5822 3 返回版块
monkeybrother
2015-02-10 17:08:12
0 楼主
本主题已关闭,不再接受新内容
该帖被管理员或版主屏蔽
只有管理员或有管理权限的成员可见
市场价:
竞拍底价:
加价幅度:
价格:
物品类型:
物品数量:
剩余时间:
人气5822
出价记录
用户名 出价时间 出价 状态
更多
摘要:
配置任何一种镜像功能,都需要先将物理端口配置成观察端口。配置观察端口分单个配置和批量配置两种方式。批量配置的观察端口相当于加入了一个观察端口组,在配置镜像端口时,镜像端口会绑定整个观察端口组。因此批量配置一般在1:N镜像时使用,主要是为了配置方便。
配置单个观察端口
1、本地观察端口,即观察端口与监控设备直连
system-view
[HUAWEI] observe-port 1 interface gigabitethernet 1/0/1
2、二层远程观察端口,即观察端口通过二层网络向监控设备转发镜像报文
system-view
[HUAWEI] observe-port 1 interface gigabitethernet 1/0/1 vlan 10
3、三层远程观察端口,即观察端口通过三层网络向监控设备转发镜像报文(仅S7700/S9700/S12700支持)
system-view
[HUAWEI] observe-port 1 interface gigabitethernet 1/0/1 destination-ip 1.1.1.1 source-ip 2.2.2.2
4、配置批量观察端口(V200R005及后续版本支持)
4.1本地观察端口,即观察端口与监控设备直连
system-view
[HUAWEI] observe-port 1 interface-range gigabitethernet 1/0/1 to gigabitEthernet 1/0/3
4.2二层远程观察端口,即观察端口通过二层网络向监控设备转发镜像报文
system-view
[HUAWEI] observe-port 1 interface-range gigabitethernet 1/0/1 to gigabitEthernet 1/0/3 vlan 10
4.3三层远程观察端口不支持批量配置
查看投票参与人
附件:
0
该楼层被管理员或版主屏蔽
只有管理员或有管理权限的成员可见
作者设置仅自己可见
附件:
monkeybrother
2015-02-10 17:09:49
0 沙发
该楼层被管理员或版主屏蔽
只有管理员或有管理权限的成员可见
作者设置仅自己可见
配置端口镜像
1、配置1:1端口镜像
将一个镜像端口的报文复制到一个观察端口上。例如:将镜像端口GE2/0/1入方向的报文(即接收到的报文)复制到观察端口GE1/0/1上,GE1/0/1与监控设备直连。
system-view
[HUAWEI] observe-port 1 interface gigabitethernet 1/0/1
[HUAWEI] interface gigabitethernet 2/0/1
[HUAWEI-GigabitEthernet2/0/1] port-mirroring to observe-port 1 inbound
2、配置1:N端口镜像
将一个镜像端口的报文复制到N个不同的观察端口上。例如:将镜像端口GE2/0/1入方向的报文(即接收到的报文)复制到观察端口GE1/0/1~GE1/0/3上,GE1/0/1~GE1/0/3与监控设备直连。
不同设备对1:N镜像支持情况不一样,可以参考交换机在江湖相关内容:
http://support.huawei.com/ecommunity/bbs/10224589.html?p=1#p10492284
http://support.huawei.com/ecommunity/bbs/10231381.html
观察端口逐个进行配置
system-view
[HUAWEI] observe-port 1 interface gigabitethernet 1/0/1
[HUAWEI] observe-port 2 interface gigabitethernet 1/0/2
[HUAWEI] observe-port 3 interface gigabitethernet 1/0/3
[HUAWEI] interface gigabitethernet 2/0/1
[HUAWEI-GigabitEthernet2/0/1] port-mirroring to observe-port 1 inbound
[HUAWEI-GigabitEthernet2/0/1] port-mirroring to observe-port 2 inbound
