華爲s5700端口鏡像配置
# 配置GigabitEthernet0/0/1爲鏡像接口,GigabitEthernet0/0/2爲觀察接口,觀察接口索引號爲1。鏡像GigabitEthernet0/0/1上的入方向業務流量到GigabitEthernet0/0/2上。
<Quidway> system-view
[Quidway] observe-port 1 interface gigabitethernet 0/0/2
[Quidway] interface gigabitethernet 0/0/1
[Quidway-GigabitEthernet0/0/1] port-mirroring to observe-port 1 inbound
步驟1 執行命令system-view,進入系統視圖。
步驟2 執行命令observe-port index interface interface-type interface-number ,配置觀察接口。
步驟3 執行命令interface interface-type interface-number,進入鏡像接口的接口視圖。
步驟4 執行命令port-mirroring to observe-port index { both | inbound | outbound } ,配置接口
鏡像。
當需要同時監控多個接口的入方向或出方向的報文時,可以重複執行步驟3和步驟4。
基於接口的本地鏡像
1.system-view,進入系統視圖。
2.observing-port 1 interface g0/0/45,配置觀察接口。
3.interface g0/0/10,進入鏡像接口的接口視圖。
4.執行命令port-mirroring to observe-port{ both or inbound or outbound },配置接口鏡像。
5.當需要同時監控多個接口的入方向或出方向的報文時,可重複執行步驟3和步驟4。
6.此例子是將10口的流量鏡像到45口
基於VLAN的本地鏡像
1.system-view,進入系統視圖。
2.observing-port 2 interface g0/0/45,配置觀察接口。
3.vlan 100,進入鏡像VLAN的VLAN視圖。
4.mirroring to observe-port 2 inbound,配置VLAN鏡像。
當需要同時監控多個VLAN的入方向的報文時,可以重複執行步驟3和步驟4。
此例子是將vlan100的流量鏡像到本地45端口
S9300支持端口的跨板鏡像:
端口鏡像存在一個缺陷需要注意:對於出端口鏡像,如果從鏡像端口出去的報文不帶tag,從觀察端口出去的報文還是帶tag的。
配置deny策略對端口鏡像有無影響
沒有影響,端口收到的數據包都被鏡像至觀察端口。
S9300還支持流鏡像到端口:
目前支持上行和下行方向的流鏡像,但是鏡像到端口必須配置爲觀察端口。
如何配置端口鏡像和流鏡像
配置端口鏡像
端口鏡像就是將被監控端口上的數據複製到指定的觀察端口,對數據進行分析和監視。
1.首先要配置觀察端口:
[Quidway] observe-port 1 interface gigabitethernet1/0/3
2.然後配置端口鏡像:
[Quidway] interface gigabitethernet 1/0/0
[Quidway-GigabitEthernet1/0/0] port-mirroring to observe-port 1 inbound
支持出方向(outbound)或入方向(inbound)及雙向流(both)。
配置流鏡像
流鏡像就是將流鏡像端口上的特定數據複製到指定的觀察端口或CPU進行分析和監視。
1.首先也是在全局模式下將一個端囗配置成觀察端囗:
[Quidway] observe-port 1 interface gigabitethernet1/0/3
2.然後再配置ACL將需要鏡像的流匹配出來: acl number 3000
rule 5 permit ip
#
traffic classifier 1 operator and precedence 5
if-match 5 acl 3000
#
traffic behavior 1
mirroring observing-port 1
#
traffic policy 1
classifier 1 behavior 1
3.最後進入此流進入或出去的端囗下發鏡像規則:
[Quidway-GigabitEthernet3/0/3]traffic-policy 1 inbound
支持出流量(outbound)和入流量(inbound)。
爲什麼有時候配置端口鏡像會提示配置失敗
S9300 V100R001C02版本支持2個觀察端口,S9300 V100R001C03、S9300V100R002C00和S9300V100R003C00版本支持8個觀察端口。對於同一塊單板的所有端口出方向鏡像只能鏡像到一個觀察端口,當同一塊單板的不同端口出方向要鏡像到不同的觀察端口時就會提示不允許配置。
對於同一塊單板的所有端口入方向鏡像最多鏡像到2個觀察端口,當超過2個時也會提示不允許配置。
如何清除TELNET進程
在用戶視圖下執行以下命令:
free user-interface { ui-number | ui-type ui-number1 }
例如:
<Quidway> free user-interface vty 0
說明:
不能清除當前自身所用的用戶ID。
如何查詢告警日誌信息
查詢告警信息:
display trapbuffer
查詢日誌信息:
display logbuffer
如何清除告警日誌緩衝區中的信息
清除告警緩衝區信息
reset trapbuffer
清除日誌緩衝區信息
reset logbuffer
如何配置日誌主機服務器
S9300V100R001和S9300V100R002使用如下命令:
info-center enable
info-center loghost host-ip-addr [ channel { channel-number | channel-name } ] [ facility local-number ] [ language { chinese | english } ]
S9300V100R003使用如下命令:
info-center enable
info-center loghost ip-address [ channel { channel-number | channel-name } | facility local-number | { language language-name | binary [ port ] } | { ***-instance ***-instance-name | public-net } ] *
info-center loghost ipv6 ipv6-address [ channel { channel-number | channel-name } | facility local-number | { language language-name | binary [ port ] } ] *