华为端口镜像ACL流过滤
1、华为交换机端口镜像设置
[HUAWEI] observe-port 1 interface gigabitethernet 1/0/1 (配置观察端口)[HUAWEI] interface gigabitethernet 2/0/1
[HUAWEI-GigabitEthernet2/0/1] port-mirroring to observe-port 1 inbound(配置镜像端口)
2、华为交换机ACL控制列表和包过滤设置
ACL控制列表种类:
○1、标准访问控制列表:只能使用源地址描述数据,表明是允许还是拒绝
命令格式:
acl XXX
rule permit/deny source source_addresssource_wildcard/any
eg:
acl 1199
rule permit source 192.168.1.0 0.0.0.255(允许源地址为192.168.1.0网段的数据包通过)
○2、扩展访问控制列表:在标准控制列表的基础上添加基于协议和端口号的控制
3、流策略(Traffic Policy)用于QoS复杂流分类,实现丰富的QoS策略。
Traffic Policy分为三部分:
○1、流分类(Classifier)模板:定义流量类型。一个Classifier可以配置一条或多条if-match 语句,if-match语句中可以引用ACL规则。不同的Classifier模板可以应用相同的ACL规则。一个ACL规则可以配置一个或多个Rule语句。
○2、流动作(Behavior)模板:指,用于定义针对该类流量可实施的流动作。一个Behavior 可以定义一个或多个动作。
○3、流策略(Traffic Policy)模板:将流分类Classifier和流动作Behavior关联,成为一个Classifier & Behavior对。当Traffic Policy模板设置完毕之后,需要将Traffic Policy模板应用到接口上才能使策略生效。
Classifier & Behavior对之间的匹配顺序
一个Traffic-policy中可以配置一个或多个Classifier & Behavior对。当收到一个报文,做复杂流分类处理时,会按照Traffic-policy中Classifier & Behavior对的配置顺序进行匹配。
如果命中,则停止匹配;如果不命中,则匹配后面的Classifier;如果是最后一个Classifier,且还不命中,则报文走正常的转发处理,类似于没有应用流分类策略。
Classifier之间的顺序可以通过命令行
classifier classifier-name behavior behavior-name precedence precedence修改。例如,
Traffic-policy T中配置了A、B、C三个Classifier:
#
traffic policy T
classifier A behavior A
classifier B behavior B
classifier C behavior C
#
缺省情况下,A、B、C三个Classifier的顺序分别是1、2和3,与配置的顺序相同。如果要将A排在最后,可以执行如下命令:
classifier A behavior A precedence 4
结果是:
#
traffic policy T
classifier B behavior B
classifier C behavior C
classifier A behavior A precedence 4
#
此时,B之前的顺序号1没有被占用,因此可以在B之前添加一个Classifier(假设是D),则可执行如下命令实现。
classifier D behavior D precedence 1
结果是:
#
traffic policy T
classifier D behavior D precedence 1
classifier B behavior B
classifier C behavior C
classifier A behavior A precedence 4
#
如果按如下方法,不指定precedence值的方式添加D,
classifier D behavior D
结果如下:
#
traffic policy T
classifier B behavior B
classifier C behavior C
classifier A behavior A precedence 4
classifier D behavior D
#
If-match语句之间的匹配顺序
由于Classifier中配置的是一个或多个if-match语句,按照if-match语句配置顺序进行匹配。报文命中if-match语句后,是否执行对应的behavior动作,取决于If-match语句之间是And 还是Or逻辑。
