Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configurando a porta espelhando análises locais e remotas

Configuração do espelhamento de porta

Você usa espelhamento de porta para copiar pacotes e enviar as cópias para um dispositivo que executa um aplicativo como um analisador de rede ou aplicativo de detecção de intrusão para que você possa analisar o tráfego sem atrasá-lo. Você pode espelhar o tráfego entrando ou saindo de uma porta ou entrando em uma VLAN, e pode enviar as cópias para uma interface de acesso local ou para uma VLAN através de uma interface de tronco.

Recomendamos que você desabile o espelhamento de porta quando não estiver usando. Para evitar criar um problema de desempenho Se você habilitar o espelhamento de portas, recomendamos que você selecione interfaces de entrada específicas em vez de usar a all palavra-chave. Você também pode limitar a quantidade de tráfego espelhado usando um filtro de firewall.

Nota:

Essa tarefa usa o estilo de configuração de software de camada 2 (ELS) aprimorado. Se o seu switch executa um software que não oferece suporte ao ELS, veja Configurando o espelhamento de portas. Para obter detalhes do ELS, veja Usando a CLI de software de camada 2 aprimorada.

Nota:

Se você quiser criar analisadores adicionais sem excluir um analisador existente, primeiro desabile o analisador existente usando o disable analyzer analyzer-name comando.

Nota:

Você deve configurar interfaces de saída com espelhamento de porta como family ethernet-switching.

Configuração do espelhamento de portas para análise local

Espelhar o tráfego de interface para uma interface local no switch:

  1. Se você quiser espelhar o tráfego que está entrando ou saída de interfaces específicas, escolha um nome para a configuração de espelhamento de portas e configure o tráfego que deve ser espelhado especificando as interfaces e a direção do tráfego:
    Nota:

    Se você configurar o Junos OS para espelhar pacotes de saída, não configure mais de 2000 VLANs. Se você fizer isso, alguns pacotes VLAN podem conter IDs VLAN incorretos.

    Nota:

    Se você configurar o espelhamento para pacotes que saem de uma interface de acesso, os pacotes originais perdem quaisquer tags VLAN quando saem da interface de acesso, mas os pacotes espelhados (copiados) retêm as tags VLAN quando são enviados para o sistema do analisador.

  2. Se você quiser especificar que todo tráfego que ingressa em uma VLAN deve ser espelhado, escolha um nome para a configuração de espelhamento de portas e especifique a VLAN:
    Nota:

    Você não pode configurar o espelhamento de porta para copiar o tráfego que egresso de uma VLAN.

  3. Configure a interface de destino para os pacotes espelhados:

Configuração do espelhamento de portas para análise remota

Espelhar o tráfego em uma VLAN para análise em um local remoto:

  1. Configure uma VLAN para transportar o tráfego espelhado:
  2. Configure a interface que se conecta a outro switch (a interface de uplink) ao modo tronco e associe-a ao VLAN apropriado:
  3. Configure o analisador:
    1. Escolha um nome para o analisador:
    2. Especifique a interface a ser espelhada e se o tráfego deve ser espelhado na entrada ou saída:
    3. Especifique o endereço IP ou VLAN apropriados conforme a saída (um VLAN é especificado neste exemplo:

      Se você especificar um endereço IP como saída, observe as seguintes restrições:

      • O endereço não pode estar na mesma sub-rede que qualquer uma das interfaces de gerenciamento de switches.

      • Se você criar instâncias de roteamento virtual e também criar uma configuração de analisador que inclua um endereço IP de saída, o endereço de saída pertence à instância de roteamento virtual padrão (inet.0 tabela de roteamento).

      • O dispositivo analisador deve ser capaz de des encapsular pacotes encapsulados por GRE, ou os pacotes encapsulados por GRE devem ser des encapsulados antes de chegar ao dispositivo analisador. (Você pode usar um sniffer de rede para des encapsular os pacotes.)

Filtragem do tráfego entrando em um analisador

Nota:

Essa funcionalidade não é suportada em dispositivos NFX150.

Além de especificar qual tráfego espelhar ao configurar um analisador, você também pode usar um filtro de firewall para exercer mais controle sobre quais pacotes são copiados. Por exemplo, você pode usar um filtro para especificar que apenas o tráfego de determinados aplicativos será espelhado. O filtro pode usar qualquer uma das condições de correspondência disponíveis e deve ter uma ação de modificador de port-mirror-instance instance-name. Se você usar o mesmo analisador em vários filtros ou termos, os pacotes de saída são copiados apenas uma vez.

