进入交换机命令模式即可。
首先用配置线把电脑的RJ45网口和华为交换机的配置口连接起来,用电脑远程控制交换机,进入交换机的命令模式。执行命令sys,进入全局配置模式。进入了该模式,才有权限执行启动交换机各种功能的命令。
[img]1.配置观察端口
配置观察端口分单个配置和批量配置两种方式。批量配置的观察端口相当于加入了一个观察端口组,在配置镜像端口时,镜像端口会绑定整个观察端口组。因此批量配置一般在1:N镜像时使用,主要是为了配置方便。
(1)配置单个观察端口
本地观察端口,即观察端口与监控设备直连。
脚本:
system-view
observe-port 1 interface gigabitethernet 1/0/1
二层远程观察端口,即观察端口通过二层网络向监控设备转发镜像报文。
脚本:
system-view
observe-port 1 interface gigabitethernet 1/0/1 vlan 2
(2)配置批量观察端口
本地观察端口,即观察端口与监控设备直连。
脚本:
system-view
observe-port 1 interface gigabitethernet 1/0/1 to gigabitethernet 1/0/3
二层远程观察端口,即观察端口通过二层网络向监控设备转发镜像报文。
脚本:
system-view
observe-port 1 interface gigabitethernet 1/0/1 to gigabitethernet 1/0/3 vlan 2
2.配置端口镜像
端口镜像时指设备复制从镜像端口流经的报文,并将此报文传送到指定的观察端口进行分析和监控。
(1)配置1:1端口镜像
将一个镜像端口的报文复制到一个观察端口上。将镜像端口GE1/0/2入方向的报文(即接收到的报文)复制到观察端口GE1/0/1上,GE1/0/1与监控设备直连。
脚本:
system-view
observe-port 1 interface gigabitethernet 1/0/1
interface gigabitethernet 1/0/2
port-mirroring to observe-port 1 inbound
(2)配置1:N端口镜像
将一个镜像端口的报文复制到N个不同的观察端口上。将镜像端口GE2/0/1入方向的报文(即接收到的报文)复制到观察端口GE1/0/1~GE1/0/3上,GE1/0/1~GE1/0/3与监控设备直连。
观察端口逐个进行配置。
脚本:
system-view
observe-port 1 interface gigabitethernet 1/0/1
observe-port 2 interface gigabitethernet 1/0/2
observe-port 3 interface gigabitethernet 1/0/3
interface gigabitethernet 2/0/1
port-mirroring to boserve-port 1 inbound
port-mirroring to boserve-port 2 inbound
port-mirroring to boserve-port 3 inbound
观察端口批量进行配置。
system-view
observe-port 1 interface-range gigabitethernet 1/0/1 to gigabitethernet 1/0/3
interface gigabitethernet 2/0/1
port-mirroring to observe-port 1 inbound
3.配置N:1端口镜像
将N个镜像端口的报文复制到一个观察端口上。将镜像端口GE2/0/1~GE2/0/3入方向的报文(即接收到的报文)复制到观察端口GE1/0/1上,GE1/0/1与监控设备直连。
system-view
observe-port 1 interface gigabitethernet 1/0/1
interface gigabitethernet 2/0/1
port-mirroring to observe-port 1 inbound
quit
interface gigabitethernet 2/0/2
port-mirroring to observe-port 1 inbound
quit
interface gigabitethernet 2/0/3
port-mirroring to observe-port 1 inbound
quit
1、配置流镜像
流镜像是指将设备、端口或者VLAN内收、发的指定类型报文复制到观察端口上,监控设备只对指定类型报文进行监测。有两种配置方式,分别为基于ACL和基于MQC(即复杂流分类)。
基于ACL的流镜像:支持匹配的报文类型少,且只支持入方向(收到报文方向)的流镜像。
(1)配置观察端口,配置与监控设备直连的本地观察端口GE1/0/10
脚本:
system-view
observe-port 1 interface gigabitethernet 1/0/10
(2)创建ACL,创建二层ACL,配置的规则是匹配802.1p优先级为6的报文。
脚本:
acl 4002
rule permit 8021p 6
quit
(3)配置流镜像。
将整个设备所有端口入方向802.1p优先级为6的报文复制到观察端口GE1/0/10。
脚本:
traffic-mirror inbound acl 4002 to observe-port 1
将vlan 20下所有端口入方向802.1p优先级为6的报文复制到观察端口GE1/0/10。
