No se encuentran recursos de mapeo en el idioma seleccionado.

This site uses cookies. By continuing to browse the site you are agreeing to our use of cookies. Read our privacy policy>

Ejemplos típicos de configuración de la serie Sx300

Rate and give feedback:
Acerca de la traducción
Huawei ha traducido este documento a diferentes idiomas combinando la traducción automática con la revisión humana a fin de permitirle entender mejor su contenido. Nota: Sin importar lo avanzada que sea, la traducción automática no puede igualar la calidad que proporcionan los traductores profesionales. Huawei no asume ninguna responsabilidad por la precisión de las traducciones y recomienda consultar el documento escrito en inglés (al cual puede acceder mediante el enlace proporcionado).
Ejemplo para configurar el espejado de tráfico remoto basado en ACL

Ejemplo para configurar el espejado de tráfico remoto basado en ACL

Descripción general del espejado de tráfico remoto

En el espejado de tráfico remoto, las reglas configuradas coincidentes de tráfico de servicio se copian en un puerto de observación que está conectado a un dispositivo de vigilancia a través de una red intermedia para análisis y vigilancia.

Pueden configurar el espejado de tráfico utilizando la Interfaz de línea de comando de calidad de servicio modular (MQC) y la ACL. El espejado de tráfico basado en MQC es compleja para configurar, pero admite más reglas de coincidencia y se puede aplicar a las direcciones de entrada y de salida. El espejado de tráfico basada en ACL es fácil para configurar, pero admite menos reglas de coincidencia que el de tráfico basado en MQC y solo se puede aplicar a la dirección de entrada.

Notas de configuración

  • Un puerto de observación está dedicado a reenviar tráfico espejado. No configure otros servicios en un puerto de observación; de lo contrario, el tráfico espejado y el tráfico de otros servicios interfieren entre sí.

  • Si la función de espejado se despliega en muchos puertos de un dispositivo, se ocupará una gran cantidad de ancho de banda de reenvío interno, lo que afecta el reenvío de otros servicios. Además, si el ancho de banda del puerto espejado es mayor que el ancho de banda del puerto de observación, por ejemplo, 1000 Mbit/s en un puerto espejado y 100 Mbit/s en un puerto de observación, el puerto de observación no podrá reenviar todos los paquetes espejados a tiempo debido a la insuficiencia de ancho de banda, lo que ocurre la pérdida de paquetes.

  • En todos los modelos de switch modular de la serie S de Huawei, Eth-Trunks se pueden configurar como puertos de observación. En los siguientes modelos de switch fijo de la serie S de Huawei, Eth-Trunks se pueden configurar como puertos de observación en V200R005 y versiones posteriores: S5300EI, S5300HI, S5306, S5310EI, S5320EI, S5320HI, S6300EI, S6320EI, y S6320HI.

  • La siguiente tabla enumera los productos y las versiones aplicables de este ejemplo de configuración.

    Tabla 14-11  Modelos de productos y versiones aplicables
    Producto Modelo del producto

    Versión del software

    S2300

    S2352P-EI

    V100R006C05

    S3300

    S3300SI

    V100R006C05

    S3300EI

    V100R006C05

    S3300HI

    V200R001C00

    S5300

    S5300EI

    V200R001C00, V200R002C00, V200R003C00, V200R005(C00&C01&C02)

    S5310EI

    V200R002C00, V200R003C00, V200R005(C00&C02)

    S5320EI

    V200R007C00, V200R008C00, V200R009C00, V200R010C00, V200R011C10, V200R012C00

    S5300HI

    V200R001(C00&C01), V200R002C00, V200R003C00, V200R005(C00&C01&C02)

    S5320HI

    V200R009C00, V200R010C00, V200R011C10, V200R012C00

    S6300

    S6300EI

    V200R001(C00&C01), V200R002C00, V200R003C00, V200R005(C00&C01&C02)

    S6320EI

    V200R008C00, V200R009C00, V200R010C00, V200R011C10, V200R012C00

    S6320HI

    V200R012C00

    S9300

    S9303, S9306, S9312

    V200R005C00SPC300, V200R006C00, V200R007C00, V200R008 (C00&C10), V200R009C00, V200R010C00, V200R011C10, V200R012C00

    S9310

    V200R010C00, V200R011C10, V200R012C00

    S9300X

    S9310X

    V200R010C00, V200R011C10, V200R012C00

    S9300E

    S9303E, S9306E, S9312E

    V200R005C00SPC300, V200R006C00, V200R007C00, V200R008 (C00&C10), V200R009C00, V200R010C00, V200R011C10, V200R012C00

    NOTA:
    Para conocer los detalles sobre las asignaciones de software, consulte Hardware Query Tool.

Requisitos de redes

Como se muestra en Figura 14-16, los usuarios externos en Internet acceden a los servidores de una compañía a través de SwitchA. El Server del dispositivo de vigilancia antivirus se conecta a SwitchA por SwitchB.

El sitio web oficial de la compañía está paralizado debido a ataques maliciosos. El Server necesita analizar de forma remota el tráfico con el número de puerto TCP WWW para localizar el origen de ataque.

Figura 14-16  Redes del espejado de tráfico remoto

Hoja de ruta de configuración

La hoja de ruta de la configuración es la siguiente:
  1. Configure GE1/0/2 de SwitchA como un puerto de observación remoto de Capa 2 para reenviar paquetes espejados a la VLAN especificada.
  2. Configure una ACL avanzada en SwitchA para coincidir con el tráfico con el número de puerto TCP WWW.
  3. Configure una política de tráfico basada en ACL en GE1/0/1 de SwitchA para espejar el tráfico coincidente.
  4. Cree una VLAN en SwitchB, desactive el aprendizaje de direcciones MAC en esta VLAN y agregue puertos a la VLAN para reenviar los paquetes espejados que se envían desde el puerto de observación al Server.

