Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

为远程目标配置端口镜像

使用目标作为 VLAN 将第 2 层端口镜像到远程目标

您可以在 EX9200 交换机上配置端口镜像,以将流量副本发送到输出目标,例如接口、路由实例或 VLAN;对于输入流量,您可以使用各种匹配条件和操作配置防火墙过滤器术语。

在端口镜像配置中将 VLAN 配置为输出目标时,每个端口镜像会话的流量将通过用户指定的 VLAN 传输,该 VLAN 专用于所有参与交换机中的该镜像会话。镜像流量将复制到该 VLAN(也称为镜像 VLAN)上,并转发到作为镜像 VLAN 成员的接口。目标接口是镜像 VLAN 的成员,可以跨越网络中的多台交换机,前提是所有交换机中的镜像会话都使用相同的远程镜像 VLAN。

通过将 VLAN 配置为端口镜像输出目标,将流量镜像到远程目标时,可以在防火墙过滤器配置中使用或操作。port-mirrorport-mirror-instance

配置第 2 层端口镜像到远程 VLAN

EX9200 交换机允许您配置镜像,以将数据包副本发送到本地接口进行本地监控,或发送到 VLAN 进行远程监控。您可以使用镜像复制以下数据包:

  • 进入或退出端口的数据包

  • 进入或退出 VLAN 的数据包

最佳实践:

仅镜像必要的数据包以减少潜在的性能影响。我们建议您:

  • 禁用在不使用端口镜像时配置的端口镜像。

  • 在端口镜像配置中将单个接口指定为输入,而不是将所有接口指定为输入。

  • 通过以下方式限制镜像流量:

    • 使用统计抽样。

    • 设置比率以选择统计样本。

    • 使用防火墙过滤器。

配置到远程 VLAN 的端口镜像

要过滤要镜像到端口镜像实例的数据包,请创建该实例,然后将其用作防火墙过滤器中的操作。您可以在本地和远程镜像配置中使用防火墙过滤器。

如果在多个过滤器或术语中使用相同的端口镜像实例,则数据包只会复制到端口镜像输出端口或端口镜像 VLAN 一次。

要过滤镜像流量,请在层次结构级别下 创建端口镜像实例,然后创建防火墙过滤器。[edit forwarding-options] 过滤器可以使用任何可用的匹配条件,并且必须作为 操作。port-mirror-instance instance-name 防火墙过滤器配置中的此操作为端口镜像实例提供输入。

要使用防火墙过滤器配置端口镜像实例,请执行以下操作:

  1. 配置端口镜像实例名称并将输出目标设置为 VLAN:

    例如,配置端口镜像实例 并将输出目标设置为 VLAN ID :employee-monitor999

  2. 使用任何可用的匹配条件创建防火墙过滤器,并将端口镜像实例名称分配为防火墙过滤器配置中的操作。

    例如,创建一个使用两个术语和 调用的防火墙过滤器,并将该术语分配给端口镜像实例:example-filterno-analyzerto-analyzerto-analyzeremployee-monitor

    1. 创建第一个术语来定义不应传递到端口镜像实例 的流量: employee-monitor
    2. 创建第二个术语来定义应传递到端口镜像实例 的流量:employee-monitor
  3. 将防火墙过滤器应用于为端口镜像实例提供输入的接口或 VLAN。

    要将防火墙过滤器应用于接口:

    要将防火墙过滤器应用于 VLAN:

    例如,要将防火墙过滤器应用于 ge-0/0/1 接口:example-filter

    例如,要将过滤器应用于 VLAN:example-filtersource-vlan

示例:配置到远程 VLAN 的第 2 层端口镜像

EX9200 交换机允许您配置镜像,以将数据包副本发送到本地接口进行本地监控,或发送到 VLAN 进行远程监控。您可以使用镜像来复制这些数据包:

  • 进入或退出端口的数据包

  • 进入或存在 VLAN 的数据包

如果要将镜像流量发送到分析器 VLAN,则可以使用远程监控站上运行的协议分析器应用程序来分析镜像流量。

本主题包括两个相关示例,介绍如何将交换机上进入端口的流量镜像到 VLAN, 以便您可以从远程监控站执行分析。remote-analyzer 第一个示例演示如何镜像进入连接到员工计算机的端口的所有流量。第二个示例显示了相同的方案,但包含一个筛选器,用于仅镜像进入 Web 的员工流量。

