Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Auf dieser Seite
 

1:N-Port-Spiegelung an mehrere Ziele auf Switches

Sie können die in diesem Dokument beschriebene Portspiegelungsfunktion verwenden, um den Datenverkehr auf mehrere Layer-2-Ziele zu spiegeln.

1:N Port-Spiegelung – Beschreibung und Konfigurationsrichtlinien

Was ist 1:N-Port-Spiegelung?

Wir verwenden den Begriff 1:N-Port-Spiegelung in diesem Dokument, um uns auf die Funktion zu beziehen, mit der Sie Pakete an mehrere Ziele spiegeln können. "1" steht für die Paketquelle, die gespiegelt wird, und "N" steht für die verschiedenen Ziele, an die das Paket gesendet wird. Möglicherweise wird diese Funktion auch als Multipaket-Spiegelungbezeichnet.

Verwenden Sie den Funktions-Explorer , um die Plattform- und Releaseunterstützung für bestimmte Features zu bestätigen.

Suchen Sie nach Plattformspezifisches 1:N-Port-Spiegelungsverhalten Hinweisen zu Ihrer Plattform.

Die Portspiegelung hilft Netzwerkadministratoren, Netzwerkprobleme zu beheben und Angriffe auf das Netzwerk abzuwehren. Sie können die Portspiegelung für die Datenverkehrsanalyse auf Netzwerkgeräten wie Routern und Switches verwenden, die im Gegensatz zu Hubs nicht Pakete an jede Schnittstelle auf dem Zielgerät senden. Bei der Portspiegelung werden Kopien aller Pakete an lokale oder Remote-Analysatoren gesendet, wo Sie die Daten überwachen und analysieren können.

Sie verwenden die 1:N-Port-Spiegelung, um den Datenverkehr auf mehrere Layer-2-Ziele zu spiegeln. In dieser Featurekonfiguration verwenden Sie Next-Hop-Gruppen.

Sie konfigurieren diese verschiedenen Beobachtungsports mit Verbindungen zu verschiedenen Überwachungsgeräten.

Vorbereitung auf die Konfiguration der 1:N-Port-Spiegelung – Richtlinien und Einschränkungen

Sie können die 1:N-Port-Spiegelungsfunktion in den folgenden beiden Konfigurationsmethoden konfigurieren:

  • Portspiegelung (mit einer auf Firewall-Filtern basierenden Methode) in der Hierarchie [edit forwarding-options port-mirroring instance]

  • Nativer Analysator in der [edit forwarding-options analyzer] Hierarchie

HINWEIS:

Sie können beide der oben genannten Methoden auf demselben Gerät konfigurieren. Ein Beispiel finden Sie unter Beispielkonfigurationsergebnisse .

Die folgenden Adressfamilien werden bei der 1:N-Portspiegelung unterstützt:

  • ethernet-switching

  • inet

  • inet6

Hier sind die Einschränkungen , die Sie bei der Konfiguration der Funktion beachten müssen:

Denken Sie daran, nach Notizen zu Ihrer Plattform zu suchen Plattformspezifisches 1:N-Port-Spiegelungsverhalten .

  • Next-Hop-Gruppenmitglieder können nur Layer 2 sein, nicht Layer 3.

  • Sie können bis zu 4 Next-Hop-Gruppen konfigurieren und jeder Next-Hop-Gruppe bis zu 4 Schnittstellen hinzufügen.

  • Sie müssen mindestens zwei Ziele definieren, um Pakete an mehr als ein Ziel zu senden.

Tabelle 1 listet die Kombinationen aus Konfiguration und Hierarchie auf, die Sie zum Erstellen Ihrer 1:N-Spiegelungstopologie verwenden:

Tabelle 1: Konfigurationshierarchien für die 1:N-Port-Spiegelung
Konfigurationsmethode Hierarchien

Port-Spiegelung (filterbasiert)

[edit forwarding-options port-mirroring instance]

[edit firewall family family-name filter]

[edit forwarding-options next-hop-group]

[edit interfaces]

[edit vlans]

Nativer Analysator

[edit forwarding-options analyzer]

[edit forwarding-options next-hop-group]

[edit interfaces]

[edit vlans]
HINWEIS:

Sie können die Unterabschnitte der Konfigurationsaufgabe durchlesen oder zu den Beispielkonfigurationsergebnissen springen, in denen die Ergebnisse der kombinierten Aufgabe angezeigt werden.

Übersicht über Konfigurationsaufgaben für die 1:N-Port-Spiegelung

In den folgenden Unterabschnitten der Konfigurationsaufgabe wird gezeigt, wie Sie die einzelnen in Tabelle 1aufgeführten Hierarchien konfigurieren. Sie können die Unterabschnitte der Konfigurationsaufgabe durchlesen oder zu den Beispielkonfigurationsergebnissen springen, in denen die Ergebnisse der kombinierten Aufgabe angezeigt werden.

