- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
04-TAP配置
本章节下载: 04-TAP配置 (504.88 KB)
目 录
数据中心网络日益庞大,对网络的安全和性能要求也越来越高,如何深入网络内部提取与监控流量,成为了亟待解决的问题。TAP技术应运而生。
TAP(Test Access Point)也叫分路器,它能够在不中断网络正常流量的情况下,实时获取网络流量,并进行高速复制与转发。TAP将收到的流量进行汇总,复制成多份后同时发送给多台监控设备,以便监控设备进行用户上网行为分析、异常流量监测和网络应用监控等。
TAP功能通过QoS策略实现,我们将TAP类型的QoS策略简称为TAP策略。TAP策略中通过配置流分类规则对报文进行标记,配置流行为动作对被标记报文进行编辑和重定向到监控组。其中,监控组中可以配置多个成员接口,报文被复制成多份,由多个成员接口发出。
TAP策略支持的报文编辑动作包括:
· 重新标记报文的IP或MAC地址
· 添加、删除或重新标记报文的VLAN Tag
· 报文截断
· 新增时间戳及以太网头
· 删除Tunnel报文头
报文进入TAP设备后的处理流程如图1-1所示:
图1-1 TAP处理流程
TAP设备可以直路部署和旁路部署在网络中:
· 直路部署:TAP设备串联在用户网络中,可以在不影响用户流量正常收发的前提下,对用户流量直接进行复制,并将复制后的流量发送给监控设备,供其进行流量分析与监测。此模式下,TAP仅可以配置重定向到监控组动作,不可以配置报文编辑动作。
· 旁路部署:TAP设备旁挂在用户网络上,由用户网络设备负责将待处理流量送至TAP设备,TAP设备将收到的流量发送给监控设备,供其进行流量分析与监测。此模式下,TAP可以按需配置报文编辑动作。
图1-2 部署模式示意图
在TAP策略中,流行为中必须配置重定向到监控组动作,其他报文编辑动作可以根据需求配置。当同一个流行为中配置了多个动作时,命中规则的报文会被执行所有的报文编辑动作,然后执行重定向到监控组动作。
开启全局TAP模式后,收到的未知三层报文无法转发,收到的已知三层报文可以正常转发。
应用TAP策略之前,需要先取消该设备上IRF端口与物理端口的绑定关系,否则TAP策略将下发失败。关于IRF端口的详细介绍,请参见“虚拟化技术”中的“IRF配置”。
TAP策略通过QoS策略实现,部分QoS命令的详细介绍请参见“ACL和QoS命令参考”中的“QoS”。
TAP配置任务如下:
(1) 开启全局TAP模式
(2) 定义类
(3) 定义流行为
¡ M:N复制
¡ 报文截断
(4) 定义TAP策略
(5) 接口入方向上应用TAP策略
配置重定向到监控组时,请先定义监控组。有关监控组的详细介绍,请参见“网络管理和监控配置指导”中的“镜像”。
当设备连接在生产网络和监控设备之间仅作为TAP使用时,请开启全局TAP模式。开启全局TAP模式后,设备将会关闭二层报文转发功能,防止环路和广播风暴的产生。
(1) 进入系统视图。
system-view
(2) 开启全局TAP模式。
tap enable
缺省情况下,全局TAP模式处于关闭状态。
(1) 进入系统视图。
system-view
(2) 创建一个类,并进入类视图。
traffic classifier classifier-name [ operator { and | or } ]
(3) 定义匹配数据包的规则。
if-match match-criteria
缺省情况下,未定义匹配数据包的规则。
if-match命令的介绍,请参见“ACL和QoS命令参考”中的“QoS”。
在某些网络场景中,需要将M个接口流入设备的报文转发给N个监控设备。此时,需要配置TAP的M:N复制功能。
图1-3 M:N复制组网模型
通过创建M个TAP类型QoS策略,且每个策略的流行为中均配置重定向到同一个监控组,监控组中配置N个成员接口作为流量出接口,然后将M个策略分别应用到M个接口上,最终实现将M个入接口接收的报文复制给N个出接口。
(1) 进入系统视图。
system-view
(2) 创建一个流行为,并进入流行为视图。
traffic behavior behavior-name
(3) 配置重定向到监控组动作。
redirect monitoring-group group-id
缺省情况下,未配置重定向到监控组动作。
在某些网络场景中,监控设备需要对报文流入设备的具体接口进行区分。此时可通过配置TAP的重新标记报文的VLAN Tag功能实现此目的。设备对不同接口收到的报文标记不同的VLAN Tag后,发送给监控设备,监控设备可以通过VLAN Tag识别报文的入接口。
图1-4 重新标记报文的VLAN Tag组网模型
(1) 进入系统视图。
system-view
(2) 创建一个流行为,并进入流行为视图。
traffic behavior behavior-name
(3) 配置重新标记报文的VLAN Tag动作。请至少选择其中一项进行配置。
¡ 重新标记报文的CVLAN。
remark customer-vlan-id vlan-id
缺省情况下,未配置重新标记报文的CVLAN。
¡ 重新标记报文的SVLAN。
remark service-vlan-id vlan-id
缺省情况下,未配置重新标记报文的SVLAN。
(4) 配置重定向到监控组动作。
redirect monitoring-group group-id
缺省情况下,未配置重定向到监控组动作。
在某些网络场景中,监控设备需要接收不携带VLAN Tag或携带单层VLAN Tag的报文。此时,需要配置TAP的删除报文的外层VLAN Tag功能。
图1-5 删除报文的外层VLAN Tag组网模型
(1) 进入系统视图。
system-view
(2) 创建一个流行为,并进入流行为视图。
traffic behavior behavior-name
(3) 配置删除报文的外层VLAN Tag动作。
strip-header top-most-vlan
缺省情况下,未配置删除报文的外层VLAN Tag动作。
(4) 配置重定向到监控组动作。
redirect monitoring-group group-id
缺省情况下,未配置重定向到监控组动作。
在某些网络场景中,设备不同接口接收到的报文可能携带各自的CVLAN,监控设备需要接收携带统一SVLAN的报文。此时,需要配置TAP的添加报文的外层VLAN Tag功能。
图1-6 添加报文的外层VLAN Tag组网模型
(1) 进入系统视图。
system-view
(2) 创建一个流行为,并进入流行为视图。
traffic behavior behavior-name
(3) 配置添加报文的外层VLAN Tag动作。
nest top-most vlan vlan-id [ dot1p 802.1p ]
缺省情况下,未配置添加报文的外层VLAN Tag动作。
(4) 配置重定向到监控组动作。
redirect monitoring-group group-id
缺省情况下,未配置重定向到监控组动作。
