Configuração do espelhamento de portas para destinos remotos
Espelhamento de porta de Camada 2 para destino remoto usando o destino como VLAN
Você configura o espelhamento de porta em um switch EX9200 para enviar cópias de tráfego para um destino de saída, como uma interface, uma instância de roteamento ou uma VLAN; e para o tráfego de entrada, você pode configurar um termo de filtro de firewall com várias condições e ações de correspondência.
Quando você configura o VLAN como o destino de saída em uma configuração de espelhamento de porta, o tráfego para cada sessão de espelhamento de porta é transportado por um VLAN especificado pelo usuário que é dedicado para essa sessão de espelhamento em todos os switches participantes. O tráfego espelhado é copiado nesse VLAN (também chamado de VLAN espelhado) e encaminhado para interfaces, que são membros do VLAN espelhado. As interfaces de destino, que são membros do VLAN espelhado, podem abranger vários switches da rede, desde que o mesmo VLAN espelhamento remoto seja usado para uma sessão de espelhamento em todos os switches.
Você pode usar a ou port-mirror-instance ação port-mirror na configuração do filtro de firewall quando espelha o tráfego para destinos remotos, configurando uma VLAN como um destino de saída de espelhamento de porta.
Espelhamento de porta de camada 2 de configuração para um VLAN remoto
Os switches EX9200 permitem configurar o espelhamento para enviar cópias de pacotes para uma interface local para monitoramento local ou para uma VLAN para monitoramento remoto. Você pode usar o espelhamento para copiar os seguintes pacotes:
Pacotes entrando ou saindo de uma porta
Pacotes entrando ou saindo de uma VLAN
Espelhar apenas pacotes necessários para reduzir o impacto no desempenho em potencial. Recomendamos que você:
Desativar o espelhamento de porta que você configurou quando não está usando- os.
Especifique interfaces individuais como entrada em vez de especificar todas as interfaces como entrada em uma configuração de espelhamento de porta.
Limite a quantidade de tráfego espelhado por:
Usando amostragem estatística.
Proporções de configuração para amostras estatísticas selecionadas.
Usando filtros de firewall.
Configuração do espelhamento de porta para um VLAN remoto
Para filtrar pacotes a serem espelhados em uma instância de espelhamento de porta, crie a instância e depois use-a como ação no filtro de firewall. Você pode usar filtros de firewall em configurações locais e remotas de espelhamento.
Se a mesma instância de espelhamento de porta for usada em vários filtros ou termos, os pacotes serão copiados para a porta de saída espelhada por porta ou o VLAN espelhamento de porta apenas uma vez.
Para filtrar o tráfego espelhado, crie uma instância de espelhamento de porta no nível da [edit forwarding-options] hierarquia e crie um filtro de firewall. O filtro pode usar qualquer uma das condições de correspondência disponíveis e deve ter port-mirror-instance instance-name como ação. Essa ação na configuração do filtro de firewall fornece a entrada para a instância de espelhamento de portas.
Para configurar uma instância de espelhamento de porta com filtros de firewall:
Example: Configuração do espelhamento de portas de Camada 2 para VLAN remoto
Os switches EX9200 permitem configurar o espelhamento para enviar cópias de pacotes para uma interface local para monitoramento local ou para uma VLAN para monitoramento remoto. Você pode usar o espelhamento para copiar esses pacotes:
Pacotes entrando ou saindo de uma porta
Pacotes entrando ou existindo um VLAN
Você pode analisar o tráfego espelhado usando um aplicativo de analisador de protocolo em execução em uma estação de monitoramento remoto se estiver enviando tráfego espelhado para um VLAN analisador.
Este tópico inclui dois exemplos relacionados que descrevem como espelhar o tráfego entrando em portas no switch para a remote-analyzer VLAN para que você possa realizar análises a partir de uma estação de monitoramento remoto. O primeiro exemplo mostra como espelhar todo o tráfego que entra nas portas conectadas aos computadores dos funcionários. O segundo exemplo mostra o mesmo cenário, mas inclui um filtro para espelhar apenas o tráfego de funcionários que vai para a Web.
