最佳答案
要在S10508X上通过“流统”(流量统计,即QoS策略)抓取源IP为106.103.0.0、源MAC为0001-004a-20a8的ARP报文,最有效的方法是使用高级IPv4 ACL(Advanced ACL,编号3000-3999)来同时匹配源IP和源MAC地址。因为,虽然二层ACL(编号4000-4999)可直接匹配源MAC地址,但它无法匹配IP地址信息。
下面是具体的配置方法和命令:
第一步:配置流统规则(ACL部分)
创建高级IPv4 ACL并定义匹配规则
进入S10508X的系统视图,为需要统计的流量(即符合源IP和源MAC的ARP报文)创建并配置规则:[H3C] acl advanced 3010 [H3C-acl-ipv4-adv-3010] rule 0 permit arp source-ip 106.103.0.0 0 source-mac 0001-004a-20a8 ffff-ffff-ffff [H3C-acl-ipv4-adv-3010] quit注意:<H3C> system-view106.103.0.0是一个网络号,可能无法直接匹配具体主机的报文,请根据实际情况与同事确认。如需匹配特定主机,可使用106.103.0.0 0的格式。
第二步:配置流统策略(QoS部分)
定义流分类并关联ACL
创建一个流分类,并关联上一步创建的ACL 3010。[H3C-classifier-company-arp-class] if-match acl 3010 [H3C-classifier-company-arp-class] quit[H3C] traffic classifier company-arp-class定义流行为并启用统计功能
创建一个流行为,并将动作设置为统计报文。[H3C-behavior-company-arp-behavior] accounting packet [H3C-behavior-company-arp-behavior] quit[H3C] traffic behavior company-arp-behavior创建QoS策略并关联流分类与流行为
创建一个QoS策略,将上面定义的流分类和流行为绑定起来。[H3C-qospolicy-company-arp-policy] classifier company-arp-class behavior company-arp-behavior [H3C-qospolicy-company-arp-policy] quit[H3C] qos policy company-arp-policy
第三步:应用策略与查统计
在接口上应用QoS策略
将QoS策略应用到需要统计流量的接口上。重要提醒:如果目标接口是聚合端口(例如Bridge-Aggregation接口),必须将此策略同时应用到该聚合口及其所有物理成员端口上,否则统计可能不完整。
[H3C] interface GigabitEthernet1/0/1 [H3C-GigabitEthernet1/0/1] qos apply policy company-arp-policy inbound [H3C-GigabitEthernet1/0/1] quit# 假设在接口GigabitEthernet1/0/1的入方向统计查看统计结果
可以通过以下命令查看策略的报文统计信息。[H3C] display qos policy interface GigabitEthernet 1/0/1清理统计计数
如果需要清除历史统计数据,可以在接口下执行reset counters interface命令。[H3C] reset counters interface GigabitEthernet 1/0/1
应用策略后,如果统计计数没有增加,需要检查流量方向是否正确(入/出站),或者S10508X上的ACL、QoS等资源是否充足,如果没有剩余资源,策略可能无法正常下发。另外也建议用小范围的镜像抓包,辅助确认策略统计的结果是否准确。
一、最终需求明确
- ARP 协议
- 源 IP:106.103.0.0 / 掩码你自己定
- 源 MAC:0001-004a-20a8
二、S10508X 完整配置(直接用)
1. 定义 自定义 ACL(匹配 ARP + 源 IP + 源 MAC)
system-view
acl number 4000 // 二层ACL
rule 10 permit arp source-mac 0001-004a-20a8 ffff-ffff-ffff source-ip 106.103.0.0 0.0.255.255
arp:只匹配 ARP 报文source-mac 0001-004a-20a8:精确匹配源 MACsource-ip 106.103.0.0 0.0.255.255:源 IP 段(反掩码)- 如果你要精确 IP,写成
106.103.x.x 0.0.0.0
2. 定义流分类
traffic classifier ARP-TEST
if-match acl 4000
3. 定义流行为(开启流量统计)
traffic behavior ARP-COUNT
accounting enable
4. 定义流策略
traffic policy ARP-POLICY
classifier ARP-TEST behavior ARP-COUNT
5. 在全局或接口应用(二选一)
方式 A:全局应用(整台设备统计,推荐)
traffic-policy ARP-POLICY global inbound
方式 B:接口应用(只统计某个口)
interface GigabitEthernet1/0/1
traffic-policy ARP-POLICY inbound
三、查看统计结果(最关键)
display traffic-policy statistics global inbound
display traffic-policy statistics interface GigabitEthernet1/0/1 inbound
- 匹配报文数
- 匹配字节数
四、你最关心的:这条 ACL 规则解释
rule 10 permit arp source-mac 0001-004a-20a8 ffff-ffff-ffff source-ip 106.103.0.0 0.0.255.255
- arp:只抓 ARP
- source-mac 0001-004a-20a8:源 MAC 精确匹配
- source-ip 106.103.0.0 0.0.255.255:源 IP 段匹配
- 同时满足所有条件才会匹配
五、一句话总结
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论