核心配置步骤
首先,你需要明确要过滤哪些流量。通过 ACL(访问控制列表)来匹配源/目的 IP、端口号或协议类型。
1# 例如:过滤源IP为 10.1.1.100 的终端发出的流量
2acl number 3000
3 rule 0 permit ip source 10.1.1.100 0创建一个流分类引用上面的 ACL,并创建一个流行为,将匹配到的流量镜像到本地的一个反射口(Reflect-port)。
注意:反射口必须是一个物理上不连接任何网线的空闲端口。
1# 创建流分类,匹配 ACL 3000
2traffic classifier FILTER_CLASS
3 if-match acl 3000
4
5# 创建流行为,镜像到反射口(假设 GigabitEthernet1/0/24 为反射口)
6traffic behavior FILTER_BEHAVIOR
7 mirror-to interface GigabitEthernetEthernet1/0/24
8
9# 创建 QoS 策略并绑定分类与行为
10qos policy FILTER_POLICY
11 classifier FILTER_CLASS behavior FILTER_BEHAVIOR
12
13# 将策略应用到终端所在的物理端口(假设终端接在 GE1/0/1)
14interface GigabitEthernet1/0/1
15 qos apply policy FILTER_POLICY inbound最后,配置远程镜像组,将反射口作为源端口,通过专用的远程镜像 VLAN 将流量传送到远端 Server 所在的交换机。
1# 创建专用的远程镜像 VLAN(例如 VLAN 4094),确保中间链路 Trunk 放行了该 VLAN
2vlan 4094
3
4# 配置远程镜像组
5mirroring-group 1 remote-source
6 mirroring-group 1 mirroring-port GigabitEthernet1/0/24 both # 绑定反射口
7 mirroring-group 1 remote-probe vlan 4094 # 绑定传输 VLANremote-destination 镜像组,并将连接 Server 的端口设为目的端口。)避坑与注意事项
- 三层流量过滤:如果你的终端流量涉及跨 VLAN 的三层转发(例如终端和服务器不在同一个网段),普通的端口镜像可能抓不到包。此时建议在 QoS 流行为中使用
traffic-mirroring命令来替代mirror-to,以增强对三层路由流量的捕获能力。 - 反射口隔离:作为反射口的物理端口,除了被镜像组调用外,绝对不能配置其他任何业务,且不要插入网线,否则会导致网络环路或镜像失败。
- 方向选择:在应用 QoS 策略时,
inbound代表过滤终端发出的流量,outbound代表过滤发给终端的流量。如果双向都需要,需要在端口下分别应用或在流行为中做相应调整。
好的,谢谢
一、拓扑与目标分析
你的组网是:终端 ↔ SW3 ↔ SW2 ↔ SW1 ↔ Server目标:只镜像终端的部分流量(比如特定 IP / 端口)到 Server,不能把所有流量都镜像过去。
这需要用到 远程端口镜像(RSPAN)+ ACL 过滤,在源端(SW3)通过 ACL 来筛选要镜像的流量。
二、核心思路
在 SW3(源交换机)上配置远程镜像源:把终端所在端口设为镜像源端口。
在 SW3 上配置 ACL:定义你需要镜像的流量规则(比如只镜像 TCP 80 端口)。
把 ACL 绑定到镜像源上:让镜像只复制匹配 ACL 的流量。
在 SW3、SW2、SW1 上配置远程镜像 VLAN(反射端口 + 目的端口):把过滤后的镜像流量通过专用 VLAN 转发到 SW1,再从 SW1 镜像到 Server。
三、分步配置(以 H3C 为例)
1. 先规划远程镜像 VLAN
假设我们用 VLAN 100 作为远程镜像 VLAN,这个 VLAN 只用来传镜像流量。
2. 在 SW3(源交换机)配置:过滤 + 远程镜像源
bash
运行
# 1. 创建ACL,定义要镜像的流量
acl number 3000
# 示例:只镜像终端发往服务器的TCP 80端口流量
rule permit tcp source 终端IP 0 destination 服务器IP 0 destination-port eq 80
# 你可以按需添加更多规则,比如拒绝不需要镜像的流量
rule deny ip
quit
# 2. 创建远程镜像组(源端)
mirroring-group 1 remote-source
mirroring-group 1 mirroring-port GigabitEthernet 1/0/24 both # 终端所在端口
mirroring-group 1 reflector-port GigabitEthernet 1/0/1 # 反射端口(需为空闲端口)
mirroring-group 1 remote-probe vlan 100
# 3. 关键:把ACL绑定到镜像组,实现流量过滤
mirroring-group 1 filter acl 3000
3. 在 SW2(中间交换机)配置:透传镜像 VLAN
bash
运行
# 1. 创建远程镜像VLAN
vlan 100
remote-probe vlan # 标记为远程镜像VLAN
quit
# 2. 配置与SW3、SW1相连的端口,允许镜像VLAN通过
interface GigabitEthernet 1/0/2 # 连接SW3的端口
port link-type trunk
port trunk permit vlan 100
quit
interface GigabitEthernet 1/0/3 # 连接SW1的端口
port link-type trunk
port trunk permit vlan 100
quit
4. 在 SW1(目的交换机)配置:镜像到 Server
bash
运行
# 1. 创建远程镜像VLAN
vlan 100
remote-probe vlan
quit
# 2. 创建远程镜像组(目的端)
mirroring-group 1 remote-destination
mirroring-group 1 monitor-port GigabitEthernet 1/0/24 # 连接Server的端口
mirroring-group 1 remote-probe vlan 100
# 3. 配置与SW2相连的端口,允许镜像VLAN通过
interface GigabitEthernet 1/0/1
port link-type trunk
port trunk permit vlan 100
quit
四、关键说明
过滤只能在源端做:只有在源交换机(SW3) 上,才能通过 mirroring-group filter acl 来筛选要镜像的流量。中间和目的交换机无法再过滤。
ACL 规则的匹配顺序:
先 permit 你需要的流量,再 deny 所有其他流量。
示例里的 rule deny ip 是必须的,否则默认会放行所有流量,过滤就失效了。
远程镜像 VLAN(100):
所有参与远程镜像的交换机都要配置这个 VLAN 为 remote-probe vlan。
该 VLAN 只能透传镜像流量,不能用来传业务流量。
反射端口(SW3 上的):
必须是空闲端口,不能接任何设备。
不能配置任何业务 VLAN,只给镜像组用。
五、效果验证
在 Server 上抓包,只能看到你 ACL 里定义的流量(比如只有 TCP 80),不会有多余流量。
在 SW3 上查看:
bash
运行
display mirroring-group 1
display mirroring-group 1 filter
能看到 ACL 3000 已绑定,镜像组状态正常。
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
好的,谢谢