If-match语句之间的And和Or逻辑
如果流分类模板下配置了多个if-match语句,则这些语句之间有And和Or两种逻辑关系:Or逻辑:数据包只要匹配该流分类下的任何一条if-match语句定义的规则就属于该类。And逻辑:数据包必须匹配该流分类下的全部if-match语句才属于该类。
流策略的执行过程(if-match语句间是Or逻辑)
图2 流策略的执行过程(Or逻辑)
如图2,针对每个Classifier,如果If-match语句之间是Or逻辑,按照if-match语句配置顺序进行匹配,数据包一旦命中某个if-match语句:
如果命中的if-match语句没有引用ACL,则执行behavior定义的动作。
如果命中的if-match语句引用了ACL,且命中的是permit规则,则执行behavior定义的动作;命中的是deny规则,则直接丢弃报文。
如果数据包没有命中任何if-match语句,则不支持任何动作,继续处理下一个Classifier。流策略的执行过程(if-match语句间是And逻辑)
如果If-match语句之间是And逻辑,设备先会将这些if-match语句进行合并(这里的“合并”相当于集合的乘法操作),再按照Or逻辑的处理流程进行处理。
对于引用ACL的if-match语句,不是将ACL内部的各条Rule进行合并,而是逐条与其他if-match语句进行合并。因此值得注意的是:And逻辑中if-match语句的顺序不影响匹配结果,但ACL中Rule的顺序仍然会影响匹配结果。
例如,某个流策略下配了如下一个classifier:
#
acl 3000
rule 5 permit ip source 1.1.1.1 0
rule 10 deny ip source 2.2.2.2 0
#
traffic classifier example operator and
if-matchacl 3000
if-matchdscp af11
#
则设备首先进行if-match语句的合并,合并结果相当于:
#
acl 3000
rule 5 permit ip source 1.1.1.1 0 dscp af11
rule 10 deny ip source 2.2.2.2 0 dscp af11
#
traffic classifier example operator or
if-matchacl 3000
#
traffic behavior example
remarkdscp af22
#
traffic policy example
share-mode
classifier example behavior example
#
interface GigabitEthernet2/0/0
traffic-policy P inbound
#
然后,再针对合并结果按Or逻辑的执行过程进行处理。处理结果是从GE2/0/0收到的源IP 为1.1.1.1/32且dscp=10的报文重标记为AF22,源IP为1.1.1.2/32且dscp=10的报文丢弃,
其他报文由于没有匹配任何规则,直接转发。
对于And逻辑,系统默认License中最多只允许存在一条引用ACL的if-match语句;而Or 逻辑中,可以有多条引用ACL的if-match语句。
如果更改License使And逻辑允许存在多条引用ACL的if-match语句,则这些if-match语句的合并规则是:
permit + permit = permit
permit + deny = deny
deny + permit = deny
deny + deny = deny
If-math语句引用ACL时的匹配过程
如果if-match语句指定的是ACL,需要在ACL的多个Rule语句中进行匹配:首先查找用户是否配置了该ACL(因为流分类允许引用不存在的ACL),命中的第一条则停止匹配,不再继续查找后续的规则。
说明:
当Rule中的动作为Deny时,如果behavior是镜像或采样,即使对于丢弃的报文,也会执行behavior。
ACL中可以指定permit或deny规则,它与ACL所在Classifier所对应的Behavior中的动作的关系是:
ACL为deny,则不关心Behavior,报文最终动作是deny;
ACL为permit,则执行Behavior,报文最终动作是Behavior。
例如以下配置的匹配结果是:源地址是50.0.0.1/24的报文IP优先级被标记为7;源地址是60.0.0.1/24的报文被丢弃;源地址是70.0.0.1/24的报文IP优先级不变。
acl 3999
rule 5 permit ip source 50.0.0.0 0.255.255.255
