- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
手册下载
H3C SecPath TAP8000-G系列流量可视化产品
典型配置举例
Copyright © 2025 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
目录
本章介绍流量过滤功能,该功能是TAP8000-G设备的基础流量处理功能。可对输入接口/输入接口组和输出接口的数据流进行精确分类,将不同数据业务按照mac、vlan标记、IP五元组、tcp标识位、报文特征等元素灵活组合,丢弃或转发至多个接口输出。以满足各类网络安全设备、协议分析、信令分析、等流量监控部署需求。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
各型号的规则容量均在设备中心>规则配置中展示。
适用产品:H3C SecPath TAP8000-C32L-G/CE56L-G/CE56H-G
适用版本:E6101及以上版本
如下图所示用户后端的流量分析仪只关注流量中某些网段或者某些端口的流量,需要适用TAP设备对输入流量进行过滤后输出后后端分析设备,下图所示为输入端口为WGE_0/0/1,经TAP设备过滤后转发给输出端口WGE_0/0/2。
按照组网图组网。
(1) 登录Web网管。
(2) 新建输入端口组,选择流量输入端口。
(4) 新建十元组规则用于过滤流量。
如下图所示,使用https的方式登录设备的Web网管,默认的用户名和密码是admin/admin,拖动滑块,并点击<登录>按钮。
在设备中心>配置管理>输入端口组,点击<新增输入端口组>,填写端口组ID值,端口列勾选输入端口,点击<保存>。
图1-3 新建输入端口组
在设备中心>配置管理>输出端口组,点击<新增输出端口组>,填写端口组ID值,端口列勾选输出端口,点击<保存>。
图1-4 新建输出端口组
在设备中心>规则配置>十元组规则,点击<新增>,入端口组选择‘1’,动作选‘转发’,出端口组选择‘2’,源IP输入‘1.0.0.0’,掩码为255.255.255.0,点击<保存>。
图1-5 新建十元组规则
(1) 输入端口报文包括1000个源IP是1.0.0.0/24和1000个源IP是2.0.0.0/24,经设备筛选过滤后输出端口应只有1000个源IP是1.0.0.0/24的流量。
(2) 在十元组规则查看规则命中数量,与流量报文匹配数一致。
图1-6 查看规则命中数
(3) 在设备中心>设备状态>端口状态查看输入和输出端口的报文数量。
图1-7 查看输入输出端口报文数
(4) 在设备中心>高级功能>捕包>ipv4捕包功能下发选择输出端口WGE_0/0/2的端口出方向,点击<保存>后,再点击<开始捕包>,配置捕包参数后即可抓取输出端口输出方向的报文,示例匹配的是vxlan外层IP报文。
图1-8 查看输出端口出方向报文
本章介绍流量复制功能,该功能是TAP8000-G设备的基础流量处理功能。可对原始输入流量和预处理后流量进行多路复制具备线速性能,满载不丢包,同一会话流量,数据包不乱序,完美的解决了网络中同时部署两台以上的多端口监听旁路设备的需求。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
各型号的规则容量均在设备中心>规则配置中展示。
适用产品:H3C SecPath TAP8000-C32L-G/CE56L-G
适用版本:E6101及以上版本
如下图所示用户有两台监控分析设备,功能不同,一台是专用流量分析仪,另一台是IDS设备。用户希望对输入端口流量WGE_0/0/1同时进行流量综合分析和入侵检测,即将输入端口WGE_0/0/1流量经复制后通过XGE_0/0/3和XGE_0/0/4输出。
图2-1 流量复制组网图
按照组网图组网。
(1) 登录Web网管。
(2) 新建输入端口组,选择流量输入端口。