Espelhar apenas pacotes necessários para reduzir o impacto no desempenho em potencial. Recomendamos que você:
Desativar suas sessões de espelhamento configuradas quando você não as estiver usando.
Especifique interfaces individuais como entrada para analisadores em vez de especificar todas as interfaces como entrada.
Limite a quantidade de tráfego espelhado usando filtros de firewall.
Este exemplo descreve como configurar o espelhamento remoto:
- Requisitos
- Visão geral e topologia
- Espelhamento do tráfego do funcionário para a web para análise remota
- Verificação
Requisitos
Antes de configurar o espelhamento remoto, certifique-se de que:
Você tem uma compreensão dos conceitos de espelhamento.
As interfaces que o espelhamento de porta usará conforme as interfaces de saída foram configuradas no switch.
Visão geral e topologia
Este tópico inclui dois exemplos relacionados que descrevem como configurar o espelhamento para o VLAN para que a remote-analyzer análise possa ser realizada a partir de uma estação de monitoramento remoto. O primeiro exemplo mostra como configurar um switch para espelhar todo o tráfego dos computadores dos funcionários. O segundo exemplo mostra o mesmo cenário, mas a configuração inclui um filtro para espelhar apenas o tráfego do funcionário que vai para a Web.
Figura 1 mostra a topologia da rede para esses dois cenários de exemplo.
Topologia
Neste exemplo:
A interface ge-0/0/0 é uma interface de Camada 2, e a interface ge-0/0/1 é uma interface de Camada 2 (ambas interfaces no switch de origem) que servem como conexões para computadores funcionários.
A interface ge-0/0/10 é uma interface de Camada 2 que conecta o switch de origem ao switch de destino.
A interface ge-0/0/5 é uma interface de Camada 2 que conecta o switch de destino à estação de monitoramento remoto.
O VLAN
remote-analyzerestá configurado em todos os switches da topologia para transportar o tráfego espelhado.
Espelhamento do tráfego do funcionário para a web para análise remota
Para configurar o espelhamento de porta para análise remota de tráfego do tráfego de funcionários para a Web, execute essas tarefas:
Procedimento
Configuração rápida da CLI
Para configurar rapidamente o espelhamento de porta para espelhar o tráfego dos funcionários na Web externa, copie os seguintes comandos e cole-os na janela do terminal do switch:
Copie e cole os seguintes comandos na janela do terminal do switch de origem:
[edit] set forwarding-options port-mirroring instance employee-web-monitor output vlan 999 set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 set firewall family ethernet-switching filter watch-employee term employee-to-corp from destination-address 192.0.2.16/28 set firewall family ethernet-switching filter watch-employee term employee-to-corp from source-address 192.0.2.16/28 set firewall family ethernet-switching filter watch-employee term employee-to-corp then accept set firewall family ethernet-switching filter watch-employee term employee-to-web from destination-port 80 set firewall family ethernet-switching filter watch-employee term employee-to-web then port-mirror-instance employee-web-monitor set interfaces ge-0/0/0 unit 0 family ethernet-switching filter input watch-employee set interfaces ge-0/0/1 unit 0 family ethernet-switching filter input watch-employee
Copie e cole os seguintes comandos na janela do terminal do switch de destino:
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 set interfaces ge-0/0/5 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/5 unit 0 family ethernet-switching vlan members 999
Procedimento passo a passo
Para configurar o espelhamento de porta de todo o tráfego das duas portas conectadas aos computadores dos funcionários à VLAN para uso a remote-analyzer partir de uma estação de monitoramento remoto:
No switch de origem:
Configure a
employee-web-monitorinstância de espelhamento de porta:[edit ] user@switch# set interfaces ge-0/0/10 unit 0 family ethernet-switching port mode access user@switch# set forwarding-options port-mirroring instance employee-web-monitor output vlan 999
Configure o VLAN ID para o
remote-analyzerVLAN:[edit vlans] user@switch# set remote-analyzer vlan-id 999
Configure a interface para associá-la à
remote-analyzerVLAN:[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999
Configure o filtro de firewall chamado
