选择区域语言: EN CN HK

12-网络管理和监控配置指导

08-镜像配置

本章节下载  (394.15 KB)

docurl=/cn/Service/Document_Software/Document_Center/Routers/Catalog/SR_Router/SR6600/Configure/Operation_Manual/H3C_SR6600_CG-R2507(V1.13)/12/201212/766531_30005_0.htm

08-镜像配置


1 端口镜像配置

1.1  端口镜像简介

端口镜像是将指定源端口的报文复制一份到目的端口,目的端口会与数据监测设备相连,用户利用这些数据监测设备来分析复制到目的端口的报文,进行网络监控和故障排除。

1.1.1  端口镜像的基本概念

为了更好地理解后面的内容,首先介绍一下端口镜像中涉及的基本概念。

1. 源端口

源端口是被监控的端口,用户可以对通过该端口的报文进行监控和分析。

2. 目的端口

目的端口也可称为监控端口,该端口将接收到的报文转发到数据监测设备,以便对报文进行监控和分析。

3. 镜像方向

端口镜像的方向分为三种:

l              入方向:仅对从源端口收到的报文进行镜像。

l              出方向:仅对从源端口发出的报文进行镜像。

l              双向:对从源端口收到和发出的报文都进行镜像。

1.1.2  端口镜像的分类

根据使用范围的不同,端口镜像可分为以下三种类型:

l              本地端口镜像:可以将设备源端口上的报文复制到本设备的目的端口,用于监控和分析这些报文。

l              二层远程端口镜像:可以将本设备源端口上的报文通过二层网络复制到另一台设备的目的端口,用于监控和分析这些报文。

l              三层远程端口镜像:可以将本设备源端口上的报文通过三层网络复制到另一台设备的目的端口,用于监控和分析这些报文。

l          SR6602路由器仅支持本地镜像功能。

l          当SAP高密以太网接口板工作在二层模式时,支持本地和二层远程镜像功能。

l          由于一个目的端口可以同时监视多个源端口,在某些配置情况下,目的端口会收到同一个报文的多个复制报文。例如,目的端口Port 1同时监控源端口Port 2和Port 3接收和发送的所有报文(Port 2和Port 3在同一台设备上),如果一个报文从Port 2进入设备又从Port 3发送出去,那么这个报文将被复制两次送到目的端口Port 1。

l          镜像报文是否带有VLAN Tag,不同的产品有所不同,请以各产品的实际情况为准。

 

1.1.3  端口镜像的实现方式

端口镜像通过镜像组的方式实现,镜像组可分为以下三类:

l              本地镜像组:如果一台设备的一个镜像组中既有源端口,又有目的端口,那么该镜像组就称为本地镜像组。

l              远程源镜像组:如果一台设备的一个镜像组中只有源端口,那么该镜像组就称为远程源镜像组,该设备也称为源设备。

l              远程目的镜像组:如果一台设备的一个镜像组中只有目的端口,那么该镜像组就称为远程目的镜像组,该设备也称为目的设备。

l          SR6602路由器仅支持本地镜像组。

l          当SAP高密以太网接口板工作在二层模式时,支持本地和远程镜像组。

l          每种镜像组最多可创建4个。

 

1. 本地端口镜像实现方式

本地端口镜像通过本地镜像组的方式实现,即源端口和目的端口在同一个本地镜像组中,设备将源端口的报文复制一份并转发到目的端口。

图1-1 本地端口镜像示意图

 

图1-1所示,源端口的报文被镜像到目的端口,这样,连接在目的端口上的数据监测设备就可以对这些报文进行监控和分析。

2. 二层远程端口镜像实现方式

二层远程端口镜像通过远程源镜像组和远程目的镜像组互相配合的方式实现。

图1-2 二层远程端口镜像示意图

 

