API Guide
Identifier GUID-BCBBC2AF-C560-4D94-9BFA-9141AD6DAF86
Version 6
Status Translation approved
Continue 子句
只有 BGP 路由-映射支持 continue 子句。找到匹配项时,set 子句将运行并转发数据包 — 不会进行路由映射处理。如果您在不配
置模块的情况下配置 continue 子句,则下一个顺序模块将继续。
如果您在模块的末尾配置 continue 命令,则在找到匹配项后,下一个模块仍会继续。该示例显示了路由映射模块末尾的 continue
子句 — 如果在路由映射中找到匹配项,则 test 模块 10、模块 30 将继续。
Route-map continue 子句
OS10(config)# route-map test permit 10
OS10(conf-route-map)# continue 30
Identifier GUID-072EA16B-E1A6-487D-A316-59920593AD49
Version 8
Status Translation approved
基于 ACL 流的监控
基于流的监控可通过仅选择要镜像的所需流来节省带宽,而不是从接口镜像整个数据包。此功能可用于 L2 和 L3 入口流量。使用
ACL 规则指定基于流的监控。基于流的监控可复制传入的数据包,可与在入口端口上应用的 ACL 规则匹配并转发,或将其镜像到另
一个端口。源端口为受监控的端口 (MD),目标端口为监控端口 (MG)。
当数据包到达受监控的端口时,数据包将根据配置的 ACL 规则进行验证。如果数据包与某个 ACL 规则匹配,系统会检查相应的流处
理器并执行为该端口指定的操作。如果在流处理器条目中设置了镜像操作,则会将端口详细信息发送到目标端口。
基于流的镜像
基于流的镜像是一种镜像会话,其中流量与镜像到目标端口的指定策略匹配。基于端口的镜像可以维护一个包含所有监控会话的数
据库,包括端口监控会话。数据库包含有关针对基于流的监控已启用或未启用的会话的信息。基于流的镜像也称为基于策略的镜
像。
要启用基于流的镜像,请使用 flow-based enable 命令。将检查包含穿过入口接口的特定流的流量。适当的 ACL 规则会在入口
方向应用。默认情况下,未启用基于流的镜像。
要启用穿过目标端口的流量的评估和复制,请使用适用于为分配到源或受监控端口 (MD) 的 permit、deny 或 seq 命令配置监控选
项。为 ACL 规则输入关键 capture session session-id 和 seq、permit 或 deny 命令,以允许或丢弃 IPv4、IPv6、ARP、
UDP、EtherType、ICMP 和 TCP 数据包。
IPV4-ACL 模式
seq sequence-number {deny | permit} {source [mask] | any | host ip-address} [count [byte]]
[fragments] [threshold-in-msgs count] [capture session session-id]
如果配置了 flow-based enable 命令,但未在源端口或受监控端口上应用 ACL,则基于流的监控和端口镜像都无法正常工作。只
有入口流量支持基于流的监控。
命令 show monitor session session-id 将显示输出,指示是否已启用特定会话进行流监控。
查看基于流的监控
OS10# show monitor session 1
S.Id Source Destination Dir SrcIP DstIP DSCP TTL State Reason
----------------------------------------------------------------------------
1 ethernet1/1/1 ethernet1/1/4 both N/A N/A N/A N/A true Is UP
与 ACL 规则匹配的流量
OS10# show ip access-lists in
Ingress IP access-list testflow
Active on interfaces :
ethernet1/1/1
seq 5 permit icmp any any capture session 1 count (0 packets)
seq 10 permit ip 102.1.1.0/24 any capture session 1 count bytes (0 bytes)
1068
访问控制列表