Auf dieser Seite
Konfigurieren der Spiegelung auf EX9200-Switches zur Analyse des Datenverkehrs (CLI-Verfahren)
Konfigurieren der Spiegelung auf EX4300-Switches zur Analyse des Datenverkehrs (CLI-Verfahren)
Konfigurieren der Portspiegelung zur Analyse des Datenverkehrs (CLI-Verfahren)
Verifizieren von Ein- und Ausgängen für Port-Mirroring-Analysatoren auf Switches der EX-Serie
Konfigurieren von Portspiegelung und Analysatoren
Grundlegendes zu Port Mirroring Analyzern
Die Portspiegelung kann für die Datenverkehrsanalyse auf Routern und Switches verwendet werden, die im Gegensatz zu Hubs nicht Pakete an jeden Port des Zielgeräts senden. Bei der Portspiegelung werden Kopien aller Pakete oder richtlinienbasierten Beispielpakete an lokale oder Remote-Analysetools gesendet, wo Sie die Daten überwachen und analysieren können.
Im Zusammenhang mit Port-Mirroring-Analysatoren verwenden wir den Begriff Switching-Gerät. Der Begriff gibt an, dass das Gerät (einschließlich Router) eine Switching-Funktion ausführt.
Sie können Analysatoren auf Paketebene verwenden, um Folgendes zu tun:
Überwachen des Netzwerkverkehrs
Richtlinien zur Netzwerknutzung durchsetzen
Richtlinien für die gemeinsame Nutzung von Dateien durchsetzen
Identifizieren Sie die Ursachen von Problemen
Identifizieren von Stationen oder Anwendungen mit hoher oder abnormaler Bandbreitennutzung
Sie können die Portspiegelung so konfigurieren, dass sie gespiegelt wird:
Bridged-Pakete (Layer-2-Pakete)
Geroutete Pakete (Layer-3-Pakete)
Gespiegelte Pakete können entweder auf eine lokale Schnittstelle für die lokale Überwachung oder in ein VLAN oder eine Bridge-Domäne für die Fernüberwachung kopiert werden.
Folgende Pakete können kopiert werden:
Packets entering or exiting a port—Sie können Pakete, die in Ports ein- oder ausgehen, in beliebiger Kombination für bis zu 256 Ports spiegeln. Sie können beispielsweise Kopien der Pakete, die in einige Ports eingehen, und der Pakete, die andere Ports verlassen, an denselben lokalen Analyzer-Port oder dasselbe Analyzer-VLAN senden.
Packets entering or exiting a VLAN or bridge domain- Sie können die Pakete, die in ein VLAN oder eine Bridge-Domäne eingehen oder es verlassen, entweder an einen lokalen Analyzer-Port oder an ein Analyzer-VLAN oder eine Bridge-Domäne spiegeln. Sie können mehrere VLANs (bis zu 256 VLANs) oder Bridge-Domänen als Eingangseingänge zu einem Analyzer konfigurieren, einschließlich eines VLAN-Bereichs und privater VLANs (PVLANs).
Policy-based sample packets- Sie können eine richtlinienbasierte Stichprobe von Paketen spiegeln, die in einen Port, ein VLAN oder eine Bridge-Domäne gelangen. Sie konfigurieren einen Firewallfilter mit einer Richtlinie zur Auswahl der Pakete, die gespiegelt werden sollen. Sie können das Beispiel an eine Port-Mirroring-Instanz oder an ein Analyzer-VLAN oder eine Bridge-Domäne senden.
- Analyzer – Übersicht
- Statistical Analyzer – Übersicht
- Übersicht über den Standard-Analyzer
- Port-Spiegelung an einer Gruppe von Ports, die an mehrere statistische Analysetools gebunden sind
- Terminologie des Port Mirroring Analyzers
- Konfigurationsrichtlinien für Portspiegelungs-Analysatoren
Analyzer – Übersicht
Sie können einen Analyzer so konfigurieren, dass sowohl der Eingabedatenverkehr als auch der Ausgabedatenverkehr in derselben Analysekonfiguration definiert werden. Der zu analysierende Eingangsdatenverkehr kann entweder eingehender oder verlassener Datenverkehr eine Schnittstelle oder ein VLAN sein. Die Analysekonfiguration ermöglicht es Ihnen, diesen Datenverkehr an eine Ausgabeschnittstelle, eine Instanz, eine Next-Hop-Gruppe, ein VLAN oder eine Bridge-Domäne zu senden. Sie können einen Analyzer auf Hierarchieebene konfigurieren.[edit forwarding-options analyzer]
Statistical Analyzer – Übersicht
Sie können eine Reihe von Spiegelungseigenschaften definieren, z. B. die Spiegelungsrate und die maximale Paketlänge für den Datenverkehr, die Sie explizit an physische Ports auf dem Router oder Switch binden können. Dieser Satz von Spiegelungseigenschaften stellt einen statistischen Analyzer (auch als Nicht-Standard-Analyzer bezeichnet) dar. Auf dieser Ebene können Sie eine benannte Instanz an die physischen Ports binden, die einem bestimmten FPC zugeordnet sind.
Übersicht über den Standard-Analyzer
Sie können einen Analyzer konfigurieren, ohne Spiegelungseigenschaften (z. B. Spiegelungsrate oder maximale Paketlänge) zu konfigurieren. Standardmäßig ist die Spiegelungsrate auf 1 und die maximale Paketlänge auf die gesamte Länge des Pakets festgelegt. Diese Eigenschaften werden auf globaler Ebene angewendet und müssen nicht an eine bestimmte FPC gebunden sein.
Port-Spiegelung an einer Gruppe von Ports, die an mehrere statistische Analysetools gebunden sind
Sie können bis zu zwei statistische Analysetools auf dieselben Portgruppen auf dem Switching-Gerät anwenden. Durch die Anwendung von zwei verschiedenen Instanzen der statistischen Analyse auf dieselbe FPC oder Packet Forwarding Engine können Sie zwei unterschiedliche Layer-2-Spiegelungsspezifikationen an eine einzelne Portgruppe binden. Spiegelungseigenschaften, die an eine FPC gebunden sind, überschreiben alle Analyzer-Eigenschaften (Standard-Analyzer), die auf globaler Ebene auf dem Switching-Gerät gebunden sind. Standardmäßige Analyseeigenschaften werden überschrieben, indem eine zweite Analyseinstanz an dieselbe Portgruppe gebunden wird.
Terminologie des Port Mirroring Analyzers
Tabelle 1 Listet einige Begriffe des Port Mirroring Analyzers und deren Beschreibungen auf.
Begriff | Beschreibung |
---|---|
Analyzer |
In einer Spiegelungskonfiguration umfasst der Analyzer Folgendes:
|
Ausgangsschnittstelle des Analysators (Auch als Monitor-Port bezeichnet) |
Schnittstelle, an die gespiegelter Datenverkehr gesendet und ein Protokollanalysator angeschlossen wird. Schnittstellen, die als Ausgabe an einen Analyzer verwendet werden, müssen auf der Hierarchieebene konfiguriert werden. Für die Ausgangsschnittstellen des Analyzers gelten die folgenden Einschränkungen:
|
Analyzer-VLAN oder Bridge-Domäne (Auch als Monitor-VLAN oder Bridge-Domäne bezeichnet) |
VLAN- oder Bridge-Domain, an die gespiegelter Datenverkehr gesendet wird, um von einem Protokollanalysator verwendet zu werden. Die Mitgliedsschnittstellen im Monitor-VLAN oder in der Bridge-Domäne sind über die Switching-Geräte in Ihrem Netzwerk verteilt. |
Bridge-Domain-basierter Analysator |
Eine Analysesitzung, die für die Verwendung von Bridge-Domänen für Eingabe, Ausgabe oder beides konfiguriert ist. |
Standard-Analysator |
Ein Analysetool mit Standard-Spiegelungsparametern. Standardmäßig beträgt die Spiegelungsrate 1 und die maximale Paketlänge ist die Länge des gesamten Pakets. |
Eingabeschnittstelle (Auch als gespiegelte Ports oder überwachte Schnittstellen bezeichnet) |
Eine Schnittstelle auf dem Switching-Gerät, über die der Datenverkehr, der in diese Schnittstelle ein- oder ausgeht, gespiegelt wird. |
LAG-basierter Analysator |
Ein Analysegerät, für das in der Analysekonfiguration eine Link Aggregation Group (LAG) als Eingabeschnittstelle (Eingang) angegeben ist. |
Lokale Spiegelung |
Eine Analyzer-Konfiguration, bei der Pakete an einen lokalen Analyzer-Port gespiegelt werden. |
Leitstelle |
Ein Computer, auf dem ein Protokollanalysator ausgeführt wird. |
Analyzer basierend auf Next-Hop-Gruppe |
Eine Analyzer-Konfiguration, die die Next-Hop-Gruppe als Ausgabe für einen Analyzer verwendet. |
Portbasierter Analysator |
Eine Analysekonfiguration, die Schnittstellen für die Eingabe und Ausgabe definiert. |
Protokollanalysator-Anwendung |
Eine Anwendung zum Untersuchen von Paketen, die über ein Netzwerksegment übertragen werden. Wird auch als Netzwerkanalysator, Paket-Sniffer oder Probe bezeichnet. |
Remote-Spiegelung |
Funktioniert auf die gleiche Weise wie die lokale Spiegelung, mit dem Unterschied, dass der gespiegelte Datenverkehr nicht an einen lokalen Analyzer-Port kopiert wird, sondern an ein Analyzer-VLAN oder eine Bridge-Domäne, die Sie speziell für den Empfang von gespiegeltem Datenverkehr erstellen. Gespiegelte Pakete verfügen über ein zusätzliches äußeres Tag des Analysator-VLANs oder der Bridge-Domäne. |
Statistischer Analysator (Wird auch als nicht standardmäßiger Analyzer bezeichnet) |
Eine Reihe von Spiegelungseigenschaften, die Sie explizit an die physischen Ports des Switches binden können. Dieser Satz von Analyseeigenschaften wird als statistischer Analysepunkt bezeichnet. |
VLAN-basierter Analysator |
Eine Analyzer-Konfiguration, die VLANs verwendet, um den gespiegelten Datenverkehr an den Analyzer zu übermitteln. |
Konfigurationsrichtlinien für Portspiegelungs-Analysatoren
Wenn Sie Portspiegelungs-Analysatoren konfigurieren. Wir empfehlen Ihnen, diese Richtlinien zu befolgen, um einen optimalen Nutzen zu gewährleisten. Es wird empfohlen, die Spiegelung zu deaktivieren, wenn Sie sie nicht verwenden, und bestimmte Schnittstellen als Eingabe für das Analysetool auszuwählen, anstatt die Schlüsselwortoption zu verwenden, die die Spiegelung auf allen Schnittstellen ermöglicht.all
Wenn nur die erforderlichen Pakete gespiegelt werden, werden potenzielle Leistungseinbußen reduziert.
Sie können die Menge des gespiegelten Datenverkehrs auch begrenzen, indem Sie:
-
Verwenden statistischer Stichproben
-
Verwenden eines Firewall-Filters
-
Festlegen eines Verhältnisses zur Auswahl einer statistischen Stichprobe
Bei der lokalen Spiegelung wird der Datenverkehr von mehreren Ports an die Ausgabeschnittstelle des Analysetools repliziert. Wenn die Ausgabeschnittstelle für einen Analyzer die Kapazität erreicht, werden Pakete verworfen. Sie müssen prüfen, ob der gespiegelte Datenverkehr die Kapazität der Analyse-Ausgabeschnittstelle überschreitet.
Tabelle 2 Fasst weitere Konfigurationsrichtlinien für Analysatoren zusammen.
Richtlinie |
Wert- oder Supportinformationen |
Kommentar |
---|---|---|
Anzahl der Analysen, die Sie gleichzeitig aktivieren können. |
64 Standard-Analysatoren 2 pro FPC – Statistischer Analysator |
Statistische Analysetools müssen an eine FPC gebunden werden, um den Datenverkehr auf Ports zu spiegeln, die zu dieser FPC gehören. HINWEIS:
Die Eigenschaften der Standardanalyse sind implizit an die letzte (oder vorletzte) Instanz auf allen FPCs im System gebunden. Wenn Sie also explizit ein zweites statistisches Analysetool an die FPC binden, werden die Eigenschaften des Standardanalysetools überschrieben. |
Anzahl der Schnittstellen, VLANs oder Bridge-Domänen, die Sie als Eingangseingabe für einen Analyzer verwenden können. |
256 |
– |
Porttypen, auf denen der Datenverkehr nicht gespiegelt werden kann. |
|
|
Protokollfamilien, die Sie in ein Analysetool einbinden können. |
für Switches der EX-Serie und für Router der MX-Serie. |
Ein Analyzer spiegelt nur den überbrückten Datenverkehr wider. Um gerouteten Datenverkehr zu spiegeln, verwenden Sie die Portspiegelungskonfiguration mit as oder . |
Pakete mit Fehlern auf der physikalischen Ebene werden nicht an den lokalen oder Remote-Analysator gesendet. |
Anwendbar |
Pakete mit diesen Fehlern werden herausgefiltert und somit nicht an den Analysator gesendet. |
Analyzer unterstützt keinen Leitungsdatenverkehr. |
Anwendbar |
Die Spiegelung des Datenverkehrs mit Leitungsgeschwindigkeit erfolgt nach bestem Bemühen. |
Analyzer-Ausgabe auf einer LAG-Schnittstelle. |
Unterstützt |
|
Analyzer-Ausgangsschnittstellenmodus als Trunk-Modus. |
Unterstützt |
|
Ausgangsspiegelung von hostgenerierten Steuerpaketen. |
Nicht unterstützt |
|
Konfiguration logischer Layer-3-Schnittstellen in der Zeilengruppe eines Analysetools. |
Nicht unterstützt |
|
Die Eingabe- und Ausgabezeilen des Analyzers, die Mitglieder desselben VLAN oder des VLAN selbst enthalten, müssen vermieden werden. |
Anwendbar |
|
Unterstützung für VLAN und seine Mitgliedsschnittstellen in verschiedenen Analysesitzungen |
Nicht unterstützt |
Wenn die Spiegelung konfiguriert ist, ist einer der Analyzer aktiv. |
Ausgangsspiegelung von aggregierten Ethernet-Schnittstellen (ae) und deren untergeordneten logischen Schnittstellen, die für verschiedene Analysetools konfiguriert sind. |
Nicht unterstützt |
|
Konfigurieren der Spiegelung auf EX9200-Switches zur Analyse des Datenverkehrs (CLI-Verfahren)
Mit EX9200-Switches können Sie die Spiegelung so konfigurieren, dass Kopien von Paketen entweder an eine lokale Schnittstelle zur lokalen Überwachung oder an ein VLAN zur Fernüberwachung gesendet werden. Sie können die Spiegelung verwenden, um die folgenden Pakete zu kopieren:
Pakete, die einen Port betreten oder verlassen
Pakete, die in ein VLAN ein- oder ausgehen
Spiegeln Sie nur notwendige Pakete, um potenzielle Leistungseinbußen zu reduzieren. Wir empfehlen Ihnen:
Deaktivieren Sie die von Ihnen konfigurierten Analysetools, wenn Sie sie nicht verwenden.
