- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
08-镜像配置
本章节下载: 08-镜像配置 (455.57 KB)
端口镜像是将指定端口(源端口)或CPU(源CPU)的报文复制一份到其它端口(目的端口),目的端口会与数据监测设备相连,用户利用这些数据监测设备来分析复制到目的端口的报文,进行网络监控和故障排除。
为了更好地理解后面的内容,首先介绍一下端口镜像中涉及的基本概念。
源端口是被监控的端口,用户可以对通过该端口的报文进行监控和分析。
源CPU是被监控设备上的CPU,用户可以对通过该CPU的报文进行监控和分析。
目的端口也可称为监控端口,该端口将接收到的报文转发到数据监测设备,以便对报文进行监控和分析。
端口镜像的方向分为三种:
l 入方向:仅对从源端口/源CPU收到的报文进行镜像。
l 出方向:仅对从源端口/源CPU发出的报文进行镜像。
l 双向:对从源端口/源CPU收到和发出的报文都进行镜像。
根据使用范围的不同,端口镜像可分为以下两种类型:
l 本地端口镜像:可以将设备源端口/源CPU上的报文复制到本设备的目的端口,用于监控和分析这些报文。
l 二层远程端口镜像:可以将本设备源端口/源CPU上的报文通过二层网络复制到另一台设备的目的端口,用于监控和分析这些报文。
由于一个目的端口可以同时监视多个源端口,在某些配置情况下,目的端口会收到同一个报文的多个复制报文。例如,目的端口Port 1同时监控源端口Port 2和Port 3接收和发送的所有报文(Port 2和Port 3在同一台设备上),如果一个报文从Port 2进入设备又从Port 3发送出去,那么这个报文将被复制两次送到目的端口Port 1。
端口镜像通过镜像组的方式实现,镜像组可以分为本地镜像组、远程源镜像组和远程目的镜像组三类。
本地端口镜像通过本地镜像组的方式实现,即源端口/源CPU和目的端口在同一个本地镜像组中,设备将源端口/源CPU的报文复制一份并转发到目的端口。
如图1-1所示,源端口的报文被镜像到目的端口,这样,连接目的端口的数据监测设备就可以对这些报文进行监控和分析。
二层远程端口镜像通过远程源镜像组和远程目的镜像组互相配合的方式实现。
如图1-2所示,源设备将进入源端口Ethernet1/0/1的报文复制一份给反射端口Ethernet1/0/3,再由该端口将镜像报文在远程镜像VLAN中广播,最终镜像报文经由中间设备转发至目的设备。目的设备收到该报文后判别其VLAN ID,若与远程镜像VLAN的VLAN ID相同,就将其转发至目的端口Ethernet1/0/2,最后由该端口将镜像报文转发给数据监测设备。
l 用户需要确保远程镜像VLAN内源设备到目的设备间二层网络的互通性。
l 在一个镜像组中对同一个端口收发的报文进行双向镜像时,需要在源设备、中间设备和目的设备上通过mac-address mac-learning disable命令用来关闭远程镜像VLAN的MAC地址学习功能,以保证镜像功能的正常进行。关于mac-address mac-learning disable命令的详细信息,请参见“二层技术-以太网交换命令参考”中的“MAC地址表配置命令”。
在镜像报文离开源设备到达远程目的设备过程中,用户应确保镜像报文中VLAN ID的正确性,如果该VLAN ID被修改或删除,二层远程镜像功能将失效。
本地端口镜像的配置需要在同一台设备上进行。
首先创建一个本地镜像组,然后为该镜像组配置源端口和目的端口。
表1-1 本地端口镜像配置任务简介
|
配置任务 |
说明 |
详细配置 |
|
创建本地镜像组 |
必选 |
|
|
配置源端口 |
二者至少选其一 源端口和源CPU可以只配其一,也可以都配置 |
|
|
配置源CPU |
||
|
配置目的端口 |
必选 |
表1-2 创建本地镜像组
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
创建本地镜像组 |
mirroring-group group-id local |
必选 缺省情况下,不存在任何镜像组 |
配置源端口目的端口后,本地镜像组才能生效。
可以在系统视图下为指定镜像组配置一个或多个源端口,也可以在端口视图下将当前端口配置为指定镜像组的源端口,二者的配置效果相同。
表1-3 在系统视图下配置源端口
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
为本地镜像组配置源端口 |
mirroring-group group-id mirroring-port mirroring-port-list { both | inbound | outbound } |
必选 缺省情况下,镜像组没有源端口 |
表1-4 在端口视图下配置源端口
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入端口视图 |
interface interface-type interface-number |
- |
|
配置本端口为本地镜像组的源端口 |
[ mirroring-group group-id ] mirroring-port { both | inbound | outbound } |
