Nesta página
Configuração de espelhamento em switches EX9200 para analisar o tráfego (procedimento CLI)
Configuração de espelhamento em switches EX4300 para analisar o tráfego (procedimento CLI)
Configuração do espelhamento de portas para analisar o tráfego (procedimento CLI)
Verificação de entrada e saída para analisadores de espelhamento de portas em switches da Série EX
Configuração de espelhamento e análise de portas
Entendendo os analisadores de espelhamento de porta
O espelhamento de portas pode ser usado para análise de tráfego em roteadores e switches que, ao contrário dos hubs, não transmitem pacotes para todas as portas do dispositivo de destino. O espelhamento de portas envia cópias de todos os pacotes ou pacotes de amostra baseados em políticas para analisadores locais ou remotos onde você pode monitorar e analisar os dados.
No contexto dos analisadores de espelhamento de porta, usamos o termo dispositivo de comutação. O termo indica que o dispositivo (incluindo roteadores) está executando uma função de comutação.
Você pode usar analisadores em um nível de pacote para ajudá-lo:
Monitore o tráfego de rede
Aplicar políticas de uso de rede
Aplicar políticas de compartilhamento de arquivos
Identificar as causas dos problemas
Identificar estações ou aplicativos com uso pesado ou anormal de largura de banda
Você pode configurar o espelhamento de porta para espelhamento:
Pacotes em ponte (pacotes de Camada 2)
Pacotes roteados (pacotes de Camada 3)
Os pacotes espelhados podem ser copiados para uma interface local para monitoramento local ou um domínio de VLAN ou ponte para monitoramento remoto.
Os pacotes a seguir podem ser copiados:
Packets entering or exiting a port— Você pode espelhar pacotes que entram ou saem de portas, em qualquer combinação, para até 256 portas. Por exemplo, você pode enviar cópias dos pacotes que entram em algumas portas e os pacotes que saem de outras portas para a mesma porta de analisador local ou VLAN analisador.
Packets entering or exiting a VLAN or bridge domain— Você pode espelhar os pacotes que entram ou saem de um domínio de VLAN ou ponte para uma porta de analisador local ou para um VLAN analisador ou domínio de ponte. Você pode configurar várias VLANs (até 256 VLANs) ou unir domínios como entradas de entrada para um analisador, incluindo um intervalo VLAN e VLANs privadas (PVLANs).
Policy-based sample packets— Você pode espelhar uma amostra baseada em políticas de pacotes que estão entrando em uma porta, VLAN ou domínio de ponte. Você configura um filtro de firewall com uma política para selecionar os pacotes a serem espelhados. Você pode enviar a amostra para uma instância de espelhamento de porta ou para um VLAN analisador ou domínio de ponte.
- Visão geral do analisador
- Visão geral do analisador estatístico
- Visão geral do analisador padrão
- Espelhamento de portas em um grupo de portas vinculados a vários analisadores estatísticos
- O analisador de espelhamento de portas, Terminology
- Diretrizes de configuração para analisadores de espelhamento de portas
Visão geral do analisador
Você pode configurar um analisador para definir o tráfego de entrada e o tráfego de saída na mesma configuração do analisador. O tráfego de entrada a ser analisado pode ser o tráfego que entra ou o tráfego que sai de uma interface ou VLAN. A configuração do analisador permite que você envie esse tráfego para uma interface de saída, instância, grupo de próximo salto, VLAN ou domínio de ponte. Você pode configurar um analisador no nível de [edit forwarding-options analyzer]
hierarquia.
Visão geral do analisador estatístico
Você pode definir um conjunto de propriedades de espelhamento, como taxa de espelhamento e comprimento máximo de pacotes para tráfego, que você pode vincular explicitamente a portas físicas no roteador ou switch. Esse conjunto de propriedades de espelhamento constitui um analisador estatístico (também chamado de analisador não padrão). Nesse nível, você pode vincular uma instância nomeada às portas físicas associadas a um FPC específico.
Visão geral do analisador padrão
Você pode configurar um analisador sem configurar nenhuma propriedade de espelhamento (como taxa de espelhamento ou comprimento máximo de pacote). Por padrão, a taxa de espelhamento é definida para 1 e o comprimento máximo do pacote é definido para o comprimento completo do pacote. Essas propriedades são aplicadas no nível global e não precisam ser vinculadas a um FPC específico.
Espelhamento de portas em um grupo de portas vinculados a vários analisadores estatísticos
Você pode aplicar até dois analisadores estatísticos aos mesmos grupos de porta no dispositivo de comutação. Aplicando duas instâncias de analisador estatísticas diferentes ao mesmo FPC ou Mecanismo de encaminhamento de pacotes, você pode vincular duas especificações de espelhamento de Camada 2 distintas a um único grupo de portas. Propriedades de espelhamento que estão vinculadas a um FPC sobrepõem quaisquer propriedades de analisador (analisador padrão) vinculadas ao nível global do dispositivo de comutação. As propriedades do analisador padrão são anuladas vinculando uma segunda instância de analisador no mesmo grupo de portas.
O analisador de espelhamento de portas, Terminology
Tabela 1 lista alguns termos do analisador de espelhamento de portas e suas descrições.
Prazo | Descrição |
---|---|
Analisador |
Em uma configuração de espelhamento, o analisador inclui:
|
Interface de saída de analisador (Também conhecida como porta de monitor) |
Interface onde o tráfego espelhado é enviado e um analisador de protocolo está conectado. As interfaces usadas como saída para um analisador devem ser configuradas sob o nível de As interfaces de saída do analisador têm as seguintes limitações:
|
VLAN analisador ou domínio de ponte (Também conhecido como um monitor VLAN ou domínio de ponte) |
VLAN ou domínio de ponte para onde o tráfego espelhado é enviado para ser usado por um analisador de protocolo. As interfaces de membro no monitor VLAN ou domínio de ponte estão espalhadas pelos dispositivos de comutação em sua rede. |
Analisador baseado em domínio de ponte |
Uma sessão de analisador configurada para usar domínios de ponte para entrada, saída ou ambos. |
Analisador padrão |
Um analisador com parâmetros de espelhamento padrão. Por padrão, a taxa de espelhamento é de 1 e o comprimento máximo do pacote é o comprimento do pacote completo. |
Interface de entrada (Também conhecidas como portas espelhadas ou interfaces monitoradas) |
Uma interface no dispositivo de comutação onde o tráfego entra ou sai dessa interface é espelhado. |
Analisador baseado em LAG |
Um analisador que tem um grupo de agregação de enlaces (LAG) especificado como a interface de entrada (entrada) na configuração do analisador. |
Espelhamento local |
Uma configuração de analisador em que os pacotes são espelhados em uma porta de analisador local. |
Estação de monitoramento |
Um computador executando um analisador de protocolo. |
Analisador baseado em grupo de próximo salto |
Uma configuração de analisador que usa o grupo de next-hop como saída para um analisador. |
Analisador baseado em porta |
Uma configuração de analisador que define interfaces para entrada e saída. |
Aplicativo de analisador de protocolo |
Um aplicativo usado para examinar pacotes transmitidos por um segmento de rede. Também comumente chamado de analisador de rede, sniffer de pacotes ou sondagem. |
Espelhamento remoto |
Funciona da mesma maneira que o espelhamento local, exceto que o tráfego espelhado não é copiado para uma porta de analisador local, mas é inundado para um VLAN analisador ou domínio de ponte que você cria especificamente para a finalidade de receber tráfego espelhado. Os pacotes espelhados têm uma tag externa adicional do VLAN do analisador ou domínio de ponte. |
Analisador estatístico (Também conhecido como um analisador não padrão) |
Um conjunto de propriedades de espelhamento que você pode vincular explicitamente às portas físicas do switch. Este conjunto de propriedades do analisador é conhecido como um analisador estatístico. |
Analisador baseado em VLAN |
Uma configuração de analisador que usa VLANs para entregar o tráfego espelhado ao analisador. |
Diretrizes de configuração para analisadores de espelhamento de portas
Quando você configura os analisadores de espelhamento de porta. recomendamos que você siga essas diretrizes para garantir o melhor benefício. Recomendamos que você desabilite o espelhamento quando não o estiver usando, e que selecione interfaces específicas como entrada para o analisador em vez de usar a opção all
de palavra-chave, que permite espelhamento em todas as interfaces. Espelhar apenas os pacotes necessários reduz qualquer impacto potencial de desempenho.
Você também pode limitar a quantidade de tráfego espelhado por:
-
Usando amostragem estatística
-
Usando um filtro de firewall
-
Configuração de uma razão para selecionar uma amostra estatística
Com o espelhamento local, o tráfego de várias portas é replicado na interface de saída do analisador. Se a interface de saída de um analisador atingir a capacidade, os pacotes serão descartados. Você deve considerar se o tráfego espelhado excede a capacidade da interface de saída do analisador.
Tabela 2 resume mais diretrizes de configuração para os analisadores.
Regra |
Informações de valor ou suporte |
Comentário |
---|---|---|
Número de analisadores que você pode habilitar simultaneamente. |
64 analisadores padrão 2 por FPC — Analisador estatístico |
Os analisadores estatísticos devem estar vinculados a um FPC para espelhar o tráfego em portas pertencentes a esse FPC. Nota:
As propriedades do analisador padrão estão implicitamente vinculadas à última (ou segunda a última) instância em todos os FPCs do sistema. Portanto, quando você vincula explicitamente um segundo analisador estatístico no FPC, as propriedades do analisador padrão são anuladas. |
Número de interfaces, VLANs ou domínios de ponte que você pode usar como entrada de entrada para um analisador. |
256 |
– |
Tipos de portas em que você não consegue espelhar o tráfego. |
|
|
Famílias de protocolo que você pode incluir em um analisador. |
|
Um analisador espelha apenas tráfego em ponte. Para espelhar o tráfego roteado, use a configuração de espelhamento de porta com |
Pacotes com erros físicos de camada não são enviados ao analisador local ou remoto. |
Aplicável |
Os pacotes com esses erros são filtrados e, portanto, não são enviados ao analisador. |
O analisador não oferece suporte ao tráfego de taxa de linha. |
Aplicável |
O espelhamento do tráfego de taxa de linha é feito com o melhor esforço. |
Saída de analisador em uma interface LAG. |
Possibilitada |
|
Modo de interface de saída do analisador como modo tronco. |
Possibilitada |
|
Espelhamento de saída de pacotes de controle gerados por host. |
Não suportado |
|
Configuração de interfaces lógicas de Camada 3 na |
Não suportado |
|
As estrofes de entrada e saída do analisador que contêm membros da mesma VLAN ou da própria VLAN devem ser evitadas. |
Aplicável |
|
Suporte para vLAN e suas interfaces de membro em diferentes sessões de analisador |
Não suportado |
Se o espelhamento estiver configurado, qualquer um dos analisadores está ativo. |
Espelhamento de saída de interfaces agregadas de Ethernet (ae) e suas interfaces lógicas infantis configuradas para diferentes analisadores. |
Não suportado |
|
Configuração de espelhamento em switches EX9200 para analisar o tráfego (procedimento CLI)
Os switches EX9200 permitem configurar o espelhamento para enviar cópias de pacotes para uma interface local para monitoramento local ou para uma VLAN para monitoramento remoto. Você pode usar o espelhamento para copiar os seguintes pacotes:
Pacotes entrando ou saindo de uma porta
Pacotes entrando ou saindo de uma VLAN
Espelhar apenas os pacotes necessários para reduzir o impacto potencial no desempenho. Recomendamos que você:
Desabile os analisadores que você configurou quando não os está usando.
Especifique interfaces individuais como entrada para analisadores em vez de especificar todas as interfaces como entrada.
Limite a quantidade de tráfego espelhado em:
Usando amostragem estatística.
Relação de configuração para selecionar amostras estatísticas.
Usando filtros de firewall.
Se você quiser criar analisadores adicionais sem excluir os analisadores existentes, desabile os analisadores existentes usando a disable analyzer analyzer-name
declaração da interface de linha de comando (CLI) ou da página de configuração J-Web para espelhamento.
As interfaces usadas como saída para um analisador devem ser configuradas sob a ethernet-switching family
, e devem estar associadas a uma VLAN.