Geben Sie einzelne Schnittstellen als Eingabe für Analysetools an, anstatt alle Schnittstellen als Eingabe anzugeben.
Begrenzen Sie die Menge des gespiegelten Datenverkehrs durch:
Mit statistischer Stichprobe.
Festlegen von Verhältnissen zur Auswahl statistischer Stichproben.
Verwenden von Firewall-Filtern.
Wenn Sie zusätzliche Analysetools erstellen möchten, ohne die vorhandenen Analysetools zu löschen, deaktivieren Sie die vorhandenen Analysetools, indem Sie die Anweisung über die Befehlszeilenschnittstelle (CLI) oder über die J-Web-Konfigurationsseite für die Spiegelung verwenden.disable analyzer analyzer-name
Schnittstellen, die als Ausgabe für einen Analyzer verwendet werden, müssen unter dem konfiguriert und einem VLAN zugeordnet werden.ethernet-switching family
- Konfigurieren eines Analysetools für die Analyse des lokalen Datenverkehrs
- Konfigurieren eines Analysetools für die Remote-Datenverkehrsanalyse
- Konfigurieren eines statistischen Analysetools für die Analyse des lokalen Datenverkehrs
- Konfigurieren eines statistischen Analysetools für die Remote-Datenverkehrsanalyse
- Bindung statistischer Analysetools an Ports, die auf FPC-Ebene gruppiert sind
- Konfigurieren eines Analyzers mit mehreren Zielen mithilfe von Next-Hop-Gruppen
- Definieren einer Next-Hop-Gruppe für die Layer-2-Spiegelung
Konfigurieren eines Analysetools für die Analyse des lokalen Datenverkehrs
So spiegeln Sie den Netzwerkdatenverkehr oder VLAN-Datenverkehr auf dem Switch mithilfe von Analysetools auf eine Schnittstelle auf dem Switch:
Konfigurieren eines Analysetools für die Remote-Datenverkehrsanalyse
So spiegeln Sie den Datenverkehr, der Schnittstellen oder ein VLAN auf dem Switch durchläuft, in ein VLAN, das für die Analyse von einem Remote-Standort aus verwendet wird:
Konfigurieren eines statistischen Analysetools für die Analyse des lokalen Datenverkehrs
So spiegeln Sie den Schnittstellendatenverkehr oder VLAN-Datenverkehr auf dem Switch mithilfe eines statistischen Analysetools auf eine Schnittstelle auf dem Switch:
Konfigurieren eines statistischen Analysetools für die Remote-Datenverkehrsanalyse
So spiegeln Sie den Datenverkehr, der Schnittstellen oder ein VLAN auf dem Switch durchläuft, in ein VLAN zur Analyse von einem Remote-Standort mithilfe eines statistischen Analysetools:
Bindung statistischer Analysetools an Ports, die auf FPC-Ebene gruppiert sind
Sie können eine statistische Analyse an eine bestimmte FPC im Switch binden, d. h., Sie können die Instanz der statistischen Analyse auf der FPC-Ebene des Switches binden. Die in der statistischen Analyse angegebenen Spiegelungseigenschaften werden auf alle physischen Ports angewendet, die allen Paketweiterleitungsmodulen in der angegebenen FPC zugeordnet sind.
So binden Sie eine benannte Instanz des Layer-2-Analyzers an eine FPC:
Aktivieren Sie die Konfiguration der Eigenschaften des Switch-Gehäuses:
[edit] user@switch# edit chassis
Aktivieren Sie die Konfiguration eines FPC (und der installierten PICs):
[edit chassis] user@switch# edit fpc slot-number
Binden einer Statistikanalyseinstanz an die FPC:
[edit chassis fpc slot-number] user@switch# set port-mirror-instance stats_analyzer-1
(Optional) Um eine zweite Instanz der Layer-2-Spiegelung der statistischen Analyse an dieselbe FPC zu binden, wiederholen Sie Schritt 3, und geben Sie einen anderen Namen für die statistische Analyse an:
[edit chassis fpc slot-number] user@switch# set port-mirror-instance stats_analyzer-2
Überprüfen Sie die Mindestkonfiguration der Bindung:
[edit chassis fpc slot-number port-mirror-instance analyzer_name] user@switch# top [edit] user@switch# show chassis chassis { fpc slot-number { # Bind two statistical analyzers or port mirroring named instances at the FPC level. port-mirror-instance stats_analyzer-1; port-mirror-instance stats_analyzer-2; } }
Beim Binden einer zweiten Instanz ( in diesem Beispiel) überschreiben die Spiegelungseigenschaften dieser Sitzung, sofern konfiguriert, alle Standardanalysen.stats_analyzer-2
Konfigurieren eines Analyzers mit mehreren Zielen mithilfe von Next-Hop-Gruppen
Sie können den Datenverkehr auf mehrere Ziele spiegeln, indem Sie Next-Hop-Gruppen als Analyseausgabe konfigurieren. Die Spiegelung von Paketen an mehrere Ziele wird auch als Multipacket-Port-Spiegelung bezeichnet.
So spiegeln Sie den Schnittstellendatenverkehr oder VLAN-Datenverkehr auf dem Switch auf eine Schnittstelle auf dem Switch (mithilfe von Analysetools):
Definieren einer Next-Hop-Gruppe für die Layer-2-Spiegelung
Die Next-Hop-Gruppenkonfiguration auf Konfigurationsebene ermöglicht es Ihnen, einen Next-Hop-Gruppennamen, den Typ der Adressen, die in der Next-Hop-Gruppe verwendet werden sollen, und die logischen Schnittstellen zu definieren, die die verschiedenen Ziele bilden, an die der Datenverkehr gespiegelt werden kann.[edit forwarding-options]
Standardmäßig wird die Next-Hop-Gruppe mithilfe von Layer-3-Adressen mit der Anweisung angegeben.[edit forwarding-options next-hop-group next-hop-group-name group-type inet]
Wenn Sie stattdessen eine Next-Hop-Gruppe mit Layer-2-Adressen angeben möchten, schließen Sie die Anweisung ein.[edit forwarding-options next-hop-group next-hop-group-name group-type layer-2]
So definieren Sie eine Next-Hop-Gruppe für die Layer-2-Spiegelung:
Konfigurieren der Spiegelung auf EX4300-Switches zur Analyse des Datenverkehrs (CLI-Verfahren)
Für diese Aufgabe wird Junos OS für Switches der EX-Serie mit Unterstützung für den Konfigurationsstil Enhanced Layer 2 Software (ELS) verwendet.
Mit EX4300-Switches können Sie die Spiegelung so konfigurieren, dass Kopien von Paketen entweder an eine lokale Schnittstelle für die lokale Überwachung oder an ein VLAN für die Fernüberwachung gesendet werden. Sie können die Spiegelung verwenden, um diese Pakete zu kopieren:
Pakete, die einen Port betreten oder verlassen
Pakete, die in ein VLAN eingehen
Spiegeln Sie nur notwendige Pakete, um potenzielle Leistungseinbußen zu reduzieren. Wir empfehlen Ihnen:
Deaktivieren Sie Ihre konfigurierten Spiegelungskonfigurationen, wenn Sie sie nicht verwenden.
Geben Sie einzelne Schnittstellen als Eingabe für Analysetools an, anstatt alle Schnittstellen als Eingabe anzugeben.
Begrenzen Sie die Menge des gespiegelten Datenverkehrs mithilfe von Firewall-Filtern.
Wenn Sie zusätzliche Analysetools erstellen möchten, ohne die vorhandenen Analysetools zu löschen, deaktivieren Sie die vorhandenen Analysetools, indem Sie die Anweisung in der Befehlszeilenschnittstelle oder auf der J-Web-Konfigurationsseite für die Spiegelung verwenden.disable analyzer analyzer-name
Schnittstellen, die als Ausgabe für einen Analyzer verwendet werden, müssen unter der Familie konfiguriert werden.ethernet-switching
- Konfigurieren eines Analysetools für die Analyse des lokalen Datenverkehrs
- Konfigurieren eines Analysetools für die Remote-Datenverkehrsanalyse
- Konfigurieren der Portspiegelung
Konfigurieren eines Analysetools für die Analyse des lokalen Datenverkehrs
So spiegeln Sie den Schnittstellendatenverkehr oder VLAN-Datenverkehr auf dem Switch auf eine Schnittstelle auf dem Switch (mithilfe von Analysetools):
Konfigurieren eines Analysetools für die Remote-Datenverkehrsanalyse
So spiegeln Sie den Datenverkehr, der Schnittstellen oder ein VLAN auf dem Switch durchläuft, zur Analyse von einem Remote-Standort aus in ein VLAN wider (mithilfe von Analysetools):
Konfigurieren der Portspiegelung
Um Pakete zu filtern, die auf eine Port-Mirroring-Instanz gespiegelt werden sollen, erstellen Sie die Instanz, und verwenden Sie sie dann als Aktion im Firewall-Filter. Sie können Firewallfilter sowohl in lokalen als auch in Remote-Spiegelungskonfigurationen verwenden.
Wenn dieselbe Port-Mirroring-Instanz in mehreren Filtern oder Begriffen verwendet wird, werden die Pakete nur einmal in den Ausgangsport des Analyzers oder das VLAN des Analyzers kopiert.
Um gespiegelten Datenverkehr zu filtern, erstellen Sie eine Portspiegelungsinstanz unter der Hierarchieebene und dann einen Firewallfilter.[edit forwarding-options]
Der Filter kann jede der verfügbaren Übereinstimmungsbedingungen verwenden und muss als Aktion vorhanden sein .port-mirror-instance instance-name
Diese Aktion in der Firewallfilterkonfiguration liefert die Eingabe für die Portspiegelungsinstanz.
So konfigurieren Sie eine Portspiegelungsinstanz mit Firewall-Filtern:
Konfigurieren der Portspiegelung zur Analyse des Datenverkehrs (CLI-Verfahren)
Bei dieser Konfigurationsaufgabe wird Junos OS für Switches der EX-Serie verwendet, die den Konfigurationsstil Enhanced Layer 2 Software (ELS) nicht unterstützen.
Mit Switches der EX-Serie können Sie die Port-Spiegelung so konfigurieren, dass Kopien von Paketen entweder an eine lokale Schnittstelle zur lokalen Überwachung oder an ein VLAN zur Fernüberwachung gesendet werden. Sie können die Portspiegelung verwenden, um diese Pakete zu kopieren:
Pakete, die einen Port betreten oder verlassen
Pakete, die in ein VLAN auf EX2200-, EX3200-, EX3300-, EX4200-, EX4500- oder EX6200-Switches eingehen
Pakete, die ein VLAN auf EX8200-Switches verlassen
Spiegeln Sie nur notwendige Pakete, um potenzielle Leistungseinbußen zu reduzieren. Wir empfehlen Ihnen:
Deaktivieren Sie die konfigurierten Portspiegelungsanalysen, wenn Sie sie nicht verwenden.
Geben Sie einzelne Schnittstellen als Eingabe für Analysetools an, anstatt alle Schnittstellen als Eingabe anzugeben.
Begrenzen Sie die Menge des gespiegelten Datenverkehrs durch:
Mit statistischer Stichprobe.
Festlegen von Verhältnissen zur Auswahl statistischer Stichproben.
Verwenden von Firewall-Filtern.
Bevor Sie mit der Konfiguration der Portspiegelung beginnen, beachten Sie die folgenden Einschränkungen für Analyzer-Ausgabeschnittstellen:
Kann nicht auch ein Quellport sein.
Kann nicht zum Umschalten verwendet werden.
Nehmen Sie nicht an Layer-2-Protokollen (z. B. RSTP) teil, wenn diese Teil einer Portspiegelungskonfiguration sind.
Behalten Sie keine VLAN-Zuordnungen bei, die sie besaßen, bevor sie als Analyzer-Ausgabeschnittstellen konfiguriert wurden.
Wenn Sie zusätzliche Analyzer erstellen möchten, ohne den vorhandenen Analyzer zu löschen, deaktivieren Sie zunächst den vorhandenen Analyzer mit dem Befehl oder der J-Web-Konfigurationsseite für die Portspiegelung.disable analyzer analyzer-name
Schnittstellen, die als Ausgabe für einen Analysator verwendet werden, müssen als Familie konfiguriert werden.ethernet-switching
- Konfigurieren der Portspiegelung für die Analyse des lokalen Datenverkehrs
- Konfigurieren der Portspiegelung für die Remote-Datenverkehrsanalyse
- Filtern des Datenverkehrs, der in einen Analyzer gelangt
Konfigurieren der Portspiegelung für die Analyse des lokalen Datenverkehrs
So spiegeln Sie den Schnittstellen- oder VLAN-Datenverkehr auf dem Switch auf eine andere Schnittstelle auf dem Switch:
Konfigurieren der Portspiegelung für die Remote-Datenverkehrsanalyse
So spiegeln Sie den Datenverkehr, der Schnittstellen oder ein VLAN auf dem Switch durchläuft, zur Analyse von einem Remote-Standort in ein VLAN wider:
Filtern des Datenverkehrs, der in einen Analyzer gelangt
Um zu filtern, welche Pakete in einen Analyzer gespiegelt werden, erstellen Sie den Analyzer und verwenden Sie ihn dann als Aktion im Firewallfilter. Sie können Firewallfilter sowohl in lokalen als auch in Remote-Port-Spiegelungskonfigurationen verwenden.