rule 10 deny ip source 60.0.0.0 0.255.255.255
traffic classifier acl
if-matchacl 3999
traffic behavior test
remarkip-pre 7
traffic policy test
classifieracl behavior test
interface GigabitEthernet1/0/1
traffic-policy test inbound
流量策略中ACL计数功能
为节省内存,系统缺省不使能流量策略的统计功能。当用户需要显示流量策略的统计数据时,可配置statistics enable命令使能流量策略的统计功能。
#
traffic policy example
classifier example behavior example
statistics enable
#
华为设备镜像设置方法
镜像是在不影响原有转发的情况下将网络中当前节点通过的报文复制一份到指定的观测端口。用户可以根据需要定义被镜像的端口号,然后将报文分析设备与观测端口相连,进行流量观测。 根据复制报文满足的条件,镜像分为端口镜像和流镜像两种: 端口镜像:指将镜像端口接收或发送的报文完整地复制输出到指定的观测端口。 配置基于端口的镜像示例 组网需求 如图1所示,为了监视从RouterA经由GE3/0/0输入RouterB的报文, 设置RouterB的GE3/0/2为观测端口,然后在GE3/0/0上配置端口镜像, 将所有从GE3/0/0收到的报文都复制一份到GE3/0/2,由分析设备HostD 进行分析。 图1端口镜像配置组网图 配置思路 采用如下思路配置端口镜像。 l 把RouterB的GE3/0/2配置为观测端口。 l 在RouterB的GE3/0/0端口上配置端口镜像功能。 数据准备 数据规划如下。 l 观测端口的端口号 l 镜像端口的端口号 配置步骤(S93系列交换机) 步骤 1 配置各路由器接口的IP地址(略) 步骤 2 配置GE3/0/2为观测端口。
步骤 3 在GE3/0/0配置端口镜像功能。 [RouterB] interface gigabitethernet3/0/0 [RouterB-GigabitEthernet3/0/0] port-mirroring to observe-port 1 inbound [RouterB-GigabitEthernet3/0/0] quit 经过上述配置后,端口GE3/0/0上接收的所有报文将被镜像到端口GE3/0/2上。 查看流量镜像情况可以用ping命令或其他产生流量的方法。例如:从RouterA发10个ping 报文到RouterB的端口GE3/0/0,在主机D上应该能接收到RouterA发出的全部报文。 配置步骤(NE系列路由器) 执行命令system-view,进入系统视图。 执行命令slot slot-id, slot 3(是指镜像口吗) mirror to observe-index 3 3是第3块板 进入镜像口 interface GigabitEthernet3/0/0 port-mirroring inbound 进入观测口 interface GigabitEthernet3/0/2 port-observing observe-index 3
H3C交换机端口镜像配置
1.1.1 display mirroring-group 【命令】 display mirroring-group { group-id| all | local | remote-destination | remote-source } 【视图】 任意视图 【参数】 group-id:端口镜像组的组号,取值范围为1~2。 all:所有镜像组。 local:本地镜像组。 remote-destination:远程目的镜像组。 remote-source:远程源镜像组。 【描述】 display mirroring-group命令用来显示端口镜像组的信息。 不同的镜像组类型,其显示内容不同。设备将按照镜像组号的顺序进行显示。【举例】 # 显示所有镜像组的信息。
type: remote-source status: inactive mirroring port: Ethernet1/0/4 inbound reflector port: remote-probe vlan: 1900 表1-1 display mirroring-group命令显示信息描述表 1.1.2 mirroring-group 【命令】 mirroring-group group-id{ local | remote-source | remote-destination } undo mirroring-group{ group-id|local | remote-source|remote-destination | all } 【视图】 系统视图 【参数】 group-id:端口镜像组的组号,取值范围为1~2。 local:本地镜像组。 remote-source:远程源镜像组。
