流镜像是指将设备、端口或者VLAN内收、发的指定类型报文复制到观察端口上,监控设备只对指定类型报文进行监测。

流镜像有基于ACL和基于MQC(即复杂流分类)两种配置方式。前者配置简便,但是没有后者支持匹配的报文类型多,而且只支持入方向(即接收报文方向)的流镜像;后者配置复杂,但是支持匹配的报文类型比前者多,而且入方向、出方向(即发送报文方向)的流镜像都支持。

配置基于 ACL的流镜像

1. 3.1 配置观察端口。例如:配置与监控设备直连的本地观察端口GE1/0/1。

<HUAWEI> system-view

[HUAWEI] observe-port 1 interface gigabitethernet 1/0/1

2. 创建ACL。例如:创建二层ACL,配置的规则是匹配802.1p优先级为6的报文。

[HUAWEI] acl 4001

[HUAWEI-acl-L2-4001] rule permit 8021p 6

[HUAWEI-acl-L2-4001] quit

3. 配置流镜像。例如:

将整个设备所有端口入方向(即接收报文方向)802.1p优先级为6的报文复制到

观察端口GE1/0/1。

[HUAWEI] traffic-mirror inbound acl 4001 to observe-port 1

将VLAN 10下所有端口入方向802.1p优先级为6的报文复制到观察端口GE1/0/1。

[HUAWEI] traffic-mirror vlan 10 inbound acl 4001 to observe-port 1

将端口GE2/0/1入方向802.1p优先级为6的报文复制到观察端口GE1/0/1。

[HUAWEI] interface gigabitethernet 2/0/1

[HUAWEI-GigabitEthernet2/0/1] traffic-mirror inbound acl 4001 to observe-port 1

4. 第1~3步可重复配置,能够实现:

将全局、多个VLAN或者端口指定类型报文复制到同一个观察端口。

将全局、单个VLAN或者端口指定类型报文复制到不同的观察端口。

配置基于 MQC 的流镜像

1. 3.1 配置观察端口。例如:配置与监控设备直连的本地观察端口GE1/0/1。

<HUAWEI> system-view

[HUAWEI] observe-port 1 interface gigabitethernet 1/0/1

2. 创建流分类。例如:创建流分类c1,并配置流分类规则是匹配802.1p优先级为6的报

文。

[HUAWEI] traffic classifier c1

[HUAWEI-classifier-c1] if-match 8021p 6

[HUAWEI-classifier-c1] quit

3. 创建动作是镜像的流行为。例如:创建流行为b1,并配置动作为流镜像。

[HUAWEI] traffic behavior b1

[HUAWEI-behavior-b1] mirroring to observe-port 1

[HUAWEI-behavior-b1] quit

4. 创建流策略,并将流分类和流行为绑定到流策略上。例如:创建流策略p1,并将上

面配置的流分类和流行为绑定到流策略p1上。

[HUAWEI] traffic policy p1

[HUAWEI-trafficpolicy-p1] classifier c1 behavior b1

[HUAWEI-trafficpolicy-p1] quit

5. 应用流策略。例如:

将整个设备所有端口入方向(即接收报文方向)802.1p优先级为6的报文复制到

观察端口GE1/0/1。

[HUAWEI] traffic-policy p1 global inbound

将VLAN 10下所有端口入方向802.1p优先级为6的报文复制到观察端口GE1/0/1。

[HUAWEI] vlan 10

[HUAWEI-vlan10] traffic-policy p1 inbound

将端口GE2/0/1入方向802.1p优先级为6的报文复制到观察端口GE1/0/1。

[HUAWEI] interface gigabitethernet 2/0/1

[HUAWEI-GigabitEthernet2/0/1] traffic-policy p1 inbound

6. 第1~5步可重复配置,能够实现:

将全局、多个VLAN或者端口指定类型报文复制到同一个观察端口。

华为9306

acl number

 rule  permit tcp destination-port eq www

 rule  permit udp destination-port eq 

observe-port  interface GigabitEthernet1//

#

traffic classifier c1 operator or precedence

 if-match acl

#

traffic behavior b1

  mirroring observing-port

#

traffic policy p1

 classifier c1 behavior b1

#

interface GigabitEthernet1//

 port link-type trunk

 port trunk pvid vlan

 port trunk allow-pass vlan

 traffic-policy p1 inbound

 华为S5700
observe-port 1 interface GigabitEthernet0/0/23(设置观察口)
#
acl number 3000
rule 5 permit tcp destination-port eq www  (设置高级acl,匹配http的流量)


traffic classifier http1 operator and     (设置流分类)
if-match acl 3000
#
traffic behavior http2          (设置流行为)
mirroring to observe-port 1
#
traffic policy http3       (设置流策略,将流分类与行为相关联)
]classifier http1 behavior http2
#

interface GigabitEthernet0/0/6   (将流策略应用于镜像口)
port link-type trunk
traffic-policy http3 outbound

流镜像(华为S9306和S5700)的更多相关文章

  1. 华为S9306简单实用配置合集

    华为QuidWay交换机配置命令手册: .开始 建立本地配置环境,将主机的串口通过配置电缆与以太网交换机的Console口连接. 在主机上运行终端仿真程序(如Windows的超级终端等),设置终端通信 ...