Konfigurieren der Portspiegelungsinstanz

Um die Portspiegelungsinstanz zu konfigurieren, geben Sie im Konfigurationsmodus [edit]die folgenden Befehle ein:

set forwarding-options port-mirroring instance instance-name family family-name output next-hop-group next-hop-group-name

Konfigurieren des nativen Analyzers

Um den nativen Analyzer zu konfigurieren, geben Sie im Konfigurationsmodus [edit]die folgenden Befehle ein:

  1. Legen Sie die Eingangsschnittstelle des Analyzer-Analysators analyzer-name für die Weiterleitungsoptionen fest interface-name
  2. Set Forwarding-Options Analyzer analyzer-name output next-hop-group next-hop-group-name

Konfigurieren von Next-Hop-Gruppen

Um Next-Hop-Gruppen zu konfigurieren, geben Sie die folgenden Befehle im Konfigurationsmodus [edit]ein:

HINWEIS:

Sie müssen den group-type Wert als layer-2konfigurieren.
HINWEIS: Schritt 2 gilt nur für Plattformen, die die 1:N-Portspiegelung für die Remote-Portspiegelung unterstützen.
  1. Weiterleitungsoptionen festlegen Next-Hop-Gruppe next-hop-group-name Gruppentyp Layer-2-Schnittstelle interface-name
  2. Weiterleitungsoptionen festlegen Layer-2-Schnittstellen-VLAN interface-name vom Typ "Next-Hop-Groupnext-hop-group-name" vlan-id

Konfigurieren des Firewall-Filters

Um den Firewall-Filter zu konfigurieren, geben Sie im Konfigurationsmodus [edit]die folgenden Befehle ein:

HINWEIS:

Definieren Sie einen Firewallfilter, der auf die Next-Hop-Gruppe als Filteraktion verweist.

Informationen zum Konfigurieren von Firewallfiltern im Allgemeinen finden Sie im Benutzerhandbuch für Routingrichtlinien, Firewallfilter und Traffic Policers.

  1. Setzen Sie den Filterbegriff term-name für die Firewall-Familie family-nameund dann für die Port-Mirror-Instanz filter-nameinstance-name
  2. Festlegen des Filterbegriffs term-name für die Firewall-Familie family-namefilter-name vom Quellport port-number

Konfigurieren der Schnittstellen

Um die Schnittstellen zu konfigurieren, geben Sie im Konfigurationsmodus [edit]die folgenden Befehle ein:

  1. Set Interfaces interface-name Unit-Familie logical-unit-number family-name Interface-Mode mode
  2. Einstellen von Schnittstellen, interface-name Gerätefamilie logical-unit-number family-name , Filtereingang filter-name

Konfigurieren der VLANs

Um VLANs zu konfigurieren, geben Sie im Konfigurationsmodus [edit]die folgenden Befehle ein:

VLAN-VLAN-ID vlan-name festlegen vlan-id

Beispiele für Konfigurationsergebnisse

Plattformspezifisches 1:N-Port-Spiegelungsverhalten

Verwenden Sie die folgende Tabelle, um die plattformspezifischen Verhaltensweisen für Ihre Plattformen zu überprüfen.

Verwenden Sie den Funktions-Explorer , um die Plattform- und Releaseunterstützung für bestimmte Features zu bestätigen.

Tabelle 2: Plattformspezifisches Verhalten 1:N-Port-Spiegelung

Plattform

Unterschied

EX-Serie

  • Die EX-Serie bietet eine 1:N-Portspiegelung nur für die lokale Portspiegelung (jedoch nicht für die Remote-Port-Spiegelung oder die Remote-Port-Spiegelung auf eine IP-Adresse (GRE-Kapselung)).

  • Sie müssen mindestens zwei Ziele definieren, um Pakete an mehr als ein Ziel zu senden. Bei der EX-Serie können Sie mit der 1:N-Portspiegelung ein Ziel in einer Next-Hop-Gruppe definieren.

QFX-Serie

  • Die QFX-Serie bietet 1:N-Portspiegelung für die lokale Portspiegelung und die Remote-Port-Spiegelung (jedoch keine Remote-Port-Spiegelung auf eine IP-Adresse (GRE-Kapselung)).

  • Sie müssen mindestens zwei Ziele definieren, um Pakete an mehr als ein Ziel zu senden. Mit der 1:N-Portspiegelung der QFX-Serie können Sie zwei Ziele in einer Next-Hop-Gruppe definieren.