XCM8800系列交換機本地端口鏡像與ACL鏡像功能配置與說明_第1頁
XCM8800系列交換機本地端口鏡像與ACL鏡像功能配置與說明_第2頁
XCM8800系列交換機本地端口鏡像與ACL鏡像功能配置與說明_第3頁
XCM8800系列交換機本地端口鏡像與ACL鏡像功能配置與說明_第4頁
全文預(yù)覽已結(jié)束

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認(rèn)領(lǐng)

文檔簡介

1、XCM8800系列交換機本地端口鏡像與ACL鏡像功能配置與說明文檔說明:端口鏡像功能是大多數(shù)網(wǎng)絡(luò)監(jiān)控,排除故障的重要組成部分。依靠端口鏡像功能,網(wǎng)絡(luò)管理者能通過監(jiān)測、下載、分析數(shù)據(jù)包了解到網(wǎng)絡(luò)情況,解決網(wǎng)絡(luò)中存在的問題。XCM88系列交換機不僅提供了常用的端口鏡像功能,同時還能夠通過ACL匹配需要分析的流量實現(xiàn)更細化的鏡像功能,大大提高數(shù)據(jù)包分析的精度。文檔適用性:本文檔主要介紹XCM8800本地鏡像功能,對于遠程鏡像功能有所涉及,但不作具體介紹。鏡像規(guī)則與限制:1. 當(dāng)關(guān)閉鏡像功能時,所有的過濾器不能被配置2. 要改變監(jiān)控端口,首先要移除所有的過濾器3. 不能鏡像監(jiān)控端口4. 鏡像配置被移除

2、,當(dāng)下列情況發(fā)生:o 刪除一個VLAN(對于所有基于VLAN的過濾)o 刪除一個VLAN的端口(對于所有VLAN,基于端口的過濾)o 不配置一個插槽(slot)(對于在該插槽上面的所有基于端口的過濾)5. 任何的鏡像端口也可以為負(fù)載共享(或鏈路聚合)而啟用,然而,負(fù)載共享組的每個單獨端口必須被明確配置為鏡像。6. 鏡像過濾器不限制在一個模塊上,可以在多個模塊上起用。7. 不能使用管理端口進行鏡像8. 如果你需要鏡像的標(biāo)簽包是1519到1522字節(jié),在1對多的鏡像情況下,需要啟用JUMBO幀和LOOPBACK 端口。9. LOOPBACK口是一個實際的物理端口,是專用于鏡像端口,不能用于其它配置

3、,當(dāng)被指定時,LED會發(fā)亮。10. 由于某些限制,下面類型的包在使用出站VLAN將不能被出口鏡像或者基于虛擬端口的鏡像。o CPU產(chǎn)生的包o 2層多播流量11. 當(dāng)流量接近線速時,鏡像速率可能下降,由于鏡像是復(fù)制流量,當(dāng)負(fù)載高時,可用帶寬將優(yōu)先用于常規(guī)流量,而不是鏡像流量。基本鏡像功能配置步驟與命令:步驟1:配置鏡像模式#configure mirroring mode standard/enhancedstandard 標(biāo)準(zhǔn)模式下,當(dāng)一個數(shù)據(jù)包匹配入站鏡像過濾器和出站鏡像過濾器時,只能鏡像到一份數(shù)據(jù)包。enhanced 增強模式下,當(dāng)一個數(shù)據(jù)包匹配入站鏡像過濾器和出站鏡像過濾器時,會同時鏡像

4、到兩份數(shù)據(jù)包。在使用遠程鏡像功能時,必須起用增強模式。步驟2:配置監(jiān)控端口(流量副本傳輸?shù)酱硕丝冢?enable mirroring to port M鏡像到一個端口#enable mirroring to port-list X-Y loopback-port Z鏡像到多個端口,loopback端口用于過渡流量使用,必須是模塊上一個真實存在的物理端口,該端口被配置為loopback后,燈會亮起。步驟3:配置被監(jiān)控端口(過濾器)#enable mirroring add vlan |port ingress/egressvlan 基于VLAN配置鏡像過濾器,后面跟VLAN的名字port 基于端