图1-2所示,用户在源设备上创建远程源镜像组,在目的设备上创建远程目的镜像组。源设备将源端口的报文复制一份后,将其通过出端口在远程镜像VLAN中广播,经由中间设备发送至目的设备。目的设备收到该报文后,若其VLAN ID与远程目的镜像组的远程镜像VLAN的VLAN ID相同,就将其转发至目的端口。这样,连接在目的端口上的数据监测设备就可以对源设备上源端口的报文进行监控和分析。

l          用户需要确保远程镜像VLAN内源设备到目的设备间二层网络的互通性。

l          由于源端口的报文将被在源设备的远程镜像VLAN中广播,因此可通过把源设备上的其它端口加入远程镜像VLAN的方式,实现本地端口镜像的功能。

 

在镜像报文离开源设备到达远程目的设备过程中,用户应确保镜像报文中VLAN ID的正确性,如果该VLAN ID被修改或删除,二层远程镜像功能将失效。

 

1.2  配置本地端口镜像

1.2.1  配置任务简介

本地端口镜像的配置需要在同一台设备上进行。

首先创建一个本地镜像组,然后为该镜像组配置源端口和目的端口。

表1-1 本地端口镜像配置任务简介

配置任务

说明

详细配置

创建本地镜像组

必选

1.2.2 

配置源端口

必选

1.2.3 

配置目的端口

必选

1.2.4 

 

通常,一个端口只能被一个镜像组使用;而在支持多目的端口的设备上,一个端口可被多个镜像组用作源端口,但源端口不能再被用作本镜像组或其它镜像组的反射端口、出端口或目的端口。

 

1.2.2  创建本地镜像组

表1-2 创建本地镜像组

操作

命令

说明

进入系统视图

system-view

-

创建本地镜像组

mirroring-group group-id local

必选

缺省情况下,不存在任何镜像组

 

配置好源端口和目的端口后,本地镜像组才能生效。

 

1.2.3  配置源端口

可以在系统视图下为指定镜像组配置一个或多个源端口,也可以在接口视图下将当前接口配置为指定镜像组的源端口,二者的配置效果相同。

1. 在系统视图下配置源端口

表1-3 在系统视图下配置源端口

操作

命令

说明

进入系统视图

system-view

-

为本地镜像组配置源端口

mirroring-group group-id mirroring-port mirroring-port-list { both | inbound | outbound }

必选

缺省情况下,镜像组没有源端口

 

2. 在接口视图下配置源端口

表1-4 在接口视图下配置源端口

操作

命令

说明

进入系统视图

system-view

-

进入接口视图

interface interface-type interface-number

必选

配置本端口为本地镜像组的源端口

[ mirroring-group group-id ] mirroring-port { both | inbound | outbound }

必选

缺省情况下,端口不是任何镜像组的源端口

 

一个镜像组内可以配置多个源端口。

 

1.2.4  配置目的端口

可以在系统视图下为指定镜像组配置目的端口,也可以在接口视图下将当前接口配置为指定镜像组的目的端口,二者的配置效果相同。

1. 在系统视图下配置目的端口

表1-5 在系统视图下配置目的端口

操作

命令

说明

进入系统视图

system-view

-

为本地镜像组配置目的端口

mirroring-group group-id monitor-port monitor-port-id

必选

缺省情况下,镜像组没有目的端口

 

2. 在接口视图下配置目的端口

表1-6 在接口视图下配置目的端口

操作

命令

说明

进入系统视图

system-view

-

进入接口视图

interface interface-type interface-number

-

配置本端口为本地镜像组的目的端口

[ mirroring-group group-id ] monitor-port

必选

缺省情况下,端口不是任何镜像组的目的端口

 

l          一个镜像组内只能配置一个目的端口。

l          请不要将目的端口上使能STP、MSTP和RSTP,否则会影响镜像功能的正常使用。

l          目的端口收到的报文包括复制自源端口的报文和来自其它端口的正常转发报文。为了保证数据监测设备只对源端口的报文进行分析,请将目的端口只用于端口镜像,不作其它用途。

 

