H3C-S5500端口镜像配置
H3C 多个目的镜像端口
S5500S5500--EI 系列交换机实现多监控口功能的配置系列交换机实现多监控口功能的配置一、 组网需求组网需求::使用本地镜像功能实现一台设备上有多个监控端口。
二、 组网图组网图::三、 配置步骤配置步骤::(1)创建监控vlan 并禁止监控vlan 下mac 地址学习功能。
[H3C]vlan 30[H3C-vlan30]mac-address mac-learning disable#创建本地监控组,并去使能STP 功能。
[H3C]mirroring-group 1 local[H3C]stp disable(2)将属于业务vlan10的G1/0/25作为被镜像端口。
[H3C]interface GigabitEthernet1/0/25[H3C-GigabitEthernet1/0/25] port access vlan 10[H3C-GigabitEthernet1/0/25] mirroring-group 1 mirroring-port both(3)用短网线将属于vlan1的“监控口”G1/0/1连接到属于监控vlan30的G1/0/6端口上, 需要注意的是G1/0/1端口所属vlan一定要与后面的G1/0/6等“监控口”不在同一vlan,否则会出现广播风暴。
[H3C]interface GigabitEthernet1/0/1[H3C-GigabitEthernet1/0/1] mirroring-group 1 monitor-port(4)将镜像报文打上监控vlan的tag,在该vlan内转发,否则镜像报文会由于vlan tag与监控vlan不同而被丢弃。
[H3C]interface GigabitEthernet1/0/6[H3C-GigabitEthernet1/0/6] port access vlan 30[H3C-GigabitEthernet1/0/6] qinq enable(5)将多个端口加入监控vlan从而实现多监控口的需求。
H3C交换机端口镜像配置命令
H3C交换机端⼝镜像配置命令端⼝镜像配置命令1.1 端⼝镜像配置命令1.1.1 display mirroring-group【命令】display mirroring-group { group-id| all | local | remote-destination | remote-source }【视图】任意视图【参数】group-id:端⼝镜像组的组号,取值范围为1~2。
all:所有镜像组。
local:本地镜像组。
remote-destination:远程⽬的镜像组。
remote-source:远程源镜像组。
【描述】display mirroring-group命令⽤来显⽰端⼝镜像组的信息。
不同的镜像组类型,其显⽰内容不同。
设备将按照镜像组号的顺序进⾏显⽰。
【举例】# 显⽰所有镜像组的信息。
display mirroring-group allmirroring-group 1:type: localstatus: activemirroring port:Ethernet1/0/1 bothEthernet1/0/2 bothmonitor port: Ethernet1/0/3mirroring-group 2:type: remote-sourcestatus: inactivemirroring port:Ethernet1/0/4 inboundreflector port:remote-probe vlan: 1900表1-1 display mirroring-group命令显⽰信息描述表1.1.2 mirroring-group【命令】mirroring-group group-id{ local | remote-source | remote-destination }undo mirroring-group{ group-id|local | remote-source|remote-destination | all } 【视图】系统视图【参数】group-id:端⼝镜像组的组号,取值范围为1~2。
H3C5500详细配置及说明
version 5.20, Release 1207sysname dunan-s5500 设备重命名super password level 3 simple abcd123456 设置串口连接密码 domain default enable system说明性文字telnet server enable telnet服务开启loopback-detection enable 环回口连接开启注释VLAN连接区域vlan 1description fileserver vlan 2description firewallvlan 10description erp+sql+other vlan 20description caiwu vlan 30description waimaovlan 40description bigofficevlan 50description jishubuvlan 60description erchejianvlan 70description huayivlan 80description zongcaivlan 90description webservlan 130description wlanradius scheme systemdomain system 说明性文字access-limit disablestate activeidle-cut disableself-service-url disable将ACL规则定义策略和行为这里和3600是不同的,分为三部traffic classifier c_vlan operator and if-match acl 3000traffic classifier a_vlan operator and if-match acl 3001traffic behavior d_vlanfilter denytraffic behavior b_vlanfilter denyqos policy p_vlanclassifier c_vlan behavior b_vlanqos policy t_vlanclassifier a_vlan behavior d_vlan设置web访问用户和密码并定义权限为最高local-user h3cpassword simple dafmservice-type telnetlevel 3建立高级访问控制列表并建立子规则acl number 3000rule 0 deny tcp source 192.168.50.0 0.0.0.255 destination 192.168.90.0 0.0.0.255 rule 1 deny tcp source 192.168.130.0 0.0.0.255 destination 192.168.90.0 0.0.0.255 rule 2 deny tcp source 192.168.130.0 0.0.0.255 destination 192.168.20.0 0.0.0.255 rule 3 deny tcp source 192.168.130.0 0.0.0.255 destination 192.168.30.0 0.0.0.255 rule 4 deny tcp source 192.168.130.0 0.0.0.255 destination 192.168.40.0 0.0.0.255 rule 5 deny tcp source 192.168.130.0 0.0.0.255 destination 192.168.50.0 0.0.0.255 rule 6 deny tcp source 192.168.130.0 0.0.0.255 destination 192.168.60.0 0.0.0.255 rule 7 deny tcp source 192.168.130.0 0.0.0.255 destination 192.168.70.0 0.0.0.255 rule 8 deny tcp source 192.168.130.0 0.0.0.255 destination 192.168.80.0 0.0.0.255 rule 9 deny tcp source 192.168.50.0 0.0.0.255 destination 192.168.80.0 0.0.0.255 rule 