配置转发组分流功能
背景信息
正常情况下,接口接收到报文后会进行二三层转发。但是在对安全性能要求较高的场景下,用户希望对特定报文复制到多个端口上进行分析。这种情况下,可以部署转发组分流功能。
转发组分流功能是根据报文的目的MAC地址和源MAC地址组成的96比特进行分组,按照不同组和接口的映射关系,将报文复制到多个接口进行转发。转发组视图下指定组位宽与端口号位宽,96除以组位宽后的整数部分,就是组数。如果组数量超过8个,则只分析前8个组。端口号位宽是组位宽的前面一部分,用户可以配置转发组视图下指定端口号与物理接口之间的映射关系,将指定的端口号对应的报文从物理接口转发出去。
例如,报文的目的MAC地址和源MAC地址的96bit如下:0101101101 011010100011 1011011011....,配置组位宽为10bit,端口号位宽是5bit,那么第一组的端口号为01011,换算为十进制后是11,配置端口号和接口的映射关系为端口号11映射到接口10GE1/0/1,那么这个报文就会从10GE1/0/1上转发出去。第二组的端口号为01101,换算为十进制后是13,配置端口号和接口的映射关系为端口号13映射到接口10GE1/0/2,那么这个报文就会从10GE1/0/2上转发出去。以此类推。
在接口下使能转发组分流功能后,接口接收到的报文将按照转发组视图下部署的映射关系进行转发,没有匹配到映射关系的报文将被丢弃,同时接口下的二三层转发功能将不可用。
仅CE12800E安装ED-E/EG-E/EGA-E系列单板时支持此功能。
操作步骤
- 执行命令system-view,进入系统视图。
- 执行命令forward-group,配置转发组并进入转发组视图。
缺省情况下,没有创建转发组。
- 执行命令segment-width segment-width-value port-width port-width-value,设置组位宽和端口号位宽。
缺省情况下,没有设置组位宽和端口号位宽。
- 执行命令member-port port-number interface interface-type interface-number,配置端口号和物理接口的映射关系。
缺省情况下,没有配置端口号和物理接口的映射关系。
port-number是由segment-width port-width命令中指定的port-width-value位二进制数换算得到的十进制数。
- 执行命令quit,退回到系统视图。
- 执行命令interface interface-type interface-number,进入接口视图。
仅支持物理接口,可以是Eth-Trunk接口的成员口。
- 执行命令forward-group enable,使能接口的转发组分流功能。
缺省情况下,接口未使能转发组功能。
在接口下使能转发组分流功能后,接口下的二三层转发功能将不可用,请谨慎操作。
出接口需要以Untagged方式加入VLAN,该VLAN ID与入端口配置的PVID相同。即:
对于access类型接口或者QinQ类型接口,需要配置port default vlan vlan-id,将接口加入到指定的VLAN中。
对于trunk类型接口,需要同时配置port trunk allow-pass vlan vlan-id与port trunk pvid vlan vlan-id,且vlan-id一致。
对于hybrid类型接口,需要配置port hybrid untagged vlan { { vlan-id1 [ to vlan-id2 ] }&<1-10> | all }命令,使这些VLAN帧以Untagged方式通过接口。
- 执行命令commit,提交配置。