最佳实践:

仅镜像必要的数据包以减少潜在的性能影响。我们建议您:

  • 在不使用已配置的镜像会话时禁用它们。

  • 将单个接口指定为分析器的输入,而不是将所有接口指定为输入。

  • 使用防火墙过滤器限制镜像流量。

此示例介绍如何配置远程镜像:

要求

在配置远程镜像之前,请确保:

  • 您了解镜像概念。

  • 交换机上已配置端口镜像将用作输出接口的接口。

概述和拓扑

本主题包括两个相关示例,介绍如何配置到 VLAN 的 镜像,以便可以从远程监控站执行分析。remote-analyzer 第一个示例说明如何配置交换机以镜像来自员工计算机的所有流量。第二个示例显示了相同的方案,但设置包括一个筛选器,用于仅镜像进入 Web 的员工流量。

图 1 显示了这两个示例方案的网络拓扑。

拓扑

图 1: 远程镜像网络拓扑示例远程镜像网络拓扑示例

在此示例中:

  1. 接口 ge-0/0/0 是第 2 层接口,接口 ge-0/0/1 是用作员工计算机连接的第 2 层接口(源交换机上的两个接口)。

  2. 接口 ge-0/0/10 是将源交换机连接到目标交换机的第 2 层接口。

  3. 接口 ge-0/0/5 是将目标交换机连接到远程监控站的第 2 层接口。

  4. VLAN 在拓扑中的所有交换机上均配置为承载镜像流量。remote-analyzer

镜像员工到 Web 的流量以进行远程分析

要为员工到 Web 流量的远程流量分析配置端口镜像,请执行以下任务:

程序

CLI 快速配置

要快速配置端口镜像以将员工流量镜像到外部 Web,请复制以下命令并将其粘贴到交换机终端窗口中:

  • 将以下命令复制并粘贴到源交换机终端窗口中:

  • 将以下命令复制并粘贴到目标交换机终端窗口中:

分步过程

要将从连接到员工计算机的两个端口的所有流量配置为 VLAN 的 端口镜像,以便从远程监控站使用:remote-analyzer

  1. 在源交换机上:

    1. 配置端口镜像实例:employee-web-monitor

    2. 配置 VLAN 的 VLAN ID:remote-analyzer

    3. 配置接口以将其与 VLAN 关联:remote-analyzer

    4. 配置名为 的防火墙过滤器:watch-employee

      在此配置中,术语定义可以接受来自目标地址和源地址的流量通过交换机,术语定义必须将来自端口的流量发送到端口镜像实例。employee-to-corp192.0.2.16/28192.0.2.16/28employee-to-web80employee-web-monitor

    5. 将防火墙过滤器应用于员工接口:

  2. 在目标交换机上:

    • 配置 VLAN 的 VLAN ID:remote-analyzer

    • 在目标交换机上配置接入模式接口,并将其与 VLAN 关联:remote-analyzer

    • 将连接到目标交换机的接口配置为接入模式,并将其与 VLAN 关联:remote-analyzer

成果

检查源交换机上的配置结果:

检查目标交换机上的配置结果:

验证

要确认配置工作正常,请执行以下任务:

验证是否已正确创建端口镜像实例

目的

验证是否已使用相应输出 VLAN 在交换机上创建端口镜像实例 。employee-web-monitor

操作

您可以使用命令 验证端口镜像是否按预期配置。show forwarding-options port-mirror 要查看以前创建的已禁用的分析器,请转到 J-Web 界面。

要在监控源交换机上的员工流量时验证端口镜像是否按预期配置,请在源交换机上运行 命令。show forwarding-options port-miror 此配置示例显示以下输出:

意义

此输出显示 实例的比率为 1(镜像每个数据包,这是默认值),镜像的原始数据包的最大大小(0 表示整个数据包),配置状态为 up(指示正确的状态,并且分析器已编程,正在镜像进入 ge-0/0/0 和 ge-0/0/1 的流量, 并将镜像流量发送到名为 的 VLAN )。employee-web-monitorremote-analyzer