- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
Copyright © 2013 杭州华三通信技术有限公司 版权所有,保留一切权利。 非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部, 并不得以任何形式传播。本文档中的信息可能变动,恕不另行通知。 |
|
目 录
本文档介绍通过端口镜像进行数据监控的典型配置举例。
在端口镜像的实际应用中,可以通过灵活配置实现不同的组网需求,比如一个源端口的数据可以镜像到多个目的端口,或者多个源端口的数据镜像到一个目的端口。
本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解端口镜像特性。
如图1所示,用户有两台监控分析设备,一台是分析仪,另一台是IDS(Intrusion Detection System,入侵检测系统)设备。用户希望能对来自互联网的流量同时进行分析和入侵检测。本组网中的Device设备不支持一个端口被多个本地镜像组用作源端口。
本例中的一个源端口和两个目的端口都位于同一台设备上,所以应优先考虑采用本地端口镜像方式。但一个本地镜像组内不允许有两个目的端口,所以需配置两个本地镜像组,而一个源端口又不能同时属于两个本地镜像组,所以此方式无法实现本例的需求。
在这种情况下,可借助二层远程端口镜像的反射端口方式实现需求:利用反射端口会在远程镜像VLAN中广播镜像报文的原理,将两个目的端口都加入远程镜像VLAN即可。
# 创建远程源镜像组。
<Device> system-view
[Device] mirroring-group 1 remote-source
# 创建VLAN 2。
[Device] vlan 2
[Device-vlan2] quit
# 为远程源镜像组配置远程镜像VLAN、源端口和反射口。
[Device] mirroring-group 1 remote-probe vlan 2
[Device] mirroring-group 1 mirroring-port ethernet 1/1 inbound
[Device] mirroring-group 1 reflector-port ethernet 1/2
(2) 在远程镜像VLAN中添加监控端口
# 将端口Ethernet1/3加入远程镜像VLAN。
[Device] interface ethernet 1/3
[Device-Ethernet1/3] port access vlan 2
[Device-Ethernet1/3] quit
# 将端口Ethernet1/4加入远程镜像VLAN。
[Device] interface ethernet 1/4
[Device-Ethernet1/4] port access vlan 2
用户在两台监控分析设备上可以同时收到来自互联网的流量,镜像功能生效。这样,用户就可以对互联网的流量分别进行综合分析和入侵检测了。
#
mirroring-group 1 remote-source
mirroring-group 1 remote-probe vlan 2
#
vlan 1
#
vlan 2
#
interface Ethernet1/1
port link-mode bridge
mirroring-group 1 mirroring-port inbound
#
interface Ethernet1/2
port link-mode bridge
mirroring-group 1 reflector-port
#
interface Ethernet1/3
port link-mode bridge
port access vlan 2
#
interface Ethernet1/4
port link-mode bridge
port access vlan 2
#
如图2所示,用户只有一台分析仪,但希望能够监控分析来自互联网和局域网的流量。使用的三台Device均为二层设备。为实现对流量的准确分析,要求避免来自互联网和局域网的流量互相影响。
由于是跨设备镜像,且源设备与目的设备都为二层设备,因此必须配置二层远程端口镜像。为了防止互联网和局域网的流量互相影响,Device A和Device B要使用不同的远程镜像VLAN。
在Device C上,Device A和Device B的不同远程镜像VLAN对应同一个目的端口。由于一个远程镜像组只能配置一个远程镜像VLAN,并且同一个目的端口不能配置在两个镜像组内。因此在Device C上,不能通过配置远程镜像组将不同远程镜像VLAN的流量送至分析器,而要通过配置连接分析仪的端口允许不同远程镜像VLAN通过来达到该目的。
(1) 配置远程源镜像组
# 创建远程源镜像组1。
<DeviceA> system-view
[DeviceA] mirroring-group 1 remote-source
# 创建VLAN 2。
[DeviceA] vlan 2
[DeviceA-vlan2] quit
# 为远程源镜像组配置远程镜像VLAN、源端口和反射口。
[DeviceA] mirroring-group 1 remote-probe vlan 2
[DeviceA] mirroring-group 1 mirroring-port ethernet 1/1 inbound
[DeviceA] mirroring-group 1 reflector-port ethernet 1/2
(2) 配置连接Device C的端口
# 配置端口Ethernet1/3为Trunk端口。
[DeviceA] interface ethernet 1/3
[DeviceA-Ethernet1/3] port link-type trunk
# 配置端口Ethernet1/3允许通过远程镜像VLAN。
[DeviceA-Ethernet1/3] port trunk permit vlan 2
# 配置端口Ethernet1/3禁止通过默认VLAN。
[DeviceA-Ethernet1/3] undo port trunk permit vlan 1
(1) 配置远程源镜像组
# 创建远程源镜像组1。
<DeviceB> system-view
[DeviceB] mirroring-group 1 remote-source
# 创建VLAN 3。
[DeviceB] vlan 3
[DeviceB-vlan2] quit
