Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuração do espelhamento de portas para destinos remotos

Espelhamento de porta de Camada 2 para destino remoto usando o destino como VLAN

Você configura o espelhamento de porta em um switch EX9200 para enviar cópias de tráfego para um destino de saída, como uma interface, uma instância de roteamento ou uma VLAN; e para o tráfego de entrada, você pode configurar um termo de filtro de firewall com várias condições e ações de correspondência.

Quando você configura o VLAN como o destino de saída em uma configuração de espelhamento de porta, o tráfego para cada sessão de espelhamento de porta é transportado por um VLAN especificado pelo usuário que é dedicado para essa sessão de espelhamento em todos os switches participantes. O tráfego espelhado é copiado nesse VLAN (também chamado de VLAN espelhado) e encaminhado para interfaces, que são membros do VLAN espelhado. As interfaces de destino, que são membros do VLAN espelhado, podem abranger vários switches da rede, desde que o mesmo VLAN espelhamento remoto seja usado para uma sessão de espelhamento em todos os switches.

Você pode usar a ou port-mirror-instance ação port-mirror na configuração do filtro de firewall quando espelha o tráfego para destinos remotos, configurando uma VLAN como um destino de saída de espelhamento de porta.

Espelhamento de porta de camada 2 de configuração para um VLAN remoto

Os switches EX9200 permitem configurar o espelhamento para enviar cópias de pacotes para uma interface local para monitoramento local ou para uma VLAN para monitoramento remoto. Você pode usar o espelhamento para copiar os seguintes pacotes:

  • Pacotes entrando ou saindo de uma porta

  • Pacotes entrando ou saindo de uma VLAN

práticas recomendadas:

Espelhar apenas pacotes necessários para reduzir o impacto no desempenho em potencial. Recomendamos que você:

  • Desativar o espelhamento de porta que você configurou quando não está usando- os.

  • Especifique interfaces individuais como entrada em vez de especificar todas as interfaces como entrada em uma configuração de espelhamento de porta.

  • Limite a quantidade de tráfego espelhado por:

    • Usando amostragem estatística.

    • Proporções de configuração para amostras estatísticas selecionadas.

    • Usando filtros de firewall.

Configuração do espelhamento de porta para um VLAN remoto

Para filtrar pacotes a serem espelhados em uma instância de espelhamento de porta, crie a instância e depois use-a como ação no filtro de firewall. Você pode usar filtros de firewall em configurações locais e remotas de espelhamento.

Se a mesma instância de espelhamento de porta for usada em vários filtros ou termos, os pacotes serão copiados para a porta de saída espelhada por porta ou o VLAN espelhamento de porta apenas uma vez.

Para filtrar o tráfego espelhado, crie uma instância de espelhamento de porta no nível da [edit forwarding-options] hierarquia e crie um filtro de firewall. O filtro pode usar qualquer uma das condições de correspondência disponíveis e deve ter port-mirror-instance instance-name como ação. Essa ação na configuração do filtro de firewall fornece a entrada para a instância de espelhamento de portas.

Para configurar uma instância de espelhamento de porta com filtros de firewall:

  1. Configure o nome da instância de espelhamento de porta e defina o destino de saída para um VLAN:

    Por exemplo, configure uma instância employee-monitor de espelhamento de porta e defina o destino de saída para um ID 999VLAN:

  2. Crie um filtro de firewall usando qualquer uma das condições de correspondência disponíveis e atribua o nome da instância de espelhamento de porta como uma ação na configuração do filtro de firewall.

    Por exemplo, crie um filtro de firewall chamado example-filter com dois termos no-analyzer e to-analyzeratribua o to-analyzer termo à employee-monitor instância de espelhamento de porta:

    1. Crie o primeiro termo para definir o tráfego que não deve passar até a instância employee-monitorde espelhamento de porta:
    2. Crie o segundo termo para definir o tráfego que deve passar até a instância employee-monitorde espelhamento de porta:
  3. Aplique o filtro de firewall em uma interface ou VLAN que forneça entrada para a instância de espelhamento de portas.

    Para aplicar um filtro de firewall a uma interface:

    Para aplicar um filtro de firewall a uma VLAN:

    Por exemplo, aplicar o filtro de example-filter firewall na interface ge-0/0/1:

    Por exemplo, aplicar o example-filter filtro ao source-vlan VLAN:

Example: Configuração do espelhamento de portas de Camada 2 para VLAN remoto

Os switches EX9200 permitem configurar o espelhamento para enviar cópias de pacotes para uma interface local para monitoramento local ou para uma VLAN para monitoramento remoto. Você pode usar o espelhamento para copiar esses pacotes:

  • Pacotes entrando ou saindo de uma porta

  • Pacotes entrando ou existindo um VLAN

Você pode analisar o tráfego espelhado usando um aplicativo de analisador de protocolo em execução em uma estação de monitoramento remoto se estiver enviando tráfego espelhado para um VLAN analisador.

