Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在本页
 

配置端口镜像本地和远程分析

配置端口镜像

您可以使用端口镜像来复制数据包,并将副本发送到运行应用程序(如网络分析器或入侵检测应用程序)的设备,以便分析流量而不会延迟流量。您可以镜像进出端口或进入 VLAN 的流量,还可以将副本发送到本地接入接口或通过中继接口发送到 VLAN。

建议您在不使用端口镜像时将其禁用。避免产生性能问题 如果启用端口镜像,建议选择特定的输入接口,而不是使用 关键字。all 您还可以使用防火墙过滤器来限制镜像流量。

注:

此任务使用增强型第 2 层软件 (ELS) 配置样式。如果交换机运行的软件不支持 ELS,请参阅 配置端口镜像。https://www.juniper.net/documentation/en_US/junos/topics/task/configuration/port-mirroring-qfx-series-cli.html有关 ELS 的详细信息,请参阅使用增强型第 2 层软件 CLI

注:

如果要在不删除现有分析器的情况下创建其他分析器,请先使用命令禁用 现有分析器。disable analyzer analyzer-name

注:

必须将端口镜像输出接口 配置为 。family ethernet-switching

为本地分析配置端口镜像

要将接口流量镜像到交换机上的本地接口:

  1. 如果要镜像进入或出口特定接口的流量,请选择端口镜像配置的名称,并通过指定流量的接口和方向来配置应镜像的流量:
    注:

    如果将 Junos OS 配置为镜像出口数据包,请勿配置超过 2000 个 VLAN。如果这样做,某些 VLAN 数据包可能包含不正确的 VLAN ID。

    注:

    如果为出口接入接口的数据包配置镜像,则原始数据包在退出接入接口时会丢失所有 VLAN 标记,但镜像(复制)数据包在发送到分析器系统时会保留 VLAN 标记。

  2. 如果要指定应镜像进入 VLAN 的所有流量,请为端口镜像配置选择一个名称并指定 VLAN:
    注:

    您无法将端口镜像配置为复制从 VLAN 出口的流量。

  3. 配置镜像数据包的目标接口:

为远程分析配置端口镜像

要将流量镜像到 VLAN 以便在远程位置进行分析,请执行以下操作:

  1. 配置 VLAN 以承载镜像流量:
  2. 将连接到另一台交换机(上行链路接口)的接口配置为中继模式,并将其与相应的 VLAN 关联:
  3. 配置分析器:
    1. 选择分析器的名称:
    2. 指定要镜像的接口以及流量是否应在入口或出口上镜像:
    3. 指定适当的 IP 地址或 VLAN 作为输出(此示例中指定了 VLAN:

      如果指定 IP 地址作为输出,请注意以下约束:

      • 该地址不能与任何交换机管理接口位于同一子网中。

      • 如果创建虚拟路由实例并创建包含输出 IP 地址的分析器配置,则输出地址属于默认虚拟路由实例( 路由表)。inet.0

      • 分析器设备必须能够解封装 GRE 封装的数据包,或者 GRE 封装的数据包必须在到达分析器设备之前解封装。(您可以使用网络嗅探器对数据包进行解封装。)

过滤进入分析器的流量

注:

NFX150 设备不支持此功能。

除了通过配置分析器指定要镜像的流量外,您还可以使用防火墙过滤器来更好地控制要复制的数据包。例如,您可以使用筛选器指定仅镜像来自某些应用程序的流量。过滤器可以使用任何可用的匹配条件,并且必须具有修饰 符的操作 如果在多个过滤器或术语中使用相同的分析器,则输出数据包仅复制一次。port-mirror-instance instance-name.

当您使用防火墙过滤器作为端口镜像实例的输入时,您可以将复制的流量发送到本地接口或 VLAN,就像不涉及防火墙时一样。

要使用过滤器配置端口镜像:

  1. 配置端口镜像实例以进行本地或远程分析。仅配置输出。例如,对于本地分析,请输入:
    注:

    您无法配置此实例的输入。

  2. 使用任何可用的匹配条件创建防火墙过滤器。在术语中,指定包含动作修饰符 。thenport-mirror-instance instance-name
  3. 将防火墙过滤器应用于应向分析器提供输入的接口或 VLAN:

另请参阅

在 SRX 系列防火墙上 配置端口镜像

要在 SRX 设备上配置端口镜像,必须先在层次结构级别配置 和。forwarding-optionsinterfaces[edit]

您必须配置语句以 定义用于端口镜像的端口实例 ,并配置要镜像的接口。forwarding-optionsmirror-to

注:

镜像端口和镜像到端口必须位于 I/O 卡中的 同一 Broadcom 芯片组下。

要配置端口镜像:

  1. 在层次结构级别指定和:raterun-length[edit forwarding-options port-mirroring input]
    注:

    • rate:要采样的数据包的比率(满分 1 个 )(1 到 65535)N

    • run-length:初始触发后的样本数(0 到 20)

  2. 要将数据包 的副本发送到端口,请在层次结构级别包含 语句 。mirror-to interface intf-name[edit forwarding-options port-mirroring family any output]
    注:

    SRX 系列防火墙上的端口镜像用于将端口信息传输到数据包转发引擎 (PFE)。family anymirror-to 镜像引擎将所有数据包从一个端口复制到 端口 。mirroredmirror-to

注:

您可以配置一个 子句来指定多个 端口。instancemirror-to

要镜像接口,请在层次结构级别包含 语句 。 port-mirror-instance[edit interface mirrored-intf-name]

镜像接口配置了实例名称,该名称在 中 定义。forwarding-options 端口和端口通过该实例链接。mirroredmirror-to

注:

SRX 系列防火墙上的端口镜像不会区分流量方向,而是将入口和出口样本镜像在一起。

端口镜像的示例配置如下所示:

示例:为本地分析配置端口镜像

使用端口镜像将流量发送到分析流量的应用程序,以便监控合规性、实施策略、检测入侵、监控和预测流量模式、关联事件等。端口镜像复制进出接口或进入 VLAN 的数据包,并将副本发送到本地接口进行本地监控。

注:

此示例使用增强型第 2 层软件 (ELS) 配置样式。有关 ELS 的详细信息,请参阅 使用增强型第 2 层软件 CLI

此示例介绍如何配置端口镜像,以将员工计算机发送到交换机的流量复制到同一交换机上的接入接口。

要求

此示例使用以下硬件和软件组件:

  • Junos OS 13.2 版

  • 一个交换机

概述和拓扑

本主题包括两个相关示例,介绍如何将交换机上进入接口的流量镜像到同一交换机上的接入接口。第一个示例说明如何将员工计算机发送的所有流量镜像到交换机。第二个示例包括一个筛选器,用于仅镜像进入 Web 的员工流量。

拓扑

在此示例中, 并 用作员工计算机的连接。xe-0/0/0xe-0/0/6 接口 连接到运行分析器应用程序的设备。xe-0/0/47

注:

多个端口镜像到一个接口可能会导致缓冲区溢出和数据包丢失。

图 1 显示了此示例的网络拓扑。

图 1: 本地端口镜像的网络拓扑示例本地端口镜像的网络拓扑示例

示例:镜像所有员工流量以进行本地分析

要为员工计算机发送的所有流量配置端口镜像以进行本地分析,请执行本节中介绍的任务。

程序

CLI 快速配置

要为连接到员工计算机的两个端口的入口流量快速配置本地端口镜像,请复制以下命令并将其粘贴到交换机终端窗口中:

分步过程

要配置调用 的分析器并指定输入(源)接口和输出接口,请执行以下操作:employee-monitor

  1. 将连接到员工计算机的接口配置为端口镜像分析器的 输入接口:employee-monitor

  2. 配置分析器的输出分析器接口 。employee-monitor 这将是镜像数据包的目标接口:

成果

检查配置结果:

示例:使用防火墙过滤器镜像员工 Web 流量

要求

此示例使用以下硬件和软件组件:

  • 单QFX5100交换机

  • Junos OS 版本 14.1X53-D30

概述

通常希望仅镜像某些流量,而不是镜像所有流量。这样可以更有效地使用带宽和硬件,并且由于这些资产的限制,这可能是必要的。要选择要镜像的特定流量,请使用防火墙过滤器匹配所需流量并将其定向到端口镜像实例。然后,端口镜像实例复制数据包并将其发送到输出 VLAN、接口或 IP 地址。

配置

若要指定将镜像的唯一流量是员工发送到 Web 的流量,请执行本节中介绍的任务。要选择此流量进行镜像,请使用防火墙过滤器指定此流量并将其定向到端口镜像实例。

程序

CLI 快速配置

要快速配置来自员工计算机的发往 Web 的流量的本地端口镜像,请复制以下命令并将其粘贴到交换机终端窗口中:

分步过程

要配置来自连接到员工计算机的两个端口的员工到 Web 流量的本地端口镜像,请执行以下操作:

  1. 配置输出接口:

  2. 配置输出接口。employee-web-monitor (仅配置输出 — 输入来自过滤器。

  3. 配置名为 的防火墙过滤器,该过滤器包含一个术语,用于匹配发送到 Web 的流量并将其发送到端口镜像实例 。watch-employeeemployee-web-monitor 不需要复制进出公司子网(目标 或源地址)的流量,因此请创建另一个术语,以便在流量到达将 Web 流量发送到实例的术语之前接受该流量:192.0.2.16/28

  4. 将防火墙过滤器作为入口过滤器应用于相应的接口(出口过滤器不允许分析器):

成果

检查配置结果:

验证

验证是否已正确创建分析器

目的

验证是否已使用适当的输入接口和输出接口在交换机上创建名为的 端口镜像实例。employee-web-monitor

操作

您可以使用命令 验证端口镜像端口镜像实例是否已按预期配置。show forwarding-options port-mirroring

意义

此输出显示有关端口镜像实例 的以下信息:employee-web-monitor

  • 速率为 (镜像每个数据包,默认设置)1

  • 采样的连续数据包数(运行长度)为 0

  • 镜像的原始数据包的最大大小为 ( 表示整个数据包)00

  • 输出参数的状态:up 指示实例正在镜像进入 xe-0/0/0 和 xe-0/0/6 接口的流量,并将镜像的流量发送到 xe-0/0/47 接口

如果输出接口的状态为或未配置输出接口,则该值将为,并且不会对实例进行编程以进行镜像。downstatedown

示例:为远程分析配置端口镜像

使用端口镜像将流量发送到分析流量的应用程序,以便监控合规性、实施策略、检测入侵、监控和预测流量模式、关联事件等。端口镜像会复制进出接口或进入 VLAN 的数据包,并将副本发送到本地接口进行本地监控,或发送到 VLAN 进行远程监控。此示例介绍如何为远程分析配置端口镜像。

要求

此示例使用以下硬件和软件组件:

  • 适用于 QFX 系列的 Junos OS 13.2 版

  • 一个交换机

概述和拓扑

本主题包括两个相关示例,介绍如何将交换机上输入端口的流量镜像到分析器 VLAN,以便使用远程设备执行分析。第一个示例说明如何将员工计算机发送的所有流量镜像到交换机。第二个示例包括一个筛选器,用于仅镜像进入 Web 的员工流量。

拓扑

在此示例中:

  • 接口 和 是连接到员工计算机的第 2 层接口。ge-0/0/0ge-0/0/1

  • 接口是连接到另一台交换机的第 2 层接口 。ge-0/0/2

  • VLAN 在拓扑中的所有交换机上均配置为承载镜像流量。remote-analyzer

注:

除了执行此处描述的配置步骤外,还必须在用于将源交换机(此配置中的交换机)连接到监控站所连接到的交换机的其他交换机上配置分析器 VLAN (在本例中)。remote-analyzer

镜像所有员工流量以进行远程分析

程序

CLI 快速配置

要快速配置示例的此部分,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改任何必要的详细信息以匹配您的网络配置,然后将命令复制并粘贴到层次结构级别的 CLI 中:edit

分步过程

要配置基本远程端口镜像:

  1. 配置分析器 VLAN(在本例中称为 ):remote-analyzer

  2. 将连接到另一台交换机的接口配置为中继模式,并将其与 VLAN 关联:remote-analyzer

  3. 配置分析器 :employee-monitor

  4. 在将此交换机连接到监控工作站的交换机上配置 VLAN。remote-analyzer

成果

检查配置结果:

镜像员工到 Web 的流量以进行远程分析

CLI 快速配置

要快速配置示例的此部分,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改任何必要的详细信息以匹配您的网络配置,然后将命令复制并粘贴到层次结构级别的 CLI 中:edit

程序

分步过程

  1. 配置分析器 VLAN(在本例中称为 ):remote-analyzer

  2. 配置接口以将其与 VLAN 关联:remote-analyzer

  3. 配置分析器 。employee-web-monitor (仅配置输出 — 输入来自过滤器。

  4. 配置调用 的防火墙过滤器,以匹配发送到 Web 的流量并将其发送到分析器 :watch-employeeemployee-web-monitor

  5. 将防火墙过滤器作为入口过滤器应用于相应的接口:

  6. 在将此交换机连接到监控工作站的交换机上配置 VLAN。remote-analyzer

成果

检查配置结果:

验证

验证是否已正确创建分析器

目的

验证是否已使用适当的输入接口和相应的输出接口在交换机上命名 或 创建的分析器。employee-monitoremployee-web-monitor

操作

可以使用命令 验证端口镜像分析器是否已按预期配置。show analyzer

意义

此输出显示分析器正在镜像进入的流量,并将镜像流量发送到分析器。employee-monitorge-0/0/0ge-0/0/1remote-analyzer