Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configurando o espelhamento de portas análise local e remota

Configuração do espelhamento de portas

Você usa o espelhamento de porta para copiar pacotes e enviar as cópias para um dispositivo que executa um aplicativo, como um analisador de rede ou um aplicativo de detecção de invasões, para que você possa analisar o tráfego sem retardá-lo. Você pode espelhar o tráfego que entra ou sai de uma porta ou entra em uma VLAN, e pode enviar as cópias para uma interface de acesso local ou para uma VLAN por meio de uma interface de tronco.

Recomendamos que você desative o espelhamento de portas quando não o estiver usando. Para evitar criar um problema de desempenho Se você habilitar o espelhamento de portas, recomendamos que você selecione interfaces de entrada específicas em vez de usar a all palavra-chave. Você também pode limitar a quantidade de tráfego espelhado usando um filtro de firewall.

Nota:

Essa tarefa usa o estilo de configuração do Software de Camada 2 (ELS) aprimorado. Se o switch executa software que não tem suporte para ELS, consulte Configurando o espelhamento de portas. Para detalhes da ELS, consulte Como usar a CLI de software aprimorada de Camada 2.

Nota:

Se você quiser criar analisadores adicionais sem excluir um analisador existente, primeiro desative o analisador existente usando o disable analyzer analyzer-name comando.

Nota:

Você deve configurar interfaces de saída de espelhamento de porta como family ethernet-switching .

Configurando o espelhamento de portas para análise local

Para espelhar o tráfego da interface para uma interface local no switch:

  1. Se você quiser espelhar o tráfego que está ingresso ou saída de interfaces específicas, escolha um nome para a configuração de espelhamento de porta e configure qual tráfego deve ser espelhado especificando as interfaces e a direção do tráfego:
    Nota:

    Se você configurar o Junos OS para espelhar pacotes de saída, não configure mais de 2000 VLANs. Se fizer isso, alguns pacotes VLAN podem conter IDs VLAN incorretos.

    Nota:

    Se você configurar o espelhamento de pacotes que saem de uma interface de acesso, os pacotes originais perderão qualquer tags VLAN quando saem da interface de acesso, mas os pacotes espelhados (copiados) retêm as tags VLAN quando são enviados ao sistema de analisador.

  2. Se você quiser especificar que todo o tráfego que entra em uma VLAN deve ser espelhado, escolha um nome para a configuração de espelhamento de porta e especifique o VLAN:
    Nota:

    Você não pode configurar o espelhamento de porta para copiar tráfego que saída de uma VLAN.

  3. Configure a interface de destino para os pacotes espelhados:

Configuração do espelhamento de portas para análise remota

Para espelhar o tráfego em uma VLAN para análise em um local remoto:

  1. Configure uma VLAN para transportar o tráfego espelhado:
  2. Configure a interface que se conecta a outro switch (a interface do uplink) ao modo de tronco e a associe à VLAN adequada:
  3. Configure o analisador:
    1. Escolha um nome para o analisador:
    2. Especifique a interface a ser espelhada e se o tráfego deve ser espelhado na entrada ou na saída:
    3. Especifique o endereço IP ou VLAN apropriado como saída (uma VLAN é especificada neste exemplo:

      Se você especificar um endereço IP como saída, observe as seguintes restrições:

      • O endereço não pode estar na mesma sub-rede que qualquer uma das interfaces de gerenciamento de switch.

      • Se você criar instâncias de roteamento virtual e também criar uma configuração de analisador que inclua um endereço IP de saída, o endereço de saída pertence à instância de roteamento virtual padrão (tabela inet.0 de roteamento).

      • O dispositivo analisador deve ser capaz de des encapsular pacotes encapsulados POR GRE, ou os pacotes encapsulados POR GRE devem ser des encapsulados antes de chegar ao dispositivo do analisador. (Você pode usar um farejador de rede para des encapsular os pacotes.)

Filtragem do tráfego que entra em um analisador

Nota:

Essa funcionalidade não é compatível com NFX150 dispositivos.

Além de especificar qual tráfego espelhar configurando um analisador, você também pode usar um filtro de firewall para exercer mais controle sobre quais pacotes são copiados. Por exemplo, você pode usar um filtro para especificar que somente o tráfego de determinados aplicativos seja espelhado. O filtro pode usar qualquer uma das condições de combinação disponíveis e ter uma ação de modificador do Se você usar o mesmo analisador em vários filtros ou termos, os pacotes de saída serão copiados apenas uma port-mirror-instance instance-name. vez.

