Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

配置端口镜像和分析器

了解端口镜像分析器

端口镜像可用于路由器和交换机上的流量分析,与中枢不同,路由器和交换机不会将数据包广播到目标设备上的每个端口。端口镜像将所有数据包的副本或基于策略的样本数据包发送到本地或远程分析器,您可以在其中监控和分析数据。

在端口镜像分析器中,我们使用术语“ 交换设备”。术语表示设备(包括路由器)正在执行交换功能。

您可以在数据包级别使用分析器来帮助您:

  • 监控网络流量

  • 实施网络使用策略

  • 强制执行文件共享策略

  • 确定问题的原因

  • 识别带宽使用过多或异常的站点或应用

您可以将端口镜像配置为镜像:

  • 桥接数据包(第 2 层数据包)

  • 路由的数据包(第 3 层数据包)

镜像数据包可以复制到本地接口进行本地监控,也可以复制到 VLAN 或网桥域进行远程监控。

可以复制以下数据包:

  • 进入或退出端口的数据包 — 您可以以任意组合镜像进入或退出端口的数据包,最多可容纳 256 个端口。例如,您可以将进入某些端口的数据包和从其他端口退出的数据包的副本发送到同一个本地分析器端口或分析器 VLAN。

  • 进入或退出 VLAN 或网桥域的数据包 — 您可以将进入或退出 VLAN 或网桥域的数据包镜像到本地分析器端口或分析器 VLAN 或网桥域。您可以将多个 VLAN(最多 256 个 VLAN)或网桥域配置为分析器的入口输入,包括 VLAN 范围和专用 VLAN (PVLAN)。

  • 基于策略的样本数据包 — 您可以镜像进入端口、VLAN 或网桥域的数据包的基于策略样本。您可以使用策略配置防火墙过滤器,以选择要镜像的数据包。您可以将示例发送到端口镜像实例或分析器 VLAN 或网桥域。

分析器概述

您可以配置分析器,以在同一分析器配置中定义输入流量和输出流量。要分析的输入流量可以是进入接口或 VLAN 的流量,也可以是退出接口或 VLAN 的流量。分析器配置允许您将此流量发送到输出接口、实例、下一跃点组、VLAN 或网桥域。您可以在层次结构级别配置 [edit forwarding-options analyzer] 分析器。

统计分析器概述

您可以定义一组镜像属性,例如镜像速率和流量的最大数据包长度,这些属性可以显式绑定到路由器或交换机上的物理端口。这组镜像属性构成统计分析器(也称为非默认分析器)。在此级别,您可以将命名实例绑定到与特定 FPC 关联的物理端口。

默认分析器概述

您可以在不配置任何镜像属性(如镜像速率或最大数据包长度)的情况下配置分析器。默认情况下,镜像速率设置为 1,最大数据包长度设置为数据包的完整长度。这些属性在全局级别应用,无需绑定到特定的 FPC。

在绑定到多个统计分析仪的一组端口上进行端口镜像

您最多可以将两个统计分析器应用于交换设备上的相同端口组。通过将两个不同的统计分析器实例应用于同一个 FPC 或数据包转发引擎,您可以将两个不同的第 2 层镜像规范绑定到单个端口组。绑定到 FPC 的镜像属性将覆盖交换设备上在全局级别绑定的任何分析器(默认分析器)属性。默认分析器属性通过在同一端口组上绑定第二个分析器实例来覆盖。

端口镜像分析器术语

表 1 列出了一些端口镜像分析器术语及其说明。

表 1:分析器术语
期限 描述

分析器

在镜像配置中,分析器包括:

  • 分析器的名称

  • 源(输入)端口、VLAN 或网桥域

  • 镜像数据包的目的(本地端口、VLAN 或网桥域)

分析器输出接口

(也称为监控端口)

发送镜像流量并连接协议分析器的接口。

用作分析器输出的接口必须在层次结构级别下 forwarding-options 配置。

分析器输出接口具有以下限制:

  • 它们也不能是源端口。

  • 它们不参与生成树协议 (STP) 等第 2 层协议。

  • 如果分析器输出接口的带宽不足以处理来自源端口的流量,则溢出数据包将被丢弃。

分析器 VLAN 或网桥域

(也称为监控 VLAN 或网桥域)

VLAN 或网桥域将镜像流量发送到以供协议分析器使用的位置。监控 VLAN 或网桥域中的成员接口分布在网络中的交换设备上。

基于网桥域的分析器

配置为使用桥接域进行输入和/或输出的分析器会话。

默认分析器

具有默认镜像参数的分析器。默认情况下,镜像速率为 1,最大数据包长度为完整数据包的长度。

输入接口

(也称为镜像端口或受监控接口)

交换设备上的一个接口,镜像进入或退出此接口的流量。

基于 LAG 的分析仪

在分析器配置中将链路聚合组 (LAG) 指定为输入(入口)接口的分析器。

本地镜像

一种分析器配置,其中数据包被镜像到本地分析器端口。

监控站

运行协议分析器的计算机。

基于下一跳组的分析器

使用下一跃点组作为分析器输出的分析器配置。

基于端口的分析器

用于定义输入和输出接口的分析器配置。

协议分析器应用

用于检查通过网段传输的数据包的应用程序。通常也称为网络分析器、数据包嗅探器或探测器。

远程镜像

功能与本地镜像相同,不同之处在于镜像流量不会复制到本地分析器端口,而是泛洪到您专门为接收镜像流量而创建的分析器 VLAN 或网桥域。镜像数据包具有分析器 VLAN 或网桥域的附加外部标记。

统计分析器

(也称为非默认分析器)

一组镜像属性,可显式绑定到交换机上的物理端口。这组分析器属性称为统计分析器。

基于 VLAN 的分析器

一种分析器配置,使用 VLAN 将镜像流量传送到分析器。

端口镜像分析器的配置准则

配置端口镜像分析器时。我们建议您遵循这些准则,以确保最佳效益。建议您在不使用镜像时禁用镜像,并选择特定接口作为分析器的输入,而不是使用 all 关键字选项,该选项可在所有接口上启用镜像。仅镜像必要的数据包可减少任何潜在的性能影响。

您还可以通过以下方式限制镜像流量:

  • 使用统计抽样

  • 使用防火墙过滤器

  • 设置比率以选择统计样本

使用本地镜像时,来自多个端口的流量被复制到分析器输出接口。如果分析器的输出接口达到容量,数据包将被丢弃。您必须考虑要镜像的流量是否超过分析器输出接口的容量。

表 2 总结了分析器的进一步配置准则。

表 2:端口镜像分析器的配置准则

指南

价值或支持信息

注释

可以并发启用的分析器数。

64 默认分析仪

每个 FPC 统计分析器 2 个

统计分析器必须绑定到 FPC,才能镜像属于该 FPC 的端口上的流量。

注意:

默认分析器属性隐式绑定在系统中所有 FPC 上的最后一个(或倒数第二个)实例上。因此,当您在 FPC 上显式绑定第二个统计分析器时,默认分析器属性将被覆盖。

可用作分析器的入口输入的接口、VLAN 或网桥域数。

256

无法镜像流量的端口类型。

  • 虚拟机箱 端口 (VCP)

  • 管理以太网端口(me0 或 vme0)

  • 集成路由和桥接 (IRB) 接口

  • VLAN 标记的第 3 层接口

 

可以包含在分析仪中的协议族。

ethernet-switching 适用于 EX9200 交换机和 bridge MX 系列路由器。

分析器仅镜像桥接流量。要镜像路由流量,请将端口镜像配置 family 与 as inetinet6.