10 deny tcp source 192.168.50.0 0.0.0.255 destination 192.168.70.0 0.0.0.255 rule 11 deny tcp source 192.168.50.0 0.0.0.255 destination 192.168.60.0 0.0.0.255 rule 12 deny tcp source 192.168.80.0 0.0.0.255 destination 192.168.20.0 0.0.0.255 rule 13 deny tcp source 192.168.50.0 0.0.0.255 destination 192.168.40.0 0.0.0.255 rule 14 deny tcp source 192.168.50.0 0.0.0.255 destination 192.168.30.0 0.0.0.255 rule 15 deny tcp source 192.168.50.0 0.0.0.255 destination 192.168.20.0 0.0.0.255 rule 16 deny tcp source 192.168.50.0 0.0.0.255 destination 192.168.130.0 0.0.0.255 rule 17 deny tcp source 192.168.80.0 0.0.0.255 destination 192.168.30.0 0.0.0.255 rule 18 deny tcp source 192.168.80.0 0.0.0.255 destination 192.168.40.0 0.0.0.255 rule 19 deny tcp source 192.168.80.0 0.0.0.255 destination 192.168.50.0 0.0.0.255 rule 20 deny tcp source 192.168.80.0 0.0.0.255 destination 192.168.60.0 0.0.0.255 rule 21 deny tcp source 192.168.80.0 0.0.0.255 destination 192.168.70.0 0.0.0.255 rule 22 deny tcp source 192.168.80.0 0.0.0.255 destination 192.168.90.0 0.0.0.255 rule 23 deny tcp source 192.168.80.0 0.0.0.255 destination 192.168.130.0 0.0.0.255 acl number 3001rule 0 deny tcp source 192.168.90.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 rule 1 deny tcp source 192.168.90.0 0.0.0.255 destination 192.168.10.0 0.0.0.255 rule 2 deny tcp source 192.168.90.0 0.0.0.255 destination 192.168.20.0 0.0.0.255 rule 3 deny tcp source 192.168.90.0 0.0.0.255 destination 192.168.30.0 0.0.0.255 rule 4 deny tcp source 192.168.90.0 0.0.0.255 destination 192.168.40.0 0.0.0.255 rule 5 deny tcp source 192.168.90.0 0.0.0.255 destination 192.168.60.0 0.0.0.255 rule 6 deny tcp source 192.168.90.0 0.0.0.255 destination 192.168.70.0 0.0.0.255 rule 7 deny tcp source 192.168.90.0 0.0.0.255 destination 192.168.80.0 0.0.0.255 rule 8 deny tcp source 192.168.90.0 0.0.0.255 destination 192.168.130.0 0.0.0.255 配置VLAN网关,实际为设置vlan 间路由interface NULL0interface Vlan-interface 1ip address 192.168.1.1 255.255.255.0interface Vlan-interface 2ip address 192.168.2.2 255.255.255.0interface Vlan-interface 10ip address 192.168.10.1 255.255.255.0interface Vlan-interface 20ip address 192.168.20.1 255.255.255.0interface Vlan-interface 30ip address 192.168.30.1 255.255.255.0interface Vlan-interface 40ip address 192.168.40.1 255.255.255.0interface Vlan-interface 50ip address 192.168.50.1 255.255.255.0interface Vlan-interface 60ip address 192.168.60.1 255.255.255.0interface Vlan-interface 70ip address 192.168.70.1 255.255.255.0interface Vlan-interface 80ip address 192.168.80.1 255.255.255.0interface Vlan-interface 90ip address 192.168.90.1 255.255.255.0interface Vlan-interface 30ip address 192.168.130.1 255.255.255.0将接口划入vlaninterface GigabitEthernet1/0/1port access vlan 10interface GigabitEthernet1/0/2port access vlan 10interface GigabitEthernet1/0/3port access vlan 10interface GigabitEthernet1/0/4port access vlan 90定义策略到接口qos apply policy t_vlan inboundinterface GigabitEthernet1/0/5 port access vlan 20 interface GigabitEthernet1/0/6 port access vlan 20 interface GigabitEthernet1/0/7 port access vlan 30 interface GigabitEthernet1/0/8 port access vlan 30 interface GigabitEthernet1/0/9 port access vlan 40 interface GigabitEthernet1/0/10 port access vlan 40 interface GigabitEthernet1/0/11 port access vlan 50 定义策略到接口qos apply policy p_vlan inboundinterface GigabitEthernet1/0/12 port access vlan 50定义策略到接口qos apply policy p_vlan inboundinterface GigabitEthernet1/0/13 port access vlan 60 interface GigabitEthernet1/0/14 port access vlan 60 interface GigabitEthernet1/0/15 port access vlan 70 interface GigabitEthernet1/0/16 port access vlan 70 interface GigabitEthernet1/0/17 port access vlan 