Este tópico inclui dois exemplos relacionados que descrevem como espelhar o tráfego entrando em portas no switch para a remote-analyzer VLAN para que você possa realizar análises a partir de uma estação de monitoramento remoto. O primeiro exemplo mostra como espelhar todo o tráfego que entra nas portas conectadas aos computadores dos funcionários. O segundo exemplo mostra o mesmo cenário, mas inclui um filtro para espelhar apenas o tráfego de funcionários que vai para a Web.

práticas recomendadas:

Espelhar apenas pacotes necessários para reduzir o impacto no desempenho em potencial. Recomendamos que você:

  • Desativar suas sessões de espelhamento configuradas quando você não as estiver usando.

  • Especifique interfaces individuais como entrada para analisadores em vez de especificar todas as interfaces como entrada.

  • Limite a quantidade de tráfego espelhado usando filtros de firewall.

Este exemplo descreve como configurar o espelhamento remoto:

Requisitos

Antes de configurar o espelhamento remoto, certifique-se de que:

  • Você tem uma compreensão dos conceitos de espelhamento.

  • As interfaces que o espelhamento de porta usará conforme as interfaces de saída foram configuradas no switch.

Visão geral e topologia

Este tópico inclui dois exemplos relacionados que descrevem como configurar o espelhamento para o VLAN para que a remote-analyzer análise possa ser realizada a partir de uma estação de monitoramento remoto. O primeiro exemplo mostra como configurar um switch para espelhar todo o tráfego dos computadores dos funcionários. O segundo exemplo mostra o mesmo cenário, mas a configuração inclui um filtro para espelhar apenas o tráfego do funcionário que vai para a Web.

Figura 1 mostra a topologia da rede para esses dois cenários de exemplo.

Topologia

Figura 1: Exemplo de topologia de rede de espelhamento remotoExemplo de topologia de rede de espelhamento remoto

Neste exemplo:

  1. A interface ge-0/0/0 é uma interface de Camada 2, e a interface ge-0/0/1 é uma interface de Camada 2 (ambas interfaces no switch de origem) que servem como conexões para computadores funcionários.

  2. A interface ge-0/0/10 é uma interface de Camada 2 que conecta o switch de origem ao switch de destino.

  3. A interface ge-0/0/5 é uma interface de Camada 2 que conecta o switch de destino à estação de monitoramento remoto.

  4. O VLAN remote-analyzer está configurado em todos os switches da topologia para transportar o tráfego espelhado.

Espelhamento do tráfego do funcionário para a web para análise remota

Para configurar o espelhamento de porta para análise remota de tráfego do tráfego de funcionários para a Web, execute essas tarefas:

Procedimento

Configuração rápida da CLI

Para configurar rapidamente o espelhamento de porta para espelhar o tráfego dos funcionários na Web externa, copie os seguintes comandos e cole-os na janela do terminal do switch:

  • Copie e cole os seguintes comandos na janela do terminal do switch de origem:

  • Copie e cole os seguintes comandos na janela do terminal do switch de destino:

Procedimento passo a passo

Para configurar o espelhamento de porta de todo o tráfego das duas portas conectadas aos computadores dos funcionários à VLAN para uso a remote-analyzer partir de uma estação de monitoramento remoto:

  1. No switch de origem:

    1. Configure a employee-web-monitor instância de espelhamento de porta:

    2. Configure o VLAN ID para o remote-analyzer VLAN:

    3. Configure a interface para associá-la à remote-analyzer VLAN:

    4. Configure o filtro de firewall chamado watch-employee:

      Nesta configuração, o termo define que o employee-to-corp tráfego a partir de endereço 192.0.2.16/28 de destino e endereço 192.0.2.16/28 de origem pode ser aceito para passar pelo switch, e o termo define que o employee-to-web tráfego da porta 80 deve ser enviado para a instância employee-web-monitorde espelhamento de porta.

    5. Aplique o filtro de firewall nas interfaces dos funcionários:

  2. No switch de destino:

    • Configure o VLAN ID para o remote-analyzer VLAN:

    • Configure a interface no switch de destino para o modo de acesso e associe-a à remote-analyzer VLAN:

    • Configure a interface conectada ao switch de destino para o modo de acesso e associe-a à remote-analyzer VLAN:

Resultados

Confira os resultados da configuração no switch de origem:

Confira os resultados da configuração no switch de destino:

Verificação

Para confirmar se a configuração está funcionando corretamente, execute essas tarefas:

Verificando se a instância de espelhamento de porta foi criada corretamente

Propósito

Verifique se a instância employee-web-monitor espelhada de porta foi criada no switch com o VLAN de saída apropriado.

Ação

Você pode verificar se o espelho de porta está configurado como esperado usando o show forwarding-options port-mirror comando. Para ver os analisadores criados anteriormente que estão desativados, acesse a interface J-Web.

Para verificar se o espelho de porta está configurado como esperado enquanto monitora o tráfego dos funcionários no switch de origem, execute o show forwarding-options port-miror comando no switch de origem. A saída a seguir é exibida para este exemplo de configuração:

Significado

Essa saída mostra que a employee-web-monitor instância tem uma proporção de 1 (espelhando cada pacote, que é o padrão), o tamanho máximo do pacote original que foi espelhado (0 indica todo o pacote), o estado da configuração está ativo (o que indica o estado adequado e que o analisador é programado, está espelhando o tráfego que entra em ge-0/0/0 e ge-0/0/1, e está enviando o tráfego espelhado para a VLAN chamada remote-analyzer).