基于MQC的遠端流鏡像

基于MQC的遠端流鏡像​

1. 環境

外部通路使用者通過SwitchA通路公司的伺服器，監控裝置Server通過SwitchB與SwitchA相連。​

現在公司官網被惡意癱瘓，網絡管理者希望Server能夠遠端對TCP端口号比對WWW端口号的封包流進行分析，進行惡意源定位。

1. 配置思路進行如下配置，實作Server遠端監控指定TCP端口号的流量：

1. 在SwitchA上配置接口GE1/0/2為二層遠端觀察端口，負責向綁定的VLAN轉發鏡像封包。​
2. 在SwitchA上配置流分類，比對的封包流為TCP端口号是WWW端口号的封包流；配置流行為，将封包鏡像到觀察端口。​
3. 在SwitchA上配置流鏡像政策，綁定建立的流分類和流行為，并在接口GE1/0/1上應用流政策。​
4. 在SwitchB上建立VLAN，配置接口加入VLAN，負責将觀察端口發送過來的封包向Server轉發。​

1. 操作步驟​

在SwitchA上配置觀察端口​

# 在SwitchA上配置接口GE1/0/2為二層遠端觀察端口，綁定的VLAN為VLAN10。​

配置完成後，觀察端口會将鏡像封包向VLAN10進行轉發，不需要在觀察端口下進行接口加入VLAN的操作。​

在SwitchA上配置流分類​

# 在SwitchA上建立流分類c1，并配置流分類規則為比對TCP端口号是WWW端口号的封包。​

在SwitchA上配置流行為​

# 在SwitchA上建立流行為b1，并配置流行為是流鏡像，将指定封包流鏡像到觀察端口GE1/0/2。​

除LE1D2S04SEC0單闆、LE1D2X32SEC0單闆、LE1D2H02QEC0單闆和X系列單闆外，對于其他支援配置出方向流鏡像的單闆，配置出方向流鏡像時，不能再配置其他流行為，建立流行為時預設生成的permit動作也必須删除，否則出方向流鏡像不生效。​

在SwitchA上配置流政策并應用到接口上​

# 在SwitchA上建立流政策p1，将流分類和對應的流行為進行綁定，并将流政策應用到接口GE1/0/1的入方向上，對指定TCP端口号的流量進行監控。​

在SwitchB上建立VLAN，配置接口加入VLAN​

# 在SwitchB上建立VLAN10，将接口GE1/0/1和GE1/0/2加入VLAN10。​

*注意 在配置二層遠端鏡像時，建議不要用觀察端口綁定的VLAN進行其他業務轉發。對于觀察端口與監控裝置之間的中間網絡裝置，在觀察端口綁定的VLAN上執行指令mac-address learning disable關閉MAC位址學習功能。如果該VLAN已存在，且已學習到MAC位址，請在系統視圖下執行undo mac-address vlan vlan-id指令删除該VLAN已學習到的所有MAC位址。​

驗證配置結果​

# 檢視流分類的配置資訊。​