必选 缺省情况下,端口不是任何镜像组的源端口 |
一个镜像组内可以配置多个源端口。
表1-5 配置源CPU
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
为本地镜像组配置源CPU |
mirroring-group group-id mirroring-cpu slot slot-number-list { both | inbound | outbound } |
必选 缺省情况下,镜像组没有源CPU |
可以在系统视图下为指定镜像组配置目的端口,也可以在端口视图下将当前端口配置为指定镜像组的目的端口,二者的配置效果相同。
表1-6 在系统视图下配置目的端口
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
为本地镜像组配置目的端口 |
mirroring-group group-id monitor-port monitor-port-id |
必选 缺省情况下,镜像组没有目的端口 |
表1-7 在端口视图下配置目的端口
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入端口视图 |
interface interface-type interface-number |
- |
|
配置本端口为本地镜像组的目的端口 |
[ mirroring-group group-id ] monitor-port |
必选 缺省情况下,端口不是任何镜像组的目的端口 |
l 一个镜像组内只能配置一个目的端口。
l 请不要在目的端口上使能STP、MSTP和RSTP,否则会影响镜像功能的正常使用。
l 目的端口收到的报文包括复制自源端口的报文和来自其它端口的正常转发报文。为了保证数据监测设备只对源端口的报文进行分析,请将目的端口只用于端口镜像,不作其它用途。
二层远程端口镜像的配置需要分别在源设备和目的设备上进行。
如果用户在设备上启用了GVRP(GARP VLAN Registration Protocol,GARP VLAN注册协议)功能,GVRP可能将远程镜像VLAN注册到不希望的端口上,此时在目的端口就会收到很多不必要的报文。有关GVRP的详细介绍,请参见“二层技术-以太网交换配置指导”中的“GVRP配置”。
首先在源设备上为远程源镜像组配置源端口、反射口和远程镜像VLAN,然后在目的设备上为远程目的镜像组配置远程镜像VLAN和目的端口。
表1-8 二层远程端口镜像配置任务简介
|
配置任务 |
说明 |
详细配置 |
|
|
配置远程源镜像组 |
创建远程源镜像组 |
必选 |
|
|
配置源端口 |
二者至少选其一 源端口和源CPU可以只配其一,也可以都配置 |
||
|
配置源CPU |
|||
|
配置反射端口 |
必选 |
||
|
配置远程镜像VLAN |
必选 |
||
|
配置远程目的镜像组 |
创建远程目的镜像组 |
必选 |
|
|
配置目的端口 |
必选 |
||
|
配置远程镜像VLAN |
必选 |
||
|
将目的端口加入远程镜像VLAN |
必选 |
||
|
利用远程镜像VLAN实现本地镜像支持多个目的端口 |
可选 |
||
在配置二层远程端口镜像之前,需完成以下任务:
l 配置远程镜像VLAN所使用的静态VLAN
源设备上的远程源镜像组和目的设备上的远程目的镜像组必须使用相同的远程镜像VLAN。
请在源设备上进行如下配置。
表1-9 创建远程源镜像组
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
创建远程源镜像组 |
mirroring-group group-id remote-source |
必选 缺省情况下,不存在任何镜像组 |
可以在系统视图下为指定镜像组配置一个或多个源端口,也可以在端口视图下将当前端口配置为指定镜像组的源端口,二者的配置效果相同。
(1) 在系统视图下配置源端口
表1-10 在系统视图下配置源端口
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
为远程源镜像组配置源端口 |
mirroring-group group-id mirroring-port mirroring-port-list { both | inbound | outbound } |
必选 缺省情况下,镜像组没有源端口 |
(2) 在端口视图下配置源端口
表1-11 在端口视图下配置源端口
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入端口视图 |
interface interface-type interface-number |
- |
|
配置本端口为远程源镜像组的源端口 |
[ mirroring-group group-id ] mirroring-port { both | inbound | outbound } |
必选 缺省情况下,端口不是任何镜像组的源端口 |
l 一个镜像组内可以配置多个源端口。
l 请不要将源端口加入到远程镜像VLAN中,否则会影响镜像功能的正常使用。
表1-12 配置源CPU