1.3  配置二层远程端口镜像

1.3.1  配置任务简介

二层远程端口镜像的配置需要分别在源设备和目的设备上进行。

l          通常,一个端口只能被一个镜像组使用;而在支持多目的端口的设备上,一个端口可被多个镜像组用作源端口,但源端口不能再被用作本镜像组或其它镜像组的反射端口、出端口或目的端口。

l          如果用户在设备上启用了GVRP(GARP VLAN Registration Protocol,GARP VLAN注册协议)功能,GVRP可能将远程镜像VLAN注册到不希望的端口上,此时在目的端口就会收到很多不必要的报文。有关GVRP的详细介绍,请参见“二层技术-以太网交换配置指导”中的“GVRP”。

 

首先在源设备上为远程源镜像组配置源端口、出端口和远程镜像VLAN,然后在目的设备上为远程目的镜像组配置远程镜像VLAN和目的端口。

表1-7 二层远程端口镜像配置任务简介

配置任务

说明

详细配置

配置远程源镜像组

创建远程源镜像组

必选

1.3.3  1.

配置源端口

必选

1.3.3  2.

配置出端口

必选

1.3.3  3.

配置远程镜像VLAN

必选

1.3.3  4.

配置远程目的镜像组

创建远程目的镜像组

必选

1.3.4  1.

配置目的端口

必选

1.3.4  2.

配置远程镜像VLAN

必选

1.3.4  3.

将目的端口加入远程镜像VLAN

必选

1.3.4  4.

 

1.3.2  配置准备

在配置二层远程端口镜像之前,需完成以下任务:

配置远程镜像VLAN所使用的静态VLAN

源设备上的远程源镜像组和目的设备上的远程目的镜像组必须使用相同的远程镜像VLAN。

 

1.3.3  配置远程源镜像组

请在源设备上进行如下配置。

1. 创建远程源镜像组

表1-8 创建远程源镜像组

操作

命令

说明

进入系统视图

system-view

-

创建远程源镜像组

mirroring-group group-id remote-source

必选

缺省情况下,不存在任何镜像组

 

2. 配置源端口

可以在系统视图下为指定镜像组配置一个或多个源端口,也可以在接口视图下将当前接口配置为指定镜像组的源端口,二者的配置效果相同。

(1)        在系统视图下配置源端口

表1-9 在系统视图下配置源端口

操作

命令

说明

进入系统视图

system-view

-

为远程源镜像组配置源端口

mirroring-group group-id mirroring-port mirroring-port-list { both | inbound | outbound }

必选

缺省情况下,镜像组没有源端口

 

(2)        在接口视图下配置源端口

表1-10 在接口视图下配置源端口

操作

命令

说明

进入系统视图

system-view

-

进入接口视图

interface interface-type interface-number

-

配置本端口为远程源镜像组的源端口

[ mirroring-group group-id ] mirroring-port { both | inbound | outbound }

必选

缺省情况下,端口不是任何镜像组的源端口

 

l          一个镜像组内可以配置多个源端口。

l          请不要将源端口加入到远程镜像VLAN中,否则会影响镜像功能的正常使用。

 

3. 配置出端口

可以在系统视图下为指定镜像组配置出端口,也可以在接口视图下将当前接口配置为指定镜像组的出端口,二者的配置效果相同。

(1)        在系统视图下配置出端口

表1-11 在系统视图下配置出端口

操作

命令

说明

进入系统视图

system-view

-

为远程源镜像组配置出端口

mirroring-group group-id monitor-egress monitor-egress-port

必选

缺省情况下,镜像组没有出端口

 

(2)        在接口视图下配置出端口

表1-12 在接口视图下配置出端口

操作

命令

说明

进入系统视图

system-view

-

进入接口视图

interface interface-type interface-number

-

配置本端口为远程源镜像组的出端口

mirroring-group group-id monitor-egress

必选

缺省情况下,端口不是任何镜像组的出端口

 

l          一个镜像组内只能配置一个出端口。

l          出端口不能是现有镜像组的成员端口。

l          请不要在出端口上配置下列功能:STP、MSTP、RSTP、802.1X、IGMP Snooping、静态ARP和MAC地址学习,否则会影响镜像功能的正常使用。