Procedimiento

  1. Configure un puerto de observación en SwitchA.

    # Configure GE1/0/2 de SwitchA como un puerto de observación remoto de Capa 2 y vincule el puerto de observación a la VLAN 10.

    <Quidway> system-view
    [Quidway] sysname SwitchA
    [SwitchA] observe-port 1 interface gigabitethernet 1/0/2 vlan 10     //Configure GE1/0/2 como el puerto de observación remoto 1 de Capa 2 y agréguelo a la VLAN 10.

    Una vez completada la configuración, el puerto de observación reenvía los paquetes espejados a la VLAN 10, no se debe agregar el puerto de observación a la VLAN.

  2. Configure una ACL avanzada en SwitchA.

    # Cree una ACL avanzada numerada 3000 en SwitchA para coincidir con el tráfico con el número de puerto TCP WWW.

    [SwitchA] acl number 3000     //Cree ACL 3000 para admitir el paso de los paquetes con el número de puerto TCP WWW.
    [SwitchA-acl-adv-3000] rule permit tcp destination-port eq www
    [SwitchA-acl-adv-3000] quit
    

  3. Configure una política de tráfico basada en ACL en SwitchA.

    # Configure una política de tráfico basada en ACL en GE1/0/1 de SwitchA para espejar el tráfico coincidente.

    [SwitchA] interface gigabitethernet 1/0/1
    [SwitchA-GigabitEthernet1/0/1] traffic-mirror inbound acl 3000 to observe-port 1     //Espeje los paquetes entrantes que coinciden con ACL 3000 en GE1/0/1 al puerto de observación 1.
    [SwitchA-GigabitEthernet1/0/1] return

  4. Cree una VLAN en SwitchB y agregue puertos a la VLAN.

    # Cree VLAN 10 en SwitchB, deshabilite el aprendizaje de direcciones MAC en esta VLAN, y agregue GE1/0/1 y GE1/0/2 a la VLAN 10.

    NOTA:

    Aquí, la VLAN 10 se usa para reenviar solo paquetes espejados. Si la VLAN 10 ya existe y ha aprendido las entradas de la dirección MAC, ejecute el comando undo mac-address vlan vlan-id en la vista del sistema para eliminar todas las entradas de la dirección MAC en la VLAN 10.

    <Quidway> system-view
    [Quidway] sysname SwitchB
    [SwitchB] vlan 10
    [SwitchB-vlan10] mac-address learning disable     //Deshabilite el aprendizaje de direcciones MAC en esta VLAN.
    [SwitchB-vlan10] quit
    [SwitchB] interface gigabitethernet 1/0/1
    [SwitchB-GigabitEthernet1/0/1] port link-type access     // Establezca el tipo de enlace de la interfaz en el dispositivo de espejado a access. El tipo de enlace predeterminado de las interfaces no es access.
    [SwitchB-GigabitEthernet1/0/1] port default vlan 10
    [SwitchB-GigabitEthernet1/0/1] quit
    [SwitchB] interface gigabitethernet 1/0/2
    [SwitchB-GigabitEthernet1/0/2] port link-type trunk     //Establezca el tipo de enlace de la interfaz en el lado de la red a Trunk. El tipo de enlace predeterminado de las interfaces no es Trunk.
    [SwitchB-GigabitEthernet1/0/2] port trunk allow-pass vlan 10
    [SwitchB-GigabitEthernet1/0/2] return

  5. Verifique la configuración.

    # Compruebe las reglas de ACL y la información de comportamiento del tráfico.

    <SwitchA> display traffic-applied interface gigabitethernet 1/0/1 inbound
    -----------------------------------------------------------
    ACL applied inbound interface GigabitEthernet1/0/1
    
    ACL 3000
     rule 5 permit tcp  destination-port eq www (match-counter 0)
    ACTIONS:
     mirror to observe-port 1
    -----------------------------------------------------------
    

    # Compruebe la configuración del puerto de observación.

    <SwitchA> display observe-port
      ----------------------------------------------------------------------
      Index          : 1
      Untag-packet   : No
      Interface      : GigabitEthernet1/0/2
      Vlan           : 10
      ----------------------------------------------------------------------
    

    # Compruebe la configuración del puerto espejado.

    <SwitchA> display port-mirroring
      ----------------------------------------------------------------------
      Observe-port 1 : GigabitEthernet1/0/2
      ----------------------------------------------------------------------
      Stream-mirror:
      ----------------------------------------------------------------------
           Behavior               Direction  Observe-port
      ----------------------------------------------------------------------
      1    SACL                   -          Observe-port 1
      ----------------------------------------------------------------------  
    

Archivos de configuración

  • El archivo de configuración de SwitchA

    #
    sysname SwitchA
    #
    observe-port 1 interface GigabitEthernet1/0/2 vlan 10
    #
    acl number 3000
     rule 5 permit tcp destination-port eq www
    #
    interface GigabitEthernet1/0/1
     traffic-mirror inbound acl 3000 to observe-port 1
    #
    return
    
  • El archivo de configuración de SwitchB

    #
    sysname SwitchB
    #
    vlan batch 10
    #
    vlan 10
     mac-address learning disable
    #
    interface GigabitEthernet1/0/1
     port link-type access
     port default vlan 10
    #
    interface GigabitEthernet1/0/2
     port link-type trunk
     port trunk allow-pass vlan 10
    #
    return
    
Descargar
Updated: 2018-08-15

N.° del documento: EDOC1100027119

Vistas:15496

Descargas: 129

Average rating:
This Document Applies to these Products
Documentos relacionados
Related Version
Share
Anterior Siguiente