在某些网络场景中,监控设备需要接收目的地址为自己的报文,或根据源地址信息识别流量入接口。此时,通过配置TAP的重新标记报文的IP/MAC地址功能,可以对报文的源、目的IP地址及源、目的MAC地址进行修改,进而实现需求。
图1-7 重新标记报文的IP/MAC地址组网模型
(1) 进入系统视图。
system-view
(2) 创建一个流行为,并进入流行为视图。
traffic behavior behavior-name
(3) 配置重新标记报文的IP/MAC地址动作。请至少选择其中一项进行配置。
¡ 重新标记报文的目的IPv4地址。
remark destination-ip ipv4-address
缺省情况下,未配置重新标记报文的目的IPv4地址动作。
¡ 重新标记报文的源IPv4地址。
remark source-ip ipv4-address
缺省情况下,未配置重新标记报文的源IPv4地址动作。
¡ 重新标记报文的目的IPv6地址。
remark destination-ipv6 ipv6-address
缺省情况下,未配置重新标记报文的目的IPv6地址动作。
¡ 重新标记报文的源IPv6地址。
remark source-ipv6 ipv6-address
缺省情况下,未配置重新标记报文的源IPv6地址动作。
¡ 重新标记报文的目的MAC地址。
remark destination-mac mac-address
缺省情况下,未配置重新标记报文的目的MAC地址动作。
¡ 重新标记报文的源MAC地址。
remark source-mac mac-address
缺省情况下,未配置重新标记报文的源MAC地址动作。
(4) 配置重定向到监控组动作。
redirect monitoring-group group-id
缺省情况下,未配置重定向到监控组动作。
在传统的TAP应用中,主要针对网络出口设备的流量进行采集与监控,但随着网络规模的不断壮大及越来越高的性能要求,对网络内部多个节点的流量进行深入监控势在必行。此时,可以通过配置TAP的添加时间戳及以太网头功能,实现对网络内部多个节点流量的时延进行监控的目的。
开启TAP功能的设备的不同接口分别连接不同的网络设备,对接口收到的报文新增时间戳及以太网头,并使用用户自定义的以太网协议号,再通过重定向到监控组动作转发给监控设备。如图1-8所示,Server可以通过ETH Header中的以太网协议号识别此类报文,分析报文携带的时间戳T1、T2和T3,计算出网络时延。
(1) 进入系统视图。
system-view
(2) 创建一个流行为,并进入流行为视图。
traffic behavior behavior-name
(3) 配置新增时间戳及以太网头动作。
timestamp-over-ether destination-mac mac-address source-mac mac-address ethtype-id ethtype-id
缺省情况下,未配置新增时间戳及以太网头动作。
(4) 配置重定向到监控组动作。
redirect monitoring-group group-id
缺省情况下,未配置重定向到监控组动作。
在某些网络场景中,为减轻监控设备处理报文的压力,或避免将报文中的净载荷信息发送到监控设备。此时,需要开启TAP的报文截断功能。
开启本功能后,设备将对报文执行截断动作。从二层头开始对报文进行截断,截断后的报文将重新计算CRC,截断长度为截断后的报文与CRC的总和。
图1-9 报文截断组网模型
(1) 进入系统视图。
system-view
(2) 创建一个流行为,并进入流行为视图。
traffic behavior behavior-name
(3) 开启报文截断功能。
truncation enable
缺省情况下,报文截断功能处于关闭状态。
(4) 配置重定向到监控组动作。
redirect monitoring-group group-id
缺省情况下,未配置重定向到监控组动作。
(5) 退回系统视图。
quit
(6) 配置报文截断长度。
qos truncation length length
缺省情况下,报文截断长度为128字节。
在某些网络场景中,监控设备无法解析携带GRE/NVGRE/VXLAN头的报文。此时,需要配置TAP的删除Tunnel报文头功能。
通过strip-header命令,删除Tunnel报文头到指定的位置。
图1-10 删除GRE报文头示意图
图1-11 删除NVGRE报文头示意图
图1-12 删除VXLAN报文头示意图
图1-13 删除Tunnel报文头组网模型
(1) 进入系统视图。
system-view
(2) 创建一个流行为,并进入流行为视图。
traffic behavior behavior-name
(3) 配置删除Tunnel报文头动作。
¡ 自定义删除Tunnel报文头
strip-header position { l2 | l3 | l4 } [ offset offset-value ]
¡ 删除GRE报文头
strip-header gre header-length header-length encap-eth-header destination-mac mac-address source-mac mac-address [ vlan vlan-id [ dot1p dot1p-value ] ] ethtype-id ethtype-id
¡ 删除NVGRE报文头
strip-header nvgre
¡ 删除VXLAN报文头
strip-header vxlan
缺省情况下,未配置删除Tunnel报文头动作。
(4) 配置重定向到监控组动作。
redirect monitoring-group group-id
缺省情况下,未配置重定向到监控组动作。
(1) 进入系统视图。
system-view
(2) 创建一个TAP策略,并进入TAP策略视图。
qos tap policy policy-name
(3) 在TAP策略中为类指定采用的流行为。
classifier classifier-name behavior behavior-name
缺省情况下,未指定类对应的流行为。
暂不支持在三层以太网接口/三层聚合接口/三层以太网子接口/三层聚合子接口上应用TAP策略。
(1) 进入接口视图。
interface interface-type interface-number
(2) 在接口入方向上应用已创建的TAP策略。
qos apply tap policy policy-name inbound [ inner-match ]
缺省情况下,未在接口入方向上应用TAP策略。
在任意视图下执行display命令可以显示TAP策略的运行情况,通过查看显示信息验证配置的效果。
表1-1 TAP显示和维护
|
操作 |
命令 |
|
显示类的配置信息 |
display traffic classifier user-defined [ classifier-name ] [ slot slot-number ] (有关本命令的详细介绍,请参见“ACL和QoS命令参考”中的“QoS”) |
|
