Auf dieser Seite
1:N-Port-Spiegelung an mehrere Ziele auf Switches
Sie können die in diesem Dokument beschriebene Portspiegelungsfunktion verwenden, um den Datenverkehr auf mehrere Layer-2-Ziele zu spiegeln.
1:N Port-Spiegelung – Beschreibung und Konfigurationsrichtlinien
- Was ist 1:N-Port-Spiegelung?
- Vorbereitung auf die Konfiguration der 1:N-Port-Spiegelung – Richtlinien und Einschränkungen
- Übersicht über Konfigurationsaufgaben für die 1:N-Port-Spiegelung
Was ist 1:N-Port-Spiegelung?
Wir verwenden den Begriff 1:N-Port-Spiegelung in diesem Dokument, um uns auf die Funktion zu beziehen, mit der Sie Pakete an mehrere Ziele spiegeln können. "1" steht für die Paketquelle, die gespiegelt wird, und "N" steht für die verschiedenen Ziele, an die das Paket gesendet wird. Möglicherweise wird diese Funktion auch als Multipaket-Spiegelungbezeichnet.
Die Portspiegelung hilft Netzwerkadministratoren, Netzwerkprobleme zu beheben und Angriffe auf das Netzwerk abzuwehren. Sie können die Portspiegelung für die Datenverkehrsanalyse auf Netzwerkgeräten wie Routern und Switches verwenden, die im Gegensatz zu Hubs nicht Pakete an jede Schnittstelle auf dem Zielgerät senden. Bei der Portspiegelung werden Kopien aller Pakete an lokale oder Remote-Analysatoren gesendet, wo Sie die Daten überwachen und analysieren können.
Sie verwenden die 1:N-Port-Spiegelung, um den Datenverkehr auf mehrere Layer-2-Ziele zu spiegeln. In dieser Featurekonfiguration verwenden Sie Next-Hop-Gruppen.
Sie konfigurieren diese verschiedenen Beobachtungsports mit Verbindungen zu verschiedenen Überwachungsgeräten.
Vorbereitung auf die Konfiguration der 1:N-Port-Spiegelung – Richtlinien und Einschränkungen
Sie können die 1:N-Port-Spiegelungsfunktion in den folgenden beiden Konfigurationsmethoden konfigurieren:-
Portspiegelung (mit einer auf Firewall-Filtern basierenden Methode) in der Hierarchie
[edit forwarding-options port-mirroring instance] -
Nativer Analysator in der
[edit forwarding-options analyzer]Hierarchie
Sie können beide der oben genannten Methoden auf demselben Gerät konfigurieren. Ein Beispiel finden Sie unter Beispielkonfigurationsergebnisse .
Die folgenden Adressfamilien werden bei der 1:N-Portspiegelung unterstützt:
-
ethernet-switching -
inet -
inet6
Hier sind die Einschränkungen , die Sie bei der Konfiguration der Funktion beachten müssen:
-
Next-Hop-Gruppenmitglieder können nur Layer 2 sein, nicht Layer 3.
- Sie können die Unterstützung nur für die lokale Portspiegelung konfigurieren
next-hop-group output, d. h. nicht für die Remoteportspiegelung oder für die Remoteportspiegelung an eine IP-Adresse (GRE-Kapselung). -
Sie können bis zu 4 Next-Hop-Gruppen konfigurieren und jeder Next-Hop-Gruppe bis zu 4 Schnittstellen hinzufügen. Sie müssen mindestens 2 Ziele definieren, um Pakete an mehr als ein Ziel zu senden. Sie können jedoch nur ein Ziel in einer Next-Hop-Gruppe definieren.
Tabelle 1 listet die Kombinationen aus Konfiguration und Hierarchie auf, die Sie zum Erstellen Ihrer 1:N-Spiegelungstopologie verwenden:
| Konfigurationsmethode | Hierarchien |
|---|---|
|
Port-Spiegelung (filterbasiert) |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Nativer Analysator |
|
|
|
|
|
|
|
|
|
Sie können die Unterabschnitte der Konfigurationsaufgabe durchlesen oder zu den Beispielkonfigurationsergebnissen springen, in denen die Ergebnisse der kombinierten Aufgabe angezeigt werden.