[HUAWEI-GigabitEthernet2/0/1] port-mirroring to observe-port 3 inbound
3、观察端口批量进行配置(V200R005及后续版本支持)
system-view
[HUAWEI] observe-port 1 interface-range gigabitethernet 1/0/1 to gigabitEthernet 1/0/3
[HUAWEI] interface gigabitethernet 2/0/1
[HUAWEI-GigabitEthernet2/0/1] port-mirroring to observe-port 1 inbound
4、配置N:1端口镜像
将N个镜像端口的报文复制到一个观察端口上。例如:将镜像端口GE2/0/1~GE2/0/3入方向的报文(即接收到的报文)复制到观察端口GE1/0/1上,GE1/0/1与监控设备直连。
system-view
[HUAWEI] observe-port 1 interface gigabitethernet 1/0/1
[HUAWEI] interface gigabitethernet 2/0/1
[HUAWEI-GigabitEthernet2/0/1] port-mirroring to observe-port 1 inbound
[HUAWEI-GigabitEthernet2/0/1] quit
[HUAWEI] interface gigabitethernet 2/0/2
[HUAWEI-GigabitEthernet2/0/2] port-mirroring to observe-port 1 inbound
[HUAWEI-GigabitEthernet2/0/2] quit
[HUAWEI] interface gigabitethernet 2/0/3
[HUAWEI-GigabitEthernet2/0/3] port-mirroring to observe-port 1 inbound
[HUAWEI-GigabitEthernet2/0/3] quit
附件:
monkeybrother
2015-02-10 17:10:36
0 板凳
该楼层被管理员或版主屏蔽
只有管理员或有管理权限的成员可见
作者设置仅自己可见
配置流镜像
流镜像是指将设备、端口或者VLAN内收、发的指定类型报文复制到观察端口上,监控设备只对指定类型报文进行监测。
流镜像有基于ACL和基于MQC(即复杂流分类)两种配置方式。前者配置简便,但是没有后者支持匹配的报文类型多,而且只支持入方向(即接收报文方向)的流镜像;后者配置复杂,但是支持匹配的报文类型比前者多,而且入方向、出方向(即发送报文方向)和双向的流镜像都支持。
通过简单的ACL方式实现流镜像
配置观察端口。例如:配置与监控设备直连的本地观察端口GE1/0/1。
system-view
[HUAWEI] observe-port 1 interface gigabitethernet 1/0/1
创建ACL。例如:创建二层ACL,配置的规则是匹配802.1p优先级为6的报文。
[HUAWEI] acl 4001
[HUAWEI-acl-L2-4001] rule permit 8021p 6
[HUAWEI-acl-L2-4001] quit配置流镜像。例如:
将整个设备所有端口入方向(即接收报文方向)802.1p优先级为6的报文复制到观察端口GE1/0/1。
[HUAWEI] traffic-mirror inbound acl 4001 to observe-port 1
将VLAN 10下所有端口入方向802.1p优先级为6的报文复制到观察端口GE1/0/1。
[HUAWEI] traffic-mirror vlan 10 inbound acl 4001 to observe-port 1
将端口GE2/0/1入方向802.1p优先级为6的报文复制到观察端口GE1/0/1。
[HUAWEI] interface gigabitethernet 2/0/1
[HUAWEI-GigabitEthernet2/0/1] traffic-mirror inbound acl 4001 to observe-port 1
第3步可重复配置,能够实现:
将全局、多个VLAN或者端口指定类型报文复制到同一个观察端口。
将全局、单个VLAN或者端口指定类型报文复制到不同的观察端口。
通过复杂的流分类方式实现流镜像
配置观察端口。例如:配置与监控设备直连的本地观察端口GE1/0/1。
system-view
[HUAWEI] observe-port 1 interface gigabitethernet 1/0/1
