首页帮助文档软件下载故障处理按场景找工具工具全景图兼容性查询在线实验平台服务信息查询产品安全中心订单验收材料下载

安全态势感知管理平台SIP/探针STA

深信服安全感知平台(简称SIP)是一款面向全行业的大数据安全分析平台,旨在为用户构建一套集检测、可视、响应于一体的本地安全大脑,让安全可感知、易运营,更有价值。
点击可切换产品版本
知道了
不再提醒
SIP3.0.92
安全态势感知管理平台SIP/探针STA 文档 安装部署 交换机配置
{{sendMatomoQuery("安全态势感知管理平台SIP/探针STA","交换机配置")}}

交换机配置

更新时间:2024-09-04

常见主流交换机厂商镜像口流量配置如下,可根据实际情况做对应的调整。

STA是基于流的分析,即镜像的流量中绝大多数都需要完整的会话才能分析,所以在镜像时需要确保请求报文和响应报文都包含,且镜像到探针上一个口。

华为

# 配置GigabitEthernet0/0/1为镜像接口,GigabitEthernet0/0/2为观察接口,观察接口索引号为1。镜像GigabitEthernet0/0/1上的双向业务流量到GigabitEthernet0/0/2上。

<Quidway> system-view

[Quidway] observe-port 1 interface gigabitethernet 0/0/2

[Quidway] interface gigabitethernet 0/0/1

[Quidway-GigabitEthernet0/0/1] port-mirroring to observe-port 1 both

  1. 执行命令system-view,进入系统视图。
  2. 执行命令observe-port index interface interface-type interface-number ,配置观察接口。
  3. 执行命令interface interface-type interface-number,进入镜像接口的接口视图。
  4. 执行命令port-mirroring to observe-port index { both | inbound | outbound } ,配置接口镜像。

华三

# 配置GigabitEthernet0/0/1为镜像接口,GigabitEthernet0/0/2为观察接口,观察接口索引号为1。镜像GigabitEthernet0/0/1上的双向业务流量到GigabitEthernet0/0/2上。

<sysname>system-view

[sysname] mirroring-group 1 local

[sysname] mirroring-group 1 mirroring-port G0/0/1 both

[sysname] mirroring-group 1 monitor-port G0/0/2

  1. 执行命令system-view,进入系统视图。
  2. 执行命令mirroring-group number local ,建立一个镜像组。
  3. 执行命令mirroring-group 1 mirroring-port G0/0/1 { both | inbound | outbound },将端口加入到镜像组中,镜像可以根据实际情况灵活选择入方向、出方向及全部流量;both,全部流量;inbound,入方向流量;outbound,出方向流量
  4. 执行命令mirroring-group 1 monitor-port G0/0/2 ,设置镜像的目的端口

锐捷

# 配置fa0/1为镜像接口,fa0/2为观察接口,观察接口索引号为1。镜像fa0/1上的双向业务流量到fa0/2上。

Switch# configure terminal

Switch(config)#monitor session 1 source interface fa0/1 both

Switch(config)#monitor session 1 destination interface fa 0/2

  1. 执行命令configure terminal,进入全局配置模式。
  2. 执行命令monitor session 1 source interface fa0/1 { both | inbound | outbound } ,建立观察接口索引号为1,并将fa0/1加入该索引,镜像可以根据实际情况灵活选择入方向、出方向及全部流量;both,全部流量;inbound,入方向流量;outbound,出方向流量。
  3. 执行命令monitor session 1 destination interface fa 0/2 设置fa0/2为监控口。

思科

# 配置fa0/1为镜像接口,fa0/2为观察接口,观察接口索引号为1。镜像fa0/1上的双向业务流量到fa0/2上。

Switch# configure terminal

Switch(config)# monitor session 1 source interface fastethernet 0/1 both

Switch(config)# monitor session 1 destination interface fastethernet 0/2

  1. 执行命令configure terminal,进入全局配置模式。
  2. 执行命令monitor session 1 source interface fa0/1 { both | inbound | outbound } ,建立观察接口索引号为1,并将fa0/1加入该索引,镜像可以根据实际情况灵活选择入方向、出方向及全部流量;both,全部流量;inbound,入方向流量;outbound,出方向流量

执行命令monitor session 1 destination interface fa 0/2 设置fa0/2为监控口