스위치의 여러 대상으로 1:N 포트 미러링
SUMMARY 이 문서에 설명된 포트 미러링 기능을 사용하여 여러 레이어 2 대상에 대한 트래픽을 미러링할 수 있습니다.
1:N 포트 미러링 - 설명 및 구성 지침
1:N 포트 미러링이란?
이 문서에서 1:N 포트 미러링 이라는 용어는 패킷을 여러 대상으로 미러링할 수 있는 기능을 나타냅니다. "1"은 미러링되는 패킷 소스를 나타내고 "N"은 패킷이 전송되는 여러 대상을 나타냅니다. 이 기능을 멀티패킷 미러링이라고 할 수도 있습니다.
포트 미러링은 네트워크 관리자가 네트워크 문제를 디버깅하고 네트워크에 대한 공격을 방어하는 데 도움이 됩니다. 허브와 달리 대상 디바이스의 모든 인터페이스에 패킷을 브로드캐스트하지 않는 라우터 및 스위치와 같은 네트워크 디바이스에서 트래픽 분석을 위해 포트 미러링을 사용할 수 있습니다. 포트 미러링은 모든 패킷의 사본을 데이터를 모니터링하고 분석할 수 있는 로컬 또는 원격 분석기로 보냅니다.
1:N 포트 미러링을 사용하여 여러 레이어 2 대상에 대한 트래픽을 미러링합니다. 이 기능 구성에서 다음 홉 그룹을 사용합니다.
이러한 여러 관찰 포트를 서로 다른 모니터링 디바이스에 연결하여 구성합니다.
1:N 포트 미러링 구성 준비—지침 및 제한 사항
다음 두 가지 구성 방법으로 1:N 포트 미러링 기능을 구성할 수 있습니다.-
계층에서
[edit forwarding-options port-mirroring instance]포트 미러링(방화벽 필터 기반 방법 사용) -
계층의 네이티브 분석기Native analyzer at the
[edit forwarding-options analyzer]hierarchy
동일한 디바이스에서 앞의 두 가지 방법을 모두 구성할 수 있습니다. 예제는 샘플 구성 결과를 참조하십시오.
다음 주소 패밀리는 1:N 포트 미러링에서 지원됩니다.
-
ethernet-switching -
inet -
inet6
기능을 구성할 때 염두에 두어야 할 제한 사항은 다음과 같습니다.
-
다음 홉 그룹 멤버는 레이어 3이 아닌 레이어 2만 될 수 있습니다.
- 로컬 포트 미러링에 대해서만 지원을 구성할 수 있습니다. 즉, 원격 포트 미러링 또는 IP 주소에 대한 원격 포트 미러링(GRE 캡슐화)에 대한 지원은 구성할
next-hop-group output수 없습니다. -
최대 4개의 다음 홉 그룹을 구성할 수 있으며, 각 다음 홉 그룹에 최대 4개의 인터페이스를 추가할 수 있습니다. 두 개 이상의 대상에 패킷을 전송하려면 최소 2개의 대상을 정의해야 합니다. 그러나 다음 홉 그룹에는 단 하나의 목적지만 정의할 수 있습니다.
표 1 에는 1:N 미러링 토폴로지를 구축하는 데 사용하는 구성-계층 조합 이 나열되어 있습니다.
| 구성 방법 | 계층 |
|---|---|
|
포트 미러링(필터 기반) |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
기본 분석기 |
|
|
|
|
|
|
|
|
|
구성 작업 하위 섹션을 읽거나 결합된 작업 결과를 보여주는 샘플 구성 결과로 이동할 수 있습니다.
포트 미러링 인스턴스 구성
포트 미러링 인스턴스를 구성하려면 구성 모드에서 [edit]다음 명령을 입력합니다.
기본 분석기 구성
네이티브 분석기를 구성하려면 구성 모드에서 [edit]다음 명령을 입력합니다.
- forwarding-options 분석기 analyzer-name 입력 수신 인터페이스 설정 interface-name
- forwarding-options 분석기 analyzer-name 출력 next-hop-group 설정 next-hop-group-name
다음 홉 그룹 구성
다음 홉 그룹을 구성하려면 구성 모드에서 [edit]다음 명령을 입력합니다.
값을 로 layer-2구성해야 group-type 합니다.
방화벽 필터 구성
방화벽 필터를 구성하려면 구성 모드에서 [edit]다음 명령을 입력합니다.
다음 홉 그룹을 필터 동작으로 참조하는 방화벽 필터를 정의합니다.
방화벽 필터 구성에 대한 일반적인 내용은 라우팅 정책, 방화벽 필터 및 트래픽 폴리서 사용자 가이드를 참조하십시오.
- 방화벽 제품군 family-name 필터 filter-name 용어 term-name 를 설정한 다음 port-mirror-instance를 설정합니다. instance-name
- 소스 포트에서 방화벽 제품군 family-name 필터 filter-name 용어 term-name 설정 port-number
인터페이스 구성
인터페이스를 구성하려면 구성 모드에서 [edit]다음 명령을 입력합니다.
- 인터페이스 interface-name 유닛 logical-unit-number 패밀리 family-name 인터페이스 모드 설정 mode
- 인터페이스 interface-name 단위 logical-unit-number 제품군 family-name 필터 입력 설정 filter-name
VLAN 구성
VLAN을 구성하려면 구성 모드에서 [edit]다음 명령을 입력합니다.
샘플 구성 결과
set interfaces ge-2/1/9 unit 0 family ethernet-switching interface-mode trunk set interfaces ge-2/1/9 unit 0 family ethernet-switching vlan members 100-102 set interfaces ge-2/2/7 unit 0 family ethernet-switching interface-mode trunk set interfaces ge-2/2/7 unit 0 family ethernet-switching vlan members 100-102 set interfaces ge-2/3/0 unit 0 family ethernet-switching interface-mode trunk set interfaces ge-2/3/0 unit 0 family ethernet-switching vlan members 100-102 set interfaces ge-2/3/0 unit 0 family ethernet-switching filter input f1 set forwarding-options analyzer analyz1 input ingress interface ge-2/3/0.0 set forwarding-options analyzer analyz1 output next-hop-group nhg1 set forwarding-options port-mirroring instance inst1 family ethernet-switching output next-hop-group nhg1 set forwarding-options next-hop-group nhg1 group-type layer-2 set forwarding-options next-hop-group nhg1 interface ge-2/2/7.0 set firewall family ethernet-switching filter f1 term t1 from source-port 7023 set firewall family ethernet-switching filter f1 term t1 then port-mirror-instance inst1