Gigamon-CLI配置手册v3.doc

Gigamon CLI配置手册 Gigamon CLI配置手册2010-6 目 录1.访问方式22.配置系统管理IP23.开启SSH或Telnet24.升级25.创建用户名账号36.保存配置37.Citrus 图形用户界面（GUI）38.端口协商参数设置49.配置案例49.1Connect49.2Pass-all59.3Filter69.4Map79.4.1Single-Tool map79.4.2Multi-Tool map89.4.3ST map 与MT map比较99.5Filter与Map比较109.6逻辑“或”“与”的配置119.7UDA（用户自定义过滤）119.7.1 通过UDA来过滤分流ping request和reply包129.7.2 通过UDA过滤MPLS1510.堆叠Stack1510.1标准模式（Classic stack mode）和主从模式（Master/Slave stack mode）1510.2Master/Slave stack mode配置案例：1610.3将10G堆叠口转成network/tool port1711.GigaTap1811.1说明1811.2命令1811.3Tap配置案例1812.奇偶校验1913.TCP control2014.IP fragment2015.查看和删除命令2116.Gigamon的过滤参数211. 访问方式（1） Console口访问波特率选115200（2） Mgmt口访问管理口，通过网线访问，默认IP为，默认管理员root，密码root1232. 配置系统管理IPconfig system dhcp 0 ipaddr subnetmask gateway 54 -dhcp 1 表示 enable，0表示disable保存配置 config save filename例如 config save default.cfg系统缺省IP为/243. 开启SSH或Telnet注意：ssh和telnet不能共存，只能开启一个Config system ssh2 -1-enable ，0-disable4. 保存、备份、恢复和升级4.1. 保存classic mode： config save gigavue1.cfg nbMaster/slave mode： config save gigavue10.cfg nb dbid 104.2. 备份将配置文件备份至TFTP server：Classic mode： upload cfg gigavue1.cfg TFTP_IP_AddressMaster/slave mode： upload cfg gigavue10.cfg TFTP_IP_Address dbid 104.3. 恢复从TFTP server恢复备份文件（1）导入备份文件Install -cfg gigavue1.cfg TFTP_IP_Address（2）设置备份文件为下次启动的配置文件config save gigavue1.cfg nb（3）重启设备reset system4.4. 升级通过TFTP上传image文件gva6114，然后直接安装Classic mode： install gva6114 TFTP_IP_AddressMaster/slave mode： install gva6114 TFTP_IP_Address dbid 10重启Classic mode： reset systemMaster/slave mode： reset system dbid 105. 创建用户名账号管理员：config user yifei yifei123 yifei123 level super6. 保存配置配置完后，记得要保存config save filename7. Citrus 图形用户界面（GUI）（1） 如果要使用Citrus 1.1，GigaVUE必须升级至v6.1（2） Citrus不支持IE6，支持IE7/IE8，请勿使用IE6访问Citrus打开Citrus：GigaVUEconfig web_server admin 1 #打开web_serverGigaVUEshow web_server Admin : 1 Operation : 1 HTTP port : 80 HTTPS port : 443 Timeout : 20 (minutes) HTTPS Cert : Default Certificate然后web访问Gigamon的IP8. 端口协商参数设置对于千兆电口 : auto-negotiation 一定要设置 “1 “对于千兆光口 : auto-negotiation 要设置 “0 “并且设置speed = 1000bps可能有些1Gbps 光口的auto negotiation需要设置成“1”端口才能起来, 原因是有些switch / router /tool（特别是Cisco的交换机） 对auto negotiation实现会有差异, 会接受auto-neg =1。9. 配置案例9.1 Connection Connection的作用是在端口之间建立一个基础的连接，该连接可关联filter。没有关联任何filter的connect等同与pass-all（数据透传，不对数据进行任何修改）。1、2、3、4口为net口，5、6、7、8为tool口，先将5、6、7、8定义成tool：config port-type 5.8 tool定义connect，建立基础连接37、8 ：config connect 3 to 7.8 关联filter：过滤ICMP数据定义filterconfig filter allow protocol icmp alias icmp_map 将filter指定到port config port-filter 7 icmp_mapconfig port-filter 8 icmp_map保存配置config save default.cfg 查看状态：Show connectShow filter9.2 Pass-allpass-all指将所有的输入数据完整的传送给输出端口，不进行任何修改:connect 沒有关联filter 或mapping = config pass-allconfig port-type 2 toolconfig pass-all 1 to 2保存配置config save default.cfg 9.3 Filter（1） filter可以permit / deny 特定条件的数据流（2） filter分为pre-filter和post-filter：pre-filter为前端过滤，即在network port上进行过滤；post-filter为后端过滤，即在tool port上过滤。