Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

为远程目标配置端口镜像

通过使用目标 as VLAN,2层端口镜像到远程目标

您可在 EX9200 交换机上配置端口镜像,以便将信息流的副本发送至输出目标,如接口、路由实例或 VLAN。对于输入信息流,您可以使用各种匹配条件和操作来配置防火墙过滤器术语。

在端口镜像配置中将 VLAN 配置为输出目标时,每个端口镜像会话的流量都将在用户指定的 VLAN 上执行,专用于所有参与交换机中的镜像会话。镜像流量将复制到该 VLAN (也称为镜像 VLAN),并转发至接口(镜像 VLAN 的成员)。目标接口是镜像 VLAN 的成员,可跨网络中的多个交换机跨越,前提是所有交换机中的镜像会话都使用相同的远程镜像 VLAN。

将 VLAN 配置为端口镜像输出目标,当将流量镜像到远程目标时,您可以在防火墙过滤器配置中使用 或 port-mirrorport-mirror-instance 操作。

配置第2层端口镜像到远程 VLAN

利用 EX9200 交换机,您可以配置镜像,将数据包的副本发送到本地监控的本地接口或用于远程监控的 VLAN。您可以使用镜像复制以下数据包:

  • 输入或退出端口的数据包

  • 进入或退出 VLAN 的数据包

最佳做法:

仅镜像必要的数据包,以降低潜在的性能影响。我们建议您:

  • 禁用未使用时配置的端口镜像。

  • 将单个接口指定为 input,而不是将所有接口指定为端口镜像配置中的输入。

  • 按以下方式限制镜像流量:

    • 使用统计抽样。

    • 设置比率以选择统计示例。

    • 使用防火墙过滤器。

配置到远程 VLAN 的端口镜像

要过滤要镜像到端口镜像实例的数据包,请创建该实例,然后将其用作防火墙过滤器中的操作。您可以在本地和远程镜像配置中使用防火墙过滤器。

如果在多个过滤器或术语中使用相同的端口镜像实例,则会将数据包复制到端口镜像输出端口或端口镜像 VLAN 一次。

要过滤镜像流量,请在[edit forwarding-options]层次结构级别下创建端口镜像实例,然后创建防火墙过滤器。过滤器可以使用任何可用匹配条件,并且必须将 port-mirror-instance 实例名称 作为操作。防火墙过滤器配置中的此操作可提供端口镜像实例的输入。

要使用防火墙过滤器配置端口镜像实例:

  1. 配置端口镜像实例名称,并将输出目标设置为 VLAN:

    例如,配置端口镜像实例,将 employee-monitor 输出目标设置为 VLAN ID 999

  2. 使用任何可用的匹配条件创建防火墙过滤器,并将端口镜像实例名称分配为防火墙过滤器配置中的操作。

    例如,使用两个术语和 创建一个防火墙过滤器,并将 术语分配给 example-filterno-analyzerto-analyzerto-analyzeremployee-monitor 端口镜像实例:

    1. 创建第一个术语,以定义不应通过端口镜像实例 employee-monitor的信息流:
    2. 创建第二个术语,以定义应通过端口镜像实例employee-monitor的信息流:
  3. 将防火墙过滤器应用于向端口镜像实例提供输入的接口或 VLAN。

    要将防火墙过滤器应用于接口:

    要将防火墙过滤器应用于 VLAN:

    例如,要向 example-filter ge-0/0/1 接口应用防火墙过滤器:

    例如,要向 example-filter VLAN 应用过滤器 source-vlan

示例:配置远程 VLAN 的2层端口镜像

利用 EX9200 交换机,您可以配置镜像,将数据包的副本发送到本地监控的本地接口或用于远程监控的 VLAN。您可以使用镜像复制这些数据包:

  • 输入或退出端口的数据包

  • 数据包进入或存在 VLAN

如果要将镜像信息流发送至 analyzer VLAN,可使用远程监控站上运行的协议分析器应用程序分析镜像信息流。

本主题包括两个相关示例,描述了如何将进入交换机端口的信息流镜像 remote-analyzer 到 VLAN,以便可以从远程监控站执行分析。第一个示例显示如何镜像进入连接到员工计算机的端口的所有流量。第二个示例显示相同的情景,但包含一个筛选器,用于仅对进入 Web 的员工流量进行镜像。