 

4. 配置远程镜像VLAN

表1-13 配置远程镜像VLAN

操作

命令

说明

进入系统视图

system-view

-

为远程源镜像组配置远程镜像VLAN

mirroring-group group-id remote-probe vlan rprobe-vlan-id

必选

缺省情况下,镜像组没有远程镜像VLAN

 

请将远程镜像VLAN只用于端口镜像,不作其它用途。

 

1.3.4  配置远程目的镜像组

请在目的设备上进行如下配置。

1. 创建远程目的镜像组

表1-14 创建远程目的镜像组

操作

命令

说明

进入系统视图

system-view

-

创建远程目的镜像组

mirroring-group group-id remote-destination

必选

缺省情况下,不存在任何镜像组

 

2. 配置目的端口

可以在系统视图下为指定镜像组配置目的端口,也可以在接口视图下将当前接口配置为指定镜像组的目的端口,二者的配置效果相同。

(1)        在系统视图下配置目的端口

表1-15 在系统视图下配置目的端口

操作

命令

说明

进入系统视图

system-view

-

为远程目的镜像组配置目的端口

mirroring-group group-id monitor-port monitor-port-id

必选

缺省情况下,镜像组没有目的端口

 

(2)        在接口视图下配置目的端口

表1-16 在接口视图下配置目的端口

操作

命令

说明

进入系统视图

system-view

-

进入接口视图

interface interface-type interface-number

-

配置本端口为远程目的镜像组的目的端口

[ mirroring-group group-id ] monitor-port

必选

缺省情况下,端口不是任何镜像组的目的端口

l          一个镜像组内只能配置一个目的端口。

l          请不要将目的端口上使能STP、MSTP和RSTP,否则会影响镜像功能的正常使用。

l          目的端口收到的报文包括复制自源端口的报文和来自其它端口的正常转发报文。为了保证数据监测设备只对源端口的报文进行分析,请将目的端口只用于端口镜像,不作其它用途。

 

3. 配置远程镜像VLAN

表1-17 配置远程镜像VLAN

操作

命令

说明

进入系统视图

system-view

-

为远程目的镜像组配置远程镜像VLAN

mirroring-group group-id remote-probe vlan rprobe-vlan-id

必选

缺省情况下,镜像组没有远程镜像VLAN

 

请将远程镜像VLAN只用于端口镜像,不作其它用途。

 

4. 将目的端口加入远程镜像VLAN

表1-18 将目的端口加入远程镜像VLAN

操作

命令

说明

进入系统视图

system-view

-

进入目的接口视图

interface interface-type interface-number

-

将目的端口加入远程镜像VLAN

目的端口为Access端口

port access vlan vlan-id

三者必选其一

目的端口为Trunk端口

port trunk permit vlan vlan-id

目的端口为Hybrid端口

port hybrid vlan vlan-id { tagged | untagged }

 

有关port access vlanport trunk permit vlanport hybrid vlan命令的详细介绍,请参见“二层技术-以太网交换命令参考”中的“VLAN”。

 

1.4  端口镜像显示和维护

在完成上述配置后,在任意视图下执行display命令可以显示配置后镜像组的运行情况,通过查看显示信息验证配置的效果。

表1-19 端口镜像显示和维护

操作

命令

显示镜像组的配置信息

display mirroring-group { group-id | all | local | remote-destination | remote-source } [ | { begin | exclude | include } regular-expression ]

 

1.5  端口镜像典型配置举例

1.5.1  本地端口镜像配置举例

1. 组网需求

l              Router A通过端口GigabitEthernet2/0/1和GigabitEthernet2/0/2分别连接市场部和技术部,并通过端口GigabitEthernet2/0/3连接Server。

l              通过配置源端口方式的本地端口镜像,使Server可以监控所有进、出市场部和技术部的报文。

2. 组网图

图1-3 本地端口镜像配置组网图

 