Quando você usa um filtro de firewall como entrada para uma instância de espelhamento de porta, você envia o tráfego copiado para uma interface local ou uma VLAN, assim como faz quando um firewall não está envolvido.

Para configurar o espelhamento de portas com filtros:

  1. Configure uma instância de espelhamento de porta para análise local ou remota. Configure apenas a saída. Por exemplo, para análise local, digite:
    Nota:

    Você não pode configurar a entrada para esta instância.

  2. Crie um filtro de firewall usando qualquer uma das condições de correspondência disponíveis. Em um then termo, especifique incluir o modificador port-mirror-instance instance-namede ação.
  3. Aplique o filtro de firewall nas interfaces ou VLAN que devem fornecer a entrada ao analisador:

Configuração de espelhamento de portas em firewalls da Série SRX

Para configurar o espelhamento de porta em um dispositivo SRX, você deve primeiro configurar o forwarding-options nível de hierarquia.interfaces[edit]

Você deve configurar a forwarding-options declaração para definir uma instância da porta para espelhamento mirror-to de portas e também configurar a interface a ser espelhada.

Nota:

A porta espelhada e a porta espelhada devem estar sob o mesmo chipset Broadcom em uma placa de E/S.

Para configurar o espelhamento de porta:

  1. Especifique o rate[edit forwarding-options port-mirroring input] nível de hierarquia erun-length:
    Nota:
    • rate: Relação de pacotes a serem amostrados (1 em N) (1 a 65535)

    • run-length: Número de amostras após o gatilho inicial (0 a 20)

  2. Para enviar as cópias do pacote para a mirror-to porta, inclua a interface intf-name declaração no nível de [edit forwarding-options port-mirroring family any output] hierarquia.
    Nota:

    Espelhamento de porta em firewalls da Série SRX usa family any para transferir as informações de mirror-to porta para o Mecanismo de encaminhamento de pacotes (PFE). O mecanismo de espelhamento copia todos os pacotes da mirrored porta até a mirror-to porta.

Nota:

Você pode configurar uma instance cláusula para especificar várias mirror-to portas.

Para espelhar uma interface, inclua a port-mirror-instance declaração no nível de [edit interface mirrored-intf-name] hierarquia.

A interface espelhada está configurada com um nome de instância, definido na forwarding-options. A mirrored porta e a mirror-to porta estão vinculadas por essa instância.

Nota:

O espelhamento de portas em firewalls da Série SRX não diferencia a direção do tráfego, mas espelha as amostras de entrada e saída juntas.

Uma configuração de amostra para espelhamento de portas é mostrada abaixo:

Exemplos: Configuração do espelhamento de portas para análise local

Use o espelhamento de portas para enviar tráfego a aplicativos que analisam o tráfego para fins como monitorar a conformidade, aplicar políticas, detectar invasões, monitorar e prever padrões de tráfego, correlacionar eventos e assim por diante. Espelhamento de portas espelhamento de pacotes entrando ou saindo de uma interface ou entrando em uma VLAN e envia as cópias para uma interface local para monitoramento local.

Nota:

Este exemplo usa o estilo de configuração de software de camada 2 (ELS) aprimorado. Para obter detalhes do ELS, veja Usando a CLI de software de camada 2 aprimorada.

Este exemplo descreve como configurar o espelhamento de portas para copiar o tráfego enviado pelos computadores dos funcionários para um switch para uma interface de acesso no mesmo switch.

Requisitos

Este exemplo usa os seguintes componentes de hardware e software:

  • Versão Junos OS 13.2

  • Um switch

Visão geral e topologia

Este tópico inclui dois exemplos relacionados que descrevem como espelhar o tráfego entrando em interfaces no switch para uma interface de acesso no mesmo switch. O primeiro exemplo mostra como espelhar todo o tráfego enviado pelos computadores dos funcionários para o switch. O segundo exemplo inclui um filtro para espelhar apenas o tráfego de funcionários que vai para a Web.

Topologia

Neste exemplo, xe-0/0/0 e xe-0/0/6 servir como conexões para computadores de funcionários. A interface xe-0/0/47 está conectada a um dispositivo que executa um aplicativo de analisador.