5、口配置鏡像過濾器,后面跟PORT的號碼ingress 在入站方向上進行鏡像監(jiān)控,將流量送到監(jiān)控口egress 在出站方向上進行鏡像監(jiān)控,將流量送到監(jiān)控口注意:1、基于VLAN的鏡像只能將被監(jiān)控端口的入站的數(shù)據(jù)包送到鏡像端口上。2、以上的M,X,Y,Z等分別代表不同的物理端口號配置實例:我們嘗試使用以上拓?fù)?,對PC1-XCM8810-PC2設(shè)備的ICMP流量進行監(jiān)控:基本配置:1. PC1 的IP:10.1.1.100 網(wǎng)關(guān):10.1.1.12. PC2 的IP:10.1.2.100 網(wǎng)關(guān):10.1.2.13. XCM8810交換機起用三層交換特性,起用VLAN特性,起用VLAN間路由特性:VL

6、AN SAM-1 的IP:10.1.1.1 分配的端口有8:10VLAN SAM-2 的IP:10.1.2.1 分配的端口有8:124. Monitor laptop 是監(jiān)控入筆記本 安裝有Wireshark的免費流量監(jiān)控軟件,接到XCM8810的8:14號端口上。5. 端口表示為“插槽:端口號” 例如:8:10代表從上往下數(shù)第八個插槽第十個端口。以下給出三層交換機上面的基本VLAN等的配置:#create vlan sam-1#create vlan sam-2#configure vlan sam-1 tag 500#configure vlan sam-2 tag 1000#config

7、ure vlan default delete ports 8:10,8:12,8:14#configure vlan sam-1 add ports 8:10 untagged#configure vlan sam-2 add ports 8:12 untagged#configure vlan sam-1 ipaddress 10.1.1.1 255.255.255.0#configure vlan sam-2 ipaddress 10.1.2.1 255.255.255.0#enable ipforwarding vlan sam-1#enable ipforwarding vlan s

8、am-2#save以下開始配置端口鏡像功能-基本型:#configure mirroring mode standard#enable mirroring to port 8:14#enable mirroring add port 8:10 /默認(rèn)情況下不選,則是應(yīng)用在ingress、egress兩個方向#enable mirroring add port 8:12通過PC1的長時間PING進行測試: ping 10.1.2.100 t,通過LAPTOP上面的wireshark抓包。以下分別是將在vlan、port作端口鏡像時應(yīng)用到端口8:10和8:12抓icmp包情況:端口8:10端口8:

9、12Port 默認(rèn)不寫(ingress/egress)echo-requestecho-replyPort 默認(rèn)不寫(ingress/egress)echo-requestecho-replyPort ingressecho-requestPort ingressecho-replyPort egressecho-replyPort egressecho-requestvlan sam-1(只鏡像入站流量)echo-requestvlan sam-2(只鏡像入站流量)echo-reply通過ACL方式實現(xiàn)端口鏡像功能:步驟1:編寫ACL,將ACL中的ACTION項填寫為Mirroring。具體

10、原理請參考文檔:XCM8800 系列交換機 ACL 基礎(chǔ)介紹步驟2:配置鏡像模式步驟3:配置監(jiān)控端口(流量副本傳輸?shù)酱硕丝冢┎襟E4:將ACL配置在需要被監(jiān)控的端口上。具體原理請參考文檔:XCM8800 系列交換機 ACL 基礎(chǔ)介紹配置實例:仍然以上例為基礎(chǔ),使icmp流量作為需要監(jiān)控的對象,向鏡像監(jiān)控端口發(fā)送流量。vlan 配置請參考上例中的配置語句以下是ACL的policy配置:#edit policy samentry sama if protocol icmp;source-address 10.1.1.0/24;icmp-type echo-request;destination-ad

11、dress 10.1.2.0/24;then mirror;count number; 以下配置開啟端口鏡像功能:#configure mirroring mode standard#enable mirroring to port 8:14以下配置ACL到端口8:10和8:12:configure access-list sam ports 8:10,8:12通過PC1的長時間PING進行測試: ping 10.1.2.100 t,通過LAPTOP上面的wireshark抓包。以下分別是通過ACL將在vlan、port作端口鏡像時應(yīng)用到端口8:10和8:12抓icmp包情況:端口8:10端口

12、8:12Port 默認(rèn)不寫(ingress)echo-requestPort 默認(rèn)不寫(ingress)echo-replyPort ingressecho-requestPort ingressecho-replyPort egressACL不能被應(yīng)用于出站方向Port egressACL不能被應(yīng)用于出站方向vlan sam-1(只鏡像入站流量)echo-requestvlan sam-2(只鏡像入站流量)echo-reply以下是檢查ACL或鏡像、刪除鏡像常用命令:show mirroring /查看鏡像show access-list count vlan sam-1 /查看ACL匹配的包數(shù)和ACL應(yīng)用位置。show configure vlan /查看vlan配置show policy sam /查看名字叫sam的ACL POLICYcheck poli

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論