1:N 端口镜像到交换机上的多个目标
您可以使用本文档中介绍的端口镜像功能将流量镜像到多个第 2 层目标。
1:N 端口镜像 — 说明和配置准则
什么是 1:N 端口镜像?
在本文档中,我们使用术语 1:N 端口镜像 来指代使您能够将数据包镜像到多个目标的功能。“1”表示要镜像的数据包源,“N”表示数据包发送到的多个目标。您可能还会看到此功能被描述为 多数据包镜像。
使用 功能资源管理器 确认平台和版本对特定功能的支持。
查看 特定于平台的 1:N 端口镜像 行为 与您的平台相关的注意事项。
端口镜像可帮助网络管理员调试网络问题并抵御对网络的攻击。您可以使用端口镜像对网络设备(如路由器和交换机)进行流量分析,与集线器不同,这些设备不会将数据包广播到目标设备上的每个接口。端口镜像会将所有数据包的副本发送到本地或远程分析器,您可以在其中监视和分析数据。
您可以使用 1:N 端口镜像将流量镜像到多个第 2 层目标。在此功能配置中使用下一跃点组。
您可以通过连接到不同的监控设备来配置这些多个观察端口。
准备配置 1:N 端口镜像 — 准则和限制
您可以通过以下两种配置方式配置 1:N 端口镜像功能:-
层次结构中的
[edit forwarding-options port-mirroring instance]端口镜像(使用基于防火墙过滤器的方法) -
层次结构中的
[edit forwarding-options analyzer]本机分析器
您可以在同一台设备上配置上述两种方法。有关示例,请参阅 示例配置结果 。
1:N 端口镜像支持以下地址族:
-
ethernet-switching -
inet -
inet6
以下是配置该功能时需要牢记 的限制 :
请记住查看 特定于平台的 1:N 端口镜像 行为 与您的平台相关的注释。
-
下一跃点组成员只能是第 2 层,不能是第 3 层。
-
您最多可以配置 4 个下一跃点组,并且最多可以向每个下一跃点组添加 4 个接口。
-
您必须定义至少两个目标才能将数据包发送到多个目标。
表 1 列出了用于构建 1:N 镜像拓扑的 配置层次结构组合 :
| 配置方法 | 层次 结构 |
|---|---|
|
端口镜像(基于筛选器) |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
本机分析器 |
|
|
|
|
|
|
|
|
|
您可以通读配置任务子部分,也可以跳转到显示组合任务结果的示例 配置结果 。
配置端口镜像实例
要配置端口镜像实例,请在配置模式下 [edit]输入以下命令:
配置本机分析器
要配置本机分析器,请在配置模式下 [edit]输入以下命令:
- 设置转发选项分析器 analyzer-name 输入入口接口 interface-name
- 设置转发选项分析器 analyzer-name 输出下一跃点组 next-hop-group-name
配置下一跃点组
要配置下一跃点组,请在配置模式 [edit]下输入以下命令:
必须将该 group-type 值 layer-2配置为 。
- 设置转发选项 下一跃点组 next-hop-group-name 组类型 第 2 层接口 interface-name
- 设置转发选项 下一跳组 next-hop-group-name 组类型 第 2 层接口 interface-name VLAN vlan-id
配置防火墙过滤器
要配置防火墙过滤器,请在配置模式下 [edit]输入以下命令:
定义引用下一跃点组作为过滤器操作的防火墙过滤器。
有关常规配置防火墙过滤器的信息,请参阅 《路由策略》、《防火墙过滤器》和《流量监管器用户指南》。
- 设置防火墙系列 family-name 过滤器 filter-name 术语 term-name ,然后设置端口镜像实例 instance-name
- 从源端口设置防火墙系列family-name过滤器filter-name术语term-nameport-number
配置接口
要配置接口,请在配置模式下 [edit]输入以下命令:
- 设置接口 interface-name 单元 logical-unit-number 族 family-name 接口模式 mode
- 设置接口 interface-name 单元 logical-unit-number 族 family-name 滤波器输入 filter-name
配置 VLAN
要配置 VLAN,请在配置模式下 [edit]输入以下命令:
示例配置结果
set interfaces ge-2/1/9 unit 0 family ethernet-switching interface-mode trunk set interfaces ge-2/1/9 unit 0 family ethernet-switching vlan members 100-102 set interfaces ge-2/2/7 unit 0 family ethernet-switching interface-mode trunk set interfaces ge-2/2/7 unit 0 family ethernet-switching vlan members 100-102 set interfaces ge-2/3/0 unit 0 family ethernet-switching interface-mode trunk set interfaces ge-2/3/0 unit 0 family ethernet-switching vlan members 100-102 set interfaces ge-2/3/0 unit 0 family ethernet-switching filter input f1 set forwarding-options analyzer analyz1 input ingress interface ge-2/3/0.0 set forwarding-options analyzer analyz1 output next-hop-group nhg1 set forwarding-options port-mirroring instance inst1 family ethernet-switching output next-hop-group nhg1 set forwarding-options next-hop-group nhg1 group-type layer-2 set forwarding-options next-hop-group nhg1 interface ge-2/2/7.0 vlan 100 #'vlan 100' only for remote port mirroring configuration# set firewall family ethernet-switching filter f1 term t1 from source-port 7023 set firewall family ethernet-switching filter f1 term t1 then port-mirror-instance inst1
特定于平台的 1:N 端口镜像 行为
使用下表查看平台的特定于平台的行为。
使用 功能资源管理器 确认平台和版本对特定功能的支持。
|
平台 |
差异 |
|---|---|
|
EX 系列 |
|
|
QFX 系列 |
|