ACG1000-PE旁挂在核心做端口镜像(仅流量审计,不转发)如何配置
- 0关注
- 0收藏,83浏览
可以的
交换机把流量引到ACG上,ACG正常配置审计策略就可以了。
如下组网图所示,需要在原有的网络中增加ACG1040来审计内网用户上网行为,为最小程度避免影响原有网络,所以ACG1040采用旁路模式部署进原有网络;
2 组网图
组网说明:ACG1040旁路部署连接在二层交换机1/0/1接口,因为用户需要有通过网络访问ACG的需求,所以需要再连一条网线到交换机用于跨网段管理ACG使用。
配置步骤
3 配置步骤
3.1 登录设备管理界面
设备管理口(ge0)的默认地址配置为192.168.1.1/24。默认允许对该接口进行PING,HTTPS操作。将终端与设备ge0端口互联,在终端打开浏览器输入https://192.168.1.1登录设备管理界面。默认用户名与密码均为admin。
3.2 配置旁路接口
#选择“系统管理”>“部署方式”>“旁路部署”中勾选ge1接口,在弹出的对话框中选择“确定”。
3.3 配置管理接口
#选择“网络配置”>“接口”>“物理接口”中将ge0接口IP地址修改为192.168.1.11/24。
注:修改完成后与ACG管理界面断开,需要将管理电脑连入交换机后使用https://192.168.1.11重新登录ACG1040进行管理。
3.4 配置路由
#选择“网络配置”>“路由”>“静态路由”>“新建”中创建静态路由。目的地址和掩码都设置为:0.0.0.0(代表所有网段),下一跳地址配置192.168.1.254(路由器下联接口地址),配置完成后点击提交。
注:这不操作是保证ACG可以被其他网段终端管理。
3.5 配置IPV4策略审计用户流量
#选择“上网行为管理”>“策略配置”>“IPV4策略”>“新建”中创建审计策略。
注:下图中各参数使用默认配置即可。
新建应用审计策略用来审计所有应用。
注:这里的日志级别需要设置为信息,否则设备不记录日志。
新建URL审计策略审计所有网站,配置完成后选择提交完成所有配置。
3.6 配置保存
#在设备管理界面右上角点击配置保存,保存当前配置。
因为旁路模式中数据流量无法通过ACG,所以需要借助交换机端口镜像功能,将通过交换机的流量复制一份送上ACG进行审计。
H3C交换机配置:
#配置本地端口镜像
mirroring-group 1 local
#配置1/0/2为镜像端口(交换机上联端口)
interface Ethernet1/0/2
loopback-detection enable
mirroring-group 1 monitor-port
#设置1/0/3为被镜像端口(连接ACG端口)
interface Ethernet1/0/3
loopback-detection enable
mirroring-group 1 mirroring-port both
注:不同厂商交换机复制端口流量有不同的方法,详询对应交换机产商售后。
3.8 策略验证
用户网站访问“中国搜索”、“51cto”等网站测试:
#在“日志查询”>“网站访问日志”>“访问网站日志”中查看对应日志。
#在“日志查询”>“应用审计日志”>“搜索引擎日志”中查看对应日志。
配置关键点
3.9 注意事项
1、
注:HTTPS解密策略需要升级ACG版本至R6608以上版本才能支持。
2、
#在“系统管理”>“授权管理”中可查看授权是否为已授权状态。
注:出现上图中“未授权”字样则表示没有授权,无法使用应用识别功能。
3、
1. 核心交换机侧配置(以H3C交换机为例)
创建本地镜像组
mirroring-group 1 local
将所有需要审计的业务端口加入镜像源,双向流量都镜像
mirroring-group 1 mirroring-port GigabitEthernet 1/0/1 to GigabitEthernet 1/0/10 both
将连接ACG的物理口配置为镜像目的口,该口不要配置IP、不要加入任何VLAN
mirroring-group 1 monitor-port GigabitEthernet 1/0/20
2. ACG1000-PE侧配置
① Web路径:网络>接口>物理接口,选中连接核心镜像口的对应网口,接口模式选择「审计模式」,不配置任何IP地址,实现零段。
② 全局关闭转发能力:系统视图下执行undo ip forwarding enable,安全策略配置所有流量默认动作为deny,彻底阻断任何转发行为。
③ 进入流量审计模块,绑定该审计接口,开启对应应用审计、日志上传功能即可,仅做流量解析审计,不会转发任何报文。
注意:ACG管理口单独接入管理网段,不要复用审计口做管理。
暂无评论
要将 ACG1000-PE 旁挂在核心交换机上,仅通过端口镜像实现流量审计,核心配置思路是:在核心交换机上配置端口镜像,将需要监控的流量复制一份发送给 ACG 设备。
整个过程主要分为ACG1000-PE 侧配置、核心交换机侧配置和验证三个部分。
第一部分:ACG1000-PE 设备侧配置
登录管理界面:登录 ACG 设备的 Web 管理页面。