创建流分类。例如:创建流分类c1,并配置流分类规则是匹配802.1p优先级为6的报文。
[HUAWEI] traffic classifier c1
[HUAWEI-classifier-c1] if-match 8021p 6
[HUAWEI-classifier-c1] quit
创建动作是镜像的流行为。例如:创建流行为b1,并配置动作为流镜像。
[HUAWEI] traffic behavior b1
[HUAWEI-behavior-b1] mirroring to observe-port 1
[HUAWEI-behavior-b1] quit
创建流策略,并将流分类和流行为绑定到流策略上。例如:创建流策略p1,并将上面配置的流分类和流行为绑定到流策略p1上。
[HUAWEI] traffic policy p1
[HUAWEI-trafficpolicy-p1] classifier c1 behavior b1
[HUAWEI-trafficpolicy-p1] quit
应用流策略。例如:
将整个设备所有端口入方向(即接收报文方向)802.1p优先级为6的报文复制到观察端口GE1/0/1。
[HUAWEI] traffic-policy p1 global inbound
将VLAN 10下所有端口入方向802.1p优先级为6的报文复制到观察端口GE1/0/1。
[HUAWEI] vlan 10
[HUAWEI-vlan10] traffic-policy p1 inbound
将端口GE2/0/1入方向802.1p优先级为6的报文复制到观察端口GE1/0/1。
[HUAWEI] interface gigabitethernet 2/0/1
[HUAWEI-GigabitEthernet2/0/1] traffic-policy p1 inbound
第5步可重复配置,能够实现:
将全局、多个VLAN或者端口指定类型报文复制到同一个观察端口。
将全局、单个VLAN或者端口指定类型报文复制到不同的观察端口。
附件:
fdhfyfjm
2015-06-14 21:48:10
0 地坂
该楼层被管理员或版主屏蔽
只有管理员或有管理权限的成员可见
作者设置仅自己可见
写得很详细,但我还是不知道没成功的原因,不过真的感谢!希望能找到完整的例子,有图有配置就好了。但愿不是ensp模拟器的问题
附件:
暂无回复
页1/1
5822 3 返回版块
monkeybrother
2015-02-10 17:08:12
0 楼主
本主题已关闭,不再接受新内容
该帖被管理员或版主屏蔽
只有管理员或有管理权限的成员可见
市场价:
竞拍底价:
加价幅度:
价格:
物品类型:
物品数量:
剩余时间:
人气5822
出价记录
用户名 出价时间 出价 状态
更多
摘要:
配置任何一种镜像功能,都需要先将物理端口配置成观察端口。配置观察端口分单个配置和批量配置两种方式。批量配置的观察端口相当于加入了一个观察端口组,在配置镜像端口时,镜像端口会绑定整个观察端口组。因此批量配置一般在1:N镜像时使用,主要是为了配置方便。
配置单个观察端口
1、本地观察端口,即观察端口与监控设备直连
system-view
[HUAWEI] observe-port 1 interface gigabitethernet 1/0/1
2、二层远程观察端口,即观察端口通过二层网络向监控设备转发镜像报文
system-view
[HUAWEI] observe-port 1 interface gigabitethernet 1/0/1 vlan 10
3、三层远程观察端口,即观察端口通过三层网络向监控设备转发镜像报文(仅S7700/S9700/S12700支持)
system-view
[HUAWEI] observe-port 1 interface gigabitethernet 1/0/1 destination-ip 1.1.1.1 source-ip 2.2.2.2
4、配置批量观察端口(V200R005及后续版本支持)
4.1本地观察端口,即观察端口与监控设备直连
system-view
[HUAWEI] observe-port 1 interface-range gigabitethernet 1/0/1 to gigabitEthernet 1/0/3
4.2二层远程观察端口,即观察端口通过二层网络向监控设备转发镜像报文
system-view
[HUAWEI] observe-port 1 interface-range gigabitethernet 1/0/1 to gigabitEthernet 1/0/3 vlan 10
4.3三层远程观察端口不支持批量配置
查看投票参与人
附件:
0
该楼层被管理员或版主屏蔽
只有管理员或有管理权限的成员可见