 

3. 配置步骤

(1)        配置本地镜像组

# 创建本地镜像组1。

<RouterA> system-view

[RouterA] mirroring-group 1 local

# 配置本地镜像组1的源端口为GigabitEthernet2/0/1和GigabitEthernet2/0/2,目的端口为GigabitEthernet2/0/3。

[RouterA] mirroring-group 1 mirroring-port gigabitethernet 2/0/1 gigabitethernet 2/0/2 both

[RouterA] mirroring-group 1 monitor-port gigabitethernet 2/0/3

(2)        检验配置效果

# 显示所有镜像组的配置信息。

[RouterA] display mirroring-group all

mirroring-group 1:

    type: local

    status: active

    mirroring port:

        GigabitEthernet2/0/1  both

        GigabitEthernet2/0/2  both

    mirroring vlan:

    mirroring CPU:

    monitor port: GigabitEthernet2/0/3

配置完成后,用户可以通过Server监控所有进、出市场部和技术部的报文。

1.5.2  二层远程端口镜像配置举例

1. 组网需求

l              在一个二层网络中,Router A通过端口GigabitEthernet2/0/1连接市场部,并通过Trunk端口GigabitEthernet2/0/2与Router B的Trunk端口GigabitEthernet2/0/1相连;Router C通过端口GigabitEthernet2/0/2连接Server,并通过Trunk端口GigabitEthernet2/0/1与Router B的Trunk端口GigabitEthernet2/0/2相连。

l              通过配置远程端口镜像,使Server可以穿越二层网络监控所有进、出市场部的报文。

2. 组网图

图1-4 二层远程端口镜像配置组网图

 