华为交换机基本配置命令详细讲解
华为交换机基本配置命令详解 1、配置文件相关命令 [Quidway]display current-configuration 显示当前生效的配置 [Quidway]display saved-configuration 显示flash中配置文件,即下次上电启动时所用的配置文件 reset saved-configuration 檫除旧的配置文件reboot 交换机重启 display version 显示系统版本信息 2、基本配置 [Quidway]super password 修改特权用户密码 [Quidway]sysname 交换机命名 [Quidway]interface ethernet 1/0/1 进入接口视图 [Quidway]interface vlan 1 进入接口视图 [Quidway-Vlan-interfacex]ip address 10.1.1.11 255.255.0.0 配置VLAN的IP地址 [Quidway]ip route-static 0.0.0.0 0.0.0.0 10.1.1.1 静态路由=网关 3、telnet配置 [Quidway]user-interface vty 0 4 进入虚拟终端 [S3026-ui-vty0-4]authentication-mode password 设置口令模式 [S3026-ui-vty0-4]set authentication-mode password simple xmws123设置口令 [S3026-ui-vty0-4]user privilege level 3 用户级别 4、端口配置 [Quidway-Ethernet1/0/1]duplex {half|full|auto} 配置端口工作状态 [Quidway-Ethernet1/0/1]speed {10|100|auto} 配置端口工作速率 [Quidway-Ethernet1/0/1]flow-control 配置端口流控 [Quidway-Ethernet1/0/1]mdi {across|auto|normal} 配置端口平接扭接
华为交换机端口镜像配置举例
华为交换机端口镜像配置举例 配置实例 文章出处:https://www.360docs.net/doc/a51194068.html, 端口镜像是将指定端口的报文复制到镜像目的端口,镜像目的端口会接入数据监测设备,用户利用这些设备分析目的端口接收到的报文,进行网络监控和故障排除。本文介绍一个在华为交换机上通过配置端口镜像实现对数据监测的应用案例,详细的组网结构及配置步骤请查看以下内容。 某公司内部通过交换机实现各部门之间的互连,网络环境描述如下: 1)研发部通过端口Ethernet 1/0/1接入Switch C;λ 2)市场部通过端口Ethernet 1/0/2接入Switch C;λ 3)数据监测设备连接在Switch C的Ethernet 1/0/3端口上。λ 网络管理员希望通过数据监测设备对研发部和市场部收发的报文进行监控。 使用本地端口镜像功能实现该需求,在Switch C上进行如下配置: 1)端口Ethernet 1/0/1和Ethernet 1/0/2为镜像源端口;λ 2)连接数据监测设备的端口Ethernet 1/0/3为镜像目的端口。λ 配置步骤 配置Switch C: # 创建本地镜像组。
华为端口镜像ACL流过滤
1华为交换机端口镜像设置
? rule deny icmp source 10.1.0.0 0.0.255.255 destination any icmp-type host-redirect [CMP ][机帀疋向报文 ■ rule deny tcp source 129.9.0.0 0.0.255.255 destination 202.38.160.0 0.0.0.255 3、流策略(Traffic Policy )用于QoS复杂流分类,实现丰富的QoS策略。 Traffic Policy 分为三部分: CD、流分类(Classifier )模板:定义流量类型。一个Classifier 可以配置一条或多条if-match 语句,if-match 语句中可以引用ACL规则。不同的Classifier 模板可以应用相同的ACL规则。一个ACL规则可以配置一个或多个Rule语句。 C、流动作(Behavior )模板:指,用于定义针对该类流量可实施的流动作。一个Behavior 可以定义一个或多个动作。 C、流策略(Traffic Policy )模板:将流分类Classifier 和流动作Behavior关联,成为一个Classifier & Behavior 对。当Traffic Policy 模板设置完毕之后,需要将Traffic Policy模板应用到接口上才能使策略生效。 Port Port ACL ACL