Nota:

Várias portas espelhadas em uma interface podem causar o estouro do buffer e a queda de pacotes.

Figura 1 mostra a topologia da rede para este exemplo.

Figura 1: Exemplo de topologia de rede para espelhamento de portas locaisExemplo de topologia de rede para espelhamento de portas locais

Exemplo: Espelhamento de todo o tráfego de funcionários para análise local

Para configurar o espelhamento de portas para todo o tráfego enviado pelos computadores dos funcionários para análise local, execute as tarefas explicadas nesta seção.

Procedimento

Configuração rápida da CLI

Para configurar rapidamente o espelhamento de porta local para o tráfego de entrada nas duas portas conectadas aos computadores dos funcionários, copie os seguintes comandos e cole-os em uma janela de terminal do switch:

Procedimento passo a passo

Para configurar um analisador chamado employee-monitor e especificar as interfaces de entrada (fonte) e a interface de saída:

  1. Configure as interfaces conectadas aos computadores dos funcionários como interfaces de entrada para o analisador employee-monitorde espelhos de porta:

  2. Configure a interface do analisador de saída para o employee-monitor analisador. Esta será a interface de destino para os pacotes espelhados:

Resultados

Confira os resultados da configuração:

Exemplo: Espelhamento do tráfego web dos funcionários com um filtro de firewall

Requisitos

Este exemplo usa os seguintes componentes de hardware e software:

  • Um switch QFX5100

  • Versão Junos OS 14.1X53-D30

Visão geral

Em vez de espelhar todo o tráfego, geralmente é desejável espelhar apenas determinado tráfego. Este é um uso mais eficiente de sua largura de banda e hardware e pode ser necessário devido a restrições nesses ativos. Para selecionar tráfego específico para espelhamento, você usa um filtro de firewall para combinar com o tráfego desejado e direcioná-lo a uma instância de espelhamento de porta. A instância de espelhamento de porta então copia os pacotes e os envia para a saída VLAN, interface ou endereço IP.

Configuração

Para especificar que o único tráfego que será espelhado é o tráfego enviado pelos funcionários para a Web, execute as tarefas explicadas nesta seção. Para selecionar esse tráfego para espelhamento, você usa um filtro de firewall para especificar esse tráfego e direcioná-lo a uma instância de espelhamento de portas.

Procedimento

Configuração rápida da CLI

Para configurar rapidamente o espelhamento de porta local do tráfego de computadores funcionários destinados à Web, copie os seguintes comandos e cole-os em uma janela terminal do switch:

Procedimento passo a passo

Para configurar o espelhamento de porta local do tráfego entre funcionários e web a partir das duas portas conectadas aos computadores dos funcionários:

  1. Configure a interface de saída:

  2. Configure a employee-web-monitor interface de saída. (Configure apenas a saída — a entrada vem do filtro.)

  3. Configure um filtro de firewall chamado watch-employee que inclua um termo para combinar tráfego enviado à Web e enviar para a instância employee-web-monitorde espelhamento de portas. O tráfego de e para a sub-rede corporativa (endereço de destino ou fonte) 192.0.2.16/28não precisa ser copiado, portanto, crie outro termo para aceitar esse tráfego antes que ele atinja o termo que envia tráfego Web para a instância:

  4. Aplique o filtro de firewall nas interfaces apropriadas como um filtro de entrada (filtros de saída não permitem analisadores):

Resultados

Confira os resultados da configuração:

Verificação

Verificando se o analisador foi criado corretamente

Propósito

Verifique se a instância de espelhamento de porta nomeada employee-web-monitor foi criada no switch com as interfaces de entrada apropriadas e a interface de saída apropriada.

Ação

Você pode verificar se a instância de espelhamento de porta espelhamento do espelho de porta foi configurada como esperado usando o show forwarding-options port-mirroring comando.

Significado

Esta saída mostra as seguintes informações sobre a instância employee-web-monitorde espelhamento de portas:

  • Tem uma taxa de 1 (espelhamento de cada pacote, a configuração padrão)

  • O número de pacotes consecutivos amostrados (comprimento de execução) é 0

  • O tamanho máximo do pacote original que foi espelhado é 0 (0 indica todo o pacote)

  • O estado dos parâmetros de saída: up indica que a instância está espelhando o tráfego que entra nas interfaces xe-0/0/0 e xe-0/6, e está enviando o tráfego espelhado para a interface xe-0/0/47

Se o estado da interface de saída estiver down ou se a interface de saída não estiver configurada, o state valor será down e a instância não será programada para espelhamento.

