Configuração do espelhamento de portas para destinos remotos
Espelhamento de porta de camada 2 para destino remoto usando destino como VLAN
Você configura o espelhamento de porta em um switch EX9200 para enviar cópias de tráfego para um destino de saída, como uma interface, uma instância de roteamento ou uma VLAN; e para o tráfego de entrada, você pode configurar um termo de filtro de firewall com várias condições e ações de correspondência.
Quando você configura o VLAN como destino de saída em uma configuração de espelhamento de porta, o tráfego para cada sessão de espelhamento de porta é transportado por um VLAN especificado pelo usuário que é dedicado para essa sessão de espelhamento em todos os switches participantes. O tráfego espelhado é copiado naquele VLAN (também chamado de VLAN espelho) e encaminhado para interfaces, que são membros do VLAN espelho. As interfaces de destino, que são membros da VLAN espelhada, podem abranger vários switches da rede desde que o mesmo VLAN de espelhamento remoto seja usado para uma sessão de espelhamento em todos os switches.
Você pode usar a ou ação na configuração do filtro de firewall quando espelha o tráfego para destinos remotos configurando uma VLAN como um destino de saída com espelhamento de porta.port-mirrorport-mirror-instance
Espelhamento de porta de camada 2 de configuração para uma VLAN remota
Os switches EX9200 permitem configurar o espelhamento para enviar cópias de pacotes para uma interface local para monitoramento local ou para uma VLAN para monitoramento remoto. Você pode usar o espelhamento para copiar os seguintes pacotes:
Pacotes entrando ou saindo de uma porta
Pacotes entrando ou saindo de uma VLAN
Espelhar apenas os pacotes necessários para reduzir o impacto potencial no desempenho. Recomendamos que você:
Desabitile o espelhamento de porta que você configurou quando não está usando- os.
Especifique interfaces individuais como entrada em vez de especificar todas as interfaces como entrada em uma configuração de espelhamento de porta.
Limite a quantidade de tráfego espelhado em:
Usando amostragem estatística.
Relação de configuração para selecionar amostras estatísticas.
Usando filtros de firewall.
Configuração do espelhamento de porta para uma VLAN remota
Filtrar pacotes a serem espelhados em uma instância de espelhamento de porta, criar a instância e depois usá-la como ação no filtro de firewall. Você pode usar filtros de firewall em configurações de espelhamento local e remoto.
Se a mesma instância de espelhamento de porta for usada em vários filtros ou termos, os pacotes serão copiados para a porta de saída de espelhamento de porta ou VLAN com espelhamento de porta apenas uma vez.
Para filtrar o tráfego espelhado, crie uma instância de espelhamento de portas sob o nível de hierarquia e, em seguida, crie um filtro de firewall.[edit forwarding-options] O filtro pode usar qualquer uma das condições de correspondência disponíveis e deve ter como ação.port-mirror-instance instance-name Essa ação na configuração do filtro de firewall fornece a entrada para a instância de espelhamento de portas.
Para configurar uma instância de espelhamento de porta com filtros de firewall:
Exemplo: Configuração do espelhamento de porta de camada 2 para VLAN remoto
Os switches EX9200 permitem configurar o espelhamento para enviar cópias de pacotes para uma interface local para monitoramento local ou para uma VLAN para monitoramento remoto. Você pode usar o espelhamento para copiar esses pacotes:
Pacotes entrando ou saindo de uma porta
Pacotes ingressando ou existindo uma VLAN
Você pode analisar o tráfego espelhado usando um aplicativo de analisador de protocolo em execução em uma estação de monitoramento remoto se estiver enviando tráfego espelhado para um VLAN analisador.
Este tópico inclui dois exemplos relacionados que descrevem como espelhar o tráfego entrando em portas no switch para a VLAN para que você possa realizar análises de uma estação de monitoramento remoto.remote-analyzer O primeiro exemplo mostra como espelhar todo o tráfego que entra nas portas conectadas aos computadores dos funcionários. O segundo exemplo mostra o mesmo cenário, mas inclui um filtro para espelhar apenas o tráfego de funcionários que vai para a Web.
