• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

防火墙端口镜像

2020-10-15提问
  • 0关注
  • 1收藏,4078浏览
粉丝:1人 关注:1人

问题描述:

当防火墙为单台时,支持一个源端口镜像到多个目的端口吗?
当防火墙堆叠的时候,支持A框的一个源端口,镜像到B框的2个目的端口吗?

组网及组网描述:


最佳答案

粉丝:11人 关注:1人

防火墙为单台的时候可以配置二层远程镜像端口,支持一个源端口镜像到多个目的端口

当防火墙堆叠的时候也可以配置成二层远程镜像端口

 二层远程镜像端口配置案例可参考如下:

组网需求

图2所示,公司市场部和财经部两个部门分别通过端口GE2/0/3、GE2/0/4接入Switch A。出于安全考虑,公司希望通过配置远程端口镜像使Server对这两个部门的收发报文进行远程监控。

图2 远程端口镜像配置组网图

 

4.2  使用版本

本举例是在S12500-CMW520-R1825P01版本上进行配置和验证的。

4.3  配置注意事项

·     S12500不支持跨框配置远程端口镜像,因此请不要将反射端口和源端口(或源VLAN中的端口)配置在IRF中的2台成员设备上;

·     一个端口只能被一个镜像组使用;

·     请不要将源端口加入到源VLAN和远程镜像VLAN中,否则会影响镜像功能的正常使用;

·     请不要将目的端口加入到源VLAN中,或在目的端口上使能生成树协议,否则会影响镜像功能的正常使用;

·     当远程镜像报文离开源设备到达远程目的设备过程中,用户应确保远程镜像VLAN ID不被修改或删除,否则远程镜像功能失效;

·     在一个镜像组中对同一个端口收发的报文进行双向镜像时,需要在源设备、中间设备和目的设备上关闭远程镜像VLAN的MAC地址学习功能(mac-address max-mac-count 0),以保证镜像功能的正常进行。

对于反射端口的配置,还需要注意以下几点:

·     一个镜像组内只能配置一个反射端口;

·     请不要将反射端口加入到源VLAN中,否则会影响镜像功能的正常使用;

·     反射端口必须是Access端口且属于缺省VLAN,不能是现有镜像组的成员端口或流镜像目的端口;

·     建议用户不要在反射口连接网线,不要在反射口上配置下列功能:生成树协议、802.1X、IGMP Snooping、静态ARP、MAC地址学习、QinQ、端口环回,否则会影响镜像功能的正常使用;

·     只有当端口的双工模式、端口速率和MDI属性值均为缺省值时,才能将其配置为反射端口。当端口已配置为反射端口后,不能再修改其双工模式、端口速率和MDI属性值,即这些属性只能取缺省值。

