華爲67:
只支持二層鏡像,鏡像流量不能進入vlan接口;
不支持三層鏡像。
(二層鏡像配置)
observe-port 1 interface Eth-Trunk0 vlan 2222
#
方式一:
vlan 1045
mirroring to observe-port 1 inbound
方式二:
int eth-trunk 2
port-mirroring to observe-port 1 inbound
以上兩種方式,都只增加Eth-Trunk0物理口的流量,vlan 2222流量不變。
華爲9306:
二層鏡像,鏡像流量不能進入vlan接口;
三層鏡像,鏡像流量可以進入vlan接口。
(二層鏡像配置)
observe-port 1 interface Eth-Trunk0 vlan 2222
#
acl 3666
rule 5 permit ip
#
traffic classifier AA
if-match acl 3666
#
traffic behavior AA
mirroring to observe-port 1
#
traffic policy AA
classifier AA behavior AA
#
vlan 2075
traffic-policy AA inbound
vlan下用策略路由鏡像。
對端設備的物理口劃到vlan 2222下,可以看到流量;
但是對端設備起的int vlan 2222是看不到流量。
(三層鏡像配置)
observe-port 1 interface Eth-Trunk0 destination-ip 10.18.26.1 source-ip 10.18.26.2 vlan 2222
#
acl 3666
rule 10 permit ip
#
traffic classifier aiqiyibao
if-match acl 3666
#
traffic behavior aiqiyibao
mirroring to observe-port 1
#
traffic policy aiqiyibao
classifier aiqiyibao behavior aiqiyibao
#
vlan 2075
traffic-policy aiqiyibao inbound
vlan下用策略路由鏡像。
本設備、對端設備的物理口和vlan 2222口都可以看到流量。
遠程鏡像包括遠程端口鏡像和遠程流鏡像。
如果監控主機和觀察接口所在設備之間通過二層網絡或三層網絡相聯,可使用該命令配置觀察接口。
遠程觀察接口分爲IP方式和VLAN方式兩種:
IP方式
使用命令observe-port [ observe-port-index ] interface interface-type interface-number destination-ip dest-ip-address source-ip source-ip-address [ dscp dscp-value | vlan vlan-id ]*,適用於監控主機和觀察接口所在設備之間通過三層網絡相聯的情況。
VLAN方式
使用命令observe-port [ observe-port-index ] interface interface-type interface-number vlan vlan-id,適用於監控主機和觀察接口所在設備之間通過二層網絡相聯的情況。