ForceView流量分析儀安裝文檔

1、dhc網(wǎng)絡流量分析系統(tǒng)forceviewflow analyzer安裝手冊東華軟件股份公司dhc software co., ltd1系統(tǒng)簡介forceview flow analyzer是查詢路由器流量分析報表的一個系統(tǒng)。此系統(tǒng)包含若干功能: 察看設備分組，查看ip分組，系統(tǒng)管理操作，顯示告警信息以及四大視圖系統(tǒng)（設備視 圖，自治系統(tǒng)視圖，ip分組視圖，特殊端口視圖）。各項功能說明如下：察看設備分組（設備視圖）：查詢路由器及英各接i i的流量情況，包括“流量分析”，“應 用分析”，“源地址分析”，“目標地址分析”，“源自治系統(tǒng)”，“目標自治系 統(tǒng)”及“下一跳”。察看ip分組（ip分組視圖）：

2、查詢各ip段的流量情況，包括“源地址分析”，“目標地 址分析”，“應用分析”，“端口分析”。察看自治系統(tǒng)（自治系統(tǒng)視圖）：查詢自治系統(tǒng)間的流量。察看特殊端口（特殊端口試圖）：查詢特殊端口的流量。系統(tǒng)管理操作：包括：“路由器管理”，“主機網(wǎng)絡管理”，“設備分組管理”，“部門管理”,“ip分組管理”，“用戶管理”，“as分組管理”，“應用映射管理”， “特殊端口管理”，“過濾規(guī)則管理”，“告警策略管理”，“端口映射 管理”，“端口描述管理。路由器管理：設置路由器的地址，名稱，snmp,端口及是否啟用。偵聽端口設置：主機網(wǎng)絡管理：對流量分析儀及其所在網(wǎng)絡進行設置設備分組管理：將不同設備分組歸類，以便

3、用戶通過對設備分組的操作來管理不 同設備部門管理：設定部門，并將部門與ip分組對應，以便用戶通過對部門的操作來管理ip分組ip分組管理：設定ip分組名稱與實際ip地址（段），并將ip分組與部門對應 用戶管理 ：設置用戶以及用戶角色，并將設備組與部門管理權限賦予用戶as分組管理：按照主觀劃分網(wǎng)絡成不同自治系統(tǒng)應用映射管理：顯示各端口的應用映射列表特殊端口管理：標記某些特殊的應用端口過濾規(guī)則管理：設置路由器或其端口的監(jiān)控選項告警策略管理:設置安全告警策略端口映射管理：兀配snmp端口號與netflow端口號 端口描述管理：為路由器各個端口設置描述說明信息顯示告警信息：根據(jù)系統(tǒng)管理操作中設定的告警策

4、略顯示符合的告警信息2 具體安裝步驟2.1在路由器上設置netflowlcisc o路由器配置1、配置每個設備端口2定義netflow的版本3、定義netflow的采集器地址4、啟用聚合表功能（可選）5、配置netflow的超時值和netflow表大?。蛇x擇）6、配置采樣率（可選）例子：router#enablepassword:*router#con£igure terminalrouter-2621 （config）#interface fastethernet 0/1router2621 （configif）#ip route-cache flow （必配）router-26

5、21（config-if）#exitrouter-2621 （config）#ip flow-export destination 01 9996 （必酉己）router-2621 （config） #ip flow-export source fastethernet 0/1（可選） router-2621 （config） #ip flow-export source loopbacko 必酉己）router-2621（config）#ip fiow-export version 5 （必酉己）router-2621（config）#ip flow-cache tim

6、eout active 1（nj選）router-2621（config）#ip flow-cache timeout inactive 15 （可選）router-2621 （config） # set snmp community read-only public（設置 snmp 參數(shù)）（必配） router-2621（config）#匸outer#writerouter#show ip flow exportrouter#show ip cache flow2. cisco6509 和 cisc07600 配置netflow and nde 配置命令2.1接口配置命令wh-c6513.t

7、hwhgf.net（config-if）#ip route-cache flow （必配）在接口上激活netflow o2.2全局配置命令wh-c6513.thwhgf.net（config）#ip flow-export source loopbacko （必配）wh-c6513.thwhgf.net（config）#ip flow-export destination a.b.c.d port （必配） 耍想利用netflow進行網(wǎng)絡流戢的監(jiān)控和分析，可利用此命令來進行。其中，(abc.d)示目的服務器 的ip地址，v0-65535>表示目的服務器的udp服務端口。wh-c6513.

