Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

1:N-Port-Spiegelung an mehrere Ziele auf Switches

Sie können die in diesem Dokument beschriebene Portspiegelungsfunktion verwenden, um den Datenverkehr auf mehrere Layer-2-Ziele zu spiegeln.

1:N Port-Spiegelung – Beschreibung und Konfigurationsrichtlinien

Was ist 1:N-Port-Spiegelung?

Wir verwenden den Begriff 1:N-Port-Spiegelung in diesem Dokument, um uns auf die Funktion zu beziehen, mit der Sie Pakete an mehrere Ziele spiegeln können. "1" steht für die Paketquelle, die gespiegelt wird, und "N" steht für die verschiedenen Ziele, an die das Paket gesendet wird. Möglicherweise wird diese Funktion auch als Multipaket-Spiegelungbezeichnet.

Die Portspiegelung hilft Netzwerkadministratoren, Netzwerkprobleme zu beheben und Angriffe auf das Netzwerk abzuwehren. Sie können die Portspiegelung für die Datenverkehrsanalyse auf Netzwerkgeräten wie Routern und Switches verwenden, die im Gegensatz zu Hubs nicht Pakete an jede Schnittstelle auf dem Zielgerät senden. Bei der Portspiegelung werden Kopien aller Pakete an lokale oder Remote-Analysatoren gesendet, wo Sie die Daten überwachen und analysieren können.

Sie verwenden die 1:N-Port-Spiegelung, um den Datenverkehr auf mehrere Layer-2-Ziele zu spiegeln. In dieser Featurekonfiguration verwenden Sie Next-Hop-Gruppen.

Sie konfigurieren diese verschiedenen Beobachtungsports mit Verbindungen zu verschiedenen Überwachungsgeräten.

Vorbereitung auf die Konfiguration der 1:N-Port-Spiegelung – Richtlinien und Einschränkungen

Sie können die 1:N-Port-Spiegelungsfunktion in den folgenden beiden Konfigurationsmethoden konfigurieren:
  • Portspiegelung (mit einer auf Firewall-Filtern basierenden Methode) in der Hierarchie [edit forwarding-options port-mirroring instance]

  • Nativer Analysator in der [edit forwarding-options analyzer] Hierarchie

HINWEIS:

Sie können beide der oben genannten Methoden auf demselben Gerät konfigurieren. Ein Beispiel finden Sie unter Beispielkonfigurationsergebnisse .

Die folgenden Adressfamilien werden bei der 1:N-Portspiegelung unterstützt:

  • ethernet-switching

  • inet

  • inet6

Hier sind die Einschränkungen , die Sie bei der Konfiguration der Funktion beachten müssen:

  • Next-Hop-Gruppenmitglieder können nur Layer 2 sein, nicht Layer 3.

  • Sie können die Unterstützung nur für die lokale Portspiegelung konfigurierennext-hop-group output, d. h. nicht für die Remoteportspiegelung oder für die Remoteportspiegelung an eine IP-Adresse (GRE-Kapselung).
  • Sie können bis zu 4 Next-Hop-Gruppen konfigurieren und jeder Next-Hop-Gruppe bis zu 4 Schnittstellen hinzufügen. Sie müssen mindestens 2 Ziele definieren, um Pakete an mehr als ein Ziel zu senden. Sie können jedoch nur ein Ziel in einer Next-Hop-Gruppe definieren.

Tabelle 1 listet die Kombinationen aus Konfiguration und Hierarchie auf, die Sie zum Erstellen Ihrer 1:N-Spiegelungstopologie verwenden:

Tabelle 1: Konfigurationshierarchien für die 1:N-Port-Spiegelung
Konfigurationsmethode Hierarchien

Port-Spiegelung (filterbasiert)

[edit forwarding-options port-mirroring instance]

[edit firewall family family-name filter]

[edit forwarding-options next-hop-group]

[edit interfaces]

[edit vlans]

Nativer Analysator

[edit forwarding-options analyzer]

[edit forwarding-options next-hop-group]

[edit interfaces]

[edit vlans]

HINWEIS:

Sie können die Unterabschnitte der Konfigurationsaufgabe durchlesen oder zu den Beispielkonfigurationsergebnissen springen, in denen die Ergebnisse der kombinierten Aufgabe angezeigt werden.

Übersicht über Konfigurationsaufgaben für die 1:N-Port-Spiegelung

In den folgenden Unterabschnitten der Konfigurationsaufgabe wird gezeigt, wie Sie die einzelnen in Tabelle 1aufgeführten Hierarchien konfigurieren. Sie können die Unterabschnitte der Konfigurationsaufgabe durchlesen oder zu den Beispielkonfigurationsergebnissen springen, in denen die Ergebnisse der kombinierten Aufgabe angezeigt werden.

Konfigurieren der Portspiegelungsinstanz

Um die Portspiegelungsinstanz zu konfigurieren, geben Sie im Konfigurationsmodus [edit]die folgenden Befehle ein:

set forwarding-options port-mirroring instance instance-name family family-name output next-hop-group next-hop-group-name

Konfigurieren des nativen Analyzers

Um den nativen Analyzer zu konfigurieren, geben Sie im Konfigurationsmodus [edit]die folgenden Befehle ein:

  1. Legen Sie die Eingangsschnittstelle des Analyzer-Analysators analyzer-name für die Weiterleitungsoptionen fest interface-name
  2. Set Forwarding-Options Analyzer analyzer-name output next-hop-group next-hop-group-name

Konfigurieren von Next-Hop-Gruppen

Um Next-Hop-Gruppen zu konfigurieren, geben Sie den folgenden Befehl in den Konfigurationsmodus [edit]ein:

HINWEIS:

Sie müssen den group-type Wert als layer-2konfigurieren.

Weiterleitungsoptionen festlegen Next-Hop-Gruppe next-hop-group-name Gruppentyp Layer-2-Schnittstelle interface-name

Konfigurieren des Firewall-Filters

Um den Firewall-Filter zu konfigurieren, geben Sie im Konfigurationsmodus [edit]die folgenden Befehle ein:

HINWEIS:

Definieren Sie einen Firewallfilter, der auf die Next-Hop-Gruppe als Filteraktion verweist.

Informationen zum Konfigurieren von Firewallfiltern im Allgemeinen finden Sie im Benutzerhandbuch für Routingrichtlinien, Firewallfilter und Traffic Policers.

  1. Setzen Sie den Filterbegriff term-name für die Firewall-Familie family-nameund dann für die Port-Mirror-Instanz filter-nameinstance-name
  2. Festlegen des Filterbegriffs term-name für die Firewall-Familie family-namefilter-name vom Quellport port-number

Konfigurieren der Schnittstellen

Um die Schnittstellen zu konfigurieren, geben Sie im Konfigurationsmodus [edit]die folgenden Befehle ein:

  1. Set Interfaces interface-name Unit-Familie logical-unit-number family-name Interface-Mode mode
  2. Einstellen von Schnittstellen, interface-name Gerätefamilie logical-unit-number family-name , Filtereingang filter-name

Konfigurieren der VLANs

Um VLANs zu konfigurieren, geben Sie im Konfigurationsmodus [edit]die folgenden Befehle ein:

VLAN-VLAN-ID vlan-name festlegen vlan-id

Beispiele für Konfigurationsergebnisse