功能需求

Netstream插卡配合NTA组件实现网络出口流量日志审计的典型配置

一、   组网需求:

用户希望在交换机S12508上使用Netstream板卡审计交换机S12508现网出口Ten-Ge9/0/1Ten-Ge9/0/2两个端口双方向的流量;采样比为10241。将相关日志发送到IMC服务器,通过NTA组件审计流量日志。

二、   组网图:

Netstream板卡位于交换机S125084号槽位。

 

三、   配置步骤:

1. IPVLAN规划

NTA服务器IP:x.x.78.22/24

Netstream板卡G0/1端口IP:x.x.78.21/24

S12508交换机G7/0/23,G7/0/24端口属于VLAN 27

S12508交换机上Vlan-interface27端口IP:x.x.78.1/24

2. S12508交换机的配置:

   #配置采样器

   <H3C-S12508> system-view

   [H3C-S12508] sampler cayang mode fixed packet-interval 10

   #配置本地镜像组并应用采样器

   [H3C-S12508] mirroring-group 1 local sampler caiyang

   #镜像端口Ten-Ge9/0/1 Ten-Ge9/0/2进出双方向的流量

[H3C-S12508]mirroring-group 1 mirroring-port Ten-GigabitEthernet 9/0/1 Ten-GigabitEthernet 9/0/2 both 

#将流量镜像到Ten-GigabitEthernet 4/0/1

[H3C-S12508] mirroring-group 1 monitor-port Ten-GigabitEthernet 4/0/1

  #创建vlan27

  [H3C-S12508]vlan 27

  #将端口GigabitEthernet 7/0/23GigabitEthernet 7/0/24加入valn27

  [H3C-S12508-vlan27]port GigabitEthernet 7/0/23  GigabitEthernet 7/0/24

#Vlan-interface27配置ip地址

[H3C-S12508] interface Vlan-interface 27

[H3C-S12508-Vlan-interface27] ip address x.x.78.1 255.255.255.0

# 启动ACSEI server以同步时钟

[H3C-S12508] acsei server enable

3. Netstream板卡的相关配置:

  # 创建黑洞类型INLINE转发组1

[H3C]inline-interfaces 1  blackhole

# 设置10GE端口工作在trunk模式,加入INLINE1inbound方向启动IP NetStream。启动ACSEI,以同步主控板的时钟。

[H3C]interface Ten-GigabitEthernet0/0

[H3C-Ten-GigabitEthernet0/0] port link-type trunk

[H3C-Ten-GigabitEthernet0/0] port trunk permit vlan all

[H3C-Ten-GigabitEthernet0/0] port inline-interfaces 1

[H3C-Ten-GigabitEthernet0/0] ip netstream inbound

[H3C-Ten-GigabitEthernet0/0] acsei-client enable

# 设置NetStream exporthost的地址和端口,IMC的端口为9021

[H3C]ip netstream export host x.x.78.22 9021

# 配置NetStream活跃和不活跃老化时间。

[H3C] ip netstream timeout active 1

[H3C] ip netstream timeout inactive 10

# 设置端口GE0/1IP地址。

[H3C-GigabitEthernet0/1] ip address x.x.78.21 255.255.255.0

# 设置到达网管中心的路由,以便于管理。

[H3C] ip route-static 0.0.0.0 0.0.0.0 x.x.78.1

# 设置SNMP,配置SNMP读写团体字,用来进行IMC的连接。

[H3C]snmp-agent

 [H3C]snmp-agent community read xxxxxxxxxx

[H3C]snmp-agent community write xxxxxxxx

[H3C]snmp-agent sys-info version all

4. IMC服务器和NTA组件相关配置:

   #IMC增加NETSTREAM设备

   具体操作略

   #配置流量日志审计

   IMC服务器首页选择 业务→流量分析与审计→配置管理(如图)

 

进入如下页面:

点击设备管理,增加NETSTREAM设备

 

在配置管理界面点击服务器管理,服务器配置

 

在配置管理界面点击流量分析任务管理,增加流量分析任务

四、   配置关键点

要审核日志必须先在服务器管理页面点击捕获日志,服务器才能审核接下来一小时的日志。

案例信息

案例类型:典型配置
案例号:KMS - 20627
创建时间:2012年2月27日
更新时间:2012年3月16日
发布时间:2012/3/16 5:31:19
文章密级:游客可见
有效期:长期有效
发布者:王宇飞 [wfw0689]
点击次数:1140
评论平均得分:0
关键词:
产品线:
产品系列:
产品版本:
技术分类:安全产品技术

附件
常用操作
收藏