SEO技术教程学习
重庆网站优化、网站排名服务

镜像模式怎么调_镜像模式设置方法

这两天根据工作需求将准入ASC由策略路由改为镜像模式了,运行正常,终端网络正常。整个配置流程弄下来还是比较简单的,今天小编和大家分享下其中的工作原理和配置关键点,让大家对镜像模式更熟悉。

一、准备工作

1、确认要更改工作模式的ASC设备是否是独立的,修改只影响自身下联的终端,不能影响总的ASM或者其他县区的ASC设备。

步骤:登陆ASM平台-安全规范-准入控制器管理-对应控制器-是否使用全局配置-否。

2、备份ASM配置

步骤:登陆ASM平台-系统设置-系统维护-配置备份恢复与导出-导出昨天的配置文件到本地。

镜像模式怎么调_镜像模式设置方法

镜像模式怎么调_镜像模式设置方法

3、备份核心交换机配置

到ASC连接的交换机save一下,并手动保存配置到本地txt。

4、镜像模式网络拓扑及工作原理

镜像模式怎么调_镜像模式设置方法

镜像模式怎么调_镜像模式设置方法

工作原理:

第一步:核心交换机镜像口接收到其它接口转发的流量,通过ETH0镜像口传输给准入ASC设备;

第二步:ASC将接收的数据发送给ASM做检测和比对;

第三步:ASM设备匹配自己的白名单和安全策略确认接收的流量是否满足预定规则;满足则将相关信息发送给ASC设备;不满足则一直在安检界面,提示要安装准入客户端或者必装软件;

第四步:ASC设备接收到ASM发送的允许通过的终端相关信息,通过管理口ETH2转发到核心交换机,然后根据交换机路由表正常出去。

二、配置步骤

1、核心交换机上取消vlan下的策略路由调用

(1)进入到vlan配置下,undo ip policy-based-route pbr

镜像模式怎么调_镜像模式设置方法

镜像模式怎么调_镜像模式设置方法

(2)测试策略路由是否取消成功

在终端使用tracert -d xxx.com是否正常且没有原先经过准入那一跳。

2、创建镜像组

(1)进入配置模式

[H3C]sys

(2)创建本地镜像组

[H3C]mirroring-group 1

(3)为镜像组配置源端口

注释:即下联终端设备的端口,所有与终端相连的端口都配置为源端口。

[H3C]mirroring-group 1 mirroring-port GigabitEthernet 1/0/1

(4)为镜像组配置目的端口

注释:即和准入ASC设备ETH0镜像口相连的接口,这里是1/0/40

[H3C]mirroring-group 1 monitor-port GigabitEthernet 1/0/40

镜像模式怎么调_镜像模式设置方法

镜像模式怎么调_镜像模式设置方法

镜像模式怎么调_镜像模式设置方法

镜像模式怎么调_镜像模式设置方法

3、更改ASC控制器IP配置

原先配置:

启用了eth0-untrust和eth2-manager两个网卡,IP必须配置正确。

镜像模式怎么调_镜像模式设置方法

镜像模式怎么调_镜像模式设置方法

修改后配置:

启用eth0-other、eth2-manager和eth3-untrust三个网卡,除了eth2管理口需要配置IP,其余都不需要配置;网关和DNS服务器地址不用修改。

注释:other网卡是镜像口必须存在的,eth2是管理口也需要,eth3的untrust网卡在业务上是不需要的,但是没有untrust网卡无法提交保存,另外untrust网卡也必须是亮的才行!!!

控制器IP配置提交后,需要重启设备。

镜像模式怎么调_镜像模式设置方法

镜像模式怎么调_镜像模式设置方法

4、ASC启用镜像管理

(1)开启镜像管理口

(2)重定向配置:

配置重定向报文发送端口:eth2管理口

eth2下一跳IP:为交换机和ASC设备eth2管理口相连的接口所在的vlan地址。

eth2下一跳MAC:点击“获取下一跳MAC”自动获得。

(3)监听端口配置:

当控制器IP修改提交重启设备后,这边就会出现eth0的选项了,勾选即可。

(4)启用镜像准入IP范围控制

这边必须配置,将交换机下联的终端IP范围添加进去。

镜像模式怎么调_镜像模式设置方法

镜像模式怎么调_镜像模式设置方法

三、确认结果

1、在终端PC上使用ping和tracert -d 测试网络是否正常。

2、手动到ASM平台强制测试终端下线或者卸载准入助手后再测试网络是否正常。

(1)网络无法访问,表示镜像模式配置成功。

(2)网络仍然可以访问,表示镜像模式有异常。

四、故障排查

首先登录准入后台地址:https://ASM_IP/tools.html,见图 14;下载 sshClient 工具,解压打开后 ssh 登录准入后台。(账号密码:sysdebug/sysdebug)

1、使用enable命令进入配置模式,输入如下命令:

testip 终端 IP 目标 IP -i

例如:testip 192.168.10.10 114.114.114.114 -i

因为我们的ASC版本比较老,不需要最后的-i

镜像模式怎么调_镜像模式设置方法

镜像模式怎么调_镜像模式设置方法

2、假如一直出现允许访问,可能是如下问题:

(1)测试终端IP被加入例外了。

(2)untrust网卡没有接线,网口不亮,可以查看控制器状态,是否有报警信息。

五、总结

经过如上步骤可以看出准入ASC的工作模式由策略路由改为镜像模式还是很简单的,把握住交换机镜像组配置和ASC设备控制器IP配置即可。

本文链接: http://www.xusseo.com/zatan/111416.html

版权声明:本文著作权归原作者徐三seo所有,转载请注明出处,感谢!

重庆SEO培训徐三为您提供最专业的SEO方案

SEO十万个为什么熊掌号专题

友情链接


#