H3C路由交换 镜像技术
镜像技术就是将指定端口的报文或者符合指定规则的报文复制到目的端口。用户可以利用镜像技术,进行网络监管和故障排除。其中镜像技术中应用最为广泛,实现最为简单的当属端口镜像。
- 源端口:源端口是被监管的端口,用户可以对通过该端口的报文进行监控和分析。
- 目的端口:目的端口也可以称为监控端口,该端口将接收到的报文转发到数据监测设备,以便对报文进行监控和分析。
- 镜像的方向:端口镜像的方向分为入方向、出方向和双向。
- 入方向:仅对源端口接收的报文进行镜像。
- 出方向:仅对源端口发送的报文进行镜像。
- 双向:对源端口接收和发送的报文都进行镜像。
镜像分类
本地端口镜像
本地端口镜像是指将设备的一个或多个端口的报文复制到本设备的一个目的端口,用于报文的分析和监视。其中,源端口和目的端口位于同一个本地镜像组。
远程端口镜像
远程端口镜像突破了源端口和目的端口必须在同一台设备上的限制,使源端口和目的端口间可以跨越多个网络设备。
流镜像
流镜像,即将指定的数据包复制到用户指定的目的地,已进行网络监测和故障排除。流镜像分为两种(流镜像到端口、流镜像到CPU)
- 流镜像到端口:是把通过配置了流镜像的端口的符合要求的数据包复制一份,然后发送到目的端口。
- 流镜像到CPU:是把通过配置了流镜像的端口的符合要求的数据包复制一份,然后发送到CPU以供分析诊断。在特定的条件下可以通过将流量镜像到CPU,并通过设备的debugging命令查看收到报文的具体内容而不需要额外的监控终端。
配置端口镜像
第一步:在系统视图下创建本地镜像组。
[SWB]mirroring-group [group-id] local 第二步:在系统视图或者端口视图下配置源端口。
[SWB]mirroring-group [group-id] mirroring-port [接口] {both | inbound | outbound}
[SWB-GigabitEthernet1/0/1]mirroring-group 1 mirroring-port {both | inbound | outbound}- both:表示对端口接收和发送的报文都进行镜像
- inbound:表示仅对端口接收的报文进行镜像
- outbound:表示仅对端口发送的报文进行镜像
第三步:在系统视图或者端口视图下配置目的端口。
[SWB]mirroring-group [group-id] monitor-port [接口]
[SWB-GigabitEthernet1/0/1]mirroring-group [group-id] monitor-port 端口镜像配置示例
在SWC上通过本地端口镜像将端口G1/0/1、G1/0/2两个端口的双向流镜像到目的端口G1/0/3,已实现对两个部门之间流量的监控。
创建本地镜像组1
[SWC]mirroring-group 1 local
[SWC]mirroring-group 1 mirroring-port G1/0/1 G1/0/2 both 配置镜像源,对端口G1/0/1和端口G1/0/2的入/出数据流进行镜像
[SWC]mirroring-group 1 mirroring-port G1/0/1 G1/0/2 both 配置G1/0/3为镜像目的端口,即监控端口。
[SWC]mirroring-group 1 monitor-port G1/0/3远程镜像配置
远程端口镜像通过远程源镜像组和远程目的镜像组互相配合的方式实现。
- 在源设备上配置远程源镜像组
- 源端口
- 出端口
- 远程镜像VLAN
- 配置中间设备
- 配置远程镜像VLAN,禁止MAC地址学习
- 配置TRUNK端口
- 在目的设备上配置远程目的镜像组
- 远程镜像VLAN
- 目的端口
配置源设备
第一步:在系统视图下创建源镜像组
[SWA]mirroring-group [group-id] remote-source #创建远程源镜像组第二步:在系统视图或者端口视图下配置源端口
[SWA]mirroring-group [group-id] mirroring-port [接口] {both | inbound | outbound}
[SWA-GigabitEthernet1/0/1]mirroring-group 1 mirroring-port {both | inbound | outbound}第三步:在系统视图或者端口视图下配置出端口
[SWA]mirroring-group [group-id] monitor-egress [接口]
[SWA-GigabitEthernet1/0/1]mirroring-group 1 monitor-egress 第四步:在系统视图下创建远程镜像VLAN
[SWA]mirroring-group [group-id] remote-probe vlan [vlan-id]配置中间设备
第一步:在VLAN视图下配置远程镜像VLAN属性。
创建远程镜像VLAN,禁止MAC地址学习功能(假设VLAN2)
[SWB]vlan 2
[SWB-vlan2]undo mac-address mac-learning enable 第二步:将与源设备/目的设备相连的端口设备为TRUNK属性,并允许远程镜像VLAN通过。
[SWB-GigabitEthernet1/0/1]port link-type trunk
[SWB-GigabitEthernet1/0/1]port trunk permit vlan [vlan-id]
[SWB-GigabitEthernet1/0/2]port link-type trunk
[SWB-GigabitEthernet1/0/2]port trunk permit vlan [vlan-id]配置目的设备
第一步:在系统视图下创建远程目的镜像组
[SWC]mirroring-group [group-id] remote-destination 第二步:在系统视图下创建远程镜像VLAN。
[SWC]mirroring-group [group-id] remote-probe vlan [vlan-id]第三步:在系统视图或者端口视图下配置目的端口
[SWC]mirroring-group [group-id] monitor-port [接口]第四步:将目的端口加入远程镜像VLAN中。