8、thwhgf.net(config)#ip flow-export version 5 (必配)配置netflow的協(xié)議版本，取值為1、5或9。wh-c6513.thwhgf.net(config)#ip flow-cache entries <1024-524288> entries ( hj'選)配置netflow緩沖屮的流條目的數(shù)量，<1024-524288>表示記錄的流條u的數(shù)量。wh-c6513.thwhgf.net(config)#ip flow-cache timeout active <1-60> (可選)配置netflow記錄的活躍

9、的流的定時器超時時間，單位為分鐘，缺省值30分鐘。wh-c6513.thwhgf.net(config)#ip flow-cache timeout inactive <10-600> (可選)配置netflow記錄的非活躍的流的定時器超時時間，單位為秒，缺省值15秒。wh-c6513.thwhgf.net(config)#mls nde sender激活 mls nde exportwh-c6513.thwhgf.net(config)#mls nde sender version 5 (必配)指定version號wh-c6513.thwhgf.net(config)#mls n

10、de flow exclude (可選)這條命令和下一條命令都是設置flow filter。wh-c6513.thwhgf.net(config)#mls nde flow include (可選)參數(shù): dest-port dest-port keyworddestination destination keywordprotocol protocol keywordsource source keywordsrc-portsrc-port keywordwh-c6513.thwhgf.net(config)#mls flow ip interface-full (必配)這條命令設置flow

11、 masko參數(shù)：destination： destination flow keyworddestinatioresource： destination-source flow keywordfull： full flow keywordinterface-destination-source： interface-destination-source flow keywordi n te rf ace-f u 11: i n te rf ace full flow keywordsource :source only flow keywordwh-c6513.thwhgf.net(conf

12、ig)#mls aging long (可選)參數(shù)： fast l3 fast aginglong:long aging keywordnormal:normal aging keyword4.3執(zhí)行診斷命令show ip flow export查看netflow的配置信息。wh-c6513.thwhgf.net#show ip flow exportflow export v5 is disabled for main cacheversion 5 flow records252849 flows exported in 10766 udp datagrams0 flows failed d

13、ue to lack of export packe4436 export packets were sent up to process level0 export packets were dropped due to no fib868 export packets were dropped due to adj ace ncy issues0 export packets were dropped due to fragmentation failures0 export packets were dropped due to encapsulation fixup failure0

14、export packets were dropped enqueuing for the rp0 export packets were dropped due to i pc rate limiting3 juniper設備配置firewall filter/f irewal 1 filter all term all then sample;accept;enable sampling / flowsforwarding-options sampling input family inet rate 100;output cflowd 6port 2055;version

15、 5;4.華為設備配置全局如下：ip netstream export source 發(fā)送源的 ipip netstream export host 4 9991 目的 ip 及端口 端口設置如下：ip netstream inbound ip 方向ip netstream outboundout 方向ip netstream multicast inbound 組播 inip netstream multicast outbound 組播 out5.凱創(chuàng)設備配置software informationsoftware version : e9.0

16、.5.0copyright: copyright (c) 2002 enterasys networksimage information : version e, built on tue aug 27 17:15:01 2002image boot location: slot0:boot/xp9050/boot prom version : prom-enetflow set flow-destination-port 9999netflow set ports et.3.(l-7)netflow set ports et.3.(l 1-16)netflow

17、set ports et.6.(3-5)netflow set ports et.6.(7-8)netflow set ports gi.2.1netflow set ports gi.2.(3-4)netflow set ports gi.4.(l-2)netflow set ports gi.4.4netflow set ports gi.5.(l-4)netflow set ports gi.7.(l-4)netflow set collector 26netflow enable2.2東華流量分析儀安裝1. 設置管理接口地址首先東華流量分析儀有四個網(wǎng)絡接口，系統(tǒng)默認