80定义策略到接口qos apply policy p_vlan inboundinterface GigabitEthernet1/0/18 port access vlan 80定义策略到接口qos apply policy p_vlan inboundinterface GigabitEthernet1/0/19 port access vlan 130定义策略到接口qos apply policy p_vlan inboundinterface GigabitEthernet1/0/20 port access vlan 130定义策略到接口qos apply policy p_vlan inboundinterface GigabitEthernet1/0/21 duplex full flow-control interface GigabitEthernet1/0/22interface GigabitEthernet1/0/23 port access vlan 2 interface GigabitEthernet1/0/24 port access vlan 2 interface GigabitEthernet1/0/25 shutdowninterface GigabitEthernet1/0/26 shutdowninterface GigabitEthernet1/0/27 shutdowninterface GigabitEthernet1/0/28 shutdown配置到防火墙的默认路由ip route-static 0.0.0.0 0.0.0.0 192.168.2.1简单网络管理协议的描述snmp-agentsnmp-agent local-engineid 800063A20300E0FC123456 snmp-agent sys-info version v3load xml-configuration开启aux口和telnet访问的权限并设定串口访问密码user-interface aux 0authentication-mode passwordset authentication password simple abcd123456user-interface vty 0 4user privilege level 3set authentication password cipher ^BM!.M()1=%X)AG\U/NCA!!protocol inbound telnet华为路由器交换机配置命令:交换机命令[Quidway]dis curr;显示当前配置[Quidway]display interfaces;显示接口信息[Quidway]display vlanall;显示路由信息[Quidway]display version;显示版本信息[Quidway]super password;修改特权用户密码[Quidway]sysname;交换机命名[Quidway]interface ethernet0/1;进入接口视图[Quidway]interface vlanx;进入接口视图[Quidway-Vlan-interfacex]ip address 10.65.1.1 255.255.0.0;配置VLAN的IP地址[Quidway]ip route-static 0.0.0.0 0.0.0.0 10.65.1.2;静态路由=网关[Quidway]rip;三层交换支持[Quidway]user-interface vty 0 4;进入虚拟终端[S3026-ui-vty0-4]authentication-mode password;设置口令模式[S3026-ui-vty0-4]set authentication-mode password simple222;设置口令[S3026-ui-vty0-4]user privilege level3;用户级别[Quidway]interface ethernet0/1;进入端口模式[Quidway]int e0/1;进入端口模式[Quidway-Ethernet0/1]duplex {half|full|auto};配置端口工作状态[Quidway-Ethernet0/1]speed{10|100|auto};配置端口工作速率[Quidway-Ethernet0/1]flow-control;配置端口流控[Quidway-Ethernet0/1]mdi{across|auto|normal};配置端口平接扭接[Quidway-Ethernet0/1]portlink-type{trunk|access|hybrid};设置端口工作模式[Quidway-Ethernet0/1]port access vlan3;当前端口加入到VLAN[Quidway-Ethernet0/2]port trunk permitvlan{ID|All};设trunk允许的VLAN[Quidway-Ethernet0/3]port trunk pvid vlan3;设置trunk端口的PVID [Quidway-Ethernet0/1]undoshutdown;激活端口[Quidway-Ethernet0/1]shutdown;关闭端口[Quidway-Ethernet0/1]quit;返回 [Quidway]vlan3;创建VLAN[Quidway-vlan3]port ethernet0/1;在VLAN中增加端口[Quidway-vlan3]port e0/1;简写方式[Quidway-vlan3]port ethernet0/1 to ethernet0/4;在VLAN中增加端口[Quidway-vlan3]port e0/1 to e0/4;简写方式[Quidway]monitor-port;指定镜像端口[Quidway]port mirror;指定被镜像端口[Quidway]port mirror int_listobserving-portint_typeint_num;指定镜像和被镜像[Quidway]description string;指定VLAN描述字符[Quidway]description;删除VLAN描述字符[Quidway]display vlan[vlan_id];查看VLAN设置[Quidway]stp{enable|disable};设置生成树,默认关闭[Quidway]stp priority 4096;设置交换机的优先级[Quidway]stp root{primary|secondary};设置为根或根的备份[Quidway-Ethernet0/1]stpcost200;设置交换机端口的花费[Quidway]link-aggregatione0/1toe0/4ingress|both;端口的聚合[Quidway]undolink-aggregatione0/1|all;始端口为通道号[SwitchA-vlanx]isolate-user-vlanenable;设置主vlan[SwitchA]isolate-user-vlansecondary;设置主vlan包括的子vlan[Quidway-Ethernet0/2]porthybridpvidvlan;设置vlan的pvid[Quidway-Ethernet0/2]porthybridpvid;删除vlan的pvid[Quidway-Ethernet0/2]porthybridvlanvlan_id_listuntagged;设置无标识的vlan 如果包的vlanid与PVId一致,则去掉vlan信息.默认PVID=1。
S5500系列交换机端口组的配置
S5500系列交换机端口组的配置一组网需求:将具有相同配置信息的端口加入到同一个端口组,用户只需输入一次配置命令,则该端口组内的所有端口都会配置该功能,以减少重复配置工作。
1.其中端口G1/0/1到G1/0/8以及G1/0/17到G1/0/24都属于vlan 2,设置广播风暴抑制比为5%,并且关闭端口MAC地址学习功能。
2.端口G1/0/9到G1/0/11属于同一个端口聚合组,设置为trunk端口,且permit vlan all。
