-
XCM8800
系列交换机本地端口镜像与
ACL
镜像
功能配置与说明
文档说明:
端口镜像功能是大多数网络监控,排除故障的重要组成部分。依靠端口镜像功能,网络管理者能
通过监测、下载、分析数据包
了解到网络情况,解决网络中存在的问题。
XCM88
系列交换机不仅提供了常用的端口镜像功
能,
同时还能够通过
ACL
匹配需要分
析的流量实现更细化的镜像功能,
大大
提高数据包分析的精度。
文档适用性:
本文档主要介绍
XCM8800
本地镜像功能,对于远程镜
像功能有所涉及,但不作具体介绍。
镜像规则与限制:
1.
当关闭镜像功能时,所有的过滤器不能被配置
2.
要改变监控端口,首先要移除所有的过滤器
3.
不能镜像监控端口
4.
镜像配置被移除,当下列情况发生:
o
删除一个
VLAN
(对于所有基于
VLAN
的过
滤)
o
删
除一个
VLAN
的端口(对于所有
VL
AN
,基于端口的过滤)
o
不配置一个插槽(
slot
)(对于在该插槽上面的所有基于端口的过滤)
5.
任何的镜像端口也可以为负载共享
< br>(或链路聚合)
而启用,
然而,
负载共享组的每个单独端口必须被明确配置为镜像。
6.
镜像过滤器不限制在一个模块上,可以在多个模块上起用。
7.
不能使用管理端口进行镜像
8.
如果你需要镜像的标签包是<
/p>
1519
到
1522
字节,
在
1
对多的镜像情况下,<
/p>
需要启用
JUMBO
帧和
LOOPBACK
端口。
9.
LOOPBACK
口是一个实际
的物理端口,是专用于镜像端口,不能用于其它配置,当被指定时,
LED
会发亮。
10.
由于某
些限制,下面类型的包在使用出站
VLAN
将不能被出口镜像或
者基于虚拟端口的镜像。
o
CPU
产生的包
o
2
层多播流量
11.
当流量接近线速时,镜像速率可能下降,由于镜像是复
制流量,当负载高时,可用带宽将优先用于常规流量,而不是
镜像流量。
基本镜像功能配置步骤与命令:
< br>步骤
1
:配置镜像模式
#configure mirroring mode
[standard/enhanced]
standard
标准模式下,当一个数据包匹配入站镜像过滤器和出站镜像过滤器时,只能镜像到一份数
据包。
enhanced
增强模式
下,当一个数据包匹配入站镜像过滤器和出站镜像过滤器时,会同时镜像到两份数据包。在使用远程镜
像功能时,必须起用增强模式。
步骤
2
:配置监控端口(流量副本传输到此端口)
#enable mirroring to port M
镜像到一个端口
#enable mirroring to port-list X-Y
loopback-port Z
镜像到多个端口,
loopback
端口用于过渡流量使用,必
须是模块上一个真实存在的物理端口,该端口被配置为
loopback
后,
灯会亮起。
步骤
3
:配置被监控端口
(
过滤器
)
#enable mirroring add
[vlan
vlan
基于
VLAN
配置镜像过滤器
,
后面跟
VLAN
的名字
port
基于端口配置镜像过滤器,后面跟
< br>PORT
的号码
ingress
在入站方向上进行镜像监控,将流量送到监控口
egress
在出站方向上进行镜像监控,将流量送到监控口
注意:
1
、基于
VLAN<
/p>
的镜像只能将被监控端口的入站的数据包送到镜像端口上。
2
、以上的
M
,<
/p>
X
,
Y
,
Z
等分别代表不同的物理端口号
配置实例:
我们尝试使用以上拓扑,对
PC1----XCM8810
----PC2
设备的
ICMP
流量进
行监控:
基本配置:
1.
PC1
的
IP
:
10.1.1.100
网关:
10.1.1.1
2.
PC2
的
IP
:
10.1.2.100
网关:
10.1.2.1
3.
XCM8810
交换机起用三层交换特性,起用
VLAN
特性,起用
VLAN
间路
由特性:
VLAN SAM-1
的
IP
:
10.1.1.1
分配的端口有
8
:
10
VLAN SAM-2
的
IP
:
10.1.2.1
分配的端口有
8
:
12
4.
Monitor laptop
是监控入笔记本
安装有
Wireshark
的免费流量监控软件,接到
XC
M8810
的
8
:
14
号端口上。
5.