Espelhar apenas os pacotes necessários para reduzir o impacto potencial no desempenho. Recomendamos que você:
Desabilhe suas sessões de espelhamento configuradas quando você não as estiver usando.
Especifique interfaces individuais como entrada para analisadores em vez de especificar todas as interfaces como entrada.
Limite a quantidade de tráfego espelhado usando filtros de firewall.
Este exemplo descreve como configurar o espelhamento remoto:
- Requisitos
- Visão geral e topologia
- Espelhamento do tráfego entre funcionários e web para análise remota
- Verificação
Requisitos
Antes de configurar o espelhamento remoto, certifique-se de que:
Você tem uma compreensão dos conceitos de espelhamento.
As interfaces que o espelhamento de porta usará conforme as interfaces de saída foram configuradas no switch.
Visão geral e topologia
Este tópico inclui dois exemplos relacionados que descrevem como configurar o espelhamento para a VLAN para que a análise possa ser realizada a partir de uma estação de monitoramento remoto.remote-analyzer O primeiro exemplo mostra como configurar um switch para espelhar todo o tráfego dos computadores dos funcionários. O segundo exemplo mostra o mesmo cenário, mas a configuração inclui um filtro para espelhar apenas o tráfego de funcionários indo para a Web.
Figura 1 mostra a topologia da rede para ambos esses cenários de exemplo.
Topologia
Neste exemplo:
A interface ge-0/0/0 é uma interface de Camada 2, e a interface ge-0/0/1 é uma interface de Camada 2 (ambas interfaces no switch de origem) que servem como conexões para computadores funcionários.
A interface ge-0/0/10 é uma interface de Camada 2 que conecta o switch de origem ao switch de destino.
A interface ge-0/0/5 é uma interface de Camada 2 que conecta o switch de destino à estação de monitoramento remoto.
O VLAN está configurado em todos os switches da topologia para transportar o tráfego espelhado.
remote-analyzer
Espelhamento do tráfego entre funcionários e web para análise remota
Para configurar o espelhamento de portas para análise remota de tráfego de funcionários para a Web, execute essas tarefas:
Procedimento
Configuração rápida da CLI
Para configurar rapidamente o espelhamento de porta para espelhar o tráfego dos funcionários na Web externa, copie os seguintes comandos e cole-os na janela do terminal do switch:
Copie e cole os seguintes comandos na janela terminal do switch de origem:
[edit] set forwarding-options port-mirroring instance employee-web-monitor output vlan 999 set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 set firewall family ethernet-switching filter watch-employee term employee-to-corp from destination-address 192.0.2.16/28 set firewall family ethernet-switching filter watch-employee term employee-to-corp from source-address 192.0.2.16/28 set firewall family ethernet-switching filter watch-employee term employee-to-corp then accept set firewall family ethernet-switching filter watch-employee term employee-to-web from destination-port 80 set firewall family ethernet-switching filter watch-employee term employee-to-web then port-mirror-instance employee-web-monitor set interfaces ge-0/0/0 unit 0 family ethernet-switching filter input watch-employee set interfaces ge-0/0/1 unit 0 family ethernet-switching filter input watch-employee
Copie e cole os seguintes comandos na janela de terminal do switch de destino:
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 set interfaces ge-0/0/5 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/5 unit 0 family ethernet-switching vlan members 999
Procedimento passo a passo
Para configurar o espelhamento de porta de todo o tráfego das duas portas conectadas aos computadores funcionários à VLAN para uso a partir de uma estação de monitoramento remoto:remote-analyzer
No switch de origem:
Configure a instância de espelhamento de porta:
employee-web-monitor[edit ] user@switch# set interfaces ge-0/0/10 unit 0 family ethernet-switching port mode access user@switch# set forwarding-options port-mirroring instance employee-web-monitor output vlan 999
Configure o VLAN ID para a VLAN:
remote-analyzer[edit vlans] user@switch# set remote-analyzer vlan-id 999
Configure a interface para associá-la à VLAN:
remote-analyzer[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999
Configure o filtro de firewall chamado :
watch-employee[edit firewall family ethernet-switching] user@switch# set filter watch-employee term employee-to-corp from destination-address 192.0.2.16/28 user@switch# set filter watch-employee term employee-to-corp from source-address 192.0.2.16/28 user@switch# set filter watch-employee term employee-to-corp then accept user@switch# set filter watch-employee term employee-to-web from destination-port 80 user@switch# set filter watch-employee term employee-to-web then port-mirror-instance employee-web-monitor
Nesta configuração, o termo define que o tráfego a partir de endereço de destino e endereço fonte pode ser aceito para passar pelo switch, e o termo define que o tráfego da porta deve ser enviado para a instância de espelhamento de portas.
