为远程目标配置端口镜像
使用目标作为 VLAN 将第 2 层端口镜像到远程目标
您可以在 EX9200 交换机上配置端口镜像,以将流量副本发送到输出目标,例如接口、路由实例或 VLAN;对于输入流量,您可以使用各种匹配条件和操作配置防火墙过滤器术语。
在端口镜像配置中将 VLAN 配置为输出目标时,每个端口镜像会话的流量将通过用户指定的 VLAN 传输,该 VLAN 专用于所有参与交换机中的该镜像会话。镜像流量将复制到该 VLAN(也称为镜像 VLAN)上,并转发到作为镜像 VLAN 成员的接口。目标接口是镜像 VLAN 的成员,可以跨越网络中的多台交换机,前提是所有交换机中的镜像会话都使用相同的远程镜像 VLAN。
通过将 VLAN 配置为端口镜像输出目标,将流量镜像到远程目标时,可以在port-mirrorport-mirror-instance防火墙过滤器配置中使用或操作。
配置第 2 层端口镜像到远程 VLAN
EX9200 交换机允许您配置镜像,以将数据包副本发送到本地接口进行本地监控,或发送到 VLAN 进行远程监控。您可以使用镜像复制以下数据包:
进入或退出端口的数据包
进入或退出 VLAN 的数据包
仅镜像必要的数据包以减少潜在的性能影响。我们建议您:
禁用在不使用端口镜像时配置的端口镜像。
在端口镜像配置中将单个接口指定为输入,而不是将所有接口指定为输入。
通过以下方式限制镜像流量:
使用统计抽样。
设置比率以选择统计样本。
使用防火墙过滤器。
配置到远程 VLAN 的端口镜像
要过滤要镜像到端口镜像实例的数据包,请创建该实例,然后将其用作防火墙过滤器中的操作。您可以在本地和远程镜像配置中使用防火墙过滤器。
如果在多个过滤器或术语中使用相同的端口镜像实例,则数据包只会复制到端口镜像输出端口或端口镜像 VLAN 一次。
要过滤镜像流量,请在层次结构级别下 [edit forwarding-options] 创建端口镜像实例,然后创建防火墙过滤器。过滤器可以使用任何可用的匹配条件,并且必须作为 port-mirror-instance instance-name 操作。防火墙过滤器配置中的此操作为端口镜像实例提供输入。
要使用防火墙过滤器配置端口镜像实例,请执行以下操作:
示例:配置到远程 VLAN 的第 2 层端口镜像
EX9200 交换机允许您配置镜像,以将数据包副本发送到本地接口进行本地监控,或发送到 VLAN 进行远程监控。您可以使用镜像来复制这些数据包:
进入或退出端口的数据包
进入或存在 VLAN 的数据包
如果要将镜像流量发送到分析器 VLAN,则可以使用远程监控站上运行的协议分析器应用程序来分析镜像流量。
本主题包括两个相关示例,介绍如何将交换机上进入端口的流量镜像到 VLAN, remote-analyzer 以便您可以从远程监控站执行分析。第一个示例演示如何镜像进入连接到员工计算机的端口的所有流量。第二个示例显示了相同的方案,但包含一个筛选器,用于仅镜像进入 Web 的员工流量。
仅镜像必要的数据包以减少潜在的性能影响。我们建议您:
在不使用已配置的镜像会话时禁用它们。
将单个接口指定为分析器的输入,而不是将所有接口指定为输入。
使用防火墙过滤器限制镜像流量。
此示例介绍如何配置远程镜像:
要求
在配置远程镜像之前,请确保:
您了解镜像概念。
交换机上已配置端口镜像将用作输出接口的接口。
概述和拓扑
本主题包括两个相关示例,介绍如何配置到 VLAN 的 remote-analyzer 镜像,以便可以从远程监控站执行分析。第一个示例说明如何配置交换机以镜像来自员工计算机的所有流量。第二个示例显示了相同的方案,但设置包括一个筛选器,用于仅镜像进入 Web 的员工流量。
图 1 显示了这两个示例方案的网络拓扑。
拓扑学
在此示例中:
接口 ge-0/0/0 是第 2 层接口,接口 ge-0/0/1 是用作员工计算机连接的第 2 层接口(源交换机上的两个接口)。
接口 ge-0/0/10 是将源交换机连接到目标交换机的第 2 层接口。
接口 ge-0/0/5 是将目标交换机连接到远程监控站的第 2 层接口。
remote-analyzerVLAN 在拓扑中的所有交换机上均配置为承载镜像流量。
镜像员工到 Web 的流量以进行远程分析
要为员工到 Web 流量的远程流量分析配置端口镜像,请执行以下任务:
程序
CLI 快速配置
要快速配置端口镜像以将员工流量镜像到外部 Web,请复制以下命令并将其粘贴到交换机终端窗口中:
将以下命令复制并粘贴到源交换机终端窗口中:
[edit] set forwarding-options port-mirroring instance employee-web-monitor output vlan 999 set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 set firewall family ethernet-switching filter watch-employee term employee-to-corp from destination-address 192.0.2.16/28 set firewall family ethernet-switching filter watch-employee term employee-to-corp from source-address 192.0.2.16/28 set firewall family ethernet-switching filter watch-employee term employee-to-corp then accept set firewall family ethernet-switching filter watch-employee term employee-to-web from destination-port 80 set firewall family ethernet-switching filter watch-employee term employee-to-web then port-mirror-instance employee-web-monitor set interfaces ge-0/0/0 unit 0 family ethernet-switching filter input watch-employee set interfaces ge-0/0/1 unit 0 family ethernet-switching filter input watch-employee
将以下命令复制并粘贴到目标交换机终端窗口中:
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 set interfaces ge-0/0/5 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/5 unit 0 family ethernet-switching vlan members 999
分步过程
要将从连接到员工计算机的两个端口的所有流量配置为 VLAN 的 remote-analyzer 端口镜像,以便从远程监控站使用:
在源交换机上:
employee-web-monitor配置端口镜像实例:[edit ] user@switch# set interfaces ge-0/0/10 unit 0 family ethernet-switching port mode access user@switch# set forwarding-options port-mirroring instance employee-web-monitor output vlan 999