3. 配置步骤

(1)        配置Router A

# 创建远程源镜像组1。

<RouterA> system-view

[RouterA] mirroring-group 1 remote-source

# 创建VLAN 2。

[RouterA] vlan 2

[RouterA-vlan2] quit

# 配置远程源镜像组1的远程镜像VLAN为VLAN 2,源端口为GigabitEthernet2/0/1,出端口为GigabitEthernet2/0/2。

[RouterA] mirroring-group 1 remote-probe vlan 2

[RouterA] mirroring-group 1 mirroring-port gigabitethernet 2/0/1 both

[RouterA] mirroring-group 1 monitor-egress gigabitethernet 2/0/2

# 配置端口GigabitEthernet2/0/2为Trunk口,并允许VLAN 2的报文通过。

[RouterA] interface gigabitethernet 2/0/2

[RouterA-GigabitEthernet2/0/2] port link-type trunk

[RouterA-GigabitEthernet2/0/2] port trunk permit vlan 2

[RouterA-GigabitEthernet2/0/2] quit

(2)        配置Router B

# 创建VLAN 2。

<RouterB> system-view

[RouterB] vlan 2

[RouterB-vlan2] quit

# 配置端口GigabitEthernet2/0/1为Trunk口,并允许VLAN 2的报文通过。

[RouterB] interface gigabitethernet 2/0/1

[RouterB-GigabitEthernet2/0/1] port link-type trunk

[RouterB-GigabitEthernet2/0/1] port trunk permit vlan 2

[RouterB-GigabitEthernet2/0/1] quit

# 配置端口GigabitEthernet2/0/2为Trunk口,并允许VLAN 2的报文通过。

[RouterB-GigabitEthernet2/0/1] quit

[RouterB] interface gigabitethernet 2/0/2

[RouterB-GigabitEthernet2/0/2] port link-type trunk

[RouterB-GigabitEthernet2/0/2] port trunk permit vlan 2

[RouterB-GigabitEthernet2/0/2] quit

(3)        配置Router C

# 配置端口GigabitEthernet2/0/1为Trunk口,并允许VLAN 2的报文通过。

<RouterC> system-view

[RouterC] interface gigabitethernet 2/0/1

[RouterC-GigabitEthernet2/0/1] port link-type trunk

[RouterC-GigabitEthernet2/0/1] port trunk permit vlan 2

[RouterC-GigabitEthernet2/0/1] quit

# 创建远程目的镜像组1

[RouterC] mirroring-group 1 remote-destination

# 创建VLAN 2

[RouterC] vlan 2

[RouterC-vlan2] quit

# 配置远程目的镜像组1的远程镜像VLANVLAN 2,目的端口为GigabitEthernet2/0/2,并将端口GigabitEthernet2/0/2加入VLAN 2

[RouterC] mirroring-group 1 remote-probe vlan 2

[RouterC] interface gigabitethernet 2/0/2

[RouterC-GigabitEthernet2/0/2] mirroring-group 1 monitor-port

[RouterC-GigabitEthernet2/0/2] port access vlan 2

[RouterC-GigabitEthernet2/0/2] quit

(4)        检验配置效果

配置完成后,用户可以通过Server监控所有进、出市场部的报文。

 


2 流镜像配置

l          SR6602路由器不支持流镜像功能。

l          当SAP高密以太网接口工作在二层模式时,支持流镜像功能,但不支持流镜像到VLAN。

 

2.1  流镜像简介

流镜像是指将指定报文复制到指定目的地,用于报文的分析和监控。它通过QoS策略来实现,即使用流分类技术为待镜像报文定义匹配条件,再通过配置流行为将符合条件的报文镜像至指定目的地。流镜像可分为以下两种类型:

l              流镜像到接口:将符合要求的报文复制一份并转发到指定接口。

l              流镜像到CPU:将符合要求的报文复制一份并转发到CPU(这里的CPU是指配置了流镜像的源接口所在单板上的CPU)。

l          出方向流镜像到接口只支持已知单播报文,不支持广播、组播和未知单播报文。

l          有关QoS策略、流分类和流行为的详细介绍,请参见“ACL和QoS配置指导”中的“QoS配置方式”。

 

2.2  流镜像配置任务简介

表2-1 流镜像配置任务简介

配置任务

说明

详细配置

配置报文匹配规则

必选

2.3.2 

配置流镜像类型

配置流镜像到接口

二者必选其一

2.3.3  1.

配置流镜像到CPU

2.3.3  2.

配置QoS策略

必选

2.3.4 

应用QoS策略

基于接口或PVC应用

四者必选其一

2.3.5  1.

基于VLAN应用

2.3.5  2.

基于全局应用

2.3.5  3.

基于控制平面应用

2.3.5  4.

 

2.3  配置流镜像

2.3.1  配置准备

在配置流镜像之前,需完成以下任务:

l              配置ACL

2.3.2  配置报文匹配规则

表2-2 配置报文匹配规则

操作

命令

说明

进入系统视图

system-view

-

定义流分类,并进入流分类视图

traffic classifier tcl-name [ operator { and | or } ]

必选

缺省情况下,不存在任何流分类

配置报文匹配规则

if-match [ not ] match-criteria

必选

缺省情况下,流分类中不存在任何报文匹配规则

 

有关traffic classifierif-match命令的详细介绍,请参见“ACL和QoS命令参考”中的“QoS策略”。

 

2.3.3  配置流镜像类型

流镜像可分为流镜像到接口和流镜像到CPU两种类型,在同一流行为中只能配置其中一种。

 

1. 配置流镜像到接口

表2-3 配置流镜像到接口

操作

命令

说明

进入系统视图

system-view

-

定义流行为,并进入流行为视图

traffic behavior behavior-name

必选

缺省情况下,不存在任何流行为

配置流镜像到指定接口

mirror-to interface interface-type interface-number

必选

缺省情况下,流行为中未配置任何流镜像

 

有关traffic behavior命令的详细介绍,请参见“ACL和QoS命令参考”中的“QoS策略”。

 