二组网图:无三配置步骤:1 手工端口组的配置# 创建手工端口组[H3C]port-group manual 1[H3C-port-group-manual-1]group-member g1/0/1 to g1/0/8 g1/0/17 to g1/0/24 # 在端口组中进行配置[H3C-port-group-manual-1]port access vlan 2[H3C-port-group-manual-1]broadcast-suppression 5[H3C-port-group-manual-1]mac-address max-mac-count 02 动态端口组的配置# 配置聚合端口组[H3C]link-aggregation group 2 mode manual[H3C]int g1/0/9[H3C-GigabitEthernet1/0/9]port link-aggregation group 2[H3C-GigabitEthernet1/0/9]int g1/0/10[H3C-GigabitEthernet1/0/10]port link-aggregation group 2[H3C-GigabitEthernet1/0/10]int g1/0/11[H3C-GigabitEthernet1/0/11]port link-aggregation group 2# 在端口组中进行配置[H3C-GigabitEthernet1/0/11]port-group aggregation 2[H3C-port-group-aggregation-2]port link-type trunk[H3C-port-group-aggregation-2]port trunk permit vlan all四配置关键点:1.当系统重启后,所创建的手工端口组将全部丢失。
h3cs5500交换机端口镜像配置
h3cs5500交换机端口镜像配置本文只介绍两种最常见的端口镜像配置1、将一个本地端口镜像到另一个端口(主要用来抓包排查或监控)需求:将s5500的交换机1口镜像到2口,在2口用数据监控软件抓包进行上网行为分析统计。
对交换机的操作如下:1)登陆到交换机(这里只介绍用命令行操作)使用配置好的账号telnet 进入交换机控制台。
2)输入system-view 进入命令使能模式<S5500>system-viewSystem View: return to User View with Ctrl+Z.[S5500]3)创建本地镜像组,命名有1-4可选,这里选3,直接回车,没有报错就是创建成功。
有报错看命令输入是否正确。
[S5500]mirroring-group 3 local4)为镜像组加入端口,这里给出了命令选项,最后面:•#[S5500]mirroring-group 3 mirroring-port GigabitEthernet 1/0/1 ? # 输入“?”打开帮助,可以看到可选项•# GigabitEthernet GigabitEthernet interface #千兆以太网千兆以太网接口•# both Monitor the inbound and outbound packets #两者都监视入站和出站数据包•# inbound Monitor the inbound packets #入站监视入站数据包•# outbound Monitor the outbound packets #出站监视出站数据包•# to Range of interfaces #接口范围•[S5500]mirroring-group 3 mirroring-port GigabitEthernet 1/0/1 both•<cr> #这个是按tab出来的提示,意思是请直接回车。
[S5500]mirroring-group 3 mirroring-port GigabitEthernet 1/0/1 both回车没有报错,说明命令输入没有错误,端口1已经做为被镜像端口加入到镜像组3。
端口镜像如何配置(H3C部分) - 华为产品与技术
S3100系列交换机system-view[H3C] mirroring-group 1 local[H3C] mirroring-group 1 monitor-port Ethernet 1/0/4[H3C] mirroring-group 1 mirroring-port Ethernet 1/0/1 bothS3600系列交换机在端口视图下配置1:system-view[H3C] mirroring-group 1 local[H3C] interface gigabitEthernet 1/1/4[H3C-GigabitEthernet1/1/4] monitor-port[H3C-GigabitEthernet1/1/4] quit[H3C] interface gigabitEthernet 1/1/1[H3C-GigabitEthernet1/1/1] mirroring-port both在端口视图下配置2:创建端口镜像组system-view[H3C] mirroring-group 1 local[H3C] interface GigabitEthernet 1/1/4[H3C-GigabitEthernet1/1/4] mirroring-group 1 monitor-port[H3C-GigabitEthernet1/1/4] quit[H3C] interface GigabitEthernet 1/1/1[H3C-GigabitEthernet1/1/1] mirroring-group 1 mirroring-port both在系统视图下配置1、创建端口镜像组<H3C>system-view[H3C] mirroring-group 1 local2、配置镜像目的端口。
[H3C] mirroring-group 1 monitor-port GigabitEthernet 1/1/43、配置镜像源端口,同时指定被镜像报文的方向。
H3C交换机配置端口镜像
要求:将端口23的数据被端口10监控的到,也就是说23口是被镜像,端口10是镜像端口!配置步骤:1:登录到交换机(这里我们采用telnet 方式)2:输入密码3:显示现实系统信息<SWname> sys # SWname 为交换机名称下同password: 输入密码Enter system view, return to user view with Ctrl+Z.[SWname]monitor-port g0/10 #设置镜像端口即监控端口10 为交换机端口编号[SWname]mirroring-port g0/23 #设置被镜像端口即被监控端口23 为交换机端口编号,如果需要多个连续的端口的命令式mirroring-port g0/3 to mirroring-portg0/22 即为被监控端口为编号3-22口,可自行掌握,取消取出被监控端口的方法为undo mirroring-port g0/XXX[SWname]dis mir # 显示所有端口镜像信息Monitor-port:GigabitEthernet0/10Mirroring-port:GigabitEthernet0/23[SWname]q # 推出端口镜像设置[SWname]save # 将配置后的信息保存This will save the configuration in the EEPROM memoryAre you sure?[Y/N]y #提示确认是否要保存输入Y 或者是NNow saving current configuration to EEPROM memoryPlease wait for a while...Current configuration saved to EEPROM memory successfully #保存完毕以上部分注释:红色部分为用户输入,蓝色部分为注释,黑色为交换机显示内容.以上是标准命令及步骤!希望可以帮助到你!下面我粘贴我的实际操作过程,将除了1,2,9,10,23,24 之外的端口全部镜像到端口10上面![H3C_S5024P]syspassword:Enter system view, return to user view with Ctrl+Z.[H3C_S5024P]monitor-port g0/10Succeed! the monitor port has been specified to be Trunk port and the pvid changed.