18、為mgt接口的ip地址為：00 , 用網(wǎng)線連接mgt接口，通過web進行設置。(注：如果不知到流量分析儀的ip地址，可 通過流量分析儀前面板進行觀察和進行設置。)2. 登入/注銷系統(tǒng)輸入流量分析儀所設定的網(wǎng)址，開啟forceview flow analyzer登入畫血，參考圖2.1,輸 入用戶名/密碼即可登入系統(tǒng)。其中00設置的ip地址。note：1 .用戶分為系統(tǒng)管理員和普通操作員，參考圖22,圖23。2 .普通操作員沒有“系統(tǒng)管理操作”的權限。3輸入系統(tǒng)管理員的用戶名/密碼。forceviewflowanalyzerdhccopyri ght 8

19、 2005 dhcc inc.版權所有北京東華合創(chuàng)數(shù)碼科技股份有限公司密碼登錄圖2.1系統(tǒng)登錄回血3.對netflow設備系統(tǒng)管理操作系統(tǒng)管理操作只有系統(tǒng)管理員才有權限登錄，而對一般操作員屏蔽。3.1設置主機網(wǎng)絡對流呈分析儀主機及其所在網(wǎng)絡進行設置，包括該主機的ip地址、子網(wǎng)掩碼、廣播地址等。 設置成功之后，啟動flow analyzer ju臺程序，路由器將netflow數(shù)據(jù)的udp包發(fā)送到指定ip的主機上，即流量分析儀主機。鼠標單擊管理操作中的系統(tǒng)配置中的主機網(wǎng)絡設置，如下圖所示fiouj rnakjzren拓撲視用|設備賓國i益控對第技用|接口|自怡域視圖|系se«if0路由s

20、ig50 蓋控對*o用戶配置更寥配玄o pe«lmj» o 告害配籃播口iph1 址子網(wǎng)掩碼網(wǎng)關dns狀3smgt1010151 191255255.255.010.10151 254202 106.020ha192.1683.100255.255255.0o255.255255.0ufth2192 168 輕o19246to0oeth4.6.100255.255 255.0qms»作、主機冋絡設吉綁l?f?n?l-/m第1頁共頃毎頁10條記錄到第1頁燒轉昔頁上頁下頁足頁顯示如下圖主機剛絡管理輪號|以龍網(wǎng)口畫述|

21、以太網(wǎng)ip|接口子網(wǎng)掩碼|r»m址|修改|1!除copyright ©2001 -2007 http. /aww c n丟10主機以太網(wǎng)口添加主機以太網(wǎng)口：鼠標單擊mgt接口，點擊修改，顯示以下界面 設置密碼b理員變作 > 請輸入驗證信js請輸入鑿證信息密碼:確定i拓捋視圖i isfiwm i監(jiān)誓對敦視19 i捋口fiks i自祐域視用i皆粵信2 ii系統(tǒng)管理茗本配恆0路由3rs0監(jiān)控對玻o用戶配査主機冋絡設百更o主機冋絡。臺書配宣接 口：1p地址：子網(wǎng)掩瑪就u網(wǎng)關： 欽認dns地址:mgt9110.10.151 254

22、202 106020根據(jù)系統(tǒng)設置，此處以以太網(wǎng)口 ip地址為91,子網(wǎng)掩碼地址為, 默認網(wǎng)關為54為例，填寫完畢單擊 匱董，顯示頁面如下基本配匿o號由as配吉o左養(yǎng)對毀o 用 piesa主機冋絡設置接口修改更多配2eo主機料絡0 告 sk5mgt91255.25525501010.1512540ha192.1683.100255.255.2550eth1192.1684100255.255255.0eth2192.1685.100255.255050eth3192.168 7100