- Configuração de um analisador para análise de tráfego local
- Configuração de um analisador para análise remota de tráfego
- Configuração de um analisador estatístico para análise de tráfego local
- Configuração de um analisador estatístico para análise remota de tráfego
- Analisadores estatísticos vinculantes às portas agrupadas no nível do FPC
- Configurando um analisador com vários destinos usando grupos de próximo salto
- Definindo um grupo de next-hop para espelhamento de camada 2
Configuração de um analisador para análise de tráfego local
Espelhar tráfego de rede ou VLAN no switch para uma interface no switch usando analisadores:
Configuração de um analisador para análise remota de tráfego
Espelhar o tráfego que está atravessando interfaces ou uma VLAN no switch para uma VLAN usada para análise a partir de um local remoto:
Configuração de um analisador estatístico para análise de tráfego local
Espelhar o tráfego de interface ou o tráfego VLAN no switch para uma interface no switch usando um analisador estatístico:
Configuração de um analisador estatístico para análise remota de tráfego
Espelhar o tráfego que está atravessando interfaces ou uma VLAN no switch para uma VLAN para análise de um local remoto usando um analisador estatístico:
Analisadores estatísticos vinculantes às portas agrupadas no nível do FPC
Você pode vincular um analisador estatístico a um FPC específico no switch, ou seja, você pode vincular a instância de analisador estatístico no nível FPC do switch. As propriedades de espelhamento especificadas no analisador estatístico são aplicadas a todas as portas físicas associadas a todos os mecanismos de encaminhamento de pacotes no FPC especificado.
Vincular uma instância nomeada do analisador de Camada 2 a um FPC:
Habilite a configuração das propriedades do chassi do switch:
[edit] user@switch# edit chassis
Habilite a configuração de um FPC (e seus PICs instalados):
[edit chassis] user@switch# edit fpc slot-number
Vincule uma instância de analisador estatístico ao FPC:
[edit chassis fpc slot-number] user@switch# set port-mirror-instance stats_analyzer-1
(Opcional) Para vincular uma segunda instância analisadora estatística do espelhamento de Camada 2 ao mesmo FPC, repita a Etapa 3 e especifique um nome de analisador estatístico diferente:
[edit chassis fpc slot-number] user@switch# set port-mirror-instance stats_analyzer-2
Verifique a configuração mínima da ligação:
[edit chassis fpc slot-number port-mirror-instance analyzer_name] user@switch# top [edit] user@switch# show chassis chassis { fpc slot-number { # Bind two statistical analyzers or port mirroring named instances at the FPC level. port-mirror-instance stats_analyzer-1; port-mirror-instance stats_analyzer-2; } }
Ao vincular uma segunda instância (stats_analyzer-2
neste exemplo), as propriedades de espelhamento desta sessão, se configuradas, substitui qualquer analisador padrão.
Configurando um analisador com vários destinos usando grupos de próximo salto
Você pode espelhar o tráfego em vários destinos configurando grupos de próximo salto como saída de analisador. O espelhamento de pacotes para vários destinos também é conhecido como espelhamento de porta multipacket.
Espelhar o tráfego de interface ou tráfego VLAN no switch para uma interface no switch (usando analisadores):
Definindo um grupo de next-hop para espelhamento de camada 2
A configuração de grupo de próximo salto no [edit forwarding-options]
nível de configuração permite que você defina um nome de grupo de próximo salto, o tipo de endereços a serem usados no grupo de próximo salto e as interfaces lógicas que formam os múltiplos destinos aos quais o tráfego pode ser espelhado. Por padrão, o grupo de próximo salto é especificado usando endereços de Camada 3 usando a [edit forwarding-options next-hop-group next-hop-group-name group-type inet]
declaração. Para especificar um grupo de próximo salto usando endereços de Camada 2, inclua a [edit forwarding-options next-hop-group next-hop-group-name group-type layer-2]
declaração.
Para definir um grupo de próximo salto para espelhamento de Camada 2:
Configuração de espelhamento em switches EX4300 para analisar o tráfego (procedimento CLI)
Essa tarefa usa o Junos OS para switches da Série EX com suporte para o estilo de configuração de Software de Camada 2 (ELS).
Os switches EX4300 permitem configurar o espelhamento para enviar cópias de pacotes para uma interface local para monitoramento local ou para uma VLAN para monitoramento remoto. Você pode usar o espelhamento para copiar esses pacotes:
Pacotes entrando ou saindo de uma porta
Pacotes entrando em uma VLAN
Espelhar apenas os pacotes necessários para reduzir o impacto potencial no desempenho. Recomendamos que você:
Desativar suas configurações de espelhamento configuradas quando você não as estiver usando.
Especifique interfaces individuais como entrada para analisadores em vez de especificar todas as interfaces como entrada.
Limite a quantidade de tráfego espelhado usando filtros de firewall.
Se você quiser criar analisadores adicionais sem excluir os analisadores existentes, então desabile os analisadores existentes usando a disable analyzer analyzer-name
declaração da interface de linha de comando ou da página de configuração J-Web para espelhamento.
As interfaces usadas como saída para um analisador devem ser configuradas na ethernet-switching
família.
- Configuração de um analisador para análise de tráfego local
- Configuração de um analisador para análise remota de tráfego
- Configuração do espelhamento de porta
Configuração de um analisador para análise de tráfego local
Espelhar o tráfego de interface ou tráfego VLAN no switch para uma interface no switch (usando analisadores):
Configuração de um analisador para análise remota de tráfego
Espelhar o tráfego que está atravessando interfaces ou uma VLAN no switch para uma VLAN para análise de um local remoto (usando analisadores):
Configuração do espelhamento de porta
Filtrar pacotes a serem espelhados em uma instância de espelhamento de porta, criar a instância e depois usá-la como ação no filtro de firewall. Você pode usar filtros de firewall em configurações de espelhamento local e remoto.
Se a mesma instância de espelhamento de porta for usada em vários filtros ou termos, os pacotes serão copiados para a porta de saída do analisador ou o VLAN analisador apenas uma vez.
Para filtrar o tráfego espelhado, crie uma instância de espelhamento de portas sob o nível de [edit forwarding-options]
hierarquia e, em seguida, crie um filtro de firewall. O filtro pode usar qualquer uma das condições de correspondência disponíveis e deve ter port-mirror-instance instance-name
como ação. Essa ação na configuração do filtro de firewall fornece a entrada para a instância de espelhamento de portas.
Para configurar uma instância de espelhamento de porta com filtros de firewall:
Configuração do espelhamento de portas para analisar o tráfego (procedimento CLI)
Essa tarefa de configuração usa o Junos OS para switches da Série EX que não oferecem suporte ao estilo de configuração do Software de Camada 2 (ELS).
Os switches da Série EX permitem configurar o espelhamento de portas para enviar cópias de pacotes para uma interface local para monitoramento local ou para uma VLAN para monitoramento remoto. Você pode usar o espelhamento de porta para copiar esses pacotes:
Pacotes entrando ou saindo de uma porta
Pacotes que entram em uma VLAN nos switches EX2200, EX3200, EX3300, EX4200, EX4500 ou EX6200
Pacotes saindo de uma VLAN em switches EX8200
Espelhar apenas os pacotes necessários para reduzir o impacto potencial no desempenho. Recomendamos que você:
Desabiibilize os analisadores de espelhamento de porta configurados quando você não os estiver usando.
Especifique interfaces individuais como entrada para analisadores em vez de especificar todas as interfaces como entrada.
Limite a quantidade de tráfego espelhado em:
Usando amostragem estatística.
Relação de configuração para selecionar amostras estatísticas.
Usando filtros de firewall.
Antes de começar a configurar o espelhamento de portas, observe as seguintes limitações para interfaces de saída do analisador:
Também não pode ser uma porta de origem.
Não pode ser usado para comutação.
Não participe de protocolos de Camada 2 (como rSTP) quando parte de uma configuração de espelhamento de porta.
Não retenha nenhuma associação de VLAN que mantinha antes de serem configuradas como interfaces de saída do analisador.
Se você quiser criar analisadores adicionais sem excluir o analisador existente, primeiro desabile o analisador existente usando o disable analyzer analyzer-name
comando ou a página de configuração J-Web para espelhamento de portas.
As interfaces usadas como saída para um analisador devem ser configuradas como família ethernet-switching
.
- Configuração do espelhamento de portas para análise de tráfego local
- Configuração de espelhamento de porta para análise remota de tráfego
- Filtragem do tráfego entrando em um analisador
Configuração do espelhamento de portas para análise de tráfego local
Para espelhar o tráfego de interface ou tráfego VLAN no switch para outra interface no switch:
Configuração de espelhamento de porta para análise remota de tráfego
Espelhar o tráfego que está atravessando interfaces ou uma VLAN no switch para uma VLAN para análise a partir de um local remoto:
Filtragem do tráfego entrando em um analisador
Filtrar quais pacotes são espelhados em um analisador, criar o analisador e depois usá-lo como ação no filtro de firewall. Você pode usar filtros de firewall em configurações de espelhamento de portas locais e remotas.
Se o mesmo analisador for usado em vários filtros ou termos, os pacotes serão copiados na porta de saída do analisador ou no analisador VLAN apenas uma vez.
Para filtrar o tráfego espelhado, criar um analisador e, em seguida, criar um filtro de firewall. O filtro pode usar qualquer uma das condições de correspondência disponíveis e deve ter uma ação de analyzer
. A ação do filtro de firewall fornece a entrada para o analisador.
Para configurar o espelhamento de portas com filtros:
Verificação de entrada e saída para analisadores de espelhamento de portas em switches da Série EX
Propósito
Essa tarefa de verificação usa o Junos OS para switches da Série EX que não oferecem suporte ao estilo de configuração do Software de Camada 2 (ELS).
Verifique se um analisador foi criado no switch e tem as interfaces de entrada de espelho apropriadas e a interface de saída do analisador apropriada.
Ação
Você pode verificar se o analisador de espelho de porta está configurado como esperado usando o show analyzer
comando.
[edit] user@switch> show analyzer Analyzer name : employee-monitor Output VLAN : remote-analyzer Mirror ratio : 1 Loss priority : High Ingress monitored interfaces : ge-0/0/0.0 Ingress monitored interfaces : ge-0/0/1.0
Você pode visualizar todos os analisadores de espelho de porta configurados no switch, incluindo qualquer um que esteja desativado, usando o show ethernet-switching-options
comando no modo de configuração.
user@switch# show ethernet-switching-options inactive: analyzer employee-web-monitor { loss-priority high; output { analyzer employee-monitor { loss-priority high; input { ingress { interface ge-0/0/0.0; interface ge-0/0/1.0; } } output { vlan { remote-analyzer; } } }
Significado
Essa saída mostra que o analisador de monitor de funcionários tem uma razão de 1 (espelhando cada pacote, o padrão), uma prioridade de high
perda (definir essa opção para high
sempre que a saída do analisador for para uma VLAN), está espelhando o tráfego entrando em ge-0/0/0 e ge-0/1, e está enviando o tráfego espelhado para o analisador chamado analisador remoto.
Exemplo: Configuração de analisadores de espelhamento de portas para monitoramento local do uso de recursos dos funcionários
Os dispositivos da Juniper Networks permitem que você configure o espelhamento de portas para enviar cópias de pacotes para uma interface local para monitoramento local, para uma VLAN ou para um domínio de ponte para monitoramento remoto. Você pode usar o espelhamento para copiar esses pacotes:
Pacotes entrando ou saindo de uma porta
Pacotes que entram ou saem de um domínio de VLAN ou ponte
Em seguida, você pode analisar o tráfego espelhado localmente ou remotamente usando um analisador de protocolo. Você pode instalar um analisador em uma interface de destino local. Se você estiver enviando tráfego espelhado para um VLAN analisador ou domínio de ponte, você pode usar um analisador em uma estação de monitoramento remoto.
Este tópico descreve como configurar o espelhamento local em um dispositivo de comutação. Os exemplos neste tópico descrevem como configurar um dispositivo de comutação para espelhar interfaces de entrada de tráfego conectadas aos computadores dos funcionários a uma interface de saída de analisador nesse mesmo dispositivo.
- Requisitos
- Visão geral e topologia
- Espelhamento de todo o tráfego de funcionários para análise local
- Verificação
Requisitos
Use um dos seguintes componentes de hardware e software:
Um switch EX9200 com o Junos OS Release 13.2 ou posterior
Um roteador da Série MX com o Junos OS Release 14.1 ou posterior
Antes de configurar o espelhamento de portas, certifique-se de ter uma compreensão dos conceitos de espelhamento. Para obter informações sobre os analisadores, veja Entendendo os analisadores de espelhamento de porta. Para obter informações sobre espelhamento de porta, veja Entendendo o espelhamento de portas de Camada 2.