Gigamon推荐使用pre-filter。 【详情见GigaVUE_61_UG.pdf page 229】举例：数据从port 1输入，通过filter来过滤出ipdst= port=1521双向所有数据流，传送至port 8：将port 8定义为数据输出端口tool portconfig port-type 8 tool在port 1和8之间建立连接connectconfig connect 1 to 8 配置filter条目，并命名config filter allow ipdst portdst 1521 alias filter1config filter allow ipdst portsrc 1521 alias filter2config filter allow ipsrc portdst 1521 alias filter3config filter allow ipsrc portsrc 1521 alias filter4将filter指定到port 1 (pre-filter)config port-filter 1 1.4 #将filter 1至4绑定到port 1，1 为port 1，1.4为filter条目编号(如果采用post-filter，即为config port-filter 8 1.4 )保存配置config save default.cfg 配置完看状态，show connectshow filter：9.4 Map9.4.1 Single-Tool mapSingle-tool map（简称st-map）注意：（1） 一个network port只能建一个st-map，同样也不能再建mt-map；一个st-map可以配置多条map-rule；（2） 一个map-rule只能关联一个tool port（3） 一个network port 建立st-map后，不能再建connection和filter，但是可以建pass-all举例：先将5、6、7、8定义成tool：config port-type 5.8 tool定义一个map，取名叫MAPconfig map type st alias St-Map 配置MAP的规则，将map-rule与port 7绑定config map-rule St-Map rule protocol icmp tool 7将map绑定到进入的3口config mapping net 3 map St-Map保存配置config save default.cfg 配置完后，记得要保存config save filename9.4.2 Multi-Tool mapMulti-tool map（简称mt-map）注意：（1） 一个network port只能建一个mt-map，同样也不能再建st-map；一个mt-map可以配置多条map-rule；（2） 一个map-rule可以关联至多个tool port（3） 一个network port 建立mt-map后，不能再建connection和filter，但是可以建pass-all案例：将5至8设置成tool portconfig port-type 5.8 tool将multi-tool map命名为testconfig map type mt alias test将0的数据传送至5、6、7config map-rule test rule ipsrc 0 ipsrcmask /32 tool 5 6 7config map-rule test rule ipdst 0 ipdstmask /32 tool 5 6 7将IPV6的数据传送至7config map-rule test rule ipver 6 tool 7将其他数据传送至8config map-rule test rule collector tool 8将test绑定至network口1和2config mapping net 1 2 map test保存配置config save default.cfg 9.4.3 ST map 与MT map比较【详情见GigaVUE_61_UG.pdf 283页】（1） St_map中每条map rule只能发送数据流到单一的tool port，不能发送至多个tool port；Mt_map中每条map-rule可以发送数据流到多个tool port。（2） St-map支持UDA（用户自定义）或Gigastream功能，用了UDA或Gigastream后，只能配置非常少的pass-all和port-pair（使用UDA时，port-pair由12个减少到2个；使用Gigastream时，pass-all由23个减少为4个）；Mt-map不支持UDA和Gigastream，所有说，UDA map只能应用在st_map上，不能应用在mt_map上。如果不使用UDA或者Tool GigaStream功能的时候，建议全部使用MT-MAP。举例：该情况只能通过mt-map或者filter来配置：MT-MAP：config port-type 7.8 toolconfig map type mt alias mt-mapconfig map-rule mt-map rule ipdst 5 tool 7 8config mapping net 3 map mt-map保存配置config save default.cfg Filter：config port-type 7.8 toolconfig connect 3 to 7.8config filter allow ipdst 5 alias testconfig port-filter 3 test保存配置config save default.cfg 配置完后，记得要保存config save filename9.5 Filter与Map比较（1） Gigamon推荐使用map；（2） Filter (分为前过滤pre-filter和后过滤post-filter)是在connection之上进行简单的数据包分流；Maps 的map-rules 其实是pre-filters (network-port filter) 。Maps 是用于从同一数据源(一个或多个Network port)分流到多个不同tool ports, 而每个tool port所需的过滤要求不同。