作者设置仅自己可见
附件:
monkeybrother
2015-02-10 17:09:49
0 沙发
该楼层被管理员或版主屏蔽
只有管理员或有管理权限的成员可见
作者设置仅自己可见
配置端口镜像
1、配置1:1端口镜像
将一个镜像端口的报文复制到一个观察端口上。例如:将镜像端口GE2/0/1入方向的报文(即接收到的报文)复制到观察端口GE1/0/1上,GE1/0/1与监控设备直连。
system-view
[HUAWEI] observe-port 1 interface gigabitethernet 1/0/1
[HUAWEI] interface gigabitethernet 2/0/1
[HUAWEI-GigabitEthernet2/0/1] port-mirroring to observe-port 1 inbound
2、配置1:N端口镜像
将一个镜像端口的报文复制到N个不同的观察端口上。例如:将镜像端口GE2/0/1入方向的报文(即接收到的报文)复制到观察端口GE1/0/1~GE1/0/3上,GE1/0/1~GE1/0/3与监控设备直连。
不同设备对1:N镜像支持情况不一样,可以参考交换机在江湖相关内容:
http://support.huawei.com/ecommunity/bbs/10224589.html?p=1#p10492284
http://support.huawei.com/ecommunity/bbs/10231381.html
观察端口逐个进行配置
system-view
[HUAWEI] observe-port 1 interface gigabitethernet 1/0/1
[HUAWEI] observe-port 2 interface gigabitethernet 1/0/2
[HUAWEI] observe-port 3 interface gigabitethernet 1/0/3
[HUAWEI] interface gigabitethernet 2/0/1
[HUAWEI-GigabitEthernet2/0/1] port-mirroring to observe-port 1 inbound
[HUAWEI-GigabitEthernet2/0/1] port-mirroring to observe-port 2 inbound
[HUAWEI-GigabitEthernet2/0/1] port-mirroring to observe-port 3 inbound
3、观察端口批量进行配置(V200R005及后续版本支持)
system-view
[HUAWEI] observe-port 1 interface-range gigabitethernet 1/0/1 to gigabitEthernet 1/0/3
[HUAWEI] interface gigabitethernet 2/0/1
[HUAWEI-GigabitEthernet2/0/1] port-mirroring to observe-port 1 inbound
4、配置N:1端口镜像
将N个镜像端口的报文复制到一个观察端口上。例如:将镜像端口GE2/0/1~GE2/0/3入方向的报文(即接收到的报文)复制到观察端口GE1/0/1上,GE1/0/1与监控设备直连。
system-view
[HUAWEI] observe-port 1 interface gigabitethernet 1/0/1
[HUAWEI] interface gigabitethernet 2/0/1
[HUAWEI-GigabitEthernet2/0/1] port-mirroring to observe-port 1 inbound
[HUAWEI-GigabitEthernet2/0/1] quit
[HUAWEI] interface gigabitethernet 2/0/2
[HUAWEI-GigabitEthernet2/0/2] port-mirroring to observe-port 1 inbound
[HUAWEI-GigabitEthernet2/0/2] quit
[HUAWEI] interface gigabitethernet 2/0/3
[HUAWEI-GigabitEthernet2/0/3] port-mirroring to observe-port 1 inbound
[HUAWEI-GigabitEthernet2/0/3] quit
附件:
monkeybrother
2015-02-10 17:10:36
0 板凳
该楼层被管理员或版主屏蔽
只有管理员或有管理权限的成员可见
作者设置仅自己可见
配置流镜像