23、255 255.2550eth4192.1686.100255.255.25501她址子網(wǎng)淹碼dns第1頁共1頁毎頁10條記錄 到第1頁眺轉首頁上頁下頁層頁完成以太網(wǎng)口的添加，用戶可根據(jù)實際需要修改主機默認的網(wǎng)管地址和dns地址。見上圖標注。完成更改單擊對應的修埜 按鈕即可。修改主機以太網(wǎng)口:點擊需要修改的主機以太網(wǎng)口對應的函圖標，進入以下界面修改以太屈口以太網(wǎng)口描述： 以太網(wǎng)口 ip地址： 子網(wǎng)掩碼地址： 廣播地址；eth3形30:192. 168. 5. 100255.255. 255.0192. 168. 5.255修改按鈕完成修改。修改取消用戶根據(jù)需要修改以太網(wǎng)口

24、完畢后，鼠標單擊刪除主機以太網(wǎng)口：單擊需要刪除以太網(wǎng)口名稱對應的彈出點擊匚遴定二按鈕完成刪除。3.2配置路由器鼠標單擊管理操作中的系統(tǒng)配置中的路由器配置，如下圖所示rjlr fiouj rnalyen拓撲視is &備視聞1畫拎對敦視國|接口|自祐域視圖|吿警信且|系統(tǒng)答理茗本配豈o紹由卷配倉o監(jiān)控對拿o 用尸配5s更名配買。主機冋絡 o皆警配置路由器名稱路由器地址community流記錄頑口采徉率采拝翊是否啟用修改刪除測試public11:1netflowv5ax2621172.2525.240pubbc111netflowv5是x2912172.25 25

25、.154public11 1netflowvj是x3550172.2525.152public111netflowv5是xloclhostdhccpublic1i:lnetflowv5是x第頃共頃毎頁20條記錄到第1頁跳轉首頁上頁下頁尾頁首理員變件二路由器設百而加賂由冊i進入以下界面:w«6»fr 路由器管理路由誥名稱下血幾圖展示如何設置一個路由器信息，其中的流記錄端口號指定了該路由器通過9991端 口向流量分析儀主機發(fā)送netflow數(shù)據(jù)。新增路由器單擊丨忝加路由器|按鈕顯示如下圖所示紿理員操作 > 添加路由器添加路由器路由器名稱：路由飆址：例如:

26、192.168 11community:流記錄靖口號:正整數(shù)，例如:9990采祥率：1正整數(shù) > 如果是100:1 >詰埴入100采祥類別：1 netflow v5二是否啟用：1是d我們以添加名為test的路由器為例，完成添加后點擊 廡存1按鈕進入如下頁面oforceview'flow analyzer路由爲證理«1dk 由 311921681 19991lest踣由smtt路由器名茫communitf2修改路由器：點擊需要修改路rti器的 冒 圖標，進入編輯窗口。以“s（路rh器為例，如下圖:添加路由器路由器名稱：路由器壇址：例 $0:co

27、mmunity:流記錄請口號：正整數(shù) > 例如:9990采徉率：1正整數(shù) > 如果是100:1 >詰埴入100采祥類別：|netflowv5z1是否啟用：i是zl確定i取消i在“修改路由器”窗口中，輸入要修改的部分。輸入完畢后點擊i保存修改i按鈕即可完成對路rti器的修改。刪除路由器單擊需要刪除路rti器名稱對應的*,彈出點擊lzikzj按鈕完成刪除。3.3監(jiān)控對象管理監(jiān)控對象管理用于設置流暈分析儀對進行數(shù)據(jù)監(jiān)控的對象的名稱，管理域,匹配的設備、 源、目標等各項參數(shù)。點擊系統(tǒng)配置頁血的監(jiān)控對象進入監(jiān)控對象管理頁血，如下圖：下面展示如何設置一個監(jiān)控對象信息：新增監(jiān)控對象管理單擊

28、添加監(jiān)控對象管理按鈕顯示如下圖所示:笞理員操作a添加監(jiān)控對彖-siwfi控對數(shù)-監(jiān)揑對象總述test選頂一:詰匹配設備選擇設備1d選頂二:是否匹配源ip不匹配*匹配mts三1|包括 二1起始tp地址：1010152.3 結束n地址：10 10152.236刪除|添加地址段|選攻三:是否匹配目標ip2不匹配匹配選頂四:是否匹配遞as號不匹配q匹配|單一as號 二|赳括端口號：忝加as號i26刪除|選取六:是否匹配bgp cocnmunity(?不匹配匹配選茨七:星否匹配as path介不匹配匹配選項八:是否匹配bgp next-hop不匹配q匹配參數(shù)：10/0.23.6鳩i (輸入應為下一跳的i