Exemplo: Configuração do espelhamento de portas para análise remota

Use o espelhamento de portas para enviar tráfego a aplicativos que analisam o tráfego para fins como monitorar a conformidade, aplicar políticas, detectar invasões, monitorar e prever padrões de tráfego, correlacionar eventos e assim por diante. Espelhamento de porta espelhamento de pacotes entrando ou saindo de uma interface ou entrando em uma VLAN e envia as cópias para uma interface local para monitoramento local ou para uma VLAN para monitoramento remoto. Este exemplo descreve como configurar o espelhamento de portas para análise remota.

Requisitos

Este exemplo usa os seguintes componentes de hardware e software:

  • Versão 13.2 do Junos OS para a Série QFX

  • Um switch

Visão geral e topologia

Este tópico inclui dois exemplos relacionados que descrevem como espelhar o tráfego entrando em portas no switch para um VLAN analisador para que você possa realizar análises usando um dispositivo remoto. O primeiro exemplo mostra como espelhar todo o tráfego enviado pelos computadores dos funcionários para o switch. O segundo exemplo inclui um filtro para espelhar apenas o tráfego de funcionários que vai para a Web.

Topologia

Neste exemplo:

  • Interfaces e ge-0/0/1 interfaces ge-0/0/0 de Camada 2 que se conectam aos computadores dos funcionários.

  • Interface ge-0/0/2 é uma interface de Camada 2 que se conecta a outro switch.

  • O VLAN remote-analyzer está configurado em todos os switches da topologia para transportar o tráfego espelhado.

Nota:

Além de realizar as etapas de configuração descritas aqui, você também deve configurar o VLAN analisador (remote-analyzer neste exemplo) nos outros switches que são usados para conectar o switch de origem (aquele nesta configuração) ao que a estação de monitoramento está conectada.

Espelhamento de todo o tráfego dos funcionários para análise remota

Procedimento

Configuração rápida da CLI

Para configurar rapidamente esta seção do exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere quaisquer detalhes necessários para combinar com a configuração da sua rede e, em seguida, copie e cole os comandos na CLI no edit nível de hierarquia:

Procedimento passo a passo

Para configurar o espelhamento básico de portas remotas:

  1. Configure o VLAN do analisador (chamado remote-analyzer neste exemplo):

  2. Configure a interface conectada a outro switch para o modo tronco e associe-a à remote-analyzer VLAN:

  3. Configure o employee-monitor analisador:

  4. Configure a remote-analyzer VLAN nos switches que conectam este switch à estação de trabalho de monitoramento.

Resultados

Confira os resultados da configuração:

Espelhamento do tráfego entre funcionários e web para análise remota

Configuração rápida da CLI

Para configurar rapidamente esta seção do exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere quaisquer detalhes necessários para combinar com a configuração da sua rede e, em seguida, copie e cole os comandos na CLI no edit nível de hierarquia:

Procedimento

Procedimento passo a passo
  1. Configure o VLAN do analisador (chamado remote-analyzer neste exemplo):

  2. Configure uma interface para associá-la à remote-analyzer VLAN:

  3. Configure o employee-web-monitor analisador. (Configure apenas a saída — a entrada vem do filtro.)

  4. Configure um filtro de firewall chamado watch-employee para combinar tráfego enviado à Web e envie-o ao analisador employee-web-monitor:

  5. Aplique o filtro de firewall nas interfaces apropriadas como um filtro de entrada:

  6. Configure a remote-analyzer VLAN nos switches que conectam este switch à estação de trabalho de monitoramento.

Resultados

Confira os resultados da configuração:

Verificação

Verificando se o analisador foi criado corretamente

Propósito

Verifique se o analisador nomeou employee-monitor ou employee-web-monitor foi criado no switch com as interfaces de entrada apropriadas e a interface de saída apropriada.

Ação

Você pode verificar se o analisador de espelho de porta está configurado como esperado usando o show analyzer comando.

Significado

Essa saída mostra que o employee-monitor analisador está espelhando o tráfego que entra ge-0/0/0 e ge-0/0/1 está enviando o tráfego espelhado para o analisador remote-analyzer.