怎么在交换机上做流量镜像抓包或者流统?
- 0关注
- 0收藏,56浏览
本地端口镜像配置:
<H3C>sys
[H3C]sysname SW1
[SW1]mirroring-group 1 local //创建本地镜像组、组号为1
[SW1]mirroring-group 1 mirroring-port GigabitEthernet 1/0/2 both //指定镜像口,监控进出流量
[SW1]mirroring-group 1 monitor-port GigabitEthernet 1/0/1 //指定监控口
[SW1]dis mirroring-group all //查看镜像组信息
Mirroring group 1:
Type: Local //本地镜像
Status: Active //镜像状态为激活
Mirroring port:
GigabitEthernet1/0/2 Both
Monitor port: GigabitEthernet1/0/1
您好,可以在交换机配置端口镜像后抓包,以下是参考命令:
<H3C>sys
[H3C]sysname SW1
[SW1]mirroring-group 1 local //创建本地镜像组、组号为1
[SW1]mirroring-group 1 mirroring-port GigabitEthernet 1/0/2 both //指定镜像口,监控进出流量
[SW1]mirroring-group 1 monitor-port GigabitEthernet 1/0/1 //指定监控口
[SW1]dis mirroring-group all //查看镜像组信息
Mirroring group 1:
Type: Local //本地镜像
Status: Active //镜像状态为激活
Mirroring port:
GigabitEthernet1/0/2 Both
Monitor port: GigabitEthernet1/0/1
或者使用交换机上的抓包功能:
1.10 Packet Capture典型配置举例
1.10.1 远程报文捕获配置举例
1. 组网需求
在Switch的GigabitEthernet1/0/1接口上开启远程报文捕获功能,将捕获的报文上送到Wireshark软件上解析。
2. 组网图
图1-2 远程报文捕获组网图
3. 配置步骤
(1) 配置Switch
在接口GigabitEthernet1/0/1的入方向上应用QoS策略,用来限制只捕获去往Network(假设IP地址为20.1.1.0/16网段)的硬件转发报文。
# 创建IPv4高级ACL 3000,用来匹配目的地址为20.1.1.0/16网段的报文。
<Switch> system-view
[Switch] acl advanced 3000
[Switch-acl-ipv4-adv-3000] rule permit ip destination 20.1.1.0 255.255.0.0
[Switch-acl-ipv4-adv-3000] quit
# 定义流行为behavior1,配置流量镜向到CPU。
[Switch] traffic behavior behavior1
[Switch-behavior-behavior1] mirror-to cpu
[Switch-behavior-behavior1] quit
# 定义类classifier1,匹配ACL3000。
[Switch] traffic classifier classifier1
[Switch-classifier-class1] if-match acl 3000
[Switch-classifier-class1] quit
# 定义一个名为user1的策略,并在策略user1中为类classifier1指定采用流行为behavior1。
[Switch] qos policy user1
[Switch-qospolicy-user1] classifier classifier1 behavior behavior1
[Switch-qospolicy-user1] quit
# 将策略user1应用到接口GigabitEthernet1/0/1的入方向上。
[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] qos apply policy user1 inbound
[Switch-GigabitEthernet1/0/1] quit
[Switch] quit
# 在GigabitEthernet1/0/1上开启远程报文捕获功能,指定RPCAP服务端口号为2014。
<Switch> packet-capture remote interface gigabitethernet 1/0/1 port 2014
(2) 配置Wireshark
a. 在PC上打开Wireshark软件,选择“Capture > Options”。
b. 选择“Interface > Remote”。
c. 输入Switch的IP地址(该地址必须和Wireshark路由可达)和绑定的RPCAP服务端口号2014。
d. 点击<OK>按钮,再点击<Start>按钮启动捕获。此时在报文捕获窗口可看到捕获到的报文。
暂无评论
组网说明:
本案例采用H3C HCL模拟器的S5820交换机来模拟QOS流量统计的典型组网配置。要求在S5820上开启QOS流量统计,对GI1/0/1端口的进出流量进行统计。
配置步骤
1、配置基础网络。
2、创建ACL,用于策略的匹配
3、配置QOS类,绑定ACL
4、配置QOS行为,开启流量统计
5、创建QOS策略,绑定行为和类
6、应用QOS到GI1/0/1端口
配置关键点
<H3C>sys
System View: return to User View with Ctrl+Z.
[H3C]sysname SW1
[SW1]vlan 10
[SW1-vlan10]quit
[SW1]int vlan 10
[SW1-Vlan-interface10]ip address 192.168.1.1 24
[SW1-Vlan-interface10]quit
[SW1]int gi 1/0/1
[SW1-GigabitEthernet1/0/1]port link-type access
[SW1-GigabitEthernet1/0/1]port access vlan 10
[SW1-GigabitEthernet1/0/1]quit
QOS流量统计关键配置点:
[SW1]acl basic 2000
[SW1-acl-ipv4-basic-2000]rule 0 permit source any
[SW1-acl-ipv4-basic-2000]quit
[SW1]traffic classifier 1
[SW1-classifier-1]if-match acl 2000
[SW1-classifier-1]quit
[SW1]traffic behavior 1
[SW1-behavior-1]accounting byte
[SW1-behavior-1]quit
[SW1]qos policy 1
[SW1-qospolicy-1]classifier 1 behavior 1
[SW1-qospolicy-1]quit
[SW1]int gi 1/0/1
[SW1-GigabitEthernet1/0/1]qos apply policy 1 inbound
[SW1-GigabitEthernet1/0/1]qos apply policy 1 outbound
[SW1-GigabitEthernet1/0/1]quit
查看QOS统计情况:
查看QOS显示信息:
如果要清空QOS统计信息,需要使用如下命令:
<SW1>reset counters interface GigabitEthernet 1/0/1
至此,S5820 QOS流量统计典型组网配置案例1(字节数统计)已完成!
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论