Wenn derselbe Analyzer in mehreren Filtern oder Termen verwendet wird, werden die Pakete nur einmal in den Ausgangsport des Analyzers oder das Analyzer-VLAN kopiert.
Um gespiegelten Datenverkehr zu filtern, erstellen Sie einen Analyzer und dann einen Firewallfilter. Der Filter kann jede der verfügbaren Übereinstimmungsbedingungen verwenden und muss über die Aktion .analyzer
Die Aktion des Firewall-Filters liefert die Eingabe an den Analysator.
So konfigurieren Sie die Portspiegelung mit Filtern:
Verifizieren von Ein- und Ausgängen für Port-Mirroring-Analysatoren auf Switches der EX-Serie
Zweck
Bei dieser Verifizierungsaufgabe wird Junos OS für Switches der EX-Serie verwendet, die den Konfigurationsstil Enhanced Layer 2 Software (ELS) nicht unterstützen.
Stellen Sie sicher, dass auf dem Switch ein Analyzer erstellt wurde und über die entsprechenden Spiegeleingangsschnittstellen sowie die entsprechende Analyzer-Ausgangsschnittstelle verfügt.
Was
Mit dem Befehl können Sie überprüfen, ob der Port Mirror Analyzer wie erwartet konfiguriert ist.show analyzer
[edit] user@switch> show analyzer Analyzer name : employee-monitor Output VLAN : remote-analyzer Mirror ratio : 1 Loss priority : High Ingress monitored interfaces : ge-0/0/0.0 Ingress monitored interfaces : ge-0/0/1.0
Sie können alle auf dem Switch konfigurierten Port-Mirror-Analysatoren, einschließlich derer, die deaktiviert sind, anzeigen, indem Sie den Befehl im Konfigurationsmodus verwenden.show ethernet-switching-options
user@switch# show ethernet-switching-options inactive: analyzer employee-web-monitor { loss-priority high; output { analyzer employee-monitor { loss-priority high; input { ingress { interface ge-0/0/0.0; interface ge-0/0/1.0; } } output { vlan { remote-analyzer; } } }
Bedeutung
Diese Ausgabe zeigt, dass der Mitarbeitermonitor-Analysator ein Verhältnis von 1 hat (wobei jedes Paket gespiegelt wird, die Standardeinstellung), eine Verlustpriorität von (setzen Sie diese Option auf immer dann, wenn die Analysatorausgabe in ein VLAN erfolgt), den Datenverkehr spiegelt, der in ge-0/0/0 und ge-0/0/1 eingeht, und den gespiegelten Datenverkehr an den Analyzer namens remote-analyzer sendet.high
high
Beispiel: Konfigurieren von Port Mirroring Analyzers für die lokale Überwachung der Ressourcennutzung durch Mitarbeiter
Mit Geräten von Juniper Networks können Sie die Port-Spiegelung so konfigurieren, dass Kopien von Paketen entweder an eine lokale Schnittstelle zur lokalen Überwachung, an ein VLAN oder an eine Bridge-Domäne zur Fernüberwachung gesendet werden. Sie können die Spiegelung verwenden, um diese Pakete zu kopieren:
Pakete, die einen Port betreten oder verlassen
Pakete, die in ein VLAN oder eine Bridge-Domäne eingehen oder diese verlassen
Anschließend können Sie den gespiegelten Datenverkehr lokal oder remote mit einem Protokollanalysator analysieren. Sie können einen Analyzer auf einer lokalen Zielschnittstelle installieren. Wenn Sie gespiegelten Datenverkehr an ein Analyzer-VLAN oder eine Bridge-Domäne senden, können Sie einen Analyzer auf einer Remote-Überwachungsstation verwenden.
In diesem Thema wird beschrieben, wie die lokale Spiegelung auf einem Switching-Gerät konfiguriert wird. In den Beispielen in diesem Thema wird beschrieben, wie ein Switching-Gerät so konfiguriert wird, dass der Datenverkehr, der Schnittstellen eingeht, die mit Mitarbeitercomputern verbunden sind, zu einer Analyse-Ausgabeschnittstelle auf demselben Gerät gespiegelt wird.
- Anforderungen
- Übersicht und Topologie
- Spiegelung des gesamten Mitarbeiterdatenverkehrs für lokale Analysen
- Überprüfung
Anforderungen
Verwenden Sie eine der folgenden Hardware- und Softwarekomponenten:
Ein EX9200-Switch mit Junos OS Version 13.2 oder höher
Ein Router der MX-Serie mit Junos OS Version 14.1 oder höher
Bevor Sie die Portspiegelung konfigurieren, stellen Sie sicher, dass Sie mit den Spiegelungskonzepten vertraut sind. Weitere Informationen zu Analysetools finden Sie unter Grundlegendes zu Portspiegelungsanalysen. Weitere Informationen zur Portspiegelung finden Sie unter Grundlegendes zur Layer-2-Portspiegelung.Grundlegendes zur Layer-2-Port-Spiegelung
Übersicht und Topologie
In diesem Thema wird beschrieben, wie der gesamte Datenverkehr, der in die Ports des Switching-Geräts eingeht, auf eine Zielschnittstelle auf demselben Gerät gespiegelt wird (lokale Spiegelung). In diesem Fall gelangt der Datenverkehr über Ports, die mit den Computern der Mitarbeiter verbunden sind.
Die Spiegelung des gesamten Datenverkehrs erfordert eine beträchtliche Bandbreite und sollte nur während einer aktiven Untersuchung durchgeführt werden.
Die Schnittstellen ge-0/0/0 und ge-0/0/1 dienen als Anschlüsse für Mitarbeiterrechner.
Die Schnittstelle ge-0/0/10 ist für die Analyse des gespiegelten Datenverkehrs reserviert.
Schließen Sie einen PC, auf dem ein Protokollanalysator ausgeführt wird, an die Ausgabeschnittstelle des Analysators an.
Mehrere Ports, die auf eine Schnittstelle gespiegelt werden, können einen Pufferüberlauf verursachen, der dazu führt, dass gespiegelte Pakete an der Ausgabeschnittstelle verworfen werden.
Abbildung 1 zeigt die Netzwerktopologie für dieses Beispiel.
Spiegelung des gesamten Mitarbeiterdatenverkehrs für lokale Analysen
Verfahren
CLI-Schnellkonfiguration
Um schnell die lokale Spiegelung für eingehenden Datenverkehr zu konfigurieren, der über zwei Ports gesendet wird, die mit den Computern der Mitarbeiter verbunden sind, kopieren Sie einen der folgenden Befehle für Switches der EX-Serie oder für Router der MX-Serie, und fügen Sie sie in das Terminalfenster des Switching-Geräts ein:
EX-Serie
[edit] set interfaces ge-0/0/0 unit 0 family ethernet-switching set interfaces ge-0/0/1 unit 0 family ethernet-switching set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor output interface ge-0/0/10.0
MX-Serie
[edit] set interfaces ge-0/0/0 unit 0 family bridge interface-mode access vlan-id 99 set interfaces ge-0/0/1 unit 0 family bridge interface-mode access vlan-id 98 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor output interface ge-0/0/10.0
Schritt-für-Schritt-Anleitung
Gehen Sie wie folgt vor, um einen aufgerufenen Analyzer zu konfigurieren und sowohl die Eingabeschnittstellen (Quelle) als auch die Ausgabeschnittstelle des Analyzers anzugeben:employee-monitor
Konfigurieren Sie jede Schnittstelle, die in der Analyzer-Konfiguration verwendet werden soll. Verwenden Sie das Familienprotokoll, das für Ihre Plattform geeignet ist.
EX Series [edit] set interfaces ge-0/0/0 unit 0 family ethernet-switching set interfaces ge-0/0/1 unit 0 family ethernet-switching
Um eine Schnittstelle zu konfigurieren, müssen Sie auch oder konfigurieren.
family bridge
interface-mode access
interface-mode trunk
Außerdem müssen Sie .vlan-id
MX Series [edit] set interfaces ge-0/0/0 unit 0 family bridge interface-mode access vlan-id 99 set interfaces ge-0/0/1 unit 0 family bridge interface-mode access vlan-id 98
Konfigurieren Sie jede Schnittstelle, die mit den Computern der Mitarbeiter verbunden ist, als Output-Analyzer-Schnittstelle .
employee-monitor
[edit forwarding-options] set analyzer employee-monitor input ingress interface ge-0/0/0.0 set analyzer employee-monitor input ingress interface ge-0/0/1.0
Konfigurieren Sie die Schnittstelle für die Ausgabeanalyse für die Analyse.
employee-monitor
Dies ist die Zielschnittstelle für die gespiegelten Pakete.
[edit forwarding-options] set analyzer employee-monitor output interface ge-0/0/10.0
Ergebnisse
Überprüfen Sie die Ergebnisse der Konfiguration.
[edit] user@device# show forwarding-options analyzer { employee-monitor { input { ingress { interface ge-0/0/0.0; interface ge-0/0/1.0; } } output { interface ge-0/0/10.0; } } }
Überprüfung
Überprüfen, ob der Analyzer korrekt erstellt wurde
Zweck
Stellen Sie sicher, dass der Analysator auf dem Switching-Gerät mit den entsprechenden Eingangsschnittstellen und der entsprechenden Ausgabeschnittstelle erstellt wurde.employee-monitor
Was
Verwenden Sie den Betriebsbefehl, um zu überprüfen, ob ein Analysetool wie erwartet konfiguriert ist.show forwarding-options analyzer
user@device> show forwarding-options analyzer Analyzer name : employee-monitor Mirror rate : 1 Maximum packet length : 0 State : up Ingress monitored interfaces : ge-0/0/0.0 Output interface : ge-0/0/10.0
Bedeutung
Die Ausgabe zeigt, dass der Analyzer ein Verhältnis von 1 hat (d. h. jedes Paket wird gespiegelt, die Standardeinstellung), die maximale Größe des ursprünglich gespiegelten Pakets ist 0 (was angibt, dass das gesamte Paket gespiegelt wird), der Status der Konfiguration ist , und der Analyzer spiegelt den Datenverkehr, der in die ge-0/0/0-Schnittstelle eintritt, und sendet den gespiegelten Datenverkehr an die ge-0/0/10-Schnittstelle.employee-monitor
up
Wenn der Status der Ausgabeschnittstelle lautet oder wenn die Ausgabeschnittstelle nicht konfiguriert ist, gibt der Wert von an, dass der Analyzer keinen gespiegelten Datenverkehr empfängt.down
State
down
Beispiel: Konfigurieren der Portspiegelung für die Fernüberwachung der Ressourcennutzung durch Mitarbeiter
Mit Geräten von Juniper Networks können Sie die Port-Spiegelung so konfigurieren, dass Kopien von Paketen entweder an eine lokale Schnittstelle zur lokalen Überwachung oder an ein VLAN oder eine Bridge-Domäne zur Remote-Überwachung gesendet werden. Sie können die Spiegelung verwenden, um diese Pakete zu kopieren:
Pakete, die einen Port betreten oder verlassen
Pakete, die in ein VLAN ein- oder ausgehen
Pakete, die in eine Bridge-Domäne ein- oder ausgehen
Wenn Sie gespiegelten Datenverkehr an ein Analysator-VLAN oder eine Bridge-Domäne senden, können Sie den gespiegelten Datenverkehr mit einem Protokollanalysator analysieren, der auf einer Remote-Überwachungsstation ausgeführt wird.
Spiegeln Sie nur notwendige Pakete, um potenzielle Leistungseinbußen zu reduzieren. Wir empfehlen Folgendes:
Deaktivieren Sie Ihre konfigurierten Spiegelungssitzungen, wenn Sie sie nicht verwenden.
Geben Sie einzelne Schnittstellen als Eingabe für Analysetools an, anstatt alle Schnittstellen als Eingabe anzugeben.
Begrenzen Sie die Menge des gespiegelten Datenverkehrs durch:
Mit statistischer Stichprobe.
Festlegen von Verhältnissen zur Auswahl statistischer Stichproben.
Verwenden von Firewall-Filtern.
In den Beispielen in diesem Thema wird beschrieben, wie Sie die Remoteportspiegelung konfigurieren, um die Ressourcennutzung durch Mitarbeiter zu analysieren.
- Anforderungen
- Übersicht und Topologie
- Spiegelung des Mitarbeiterdatenverkehrs für die Remoteanalyse mithilfe eines statistischen Analysetools
- Überprüfung
Anforderungen
In diesem Beispiel wird eines der folgenden Paare von Hardware- und Softwarekomponenten verwendet:
Ein EX9200-Switch ist mit einem anderen EX9200-Switch verbunden, auf denen jeweils Junos OS Version 13.2 oder höher ausgeführt wird
Ein Router der MX-Serie, der mit einem anderen Router der MX-Serie verbunden ist, auf beiden läuft Junos OS Version 14.1 oder höher
Bevor Sie die Remote-Spiegelung konfigurieren, stellen Sie Folgendes sicher:
Sie haben ein Verständnis für Spiegelungskonzepte. Weitere Informationen zu Analysetools finden Sie unter Grundlegendes zu Portspiegelungsanalysen. Weitere Informationen zur Portspiegelung finden Sie unter Grundlegendes zur Layer-2-Portspiegelung.Grundlegendes zur Layer-2-Port-Spiegelung
Die Schnittstellen, die der Analysator als Eingangsschnittstellen verwendet, sind bereits auf dem Switching-Gerät konfiguriert.
Übersicht und Topologie
In diesem Thema wird beschrieben, wie Sie die Port-Spiegelung in ein Remote-Analyse-VLAN oder eine Bridge-Domäne konfigurieren, sodass die Analyse von einer Remote-Überwachungsstation aus durchgeführt werden kann.
