華為端口鏡像配置_第1頁
華為端口鏡像配置_第2頁
華為端口鏡像配置_第3頁
華為端口鏡像配置_第4頁
華為端口鏡像配置_第5頁
已閱讀5頁,還剩2頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

-.z.session1概述端口鏡像原理,將鏡像端口的流量復(fù)制一份發(fā)送到觀察端口供觀察端口下連的流量分析設(shè)備〔軟件〕對復(fù)制來的鏡像端口的流量進(jìn)展分析,在華為的SPAN端口鏡像中觀察端口仍然可以發(fā)送和承受數(shù)據(jù)〔思科中觀察端口就會停頓正常的數(shù)據(jù)收發(fā),只能觀察從鏡像端口復(fù)制來的流量〕。一、鏡像的分類1、端口鏡像端口鏡像是基于端口的鏡像,分為本地端口鏡像、二層遠(yuǎn)程端口鏡像、三層遠(yuǎn)程端口鏡像,鏡像的流量可以是入向或者出向。2、流鏡像流鏡像是基于流的鏡像,是根據(jù)用戶配置的策略traffic-class匹配的流量進(jìn)展鏡像,只支持〔鏡像端口的〕入方向,不支持出方向。流鏡像分為本地流鏡像、二層遠(yuǎn)程流鏡像、三層遠(yuǎn)程流鏡像。3、vlan鏡像vlan鏡像是基于vlan的鏡像,是將制定的vlan的所有活動接口的入方向的流量復(fù)制到觀察端口,不支持出方向。vlan鏡像分為本地vlan鏡像、二層遠(yuǎn)程vlan鏡像。4、mac地址鏡像基于mac地址的鏡像,將匹配源或目的的mac地址的入方向的流量復(fù)制到觀察關(guān)口,不支持出方向。mac地址鏡像支持本地mac地址鏡像、二層遠(yuǎn)程mac地址鏡像。session2鏡像的配置一、端口鏡像配置1、本地端口鏡像配置[Huawei]observe-port1interfaceg0/0/1

配置一個序列號為1的觀察端口g0/0/1[Huawei]interfaceg0/0/2

配置鏡像端口[Huawei-GigabitEthernet0/0/2]port-mirroringtoobserve-port1both

配置一個鏡像端口,將雙向流量復(fù)制到序列號為1的觀察端口[Huawei-GigabitEthernet0/0/2]quit查看端口配置狀態(tài)[Huawei]displayobserve-port

----------------------------------------------------------------------

Inde*

:1

Interface:GigabitEthernet0/0/1

Used

:2

----------------------------------------------------------------------[Huawei][Huawei]displayport-mirroring

Port-mirror:

----------------------------------------------------------------------

Mirror-port

Direction

Observe-port

----------------------------------------------------------------------

GigabitEthernet0/0/2

Both

GigabitEthernet0/0/1

----------------------------------------------------------------------[Huawei]2、二層遠(yuǎn)程端口鏡像端口的二層遠(yuǎn)程鏡像的原理是通過創(chuàng)立一個vlan,將鏡像端口的流量復(fù)制到觀察端口中,觀察端口在該vlan中進(jìn)展播送,通過vlan的播送將復(fù)制的流量發(fā)送到監(jiān)控設(shè)備連接的端口上,進(jìn)展監(jiān)控。值得注意的是鏡像端口和觀察端口必須在一臺設(shè)備上,鏡像端口不能在該vlan〔實(shí)際中發(fā)現(xiàn)鏡像端口也可以在該vlan中〕,而觀察端口因?yàn)橐占R像端口的流量,所以必須在這個vlan。在下面拓?fù)渲蠰SW1上的鏡像端口將流量復(fù)制到觀察端口中,由觀察端口在vlan2過播送將從鏡像端口復(fù)制的流量發(fā)送至監(jiān)控效勞器server1所連接的G0/0/2接口,供server1進(jìn)展流量的分析。配置:首先創(chuàng)立一個用于播送鏡像流量的vlan,分別在lsw1與lsw2上創(chuàng)立vlan2,并將server1連接的接口g0/0/2劃分到vlan2中用于接收復(fù)制的鏡像流量,而pc3默認(rèn)在vlan1中不屬于vlan2不用做其他的配置,在lsw之間允許vlan2的流量通過,注意觀察vlan中必須關(guān)閉MAC地址學(xué)習(xí)功能,因?yàn)樵摴δ芘c鏡像功能相沖突。[lsw1]vlan2[lsw1-vlan2]mac-addresslearningdisable

必須在觀察vlan中關(guān)閉mac地址學(xué)習(xí)功能[lsw1-vlan2]q[lsw1]interfaceg0/0/2

[lsw1-GigabitEthernet0/0/2]portlink-typetrunk[lsw1-GigabitEthernet0/0/2]porttrunkallow-passvlanall[lsw1-GigabitEthernet0/0/2]q[lsw1]observe-port1interfaceg0/0/2vlan2

指定觀察端口,并在vlan2中播送復(fù)制的流量[lsw1]interfaceg0/0/1[lsw1-GigabitEthernet0/0/1]port-mirroringtoobserve-port1both