Übersicht über Konfigurationsaufgaben für die 1:N-Port-Spiegelung
In den folgenden Unterabschnitten der Konfigurationsaufgabe wird gezeigt, wie Sie die einzelnen in Tabelle 1aufgeführten Hierarchien konfigurieren. Sie können die Unterabschnitte der Konfigurationsaufgabe durchlesen oder zu den Beispielkonfigurationsergebnissen springen, in denen die Ergebnisse der kombinierten Aufgabe angezeigt werden.
Konfigurieren der Portspiegelungsinstanz
Um die Portspiegelungsinstanz zu konfigurieren, geben Sie im Konfigurationsmodus [edit]die folgenden Befehle ein:
Konfigurieren des nativen Analyzers
Um den nativen Analyzer zu konfigurieren, geben Sie im Konfigurationsmodus [edit]die folgenden Befehle ein:
- Legen Sie die Eingangsschnittstelle des Analyzer-Analysators analyzer-name für die Weiterleitungsoptionen fest interface-name
- Set Forwarding-Options Analyzer analyzer-name output next-hop-group next-hop-group-name
Konfigurieren von Next-Hop-Gruppen
Um Next-Hop-Gruppen zu konfigurieren, geben Sie den folgenden Befehl in den Konfigurationsmodus [edit]ein:
Sie müssen den group-type Wert als layer-2konfigurieren.
Konfigurieren des Firewall-Filters
Um den Firewall-Filter zu konfigurieren, geben Sie im Konfigurationsmodus [edit]die folgenden Befehle ein:
Definieren Sie einen Firewallfilter, der auf die Next-Hop-Gruppe als Filteraktion verweist.
Informationen zum Konfigurieren von Firewallfiltern im Allgemeinen finden Sie im Benutzerhandbuch für Routingrichtlinien, Firewallfilter und Traffic Policers.
- Setzen Sie den Filterbegriff term-name für die Firewall-Familie family-nameund dann für die Port-Mirror-Instanz filter-nameinstance-name
- Festlegen des Filterbegriffs term-name für die Firewall-Familie family-namefilter-name vom Quellport port-number
Konfigurieren der Schnittstellen
Um die Schnittstellen zu konfigurieren, geben Sie im Konfigurationsmodus [edit]die folgenden Befehle ein:
- Set Interfaces interface-name Unit-Familie logical-unit-number family-name Interface-Mode mode
- Einstellen von Schnittstellen, interface-name Gerätefamilie logical-unit-number family-name , Filtereingang filter-name
Konfigurieren der VLANs
Um VLANs zu konfigurieren, geben Sie im Konfigurationsmodus [edit]die folgenden Befehle ein:
Beispiele für Konfigurationsergebnisse
set interfaces ge-2/1/9 unit 0 family ethernet-switching interface-mode trunk set interfaces ge-2/1/9 unit 0 family ethernet-switching vlan members 100-102 set interfaces ge-2/2/7 unit 0 family ethernet-switching interface-mode trunk set interfaces ge-2/2/7 unit 0 family ethernet-switching vlan members 100-102 set interfaces ge-2/3/0 unit 0 family ethernet-switching interface-mode trunk set interfaces ge-2/3/0 unit 0 family ethernet-switching vlan members 100-102 set interfaces ge-2/3/0 unit 0 family ethernet-switching filter input f1 set forwarding-options analyzer analyz1 input ingress interface ge-2/3/0.0 set forwarding-options analyzer analyz1 output next-hop-group nhg1 set forwarding-options port-mirroring instance inst1 family ethernet-switching output next-hop-group nhg1 set forwarding-options next-hop-group nhg1 group-type layer-2 set forwarding-options next-hop-group nhg1 interface ge-2/2/7.0 set firewall family ethernet-switching filter f1 term t1 from source-port 7023 set firewall family ethernet-switching filter f1 term t1 then port-mirror-instance inst1