Quando você usa um filtro de firewall como entrada para uma instância de espelhamento de porta, você envia o tráfego copiado para uma interface local ou uma VLAN da mesma forma que faz quando um firewall não está envolvido.

Para configurar o espelhamento de porta com filtros:

  1. Configure uma instância de espelhamento de portas para análise local ou remota. Configure apenas a saída. Para análise local, por exemplo, insira:
    Nota:

    Você não pode configurar a entrada para esta instância.

  2. Crie um filtro de firewall usando qualquer uma das condições de combinação disponíveis. Em um then termo, especifique incluir o modificador de port-mirror-instance instance-name ação.
  3. Aplique o filtro de firewall às interfaces ou VLAN que deve fornecer a entrada ao analisador:

Configuração do espelhamento de portas em dispositivos SRX

Para configurar o espelhamento de porta em um dispositivo SRX, você deve configurar primeiro forwarding-options o e no nível da interfaces[edit] hierarquia.

Você deve configurar a instrução para definir uma instância da porta para espelhamento de porta e também forwarding-options configurar a interface a ser mirror-to espelhada.

Nota:

A porta espelhada e a porta espelhada devem estar sob o mesmo chipset Broadcom em uma placa de I/O.

Para configurar o espelhamento de portas:

  1. rateEspecifique o e no nível da run-length[edit forwarding-options port-mirroring input] hierarquia:
    Nota:
    • rate: Razão de pacotes a serem amostrados (1 de N)(1 a 65535)

    • run-length: Número de amostras após o gatilho inicial (0 a 20)

  2. Para enviar as cópias do pacote para a mirror-to porta, inclua a interface intf-name instrução no nível [edit forwarding-options port-mirroring family any output] da hierarquia.
    Nota:

    O espelhamento de porta em dispositivos SRX usa para transferir as informações de porta family anymirror-to para Mecanismo de Encaminhamento de Pacotes (PFE). O mecanismo de espelhamento copia todos os pacotes da mirrored porta até a mirror-to porta.

Nota:

Você pode configurar uma instance cláusula para especificar várias mirror-to portas.

Para espelhar uma interface, inclua port-mirror-instance a declaração em nível de [edit interface mirrored-intf-name] hierarquia.

A interface espelhada está configurada com um nome de instância, definido no forwarding-options . A mirrored porta e a porta estão mirror-to conectadas por essa instância.

Nota:

O espelhamento de porta em dispositivos SRX não diferencia a direção do tráfego, mas espelha as amostras de entrada e saída juntas.

Uma configuração de amostra para espelhamento de portas é mostrada abaixo:

Exemplos: Configurando o espelhamento de portas para análise local

Use o espelhamento de porta para enviar tráfego para aplicativos que analisam tráfego com finalidades como monitorar a conformidade, aplicar políticas, detectar invasões, monitorar e prever padrões de tráfego, correlacionar eventos e assim por diante. O espelhamento de portas copia pacotes que entram ou saem de uma interface ou entram em uma VLAN e enviam as cópias para uma interface local para monitoramento local.

Nota:

Este exemplo usa o estilo de configuração do Software de Camada 2 Aprimorada (ELS). Para detalhes da ELS, consulte Como usar a CLI de software aprimorada de Camada 2.

Este exemplo descreve como configurar o espelhamento de porta para copiar o tráfego enviado por computadores funcionários para um switch para uma interface de acesso no mesmo switch.

Requisitos

Este exemplo usa os seguintes componentes de hardware e software:

  • Versão 13.2 do Junos OS

  • Um switch

Visão geral e topologia

Este tópico inclui dois exemplos relacionados que descreve como espelhar o tráfego que entra nas interfaces do switch para uma interface de acesso no mesmo switch. O primeiro exemplo mostra como espelhar todo o tráfego enviado pelos computadores dos funcionários ao switch. O segundo exemplo inclui um filtro para espelhar apenas o tráfego do funcionário que vai para a Web.

Topologia

Neste exemplo, e xe-0/0/0 servem xe-0/0/6 como conexões para computadores de funcionários. A xe-0/0/47 interface está conectada a um dispositivo que executa um aplicativo de analisador.

Nota:

Várias portas espelhadas em uma interface podem causar estouro de buffer e pacotes descartados.