Abbildung 2 zeigt die Netzwerktopologie sowohl für das Beispiel der EX-Serie als auch für das Beispielszenario der MX-Serie.
Topologie
In diesem Beispiel:
Die Schnittstelle ge-0/0/0 ist eine Layer-2-Schnittstelle, und die Schnittstelle ge-0/0/1 ist eine Layer-3-Schnittstelle (beides sind Schnittstellen auf dem Quellgerät), die als Verbindungen für Mitarbeitercomputer dienen.
Die Schnittstelle ge-0/0/10 ist eine Layer-2-Schnittstelle, die das Quell-Switching-Gerät mit dem Ziel-Switching-Gerät verbindet.
Die Schnittstelle ge-0/0/5 ist eine Layer-2-Schnittstelle, die das Ziel-Switching-Gerät mit der Fernüberwachungsstation verbindet.
Der Analyzer ist auf allen Switching-Geräten in der Topologie so konfiguriert, dass er den gespiegelten Datenverkehr überträgt.
remote-analyzer
Diese Topologie kann entweder ein VLAN oder eine Bridge-Domäne verwenden.
Spiegelung des Mitarbeiterdatenverkehrs für die Remoteanalyse mithilfe eines statistischen Analysetools
Wählen Sie eines der folgenden Beispiele aus, um ein statistisches Analysetool für die Remote-Datenverkehrsanalyse für den gesamten ein- und ausgehenden Mitarbeiterdatenverkehr zu konfigurieren:
- Spiegelung des Mitarbeiterdatenverkehrs für die Remote-Analyse für Switches der EX-Serie
- Spiegelung des Mitarbeiterdatenverkehrs für die Remote-Analyse für Router der MX-Serie
Spiegelung des Mitarbeiterdatenverkehrs für die Remote-Analyse für Switches der EX-Serie
CLI-Schnellkonfiguration
Um schnell einen statistischen Analysator für die Remote-Datenverkehrsanalyse des ein- und ausgehenden Mitarbeiterdatenverkehrs zu konfigurieren, kopieren Sie die folgenden Befehle für Switches der EX-Serie, und fügen Sie sie in das richtige Switching-Geräteklemmenfenster ein.
Kopieren Sie die folgenden Befehle, und fügen Sie sie in das Terminalfenster des Quell-Switching-Geräts ein:
EX-Serie
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor output vlan remote-analyzer set forwarding-options analyzer employee-monitor input rate 2 set forwarding-options analyzer employee-monitor input maximum-packet-length 128 set chassis fpc 0 port-mirror-instance employee-monitor
Kopieren Sie die folgenden Befehle, und fügen Sie sie in das Terminalfenster des Ziel-Switching-Geräts ein:
EX-Serie
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 set interfaces ge-0/0/5 unit 0 family ethernet-switching interface-mode access set forwarding-options analyzer employee-monitor input ingress vlan remote-analyzer set forwarding-options analyzer employee-monitor output interface ge-0/0/5.0
Schritt-für-Schritt-Anleitung
So konfigurieren Sie die grundlegende Remote-Spiegelung:
Gehen Sie auf dem Quell-Switching-Gerät wie folgt vor:
Konfigurieren Sie die VLAN-ID für das VLAN.
remote-analyzer
[edit] user@device# set vlans remote-analyzer vlan-id 999
Konfigurieren Sie die Schnittstelle auf dem Netzwerkport, der mit dem Ziel-Switching-Gerät verbunden ist, für den Zugriffsmodus und ordnen Sie sie dem VLAN zu.
remote-analyzer
[edit] user@device# set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode access user@device# set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999
Konfigurieren Sie das statistische Analysetool .
employee-monitor
[edit forwarding-options] user@device# set analyzer employee-monitor input ingress interface ge-0/0/0.0 user@device# set analyzer employee-monitor input ingress interface ge-0/0/1.0 user@device# set analyzer employee-monitor input egress interface ge-0/0/0.0 user@device# set analyzer employee-monitor input egress interface ge-0/0/1.0 user@device# set analyzer employee-monitor output vlan remote-analyzer user@device# set analyzer employee-monitor input rate 2 user@device# set analyzer employee-monitor input maximum-packet-length 128
Binden Sie die statistische Analyse an die FPC, die die Eingabeschnittstelle enthält.
[edit] user@device# set chassis fpc 0 port-mirror-instance employee-monitor
Gehen Sie auf dem Zielnetzwerkgerät wie folgt vor:
Konfigurieren Sie die VLAN-ID für das VLAN.
remote-analyzer
[edit] user@device# set vlans remote-analyzer vlan-id 999
Konfigurieren Sie die Schnittstelle auf dem Ziel-Switching-Gerät für den Zugriffsmodus und ordnen Sie sie dem VLAN zu.
remote-analyzer
[edit interfaces] user@device# set ge-0/0/10 unit 0 family ethernet-switching interface-mode access user@device# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999
Konfigurieren Sie die Schnittstelle, die mit dem Ziel-Switching-Gerät verbunden ist, für den Zugriffsmodus.
[edit interfaces] user@device# set ge-0/0/5 unit 0 family ethernet-switching interface-mode access
Konfigurieren Sie den Analyzer.
employee-monitor
[edit forwarding-options] user@device# set analyzer employee-monitor input ingress vlan remote-analyzer user@device# set analyzer employee-monitor output interface ge-0/0/5.0
Geben Sie Spiegelungsparameter wie die Rate und die maximale Paketlänge für den Analyzer an.
employee-monitor
[edit] user@device# set forwarding-options analyzer employee-monitor input rate 2 user@device# set forwarding-options analyzer employee-monitor input maximum-packet-length 128
Binden Sie den Analysator an den FPC, der die Eingangsports enthält.
employee-monitor
[edit] user@device# set chassis fpc 0 port-mirror-instance employee-monitor
Ergebnisse
Überprüfen Sie die Ergebnisse der Konfiguration auf dem Quell-Switching-Gerät:
[edit] user@device# show forwarding-options { analyzer employee-monitor { input { ingress { interface ge-0/0/0.0; interface ge-0/0/1.0; } egress { interface ge-0/0/0.0; interface ge-0/0/1.0; } maximum-packet-length 128; rate 2; } output { vlan { remote-analyzer; } } } } interfaces { ge-0/0/10 { unit 0 { family ethernet-switching { interface-mode access; vlan { members 999; } } } } } vlans { remote-analyzer { vlan-id 999; } }
Überprüfen Sie die Ergebnisse der Konfiguration auf dem Ziel-Switching-Gerät.
[edit] user@device# show interfaces { ge0/0/5 { unit 0 { family ethernet-switching { interface-mode access; } } } ge-0/0/10 { unit 0 { family ethernet-switching { interface-mode access; vlan { members 999; } } } } } vlans { remote-analyzer { vlan-id 999; interface { ge-0/0/10.0; } } } forwarding-options { analyzer employee-monitor { input { ingress { vlan remote-analyzer; } } output { interface { ge-0/0/5.0; } } } }
Spiegelung des Mitarbeiterdatenverkehrs für die Remote-Analyse für Router der MX-Serie
CLI-Schnellkonfiguration
Um schnell einen statistischen Analysator für die Remote-Datenverkehrsanalyse des ein- und ausgehenden Mitarbeiterdatenverkehrs zu konfigurieren, kopieren Sie die folgenden Befehle für Router der MX-Serie, und fügen Sie sie in das richtige Switching-Geräte-Terminalfenster ein.
Kopieren Sie die folgenden Befehle, und fügen Sie sie in das Terminalfenster des Quell-Switching-Geräts ein:
MX-Serie
[edit] set bridge-domains remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family bridge interface-mode access set interfaces ge-0/0/10 unit 0 family bridge vlan-id 999 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor output bridge-domain remote-analyzer set forwarding-options analyzer employee-monitor input rate 2 set forwarding-options analyzer employee-monitor input maximum-packet-length 128 set chassis fpc 0 port-mirror-instance employee-monitor
Kopieren Sie die folgenden Befehle, und fügen Sie sie in das Terminalfenster des Ziel-Switching-Geräts ein:
MX-Serie
[edit] set bridge-domains remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family bridge interface-mode access set interfaces ge-0/0/10 unit 0 family bridge vlan-id 999 set interfaces ge-0/0/5 unit 0 family bridge interface-mode access set forwarding-options analyzer employee-monitor input ingress bridge-domain remote-analyzer set forwarding-options analyzer employee-monitor output interface ge-0/0/5.0
Schritt-für-Schritt-Anleitung
So konfigurieren Sie die grundlegende Remote-Spiegelung mit Routern der MX-Serie:
Gehen Sie auf dem Quell-Switching-Gerät wie folgt vor:
Konfigurieren Sie die VLAN-ID für die Bridge-Domäne.
remote-analyzer
[edit] user@device# set bridge-domains remote-analyzer vlan-id 999
Konfigurieren Sie die Schnittstelle am Netzwerkport, der mit dem Ziel-Switching-Gerät verbunden ist, für den Zugriffsmodus und ordnen Sie sie der Bridge-Domäne zu.
remote-analyzer
[edit] user@device# set interfaces ge-0/0/10 unit 0 family bridge interface-mode access user@device# set interfaces ge-0/0/10 unit 0 family bridge vlan members 999
Konfigurieren Sie das statistische Analysetool .
employee-monitor
[edit forwarding-options] user@device# set analyzer employee-monitor input ingress interface ge-0/0/0.0 user@device# set analyzer employee-monitor input ingress interface ge-0/0/1.0 user@device# set analyzer employee-monitor input egress interface ge-0/0/0.0 user@device# set analyzer employee-monitor input egress interface ge-0/0/1.0 user@device# set analyzer employee-monitor output bridge-domain remote-analyzer user@device# set analyzer employee-monitor input rate 2 user@device# set analyzer employee-monitor input maximum-packet-length 128
Binden Sie die statistische Analyse an die FPC, die die Eingabeschnittstelle enthält.
[edit] user@device# set chassis fpc 0 port-mirror-instance employee-monitor
Gehen Sie auf dem Ziel-Switching-Gerät wie folgt vor:
Konfigurieren Sie die VLAN-ID für die Bridge-Domäne.
remote-analyzer
[edit bridge-domains] user@device# set remote-analyzer vlan-id 999
Konfigurieren Sie die Schnittstelle auf dem Ziel-Switching-Gerät für den Zugriffsmodus und ordnen Sie sie der Bridge-Domäne zu.
remote-analyzer
[edit interfaces] user@device# set ge-0/0/10 unit 0 family bridge interface-mode access user@device# set ge-0/0/10 unit 0 family bridge vlan members 999
Konfigurieren Sie die Schnittstelle, die mit dem Ziel-Switching-Gerät verbunden ist, für den Zugriffsmodus.
[edit interfaces] user@device# set ge-0/0/5 unit 0 family bridge interface-mode access
Konfigurieren Sie den Analyzer.
employee-monitor
[edit forwarding-options] user@device# set analyzer employee-monitor input ingress bridge-domain remote-analyzer user@device# set analyzer employee-monitor output interface ge-0/0/5.0
Geben Sie Spiegelungsparameter wie die Rate und die maximale Paketlänge für den Analyzer an.
employee-monitor
[edit] user@device# set forwarding-options analyzer employee-monitor input rate 2 user@device# set forwarding-options analyzer employee-monitor input maximum-packet-length 128
Binden Sie den Analysator an den FPC, der die Eingangsports enthält.
employee-monitor
[edit] user@device# set chassis fpc 0 port-mirror-instance employee-monitor
Ergebnisse
Überprüfen Sie die Ergebnisse der Konfiguration auf dem Quell-Switching-Gerät:
[edit] user@device# show bridge-domains { remote-analyzer { vlan-id 999; } } forwarding-options { analyzer { employee-monitor { input { ingress { interface ge-0/0/0.0; interface ge-0/0/1.0; } egress { interface ge-0/0/0.0; interface ge-0/0/1.0; } maximum-packet-length 128; rate 2; } output { bridge-domain { remote-analyzer; } } } } } interfaces { ge-0/0/0 { unit 0 { family bridge { interface-mode access; vlan-id 99; } } } ge-0/0/1 { unit 0 { family bridge { interface-mode access; vlan-id 98; } } } ge-0/0/10 { unit 0 { family bridge { interface-mode access; vlan-id 999; } } } }
Überprüfen Sie die Ergebnisse der Konfiguration auf dem Ziel-Switching-Gerät.
[edit] user@device# show bridge-domains { remote-analyzer { vlan-id 999; } } forwarding-options { analyzer { employee-monitor { input { ingress { interface ge-0/0/0.0; interface ge-0/0/1.0; bridge-domain remote-analyzer; } } output { interface ge-0/0/5.0; } } } } interfaces { ge-0/0/5 { unit 0 { family bridge { interface-mode access; } } } }
Überprüfung
Überprüfen, ob der Analyzer korrekt erstellt wurde
Zweck
Stellen Sie sicher, dass der genannte Analyzer auf dem Gerät mit den entsprechenden Eingangsschnittstellen und der entsprechenden Ausgabeschnittstelle erstellt wurde.employee-monitor
Was
Führen Sie den Befehl auf dem Quell-Switching-Gerät aus, um zu überprüfen, ob der Analyzer wie erwartet konfiguriert ist, während Sie den gesamten Mitarbeiterdatenverkehr auf dem Quell-Switching-Gerät überwachen.show forwarding-options analyzer
Für dieses Konfigurationsbeispiel wird die folgende Ausgabe angezeigt.
user@device> show forwarding-options analyzer Analyzer name : employee-monitor Mirror rate : 2 Maximum packet length : 128 State : up Ingress monitored interfaces : ge-0/0/0.0 Ingress monitored interfaces : ge-0/0/1.0 Egress monitored interfaces : ge-0/0/0.0 Egress monitored interfaces : ge-0/0/1.0 Output VLAN : default-switch/remote-analyzer
Bedeutung
Diese Ausgabe zeigt, dass die Instanz ein Verhältnis von 2 hat, die maximale Größe des ursprünglichen Pakets, das gespiegelt wurde, 128 beträgt, der Status der Konfiguration ist , was den richtigen Zustand anzeigt und dass der Analyzer programmiert ist , und dass der Analyzer den Datenverkehr spiegelt, der in ge-0/0/0.0 und ge-0/0/1.0 eingeht, und sendet den gespiegelten Datenverkehr an das VLAN namens remote-analyzer.employee-monitor
up
Wenn der Status der Ausgabeschnittstelle ist oder wenn die Ausgabeschnittstelle nicht konfiguriert ist, ist der Wert von niedrig und der Analyzer kann den Datenverkehr nicht überwachen.down
State
Beispiel: Konfigurieren der Spiegelung auf mehreren Schnittstellen zur Fernüberwachung der Ressourcennutzung durch Mitarbeiter auf EX9200-Switches
Mit EX9200-Switches können Sie die Spiegelung so konfigurieren, dass Kopien von Paketen entweder an eine lokale Schnittstelle zur lokalen Überwachung oder an ein VLAN zur Fernüberwachung gesendet werden. Sie können die Spiegelung verwenden, um diese Pakete zu kopieren:
Pakete, die einen Port betreten oder verlassen
Pakete, die in ein VLAN eingehen oder es verlassen
Sie können den gespiegelten Datenverkehr mit einer Protokollanalyseanwendung analysieren, die auf einer Remote-Überwachungsstation ausgeführt wird, wenn Sie gespiegelten Datenverkehr an ein Analyse-VLAN senden.