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
为远程源镜像组配置源CPU |
mirroring-group group-id mirroring-cpu slot slot-number-list { both | inbound | outbound } |
必选 缺省情况下,镜像组没有源CPU |
可以在系统视图下为指定镜像组配置反射端口,也可以在端口视图下将当前接口配置为指定镜像组的反射端口,二者的配置效果相同。
(1) 在系统视图下配置反射端口
表1-13 在系统视图下配置反射端口
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
为远程源镜像组配置反射端口 |
mirroring-group group-id reflector-port reflector-port |
必选 缺省情况下,远程源镜像组没有反射端口 |
(2) 在端口视图下配置反射端口
表1-14 在端口视图下配置反射端口
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入端口视图 |
interface interface-type interface-number |
- |
|
配置本端口为远程源镜像组的反射端口 |
mirroring-group group-id reflector-port |
必选 缺省情况下,端口不是任何远程源镜像组的反射端口 |
l 一个镜像组内只能配置一个反射端口。
l 请不要将反射端口加入到源VLAN中,否则会影响镜像功能的正常使用。
l 反射端口必须是Access端口且属于缺省VLAN,不能是现有镜像组的成员端口或流镜像目的端口。
l 请不要在反射端口上连接网线,也不要在反射端口上配置下列功能:STP、MSTP、RSTP、802.1X、IGMP Snooping、静态ARP、MAC地址学习、QinQ、端口环回功能,否则会影响镜像功能的正常使用。
表1-15 配置远程镜像VLAN
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
为远程源镜像组配置远程镜像VLAN |
mirroring-group group-id remote-probe vlan rprobe-vlan-id |
必选 缺省情况下,镜像组没有远程镜像VLAN |
l 请将远程镜像VLAN只用于端口镜像,不作其它用途。
l 被配置成远程镜像VLAN后,该VLAN不能直接删除,必须先删除远程镜像VLAN的配置才能够删除这个VLAN。
l 如果镜像组生效后,远程镜像VLAN被取消,那么该镜像组将失效。
请在目的设备上进行如下配置。
表1-16 创建远程目的镜像组
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
创建远程目的镜像组 |
mirroring-group group-id remote-destination |
必选 缺省情况下,不存在任何镜像组 |
可以在系统视图下为指定镜像组配置目的端口,也可以在端口视图下将当前端口配置为指定镜像组的目的端口,二者的配置效果相同。
(1) 在系统视图下配置目的端口
表1-17 在系统视图下配置目的端口
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
为远程目的镜像组配置目的端口 |
mirroring-group group-id monitor-port monitor-port-id |
必选 缺省情况下,镜像组没有目的端口 |
(2) 在端口视图下配置目的端口
表1-18 在端口视图下配置目的端口
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入端口视图 |
interface interface-type interface-number |
- |
|
配置本端口为远程目的镜像组的目的端口 |
[ mirroring-group group-id ] monitor-port |
必选 缺省情况下,端口不是任何镜像组的目的端口 |
l 一个镜像组内只能配置一个目的端口。
l 请不要在目的端口上使能STP、MSTP和RSTP,否则会影响镜像功能的正常使用。
l 目的端口收到的报文包括复制自源端口的报文和来自其它端口的正常转发报文。为了保证数据监测设备只对源端口的报文进行分析,请将目的端口只用于端口镜像,不作其它用途。
表1-19 配置远程镜像VLAN
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
为远程目的镜像组配置远程镜像VLAN |
mirroring-group group-id remote-probe vlan rprobe-vlan-id |
必选 缺省情况下,镜像组没有远程镜像VLAN |
l 请将远程镜像VLAN只用于端口镜像,不作其它用途。
l 被配置成远程镜像VLAN后,该VLAN不能直接删除,必须先删除远程镜像VLAN的配置才能够删除这个VLAN。
l 如果镜像组生效后,远程镜像VLAN被取消,那么该镜像组将失效。