[H3C_S5024P]mirroring-port g0/3 to g0/8[H3C_S5024P]dis mirMonitor-port:GigabitEthernet0/10Mirroring-port:GigabitEthernet0/3 GigabitEthernet0/4 GigabitEthernet0/5GigabitEthernet0/6 GigabitEthernet0/7 GigabitEthernet0/8[H3C_S5024P]mirroring-port g0/11 to g0/22[H3C_S5024P]dis mirMonitor-port:GigabitEthernet0/10Mirroring-port:GigabitEthernet0/3 GigabitEthernet0/4 GigabitEthernet0/5GigabitEthernet0/6 GigabitEthernet0/7 GigabitEthernet0/8GigabitEthernet0/11 GigabitEthernet0/12 GigabitEthernet0/13 GigabitEthernet0/14 GigabitEthernet0/15 GigabitEthernet0/16 GigabitEthernet0/17 GigabitEthernet0/18 GigabitEthernet0/19 GigabitEthernet0/20 GigabitEthernet0/21 GigabitEthernet0/22[H3C_S5024P]q<H3C_S5024P>saveThis will save the configuration in the EEPROM memoryAre you sure?[Y/N]yNow saving current configuration to EEPROM memoryPlease wait for a while...Current configuration saved to EEPROM memory successfully。
华三 H3C S5500-28C-EI详细参数
二层环网协议
支持STP/RSTP/MSTP
支持RRPP
DHCP
DHCPClient
DHCPSnooping
DHCPRelay
DHCPServer
DHCPSnoopingoption82/DHCPRelayoption82
IRF2智能弹性架构
支持IRF2智能弹性架构
支持分布式设备管理,分布式链路聚合,分布式弹性路由
支持BPDUguard,Rootguard
支持uRPF单播反向路经检测),杜绝IP源地址欺骗,防范病毒和攻击
支持IP/Port/MAC的绑定功能
支持OSPF、RIPv2报文的明文及MD5密文认证
管理与维护
支持XModem/FTP/TFTP加载升级
支持命令行接口(CLI),Telent,Console口进行配置
支持报文的802.1p和DSCP优先级重新标记
安全特集中式MAC地址认证
支持GuestVLAN
支持RADIUS认证
支持SSH2.0
支持端口隔离
支持端口安全
支持PORTAL认证
支持EAD
可支持DHCPSnooping,防止欺骗的DHCP服务器
支持动态ARP检测,防止中间人攻击和ARP拒绝服务
支持DLDP(DeviceLinkDetectiongProtocol)单向链路协议
支持LLDP
支持Loopback-detection端口环回检测
输入电压
交流
额定电压范围:100V~240VAC,50/60Hz
最大电压范围:90V~264VAC,47/63Hz
直流
额定电压范围:10.8V~13.2VDC(RPS专用)
额定电压范围:-52V~-55VDC(RPS专用)
h3c5500系列-端口镜像操作
1-3
H3C S5500-SI 系列以太网交换机 操作手册 端口镜像
[Sysname] display mirroring-group 1 mirroring-group 1:
type: local status: active mirroring port:
GigabitEthernet1/0/1 both GigabitEthernet1/0/2 both monitor port: GigabitEthernet1/0/3
二者必选其一
两种视图下的配置效果相 同
说明:
z 本地镜像组需要配置源端口、目的端口才能生效。 z 建议用户不要在目的端口上使能 STP、RSTP 或 MSTP,否则会影响设备的正常
使用,反之亦然。 z 源端口和目的端口不能是现有镜像组的成员端口。 z 指定的镜像组必须预先创建,而且一个镜像组只能配置一个目的端口。
H3C S5500-SI 系列以太网交源自机 操作手册 端口镜像目录
目录
第 1 章 端口镜像配置 ..............................................................................................................1-1 1.1 端口镜像简介 ..................................................................................................................... 1-1 1.1.1 端口镜像简介........................................................................................................... 1-1 1.1.2 端口镜像的实现方式................................................................................................ 1-1 1.2 配置本地端口镜像 .............................................................................................................. 1-1 1.3 端口镜像显示 ..................................................................................................................... 1-2 1.4 端口镜像典型配置举例....................................................................................................... 1-3
h3c镜像模式配置
h3c镜 像 模 式 配 置
1.通过console进入后台:
2.清除h3c配置:
<h3c>reset savec>reboot
y
3,查看镜像组1 [h3c]dis mirroring-group 1 4.新建镜像组1 [h3c]mirroring-group 1 local 5.配置镜像端口,作为目的端口(流量复制到这个端口) [h3c]mirroring-group 1 monitor-port GigabitEthernet 1/0/23 代理设备 6.配置被镜像端口,作为客户端或者服务器的接收与发送口, [h3c]mirroring-group 1 mirroring-port GigabitEthernet 1/0/24 both :c/s 配置端口允许所有vlan id通过 进入要哪些端口允许vlan通过的接口 [h3c]int GigabitEthernet1/0/11 设置vlan trunk prot link-type trunk 设置该端口允许vlan 1到100通过 prot trunk permit vlan 1 to 100 创建valn 1 [h3c]vlan 1 [h3c]quit 创建vlan 2 [h3c]vlan 2 [h3c]quit 保存配置: <h3c>save saved-configuration
H3C5500的详细配置