用Maps 就可以减省用post-filters。因post-filters 消耗的资源比较多, 要尽量使用Maps，而且post-filters 最多100个/System 。（3） Map支持Virtual Drop port，可以将不需要的数据丢弃到虚拟的Drop端口；（4） Map支持collector，可以将其他不匹配任何规则的数据收集，然后送到指定端口（不能送到drop端口）（5） 用了mapping的networkport不能再用filter（6）9.6 逻辑“或”“与”的配置逻辑“或”：只需要匹配规则的多个参数中的任意一个参数Network port为1，允许源端口号为80或者目标端口号为80的数据进入tool port 10 config map type mt alias testConfig map-rule test rule portsrc 80 tool 1Config map-rule test rule portdst 80 tool 10Config mapping net 1 map test逻辑“与”：必须同时匹配规则中的所有参数Network port为1，只允许源端口号为80和目标端口号为80的数据进入tool port 10config map type mt alias testConfig map-rule test rule portsrc 80 portdst 80 tool 10Config mapping net 1 map test9.7 UDA（用户自定义过滤）UDA可以与filter和st-map配合使用，不能在mt-map上使用举例：9.7.1 通过UDA来过滤分流ping request和reply包抓包：ICMP request报文：ICMP reply报文：配置命令：config port-type 1 networkconfig port-type 2 3 toolconfig uda uda2_offset 30config map type st alias icmp_ping_msgconfig map-rule icmp_ping_msg rule uda2_data 0x00000000-08000000-00000000-00000000 uda2_mask 0x00000000-fff00000000 tool 2config map-rule icmp_ping_msg rule uda2_data 0x00000000-00000000-00000000-00000000 uda2_mask 0x00000000-fff00000000 tool 3config mapping net 1 map icmp_ping_msg保存配置config save default.cfg 配置解释：（1）uda与offset Offset与uda是同一个东西，只是在不同型号设备上面不同的称呼（2）分辨request和reply的原理区别ICMP的request和reply包是通过type（类型）和code（代码）来决定的，根据抓包图中的信息，hex 0x0800是Ping Request; 0x0000是Ping Reply。ICMP以太网数据包结构为 以太网II帧头+IP头+ICMP其中：Ethernet帧头 (非VLAN)是14个bytes；IP头 (没有报文头选项) 是20个bytesICMP Message header的头2个byte是type & code (hex 0x0800是Ping Request; 0x0000是Ping Reply), 就是在IP header之后, 即第35th & 36th byte。所以我们只要确定数据包的第35th & 36th byte为0800就可以分辨出ping request；如果为0000，就可分辨为ping reply（3）uda、offset（偏移量）和pattern match（模式匹配）Uda分为uda1_offset 和uda2_offset，通过offset+pattern match来指定35th & 36th byte其中pattern match共长16 byte, 在offset之后. 如用uda2 offset (default=30), pattern match就是在header 的第31至46 byte. 如用 uda1 offset (default=14), pattern match就是在header 的第15至30 byte. 由于ICMP Header的第1个byte是在整个frame /packet header的第35th byte，所以我们选用default为30 byte的uda2_offset ( 注:我们尽量不用global offset, 因GV2404/GV420只支持2个global offsets (全局偏移量)，然后再在pattern match中再加5th byte & 6th byte，就可以找到35th & 36th byte的位置0x0800（位模式可参考6.1 User Guide page 246 (specifying patterns and masks).）（4）0x00000000-08000000-00000000-00000000中08位置0x00000000-08000000-00000000-00000000 是采用十六位制(Hex). 即每2位数字代表一个byte.uda2_offset =30, uda2_data的第一位数字(Hex六进位数) 为header第31 byte上半byte.uda2_data如下所示：1st number = header第31 byte上半部分2nd number = header第31 byte下半部分3rd number 4th number5th number6th number7th number8th number|9th number = header第35 byte 上半部分10th number = header第35 byte下半部分.32th number（4）由于offset可以为2110，以4递进，可以设置offset=34来配置config uda uda2_offset 34config map type st alias icmp_ping_msgconfig map-rule icmp_ping_msg rule uda2_data 0x08000000-00000000-00000000-00000000 uda2_mask 0xff000000-00000000-00000000-00000000 tool 2config map-rule icmp_ping_msg rule uda2_data 0x00000000-00000000-00000000-00000000 uda2_mask 0xff000000-00000000-00000000-00000000 tool 39.7.2 通过UDA过滤MPLS过滤标签为0x00017的MPLS数据包1）MPLS的以太网类型是0x8847，2）从上图中可以看到，MPLS label 长20 bits =2.5 bytes，放在Ethernet frame header (长14 bytes)后面，所有MPLS label的位置为15byte 16.5byte，选用uda1_offset (default = 14),然后0x00017为 uda1_data的头5位Hex。