传统的本地镜像配置方式仅支持在一个镜像组中指定一个镜像目的端口,虽然可以通过在多个镜像组中指定同一个源端口的方式,实现将流经某端口的数据镜像至多个目的端口,但这种方式十分浪费镜像组资源,并且目的端口的数量仍然有限。此时可以利用远程镜像VLAN的原理来实现这种需求。
在二层远程端口镜像中,会使用到远程镜像VLAN,镜像报文在远程镜像VLAN中以广播的方式发送。因此,可以利用远程镜像VLAN的原理,在本地设备上创建远程源镜像组,并指定远程镜像VLAN,同时将本设备上连接数据检测设备的多个端口加入该VLAN。完成以上配置后,镜像报文在远程镜像VLAN中广播时便可以从这些端口中发送出去,实现将镜像报文输出至多个端口的需求。
表1-21 利用远程镜像VLAN实现本地镜像支持多个目的端口配置
|
操作 |
命令 |
说明 |
|
|
进入系统视图 |
system-view |
- |
|
|
创建远程源镜像组 |
mirroring-group group-id remote-source |
必选 缺省情况下,不存在任何镜像组 |
|
|
为远程源镜像组配置源端口 |
在系统视图下配置 |
mirroring-group group-id mirroring-port mirroring-port-list { both | inbound | outbound } |
两种方式必选其一 缺省情况下,镜像组没有源端口 |
|
在端口视图下配置 |
interface interface-type interface-number |
||
|
[ mirroring-group group-id ] mirroring-port { both | inbound | outbound } |
|||
|
quit |
|
||
|
为远程源镜像组配置反射端口 |
mirroring-group group-id reflector-port reflector-port |
必选 缺省情况下,镜像组没有反射端口 |
|
|
创建远程镜像VLAN并进入VLAN视图 |
vlan vlan-id |
必选 缺省情况下,镜像组没有远程镜像VLAN |
|
|
将镜像目的端口加入远程镜像VLAN |
port interface-list |
必选 缺省情况下,新建VLAN中不包含任何端口 |
|
|
退出至系统视图 |
quit |
- |
|
|
为远程源镜像组配置远程镜像VLAN |
mirroring-group group-id remote-probe vlan rprobe-vlan-id |
必选 缺省情况下,镜像组没有远程镜像VLAN |
|
l 镜像反射口必须是Access类型的端口,且必须属于缺省VLAN(VLAN1)。
l 建议选择设备上未使用的端口作为镜像反射口,且建议关闭反射口的STP功能。
l 一个镜像组内可以配置多个源端口。
l 请不要将源端口加入到远程镜像VLAN中,否则会影响镜像功能的正常使用。
l 建议远程镜像VLAN只用于端口镜像,不作其它用途。
l 远程镜像VLAN必须为静态VLAN,且在被配置成远程镜像VLAN后,该VLAN不能直接删除,必须先删除远程镜像VLAN的配置才能够删除这个VLAN。
l 如果镜像组生效后,远程镜像VLAN被取消,那么该镜像组将失效。
l 镜像目的端口必须是Access类型的端口。
在完成上述配置后,在任意视图下执行display命令可以显示配置后镜像组的运行情况,通过查看显示信息验证配置的效果。
表1-22 端口镜像显示和维护
|
操作 |
命令 |
|
显示镜像组的配置信息 |
display mirroring-group { group-id | all | local | remote-destination | remote-source } [ | { begin | exclude | include } regular-expression ] |
l Device A通过端口Ethernet1/0/1和Ethernet1/0/2分别连接市场部和技术部,并通过端口Ethernet1/0/3连接Server。
l 通过配置源端口方式的本地端口镜像,使Server可以监控所有进、出市场部和技术部的报文。
(1) 配置本地镜像组
# 创建本地镜像组1。
<DeviceA> system-view
[DeviceA] mirroring-group 1 local
# 配置本地镜像组1的源端口为Ethernet1/0/1和Ethernet1/0/2,目的端口为Ethernet1/0/3。
[DeviceA] mirroring-group 1 mirroring-port ethernet 1/0/1 ethernet 1/0/2 both
[DeviceA] mirroring-group 1 monitor-port ethernet 1/0/3
# 在目的端口Ethernet1/0/3上关闭生成树协议。
[DeviceA] interface ethernet 1/0/3
[DeviceA-Ethernet1/0/3] undo stp enable
[DeviceA-Ethernet1/0/3] quit
(2) 检验配置效果
# 显示所有镜像组的配置信息。
[DeviceA] display mirroring-group all