di[Quidway]dis cur ;显示当前配置[Quidway]display current-configuration ;显示当前配置[Quidway]display interfaces ;显示接口信息[Quidway]display vlan all ;显示路由信息[Quidway]display version ;显示版本信息[Quidway]super password ;修改特权用户密码[Quidway]sysname ;交换机命名[Quidway]interface ethernet 0/1 ;进入接口视图[Quidway]interface vlan x ;进入接口视图[Quidway-Vlan-interfacex]ip address 10.65.1.1 255.255.0.0 ;配置VLAN的IP地址[Quidway]ip route-static 0.0.0.0 0.0.0.0 10.65.1.2 ;静态路由=网关[Quidway]rip ;三层交换支持[Quidway]local-user ftp[Quidway]user-interface vty 0 4 ;进入虚拟终端[S3026-ui-vty0-4]authentication-mode password ;设置口令模式[S3026-ui-vty0-4]set authentication-mode password simple 222 ;设置口令[S3026-ui-vty0-4]user privilege level 3 ;用户级别[Quidway]interface ethernet 0/1 ;进入端口模式[Quidway]int e0/1 ;进入端口模式[Quidway-Ethernet0/1]duplex {half|full|auto} ;配置端口工作状态[Quidway-Ethernet0/1]speed {10|100|auto} ;配置端口工作速率[Quidway-Ethernet0/1]flow-control ;配置端口流控[Quidway-Ethernet0/1]mdi {across|auto|normal} ;配置端口平接扭接[Quidway-Ethernet0/1]port link-type {trunk|access|hybrid} ;设置端口工作模式[Quidway-Ethernet0/1]port access vlan 3 ;当前端口加入到VLAN[Quidway-Ethernet0/2]port trunk permit vlan {ID|All} ;设trunk允许的VLAN [Quidway-Ethernet0/3]port trunk pvid vlan 3 ;设置trunk端口的PVID [Quidway-Ethernet0/1]undo shutdown ;激活端口[Quidway-Ethernet0/1]shutdown ;关闭端口[Quidway-Ethernet0/1]quit ;返回[Quidway]vlan 3 ;创建VLAN[Quidway-vlan3]port ethernet 0/1 ;在VLAN中增加端口[Quidway-vlan3]port e0/1 ;简写方式[Quidway-vlan3]port ethernet 0/1 to ethernet 0/4 ;在VLAN中增加端口[Quidway-vlan3]port e0/1 to e0/4 ;简写方式[Quidway]monitor-port <interface_type interface_num> ;指定镜像端口[Quidway]port mirror <interface_type interface_num> ;指定被镜像端口[Quidway]port mirror int_list observing-port int_type int_num ;指定镜像和被镜像[Quidway]description string ;指定VLAN描述字符[Quidway]description ;删除VLAN描述字符[Quidway]display vlan [vlan_id] ;查看VLAN设置[Quidway]stp {enable|disable} ;设置生成树,默认关闭[Quidway]stp priority 4096 ;设置交换机的优先级[Quidway]stp root {primary|secondary} ;设置为根或根的备份[Quidway-Ethernet0/1]stp cost 200 ;设置交换机端口的花费[Quidway]link-aggregation e0/1 to e0/4 ingress|both ; 端口的聚合[Quidway]undo link-aggregation e0/1|all ; 始端口为通道号[SwitchA-vlanx]isolate-user-vlan enable ;设置主vlan[SwitchA]isolate-user-vlan <x> secondary <list> ;设置主vlan包括的子vlan [Quidway-Ethernet0/2]port hybrid pvid vlan <id> ;设置vlan的pvid [Quidway-Ethernet0/2]port hybrid pvid ;删除vlan的pvid[Quidway-Ethernet0/2]port hybrid vlan vlan_id_list untagged ;设置无标识的vlan 如果包的vlan id与PVId一致,则去掉vlan信息. 默认PVID=1。
H3C-S5500端口镜像配置
mirroring-port-list { inbound | outbound |
二者必选其一
both }
用户可以在系统视
interface interface-type 图下同时配置多个
interface-number
源端口,也可以在具
[ mirroring-group
体的端口视图下配
group-id ] mirroring-port 置源端口,两种视图
1.5.2 远程端口镜像配置举例
1. 组网需求 某公司内部通过交换机实现各部门之间的互连,网络环境描述如下:
部门 1 通过端口 GigabitEthernet 1/0/1 接入 Switch A; 部门 2 通过端口 GigabitEthernet 1/0/2 接入 Switch A;
一个端口只能加入到一个镜像组;一个 VLAN 只能被一个镜像组 使用。
1.3.2 配置远程目的镜像组
远程目的镜像组需要配置远程镜像 VLAN 和目的端口。
表 1-3 配置远程目的镜像组
操作
命令
说明
进入系统视图
system-view
-
mirroring-group group-id 创建远程目的镜像组
1.4 端口镜像显示
在完成上述配置后,在任意视图下执行 display 命令可以显示配置后镜像组的运 行情况,通过查看显示信息验证配置的效果。
表 1-4 端口镜像显示
操作
命令
操作
命令
display mirroring-group { group-id | all 显示端口镜像组的配置
| local | remote-destination | 信息
H3C S5500配制命令
1:配制系统名Sysname + 名字2:进入接口interface GigabitEthernet1/0/23:配置接口IP地址作用:给接口一个网络上唯一的区分符Interface vlan 1Ip address 168.10.2.1 255.255.255.04:查看交换机信息显示版本------display version显示当前配置信息---------display current显示NVRAM的配置-------display saved-config显示接口信息---------display interface显示路由信息-------display ip routing-table显示启动引导文件------display boot-loader显示系统时间-------------------display clock修改系统时间-------------------clock datetime 10:20:25 月/日/年查看设备版本及运行时间-------------------display version查看vlan接口相关信息----------------------------display ip interface vlan-interface 20 5:VLAN配制创建VLAN---------vlan 10(1-4094)删除VLAN--------undo vlan 10(1-4094)在VLAN中增加端口------port Ethernet 1/0/1在VLAN中删除端口--------undo port Ethernet 1/0/1将端口加入VLAN----------port access vlan 10(1-4094)将端口脱离VLAN-----------undo port access vlan 10(1-4094)显示VLAN信息---------------display vlan 10(1-4094)6:Tunk配制定义端口属性为Trunk--------port link-type trunk删除端口Trunk属性-----------undo port link-type定义端口可以传输的VLAN--------port trunk permit vlan 10在VLAN中删除端口---------------undo port trunk permit vlan 107:Link Aggregation作用:将几条物理链路聚合在一起,当作一条逻辑链路来使用,分为静态聚合和动态聚合。
