Duplicación de puerto 1:N a múltiples destinos en conmutadores
Puede utilizar la función de creación de reflejo de puertos descrita en este documento para reflejar el tráfico a varios destinos de capa 2.
Duplicación de puertos 1:N: descripción y directrices de configuración
- ¿Qué es la duplicación de puertos 1:N?
- Preparación para configurar la duplicación de puertos 1:N: directrices y limitaciones
- Descripción general de las tareas de configuración para la creación de reflejo de puertos 1:N
¿Qué es la duplicación de puertos 1:N?
Usamos el término duplicación de puerto 1:N en este documento para referirnos a la función que le permite reflejar paquetes a múltiples destinos. "1" representa el origen del paquete que se está reflejando y "N" representa los múltiples destinos a los que se envía el paquete. También es posible que vea esta característica descrita como duplicación de múltiples paquetes.
La duplicación de puertos ayuda a los administradores de red a depurar problemas de red y a defenderse de los ataques a la red. Puede usar la duplicación de puertos para el análisis de tráfico en dispositivos de red como enrutadores y conmutadores que, a diferencia de los concentradores, no difunden paquetes a todas las interfaces del dispositivo de destino. La duplicación de puertos envía copias de todos los paquetes a analizadores locales o remotos donde puede supervisar y analizar los datos.
La creación de reflejo del puerto 1:N se utiliza para reflejar el tráfico a varios destinos de capa 2. Los grupos del salto siguiente se utilizan en esta configuración de características.
Puede configurar estos múltiples puertos de observación con conexiones a diferentes dispositivos de supervisión.
Preparación para configurar la duplicación de puertos 1:N: directrices y limitaciones
Puede configurar la función de creación de reflejo de puerto 1:N en los dos métodos de configuración siguientes:-
Creación de reflejo de puertos (mediante un método basado en filtros de firewall) en la
[edit forwarding-options port-mirroring instance]jerarquía -
Analizador nativo en la
[edit forwarding-options analyzer]jerarquía
Puede configurar los dos métodos anteriores en el mismo dispositivo. Consulte Ejemplos de resultados de configuración para ver un ejemplo.
Las siguientes familias de direcciones son compatibles con la creación de reflejo de puerto 1:N:
-
ethernet-switching -
inet -
inet6
Estas son las limitaciones que debe tener en cuenta al configurar la función:
-
Los miembros del grupo del siguiente salto pueden ser solo de capa 2, no de capa 3.
- Solo puede configurar
next-hop-group outputla compatibilidad con la creación de reflejo de puerto local , es decir, no para la creación de reflejo remota de puertos ni para la creación de reflejo de puertos remotos en una dirección IP (encapsulación GRE). -
Puede configurar hasta 4 grupos de salto siguiente y agregar hasta 4 interfaces a cada grupo de salto siguiente. Debe definir al menos 2 destinos para enviar paquetes a más de un destino; Sin embargo, solo puede definir un destino en un grupo de salto siguiente.
Tabla 1 enumera las combinaciones de jerarquía de configuración que se usan para crear la topología de creación de reflejo 1:N:
| Método de configuración | Jerarquías |
|---|---|
|
Duplicación de puertos (basada en filtros) |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Analizador nativo |
|
|
|
|
|
|
|
|
|
Puede leer las subsecciones de la tarea de configuración o puede ir a los Resultados de configuración de ejemplo que muestran los resultados combinados de la tarea.
Descripción general de las tareas de configuración para la creación de reflejo de puertos 1:N
En las siguientes subsecciones de tareas de configuración se muestra cómo configurar cada una de las jerarquías enumeradas en la tabla 1. Puede leer las subsecciones de la tarea de configuración o puede ir a los Resultados de configuración de ejemplo que muestran los resultados combinados de la tarea.
Configurar la instancia de creación de reflejo de puertos
Para configurar la instancia de duplicación de puertos, introduzca los siguientes comandos en el modo [edit]de configuración:
Configurar el analizador nativo
Para configurar el analizador nativo, introduzca los siguientes comandos en el modo [edit]de configuración:
- establecer opciones de reenvío interfaz de entrada de entrada del analizador analyzer-nameinterface-name
- set forwarding-options analyzer analyzer-name output next-hop-group next-hop-group-name
Configurar grupos de salto siguiente
Para configurar grupos del salto siguiente, escriba el comando siguiente en el modo [edit]de configuración:
Debe configurar el group-type valor como layer-2.
Configurar el filtro de firewall
Para configurar el filtro de firewall, introduzca los siguientes comandos en el modo [edit]de configuración:
Defina un filtro de firewall que haga referencia al grupo del salto siguiente como acción de filtro.
Para obtener información acerca de la configuración de filtros de firewall en general, consulte la Guía del usuario de directivas de enrutamiento, filtros de firewall y políticas de tráfico.
- Establezca el término term-name de filtro filter-name de la familia family-name de firewall y, a continuación, la instancia de espejo de puertoinstance-name
- Establecer el término term-name de filtro filter-name de familia family-name de firewall desde el puerto de origenport-number
Configurar las interfaces
Para configurar las interfaces, introduzca los siguientes comandos en el modo [edit]de configuración:
- establecer familia family-name de unidades logical-unit-number de interfaces interface-name modo de interfazmode
- establecer interfaces interface-name familia family-name de unidades logical-unit-number filtrar entradafilter-name
Configurar las VLAN
Para configurar VLAN, ingrese los siguientes comandos en el modo [edit]de configuración:
Resultados de configuración de ejemplo
set interfaces ge-2/1/9 unit 0 family ethernet-switching interface-mode trunk set interfaces ge-2/1/9 unit 0 family ethernet-switching vlan members 100-102 set interfaces ge-2/2/7 unit 0 family ethernet-switching interface-mode trunk set interfaces ge-2/2/7 unit 0 family ethernet-switching vlan members 100-102 set interfaces ge-2/3/0 unit 0 family ethernet-switching interface-mode trunk set interfaces ge-2/3/0 unit 0 family ethernet-switching vlan members 100-102 set interfaces ge-2/3/0 unit 0 family ethernet-switching filter input f1 set forwarding-options analyzer analyz1 input ingress interface ge-2/3/0.0 set forwarding-options analyzer analyz1 output next-hop-group nhg1 set forwarding-options port-mirroring instance inst1 family ethernet-switching output next-hop-group nhg1 set forwarding-options next-hop-group nhg1 group-type layer-2 set forwarding-options next-hop-group nhg1 interface ge-2/2/7.0 set firewall family ethernet-switching filter f1 term t1 from source-port 7023 set firewall family ethernet-switching filter f1 term t1 then port-mirror-instance inst1