- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
15-Host-monitor配置
本章节下载: 15-Host-monitor配置 (152.17 KB)
目 录
l 本文中的“SPC单板”指的是单板丝印以“SPC”开头(如SPC-GT48L)的接口板。
l 丝印为SPE-1010-II、SPE-1010-E-II、SPE-1020-II、SPE-1020-E-II的单板和SPC单板支持Host-monitor功能。
Host-monitor(用户监控)是一种网络流量监控技术,用来监控和统计网络中用户的流量,并在此基础上将流量区分为合法流量和非法流量,为进一步进行用户上网管理提供了基础,同时通过监控网络中的非法流量,可以及时、快速地了解非法流量的来源。
流是符合某类特征的报文集合。Host-monitor根据IPv4报文的源IP地址、目的IP地址、协议号、所属VPN实例、报文方向、报文流经的接口划分流。这些特征均相同的报文属于同一条流。
记录了合法数据流的关键信息以及统计信息的表项,称为固化表项。固化表项可以是流量触发生成,也可以由用户通过命令行手工添加。固化表用来保存固化表项。
固化表有两种状态:未固化状态和固化状态。在系统固化前,只有固化表,此时固化表处于未固化状态,新的数据流会触发创建新的固化表项;系统固化后,固化表处于固化状态,新的数据流将不能触发固化表项的生成。
记录了非法数据流的关键信息以及统计信息的表项,称为非法表项。非法表项由流量触发生成。非法表用来保存非法表项。非法表不影响报文的转发,网络管理员通过分析非法表决定下一步的处理。
在系统固化前,没有非法表项;系统固化后,新的不匹配固化表项的数据流会触发非法表项的生成。
Host-monitor的工作机制为:
(1) 开启Host-monitor功能,设备对所有流量进行流量信息的提取,并形成固化表项保存在设备上。
(2) 将系统固化。在正常情况下,设备运行一段时间后,系统的流量信息是稳定的,可以根据已经生成的固化表项来判断流量是否合法。将系统固化后,数据流进入设备时,需在这个固化表中查找是否有这条流,如果有,视为合法流量,更新固化表项中对应表项的统计信息;如果没有,则视为非法流量,非法流量触发生成非法表项。
(3) 维护固化表及清除非法表。系统固化过程完全基于设备上的流量信息,不能排除设备收集到的流量信息不全或其中有个别是存在问题的,用户能够手工添加或删除某条固化表项来保证固化表的完整、正确。另外用户还可以手工清除所有的非法表项。
系统在固化之前,没有非法表,所有的数据流都被认为是合法的。
Host-monitor的流量信息来源于NetStream,因此在配置Host-monitor功能之前,必须先开启Netstream功能。有关NetStream的详细介绍,请参见“网络管理和监控”中的“NetStream”。
表1-1 Host-monitor配置任务简介
|
配置任务 |
说明 |
详细配置 |
|
开启全局Host-monitor功能 |
必选 |
|
|
系统固化 |
可选 |
|
|
添加固化表项 |
可选 |
|
|
删除固化表项 |
可选 |
|
|
清除所有固化表项 |
可选 |
|
|
清除所有非法表项 |
可选 |
在获取用户流量信息后,如果网络管理员同时还想将用户流量区分为合法流量和非法流量,了解非法流量的来源,需要配置Host-monitor功能。
表1-2 开启全局Host-monitor功能
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
开启全局的Host-monitor功能 |
host-monitor { inbound | outbound } |
必选 缺省情况下,Host-monitor功能处于关闭状态 |
表1-3 系统固化
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
系统固化 |
host-monitor fixup [ slot slot-number ] |
必选 缺省情况下,系统处于未固化状态 |
表1-4 添加固化表项
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
添加固化表项 |
host-monitor add source source-ip destination destination-ip protocol protocol interface interface-type interface-number { inbound | outbound } [ vpn-instance vpn-instance-name ] [ slot slot-number ] |
必选 |
表1-5 删除固化表项
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
删除固化表项 |