端口表示为
“
插槽
:<
/p>
端口号
”
例如:
8:10
代表从上往下数第八个插槽第十个端口。
以下给出三层交换机上面的基本
VLAN
等的配
置:
#create vlan sam-1
#create vlan sam-2
#configure vlan sam-1 tag 500
#configure vlan sam-2 tag 1000
#configure vlan default delete ports
8:10,8:12,8:14
#configure vlan sam-1
add ports 8:10 untagged
#configure vlan
sam-2 add ports 8:12 untagged
#configure vlan sam-1 ipaddress
10.1.1.1 255.255.255.0
#configure vlan
sam-2 ipaddress 10.1.2.1 255.255.255.0
#enable ipforwarding vlan sam-1
#enable ipforwarding vlan sam-2
#save
以下开始配置端口镜像功能
----
基本型:
#configure mirroring mode standard
#enable mirroring to port 8:14
#enable mirroring add port 8:10 //
默认情况下不选,则是应用在
ingress
、<
/p>
egress
两个方向
#enable mirroring add port
8:12
通过
PC1
的长时间
PING
进行测试:
ping 10.1.2.100
–
t,
通过
LAPTOP
上面的
wireshark
抓包。
< br>以下分别是将在
vlan
、
po
rt
作端口镜像时应用到端口
8:10
和
8:12
抓
icmp
包情况:
端口
8:10
Port
默认不写
(ingress/egress)
Port ingress
Port egress
vlan
sam-1
(只镜像入站流
量)
echo-request
echo-reply
echo-request
echo-reply
echo-request
Port
默认不写
(ingress/egress)
Port ingress
Port egress
端口
8:12
echo-
request
echo-reply
echo-
reply
echo-request
echo-
reply
vlan
sam-2
(只镜像入站流
量)
通过
ACL
方式实现端口镜像功能:
步骤
1
:编写
ACL
,将
ACL
中的
ACTION
项填写为
Mirro
ring
。具体原理请参考文档:
《
XCM8800
系列交换机
ACL
基础介绍
》
步骤
2
:配置镜像模式
步骤
3
:配置监控端口(流量副本传输到此端口)<
/p>
步骤
4
:将<
/p>
ACL
配置在需要被监控的端口上。具体原理请参考文档:
《
XCM8800
系列交换机
ACL
基础介绍
》
配置实例:
仍然以上例为基础,使<
/p>
icmp
流量作为需要监控的对象,向镜像监控端口发送流量。<
/p>
vlan
配置请参考上例中的配置语句
以下是
ACL
的
policy
配置:
#edit policy sam
entry sama {
if {
protocol icmp;
source-
address 10.1.1.0/24;
icmp-type echo-
request;
destination-address
10.1.2.0/24;
}
then {
mirror;count number;
} }
以下配置开启端口镜像功能:
#configure mirroring mode standard
#enable mirroring to port 8:14
< br>以下配置
ACL
到端口
8:10
和
8:12
:
configure access-list sam
ports 8:10,8:12
通过
PC1
的长时间
PING
进行测试:
ping 10.1.2.100
–
t,
通过
LAPTOP
上面的
wireshark
抓包。
< br>以下分别是通过
ACL
将在
vl
an
、
port
作端口镜像时应用到端
口
8:10
和
8:12
抓
icmp
包情况:
端口
8:10
Port
默认不写(
ingress
)
Port ingress
Port egress
echo-request
echo-request
端口
8:12
Port
默认不写(
ingress
)
Port ingress
echo-reply
echo-reply
ACL
不能被
应用于出站方
向
vlan
sam-2
(只镜像入站流
量)
echo-reply
ACL
不能被应用于出站方
Port
egress
向
vlan
sam-1
(只镜像入站流
量)
echo-request
以下是检查
ACL
或镜像、删除镜像常用命令:
show mirroring
//
查看镜像
show
access-list count vlan sam-1 //
查看
ACL
匹配的包数和
ACL
应用位置。
show configure vlan //
查看
vlan
配置
show policy sam //
查看名字叫
sam
的
ACL POLICY
check policy sam //
检查名字叫
sam
的
ACL POLICY
disable mirroring
//
直接关闭(删除)镜像功能
show vlan
//
查看
vlan
以下例子是
show mirroring
命令下的状态:
以上图片中,可以得出:
1.
镜像的模式为标准。
2.
端口
8:13
< br>为监控端口,端口上没有正常连接或没有连接网线。
3.
有两个过滤器
4.
过滤器分别配置到端口
8
:
10
和
8
:
12
的入站方向<
/p>
下午
13
:
00<
/p>
—
17
:
00
B
.实行不定时工作制的员工,在保证完成甲方工作任务情况下
,经公司同意
,
可自行安排工作和休息时间。
< br>
3
.
1
.