(3) 新建复制组,选择多个流量输出端口。
(4) 新建十元组规则用于复制流量。
如下图所示,使用https的方式登录设备的Web网管,默认的用户名和密码是admin/admin,拖动滑块,并点击<登录>按钮。
图2-2 登录Web网管
在设备中心>配置管理>输入端口组,点击<新增输入端口组>,填写端口组ID值,端口列勾选输入端口,点击<保存>。
图2-3 新建输入端口组
在设备中心>配置管理>复制组,点击<新增复制组>,填写端口组ID值,端口列勾选输出端口,点击<保存>。
图2-4 新建复制组
在设备中心>规则配置>十元组规则,点击<新增>,入端口组输入‘1’,动作选‘复制’,复制组选择‘2’, 点击<保存>。若复制的同时也需要对流量进行过滤,配置源/目的IP等过滤条件即可。
图2-5 新建十元组规则
(1) 输入端口WGE_0/0/1的1000个报文,输出端口XGE_0/0/3和XGE_0/0/4也各应有1000个报文输出。
(2) 在十元组规则查看规则命中数量,与流量报文匹配数一致。
图2-6 查看规则命中数
(3) 在设备中心>设备状态>端口状态查看输入和输出端口的报文数量。
图2-7 查看输入输出端口报文数
本章介绍流量汇聚、复制并过滤功能,该功能是TAP8000-G设备的基础流量处理功能。可多路输入流量进行汇聚、过滤后并复制转发给多个后端审计设备,支持一对一、一对多、多对一及多对多映射关系。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
各型号的规则容量均在设备中心>规则配置中展示。
适用产品:H3C SecPath TAP8000-C32L-G/CE56L-G
适用版本:E6101及以上版本
如下图所示用户需要将输入接口WGE_0/0/1和WGE_0/0/2的流量汇聚后复制成3份,流量分析仪接收全流量,数据库审计只接收源端口或者目的端口为3306的流量,IDS只接收源IP或者目的IP为网段为1.0.0.0/24的流量。
图3-1 流量汇聚/复制/过滤组网图
按照组网图组网。
(1) 登录Web网管。
(2) 新建输入端口组,选择流量输入端口WGE_0/0/1、WGE_0/0/2。
(3) 新建复制组,选择多个流量输出端口,由于XGE_0/0/3、XGE_0/0/4和XGE_0/0/5分别需要不同的流量,且XGE_0/0/5需要全流量,因此需要两个回环口作为中转,例如XGE_0/0/10和XGE_0/0/11,复制组的端口包括XGE_0/0/5、XGE_0/0/10和XGE_0/0/11。
(4) 端口开启回环,XGE_0/0/10和XGE_0/0/11。
(5) 新建十元组规则用于复制流量。
(6) 新建输入端口组10,包括XGE_0/0/10;新建输入端口组11,包括XGE_0/0/11。
(7) 新建十元组规则用于过滤源端口和目的端口为3306的数据库流量,输入端口组为10,输出端口为XGE_0/0/3。
(8) 新建十元组规则用于过滤源IP和目的IP为1.0.0.0/24网段流量,输入端口组为11,输出端口为XGE_0/0/4。
如下图所示,使用https的方式登录设备的Web网管,默认的用户名和密码是admin/admin,拖动滑块,并点击<登录>按钮。
图3-2 登录Web网管
在设备中心>配置管理>输入端口组,点击<新增输入端口组>,填写端口组ID值,端口列勾选输入端口,点击<保存>。
图3-3 新建输入端口组
在设备中心>配置管理>复制组,点击<新增复制组>,填写端口组ID值,端口列勾选输出端口,点击<保存>。
图3-4 新建复制组
在设备中心>配置管理>端口,分别选择端口XGE_0/0/10和XGE_0/0/11,将环回模式修改为本地环回后,点击<保存>。
图3-5 配置端口环回
在设备中心>配置管理>输入端口组,点击<新增输入端口组>,填写端口组ID值,端口列勾选输入端口,点击<保存>。
图3-6 新建输入端口组