29、p地址)添加多數(shù)|選取九:是否匹自胡端口不匹配q匹配i單一端口二ii包括創(chuàng) 添加協(xié)議段i端口號:80刪除|選項十:是否匹配目標請口(?不匹配匹配選及十一是否匹k協(xié)議不匹配q匹配我們以添加名為wst的監(jiān)控對象為例，按要求填寫各項匹配的參數(shù)，完成后點擊確定 按鈕進入如下頁面：一 fiouj rnalyzen|«9sh i逼出拓i設備謖圖i左笠對*視圖i自治域視圖 告善信且i .二i系統(tǒng)営理基本配55皚由s£s隘控對敷用戶配置更多配舌件理員愎作 監(jiān)拎對希加盅輕對彖背理策昭生效修改監(jiān)控對象管理：點擊需要監(jiān)控對象管理頁面的函圖標，進入編輯窗口。以test監(jiān)控對象為例，如下圖:tcp

30、介 udp遶項三:是否匹a己目標ip2不匹配匹配選項四:是否匹§己源as號不匹配介匹配|單一as號二1|包括 二請口號:26刪除|添加as號|選項五:昱否匹配目標as號不匹配匹配選項六:是否匹配bgp communityq不匹配匹配選項七堤否匹配as path（?不匹配匹配選項八:是否匹配bgp next-hop不匹配q匹配參刪除 |（輸入應為下一跳的ip地址）添加參數(shù)|選項九:是否匹配源端口不匹配q匹配端口號：80單一端口二|包括二| 添加協(xié)議段|笞理員操作a修改益控對象修改監(jiān)控對象監(jiān)控對象描述test選項一:諸匹配設備選擇設備test all interfac

31、e;選項十:星否匹配目標請口遶項十一是否匹配協(xié)議不匹配tcp 點 udp在“修改監(jiān)控對象”窗口中，輸入要修改的部分。輸入完畢后點擊確左按鈕即可完成對監(jiān) 控對彖的修改。刪除監(jiān)控對象單擊蠱要刪除監(jiān)控對象對應的fioid rnalyen16撲複5j i設谷澳kj對第稅圖|自洽swsj |告善信息|系揚笞理!誌本配畳0路由3ie50占疫對誓o 用 pies更參配萱o主機糾絡0 告 sk5o 聶第轉發(fā)配玄:稱肋i退岀彈出對話框:按需要點擊 確定 或 取消 按鈕進入下一個彈出窗口操作后完成刪除。2.3對不支持netflow路由器可采用鏡像方式設置2.3.1端口鏡像配置命令l. cisco catalyst

32、交換機端口監(jiān)聽配置cisco catalyst交換機分為兩種，在catalyst家族中稱監(jiān)聽端口為分析端n (analysis port)o1、catalyst 2900xl/3500xl/2950系列交換機端口監(jiān)聽配置(基于cli)以下命令配置端口監(jiān)聽：port monitor例如，f0/1 和 fo/2、f0/5 同屬 vlan1, fo/1 監(jiān)聽 fo/2、fo/5 端口：interface fastetherneto/1port monitor fastetherneto/2port monitor fastetherneto/5port monitor vlan1 2、catalys

33、t 4000/5000/6000系列交換機端口監(jiān)聽配置（基于ios） 以下命令配置端口監(jiān)聽：set span例如,模塊6中端口 1和端口 2同屬vlan1,端口 3在vlan2,端口 4和5在vlan2,端口 2 監(jiān)聽端口 1和3、4、5,set span 6/1,6/3-5 6/2注：我們向正式用戶提供更為詳細的cisco ios software configuration guide 如果您是我們的正式用戶請與我們聯(lián)系。2. com交換機端口監(jiān)聽配置在3com交換機中，端口監(jiān)聽被稱為“roving analysis”。網(wǎng)絡流量被監(jiān)聽的端口稱作“監(jiān) 聽口” (monitor port),連