mirroring-group 1:
type: local
status: active
mirroring port:
Ethernet1/0/1 both
Ethernet1/0/2 both
mirroring CPU:
monitor port: Ethernet1/0/3
配置完成后,用户可以通过Server监控所有进、出市场部和技术部的报文。
l 在一个二层网络中,Device A通过端口Ethernet1/0/1连接市场部,并通过Trunk端口Ethernet1/0/2与Device B的Trunk端口Ethernet1/0/1相连;Device C通过端口Ethernet1/0/2连接Server,并通过Trunk端口Ethernet1/0/1与Device B的Trunk端口Ethernet1/0/2相连。
l 通过配置二层远程端口镜像,使Server可以监控所有进、出市场部的报文。
图1-4 二层远程端口镜像配置组网图
(1) 配置Device A
# 创建远程源镜像组1。
<DeviceA> system-view
[DeviceA] mirroring-group 1 remote-source
# 创建VLAN 2。
[DeviceA] vlan 2
[DeviceA-vlan2] quit
# 配置远程源镜像组1的远程镜像VLAN为VLAN 2,源端口为Ethernet1/0/1,反射端口为Ethernet1/0/3。
[DeviceA] mirroring-group 1 remote-probe vlan 2
[DeviceA] mirroring-group 1 mirroring-port ethernet 1/0/1 both
[DeviceA] mirroring-group 1 reflector-port ethernet 1/0/3
# 配置端口Ethernet1/0/2为Trunk口,并允许VLAN 2的报文通过。
[DeviceA] interface ethernet 1/0/2
[DeviceA-Ethernet1/0/2] port link-type trunk
[DeviceA-Ethernet1/0/2] port trunk permit vlan 2
[DeviceA-Ethernet1/0/2] quit
# 关闭反射端口Ethernet1/0/3上的生成树协议。
[DeviceA] interface ethernet 1/0/3
[DeviceA-Ethernet1/0/3] undo stp enable
(2) 配置Device B
# 创建VLAN 2。
<DeviceB> system-view
[DeviceB] vlan 2
[DeviceB-vlan2] quit
# 配置端口Ethernet1/0/1为Trunk口,并允许VLAN 2的报文通过。
[DeviceB] interface ethernet 1/0/1
[DeviceB-Ethernet1/0/1] port link-type trunk
[DeviceB-Ethernet1/0/1] port trunk permit vlan 2
[DeviceB-Ethernet1/0/1] quit
# 配置端口Ethernet1/0/2为Trunk口,并允许VLAN 2的报文通过。
[DeviceB] interface ethernet 1/0/2
[DeviceB-Ethernet1/0/2] port link-type trunk
[DeviceB-Ethernet1/0/2] port trunk permit vlan 2
[DeviceB-Ethernet1/0/2] quit
(3) 配置Device C
# 配置端口Ethernet1/0/1为Trunk口,并允许VLAN 2的报文通过。
<DeviceC> system-view
[DeviceC] interface ethernet 1/0/1
[DeviceC-Ethernet1/0/1] port link-type trunk
[DeviceC-Ethernet1/0/1] port trunk permit vlan 2
[DeviceC-Ethernet1/0/1] quit
# 创建远程目的镜像组1。
[DeviceC] mirroring-group 1 remote-destination
# 创建VLAN 2。
[DeviceC] vlan 2
[DeviceC-vlan2] quit
# 配置远程目的镜像组1的远程镜像VLAN为VLAN 2,目的端口为Ethernet1/0/2,在该端口上关闭生成树协议并将其加入VLAN 2。
[DeviceC] mirroring-group 1 remote-probe vlan 2
[DeviceC] interface ethernet 1/0/2
[DeviceC-Ethernet1/0/2] mirroring-group 1 monitor-port
[DeviceC-Ethernet1/0/2] port access vlan 2
[DeviceC-Ethernet1/0/2] undo stp enable
[DeviceC-Ethernet1/0/2] quit
