我现在想查看某一个特定类型的报文是否有到达某个接口,或者从某个接口出去。
在不能使用mirror 抓包的情况下,还有哪些方法?(不能使用mirror是机房限制,某些设备部让接物理服务器)
acl可行吗? 使用acl是否能匹配tunnel的inner header?
有其他方法可以直接把包抓到交换机的cpu上来吗?
(0)
最佳答案
可以配置流量统计。流统计无法匹配到做了隧道封装的报文的内层IP头部。也无法将报文抓到交换机的CPU。
流统计命令参考如下:
//使用ACL抓取对应的流量。
acl number 3555
rule permit icmp source 10.100.2.5 0 destination 10.100.1.2 0
acl number 3666
rule permit icmp source 10.100.1.2 0 destination 10.100.2.5 0
//使用classifier匹配下流量
traffic classifier 1 operator and
if-match acl 3555
traffic classifier 2 operator and
if-match acl 3666
//定义流统计
traffic behavior 1
accounting
traffic behavior 2
accounting
//定义QOS policy
qos policy 1
classifier 1 behavior 1
qos policy 2
classifier 2 behavior 2
//在对应的接口上应用
interface GigabitEthernet1/0/1
qos apply policy 1 inbound
qos apply policy 2 outbound
[H3C-GigabitEthernet1/0/1]dis qos po int g1/0/1
Interface: GigabitEthernet1/0/1
Direction: Inbound
Policy: 1
Classifier: 1
Operator: AND
Rule(s) : If-match acl 3555
Behavior: 1
Accounting Enable:
5957 (Packets)
(0)
嗯,这个acl配置有点复杂啊,为什么一定要和qos策略绑定在一起?
另,据我向其它通信设备公司的人了解,交换机设备上是有办法直接抓包到cpu的,而且也可以匹配inner header。据说是类似叫flow mirror的技术, 而且之前我们机房的其它人见H3C内部同事用过类似的命令。可以麻烦问一下是否确实有这种方案?
(0)
暂无评论
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论