h3c 路由器端口镜像
端口镜像的方向分为三种:
(1) 入方向:仅对源端口接收的文进行镜像。(inbound)
(2) 出方向:仅对源端口发送的报文进行镜像。(outbound)
(3) 双向:对源端口接收和发送的报文都进行镜像。(both)
需要将G0/0/1口的全部流量镜像到G0/0/2口,即G0/0/1为源端口,G0/0/2为目的端口。
配置举例
<sysname>system-vies
[sysname] mirroring-group 1 local
[sysname] mirroring-group 1 mirroring-port G0/0/1 both (设置源端口,镜像可以根据实际情况灵活选择入方向、出方向及全部流量;both,全部流量;inbound,入方向流量;outbound,出方向流量)
[sysname] mirroring-group 1 mirroring-port G0/0/1 G0/0/1 both ( 源端口为多端口 )
[sysname] mirroring-group 1 monitor-port G0/0/2 (设置目的端口)
配置步骤
1、进入配置模式:system-view;
2、创建本地镜像组:mirroring-group 1 local
3、为镜像组配置源端口:mirroring-group 1 mirroring-port
4、为镜像组配置目的端口:mirroring-group 1 monitor-port
S5500简单Vlan配置
BRIDGE ,网桥,是一个网络设备或软件,用于两个或多个网络之间的互连,对帧进行转发。
与路由器的区别在于它工作于数据链路层。
进入系统视图<h3c>sys[h3c]退出系统视图[h3c]quit或Ctrl+Z<h3c>查看当前设置[h3c]或<h3c>dis cur创建Vlan,指定端口和IP地址:[h3c]Vlan3[h3c-vlan3] port GigabitEthernet 1/0/X[h3c-vlan3]quit[h3c]int vlan 3[H3C-Vlan-interface3]ip add X.X.X.X X.X.X.X为端口指定工作模式,并允许指定Vlan通过:恢复端口模式为缺省undo port link-mode[h3c]interface e1/0/1[h3c-Ethernet1/0/1]port link-type trunk[h3c-Ethernet1/0/1]port trunk permit vlan all作互访策略[H3C-]acl number 3000 创建策略名称[H3C-acl-adv-3000]rule deny ip source 192.168.0.00.0.255.255 destination 192.168.0.0 0.0.255.255禁止源ip地址192.168.0.00.0.255.255访问192.168.0.00.0.255.255。
此命令只对不同网段的ip进行访问,不会影响到同网段。
[H3C-acl-adv-3000]rule permit ip source 192.168.0.00.0.255.255 destination 172.168.0.0 0.0.255.255允许源IP地址192.168.0.00.0.255.255访问172.168.0.0 0.0.255.255应用到端口:应用到端口和Vlan的区别在于,通过策略端口下方的数据都受此策略影响,应用Vlan只针对Vlan网段生效[H3C-]int e 1/0/1[H3C-]packet-filter 3000 inbound应用到VLAN[H3C-]Inter vlan 2[H3C-]packet-filter 3000 inbounds5500交换机vlan配置Sys创建vlan和配置vlan地址[h3c]Vlan3[h3c-vlan3] port GigabitEthernet 1/0/X[h3c-vlan3]quit[h3c]int vlan 3[H3C-Vlan-interface3]ip add X.X.X.X X.X.X.X配置vlan间互通[h3c]interface GigabitEthernet 1/0/x[h3c- GigabitEthernet 1/0/X]port link-type access[h3c- GigabitEthernet 1/0/X]port access vlan 3这种交换机,不是家用的,没有reset这种恢复的方法.你需要找条console线,连接到超级终端,进入交换机, 然后.ctr+B,清除密码... 然后再重启, 然后再重新设置, 最好保存. 就行了.以下是华为S2000端口操作的常用命令:interface interface-name 进入以太网端口视图shutdown / undo shutdown 关闭或打开以太网端口description text / undo description 设置以太网端口描述/删除描述duplex { auto | full | half } 设置以太网端口状态undo duplex 恢复以太网端口的双工状态为缺省值speed { 10 | 100 | auto } 设置百兆以太网口速率speed { 10 | 100 | 1000 | auto }设置千兆网的速率undo speed 恢复以太网端口为缺省mdi { across | auto | normal } 设置以太网端口连接的网线类型,其中across为交叉线。
S5560-G设备多出口端口镜像配置操作变更
S5560-G设备多出口端口镜像配置操作变更目前设备运行版本号型号S5560-EI-G,软件版本version 7.1.070, Release 2612P01 镜像性能提升,操作命令有所变更。
存在问题,镜像配置不支持反射端口:mirroring-group 1 reflector-port gigabitethernet 1/0/5 正常反射端口配置如下:利用远程镜像VLAN实现本地镜像支持多个目的端口典型配置举例1. 组网需求三个部门A、B、C分别使用GigabitEthernet1/0/1~GigabitEthernet1/0/3端口接入DeviceA,现要求通过镜像功能,使三台数据检测设备ServerA、ServerB、ServerC都能够对三个部门发送和接收的报文进行镜像。
2. 组网图图1-5 利用远程镜像VLAN实现本地镜像支持多个目的端口组网图3. 配置步骤# 创建远程源镜像组1。
system-view[DeviceA] mirroring-group 1 remote-source# 将接入部门A、B、C的三个端口配置为远程源镜像组1的源端口。
[DeviceA] mirroring-group 1 mirroring-port gigabitethernet 1/0/1 to gigabitethernet 1/0/3 both# 将设备上任意未使用的端口(此处以GigabitEthernet1/0/5为例)配置为镜像组1的反射口。
[DeviceA] mirroring-group 1 reflector-port gigabitethernet 1/0/5# 创建VLAN10作为镜像组1的远程镜像VLAN,并将接入三台数据检测设备的端口加入VLAN10。
[DeviceA] vlan 10[DeviceA-vlan10] port gigabitethernet 1/0/11 togigabitethernet 1/0/13[DeviceA-vlan10] quit# 配置VLAN10作为镜像组1的远程镜像VLAN。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
GigabitEthernet1/0/1 both GigabitEthernet1/0/2 both monitor port: GigabitEthernet1/0/3 配置完成后,用户就可以在数据监测设备上监控研发部和市场部收发的所有报 文。
{ inbound | outbound | 下的配置效果相同
both }
quit
