华为NE8000路由器：结合了ACL配置本地流镜像示例

华为NE8000路由器：结合了ACL配置本地流镜像示例

组网需求
如图1所示，为了监视从DeviceA经由DeviceB的interface3输入DeviceB的报文，设置DeviceB的interface5为观测端口，然后在interface3上配置流镜像。为了提高HostD的工作效率，在DeviceB的端口interface3上配置流量策略，只复制源地址为2.2.2.2的报文到interface5。
图1 配置流镜像组网图
本例的配置在DeviceA、DeviceB、DeviceC设备上进行，HUAWEI NetEngine 8100 M14, M8, NetEngine 8000E M14, M8, NetEngine 8000 M14K, M14, M8K, M8, M4系列可以作为DeviceA、DeviceB、DeviceC设备。
本示例中interface1，interface2，interface3，inerface4，interface5分别代表GE0/1/0，GE0/2/0，GE0/1/1，GE0/1/2，GE0/1/3。

配置注意事项
观测端口和镜像端口不能配置为同一个接口。

配置思路
采用如下的思路配置流镜像的基本功能：
配置DeviceB的GE0/1/3为观测端口。
在DeviceB的GE0/1/1端口上配置流量策略，并在镜像端口应用该流量策略。

数据准备
为完成此配置例，需准备如下的数据：
各接口的IP地址
观测端口和镜像端口的接口类型和接口编号
ACL号，流分类名，流行为名，流策略名

操作步骤
（1）配置各路由器接口的IP地址，并保证路由可达（略）
（2）配置GE0/1/3为观测端口
    <DeviceB> system-view
    [~DeviceB] interface gigabitethernet0/1/3
    [~DeviceB-GigabitEthernet0/1/3] port-observing observe-index 3
    [*DeviceB-GigabitEthernet0/1/3] commit
（3）配置整板镜像的观测端口
    [~DeviceB] slot 9
    [~DeviceB-slot-9] mirror to observe-index 3
    [*DeviceB-slot-9] commit
    [~DeviceB-slot-9] quit

（4）配置各路由器接口的IP地址，并保证路由可达（略）
在镜像端口GE0/1/1上配置流量策略
# 定义ACL规则。
[~DeviceB] acl 2001
[*DeviceB-acl-basic-2001] rule permit source 10.20.2.2 0.0.0.0
[*DeviceB-acl-basic-2001] commit
[~DeviceB-acl-basic-2001] quit
# 配置流分类，定义基于ACL的匹配规则。
[~DeviceB] traffic classifier a
[*DeviceB-classifier-a] if-match acl 2001
[*DeviceB-classifier-a] commit
[~DeviceB-classifier-a] quit
# 配置完成后，可以通过display traffic classifier user-defined命令查看类的配置信息。
[~DeviceB] display traffic classifier user-defined
User Defined Classifier Information:
   Classifier: a
    Operator: OR
    Rule(s) : if-match acl 2001 precedence 2
# 定义流行为，配置流镜像功能使能。
[~DeviceB] traffic behavior e
[*DeviceB-behavior-e] port-mirroring enable
[*DeviceB-behavior-e] commit
[~DeviceB-behavior-e] quit
# 定义流量策略，将流分类与流行为关联。
[~DeviceB] traffic policy 1
[*DeviceB-trafficpolicy-1] classifier a behavior e
[*DeviceB-trafficpolicy-1] commit
[~DeviceB-trafficpolicy-1] quit
# 将流量策略应用到接口上。
[~DeviceB] interface gigabitethernet0/1/1
[~DeviceB-GigabitEthernet0/1/1] traffic-policy 1 inbound
[*DeviceB-GigabitEthernet0/1/1] commit
[~DeviceB-GigabitEthernet0/1/1] quit
（5）检查配置结果
查看镜像信息可以用ping命令或其他产生流量的方法。例如：从DeviceA分别发10个源地址为10.20.2.2/32和10.1.1.0/32的ping报文到端口GE0/1/1，在主机D上应该能接收到DeviceA发出的源地址为10.20.2.2/32的报文，但是收不到源地址为10.1.1.0/32的报文。

#如果接口已经有别的策略了，是不可以再应用第2个策略的，可以考虑策略是否可以合二为一。
[~NE8000-1-GigabitEthernet0/7/0] traffic-policy pp1 inbound
Error: Traffic policy Route-Policy has already been applied.