Visão geral e topologia
Este tópico descreve como espelhar todo o tráfego que entra em portas no dispositivo de comutação para uma interface de destino no mesmo dispositivo (espelhamento local). Neste caso, o tráfego está entrando em portas conectadas aos computadores dos funcionários.
Espelhar todo o tráfego requer uma largura de banda significativa e só deve ser feito durante uma investigação ativa.
As interfaces ge-0/0/0 e ge-0/0/1 servem como conexões para computadores funcionários.
A interface ge-0/0/10 está reservada para análise do tráfego espelhado.
Conecte um PC executando um analisador de protocolo à interface de saída do analisador.
Várias portas espelhadas em uma interface podem causar o estouro do buffer, resultando na queda de pacotes espelhados na interface de saída.
Figura 1 mostra a topologia da rede para este exemplo.
Espelhamento de todo o tráfego de funcionários para análise local
Procedimento
Configuração rápida da CLI
Para configurar rapidamente o espelhamento local para tráfego de entrada enviado em duas portas conectadas a computadores funcionários, copie qualquer um dos seguintes comandos para switches da Série EX ou para roteadores da Série MX e cole-os na janela de terminal do dispositivo de comutação:
Série EX
[edit] set interfaces ge-0/0/0 unit 0 family ethernet-switching set interfaces ge-0/0/1 unit 0 family ethernet-switching set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor output interface ge-0/0/10.0
Série MX
[edit] set interfaces ge-0/0/0 unit 0 family bridge interface-mode access vlan-id 99 set interfaces ge-0/0/1 unit 0 family bridge interface-mode access vlan-id 98 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor output interface ge-0/0/10.0
Procedimento passo a passo
Para configurar um analisador chamado employee-monitor
e especificar tanto as interfaces de entrada (fonte) quanto a interface de saída do analisador:
Configure cada interface a ser usada na configuração do analisador. Use o protocolo familiar correto para sua plataforma.
EX Series [edit] set interfaces ge-0/0/0 unit 0 family ethernet-switching set interfaces ge-0/0/1 unit 0 family ethernet-switching
Para configurar
family bridge
em uma interface, você deve configurarinterface-mode access
ouinterface-mode trunk
também. Você também deve configurarvlan-id
.MX Series [edit] set interfaces ge-0/0/0 unit 0 family bridge interface-mode access vlan-id 99 set interfaces ge-0/0/1 unit 0 family bridge interface-mode access vlan-id 98
Configure cada interface conectada aos computadores dos funcionários como uma interface
employee-monitor
de analisador de saída.[edit forwarding-options] set analyzer employee-monitor input ingress interface ge-0/0/0.0 set analyzer employee-monitor input ingress interface ge-0/0/1.0
Configure a interface do analisador de saída para o
employee-monitor
analisador.Esta será a interface de destino para os pacotes espelhados.
[edit forwarding-options] set analyzer employee-monitor output interface ge-0/0/10.0
Resultados
Verifique os resultados da configuração.
[edit] user@device# show forwarding-options analyzer { employee-monitor { input { ingress { interface ge-0/0/0.0; interface ge-0/0/1.0; } } output { interface ge-0/0/10.0; } } }
Verificação
Verificando se o analisador foi criado corretamente
Propósito
Verifique se o analisador employee-monitor
foi criado no dispositivo de comutação com as interfaces de entrada apropriadas e a interface de saída apropriada.
Ação
Use o show forwarding-options analyzer
comando operacional para verificar se um analisador está configurado como esperado.
user@device> show forwarding-options analyzer Analyzer name : employee-monitor Mirror rate : 1 Maximum packet length : 0 State : up Ingress monitored interfaces : ge-0/0/0.0 Output interface : ge-0/0/10.0
Significado
A saída mostra que o employee-monitor
analisador tem uma razão de 1 (isto é, espelhando cada pacote, a configuração padrão), o tamanho máximo do pacote original espelhado é 0 (indicando que todo o pacote está espelhado), o estado da configuração é up
, e o analisador está espelhando o tráfego entrando na interface ge-0/0/0 e enviando o tráfego espelhado para a interface ge-0/0/10.
Se o estado da interface de saída estiver down
ou se a interface de State
saída não estiver configurada, o valor estará down
indicando que o analisador não receberá tráfego espelhado.
Exemplo: Configuração do espelhamento de portas para monitoramento remoto do uso de recursos dos funcionários
Os dispositivos da Juniper Networks permitem que você configure o espelhamento de portas para enviar cópias de pacotes para uma interface local para monitoramento local ou para uma VLAN ou domínio de ponte para monitoramento remoto. Você pode usar o espelhamento para copiar esses pacotes:
Pacotes entrando ou saindo de uma porta
Pacotes entrando ou saindo de uma VLAN
Pacotes entrando ou saindo de um domínio de ponte
Se você estiver enviando tráfego espelhado para um VLAN analisador ou domínio de ponte, você pode analisar o tráfego espelhado usando um analisador de protocolo em execução em uma estação de monitoramento remoto.
Espelhar apenas os pacotes necessários para reduzir o impacto potencial no desempenho. Recomendamos que você faça o seguinte:
Desabilhe suas sessões de espelhamento configuradas quando você não as estiver usando.
Especifique interfaces individuais como entrada para analisadores em vez de especificar todas as interfaces como entrada.
Limite a quantidade de tráfego espelhado em:
Usando amostragem estatística.
Relação de configuração para selecionar amostras estatísticas.
Usando filtros de firewall.
Os exemplos neste tópico descrevem como configurar o espelhamento remoto de portas para analisar o uso de recursos dos funcionários.
- Requisitos
- Visão geral e topologia
- Espelhamento do tráfego de funcionários para análise remota usando um analisador estatístico
- Verificação
Requisitos
Este exemplo usa um dos seguintes pares de componentes de hardware e software:
Um switch EX9200 conectado a outro switch EX9200, ambos executando o Junos OS Release 13.2 ou posterior
Um roteador da Série MX conectado a outro roteador da Série MX, ambos executando o Junos OS Release 14.1 ou posterior
Antes de configurar o espelhamento remoto, certifique-se de que:
Você tem uma compreensão dos conceitos de espelhamento. Para obter informações sobre os analisadores, veja Entendendo os analisadores de espelhamento de porta. Para obter informações sobre espelhamento de porta, veja Entendendo o espelhamento de portas de Camada 2.
As interfaces que o analisador usará como interfaces de entrada já foram configuradas no dispositivo de comutação.
Visão geral e topologia
Este tópico descreve como configurar o espelhamento de portas para um VLAN analisador remoto ou domínio de ponte para que a análise possa ser feita a partir de uma estação de monitoramento remoto.
Figura 2 mostra a topologia de rede tanto para o exemplo da Série EX quanto para os cenários de exemplo da Série MX.
Topologia
Neste exemplo:
A interface ge-0/0/0 é uma interface de Camada 2, e a interface ge-0/0/1 é uma interface de Camada 3 (ambas são interfaces no dispositivo de origem) que servem como conexões para computadores funcionários.
A interface ge-0/0/10 é uma interface de Camada 2 que conecta o dispositivo de comutação de origem ao dispositivo de comutação de destino.
A interface ge-0/0/5 é uma interface de Camada 2 que conecta o dispositivo de comutação de destino à estação de monitoramento remoto.
O analisador
remote-analyzer
está configurado em todos os dispositivos de comutação na topologia para transportar o tráfego espelhado. Essa topologia pode usar uma VLAN ou um domínio de ponte.
Espelhamento do tráfego de funcionários para análise remota usando um analisador estatístico
Para configurar um analisador estatístico para análise remota de tráfego para todo o tráfego de funcionários de entrada e saída, selecione um dos seguintes exemplos:
- Espelhamento do tráfego dos funcionários para análise remota dos switches da Série EX
- Espelhamento do tráfego dos funcionários para análise remota para roteadores da Série MX
Espelhamento do tráfego dos funcionários para análise remota dos switches da Série EX
Configuração rápida da CLI
Para configurar rapidamente um analisador estatístico para análise remota de tráfego do tráfego de funcionários de entrada e saída, copie os seguintes comandos para switches da Série EX e cole-os na janela de terminal do dispositivo de comutação correta.
Copie e cole os seguintes comandos na janela terminal do dispositivo de comutação de origem :
Série EX
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor output vlan remote-analyzer set forwarding-options analyzer employee-monitor input rate 2 set forwarding-options analyzer employee-monitor input maximum-packet-length 128 set chassis fpc 0 port-mirror-instance employee-monitor
Copie e cole os seguintes comandos na janela terminal do dispositivo de comutação de destino :
Série EX
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 set interfaces ge-0/0/5 unit 0 family ethernet-switching interface-mode access set forwarding-options analyzer employee-monitor input ingress vlan remote-analyzer set forwarding-options analyzer employee-monitor output interface ge-0/0/5.0
Procedimento passo a passo
Para configurar o espelhamento remoto básico:
No dispositivo de comutação de origem, faça o seguinte:
Configure o VLAN ID para a
remote-analyzer
VLAN.[edit] user@device# set vlans remote-analyzer vlan-id 999
Configure a interface na porta de rede conectada ao dispositivo de comutação de destino para o modo de acesso e associe-a à
remote-analyzer
VLAN.[edit] user@device# set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode access user@device# set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999
Configure o analisador
employee-monitor
estatístico.[edit forwarding-options] user@device# set analyzer employee-monitor input ingress interface ge-0/0/0.0 user@device# set analyzer employee-monitor input ingress interface ge-0/0/1.0 user@device# set analyzer employee-monitor input egress interface ge-0/0/0.0 user@device# set analyzer employee-monitor input egress interface ge-0/0/1.0 user@device# set analyzer employee-monitor output vlan remote-analyzer user@device# set analyzer employee-monitor input rate 2 user@device# set analyzer employee-monitor input maximum-packet-length 128
Vincule o analisador estatístico ao FPC que contém a interface de entrada.
[edit] user@device# set chassis fpc 0 port-mirror-instance employee-monitor
No dispositivo de rede de destino, faça o seguinte:
Configure o VLAN ID para a
remote-analyzer
VLAN.[edit] user@device# set vlans remote-analyzer vlan-id 999
Configure a interface no dispositivo de comutação de destino para o modo de acesso e associe-a à
remote-analyzer
VLAN.[edit interfaces] user@device# set ge-0/0/10 unit 0 family ethernet-switching interface-mode access user@device# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999
Configure a interface conectada ao dispositivo de comutação de destino para o modo de acesso.
[edit interfaces] user@device# set ge-0/0/5 unit 0 family ethernet-switching interface-mode access
Configure o
employee-monitor
analisador.[edit forwarding-options] user@device# set analyzer employee-monitor input ingress vlan remote-analyzer user@device# set analyzer employee-monitor output interface ge-0/0/5.0
Especifique parâmetros de espelhamento, como a taxa e o comprimento máximo do pacote para o
employee-monitor
analisador.[edit] user@device# set forwarding-options analyzer employee-monitor input rate 2 user@device# set forwarding-options analyzer employee-monitor input maximum-packet-length 128
Vincule o
employee-monitor
analisador ao FPC que contém as portas de entrada.[edit] user@device# set chassis fpc 0 port-mirror-instance employee-monitor
Resultados
Verifique os resultados da configuração no dispositivo de comutação de origem:
[edit] user@device# show forwarding-options { analyzer employee-monitor { input { ingress { interface ge-0/0/0.0; interface ge-0/0/1.0; } egress { interface ge-0/0/0.0; interface ge-0/0/1.0; } maximum-packet-length 128; rate 2; } output { vlan { remote-analyzer; } } } } interfaces { ge-0/0/10 { unit 0 { family ethernet-switching { interface-mode access; vlan { members 999; } } } } } vlans { remote-analyzer { vlan-id 999; } }
Verifique os resultados da configuração no dispositivo de comutação de destino.
[edit] user@device# show interfaces { ge0/0/5 { unit 0 { family ethernet-switching { interface-mode access; } } } ge-0/0/10 { unit 0 { family ethernet-switching { interface-mode access; vlan { members 999; } } } } } vlans { remote-analyzer { vlan-id 999; interface { ge-0/0/10.0; } } } forwarding-options { analyzer employee-monitor { input { ingress { vlan remote-analyzer; } } output { interface { ge-0/0/5.0; } } } }
Espelhamento do tráfego dos funcionários para análise remota para roteadores da Série MX
Configuração rápida da CLI
Para configurar rapidamente um analisador estatístico para análise remota de tráfego do tráfego de funcionários de entrada e saída, copie os seguintes comandos para roteadores da Série MX e cole-os na janela de terminal do dispositivo de comutação correta.
