Kumarik Опубликовано 14 апреля, 2017 · Жалоба Доброго времени. помогите решить задачу. есть группа портов исходящий трафик с которых нужно отзеркалить на один порт, при этом из этого трафика выбрать только определенные порты tcp (21,53,80,81,443), весь остальной трафик отсекать. сделал так: observe-port 1 interface GigabitEthernet0/0/2 # acl number 3000 rule 5 permit tcp source-port eq www rule 10 permit tcp source-port eq ftp rule 15 permit tcp source-port eq domain rule 20 permit tcp source-port eq 81 rule 25 permit tcp source-port eq 443 rule 30 deny tcp rule 35 deny udp # interface Eth-Trunk3 port link-type trunk port trunk allow-pass vlan 25 load-balance src-dst-ip port-mirroring to observe-port 1 outbound # interface GigabitEthernet0/0/2 description Mirror_Carbon_Reductor traffic-mirror inbound acl 3000 rule 5 to observe-port 1 traffic-mirror inbound acl 3000 rule 10 to observe-port 1 traffic-mirror inbound acl 3000 rule 15 to observe-port 1 traffic-mirror inbound acl 3000 rule 20 to observe-port 1 traffic-mirror inbound acl 3000 rule 25 to observe-port 1 traffic-mirror inbound acl 3000 rule 30 to observe-port 1 traffic-mirror inbound acl 3000 rule 35 to observe-port 1 undo ntdp enable undo ndp enable но все равно на порт сыпется весь трафик. с huawei не часто связывал, может, что то не то написал?) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
MasterJey Опубликовано 17 апреля, 2017 · Жалоба Доброго времени. помогите решить задачу. есть группа портов исходящий трафик с которых нужно отзеркалить на один порт, при этом из этого трафика выбрать только определенные порты tcp (21,53,80,81,443), весь остальной трафик отсекать. сделал так: observe-port 1 interface GigabitEthernet0/0/2 # acl number 3000 rule 5 permit tcp source-port eq www rule 10 permit tcp source-port eq ftp rule 15 permit tcp source-port eq domain rule 20 permit tcp source-port eq 81 rule 25 permit tcp source-port eq 443 rule 30 deny tcp rule 35 deny udp # interface Eth-Trunk3 port link-type trunk port trunk allow-pass vlan 25 load-balance src-dst-ip port-mirroring to observe-port 1 outbound # interface GigabitEthernet0/0/2 description Mirror_Carbon_Reductor traffic-mirror inbound acl 3000 rule 5 to observe-port 1 traffic-mirror inbound acl 3000 rule 10 to observe-port 1 traffic-mirror inbound acl 3000 rule 15 to observe-port 1 traffic-mirror inbound acl 3000 rule 20 to observe-port 1 traffic-mirror inbound acl 3000 rule 25 to observe-port 1 traffic-mirror inbound acl 3000 rule 30 to observe-port 1 traffic-mirror inbound acl 3000 rule 35 to observe-port 1 undo ntdp enable undo ndp enable но все равно на порт сыпется весь трафик. с huawei не часто связывал, может, что то не то написал?) http://support.huawei.com/enterprise/documentOnline?contentId=DOC1000069535&sendFrom=mobile¤tPartNo=10112&togo=content Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zstas Опубликовано 17 апреля, 2017 · Жалоба подскажу чуть более конкретно: делайте traffic-policy + traffic-classifier (матчим по acl) + traffic-behavior (mirror). ну и вешайте на интерфейсы входящие эту traffic-policy. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Kumarik Опубликовано 18 апреля, 2017 · Жалоба а есть пример как все это работает? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Kumarik Опубликовано 19 апреля, 2017 · Жалоба вроде подразобрался acl number 3004 rule 5 permit tcp destination-port eq ftp rule 10 permit tcp destination-port eq domain rule 15 permit tcp destination-port eq www rule 20 permit tcp destination-port eq 81 rule 25 permit tcp destination-port eq 443 rule 30 permit tcp destination-port eq 888 rule 35 permit tcp destination-port eq 4001 rule 40 permit tcp destination-port eq 4002 rule 45 permit tcp destination-port eq 5000 rule 50 permit tcp destination-port eq 8001 rule 55 permit tcp destination-port eq 8080 rule 60 permit tcp destination-port eq 16869 acl number 3005 rule 75 deny tcp rule 80 deny udp traffic classifier TC_permit1 operator and if-match acl 3004 traffic classifier TC_deny operator and if-match acl 3005 traffic behavior TB_deny deny traffic behavior TB_permit permit traffic policy TP2 classifier TC_permit1 behavior TB_permit classifier TC_deny behavior TB_deny interface GigabitEthernet0/0/45 traffic-policy TP2 outbound undo ntdp enable undo ndp enable При таком наборе правил объем трафика сократился в 9 раз. но нужно еще wireshark подключить и посмотреть, что там точно происходит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zstas Опубликовано 19 апреля, 2017 · Жалоба можно так. убираете mirroring вообще. и в traffic behavior делаете вместо permit traffic behavior XXX mirroring observe-port 1 тогда не нужен второй classifier (который deny). и полиси вешаете уже на все интерфейсы входяшие на in Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 19 апреля, 2017 · Жалоба Kumarik А потом РКН внесет http://noviy_porno_site:6666/ , вы его не заблокируете и на следующий день получите штраф Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Kumarik Опубликовано 19 апреля, 2017 · Жалоба А потом РКН внесет http://noviy_porno_site:6666/ , вы его не заблокируете и на следующий день получите штраф да, и такой риск тоже есть, но мне нужно пока все это для отладки. а в будущем буду расширять канал и не трогать трафик - но это в будущем. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...