mirroring-group group-id
monitor-port
monitor-port-id
interface interface-type 二者必选其一
interface-number
两种视图下的配置
[ mirroring-group
quit
为 在系统视 mirroring-group
镜 图下配置 group-id monitor-egress
像 出端口 组
monitor-egress-port-id 二者必选其一
interface interface-type
配
interface-number
在端口视
两种视图下的配置
置
mirroring-group group-id
一个端口只能加入到一个镜像组;一个 VLAN 只能被一个镜像组 使用。
1.3.2 配置远程目的镜像组
远程目的镜像组需要配置远程镜像 VLAN 和目的端口。
表 1-3 配置远程目的镜像组
操作
命令
说明
进入系统视图
system-view
-
mirroring-group group-id 创建远程目的镜像组
中间设备:网络中处于源设备和目的设备之间的设备。本设备负责将镜像 报文传输给下一个中间设备或目的设备。如果源设备与目的设备直接相连,则不 存在中间设备。用户需要确保远程镜像 VLAN 内源设备到目的设备的二层互通性。
目的设备:远程镜像目的端口所在的设备,用户需要在目的设备上创建远 程目的镜像组。目的设备收到报文后,比较报文的 VLAN ID 和远程目的镜像组的 远程镜像 VLAN 是否相同,如果相同,则将该报文通过镜像目的端口转发给监控 设备。
操作
将目 的端 口加 入远 程镜 像 VLAN
命令
目的端口为 port access vlan
Access 端 rprobe-vlan-id
口
目的端口为 port trunk permit vlan
Trunk 端口 rprobe-vlan-id
目的端口为 port hybrid vlan
Hybrid 端 rprobe-vlan-id { tagged |
1.5.2 远程端口镜像配置举例
1. 组网需求 某公司内部通过交换机实现各部门之间的互连,网络环境描述如下:
部门 1 通过端口 GigabitEthernet 1/0/1 接入 Switch A; 部门 2 通过端口 GigabitEthernet 1/0/2 接入 Switch A;
第 1 章 端口镜像配置
1.1 端口镜像简介
端口镜像是将指定端口的报文复制一份到镜像目的端口,镜像目的端口会与数据 监测设备相连,用户利用这些数据监测设备来分析复制到目的端口的报文,进行 网络监控和故障排除。
图 1-1 端口镜像示意图
1.1.1 端口镜像的分类
端口镜像分为本地端口镜像和远程端口镜像两种镜像方式: 本地端口镜像是指将设备的一个或多个端口(源端口)的报文复制到本设
建议用户不要将源端口加入到远程镜像 VLAN,远程镜像 VLAN 不用做其他用途,仅用于远程镜像功能。
建议用户不要在出端口上配置下列功能:STP、RSTP、MSTP、 802.1x、IGMP Snooping、静态 ARP 和 MAC 地址学习功能,否则可 能会影响镜像功能的正常使用。
配置远程镜像 VLAN 时,要求该 VLAN 为静态 VLAN 并预先创建。 被配置成远程镜像 VLAN 后,该 VLAN 不能直接删除,必须先删除远 程镜像 VLAN 的配置才能够删除这个 VLAN。如果镜像组生效后,远 程镜像 VLAN 被取消,那么该镜像组将失效。
建议远程镜像目的端口不用做其他用途,仅用于端口镜像。
配置远程镜像 VLAN 时,要求该 VLAN 为静态 VLAN 并预先创建。 被配置成远程镜像 VLAN 后,该 VLAN 不能直接删除,必须先删除远 程镜像 VLAN 的配置才能够删除这个 VLAN。如果镜像组生效后,远 程镜像 VLAN 被取消,那么该镜像组将失效。
interface interface-type interface-number [ mirroring-group group-id ] monitor-port
二者必选其 一
两种视图下 的配置效果 相同
quit
interface interface-type
进入目的端口视图
-
interface-number
图下配置
效果相同
出 monitor-egress
出端口
端
quit 口
mirroring-group group-id
为镜像组配置远程
remote-probe vlan
必选
镜像 VLAN
rprobe-vlan-id
说明:
远程源镜像组的所有端口都属于同一台设备,一个远程源镜像 组只能配置一个出端口。
出端口不能为现有镜像组的成员端口。
在端口视 源
图下配置 端
源端口 口
为 在系统视 镜 图下配置 像 目的端口 组 配 置 在端口视 目 图下配置 的 目的端口 端 口
命令
说明
system-view
-
mirroring-group group-id 必选
local
mirroring-group group-id
mirroring-port
备的一个监视端口(目的端口),用于报文的监视和分析。其中,源端口和目的 端口必须在同一台设备上。
远程端口镜像突破了源端口和目的端口必须在同一台设备上的限制,使源 端口和目的端口间可以跨越多个网络设备。目前,远程端口镜像功能可以穿越二 层网络,但无法穿越三层网络。
1.1.2 端口镜像的实现方式
端口镜像通过镜像组的方式实现,镜像组可以分为本地镜像组、远程源镜像组和 远程目的镜像组。下面将分别介绍两类端口镜像的实现方式。 1. 本地端口镜像 本地端口镜像通过本地镜像组的方式实现。
remote-source }
1.5 端口镜像典型配置举例
1.5.1 本地端口镜像配置举例
1. 组网需求 某公司内部通过交换机实现各部门之间的互连,网络环境描述如下:
研发部通过端口 GigabitEthernet 1/0/1 接入 Switch C; 市场部通过端口 GigabitEthernet 1/0/2 接入 Switch C; 数据监测设备连接在 Switch C 的 GigabitEthernet 1/0/3 端口上。 网络管理员希望通过数据监测设备对研发部和市场部收发的报文进行监控。 使用本地端口镜像功能实现该需求,在 Switch C 上进行如下配置: 端口 GigabitEthernet 1/0/1 和 GigabitEthernet 1/0/2 为镜像源端口; 连接数据监测设备的端口 GigabitEthernet 1/0/3 为镜像目的端口。 2. 组网图
效果相同
group-id ] monitor-port
说明: 本地镜像组需要配置源端口、目的端口才能生效。 建议用户不要在目的端口上开启 STP、RSTP 或 MSTP,否则可能
会影响镜像功能的正常使用。 建议本地镜像目的端口不用做其他用途,仅用于端口镜像。 源端口和目的端口不能是现有镜像组的成员端口。 指定的镜像组必须预先创建,一个镜像组只能配置一个目的端
口。
1.3 配置远程端口镜像
配置远程端口镜像时,用户需要在两台设备上分别配置远程源镜像组和远程目的 镜像组。
1.3.1 配置远程源镜像组
远程源镜像组需要配置源端口、出端口以及远程镜像 VLAN。
表 1-2 配置远程源镜像组
操作
命令
说明
进入系统视图 system-view
-
mirroring-group group-id
图下同时配置多个
配
interface-number
源端口,也可以在具
置 在端口视 [ mirroring-group
体的端口视图下配
源 图下配置 group-id ] mirroring-port 置源端口,两种视图
端 源端口 { both | inbound |
下的配置效果相同
口
outbound }
remote-destination
必选
mirroring-group group-id 为镜像组配置远程镜
remote-probe vlan 像 VLAN
rprobe-vlan-id
必选
为镜 像组 配置 目的 端口
在系统视图 下配置目的 端口
在端口视图 下配置目的 端口
mirroring-group group-id monitor-port monitor-port-id
创建远程源镜像组
必选
remote-source
mirroring-group group-id
在系统视
为
mirroring-port
图下配置
二者必选其一
镜
mirroring-port-list { both
源端口
像
| inbound | outbound }
用户可以在系统视