watch-employee:[edit firewall family ethernet-switching] user@switch# set filter watch-employee term employee-to-corp from destination-address 192.0.2.16/28 user@switch# set filter watch-employee term employee-to-corp from source-address 192.0.2.16/28 user@switch# set filter watch-employee term employee-to-corp then accept user@switch# set filter watch-employee term employee-to-web from destination-port 80 user@switch# set filter watch-employee term employee-to-web then port-mirror-instance employee-web-monitor
Nesta configuração, o termo define que o
employee-to-corptráfego a partir de endereço192.0.2.16/28de destino e endereço192.0.2.16/28de origem pode ser aceito para passar pelo switch, e o termo define que oemployee-to-webtráfego da porta80deve ser enviado para a instânciaemployee-web-monitorde espelhamento de porta.Aplique o filtro de firewall nas interfaces dos funcionários:
[edit interfaces] user@switch# set ge-0/0/0 unit 0 family ethernet-switching filter input watch-employee user@switch# set ge-0/0/1 unit 0 family ethernet-switching filter input watch-employee
No switch de destino:
Configure o VLAN ID para o
remote-analyzerVLAN:[edit vlans] user@switch# set remote-analyzer vlan-id 999
Configure a interface no switch de destino para o modo de acesso e associe-a à
remote-analyzerVLAN:[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching interface-mode access user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999
Configure a interface conectada ao switch de destino para o modo de acesso e associe-a à
remote-analyzerVLAN:[edit interfaces] user@switch# set ge-0/0/5 unit 0 family ethernet-switching interface-mode access user@switch# set ge-0/0/5 unit 0 family ethernet-switching vlan members 999
Resultados
Confira os resultados da configuração no switch de origem:
[edit]
user@switch> show
interfaces {
ge-0/0/10 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members remote-analyzer;
}
}
}
}
ge-0/0/0 {
unit 0 {
family ethernet-switching {
filter {
input watch-employee;
}
}
}
}
ge-0/0/1 {
unit 0 {
family ethernet-switching {
filter {
input watch-employee;
}
}
}
}
}
firewall {
family ethernet-switching {
filter watch-employee {
term employee-to-corp {
from {
source-address {
192.0.2.16/28;
}
destination-address {
192.0.2.16/28;
}
}
then accept;
}
term employee-to-web {
from {
destination-port 80;
}
then port-mirror-instance employee-web-monitor;
}
}
}
}
forwarding-options {
analyzer employee-web-monitor {
output {
vlan {
999;
}
}
}
vlans {
remote-analyzer {
vlan-id 999;
}
}
Confira os resultados da configuração no switch de destino:
[edit]
user@switch> show
vlans {
remote-analyzer {
vlan-id 999;
}
}
interfaces {
ge-0/0/10 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members remote-analyzer;
}
}
}
}
ge-0/0/5 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members remote-analyzer;
}
}
}
}
}
Verificação
Para confirmar se a configuração está funcionando corretamente, execute essas tarefas:
Verificando se a instância de espelhamento de porta foi criada corretamente
Propósito
Verifique se a instância employee-web-monitor espelhada de porta foi criada no switch com o VLAN de saída apropriado.
Ação
Você pode verificar se o espelho de porta está configurado como esperado usando o show forwarding-options port-mirror comando. Para ver os analisadores criados anteriormente que estão desativados, acesse a interface J-Web.
Para verificar se o espelho de porta está configurado como esperado enquanto monitora o tráfego dos funcionários no switch de origem, execute o show forwarding-options port-miror comando no switch de origem. A saída a seguir é exibida para este exemplo de configuração:
user@switch> show forwarding-options port-mirror
Instance Name: employee-web-monitor
Instance Id: 3
Input parameters:
Rate : 1
Run-length : 0
Maximum-packet-length : 0
Output parameters:
Family State Destination Next-hop
ethernet-switching up default-switch/remote-analyzer
Significado
Essa saída mostra que a employee-web-monitor instância tem uma proporção de 1 (espelhando cada pacote, que é o padrão), o tamanho máximo do pacote original que foi espelhado (0 indica todo o pacote), o estado da configuração está ativo (o que indica o estado adequado e que o analisador é programado, está espelhando o tráfego que entra em ge-0/0/0 e ge-0/0/1, e está enviando o tráfego espelhado para a VLAN chamada remote-analyzer).