交换机的端口镜像配置好后,就可以方便使用网路岗上网行为管理软件来监控管理您的网络了,使用网路岗可以监控管理公司的上网记录,监控QQ聊天内容,MSN聊天内容,邮件收发记录等。
A
镜像端口简单的说,就是把交换机一个(数个)端口(源端口)的流量完全拷贝一份,从另外一个端口(目的端口)发出去,以便网络管理人员从目的端口通过分析源端口的流量来找出网络存在问题的原因。 配置好交换机的端口镜像,就可以方便使用网路岗上网行为管理软件来监控管理您的网络了,使用网路岗可以监控管理公司的上网记录,监控QQ聊天内容,MSN聊天内容,邮件收发记录等。下面我们来看一下华为交换机是如何进行端口镜像配置的:
配置环境参数:PC1和PC2的IP地址分别为10.10.1.1/24、10.10.1.2/24
组网需求:在SwitchA上配置端口镜像,从PC2上对PC1的收发报文情况进行监控。
华为交换机:S20xxEI、S20xxC系列端口镜像配置流程
mirroring-port用来定义镜像端口,monitor-port用来定义监控端口。
【SwitchA相关配置】
1.将端口E0/2配置为监控端口
[SwitchA]monitor-portEthernet0/2no-filt
2.将端口E0/1配置为镜像端口
[SwitchA]mirroring-portEthernet0/1both
【补充说明】
支持多对一的端口镜像,但是镜像端口必须与监控端口属于同一个芯片内(每8端口一个芯片)。
配置镜像端口时,可以使用参数定义被监控报文的方向。例如:参数both,表示同时监控端口的接收和发送报文;参数inbound,表示只监控端口接收的报文;参数outbound,表示只监控端口发送的报文。 配置监控端口时,可以使用参数定义监控端口类型。例如:参数no-filt,表示监控所有的报文;参数filt-da,表示只监控指定的目的mac地址的报文;参数filt-sa,表示只监控指定的源mac地址的报文。 此系列交换机的具体型号包括:S20xx-EI、S20xx-EI和S2403H-EI,S20xxC、S20xxC和S2024C。 B
华为交换机:S20xx-SI和S3000-SI系列端口镜像配置流程
mirroring-port用来定义镜像端口,monitor-port用来定义监控端口。
【SwitchA相关配置】
1.将端口E0/2配置为监控端口
[SwitchA]monitor-portEthernet0/2
2.将端口E0/1配置为镜像端口
[SwitchA]mirroring-portEthernet0/1both
【补充说明】
支持多对一的端口镜像,hao352上网主页.
配置镜像端口时,可以使用参数定义被监控报文的方向。例如:参数both,表示同时监控端口的接收和发送报文;参数inbound,表示只监控端口接收的报文;参数outbound,表示只监控端口发送的报文。 此系列交换机的具体型号包括:S2026C/Z-SI、S3026C/G/S-SI和E026-SI。
华为交换机:S3050C系列端口镜像配置流程
mirroring-port用来定义镜像端口,monitor-port用来定义监控端口。
【Switch相关配置】
1.将端口E0/2配置为监控端口
[SwitchA]monitor-portEthernet0/2
2.将端口E0/1配置为镜像端口
[SwitchA]mirroring-portEthernet0/1both
【补充说明】
支持多对一的端口镜像。
配置镜像端口时,可以使用参数定义被监控报文的方向。例如:参数both,表示同时监控端口的接收和发送报文;参数inbound,表示只监控端口接收的报文;参数outbound,表示只监控端口发送的报文。 从芯片工作效率考虑,S3050C提供1个镜像目的端口,3个镜像源端口。需要注意的是,S3050C的镜像源是可以分输入镜像和输出镜像的,所谓的3个镜像源是按照方向独立计算的。例如:端口E0/1配置镜像方向为both,因为它包含in和out两个方向,所以按两个源来计算
C
华为交换机:S3026E、S3526E、S3526系列端口镜像配置流程
monitor-port用来定义监控端口;结合acl的配置,在系统视图使用mirroed-to命令,将匹配acl规则的数据报文镜像到监控端口。
【SwitchA相关配置】
1.将端口E0/2配置为监控端口
[SwitchA]monitor-portEthernet0/2
2.配置acl,定义符合监控的数据流规则
1.
2.
3.
4.