脚本:
traffic-mirror vlan 10 inbound acl 4002 to observe-port 1
将端口GE2/0/10入方向802.1p优先级为6的报文复制到观察端口GE1/0/10。
脚本:
interface gigabitethernet 2/0/10
traffic-mirror inbound acl 4002 to observe-port 1
基于MQC的流镜像:支持匹配的报文类型多,入方向、出方向(发送报文方向)的流镜像都支持。
(1)配置观察端口,配置与监控设备直连的本地观察端口GE1/0/10。
脚本:
system-view
observe-port 1 interface gigabitethernet 1/0/10
(2)创建流分类,创建流分类c1,并配置流分类规则是匹配802.1p优先级为6的报文。
脚本:
traffic classifier c1
if-match 8021p 6
quit
(3)创建动作是镜像的流行为,创建流行为b1,并配置动作为流镜像。
脚本:
traffic behavior b1
mirroring to observe-port 1
quit
(4)创建流策略,并将流分类和流行为绑定到流策略上,创建流策略p1,并将之前配置的流分类和流行为绑定到流策略p1上。
脚本:
traffic policy p1
classifier c1 behavior b1
quit
(5)应用流策略。
将整个设备所有端口入方向802.1p优先级为6的报文复制到观察端口GE1/0/10。
脚本:
traffic-policy p1 global inbound
将vlan 20下所有端口入方向802.1p优先级为6的报文复制到观察端口GE1/0/10。
脚本:
vlan 20
traffic-policy p1 inbound
将端口GE2/0/10入方向802.1p优先级为6的报文复制到观察端口GE1/0/10。
脚本:
interface gigabitethernet 2/0/10
traffic-policy p1 inbound
2、删除镜像配置
在使用完镜像功能后,删除镜像配置的操作如下:
(1)使用命令 display current-configuration ,查看设备当前镜像的配置。
(2)在镜像端口下使用 undo port-mirroring ,删除观察端口与镜像端口的绑定关系,恢复镜像端口为普通端口。
举例:
system-view
interface gigabitethernet 1/0/10
undo port-mirroring to observe-port 1 inbound
quit
(3)在系统视图下使用命令 undo observe-port ,删除观察端口。
举例:
undo observe-port 1
说明:只有先执行第2步,即先删除观察端口与镜像端口的绑定关系,才能删除观察端口。
1. 将端口E0/2配置为监控端口
[SwitchA]monitor-port Ethernet 0/2 no-filt
2. 将端口E0/1配置为镜像端口
[SwitchA]mirroring-port Ethernet 0/1 both
【补充说明】
支持多对一的端口镜像,但是 镜像端口必须与监控端口属于同一个芯片内(每8端口一个芯片) 。
配置镜像端口时,可以使用参数定义被监控报文的方向。例如:参数both,表示同时监控端口的接收和发送报文;参数inbound,表示只监控端口接收的报文;参数outbound,表示只监控端口发送的报文。
配置监控端口时,可以使用参数定义监控端口类型。例如:参数no-filt,表示监控所有的报文;参数filt-da,表示只监控指定的目的mac地址的报文;参数filt-sa,表示只监控指定的源mac地址的报文。
此系列交换机的具体型号包括:S2008-EI、S2016-EI和S2403H-EI,S2008C、S2016C和S2024C。
方法如下:
1、如下拓扑图,电脑1和电脑2分别接在交换机1口和2口,1口作为监控口,2口作为被监控口,即通过电脑3接配置线,即USB转串口线连接交换机console口配置华为5700。
2、电脑3通过配置线连接华为5700后,进入交换机配置界面,输入sys,按下回车键进入#模式,即全局配置模式。
3、执行命令display interface brief,可以查看交换机当前端口的开放状态。down表示端口关闭,up表示端口开启,在这里可以看出,拓扑图里直接了电脑1和电脑2,所以只有1口和2口是UP状态。
4、此时在全局模式下输入interface GigabitEthernet 0/0/1,进入子接口1口,命令为port-mirroring to observe-port 1 both,both表示流量的方向是双向的,若只想镜像出口流量,则将both改为outbound,只想镜像进口流量,则把both改为inbound。
5、在以上步骤配置完成后,输入qui回车推出子接口模式,在全局模式下输入observe-port 1 interface GigabitEthernet 0/0/2,配置被监控端口。
6、再执行命令display observe-port,如图已显示端口2代表成功。此时端口镜像已经做好了,可通过电脑1安装抓包软件,对交换机端口2,即电脑2上产生的流量进行分析。
本文由作者笔名:吵啥子嘛吵|装啥子嘛装 于 2023-05-08 22:43:01发表在本站,原创文章,禁止转载,文章内容仅供娱乐参考,不能盲信。
本文链接:https://www.e-8.com.cn/sm-144363.html