Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

配置端口镜像本地和远程分析

配置端口镜像

您可使用端口镜像复制数据包,并将副本发送至运行应用程序的设备,例如网络分析器或入侵检测应用程序,以便在不延迟的情况下分析流量。您可以镜像进出端口或进入 VLAN 的信息流,并且可通过中继接口将副本发送至本地接入接口或 VLAN。

我们不使用时,建议禁用端口镜像。为避免造成性能问题 如果启用端口镜像,建议选择特定输入接口,而不是使用 all 关键字。您还可以使用防火墙过滤器来限制镜像流量。

注:

此任务使用增强型第 2 层软件 (ELS) 配置样式。如果您的交换机运行的软件不支持 ELS,请参阅 配置端口镜像。有关 ELS 详细信息,请参阅 使用增强型第 2 层软件 CLI

注:

如果您希望在不删除现有分析器的情况下创建更多分析器,请先使用 disable analyzer analyzer-name 命令禁用现有分析器。

注:

您必须将端口镜像输出接口配置为 family ethernet-switching

为本地分析配置端口镜像

要将接口信息流镜像到交换机上的本地接口:

  1. 如果您想镜像入口或出口特定接口的信息流,请选择端口镜像配置的名称并配置应镜像的信息流,方法是指定流量的接口和方向:
    注:

    如果将 Junos OS 配置为镜像出口数据包,请勿配置超过 2000 个 VLAN。如果这样做,某些 VLAN 数据包可能包含不正确的 VLAN ID。

    注:

    如果为进入接入接口的数据包配置镜像,则原始数据包在退出接入接口时会丢失任何 VLAN 标记,但是镜像(复制)数据包在发送至分析器系统时会保留 VLAN 标记。

  2. 如果要指定进入 VLAN 的所有流量均应镜像,请为端口镜像配置选择名称并指定 VLAN:
    注:

    您无法配置端口镜像以复制出口到 VLAN 的流量。

  3. 为镜像的数据包配置目标接口:

为远程分析配置端口镜像

要将流量镜像到 VLAN,以便在远程位置进行分析:

  1. 配置 VLAN 以承载镜像的信息流:
  2. 将连接到另一个交换机(上行链路接口)的接口配置为中继模式,并将其与相应的 VLAN 关联:
  3. 配置分析器:
    1. 为分析器选择名称:
    2. 指定要镜像的接口以及是否应在入口或出口镜像流量:
    3. 将相应的 IP 地址或 VLAN 指定为输出(此示例中指定了 VLAN:

      如果指定 IP 地址作为输出,请注意以下限制:

      • 该地址不能与任何交换机管理接口在同一子网中。

      • 如果创建虚拟路由实例并创建包含输出 IP 地址的分析器配置,则输出地址属于默认虚拟路由实例(inet.0 路由表)。

      • 分析器设备必须能够解封装 GRE 封装的数据包,或者在到达分析器设备之前必须对 GRE 封装的数据包进行解封装。(您可以使用网络探测器对数据包进行解封装。)

过滤进入分析器的信息流

注:

NFX150 设备不支持此功能。

除了指定要通过配置分析器镜像的信息流之外,您还可以使用防火墙过滤器对哪些数据包进行更多的控制。例如,您可以使用过滤器指定仅镜像来自某些应用程序的信息流。过滤器可以使用任何可用的匹配条件,并且必须具有修改 port-mirror-instance instance-name. 操作:如果您在多个过滤器或术语中使用相同的分析器,则输出数据包仅复制一次。

使用防火墙过滤器作为端口镜像实例的输入时,将复制的信息流发送至本地接口或 VLAN,就像不涉及防火墙时一样。

要使用过滤器配置端口镜像:

  1. 配置端口镜像实例进行本地或远程分析。仅配置输出。例如,对于本地分析,输入:
    注:

    您无法为此实例配置输入。

  2. 使用任何可用匹配条件创建防火墙过滤器。在一个 then 术语中,指定包括操作修改器 port-mirror-instance instance-name
  3. 将防火墙过滤器应用于应为分析器提供输入的接口或 VLAN:

在 SRX 设备上配置端口镜像

要在 SRX 设备上配置端口镜像,必须首先配置forwarding-options层次结构级别和interfaces[edit]层次结构级别。

您必须将语 forwarding-options 句配置为定义端口镜像的端口实 mirror-to 例,并配置要镜像的接口。

注:

镜像端口和镜像到端口必须位于 I/O 卡中的同一 Broadcom 芯片组下。

要配置端口镜像:

  1. 指定层次rate结构级别和[edit forwarding-options port-mirroring input]run-length层次结构级别:
    注:
    • rate: 要采样的数据包比例( N 总分 1)(1 到 65535)

    • run-length: 初始触发器之后的样本数(0 到 20)

  2. 要将数据包的副本发送至mirror-to端口,请在层次结构级别中[edit forwarding-options port-mirroring family any output]包含 interface intf-name语句。
    注:

    SRX 设备上的端口镜像用于 family any 将端口信息传输 mirror-to 到数据包转发引擎 (PFE)。镜像引擎会复制从 mirrored 端口到 mirror-to 端口的所有数据包。

注:

您可以配置一个 instance 语句来指定多个 mirror-to 端口。

要镜像接口,请在层次结构级别中[edit interface mirrored-intf-name]包含 port-mirror-instance语句。

镜像接口配置有实例名称,在 中 forwarding-options定义。端 mirrored 口和 mirror-to 端口通过该实例进行链接。

注:

SRX 设备上的端口镜像不会区分信息流方向,而是将入口和出口样本镜像在一起。

端口镜像的示例配置如下所示:

例子:为本地分析配置端口镜像

使用端口镜像将流量发送至用于分析流量的应用程序,例如监控合规性、实施策略、检测入侵、监控和预测流量模式、关联事件等。端口镜像复制进出接口或进入 VLAN 的数据包,并将副本发送至本地接口以进行本地监控。

注:

此示例使用增强型第 2 层软件 (ELS) 配置样式。有关 ELS 详细信息,请参阅 使用增强型第 2 层软件 CLI

此示例介绍如何配置端口镜像,以便将员工计算机发送到交换机的信息流复制到同一交换机上的接入接口。

要求

此示例使用以下硬件和软件组件:

  • Junos OS 版本 13.2

  • 交换机

概述和拓扑

本主题包括两个相关示例,介绍如何将交换机上的流量输入接口镜像到同一交换机上的接入接口。第一个示例说明如何将员工计算机发送的所有流量镜像到交换机。第二个示例中包含一个过滤器,仅用于镜像到 Web 的员工流量。

拓扑

在本示例中用作 xe-0/0/0xe-0/0/6 员工计算机的连接。接口 xe-0/0/47 连接到运行分析器应用程序的设备。

注:

镜像到一个接口的多个端口可能导致缓冲区溢出和丢包。

图 1 显示了此示例的网络拓扑。

图 1: 本地端口镜像示例的网络拓扑本地端口镜像示例的网络拓扑

示例:镜像所有员工流量以进行本地分析

要为员工计算机发送的所有信息流配置端口镜像以进行本地分析,请执行本节中说明的任务。

程序

CLI 快速配置

要快速配置连接到员工计算机的两个端口的入口流量的本地端口镜像,请复制以下命令并将其粘贴到交换机终端窗口中:

逐步过程

要配置称为 employee-monitor 的分析器并指定输入(源)接口和输出接口:

  1. 将连接到员工计算机的接口配置为端口镜像分析器 employee-monitor的输入接口:

  2. 为分析器配置输出分析器接口 employee-monitor 。这将成为镜像数据包的目标接口:

结果

检查配置结果:

示例:使用防火墙过滤器镜像员工 Web 流量

要求

此示例使用以下硬件和软件组件:

  • 一台 QFX5100 交换机

  • Junos OS 版本 14.1X53-D30

概述

通常只能镜像某些流量,而不是镜像所有流量。这是更有效地使用您的带宽和硬件,可能由于这些资产的限制而必需。要选择用于镜像的特定流量,请使用防火墙过滤器匹配所需的流量并将其定向到端口镜像实例。然后,端口镜像实例会复制数据包并将其发送至输出 VLAN、接口或 IP 地址。

配置

要指定将镜像的唯一流量是员工发送到 Web 的流量,请执行本节中说明的任务。要选择此流量进行镜像,请使用防火墙过滤器指定此流量并将其定向到端口镜像实例。

程序

CLI 快速配置

要快速配置来自发送到 Web 的员工计算机的流量的本地端口镜像,请复制以下命令并将其粘贴到交换机终端窗口中:

逐步过程

要从连接到员工计算机的两个端口配置员工到 Web 流量的本地端口镜像:

  1. 配置输出接口:

  2. 配置 employee-web-monitor 输出接口。(仅配置输出 — 输入来自过滤器。)

  3. 配置名为 watch-employee 的防火墙过滤器,其中包含一个术语,用于匹配发送到 Web 的流量并将其发送至端口镜像实例 employee-web-monitor。无需复制来自公司子网(目标或源地址)的流量,因此在流量到达向实例发送 Web 流量的 192.0.2.16/28术语之前,请创建另一个术语来接受该流量:

