防火墙抓包流镜像怎么配置呢

1.8  报文捕获典型配置举例

1.8.1  报文捕获基本组网配置举例（独立运行模式）

1. 组网需求

在Device上启动报文捕获功能对设备上的流量进行捕获，具体报文捕获需求如下：

·     在接口GigabitEthernet1/0/1上捕获源IP地址网段为10.1.1.0/24与目的IP地址网段为20.1.1.0/24之间的双向报文。

·     限制捕获报文的最大长度为3000字节。

·     将捕获文件上传到FTP服务器。

2. 组网图

图1-1 报文捕获基本组网配置组网图

3. 配置步骤

(1)     配置接口IP地址

# 根据组网图中规划的信息，配置各接口的IP地址，具体配置步骤如下。

<Device> system-view

[Device] interface gigabitethernet 1/0/1

[Device-GigabitEthernet1/0/1] ip address 10.1.1.1 255.255.255.0

[Device-GigabitEthernet1/0/1] quit

请参考以上步骤配置其他接口的IP地址，具体配置步骤略。

(2)     配置接口加入安全域。

# 请根据组网图中规划的信息，将接口加入对应的安全域，具体配置步骤如下。

[Device] security-zone name trust

[Device-security-zone-Trust] import interface gigabitethernet 1/0/1

[Device-security-zone-Trust] quit

[Device] security-zone name dmz

[Device-security-zone-DMZ] import interface gigabitethernet 1/0/3

[Device-security-zone-DMZ] quit

(3)     配置安全策略

# 配置名称capturelocalout的安全策规则，使设备device捕获的报文可以上传到FTP服务器，假设FTP服务器的地址为10.1.2.2/24，具体配置步骤如下。

[Device] security-policy ip

[Device-security-policy-ip] rule name capturelocalout

[Device-security-policy-ip-1-capturelocalout] source-zone local

[Device-security-policy-ip-1-capturelocalout] destination-zone dmz

[Device-security-policy-ip-1-capturelocalout] destination-ip-host 10.1.2.2

[Device-security-policy-ip-1-capturelocalout] action pass

[Device-security-policy-ip-1-capturelocalout] quit

[Device-security-policy-ip] quit

(4)     配置流镜像功能

# 配置IPv4高级ACL 3001，能够匹配源IP地址网段为10.1.1.0/24，目的IP地址网段为20.1.1.0/24的报文；和源IP地址网段为20.1.1.0/24，目的地址网段为10.1.1.0/24的报文。

<Device> system-view

[Device] acl advanced 3001

[Device-acl-ipv4-adv-3001] rule 0 permit ip source 10.1.1.0 0.0.0.255 destination 20.1.1.0 0.0.0.255

[Device-acl-ipv4-adv-3001] rule 1 permit ip source 20.1.1.0 0.0.0.255 destination 10.1.1.0 0.0.0.255

[Device-acl-ipv4-adv-3001] quit

# 创建流分类abc，并配置报文匹配规则为ACL 3001。

[Device] traffic classifier abc

[Device-classifier-abc] if-match acl 3001

[Device-classifier-abc] quit

# 创建流行为abc，并配置流镜像到Context所进驻安全引擎组的主安全引擎上（本举例假设此主安全引擎的Blade接口为Blade 4/0/1。

[Device] traffic behavior abc

[Device-behavior-abc] mirror-to interface blade 4/0/1

[Device-behavior-abc] quit

# 创建QoS策略abc，在策略中为流分类abc指定采用流行为abc。

[Device] qos policy abc

[Device-qospolicy-abc] classifier abc behavior abc

[Device-qospolicy-abc] quit

# 将QoS策略abc应用到接口GigabitEthernet1/0/1的inbound和outbound方向上，且必须开启enhancement功能。

[Device] interface gigabitethernet 1/0/1

[Device-GigabitEthernet1/0/1] qos apply policy abc inbound enhancement

[Device-GigabitEthernet1/0/1] qos apply policy abc outbound enhancement

[Device-GigabitEthernet1/0/1] quit

配置完成后在web界面再次抓包即可