ACG1000-PE旁挂在核心如何配置

旁挂做什么用， 具体要实现什么功能

做端口镜像,把流量镜像给acg一份做审计功能

web界面可以选部署方式为旁路部署的，然后核心交换机做端口镜像把要审计的数据镜像到acg的接口上就行

将 ACG1000-PE 旁挂在核心交换机上，主要有两种实现方式：用于纯审计的 “端口镜像”模式和用于审计+策略控制的 “策略路由” 模式。

1. 两种部署方式选择

• 方式一：端口镜像模式

  • 功能：仅旁路审计，不处理业务转发。

  • 网络改动：仅将核心交换机的一部分流量镜像过来，不改动现网转发路径，业务中断风险几乎为零。

  • 适用场景：企业侧行为监控、宿舍区流量审计、纯合规需求部署。

  • 局限性：无法阻断/重定向非合规流量，只能审计已发生行为。

• 方式二：策略路由模式-1

  • 功能：实现审计 + 策略控制-1。

  • 网络改动：通过策略路由强制引流穿过 ACG，会改变现网转发路径，风险稍高。

  • 适用场景：需要上网行为精细管控（如按组/人划分权限）、双重控制场景。

  • 局限性与注意：可能引发环路、路由黑洞或性能瓶颈，务必先在非高峰期、非关键流量上验证。

2. 端口镜像模式通用配置步骤

1. 方案一：Web界面配置

   1. 进入“系统管理 > 部署方式”，勾选监听口并重启。

   注意：监听口（GE0/0）保留默认配置，物理/逻辑接口仅作二层流量接收，不要配 IP 地址。

   2. 进入“监控配置 > 审计策略”配置审计范围。

   3. 进入“日志与报表 > 日志配置”勾选相应日志。

2. 方案二：命令行配置

   • 大部分资料缺失 firewall mode audit 等命令记录，建议以 Web 界面为准。

3. 核心交换机端口镜像配置

   1. 创建本地镜像组：mirroring-group 1 local。

   2. 配置源端口（需镜像的端口/both 双向）

   3. 配置目的端口（连接 ACG 的端口）

   4. 保存配置。

3. 策略路由模式通用配置步骤

1. 创建 ACL 匹配需流控的流量
   例如创建 ACL 3000：

   acl number 3000

   rule 10 permit ip source 用户网段 反掩码

2. 创建策略路由并将下一跳指向 ACG 管理 IP

   policy-based-route pbr_transparent permit node 10

   if-match acl 3000 apply ip-address next-hop X.X.X.X // ACG 桥组管理 IP

3. 在用户侧接口应用该策略路由

   interface GigabitEthernet0/0/10

   ip policy-based-route pbr_transparent

4. ACG 侧：启用侦听模式

   • 进入“网络配置 > 接口”，将连接核心的物理接口（如 GE0）设置为 “侦听模式”，并配置与核心交换机同网段的静态 IP。

4. 运维辅助建议

• 策略路由回退：执行 display ip policy-based-route statistics-1检查命中率，或临时备注 ACL 规则。

• 流量完整性：确认镜像配置为 both 方向，而非 inbound 或 outbound，避免因镜像方向不全导致日志缺失。

• 带宽限制：若核心镜像带宽接近 ACG 接口最大速率，可对镜像口启用 broadcast-suppression（广播风暴抑制），降低无效报文冲击。

• 版本差异兼容：部分 ACG 设备需 service 类型或 link-aggregation 相关配置。若接口为聚合组，则将所有策略绑定到聚合接口而非物理接口。

• 操作备件与恢复：在更改配置前，备份 ACG 和核心交换机的配置文件及登录授权凭证。