5. [SwitchA]aclnumber4000 [SwitchA-acl-link-4000]rulepermitingressinterfacee0/1egressany [SwitchA-acl-link-4000]rulepermitingressanyegressinterfacee0/1
3.将匹配acl规则的报文镜像到监控端口E0/2
[SwitchA]mirroed-tolink-group4000interfaceEthernet0/2
【补充说明】
此系列交换机使用的是流镜像,而非端口镜像。因此,必须结合acl的配置,对匹配了acl规则的报文进行镜像。
此系列交换机的具体型号包括:S3026E/C/G/T,S3526E/C,S3026FS/FM,S3526和S3526FS/FM。 华为交换机:S5012、S5024系列端口镜像配置流程
mirroring-port用来定义镜像端口,monitor-port用来定义监控端口。
【补充说明】
既支持端口镜像,又支持流镜像。流镜像的配置方法与S3026E系列交换机的镜像配置方法一致。
配置镜像端口时,可以使用参数定义被监控报文的方向。例如:参数both,表示同时监控端口的接收和发送报文;参数inbound,表示只监控端口接收的报文;参数outbound,表示只监控端口发送的报文。 配置监控端口时,可以使用参数定义镜像端口所监控的报文方向。例如:参数both,表示同时监控端口的接收和发送报文;参数inbound,表示只监控端口接收的报文;参数outbound,表示只监控端口发送的报文。
此系列交换机的具体型号包括:S3528G/P和S3552G/P/F。
D
华为交换机:S3900、S5600系列端口镜像配置流程
monitor-port用来定义监控端口;结合acl的配置,在以太网物理端口配置视图下使用mirroed-to命令,将匹配acl规则的数据报文镜像到监控端口。或者直接将某物理端口配置为镜像端口。好网址好上网hao352.com.
方法一,流镜像
【SwitchA相关配置】
1.将端口G1/0/2配置为监控端口
1.
2.
3. [SwitchA]interfaceGigabitEthernet1/0/2 [SwitchA-GigabitEthernet1/0/2]monitor-port
2.配置acl,定义符合监控的数据流规则
1.
2.
3.
4.
5. [SwitchA]aclnumber3000 [SwitchA-acl-link-3000]rulepermitipsource10.10.1.10destinationany [SwitchA-acl-link-3000]rulepermitipsourceanydestination10.10.1.10
3.将经过端口G1/0/1,匹配acl规则的报文镜像到监控端口
1.
2.
3.
4.
5. [SwitchA]interfaceGigabitEthernet1/0/1 [SwitchA-GigabitEthernet1/0/1]mirrored-toinboundip-group3000monitor-interface [SwitchA-GigabitEthernet1/0/1]mirrored-tooutboundip-group3000monitor
-interface
方法二,端口镜像
【SwitchA相关配置】
1.将端口G1/0/2配置为监控端口
1.
2.
3. [SwitchA]interfaceGigabitEthernet1/0/2 [SwitchA-GigabitEthernet1/0/2]monitor-port
2.将端口G1/0/1配置为镜像端口
1.
2.
3. [SwitchA]interfaceGigabitEthernet1/0/1 [SwitchA-GigabitEthernet1/0/1]mirroring-portboth 华为6502做端口镜像
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
[cur]mirroring-group1local创建组 [cur-GigabitEthernet1/0/8]mirroring-group1monitor-port监控口 [cur-GigabitEthernet0/0/1]mirroring-group1mirroring-portboth被监控口 [cur]dismirroring-groupall mirroring-group1: type:local status:active mirroringport: GigabitEthernet0/0/1both
第二篇:锐捷交换机路由器配置要点总结
总结
QOS 限速配置
1、access-list 101 permit ip host A.B.C.D any 定义要限速的IP
2、class-map 限速1 创建class-map 名字为限速1
3、match access-group 101 匹配IP地址
4、policy-map 限速 创建policy-map名字为限速1
5、class限速1 符合class限速1
6、police 8000 512 exceed-action drop 限速值为8000 kbit
7、进入端口
8、service-policy input 限速 将该限速策略应用在这个端口上
dhcp 协议
1、service dhcp 开启dhcp 协议
2、ip dhcp ping packets 1 检查分配的IP是否已有人用,就再分配下一个IP
3、ip dhcp excluded-address A.B.C.D 到 A.B.C.D设置排斥的IP地址 排斥IP地址段不分配
4、lease infinite设置租期时间为永久(可以设天数 小时 分 N天 N时 N分)
