FortiGate 100D (FortiOS 4.0MR3) 上的网络分路器(SPAN 端口)

tag-icon tag-icon networking fortinet port-mirroring fortigate
FortiGate 100D (FortiOS 4.0MR3) 上的网络分路器(SPAN 端口)

这是我第一次使用 FortiGate 100D,我很困惑,因为似乎没有简单的方法来镜像交换机中的端口;我原本以为它会提供这个功能。

理想情况下,我希望将一个(或多个)端口镜像到另一个端口,以便我可以跟踪流经该端口的流量。

IE

  • 将 WAN1 镜像到内部端口
  • 将内部端口镜像到不同的内部端口
  • ETC。

当然,我可以用被动网络分路器来实现这一点;但我觉得很奇怪,100D 却不能似乎揭示一种简单的方法来实现这一点。

不过,我对硬件/FortiOS 还不熟悉——所以我可能只是忽略了一些显而易见的东西。

如果有人能告诉我如何在 FortiOS/FortiGate 上进行设置,我将不胜感激。

答案1

从 FortiOS CLI 参考中,在 system > switch-interface 下:

config system switch-interface
  edit <group_name>
    set member <iflist>
    set span {enable | disable}
    set span-dest-port <portnum>
    set span-direction {rx | tx | both}
    set span-source-port <portlist>
    set type {hub | switch | hardware-switch}
    set vdom <vdom_name>
  end

答案2

以上答案针对的是旧型号(4.0)。

对于较新的型号(5.0-5.4),看这里

摘自本文:

交换机端口分析器 (SPAN) 功能现在可用于内置硬件交换机的 FortiGate 型号上的硬件交换机接口(例如,FortiGate-100D、140D 和 200D 等)。

要通过 GUI 在硬件交换机上启用 SPAN,请转到系统 > 网络 > 接口并编辑硬件交换机接口。

默认情况下,系统可能有一个称为 LAN 的硬件交换机接口。也可以创建一个新的硬件交换机接口。选中 SPAN 复选框,然后选择要镜像流量的源端口。选择镜像流量要发送到的目标端口。选择镜像接收的流量、发送的流量或两者。

还可以通过 CLI 启用 SPAN:

config system virtual-switch
    edit <port>
    set span enable 
    set span-source-port <port>
    set span-dest-port <port>
    set span-direction {both | Tx | Rx} 
    end
end

相关内容