指定鏡像端口,將流量復(fù)制到序列號為1的觀察端口[lsw1-GigabitEthernet0/0/1]q[lsw2]vlan2

[lsw2-vlan2]q[lsw2]interfaceg0/0/1

[lsw2-GigabitEthernet0/0/1]portlink-typetrunk[lsw2-GigabitEthernet0/0/1]porttrunkallow-passvlanall[lsw2-GigabitEthernet0/0/1]q[lsw2]interfaceg0/0/2

將監(jiān)控設(shè)備連接的端口參加vlan2收取從鏡像端口復(fù)制來的流量[lsw2-GigabitEthernet0/0/2]portlink-typeaccess

[lsw2-GigabitEthernet0/0/2]portdefaultvlan2

[lsw2-GigabitEthernet0/0/2]q3、三層遠(yuǎn)程鏡像端口配置端口的三層遠(yuǎn)程鏡像的原理是,通過在ip層建立一條GRE的tunnel隧道將鏡像端口的流量復(fù)制到觀察端口,觀察端口在通過GRE-tunnel隧道將流量發(fā)送到監(jiān)控設(shè)備所在的端口上,進(jìn)展流量的分析。在下面拓?fù)渲蠰SW1上的鏡像端口將流量復(fù)制到觀察端口,由觀察端口通過GRE-tunle發(fā)送至server2監(jiān)控效勞器連接的lsw2的E0/0/2接口,供server2對鏡像端口的流量進(jìn)展分析。配置如下:首先在AR1和AR2上分別配置路由網(wǎng)段及靜態(tài)路由,保證三層互通,然后在LSW1上配置鏡像端口及觀察端口的gre隧道。路由局部省略,在lsw1上配置:[Huawei]observe-port1interfacee0/0/1destination-ip192.168.2.100source-ip192.168.1.100

創(chuàng)立觀察端口及隧道[Huawei]interfacee0/0/2[Huawei-Ethernet0/0/1]port-mirroringtoobserve-port1both

指定鏡像端口和序列號1[Huawei-Ethernet0/0/1]quit

二、流鏡像配置流鏡像的配置與端口鏡像的配置小異,唯一不同點(diǎn)就是鏡像流量抓取的是流策略中定義的流量,而不是接口上的所有流量,另外就是流鏡像只支持入方向的流量的鏡像。下面為本地為例:二層遠(yuǎn)程和三層遠(yuǎn)程的配置與端口鏡像一致,只需要將鏡像端口改為流策略。下面拓?fù)渲幸笤贚SW1的G0/0/1接口上抓取所有ip-precedence為4和5的流量進(jìn)展鏡像到觀察端口。observe-port1interfaceGigabitEthernet0/0/2

配置觀察端口trafficclassifierspanoperatorand

配置流策略抓取ipp4、5的流量if-matchip-precedence45

*

trafficbehaviorspan

mirroringtoobserve-port1

流策略的行為是監(jiān)控*trafficpolicyspan

classifierspanbehaviorspan

*

drop-profiledefault

*interfaceMEth0/0/1

*

interfaceGigabitEthernet0/0/1

將流策略應(yīng)用于接口上只監(jiān)控ipp4、5的流量traffic-policyspaninbound

*三、vlan鏡像配置

vlan鏡像的配置與端口鏡像的配置小異,唯一不同點(diǎn)就是vlan鏡像流量抓取的是vlan中所有活動接口的流量,且只支持入方向的流量的鏡像。下面為本地為例:二層遠(yuǎn)程的配置與端口鏡像一致,只需要將鏡像端口改為vlan,不支持三層遠(yuǎn)程。下面拓?fù)渲幸笤贚SW1上抓取所有vlan2的流量進(jìn)展鏡像到觀察端口。配置:vlan2interfaceGigabitEthernet0/0/1

portlink-typeaccess

portdefaultvlan2

*

interfaceGigabitEthernet0/0/2

portlink-typeaccess

portdefaultvlan2

*[Huawei]observe-port1interfaceGigabitEthernet0/0/3

觀察端口[Huawei]vlan2[Huawei-vlan2]mirroringtoobserve-port1inbound

鏡像vlan2所有活動接口入向流量[Huawei-vlan2]quit四、mac地址鏡像配置

mac地址鏡像的配置與端口鏡像的配置小異,唯一不同點(diǎn)就是mac地址鏡像流量抓取指定的源或目的mac地址,且只支持入方向的流量的鏡像。下面為本地為例:二層遠(yuǎn)程的配置與端口鏡像一致,只需要將鏡像端口改為mac地址,不支持三層遠(yuǎn)程。下面拓?fù)渲幸笤贚SW1上的vlan2中僅抓取pc1的流量進(jìn)展鏡像到觀察端口。配置mac地址鏡像:vlan2interfaceGigabitEthernet0/0/1

portlink-typeaccess

portdefaultvlan2

*

interfaceGigabitEthernet0/0/2

portlink-typeaccess

portdefaultvlan2

*[Huawei]observe-port

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論