j'ai compris

Mise en miroir du trafic

publié il y a  2020-3-28 18:34:43Dernière réponse mzo. 28, 2020 18:36:42 19 1 0 0
  Récompense F-coins.: 0 (Résolu)

Bonjour à tous,

Nous avons configuré la mise en miroir des ports sur le commutateur de sortie S5720 pour surveiller le trafic réseau. La configuration est la suivante:

#   

acl number 3100 

rule 1 permit ip source 192.168.100.0 0.0.0.255 

rule 2 permit ip source 192.168.101.0 0.0.0.255

#                                        

traffic classifier c1 operator or 

 if-match acl 3100

#

 traffic behavior b1 

   mirroring to observe-port 2 observe-port 2 interface GigabitEthernet1/0/20

#

 traffic policy p1 match-order config 

  classifier c1 behavior b1 

#

Maintenant, nous devons configurer le trafic des utilisateurs intranet vers le serveur intranet pour qu'il ne soit pas mis en miroir. Nous avons ajouté des règles dans l'ACL 3000:

#

acl number 3100 

rule 3 deny ip source 192.168.100.0 0.0.0.255 destination 10.20.100.0 0.0.0.255 

rule 4 deny ip source 192.168.101.0 0.0.0.255 destination 10.20.100.0 0.0.0.255

#

Une fois la configuration terminée, nous constatons que tout le trafic ne peut plus être mis en miroir. Quel est le problème avec cette configuration? Je vous remercie!


  • x
  • Standard:

Réponses en vedette

Meilleure réponse

publié il y a 2020-3-28 18:36:42 Utile(1) Utile(1)

Salut Sprout,

Pendant la configuration de la mise en miroir du trafic, le paramètre deny ne peut pas être configuré dans la liste de contrôle d'accès référencée dans un classificateur de trafic. Sinon, les paquets correspondant au paramètre deny peuvent toujours être mis en miroir, mais les paquets d'origine seront rejetés. Par conséquent, pour ne refléter que les paquets de service spécifiés, définissez le paramètre permit dans toutes les règles ACL.

Pour plus de détails, reportez-vous aux limitations de la mise en miroir .

Dans votre cas, je pense que vous pouvez configurer une nouvelle ACL et ne pas définir de port d'observation pour les données de l'ACL. Le trafic sera donc rejeté en premier.

acl number 3101  

rule 3 deny ip source 192.168.100.0 0.0.0.255 destination 10.20.100.0 0.0.0.255  

rule 4 deny ip source 192.168.101.0 0.0.0.255 destination 10.20.100.0 0.0.0.255 

traffic classifier c2 operator or  

if-match acl 3101 

traffic policy p1 match-order config  

classifier c2 behavior b2        // Configuré à l'avant

classifier c1 behavior b1  

traffic behavior b2 

#




View more
  • x
  • Standard:

Toutes les réponses
Youssefi.R publié il y a 2020-3-28 18:36:42 Utile(1) Utile(1)

Salut Sprout,

Pendant la configuration de la mise en miroir du trafic, le paramètre deny ne peut pas être configuré dans la liste de contrôle d'accès référencée dans un classificateur de trafic. Sinon, les paquets correspondant au paramètre deny peuvent toujours être mis en miroir, mais les paquets d'origine seront rejetés. Par conséquent, pour ne refléter que les paquets de service spécifiés, définissez le paramètre permit dans toutes les règles ACL.

Pour plus de détails, reportez-vous aux limitations de la mise en miroir .

Dans votre cas, je pense que vous pouvez configurer une nouvelle ACL et ne pas définir de port d'observation pour les données de l'ACL. Le trafic sera donc rejeté en premier.

acl number 3101  

rule 3 deny ip source 192.168.100.0 0.0.0.255 destination 10.20.100.0 0.0.0.255  

rule 4 deny ip source 192.168.101.0 0.0.0.255 destination 10.20.100.0 0.0.0.255 

traffic classifier c2 operator or  

if-match acl 3101 

traffic policy p1 match-order config  

classifier c2 behavior b2        // Configuré à l'avant

classifier c1 behavior b1  

traffic behavior b2 

#




View more
  • x
  • Standard:

Commentaire

envoyer
Connectez-vous pour répondre. Se connecter | Enregistrer

Remarque Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».
Si le bouton de la pièce-jointe n'est pas disponible, mettez à jour Adobe Flash Player à la dernière version.

My Followers

Connectez-vous pour participer à la communication et au partage

S'identifier

Communauté de Support de Huawei Entreprise
Communauté de Support de Huawei Entreprise
Bloquer
Êtes-vous sûr de bloquer cet utilisateur?
Les utilisateurs de votre liste noire ne peuvent ni commenter votre publication,ni vous mentionner, ni vous envoyer de messages privés.