华为NE40E端口镜像
把G6/0/0的数据镜像到G1/1/0端口双方向 interface G1/1/0 port-observing observe-index 1 slot 6 mirror to observe-index 1 interface G6/0/0 port-mirroring inbound port-mirroring outbound 配置本地端口镜像示例 组网需求 研发部和市场部通过接口GE1/0/1、GE1/0/2接入S9300。一台数据检测设备Server接在S9300的接口GE1/0/3上。要求借助本地端口镜像功能来实现Server对研发部和市场部收发报文的监控。组网如图1所示。 图1 本地端口镜像配置组网图 配置 采用如下的思路配置本地端口镜像功能: 1.将接口GE1/0/3配置为观察接口。
2.在接口GE1/0/1和GE1/0/2配置为镜像接口。 数据准备 为完成此配置例,需准备如下的数据: ?观察接口的接口类型和编号。 ?镜像接口的接口类型和编号。 ?观察接口的索引号为1 操作步骤 1.配置各接口,使各主机间路由可达。 # 创建VLAN1、2、3,并将接口GE1/0/1、GE1/0/2、GE1/0/3分别加入VLAN 1、2、3。
华为交换机配置命令手册及实验
华为交换机配置命令手 册及实验 Huawei 交换机配置命令手册: 1、开始 建立本地配置环境,将主机的串口通过配置电缆与以太网交换机的Console 口连接。在 主机上运行终端仿真程序(如Windows 的超级终端等),设置终端通信参数为:波特 率为9600bit/s、8 位数据位、1 位停止位、无校验和无流控,并选择终端类型为 VT100。 以太网交换机上电,终端上显示以太网交换机自检信息,自检结束后提示用户键入回车,之后将出现命令行提示符(如
(5)VLAN 接口视图(配置VLAN 和VLAN 汇聚对应的IP 接口参数)[Quidway-Vlan- interface1]:在系统视图下键入interface vlan-interface 123 (6)本地用户视图(配置本地用户参数)[Quidway-luser-user1]:在系统视图下键入 local- user user1 (7)用户界面视图(配置用户界面参数)[Quidway-ui0]:在系统视图下键入user-interface 3、其他命令 设置系统时间和时区
最新整理华为S5700交换机端口镜像该怎么配置
华为S5700交换机端口镜像该怎么配置交换机的主要功能包括物理编址、网络拓扑结构、错误校验、帧序列以及流控。交换机还具备了一些新的功能,如对V L A N(虚拟局域网)的支持、对链路汇聚的支持,甚至有的还具有防火墙的功能。那么华为S5700交换机配置怎么端口镜像?其实不难,我们需要先知道原理。下面一起看看! 方法步骤 1、演示环境中是通过电脑的c o m接口连接华为交换机的,你也可以通过t e l n e t来操作 2、先确认你电脑的c o m接口编号 3、然后运行超级终端工具 4、选择你电脑的c o m接口编号 5、设置比特率 6、成功登陆交换机 7、在系统视图下配置端口镜像 先配置观察端口 [Q u i d w a y]o b s e r v e-p o r t1i n t e r f a c e G i g a b i t E t h e r n e t0/0/24 8、然后再进入需要镜像的端口
[Q u i d w a y]i n t e r f a c e G i g a b i t E t h e r n e t0/0/23 9、在配置镜像端口模式 [Q u i d w a y-G i g a b i t E t h e r n e t0/0/23]p o r t-m i r r o r i n g t o o b s e r v e-p o r t1b o t h 10、配置完成之后用d i s p l a y c u r r e n t查看下配置 11、剩下的就是你吧电脑接入到24端口来观察23端口的数据了 补充:交换机基本使用方法 作为基本核心交换机使用,连接多个有线设备使用:网络结构如下图,基本连接参考上面的 作为网络隔离使用:对于一些功能好的交换机,可以通过模式选择开关选择网络隔离模式,实现网络隔离的作用,可以只允许普通端口和U P l i n k端口通讯,普 通端口之间是相互隔离不可以通讯的 除了作为核心交换机(中心交换机)使用,还可以作为扩展交换机(接入交换机)来扩展网络 放在路由器上方,扩展网络供应商的网络线路(用于一条线路多个I P的网络),连接之后不同的路由器用不同的I P连接至公网
