基于MQC的遠端流鏡像
- 環境
外部通路使用者通過SwitchA通路公司的伺服器,監控裝置Server通過SwitchB與SwitchA相連。
現在公司官網被惡意癱瘓,網絡管理者希望Server能夠遠端對TCP端口号比對WWW端口号的封包流進行分析,進行惡意源定位。
- 配置思路進行如下配置,實作Server遠端監控指定TCP端口号的流量:
- 在SwitchA上配置接口GE1/0/2為二層遠端觀察端口,負責向綁定的VLAN轉發鏡像封包。
- 在SwitchA上配置流分類,比對的封包流為TCP端口号是WWW端口号的封包流;配置流行為,将封包鏡像到觀察端口。
- 在SwitchA上配置流鏡像政策,綁定建立的流分類和流行為,并在接口GE1/0/1上應用流政策。
- 在SwitchB上建立VLAN,配置接口加入VLAN,負責将觀察端口發送過來的封包向Server轉發。
- 操作步驟
在SwitchA上配置觀察端口
# 在SwitchA上配置接口GE1/0/2為二層遠端觀察端口,綁定的VLAN為VLAN10。
配置完成後,觀察端口會将鏡像封包向VLAN10進行轉發,不需要在觀察端口下進行接口加入VLAN的操作。
在SwitchA上配置流分類
# 在SwitchA上建立流分類c1,并配置流分類規則為比對TCP端口号是WWW端口号的封包。
在SwitchA上配置流行為
# 在SwitchA上建立流行為b1,并配置流行為是流鏡像,将指定封包流鏡像到觀察端口GE1/0/2。
除LE1D2S04SEC0單闆、LE1D2X32SEC0單闆、LE1D2H02QEC0單闆和X系列單闆外,對于其他支援配置出方向流鏡像的單闆,配置出方向流鏡像時,不能再配置其他流行為,建立流行為時預設生成的permit動作也必須删除,否則出方向流鏡像不生效。
在SwitchA上配置流政策并應用到接口上
# 在SwitchA上建立流政策p1,将流分類和對應的流行為進行綁定,并将流政策應用到接口GE1/0/1的入方向上,對指定TCP端口号的流量進行監控。
在SwitchB上建立VLAN,配置接口加入VLAN
# 在SwitchB上建立VLAN10,将接口GE1/0/1和GE1/0/2加入VLAN10。
*注意 在配置二層遠端鏡像時,建議不要用觀察端口綁定的VLAN進行其他業務轉發。對于觀察端口與監控裝置之間的中間網絡裝置,在觀察端口綁定的VLAN上執行指令mac-address learning disable關閉MAC位址學習功能。如果該VLAN已存在,且已學習到MAC位址,請在系統視圖下執行undo mac-address vlan vlan-id指令删除該VLAN已學習到的所有MAC位址。
驗證配置結果
# 檢視流分類的配置資訊。