Copie e cole os seguintes comandos na janela terminal do dispositivo de comutação de origem :
Série MX
[edit] set bridge-domains remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family bridge interface-mode access set interfaces ge-0/0/10 unit 0 family bridge vlan-id 999 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor output bridge-domain remote-analyzer set forwarding-options analyzer employee-monitor input rate 2 set forwarding-options analyzer employee-monitor input maximum-packet-length 128 set chassis fpc 0 port-mirror-instance employee-monitor
Copie e cole os seguintes comandos na janela terminal do dispositivo de comutação de destino :
Série MX
[edit] set bridge-domains remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family bridge interface-mode access set interfaces ge-0/0/10 unit 0 family bridge vlan-id 999 set interfaces ge-0/0/5 unit 0 family bridge interface-mode access set forwarding-options analyzer employee-monitor input ingress bridge-domain remote-analyzer set forwarding-options analyzer employee-monitor output interface ge-0/0/5.0
Procedimento passo a passo
Para configurar o espelhamento remoto básico usando roteadores da Série MX:
No dispositivo de comutação de origem, faça o seguinte:
Configure o ID de VLAN para o domínio da
remote-analyzer
ponte.[edit] user@device# set bridge-domains remote-analyzer vlan-id 999
Configure a interface na porta de rede conectada ao dispositivo de comutação de destino para o modo de acesso e associe-a ao domínio da
remote-analyzer
ponte.[edit] user@device# set interfaces ge-0/0/10 unit 0 family bridge interface-mode access user@device# set interfaces ge-0/0/10 unit 0 family bridge vlan members 999
Configure o analisador
employee-monitor
estatístico.[edit forwarding-options] user@device# set analyzer employee-monitor input ingress interface ge-0/0/0.0 user@device# set analyzer employee-monitor input ingress interface ge-0/0/1.0 user@device# set analyzer employee-monitor input egress interface ge-0/0/0.0 user@device# set analyzer employee-monitor input egress interface ge-0/0/1.0 user@device# set analyzer employee-monitor output bridge-domain remote-analyzer user@device# set analyzer employee-monitor input rate 2 user@device# set analyzer employee-monitor input maximum-packet-length 128
Vincule o analisador estatístico ao FPC que contém a interface de entrada.
[edit] user@device# set chassis fpc 0 port-mirror-instance employee-monitor
No dispositivo de comutação de destino, faça o seguinte:
Configure o ID de VLAN para o domínio da
remote-analyzer
ponte.[edit bridge-domains] user@device# set remote-analyzer vlan-id 999
Configure a interface no dispositivo de comutação de destino para o modo de acesso e associe-a ao domínio da
remote-analyzer
ponte.[edit interfaces] user@device# set ge-0/0/10 unit 0 family bridge interface-mode access user@device# set ge-0/0/10 unit 0 family bridge vlan members 999
Configure a interface conectada ao dispositivo de comutação de destino para o modo de acesso.
[edit interfaces] user@device# set ge-0/0/5 unit 0 family bridge interface-mode access
Configure o
employee-monitor
analisador.[edit forwarding-options] user@device# set analyzer employee-monitor input ingress bridge-domain remote-analyzer user@device# set analyzer employee-monitor output interface ge-0/0/5.0
Especifique parâmetros de espelhamento, como a taxa e o comprimento máximo do pacote para o
employee-monitor
analisador.[edit] user@device# set forwarding-options analyzer employee-monitor input rate 2 user@device# set forwarding-options analyzer employee-monitor input maximum-packet-length 128
Vincule o
employee-monitor
analisador ao FPC que contém as portas de entrada.[edit] user@device# set chassis fpc 0 port-mirror-instance employee-monitor
Resultados
Verifique os resultados da configuração no dispositivo de comutação de origem:
[edit] user@device# show bridge-domains { remote-analyzer { vlan-id 999; } } forwarding-options { analyzer { employee-monitor { input { ingress { interface ge-0/0/0.0; interface ge-0/0/1.0; } egress { interface ge-0/0/0.0; interface ge-0/0/1.0; } maximum-packet-length 128; rate 2; } output { bridge-domain { remote-analyzer; } } } } } interfaces { ge-0/0/0 { unit 0 { family bridge { interface-mode access; vlan-id 99; } } } ge-0/0/1 { unit 0 { family bridge { interface-mode access; vlan-id 98; } } } ge-0/0/10 { unit 0 { family bridge { interface-mode access; vlan-id 999; } } } }
Verifique os resultados da configuração no dispositivo de comutação de destino.
[edit] user@device# show bridge-domains { remote-analyzer { vlan-id 999; } } forwarding-options { analyzer { employee-monitor { input { ingress { interface ge-0/0/0.0; interface ge-0/0/1.0; bridge-domain remote-analyzer; } } output { interface ge-0/0/5.0; } } } } interfaces { ge-0/0/5 { unit 0 { family bridge { interface-mode access; } } } }
Verificação
Verificando se o analisador foi criado corretamente
Propósito
Verifique se o analisador nomeado employee-monitor
foi criado no dispositivo com as interfaces de entrada apropriadas e a interface de saída apropriada.
Ação
Para verificar se o analisador está configurado como esperado enquanto monitora todo o tráfego dos funcionários no dispositivo de comutação de origem, execute o show forwarding-options analyzer
comando no dispositivo de comutação de origem. A saída a seguir é exibida para este exemplo de configuração.
user@device> show forwarding-options analyzer Analyzer name : employee-monitor Mirror rate : 2 Maximum packet length : 128 State : up Ingress monitored interfaces : ge-0/0/0.0 Ingress monitored interfaces : ge-0/0/1.0 Egress monitored interfaces : ge-0/0/0.0 Egress monitored interfaces : ge-0/0/1.0 Output VLAN : default-switch/remote-analyzer
Significado
Esta saída mostra que a employee-monitor
instância tem uma razão de 2, o tamanho máximo do pacote original que foi espelhado é de 128, o estado da configuração é up
, o que indica o estado adequado e que o analisador está programado, e o analisador está espelhando o tráfego entrando ge-0/0/0,0 e ge-0/0/1,0, e está enviando o tráfego espelhado para o VLAN chamado de analisador remoto.
Se o estado da interface de saída estiver down
ou se a interface de State
saída não estiver configurada, o valor será reduzido e o analisador não poderá monitorar o tráfego.
Exemplo: Configuração de espelhamento para várias interfaces para monitoramento remoto do uso de recursos dos funcionários em switches EX9200
Os switches EX9200 permitem configurar o espelhamento para enviar cópias de pacotes para uma interface local para monitoramento local ou para uma VLAN para monitoramento remoto. Você pode usar o espelhamento para copiar esses pacotes:
Pacotes entrando ou saindo de uma porta
Pacotes entrando ou saindo de uma VLAN em
Você pode analisar o tráfego espelhado usando um aplicativo de analisador de protocolo em execução em uma estação de monitoramento remoto se estiver enviando tráfego espelhado para um VLAN analisador.
Espelhar apenas os pacotes necessários para reduzir o impacto potencial no desempenho. Recomendamos que você:
Desabiibilize seus analisadores de espelhamento configurados quando você não os estiver usando.
Especifique interfaces individuais como entrada para analisadores em vez de especificar todas as interfaces como entrada.
Limite a quantidade de tráfego espelhado em:
Usando amostragem estatística.
Relação de configuração para selecionar amostras estatísticas.
Usando filtros de firewall.
Este exemplo descreve como configurar o espelhamento remoto em várias interfaces em um VLAN analisador:
- Requisitos
- Visão geral e topologia
- Espelhamento de todo o tráfego dos funcionários em várias interfaces de membros da VLAN para análise remota
- Verificação
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
Três switches EX9200
Versão 13.2 ou posterior do Junos OS para switches da Série EX
Antes de configurar o espelhamento remoto, certifique-se de que:
As interfaces que o analisador usará como interfaces de entrada foram configuradas no switch.
Visão geral e topologia
Este exemplo descreve como espelhar o tráfego que entra nas portas do switch para o VLAN do analisador remoto para que você possa realizar análises de uma estação de monitoramento remoto. O VLAN analisador remoto neste exemplo contém várias interfaces de membro. Portanto, o mesmo tráfego é espelhado em todas as interfaces de membros da VLAN de analisador remoto para que os pacotes espelhados possam ser enviados para diferentes estações de monitoramento remoto. Você pode instalar aplicativos, como sniffers e sistemas de detecção de intrusões, em estações de monitoramento remoto para analisar esses pacotes espelhados e obter dados estatísticos úteis. Por exemplo, se houver duas estações de monitoramento remotas, você pode instalar um sniffer em uma estação de monitoramento remoto e um sistema de detecção de intrusão na outra estação. Você pode usar uma configuração de analisador de filtro de firewall para encaminhar um tipo específico de tráfego a uma estação de monitoramento remoto.
Este exemplo descreve como configurar um analisador para espelhar o tráfego em várias interfaces no grupo de next-hop para que o tráfego seja enviado para diferentes estações de monitoramento para análise.
Figura 3 mostra a topologia da rede para este exemplo.
Topologia
Neste exemplo:
As interfaces ge-0/0/0 e ge-0/0/1 são interfaces de Camada 2 (ambas interfaces no switch de origem) que servem como conexões para computadores funcionários.
As interfaces ge-0/0/10 e ge-0/0/11 são interfaces de Camada 2 conectadas a diferentes switches de destino.
A interface ge-0/0/12 é uma interface de Camada 2 que conecta o switch Destination 1 à estação de monitoramento remoto.
A interface ge-0/0/13 é uma interface de Camada 2 que conecta o switch Destination 2 à estação de monitoramento remoto.
O VLAN
remote-analyzer
está configurado em todos os switches da topologia para transportar o tráfego espelhado.