host-monitor delete source source-ip destination destination-ip protocol protocol interface interface-type interface-number { inbound | outbound } [ vpn-instance vpn-instance-name ] [ slot slot-number ] |
必选 |
系统固化前,在用户视图下执行reset host-monitor entry命令可以清除所有固化表项。
表1-6 清除固化表项
|
操作 |
命令 |
说明 |
|
清除所有固化表项 |
reset host-monitor entry [ slot slot-number [ source-slot source-slot-number ] ] |
必选 |
系统固化后,在用户视图下执行reset host-monitor entry invalid命令可以清除所有非法表项。
表1-7 清除非法表项
|
操作 |
命令 |
说明 |
|
清除所有非法表项 |
reset host-monitor entry invalid [ slot slot-number [ source-slot source-slot-number ] ] |
必选 |
在完成上述配置后,在任意视图下执行display命令可以显示配置Host-monitor后的运行情况,通过查看显示信息验证配置的效果。
在用户视图下执行reset命令可以清除Host-monitor固化表项的统计信息。
表1-8 Host-monitor显示和维护
|
操作 |
命令 |
|
显示Host-monitor的流表项信息 |
display host-monitor [ invalid ] [ verbose ] [ slot slot-number ] [ | { begin | exclude | include } regular-expression ] |
|
清除固化表项的统计信息 |
reset host-monitor statistics [ slot slot-number ] |
如图1-1所示,Router A需要监控接口GigabitEthernet2/1/1入方向的所有流量,同时将该接口上的流量区分为合法流量和非法流量,因此需要启动Host-monitor功能:在GigabitEthernet2/1/1上配置Host-monitor入统计。
Router A上4号槽位安装的单板为SPC单板或丝印为SPE-1010-II、SPE-1010-E-II、SPE-1020-II、SPE-1020-E-II的单板。
图1-1 Host-monitor配置组网图
# 配置接口GigabitEthernet2/1/1的IP地址。
<RouterA> system-view
[RouterA] interface GigabitEthernet2/1/1
[RouterA-GigabitEthernet2/1/1] ip address 21.1.1.0 255.255.255.0
[RouterA-GigabitEthernet2/1/1] quit
# 配置QoS策略,统计进入接口GigabitEthernet2/1/1的所有流量。
[RouterA] acl number 2000
[RouterA-acl-basic-2000] rule 1 permit source any
[RouterA-acl-basic-2000] quit
[RouterA] traffic classifier host-monitor
[RouterA-classifier-host-monitor] if-match acl 2000
[RouterA-classifier-host-monitor] quit
[RouterA] traffic behavior host-monitor
[RouterA-behavior-host-monitor] mirror-to interface Net-Stream 4/0/1
[RouterA-behavior-host-monitor] quit
[RouterA] qos policy host-monitor
[RouterA-qospolicy-host-monitor] classifier host-monitor behavior host-monitor
[RouterA-qospolicy-host-monitor] quit
[Router] interface GigabitEthernet 2/1/1
[Router-GigabitEthernet2/1/1] qos apply policy host-monitor inbound
# 开启NetStream统计功能。
[RouterA] ip netstream
# 开启全局入方向的Host-monitor功能。
[RouterA] host-monitor inbound
# 查看2号接口板上生成的表项。
[RouterA] display host-monitor slot 2
Total 10 flow(s) on slot 2.