  4. 将防火墙过滤器应用于相应的接口,作为入口过滤器(出口过滤器不允许分析器):

结果

检查配置结果:

验证

验证分析器是否已正确创建

目的

验证指定 employee-web-monitor 的端口镜像实例是否已使用适当的输入接口和相应的输出接口在交换机上创建。

行动

您可以使用 show forwarding-options port-mirroring 命令验证端口镜像实例是否已按预期配置。

意义

此输出显示有关端口镜像实例 employee-web-monitor的以下信息:

  • 有一个速率 1 (镜像每个数据包,默认设置)

  • 连续取样的数据包数(运行时长)为 0

  • 镜像的原始数据包的最大大小为 00 指示整个数据包)

  • 输出参数的状态:up 表示实例正在镜像进入 xe-0/0/0 和 xe-0/0/6 接口的信息流,并将镜像流量发送至 xe-0/0/47 接口

如果输出接口的状态为 down 或未配置输出接口, state 则该值将 down 为 ,并且不会将实例编程为镜像。

示例:为远程分析配置端口镜像

使用端口镜像将流量发送至用于分析流量的应用程序,例如监控合规性、实施策略、检测入侵、监控和预测流量模式、关联事件等。端口镜像复制进出接口或进入 VLAN 的数据包,并将副本发送至本地接口进行本地监控,或发送至 VLAN 进行远程监控。此示例介绍如何配置端口镜像以进行远程分析。

要求

此示例使用以下硬件和软件组件:

  • QFX 系列的 Junos OS 版本 13.2

  • 交换机

概述和拓扑

本主题包括两个相关示例,介绍如何将交换机上进入的流量端口镜像到分析器 VLAN,以便您可以使用远程设备执行分析。第一个示例说明如何将员工计算机发送的所有流量镜像到交换机。第二个示例中包含一个过滤器,仅用于镜像到 Web 的员工流量。

拓扑

在此示例中:

  • ge-0/0/0接口以及ge-0/0/1连接到员工计算机的 2 层接口。

  • 接口 ge-0/0/2 是第 2 层接口,连接到另一个交换机。

  • VLAN remote-analyzer 配置在拓扑中的所有交换机上,以承载镜像的信息流。

注:

除了执行此处所述的配置步骤外,您还必须在用于将源交换机(此配置中)连接到监控站连接到的交换机上的其他交换机上配置分析器 VLAN(remote-analyzer 此示例中)。

镜像所有员工流量以进行远程分析

程序

CLI 快速配置

要快速配置示例的此部分,请复制以下命令,将其粘贴到文本文件中,移除任何换行符,更改与网络配置匹配所需的任何详细信息,然后将命令复制粘贴到层次结构级别的 edit CLI 中:

逐步过程

要配置基本远程端口镜像:

  1. 配置分析器 VLAN(在此示例中称为 remote-analyzer ):

  2. 配置连接到另一台交换机的接口以实现中继模式,然后将其与 remote-analyzer VLAN 关联:

  3. 配置 employee-monitor 分析器:

  4. 配置 remote-analyzer 将此交换机连接到监控工作站的交换机上的 VLAN。

结果

检查配置结果:

镜像员工到 Web 的流量以进行远程分析

CLI 快速配置

要快速配置示例的此部分,请复制以下命令,将其粘贴到文本文件中,移除任何换行符,更改与网络配置匹配所需的任何详细信息,然后将命令复制粘贴到层次结构级别的 edit CLI 中:

程序

逐步过程
  1. 配置分析器 VLAN(在此示例中称为 remote-analyzer ):

  2. 配置接口以将其与 remote-analyzer VLAN 关联:

  3. 配置 employee-web-monitor 分析器。(仅配置输出 — 输入来自过滤器。)

  4. 配置称为 watch-employee 匹配发送到 Web 的流量并将其发送至分析器的防火墙过滤器 employee-web-monitor

  5. 将防火墙过滤器应用于相应的接口,作为入口过滤器:

  6. 配置 remote-analyzer 将此交换机连接到监控工作站的交换机上的 VLAN。

结果

检查配置结果:

验证

验证分析器是否已正确创建

目的

验证分析器是否使用适当的输入接口和相应的输出接口在交换机上命名 employee-monitoremployee-web-monitor 已创建。

行动

您可以使用 show analyzer 命令验证端口镜像分析器配置为预期。

意义

此输出显示分析employee-monitor器正在镜像进入ge-0/0/0的信息流,ge-0/0/1并将镜像信息流发送至分析器remote-analyzer