5、ip dhcp pool 123 设置dhcp地址池名字为123(名字自定)
6、netwook A.B.C.D 255.255.255.0 设置IP 地址段
7、dns-server 1.1.1.1 设置dns
8、default-router A.B.C.D网关
dhcp 中继
1、 service dhcp
2、 interface vlan 10
3、 ip helper-address A.B.C.D
ACL控制访问列表
1、 access-list 101 deny tcp A.B.C.D 0.0.0.255 A.B.C.D 0.0.0.255 eq ftp(WWW) 禁止前面个网段访问后面个网段的ftp或者WWW
2、 access-list 101 permit ip any any 允许访问其他
3、 访问控制列表应用在与禁止访问网段想接的接口上 且在接口in 方向应用
4、 access-list 101 deny icmp A.B.C.D 255.255.255..0
A.B.C.D 255.255.255.0 禁止前面个网段Ping后面个网段
5、 access-list 101 permit ip any any 允许访问其他
6、 扩展访问列表的另一种表示方法:access-list 101 deny tcp A.B.C.D 255.255.255.0 host A.B.C.D eq
www(ftp、端口等) 此方法不需要目的网络地址的子网掩码 子网以反码的形式写出来
7、 Access-list 1 deny A.B.C.D 0.0.0.255 禁止来自这个网段上的流量通过
交换机端口安全 MAC+IP地址绑定
1、switchport port-security 开启交换机端口的安全功能 要先进入某个或一组端口才能开启端口安全功能
2、interface f0/N(N为可边数字) 在某个端口开起也可把所有端口都开起,只是最后指定应用在某个特定端口下
第一页
3、switchport port-security 0006.1BDE.134B ip-address
A.B.C.D 配置IP地址+绑定MAC地址
4、绑定IP+MAC地址 必须先进入端口才能进行绑定 配置树协议
1、 生成树协议 spanning-tree
2、 快速生成树协议 spanning-tree mode rstp
3、 多生成树协议 spanning-tree mst configuration
4、 在生成上面2和3种协议之前先写spanning-tree 按回车 在进行spanning-tree mst configuration或者spanning-tree mode rstp
Nat 与NAPT 地址转换
1、 NAPT 局域网或者内网访问互联网
2、 Nat 互联网访问内网或者局域网
3、 Ip Nat Inside 设置为内网接口 ip Nat outside 设置为外网接口
4、 ip Nat inside source list 10 interface serial 1/0 overload 允许内网访问外网
5、 access-list 10 permit A.B.C.D 0.0.0.255 允许转换的地址 IP地址与字网看要求而定 子网以反码的形式写出来
6、 Nat 表示方式 ip ant pool ftp A.B.C.D A.B.C.D netwook 255.255.255.0 定义内网服务器地址池
7、 Access-list 3 permit host A.B.C.D 定义外网公网IP地址
8、 Ip Nat inside destiNation list 3 pool ftp将外网的公网地址转换为ftp服务器地址
9、 Ip Nat inside source static tcp A.B.C.D 21 A.B.C.D 21 前面一个IP地址为内网 后面一个为接外网的端口 21为端口数 web服务器的端口为80
10、 Ip Nat inside source static tcp A.B.C.D 21 int erface f0/1 把21端口映射到F0/1这个端口上
路由协议
1、 动态路由表示方式:netwook A.B.C.D关闭自动会总: no auto-sunnary
2、 OSPF 路由 子网以反码的形式写出来
3、 静态路表示方式:ip route A.B.C.D 255.255.255.0
A.B.C.D 后面一个A.B.C.D 为下一跳(下一跳为下一个机器的与这个机器相连的端口的IP)
4、 最好用静态路由 万无一失!!!!!!
策略路由
Access-list 100 permit ip A.B.C.D 0.0.0.255 A.B.C.D 0.0.0.255
Route-map PBR permit 10 优先级。 越小越高 匹配数据率。
Match ip address 100 匹配ACL100
Set interface null 0 设置数据流的动作 NULL 0 为空接口
Route-map PBR permit 20 匹配数据流
应用在接口上
Interface f0/0
Ip ip policy route-map PBR
若是实验测试,则可通过将匹配的数据下一跳指向NULL 0 ,若是真实网络规划,不建议如此设置。 access-list 101 permit ip 1.1.1.0 0.0.0.255 2.2.2.0
0.0.0.255
route-map test
match ip address 101
set ip next-hop null 0
interface *** //进入入口方向
ip policy route-map test
⊙该文章转自[大赛人网站(技能大赛技术资源网)-DasaiRen.com] 原文链接:http://www.dasairen.com/ruijie/215002618.html