Bendy

分享些工作上的经验,[机房自动检测域名/检测备案/自动白名单]   一  核心镜像流量 二  自制流量分析系统 三  自动检测备案信息

机房总进口..分流镜像.检测域名...然后再域名检测备案....然后录入黑/白名单....
这样一套系统的做法....现分享给各位落伍兄弟.

先是第一步....在机房核心交换机检测到本机房使用的域名情况.
本人的交换环境都是华为的93系列...如果你机房用其他品牌的.请只做参考.

思路: 使用traffic policy    流量策略方式,将流进机房方向的流量.筛选出需要的流量.然后镜像到监控端口.

具体做法
一\ 先定义acl 筛选规则

1. 
   
2. acl 3099
   
3.      rule 5 permit tcp destination-port eq www tcp-flag psh
   

复制代码

二\ 定义 监控端口   (需要G口,本例是以3/0/1示范)

1. 
   
2. observe-port 1 interface GigabitEthernet 3/0/1
   

复制代码

三\ 定义匹配策略 (随便命名,本例是checkdomain    3099 是上面定义的ACL)

1. 
   
2. traffic classifier checkdomain
   
3.   if-match acl 3099  
   

复制代码

四\ 定义策略操作 (随便命名,本例是checkdomain    1 是上面定义的监控端口编号)

1. 
   
2. traffic behavior checkdomain
   
3. mirroring to observe-port 1
   

复制代码

五\ 定义流量策略 (随便命名,本例是checkdomain  )

1. 
   
2. traffic policy checkdomain
   
3.   classifier checkdomain behavior checkdomain
   

复制代码

六\ 到机房总进线...流进方向应用策略

1. 
   
2. interface XGigabitEthernet5/0/0
   
3.     traffic-policy checkdomain inbound
   

复制代码

核心交换机操作完成..
大家基本上不用担心流量问题...
以我机房  20G平均流出带宽.
总流进基本上2-3G之间(没有攻击的情况下)
然后经过筛选后.需要镜像的流量..会在200M左右....
然后下一步..我们就要自制流量分析服务器.来分析域名了..

待续吧.


第二贴
分享些工作上的经验,[机房自动检测域名/检测备案/自动白名单] 二 自制流量分析系统

精

B哥来了。。。占沙发。。

打抱不平

占位再看

chpu

很不错！

一直在寻找

强势围观· 支持张总·

弗兰

支持蛋总

RJP

祖宗保佑，养猪大过牛

zhdd

技术贴啊啊啊

kingfisher