2. 配置流镜像到CPU

表2-4 配置流镜像到CPU

操作

命令

说明

进入系统视图

system-view

-

定义流行为,并进入流行为视图

traffic behavior behavior-name

必选

缺省情况下,不存在任何流行为

配置流镜像到CPU

mirror-to cpu

必选

缺省情况下,流行为中未配置任何流镜像

 

l          有关traffic behavior命令的详细介绍,请参见“ACL和QoS命令参考”中的“QoS策略”。

l          上述CPU是指配置了流镜像的接口所在单板上的CPU。

 

2.3.4  配置QoS策略

表2-5 配置QoS策略

操作

命令

说明

进入系统视图

system-view

-

定义QoS策略,并进入QoS策略视图

qos policy policy-name

必选

缺省情况下,不存在任何策略

为流分类指定采用的流行为

classifier tcl-name behavior behavior-name

必选

缺省情况下,没有为流分类指定采用的流行为

 

有关qos policyclassifier behavior命令的详细介绍,请参见“ACL和QoS命令参考”中的“QoS策略”。

 

2.3.5  应用QoS策略

有关应用QoS策略的详细介绍,请参见“ACL和QoS配置指导”中的“QoS配置方式”。

 

1. 基于接口或PVC应用

将QoS策略应用到某接口或PVC,可以方便对该接口或PVC上的流量进行管理。一个QoS策略可以应用于多个接口或PVC,而接口或PVC在出/入的每个方向上只能应用一个QoS策略。

表2-6 基于接口或PVC应用

操作

命令

说明

进入系统视图

system-view

-

进入相应视图

进入接口视图

interface interface-type interface-number

三者必选其一

接口视图下的配置只对当前接口生效;端口组视图下的配置将对端口组中的所有端口生效;PVC视图下的配置只对当前PVC生效

进入端口组视图

port-group manual port-group-name

进入PVC视图

interface atm interface-number

pvc vpi/vci

应用QoS策略到接口或PVC

qos apply policy policy-name { inbound | outbound }

必选

 

有关qos apply policy命令的详细介绍,请参见“ACL和QoS命令参考”中的“QoS策略”。

 

2. 基于VLAN应用

将QoS策略应用到某VLAN,可以方便对该VLAN内的所有流量进行管理。

表2-7 基于VLAN应用

操作

命令

说明

进入系统视图

system-view

-

应用QoS策略到指定VLAN

qos vlan-policy policy-name vlan vlan-id-list { inbound | outbound }

必选

 

有关qos vlan-policy命令的详细介绍,请参见“ACL和QoS命令参考”中的“QoS策略”。

 

3. 基于全局应用

将QoS策略应用到全局,可以方便对设备上的所有流量进行管理。

表2-8 基于全局应用

操作

命令

说明

进入系统视图

system-view

-

应用QoS策略到全局

qos apply policy policy-name global { inbound | outbound }

必选

 

有关qos apply policy命令的详细介绍,请参见“ACL和QoS命令参考”中的“QoS策略”。

 

4. 基于控制平面应用

将QoS策略应用到控制平面,通过对上送控制平面的报文进行过滤、限速等QoS处理,可以达到保护控制平面正常报文的收发、维护控制平面正常处理状态的目的。

表2-9 基于控制平面应用

操作

命令

说明

进入系统视图

system-view

-

进入控制平面视图

control-plane [ slot slot-number ]

必选

应用QoS策略到控制平面

qos apply policy policy-name { inbound | outbound }

必选

 

有关control-planeqos apply policy命令的详细介绍,请参见“ACL和QoS命令参考”中的“QoS策略”。

 

2.4  流镜像显示和维护

在完成上述配置后,在任意视图下执行display命令可以显示配置后流镜像的运行情况,通过查看显示信息验证配置的效果。

表2-10 流镜像显示和维护

操作

命令

显示用户自定义流行为的配置信息

display traffic behavior user-defined [ behavior-name ] [ | { begin | exclude | include } regular-expression ]