4.4  配置步骤

(1)     配置Switch A

# 进入系统视图。

<SwitchA> system-view

# 创建远程源镜像组。

[SwitchA] mirroring-group 1 remote-source

# 创建VLAN 2。

[SwitchA] vlan 2

# 关闭VLAN 2的MAC地址学习功能。

[SwitchA-vlan2] mac-address max-mac-count 0

[SwitchA-vlan2] quit

# 为远程源镜像组配置远程镜像VLAN、源端口和反射口。

[SwitchA] mirroring-group 1 remote-probe vlan 2

[SwitchA] mirroring-group 1 mirroring-port gigabitethernet2/0/3

gigabitethernet2/0/4 both

[SwitchA] mirroring-group 1 reflector-port gigabitethernet 2/0/2

# 配置GE2/0/1为Trunk端口,并且允许VLAN 2的报文通过。

[SwitchA] interface gigabitethernet 2/0/1

[SwitchA-GigabitEthernet2/0/1] undo shutdown

[SwitchA-GigabitEthernet2/0/1] port link-type trunk

[SwitchA-GigabitEthernet2/0/1] port trunk permit vlan 2

[SwitchA-GigabitEthernet2/0/1] quit

(2)      配置Switch B

# 进入系统视图。

<SwitchB> system-view

# 创建VLAN 2。

[SwitchB] vlan 2

# 关闭VLAN 2的MAC地址学习功能。

[SwitchB-vlan2] mac-address max-mac-count 0

[SwitchB-vlan2] quit

# 配置GE2/0/1为Trunk端口,并且允许VLAN 2的报文通过。

[SwitchB] interface gigabitethernet 2/0/1

[SwitchB-GigabitEthernet2/0/1] undo shutdown

[SwitchB-GigabitEthernet2/0/1] port link-type trunk

[SwitchB-GigabitEthernet2/0/1] port trunk permit vlan 2

[SwitchB-GigabitEthernet2/0/1] quit

# 配置GE2/0/2为Trunk端口,并且允许VLAN 2的报文通过。

[SwitchB-GigabitEthernet2/0/2] interface gigabitethernet 2/0/2

[SwitchB-GigabitEthernet2/0/2] undo shutdown

[SwitchB-GigabitEthernet2/0/2] port link-type trunk

[SwitchB-GigabitEthernet2/0/2] port trunk permit vlan 2

[SwitchB-GigabitEthernet2/0/2] quit

(3)      配置Switch C

# 进入系统视图。

<SwitchC> system-view

# 创建VLAN 2。

[SwitchC] vlan 2

# 关闭VLAN 2的MAC地址学习功能。

[SwitchC-vlan2] mac-address max-mac-count 0

[SwitchC-vlan2] quit

# 配置GE3/0/1为Trunk端口,并且允许VLAN 2的报文通过。

[SwitchC] interface gigabitethernet 3/0/1

[SwitchC-GigabitEthernet3/0/1] undo shutdown

[SwitchC-GigabitEthernet3/0/1] port link-type trunk

[SwitchC-GigabitEthernet3/0/1] port trunk permit vlan 2

[SwitchC-GigabitEthernet3/0/1] quit

创建远程目的镜像组。

[SwitchC] mirroring-group 1 remote-destination

为远程目的镜像组配置远程镜像VLAN和目的端口。

[SwitchC] mirroring-group 1 remote-probe vlan 2

[SwitchC] interface gigabitethernet 3/0/2

[SwitchC-GigabitEthernet3/0/2] undo shutdown

[SwitchC-GigabitEthernet3/0/2] mirroring-group 1 monitor-port

[SwitchC-GigabitEthernet3/0/2] port access vlan 2

[SwitchC-GigabitEthernet3/0/2] quit

4.5  验证结果

# 显示Switch A上所有镜像组的配置信息。

[SwitchA] display mirroring-group all

Mirroring group 1:

    Type: Remote source

    Status: Active

    Mirroring port:

        GigabitEthernet2/0/3  Both

        GigabitEthernet2/0/4  Both

    Reflector port: GigabitEthernet2/0/2

    Remote probe VLAN: 2

显示Switch C上所有镜像组的配置信息。

[SwitchC] display mirroring-group all

Mirroring group 1:

    Type: Remote destination

    Status: Active

    Monitor port: GigabitEthernet3/0/2

    Remote probe VLAN: 2

用户可以在Server上监控财经部和市场部两个部门收发的报文。

4.6  配置文件

·     Switch A

[SwitchA] display current-configuration

#

 mirroring-group 1 remote-source

 mirroring-group 1 remote-probe vlan 2

#

vlan 2

#

mac-address max-mac-count 0

#

interface GigabitEthernet2/0/1

 port link-mode bridge

 port link-type trunk

 port trunk permit vlan 1 to 2

#

interface GigabitEthernet2/0/2

 port link-mode bridge

 mirroring-group 1 reflector-port

#

interface GigabitEthernet2/0/3

 port link-mode bridge

 mirroring-group 1 mirroring-port both

#

interface GigabitEthernet2/0/4

 port link-mode bridge

 mirroring-group 1 mirroring-port both

·     Switch B

[SwitchB] display current-configuration

#

vlan 2

#

mac-address max-mac-count 0

#

interface GigabitEthernet2/0/1

 port link-mode bridge

 port link-type trunk

 port trunk permit vlan 1 to 2

#

interface GigabitEthernet2/0/2

 port link-type trunk

 port trunk permit vlan 1 to 2

·     Switch C

[SwitchC] display current-configuration

#

 mirroring-group 1 remote-destination

 mirroring-group 1 remote-probe vlan 2

#

vlan 2

#

mac-address max-mac-count 0

#

interface GigabitEthernet3/0/1

 port link-mode bridge

 port link-type trunk

 port trunk permit vlan 1 to 2

#

interface GigabitEthernet3/0/2

 port link-mode bridge

 port access vlan 2

 mirroring-group 1 monitor-port

#

暂无评论

1 个回答
粉丝:1人 关注:0人

防火墙在IRF中不支持跨设备镜像,即镜像源与镜像目的不可以位于不同成员设备上。  

暂无评论

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明