H3C端口镜像.docx
- 文档编号:12591788
- 上传时间:2023-06-06
- 格式:DOCX
- 页数:10
- 大小:38.08KB
H3C端口镜像.docx
《H3C端口镜像.docx》由会员分享,可在线阅读,更多相关《H3C端口镜像.docx(10页珍藏版)》请在冰点文库上搜索。
H3C端口镜像
组网需求
如图1所示,用户有两台监控分析设备,一台是分析仪,另一台是IDS(IntrusionDetectionSystem,入侵检测系统)设备。
用户希望能对来自互联网的流量同时进行分析和入侵检测。
本组网中的Device设备不支持一个端口被多个本地镜像组用作源端口。
图1多个目的端口配置组网图
3.2 配置思路
本例中的一个源端口和两个目的端口都位于同一台设备上,所以应优先考虑采用本地端口镜像方式。
但一个本地镜像组内不允许有两个目的端口,所以需配置两个本地镜像组,而一个源端口又不能同时属于两个本地镜像组,所以此方式无法实现本例的需求。
在这种情况下,可借助二层远程端口镜像的反射端口方式实现需求:
利用反射端口会在远程镜像VLAN中广播镜像报文的原理,将两个目的端口都加入远程镜像VLAN即可。
3.3 配置步骤
(1) 配置远程源镜像组
#创建远程源镜像组。
[Device]mirroring-group1remote-source
#创建VLAN2。
[Device]vlan2
[Device-vlan2]quit
#为远程源镜像组配置远程镜像VLAN、源端口和反射口。
[Device]mirroring-group1remote-probevlan2
[Device]mirroring-group1mirroring-portethernet1/1inbound
[Device]mirroring-group1reflector-portethernet1/2
(2) 在远程镜像VLAN中添加监控端口
#将端口Ethernet1/3加入远程镜像VLAN。
[Device]interfaceethernet1/3
[Device-Ethernet1/3]portaccessvlan2
[Device-Ethernet1/3]quit
#将端口Ethernet1/4加入远程镜像VLAN。
[Device]interfaceethernet1/4
[Device-Ethernet1/4]portaccessvlan2
3.4 验证配置
用户在两台监控分析设备上可以同时收到来自互联网的流量,镜像功能生效。
这样,用户就可以对互联网的流量分别进行综合分析和入侵检测了。
3.5 配置文件
#
mirroring-group1remote-source
mirroring-group1remote-probevlan2
#
vlan1
#
vlan2
#
interfaceEthernet1/1
portlink-modebridge
mirroring-group1mirroring-portinbound
#
interfaceEthernet1/2
portlink-modebridge
mirroring-group1reflector-port
#
interfaceEthernet1/3
portlink-modebridge
portaccessvlan2
#
interfaceEthernet1/4
portlink-modebridge
portaccessvlan2
#
4 多台源设备镜像配置举例
4.1 组网需求
如图2所示,用户只有一台分析仪,但希望能够监控分析来自互联网和局域网的流量。
使用的三台Device均为二层设备。
为实现对流量的准确分析,要求避免来自互联网和局域网的流量互相影响。
图2多台源设备镜像配置组网图
4.2 配置思路
由于是跨设备镜像,且源设备与目的设备都为二层设备,因此必须配置二层远程端口镜像。
为了防止互联网和局域网的流量互相影响,DeviceA和DeviceB要使用不同的远程镜像VLAN。
在DeviceC上,DeviceA和DeviceB的不同远程镜像VLAN对应同一个目的端口。
由于一个远程镜像组只能配置一个远程镜像VLAN,并且同一个目的端口不能配置在两个镜像组内。
因此在DeviceC上,不能通过配置远程镜像组将不同远程镜像VLAN的流量送至分析器,而要通过配置连接分析仪的端口允许不同远程镜像VLAN通过来达到该目的。
4.3 配置步骤
4.3.1 DeviceA的配置
(1) 配置远程源镜像组
#创建远程源镜像组1。
[DeviceA]mirroring-group1remote-source
#创建VLAN2。
[DeviceA]vlan2
[DeviceA-vlan2]quit
#为远程源镜像组配置远程镜像VLAN、源端口和反射口。
[DeviceA]mirroring-group1remote-probevlan2
[DeviceA]mirroring-group1mirroring-portethernet1/1inbound
[DeviceA]mirroring-group1reflector-portethernet1/2
(2) 配置连接DeviceC的端口
#配置端口Ethernet1/3为Trunk端口。
[DeviceA]interfaceethernet1/3
[DeviceA-Ethernet1/3]portlink-typetrunk
#配置端口Ethernet1/3允许通过远程镜像VLAN。
[DeviceA-Ethernet1/3]porttrunkpermitvlan2
#配置端口Ethernet1/3禁止通过默认VLAN。
[DeviceA-Ethernet1/3]undoporttrunkpermitvlan1
4.3.2 DeviceB的配置
(1) 配置远程源镜像组
#创建远程源镜像组1。
[DeviceB]mirroring-group1remote-source
#创建VLAN3。
[DeviceB]vlan3
[DeviceB-vlan2]quit
#为远程源镜像组配置远程镜像VLAN、源端口和反射口。
