Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

1:N-Portspiegelung zu mehreren Zielen auf Switches

SUMMARY Sie können die in diesem Dokument beschriebene Portspiegelungsfunktion verwenden, um Layer-2-Datenverkehr an mehrere Ziele zu spiegeln.

1:N-Port-Spiegelung – Beschreibung und Konfigurationsrichtlinien

Was ist 1:N-Port-Spiegelung?

In diesem Dokument verwenden wir den Begriff 1:N-Portspiegelung , um auf die Funktion zu verweisen, mit der Sie Pakete an mehrere Ziele spiegeln können. "1" steht für die Paketquelle, die gespiegelt wird, und "N" steht für die verschiedenen Ziele, an die das Paket gesendet wird. Möglicherweise wird diese Funktion auch als Multipacket-Spiegelung beschrieben.

Port-Spiegelung hilft Netzwerkadministratoren, Netzwerkprobleme zu beheben und Angriffe auf das Netzwerk abzuwehren. Sie können die Portspiegelung für die Analyse des Datenverkehrs auf Netzwerkgeräten wie Routern und Switches verwenden, die im Gegensatz zu Hubs keine Pakete an jede Schnittstelle des Zielgeräts senden. Die Portspiegelung sendet Kopien aller Pakete an lokale oder Remote-Analysatoren, wo Sie die Daten überwachen und analysieren können.

Sie verwenden 1:N-Port-Spiegelung, um Layer-2-Datenverkehr an mehrere Ziele zu spiegeln. Sie verwenden Next-Hop-Gruppen in dieser Funktionskonfiguration.

Sie konfigurieren diese mehrere Beobachtungs-Ports mit Verbindungen zu verschiedenen Überwachungsgeräten.

Getting Ready to Configure 1:N Port Mirroring – Richtlinien und Einschränkungen

Sie können die 1:N-Portspiegelungsfunktion in den folgenden zwei Konfigurationsmethoden konfigurieren:
  • Portspiegelung (mithilfe einer firewallfilterbasierten Methode) in der [edit forwarding-options port-mirroring instance] Hierarchie

  • Nativer Analysator in der [edit forwarding-options analyzer] Hierarchie

HINWEIS:

Sie können beide vorhergehenden Methoden auf demselben Gerät konfigurieren. Unter Beispielkonfigurationsergebnisse finden Sie ein Beispiel.

Die folgenden Adressfamilien werden in 1:N-Portspiegelung unterstützt:

  • ethernet-switching

  • inet

  • inet6

Dies sind die Einschränkungen , die Sie bei der Konfiguration der Funktion beachten müssen:

  • Next-Hop-Gruppenmitglieder können nur Layer 2 sein, nicht aber Layer 3.

  • Sie können die Unterstützung nur für lokale Port-Spiegelung konfigurierennext-hop-group output, d. a. nicht für Remote-Port-Spiegelung oder Remote-Port-Spiegelung auf eine IP-Adresse (GRE-Kapselung).
  • Sie können bis zu 4 Next-Hop-Gruppen konfigurieren und jeder Next-Hop-Gruppe bis zu 4 Schnittstellen hinzufügen. Sie müssen mindestens 2 Ziele definieren, um Pakete an mehr als ein Ziel zu senden. Sie können jedoch nur ein Ziel in einer Next-Hop-Gruppe definieren.

Tabelle 1 listet die Konfigurations-Hierarchie-Kombinationen auf, die Sie zum Erstellen Ihrer 1:N-Spiegelungstopologie verwenden:

Tabelle 1: Konfigurationshierarchien für 1:N-Port-Spiegelung
Konfigurationsmethode Hierarchien

Port-Spiegelung (filterbasiert)

[edit forwarding-options port-mirroring instance]

[edit firewall family family-name filter]

[edit forwarding-options next-hop-group]

[edit interfaces]

[edit vlans]

Nativer Analysator

[edit forwarding-options analyzer]

[edit forwarding-options next-hop-group]

[edit interfaces]

[edit vlans]

HINWEIS:

Sie können die Unterabschnitte der Konfigurationsaufgaben lesen oder zu den Beispielkonfigurationsergebnissen springen, in denen die kombinierten Aufgabenergebnisse angezeigt werden.

Übersicht über Konfigurationsaufgaben für 1:N-Port-Spiegelung

Die folgenden Unterabschnitte für Konfigurationsaufgaben zeigen Ihnen, wie Sie jede der in Tabelle 1 aufgeführten Hierarchien konfigurieren. Sie können die Unterabschnitte der Konfigurationsaufgaben lesen oder zu den Beispielkonfigurationsergebnissen springen, in denen die kombinierten Aufgabenergebnisse angezeigt werden.

Konfigurieren der Portspiegelungsinstanz

Um die Portspiegelungsinstanz zu konfigurieren, geben Sie im Konfigurationsmodus [edit]die folgenden Befehle ein:

Festlegen der Weiterleitungsoptionen Port-Spiegelung der Instanzfamilie instance-namefamily-name Ausgabe next-hop-group next-hop-group-name

Konfigurieren Sie den nativen Analysator

Um den nativen Analysator zu konfigurieren, geben Sie im Konfigurationsmodus [edit]die folgenden Befehle ein:

  1. Festlegen der Eingangsschnittstelle für Weiterleitungs- und Analyseoptionen analyzer-nameinterface-name
  2. Festlegen der Weiterleitungsoptionen Analyse analyzer-name ausgabe Next-Hop-Group next-hop-group-name

Konfigurieren von Next-Hop-Gruppen

Geben Sie den folgenden Befehl im Konfigurationsmodus [edit]ein, um Next-Hop-Gruppen zu konfigurieren:

HINWEIS:

Sie müssen den group-type Wert als layer-2konfigurieren.

Festlegen der Weiterleitungsoptionen next-Hop-Group-Layer-2-Schnittstelle next-hop-group-name mit Gruppentyp interface-name

Konfigurieren des Firewall-Filters

Um den Firewall-Filter zu konfigurieren, geben Sie im Konfigurationsmodus [edit]die folgenden Befehle ein:

HINWEIS:

Definieren Sie einen Firewall-Filter, der auf die Next-Hop-Gruppe als Filteraktion verweist.

Informationen zur allgemeinen Konfiguration von Firewall-Filtern finden Sie im Benutzerhandbuch für Routing-Richtlinien, Firewall-Filter und Traffic Policer.

  1. Setzen Sie den Filterbegriff term-namefilter-name der Firewall-Familie family-name und dann die Port-Spiegelungsinstanzinstance-name
  2. Filterbegriff filter-nameterm-name der Firewall-Familie family-name vom Quell-Port festlegenport-number

Konfigurieren der Schnittstellen

Um die Schnittstellen zu konfigurieren, geben Sie im Konfigurationsmodus [edit]die folgenden Befehle ein:

  1. interface-name Schnittstellen-Modus der Gerätefamilie logical-unit-number family-name festlegenmode
  2. Set Schnittstellen interface-name Filter-Eingang der Gerätefamilie logical-unit-number family-namefilter-name

Konfigurieren der VLANs

Um VLANs zu konfigurieren, geben Sie im Konfigurationsmodus [edit]die folgenden Befehle ein:

vlans vlan-name vlan-id festlegen vlan-id

Beispielkonfigurationsergebnisse