Espelhamento de todo o tráfego dos funcionários em várias interfaces de membros da VLAN para análise remota
Para configurar o espelhamento em várias interfaces de membros da VLAN para análise remota de tráfego para todo o tráfego de funcionários de entrada e saída, execute essas tarefas:
Procedimento
Configuração rápida da CLI
Para configurar rapidamente o espelhamento para análise remota de tráfego para tráfego de funcionários de entrada e saída, copie os seguintes comandos e cole-os na janela do terminal do switch:
Na janela de terminal do switch de origem, copie e cole os seguintes comandos:
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 set interfaces ge-0/0/11 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/11 unit 0 family ethernet-switching vlan members 999 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor output next-hop-group remote-analyzer-nhg set forwarding-options next-hop-group remote-analyzer-nhg interface ge-0/0/10.0 set forwarding-options next-hop-group remote-analyzer-nhg interface ge-0/0/11.0 set forwarding-options next-hop-group remote-analyzer-nhg group-type layer-2
Na janela de terminal do switch Destination 1, copie e cole os seguintes comandos:
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode acess set interfaces ge-0/0/12 unit 0 family ethernet-switching interface-mode access set forwarding-options analyzer employee-monitor input ingress vlan remote-analyzer set forwarding-options analyzer employee-monitor loss-priority high output interface ge-0/0/12.0
Na janela de terminal do switch Destination 2, copie e cole os seguintes comandos:
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/11 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/13 unit 0 family ethernet-switching interface-mode access set forwarding-options analyzer employee-monitor input ingress vlan remote-analyzer set forwarding-options analyzer employee-monitor loss-priority high output interface ge-0/0/13.0
Procedimento passo a passo
Para configurar o espelhamento remoto básico em duas interfaces de membro VLAN:
No switch de origem:
Configure o VLAN ID para a
remote-analyzer
VLAN:[edit vlans] user@switch# set remote-analyzer vlan-id 999
Configure as interfaces na porta de rede conectada a switches de destino para modo de acesso e as associe-as
remote-analyzer
à VLAN:[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999 user@switch# set ge-0/0/11 unit 0 family ethernet-switching interface-mode trunk user@switch# set ge-0/0/11 unit 0 family ethernet-switching vlan members 999
Configure o
employee-monitor
analisador:[edit forwarding-options] user@switch# set analyzer employee-monitor input ingress interface ge-0/0/0.0 user@switch# set analyzer employee-monitor input ingress interface ge-0/0/1.0 user@switch# set analyzer employee-monitor input egress interface ge-0/0/0.0 user@switch# set analyzer employee-monitor input egress interface ge-0/0/1.0 user@switch# set analyzer employee-monitor output next-hop-group remote-analyzer-nhg
Nesta configuração do analisador, o tráfego que entra e sai das interfaces ge-0/0/0.0 e ge-0/1.0 são enviados para o destino de saída definido pelo grupo de próximo salto chamado
remote-analyzer-nhg
.Configure o
remote-analyzer-nhb
grupo de próximo salto:[edit forwarding-options] user@switch# set next-hop-group remote-analyzer-nhg interface ge-0/0/10.0 user@switch# set next-hop-group remote-analyzer-nhg interface ge-0/0/11.0 user@switch# set next-hop-group remote-analyzer-nhg group-type layer-2
No switch Destination 1:
Configure o VLAN ID para a
remote-analyzer
VLAN:[edit vlans] user@switch# set remote-analyzer vlan-id 999
Configure a interface ge-0/0/10 no switch Destination 1 para o modo de acesso:
[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching interface-mode access
Configure a interface conectada à estação de monitoramento remoto para o modo de acesso:
[edit interfaces] user@switch# set ge-0/0/12 unit 0 family ethernet-switching interface-mode access
Configure o
employee-monitor
analisador:[edit forwarding-options] user@switch# set analyzer employee-monitor input ingress vlan remote-analyzer user@switch# set analyzer employee-monitor loss-priority high output interface ge-0/0/12.0
No switch Destination 2:
Configure o VLAN ID para a
remote-analyzer
VLAN:[edit vlans] user@switch# set remote-analyzer vlan-id 999
Configure a interface ge-0/0/11 no switch Destination 2 para o modo de acesso:
[edit interfaces] user@switch# set ge-0/0/11 unit 0 family ethernet-switching interface-mode access
Configure a interface conectada à estação de monitoramento remoto para o modo de acesso:
[edit interfaces] user@switch# set ge-0/0/13 unit 0 family ethernet-switching interface-mode access
Configure o
employee-monitor
analisador:[edit forwarding-options] user@switch# set analyzer employee-monitor input ingress vlan remote-analyzer user@switch# set analyzer employee-monitor loss-priority high output interface ge-0/0/13.0
Resultados
Confira os resultados da configuração no switch de origem:
[edit] user@switch# show forwarding-options { analyzer employee-monitor { input { ingress { interface ge-0/0/0.0; interface ge-0/0/1.0; } egress { interface ge-0/0/0.0; interface ge-0/0/1.0; } } output { next-hop-group { remote-analyzer-nhg; } } } } vlans { remote-analyzer { vlan-id 999; interface { ge-0/0/10.0 ge-0/0/11.0 } } } interfaces { ge-0/0/10 { unit 0 { family ethernet-switching { interface-mode access; } } } ge-0/0/11 { unit 0 { family ethernet-switching { interface-mode access; } } } }
Confira os resultados da configuração no switch Destination 1:
[edit] user@switch# show vlans { remote-analyzer { vlan-id 999; } } interfaces { ge-0/0/10 { unit 0 { ethernet-switching { interface-mode acess; } } } ge-0/0/12 { unit 0 { family ethernet-switching { interface-mode access; } } } } forwarding-options { analyzer employee-monitor { input { ingress { vlan remote-analyzer; } } loss-priority high; output { interface { ge-0/0/12.0; } } } }
Confira os resultados da configuração no switch Destination 2:
[edit] user@switch# show vlans { remote-analyzer { vlan-id 999; interface { ge-0/0/11.0 } } } interfaces { ge-0/0/11 { unit 0 { family ethernet-switching { interface-mode access; } } } ge-0/0/13 { unit 0 { family ethernet-switching { interface-mode access; } } } } forwarding-options { employee-monitor { input { ingress { vlan remote-analyzer; } } loss-priority high; output { interface { ge-0/0/13.0; } } } }
Verificação
Para confirmar que a configuração está funcionando corretamente, execute essas tarefas:
Verificando se o analisador foi criado corretamente
Propósito
Verifique se o analisador nomeado employee-monitor
foi criado no switch com as interfaces de entrada apropriadas e a interface de saída apropriada.
Ação
Você pode verificar se o analisador está configurado como esperado usando o show forwarding-options analyzer
comando.
Para verificar se o analisador está configurado como esperado enquanto monitora todo o tráfego dos funcionários no switch de origem, execute o show forwarding-options analyzer
comando no switch de origem. A saída a seguir é exibida para esta configuração de exemplo no switch de origem:
user@switch> show forwarding-options analyzer Analyzer name : employee-monitor Mirror rate : 1 Maximum packet length : 0 State : up Ingress monitored interfaces : ge-0/0/0.0 Ingress monitored interfaces : ge-0/0/1.0 Egress monitored interfaces : ge-0/0/0.0 Egress monitored interfaces : ge-0/0/1.0 Output nhg : remote-analyzer-nhg user@switch> show forwarding-options next-hop-group Next-hop-group: remote-analyzer-nhg Type: layer-2 State: up Members Interfaces: ge-0/0/10.0 ge-0/0/11.0
Significado
Essa saída mostra que o employee-monitor
analisador tem uma razão de 1 (espelhando cada pacote, que é o comportamento padrão), o estado da configuração é up
, o que indica o estado adequado e que o analisador é programado, espelha o tráfego entrando ou saindo interfaces ge-0/0/0 e ge-0/0/1, e envia tráfego espelhado para várias interfaces ge-0/0/10.0 e ge-0/0/11.0 através do grupo remote-analyzer-nhg
de próximo salto. Se o estado da interface de saída estiver down
ou se a interface de saída não estiver configurada, o valor do estado será reduzido e o analisador não será capaz de espelhar o tráfego.
Exemplo: Configuração de espelhamento para monitoramento remoto do uso de recursos dos funcionários por meio de um switch de trânsito em switches EX9200
Os switches EX9200 permitem configurar o espelhamento para enviar cópias de pacotes para uma interface local para monitoramento local ou para uma VLAN para monitoramento remoto. Você pode usar o espelhamento para copiar esses pacotes:
Pacotes entrando ou saindo de uma porta
Pacotes entrando ou saindo de uma VLAN
Você pode analisar o tráfego espelhado usando um aplicativo de analisador de protocolo em execução em uma estação de monitoramento remoto se estiver enviando tráfego espelhado para um VLAN analisador.
Este tópico inclui um exemplo que descreve como espelhar o tráfego entrando em portas no switch para o VLAN analisador remoto por meio de um switch de trânsito, para que você possa realizar análises de uma estação de monitoramento remoto.
Espelhar apenas os pacotes necessários para reduzir o impacto potencial no desempenho. Recomendamos que você:
Desabilhe suas sessões de espelhamento configuradas quando você não as estiver usando.
Especifique interfaces individuais como entrada para analisadores em vez de especificar todas as interfaces como entrada.
Limite a quantidade de tráfego espelhado em:
Usando amostragem estatística.
Relação de configuração para selecionar amostras estatísticas.
Usando filtros de firewall.
Este exemplo descreve como configurar o espelhamento remoto por meio de um switch de trânsito:
- Requisitos
- Visão geral e topologia
- Espelhamento de todo o tráfego dos funcionários para análise remota por meio de um switch de trânsito
- Verificação
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
Um switch EX9200 conectado a outro switch EX9200 por um terceiro switch EX9200
Versão 13.2 ou posterior do Junos OS para switches da Série EX
Antes de configurar o espelhamento remoto, certifique-se de que:
As interfaces que o analisador usará como interfaces de entrada foram configuradas no switch.
Visão geral e topologia
Este exemplo descreve como espelhar o tráfego que entra em portas no switch para a remote-analyzer
VLAN por meio de um switch de trânsito para que você possa realizar análises em todo o tráfego a partir de computadores funcionários.
Nesta configuração, é necessária uma sessão de analisador no switch de destino para espelhar o tráfego de entrada do VLAN do analisador até a interface de saída à qual a estação de monitoramento remoto está conectada.
Figura 4 mostra a topologia da rede para este exemplo.
Topologia
Neste exemplo:
A interface ge-0/0/0 é uma interface de Camada 2, e a interface ge-0/0/1 é uma interface de Camada 3 (ambas interfaces no switch de origem) que servem como conexões para computadores funcionários.
A interface ge-0/0/10 é uma interface de Camada 2 que se conecta ao switch de trânsito.
A interface ge-0/0/11 é uma interface de Camada 2 no switch de trânsito.
A interface ge-0/0/12 é uma interface de Camada 2 no switch de trânsito e se conecta ao switch de destino.
A interface ge-0/0/13 é uma interface de Camada 2 no switch de destino.
A interface ge-0/0/14 é uma interface de Camada 2 no switch de destino e se conecta à estação de monitoramento remoto.
O VLAN
remote-analyzer
está configurado em todos os switches da topologia para transportar o tráfego espelhado.
Espelhamento de todo o tráfego dos funcionários para análise remota por meio de um switch de trânsito
Para configurar o espelhamento para análise remota de tráfego por meio de um switch de trânsito, para todo o tráfego de funcionários de entrada e saída, execute essas tarefas:
Procedimento
Configuração rápida da CLI
Para configurar o espelhamento rapidamente para análise remota de tráfego por meio de um switch de trânsito, para tráfego de funcionários de entrada e saída, copie os seguintes comandos e cole-os na janela do terminal do switch:
Copie e cole os seguintes comandos na janela de terminal do switch de origem (switch monitorado):
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor output vlan remote-analyzer
Copie e cole os seguintes comandos na janela do switch de trânsito:
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/11 unit 0 family ethernet-switching interface-mode access set vlans remote-analyzer interface ge-0/0/11 set interfaces ge-0/0/12 unit 0 family ethernet-switching interface-mode access set vlans remote-analyzer interface ge-0/0/12
Copie e cole os seguintes comandos na janela do switch de destino:
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/13 unit 0 family ethernet-switching interface-mode access set vlans remote-analyzer interface ge-0/0/13 ingress set interfaces ge-0/0/14 unit 0 family ethernet-switching interface-mode access set forwarding-options analyzer employee-monitor input ingress vlan remote-analyzer set forwarding-options analyzer employee-monitor output interface ge-0/0/14.0
Procedimento passo a passo
Para configurar o espelhamento remoto por meio de um switch de trânsito:
No switch de origem:
Configure o VLAN ID para a
remote-analyzer
VLAN:[edit vlans] user@switch# set remote-analyzer vlan-id 999
Configure as interfaces na porta de rede conectada ao switch de trânsito para o modo de acesso e as associe-a
remote-analyzer
à VLAN:[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching interface-mode access user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999
Configure o
employee-monitor
analisador:[edit forwarding-options] user@switch# set analyzer employee-monitor input ingress interface ge-0/0/0.0 user@switch# set analyzer employee-monitor input ingress interface ge-0/0/1.0 user@switch# set analyzer employee-monitor input egress interface ge-0/0/0.0 user@switch# set analyzer employee-monitor input egress interface ge-0/0/1.0 user@switch# set analyzer employee-monitor output vlan remote-analyzer
No switch de trânsito:
Configure o VLAN ID para a
remote-analyzer
VLAN:[edit vlans] user@switch# set remote-analyzer vlan-id 999
Configure a interface ge-0/0/11 para o modo de acesso, associe-a à
remote-analyzer
VLAN:[edit interfaces] user@switch# set ge-0/0/11 unit 0 family ethernet-switching interface-mode access
Configure a interface ge-0/0/12 para o modo de acesso, associe-a
remote-analyzer
à VLAN e configure a interface apenas para tráfego de saída:[edit interfaces] user@switch# set ge-0/0/12 unit 0 family ethernet-switching interface-mode access user@switch# set vlans remote-analyzer interface ge-0/0/12
No switch de destino:
Configure o VLAN ID para a
remote-analyzer
VLAN:[edit vlans] user@switch# set remote-analyzer vlan-id 999
Configure a interface ge-0/0/13 para o modo de acesso, associe-a
remote-analyzer
à VLAN e configure a interface apenas para tráfego de entrada:[edit interfaces] user@switch# set ge-0/0/13 unit 0 family ethernet-switching interface-mode access user@switch# set vlans remote-analyzer interface ge-0/0/13 ingress
Configure a interface conectada à estação de monitoramento remoto para o modo de acesso:
[edit interfaces] user@switch# set ge-0/0/14 unit 0 family ethernet-switching interface-mode access
Configure o
remote-analyzer
analisador:[edit forwarding-options] user@switch# set analyzer employee-monitor input ingress vlan remote-analyzer user@switch# set analyzer employee-monitor output interface ge-0/0/14.0
Resultados
Confira os resultados da configuração no switch de origem:
[edit] user@switch> show forwarding-options { analyzer employee-monitor { input { ingress { interface ge-0/0/0.0; interface ge-0/0/1.0; } egress { interface ge-0/0/0.0; interface ge-0/0/1.0; } } output { vlan { remote-analyzer; } } } } vlans { remote-analyzer { vlan-id 999; } } interfaces { ge-0/0/10 { unit 0 { family ethernet-switching { interface-mode access; vlan { member 999; } } } } }
Verifique os resultados da configuração no switch de trânsito:
[edit] user@switch> show vlans { remote-analyzer { vlan-id 999; interface { ge-0/0/11.0 { } ge-0/0/12.0 { } } } } interfaces { ge-0/0/11 { unit 0 { family ethernet-switching { interface-mode access; } } } ge-0/0/12 { unit 0 { family ethernet-switching { interface-mode access; } } } }
Confira os resultados da configuração no switch de destino:
[edit] user@switch> show vlans { remote-analyzer { vlan-id 999; interface { ge-0/0/13.0 { ingress; } } } } interfaces { ge-0/0/13 { unit 0 { family ethernet-switching { interface-mode access; } } } ge-0/0/14 { unit 0 { family ethernet-switching { interface-mode access; } } } } forwarding-options { analyzer employee-monitor { input { ingress { vlan remote-analyzer; } } output { interface { ge-0/0/14.0; } } } }
Verificação
Para confirmar que a configuração está funcionando corretamente, execute essas tarefas:
Verificando se o analisador foi criado corretamente
Propósito
Verifique se o analisador nomeado employee-monitor
foi criado no switch com as interfaces de entrada apropriadas e a interface de saída apropriada.