存在物理层错误的数据包不会发送至本地或远程分析器。

适用

包含这些错误的数据包将被过滤掉,因此不会发送到分析器。

分析器不支持线速流量。

适用

线速流量的镜像是在尽最大努力的基础上完成的。

LAG 接口上的分析器输出。

支持

 

分析器输出接口模式为中继模式。

支持

  • 中继接口必须是与分析器的输入配置相关的所有 VLAN 或网桥域的成员。

  • 如果输入已配置为 VLAN 或网桥域,并且输出是中继接口,则必须使用该 mirror-once 选项。

    注意:

    使用镜像一次选项时,如果分析器输入同时来自入口和出口镜像,则仅镜像入口流量。如果需要入口和出口镜像,则输出接口不能是中继接口。在这种情况下,请将接口配置为接入接口。

主机生成的控制数据包的出口镜像。

不支持

 

在分析器节中 input 配置第 3 层逻辑接口。

不支持

 

必须避免包含同一 VLAN 成员或 VLAN 本身的分析器输入和输出节。

适用

 

在不同分析器会话中支持 VLAN 及其成员接口

不支持

如果配置了镜像,则任一分析器处于活动状态。

聚合以太网 (ae) 接口及其子逻辑接口(为不同分析器配置)的出口镜像。

不支持

 

在 EX9200 交换机上配置镜像以分析流量 (CLI 过程)

通过 EX9200 交换机,您可以配置镜像功能,以便将数据包副本发送到本地接口以进行本地监控,或发送到 VLAN 进行远程监控。您可以使用镜像来复制以下数据包:

  • 进入或退出端口的数据包

  • 进入或退出 VLAN 的数据包

最佳实践:

仅镜像必要的数据包,以减少对性能的潜在影响。我们建议您:

  • 禁用不使用已配置的分析器。

  • 将单个接口指定为分析器的输入,而不是将所有接口指定为输入。

  • 通过以下方式限制镜像流量:

    • 采用统计抽样。

    • 设置比率以选择统计样本。

    • 使用防火墙过滤器。
注意:

如果想要在不删除现有分析器的情况下创建其他分析器,请使用命令行界面 (CLI) 或 J-Web 配置页面中的语句禁用 disable analyzer analyzer-name 现有分析器进行镜像。
注意:

用作分析器输出的接口必须在 下 ethernet-switching family配置,并且必须与 VLAN 相关联。

配置分析器以进行本地流量分析

要使用分析器将交换机上的网络流量或 VLAN 流量镜像到交换机上的接口:

  1. 选择分析器的名称并指定输入:

    例如,创建一个名为 employee-monitor 的分析器来监控进入接口 ge-0/0/0.0 和 ge-0/0/1.0 的数据包:

  2. 镜像数据包配置目的接口:

    例如,将 ge-0/0/10.0 配置为分析器的目的接口 employee-monitor

配置分析器以进行远程流量分析

要将交换机上通过接口或 VLAN 的流量镜像到用于从远程位置进行分析的 VLAN:

  1. 配置 VLAN 以承载镜像流量:

    例如,定义一个名为 remote-analyzer 的分析器 VLAN 并为其分配 VLAN ID 999

  2. 将连接到分布交换机的接口设置为访问模式,并将其与分析器 VLAN 进行关联:

    例如,将接口 ge-0/1/1 设置为访问模式,并将其与分析器 VLAN ID 999相关联:

  3. 配置分析器:
    1. 定义分析器并指定要镜像的流量:

      例如,定义 employee-monitor 要镜像的流量包含进入接口 ge-0/0/0.0 和 ge-0/0/1.0 的数据包的分析器:

    2. 将分析器 VLAN 指定为分析器的输出:

      例如,将 VLAN 指定 remote-analyzer 为分析器的输出分析器 employee-monitor

配置统计分析器以进行本地流量分析

要使用统计分析器将交换机上的接口流量或 VLAN 流量镜像到交换机上的接口:

  1. 为分析器选择一个名称并指定输入接口:

    例如,指定名为 employee-monitor 的分析器并指定输入接口 ge-0/0/0 和 ge-0/0/1:

  2. 镜像数据包配置目的接口:

    例如,将 ge-0/0/10.0 配置为镜像数据包的目的接口:

  3. 指定镜像属性。

    1. 指定镜像速率,即每秒要镜像的数据包数:

      有效范围为 1 到 65535。

    2. 指定镜像数据包的截短长度:

    有效范围为 0 到 9216。默认值为 0,表示镜像数据包不会被截断。

配置统计分析器以进行远程流量分析

要使用统计分析器将遍历交换机上的接口或 VLAN 的流量镜像到 VLAN 以从远程位置进行分析:

  1. 配置 VLAN 以承载镜像流量:

    例如,配置一个名为 VLAN ID 999remote-analyzer VLAN:

  2. 将连接到分布交换机的接口设置为访问模式,并将其与 VLAN 进行关联:

    例如,将连接到分布交换机的接口 ge-0/1/1.0 设置为访问模式,并将其与 remote-analyzer VLAN 关联:

  3. 配置统计分析器:
    1. 指定要镜像的流量:

      例如,指定要镜像进入端口 ge-0/0/0.0 和 ge-0/0/1.0 的数据包:

    2. 指定分析器的输出:

      例如,将 VLAN 指定 remote-analyzer 为分析器的输出:

  4. 指定镜像属性。

    1. 指定镜像速率,即每秒要镜像的数据包数:

      有效范围为 1 到 65535。

    2. 指定要截断的镜像数据包长度:

    有效范围为 0 到 9216。默认值为 0,表示镜像数据包不会被截断。

将统计分析器绑定到在 FPC 级别分组的端口

您可以将统计分析器绑定到交换机中的特定 FPC,即可以在交换机的 FPC 级别绑定统计分析器实例。统计分析器中指定的镜像属性将应用于与指定 FPC 上的所有数据包转发引擎关联的所有物理端口。

要将第 2 层分析器的命名实例绑定到 FPC:

  1. 启用交换机机箱属性的配置:

  2. 启用 FPC(及其已安装的 PIC)的配置:

  3. 将统计分析器实例绑定到 FPC:

  4. (选答)要将第 2 层镜像的第二个统计分析器实例绑定到同一 FPC,请重复步骤 3 并指定不同的统计分析器名称:

  5. 验证绑定的最小配置:

注意:

在绑定第二个实例(stats_analyzer-2 在本例中)时,此会话的镜像属性(如果已配置)将覆盖任何默认分析器。

使用下一跃点组配置具有多个目标的分析器

通过将下一跃点组配置为分析器输出,可以将流量镜像到多个目标。将数据包镜像到多个目标也称为多数据包端口镜像。

要将交换机上的接口流量或 VLAN 流量镜像到交换机上的接口(通过使用分析器),请执行以下操作:

  1. 选择分析器的名称并指定输入:

    例如,创建一个名为 employee-monitor 的分析器,其输入流量包含进入接口 ge-0/0/0.0 和 ge-0/0/1.0 的数据包:

  2. 镜像数据包配置目的接口:

    例如,将下一跃点组 nhg 配置为分析器的目标 employee-monitor

为第 2 层镜像定义下一跳组

通过配置级别的 [edit forwarding-options] 下一跳跃组配置,您可以定义下一跃点组名称、要在下一跳组中使用的地址类型,以及构成流量可镜像到的多个目标的逻辑接口。默认情况下,下一跃点组是使用该语句使用的 [edit forwarding-options next-hop-group next-hop-group-name group-type inet] 第 3 层地址指定的。要改用第 2 层地址指定下一跳组,请包含该 [edit forwarding-options next-hop-group next-hop-group-name group-type layer-2] 语句。

要为第 2 层镜像定义下一跃点组:

  1. 启用用于第 2 层镜像的下一跳组配置:

    例如,使用名称nhg配置next-hop-group

  2. 指定要在下一跃点组配置中使用的地址类型:

    例如,配置 next-hop-group type 为 AS layer-2 ,因为分析器输出必须仅为 layer-2

  3. 指定下一跃点组的逻辑接口:

    例如,要将 ge-0/0/10.0 和 ge-0/0/11.0 指定为下一跃点组 nhg的逻辑接口:

在 EX4300 交换机上配置镜像以分析流量 (CLI 过程)

注意:

此任务可使用支持增强型第 2 层软件 (ELS) 配置样式的 EX 系列交换机的 Junos OS。

通过 EX4300 交换机,您可以配置镜像功能,以便将数据包副本发送到本地接口以进行本地监控,或将数据包副本发送到 VLAN 进行远程监控。您可以使用镜像来复制以下数据包:

  • 进入或退出端口的数据包

  • 数据包进入 VLAN

最佳实践:

仅镜像必要的数据包,以减少对性能的潜在影响。我们建议您:

  • 在不使用已配置的镜像配置时禁用它们。

  • 将单个接口指定为分析器的输入,而不是将所有接口指定为输入。

  • 使用防火墙过滤器限制镜像流量。
注意:

如果要在不删除现有分析器的情况下创建其他分析器,请使用命令行界面或 J-Web 配置页面中的语句禁用 disable analyzer analyzer-name 现有分析器进行镜像。
注意:

用作分析仪输出的接口必须在家族下 ethernet-switching 配置。

配置分析器以进行本地流量分析

要将交换机上的接口流量或 VLAN 流量镜像到交换机上的接口(通过使用分析器),请执行以下操作:

  1. 选择分析器的名称并指定输入:

    例如,创建一个名为 employee-monitor 的分析器,其输入流量是进入接口 ge-0/0/0.0 和 ge-0/0/1.0 的数据包:

  2. 镜像数据包配置目的接口:

    例如,将 ge-0/0/10.0 配置为分析器的目的接口 employee-monitor

配置分析器以进行远程流量分析

要将遍历交换机上接口或 VLAN 的流量镜像到 VLAN 以从远程位置进行分析(使用分析器):

  1. 配置 VLAN 以承载镜像流量:

    例如,定义一个名为 remote-analyzer 的分析器 VLAN 并为其分配一个 VLAN ID 999

  2. 将连接到分布交换机的上行链路模块接口设置为中继模式,并将其与分析器 VLAN 进行关联:

    例如,将接口 ge-0/1/1 设置为中继模式,并将其与分析器 VLAN ID 999相关联:

  3. 配置分析器:
    1. 定义分析器并指定要镜像的流量:

      例如,定义 employee-monitor 要镜像其流量的分析器是进入接口 ge-0/0/0.0 和 ge-0/0/1.0 的数据包:

    2. 将分析器 VLAN 指定为分析器的输出:

      例如,将 VLAN 指定 remote-analyzer 为分析器的输出分析器 employee-monitor

配置端口镜像

要过滤要镜像到端口镜像实例的数据包,请创建实例,然后将其用作防火墙过滤器中的操作。您可以在本地和远程镜像配置中使用防火墙过滤器。

如果在多个过滤器或术语中使用了同一端口镜像实例,则数据包只会复制到分析器输出端口或分析器 VLAN 一次。

要过滤镜像流量,请在层次结构级别下 [edit forwarding-options] 创建端口镜像实例,然后创建防火墙过滤器。过滤器可以使用任何可用的匹配条件,并且必须作为 port-mirror-instance instance-name 操作使用。防火墙过滤器配置中的此操作将为端口镜像实例提供输入。

要使用防火墙过滤器配置端口镜像实例:

  1. 配置端口镜像实例名称(此处 employee-monitor)和输出:
    1. 对于本地分析,请将输出设置为本地接口,您将在其中连接运行协议分析器的计算机:
    2. 对于远程分析,请将输出设置为 remote-analyzer VLAN:
  2. 使用任何可用的匹配条件创建防火墙过滤器,并分配给employee-monitorport-mirror-instance操作:

    此步骤显示一个防火墙过滤器example-filter,其中包含两个术语(no-analyzerto-analyzer和):

    1. 创建第一个术语来定义不应通过端口镜像实例 employee-monitor的流量:
    2. 创建第二个术语来定义应通过端口镜像实例 employee-monitor的流量:
  3. 防火墙过滤器应用于向端口镜像实例提供输入的接口或 VLAN:

配置端口镜像以分析流量 (CLI 过程)

此配置任务可将 Junos OS 用于不支持增强型第 2 层软件 (ELS) 配置样式的 EX 系列交换机。

EX 系列交换机允许您配置端口镜像,以便将数据包副本发送到本地接口以进行本地监控,或发送到 VLAN 进行远程监控。您可以使用端口镜像来复制以下数据包:

  • 进入或退出端口的数据包

  • 数据包在 EX2200、EX3200、EX3300、EX4200、EX4500 或 EX6200 交换机上进入 VLAN

  • 从 EX8200 交换机上流出 VLAN 的数据包

最佳实践:

仅镜像必要的数据包,以减少对性能的潜在影响。我们建议您:

  • 在不使用已配置的端口镜像分析器时禁用它们。

  • 将单个接口指定为分析器的输入,而不是将所有接口指定为输入。

  • 通过以下方式限制镜像流量:

    • 采用统计抽样。

    • 设置比率以选择统计样本。

    • 使用防火墙过滤器。

开始配置端口镜像之前,请注意分析器输出接口的以下限制:

  • 不能同时作为源端口。

  • 不能用于交换。

  • 当属于端口镜像配置时,请勿参与第 2 层协议(如 RSTP)。

  • 在将其配置为分析器输出接口之前,请勿保留它们持有的任何 VLAN 关联。

注意:

如果想要在不删除现有分析器的情况下创建其他分析器,请先使用 disable analyzer analyzer-name 命令禁用现有分析器,或者使用端口镜像的 J-Web 配置页面禁用现有分析器。
注意:

用作分析器输出的接口必须配置为 family ethernet-switching

配置端口镜像以进行本地流量分析

要将交换机上的接口流量或 VLAN 流量镜像到交换机上的另一个接口,请执行以下操作:

  1. 分析器选择一个名称(在本例employee-monitor中为),并指定输入(在本例中为进入ge-0/0/0的数据包,并且ge-0/0/1
  2. 或者,您可以通过设置比率来指定数据包的统计抽样:

    当比率设置为 200 时,每 200 个数据包中有 1 个会镜像到分析器。您可以使用统计抽样来减少镜像流量的数量,因为大量的镜像流量可能会对交换机造成性能影响。在 EX8200 交换机上,只能为入口数据包设置比率。

  3. 镜像数据包配置目的接口:

配置端口镜像以进行远程流量分析

要将遍历交换机上接口或 VLAN 的流量镜像到 VLAN,以便从远程位置进行分析:

  1. 配置 VLAN 以承载镜像流量。根据本文档中的约定,调用此 VLAN remote-analyzer 并指定 ID 999:
  2. 将连接到分布交换机的上行链路模块接口设置为中继模式,并将其与 remote-analyzer VLAN:
  3. 配置分析器:
    1. 选择一个名称并将丢失优先级设置为高。配置远程端口镜像时,丢失优先级应始终设置为高:
    2. 指定要镜像的流量 — 在本例中为进入端口和ge-0/0/1的数据ge-0/0/0包:
    3. 指定 remote-analyzer VLAN 作为分析器的输出:
  4. 或者,您可以通过设置比率来指定数据包的统计抽样:

    当比率设置为 200 时,每 200 个数据包中就有 1 个被镜像到分析器。您可以使用此功能来减少镜像流量,因为非常大的镜像流量可能会对交换机造成性能要求。

过滤进入分析器的流量

要过滤将哪些数据包镜像到分析器,请创建分析器,然后将其用作防火墙过滤器中的操作。您可以在本地和远程端口镜像配置中使用防火墙过滤器。

如果在多个过滤器或术语中使用同一分析器,则数据包只会复制到分析器输出端口或分析器 VLAN 一次。

要过滤镜像流量,请创建分析器,然后创建防火墙过滤器。过滤器可以使用任何可用的匹配条件,并且必须具有 的操作 analyzer。防火墙过滤器的操作向分析器提供输入。

要使用过滤器配置端口镜像:

  1. 配置分析器名称(此处为 employee-monitor)和输出:
    1. 对于本地分析,请将输出设置为要将运行协议分析器应用程序的计算机连接到的本地接口:
    2. 对于远程分析,将损耗优先级设置为高,并将输出 remote-analyzer 设置为VLAN:
  2. 使用任何可用的匹配条件创建防火墙过滤器,并将操作指定为 analyzer

    此步骤显示一个名为 example-filter的防火墙过滤器,其中包含两个术语:

    1. 创建第一个术语来定义不应通过分析器的流量:
    2. 创建第二个术语来定义应通过分析器的流量:
  3. 防火墙过滤器应用于输入到分析器的接口或 VLAN:

验证 EX 系列交换机上端口镜像分析器的输入和输出

目的

此验证任务可将 Junos OS 用于不支持增强型第 2 层软件 (ELS) 配置样式的 EX 系列交换机。

验证是否已在交换机上创建分析器,并具有相应的镜像输入接口和相应的分析器输出接口。

行动

您可以使用命令 show analyzer 验证端口镜像分析器是否按预期配置。

在配置模式下使用 show ethernet-switching-options 命令,可以查看交换机上配置的所有端口镜像分析器,包括禁用的任何端口镜像分析器。

意义

此输出显示,employee-monitor analyzer 的比率为 1(镜像每个数据包,默认),丢失优先级为 high (将此选项 high 设置为每当分析器输出为 vlan),正在镜像进入 ge-0/0/0 和 ge-0/0/1 的流量,并将镜像流量发送到名为 remote-analyzer 的分析器。

示例:配置端口镜像分析器以本地监控员工资源使用情况

通过瞻博网络设备,您可以配置端口镜像,将数据包副本发送到本地接口以进行本地监控,也可以将数据包副本发送到 VLAN 或桥接域进行远程监控。您可以使用镜像来复制以下数据包:

  • 进入或退出端口的数据包

  • 进入或退出 VLAN 或网桥域的数据包

然后,您可以使用协议分析器在本地或远程分析镜像流量。您可以在本地目标接口上安装分析器。如果要将镜像流量发送到分析器 VLAN 或网桥域,则可以在远程监控站上使用分析器。

本主题介绍如何在交换设备上配置本地镜像。本主题中的示例介绍如何配置交换设备,以便将连接到员工计算机的进入接口的流量镜像到同一设备上的分析器输出接口。

要求

使用以下任一硬件和软件组件:

  • 一台装有 Junos OS 13.2 或更高版本的 EX9200 交换机

  • 一台装有 Junos OS 14.1 或更高版本的 MX 系列路由器

配置端口镜像之前,请确保您已了解镜像概念。有关分析器的信息,请参阅 了解端口镜像分析器。有关端口镜像的信息,请参阅 了解第 2 层端口镜像

概述和拓扑

本主题介绍如何将交换设备上的所有流量进入端口镜像到同一设备上的目标接口(本地镜像)。在这种情况量将进入连接到员工计算机的端口。

注意:

镜像所有流量需要大量带宽,并且只能在主动调查期间进行。

接口 ge-0/0/0 和 ge-0/0/1 用作员工计算机的连接。

接口 ge-0/0/10 保留用于分析镜像流量。

将运行协议分析器的 PC 连接到分析器输出接口。

注意:

将多个端口镜像到一个接口可能会导致缓冲区溢出,从而导致镜像数据包在输出接口处出现丢包。

图 1 显示了此示例的网络拓扑。

图 1:本地端口镜像的网络拓扑示例 Network Topology for Local Port Mirroring Example

镜像所有员工流量以进行本地分析

过程

CLI 快速配置

要为在连接到员工计算机的两个端口上发送的入口流量快速配置本地镜像,请为 EX 系列交换机或 MX 系列路由器复制以下任一命令,并将其粘贴到交换设备终端窗口中:

EX 系列

MX 系列

分步程序

要配置调用 employee-monitor 的分析器并指定输入(源)接口和分析器输出接口:

  1. 配置要在分析器配置中使用的每个接口。使用适合你的平台的家族协议。

    要在接口上进行配置 family bridge ,必须同时配置 interface-mode accessinterface-mode trunk 。您还必须配置 vlan-id

  2. 将连接到员工计算机的每个接口配置为输出分析器接口 employee-monitor

  3. 配置分析器的输出分析器接口 employee-monitor

    这将是镜像数据包的目标接口。

结果

检查配置结果。

验证

验证分析器是否已正确创建

目的

验证是否已在交换设备上创建了具有相应输入接口和相应输出接口的分析器 employee-monitor

行动

使用操作 show forwarding-options analyzer 命令验证分析器是否按预期配置。

意义

输出显示, employee-monitor 分析器的比率为1(即镜像每个数据包,默认设置),镜像的原始数据包最大大小为0(表示整个数据包都镜像),配置状态为 up,分析器正在镜像进入ge-0/0/0接口的流量,并将镜像后的流量发送到ge-0/0/10接口。

如果输出接口的状态为或 down 未配置输出接口,则 的 State 值将 down 表示分析器不会接收镜像流量。

示例:配置端口镜像以远程监控员工资源使用情况

瞻博网络设备允许您配置端口镜像,以便将数据包副本发送到本地接口进行本地监控,或发送到 VLAN 或网桥域进行远程监控。您可以使用镜像来复制以下数据包:

  • 进入或退出端口的数据包

  • 进入或退出 VLAN 的数据包

  • 进入或退出网桥域的数据包

如果要将镜像流量发送到分析器 VLAN 或网桥域,则可以使用在远程监控站上运行的协议分析器来分析镜像流量。

最佳实践:

仅镜像必要的数据包,以减少对性能的潜在影响。我们建议您执行以下操作:

  • 在不使用已配置的镜像会话时禁用它们。

  • 将单个接口指定为分析器的输入,而不是将所有接口指定为输入。

  • 通过以下方式限制镜像流量:

    • 采用统计抽样。

    • 设置比率以选择统计样本。

    • 使用防火墙过滤器。

本主题中的示例描述了如何配置远程端口镜像来分析员工资源使用情况。

要求

此示例使用以下一对硬件和软件组件:

  • 将一台 EX9200 交换机连接到另一台运行 Junos OS 13.2 或更高版本的 EX9200 交换机

  • 将一台 MX 系列路由器连接到另一台运行 Junos OS 14.1 或更高版本的 MX 系列路由器

配置远程镜像之前,请确保:

概述和拓扑

本主题介绍如何配置端口镜像到远程分析器 VLAN 或网桥域,以便可以从远程监控站进行分析。

图 2 显示了 EX 系列示例和 MX 系列示例方案的网络拓扑。

拓扑结构

图 2:用于远程端口镜像和分析 Network diagram showing Source Network Device linked to two employee computers via ports ge-0/0/0 and ge-0/0/1. It connects to Destination Network Device through port ge-0/0/10. Destination Network Device links to Remote Monitoring Station running protocol analyzer via port ge-0/0/5.的网络拓扑

在此示例中:

  • 接口 ge-0/0/0 是第 2 层接口,接口 ge-0/0/1 是用作员工计算机连接的第 3 层接口(两者都是源设备上的接口)。

  • 接口 ge-0/0/10 是将源交换设备连接到目标交换设备的第 2 层接口。

  • 接口 ge-0/0/5 是将目标交换设备连接到远程监控站的第 2 层接口。

  • 分析器 remote-analyzer 配置在拓扑中的所有交换设备上,以承载镜像流量。此拓扑可以使用 VLAN 或网桥域。

使用统计分析器镜像员工流量以进行远程分析

要配置统计分析器来对所有传入和传出的员工流量进行远程流量分析,请选择以下示例之一:

镜像员工流量以进行远程分析 EX 系列交换机

CLI 快速配置

要快速配置统计分析器来对传入和传出的员工流量进行远程流量分析,请为 EX 系列交换机复制以下命令,并将其粘贴到正确的交换设备终端窗口中。

  • 将以下命令复制并粘贴到 交换设备终端窗口中:

    EX 系列

  • 将以下命令复制并粘贴到 目标 交换设备终端窗口中:

    EX 系列

分步程序

要配置基本远程镜像,请执行以下操作:

  1. 在源交换设备上,执行以下操作:

    • 为 VLAN 配置 VLAN ID remote-analyzer

    • 将连接到目标交换设备的网络端口上的接口配置为访问模式,并将其与 VLAN 进行 remote-analyzer 关联。

    • 配置统计分析器 employee-monitor

    • 将统计分析器绑定到包含输入接口的 FPC。

  2. 在目标网络设备上,执行以下操作:

    • 为 VLAN 配置 VLAN ID remote-analyzer

    • 将目标交换设备上的接口配置为接入模式,并将其与 remote-analyzer VLAN 进行关联。

    • 将连接到目标交换设备的接口配置为接入模式。

    • 配置分析器 employee-monitor

    • 为分析器指定镜像参数,例如速率和最大数据包长度 employee-monitor

    • 将分析器绑定 employee-monitor 到包含输入端口的 FPC。

结果

检查源交换设备上的配置结果:

检查目标交换设备上的配置结果。

镜像员工流量以进行远程分析 MX 系列路由器

CLI 快速配置

要快速配置统计分析器来对传入和传出的员工流量进行远程流量分析,请为 MX 系列路由器复制以下命令,并将其粘贴到正确的交换设备终端窗口中。

  • 将以下命令复制并粘贴到 交换设备终端窗口中:

    MX 系列

  • 将以下命令复制并粘贴到 目标 交换设备终端窗口中:

    MX 系列

分步程序

要使用 MX 系列路由器配置基本远程镜像:

  1. 在源交换设备上,执行以下操作:

    • 为网桥域配置 VLAN ID remote-analyzer

    • 将连接到目标交换设备的网络端口上的接口配置为访问模式,并将其与网桥域相关联 remote-analyzer

    • 配置统计分析器 employee-monitor

    • 将统计分析器绑定到包含输入接口的 FPC。

  2. 在目标交换设备上,执行以下操作:

    • 为网桥域配置 VLAN ID remote-analyzer

    • 将目标交换设备上的接口配置为接入模式,并将其与 remote-analyzer 网桥域相关联。

    • 将连接到目标交换设备的接口配置为接入模式。

    • 配置分析器 employee-monitor

    • 为员工监控器分析器指定镜像参数,例如速率和最大数据包长度。

    • 将分析器绑定 employee-monitor 到包含输入端口的 FPC。

结果

检查源交换设备上的配置结果:

检查目标交换设备上的配置结果。

验证

验证分析器是否已正确创建

目的

验证是否已在设备上创建了指定的分析器 employee-monitor ,并具有相应的输入接口和相应的输出接口。

行动

要在监控源交换设备上的所有员工流量时验证分析器是否按预期配置,请在源交换设备上运行 show forwarding-options analyzer 命令。对于此配置示例,将显示以下输出。

意义

此输出显示实例 employee-monitor 的比率为 2,镜像的原始数据包的最大大小为 128,配置状态为 up,表示状态正确,分析器已编程,分析器正在镜像进入 ge-0/0/0.0 和 ge-0/0/1.0 的流量,并将镜像流量发送到名为 remote-analyzer的 VLAN。

如果输出接口的状态为 或 down 未配置输出接口,则 的 State 值将关闭,并且分析器将无法监控流量。

示例:配置镜像到多个接口,以便远程监控 EX9200 交换机上的员工资源使用情况

EX9200 交换机允许您配置镜像,以便将数据包副本发送到本地接口以进行本地监控,或发送到 VLAN 进行远程监控。您可以使用镜像来复制以下数据包:

  • 进入或退出端口的数据包

  • 进入或退出 VLAN 的数据包

如果要将镜像流量发送到分析器 VLAN,则可以使用在远程监控站上运行的协议分析器应用来分析镜像流量。

最佳实践:

仅镜像必要的数据包,以减少对性能的潜在影响。我们建议您:

  • 在不使用已配置的镜像分析器时禁用它们。

  • 将单个接口指定为分析器的输入,而不是将所有接口指定为输入。

  • 通过以下方式限制镜像流量:

    • 采用统计抽样。

    • 设置比率以选择统计样本。

    • 使用防火墙过滤器。

此示例介绍如何配置远程镜像到分析器 VLAN 上的多个接口:

要求

此示例使用以下硬件和软件组件:

  • 三台 EX9200 交换机

  • 适用于 EX 系列交换机的 Junos OS 13.2 或更高版本

配置远程镜像之前,请确保:

  • 分析器将用作输入接口的接口已在交换机上配置。

概述和拓扑

此示例介绍如何将交换机上进入端口的流量镜像到远程分析器 VLAN,以便您可以从远程监控站执行分析。此示例中的远程分析器 VLAN 包含多个成员接口。因此,相同的流量会镜像到远程分析器 VLAN 的所有成员接口,以便可以将镜像数据包发送到不同的远程监控站。您可以在远程监控站上安装嗅探器和入侵检测系统等应用程序,以分析这些镜像数据包并获取有用的统计数据。例如,如果有两个远程监控站,您可以在一个远程监控站上安装嗅探器,在另一个站安装入侵检测系统。您可以使用防火墙过滤器分析器配置将特定类型的流量转发至远程监控站。

此示例介绍如何配置分析器以将流量镜像到下一跳组中的多个接口,以便将流量发送到不同的监控站进行分析。

图 3 显示了此示例的网络拓扑。

图 3:在下一跳组中使用多个 VLAN 成员接口的远程镜像示例网络拓扑 Network topology diagram showing an EX9200 switch connected to two employee computers and two destination switches. Each destination switch connects to a remote analyzing station.

拓扑结构

在此示例中:

  • 接口 ge-0/0/0 和 ge-0/0/1 是第 2 层接口(源交换机上的两个接口),用作员工计算机的连接。

  • 接口 ge-0/0/10 和 ge-0/0/11 是连接到不同目标交换机的第 2 层接口。

  • 接口 ge-0/0/12 是将目标 1 交换机连接到远程监控站的第 2 层接口。

  • 接口 ge-0/0/13 是将目标 2 交换机连接到远程监控站的第 2 层接口。

  • 拓扑中的所有交换机上均配置了 VLAN remote-analyzer ,以承载镜像流量。

将所有员工流量镜像到多个 VLAN 成员接口以进行远程分析

要配置镜像到多个 VLAN 成员接口,以便对所有传入和传出的员工流量进行远程流量分析,请执行以下操作:

过程

CLI 快速配置

要快速配置镜像以对传入和传出的员工流量进行远程流量分析,请复制以下命令并将其粘贴到交换机终端窗口中:

  • 在源交换机终端窗口中,复制并粘贴以下命令:

  • 在目标 1 交换机终端窗口中,复制并粘贴以下命令:

  • 在目标 2 交换机终端窗口中,复制并粘贴以下命令:

分步程序

要配置到两个 VLAN 成员接口的基本远程镜像:

  1. 在源交换机上:

    • 为 VLAN 配置 VLAN ID remote-analyzer

    • 将连接到目标交换机的网络端口上的接口配置为访问模式,并将其与 VLAN 进行 remote-analyzer 关联:

    • 配置分析 employee-monitor 器:

      在此分析器配置中,进入和退出接口 ge-0/0/0.0 和 ge-0/0/1.0 的流量将被发送到由名为 remote-analyzer-nhg的下一跃点组定义的输出目标。

    • 配置 remote-analyzer-nhb 下一跃点组:

  2. 在目标 1 交换机上:

    • 为 VLAN 配置 VLAN ID remote-analyzer

    • 将目标 1 交换机上的 ge-0/0/10 接口配置为访问模式:

    • 配置连接到远程监控站的接口为接入模式:

    • 配置分析 employee-monitor 器:

  3. 在目标 2 交换机上:

    • 为 VLAN 配置 VLAN ID remote-analyzer

    • 将目标 2 交换机上的 ge-0/0/11 接口配置为接入模式:

    • 配置连接到远程监控站的接口为接入模式:

    • 配置分析 employee-monitor 器:

结果

检查源交换机上的配置结果:

检查目标 1 交换机上的配置结果:

检查目标 2 交换机上的配置结果:

验证

要确认配置工作正常,请执行以下任务:

验证分析器是否已正确创建

目的

验证是否已在交换机上创建了具有相应输入接口和相应输出接口的已命名分析器 employee-monitor

行动

您可以使用以下 show forwarding-options analyzer 命令验证分析器是否按预期配置。

要验证分析器是否按预期配置,同时监控源交换机上的所有员工流量,请在源交换机上运行命令 show forwarding-options analyzer 。对于源交换机上的此示例配置,将显示以下输出:

意义

此输出显示 employee-monitor 分析器的比率为 1(镜像每个数据包,这是默认行为),配置状态为 up,表示状态正确,并且分析器已编程,镜像进入或退出接口 ge-0/0/0 和 ge-0/0/1 的流量,并通过下一跳组 remote-analyzer-nhg将镜像流量发送到多个接口 ge-0/0/10.0 和 ge-0/0/11.0。如果输出接口的状态为 或 down 未配置输出接口,则 state 的值将为 down,并且分析器将无法镜像流量。

示例:配置镜像以通过 EX9200 交换机上的中转交换机远程监控员工资源使用情况

通过 EX9200 交换机,您可以配置镜像功能,以便将数据包副本发送到本地接口以进行本地监控,或发送到 VLAN 进行远程监控。您可以使用镜像来复制以下数据包:

  • 进入或退出端口的数据包

  • 进入或退出 VLAN 的数据包

如果要将镜像流量发送到分析器 VLAN,则可以使用在远程监控站上运行的协议分析器应用来分析镜像流量。

本主题包含一个示例,该示例介绍了如何通过中转交换机将交换机上进入端口的流量镜像到远程分析器 VLAN,以便您可以从远程监控站执行分析。

最佳实践:

仅镜像必要的数据包,以减少对性能的潜在影响。我们建议您:

  • 在不使用已配置的镜像会话时禁用它们。

  • 将单个接口指定为分析器的输入,而不是将所有接口指定为输入。

  • 通过以下方式限制镜像流量:

    • 采用统计抽样。

    • 设置比率以选择统计样本。

    • 使用防火墙过滤器。

此示例介绍如何通过中转交换机配置远程镜像:

要求

此示例使用以下硬件和软件组件:

  • 通过第三台 EX9200 交换机连接到另一台 EX9200 交换机的 EX9200 交换机

  • 适用于 EX 系列交换机的 Junos OS 13.2 或更高版本

配置远程镜像之前,请确保:

  • 分析器将用作输入接口的接口已在交换机上配置。

概述和拓扑

此示例介绍如何通过中转交换机将进入交换机端口的流量镜像到 remote-analyzer VLAN,以便可以对来自员工计算机的所有流量执行分析。

在此配置中,目标交换机上需要有一个分析器会话,以便将来自分析器 VLAN 的传入流量镜像到远程监控站所连接的出口接口。

图 4 显示了此示例的网络拓扑。

拓扑结构

图 4:通过中转交换机 Network topology with three EX9200 switches: Source Switch connects to two employee computers and Transit Switch; Transit Switch connects to Source and Destination Switches; Destination Switch connects to Transit Switch and Remote Monitoring Station for traffic analysis.进行远程镜像的网络监控

在此示例中:

  1. 接口 ge-0/0/0 是第 2 层接口,接口 ge-0/0/1 是用作员工计算机连接的第 3 层接口(源交换机上的两个接口)。

  2. 接口 ge-0/0/10 是连接到中转交换机的第 2 层接口。

  3. 接口 ge-0/0/11 是中转交换机上的第 2 层接口。

  4. 接口 ge-0/0/12 是中转交换机上的第 2 层接口,连接到目标交换机。

  5. 接口 ge-0/0/13 是目标交换机上的第 2 层接口。

  6. 接口 ge-0/0/14 是目标交换机上的第 2 层接口,连接到远程监控站。

  7. 拓扑中的所有交换机上均配置了 VLAN remote-analyzer ,以承载镜像流量。

镜像所有员工流量,以便通过中转交换机进行远程分析

要为通过中转交换机进行远程流量分析配置镜像,请针对所有传入和传出的员工流量,执行以下任务:

过程

CLI 快速配置

要快速配置镜像以通过中转交换机进行远程流量分析,对于传入和传出的员工流量,请复制以下命令并将其粘贴到交换机终端窗口中:

  • 将以下命令复制并粘贴到源交换机(受监控交换机)终端窗口中:

  • 将以下命令复制并粘贴到传送交换机窗口中:

  • 将以下命令复制并粘贴到目标交换机窗口中:

分步程序

要通过中转交换机配置远程镜像:

  1. 在源交换机上:

    • 为 VLAN 配置 VLAN ID remote-analyzer

    • 将连接到中转交换机的网络端口上的接口配置为接入模式,并将其与 VLAN 关联:remote-analyzer

    • 配置分析 employee-monitor 器:

  2. 在中继交换机上:

    • 为 VLAN 配置 VLAN ID remote-analyzer

    • 将 ge-0/0/11 接口配置为接入模式,将其与 VLAN 关联:remote-analyzer

    • 将 ge-0/0/12 接口配置为接入模式,将其与 remote-analyzer VLAN 关联,并将接口设置为仅用于出口流量:

  3. 在目标交换机上:

    • 为 VLAN 配置 VLAN ID remote-analyzer

    • 将 ge-0/0/13 接口配置为接入模式,将其与 remote-analyzer VLAN 相关联,并将接口设置为仅用于入口流量:

    • 配置连接到远程监控站的接口为接入模式:

    • 配置分析 remote-analyzer 器:

结果

检查源交换机上的配置结果:

检查中转交换机上的配置结果:

检查目标交换机上的配置结果:

验证

要确认配置工作正常,请执行以下任务:

验证分析器是否已正确创建

目的

验证是否已在交换机上创建了具有相应输入接口和相应输出接口的分析器 employee-monitor

行动

您可以使用以下 show forwarding-options analyzer 命令验证分析器是否按预期配置。

要验证分析器是否按预期配置,同时监控源交换机上的所有员工流量,请在源交换机上运行命令 show forwarding-options analyzer 。对于此示例配置,将显示以下输出:

意义

此输出显示 employee-monitor 分析器的镜像比率为 1(镜像每个数据包,默认),配置状态为 up,表示状态正确,并且分析器已编程,正在镜像进入 ge-0/0/0 和 ge-0/0/1 的流量,并将镜像流量发送到名为 remote-analyzer的分析器。如果输出接口的状态为 或 down 未配置输出接口,则 state 的值将为 down,并且分析器将无法镜像流量。

示例:配置镜像以对 EX4300 交换机上的员工资源使用情况进行本地监控

注意:

此示例将 Junos OS 用于支持增强型第 2 层软件 (ELS) 配置样式的 EX 系列交换机。如果交换机运行的软件不支持 ELS,请参阅 示例:配置端口镜像以对 EX 系列交换机上的员工资源使用情况进行本地监控。有关 ELS 的详细信息,请参阅 增强型第 2 层软件入门

通过 EX4300 交换机,您可以配置镜像功能,以便将数据包副本发送到本地接口以进行本地监控,或将数据包副本发送到 VLAN 进行远程监控。您可以使用镜像来复制以下数据包:

  • 进入或退出端口的数据包

  • 数据包进入 VLAN

可以使用安装在连接到本地目标接口的系统上的协议分析器分析镜像流量,或者使用远程监控站(如果要将镜像流量发送到分析器 VLAN)来分析镜像流量。

此示例介绍如何在 EX4300 交换机上配置本地镜像。此示例介绍如何配置交换机,以便将进入连接到员工计算机的接口的流量镜像到同一交换机上的分析器输出接口。

要求

此示例使用以下硬件和软件组件:

  • 一台 EX4300 交换机

  • 适用于 EX 系列交换机的 Junos OS 13.2X50-D10 或更高版本

概述和拓扑

本主题包含两个示例,用于介绍如何将进入交换机上的端口的流量镜像到同一交换机上的目标接口(本地镜像)。第一个示例说明如何镜像进入连接到员工计算机的端口的所有流量。第二个示例显示了相同的方案,但包含一个过滤器,用于仅镜像流向 Web 的员工流量。

接口 ge-0/0/0 和 ge-0/0/1 用作员工计算机的连接。接口 ge0/0/10 保留用于分析镜像流量。将运行协议分析器应用程序的 PC 连接到分析器输出接口,以分析镜像流量。

注意:

将多个端口镜像到一个接口可能会导致缓冲区溢出和数据包丢失。

这两个示例均使用 了图 5 所示的网络拓扑结构。

图 5:本地镜像的网络拓扑示例 Network diagram of an EX4300 switch connected to three computers via ports ge-0/0/0 and ge-0/0/1, and a laptop with protocol analyzer via port ge-0/0/10.