State: Unfixed
Source Destination Protocol Direction Interface VPN
-------------------------------------------------------------------------------
21.1.1.2 22.1.1.2 253 Inbound GE2/1/1
21.1.1.3 22.1.1.2 253 Inbound GE2/1/1
21.1.1.4 22.1.1.2 253 Inbound GE2/1/1
21.1.1.5 22.1.1.2 253 Inbound GE2/1/1
21.1.1.6 22.1.1.2 253 Inbound GE2/1/1
21.1.1.7 22.1.1.2 253 Inbound GE2/1/1
21.1.1.8 22.1.1.2 253 Inbound GE2/1/1
21.1.1.9 22.1.1.2 253 Inbound GE2/1/1
21.1.1.10 22.1.1.2 253 Inbound GE2/1/1
21.1.1.11 22.1.1.2 253 Inbound GE2/1/1
# 待网络内的流量稳定后,将系统由未固化状态转为固化状态。
[RouterA] host-monitor fixup
[RouterA] display host-monitor slot 2
Total 10 flow(s) on slot 2.
State: Fixed
Source Destination Protocol Direction Interface VPN
-------------------------------------------------------------------------------
21.1.1.2 22.1.1.2 253 Inbound GE2/1/1
21.1.1.3 22.1.1.2 253 Inbound GE2/1/1
21.1.1.4 22.1.1.2 253 Inbound GE2/1/1
21.1.1.5 22.1.1.2 253 Inbound GE2/1/1
21.1.1.6 22.1.1.2 253 Inbound GE2/1/1
21.1.1.7 22.1.1.2 253 Inbound GE2/1/1
21.1.1.8 22.1.1.2 253 Inbound GE2/1/1
21.1.1.9 22.1.1.2 253 Inbound GE2/1/1
21.1.1.10 22.1.1.2 253 Inbound GE2/1/1
21.1.1.11 22.1.1.2 253 Inbound GE2/1/1
# 系统固化后,有新的合法数据流或者无效的数据流,这时需要在固化表中通过命令行添加或者删除固化表项。
[RouterA] host-monitor add source 22.1.1.1 destination 21.1.1.1 protocol 255 interfa
ce GigabitEthernet2/1/1 inbound
[RouterA] host-monitor delete source 21.1.1.10 destination 22.1.1.2 protocol 253 int
erface GigabitEthernet2/1/1 inbound
[RouterA] display host-monitor slot 2
Total 10 flow(s) on slot 2.
State: Fixed
Source Destination Protocol Direction Interface VPN
-------------------------------------------------------------------------------
22.1.1.1 21.1.1.1 255 Inbound GE2/1/1
21.1.1.2 22.1.1.2 253 Inbound GE2/1/1
21.1.1.3 22.1.1.2 253 Inbound GE2/1/1
21.1.1.4 22.1.1.2 253 Inbound GE2/1/1
21.1.1.5 22.1.1.2 253 Inbound GE2/1/1
21.1.1.6 22.1.1.2 253 Inbound GE2/1/1
21.1.1.7 22.1.1.2 253 Inbound GE2/1/1
21.1.1.8 22.1.1.2 253 Inbound GE2/1/1
21.1.1.9 22.1.1.2 253 Inbound GE2/1/1
21.1.1.11 22.1.1.2 253 Inbound GE2/1/1
# 查看2号接口板上的非法流量。
[RouterA] display host-monitor invalid slot 2
Total 10 flow(s) on slot 2.
Source Destination Protocol Direction Interface VPN
-------------------------------------------------------------------------------
21.1.1.20 22.1.1.2 253 Inbound GE2/1/1
21.1.1.21 22.1.1.2 253 Inbound GE2/1/1
21.1.1.22 22.1.1.2 253 Inbound GE2/1/1
21.1.1.23 22.1.1.2 253 Inbound GE2/1/1
21.1.1.24 22.1.1.2 253 Inbound GE2/1/1
21.1.1.25 22.1.1.2 253 Inbound GE2/1/1
21.1.1.26 22.1.1.2 253 Inbound GE2/1/1
21.1.1.27 22.1.1.2 253 Inbound GE2/1/1
21.1.1.28 22.1.1.2 253 Inbound GE2/1/1
21.1.1.29 22.1.1.2 253 Inbound GE2/1/1
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