在设备中心>规则配置>十元组规则,点击<新增>,入端口组输入‘1’,动作选‘复制’,复制组选择‘2’, 点击<保存>。
图3-7 新建十元组规则
(1) 在设备中心>规则配置>十元组规则,点击<新增>,入端口组输入‘10’,动作选‘转发’,出端口选择‘XGE_0/0/3’, 源端口输入‘3306’ ,点击<保存>。
图3-8 新建十元组规则-源端口3306
(2) 在设备中心>规则配置>十元组规则,点击<新增>,入端口组输入‘10’,动作选‘转发’,出端口选择‘XGE_0/0/3’, 目的端口输入‘3306’ ,点击<保存>。
图3-9 新建十元组规则-目的端口3306
(1) 在设备中心>规则配置>十元组规则,点击<新增>,入端口组输入‘11’,动作选‘转发’,出端口选择‘XGE_0/0/4’, 源IP输入‘1.0.0.0’ ,掩码输入‘255.255.255.0’ ,点击<保存>。
图3-10 新建十元组规则-源IP 1.0.0.0/24
(2) 在设备中心>规则配置>十元组规则,点击<新增>,入端口组输入‘11’,动作选‘转发’,出端口选择‘XGE_0/0/4’, 目的IP输入‘1.0.0.0’ ,掩码输入‘255.255.255.0’ ,点击<保存>。
图3-11 新建十元组规则-目的IP 1.0.0.0/24
(1) 输入报文包括源、目的IP为1.0.0.0/24的报文各1000个,源、目的端口为3306的报文各1000个,其他报文1000个。
(2) 在十元组规则查看规则命中数量,与流量报文匹配数一致。
图3-12 查看规则命中数
(3) 在设备中心>设备状态>端口状态查看输入和输出端口的报文数量。
图3-13 查看输入输出端口报文数
本章介绍VLAN tag配置功能,该功能是TAP8000-G设备的基础流量处理功能。VLAN tag标记常用场景包括:1针对输入端口添加vlan标签,针对输出端口删除vlan标签;2针对流量特征添加或者删除vlan标签。对应的功能模块分别如下:
Ø 支持基于端口添加和删除vlan tag,在输入端口添加vlan,在输出端口删除vlan。
Ø 支持基于输出端口组/复制组的数据处理功能,进行添加和删除vlan tag。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
各型号的规则容量均在设备中心>规则配置中展示。
适用产品:H3C SecPath TAP8000-C32L-G/CE56L-G/CE56H-G
适用版本:E6101及以上版本
如下图所示输入端口WGE_0/0/1需要添加vlan 100,输入端口WGE_0/0/2需要添加vlan 200,将WGE_0/0/1和WGE_0/0/2复制给后端分析设备,XGE_0/0/4接收全部流量,XGE_0/0/3只接收源或者目的IP为1.0.0.0/24的流量,且该部分流量需要删除外层VLAN。
图4-1 VLAN标签配置组网图
按照组网图组网。
(1) 登录Web网管。
(2) 配置输入端口,输入端口WGE_0/0/1配置添加vlan 100,输入端口WGE_0/0/2配置添加vlan 200。
(3) 新建输入端口组,选择流量输入端口WGE_0/0/1、WGE_0/0/2。
(4) 新建复制组,选择多个流量输出端口,由于XGE_0/0/3和XGE_0/0/4分别需要不同的流量,且XGE_0/0/4需要全流量,因此需要一个回环口作为中转,例如XGE_0/0/10,复制组的端口包括XGE_0/0/4和XGE_0/0/10。
(5) 端口开启回环,XGE_0/0/10。
(6) 新建十元组规则用于复制流量。
(7) 新建输入端口组10,包括XGE_0/0/10。
(8) 新建输出端口组3,包括XGE_0/0/3,配置端口组处理,打开删除vlan开关。
(9) 新建十元组规则用于过滤源IP为1.0.0.0/24网段流量,输入端口组为10,输出端口组为3。