显示流行为的配置信息 |
display traffic behavior user-defined [ behavior-name ] [ slot slot-number ] (有关本命令的详细介绍,请参见“ACL和QoS命令参考”中的“QoS”) |
|
显示监控组的配置信息 |
display monitoring-group { group-id | all } (有关本命令的详细介绍,请参见“网络管理和监控命令参考”中的“镜像”) |
|
显示TAP策略的配置信息 |
display qos policy user-defined tap [ policy-name [ classifier classifier-name ] ] [ slot slot-number ] |
|
显示接口上TAP策略的配置信息和运行情况 |
display qos tap policy interface [ interface-type interface-number [ inbound ] [ slot slot-number ] |
Device D为TAP设备,现需要将接口Ten-GigabitEthernet1/0/1、Ten-GigabitEthernet1/0/2和Ten-GigabitEthernet1/0/3接收的所有报文均复制成两份,分别通过接口Ten-GigabitEthernet1/0/4和Ten-GigabitEthernet1/0/5发送给Server A和Server B。
图1-14 M:N复制组网图
(1) 开启TAP全局模式
<DeviceD> system-view
[DeviceD] tap enable
(2) 定义监控组
# 创建监控组1,并配置监控组的成员接口为Ten-GigabitEthernet1/0/4和Ten-GigabitEthernet1/0/5。
[DeviceD] monitoring-group 1
[DeviceD-monitoring-group-1] monitoring-port ten-gigabitethernet 1/0/4 to ten-gigabitethernet 1/0/5
[DeviceD-monitoring-group-1] quit
(3) 定义类
# 定义类classifier_tap,匹配所有数据包。
[DeviceD] traffic classifier classifier_tap
[DeviceD-classifier-classifier_tap] if-match any
[DeviceD-classifier-classifier_tap] quit
(4) 定义流行为
# 定义流行为behavior_tap,动作为重定向到监控组1。
[DeviceD] traffic behavior behavior_tap
[DeviceD-behavior-behavior_tap] redirect monitoring-group 1
[DeviceD-behavior-behavior_tap] quit
(5) 定义策略
# 定义TAP类型策略policy_tap,并为类指定流行为。
[DeviceD] qos tap policy policy_tap
[DeviceD-qospolicy-policy_tap] classifier classifier_tap behavior behavior_tap
[DeviceD-qospolicy-policy_tap] quit
(6) 应用策略
# 将TAP类型策略policy_tap应用到接口Ten-GigabitEthernet1/0/1的入方向上。
[DeviceD] interface ten-gigabitethernet 1/0/1
[DeviceD-Ten-GigabitEthernet1/0/1] qos apply tap policy policy_tap inbound
[DeviceD-Ten-GigabitEthernet1/0/1] quit
# 将TAP类型策略policy_tap应用到接口Ten-GigabitEthernet1/0/2的入方向上。
[DeviceD] interface ten-gigabitethernet 1/0/2
[DeviceD-Ten-GigabitEthernet1/0/2] qos apply tap policy policy_tap inbound
[DeviceD-Ten-GigabitEthernet1/0/2] quit
# 将TAP类型策略policy_tap应用到接口Ten-GigabitEthernet1/0/3的入方向上。
[DeviceD] interface ten-gigabitethernet 1/0/3
[DeviceD-Ten-GigabitEthernet1/0/3] qos apply tap policy policy_tap inbound
[DeviceD-Ten-GigabitEthernet1/0/3] quit
Device B为TAP设备,网络环境如下:
· Device A发往Device C的流量通过Ten-GigabitEthernet1/0/1进入Device B,并通过Ten-GigabitEthernet1/0/2发往Device C;
· Device C发往Device A的流量通过Ten-GigabitEthernet1/0/2进入Device B,并通过Ten-GigabitEthernet1/0/1发往Device A。
要求通过配置Device B实现如下需求:
· 将Ten-GigabitEthernet1/0/1收到的流量重定向到监控组中的聚合接口,最终发往Device D;
· 将Ten-GigabitEthernet1/0/2收到的流量重定向到监控组中的聚合接口,最终发往Device D;
· Device B的聚合负载分担类型为逐流负载分担,按照报文的源、目的IP地址区分流;
· 由于Ten-GigabitEthernet1/0/1和Ten-GigabitEthernet1/0/2接口收到的两种报文流的源、目的IP是相反的,聚合接口在进行聚合负载分担时,两种报文流会经不同成员链路发往Device D,所以需要通过配置全局采用的聚合负载分担HASH算法为1类型,保证两种报文流经同一条成员链路发往Device D。
图1-15 M:N复制到聚合接口组网图
(1) 开启TAP全局模式
<DeviceB> system-view
[DeviceB] tap enable
(2) 定义聚合组
# 创建二层聚合组Bridge-Aggregation 1。
[DeviceB] interface bridge-aggregation 1
[DeviceB-Bridge-Aggregation1] quit
# 将二层以太网接口Ten-GigabitEthernet1/0/3、Ten-GigabitEthernet1/0/4和Ten-GigabitEthernet1/0/5加入聚合组Bridge-Aggregation 1中。
[DeviceB] interface ten-gigabitethernet 1/0/3
