Auf dieser Seite
1:N-Portspiegelung zu mehreren Zielen auf Switches
SUMMARY Sie können die in diesem Dokument beschriebene Portspiegelungsfunktion verwenden, um Layer-2-Datenverkehr an mehrere Ziele zu spiegeln.
1:N-Port-Spiegelung – Beschreibung und Konfigurationsrichtlinien
- Was ist 1:N-Port-Spiegelung?
- Getting Ready to Configure 1:N Port Mirroring – Richtlinien und Einschränkungen
- Übersicht über Konfigurationsaufgaben für 1:N-Port-Spiegelung
Was ist 1:N-Port-Spiegelung?
In diesem Dokument verwenden wir den Begriff 1:N-Portspiegelung , um auf die Funktion zu verweisen, mit der Sie Pakete an mehrere Ziele spiegeln können. "1" steht für die Paketquelle, die gespiegelt wird, und "N" steht für die verschiedenen Ziele, an die das Paket gesendet wird. Möglicherweise wird diese Funktion auch als Multipacket-Spiegelung beschrieben.
Port-Spiegelung hilft Netzwerkadministratoren, Netzwerkprobleme zu beheben und Angriffe auf das Netzwerk abzuwehren. Sie können die Portspiegelung für die Analyse des Datenverkehrs auf Netzwerkgeräten wie Routern und Switches verwenden, die im Gegensatz zu Hubs keine Pakete an jede Schnittstelle des Zielgeräts senden. Die Portspiegelung sendet Kopien aller Pakete an lokale oder Remote-Analysatoren, wo Sie die Daten überwachen und analysieren können.
Sie verwenden 1:N-Port-Spiegelung, um Layer-2-Datenverkehr an mehrere Ziele zu spiegeln. Sie verwenden Next-Hop-Gruppen in dieser Funktionskonfiguration.
Sie konfigurieren diese mehrere Beobachtungs-Ports mit Verbindungen zu verschiedenen Überwachungsgeräten.
Getting Ready to Configure 1:N Port Mirroring – Richtlinien und Einschränkungen
Sie können die 1:N-Portspiegelungsfunktion in den folgenden zwei Konfigurationsmethoden konfigurieren:-
Portspiegelung (mithilfe einer firewallfilterbasierten Methode) in der
[edit forwarding-options port-mirroring instance]
Hierarchie -
Nativer Analysator in der
[edit forwarding-options analyzer]
Hierarchie
Sie können beide vorhergehenden Methoden auf demselben Gerät konfigurieren. Unter Beispielkonfigurationsergebnisse finden Sie ein Beispiel.
Die folgenden Adressfamilien werden in 1:N-Portspiegelung unterstützt:
-
ethernet-switching
-
inet
-
inet6
Dies sind die Einschränkungen , die Sie bei der Konfiguration der Funktion beachten müssen:
-
Next-Hop-Gruppenmitglieder können nur Layer 2 sein, nicht aber Layer 3.
- Sie können die Unterstützung nur für lokale Port-Spiegelung konfigurieren
next-hop-group output
, d. a. nicht für Remote-Port-Spiegelung oder Remote-Port-Spiegelung auf eine IP-Adresse (GRE-Kapselung). -
Sie können bis zu 4 Next-Hop-Gruppen konfigurieren und jeder Next-Hop-Gruppe bis zu 4 Schnittstellen hinzufügen. Sie müssen mindestens 2 Ziele definieren, um Pakete an mehr als ein Ziel zu senden. Sie können jedoch nur ein Ziel in einer Next-Hop-Gruppe definieren.
Tabelle 1 listet die Konfigurations-Hierarchie-Kombinationen auf, die Sie zum Erstellen Ihrer 1:N-Spiegelungstopologie verwenden:
Konfigurationsmethode | Hierarchien |
---|---|
Port-Spiegelung (filterbasiert) |
|
|
|
|
|
|
|
|
|
Nativer Analysator |
|
|
|
|
|
|
Sie können die Unterabschnitte der Konfigurationsaufgaben lesen oder zu den Beispielkonfigurationsergebnissen springen, in denen die kombinierten Aufgabenergebnisse angezeigt werden.