Figura 1 mostra a topologia de rede, por exemplo.

Figura 1: Exemplo de topologia de rede para espelhamento de portas locaisExemplo de topologia de rede para espelhamento de portas locais

Exemplo: Espelhamento de todo o tráfego de funcionários para análise local

Para configurar o espelhamento de portas para todo o tráfego enviado pelos computadores dos funcionários para análise local, realize as tarefas explicadas nesta seção.

Procedimento

Configuração rápida CLI

Para configurar rapidamente o espelhamento de porta local para acesso ao tráfego de entrada nas duas portas conectadas aos computadores do funcionário, copie os seguintes comandos e os conecte em uma janela do terminal do switch:

Procedimento passo a passo

Para configurar um analisador chamado employee-monitor e especificar as interfaces de entrada (origem) e a interface de saída:

  1. Configure as interfaces conectadas aos computadores dos funcionários como interfaces de entrada para o analisador employee-monitor port-mirror:

  2. Configure a interface do analisador de saída para employee-monitor o analisador. Esta será a interface de destino dos pacotes espelhados:

Resultados

Veja os resultados da configuração:

Exemplo: Espelhamento do tráfego web do funcionário com um filtro de firewall

Requisitos

Este exemplo usa os seguintes componentes de hardware e software:

  • Um QFX5100 switch

  • Versão do Junos OS 14.1X53-D30

Visão geral

Em vez de espelhar todo o tráfego, geralmente é desejável espelhar apenas determinado tráfego. Esse é um uso mais eficiente de sua largura de banda e hardware e pode ser necessário devido a restrições a esses ativos. Para selecionar tráfego específico para espelhamento, você usa um filtro de firewall para combinar com o tráfego desejado e direciona-lo a uma instância de espelhamento de portas. A instância de espelhamento de porta copia os pacotes e os envia para o VLAN de saída, interface ou endereço IP.

Configurando

Para especificar que o único tráfego espelhado é o tráfego enviado pelos funcionários à Web, realize as tarefas explicadas nesta seção. Para selecionar esse tráfego para espelhamento, você usa um filtro de firewall para especificar esse tráfego e direcionar ele para uma instância de espelhamento de portas.

Procedimento

Configuração rápida CLI

Para configurar rapidamente o espelhamento de portas local do tráfego dos computadores dos funcionários destinados à Web, copie os seguintes comandos e os confique em uma janela do terminal do switch:

Procedimento passo a passo

Para configurar o espelhamento de portas local do tráfego entre funcionários e web a partir das duas portas conectadas aos computadores dos funcionários:

  1. Configure a interface de saída:

  2. Configure a employee-web-monitor interface de saída. (Configure apenas a saída; a entrada vem do filtro.)

  3. Configure um filtro de firewall chamado que inclui um termo para combinar o tráfego enviado à Web e watch-employee enviá-lo para a instância de espelhamento de porta employee-web-monitor . O tráfego de e para a subnet corporativa (destino ou endereço de origem) não precisa ser copiado, então crie outro termo para aceitar esse tráfego antes que ele alcance o termo que envia tráfego da Web para a 192.0.2.16/28 instância:

  4. Aplique o filtro de firewall às interfaces apropriadas como um filtro de entrada (filtros de saída não permitem analisadores):

Resultados

Veja os resultados da configuração:

Verificação

Verificar se o analisador foi criado corretamente

Propósito

Verificar se a instância de espelhamento de porta nomeada foi criada no switch com as interfaces de employee-web-monitor entrada adequadas e a interface de saída apropriada.

Ação

Você pode verificar se a instância de espelhamento de portas espelhada da porta foi configurada como esperado ao usar o show forwarding-options port-mirroring comando.

Significado

Esta saída mostra as seguintes informações sobre a instância de espelhamento de employee-web-monitor porta:

  • Tem uma taxa de 1 (espelhamento de cada pacote, a configuração padrão)

  • O número de pacotes consecutivos amostrados (em comprimento de executar) é 0

  • O tamanho máximo do pacote original espelhado é 0 ( indica todo o 0 pacote)

  • O estado dos parâmetros de saída: up indica que a instância está espelhando o tráfego que entra nas interfaces xe-0/0/0 e xe-0/0/6, e está enviando o tráfego espelhado para a interface xe-0/0/47

Se o estado da interface de saída estiver ou se a interface de saída não estiver configurada, o valor estará e a instância não será programada para downstatedown espelhamento.