2
打卡制度
3.1.2.1
公司实行上、下班指纹录入打卡制度。全体员工都必须自觉遵守工作
时间,实行不定时工作制的员工不必打卡。
3.1.2.2<
/p>
打卡次数:一日两次,即早上上班打卡一次,下午下班打卡一次。
3.1.2.3
打卡时间:打卡时间为上班到岗时间和下班离岗
时间;
3.1.2.4
因公外出不
能打卡:因公外出不能打卡应填写《外勤登记表》
,
注明外出日
期、事由、外勤起止时间。因公外出需事先申请,如因特殊情况不能事先申请,应在事毕到岗当日完成申请、审批
手续,否则按旷工处理。因停电、卡钟(工
卡)故障未打卡的员工,上班前、下班后要及
时到部门考勤员处填写《未打卡补签申请表》
,由直接主管签字证明当日的出勤状况,报
部门经理、人力资源部批准后,月底由部门考勤员据此上报考勤。上述情况考勤由各部门或分公司和项目
文员协助人力资源部进行管理。
3.1.2.5
手工考勤制度
3.1.2.6
手工考勤制申请:由于工作性质,员工无法正常打卡(
如外围人员、出差)
,可由各部门提出人员名单,经主管副总批准后,报人力资源部审批
备案。
3.1.2.7
参与手工考勤
的员工,需由其主管部门的部门考勤员
(
文员
< br>)
或部门指定人员进行考勤管理,并于每月
26
日前向人力资源部递交考勤报表。
3.1.2
.8
参与手工考勤的员工如有请假情况发生,应遵守相关请、休假制度,如实填报相关表
单。
3.1.2.9
外派员工在外
派工作期间的考勤
,
需在外派公司打卡记录
;
如遇中途出差
,
持出差证明
,
出差期间的考勤在出差地所在公司打卡记录
;
3.2
加班管理
3.2.1
定义
加班是指员工在节假日或公司规定的休息日仍照常工作的情况。
A
.现场管理人员和劳务人员的加班应严格控制,各部门应按月
工时标准,合理安排工作班次。部门经理要严格审批员工排班表,保证员工有效工时达到要求。凡是达到月工时标
准的,应扣减员工本人的存休或工资;对超出月工时标准的,
应说明理由,报主管副总和
人力资源部审批。
B
.因员工月薪
工资中的补贴已包括延时工作补贴,所以延时工作在
4
小时(不
含)以下的,不再另计加班工资。因工作需要,一般员工延时工作
4
小时至
8
小时可申报加班半天,超过
8
小时可申报加班
1
天。对主管
(
含
)
以上管理人
员,一
般情况下延时工作不计加班,因特殊情况经总经理以上领导批准的延时工作,可按
以上标准计加班。
3.2.2.2
员
工加班应提前申请,事先填写《加班申请表》
,因无法确定加班工时的,应在本次加班完
成后
3
个工作日内补填《加班申请表》
。
《加班申请表》经部门经理同意,主管副总经理审核报总经理批准后有效。
《加班申请表》必须事前当
月内上报有效,如遇特殊情况,也必须在一周内
上报至总经理批准。如未履行上述程序,视为乙方自愿加班。
3.2.2.3
员工加班,也应按规定打卡,没有打卡记录的加班,公司不予承认;有打
卡记录但无公司总经理批准的加班,公司不予承认加班。
3.
2.2.4
原则上,参加公司组织的各种培训、集体活动不计加班。
3.2.2.5
加班工资的补偿:员工在排班休息日的加
班,可以以倒休形式安排补休。原则上,员工加班以倒休形式补休的,公司将根据工作需要统一安排在春节前后补
休。加班可按
1
:
1
< br>的比例冲抵病、事假。
3.2.3
加班的申请、审批、确认流程
3.2.3.1
《加班申请表》在各部门文员处领取,加班统计周期为上月
26
日至本月
25
日。
3.2.3.2
员工加班也要按规定打卡,没有打卡记录的加班,公
司不予承认。各部门的考勤员
(
文员
)
负责《加班申请表》的保管及加班申报。员工加班应提前申请,事先填写《加班申请表》
加班前到部门考勤员
(
文员
)
处领取《加班申请表》,
《加班申请表》经项目管理中心或部门经理同意
,主管副总审核,总经理签字批准后有效。填写并履行完审批手续后交由部门考勤员
(<
/p>
文员
)
保管。
3.2.3.3
部门考勤员(文员)负责检查、复核确认考勤记
录的真实有效性并在每月
27
日汇总交人力资源部,逾期未交的
加班记录公司不予承认。
下午
13
:
00
—
17
:
00 <
/p>
B
.实行不定时工作制的员工,在保证完成甲方工作任务情况下,
经公司同意
,
可自行安排工作和休息时间。
3
.
