- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
18-镜像配置
本章节下载: 18-镜像配置 (147.7 KB)
目 录
流镜像是指将指定报文复制到指定目的地,以便于对报文进行分析和监控。流镜像通过QoS策略来实现,即使用流分类技术为待镜像报文定义匹配条件,再通过配置流行为将符合条件的报文镜像至指定目的地。其优势在于用户通过流分类技术可以灵活地配置匹配条件,从而对报文进行精细区分,并将区分后的报文复制到目的地进行分析。有关QoS策略、流分类和流行为的详细介绍,请参见“ACL和QoS配置指导”中的“QoS配置方式”。
目前,流行为仅支持流镜像到接口,即将符合条件的报文复制一份到指定接口,利用数据检测设备分析接口收到的报文。
表1-1 流镜像配置任务简介
|
配置任务 |
说明 |
详细配置 |
|
|
配置报文匹配规则 |
必选 用来匹配待镜像的报文 |
1.3.1 |
|
|
配置流行为 |
必选 用来指定将报文镜像到哪里(即报文的目的地址) |
1.3.2 |
|
|
配置QoS策略 |
必选 为流分类指定采用的流行为,即指定哪些报文需要镜像到哪里 |
||
|
应用QoS策略 |
基于接口应用 |
三者至少选其一 指定对来自哪个端口的流量进行镜像 |
1.3.4 1. |
|
基于全局应用 |
1.3.4 2. |
||
|
基于控制平面应用 |
1.3.4 3. |
||
除mirror-to命令外的其他配置命令及相关显示命令的详细介绍,请参见“ACL和QoS命令参考”中的“QoS策略”。
表1-2 配置报文匹配规则
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
定义流分类,并进入流分类视图 |
traffic classifier tcl-name [ operator { and | or } ] |
缺省情况下,未定义流分类 |
|
配置报文匹配规则 |
if-match [ not ] match-criteria |
缺省情况下,未配置报文匹配规则 |
表1-3 配置流行为
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
定义流行为,并进入流行为视图 |
traffic behavior behavior-name |
缺省情况下,不存在流行为 |
|
配置流镜像到接口 |
mirror-to interface interface-type interface-number |
缺省情况下,未配置流镜像到接口 |
在完成上述配置后,在任意视图下执行display traffic behavior命令可以显示用户定义流行为的配置信息,通过查看显示信息验证配置的效果。
表1-4 配置QoS策略
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
定义QoS策略,并进入QoS策略视图 |
qos policy policy-name |
缺省情况下,未定义QoS策略 |
|
为流分类指定采用的流行为 |
classifier tcl-name behavior behavior-name |
缺省情况下,未为流分类指定流行为 |
在完成上述配置后,在任意视图下执行display qos policy命令可以显示用户定义策略的配置信息,通过查看显示信息验证配置的效果。
将QoS策略应用到某接口,可以对该接口指定方向上的流量进行镜像。一个QoS策略可以应用于多个接口,而接口在每个方向上只能应用一个QoS策略。
表1-5 基于接口应用
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入接口视图 |
interface interface-type interface-number |
- |
|
应用QoS策略到接口 |
qos apply policy policy-name { inbound | outbound } |
- |
将QoS策略应用到全局,可以对设备各端口指定方向上的流量进行镜像。
表1-6 基于全局应用
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
应用QoS策略到全局 |
qos apply policy policy-name global { inbound | outbound } |
- |
将QoS策略应用到控制平面,可以对控制平面各端口指定方向上的流量进行镜像。
表1-7 基于控制平面应用
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入控制平面视图 |
control-plane |
- |
|
进入控制平面视图 |
control-plane slot slot-number |
- |
|
应用QoS策略到控制平面 |
qos apply policy policy-name inbound |
- |
某公司内的各部门之间使用不同网段的IP地址,其中市场部和技术部分别使用192.168.1.0/24和192.168.2.0/24网段,该公司的工作时间为每周工作日的8点到18点。
通过配置流镜像,使Server可以监控技术部访问互联网的WWW流量,以及技术部在工作时间发往市场部的IP流量。
图1-1 流镜像典型配置组网图
# 定义工作时间:创建名为work的时间段,其时间范围为每周工作日的8点到18点。
<Device> system-view
[Device] time-range work 8:00 to 18:00 working-day
# 创建一个编号为3000的IPv4高级ACL,并定义如下规则:匹配技术部访问WWW的报文,以及在工作时间由技术部发往市场部的IP报文。
[Device] acl advanced 3000
[Device-acl-ipv4-adv-3000] rule permit tcp source 192.168.2.0 0.0.0.255 destination-port eq www
[Device-acl-ipv4-adv-3000] rule permit ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 time-range work
[Device-acl-ipv4-adv-3000] quit
# 创建流分类tech_c,并配置报文匹配规则为ACL 3000。
[Device] traffic classifier tech_c
[Device-classifier-tech_c] if-match acl 3000
[Device-classifier-tech_c] quit
# 创建流行为tech_b,并配置流镜像到接口。
[Device] traffic behavior tech_b
[Device-behavior-tech_b] mirror-to interface
[Device-behavior-tech_b] quit
# 创建QoS策略tech_p,在策略中为流分类tech_c指定采用流行为tech_b。
[Device] qos policy tech_p
[Device-qospolicy-tech_p] classifier tech_c behavior tech_b
[Device-qospolicy-tech_p] quit
# 将QoS策略tech_p应用到接口的入方向上。
[Device] interface
[Device-] qos apply policy tech_p inbound
[Device-] quit
配置完成后,用户可以通过Server监控技术部访问互联网的WWW流量,以及技术部在工作时间发往市场部的IP流量。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