镜像所有员工流量以进行本地分析

要为所有员工流量配置镜像以进行本地分析,请执行以下任务:

过程

CLI 快速配置

要快速配置入口流量到连接到员工计算机的两个端口的本地镜像,请将以下命令复制粘贴到交换机终端窗口中:

分步程序

要配置调用的分析器 employee-monitor 并指定输入(源)接口和分析器输出接口,请执行以下操作:

  1. 将连接到员工计算机的每个接口配置为分析仪 employee-monitor的输入接口:

  2. 将分析器的输出接口配置为 VLAN 的一部分:

  3. 配置分析器的 employee-monitor输出分析器接口。这将是镜像数据包的目标接口:

结果

检查配置结果:

镜像员工到 Web 的流量以进行本地分析

要配置员工到 Web 流量的镜像,请执行以下操作:

过程

CLI 快速配置

要快速配置来自连接到员工计算机的两个端口的流量的本地镜像,过滤以便仅镜像到外部 Web 的流量,请复制以下命令并将其粘贴到交换机终端窗口中:

分步程序

要配置从连接到员工计算机的两个端口的员工到 Web 流量的本地镜像:

  1. 配置本地分析器接口:

  2. 配置 employee-web-monitor 输出实例(实例的输入来自过滤器的操作):

  3. 配置一个防 watch-employee 火墙过滤器,用于将员工请求的镜像副本发送到 Web 到 employee-web-monitor 实例。接受进出公司子网(目标或源地址 192.0.2.16/24)的所有流量。将发往互联网(目标端口 80)的所有数据包的镜像副本发送到 employee-web-monitor 实例。

  4. 将过滤器应用于 watch-employee 相应的端口:

结果

检查配置结果:

验证

要确认配置正确,请执行以下任务:

验证分析器是否已正确创建

目的

验证是否已在交换机上使用相应的输入接口和相应的输出接口创建分析器employee-monitoremployee-web-monitor或。

行动

您可以使用该 show forwarding-options analyzer 命令验证分析器配置是否正确。

意义

此输出显示分析器的 employee-monitor 比率为 1(镜像每个数据包,默认设置)、镜像原始数据包的最大大小(表示整个数据包)、0 配置状态(正常表示分析器正在镜像进入 ge-0/0/0 和 ge-0/0/1 接口的流量,并将镜像流量发送到 ge-0/0/10 接口)。如果输出接口的状态为关闭或未配置输出接口,则状态的值将为 down 并且不会对分析器进行镜像编程。

验证端口镜像实例配置是否正确

目的

验证交换机上是否已使用相应的输入接口正确配置端口镜像实例 employee-web-monitor

行动

您可以使用命令 show forwarding-options port-mirroring 验证端口镜像实例配置是否正确。

意义

此输出显示实例 employee-web-monitor 的比率为 1(镜像每个数据包,默认),镜像原始数据包的最大大小(表示整个数据包),0 配置状态为已启动,端口镜像已编程,来自防火墙过滤器操作的镜像流量在接口 ge-0/0/10.0 上发送。如果输出接口的状态为关闭或未配置接口,则状态值将为关闭,并且不会对端口镜像进行镜像编程。

示例:配置镜像以远程监控 EX4300 交换机上的员工资源使用情况

注意:

此示例将 Junos OS 用于支持增强型第 2 层软件 (ELS) 配置样式的 EX 系列交换机。如果交换机运行的软件不支持 ELS,请参阅 示例:配置镜像以远程监控 EX4300 交换机上的员工资源使用情况。有关 ELS 的详细信息,请参阅: 增强型第 2 层软件入门

通过 EX4300 交换机,您可以配置镜像功能,以便将数据包副本发送到本地接口以进行本地监控,或将数据包副本发送到 VLAN 进行远程监控。您可以使用镜像来复制以下数据包:

  • 进入或退出端口的数据包

  • 数据包进入 EX4300 交换机上的 VLAN

如果要将镜像流量发送到分析器 VLAN,则可以使用在远程监控站上运行的协议分析器应用来分析镜像流量。

本主题包含两个相关示例,介绍如何将交换机上进入端口的流量镜像到 remote-analyzer VLAN,以便您可以从远程监控站执行分析。第一个示例说明如何镜像进入连接到员工计算机的端口的所有流量。第二个示例显示了相同的方案,但包含一个过滤器,用于仅镜像流向 Web 的员工流量。

最佳实践:

仅镜像必要的数据包,以减少对性能的潜在影响。我们建议您:

  • 在不使用已配置的镜像会话时禁用它们。

  • 将单个接口指定为分析器的输入,而不是将所有接口指定为输入。

  • 使用防火墙过滤器限制镜像流量。

此示例介绍如何配置远程镜像:

要求

此示例使用以下硬件和软件组件:

  • 适用于 EX 系列交换机的 Junos OS 13.2X50-D10 或更高版本

  • 将一台 EX4300 交换机连接到另一台 EX4300 交换机

该图显示了连接到EX4300目标交换机的EX4300虚拟机箱。

配置远程镜像之前,请确保:

  • 您已经了解镜像概念。

  • 分析器将用作输入接口的接口已在交换机上配置。

概述和拓扑

本主题包含两个相关示例,介绍如何配置镜像到 VLAN, remote-analyzer 以便可以从远程监控站执行分析。第一个示例说明如何配置交换机以镜像来自员工计算机的所有流量。第二个示例显示了相同的方案,但设置包括一个过滤器,用于仅镜像流向 Web 的员工流量。

图 6 显示了这两个示例场景的网络拓扑。

拓扑结构

图 6:远程镜像网络拓扑示例 Network setup with two switches: Source Switch connects to two employee computers and Destination Switch. Destination Switch links to a Remote Monitoring Station for traffic analysis.

在此示例中:

  1. 接口 ge-0/0/0 是第 2 层接口,接口 ge-0/0/1 是用作员工计算机连接的第 3 层接口(源交换机上的两个接口)。

  2. 接口 ge-0/0/10 是将源交换机连接到目标交换机的第 2 层接口。

  3. 接口 ge-0/0/5 是将目标交换机连接到远程监控站的第 2 层接口。

  4. 拓扑中的所有交换机上均配置了 VLAN remote-analyzer ,以承载镜像流量。

镜像所有员工流量以进行远程分析

要配置分析器来对所有传入和传出的员工流量进行远程流量分析,请执行以下任务:

过程

CLI 快速配置

要快速配置分析器以对传入和传出的员工流量进行远程流量分析,请复制以下命令并将其粘贴到交换机终端窗口中:

  • 将以下命令复制并粘贴到源交换机终端窗口中:

  • 将以下命令复制并粘贴到目标交换机终端窗口中:

分步程序

要配置基本远程端口镜像:

  1. 在源交换机上:

    • 为 VLAN 配置 VLAN ID remote-analyzer

    • 将连接到目标交换机的网络端口上的接口配置为中继模式,并将其与 remote-analyzer VLAN 关联:

    • 配置分析 employee-monitor 器:

  2. 在目标交换机上:

    • 为 VLAN 配置 VLAN ID remote-analyzer

    • 将目标交换机上的接口配置为中继模式,并将其与 remote-analyzer VLAN 关联:

    • 将连接到目标交换机的接口配置为中继模式:

    • 配置分析 employee-monitor 器:

结果

检查源交换机上的配置结果:

检查目标交换机上的配置结果:

镜像员工到 Web 的流量以进行远程分析

要配置端口镜像以对员工到 Web 的流量进行远程流量分析,请执行以下操作:

过程

CLI 快速配置

要快速配置端口镜像以将员工流量镜像到外部 Web,请复制以下命令并将其粘贴到交换机终端窗口中:

  • 将以下命令复制并粘贴到源交换机终端窗口中:

  • 将以下命令复制并粘贴到目标交换机终端窗口中:

分步程序

要配置将连接到员工计算机的两个端口的所有流量的端口镜像到 remote-analyzer VLAN,以便从远程监控站使用 VLAN:

  1. 在源交换机上:

    • 配置 employee-web-monitor 端口镜像实例:

    • 为 VLAN 配置 VLAN ID remote-analyzer

    • 配置接口以将其与 VLAN 关联:remote-analyzer

    • 配置名为 watch-employee的防火墙过滤器:

    • 将防火墙过滤器应用于员工接口:

  2. 在目标交换机上:

    • 为 VLAN 配置 VLAN ID remote-analyzer

    • 将目标交换机上的接口配置为中继模式,并将其与 remote-analyzer VLAN 关联:

    • 将连接到目标交换机的接口配置为中继模式:

    • 配置分析 employee-monitor 器:

结果

检查源交换机上的配置结果:

检查目标交换机上的配置结果:

验证

要确认配置工作正常,请执行以下任务:

验证分析器是否已正确创建

目的

验证是否已在交换机上使用相应的输入接口和相应输出接口创建了分析器employee-monitoremployee-web-monitor

行动

您可以使用以下 show forwarding-options analyzer 命令验证分析器是否按预期配置。要查看之前创建的已禁用分析器,请转到 J-Web 界面。

要验证分析器是否按预期配置,同时监控源交换机上的所有员工流量,请在源交换机上运行命令 show analyzer 。对于此配置示例,将显示以下输出:

意义

此输出显示实例 employee-monitor 的比率为 1(镜像每个数据包,默认),镜像原始数据包的最大大小(0 表示整个数据包),配置状态已启动(表示正确状态,分析器已编程,并且正在镜像进入 ge-0/0/0 和 ge-0/0/1 的流量,并将镜像流量发送到名为 remote-analyzer).如果输出接口的状态为关闭或未配置输出接口,则状态值将为关闭,并且不会对分析仪进行镜像编程。

示例:通过 EX4300 交换机上的中转交换机配置镜像以远程监控员工资源使用情况交换机

注意:

此示例将 Junos OS 用于支持增强型第 2 层软件 (ELS) 配置样式的 EX 系列交换机。

通过 EX4300 交换机,您可以配置镜像功能,以便将数据包副本发送到本地接口以进行本地监控,或将数据包副本发送到 VLAN 进行远程监控。您可以使用镜像来复制以下数据包:

  • 进入或退出端口的数据包

  • 数据包进入 EX4300 交换机上的 VLAN

如果要将镜像流量发送到分析器 VLAN,则可以使用在远程监控站上运行的协议分析器应用来分析镜像流量。

本主题包含一个示例,说明如何通过中转交换机将进入交换机端口的流量镜像到 remote-analyzer VLAN,以便从远程监控站执行分析。

最佳实践:

仅镜像必要的数据包,以减少对性能的潜在影响。我们建议您:

  • 在不使用已配置的镜像会话时禁用它们。

  • 将单个接口指定为分析器的输入,而不是将所有接口指定为输入。

  • 使用防火墙过滤器限制镜像流量。

此示例介绍如何通过中转交换机配置远程镜像:

要求

此示例使用以下硬件和软件组件:

  • 一台 EX4300 交换机通过第三台 EX4300 交换机连接到另一台 EX4300 交换机

  • 适用于 EX 系列交换机的 Junos OS 13.2X50-D10 或更高版本

配置远程镜像之前,请确保:

  • 您已经了解镜像概念。

  • 分析器将用作输入接口的接口已在交换机上配置。

概述和拓扑

此示例介绍如何通过中转交换机将进入交换机端口的流量镜像到 VLAN, remote-analyzer 以便您可以从远程监控站执行分析。该示例说明如何配置交换机以将所有从员工计算机镜像到远程分析仪的流量。

在此配置中,目标交换机上需要有一个分析器会话,以便将来自分析器 VLAN 的传入流量镜像到远程监控站所连接的出口接口。您必须在过渡交换机上禁用 VLAN 的 remote-analyzer MAC 学习,以便为过渡交换机上 VLAN 的所有 remote-analyzer 成员接口禁用 MAC 学习。

图 7 显示了此示例的网络拓扑。

拓扑结构

图 7:通过中转交换机网络的远程镜像 - 示例拓扑 Network topology with three EX4300 switches: Source Switch connected to employee CPUs, Transit Switch linking Source and Destination, and Destination Switch connected to Remote Monitoring Station for traffic analysis.

在此示例中:

  • 接口 ge-0/0/0 是第 2 层接口,接口 ge-0/0/1 是用作员工计算机连接的第 3 层接口(源交换机上的两个接口)。

  • 接口 ge-0/0/10 是连接到中转交换机的第 2 层接口。

  • 接口 ge-0/0/11 是中转交换机上的第 2 层接口。

  • 接口 ge-0/0/12 是中转交换机上的第 2 层接口,连接到目标交换机。

  • 接口 ge-0/0/13 是目标交换机上的第 2 层接口。

  • 接口 ge-0/0/14 是目标交换机上的第 2 层接口,连接到远程监控站。

  • 拓扑中的所有交换机上均配置了 VLAN remote-analyzer ,以承载镜像流量。

镜像所有员工流量,以便通过中转交换机进行远程分析

要为通过中转交换机进行远程流量分析配置镜像,请针对所有传入和传出的员工流量,执行以下任务:

过程

CLI 快速配置

要快速配置镜像以通过中转交换机进行远程流量分析,对于传入和传出的员工流量,请复制以下命令并将其粘贴到交换机终端窗口中:

  • 将以下命令复制并粘贴到源交换机(受监控交换机)终端窗口中:

  • 将以下命令复制并粘贴到传送交换机窗口中:

  • 将以下命令复制并粘贴到目标交换机窗口中:

分步程序

要通过中转交换机配置远程镜像:

  1. 在源交换机上:

    • 为 VLAN 配置 VLAN ID remote-analyzer

    • 将连接到中继交换机的网络端口上的接口配置为中继模式,并将其与 remote-analyzer VLAN 进行关联:

    • 配置分析 employee-monitor 器:

  2. 在中继交换机上:

    • 为 VLAN 配置 VLAN ID remote-analyzer

    • 将 ge-0/0/11 接口配置为中继模式,将其与 remote-analyzer VLAN 进行关联:

    • 将接口配置 ge-0/0/12 为中继模式,将其与 remote-analyzer VLAN 相关联,然后将接口设置为仅用于出口流量:

    • no-mac-learning配置 VLAN 的remote-analyzer选项以在属于 VLAN 的所有remote-analyzer接口上禁用 MAC 学习:

  3. 在目标交换机上:

    • 为 VLAN 配置 VLAN ID remote-analyzer

    • 将 ge-0/0/13 接口配置为中继模式,将其与 remote-analyzer VLAN 关联,然后将接口设置为仅用于入口流量:

    • 将连接到远程监控站的接口配置为中继模式:

    • 配置分析 employee-monitor 器:

结果

检查源交换机上的配置结果:

检查中转交换机上的配置结果:

检查目标交换机上的配置结果:

验证

要确认配置工作正常,请执行以下任务:

验证分析器是否已正确创建

目的

验证是否已在交换机上创建了具有相应输入接口和相应输出接口的分析器 employee-monitor

行动

您可以使用命令验证分析器是否按预期 show analyzer 配置。要查看之前创建的已禁用分析器,请转到 J-Web 界面。

要验证分析器是否按预期配置,同时监控源交换机上的所有员工流量,请在源交换机上运行命令 show analyzer 。对于此示例配置,将显示以下输出:

意义

此输出显示 employee-monitor 分析器的比率为 1(镜像每个数据包,默认值),正在镜像进入 ge-0/0/0 和 ge-0/0/1 的流量,并将镜像后的流量发送到分析器 remote-analyzer