1
.
2
打卡制度
3.1.2.1
公司实行上、下班指纹录入打卡制度。全体员工都必须自觉遵守工作时
间,实行不定时工作制的员工不必打卡。
3.1.2.2
打卡次数:一日两次,即早上上班打卡一次,下午下班打卡一次。
3.1.2.3
打卡时间:打卡时间为上班到岗时间和下班离岗
时间;
3.1
.2.4
因公外出不能打卡:因公外出不能打卡应填写《外勤登记表》
< br>,
注明外出日期、事由、外勤起止时间。因公外出需事先申请,如因特殊情况不能
事先申请,应在事毕到岗当日完成申请、审批手续,否则按旷工处理。因停电、卡钟(工
卡)故障未打卡的员工,上班前、下班后要及时到部门考勤员处填写《未打卡补签申请表》
,由直接主管签字证明当日的出勤状况,报部门经理、人力资源部批准后,月底由部门考勤员据此上报考勤。上
述情况考勤由各部门或分公司和项目
文员协助人力资源部进行管理。
3.1.2.5
手工考勤制度
3.1.2.6
手工考勤制申请:由于工作性质,员工无法正常
打卡(如外围人员、出差)
,可由各部门提出人员名单,经主管副总批准后,报人力资源
部审批备案。
3.1.2.7
参与手
工考勤的员工,需由其主管部门的部门考勤员
(
文员
)
或部门指定人员进行考勤管理,并于每月
26<
/p>
日前向人力资源部递交考勤报表。
3.
1.2.8
参与手工考勤的员工如有请假情况发生,应遵守相关请、休假制度,如实填报
相关表单。
3.1.2.9
外派员
工在外派工作期间的考勤
,
需在外派公司打卡记录
;
如遇中途出差
,
持出差证
明
,
出差期间的考勤在出差地所在公司打卡记录
;
3.2
加班管理
3.2.1
定义
加班是指员工在节假日或公司规定的休息日仍照常工作的情况。
A
.现场管理人员和劳务人员的加班应严格控制,各部门应按月
工时标准,合理安排工作班次。部门经理要严格审批员工排班表,保证员工有效工时达到要求。凡是达到月工时标
准的,应扣减员工本人的存休或工资;对超出月工时标准的,
应说明理由,报主管副总和
人力资源部审批。
B
.因员工月薪
工资中的补贴已包括延时工作补贴,所以延时工作在
4
小时(不
含)以下的,不再另计加班工资。因工作需要,一般员工延时工作
4
小时至
8
小时可申报加班半天,超过
8
小时可申报加班
1
天。对主管
(
含
)
以上管理人
员,一
般情况下延时工作不计加班,因特殊情况经总经理以上领导批准的延时工作,可按
以上标准计加班。
3.2.2.2
员
工加班应提前申请,事先填写《加班申请表》
,因无法确定加班工时的,应在本次加班完
成后
3
个工作日内补填《加班申请表》
。
《加班申请表》经部门经理同意,主管副总经理审核报总经理批准后有效。
《加班申请表》必须事前当
月内上报有效,如遇特殊情况,也必须在一周内
上报至总经理批准。如未履行上述程序,视为乙方自愿加班。
3.2.2.3
员工加班,也应按规定打卡,没有打卡记录的加班,公司不予承认;有打
卡记录但无公司总经理批准的加班,公司不予承认加班。
3.