配置 VLAN 的
remote-analyzerVLAN ID:[edit vlans] user@switch# set remote-analyzer vlan-id 999
配置接口以将其与
remote-analyzerVLAN 关联:[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999
配置名为
watch-employee的防火墙过滤器:[edit firewall family ethernet-switching] user@switch# set filter watch-employee term employee-to-corp from destination-address 192.0.2.16/28 user@switch# set filter watch-employee term employee-to-corp from source-address 192.0.2.16/28 user@switch# set filter watch-employee term employee-to-corp then accept user@switch# set filter watch-employee term employee-to-web from destination-port 80 user@switch# set filter watch-employee term employee-to-web then port-mirror-instance employee-web-monitor
在此配置中,
employee-to-corp术语定义可以接受来自目标地址192.0.2.16/28和源地址192.0.2.16/28的流量通过交换机,employee-to-web术语定义必须将来自端口80的流量发送到端口镜像实例employee-web-monitor。将防火墙过滤器应用于员工接口:
[edit interfaces] user@switch# set ge-0/0/0 unit 0 family ethernet-switching filter input watch-employee user@switch# set ge-0/0/1 unit 0 family ethernet-switching filter input watch-employee
在目标交换机上:
配置 VLAN 的
remote-analyzerVLAN ID:[edit vlans] user@switch# set remote-analyzer vlan-id 999
在目标交换机上配置接入模式接口,并将其与
remote-analyzerVLAN 关联:[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching interface-mode access user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999
将连接到目标交换机的接口配置为接入模式,并将其与
remote-analyzerVLAN 关联:[edit interfaces] user@switch# set ge-0/0/5 unit 0 family ethernet-switching interface-mode access user@switch# set ge-0/0/5 unit 0 family ethernet-switching vlan members 999
结果
检查源交换机上的配置结果:
[edit]
user@switch> show
interfaces {
ge-0/0/10 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members remote-analyzer;
}
}
}
}
ge-0/0/0 {
unit 0 {
family ethernet-switching {
filter {
input watch-employee;
}
}
}
}
ge-0/0/1 {
unit 0 {
family ethernet-switching {
filter {
input watch-employee;
}
}
}
}
}
firewall {
family ethernet-switching {
filter watch-employee {
term employee-to-corp {
from {
source-address {
192.0.2.16/28;
}
destination-address {
192.0.2.16/28;
}
}
then accept;
}
term employee-to-web {
from {
destination-port 80;
}
then port-mirror-instance employee-web-monitor;
}
}
}
}
forwarding-options {
analyzer employee-web-monitor {
output {
vlan {
999;
}
}
}
vlans {
remote-analyzer {
vlan-id 999;
}
}
检查目标交换机上的配置结果:
[edit]
user@switch> show
vlans {
remote-analyzer {
vlan-id 999;
}
}
interfaces {
ge-0/0/10 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members remote-analyzer;
}
}
}
}
ge-0/0/5 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members remote-analyzer;
}
}
}
}
}
验证
要确认配置工作正常,请执行以下任务:
验证是否已正确创建端口镜像实例
目的
验证是否已使用相应输出 VLAN 在交换机上创建端口镜像实例 employee-web-monitor 。
操作
您可以使用命令 show forwarding-options port-mirror 验证端口镜像是否按预期配置。要查看以前创建的已禁用的分析器,请转到 J-Web 界面。
要在监控源交换机上的员工流量时验证端口镜像是否按预期配置,请在源交换机上运行 show forwarding-options port-miror 命令。此配置示例显示以下输出:
user@switch> show forwarding-options port-mirror
Instance Name: employee-web-monitor
Instance Id: 3
Input parameters:
Rate : 1
Run-length : 0
Maximum-packet-length : 0
Output parameters:
Family State Destination Next-hop
ethernet-switching up default-switch/remote-analyzer
意义
此输出显示 employee-web-monitor 实例的比率为 1(镜像每个数据包,这是默认值),镜像的原始数据包的最大大小(0 表示整个数据包),配置状态为 up(指示正确的状态,并且分析器已编程,正在镜像进入 ge-0/0/0 和 ge-0/0/1 的流量, 并将镜像流量发送到名为 remote-analyzer的 VLAN )。