34、接監(jiān)聽設備的端口稱作"分析口” (analyzer port)。以下命令配置端口監(jiān)聽：指定分析口feature rovinganalysis add, 或縮寫 fra例如：select menu option: feature rovingan alysis addselect analysis slot: 1select analysis port: 2指定監(jiān)聽口并啟動端口監(jiān)聽feature rovinganalysis start,或縮寫 f r sta例如：select menu option: feature rovingan alysis startselect slot

35、to monitor (1-12): 1select port to monitor&nb sp; (18): 3停止端口監(jiān)聽feature rovinganalysis stop,或縮寫 f r sto3. dell交換機端口監(jiān)聽配置在dell交換機屮，端口監(jiān)聽被稱為“端口鏡像”(port mirroring)。使用交換機的管理 界面，參數(shù)如下：destination port （目的地端口）：定義端口通信要鏡像到的端口號;source port （源端口）:定義被鏡像端口的端口號。add （添加）：添加端口鏡像操作。type （類型）：指定要鏡像的端口通信類型?？赡艿淖侄沃蛋澹骸?/p>

36、rx” -表示鏡像進入網(wǎng) 絡的數(shù)據(jù)；“tx” -表示鏡像流出網(wǎng)絡的數(shù)據(jù)；both （）-表示鏡像所有數(shù)據(jù)。status （狀態(tài)）：表示端口的狀態(tài)?？赡艿淖侄沃蛋ǎ骸癮ctive” -表示端口被啟用； "not active” -表示端口被禁用。remove （刪除）：刪除端口鏡像會話?？赡艿淖侄沃蛋ǎ骸凹哼x取”-刪除端口鏡像會 話；“未選取” -保留端口鏡像會話。具體設置：1、在port mirroring對話框中的destination port中選中目的端口 （鏡像端口），再單 擊add按鈕；2在系統(tǒng)將打開"add source port” （添加源端口）頁面中，定

37、義“source port”（源 端口）和“type”（類型）字段，并單擊“apply changes”（應用更改），使系統(tǒng)接收更 改。（注：如果需要從端口鏡像會話刪除副本端口，請打開“port mirroring”（端口鏡像）頁 面，選取“remove”（刪除）復選框，再單擊“apply changes"（應用更改）。系統(tǒng)將刪 除端口鏡像會話，并更新設備。）以下命令配置端口監(jiān)聽：指定分析口cl1命令實例：console(config)# interface ethernet 1/elconsole(config-if)# port monitor l/e8console# show

38、 ports monitorsource port destination port type status 1/el l/e8 rx, tx active4netcore交換機端口監(jiān)聽配置netcore交換機中，端口監(jiān)聽被稱為“端口鏡像”（port mirroring）。 交換機提供四種監(jiān)視狀態(tài)：offrxtxboth關閉mirror功能捕獲被監(jiān)視端口的接收數(shù)據(jù)捕獲被監(jiān)視端口的發(fā)送數(shù)據(jù)捕獲被監(jiān)視端口的接收和發(fā)送的數(shù)據(jù)進入netcore的超級終端，在主菜單中輸入“5”進入端口鏡像設置界面，輸入“1”設置端 口鏡像狀態(tài)。如設置端口 1為鏡像端口，端口8為被鏡像端口，捕獲該端口的接收和發(fā)送數(shù)據(jù)。配

39、置命令如下：1.選擇配置的選項(l,off, 2. rx, 3. tx, 4. both) : 42. 選擇捕獲端口： 13. 選擇被鏡像端n： 8按esc鍵退冋鏡像設置界面，設置成功。5intel交換機端口監(jiān)聽配置intel稱端口監(jiān)聽為“mirror ports”。網(wǎng)絡流量被監(jiān)聽的端口稱作“源端口”(source port),連接監(jiān)聽設備的端口稱作“鏡像口” (mirror port)。配置端口監(jiān)聽步驟如下：在 navigation 菜單，點擊 statistics hkj mirror ports,彈出 mirror ports 信息。在 configure source 列中點擊端口來選

