- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
Copyright © 2013 杭州華三通信技術有限公司 版權所有,保留一切權利。 非經本公司書麵許可,任何單位和個人不得擅自摘抄、複製本文檔內容的部分或全部, 並不得以任何形式傳播。本文檔中的信息可能變動,恕不另行通知。 |
|
目 錄
本文檔介紹通過端口鏡像進行數據監控的典型配置舉例。
在端口鏡像的實際應用中,可以通過靈活配置實現不同的組網需求,比如一個源端口的數據可以鏡像到多個目的端口,或者多個源端口的數據鏡像到一個目的端口。
本文檔不嚴格與具體軟、硬件版本對應,如果使用過程中與產品實際情況有差異,請參考相關產品手冊,或以設備實際情況為準。
本文檔中的配置均是在實驗室環境下進行的配置和驗證,配置前設備的所有參數均采用出廠時的缺省配置。如果您已經對設備進行了配置,為了保證配置效果,請確認現有配置和以下舉例中的配置不衝突。
本文檔假設您已了解端口鏡像特性。
如圖1所示,用戶有兩台監控分析設備,一台是分析儀,另一台是IDS(Intrusion Detection System,入侵檢測係統)設備。用戶希望能對來自互聯網的流量同時進行分析和入侵檢測。本組網中的Device設備不支持一個端口被多個本地鏡像組用作源端口。
本例中的一個源端口和兩個目的端口都位於同一台設備上,所以應優先考慮采用本地端口鏡像方式。但一個本地鏡像組內不允許有兩個目的端口,所以需配置兩個本地鏡像組,而一個源端口又不能同時屬於兩個本地鏡像組,所以此方式無法實現本例的需求。
在這種情況下,可借助二層遠程端口鏡像的反射端口方式實現需求:利用反射端口會在遠程鏡像VLAN中廣播鏡像報文的原理,將兩個目的端口都加入遠程鏡像VLAN即可。
# 創建遠程源鏡像組。
<Device> system-view
[Device] mirroring-group 1 remote-source
# 創建VLAN 2。
[Device] vlan 2
[Device-vlan2] quit
# 為遠程源鏡像組配置遠程鏡像VLAN、源端口和反射口。
[Device] mirroring-group 1 remote-probe vlan 2
[Device] mirroring-group 1 mirroring-port ethernet 1/1 inbound
[Device] mirroring-group 1 reflector-port ethernet 1/2
(2) 在遠程鏡像VLAN中添加監控端口
# 將端口Ethernet1/3加入遠程鏡像VLAN。
[Device] interface ethernet 1/3
[Device-Ethernet1/3] port access vlan 2
[Device-Ethernet1/3] quit
# 將端口Ethernet1/4加入遠程鏡像VLAN。
[Device] interface ethernet 1/4
[Device-Ethernet1/4] port access vlan 2
用戶在兩台監控分析設備上可以同時收到來自互聯網的流量,鏡像功能生效。這樣,用戶就可以對互聯網的流量分別進行綜合分析和入侵檢測了。
#
mirroring-group 1 remote-source
mirroring-group 1 remote-probe vlan 2
#
vlan 1
#
vlan 2
#
interface Ethernet1/1
port link-mode bridge
mirroring-group 1 mirroring-port inbound
#
interface Ethernet1/2
port link-mode bridge
mirroring-group 1 reflector-port
#
interface Ethernet1/3
port link-mode bridge
port access vlan 2
#
interface Ethernet1/4
port link-mode bridge
port access vlan 2
#
如圖2所示,用戶隻有一台分析儀,但希望能夠監控分析來自互聯網和局域網的流量。使用的三台Device均為二層設備。為實現對流量的準確分析,要求避免來自互聯網和局域網的流量互相影響。
由於是跨設備鏡像,且源設備與目的設備都為二層設備,因此必須配置二層遠程端口鏡像。為了防止互聯網和局域網的流量互相影響,Device A和Device B要使用不同的遠程鏡像VLAN。
在Device C上,Device A和Device B的不同遠程鏡像VLAN對應同一個目的端口。由於一個遠程鏡像組隻能配置一個遠程鏡像VLAN,並且同一個目的端口不能配置在兩個鏡像組內。因此在Device C上,不能通過配置遠程鏡像組將不同遠程鏡像VLAN的流量送至分析器,而要通過配置連接分析儀的端口允許不同遠程鏡像VLAN通過來達到該目的。
(1) 配置遠程源鏡像組
# 創建遠程源鏡像組1。
<DeviceA> system-view
[DeviceA] mirroring-group 1 remote-source
# 創建VLAN 2。
[DeviceA] vlan 2
[DeviceA-vlan2] quit
# 為遠程源鏡像組配置遠程鏡像VLAN、源端口和反射口。
[DeviceA] mirroring-group 1 remote-probe vlan 2
[DeviceA] mirroring-group 1 mirroring-port ethernet 1/1 inbound
[DeviceA] mirroring-group 1 reflector-port ethernet 1/2
(2) 配置連接Device C的端口
# 配置端口Ethernet1/3為Trunk端口。
[DeviceA] interface ethernet 1/3
[DeviceA-Ethernet1/3] port link-type trunk
# 配置端口Ethernet1/3允許通過遠程鏡像VLAN。
[DeviceA-Ethernet1/3] port trunk permit vlan 2
# 配置端口Ethernet1/3禁止通過默認VLAN。
[DeviceA-Ethernet1/3] undo port trunk permit vlan 1
(1) 配置遠程源鏡像組
# 創建遠程源鏡像組1。
<DeviceB> system-view
[DeviceB] mirroring-group 1 remote-source