显示用户自定义策略的配置信息

display qos policy user-defined [ policy-name [ classifier tcl-name ] ] [ | { begin | exclude | include } regular-expression ]

 

有关display traffic behaviordisplay qos policy命令的详细介绍,请参见“ACL和QoS命令参考”中的“QoS策略”。

 

2.5  流镜像典型配置举例

1. 组网需求

l              某公司内的各部门之间使用不同网段的IP地址,其中市场部和技术部分别使用192.168.1.0/24和192.168.2.0/24网段,该公司的工作时间为每周工作日的8点到18点。

l              通过配置流镜像,使Server可以监控技术部访问互联网的WWW流量,以及技术部在工作时间发往市场部的IP流量。

2. 组网图

图2-1 流镜像典型配置组网图

 

3. 配置步骤

(1)        配置监控技术部访问互联网的流量

# 创建ACL 3000,并定义如下规则:匹配技术部(192.168.2.0/24网段)访问WWW的报文。

<RouterA> system-view

[RouterA] acl number 3000

[RouterA-acl-adv-3000] rule permit tcp source 192.168.2.0 0.0.0.255 destination-port eq www

[RouterA-acl-adv-3000] quit

# 创建流分类tech_c,并配置报文匹配规则为ACL 3000

[RouterA] traffic classifier tech_c

[RouterA-classifier-tech_c] if-match acl 3000

[RouterA-classifier-tech_c] quit

# 创建流行为tech_b,并配置流镜像到接口GigabitEthernet2/0/3

[RouterA] traffic behavior tech_b

[RouterA-behavior-tech_b] mirror-to interface gigabitethernet 2/0/3

[RouterA-behavior-tech_b] quit

# 创建QoS策略tech_p,并指定流分类tech_c采用流行为tech_b。

[RouterA] qos policy tech_p

[RouterA-qospolicy-tech_p] classifier tech_c behavior tech_b

[RouterA-qospolicy-tech_p] quit

# 将QoS策略tech_p应用到接口GigabitEthernet2/0/1的出方向上。

[RouterA] interface gigabitethernet 2/0/1

[RouterA-GigabitEthernet2/0/1] qos apply policy tech_p outbound

[RouterA-GigabitEthernet2/0/1] quit

(2)        配置监控技术部发往市场部的流量

# 定义工作时间:创建名为work的时间段,其时间范围为每周工作日的8点到18点。

[RouterA] time-range work 8:0 to 18:0 working-day

# 创建ACL 3001,并定义如下规则:匹配在工作时间由技术部(192.168.2.0/24网段)发往市场部(192.168.1.0/24网段)的IP报文。

[RouterA] acl number 3001

[RouterA-acl-adv-3001] rule permit ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 time-range work

[RouterA-acl-adv-3001] quit

# 创建流分类mkt_c,并配置报文匹配规则为ACL 3001。

[RouterA] traffic classifier mkt_c

[RouterA-classifier-mkt_c] if-match acl 3001

[RouterA-classifier-mkt_c] quit

# 创建流行为mkt_b,并配置流镜像到接口GigabitEthernet2/0/3

[RouterA] traffic behavior mkt_b

[RouterA-behavior-mkt_b] mirror-to interface gigabitethernet 2/0/3

[RouterA-behavior-mkt_b] quit

# 创建QoS策略mkt_p,并指定流分类mkt_c采用流行为mkt_b

[RouterA] qos policy mkt_p

[RouterA-qospolicy-mkt_p] classifier mkt_c behavior mkt_b

[RouterA-qospolicy-mkt_p] quit

# 将QoS策略mkt_p应用到接口GigabitEthernet2/0/2的出方向上。

[RouterA] interface gigabitethernet 2/0/2

[RouterA-GigabitEthernet2/0/2] qos apply policy mkt_p outbound

(3)        检验配置效果

配置完成后,用户可以通过Server监控技术部访问互联网的WWW流量,以及技术部在工作时间发往市场部的IP流量。

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!