H3C各种型号交换机端口镜像配置方法总结
H3C各种型号交换机端口镜像配置方法总结 一、端口镜像概念: Port Mirror(端口镜像)是用于进行网络性能监测。可以这样理解:在端口A 和端口B 之间建立镜像关系,这样,通过端口A 传输的数据将同时复制到端口B ,以便于在端口B 上连接的分析仪或者分析软件进行性能分析或故障判断。 二、端口镜像配置 『环境配置参数』 1. PC1接在交换机E0/1端口,IP地址1.1.1.1/24 2. PC2接在交换机E0/2端口,IP地址2.2.2.2/24 3. E0/24为交换机上行端口 4. Server接在交换机E0/8端口,该端口作为镜像端口 『组网需求』 1. 通过交换机端口镜像的功能使用server对两台pc的业务报文进行监控。 2. 按照镜像的不同方式进行配置: 1) 基于端口的镜像 2) 基于流的镜像 2 数据配置步骤 『端口镜像的数据流程』 基于端口的镜像是把被镜像端口的进出数据报文完全拷贝一份到镜像端口,这样来进行流量
观测或者故障定位。 【3026等交换机镜像】 S2008/S2016/S2026/S2403H/S3026等交换机支持的都是基于端口的镜像,有两种方法: 方法一 1. 配置镜像(观测)端口 [SwitchA]monitor-port e0/8 2. 配置被镜像端口 [SwitchA]port mirror Ethernet 0/1 to Ethernet 0/2 方法二 1. 可以一次性定义镜像和被镜像端口 [SwitchA]port mirror Ethernet 0/1 to Ethernet 0/2 observing-port Ethernet 0/8 【8016交换机端口镜像配置】 1. 假设8016交换机镜像端口为E1/0/15,被镜像端口为E1/0/0,设置端口1/0/15为端口镜像的观测端口。 [SwitchA] port monitor ethernet 1/0/15 2. 设置端口1/0/0为被镜像端口,对其输入输出数据都进行镜像。 [SwitchA] port mirroring ethernet 1/0/0 both ethernet 1/0/15
华为交换机配置命令手册及实验
Huawei 交换机配置命令手册: 1、开始 建立本地配置环境,将主机的串口通过配置电缆与以太网交换机的Console 口连接。在 主机上运行终端仿真程序(如Windows 的超级终端等),设置终端通信参数为:波特 率为9600bit/s、8 位数据位、1 位停止位、无校验和无流控,并选择终端类型为VT100。 以太网交换机上电,终端上显示以太网交换机自检信息,自检结束后提示用户键入回车, 之后将出现命令行提示符(如
H3C交换机配置端口镜像
要求:将端口23的数据被端口10监控的到,也就是说23口是被镜像,端口10是镜像端口! 配置步骤: 1:登录到交换机(这里我们采用telnet方式) 2:输入密码 3:显示现实系统信息
关于华为各种型号交换机端口镜像配置方法总结
关于华为各种型号交换机端口镜像配置方法总结 2007年03月25日星期日上午01:51 一、端口镜像概念: Port Mirror(端口镜像)是用于进行网络性能监测。可以这样理解:在端口A和端口B之间建立镜像关系,这样,通过端口A传输的数据将同时复制到端口B,以便于在端口B上连接的分析仪或者分析软件进行性能分析或故障判断。 二、端口镜像配置 『环境配置参数』 1.PC1接在交换机E0/1端口,IP地址1.1.1.1/24 2.PC2接在交换机E0/2端口,IP地址2.2.2.2/24 3.E0/24为交换机上行端口 4.Server接在交换机E0/8端口,该端口作为镜像端口 『组网需求』 1.通过交换机端口镜像的功能使用server对两台pc的业务报文进行监控。 2.按照镜像的不同方式进行配置: 1)基于端口的镜像 2)基于流的镜像 2数据配置步骤 『端口镜像的数据流程』 基于端口的镜像是把被镜像端口的进出数据报文完全拷贝一份到镜像端口,这样来进行流量观测或者故障定位。 【3026等交换机镜像】 S2008/S2016/S2026/S2403H/S3026等交换机支持的都是基于端口的镜像,有两种方法: 方法一 1.配置镜像(观测)端口