如下图所示,使用https的方式登录设备的Web网管,默认的用户名和密码是admin/admin,拖动滑块,并点击<登录>按钮。
图4-2 登录Web网管
在设备中心>配置管理>端口配置输入端口WGE_0/0/1添加vlan 100,输入端口WGE_0/0/2添加vlan 200。
图4-3 端口配置添加vlan
在设备中心>配置管理>输入端口组,点击<新增输入端口组>,填写端口组ID值,端口列勾选输入端口,点击<保存>。
图4-4 新建输入端口组
在设备中心>配置管理>复制组,点击<新增复制组>,填写端口组ID值,端口列勾选输出端口,点击<保存>。
图4-5 新建复制组
在设备中心>配置管理>端口,选择端口XGE_0/0/10,将环回模式修改为本地环回后,点击<保存>。
图4-6 配置端口环回
在设备中心>配置管理>输入端口组,点击<新增输入端口组>,填写端口组ID值,端口列勾选输入端口,点击<保存>。
图4-7 新建输入端口组
在设备中心>规则配置>十元组规则,点击<新增>,入端口组输入‘1’,动作选‘复制’,复制组选择‘2’, 点击<保存>。
图4-8 新建十元组规则
(1) 在设备中心>配置管理>输出端口组,点击<新增输出端口组>,填写端口组ID值,端口列勾选输出端口,点击<保存>。
图4-9 新建输出端口组
(2) 在设备中心>配置管理>输出端口组,选择输出端口组3的数据处理,开启vlan删除开关,点击<保存>。
图4-10 输出端口组数据处理开启vlan删除
在设备中心>规则配置>十元组规则,点击<新增>,入端口组输入‘10’,动作选‘转发’,输出端口组选择‘3’, 源IP输入‘1.0.0.0’ ,掩码输入‘255.255.255.0’ ,点击<保存>。
图4-11 新建十元组规则-源IP 1.0.0.0/24
(1) 输入端口WGE_0/0/1包括源IP和目的IP为1.0.0.0/24的报文各1000个,输入端口WGE_0/0/2包括源IP为2.0.0.0/24的报文1000个。
(2) 在十元组规则查看规则命中数量,与流量报文匹配数一致。
图4-12 查看规则命中数
(3) 在设备中心>设备状态>端口状态查看输入和输出端口的报文数量。
图4-13 查看输入输出端口报文数
(4) 在设备中心>高级功能>捕包>ipv4捕包功能下发选择输出端口的出方向,点击<保存>后,再点击<开始捕包>,配置捕包参数后即可抓取输出端口输出方向的报文。XGE_0/0/3无vlan标签,且全都是源IP为1.0.0.0/24的报文。XGE_0/0/4包含vlan 100和vlan 200两种报文。
图4-14 查看XGE_0/0/3报文
图4-15 查看XGE_0/0/4报文
本章介绍隧道剥离功能,该功能是TAP8000-G设备的基础流量处理功能。用户流量存在隧道封装流量,但后端分析设备只关心内层报文信息,可使用隧道剥离功能将外层封装剥掉后再转给后端分析设备进行分析处理。设备支持基于规则的粒度对VXLAN、VLAN、VNTAG、MPLS、GRE、NVGRE、IPIP、GRE、GTP、SRV6、VLAN_MPLS、ERSPANI、ERSPANII封装报文进行剥离,可根据用户需求进行规则配置,下文以VXLAN解封装举例说明。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
各型号的规则容量均在设备中心>规则配置中展示。
C32L-G/CE56L-G的交换五元组隧道剥离与字符串规则无法同时使用。
不支持剥离外层带VLAN标签的隧道报文。
适用产品:H3C SecPath TAP8000-C32L-G/CE56L-G/CE56H-G
适用版本:E6101及以上版本
如下图所示输入端口WGE_0/0/1为VXLAN隧道报文,需要经过解封装后通过输出端口XGE_0/0/3转发给后端分析设备。
图5-1 隧道剥离配置组网图
按照组网图组网。
(1) 登录Web网管。
(2) 新建输出端口组,选择流量输出端口XGE_0/0/3。