Exemplo: Configuração do espelhamento de portas para análise remota

Use o espelhamento de porta para enviar tráfego para aplicativos que analisam tráfego com finalidades como monitorar a conformidade, aplicar políticas, detectar invasões, monitorar e prever padrões de tráfego, correlacionar eventos e assim por diante. O espelhamento de portas copia pacotes que entram ou saem de uma interface ou entram em uma VLAN e enviam as cópias para uma interface local para monitoramento local ou para uma VLAN para monitoramento remoto. Este exemplo descreve como configurar o espelhamento de portas para análise remota.

Requisitos

Este exemplo usa os seguintes componentes de hardware e software:

  • Junos OS Release 13.2 para a Série QFX

  • Um switch

Visão geral e topologia

Este tópico inclui dois exemplos relacionados que descreve como espelhar o tráfego que entra nas portas do switch para um VLAN analisador para que você possa realizar a análise usando um dispositivo remoto. O primeiro exemplo mostra como espelhar todo o tráfego enviado pelos computadores dos funcionários ao switch. O segundo exemplo inclui um filtro para espelhar apenas o tráfego do funcionário que vai para a Web.

Topologia

Neste exemplo:

  • Interfaces ge-0/0/0 e ge-0/0/1 interfaces de Camada 2 que se conectam aos computadores dos funcionários.

  • A ge-0/0/2 interface é uma interface de Camada 2 que se conecta a outro switch.

  • A VLAN remote-analyzer está configurada em todos os switches da topologia para transportar o tráfego espelhado.

Nota:

Além de realizar as etapas de configuração descritas aqui, você também deve configurar o VLAN analisador (neste exemplo) nos outros switches que são usados para conectar o switch de origem (o da configuração) ao qual a estação de monitoramento está remote-analyzer conectada.

Espelhamento de todo o tráfego de funcionários para análise remota

Procedimento

Configuração rápida CLI

Para configurar rapidamente esta seção do exemplo, copie os comandos a seguir, confie-os em um arquivo de texto, remova quaisquer quebras de linha, altere quaisquer detalhes necessários para combinar com a configuração da sua rede e, em seguida, copie e colar os comandos na CLI no nível da edit hierarquia:

Procedimento passo a passo

Para configurar o espelhamento básico de portas remotas:

  1. Configure o VLAN analisador remote-analyzer (chamado neste exemplo):

  2. Configure a interface conectada a outro switch para o modo de tronco e a associe à remote-analyzer VLAN:

  3. Configure o employee-monitor analisador:

  4. Configure a remote-analyzer VLAN nos switches que conectam esse switch à estação de trabalho de monitoramento.

Resultados

Veja os resultados da configuração:

Espelhamento do tráfego entre funcionários e web para análise remota

Configuração rápida CLI

Para configurar rapidamente esta seção do exemplo, copie os comandos a seguir, confie-os em um arquivo de texto, remova quaisquer quebras de linha, altere quaisquer detalhes necessários para combinar com a configuração da sua rede e, em seguida, copie e colar os comandos na CLI no nível da edit hierarquia:

Procedimento

Procedimento passo a passo
  1. Configure o VLAN analisador remote-analyzer (chamado neste exemplo):

  2. Configure uma interface para associá-la à remote-analyzer VLAN:

  3. Configure o employee-web-monitor analisador. (Configure apenas a saída; a entrada vem do filtro.)

  4. Configure um filtro de firewall chamado para combinar o tráfego enviado à Web e watch-employee envie-o ao employee-web-monitor analisador:

  5. Aplique o filtro de firewall às interfaces apropriadas como um filtro de entrada:

  6. Configure a remote-analyzer VLAN nos switches que conectam esse switch à estação de trabalho de monitoramento.

Resultados

Veja os resultados da configuração:

Verificação

Verificar se o analisador foi criado corretamente

Propósito

Verificar se o analisador nomeado ou criado no switch com as interfaces de employee-monitoremployee-web-monitor entrada adequadas e a interface de saída apropriada.

Ação

Você pode verificar se o analisador de espelhamento de porta está configurado como esperado usando o show analyzer comando.

Significado

Esta saída mostra que o analisador espelha o tráfego que entra e envia o tráfego employee-monitorge-0/0/0ge-0/0/1 espelhado ao remote-analyzer analisador.