Übersicht über Konfigurationsaufgaben für 1:N-Port-Spiegelung
Die folgenden Unterabschnitte für Konfigurationsaufgaben zeigen Ihnen, wie Sie jede der in Tabelle 1 aufgeführten Hierarchien konfigurieren. Sie können die Unterabschnitte der Konfigurationsaufgaben lesen oder zu den Beispielkonfigurationsergebnissen springen, in denen die kombinierten Aufgabenergebnisse angezeigt werden.
Konfigurieren der Portspiegelungsinstanz
Um die Portspiegelungsinstanz zu konfigurieren, geben Sie im Konfigurationsmodus [edit]
die folgenden Befehle ein:
Konfigurieren Sie den nativen Analysator
Um den nativen Analysator zu konfigurieren, geben Sie im Konfigurationsmodus [edit]
die folgenden Befehle ein:
- Festlegen der Eingangsschnittstelle für Weiterleitungs- und Analyseoptionen analyzer-nameinterface-name
- Festlegen der Weiterleitungsoptionen Analyse analyzer-name ausgabe Next-Hop-Group next-hop-group-name
Konfigurieren von Next-Hop-Gruppen
Geben Sie den folgenden Befehl im Konfigurationsmodus [edit]
ein, um Next-Hop-Gruppen zu konfigurieren:
Sie müssen den group-type
Wert als layer-2
konfigurieren.
Konfigurieren des Firewall-Filters
Um den Firewall-Filter zu konfigurieren, geben Sie im Konfigurationsmodus [edit]
die folgenden Befehle ein:
Definieren Sie einen Firewall-Filter, der auf die Next-Hop-Gruppe als Filteraktion verweist.
Informationen zur allgemeinen Konfiguration von Firewall-Filtern finden Sie im Benutzerhandbuch für Routing-Richtlinien, Firewall-Filter und Traffic Policer.
- Setzen Sie den Filterbegriff term-namefilter-name der Firewall-Familie family-name und dann die Port-Spiegelungsinstanzinstance-name
- Filterbegriff filter-nameterm-name der Firewall-Familie family-name vom Quell-Port festlegenport-number
Konfigurieren der Schnittstellen
Um die Schnittstellen zu konfigurieren, geben Sie im Konfigurationsmodus [edit]
die folgenden Befehle ein:
- interface-name Schnittstellen-Modus der Gerätefamilie logical-unit-number family-name festlegenmode
- Set Schnittstellen interface-name Filter-Eingang der Gerätefamilie logical-unit-number family-namefilter-name
Konfigurieren der VLANs
Um VLANs zu konfigurieren, geben Sie im Konfigurationsmodus [edit]
die folgenden Befehle ein:
Beispielkonfigurationsergebnisse
set interfaces ge-2/1/9 unit 0 family ethernet-switching interface-mode trunk set interfaces ge-2/1/9 unit 0 family ethernet-switching vlan members 100-102 set interfaces ge-2/2/7 unit 0 family ethernet-switching interface-mode trunk set interfaces ge-2/2/7 unit 0 family ethernet-switching vlan members 100-102 set interfaces ge-2/3/0 unit 0 family ethernet-switching interface-mode trunk set interfaces ge-2/3/0 unit 0 family ethernet-switching vlan members 100-102 set interfaces ge-2/3/0 unit 0 family ethernet-switching filter input f1 set forwarding-options analyzer analyz1 input ingress interface ge-2/3/0.0 set forwarding-options analyzer analyz1 output next-hop-group nhg1 set forwarding-options port-mirroring instance inst1 family ethernet-switching output next-hop-group nhg1 set forwarding-options next-hop-group nhg1 group-type layer-2 set forwarding-options next-hop-group nhg1 interface ge-2/2/7.0 set firewall family ethernet-switching filter f1 term t1 from source-port 7023 set firewall family ethernet-switching filter f1 term t1 then port-mirror-instance inst1