设置为“旁路部署”模式:在
系统管理>部署方式菜单下,将连接核心交换机接收镜像流量的接口(如ge1)勾选启用,并将其部署方式设置为旁路部署。配置管理地址与路由:在 ACG 上配置一个与网络可达的 IP 地址并设置正确的静态路由,确保能被正常管理。
创建审计策略:必须在
上网行为管理>策略配置中,根据需要创建 IPv4 审计策略,并确保日志级别设置为“信息”,否则设备不记录任何日志。保存配置:完成上述配置后,务必点击页面右上角的
配置保存。
第二部分:核心交换机侧配置(H3C 交换机示例)
以下示例假设:
GigabitEthernet 1/0/1:为连接 ACG1000-PE 镜像流量的目的端口。
GigabitEthernet 1/0/2:为连接内网用户的源端口。
GigabitEthernet 1/0/3:为连接互联网出口的源端口。
1. 登录交换机并进入系统视图
2. 创建本地镜像组
3. 指定源端口(被监控流量)
务必使用 both 参数镜像出入站的双向流量,确保审计数据完整。
4. 指定目的端口(连接 ACG 的端口)
5. 检查并保存配置
配置完成后,可通过
display mirroring-group all命令检查镜像组配置是否正确。确认无误后,通过
save命令保存配置。
第三部分:验证配置效果
完成交换机配置后,可登录 ACG1000-PE 的 Web 界面,查看 日志 > 行为日志 中是否有新的上网行为日志产生。
重要提示
检查点:无日志:如果配置后没有审计日志,99%的可能原因是核心交换机上的端口镜像配置未完成或有误,或 ACG 上的审计策略日志级别设置不当。
接口类型:务必确认好接口角色,不要将镜像目的口误接到 ACG 的管理口上。
双向流量:镜像源端口时,必须选择
both(入向+出向),否则会导致审计日志不全。网络拓扑:
策略路由模式虽然也能审计,但它会改变网络转发路径,存在网络中断风险。如确为审计需求,建议坚持使用端口镜像方案。配置备份:在进行任何重大网络配置变更前,务必对核心交换机和 ACG 设备的当前配置进行备份。
暂无评论
一、组网与前提
- 核心交换机:H3C S5560/S7000 等(支持本地镜像)。
- ACG1000-PE:管理口(如 GE0/0)配 IP,监听口(如 GE0/1)接核心镜像口。
- 原则:镜像仅复制流量,不改变原转发;ACG 监听口不转发、不配置 IP。
二、核心交换机配置(H3C CLI)
# 1. 进入系统视图
system-view
# 2. 创建本地镜像组1
mirroring-group 1 local
# 3. 配置源端口(双向both)
# 示例:上行互联网口GE1/0/24
interface GigabitEthernet 1/0/24
mirroring-group 1 mirroring-port both
quit
# 示例:内网业务VLAN IF(如VLAN10)
interface Vlan-interface 10
mirroring-group 1 mirroring-port both
quit
# 4. 配置镜像目的端口(接ACG监听口GE1/0/25)
interface GigabitEthernet 1/0/25
mirroring-group 1 monitor-port
# 监听口禁用IP、仅二层
undo ip address
port link-type trunk
undo port trunk allow-pass vlan all
quit
# 5. 保存配置
save
- 关键:源端口用 both 双向;目的端口仅做镜像、不做业务转发。
三、ACG1000-PE 配置(Web 界面)
1. 管理口配置(用于登录)
- 路径:系统管理→网络配置→接口配置
- 接口:GE0/0(管理口)
- 配置:静态 IP(如 192.168.1.2/24)、网关、DNS;启用接口。
2. 部署模式设为旁路监听(关键)
- 路径:系统管理→网络配置→部署模式
- 选择:旁路模式(仅审计,不转发)
- 监听接口:GE0/1(接核心镜像口)
- 提交后重启 ACG 生效。
3. 审计与授权
- 路径:策略配置→应用审计
- 开启:应用识别、行为审计、流量统计
- 授权:确保行为审计授权已激活(无授权无日志)。
四、验证与排错
- 核心交换机查看镜像:
display mirroring-group 1
- 状态:源端口、目的端口均为 Up,双向镜像。
- ACG 查看流量:
- 路径:监控统计→流量监控
- 正常:有内网 / 外网流量日志,无转发行为。
- 常见问题
- 无日志:镜像方向非 both、监听口未绑定、授权过期。
- 流量缺失:未镜像内网 VLAN 接口、核心镜像带宽超限。
五、配置要点速记
- 核心:本地镜像组 + 双向源端口 + 专用镜像目的口。
- ACG:管理口配 IP、监听口无 IP、旁路模式、开启审计。
- 安全:镜像不影响原网络,ACG 仅审计不转发。
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论