(4) 检验配置效果
配置完成后,用户可以通过Server监控所有进、出市场部的报文。
三个部门A、B、C分别使用Ethernet1/0/1~Ethernet1/0/3端口接入SwitchA,现要求通过镜像功能,使三台数据检测设备ServerA、ServerB、ServerC都能够对三个部门发送和接收的报文进行镜像。
图1-5 利用远程镜像VLAN实现本地镜像支持多个目的端口配置组网图
# 创建远程源镜像组1。
<SwitchA> system-view
[SwitchA] mirroring-group 1 remote-source
# 将接入部门A、B、C的三个端口配置为远程源镜像组1的源端口。
[SwitchA] mirroring-group 1 mirroring-port ethernet 1/0/1 to ethernet 1/0/3 both
# 将设备上任意未使用的端口(此处以Ethernet1/0/5为例)配置为镜像组1的反射口,关闭该端口上的STP功能。
[SwitchA] mirroring-group 1 reflector-port Ethernet 1/0/5
[SwitchA] interface Ethernet 1/0/5
[SwitchA-Ethernet1/0/5] undo stp enable
# 创建VLAN10作为镜像组1的远程镜像VLAN,并将接入三台数据检测设备的端口加入VLAN10。
[SwitchA] vlan 10
[SwitchA-vlan10] port ethernet 1/0/11 to ethernet 1/0/13
[SwitchA-vlan10] quit
# 配置VLAN10作为镜像组1的远程镜像VLAN。
[SwitchA] mirroring-group 1 remote-probe vlan 10
仅S3100V2-EI系列交换机支持流镜像功能。
流镜像,即将指定的报文复制到用户指定的目的地,用于报文的分析和监视。
流镜像分为两种:流镜像到端口、流镜像到CPU。
l 流镜像到端口:将端口接收的符合要求的报文复制一份并转发到目的端口。
l 流镜像到CPU:将端口接收的符合要求的报文复制一份并转发到CPU,这里的CPU指的是配置了流镜像的源端口所在设备上的CPU。
配置流镜像时,用户首先要有一个已经存在的流行为,然后进入流行为视图进行流镜像的相关配置。
在配置流镜像动作时,同一个流行为中流镜像类型只能为流镜像到端口和流镜像到CPU中的一种。
表2-1 配置流镜像到端口
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
定义类并进入类视图 |
traffic classifier tcl-name [ operator { and | or } ] |
必选 缺省情况下,不存在任何流分类 |
|
定义匹配数据包的规则 |
if-match match-criteria |
必选 缺省情况下,流分类中不存在任何报文匹配规则 |
|
退出类视图 |
quit |
- |
|
进入流行为视图 |
traffic behavior behavior-name |
必选 缺省情况下,不存在任何流行为 |
|
为流行为配置流镜像目的端口 |
mirror-to interface interface-type interface-number |
必选 缺省情况下,流行为中未配置任何流镜像 |
|
退出流行为视图 |
quit |
- |
|
定义策略并进入策略视图 |
qos policy policy-name |
必选 缺省情况下,不存在任何策略 |
|
在策略中为类指定采用的流行为 |
classifier tcl-name behavior behavior-name |
必选 缺省情况下,没有为流分类指定采用的流行为 |
|
退出策略视图 |
quit |
- |
|
应用QoS策略 |
必选 |
表2-2 配置流镜像到CPU
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
定义类并进入类视图 |
traffic classifier tcl-name [ operator { and | or } ] |
必选 缺省情况下,不存在任何流分类 |
|
定义匹配数据包的规则 |
if-match match-criteria |
必选 缺省情况下,流分类中不存在任何报文匹配规则 |
|
退出类视图 |
quit |
- |
|
进入流行为视图 |
traffic behavior behavior-name |
必选 缺省情况下,不存在任何流行为 |
|
为流行为配置流镜像到CPU |
mirror-to cpu |
必选 缺省情况下,流行为中未配置任何流镜像 |
|
退出流行为视图 |
quit |
- |
|
定义策略并进入策略视图 |
qos policy policy-name |
必选 缺省情况下,不存在任何策略 |
|
在策略中为类指定采用的流行为 |
classifier tcl-name behavior behavior-name |
必选 缺省情况下,没有为流分类指定采用的流行为 |
|
退出策略视图 |
quit |