2.2.4
原则上,参加公司组织的各种培训、集体活动不计加班。
3.2.2.5
加班工资的补偿:员工在排班休息日的加
班,可以以倒休形式安排补休。原则上,员工加班以倒休形式补休的,公司将根据工作需要统一安排在春节前后补
休。加班可按
1
:
1
< br>的比例冲抵病、事假。
3.2.3
加班的申请、审批、确认流程
3.2.3.1
《加班申请表》在各部门文员处领取,加班统计周期为上月
26
日至本月
25
日。
3.2.3.2
员工加班也要按规定
打卡,没有打卡记录的加班,公司不予承认。各部门的考勤员
(
文员
)
负责《加班申请表》的保管及加班申报。员工加班应提前
申请,事先填写《加班申请表》加班前到部门考勤员
(
文员
)
处领取《加班申请表》,
《加班申请表》
经项目管理中心或部门经理同意,主管副总审核,总经理签字批准后有效。填写并履行完审批手续后交由部门考勤
员
(
文员
)
保
管。
3.2.3.3
部门考勤员(文
员)负责检查、复核确认考勤记录的真实有效性并在每月
27
日
汇总交人力资源部,逾期未交的加班记录公司不予承认。
下午
13
:
00
—
17
:
00
度。全体员工都必须自觉遵守工作时间,实行不定时工作
制的员工不必打卡。
3.1.2.2
打卡次数:一日两次,即早上上班打卡一次,下午下班打卡一次。
3.1.2.3
打卡时间:打卡时间为上班到岗时间和下班离岗时间;
3.1.2.4
因公外出不能打卡:因公外出不
能打卡应填写《外勤登记表》
,
注明外出日期、事由、外勤起止
时间。因公外出需事先申请,如因特殊情况不能事先申请,应在事毕到岗当日完成申请、审批手续,否则按旷工处
理。因停电、卡钟(工
卡)故障未打卡的员工,上班前、下班后要及时到部门考勤员处填
写《未打卡补签申请表》
,由直接主管签字证明当日的出勤状况,报部门经理、人力资源
部批准后,月底由部门考勤员据此上报考勤。上述情况考勤由各部门或分公司和项目
文员
协助人力资源部进行管理。
3.1.2.5
手工考勤制度
3.1.2.6
手工考勤制申请:由于工作性质,员工无法正常打卡(
如外围人员、出差)
,可由各部门提出人员名单,经主管副总批准后,报人力资源部审批
备案。
3.1.2.7
参与手工考勤
的员工,需由其主管部门的部门考勤员
(
文员
< br>)
或部门指定人员进行考勤管理,并于每月
26
日前向人力资源部递交考勤报表。
3.1.2
.8
参与手工考勤的员工如有请假情况发生,应遵守相关请、休假制度,如实填报相关表
单。
3.1.2.9
外派员工在外
派工作期间的考勤
,
需在外派公司打卡记录
;
如遇中途出差
,
持出差证明
,
出差期间的考勤在出差地所在公司打卡记录
;
3.2
加班管理
3.2.1
定义
加班是指员工在节假日或公司规定的休息日仍照常工作的情况。
A
.现场管理人员和劳务人员的加班应严格控制,各部门应按月
工时标准,合理安排工作班次。部门经理要严格审批员工排班表,保证员工有效工时达到要求。凡是达到月工时标
准的,应扣减员工本人的存休或工资;对超出月工时标准的,
应说明理由,报主管副总和
人力资源部审批。
B
.因员工月薪
工资中的补贴已包括延时工作补贴,所以延时工作在
4
小时(不
含)以下的,不再另计加班工资。因工作需要,一般员工延时工作
4
小时至
8
小时可申报加班半天,超过
8
小时可申报加班
1
天。对主管
(
含
)
以上管理人
员,一
般情况下延时工作不计加班,因特殊情况经总经理以上领导批准的延时工作,可按
以上标准计加班。
3.2.2.2
员
工加班应提前申请,事先填写《加班申请表》
,因无法确定加班工时的,应在本次加班完
成后
3
个工作日内补填《加班申请表》
。
《加班申请表》经部门经理同意,主管副总经理审核报总经理批准后有效。
《加班申请表》必须事前当
月内上报有效,如遇特殊情况,也必须在一周内
上报至总经理批准。如未履行上述程序,视为乙方自愿加班。
3.2.2.3
员工加班,也应按规定打卡,没有打卡记录的加班,
公司不予承认;有打卡记录但无公司总经理批准的加班,公司不予承认加班。
3.2.2.4
原则上,参加公司组织的各种培训、集体活动不计加班。
3.2.2.5
加班工资的补偿:员
工在排班休息日的加班,可以以倒休形式安排补休。原则上,员工加班以倒休形式补休的,公司将根据工作需要统
一安排在春节前后补休。加班可按
1
:
1
的比例冲抵病、事假。
3.2.3
加班的申请、审批、确认流程
3.2
.3.1
《加班申请表》在各部门文员处领取,加班统计周期为上月
26
日至本月
25
日。
3.2.3.2
员工加班也要按规定打卡,没有
打卡记录的加班,公司不予承认。各部门的考勤员
(
文员
)
负责《加班申请表》的保管及加班申报。员工加班应提前申请,事先
填写《加班申请表》加班前到部门考勤员
(
文员
)
处领取《加班申请表》,
《加班申请表》经项目管理
中心或部门经理同意,主管副总审核,总经理签字批准后有效。填写并履行完审批手续后交由部门考勤员
(
文员
)
保管。
3.2.3.3
部门考勤员(文员)负责检
查、复核确认考勤记录的真实有效性并在每月
27
日汇总交人力
资源部,逾期未交的加班记录公司不予承认。
-
-
-
-
-
-
-
-
-
上一篇:中兴2826S说明书
下一篇:华三配置大全