[DeviceB-Ten-GigabitEthernet1/0/3] port link-aggregation group 1
[DeviceB-Ten-GigabitEthernet1/0/3] quit
[DeviceB] interface ten-gigabitethernet 1/0/4
[DeviceB-Ten-GigabitEthernet1/0/4] port link-aggregation group 1
[DeviceB-Ten-GigabitEthernet1/0/4] quit
[DeviceB] interface ten-gigabitethernet 1/0/5
[DeviceB-Ten-GigabitEthernet1/0/5] port link-aggregation group 1
[DeviceB-Ten-GigabitEthernet1/0/5] quit
(3) 定义监控组
# 创建监控组1,并配置监控组的成员接口为Bridge-Aggregation 1
[DeviceB] monitoring-group 1
[DeviceB-monitoring-group-1] monitoring-port bridge-aggregation 1
[DeviceB-monitoring-group-1] quit
(4) 定义类
# 定义IPv4高级ACL 3001,并为其创建如下规则:匹配源IP为192.168.1.1、目的IP为192.168.2.1的数据包。
[DeviceB] acl advanced 3001
[DeviceB-acl-ipv4-adv-3001] rule permit ip source 192.168.1.1 0 destination 192.168.2.1 0
[DeviceB-acl-ipv4-adv-3001] quit
# 定义类classifier1,匹配ACL 3001。
[DeviceB] traffic classifier classifier1
[DeviceB-classifier-classifier1] if-match acl 3001
[DeviceB-classifier-classifier1] quit
# 定义IPv4高级ACL 3002,并为其创建如下规则:匹配源IP为192.168.2.1、目的IP为192.168.1.1的数据包。
[DeviceB] acl advanced 3002
[DeviceB-acl-ipv4-adv-3002] rule permit ip source 192.168.2.1 0 destination 192.168.1.1 0
[DeviceB-acl-ipv4-adv-3002] quit
# 定义类classifier2,匹配ACL 3002。
[DeviceB] traffic classifier classifier2
[DeviceB-classifier-classifier2] if-match acl 3002
[DeviceB-classifier-classifier2] quit
(5) 定义流行为
# 定义流行为behavior1,动作为重定向到监控组1。
[DeviceB] traffic behavior behavior1
[DeviceB-behavior-behavior1] redirect monitoring-group 1
[DeviceD-behavior-behavior1] quit
(6) 定义策略
# 定义TAP类型策略policy1,并为类classifier1指定流行为behavior1。
[DeviceB] qos tap policy policy1
[DeviceB-qospolicy-policy1] classifier classifier1 behavior behavior1
[DeviceB-qospolicy-policy1] quit
# 定义TAP类型策略policy2,并为类classifier2指定流行为behavior1。
[DeviceB] qos tap policy policy2
[DeviceB-qospolicy-policy2] classifier classifier2 behavior behavior1
[DeviceB-qospolicy-policy2] quit
(7) 应用策略
# 将TAP类型策略policy1应用到接口Ten-GigabitEthernet1/0/1的入方向上。
[DeviceB] interface ten-gigabitethernet 1/0/1
[DeviceB-Ten-GigabitEthernet1/0/1] qos apply tap policy policy1 inbound
[DeviceB-Ten-GigabitEthernet1/0/1] quit
# 将TAP类型策略policy2应用到接口Ten-GigabitEthernet1/0/2的入方向上。
[DeviceB] interface ten-gigabitethernet 1/0/2
[DeviceB-Ten-GigabitEthernet1/0/2] qos apply tap policy policy2 inbound
[DeviceB-Ten-GigabitEthernet1/0/2] quit
(8) 配置全局采用的聚合负载分担类型为按报文的源、目的IP地址进行聚合负载分担。
[DeviceB] link-aggregation global load-sharing mode source-ip destination-ip
(9) 配置聚合全局负载分担算法为1类型。
[DeviceB] link-aggregation global load-sharing algorithm 1
Device C为TAP设备,现需要通过配置Device C实现如下需求:
· 对接口Ten-GigabitEthernet1/0/25接收的报文重新标记CVLAN为10;
· 对接口Ten-GigabitEthernet1/0/26接收的报文重新标记CVLAN为20;
· 将携带CVLAN 为10和20的报文通过接口Ten-GigabitEthernet1/0/27发送给Server,使得Server可以利用VLAN Tag区分报文在Device C上的入接口。
(1) 开启TAP全局模式
<DeviceC> system-view
[DeviceC] tap enable
(2) 定义监控组
# 创建监控组1,并配置监控组的成员接口为Ten-GigabitEthernet1/0/27。
[DeviceC] monitoring-group 1
[DeviceC-monitoring-group-1] monitoring-port ten-gigabitethernet 1/0/27
[DeviceC-monitoring-group-1] quit
(3) 定义类
