1:N Espelhamento de porta para vários destinos em switches
SUMMARY Você pode usar o recurso de espelhamento de porta descrito neste documento para espelhar o tráfego em vários destinos de Camada 2.
1:N Espelhamento de porta — Descrição e diretrizes de configuração
- O que é espelhamento de porta 1:N?
- Preparando-se para configurar o espelhamento de porta 1:N — diretrizes e limitações
- Visão geral das tarefas de configuração para espelhamento de porta 1:N
O que é espelhamento de porta 1:N?
Usamos o termo espelhamento de porta 1:N neste documento para consultar o recurso que permite espelhar pacotes em vários destinos. "1" representa a fonte do pacote sendo espelhada e "N" representa os vários destinos a que o pacote é enviado. Você também pode ver esse recurso descrito como espelhamento multiembalado.
O espelhamento de portas ajuda os administradores de rede a depurar problemas de rede e a evitar ataques na rede. Você pode usar o espelhamento de porta para análise de tráfego em dispositivos de rede, como roteadores e switches que, ao contrário dos hubs, não transmitem pacotes para todas as interfaces no dispositivo de destino. O espelhamento de portas envia cópias de todos os pacotes para analisadores locais ou remotos onde você pode monitorar e analisar os dados.
Você usa espelhamento de porta 1:N para espelhar o tráfego em vários destinos de Camada 2. Você usa grupos de próximo salto nesta configuração de recursos.
Você configura essas várias portas de observação com conexões a diferentes dispositivos de monitoramento.
Preparando-se para configurar o espelhamento de porta 1:N — diretrizes e limitações
Você pode configurar o recurso de espelhamento de porta de 1:N nos seguintes dois métodos de configuração:-
Espelhamento de porta (usando um método baseado em filtro de firewall) na hierarquia
[edit forwarding-options port-mirroring instance] -
Analisador nativo na hierarquia
[edit forwarding-options analyzer]
Você pode configurar ambos os métodos anteriores no mesmo dispositivo. Veja os resultados da configuração de exemplo.Resultados da configuração da amostra
As famílias de endereços a seguir são apoiadas em espelhamento de porta 1:N:
-
ethernet-switching -
inet -
inet6
Aqui estão as limitações que você precisa ter em mente ao configurar o recurso:
-
Os membros do grupo de próximo salto podem ser apenas de Camada 2, não de Camada 3.
- Você pode configurar o suporte apenas para espelhamento de porta local — ou seja, não para espelhamento remoto de portas ou para espelhamento remoto de porta em um endereço IP (encapsulamento GRE).
next-hop-group output -
Você pode configurar até 4 grupos de próximo salto, e você pode somar 4 interfaces a cada grupo de next-hop. Você deve definir pelo menos 2 destinos para enviar pacotes a mais de um destino; no entanto, você pode definir apenas um destino em um grupo de próximo salto.
lista as combinações de hierarquia de configuração que você usa para criar sua topologia de espelhamento de 1:N:Tabela 1
| Método de configuração | Hierarquias |
|---|---|
|
Espelhamento de porta (baseado em filtro) |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Analisador nativo |
|
|
|
|
|
|
|
|
|
Você pode ler as subseções de tarefa de configuração ou aproveitar os resultados de configuração de amostra que mostram os resultados combinados da tarefa.Resultados da configuração da amostra
Visão geral das tarefas de configuração para espelhamento de porta 1:N
As subseções de tarefa de configuração a seguir mostram como configurar cada uma das hierarquias listadas na Tabela 1.Tabela 1 Você pode ler as subseções de tarefa de configuração ou aproveitar os resultados de configuração de amostra que mostram os resultados combinados da tarefa.Resultados da configuração da amostra
Configure a instância de espelhamento de porta
Para configurar a instância de espelhamento de porta, insira os seguintes comandos no modo de configuração:[edit]
Configure o analisador nativo
Para configurar o analisador nativo, insira os seguintes comandos no modo de configuração:[edit]
- definir a interface de entrada de entrada do analisador de opções de encaminhamento analyzer-nameinterface-name
- definir opções de encaminhamento de saída de analisador next-hop group analyzer-namenext-hop-group-name
Configure grupos de próximo salto
Para configurar grupos de próximo salto, insira o seguinte comando no modo de configuração:[edit]
Você deve configurar o valor como .group-typelayer-2
Configure o filtro de firewall
Para configurar o filtro de firewall, insira os seguintes comandos no modo de configuração:[edit]
Definir um filtro de firewall que faz referência ao grupo de próximo salto como a ação do filtro.
Para obter informações sobre a configuração de filtros de firewall em geral, consulte as políticas de roteamento, filtros de firewall e guia de usuários de policiais de tráfego.https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/config-guide-policy/config-guide-policy.html
- definir termo de filtro da família de firewall e, em seguida, instância de espelho de portafamily-namefilter-nameterm-nameinstance-name
- definir termo de filtro da família de firewall a partir da porta de origemfamily-namefilter-nameterm-nameport-number
Configure as interfaces
Para configurar as interfaces, insira os seguintes comandos no modo de configuração:[edit]
- definir interfaces unidade interface-modo de interface interface-namelogical-unit-number family-namemode
- definir interfaces unidade entrada de filtro de famíliainterface-namelogical-unit-number family-namefilter-name
Configure as VLANs
Para configurar VLANs, insira os seguintes comandos no modo de configuração:[edit]
Resultados da configuração da amostra
set interfaces ge-2/1/9 unit 0 family ethernet-switching interface-mode trunk set interfaces ge-2/1/9 unit 0 family ethernet-switching vlan members 100-102 set interfaces ge-2/2/7 unit 0 family ethernet-switching interface-mode trunk set interfaces ge-2/2/7 unit 0 family ethernet-switching vlan members 100-102 set interfaces ge-2/3/0 unit 0 family ethernet-switching interface-mode trunk set interfaces ge-2/3/0 unit 0 family ethernet-switching vlan members 100-102 set interfaces ge-2/3/0 unit 0 family ethernet-switching filter input f1 set forwarding-options analyzer analyz1 input ingress interface ge-2/3/0.0 set forwarding-options analyzer analyz1 output next-hop-group nhg1 set forwarding-options port-mirroring instance inst1 family ethernet-switching output next-hop-group nhg1 set forwarding-options next-hop-group nhg1 group-type layer-2 set forwarding-options next-hop-group nhg1 interface ge-2/2/7.0 set firewall family ethernet-switching filter f1 term t1 from source-port 7023 set firewall family ethernet-switching filter f1 term t1 then port-mirror-instance inst1