某客户机房上架入侵检测设备,需将核心交换机流量镜像分析,但已有网监设备占用观察口,H3C交换机不支持多观察口配置。经研究,可使用远程镜像VLAN实现本地镜像支持多个目的端口,并给出了具体配置步骤。
前言:某客户机房上架一台入侵检测设备,需要将核心交换机上的流量全部做镜像过来做分析。但是客户机房有网监设备,已经再核心交换机上做了流量镜像并配置好了观察口,且该接口已经被网监设备所使用。经测试,H3C交换机无法为一组流量镜像配置多个观察口,故无法正常部署设备。H3C交换机不支持配置多个流量镜像观察口,但是该场景入侵检测设备只能旁挂部署。如果要实现流量镜像需要接多个设备分析,最简单的方法就是加一台TAP交换机,但是TAP交换机价值不菲,我要是提出这个方案估计会被销售砍死。经过查询资料,发现可以使用远程镜像VLAN实现本地镜像支持多个目的端口。
网络拓扑:
懒得画图了,就是一台交换机接了一堆设备,需要流量分析的设备也都接在该交换机上。
具体配置如下:
#创建远程镜像组1
[H3C] mirroring-group 1 remote-source
#将需要镜像的端口接入镜像组(这里将1-20口都加入镜像组)
[H3C] mirroring-group 1 mirroring-port g1/0/1 to g1/0/20
#将设备上未使用的端口配置为镜像组1的反射口(这里用了23口)
[H3C] mirroring-group 1 reflector-port g1/0/23
This operation may delete all settings made on the interface. Continue? [Y/N]:y
#创建vlan10,并将其作为镜像组1的远程镜像vlan
[H3C]vlan 10
[H3C-vlan10]qu
[H3C]mirroring-group 1 remote-probe vlan 10
#配置VLAN10作为镜像组1的远程镜像VLAN。
[H3C]mirroring-group 1 remote-probe vlan 10
配置完成后,配置的反射口(这里是23口)会长亮,需要做流量分析的设备接到vlan10的接口上即可。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