# 定义类classifier_tap,匹配所有数据包。
[DeviceC] traffic classifier classifier_tap
[DeviceC-classifier-classifier_tap] if-match any
[DeviceC-classifier-classifier_tap] quit
(4) 定义流行为
# 定义流行为behavior_tap1,并配置两个动作:重新标记报文的CVLAN为10和重定向到监控组1。
[DeviceC] traffic behavior behavior_tap1
[DeviceC-behavior-behavior_tap1] remark customer-vlan-id 10
[DeviceC-behavior-behavior_tap1] redirect monitoring-group 1
[DeviceC-behavior-behavior_tap1] quit
# 定义流行为behavior_tap2,并配置两个动作:重新标记报文的CVLAN为20和重定向到监控组1。
[DeviceC] traffic behavior behavior_tap2
[DeviceC-behavior-behavior_tap2] remark customer-vlan-id 20
[DeviceC-behavior-behavior_tap2] redirect monitoring-group 1
[DeviceC-behavior-behavior_tap2] quit
(5) 定义策略
# 定义TAP类型策略policy_tap1,并为类classifier_tap指定流行为behavior_tap1。
[DeviceC] qos tap policy policy_tap1
[DeviceC-qospolicy-policy_tap1] classifier classifier_tap behavior behavior_tap1
[DeviceC-qospolicy-policy_tap1] quit
# 定义TAP类型策略policy_tap2,并为类classifier_tap指定流行为behavior_tap2。
[DeviceC] qos tap policy policy_tap2
[DeviceC-qospolicy-policy_tap2] classifier classifier_tap behavior behavior_tap2
[DeviceC-qospolicy-policy_tap2] quit
(6) 应用策略
# 将TAP类型策略policy_tap1应用到接口Ten-GigabitEthernet1/0/25的入方向上。
[DeviceC] interface ten-gigabitethernet 1/0/25
[DeviceC-Ten-GigabitEthernet1/0/25] qos apply tap policy policy_tap1 inbound
[DeviceC-Ten-GigabitEthernet1/0/25] quit
# 将TAP类型策略policy_tap2应用到接口Ten-GigabitEthernet1/0/26的入方向上。
[DeviceC] interface ten-gigabitethernet 1/0/26
[DeviceC-Ten-GigabitEthernet1/0/26] qos apply tap policy policy_tap2 inbound
[DeviceC-Ten-GigabitEthernet1/0/26] quit
Device C为TAP设备,接口Ten-GigabitEthernet1/0/25和Ten-GigabitEthernet1/0/26接收的报文均携带双层VLAN Tag。
现需要通过配置Device C,删除接口Ten-GigabitEthernet1/0/25和Ten-GigabitEthernet1/0/26接收报文的外层VLAN Tag,然后将报文通过接口Ten-GigabitEthernet1/0/27发送给Server。
(1) 开启TAP全局模式
<DeviceC> system-view
[DeviceC] tap enable
(2) 定义监控组
# 创建监控组1,并配置监控组的成员接口为Ten-GigabitEthernet1/0/27。
[DeviceC] monitoring-group 1
[DeviceC-monitoring-group-1] monitoring-port ten-gigabitethernet 1/0/27
[DeviceC-monitoring-group-1] quit
(3) 定义类
# 定义类classifier_tap,匹配所有数据包。
[DeviceC] traffic classifier classifier_tap
[DeviceC-classifier-classifier_tap] if-match any
[DeviceC-classifier-classifier_tap] quit
(4) 定义流行为
# 定义流行为behavior_tap,并配置两个动作:删除报文的外层VLAN Tag和重定向到监控组1。
[DeviceC] traffic behavior behavior_tap
[DeviceC-behavior-behavior_tap] strip-header top-most-vlan
[DeviceC-behavior-behavior_tap] redirect monitoring-group 1
[DeviceC-behavior-behavior_tap] quit
(5) 定义策略
# 定义TAP类型策略policy_tap,并为类指定流行为。
[DeviceC] qos tap policy policy_tap
[DeviceC-qospolicy-policy_tap] classifier classifier_tap behavior behavior_tap
[DeviceC-qospolicy-policy_tap] quit
(6) 应用策略
# 将TAP类型策略policy_tap应用到接口Ten-GigabitEthernet1/0/25的入方向上。
[DeviceC] interface ten-gigabitethernet 1/0/25
[DeviceC-Ten-GigabitEthernet1/0/25] qos apply tap policy policy_tap inbound
[DeviceC-Ten-GigabitEthernet1/0/25] quit
# 将TAP类型策略policy_tap应用到接口Ten-GigabitEthernet1/0/26的入方向上。
[DeviceC] interface ten-gigabitethernet 1/0/26
[DeviceC-Ten-GigabitEthernet1/0/26] qos apply tap policy policy_tap inbound