  2. vxlan中vtep角色,以及通过GRE隧道进行流镜像

    1. 交换机上建立gre隧道,对端ip为ip12. 交换机上报gre隧道的OF逻辑端口port id,这里gre tunnel的id实际就是OF逻辑端口id3. 控制器建立流ipflow1的镜像配置, ...

  3. 端口镜像——配置原理篇

    镜像是指将经过指定端口(镜像端口)或者指定VLAN(镜像VLAN)的报文复制一份到另一个指定端口(观察端口),然后转发到网络监控设备,供网络管理员进行网络监控与故障管理. 看官们可以通过下面的这张图了 ...

  4. ElasticSearch 镜像 & 安装 & 简易集群

    目录 ES镜像 JDK镜像 安装 1. 安装JDK 2. 解压安装ES 3. 配置 4. 新建用户 5. 启动 踩坑 1. root启用报错 2. max file descriptors [4096 ...

  5. ACL流策略

    QoS实现工具之MQC-qos设置 作者:上犹日期:2019-10-23 11:30:36 返回目录:设置问题 QoS技术可以对网络中报文进行分类处理,根据优先级提供不同的差分服务,如何实现这种差分服 ...

  6. 思科安全:加密流量威胁检测、加密流量威胁和恶意软件检测、识别无线干扰或威胁、Talos 情报源可加强对已知和新型威胁的防御、分布式安全异常检测

    思科DNA竞品比较工具 您的网络能够驱动数字化转型吗? 根据IDC调查,45%的受调研公司计划在未来两年内做好网络数字化的准备.查看数字化网络带来的结果和商业价值. 下载报告 思科 HPE 华为 Ar ...

  7. SDN环境搭建(mininet,OVS,ryu安装及命令)

    1.mininet安装与使用 1.1mininet安装 ubuntu 12.04/14.04/14.10      命令行  sudo apt-get install mininet 1.2 mini ...

  8. BCM芯片FP原理及相关SDK数据结构介绍

    BCM芯片有几个大的模块: VLAN.L2.L3和FP等几个,其中FP的使用也最为灵活,能解析匹配数据包文的前128字节比特级的内容,动作包括转发.丢弃.结合qos修改相应字段.分配vid.流镜像.流 ...

  9. group by分组后获得每组中符合条件的那条记录

    当group by单独使用时,只显示出每组的第一条记录.如下,未分组时查询出两条记录 SELECT info.id, info.switch_id, info.port_id, info.mac_ad ...

随机推荐

  1. 【iCore3 双核心板_FPGA】例程六:计数器实验——计数器使用

    实验指导书及代码包下载: http://pan.baidu.com/s/1kUiAAt5 iCore3 购买链接: https://item.taobao.com/item.htm?id=524229 ...

  2. ios-获取商店已上线app信息

    NSString *url = [[NSString alloc] initWithFormat:@"http://itunes.apple.com/lookup?id=%@",@ ...

  3. ExtJS笔记 Proxy

    Proxies are used by Stores to handle the loading and saving of Model data. Usually developers will n ...

  4. python学习道路(day1note)(变量,注释,用户输入,格式化输出,if,while,for循环并扩展练习)

    python是一门动态解释性的强类型定义语言,其应用范围非常之广 1:进入python语言 #!/usr/bin/env python #_*_coding:utf-8_*_ print(" ...

  5. 基于Spark1.3.0的Spark sql三个核心部分

    基于Spark1.3.0的Spark sql三个核心部分: 1.可以架子啊各种结构化数据源(JSON,Hive,and Parquet) 2.可以让你通过SQL,saprk内部程序或者外部攻击,通过标 ...

  6. zepto源码--核心方法4(包装)--学习笔记

    主要介绍一下wrap, wrapAll, wrapInner, unwrap方法. wrapAll 在所有匹配元素外面包一个单独的结构.结构可以是单个元素或 几个嵌套的元素,并且可以是html字符串或 ...

  7. ios 父VIew的宽度 等于较大view的宽度,并且垂直居中

       白色view上面有两个子View,红色view和橙色view.白色view的宽度等于橙色view和红色view宽度较大的一个,并且橙色view和红色view垂直居中, Masonry布局如下: ...

  8. iOS:命令行方式使用OSChina托管私有代码

    一.介绍 在项目开发中,使用版本控制工具是必不可少的开发工具,它可以帮助我们程序员写完代码后及时提交备份,防止因个人操作导致代码被误删除了或者丢失了,安全可靠.同时,使用版本控制器工具也可以很方便的进 ...

  9. (copy) Shell Script to Check Linux System Health

    source: http://linoxide.com/linux-shell-script/shell-script-check-linux-system-health/ This article ...

  10. Hadoop学习笔记: 全排序

    在Hadoop中实现全排序有如下三种方法: 1. 只使用一个reducer 2. 自定义partitioner 3. 使用TotalOrderPartitioner 其中第一种方法显然违背了mapre ...