Auf dieser Seite
1:N-Port-Spiegelung an mehrere Ziele auf Switches
SUMMARY Sie können die in diesem Dokument beschriebene Portspiegelungsfunktion verwenden, um den Datenverkehr auf mehrere Layer-2-Ziele zu spiegeln.
1:N Port-Spiegelung – Beschreibung und Konfigurationsrichtlinien
- Was ist 1:N-Port-Spiegelung?
- Vorbereitung auf die Konfiguration der 1:N-Port-Spiegelung – Richtlinien und Einschränkungen
- Übersicht über Konfigurationsaufgaben für die 1:N-Port-Spiegelung
Was ist 1:N-Port-Spiegelung?
Wir verwenden den Begriff 1:N-Port-Spiegelung in diesem Dokument, um uns auf die Funktion zu beziehen, mit der Sie Pakete an mehrere Ziele spiegeln können. "1" steht für die Paketquelle, die gespiegelt wird, und "N" steht für die verschiedenen Ziele, an die das Paket gesendet wird. Möglicherweise wird diese Funktion auch als Multipaket-Spiegelung bezeichnet.
Die Portspiegelung hilft Netzwerkadministratoren, Netzwerkprobleme zu beheben und Angriffe auf das Netzwerk abzuwehren. Sie können die Portspiegelung für die Datenverkehrsanalyse auf Netzwerkgeräten wie Routern und Switches verwenden, die im Gegensatz zu Hubs nicht Pakete an jede Schnittstelle auf dem Zielgerät senden. Bei der Portspiegelung werden Kopien aller Pakete an lokale oder Remote-Analysatoren gesendet, wo Sie die Daten überwachen und analysieren können.
Sie verwenden die 1:N-Port-Spiegelung, um den Datenverkehr auf mehrere Layer-2-Ziele zu spiegeln. In dieser Featurekonfiguration verwenden Sie Next-Hop-Gruppen.
Sie konfigurieren diese verschiedenen Beobachtungsports mit Verbindungen zu verschiedenen Überwachungsgeräten.
Vorbereitung auf die Konfiguration der 1:N-Port-Spiegelung – Richtlinien und Einschränkungen
Sie können die 1:N-Port-Spiegelungsfunktion in den folgenden beiden Konfigurationsmethoden konfigurieren:-
Portspiegelung (mit einer auf Firewall-Filtern basierenden Methode) in der Hierarchie
[edit forwarding-options port-mirroring instance]
-
Nativer Analysator in der Hierarchie
[edit forwarding-options analyzer]
Sie können beide der oben genannten Methoden auf demselben Gerät konfigurieren. Ein Beispiel finden Sie unter Beispielkonfigurationsergebnisse .Beispiele für Konfigurationsergebnisse
Die folgenden Adressfamilien werden bei der 1:N-Portspiegelung unterstützt:
-
ethernet-switching
-
inet
-
inet6
Hier sind die Einschränkungen , die Sie bei der Konfiguration der Funktion beachten müssen:
-
Next-Hop-Gruppenmitglieder können nur Layer 2 sein, nicht Layer 3.
- Sie können die Unterstützung nur für die lokale Portspiegelung konfigurieren , d. h. nicht für die Remoteportspiegelung oder für die Remoteportspiegelung an eine IP-Adresse (GRE-Kapselung).
next-hop-group output
-
Sie können bis zu 4 Next-Hop-Gruppen konfigurieren und jeder Next-Hop-Gruppe bis zu 4 Schnittstellen hinzufügen. Sie müssen mindestens 2 Ziele definieren, um Pakete an mehr als ein Ziel zu senden. Sie können jedoch nur ein Ziel in einer Next-Hop-Gruppe definieren.