流镜像是指将设备、端口或者VLAN内收、发的指定类型报文复制到观察端口上,监控设备只对指定类型报文进行监测。
流镜像有基于ACL和基于MQC(即复杂流分类)两种配置方式。前者配置简便,但是没有后者支持匹配的报文类型多,而且只支持入方向(即接收报文方向)的流镜像;后者配置复杂,但是支持匹配的报文类型比前者多,而且入方向、出方向(即发送报文方向)和双向的流镜像都支持。
通过简单的ACL方式实现流镜像
配置观察端口。例如:配置与监控设备直连的本地观察端口GE1/0/1。
system-view
[HUAWEI] observe-port 1 interface gigabitethernet 1/0/1
创建ACL。例如:创建二层ACL,配置的规则是匹配802.1p优先级为6的报文。
[HUAWEI] acl 4001
[HUAWEI-acl-L2-4001] rule permit 8021p 6
[HUAWEI-acl-L2-4001] quit配置流镜像。例如:
将整个设备所有端口入方向(即接收报文方向)802.1p优先级为6的报文复制到观察端口GE1/0/1。
[HUAWEI] traffic-mirror inbound acl 4001 to observe-port 1
将VLAN 10下所有端口入方向802.1p优先级为6的报文复制到观察端口GE1/0/1。
[HUAWEI] traffic-mirror vlan 10 inbound acl 4001 to observe-port 1
将端口GE2/0/1入方向802.1p优先级为6的报文复制到观察端口GE1/0/1。
[HUAWEI] interface gigabitethernet 2/0/1
[HUAWEI-GigabitEthernet2/0/1] traffic-mirror inbound acl 4001 to observe-port 1
第3步可重复配置,能够实现:
将全局、多个VLAN或者端口指定类型报文复制到同一个观察端口。
将全局、单个VLAN或者端口指定类型报文复制到不同的观察端口。
通过复杂的流分类方式实现流镜像
配置观察端口。例如:配置与监控设备直连的本地观察端口GE1/0/1。
system-view
[HUAWEI] observe-port 1 interface gigabitethernet 1/0/1
创建流分类。例如:创建流分类c1,并配置流分类规则是匹配802.1p优先级为6的报文。
[HUAWEI] traffic classifier c1
[HUAWEI-classifier-c1] if-match 8021p 6
[HUAWEI-classifier-c1] quit
创建动作是镜像的流行为。例如:创建流行为b1,并配置动作为流镜像。
[HUAWEI] traffic behavior b1
[HUAWEI-behavior-b1] mirroring to observe-port 1
[HUAWEI-behavior-b1] quit
创建流策略,并将流分类和流行为绑定到流策略上。例如:创建流策略p1,并将上面配置的流分类和流行为绑定到流策略p1上。
[HUAWEI] traffic policy p1
[HUAWEI-trafficpolicy-p1] classifier c1 behavior b1
[HUAWEI-trafficpolicy-p1] quit
应用流策略。例如:
将整个设备所有端口入方向(即接收报文方向)802.1p优先级为6的报文复制到观察端口GE1/0/1。
[HUAWEI] traffic-policy p1 global inbound
将VLAN 10下所有端口入方向802.1p优先级为6的报文复制到观察端口GE1/0/1。
[HUAWEI] vlan 10
[HUAWEI-vlan10] traffic-policy p1 inbound
将端口GE2/0/1入方向802.1p优先级为6的报文复制到观察端口GE1/0/1。
[HUAWEI] interface gigabitethernet 2/0/1
[HUAWEI-GigabitEthernet2/0/1] traffic-policy p1 inbound
第5步可重复配置,能够实现:
将全局、多个VLAN或者端口指定类型报文复制到同一个观察端口。
将全局、单个VLAN或者端口指定类型报文复制到不同的观察端口。
附件:
fdhfyfjm
2015-06-14 21:48:10
0 地坂
该楼层被管理员或版主屏蔽
只有管理员或有管理权限的成员可见
作者设置仅自己可见
写得很详细,但我还是不知道没成功的原因,不过真的感谢!希望能找到完整的例子,有图有配置就好了。但愿不是ensp模拟器的问题
附件:
暂无回复
页1/1