Ação
Você pode verificar se o analisador está configurado como esperado usando o show forwarding-options analyzer
comando.
Para verificar se o analisador está configurado como esperado enquanto monitora todo o tráfego dos funcionários no switch de origem, execute o show forwarding-options analyzer
comando no switch de origem. A saída a seguir é exibida para esta configuração de exemplo:
user@switch> show forwarding-options analyzer Analyzer name : employee-monitor Mirror rate : 1 Maximum packet length : 0 State : up Ingress monitored interfaces : ge-0/0/0.0 Ingress monitored interfaces : ge-0/0/1.0 Egress monitored interfaces : ge-0/0/0.0 Egress monitored interfaces : ge-0/0/1.0 Output vlan : default-switch/remote-analyzer
Significado
Essa saída mostra que o employee-monitor
analisador tem uma razão de espelhamento de 1 (espelhamento de cada pacote, o padrão), o estado da configuração é up
, o que indica o estado adequado e que o analisador está programado, está espelhando o tráfego entrando em ge-0/0/0 e ge-0/1, e está enviando o tráfego espelhado para o analisador chamado remote-analyzer
. Se o estado da interface de saída estiver down
ou se a interface de saída não estiver configurada, o valor do estado será reduzido e o analisador não será capaz de espelhar o tráfego.
Exemplo: Configuração de espelhamento para monitoramento local do uso de recursos dos funcionários em switches EX4300
Este exemplo usa o Junos OS para switches da Série EX com suporte para o estilo de configuração de Software de Camada 2 (ELS). Se o seu switch executa um software que não oferece suporte ao ELS, veja Exemplo: Configuração do espelhamento de portas para monitoramento local do uso de recursos dos funcionários em switches da Série EX. Para obter mais informações sobre o ELS, veja Como começar com um software aprimorado de camada 2.
Os switches EX4300 permitem configurar o espelhamento para enviar cópias de pacotes para uma interface local para monitoramento local ou para uma VLAN para monitoramento remoto. Você pode usar o espelhamento para copiar esses pacotes:
Pacotes entrando ou saindo de uma porta
Pacotes entrando em uma VLAN
Você pode analisar o tráfego espelhado usando um analisador de protocolo instalado em um sistema conectado à interface de destino local ou a uma estação de monitoramento remoto se estiver enviando tráfego espelhado para um VLAN analisador.
Este exemplo descreve como configurar o espelhamento local em um switch EX4300. Este exemplo descreve como configurar o switch para espelhar o tráfego entrando em interfaces conectadas aos computadores dos funcionários a uma interface de saída de analisador no mesmo switch.
- Requisitos
- Visão geral e topologia
- Espelhamento de todo o tráfego de funcionários para análise local
- Espelhamento do tráfego entre funcionários e web para análise local
- Verificação
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
Um switch EX4300
Junos OS Versão 13.2X50-D10 ou posterior para switches da Série EX
Visão geral e topologia
Este tópico inclui dois exemplos que descrevem como espelhar o tráfego entrando em portas no switch para uma interface de destino no mesmo switch (espelhamento local). O primeiro exemplo mostra como espelhar todo o tráfego que entra nas portas conectadas aos computadores dos funcionários. O segundo exemplo mostra o mesmo cenário, mas inclui um filtro para espelhar apenas o tráfego dos funcionários indo para a Web.
As interfaces ge-0/0/0 e ge-0/0/1 servem como conexões para computadores funcionários. A interface ge0/0/10 está reservada para análise do tráfego espelhado. Conecte um PC executando um aplicativo de analisador de protocolo à interface de saída do analisador para analisar o tráfego espelhado.
Várias portas espelhadas em uma interface podem causar o estouro do buffer e a queda de pacotes.
Ambos os exemplos usam a topologia de rede mostrada em Figura 5.
Espelhamento de todo o tráfego de funcionários para análise local
Para configurar o espelhamento de todo o tráfego de funcionários para análise local, execute essas tarefas:
Procedimento
Configuração rápida da CLI
Para configurar rapidamente o espelhamento local para o tráfego de entrada nas duas portas conectadas aos computadores dos funcionários, copie os seguintes comandos e cole-os na janela do terminal do switch:
[edit] set interfaces ge-0/0/0 unit 0 family ethernet-switching set interfaces ge-0/0/1 unit 0 family inet address 192.0.2.1/24 set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members analyzer_vlan set vlans analyzer-vlan vlan-id 1000 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor output interface ge-0/0/10.0
Procedimento passo a passo
Para configurar um analisador chamado employee-monitor
e especificar as interfaces de entrada (fonte) e a interface de saída do analisador:
Configure cada interface conectada aos computadores dos funcionários como uma interface de entrada para o analisador
employee-monitor
:[edit forwarding-options] user@switch# set analyzer employee-monitor input ingress interface ge–0/0/0.0 user@switch# set analyzer employee-monitor input ingress interface ge-0/0/1.0
Configure a interface de saída do analisador como parte de uma VLAN:
[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members analyzer_vlan
[edit vlans] user@switch# set analyzer-vlan vlan-id 1000
Configure a interface do analisador de saída para o analisador
employee-monitor
. Esta será a interface de destino para os pacotes espelhados:[edit forwarding-options] user@switch# set analyzer employee-monitor output interface ge-0/0/10.0
Resultados
Confira os resultados da configuração:
[edit] user@switch# show forwarding-options { analyzer employee-monitor { input { ingress { interface ge-0/0/0.0; interface ge-0/0/1.0;} } output { interface { ge-0/0/10.0; } } } }
Espelhamento do tráfego entre funcionários e web para análise local
Para configurar o espelhamento do tráfego da Web para o funcionário, execute essas tarefas:
Procedimento
Configuração rápida da CLI
Para configurar rapidamente o espelhamento local do tráfego das duas portas conectadas aos computadores dos funcionários, filtragem para que apenas o tráfego para a Web externa seja espelhado, copie os seguintes comandos e cole-os na janela do terminal do switch:
[edit] set forwarding-options port-mirroring instance employee-web-monitor output interface ge-0/0/10.0 set firewall family ethernet-switching filter watch-employee term employee-to-corp from destination-address 192.0.2.16/24 set firewall family ethernet-switching filter watch-employee term employee-to-corp from source-address 192.0.2.16/24 set firewall family ethernet-switching filter watch-employee term employee-to-corp then accept set firewall family ethernet-switching filter watch-employee term employee-to-web from destination-port 80 set firewall family ethernet-switching filter watch-employee term employee-to-web then port-mirroring-instance employee-web-monitor set interfaces ge-0/0/0 unit 0 family ethernet-switching filter input watch-employee set interfaces ge-0/0/1 unit 0 family ethernet-switching filter input watch-employee
Procedimento passo a passo
Para configurar o espelhamento local do funcionário para o tráfego da Web a partir das duas portas conectadas aos computadores dos funcionários:
Configure a interface do analisador local:
[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching
Configure a
employee-web-monitor
instância de saída (a entrada na instância vem da ação do filtro):[edit forwarding-options port-mirroring] user@switch# set instance employee-web-monitor output interface ge-0/0/10.0
Configure um filtro de firewall chamado
watch-employee
para enviar cópias espelhadas de solicitações de funcionários à Web para aemployee-web-monitor
instância. Aceite todo o tráfego de e para a sub-rede corporativa (endereço de destino ou fonte de 192.0.2.16/24). Envie cópias espelhadas de todos os pacotes destinados à Internet (porta de destino 80) para aemployee-web-monitor
instância.[edit firewall family ethernet-switching] user@switch# set filter watch-employee term employee-to-corp from destination-address 192.0.2.16/24 user@switch# set filter watch-employee term employee-to-corp from source-address 192.0.2.16/24 user@switch# set filter watch-employee term employee-to-corp then accept ser@switch# set filter watch-employee term employee-to-web from destination-port 80 user@switch# set filter watch-employee term employee-to-web then port-mirroring-instance employee-web-monitor
Aplique o filtro nas
watch-employee
portas apropriadas:[edit interfaces] user@switch# set ge-0/0/0 unit 0 family ethernet-switching filter input watch-employee user@switch# set ge-0/0/1 unit 0 family ethernet-switching filter input watch-employee
Resultados
Confira os resultados da configuração:
[edit] user@switch# show forwarding-options { port-mirroring { instance { employee-web-monitor { family ethernet-switching { output { interface ge-0/0/10.0; } } } } } } ... firewall family ethernet-switching { filter watch-employee { term employee-to-corp { from { destination-address 192.0.2.16/24; source-address 192.0.2.16/24; } then accept { } term employee-to-web { from { destination-port 80; } then port-mirroring-instance employee-web-monitor; } } } ... interfaces { ge-0/0/0 { unit 0 { family ethernet-switching { interface-mode trunk; vlan members [employee-vlan, voice-vlan]; filter { input watch-employee; } } } } ge-0/0/1 { family ethernet-switching { filter { input watch-employee; } } } }
Verificação
Para confirmar se a configuração está correta, execute essas tarefas:
- Verificando se o analisador foi criado corretamente
- Verificando se a instância de espelhamento de porta está configurada corretamente
Verificando se o analisador foi criado corretamente
Propósito
Verifique se o analisador employee-monitor
ou employee-web-monitor
foi criado no switch com as interfaces de entrada apropriadas e a interface de saída apropriada.
Ação
Você pode usar o show forwarding-options analyzer
comando para verificar se o analisador está configurado corretamente.
user@switch> show forwarding-options analyzer Analyzer name : employee-monitor Mirror rate : 1 Maximum packet length : 0 State : up Ingress monitored interfaces : ge-0/0/0.0 Ingress monitored interfaces : ge-0/0/1.0 Output interface : ge-0/0/10.0
Significado
Essa saída mostra que o analisador employee-monitor
tem uma razão de 1 (espelhando cada pacote, a configuração padrão), o tamanho máximo do pacote original que foi espelhado (0
indica todo o pacote), o estado da configuração (está em funcionamento indica que o analisador está espelhando o tráfego que entra nas interfaces ge-0/0/0 e ge-0/1 e envia o tráfego espelhado para a interface ge-0/0/10). Se o estado da interface de saída estiver desativado ou se a interface de saída não estiver configurada, o valor do estado será down
e o analisador não será programado para espelhamento.
Verificando se a instância de espelhamento de porta está configurada corretamente
Propósito
Verifique se a instância employee-web-monitor
de espelhamento de porta foi configurada corretamente no switch com as interfaces de entrada apropriadas.