[DeviceC-Ten-GigabitEthernet1/0/26] quit
Device C为TAP设备, 接口Ten-GigabitEthernet1/0/25和Ten-GigabitEthernet1/0/26接收的报文均携带单层VLAN Tag。
现需要通过配置Device C,对接口Ten-GigabitEthernet1/0/25和Ten-GigabitEthernet1/0/26接收报文添加外层的VLAN Tag为10,然后将报文通过接口Ten-GigabitEthernet1/0/27发送给Server。
(1) 开启TAP全局模式
<DeviceC> system-view
[DeviceC] tap enable
(2) 定义监控组
# 创建监控组1,并配置监控组的成员接口为Ten-GigabitEthernet1/0/27。
[DeviceC] monitoring-group 1
[DeviceC-monitoring-group-1] monitoring-port ten-gigabitethernet 1/0/27
[DeviceC-monitoring-group-1] quit
(3) 定义类
# 定义类classifier_tap,匹配所有数据包。
[DeviceC] traffic classifier classifier_tap
[DeviceC-classifier-classifier_tap] if-match any
[DeviceC-classifier-classifier_tap] quit
(4) 定义流行为
# 定义流行为behavior_tap,并配置两个动作:添加报文的外层VLAN Tag为10和重定向到监控组1。
[DeviceC] traffic behavior behavior_tap
[DeviceC-behavior-behavior_tap] nest top-most vlan 10
[DeviceC-behavior-behavior_tap] redirect monitoring-group 1
[DeviceC-behavior-behavior_tap] quit
(5) 定义策略
# 定义TAP类型策略policy_tap,并为类指定流行为。
[DeviceC] qos tap policy policy_tap
[DeviceC-qospolicy-policy_tap] classifier classifier_tap behavior behavior_tap
[DeviceC-qospolicy-policy_tap] quit
(6) 应用策略
# 将TAP类型策略policy_tap应用到接口Ten-GigabitEthernet1/0/25的入方向上。
[DeviceC] interface ten-gigabitethernet 1/0/25
[DeviceC-Ten-GigabitEthernet1/0/25] qos apply tap policy policy_tap inbound
[DeviceC-Ten-GigabitEthernet1/0/25] quit
# 将TAP类型策略policy_tap应用到接口Ten-GigabitEthernet1/0/26的入方向上。
[DeviceC] interface ten-gigabitethernet 1/0/26
[DeviceC-Ten-GigabitEthernet1/0/26] qos apply tap policy policy_tap inbound
[DeviceC-Ten-GigabitEthernet1/0/26] quit
Device B为TAP设备,现需要通过配置Device B,对接口Ten-GigabitEthernet1/0/25接收报文重新标记其目的MAC地址为Server的MAC地址,然后将报文通过接口Ten-GigabitEthernet1/0/26发送给Server。
图1-19 重新标记报文的目的MAC地址组网图
(1) 开启TAP全局模式
<DeviceB> system-view
[DeviceB] tap enable
(2) 定义监控组
# 创建监控组1,并配置监控组的成员接口为Ten-GigabitEthernet1/0/26。
[DeviceB] monitoring-group 1
[DeviceB-monitoring-group-1] monitoring-port ten-gigabitethernet 1/0/26
[DeviceB-monitoring-group-1] quit
(3) 定义类
# 定义类classifier_tap,匹配所有数据包。
[DeviceB] traffic classifier classifier_tap
[DeviceB-classifier-classifier_tap] if-match any
[DeviceB-classifier-classifier_tap] quit
(4) 定义流行为
# 定义流行为behavior_tap,并配置两个动作:重新标记报文的目的MAC地址为0050-ba27-bed3和重定向到监控组1。
[DeviceB] traffic behavior behavior_tap
[DeviceB-behavior-behavior_tap] remark destination-mac 0050-ba27-bed3
[DeviceB-behavior-behavior_tap] redirect monitoring-group 1
[DeviceB-behavior-behavior_tap] quit
(5) 定义策略
# 定义TAP类型策略policy_tap,并为类指定流行为。
[DeviceB] qos tap policy policy_tap
[DeviceB-qospolicy-policy_tap] classifier classifier_tap behavior behavior_tap
[DeviceB-qospolicy-policy_tap] quit
(6) 应用策略
# 将TAP类型策略policy_tap应用到接口Ten-GigabitEthernet1/0/25的入方向上。
[DeviceB] interface ten-gigabitethernet 1/0/25
[DeviceB-Ten-GigabitEthernet1/0/25] qos apply tap policy policy_tap inbound
[DeviceB-Ten-GigabitEthernet1/0/25] quit
Device D为TAP设备,现需要通过配置Device D实现如下需求:
· 对接口Ten-GigabitEthernet1/0/25接收的协议为TCP的报文添加目的MAC地址为0050-ba27-bed4,源MAC地址为0050-ba27-bed1,以太网协议号为FF;