[SwitchA]monitor-port e0/8 2.配置被镜像端口 [SwitchA]port mirror Ethernet0/1to Ethernet0/2 方法二 1.可以一次性定义镜像和被镜像端口 [SwitchA]port mirror Ethernet0/1to Ethernet0/2observing-port Ethernet 0/8 【8016交换机端口镜像配置】 1.假设8016交换机镜像端口为E1/0/15,被镜像端口为E1/0/0,设置端口 1/0/15为端口镜像的观测端口。 [SwitchA]port monitor ethernet1/0/15 2.设置端口1/0/0为被镜像端口,对其输入输出数据都进行镜像。 [SwitchA]port mirroring ethernet1/0/0both ethernet1/0/15 也可以通过两个不同的端口,对输入和输出的数据分别镜像 1.设置E1/0/15和E2/0/0为镜像(观测)端口 [SwitchA]port monitor ethernet1/0/15 2.设置端口1/0/0为被镜像端口,分别使用E1/0/15和E2/0/0对输入和输出数据进行镜像。 [SwitchA]port mirroring gigabitethernet1/0/0ingress ethernet1/0/15 [SwitchA]port mirroring gigabitethernet1/0/0egress ethernet2/0/0 『基于流镜像的数据流程』 基于流镜像的交换机针对某些流进行镜像,每个连接都有两个方向的数据流,对于交换机来说这两个数据流是要分开镜像的。
华为 交换机配置命令详解
交换机配置命令详解 华为交换机配置命令详解 1、配置文件相关命令 [Quidway]display current-configuration ;显示当前生效的配置[Quidway]display saved-configuration ;显示flash中配置文件,即下次上电启动时所用的配置文件
华为交换机镜像端口配置
华为交换机交换机端口镜像配置 一、说明 『环境配置参数』 1. PC1接在交换机E0/1端口,IP地址1.1.1.1/24 2. PC2接在交换机E0/2端口,IP地址2.2.2.2/24 3. E0/24为交换机上行端口 4. Server接在交换机E0/8端口,该端口作为镜像端口 『组网需求』 1. 通过交换机端口镜像的功能使用server对两台pc的业务报文进行监控。 2. 按照镜像的不同方式进行配置: 1) 基于端口的镜像 2) 基于流的镜像 二、数据配置步骤『端口镜像的数据流程』 基于端口的镜像是把被镜像端口的进出数据报文完全拷贝一份到镜像端口,这样来进行流量观测或者故障定位。 【3026等交换机镜像】 S2008/S2016/S2026/S2403H/S3026等交换机支持的都是基于端口的镜像,有两种方法: 方法一 1. 配置镜像(观测)端口 [SwitchA]monitor-port e0/8 2. 配置被镜像端口 [SwitchA]port mirror Ethernet 0/1 to Ethernet 0/2 方法二 1. 可以一次性定义镜像和被镜像端口 [SwitchA]port mirror Ethernet 0/1 to Ethernet 0/2 observing-port Ethernet 0/8 【8016交换机端口镜像配置】 1. 假设8016交换机镜像端口为E1/0/15,被镜像端口为E1/0/0,设置端口1/0/15为端口镜像的观测端口。 [SwitchA] port monitor ethernet 1/0/15 2. 设置端口1/0/0为被镜像端口,对其输入输出数据都进行镜像。 [SwitchA] port mirroring ethernet 1/0/0 both ethernet 1/0/15 也可以通过两个不同的端口,对输入和输出的数据分别镜像 1. 设置E1/0/15和E2/0/0为镜像(观测)端口
各型号交换机端口镜像配置方法和命令
端口镜像 各型号交换机端口镜像配置方法和命令"Port Mirror"即端口镜像,端口镜像为网络传输提供了备份通道。此外,还可以用于进行数据流量监测。可以这样理解:在端口A和端口B之间建立镜像关系,这样,通过端口A传输的数据将同时通过端口B传输,即使端口A处因传输线路等问题造成数据错误,还有端口B 处的数据是可用的。 Cisco交换机端口镜像配置 cisco交换机最多支持2组镜像,支持所有端口镜像。默认密码cisco Cisco catylist2820 有2个菜单选项 先进入menu选项,enable port monitor 进入cli模式, en conf term interface fast0/x 镜像口 port monitor fast0/x 被镜像口 exit wr Cisco catylist2924、2948 Cisco catylist 3524、3548 Switch>En Switch#Conf term Switch(config)#Interface fast mod/port Switch(config-if)#Port monitor mod/port Switch(config-if)#Exit Switch(config)#Wr Cisco catylist 