[SWC-GigabitEthernet1/0/3]port access vlan 2远程镜像配置示例
[SWA]mirroring-group 1 remote-source #配置源镜像组1
[SWA]vlan 2 #创建vlan2为远程镜像vlan
[SWA]mirroring-group 1 remote-probe vlan 2 #vlan2为远程镜像vlan
[SWA]mirroring-group 1 mirroring-port G1/0/2 G1/0/3 inbound #对端口2、3的入方向数量流进行镜像
[SWA]mirroring-group 1 monitor-egress G1/0/1 #配置出端口G1/0/1
[SWA-GigabitEthernet1/0/1]port link-type trunk #设置出端口为Trunk模式
[SWA-GigabitEthernet1/0/1]port trunk permit vlan 2 #允许vlan2通过[SWB]vlan 2
[SWB-vlan2]undo mac-address mac-learning enable #禁止mac地址学习
[SWB-GigabitEthernet1/0/1]port link-type trunk
[SWB-GigabitEthernet1/0/1]port trunk permit vlan 2
[SWB-GigabitEthernet1/0/2]port link-type trunk
[SWB-GigabitEthernet1/0/2]port trunk permit vlan 2[SWC-GigabitEthernet1/0/2]port link-type trunk
[SWC-GigabitEthernet1/0/2]port trunk permit vlan 2
[SWC]mirroring-group 1 remote-destination #创建目的镜像组1
[SWC]vlan 2 #创建vlan2
[SWC]mirroring-group 1 remote-probe vlan 2 #配置vlan2为远程镜像VLAN
[SWC]mirroring-group 1 monitor-port G1/0/1 #配置镜像目的端口
[SWC-GigabitEthernet1/0/1]port access vlan 2 #配置镜像目的端口允许远程镜像vlan通过镜像流配置
第一步:在系统视图下创建ACL,并进入相应ACL视图定义规则
[H3C]acl basic 2000
[H3C-acl-ipv4-basic-2000]rule [rule-id] {permit | deny} ...第二步:在系统视图下创建流,并在流视图下定义匹配报文的规则。
[H3C]traffic classifier [classifier-name] [operator {and | or}]
[H3C-classifier-1]if-match [match-criteria]第三步:在视图下创建流行为,并在流行为视图下配置流镜像目的端口。
[H3C]traffic behavior [behavior-name]
[H3C-behavior-1]mirror-to interface [接口]第四步:在系统视图下创建策略,并在策略中为类指定流行为,使类与流行为关联。
[H3C]qos policy [policy-name]
[H3C-qospolicy-name]classifier [tcl-name] behavior [behavior-name]第五步:在端口视图下把QOS策略应用到端口上。
[H3C-GigabitEthernet1/0/1]qos apply policy [policy-name] inbound 流镜像配置示例
pc1IP为192.168.0.1,配置基本ACL2000,匹配源IP地址为192.168.0.1的报文。
[H3C]acl basic 2000
[H3C-acl-ipv4-basic-2000]rule permit source 192.168.0.1 0
[H3C]traffic classifier 1 #配置流分类规则
[H3C-classifier-1]if-match acl 2000 #使用基本ACL 2000 进行流分类
[H3C]traffic behavior 1 #配置流行为
[H3C-behavior-1]mirror-to interface G1/0/2 #定义流镜像到G1/0/2的动作
[H3C]qos policy 1 #配置Qos策略1
[H3C-qospolicy-1]classifier 1 behavior 1 #为流分类1指定流行为1
[H3C-GigabitEthernet1/0/1]qos apply policy 1 inbound #将Qos策略应用到G1/0/1上镜像显示及注意事项
- 镜像显示
[H3C]dis mirroring-group {group-id | all | local | remote-destination | remote-source}
#group-id :显示指定镜像组的组号。
#all:显示所有镜像组。
#local:显示本地镜像组
#remote-destination:远程目的镜像组
#remote-source:远程源镜像组- 镜像配置注意事项
- 一个镜像组可以配置多个源端口,但只能配置一个目的端口;
- 远程镜像VLAN必须为已经创建的静态VLAN;
- 远程镜像VLAN不要做其它用途,仅用于远程镜像;
- 在对源端口双向的数据流进行镜像情况下,远程镜像VLAN最好关闭MAC地址学习。
本文参与 腾讯云自媒体同步曝光计划,分享自作者个人站点/博客。
如有侵权请联系 cloudcommunity@tencent.com 删除
评论
登录后参与评论
推荐阅读
目录
相关产品与服务
网络入侵防护系统
网络入侵防护系统(Network Intrusion Prevention System,NIPS),是基于腾讯安全服务内部数百条业务线的运维经验积累和大数据处理能力的结合,通过旁路部署的方式,提供了网络层 ACL (访问控制)和日志审计功能,解决云平台监管、ACL 控制、安全治理等问题,并辅助客户满足网安法,合规性要求。
腾讯云开发者