· 对接口Ten-GigabitEthernet1/0/26接收的协议为TCP的报文添加目的MAC地址为0050-ba27-bed4,源MAC地址为0050-ba27-bed2,以太网协议号为FF;
· 对接口Ten-GigabitEthernet1/0/27接收的协议为TCP的报文添加目的MAC地址为0050-ba27-bed4,源MAC地址为0050-ba27-bed3,以太网协议号为FF;
· 然后将上述被编辑报文通过接口Ten-GigabitEthernet1/0/28发送给Server。
(1) 开启TAP全局模式
<DeviceD> system-view
[DeviceD] tap enable
(2) 定义监控组
# 创建监控组1,并配置监控组的成员接口为Ten-GigabitEthernet1/0/28。
[DeviceD] monitoring-group 1
[DeviceD-monitoring-group-1] monitoring-port ten-gigabitethernet 1/0/28
[DeviceD-monitoring-group-1] quit
(3) 定义类
# 创建一个编号为3001的IPv4高级ACL,并定义匹配协议类型为TCP的规则。
[DeviceD] acl advanced 3001
[DeviceD-acl-ipv4-adv-3001] rule permit tcp
[DeviceD-acl-ipv4-adv-3001] quit
# 定义类classifier_tap,匹配IPv4 ACL3001。
[DeviceD] traffic classifier classifier_tap
[DeviceD-classifier-classifier_tap] if-match acl 3001
[DeviceD-classifier-classifier_tap] quit
(4) 定义流行为
# 定义流行为behavior_tap1,并配置两个动作:添加目的MAC地址为0050-ba27-bed4,源MAC地址为0050-ba27-bed1,以太网协议号为FF;重定向到监控组1。
[DeviceD] traffic behavior behavior_tap1
[DeviceD-behavior-behavior_tap1] timestamp-over-ether destination-mac 0050-ba27-bed4 source-mac 0050-ba27-bed1 ethtype-id ff
[DeviceD-behavior-behavior_tap1] redirect monitoring-group 1
[DeviceD-behavior-behavior_tap1] quit
# 定义流行为behavior_tap2,并配置两个动作:添加目的MAC地址为0050-ba27-bed4,源MAC地址为0050-ba27-bed2,以太网协议号为FF;重定向到监控组1。
[DeviceD] traffic behavior behavior_tap2
[DeviceD-behavior-behavior_tap2] timestamp-over-ether destination-mac 0050-ba27-bed4 source-mac 0050-ba27-bed2 ethtype-id ff
[DeviceD-behavior-behavior_tap2] redirect monitoring-group 1
[DeviceD-behavior-behavior_tap2] quit
# 定义流行为behavior_tap3,并配置两个动作:添加目的MAC地址为0050-ba27-bed4,源MAC地址为0050-ba27-bed3,以太网协议号为FF;重定向到监控组1。
[DeviceD] traffic behavior behavior_tap3
[DeviceD-behavior-behavior_tap3] timestamp-over-ether destination-mac 0050-ba27-bed4 source-mac 0050-ba27-bed3 ethtype-id ff
[DeviceD-behavior-behavior_tap3] redirect monitoring-group 1
[DeviceD-behavior-behavior_tap3] quit
(5) 定义策略
# 定义TAP类型策略policy_tap1,并为类classifier_tap指定流行为behavior_tap1。
[DeviceD] qos tap policy policy_tap1
[DeviceD-qospolicy-policy_tap1] classifier classifier_tap behavior behavior_tap1
[DeviceD-qospolicy-policy_tap1] quit
# 定义TAP类型策略policy_tap2,并为类classifier_tap指定流行为behavior_tap2。
[DeviceD] qos tap policy policy_tap2
[DeviceD-qospolicy-policy_tap2] classifier classifier_tap behavior behavior_tap2
[DeviceD-qospolicy-policy_tap2] quit
# 定义TAP类型策略policy_tap3,并为类classifier_tap指定流行为behavior_tap3。
[DeviceD] qos tap policy policy_tap3
[DeviceD-qospolicy-policy_tap3] classifier classifier_tap behavior behavior_tap3
[DeviceD-qospolicy-policy_tap3] quit
(6) 应用策略
# 将TAP类型策略policy_tap1应用到接口Ten-GigabitEthernet1/0/25的入方向上。
[DeviceD] interface ten-gigabitethernet 1/0/25
[DeviceD-Ten-GigabitEthernet1/0/25] qos apply tap policy policy_tap1 inbound
[DeviceD-Ten-GigabitEthernet1/0/25] quit
# 将TAP类型策略policy_tap2应用到接口Ten-GigabitEthernet1/0/26的入方向上。
[DeviceD] interface ten-gigabitethernet 1/0/26
[DeviceD-Ten-GigabitEthernet1/0/26] qos apply tap policy policy_tap2 inbound
[DeviceD-Ten-GigabitEthernet1/0/26] quit
# 将TAP类型策略policy_tap3应用到接口Ten-GigabitEthernet1/0/27的入方向上。
[DeviceD] interface ten-gigabitethernet 1/0/27