配置如下：Config uda uda1_offset 14Config filter allow ethertype 0x8847 uda1_data 0x00017000-00000000-00000000-00000000 uda_mask 0xffff00000000-00000000 alias MPLS_label10. 堆叠Stack10.1普通模式（Classic stack mode）和主从模式（Master/Slave stack mode）（1） 2404上的非TAP 的10G口都可以作为堆叠口，两台2404作堆叠时，可以用多个堆叠口进行GigaStream端口汇聚，加大带宽；（2） GV-420 v6或以前的版本只支持x1 & x2 做stacking. GV-420 v7 支持x1, x2, x3 & x4都可以做stacking.（3） 2404和420都可以设置成Classic stack mode和Master/Slave stack mode，但是MP只能设成Classic和Slave，不能作为Master。（4） 设置成Master/Slave stack mode时，只能在Master上进行配置10.2 Master/Slave stack mode配置案例：10.3将10G堆叠口转成network/tool port方式一：通过CLI命令行，在Stacking info中的x1 和x2即为万兆口config system active_link none配置后， x1 & x2 就会自动变回Network. 再看GUI 有沒有x1 & x2.方式二： 通过Citrus进行修改11. GigaTap11.1 说明（1）GigaVUE-MP上的GigaTAP-SX是用来以太网链路进行分路,只可以配置成Network port；（2）Port 13-16是copper(电口)，TAP (GigaTAP-TX) 上的4个端口, 即可TAP两条链路；（3）Copper TAP 跟光纤TAP不同. 光纤TAP利用光纤分路令链路上的data自然流经GigaVUE；Copper TAP用Relay (close/open) 去控制data 是否流经GigaVUE。Show connect 看到port number 有( ) 即表示copper 端口，( ) 里有”-“ 即表示passive = relay close data 不流经GigaVUE，如想转为 active = relay open 就要做 “config port-pair” 及”config port-params xx taptx active”GigaTAP-TX（或GigaTAP-CU）没有开启tap功能时，功能和PRT-400相同。（4）420和2404中，任意两个port之间也可以进行port-pair，形成tap，但是这种port-pair形成的tap没有服务连续性的保证，如power outage和dataflow； MP限制在同一module中的port可以进行port-pair，即port1-8或gigaport中的4个口11.2 Giga-TAP的配置命令1） 端口配对port-pairsConfig port-pair 13 14 alias tap1 2） 开启relayConfig port-params 13 taptx active11.3 Tap配置案例注意：1. GigaTAP-TX的Port-Pair是双向的。除非data从交换器到port13 & port 14 本是单向的。否则交换机与port13/port14之间的data应画成双向(MP 里的红箭头也应是双向的)。2. ICMP filter 可放在port 13. 不用分别放在port 7 & port 83. Port 13 带给MP的data只是port 13 port 14 方向4. Port14 带给MP的data只是port 14 port 13 方向5. 如果要监控双向的话, connect port14 to tool port 也是需要的配置：定义port-pairConfig port-pair 13 14 alias tap1开启 relay on port 13 14Config port-params 13 taptx active(port 14也有relay，不过上面那条命令已经将13和14的relay打开，所以不用再另配)定义7、8为tool，config port-type 7.8 tool定义137、8 ：config connect 13 to 7 8config connect 14 to 7 8定义filterconfig filter allow protocol icmp alias ICMP 关联port-filter config port-filter 7 ICMPconfig port-filter 8 ICMP12. 奇偶校验even（偶）odd（奇）no（不校验）1) 主要对端口号port number和vlan ID进行校验:2) 对端口号校验主要用在VOIP数据流进行过滤：如RTP采用偶数（even）端口号，RTCP采用奇数（odd）端口号。例如：丢弃1638416624范围内的源端口号为偶数的数据Config filter deny portsrc 16384.16624 even alias deny_src_cisco_rtp丢弃1638416624范围内的目的端口号为偶数的数据Config filter deny portdst 16384.16624