M9000做流镜像
现场M9000上存在内访外和内访内的流量,现场想对于内访外的流量进行镜像,不想对内访内的流量进行镜像。
由于采用qos策略进行配置流镜像时,ACL里面仅用于匹配流量,ACL中的deny无法剔除流量,所以建议现场采用如下方式进行镜像:
traffic classifier neifangnei operator and
if-match acl 3000 //匹配内访内流量
#
traffic classifier neifangwai operator and
if-match acl 3001 //匹配其他所有流量
#
traffic behavior neifangnei
filter permit //转发
#
traffic behavior neifangwai
mirror-to interface Ten-GigabitEthernet1/1/1/3 //镜像到接口
#
qos policy 1
classifier neifangnei behavior neifangnei
classifier neifangwai behavior neifangwai
#
interface FortyGigE1/1/1/2
qos apply policy 1 inbound enhancement
qos apply policy 1 outbound enhancement
配置完成后,还是能抓取到内网访问内网的流量
配置QOS策略,实现内访内的流量匹配QOS的第一个cb对转发,其余流量匹配第二个cb对进行镜像。应该是没有问题。
后续确认,qos中的动作filter permit ,与ACL结合调用outbound方向时,ACL无法下发,实际动作不生效,导致内访内流量仍能匹配第二个cb对进行镜像
方法1:将qos策略中的第一个cb对的动作也配置为mirror-to,镜像到一个不使用的接口,down接口也可以。
方法2:不采用outbound方向,在设备流量两端都采用inbound方向下发镜像
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作