Sur cette page
Mise en miroir de ports 1 :N vers plusieurs destinations sur les commutateurs
Vous pouvez utiliser la fonctionnalité de mise en miroir de ports décrite dans ce document pour mettre en miroir le trafic vers plusieurs destinations de couche 2.
Mise en miroir de ports 1 :N : description et instructions de configuration
- Qu’est-ce que la mise en miroir de ports 1 :N ?
- Préparation à la configuration de la mise en miroir de ports 1 :N : recommandations et limites
- Vue d’ensemble des tâches de configuration pour la mise en miroir de ports 1 :N
Qu’est-ce que la mise en miroir de ports 1 :N ?
Dans ce document, nous utilisons le terme de mise en miroir de ports 1 :N pour désigner la fonctionnalité qui vous permet de mettre en miroir des paquets vers plusieurs destinations. « 1 » représente la source du paquet mise en miroir et « N » représente les multiples destinations vers lesquelles le paquet est envoyé. Vous pouvez également voir cette fonctionnalité décrite comme la mise en miroir multipaquets.
La mise en miroir des ports aide les administrateurs réseau à déboguer les problèmes réseau et à repousser les attaques sur le réseau. Vous pouvez utiliser la mise en miroir des ports pour analyser le trafic sur les périphériques réseau tels que les routeurs et les commutateurs qui, contrairement aux concentrateurs, ne diffusent pas de paquets vers toutes les interfaces de l’équipement de destination. La mise en miroir de ports envoie des copies de tous les paquets à des analyseurs locaux ou distants où vous pouvez surveiller et analyser les données.
La mise en miroir de ports 1 :N permet de mettre en miroir le trafic vers plusieurs destinations de couche 2. Vous utilisez des groupes next-hop dans cette configuration de fonctionnalité.
Vous configurez ces multiples ports d’observation avec des connexions à différents périphériques de surveillance.
Préparation à la configuration de la mise en miroir de ports 1 :N : recommandations et limites
Vous pouvez configurer la fonctionnalité de mise en miroir de ports 1 :N selon les deux méthodes de configuration suivantes :-
Mise en miroir des ports (à l’aide d’une méthode basée sur les filtres de pare-feu) au niveau de la
[edit forwarding-options port-mirroring instance]hiérarchie -
Analyseur natif au niveau de la
[edit forwarding-options analyzer]hiérarchie
Vous pouvez configurer les deux méthodes précédentes sur le même appareil. Reportez-vous à la section Exemples de résultats de configuration pour obtenir un exemple.
Les familles d’adresses suivantes sont prises en charge dans la mise en miroir de ports 1 :N :
-
ethernet-switching -
inet -
inet6
Voici les limitations que vous devez garder à l’esprit lorsque vous configurez la fonctionnalité :
-
Les membres du groupe de saut suivant peuvent être de couche 2 uniquement, et non de couche 3.
- Vous pouvez configurer
next-hop-group outputla prise en charge uniquement pour la mise en miroir de ports locaux , c’est-à-dire pas pour la mise en miroir de ports distants ou pour la mise en miroir de ports distants vers une adresse IP (encapsulation GRE). -
Vous pouvez configurer jusqu’à 4 groupes de sauts suivants et ajouter jusqu’à 4 interfaces à chaque groupe de sauts suivants. Vous devez définir au moins 2 destinations pour envoyer des paquets vers plusieurs destinations ; Toutefois, vous ne pouvez définir qu’une seule destination dans un groupe de sauts suivants.
Tableau 1 répertorie les combinaisons configuration-hiérarchie que vous utilisez pour construire votre topologie de mise en miroir 1 :N :
| Méthode de configuration | Hiérarchies |
|---|---|
|
Mise en miroir des ports (basée sur les filtres) |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Analyseur natif |
|
|
|
|
|
|
|
|
|
Vous pouvez lire les sous-sections de la tâche de configuration ou accéder directement à l’exemple de résultats de configuration qui affiche les résultats combinés des tâches.
Vue d’ensemble des tâches de configuration pour la mise en miroir de ports 1 :N
Les sous-sections de tâches de configuration suivantes vous montrent comment configurer chacune des hiérarchies répertoriées dans le Tableau 1. Vous pouvez lire les sous-sections de la tâche de configuration ou accéder directement à l’exemple de résultats de configuration qui affiche les résultats combinés des tâches.
Configurer l’instance de mise en miroir des ports
Pour configurer l’instance de mise en miroir des ports, entrez les commandes suivantes en mode [edit]configuration :
Configurer l’analyseur natif
Pour configurer l’analyseur natif, entrez les commandes suivantes en mode [edit]configuration :
- set forwarding-options analyzer analyzer-name input interface d’entrée interface-name
- set forwarding-options analyzer analyzer-name output next-hop-group next-hop-group-name
Configurer les groupes Next-Hop
Pour configurer les groupes next-hop, entrez la commande suivante dans le mode [edit]de configuration :
Vous devez configurer la group-type valeur en tant que layer-2.
Configurer le filtre de pare-feu
Pour configurer le filtre du pare-feu, saisissez les commandes suivantes en mode [edit]configuration :
Définissez un filtre de pare-feu qui référence le groupe de tronçons suivants en tant qu’action de filtre.
Pour plus d’informations sur la configuration générale des filtres de pare-feu, reportez-vous au Guide de l’utilisateur Stratégies de routage, filtres de pare-feu et mécanismes de contrôle du trafic.
- définir le terme term-name de filtre filter-name de la famille family-name de pare-feu, puis port-mirror-instanceinstance-name
- Définir le terme term-name de filtre filter-name de la famille family-name de pare-feu à partir du port sourceport-number
Configurer les interfaces
Pour configurer les interfaces, entrez les commandes suivantes en mode [edit]configuration :
- set interfaces interface-name unit logical-unit-number family family-name interface-mode mode
- Définir les interfaces interface-name Famille d’unités logical-unit-number family-name Filtrer l’entréefilter-name
Configurer les VLAN
Pour configurer les VLAN, entrez les commandes suivantes en mode [edit]de configuration :
Exemples de résultats de configuration
set interfaces ge-2/1/9 unit 0 family ethernet-switching interface-mode trunk set interfaces ge-2/1/9 unit 0 family ethernet-switching vlan members 100-102 set interfaces ge-2/2/7 unit 0 family ethernet-switching interface-mode trunk set interfaces ge-2/2/7 unit 0 family ethernet-switching vlan members 100-102 set interfaces ge-2/3/0 unit 0 family ethernet-switching interface-mode trunk set interfaces ge-2/3/0 unit 0 family ethernet-switching vlan members 100-102 set interfaces ge-2/3/0 unit 0 family ethernet-switching filter input f1 set forwarding-options analyzer analyz1 input ingress interface ge-2/3/0.0 set forwarding-options analyzer analyz1 output next-hop-group nhg1 set forwarding-options port-mirroring instance inst1 family ethernet-switching output next-hop-group nhg1 set forwarding-options next-hop-group nhg1 group-type layer-2 set forwarding-options next-hop-group nhg1 interface ge-2/2/7.0 set firewall family ethernet-switching filter f1 term t1 from source-port 7023 set firewall family ethernet-switching filter f1 term t1 then port-mirror-instance inst1