[DeviceB]mirroring-group1remote-probevlan3
[DeviceB]mirroring-group1mirroring-portethernet1/1inbound
[DeviceB]mirroring-group1reflector-portethernet1/2
(2) 配置连接DeviceC的端口
#配置端口Ethernet1/3为Trunk端口。
[DeviceB]interfaceethernet1/3
[DeviceB-Ethernet1/3]portlink-typetrunk
#配置端口Ethernet1/3允许通过远程镜像VLAN。
[DeviceB-Ethernet1/3]porttrunkpermitvlan3
#配置端口Ethernet1/3禁止通过默认VLAN。
[DeviceB-Ethernet1/3]undoporttrunkpermitvlan1
4.3.3 DeviceC的配置
(1) 创建DeviceA和DeviceB的远程镜像VLAN
#创建VLAN2和VLAN3。
[DeviceC]vlan2
[DeviceC-vlan2]quit
[DeviceC]vlan3
[DeviceC-vlan3]quit
(2) 配置连接DeviceA的端口
#配置端口Ethernet1/1为Trunk端口。
[DeviceC]interfaceethernet1/1
[DeviceC-Ethernet1/1]portlink-typetrunk
#配置端口Ethernet1/1允许通过DeviceA的远程镜像VLAN。
[DeviceC-Ethernet1/1]porttrunkpermitvlan2
#配置端口Ethernet1/1禁止通过默认VLAN。
[DeviceC-Ethernet1/1]undoporttrunkpermitvlan1
[DeviceC-Ethernet1/1]quit
(3) 配置连接DeviceB的端口
#配置端口Ethernet1/2为Trunk端口。
[DeviceC]interfaceethernet1/2
[DeviceC-Ethernet1/2]portlink-typetrunk
#配置端口Ethernet1/2允许通过DeviceB的远程镜像VLAN。
[DeviceC-Ethernet1/2]porttrunkpermitvlan3
#配置端口Ethernet1/2禁止通过默认VLAN。
[DeviceC-Ethernet1/2]undoporttrunkpermitvlan1
[DeviceC-Ethernet1/2]quit
(4) 配置连接分析仪的端口
#配置端口Ethernet1/3为Trunk端口。
[DeviceC]interfaceethernet1/3
[DeviceC-Ethernet1/3]portlink-typetrunk
#配置端口Ethernet1/3允许通过DeviceA和DeviceB的远程镜像VLAN。
[DeviceC-Ethernet1/3]porttrunkpermitvlan2to3
#配置端口Ethernet1/3禁止通过默认VLAN。
[DeviceC-Ethernet1/3]undoporttrunkpermitvlan1
4.4 验证配置
在分析仪上通过VLAN2和VLAN3可以分别观察到来自互联网和局域网的流量,表明镜像功能生效。
4.5 配置文件
· DeviceA:
#
mirroring-group1remote-source
mirroring-group1remote-probevlan2
#
vlan1
#
vlan2
#
interfaceEthernet1/1
portlink-modebridge
mirroring-group1mirroring-portinbound
#
interfaceEthernet1/2
portlink-modebridge
mirroring-group1reflector-port
#
interfaceEthernet1/3
portlink-modebridge
portlink-typetrunk
undoporttrunkpermitvlan1
porttrunkpermitvlan2
#
· DeviceB:
#
mirroring-group1remote-source
mirroring-group1remote-probevlan3
#
vlan1
#
vlan3
#
interfaceEthernet1/1
portlink-modebridge
mirroring-group1mirroring-portinbound
#
interfaceEthernet1/2
portlink-modebridge
mirroring-group1reflector-port
#
interfaceEthernet1/3
portlink-modebridge
portlink-typetrunk
undoporttrunkpermitvlan1
porttrunkpermitvlan3
#
· DeviceC:
#
vlan1
#
vlan2to3
#
interfaceEthernet1/1
portlink-modebridge
portlink-typetrunk
undoporttrunkpermitvlan1
porttrunkpermitvlan2
#
interfaceEthernet1/2
portlink-modebridge
portlink-typetrunk
undoporttrunkpermitvlan1
porttrunkpermitvlan3
#
interfaceEthernet1/3
portlink-modebridge
portlink-typetrunk
undoporttrunkpermitvlan1
porttrunkpermitvlan2to3
#
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- H3C 端口