listet die Kombinationen aus Konfiguration und Hierarchie auf, die Sie zum Erstellen Ihrer 1:N-Spiegelungstopologie verwenden:Tabelle 1
Konfigurationsmethode | Hierarchien |
---|---|
Port-Spiegelung (filterbasiert) |
|
|
|
|
|
|
|
|
|
Nativer Analysator |
|
|
|
|
|
|
Sie können die Unterabschnitte der Konfigurationsaufgabe durchlesen oder zu den Beispielkonfigurationsergebnissen springen, in denen die Ergebnisse der kombinierten Aufgabe angezeigt werden.Beispiele für Konfigurationsergebnisse
Übersicht über Konfigurationsaufgaben für die 1:N-Port-Spiegelung
In den folgenden Unterabschnitten der Konfigurationsaufgabe wird gezeigt, wie Sie die einzelnen in Tabelle 1 aufgeführten Hierarchien konfigurieren.Tabelle 1 Sie können die Unterabschnitte der Konfigurationsaufgabe durchlesen oder zu den Beispielkonfigurationsergebnissen springen, in denen die Ergebnisse der kombinierten Aufgabe angezeigt werden.Beispiele für Konfigurationsergebnisse
Konfigurieren der Portspiegelungsinstanz
Um die Portspiegelungsinstanz zu konfigurieren, geben Sie im Konfigurationsmodus die folgenden Befehle ein:[edit]
Konfigurieren des nativen Analyzers
Um den nativen Analyzer zu konfigurieren, geben Sie im Konfigurationsmodus die folgenden Befehle ein:[edit]
- Legen Sie die Eingangsschnittstelle des Analyzer-Analysators für die Weiterleitungsoptionen fest analyzer-nameinterface-name
- Set Forwarding-Options Analyzer output next-hop-group analyzer-namenext-hop-group-name
Konfigurieren von Next-Hop-Gruppen
Um Next-Hop-Gruppen zu konfigurieren, geben Sie den folgenden Befehl in den Konfigurationsmodus ein:[edit]
Sie müssen den Wert als konfigurieren.group-type
layer-2
Konfigurieren des Firewall-Filters
Um den Firewall-Filter zu konfigurieren, geben Sie im Konfigurationsmodus die folgenden Befehle ein:[edit]
Definieren Sie einen Firewallfilter, der auf die Next-Hop-Gruppe als Filteraktion verweist.
Informationen zum Konfigurieren von Firewallfiltern im Allgemeinen finden Sie im Benutzerhandbuch für Routingrichtlinien, Firewallfilter und Traffic Policers.https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/config-guide-policy/config-guide-policy.html
- Setzen Sie den Filterbegriff für die Firewall-Familie und dann für die Port-Mirror-Instanz family-namefilter-nameterm-nameinstance-name
- Festlegen des Filterbegriffs für die Firewall-Familie vom Quellportfamily-namefilter-nameterm-nameport-number
Konfigurieren der Schnittstellen
Um die Schnittstellen zu konfigurieren, geben Sie im Konfigurationsmodus die folgenden Befehle ein:[edit]
- Set Interfaces Unit-Familie Interface-Modeinterface-namelogical-unit-number family-namemode
- Einstellen von Schnittstellen, Gerätefamilie, Filtereinganginterface-namelogical-unit-number family-namefilter-name
Konfigurieren der VLANs
Um VLANs zu konfigurieren, geben Sie im Konfigurationsmodus die folgenden Befehle ein:[edit]
Beispiele für Konfigurationsergebnisse
set interfaces ge-2/1/9 unit 0 family ethernet-switching interface-mode trunk set interfaces ge-2/1/9 unit 0 family ethernet-switching vlan members 100-102 set interfaces ge-2/2/7 unit 0 family ethernet-switching interface-mode trunk set interfaces ge-2/2/7 unit 0 family ethernet-switching vlan members 100-102 set interfaces ge-2/3/0 unit 0 family ethernet-switching interface-mode trunk set interfaces ge-2/3/0 unit 0 family ethernet-switching vlan members 100-102 set interfaces ge-2/3/0 unit 0 family ethernet-switching filter input f1 set forwarding-options analyzer analyz1 input ingress interface ge-2/3/0.0 set forwarding-options analyzer analyz1 output next-hop-group nhg1 set forwarding-options port-mirroring instance inst1 family ethernet-switching output next-hop-group nhg1 set forwarding-options next-hop-group nhg1 group-type layer-2 set forwarding-options next-hop-group nhg1 interface ge-2/2/7.0 set firewall family ethernet-switching filter f1 term t1 from source-port 7023 set firewall family ethernet-switching filter f1 term t1 then port-mirror-instance inst1