交换机ACL像配置

交换机镜像配置

端口镜像

将交换机或路由器上一个或多个端口(被镜像端口)的数据复制到一个指定的目的端口(监听端口)上，通过镜像可以在监听端口上获取这些被镜像端口的数据，以便进行网络流量分析、错误诊断等。 流镜像

流镜像就是将匹配访问控制列表规则的业务流复制到指定的监控端口，用于报文的分析和监视。

华为S5700

配置ACL规则（基于流的镜像） [TSA-5700]acl number 3000

INTEGER<2000-2999> Basic access-list(add to current using rules) INTEGER<3000-3999> Advanced access-list(add to current using rules)

[TSA-3900-acl-adv-3000]rule 1 permit tcptcp-flag acksyn

[TSA-3900-acl-adv-3000]rule 5 permit tcp destination-port eq80 [TSA-5700-acl-adv-3000]quit

配置观察口

[TSA-5700]observe-port 1 interface GigabitEthernet 0/0/3

配置源端口

[TSA-5700]interfaceGigabitEthernet 0/0/5

[TSA-5700-GigabitEthernet0/0/5]port-mirroring to observe-port 1 both both Both(inbound and outbound) inboundInbound outboundOutbound

// 镜像是both 则ACL 发布规则方向只有inbound // 镜像是inbound ACL 发布规则方向：inbound //镜像是outbound ACL 发布规则方向：outbound

[TSA-5700-GigabitEthernet0/0/5]display port-mirroring

[TSA-5700-GigabitEthernet0/0/5]traffic-mirror inbound acl 3000 rule 1 to observe -port 1

traffic-mirror 发布镜像端口规则

H3CS3600 配置观察口

[H3C]mirroring-group 1 monitor-port GigabitEthernet 0/3

配置源端口

[H3C]mirroring-group 1 mirroring-port GigabitEthernet 0/4 inbound

配置ACL规则（基于流的镜像）

#创建ACL，其中第1条匹配带有ack标志位的TCP连接报文，第2条匹配TCP连接syn报文

[H3C]acl number 3000

[H3C-acl-adv-3000]rule 0 permit tcpack 1 [H3C-acl-adv-3000]rule1 permit tcpsyn 1 [H3C-acl-adv-3000]quit

#创建流分类，匹配相应的ACL [H3C]traffic classifier1

[H3C-classifier-3000]if-match acl3000 [H3C-classifier-3000]quit

#创建流行为，permit 带有syn、ack标志位的TCP连接报文。 [H3C]traffic behavior 1

[H3C-behavior-1]filter permit [H3C-behavior-1]quit

#创建Qos策略，关联流分类和流行为。 [H3C]qos policy 1

[H3C-qospolicy-1]classifier 1 behavior 1 #在端口入方向下发Qos策略

[H3C]interface GigabitEthernet 0/13

[H3C-GigabitEthernet0/13] qos apply policy 1 inbound

Ruijie S5750

创建一个会话(全局配置)

monitor session 向会话条目添加源或目的端口(接口配置)

monitor session { destination | source [ direction { both | tx | rx } ] } 查看镜像配置

show monitor

创建acl规则

ruijie(config)#access-list 100 permit tcp any any match-all synack ruijie(config)#access-list 100 permit tcp any anyeq 80

在源端口上发布acl规则

ruijie(config)#monitor session 1 source interface GigabitEthernet 0/3 rxacl 100

H3C S10508

# 进入系统视图。

system-view

# 配置基本IPv4 ACL 2000，匹配源IP地址为192.168.0.1的报文。 [Sysname] acl number 2000

[Sysname-acl-basic-2000] rule permit source 192.168.0.1 0 [Sysname-acl-basic-2000] quit

# 配置流分类规则，使用基本IPv4 ACL 2000进行流分类。 [Sysname] traffic classfier 1

[Sysname-classifier-1] if-match acl 2000 [Sysname-classifier-1] quit

# 配置流行为，定义流镜像到GigabitEthernet 2/0/2的动作。 [Sysname] traffic behavior 1

[Sysname-behavior-1] mirror-to interface GigabitEthernet 2/0/2 [Sysname-behavior-1] filter permit [Sysname-behavior-1] quit

# 配置QoS策略1，为流分类1指定流行为1。 [Sysname] qos policy 1

[Sysname-policy-1] classifier 1 behavior 1 [Sysname-policy-1] quit

# 将QoS策略应用到端口GigabitEthernet 2/0/1上。 [Sysname] interface GigabitEthernet 2/0/1

[Sysname-GigabitEthernet2/0/1] qos apply policy 1 inbound

完成上述配置后，用户可以在数据监测设备上对Host A发出的所有报文进行分析监控。

华为9系

observe-port 1 interface GigabitEthernet11/0/1 配置观察端口

acl number 3000

rule 5 permit tcptcp-flag acksyn

rule 10 permit tcp destination-port eq www 配置ACL

traffic classifier liujingxiang1 operator or precedence 5 if-matchacl 3000 配置 流分类

traffic behavior liujingxiang1

mirroring to observe-port 1 配置流动作

traffic policy liujingxiang1

classifier liujingxiang1 behavior liujingxiang1 配置流策略

interface GigabitEthernet8/0/11

traffic-policy liujingxiang1 inbound