Ação
Você pode verificar se a instância de espelhamento de porta está configurada corretamente usando o show forwarding-options port-mirroring
comando.
user@switch> show forwarding-options port-mirroring Instance Name: employee-web-monitor Instance Id: 3 Input parameters: Rate : 1 Run-length : 0 Maximum-packet-length : 0 Output parameters: Family State Destination Next-hop ethernet-switching up ge-0/0/10.0
Significado
Essa saída mostra que a employee-web-monitor
instância tem uma razão de 1 (espelhamento de cada pacote, o padrão), o tamanho máximo do pacote original que foi espelhado (0
indica um pacote inteiro), o estado da configuração está em funcionamento e o espelhamento de porta é programado, e que o tráfego espelhado da ação do filtro de firewall é enviado na interface ge-0/0/10.0. Se o estado da interface de saída estiver desativado ou se a interface não estiver configurada, o valor para o estado será reduzido e o espelhamento de porta não será programado para espelhamento.
Exemplo: Configuração de espelhamento para monitoramento remoto do uso de recursos dos funcionários em switches EX4300
Este exemplo usa o Junos OS para switches da Série EX com suporte para o estilo de configuração de Software de Camada 2 (ELS). Se o seu switch executa um software que não oferece suporte ao ELS, veja Exemplo: Configuração de espelhamento para monitoramento remoto do uso de recursos dos funcionários em switches EX4300. Para obter detalhes do ELS, veja: Começando com um software aprimorado de camada 2.
Os switches EX4300 permitem configurar o espelhamento para enviar cópias de pacotes para uma interface local para monitoramento local ou para uma VLAN para monitoramento remoto. Você pode usar o espelhamento para copiar esses pacotes:
Pacotes entrando ou saindo de uma porta
Pacotes entrando em uma VLAN em switches EX4300
Você pode analisar o tráfego espelhado usando um aplicativo de analisador de protocolo em execução em uma estação de monitoramento remoto se estiver enviando tráfego espelhado para um VLAN analisador.
Este tópico inclui dois exemplos relacionados que descrevem como espelhar o tráfego entrando em portas no switch para a remote-analyzer
VLAN para que você possa realizar análises de uma estação de monitoramento remoto. O primeiro exemplo mostra como espelhar todo o tráfego que entra nas portas conectadas aos computadores dos funcionários. O segundo exemplo mostra o mesmo cenário, mas inclui um filtro para espelhar apenas o tráfego de funcionários que vai para a Web.
Espelhar apenas os pacotes necessários para reduzir o impacto potencial no desempenho. Recomendamos que você:
Desabilhe suas sessões de espelhamento configuradas quando você não as estiver usando.
Especifique interfaces individuais como entrada para analisadores em vez de especificar todas as interfaces como entrada.
Limite a quantidade de tráfego espelhado usando filtros de firewall.
Este exemplo descreve como configurar o espelhamento remoto:
- Requisitos
- Visão geral e topologia
- Espelhamento de todo o tráfego dos funcionários para análise remota
- Espelhamento do tráfego entre funcionários e web para análise remota
- Verificação
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
Junos OS Versão 13.2X50-D10 ou posterior para switches da Série EX
Um switch EX4300 conectado a outro switch EX4300
O diagrama mostra um Virtual Chassis EX4300 conectado a um switch de destino EX4300.
Antes de configurar o espelhamento remoto, certifique-se de que:
Você tem uma compreensão dos conceitos de espelhamento.
As interfaces que o analisador usará como interfaces de entrada foram configuradas no switch.
Visão geral e topologia
Este tópico inclui dois exemplos relacionados que descrevem como configurar o espelhamento para a VLAN para que a remote-analyzer
análise possa ser realizada a partir de uma estação de monitoramento remoto. O primeiro exemplo mostra como configurar um switch para espelhar todo o tráfego dos computadores dos funcionários. O segundo exemplo mostra o mesmo cenário, mas a configuração inclui um filtro para espelhar apenas o tráfego de funcionários indo para a Web.
Figura 6 mostra a topologia da rede para ambos esses cenários de exemplo.
Topologia
Neste exemplo:
A interface ge-0/0/0 é uma interface de Camada 2, e a interface ge-0/0/1 é uma interface de Camada 3 (ambas interfaces no switch de origem) que servem como conexões para computadores funcionários.
A interface ge-0/0/10 é uma interface de Camada 2 que conecta o switch de origem ao switch de destino.
A interface ge-0/0/5 é uma interface de Camada 2 que conecta o switch de destino à estação de monitoramento remoto.
O VLAN
remote-analyzer
está configurado em todos os switches da topologia para transportar o tráfego espelhado.
Espelhamento de todo o tráfego dos funcionários para análise remota
Para configurar um analisador para análise remota de tráfego para todo o tráfego de funcionários de entrada e saída, execute essas tarefas:
Procedimento
Configuração rápida da CLI
Para configurar rapidamente um analisador para análise remota de tráfego para tráfego de funcionários de entrada e saída, copie os seguintes comandos e cole-os na janela do terminal do switch:
Copie e cole os seguintes comandos na janela terminal do switch de origem:
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor output vlan remote-analyzer
Copie e cole os seguintes comandos na janela de terminal do switch de destino:
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 set interfaces ge-0/0/5 unit 0 family ethernet-switching interface-mode trunk set forwarding-options analyzer employee-monitor input ingress vlan remote-analyzer set forwarding-options analyzer employee-monitor output interface ge-0/0/5.0
Procedimento passo a passo
Para configurar o espelhamento básico de portas remotas:
No switch de origem:
Configure o VLAN ID para a
remote-analyzer
VLAN:[edit vlans] user@switch# set remote-analyzer vlan-id 999
Configure a interface na porta de rede conectada ao switch de destino para o modo tronco e associe-a
remote-analyzer
à VLAN:[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999
Configure o
employee-monitor
analisador:[edit forwarding-options] user@switch# set analyzer employee-monitor input ingress interface ge-0/0/0.0 user@switch# set analyzer employee-monitor input ingress interface ge-0/0/1.0 user@switch# set instance employee-monitor input egress interface ge-0/0/0.0 user@switch# set analyzer employee-monitor input egress interface ge-0/0/1.0 user@switch# set analyzer employee-monitor output vlan remote-analyzer
No switch de destino:
Configure o VLAN ID para a
remote-analyzer
VLAN:[edit vlans] user@switch# set remote-analyzer vlan-id 999
Configure a interface no switch de destino para o modo tronco e associe-a
remote-analyzer
à VLAN:[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999
Configure a interface conectada ao switch de destino para o modo tronco:
[edit interfaces] user@switch# set ge-0/0/5 unit 0 family ethernet-switching interface-mode trunk
Configure o
employee-monitor
analisador:[edit forwarding-options] user@switch# set analyzer employee-monitor input ingress vlan remote-analyzer user@switch# set analyzer employee-monitor output interface ge-0/0/5.0
Resultados
Confira os resultados da configuração no switch de origem:
[edit] user@switch> show forwarding-options { analyzer employee-monitor { input { ingress { interface ge-0/0/0.0; interface ge-0/0/1.0; } egress { interface ge-0/0/0.0; interface ge-0/0/1.0; } } output { vlan { remote-analyzer; } } } } interfaces { ge-0/0/10 { unit 0 { family ethernet-switching { interface-mode trunk; vlan { members 999; } } } } } vlans { remote-analyzer { vlan-id 999; interface { ge-0/0/10.0 } } } }
Confira os resultados da configuração no switch de destino:
[edit] user@switch> show interfaces { ge0/0/5 { unit 0 { family ethernet-switching { interface-mode trunk; } } } ge-0/0/10 { unit 0 { family ethernet-switching { interface-mode trunk; vlan { members 999; } } } } } vlans { remote-analyzer { vlan-id 999; interface { ge-0/0/10.0 } } } } forwarding-options { analyzer employee-monitor { input { ingress { vlan remote-analyzer; } } output { interface { ge-0/0/5.0; } } } }
Espelhamento do tráfego entre funcionários e web para análise remota
Para configurar o espelhamento de porta para análise remota de tráfego de funcionários para a Web, execute essas tarefas:
Procedimento
Configuração rápida da CLI
Para configurar o espelhamento de porta rapidamente para espelhar o tráfego dos funcionários na Web externa, copie os seguintes comandos e cole-os na janela do terminal do switch:
Copie e cole os seguintes comandos na janela terminal do switch de origem:
[edit] user@switch# set forwarding-options port-mirroring instance employee-web-monitor output vlan 999 user@switch# set vlans remote-analyzer vlan-id 999 user@switch# set interfaces ge-0/0/10 unit 0 family ethernet-switching port mode trunk user@switch# set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 user@switch# set firewall family ethernet-switching filter watch-employee term employee-to-corp from destination-address 192.0.2.16/24 user@switch# set firewall family ethernet-switching filter watch-employee term employee-to-corp from source-address 192.0.2.16/24 user@switch# set firewall family ethernet-switching filter watch-employee term employee-to-corp then accept user@switch# set firewall family ethernet-switching filter watch-employee term employee-to-web from destination-port 80 user@switch# set firewall family ethernet-switching filter watch-employee term employee-to-web then port-mirror-instance employee-web-monitor user@switch# set interfaces ge-0/0/0 unit 0 family ethernet-switching filter input watch-employee user@switch# set interfaces ge-0/0/1 unit 0 family ethernet-switching filter input watch-employee
Copie e cole os seguintes comandos na janela de terminal do switch de destino:
[edit] user@switch# set vlans remote-analyzer vlan-id 999 user@switch# set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk user@switch# set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 user@switch# set interfaces ge-0/0/5 unit 0 family ethernet-switching interface-mode trunk user@switch# set forwarding-options analyzer employee-web-monitor input ingress vlan remote-analyzer user@switch# set forwarding-options analyzer employee-web-monitor output interface ge-0/0/5.0
Procedimento passo a passo
Para configurar o espelhamento de porta de todo o tráfego das duas portas conectadas aos computadores funcionários à VLAN para uso a remote-analyzer
partir de uma estação de monitoramento remoto:
No switch de origem:
Configure a
employee-web-monitor
instância de espelhamento de porta:[edit ] user@switch# set interfaces ge-0/0/10 unit 0 family ethernet-switching port mode trunk user@switch# set forwarding-options port-mirroring instance employee-web-monitor output vlan 999
Configure o VLAN ID para a
remote-analyzer
VLAN:[edit vlans] user@switch# set remote-analyzer vlan-id 999
Configure a interface para associá-la à
remote-analyzer
VLAN:[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999
Configure o filtro de firewall chamado
watch-employee
:[edit firewall family ethernet-switching] user@switch# set filter watch-employee term employee-to-corp from destination-address 192.0.2.16/24 user@switch# set filter watch-employee term employee-to-corp from source-address 192.0.2.16/24 user@switch# set filter watch-employee term employee-to-corp then accept user@switch# set filter watch-employee term employee-to-web from destination-port 80 user@switch# set filter watch-employee term employee-to-web then port-mirror-instance employee-web-monitor
Aplique o filtro de firewall nas interfaces dos funcionários:
[edit interfaces] user@switch# set ge-0/0/0 unit 0 family ethernet-switching filter input watch-employee user@switch# set ge-0/0/1 unit 0 family ethernet-switching filter input watch-employee
No switch de destino:
Configure o VLAN ID para a
remote-analyzer
VLAN:[edit vlans] user@switch# set remote-analyzer vlan-id 999
Configure a interface no switch de destino para o modo tronco e associe-a
remote-analyzer
à VLAN:[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999
Configure a interface conectada ao switch de destino para o modo tronco:
[edit interfaces] user@switch# set ge-0/0/5 unit 0 family ethernet-switching interface-mode trunk
Configure o
employee-monitor
analisador:[edit forwarding-options port-mirroring] user@switch# set instance employee-web-monitor input ingress vlan remote-analyzer user@switch# set instance employee-web-monitor output interface ge-0/0/5.0
Resultados
Confira os resultados da configuração no switch de origem:
[edit] user@switch> show interfaces { ge-0/0/10 { unit 0 { family ethernet-switching { interface-mode trunk; vlan { members remote-analyzer; } } } } ge-0/0/0 { unit 0 { family ethernet-switching { filter { input watch-employee; } } } } ge-0/0/1 { unit 0 { family ethernet-switching { filter { input watch-employee; } } } } } firewall { family ethernet-switching { filter watch-employee { term employee-to-corp { from { source-address { 192.0.2.16/24; } destination-address { 192.0.2.16/24; } } then accept; } term employee-to-web { from { destination-port 80; } then port-mirror-instance employee-web-monitor; } } } } forwarding-options { analyzer employee-web-monitor { output { vlan { 999; } } } vlans { remote-analyzer { vlan-id 999; } }
Confira os resultados da configuração no switch de destino:
[edit] user@switch> show vlans { remote-analyzer { vlan-id 999; } } interfaces { ge-0/0/10 { unit 0 { family ethernet-switching { interface-mode trunk; vlan { members remote-analyzer; } } } } ge-0/0/5 { unit 0 { family ethernet-switching { interface-mode trunk; } } } } forwarding-options { port-mirroring { instance employee-web-monitor { input { ingress { vlan remote-analyzer; } } output { interface { ge-0/0/5.0; } } } }
Verificação
Para confirmar que a configuração está funcionando corretamente, execute essas tarefas:
Verificando se o analisador foi criado corretamente
Propósito
Verifique se o analisador nomeou employee-monitor
ou employee-web-monitor
foi criado no switch com as interfaces de entrada apropriadas e a interface de saída apropriada.