40、擇源端口,彈出 mirror ports configuratiorio進行源端口設置：源端口是鏡像流量的來源口，鏡像口是接收來自源端口流量的端口。點擊apply確定可以選擇三種監(jiān)聽的方式：1. 連續(xù)(always):鏡像全部流量。2. 周期(periodic):在一定周期內鏡像全部流量。鏡像周期在sampling interval configuration 屮設置。3. 禁止(disabled):關閉流量鏡像。6avaya交換機端口監(jiān)聽配置在avaya交換機用戶手冊中，端口監(jiān)聽被稱為“端口鏡像”(port mirror)。以下命令配置端口監(jiān)聽：set|clear port mirror設置

41、端口偵聽：set port mirror source-portmirror-portsampling always max-packets -secpiggyback-port 禁止端口監(jiān)聽：clear port mirror命令中，mod-port-range指定端口的范圍；mod-port-spec指定特定的端口；piggyback-port指定雙向鏡像的端口；sampling指定鏡像周期；max-packets-sec僅在sampling設置為periodic時使用，指定監(jiān)聽口每秒最多的數(shù)據(jù)報數(shù)量。7華為交換機端口監(jiān)聽配置<h3c> system-viewh3c mirro

42、ring-group 10 localih3cj interface gigabitethernet 3/0/48h3cgigabite(hemet 1/0/4 mirroring-group 10 monitor-porth3c-gigabitethernet 1/0/4 quith3c interface gigabitethernet 3/0/1h3c-gigabitethernet 1/0/1 mirroring-group 10 mirroring-port both8港灣交換機端口監(jiān)聽配置harbour(config) #harbour(c on fig)# config mirr

43、oring 1add add ports to mirroring groupdelete delete ports from mirroring group.disable disable cur re nt mirroring group to apply port mirroring groupharbour(c on fig)# config mirrori ng 1 add port 5harbour(c on fig)# config mirroring 1 to 13harbour(c on fig)# show mirrori ngport mirror configurati

44、ons:mirroring group 1:source port: 5target port: 13harbour(c on fig)# save con figurati on9juniper交換機端口監(jiān)聽配置juniper m系列和t系列端口鏡像配置方法length ; outputusenrouter# show forwardingoptions port-mirroring input family inet; rate ; run- in terface n ext-hop; no-filter-check; 選擇將抽樣的流量發(fā)送到哪個h的端口userrouter# show f

45、irewall filter mirror-sample from . then sample; accept;定義抽樣過濾器，選擇感興趣的流量userrouter# show in terface unit 0 family inet filter in put mirror-sample;選擇將抽樣的過濾器應用到某個端口端口鏡像的風險加重交換機負載，造成設備不穩(wěn)定在某些情況下會丟包，不能保證100%鏡像流量。例如，由于多個源端口鏡像到一個目的端口，目的端口 無法處理造成丟包2.3.2東華流量分析儀安裝1.首先東華流量分析儀有四個網(wǎng)絡接口，系統(tǒng)為第四個接口為eth1,eth2,eth3,et

46、h4,網(wǎng) 卡序號(eth4,eth5,eth7,eth6),再接上你要鏡像的接口。(eth1,eth2, eth3,eth4)2.登入/注銷系統(tǒng)輸入流量分析儀所設定的網(wǎng)址84,開啟forceview flow analyzer登入畫面, 參考圖2.1,輸入用戶名/密碼即可登入系統(tǒng)。其中84設置的ip地址。note：1 .用戶分為系統(tǒng)管理員和普通操作員，參考圖22,圖2.3。2 .普通操作員沒有“系統(tǒng)管理操作”的權限。3.輸入系統(tǒng)管理員的用戶名/密碼。用戶名：admin 密碼：adminscopyright 2005 dhcc inc.版權所有北京東華