Spiegeln Sie nur notwendige Pakete, um potenzielle Leistungseinbußen zu reduzieren. Wir empfehlen Ihnen:
Deaktivieren Sie die konfigurierten Spiegelungsanalysetools, wenn Sie sie nicht verwenden.
Geben Sie einzelne Schnittstellen als Eingabe für Analysetools an, anstatt alle Schnittstellen als Eingabe anzugeben.
Begrenzen Sie die Menge des gespiegelten Datenverkehrs durch:
Mit statistischer Stichprobe.
Festlegen von Verhältnissen zur Auswahl statistischer Stichproben.
Verwenden von Firewall-Filtern.
In diesem Beispiel wird beschrieben, wie die Remote-Spiegelung auf mehrere Schnittstellen in einem Analyse-VLAN konfiguriert wird:
- Anforderungen
- Übersicht und Topologie
- Spiegelung des gesamten Mitarbeiterdatenverkehrs auf mehrere VLAN-Mitgliederschnittstellen zur Remote-Analyse
- Überprüfung
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Drei EX9200-Switches
Junos OS Version 13.2 oder höher für Switches der EX-Serie
Bevor Sie die Remote-Spiegelung konfigurieren, stellen Sie Folgendes sicher:
Die Schnittstellen, die der Analyzer als Eingangsschnittstellen verwendet, wurden auf dem Switch konfiguriert.
Übersicht und Topologie
In diesem Beispiel wird beschrieben, wie der Datenverkehr, der in die Ports des Switches eingeht, in das Remote Analyzer-VLAN gespiegelt wird, damit Sie Analysen von einer Remote-Überwachungsstation aus durchführen können. Das Remote-Analyzer-VLAN in diesem Beispiel enthält mehrere Member-Schnittstellen. Daher wird derselbe Datenverkehr auf alle Mitgliedsschnittstellen des Remote-Analyzer-VLAN gespiegelt, sodass gespiegelte Pakete an verschiedene Remote-Überwachungsstationen gesendet werden können. Sie können Anwendungen wie Sniffer und Intrusion Detection Systems auf Remote-Überwachungsstationen installieren, um diese gespiegelten Pakete zu analysieren und nützliche statistische Daten zu erhalten. Wenn es beispielsweise zwei Fernüberwachungsstationen gibt, können Sie an einer Fernüberwachungsstation einen Sniffer und an der anderen Station ein Einbruchmeldesystem installieren. Sie können eine Firewall-Filter-Analyzer-Konfiguration verwenden, um einen bestimmten Datenverkehrstyp an eine Remote-Überwachungsstation weiterzuleiten.
In diesem Beispiel wird beschrieben, wie ein Analysetool so konfiguriert wird, dass der Datenverkehr auf mehrere Schnittstellen in der Next-Hop-Gruppe gespiegelt wird, sodass der Datenverkehr zur Analyse an verschiedene Überwachungsstationen gesendet wird.
Abbildung 3 zeigt die Netzwerktopologie für dieses Beispiel.
Topologie
In diesem Beispiel:
Die Schnittstellen ge-0/0/0 und ge-0/0/1 sind Layer-2-Schnittstellen (beides Schnittstellen auf dem Quell-Switch), die als Verbindungen für Mitarbeitercomputer dienen.
Die Schnittstellen ge-0/0/10 und ge-0/0/11 sind Layer-2-Schnittstellen, die mit verschiedenen Ziel-Switches verbunden sind.
Die Schnittstelle ge-0/0/12 ist eine Layer-2-Schnittstelle, die den Destination 1-Switch mit der Fernüberwachungsstation verbindet.
Die Schnittstelle ge-0/0/13 ist eine Layer-2-Schnittstelle, die den Destination 2-Switch mit der Fernüberwachungsstation verbindet.
Das VLAN ist auf allen Switches in der Topologie so konfiguriert, dass es den gespiegelten Datenverkehr überträgt.
remote-analyzer
Spiegelung des gesamten Mitarbeiterdatenverkehrs auf mehrere VLAN-Mitgliederschnittstellen zur Remote-Analyse
Führen Sie die folgenden Aufgaben aus, um die Spiegelung auf mehrere VLAN-Mitgliederschnittstellen für die Remote-Datenverkehrsanalyse für den gesamten ein- und ausgehenden Mitarbeiterdatenverkehr zu konfigurieren:
Verfahren
CLI-Schnellkonfiguration
Um die Spiegelung für die Remote-Datenverkehrsanalyse für ein- und ausgehenden Mitarbeiterdatenverkehr schnell zu konfigurieren, kopieren Sie die folgenden Befehle, und fügen Sie sie in das Switch-Terminal-Fenster ein:
Kopieren Sie im Terminalfenster des Quell-Switches die folgenden Befehle, und fügen Sie sie ein:
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 set interfaces ge-0/0/11 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/11 unit 0 family ethernet-switching vlan members 999 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor output next-hop-group remote-analyzer-nhg set forwarding-options next-hop-group remote-analyzer-nhg interface ge-0/0/10.0 set forwarding-options next-hop-group remote-analyzer-nhg interface ge-0/0/11.0 set forwarding-options next-hop-group remote-analyzer-nhg group-type layer-2
Kopieren Sie im Fenster Switch-Terminal Ziel 1 die folgenden Befehle, und fügen Sie sie ein:
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode acess set interfaces ge-0/0/12 unit 0 family ethernet-switching interface-mode access set forwarding-options analyzer employee-monitor input ingress vlan remote-analyzer set forwarding-options analyzer employee-monitor loss-priority high output interface ge-0/0/12.0
Kopieren Sie im Switch-Terminalfenster Ziel 2 die folgenden Befehle, und fügen Sie sie ein:
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/11 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/13 unit 0 family ethernet-switching interface-mode access set forwarding-options analyzer employee-monitor input ingress vlan remote-analyzer set forwarding-options analyzer employee-monitor loss-priority high output interface ge-0/0/13.0
Schritt-für-Schritt-Anleitung
So konfigurieren Sie die grundlegende Remote-Spiegelung auf zwei VLAN-Mitgliedsschnittstellen:
Gehen Sie auf dem Quell-Switch wie folgt vor:
Konfigurieren Sie die VLAN-ID für das VLAN:
remote-analyzer
[edit vlans] user@switch# set remote-analyzer vlan-id 999
Konfigurieren Sie die Schnittstellen auf dem Netzwerkport, der mit den Ziel-Switches verbunden ist, für den Zugriffsmodus und ordnen Sie ihn dem VLAN zu:
remote-analyzer
[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999 user@switch# set ge-0/0/11 unit 0 family ethernet-switching interface-mode trunk user@switch# set ge-0/0/11 unit 0 family ethernet-switching vlan members 999
Konfigurieren Sie den Analyzer:
employee-monitor
[edit forwarding-options] user@switch# set analyzer employee-monitor input ingress interface ge-0/0/0.0 user@switch# set analyzer employee-monitor input ingress interface ge-0/0/1.0 user@switch# set analyzer employee-monitor input egress interface ge-0/0/0.0 user@switch# set analyzer employee-monitor input egress interface ge-0/0/1.0 user@switch# set analyzer employee-monitor output next-hop-group remote-analyzer-nhg
In dieser Analysekonfiguration wird Datenverkehr, der die Schnittstellen ge-0/0/0.0 und ge-0/0/1.0 ein- und ausgeht, an das Ausgabeziel gesendet, das durch die Next-Hop-Gruppe mit dem Namen definiert ist.
remote-analyzer-nhg
Konfigurieren Sie die Next-Hop-Gruppe:
remote-analyzer-nhb
[edit forwarding-options] user@switch# set next-hop-group remote-analyzer-nhg interface ge-0/0/10.0 user@switch# set next-hop-group remote-analyzer-nhg interface ge-0/0/11.0 user@switch# set next-hop-group remote-analyzer-nhg group-type layer-2
Gehen Sie auf dem Schalter "Ziel 1" wie folgt vor:
Konfigurieren Sie die VLAN-ID für das VLAN:
remote-analyzer
[edit vlans] user@switch# set remote-analyzer vlan-id 999
Konfigurieren Sie die ge-0/0/10-Schnittstelle auf dem Schalter Ziel 1 für den Zugriffsmodus:
[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching interface-mode access
Konfigurieren Sie die an die Fernüberwachungsstation angeschlossene Schnittstelle für den Zugriffsmodus:
[edit interfaces] user@switch# set ge-0/0/12 unit 0 family ethernet-switching interface-mode access
Konfigurieren Sie den Analyzer:
employee-monitor
[edit forwarding-options] user@switch# set analyzer employee-monitor input ingress vlan remote-analyzer user@switch# set analyzer employee-monitor loss-priority high output interface ge-0/0/12.0
Gehen Sie auf dem Schalter "Ziel 2" wie folgt vor:
Konfigurieren Sie die VLAN-ID für das VLAN:
remote-analyzer
[edit vlans] user@switch# set remote-analyzer vlan-id 999
Konfigurieren Sie die ge-0/0/11-Schnittstelle auf dem Schalter "Ziel 2" für den Zugriffsmodus:
[edit interfaces] user@switch# set ge-0/0/11 unit 0 family ethernet-switching interface-mode access
Konfigurieren Sie die an die Fernüberwachungsstation angeschlossene Schnittstelle für den Zugriffsmodus:
[edit interfaces] user@switch# set ge-0/0/13 unit 0 family ethernet-switching interface-mode access
Konfigurieren Sie den Analyzer:
employee-monitor
[edit forwarding-options] user@switch# set analyzer employee-monitor input ingress vlan remote-analyzer user@switch# set analyzer employee-monitor loss-priority high output interface ge-0/0/13.0
Ergebnisse
Überprüfen Sie die Ergebnisse der Konfiguration auf dem Quell-Switch:
[edit] user@switch# show forwarding-options { analyzer employee-monitor { input { ingress { interface ge-0/0/0.0; interface ge-0/0/1.0; } egress { interface ge-0/0/0.0; interface ge-0/0/1.0; } } output { next-hop-group { remote-analyzer-nhg; } } } } vlans { remote-analyzer { vlan-id 999; interface { ge-0/0/10.0 ge-0/0/11.0 } } } interfaces { ge-0/0/10 { unit 0 { family ethernet-switching { interface-mode access; } } } ge-0/0/11 { unit 0 { family ethernet-switching { interface-mode access; } } } }
Überprüfen Sie die Ergebnisse der Konfiguration auf dem Switch "Ziel 1":
[edit] user@switch# show vlans { remote-analyzer { vlan-id 999; } } interfaces { ge-0/0/10 { unit 0 { ethernet-switching { interface-mode acess; } } } ge-0/0/12 { unit 0 { family ethernet-switching { interface-mode access; } } } } forwarding-options { analyzer employee-monitor { input { ingress { vlan remote-analyzer; } } loss-priority high; output { interface { ge-0/0/12.0; } } } }
Überprüfen Sie die Ergebnisse der Konfiguration auf dem Schalter "Ziel 2":
[edit] user@switch# show vlans { remote-analyzer { vlan-id 999; interface { ge-0/0/11.0 } } } interfaces { ge-0/0/11 { unit 0 { family ethernet-switching { interface-mode access; } } } ge-0/0/13 { unit 0 { family ethernet-switching { interface-mode access; } } } } forwarding-options { employee-monitor { input { ingress { vlan remote-analyzer; } } loss-priority high; output { interface { ge-0/0/13.0; } } } }
Überprüfung
Um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert, führen Sie die folgenden Schritte aus:
Überprüfen, ob der Analyzer korrekt erstellt wurde
Zweck
Stellen Sie sicher, dass der benannte Analyzer auf dem Switch mit den entsprechenden Eingangsschnittstellen und der entsprechenden Ausgabeschnittstelle erstellt wurde.employee-monitor
Was
Mit dem Befehl können Sie überprüfen, ob das Analysetool wie erwartet konfiguriert ist.show forwarding-options analyzer
Führen Sie den Befehl auf dem Quell-Switch aus, um zu überprüfen, ob der Analyzer wie erwartet konfiguriert ist, während Sie den gesamten Mitarbeiterdatenverkehr auf dem Quell-Switch überwachen.show forwarding-options analyzer
Die folgende Ausgabe wird für diese Beispielkonfiguration auf dem Quell-Switch angezeigt:
user@switch> show forwarding-options analyzer Analyzer name : employee-monitor Mirror rate : 1 Maximum packet length : 0 State : up Ingress monitored interfaces : ge-0/0/0.0 Ingress monitored interfaces : ge-0/0/1.0 Egress monitored interfaces : ge-0/0/0.0 Egress monitored interfaces : ge-0/0/1.0 Output nhg : remote-analyzer-nhg user@switch> show forwarding-options next-hop-group Next-hop-group: remote-analyzer-nhg Type: layer-2 State: up Members Interfaces: ge-0/0/10.0 ge-0/0/11.0
Bedeutung
Diese Ausgabe zeigt, dass der Analyzer ein Verhältnis von 1 hat (jedes Paket wird gespiegelt, was das Standardverhalten ist), der Status der Konfiguration ist , was den richtigen Zustand anzeigt und dass der Analyzer programmiert ist , spiegelt den Datenverkehr, der in die oder die Schnittstellen ge-0/0/0 und ge-0/0/1 ein- oder ausgeht, und sendet gespiegelten Datenverkehr über die Next-Hop-Gruppe an mehrere Schnittstellen ge-0/0/10.0 und ge-0/0/11.0 .employee-monitor
up
remote-analyzer-nhg
Wenn der Status der Ausgabeschnittstelle ist oder wenn die Ausgabeschnittstelle nicht konfiguriert ist , ist der Wert von state niedrig, und der Analyzer kann den Datenverkehr nicht spiegeln.down
Beispiel: Konfigurieren der Spiegelung für die Fernüberwachung der Ressourcennutzung durch Mitarbeiter über einen Transit-Switch auf EX9200-Switches
Mit EX9200-Switches können Sie die Spiegelung so konfigurieren, dass Kopien von Paketen entweder an eine lokale Schnittstelle zur lokalen Überwachung oder an ein VLAN zur Fernüberwachung gesendet werden. Sie können die Spiegelung verwenden, um diese Pakete zu kopieren:
Pakete, die einen Port betreten oder verlassen
Pakete, die in ein VLAN ein- oder ausgehen
Sie können den gespiegelten Datenverkehr mit einer Protokollanalyseanwendung analysieren, die auf einer Remote-Überwachungsstation ausgeführt wird, wenn Sie gespiegelten Datenverkehr an ein Analyse-VLAN senden.