2550 Cisco catylist 3550 支持2组monitor session en password config term Switch(config)#monitor session 1 destination interface fast0/4(1为session id,id范围为1-2)Switch(config)#monitor session 1 source interface fast0/1 , fast0/2 , fast0/3 (空格,逗号,空格) Switch(config)#exit Switch#copy running-conf startup-conf Switch#show port-monitor Cisco catylist 4000/5000系列Cisco catylist 6000 系列 支持2组镜像 En Show module (确认端口所在的模块) Set span source(mod/port) destination(mod/port) in|out|both inpkts enable Write tern all Show span 注:多个source:mod/port,mod/port-mod/port 连续端口用横杆“-”,非连续端口用逗号“,”
华为各种型号交换机端口镜像配置方法总结
华为各种型号交换机端口镜像配置方法总结 『环境配置参数』 1. PC1接在交换机E0/1端口,IP地址1.1.1.1/24 2. PC2接在交换机E0/2端口,IP地址2.2.2.2/24 3. E0/24为交换机上行端口 4. Server接在交换机E0/8端口,该端口作为镜像端口 『组网需求』 1. 通过交换机端口镜像的功能使用server对两台pc的业务报文进行监控。 2. 按照镜像的不同方式进行配置: 1) 基于端口的镜像 2) 基于流的镜像 2 数据配置步骤 『端口镜像的数据流程』 基于端口的镜像是把被镜像端口的进出数据报文完全拷贝一份到镜像端口,这样来进行流量观测或者故障定位。 【3026等交换机镜像】 S2008/S2016/S2026/S2403H/S3026等交换机支持的都是基于端口的镜像,有两种方法: 方法一 1. 配置镜像(观测)端口 [SwitchA]monitor-port e0/8 2. 配置被镜像端口 [SwitchA]port mirror Ethernet 0/1 to Ethernet 0/2 方法二 1. 可以一次性定义镜像和被镜像端口 [SwitchA]port mirror Ethernet 0/1 to Ethernet 0/2 observing-port Ethernet 0/8 【8016交换机端口镜像配置】 1. 假设8016交换机镜像端口为E1/0/15,被镜像端口为E1/0/0,设置端口1/0/15为端口镜像的观测端口。[SwitchA] port monitor ethernet 1/0/15 2. 设置端口1/0/0为被镜像端口,对其输入输出数据都进行镜像。 [SwitchA] port mirroring ethernet 1/0/0 both ethernet 1/0/15 也可以通过两个不同的端口,对输入和输出的数据分别镜像 1. 设置E1/0/15和E2/0/0为镜像(观测)端口 [SwitchA] port monitor ethernet 1/0/15 2. 设置端口1/0/0为被镜像端口,分别使用E1/0/15和E2/0/0对输入和输出数据进行镜像。[SwitchA] port mirroring gigabitethernet 1/0/0 ingress ethernet 1/0/15 [SwitchA] port mirroring gigabitethernet 1/0/0 egress ethernet 2/0/0 『基于流镜像的数据流程』 基于流镜像的交换机针对某些流进行镜像,每个连接都有两个方向的数据流,对于交换机来说这两个数据流是要分开镜像的。 【3500/3026E/3026F/3050】 〖基于三层流的镜像〗 1. 定义一条扩展访问控制列表
华为交换机中常见镜像操作
常见镜像操作 为了方便对一个或多个网络接口的流量进行分析(如IDS产品、网络分析仪等),可以通过配置交换机或路由器来把一个或多个端口(VLAN)的数据转发到某一个端口,即端口镜像,来实现对网络的监听。 端口镜像功能是对网络流量监控的一个有效的安全手段,对监控流量的分析可以进行安全性的检查,同时也能及时地在网络发生故障时进行准确的定位。 一、配置观察端口 配置任何一种镜像功能,都需要先配置观察端口,可单一配置,可批量配置。 配置单个观察端口: 本地观察端口,及观察端口与监控设备直连
gigabitethernet 1/0/3 二层远程观察端口,即通过二层设备转发镜像报文