group 1 inbound GigabitEthernet 9/1/1 GigabitEthernet 9/1/2 m
irrored-to GigabitEthernet 9/2/1
[S8500]mirroring-group 2 outbound GigabitEthernet 9/1/1 GigabitEthernet 9/1/2
mirrored-to GigabitEthernet 9/2/1
注意:
1、不支持的单板:
XP4B/XP4CA单板不支持跨芯片的镜像。
2、如果被镜像端口的报文带tag,而监控端口是Access端口,则镜像后抓到的报文会缺少tag头;要规避只要将监控端口同样设置为trunk类型并permit相同的VLAN通过即可。
DB类业务板的端口作为镜像监控端口,如果入报文有tag,则监控端口抓获的报文也会有tag,不管监控端口是trunk口还是access口。
3、端口是48口的,1-24或者25-48,镜像端口必须在1-24或25-48,也就是我们的镜像端口必须在24口之内。
二、snmp参考配置:
[Quidway]snmp-agent 启动agent服务
[Quidway]snmp-agent sys-info version all 让v1,v2c和v3都可以使能设备
[Quidway]snmp-agent community read public mib-view nameA 设置读团体名为public,view名是nameA
[Quidway]snmp-agent community write private mib-view nameA 设置写团体名为private,view名是nameA
[Quidway]snmp-agent target-host trap address udp-domain 129.102.149.23 udp-port 5000 params securityname public
华为端口镜像2008年08月27日 星期三 13:171、定义mirroring group
system-view
mirroring-group 2 #group_id
2、定义被镜像的端口,也就是源端口
mirroring-group 2 mirroring-port eth 1/0/4 both
其中both指的是从该端口进来和出去的数据包都将被捕获,还可以选择inbound和outbound
3、定义目的端口
mirroring-group 2 monitor-port eth 1/0/10
接着将网线查到eth1/0/10,启用ethereal,promisc模式捕获。
在该交换机的配置中eth1/0/4属于vlan 40,eth1/0/10属于管理vlan。它们不需要处于同一个vlan。
4、查看mirroring group
disp mirroring-group 2
通过上面镜像的包很杂,可以通过ehereal的filter来过滤,交换机的acl不知道该如何作用在mirroring-group。
如何证明XXCS系统配置没有问题,而对端SMS的配置有问题?
通过在交换机上捕获双方互访的数据来判断。
错误的做法
1、定义源端口
int eth 1/0/4
mirrored-to inbound ip-group 3000 rule 30 monitor-interface
2、定义目的端口
int eth 1/0/10
monitor-port
我发现不论怎么调整acl,都无法在目的端口捕获到数据包,但是华为的文档有一个例子就是这么写的
System View: return to User View with Ctrl+Z.
[Quidway] interface GigabitEthernet1/1/4
[Quidway-GigabitEthernet1/1/4] monitor-port
[Quidway-GigabitEthernet1/1/4] quit
[Quidway] interface GigabitEthernet1/1/1
[Quidway
-GigabitEthernet1/1/1] mirrored-to inbound ip-group 2000 monitor-interface