Dieses Thema enthält ein Beispiel, das beschreibt, wie der Datenverkehr, der in Ports auf dem Switch eingeht, über einen Transit-Switch in das Remote-Analyzer-VLAN gespiegelt wird, sodass Sie Analysen von einer Remote-Überwachungsstation aus durchführen können.
Spiegeln Sie nur notwendige Pakete, um potenzielle Leistungseinbußen zu reduzieren. Wir empfehlen Ihnen:
Deaktivieren Sie Ihre konfigurierten Spiegelungssitzungen, wenn Sie sie nicht verwenden.
Geben Sie einzelne Schnittstellen als Eingabe für Analysetools an, anstatt alle Schnittstellen als Eingabe anzugeben.
Begrenzen Sie die Menge des gespiegelten Datenverkehrs durch:
Mit statistischer Stichprobe.
Festlegen von Verhältnissen zur Auswahl statistischer Stichproben.
Verwenden von Firewall-Filtern.
In diesem Beispiel wird beschrieben, wie die Remotespiegelung über einen Transit-Switch konfiguriert wird:
- Anforderungen
- Übersicht und Topologie
- Spiegelung des gesamten Mitarbeiterdatenverkehrs zur Fernanalyse über einen Transit-Switch
- Überprüfung
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Ein EX9200-Switch, der über einen dritten EX9200-Switch mit einem anderen EX9200-Switch verbunden ist
Junos OS Version 13.2 oder höher für Switches der EX-Serie
Bevor Sie die Remote-Spiegelung konfigurieren, stellen Sie Folgendes sicher:
Die Schnittstellen, die der Analyzer als Eingangsschnittstellen verwendet, wurden auf dem Switch konfiguriert.
Übersicht und Topologie
In diesem Beispiel wird beschrieben, wie der Datenverkehr, der in die Ports des Switches eingeht, über einen Transit-Switch in das VLAN gespiegelt wird, sodass Sie Analysen für den gesamten Datenverkehr von Mitarbeitercomputern durchführen können.remote-analyzer
In dieser Konfiguration ist eine Analysesitzung auf dem Ziel-Switch erforderlich, um den eingehenden Datenverkehr vom Analyse-VLAN an die Ausgangsschnittstelle zu spiegeln, mit der die Remote-Überwachungsstation verbunden ist.
Abbildung 4 zeigt die Netzwerktopologie für dieses Beispiel.
Topologie
In diesem Beispiel:
Die Schnittstelle ge-0/0/0 ist eine Layer-2-Schnittstelle, und die Schnittstelle ge-0/0/1 ist eine Layer-3-Schnittstelle (beide Schnittstellen auf dem Quell-Switch), die als Verbindungen für Mitarbeitercomputer dienen.
Die Schnittstelle ge-0/0/10 ist eine Layer-2-Schnittstelle, die eine Verbindung zum Transit-Switch herstellt.
Die Schnittstelle ge-0/0/11 ist eine Layer-2-Schnittstelle auf dem Transit-Switch.
Die Schnittstelle ge-0/0/12 ist eine Layer-2-Schnittstelle auf dem Transit-Switch und stellt eine Verbindung zum Ziel-Switch her.
Die Schnittstelle ge-0/0/13 ist eine Layer-2-Schnittstelle auf dem Ziel-Switch.
Die Schnittstelle ge-0/0/14 ist eine Layer-2-Schnittstelle auf dem Ziel-Switch und stellt eine Verbindung zur Fernüberwachungsstation her.
Das VLAN ist auf allen Switches in der Topologie so konfiguriert, dass es den gespiegelten Datenverkehr überträgt.
remote-analyzer
Spiegelung des gesamten Mitarbeiterdatenverkehrs zur Fernanalyse über einen Transit-Switch
Führen Sie die folgenden Aufgaben aus, um die Spiegelung für die Remote-Datenverkehrsanalyse über einen Transit-Switch für den gesamten ein- und ausgehenden Mitarbeiterverkehr zu konfigurieren:
Verfahren
CLI-Schnellkonfiguration
Um die Spiegelung für die Remote-Datenverkehrsanalyse über einen Transit-Switch für ein- und ausgehenden Mitarbeiterverkehr schnell zu konfigurieren, kopieren Sie die folgenden Befehle, und fügen Sie sie in das Switch-Terminalfenster ein:
Kopieren Sie die folgenden Befehle, und fügen Sie sie in das Terminalfenster des Quell-Switches (überwachter Switch) ein:
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor output vlan remote-analyzer
Kopieren Sie die folgenden Befehle und fügen Sie sie in das Fenster des Transit-Switches ein:
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/11 unit 0 family ethernet-switching interface-mode access set vlans remote-analyzer interface ge-0/0/11 set interfaces ge-0/0/12 unit 0 family ethernet-switching interface-mode access set vlans remote-analyzer interface ge-0/0/12
Kopieren Sie die folgenden Befehle, und fügen Sie sie in das Ziel-Switch-Fenster ein:
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/13 unit 0 family ethernet-switching interface-mode access set vlans remote-analyzer interface ge-0/0/13 ingress set interfaces ge-0/0/14 unit 0 family ethernet-switching interface-mode access set forwarding-options analyzer employee-monitor input ingress vlan remote-analyzer set forwarding-options analyzer employee-monitor output interface ge-0/0/14.0
Schritt-für-Schritt-Anleitung
So konfigurieren Sie die Remote-Spiegelung über einen Transit-Switch:
Gehen Sie auf dem Quell-Switch wie folgt vor:
Konfigurieren Sie die VLAN-ID für das VLAN:
remote-analyzer
[edit vlans] user@switch# set remote-analyzer vlan-id 999
Konfigurieren Sie die Schnittstellen auf dem Netzwerkport, der mit dem Transit-Switch verbunden ist, für den Zugriffsmodus und ordnen Sie ihn dem VLAN zu:
remote-analyzer
[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching interface-mode access user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999
Konfigurieren Sie den Analyzer:
employee-monitor
[edit forwarding-options] user@switch# set analyzer employee-monitor input ingress interface ge-0/0/0.0 user@switch# set analyzer employee-monitor input ingress interface ge-0/0/1.0 user@switch# set analyzer employee-monitor input egress interface ge-0/0/0.0 user@switch# set analyzer employee-monitor input egress interface ge-0/0/1.0 user@switch# set analyzer employee-monitor output vlan remote-analyzer
Gehen Sie auf dem Transit-Switch wie folgt vor:
Konfigurieren Sie die VLAN-ID für das VLAN:
remote-analyzer
[edit vlans] user@switch# set remote-analyzer vlan-id 999
Konfigurieren Sie die ge-0/0/11-Schnittstelle für den Zugriffsmodus und verknüpfen Sie sie mit dem VLAN:
remote-analyzer
[edit interfaces] user@switch# set ge-0/0/11 unit 0 family ethernet-switching interface-mode access
Konfigurieren Sie die ge-0/0/12-Schnittstelle für den Zugriffsmodus, ordnen Sie sie dem VLAN zu, und legen Sie die Schnittstelle nur für ausgehenden Datenverkehr fest:
remote-analyzer
[edit interfaces] user@switch# set ge-0/0/12 unit 0 family ethernet-switching interface-mode access user@switch# set vlans remote-analyzer interface ge-0/0/12
Auf dem Ziel-Switch:
Konfigurieren Sie die VLAN-ID für das VLAN:
remote-analyzer
[edit vlans] user@switch# set remote-analyzer vlan-id 999
Konfigurieren Sie die ge-0/0/13-Schnittstelle für den Zugriffsmodus, ordnen Sie sie dem VLAN zu und legen Sie die Schnittstelle nur für eingehenden Datenverkehr fest:
remote-analyzer
[edit interfaces] user@switch# set ge-0/0/13 unit 0 family ethernet-switching interface-mode access user@switch# set vlans remote-analyzer interface ge-0/0/13 ingress
Konfigurieren Sie die an die Fernüberwachungsstation angeschlossene Schnittstelle für den Zugriffsmodus:
[edit interfaces] user@switch# set ge-0/0/14 unit 0 family ethernet-switching interface-mode access
Konfigurieren Sie den Analyzer:
remote-analyzer
[edit forwarding-options] user@switch# set analyzer employee-monitor input ingress vlan remote-analyzer user@switch# set analyzer employee-monitor output interface ge-0/0/14.0
Ergebnisse
Überprüfen Sie die Ergebnisse der Konfiguration auf dem Quell-Switch:
[edit] user@switch> show forwarding-options { analyzer employee-monitor { input { ingress { interface ge-0/0/0.0; interface ge-0/0/1.0; } egress { interface ge-0/0/0.0; interface ge-0/0/1.0; } } output { vlan { remote-analyzer; } } } } vlans { remote-analyzer { vlan-id 999; } } interfaces { ge-0/0/10 { unit 0 { family ethernet-switching { interface-mode access; vlan { member 999; } } } } }
Überprüfen Sie die Ergebnisse der Konfiguration auf dem Transit-Switch:
[edit] user@switch> show vlans { remote-analyzer { vlan-id 999; interface { ge-0/0/11.0 { } ge-0/0/12.0 { } } } } interfaces { ge-0/0/11 { unit 0 { family ethernet-switching { interface-mode access; } } } ge-0/0/12 { unit 0 { family ethernet-switching { interface-mode access; } } } }
Überprüfen Sie die Ergebnisse der Konfiguration auf dem Ziel-Switch:
[edit] user@switch> show vlans { remote-analyzer { vlan-id 999; interface { ge-0/0/13.0 { ingress; } } } } interfaces { ge-0/0/13 { unit 0 { family ethernet-switching { interface-mode access; } } } ge-0/0/14 { unit 0 { family ethernet-switching { interface-mode access; } } } } forwarding-options { analyzer employee-monitor { input { ingress { vlan remote-analyzer; } } output { interface { ge-0/0/14.0; } } } }
Überprüfung
Um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert, führen Sie die folgenden Schritte aus:
Überprüfen, ob der Analyzer korrekt erstellt wurde
Zweck
Stellen Sie sicher, dass der benannte Analyzer auf dem Switch mit den entsprechenden Eingangsschnittstellen und der entsprechenden Ausgabeschnittstelle erstellt wurde.employee-monitor
Was
Mit dem Befehl können Sie überprüfen, ob das Analysetool wie erwartet konfiguriert ist.show forwarding-options analyzer
Führen Sie den Befehl auf dem Quell-Switch aus, um zu überprüfen, ob der Analyzer wie erwartet konfiguriert ist, während Sie den gesamten Mitarbeiterdatenverkehr auf dem Quell-Switch überwachen.show forwarding-options analyzer
Für diese Beispielkonfiguration wird die folgende Ausgabe angezeigt:
user@switch> show forwarding-options analyzer Analyzer name : employee-monitor Mirror rate : 1 Maximum packet length : 0 State : up Ingress monitored interfaces : ge-0/0/0.0 Ingress monitored interfaces : ge-0/0/1.0 Egress monitored interfaces : ge-0/0/0.0 Egress monitored interfaces : ge-0/0/1.0 Output vlan : default-switch/remote-analyzer
Bedeutung
Diese Ausgabe zeigt, dass der Analyzer ein Spiegelungsverhältnis von 1 hat (Spiegelung jedes Pakets, die Standardeinstellung), der Status der Konfiguration ist , was den richtigen Zustand anzeigt und dass der Analyzer programmiert ist, den Datenverkehr spiegelt, der in ge-0/0/0 und ge-0/0/1 eingeht, und den gespiegelten Datenverkehr an den Analyzer namens sendet.employee-monitor
up
remote-analyzer
Wenn der Status der Ausgabeschnittstelle ist oder wenn die Ausgabeschnittstelle nicht konfiguriert ist , ist der Wert von state niedrig, und der Analyzer kann den Datenverkehr nicht spiegeln.down
Beispiel: Konfigurieren der Spiegelung für die lokale Überwachung der Ressourcennutzung durch Mitarbeiter auf EX4300-Switches
In diesem Beispiel wird Junos OS für Switches der EX-Serie mit Unterstützung für den Konfigurationsstil Enhanced Layer 2 Software (ELS) verwendet. Wenn auf Ihrem Switch Software ausgeführt wird, die ELS nicht unterstützt, finden Sie weitere Informationen unter Beispiel: Konfigurieren der Port-Spiegelung für die lokale Überwachung der Ressourcennutzung durch Mitarbeiter auf Switches der EX-Serie. Weitere Informationen zu ELS finden Sie unter Erste Schritte mit erweiterter Layer-2-Software.
