所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级
案例库

S7706 观察口无流量

发布时间:  2017-12-18  |   浏览次数:  264  |   下载次数:  26  |   作者:  qWX466465  |   文档编号: EKB1001138876

目录

问题描述

客户需求:客户想在S7706把同一镜像口的报文,能复制报文给三个观察接口监控,其中两个观察接口能监控到含80端口在内的很多端口的流量;另外一个观察口只需要监控80端口的流量。目前的配置来看,只监控80端口的观察口无流量。

镜像相关配置如下:

observe-port 1 interface-range XGigabitEthernet1/1/0/6 XGigabitEthernet2/1/0/6
observe-port 3 interface GigabitEthernet2/2/0/2

acl number 3000
 rule 5 permit tcp destination-port eq www
 rule 25 permit tcp destination-port eq 443
 rule 30 permit udp destination-port eq 443
 rule 50 permit tcp destination-port eq 8080
 rule 55 permit udp destination-port eq 8080
acl number 3100
 rule 5 permit tcp destination-port eq www
#                                        
traffic classifier 3000 operator or precedence 20
 if-match acl 3000
traffic classifier 3100 operator or precedence 25
 if-match acl 3100
#
traffic behavior 3000
 permit
 mirroring to observe-port 1
traffic behavior 3100
 permit
 mirroring to observe-port 3
#
traffic policy 3000 match-order config
 classifier 3000 behavior 3000
 classifier 3100 behavior 3100
#
interface Eth-Trunk101
 traffic-policy 3000 inbound
 mode lacp
#

处理过程

建议修改配置:
observe-port 3 interface-range GigabitEthernet2/2/0/2 XGigabitEthernet1/1/0/6 XGigabitEthernet2/1/0/6

acl number 3000
  undo rule 5

根因

流策略中的第一个CB对中流分类调用的ACL里规则已配置rule 5 permit tcp destination-port eq www对应的流量,并作了镜像到观察口XGigabitEthernet1/1/0/6 XGigabitEthernet2/1/0/6生效;


第二个CB对中流分类调用的ACL里规则也有rule 5 permit tcp destination-port eq www,所以镜像到观察口GigabitEthernet2/2/0/2未生效。

建议与总结

流策略中配置多个classifier+behavior时,报文的匹配顺序如下:
在创建流策略时,可以指定流策略中多个规则的匹配顺序,匹配顺序包括配置顺序(config)和自动顺序(auto)两种:
    config:报文的匹配顺序由流分类(classifier)的优先级决定,即traffic classifier classifier-name [ operator { and | or } ] [ precedence precedence-value ]命令中的precedence precedence-value参数。该参数的数值越小,优先级越高。
    auto:报文的匹配顺序由系统预先指定的流分类类型的优先级决定,该优先级由高到低依次为:基于二层和三层信息流分类 > 基于二层信息流分类 > 基于三层信息流分类。如果流行为(behavior)中的动作没有冲突,则匹配到的classifier+behavior都会生效;如果流行为中的动作 发生冲突时,则流分类类型优先级高的classifier+behavior生效。