# 創建VLAN 3。
[DeviceB] vlan 3
[DeviceB-vlan2] quit
# 為遠程源鏡像組配置遠程鏡像VLAN、源端口和反射口。
[DeviceB] mirroring-group 1 remote-probe vlan 3
[DeviceB] mirroring-group 1 mirroring-port ethernet 1/1 inbound
[DeviceB] mirroring-group 1 reflector-port ethernet 1/2
(2) 配置連接Device C的端口
# 配置端口Ethernet1/3為Trunk端口。
[DeviceB] interface ethernet 1/3
[DeviceB-Ethernet1/3] port link-type trunk
# 配置端口Ethernet1/3允許通過遠程鏡像VLAN。
[DeviceB-Ethernet1/3] port trunk permit vlan 3
# 配置端口Ethernet1/3禁止通過默認VLAN。
[DeviceB-Ethernet1/3] undo port trunk permit vlan 1
(1) 創建Device A和Device B的遠程鏡像VLAN
# 創建VLAN 2和VLAN 3。
<DeviceC> system-view
[DeviceC] vlan 2
[DeviceC-vlan2] quit
[DeviceC] vlan 3
[DeviceC-vlan3] quit
(2) 配置連接Device A的端口
# 配置端口Ethernet1/1為Trunk端口。
[DeviceC] interface ethernet 1/1
[DeviceC-Ethernet1/1] port link-type trunk
# 配置端口Ethernet1/1允許通過Device A的遠程鏡像VLAN。
[DeviceC-Ethernet1/1] port trunk permit vlan 2
# 配置端口Ethernet1/1禁止通過默認VLAN。
[DeviceC-Ethernet1/1] undo port trunk permit vlan 1
[DeviceC-Ethernet1/1] quit
(3) 配置連接Device B的端口
# 配置端口Ethernet1/2為Trunk端口。
[DeviceC] interface ethernet 1/2
[DeviceC-Ethernet1/2] port link-type trunk
# 配置端口Ethernet1/2允許通過Device B的遠程鏡像VLAN。
[DeviceC-Ethernet1/2] port trunk permit vlan 3
# 配置端口Ethernet1/2禁止通過默認VLAN。
[DeviceC-Ethernet1/2] undo port trunk permit vlan 1
[DeviceC-Ethernet1/2] quit
(4) 配置連接分析儀的端口
# 配置端口Ethernet1/3為Trunk端口。
[DeviceC] interface ethernet 1/3
[DeviceC-Ethernet1/3] port link-type trunk
# 配置端口Ethernet1/3允許通過Device A和Device B的遠程鏡像VLAN。
[DeviceC-Ethernet1/3] port trunk permit vlan 2 to 3
# 配置端口Ethernet1/3禁止通過默認VLAN。
[DeviceC-Ethernet1/3] undo port trunk permit vlan 1
在分析儀上通過VLAN 2和VLAN 3可以分別觀察到來自互聯網和局域網的流量,表明鏡像功能生效。
· Device A:
#
mirroring-group 1 remote-source
mirroring-group 1 remote-probe vlan 2
#
vlan 1
#
vlan 2
#
interface Ethernet1/1
port link-mode bridge
mirroring-group 1 mirroring-port inbound
#
interface Ethernet1/2
port link-mode bridge
mirroring-group 1 reflector-port
#
interface Ethernet1/3
port link-mode bridge
port link-type trunk
undo port trunk permit vlan 1
port trunk permit vlan 2
#
· Device B:
#
mirroring-group 1 remote-source
mirroring-group 1 remote-probe vlan 3
#
vlan 1
#
vlan 3
#
interface Ethernet1/1
port link-mode bridge
mirroring-group 1 mirroring-port inbound
#
interface Ethernet1/2
port link-mode bridge
mirroring-group 1 reflector-port
#
interface Ethernet1/3
port link-mode bridge
port link-type trunk
undo port trunk permit vlan 1
port trunk permit vlan 3
#
· Device C:
#
vlan 1
#
vlan 2 to 3
#
interface Ethernet1/1
port link-mode bridge
port link-type trunk
undo port trunk permit vlan 1
port trunk permit vlan 2
#
interface Ethernet1/2
port link-mode bridge
port link-type trunk
undo port trunk permit vlan 1
port trunk permit vlan 3
#
interface Ethernet1/3
port link-mode bridge
port link-type trunk
undo port trunk permit vlan 1
port trunk permit vlan 2 to 3
#
