1:N 端口镜像到交换机上的多个目标
SUMMARY 您可以使用本文档中介绍的端口镜像功能将流量镜像到多个第 2 层目标。
1:N 端口镜像 — 说明和配置准则
什么是 1:N 端口镜像?
在本文档中,我们使用术语 1:N 端口 镜像来指代使您能够将数据包镜像到多个目标的功能。“1”表示要镜像的数据包源,“N”表示数据包发送到的多个目标。您可能还会看到此功能被描述为 多数据包镜像。
端口镜像可帮助网络管理员调试网络问题并抵御对网络的攻击。您可以使用端口镜像对网络设备(如路由器和交换机)进行流量分析,与集线器不同,这些设备不会将数据包广播到目标设备上的每个接口。端口镜像会将所有数据包的副本发送到本地或远程分析器,您可以在其中监视和分析数据。
您可以使用 1:N 端口镜像将流量镜像到多个第 2 层目标。在此功能配置中使用下一跃点组。
您可以通过连接到不同的监控设备来配置这些多个观察端口。
准备配置 1:N 端口镜像 — 准则和限制
您可以通过以下两种配置方式配置 1:N 端口镜像功能:-
层次结构中的 端口镜像(使用基于防火墙过滤器的方法)
[edit forwarding-options port-mirroring instance] -
层次结构中的 本机分析器
[edit forwarding-options analyzer]
您可以在同一台设备上配置上述两种方法。有关示例,请参阅 示例配置结果 。示例配置结果
1:N 端口镜像支持以下地址族:
-
ethernet-switching -
inet -
inet6
以下是配置该功能时需要牢记 的限制 :
-
下一跃点组成员只能是第 2 层,不能是第 3 层。
- 您可以配置仅对本地端口镜像的支持,即,不能配置对远程端口镜像或远程端口镜像到 IP 地址(GRE 封装)的支持。
next-hop-group output -
您最多可以配置 4 个下一跃点组,并且最多可以向每个下一跃点组添加 4 个接口。 您必须定义至少 2 个目的地才能将数据包发送到多个目的地;但是,您只能在下一跃点组中定义一个目标。
列出了用于构建 1:N 镜像拓扑的 配置层次结构组合 :表 1
| 配置方法 | 层次 结构 |
|---|---|
|
端口镜像(基于筛选器) |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
本机分析器 |
|
|
|
|
|
|
|
|
|
您可以通读配置任务子部分,也可以跳转到显示组合任务结果的示例 配置结果 。示例配置结果
配置端口镜像实例
要配置端口镜像实例,请在配置模式下 输入以下命令:[edit]
配置本机分析器
要配置本机分析器,请在配置模式下 输入以下命令:[edit]
- 设置转发选项分析器 输入入口接口 analyzer-nameinterface-name
- 设置转发选项分析器 输出下一跃点组 analyzer-namenext-hop-group-name
配置下一跃点组
要配置下一跃点组,请在配置模式下 输入以下命令:[edit]
必须将该 值 配置为 。group-typelayer-2
配置防火墙过滤器
要配置防火墙过滤器,请在配置模式下 输入以下命令:[edit]
定义引用下一跃点组作为过滤器操作的防火墙过滤器。
有关常规配置防火墙过滤器的信息,请参阅 《路由策略》、《防火墙过滤器》和《流量监管器用户指南》。https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/config-guide-policy/config-guide-policy.html
- 设置防火墙系列 过滤器 术语 ,然后设置端口镜像实例 family-namefilter-nameterm-nameinstance-name
- 从源端口设置防火墙系列过滤器术语family-namefilter-nameterm-nameport-number
配置接口
要配置接口,请在配置模式下 输入以下命令:[edit]
- 设置接口单元族接口模式interface-namelogical-unit-number family-namemode
- 设置接口 单元 族 滤波器输入 interface-namelogical-unit-number family-namefilter-name
配置 VLAN
要配置 VLAN,请在配置模式下 输入以下命令:[edit]
示例配置结果
set interfaces ge-2/1/9 unit 0 family ethernet-switching interface-mode trunk set interfaces ge-2/1/9 unit 0 family ethernet-switching vlan members 100-102 set interfaces ge-2/2/7 unit 0 family ethernet-switching interface-mode trunk set interfaces ge-2/2/7 unit 0 family ethernet-switching vlan members 100-102 set interfaces ge-2/3/0 unit 0 family ethernet-switching interface-mode trunk set interfaces ge-2/3/0 unit 0 family ethernet-switching vlan members 100-102 set interfaces ge-2/3/0 unit 0 family ethernet-switching filter input f1 set forwarding-options analyzer analyz1 input ingress interface ge-2/3/0.0 set forwarding-options analyzer analyz1 output next-hop-group nhg1 set forwarding-options port-mirroring instance inst1 family ethernet-switching output next-hop-group nhg1 set forwarding-options next-hop-group nhg1 group-type layer-2 set forwarding-options next-hop-group nhg1 interface ge-2/2/7.0 set firewall family ethernet-switching filter f1 term t1 from source-port 7023 set firewall family ethernet-switching filter f1 term t1 then port-mirror-instance inst1