47、合創(chuàng)數(shù)碼科技股份有限公司forceviewflowanalyzer用戶名s碼用戶登錄用戶登錄圖2.1系統(tǒng)甥錄畫面(1)配置路由器鼠標單擊管理操作屮的系統(tǒng)配置中的路由器配置，如下圖所示（乙 fiouj rnalyen基本配直拓撲|£&對色復圖|接口sias |自治域複圖|告雪信總|作a滋由器設直0塔由浴配辻左控對$ o用戶配置忝加路由器策略生效i更多ik2eo主機耳絡0 告 sies路由船名稱賂由能地址community流記錄竦口采徉率釆樣類別是否啟用11.1111 11pdbbc11 1netflowv5是2621172.2525.240pdblic111netflowv5是

48、2912172.2525.154pubbc111netflowv5是3550172 25 25.152public111netflowv5是localhost127.00.1dhccpublic11 1netflowv5是第頃共頃20條記錄s1s5 1頁眺轉試yyy測除 x x xxx刪進入以下界血:路由器管理坯由畐名姦fed：®*community克記錄試口號是否啟用修改海彌路由爲下而兒圖展示如何設置一個路rti器信息，其屮的流記錄端口號指定了該路由器通過9991端 口向流暈分析儀主機發(fā)送netflow數(shù)據(jù)。新增路由器單擊丨添加路由器丨按鈕顯示如下圖所示紿理員操作二添加路由器添加路

49、由器諸埴入100路由器名稱： 路由器地址： community: 流記錄請口號： 采祥率 采祥類別： 是否啟用：確定i取消i我們以添加名為test的路由器為例，完成添加后點擊 履存1按鈕進入如下頁面oforceview'flow analyzer路由爲證理«1dk 由 311921681 19991lest踣由smtt路由器名茫communitf2修改路由器：點擊需要修改路rti器的 冒 圖標，進入編輯窗口。以“s（路rh器為例，如下圖:添加路由器路由器名稱：路由器壇址：例 $0:community:流記錄請口號：正整數(shù) > 例如:9990采徉率：

50、1正整數(shù) > 如果是100:1 >詰埴入100采祥類別：|netflowv5z1是否啟用：i是zl確定i取消i在“修改路由器”窗口中，輸入要修改的部分。輸入完畢后點擊i保存修改i按鈕即可完成對路rti器的修改。刪除路由器單擊需要刪除路rti器名稱對應的*,彈出點擊匚靈二按鈕完成刪除。(2)鏡像管理配置i笞理員操作策略生效|網(wǎng)卡描述網(wǎng)卡序號對應設備對應接口狀態(tài)是否啟用修改eth1eth42912fastethemetoh<3是eth2eth52912fastethemeto/3o是eth3eth73550fastethemetohu旱eth4eth63550fastetheme

51、to/3u第頃共頃毎頁20條記錄到第1 頁跳轉首頁上頁下頁尾頁點擊修改端口管理員操作a修改鎖像達口 修改鍍像就口網(wǎng)卡：eth1對應設備：|2912二|fastethemeto/1 二|是否啟用：i是d點擊對應相應的設備和接口，選項是否啟用，選擇啟用，到相應的設備接口下看相應的數(shù)據(jù)。24系統(tǒng)管理通用設置2.4.1 ddos告警規(guī)則設置設置和維護告警策略，當系統(tǒng)超出所設置的告警閥值時，產生告警信息。告警分為流量 告警和ddos告警兩種。告警信息會顯示在上面導航欄屮的告警信息視圖屮。點擊系統(tǒng)配置頁面的告警配置進入告警策略管理頁面。如下圖：floiy rnalyeni幫時i退出祐撲視圖i設備視圖iks蓋對i目治域視r i esefl i1 i系統(tǒng)笞理o路由9kso 用 pieh更*配冴o主瓠同絡©告害配童o sfiftkies路由器名稱包數(shù)聞值字節(jié)倏改刪除test101000x第1頁共頃毎貢10條記錄到第1頁跳轉首頁上員下頁思氏在告警策略管理頁面:點擊ddos告警策略按鈕，進入ddos告警策略管理頁血:策略名稱tcp閥值udp閥值icmp閥值主機掃描閥值制除添加ddos告警策略:點擊添加ddos告警策略按鈕，進入添加流量告警策略頁面，下面以告警1為例添