(3) 新建交换五元组解封装隧道报文。
如下图所示,使用https的方式登录设备的Web网管,默认的用户名和密码是admin/admin,拖动滑块,并点击<登录>按钮。
图5-2 登录Web网管
在设备中心>配置管理>输出端口组,点击<新增输出端口组>,填写端口组ID值,端口列勾选输入端口,点击<保存>。
图5-3 新建输端口组
在设备中心>规则配置>交换五元组规则,点击<新增>,入端口输入‘WGE_0/0/1’,动作选‘转发’,输出端口组选择‘3’, 隧道类型输入‘vxlan’ ,隧道报文格式‘V4_OVER_V4’ ,点击<保存>。
图5-4 新建交换五元组规则
(1) 输入端口WGE_0/0/1流量均为VXLAN隧道报文。
(2) 在交换五元组规则查看规则命中数量,与流量报文匹配数一致。
图5-5 查看规则命中数
(3) 在设备中心>设备状态>端口状态查看输入和输出端口的报文数量。
图5-6 查看输入输出端口报文数
(4) 在设备中心>高级功能>捕包>ipv4捕包功能下发选择输出端口的出方向,点击<保存>后,再点击<开始捕包>,配置捕包参数后即可抓取输出端口输出方向的报文。XGE_0/0/3为解封装后的报文。
图5-7 查看XGE_0/0/3报文
本章介绍报文截断功能,该功能是TAP8000-G设备的基础流量处理功能。设备可对原始数据进行基于规则的截断,可根据用户配置决定置截断规则,达到分析系统在获取IP报文头部快速分析效率。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
各型号的规则容量均在设备中心>规则配置中展示。
C32L-G支持对原始数据进行基于规则的截断(0-255中任意整数的1、2、4倍的数长度可选,最长不超过1020字节)。
CE56L-G支持对原始数据进行基于规则的截断(0-255中任意整数的1、2、4倍的数长度可选,最长不超过2040字节)。
CE56H-G支持对原始数据进行基于规则的截断(64-9000字节可选)
适用产品:H3C SecPath TAP8000-C32L-G/CE56L-G/CE56H-G
适用版本:E6101及以上版本
如下图所示输入端口WGE_0/0/1,需要经过截断为256后通过输出端口XGE_0/0/3转发给后端分析设备。
图6-1 报文截断配置组网图
按照组网图组网。
(1) 登录Web网管。
(2) 通用配置中配置数据截断规则。
(3) 新建输入端口组,选择流量输入端口WGE_0/0/1。
(4) 新建输出端口组,选择流量输出端口XGE_0/0/3。配置输出端口组数据处理选择截断模板。
(5) 新建十元组规则转发流量。
如下图所示,使用https的方式登录设备的Web网管,默认的用户名和密码是admin/admin,拖动滑块,并点击<登录>按钮。
图6-2 登录Web网管
在设备中心>配置管理>通用配置,新增<截断模板配置>,填写ID值,输入截断长度256,点击<保存>。
图6-3 新建数据截断规则
在设备中心>配置管理>输入端口组,点击<新增输入端口组>,填写端口组ID值,端口列勾选输入端口,点击<保存>。
图6-4 新建输入端口组
(1) 在设备中心>配置管理>输出端口组,点击<新增输出端口组>,填写端口组ID值,端口列勾选输入端口,点击<保存>。
图6-5 新建输出端口组
(2) 选择输出端口组3,选择截断模板,点击<保存>。
图6-6 输出端口组-数据处理截断
在设备中心>规则配置>十元组规则,点击<新增>,输入端口组输入‘1’,动作选‘转发’,输出端口组选择‘3’,点击<保存>。
图6-7 新建十元组规则
(1) 在十元组规则查看规则命中数量,与流量报文匹配数一致。
图6-8 查看规则命中数
(2) 在设备中心>设备状态>端口状态查看输入和输出端口的报文数量。
图6-9 查看输入输出端口报文数
(3) 可以在后端设备上抓包查看报文长度。
图6-10 查看截断后的报文
支持