- |
|
应用QoS策略 |
必选 |
有关应用QoS策略的详细介绍,请参见“ACL和QoS配置指导”中的“QoS配置方式”。
将QoS策略应用到某端口,可以方便对该端口上的流量进行管理。一个QoS策略可以应用于多个端口,端口只能在入方向上应用一个QoS策略。
表2-3 基于端口应用
|
操作 |
命令 |
说明 |
|
|
进入系统视图 |
system-view |
- |
|
|
进入二层以太网端口或端口组视图视图 |
进入二层以太网端口视图 |
interface interface-type interface-number |
二者必选其一 端口视图下的配置只对当前端口生效;端口组视图下的配置将对端口组中的所有端口生效 |
|
进入端口组视图 |
port-group manual port-group-name |
||
|
应用QoS策略到端口 |
qos apply policy policy-name inbound |
必选 |
|
有关qos apply policy命令的详细介绍,请参见“ACL和QoS命令参考”中的“QoS策略配置命令”。
将QoS策略应用到某VLAN,可以方便对该VLAN内的所有流量进行管理。
表2-4 基于VLAN应用
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
应用QoS策略到指定VLAN |
qos vlan-policy policy-name vlan vlan-id-list inbound |
必选 |
有关qos vlan-policy命令的详细介绍,请参见“ACL和QoS命令参考”中的“QoS策略配置命令”。
将QoS策略应用到全局,可以方便对设备上的所有流量进行管理。
表2-5 基于全局应用
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
应用QoS策略到全局 |
qos apply policy policy-name global inbound |
必选 |
有关qos apply policy命令的详细介绍,请参见“ACL和QoS命令参考”中的“QoS策略配置命令”。
在完成上述配置后,在任意视图下执行display命令可以显示配置后流镜像的运行情况,通过查看显示信息验证配置的效果。
表2-6 流镜像显示和维护
|
操作 |
命令 |
|
显示用户自定义流行为的配置内容 |
display traffic behavior user-defined [ behavior-name ] [ | { begin | exclude | include } regular-expression ] |
|
显示用户自定义策略的配置内容 |
display qos policy user-defined [ policy-name [ classifier tcl-name ] ] [ | { begin | exclude | include } regular-expression ] |
用户网络描述如下:
l Host A(IP地址为192.168.0.1)和Host B通过端口Ethernet 1/0/1接入交换机Switch。
l Server接在Switch的Ethernet1/0/2端口上。
需求为:通过Server对Host A发出的所有报文进行分析监控。
图2-1 配置流镜像到端口组网图
# 进入系统视图。
<Sysname> system-view
# 配置基本IPv4 ACL 2000,匹配源IP地址为192.168.0.1的报文。
[Sysname] acl number 2000
[Sysname-acl-basic-2000] rule permit source 192.168.0.1 0
[Sysname-acl-basic-2000] quit
# 配置流分类规则,使用基本IPv4 ACL 2000进行流分类。
[Sysname] traffic classfier 1
[Sysname-classifier-1] if-match acl 2000
[Sysname-classifier-1] quit
# 配置流行为,定义流镜像到Ethernet 1/0/2的动作。
[Sysname] traffic behavior 1
[Sysname-behavior-1] mirror-to interface Ethernet 1/0/2
[Sysname-behavior-1] quit
# 配置QoS策略1,为流分类1指定流行为1。
[Sysname] qos policy 1
[Sysname-policy-1] classifier 1 behavior 1
[Sysname-policy-1] quit
# 将QoS策略应用到端口Ethernet 1/0/1上。
[Sysname] interface Ethernet 1/0/1
[Sysname-Ethernet1/0/1] qos apply policy 1 inbound
完成上述配置后,用户可以在数据监测设备上对Host A发出的所有报文进行分析监控。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