employee-to-corp192.0.2.16/28192.0.2.16/28employee-to-web80employee-web-monitorAplique o filtro de firewall nas interfaces dos funcionários:
[edit interfaces] user@switch# set ge-0/0/0 unit 0 family ethernet-switching filter input watch-employee user@switch# set ge-0/0/1 unit 0 family ethernet-switching filter input watch-employee
No switch de destino:
Configure o VLAN ID para a VLAN:
remote-analyzer[edit vlans] user@switch# set remote-analyzer vlan-id 999
Configure a interface no switch de destino para o modo de acesso e associe-a à VLAN:
remote-analyzer[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching interface-mode access user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999
Configure a interface conectada ao switch de destino para o modo de acesso e associe-a à VLAN:
remote-analyzer[edit interfaces] user@switch# set ge-0/0/5 unit 0 family ethernet-switching interface-mode access user@switch# set ge-0/0/5 unit 0 family ethernet-switching vlan members 999
Resultados
Confira os resultados da configuração no switch de origem:
[edit]
user@switch> show
interfaces {
ge-0/0/10 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members remote-analyzer;
}
}
}
}
ge-0/0/0 {
unit 0 {
family ethernet-switching {
filter {
input watch-employee;
}
}
}
}
ge-0/0/1 {
unit 0 {
family ethernet-switching {
filter {
input watch-employee;
}
}
}
}
}
firewall {
family ethernet-switching {
filter watch-employee {
term employee-to-corp {
from {
source-address {
192.0.2.16/28;
}
destination-address {
192.0.2.16/28;
}
}
then accept;
}
term employee-to-web {
from {
destination-port 80;
}
then port-mirror-instance employee-web-monitor;
}
}
}
}
forwarding-options {
analyzer employee-web-monitor {
output {
vlan {
999;
}
}
}
vlans {
remote-analyzer {
vlan-id 999;
}
}
Confira os resultados da configuração no switch de destino:
[edit]
user@switch> show
vlans {
remote-analyzer {
vlan-id 999;
}
}
interfaces {
ge-0/0/10 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members remote-analyzer;
}
}
}
}
ge-0/0/5 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members remote-analyzer;
}
}
}
}
}
Verificação
Para confirmar que a configuração está funcionando corretamente, execute essas tarefas:
Verificando se a instância de espelhamento de porta foi criada corretamente
Propósito
Verifique se a instância espelho de porta foi criada no switch com a VLAN de saída apropriada.employee-web-monitor
Ação
Você pode verificar se o espelho de porta está configurado como esperado usando o comando.show forwarding-options port-mirror Para ver os analisadores criados anteriormente que estão desativados, acesse a interface J-Web.
Para verificar se o espelho de porta está configurado como esperado enquanto monitora o tráfego dos funcionários no switch de origem, execute o comando no switch de origem.show forwarding-options port-miror A saída a seguir é exibida para este exemplo de configuração:
user@switch> show forwarding-options port-mirror
Instance Name: employee-web-monitor
Instance Id: 3
Input parameters:
Rate : 1
Run-length : 0
Maximum-packet-length : 0
Output parameters:
Family State Destination Next-hop
ethernet-switching up default-switch/remote-analyzer
Significado
Essa saída mostra que a instância tem uma razão de 1 (espelhamento de cada pacote, que é o padrão), o tamanho máximo do pacote original que foi espelhado (0 indica todo o pacote), o estado da configuração está em alta (o que indica o estado adequado e que o analisador está programado, está espelhando o tráfego que entra em ge-0/0/0 e ge-0/0/1, e está enviando o tráfego espelhado para a VLAN chamada ).employee-web-monitorremote-analyzer