# 为远程源镜像组配置远程镜像VLAN、源端口和反射口。
[DeviceB] mirroring-group 1 remote-probe vlan 3
[DeviceB] mirroring-group 1 mirroring-port ethernet 1/1 inbound
[DeviceB] mirroring-group 1 reflector-port ethernet 1/2
(2) 配置连接Device C的端口
# 配置端口Ethernet1/3为Trunk端口。
[DeviceB] interface ethernet 1/3
[DeviceB-Ethernet1/3] port link-type trunk
# 配置端口Ethernet1/3允许通过远程镜像VLAN。
[DeviceB-Ethernet1/3] port trunk permit vlan 3
# 配置端口Ethernet1/3禁止通过默认VLAN。
[DeviceB-Ethernet1/3] undo port trunk permit vlan 1
(1) 创建Device A和Device B的远程镜像VLAN
# 创建VLAN 2和VLAN 3。
<DeviceC> system-view
[DeviceC] vlan 2
[DeviceC-vlan2] quit
[DeviceC] vlan 3
[DeviceC-vlan3] quit
(2) 配置连接Device A的端口
# 配置端口Ethernet1/1为Trunk端口。
[DeviceC] interface ethernet 1/1
[DeviceC-Ethernet1/1] port link-type trunk
# 配置端口Ethernet1/1允许通过Device A的远程镜像VLAN。
[DeviceC-Ethernet1/1] port trunk permit vlan 2
# 配置端口Ethernet1/1禁止通过默认VLAN。
[DeviceC-Ethernet1/1] undo port trunk permit vlan 1
[DeviceC-Ethernet1/1] quit
(3) 配置连接Device B的端口
# 配置端口Ethernet1/2为Trunk端口。
[DeviceC] interface ethernet 1/2
[DeviceC-Ethernet1/2] port link-type trunk
# 配置端口Ethernet1/2允许通过Device B的远程镜像VLAN。
[DeviceC-Ethernet1/2] port trunk permit vlan 3
# 配置端口Ethernet1/2禁止通过默认VLAN。
[DeviceC-Ethernet1/2] undo port trunk permit vlan 1
[DeviceC-Ethernet1/2] quit
(4) 配置连接分析仪的端口
# 配置端口Ethernet1/3为Trunk端口。
[DeviceC] interface ethernet 1/3
[DeviceC-Ethernet1/3] port link-type trunk
# 配置端口Ethernet1/3允许通过Device A和Device B的远程镜像VLAN。
[DeviceC-Ethernet1/3] port trunk permit vlan 2 to 3
# 配置端口Ethernet1/3禁止通过默认VLAN。
[DeviceC-Ethernet1/3] undo port trunk permit vlan 1
在分析仪上通过VLAN 2和VLAN 3可以分别观察到来自互联网和局域网的流量,表明镜像功能生效。
· Device A:
#
mirroring-group 1 remote-source
mirroring-group 1 remote-probe vlan 2
#
vlan 1
#
vlan 2
#
interface Ethernet1/1
port link-mode bridge
mirroring-group 1 mirroring-port inbound
#
interface Ethernet1/2
port link-mode bridge
mirroring-group 1 reflector-port
#
interface Ethernet1/3
port link-mode bridge
port link-type trunk
undo port trunk permit vlan 1
port trunk permit vlan 2
#
· Device B:
#
mirroring-group 1 remote-source
mirroring-group 1 remote-probe vlan 3
#
vlan 1
#
vlan 3
#
interface Ethernet1/1
port link-mode bridge
mirroring-group 1 mirroring-port inbound
#
interface Ethernet1/2
port link-mode bridge
mirroring-group 1 reflector-port
#
interface Ethernet1/3
port link-mode bridge
port link-type trunk
undo port trunk permit vlan 1
port trunk permit vlan 3
#
· Device C:
#
vlan 1
#
vlan 2 to 3
#
interface Ethernet1/1
port link-mode bridge
port link-type trunk
undo port trunk permit vlan 1
port trunk permit vlan 2
#
interface Ethernet1/2
port link-mode bridge
port link-type trunk
undo port trunk permit vlan 1
port trunk permit vlan 3
#
interface Ethernet1/3
port link-mode bridge
port link-type trunk
undo port trunk permit vlan 1
port trunk permit vlan 2 to 3
#
售前咨询
售后咨询
人工在线咨询