[DeviceD-Ten-GigabitEthernet1/0/27] qos apply tap policy policy_tap3 inbound
[DeviceD-Ten-GigabitEthernet1/0/27] quit
Device B为TAP设备,现需要通过配置Device B,对接口Ten-GigabitEthernet1/0/25接收报文进行截断,将截断后的报文通过接口Ten-GigabitEthernet1/0/26发送给Server。
(1) 开启TAP全局模式
<DeviceB> system-view
[DeviceB] tap enable
(2) 定义监控组
# 创建监控组1,并配置监控组的成员接口为Ten-GigabitEthernet1/0/26。
[DeviceB] monitoring-group 1
[DeviceB-monitoring-group-1] monitoring-port ten-gigabitethernet 1/0/26
[DeviceB-monitoring-group-1] quit
(3) 定义类
# 创建一个编号为3001的IPv4高级ACL,并定义匹配协议类型为TCP、源IP地址为10.0.0.1且掩码为255.255.255.0的规则。
[DeviceB] acl advanced 3001
[DeviceB-acl-ipv4-adv-3001] rule permit tcp source 10.0.0.1 255.255.255.0
[DeviceB-acl-ipv4-adv-3001] quit
# 定义类classifier_tap,匹配IPv4 ACL3001。
[DeviceB] traffic classifier classifier_tap
[DeviceB-classifier-classifier_tap] if-match acl 3001
[DeviceB-classifier-classifier_tap] quit
(4) 定义流行为
# 定义流行为behavior_tap,并配置两个动作:开启报文截断功能和重定向到监控组1。
[DeviceB] traffic behavior behavior_tap
[DeviceB-behavior-behavior_tap] truncation enable
[DeviceB-behavior-behavior_tap] redirect monitoring-group 1
[DeviceB-behavior-behavior_tap] quit
(5) 配置报文截断
# 配置报文截断长度为100字节。
[DeviceB] qos truncation length 100
(6) 定义策略
# 定义TAP类型策略policy_tap,并为类指定流行为。
[DeviceB] qos tap policy policy_tap
[DeviceB-qospolicy-policy_tap] classifier classifier_tap behavior behavior_tap
[DeviceB-qospolicy-policy_tap] quit
(7) 应用策略
# 将TAP类型策略policy_tap应用到接口Ten-GigabitEthernet1/0/25的入方向上。
[DeviceB] interface ten-gigabitethernet 1/0/25
[DeviceB-Ten-GigabitEthernet1/0/25] qos apply tap policy policy_tap inbound
[DeviceB-Ten-GigabitEthernet1/0/25] quit
Device B为TAP设备,由于Server不支持解析NVGRE协议报文,现需要在Device B上实现NVGRE报文头删除功能。对接口Ten-GigabitEthernet1/0/25接收的NVGRE报文进行NVGRE报文头删除,然后将报文通过接口Ten-GigabitEthernet1/0/26发送给Server。
图1-22 NVGRE报文头删除组网图
(1) 开启TAP全局模式
<DeviceB> system-view
[DeviceB] tap enable
(2) 定义监控组
# 创建监控组1,并配置监控组的成员接口为Ten-GigabitEthernet1/0/26。
[DeviceB] monitoring-group 1
[DeviceB-monitoring-group-1] monitoring-port ten-gigabitethernet 1/0/26
[DeviceB-monitoring-group-1] quit
(3) 定义类
# 定义类classifier_tap,匹配NVGRE协议且VSID为FFFF28的报文。
[DeviceB] traffic classifier classifier_tap
[DeviceB-classifier-classifier_tap] if-match nvgre-vsid ffff28
[DeviceB-classifier-classifier_tap] quit
(4) 定义流行为
# 定义流行为behavior_tap,并配置两个动作:删除Tunnel报文头到外层四层头起始位置再向后偏移4字节,即删除外层二层头、外层三层头和NVGRE报文的GRE头;重定向到监控组1。
[DeviceB] traffic behavior behavior_tap
[DeviceB-behavior-behavior_tap] strip-header position l4 offset 4
[DeviceB-behavior-behavior_tap] redirect monitoring-group 1
[DeviceB-behavior-behavior_tap] quit
(5) 定义策略
# 定义TAP类型策略policy_tap,并为类指定流行为。
[DeviceB] qos tap policy policy_tap
[DeviceB-qospolicy-policy_tap] classifier classifier_tap behavior behavior_tap
[DeviceB-qospolicy-policy_tap] quit
(6) 应用策略
# 将TAP类型策略policy_tap应用到接口Ten-GigabitEthernet1/0/25的入方向上。
[DeviceB] interface ten-gigabitethernet 1/0/25
[DeviceB-Ten-GigabitEthernet1/0/25] qos apply tap policy policy_tap inbound
[DeviceB-Ten-GigabitEthernet1/0/25] quit
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