Mit EX4300-Switches können Sie die Spiegelung so konfigurieren, dass Kopien von Paketen entweder an eine lokale Schnittstelle für die lokale Überwachung oder an ein VLAN für die Fernüberwachung gesendet werden. Sie können die Spiegelung verwenden, um diese Pakete zu kopieren:
Pakete, die einen Port betreten oder verlassen
Pakete, die in ein VLAN eingehen
Sie können den gespiegelten Datenverkehr mit einem Protokollanalysator analysieren, der auf einem System installiert ist, das mit der lokalen Zielschnittstelle verbunden ist, oder mit einer Remote-Überwachungsstation, wenn Sie gespiegelten Datenverkehr an ein Analyse-VLAN senden.
In diesem Beispiel wird beschrieben, wie die lokale Spiegelung auf einem EX4300-Switch konfiguriert wird. In diesem Beispiel wird beschrieben, wie der Switch so konfiguriert wird, dass der mit Mitarbeitercomputern verbundene Datenverkehr auf eine Analyseausgangsschnittstelle auf demselben Switch gespiegelt wird.
- Anforderungen
- Übersicht und Topologie
- Spiegelung des gesamten Mitarbeiterdatenverkehrs für lokale Analysen
- Spiegelung des Mitarbeiter-zu-Web-Datenverkehrs für lokale Analysen
- Überprüfung
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Ein EX4300-Switch
Junos OS Version 13.2X50-D10 oder höher für Switches der EX-Serie
Übersicht und Topologie
Dieses Thema enthält zwei Beispiele, in denen beschrieben wird, wie der Datenverkehr, der in Ports auf dem Switch eingeht, auf eine Zielschnittstelle auf demselben Switch gespiegelt wird (lokale Spiegelung). Das erste Beispiel zeigt, wie der gesamte Datenverkehr gespiegelt werden kann, der in die Ports eingeht, die mit den Computern der Mitarbeiter verbunden sind. Das zweite Beispiel zeigt das gleiche Szenario, enthält jedoch einen Filter, der nur den Mitarbeiterdatenverkehr spiegelt, der ins Web geleitet wird.
Die Schnittstellen ge-0/0/0 und ge-0/0/1 dienen als Anschlüsse für Mitarbeiterrechner. Die Schnittstelle ge0/0/10 ist für die Analyse des gespiegelten Datenverkehrs reserviert. Schließen Sie einen PC, auf dem eine Protokollanalyseanwendung ausgeführt wird, an die Ausgabeschnittstelle des Analysegeräts an, um den gespiegelten Datenverkehr zu analysieren.
Mehrere Ports, die auf eine Schnittstelle gespiegelt werden, können zu Pufferüberlauf und verworfenen Paketen führen.
In beiden Beispielen wird die in .Abbildung 5
Spiegelung des gesamten Mitarbeiterdatenverkehrs für lokale Analysen
Führen Sie die folgenden Aufgaben aus, um die Spiegelung für den gesamten Mitarbeiterdatenverkehr für die lokale Analyse zu konfigurieren:
Verfahren
CLI-Schnellkonfiguration
Um schnell die lokale Spiegelung für eingehenden Datenverkehr zu den beiden Ports zu konfigurieren, die mit den Computern der Mitarbeiter verbunden sind, kopieren Sie die folgenden Befehle, und fügen Sie sie in das Fenster des Switch-Terminals ein:
[edit] set interfaces ge-0/0/0 unit 0 family ethernet-switching set interfaces ge-0/0/1 unit 0 family inet address 192.0.2.1/24 set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members analyzer_vlan set vlans analyzer-vlan vlan-id 1000 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor output interface ge-0/0/10.0
Schritt-für-Schritt-Anleitung
Gehen Sie wie folgt vor, um einen aufgerufenen Analyzer zu konfigurieren und die Eingabeschnittstellen (Quelle) und die Ausgabeschnittstelle des Analyzers anzugeben:employee-monitor
Konfigurieren Sie jede Schnittstelle, die mit den Computern der Mitarbeiter verbunden ist, als Eingabeschnittstelle für den Analysator :
employee-monitor
[edit forwarding-options] user@switch# set analyzer employee-monitor input ingress interface ge–0/0/0.0 user@switch# set analyzer employee-monitor input ingress interface ge-0/0/1.0
Konfigurieren Sie die Ausgabeschnittstelle des Analysators als Teil eines VLANs:
[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members analyzer_vlan
[edit vlans] user@switch# set analyzer-vlan vlan-id 1000
Konfigurieren Sie die Schnittstelle des Ausgabeanalysators für den Analysator .
employee-monitor
Dies ist die Zielschnittstelle für die gespiegelten Pakete:[edit forwarding-options] user@switch# set analyzer employee-monitor output interface ge-0/0/10.0
Ergebnisse
Überprüfen Sie die Ergebnisse der Konfiguration:
[edit] user@switch# show forwarding-options { analyzer employee-monitor { input { ingress { interface ge-0/0/0.0; interface ge-0/0/1.0;} } output { interface { ge-0/0/10.0; } } } }
Spiegelung des Mitarbeiter-zu-Web-Datenverkehrs für lokale Analysen
Führen Sie die folgenden Aufgaben aus, um die Spiegelung für den Datenverkehr von Mitarbeitern in das Web zu konfigurieren:
Verfahren
CLI-Schnellkonfiguration
Kopieren Sie die folgenden Befehle, um schnell die lokale Spiegelung des Datenverkehrs von den beiden Ports zu konfigurieren, die mit den Computern der Mitarbeiter verbunden sind, und filtern Sie so, dass nur der Datenverkehr in das externe Web gespiegelt wird:
[edit] set forwarding-options port-mirroring instance employee-web-monitor output interface ge-0/0/10.0 set firewall family ethernet-switching filter watch-employee term employee-to-corp from destination-address 192.0.2.16/24 set firewall family ethernet-switching filter watch-employee term employee-to-corp from source-address 192.0.2.16/24 set firewall family ethernet-switching filter watch-employee term employee-to-corp then accept set firewall family ethernet-switching filter watch-employee term employee-to-web from destination-port 80 set firewall family ethernet-switching filter watch-employee term employee-to-web then port-mirroring-instance employee-web-monitor set interfaces ge-0/0/0 unit 0 family ethernet-switching filter input watch-employee set interfaces ge-0/0/1 unit 0 family ethernet-switching filter input watch-employee
Schritt-für-Schritt-Anleitung
So konfigurieren Sie die lokale Spiegelung des Mitarbeiter-zu-Web-Datenverkehrs von den beiden Ports, die mit den Computern der Mitarbeiter verbunden sind:
Konfigurieren Sie die lokale Analyseschnittstelle:
[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching
Konfigurieren Sie die Ausgabeinstanz (die Eingabe in die Instanz stammt aus der Aktion des Filters):
employee-web-monitor
[edit forwarding-options port-mirroring] user@switch# set instance employee-web-monitor output interface ge-0/0/10.0
Konfigurieren Sie einen Firewallfilter, der aufgerufen wird , gespiegelte Kopien von Mitarbeiteranforderungen an das Web an die Instanz zu senden.
watch-employee
employee-web-monitor
Akzeptieren Sie den gesamten Datenverkehr zum und vom Unternehmenssubnetz (Ziel- oder Quelladresse 192.0.2.16/24). Senden Sie gespiegelte Kopien aller Pakete, die für das Internet (Zielport 80) bestimmt sind, an die Instanz .employee-web-monitor
[edit firewall family ethernet-switching] user@switch# set filter watch-employee term employee-to-corp from destination-address 192.0.2.16/24 user@switch# set filter watch-employee term employee-to-corp from source-address 192.0.2.16/24 user@switch# set filter watch-employee term employee-to-corp then accept ser@switch# set filter watch-employee term employee-to-web from destination-port 80 user@switch# set filter watch-employee term employee-to-web then port-mirroring-instance employee-web-monitor
Wenden Sie den Filter auf die entsprechenden Ports an:
watch-employee
[edit interfaces] user@switch# set ge-0/0/0 unit 0 family ethernet-switching filter input watch-employee user@switch# set ge-0/0/1 unit 0 family ethernet-switching filter input watch-employee
Ergebnisse
Überprüfen Sie die Ergebnisse der Konfiguration:
[edit] user@switch# show forwarding-options { port-mirroring { instance { employee-web-monitor { family ethernet-switching { output { interface ge-0/0/10.0; } } } } } } ... firewall family ethernet-switching { filter watch-employee { term employee-to-corp { from { destination-address 192.0.2.16/24; source-address 192.0.2.16/24; } then accept { } term employee-to-web { from { destination-port 80; } then port-mirroring-instance employee-web-monitor; } } } ... interfaces { ge-0/0/0 { unit 0 { family ethernet-switching { interface-mode trunk; vlan members [employee-vlan, voice-vlan]; filter { input watch-employee; } } } } ge-0/0/1 { family ethernet-switching { filter { input watch-employee; } } } }
Überprüfung
Um zu bestätigen, dass die Konfiguration korrekt ist, führen Sie die folgenden Aufgaben aus:
- Überprüfen, ob der Analyzer korrekt erstellt wurde
- Überprüfen, ob die Port-Mirroring-Instanz ordnungsgemäß konfiguriert ist
Überprüfen, ob der Analyzer korrekt erstellt wurde
Zweck
Stellen Sie sicher, dass der Analysator oder auf dem Switch mit den entsprechenden Eingangsschnittstellen und der entsprechenden Ausgabeschnittstelle erstellt wurde.employee-monitor
employee-web-monitor
Was
Mit dem Befehl können Sie überprüfen, ob das Analysetool ordnungsgemäß konfiguriert ist.show forwarding-options analyzer
user@switch> show forwarding-options analyzer Analyzer name : employee-monitor Mirror rate : 1 Maximum packet length : 0 State : up Ingress monitored interfaces : ge-0/0/0.0 Ingress monitored interfaces : ge-0/0/1.0 Output interface : ge-0/0/10.0
Bedeutung
Diese Ausgabe zeigt, dass der Analyzer ein Verhältnis von 1 (Spiegelung jedes Pakets, die Standardeinstellung), die maximale Größe des ursprünglichen Pakets, das gespiegelt wurde ( gibt das gesamte Paket an), den Status der Konfiguration (ist up gibt an, dass der Analyzer den Datenverkehr spiegelt, der in die Schnittstellen ge-0/0/0 und ge-0/0/1 eintritt, und den gespiegelten Datenverkehr an die ge-0/0/10-Schnittstelle sendet).employee-monitor
0
Wenn der Zustand der Ausgabeschnittstelle nicht verfügbar ist oder wenn die Ausgabeschnittstelle nicht konfiguriert ist, wird der Wert von state und der Analysator wird nicht für die Spiegelung programmiert.down
Überprüfen, ob die Port-Mirroring-Instanz ordnungsgemäß konfiguriert ist
Zweck
Stellen Sie sicher, dass die Port-Mirroring-Instanz auf dem Switch mit den entsprechenden Eingabeschnittstellen ordnungsgemäß konfiguriert wurde.employee-web-monitor
Was
Mit dem Befehl können Sie überprüfen, ob die Portspiegelungsinstanz ordnungsgemäß konfiguriert ist.show forwarding-options port-mirroring
user@switch> show forwarding-options port-mirroring Instance Name: employee-web-monitor Instance Id: 3 Input parameters: Rate : 1 Run-length : 0 Maximum-packet-length : 0 Output parameters: Family State Destination Next-hop ethernet-switching up ge-0/0/10.0
Bedeutung
Diese Ausgabe zeigt, dass die Instanz ein Verhältnis von 1 aufweist (Spiegelung jedes Pakets, die Standardeinstellung), die maximale Größe des ursprünglichen Pakets, das gespiegelt wurde ( gibt ein ganzes Paket an), der Status der Konfiguration aktiv ist und die Portspiegelung programmiert ist und dass gespiegelter Datenverkehr von der Firewall-Filteraktion an die Schnittstelle ge-0/0/10.0 gesendet wird. Wenn der Status der Ausgabeschnittstelle nicht verfügbar ist oder wenn die Schnittstelle nicht konfiguriert ist, ist der Wert für state down und die Portspiegelung wird nicht für die Spiegelung programmiert.employee-web-monitor
0
Beispiel: Konfigurieren der Spiegelung für die Fernüberwachung der Ressourcennutzung durch Mitarbeiter auf EX4300-Switches
In diesem Beispiel wird Junos OS für Switches der EX-Serie mit Unterstützung für den Konfigurationsstil Enhanced Layer 2 Software (ELS) verwendet. Wenn auf Ihrem Switch Software ausgeführt wird, die ELS nicht unterstützt, finden Sie weitere Informationen unter Beispiel: Konfigurieren der Spiegelung für die Fernüberwachung der Ressourcennutzung durch Mitarbeiter auf EX4300-Switches. Weitere Informationen zu ELS finden Sie unter: Erste Schritte mit erweiterter Layer-2-Software.
Mit EX4300-Switches können Sie die Spiegelung so konfigurieren, dass Kopien von Paketen entweder an eine lokale Schnittstelle für die lokale Überwachung oder an ein VLAN für die Fernüberwachung gesendet werden. Sie können die Spiegelung verwenden, um diese Pakete zu kopieren:
Pakete, die einen Port betreten oder verlassen
Pakete, die in ein VLAN auf EX4300-Switches eingehen
Sie können den gespiegelten Datenverkehr analysieren, indem Sie eine Protokollanalyseanwendung verwenden, die auf einer Remote-Überwachungsstation ausgeführt wird, wenn Sie gespiegelten Datenverkehr an ein Analyse-VLAN senden.
Dieses Thema enthält zwei verwandte Beispiele, in denen beschrieben wird, wie der Datenverkehr, der in die Ports des Switches eingeht, in das VLAN gespiegelt wird, sodass Sie Analysen von einer Remote-Überwachungsstation aus durchführen können.remote-analyzer
Das erste Beispiel zeigt, wie der gesamte Datenverkehr gespiegelt werden kann, der in die Ports eingeht, die mit den Computern der Mitarbeiter verbunden sind. Das zweite Beispiel zeigt das gleiche Szenario, enthält jedoch einen Filter, der nur den Mitarbeiterdatenverkehr widerspiegelt, der ins Web geht.