Ação
Você pode verificar se o analisador está configurado como esperado usando o show forwarding-options analyzer
comando. Para ver os analisadores criados anteriormente que estão desativados, acesse a interface J-Web.
Para verificar se o analisador está configurado como esperado enquanto monitora todo o tráfego dos funcionários no switch de origem, execute o show analyzer
comando no switch de origem. A saída a seguir é exibida para este exemplo de configuração:
user@switch> show forwarding-options analyzer Analyzer name : employee-monitor Mirror rate : 1 Maximum packet length : 0 State : up Ingress monitored interfaces : ge-0/0/0.0 Ingress monitored interfaces : ge-0/0/1.0 Egress monitored interfaces : ge-0/0/0.0 Egress monitored interfaces : ge-0/0/1.0 Output VLAN : default-switch/remote-analyzer
Significado
Essa saída mostra que a employee-monitor
instância tem uma razão de 1 (espelhamento de cada pacote, o padrão), o tamanho máximo do pacote original que foi espelhado (0 indica todo o pacote), o estado da configuração está em alta (o que indica o estado adequado e que o analisador está programado, e está espelhando o tráfego que entra em ge-0/0/0 e ge-0/0/1 e está enviando o tráfego espelhado para o VLAN chamado remote-analyzer
). Se o estado da interface de saída estiver desativado ou se a interface de saída não estiver configurada, o valor do estado será reduzido e o analisador não será programado para espelhamento.
Exemplo: Configuração de espelhamento para monitoramento remoto do uso de recursos dos funcionários por meio de um switch de trânsito em switches EX4300
Este exemplo usa o Junos OS para switches da Série EX com suporte para o estilo de configuração de Software de Camada 2 (ELS).
Os switches EX4300 permitem configurar o espelhamento para enviar cópias de pacotes para uma interface local para monitoramento local ou para uma VLAN para monitoramento remoto. Você pode usar o espelhamento para copiar esses pacotes:
Pacotes entrando ou saindo de uma porta
Pacotes entrando em uma VLAN em switches EX4300
Você pode analisar o tráfego espelhado usando um aplicativo de analisador de protocolo em execução em uma estação de monitoramento remoto se estiver enviando tráfego espelhado para um VLAN analisador.
Este tópico inclui um exemplo que descreve como espelhar o tráfego entrando em portas no switch para a remote-analyzer
VLAN por meio de um switch de trânsito, para que você possa realizar análises a partir de uma estação de monitoramento remoto.
Espelhar apenas os pacotes necessários para reduzir o impacto potencial no desempenho. Recomendamos que você:
Desabilhe suas sessões de espelhamento configuradas quando você não as estiver usando.
Especifique interfaces individuais como entrada para analisadores em vez de especificar todas as interfaces como entrada.
Limite a quantidade de tráfego espelhado usando filtros de firewall.
Este exemplo descreve como configurar o espelhamento remoto por meio de um switch de trânsito:
- Requisitos
- Visão geral e topologia
- Espelhamento de todo o tráfego dos funcionários para análise remota por meio de um switch de trânsito
- Verificação
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
Um switch EX4300 conectado a outro switch EX4300 por um terceiro switch EX4300
Junos OS Versão 13.2X50-D10 ou posterior para switches da Série EX
Antes de configurar o espelhamento remoto, certifique-se de que:
Você tem uma compreensão dos conceitos de espelhamento.
As interfaces que o analisador usará como interfaces de entrada foram configuradas no switch.
Visão geral e topologia
Este exemplo descreve como espelhar o tráfego que entra em portas no switch para a remote-analyzer
VLAN por meio de um switch de trânsito para que você possa realizar análises de uma estação de monitoramento remoto. O exemplo mostra como configurar um switch para espelhar todo o tráfego, desde computadores funcionários até um analisador remoto.
Nesta configuração, é necessária uma sessão de analisador no switch de destino para espelhar o tráfego de entrada do VLAN do analisador até a interface de saída à qual a estação de monitoramento remoto está conectada. Você deve desativar o aprendizado MAC no switch de trânsito para a VLAN para que o remote-analyzer
aprendizado MAC seja desativado para todas as interfaces de membros da remote-analyzer
VLAN no switch de trânsito.
Figura 7 mostra a topologia da rede para este exemplo.
Topologia
Neste exemplo:
A interface ge-0/0/0 é uma interface de Camada 2, e a interface ge-0/0/1 é uma interface de Camada 3 (ambas interfaces no switch de origem) que servem como conexões para computadores funcionários.
A interface ge-0/0/10 é uma interface de Camada 2 que se conecta ao switch de trânsito.
A interface ge-0/0/11 é uma interface de Camada 2 no switch de trânsito.
A interface ge-0/0/12 é uma interface de Camada 2 no switch de trânsito e se conecta ao switch de destino.
A interface ge-0/0/13 é uma interface de Camada 2 no switch de destino.
A interface ge-0/0/14 é uma interface de Camada 2 no switch de destino e se conecta à estação de monitoramento remoto.
O VLAN
remote-analyzer
está configurado em todos os switches da topologia para transportar o tráfego espelhado.
Espelhamento de todo o tráfego dos funcionários para análise remota por meio de um switch de trânsito
Para configurar o espelhamento para análise remota de tráfego por meio de um switch de trânsito, para todo o tráfego de funcionários de entrada e saída, execute essas tarefas:
Procedimento
Configuração rápida da CLI
Para configurar o espelhamento rapidamente para análise remota de tráfego por meio de um switch de trânsito, para tráfego de funcionários de entrada e saída, copie os seguintes comandos e cole-os na janela do terminal do switch:
Copie e cole os seguintes comandos na janela de terminal do switch de origem (switch monitorado):
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor output vlan remote-analyzer
Copie e cole os seguintes comandos na janela do switch de trânsito:
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/11 unit 0 family ethernet-switching interface-mode trunk set vlans remote-analyzer interface ge-0/0/11 set interfaces ge-0/0/12 unit 0 family ethernet-switching interface-mode trunk set vlans remote-analyzer interface ge-0/0/12 set vlans remote-analyzer no-mac-learning
Copie e cole os seguintes comandos na janela do switch de destino:
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/13 unit 0 family ethernet-switching interface-mode trunk set vlans remote-analyzer interface ge-0/0/13 ingress set interfaces ge-0/0/14 unit 0 family ethernet-switching interface-mode trunk set forwarding-options analyzer employee-monitor input ingress vlan remote-analyzer set forwarding-options analyzer employee-monitor output interface ge-0/0/14.0
Procedimento passo a passo
Para configurar o espelhamento remoto por meio de um switch de trânsito:
No switch de origem:
Configure o VLAN ID para a
remote-analyzer
VLAN:[edit vlans] user@switch# set remote-analyzer vlan-id 999
Configure as interfaces na porta de rede conectada ao switch de trânsito para o modo tronco e as associe-a
remote-analyzer
à VLAN:[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999
Configure o
employee-monitor
analisador:[edit forwarding-options] user@switch# set analyzer employee-monitor input ingress interface ge-0/0/0.0 user@switch# set analyzer employee-monitor input ingress interface ge-0/0/1.0 user@switch# set analyzer employee-monitor input egress interface ge-0/0/0.0 user@switch# set analyzer employee-monitor input egress interface ge-0/0/1.0 user@switch# set analyzer employee-monitor output vlan remote-analyzer
No switch de trânsito:
Configure o VLAN ID para a
remote-analyzer
VLAN:[edit vlans] user@switch# set remote-analyzer vlan-id 999
Configure a interface ge-0/0/11 para o modo tronco, associe-a
remote-analyzer
à VLAN:[edit interfaces] user@switch# set ge-0/0/11 unit 0 family ethernet-switching interface-mode trunk
Configure a interface para o
ge-0/0/12
modo tronco, associe-aremote-analyzer
à VLAN e configure a interface apenas para tráfego de saída:[edit interfaces] user@switch# set ge-0/0/12 unit 0 family ethernet-switching interface-mode trunk user@switch# set vlans remote-analyzer interface ge-0/0/12
Configure a opção
no-mac-learning
para a VLAN desativar oremote-analyzer
aprendizado MAC em todas as interfaces que são membros daremote-analyzer
VLAN:[edit interfaces] user@switch# set vlans remote-analyzer no-mac-learning
No switch de destino:
Configure o VLAN ID para a
remote-analyzer
VLAN:[edit vlans] user@switch# set remote-analyzer vlan-id 999
Configure a interface ge-0/0/13 para o modo tronco, associe-a
remote-analyzer
à VLAN e configure a interface apenas para tráfego de entrada:[edit interfaces] user@switch# set ge-0/0/13 unit 0 family ethernet-switching interface-mode trunk user@switch# set vlans remote-analyzer interface ge-0/0/13 ingress
Configure a interface conectada à estação de monitoramento remoto para o modo tronco:
[edit interfaces] user@switch# set ge-0/0/14 unit 0 family ethernet-switching interface-mode trunk
Configure o
employee-monitor
analisador:[edit forwarding-options] user@switch# set analyzer employee-monitor input ingress vlan remote-analyzer user@switch# set analyzer employee-monitor output interface ge-0/0/14.0
Resultados
Confira os resultados da configuração no switch de origem:
[edit] user@switch> show forwarding-options { analyzer employee-monitor { input { ingress { interface ge-0/0/0.0; interface ge-0/0/1.0; } egress { interface ge-0/0/0.0; interface ge-0/0/1.0; } } output { vlan { remote-analyzer; } } } } vlans { remote-analyzer { vlan-id 999; } } interfaces { ge-0/0/10 { unit 0 { family ethernet-switching { interface-mode trunk; vlan { member 999; } } } } }
Verifique os resultados da configuração no switch de trânsito:
[edit] user@switch> show vlans { remote-analyzer { vlan-id 999; interface { ge-0/0/11.0 { } ge-0/0/12.0 { } } no-mac-learning; } } interfaces { ge-0/0/11 { unit 0 { family ethernet-switching { interface-mode trunk; } } } ge-0/0/12 { unit 0 { family ethernet-switching { interface-mode trunk; } } } }
Confira os resultados da configuração no switch de destino:
[edit] user@switch> show vlans { remote-analyzer { vlan-id 999; interface { ge-0/0/13.0 { ingress; } } } } interfaces { ge-0/0/13 { unit 0 { family ethernet-switching { interface-mode trunk; } } } ge-0/0/14 { unit 0 { family ethernet-switching { interface-mode trunk; } } } } forwarding-options { analyzer employee-monitor { input { ingress { vlan remote-analyzer; } } output { interface { ge-0/0/14.0; } } } }
Verificação
Para confirmar que a configuração está funcionando corretamente, execute essas tarefas:
Verificando se o analisador foi criado corretamente
Propósito
Verifique se o analisador nomeado employee-monitor
foi criado no switch com as interfaces de entrada apropriadas e a interface de saída apropriada.
Ação
Você pode verificar se o analisador está configurado como esperado usando o show analyzer
comando. Para ver os analisadores criados anteriormente que estão desativados, acesse a interface J-Web.
Para verificar se o analisador está configurado como esperado enquanto monitora todo o tráfego dos funcionários no switch de origem, execute o show analyzer
comando no switch de origem. A saída a seguir é exibida para esta configuração de exemplo:
user@switch> show forwarding-options analyzer Analyzer name : employee-monitor Mirror rate : 1 Maximum packet length : 0 State : up Ingress monitored interfaces : ge-0/0/0.0 Ingress monitored interfaces : ge-0/0/1.0 Egress monitored interfaces : ge-0/0/0.0 Egress monitored interfaces : ge-0/0/1.0 Output vlan : default-switch/remote-analyzer
Significado
Essa saída mostra que o employee-monitor
analisador tem uma razão de 1 (espelhamento de cada pacote, o padrão), está espelhando o tráfego entrando em ge-0/0/0 e ge-0/0/1, e enviando o tráfego espelhado para o analisador remote-analyzer
.