最佳做法:

仅镜像必要的数据包,以降低潜在的性能影响。我们建议您:

  • 不使用已配置的镜像会话时将其禁用。

  • 将单独接口指定为分析器输入,而不是将所有接口指定为输入。

  • 通过使用防火墙过滤器来限制镜像流量的数量。

本示例介绍如何配置远程镜像:

要求

配置远程镜像之前,请确保:

  • 您已了解镜像概念。

  • 端口镜像将用作输出接口的接口已在交换机上配置。

概述和拓扑

本主题包括两个相关示例,介绍如何配置镜像到 VLAN,以便从远程监控站 remote-analyzer 执行分析。第一个示例显示如何配置交换机以镜像来自员工计算机的所有流量。第二个示例演示相同的情景,但设置包含的过滤器仅用于镜像进入 Web 的员工流量。

图 1显示了这两个示例情景的网络拓扑。

拓扑

图 1: 远程镜像网络拓扑示例远程镜像网络拓扑示例

在此示例中:

  1. 接口 ge-0/0/0 是2层接口,接口 ge-0/0/1 是第2层接口(源交换机上的接口),用作员工计算机的连接。

  2. 接口 ge-0/0/10 是第2层接口,用于将源交换机连接到目标交换机。

  3. 接口 ge-0/0/5 是2层接口,用于将目标交换机连接到远程监控站。

  4. remote-analyzer拓扑结构中的所有交换机上配置 VLAN 以传输镜像信息流。

镜像员工到 Web 流量以进行远程分析

要为员工到 Web 流量的远程流量分析配置端口镜像,请执行以下任务:

操作

CLI 快速配置

要快速配置端口镜像以将员工流量镜像到外部 Web,请复制以下命令并将其粘贴到交换机端子窗口中:

  • 在源交换机终端窗口中复制并粘贴以下命令:

  • 将以下命令复制并粘贴到目标交换机终端窗口中:

分步过程

要将从连接到员工计算机的两个端口到remote-analyzer VLAN 的所有流量的端口镜像配置为从远程监控站使用:

  1. 在源交换机上:

    1. 配置 employee-web-monitor 端口镜像实例:

    2. 配置remote-analyzer VLAN 的 vlan ID:

    3. 配置接口以将其与remote-analyzer VLAN 关联:

    4. 配置调用watch-employee的防火墙过滤器:

      在此配置中,术语用于定义接受来自目标地址和源地址的信息流以通过交换机,而术语定义来自端口的信息流必须发送至端口镜像 employee-to-corp192.0.2.16/28192.0.2.16/28employee-to-web80 实例 employee-web-monitor

    5. 将防火墙过滤器应用于员工接口:

  2. 在目标交换机上:

    • 配置remote-analyzer VLAN 的 vlan ID:

    • 配置目标交换机上的接口以用于接入模式,并将其与 remote-analyzer VLAN 关联:

    • 配置连接到目标交换机的接口以用于接入模式,并将其与 remote-analyzer VLAN 关联:

成果

检查源交换机上的配置结果:

检查目标交换机上的配置结果:

针对

要确认配置是否正常运行,请执行以下任务:

验证端口镜像实例是否已正确创建

用途

验证已在具有相应输出 VLAN 的交换机上创建端口 employee-web-monitor 镜像实例。

行动

您可以使用show forwarding-options port-mirror命令验证端口镜像是否按预期方式配置。要查看以前创建的已禁用的分析器,请转到 J Web 界面。

要验证端口镜像是否按预期配置,在源交换机上监控员工流量,请在源交换机上show forwarding-options port-miror运行命令。此配置示例显示以下输出:

含义

此输出显示实例的比为 1(镜像每个数据包,默认设置)、镜像的原始数据包的最大大小(0 表示整个数据包)、配置状态已打开(表示配置状态正确且分析器已编程),正在镜像进入 employee-web-monitor ge-0/0/0 和 ge-0/0/1 的信息流,并且正在将镜像的流量发送到称为 的 VLAN )。 remote-analyzer