Spiegeln Sie nur notwendige Pakete, um potenzielle Leistungseinbußen zu reduzieren. Wir empfehlen Ihnen:
Deaktivieren Sie Ihre konfigurierten Spiegelungssitzungen, wenn Sie sie nicht verwenden.
Geben Sie einzelne Schnittstellen als Eingabe für Analysetools an, anstatt alle Schnittstellen als Eingabe anzugeben.
Begrenzen Sie die Menge des gespiegelten Datenverkehrs mithilfe von Firewall-Filtern.
In diesem Beispiel wird beschrieben, wie die Remotespiegelung konfiguriert wird:
- Anforderungen
- Übersicht und Topologie
- Spiegelung des gesamten Mitarbeiterdatenverkehrs für die Remote-Analyse
- Spiegelung des Mitarbeiter-zu-Web-Datenverkehrs für die Remote-Analyse
- Überprüfung
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Junos OS Version 13.2X50-D10 oder höher für Switches der EX-Serie
Ein EX4300-Switch, der mit einem anderen EX4300-Switch verbunden ist
Das Diagramm zeigt ein EX4300 Virtual Chassis, das mit einem EX4300-Ziel-Switch verbunden ist.
Bevor Sie die Remote-Spiegelung konfigurieren, stellen Sie Folgendes sicher:
Sie haben ein Verständnis für Spiegelungskonzepte.
Die Schnittstellen, die der Analyzer als Eingangsschnittstellen verwendet, wurden auf dem Switch konfiguriert.
Übersicht und Topologie
Dieses Thema enthält zwei verwandte Beispiele, in denen beschrieben wird, wie die Spiegelung in das VLAN konfiguriert wird, damit die Analyse von einer Remote-Überwachungsstation aus durchgeführt werden kann.remote-analyzer
Im ersten Beispiel wird gezeigt, wie ein Switch so konfiguriert wird, dass der gesamte Datenverkehr von den Computern der Mitarbeiter gespiegelt wird. Das zweite Beispiel zeigt das gleiche Szenario, aber die Einrichtung enthält einen Filter, der nur den Mitarbeiterdatenverkehr spiegelt, der ins Web geht.
Abbildung 6 Zeigt die Netzwerktopologie für diese beiden Beispielszenarien.
Topologie
In diesem Beispiel:
Die Schnittstelle ge-0/0/0 ist eine Layer-2-Schnittstelle, und die Schnittstelle ge-0/0/1 ist eine Layer-3-Schnittstelle (beide Schnittstellen auf dem Quell-Switch), die als Verbindungen für Mitarbeitercomputer dienen.
Die Schnittstelle ge-0/0/10 ist eine Layer-2-Schnittstelle, die den Quell-Switch mit dem Ziel-Switch verbindet.
Die Schnittstelle ge-0/0/5 ist eine Layer-2-Schnittstelle, die den Ziel-Switch mit der Fernüberwachungsstation verbindet.
Das VLAN ist auf allen Switches in der Topologie so konfiguriert, dass es den gespiegelten Datenverkehr überträgt.
remote-analyzer
Spiegelung des gesamten Mitarbeiterdatenverkehrs für die Remote-Analyse
Führen Sie die folgenden Aufgaben aus, um einen Analyzer für die Remote-Datenverkehrsanalyse für den gesamten ein- und ausgehenden Mitarbeiterdatenverkehr zu konfigurieren:
Verfahren
CLI-Schnellkonfiguration
Um schnell einen Analyzer für die Remote-Datenverkehrsanalyse für ein- und ausgehenden Mitarbeiterdatenverkehr zu konfigurieren, kopieren Sie die folgenden Befehle, und fügen Sie sie in das Switch-Terminal-Fenster ein:
Kopieren Sie die folgenden Befehle, und fügen Sie sie in das Terminalfenster des Quell-Switches ein:
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor output vlan remote-analyzer
Kopieren Sie die folgenden Befehle, und fügen Sie sie in das Terminalfenster des Ziel-Switches ein:
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 set interfaces ge-0/0/5 unit 0 family ethernet-switching interface-mode trunk set forwarding-options analyzer employee-monitor input ingress vlan remote-analyzer set forwarding-options analyzer employee-monitor output interface ge-0/0/5.0
Schritt-für-Schritt-Anleitung
So konfigurieren Sie die grundlegende Remote-Port-Spiegelung:
Gehen Sie auf dem Quell-Switch wie folgt vor:
Konfigurieren Sie die VLAN-ID für das VLAN:
remote-analyzer
[edit vlans] user@switch# set remote-analyzer vlan-id 999
Konfigurieren Sie die Schnittstelle auf dem Netzwerkport, der mit dem Ziel-Switch verbunden ist, für den Trunk-Modus und ordnen Sie sie dem VLAN zu:
remote-analyzer
[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999
Konfigurieren Sie den Analyzer:
employee-monitor
[edit forwarding-options] user@switch# set analyzer employee-monitor input ingress interface ge-0/0/0.0 user@switch# set analyzer employee-monitor input ingress interface ge-0/0/1.0 user@switch# set instance employee-monitor input egress interface ge-0/0/0.0 user@switch# set analyzer employee-monitor input egress interface ge-0/0/1.0 user@switch# set analyzer employee-monitor output vlan remote-analyzer
Auf dem Ziel-Switch:
Konfigurieren Sie die VLAN-ID für das VLAN:
remote-analyzer
[edit vlans] user@switch# set remote-analyzer vlan-id 999
Konfigurieren Sie die Schnittstelle auf dem Ziel-Switch für den Trunk-Modus und ordnen Sie sie dem VLAN zu:
remote-analyzer
[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999
Konfigurieren Sie die mit dem Ziel-Switch verbundene Schnittstelle für den Trunk-Modus:
[edit interfaces] user@switch# set ge-0/0/5 unit 0 family ethernet-switching interface-mode trunk
Konfigurieren Sie den Analyzer:
employee-monitor
[edit forwarding-options] user@switch# set analyzer employee-monitor input ingress vlan remote-analyzer user@switch# set analyzer employee-monitor output interface ge-0/0/5.0
Ergebnisse
Überprüfen Sie die Ergebnisse der Konfiguration auf dem Quell-Switch:
[edit] user@switch> show forwarding-options { analyzer employee-monitor { input { ingress { interface ge-0/0/0.0; interface ge-0/0/1.0; } egress { interface ge-0/0/0.0; interface ge-0/0/1.0; } } output { vlan { remote-analyzer; } } } } interfaces { ge-0/0/10 { unit 0 { family ethernet-switching { interface-mode trunk; vlan { members 999; } } } } } vlans { remote-analyzer { vlan-id 999; interface { ge-0/0/10.0 } } } }
Überprüfen Sie die Ergebnisse der Konfiguration auf dem Ziel-Switch:
[edit] user@switch> show interfaces { ge0/0/5 { unit 0 { family ethernet-switching { interface-mode trunk; } } } ge-0/0/10 { unit 0 { family ethernet-switching { interface-mode trunk; vlan { members 999; } } } } } vlans { remote-analyzer { vlan-id 999; interface { ge-0/0/10.0 } } } } forwarding-options { analyzer employee-monitor { input { ingress { vlan remote-analyzer; } } output { interface { ge-0/0/5.0; } } } }
Spiegelung des Mitarbeiter-zu-Web-Datenverkehrs für die Remote-Analyse
Führen Sie die folgenden Aufgaben aus, um die Portspiegelung für die Remoteanalyse des Datenverkehrs von Mitarbeitern zum Web zu konfigurieren:
Verfahren
CLI-Schnellkonfiguration
Um die Portspiegelung schnell so zu konfigurieren, dass der Datenverkehr der Mitarbeiter in das externe Web gespiegelt wird, kopieren Sie die folgenden Befehle, und fügen Sie sie in das Fenster des Switch-Terminals ein:
Kopieren Sie die folgenden Befehle, und fügen Sie sie in das Terminalfenster des Quell-Switches ein:
[edit] user@switch# set forwarding-options port-mirroring instance employee-web-monitor output vlan 999 user@switch# set vlans remote-analyzer vlan-id 999 user@switch# set interfaces ge-0/0/10 unit 0 family ethernet-switching port mode trunk user@switch# set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 user@switch# set firewall family ethernet-switching filter watch-employee term employee-to-corp from destination-address 192.0.2.16/24 user@switch# set firewall family ethernet-switching filter watch-employee term employee-to-corp from source-address 192.0.2.16/24 user@switch# set firewall family ethernet-switching filter watch-employee term employee-to-corp then accept user@switch# set firewall family ethernet-switching filter watch-employee term employee-to-web from destination-port 80 user@switch# set firewall family ethernet-switching filter watch-employee term employee-to-web then port-mirror-instance employee-web-monitor user@switch# set interfaces ge-0/0/0 unit 0 family ethernet-switching filter input watch-employee user@switch# set interfaces ge-0/0/1 unit 0 family ethernet-switching filter input watch-employee
Kopieren Sie die folgenden Befehle, und fügen Sie sie in das Terminalfenster des Ziel-Switches ein:
[edit] user@switch# set vlans remote-analyzer vlan-id 999 user@switch# set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk user@switch# set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 user@switch# set interfaces ge-0/0/5 unit 0 family ethernet-switching interface-mode trunk user@switch# set forwarding-options analyzer employee-web-monitor input ingress vlan remote-analyzer user@switch# set forwarding-options analyzer employee-web-monitor output interface ge-0/0/5.0
Schritt-für-Schritt-Anleitung
So konfigurieren Sie die Port-Spiegelung des gesamten Datenverkehrs von den beiden Ports, die mit den Computern der Mitarbeiter im VLAN verbunden sind, um sie von einer Remote-Überwachungsstation aus zu verwenden:remote-analyzer
Gehen Sie auf dem Quell-Switch wie folgt vor:
Konfigurieren Sie die Port Mirroring-Instanz:
employee-web-monitor
[edit ] user@switch# set interfaces ge-0/0/10 unit 0 family ethernet-switching port mode trunk user@switch# set forwarding-options port-mirroring instance employee-web-monitor output vlan 999
Konfigurieren Sie die VLAN-ID für das VLAN:
remote-analyzer
[edit vlans] user@switch# set remote-analyzer vlan-id 999
Konfigurieren Sie die Schnittstelle so, dass sie mit dem VLAN verknüpft wird:
remote-analyzer
[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999
Konfigurieren Sie den Firewall-Filter mit dem Namen :
watch-employee
[edit firewall family ethernet-switching] user@switch# set filter watch-employee term employee-to-corp from destination-address 192.0.2.16/24 user@switch# set filter watch-employee term employee-to-corp from source-address 192.0.2.16/24 user@switch# set filter watch-employee term employee-to-corp then accept user@switch# set filter watch-employee term employee-to-web from destination-port 80 user@switch# set filter watch-employee term employee-to-web then port-mirror-instance employee-web-monitor
Wenden Sie den Firewall-Filter auf die Mitarbeiterschnittstellen an:
[edit interfaces] user@switch# set ge-0/0/0 unit 0 family ethernet-switching filter input watch-employee user@switch# set ge-0/0/1 unit 0 family ethernet-switching filter input watch-employee
Auf dem Ziel-Switch:
Konfigurieren Sie die VLAN-ID für das VLAN:
remote-analyzer
[edit vlans] user@switch# set remote-analyzer vlan-id 999
Konfigurieren Sie die Schnittstelle auf dem Ziel-Switch für den Trunk-Modus und ordnen Sie sie dem VLAN zu:
remote-analyzer
[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999
Konfigurieren Sie die mit dem Ziel-Switch verbundene Schnittstelle für den Trunk-Modus:
[edit interfaces] user@switch# set ge-0/0/5 unit 0 family ethernet-switching interface-mode trunk
Konfigurieren Sie den Analyzer:
employee-monitor
[edit forwarding-options port-mirroring] user@switch# set instance employee-web-monitor input ingress vlan remote-analyzer user@switch# set instance employee-web-monitor output interface ge-0/0/5.0
Ergebnisse
Überprüfen Sie die Ergebnisse der Konfiguration auf dem Quell-Switch:
[edit] user@switch> show interfaces { ge-0/0/10 { unit 0 { family ethernet-switching { interface-mode trunk; vlan { members remote-analyzer; } } } } ge-0/0/0 { unit 0 { family ethernet-switching { filter { input watch-employee; } } } } ge-0/0/1 { unit 0 { family ethernet-switching { filter { input watch-employee; } } } } } firewall { family ethernet-switching { filter watch-employee { term employee-to-corp { from { source-address { 192.0.2.16/24; } destination-address { 192.0.2.16/24; } } then accept; } term employee-to-web { from { destination-port 80; } then port-mirror-instance employee-web-monitor; } } } } forwarding-options { analyzer employee-web-monitor { output { vlan { 999; } } } vlans { remote-analyzer { vlan-id 999; } }
Überprüfen Sie die Ergebnisse der Konfiguration auf dem Ziel-Switch:
[edit] user@switch> show vlans { remote-analyzer { vlan-id 999; } } interfaces { ge-0/0/10 { unit 0 { family ethernet-switching { interface-mode trunk; vlan { members remote-analyzer; } } } } ge-0/0/5 { unit 0 { family ethernet-switching { interface-mode trunk; } } } } forwarding-options { port-mirroring { instance employee-web-monitor { input { ingress { vlan remote-analyzer; } } output { interface { ge-0/0/5.0; } } } }
Überprüfung
Um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert, führen Sie die folgenden Schritte aus:
Überprüfen, ob der Analyzer korrekt erstellt wurde
Zweck
Stellen Sie sicher, dass der Analyzer benannt oder auf dem Switch mit den entsprechenden Eingangsschnittstellen und der entsprechenden Ausgabeschnittstelle erstellt wurde.employee-monitor
employee-web-monitor
Was
Mit dem Befehl können Sie überprüfen, ob das Analysetool wie erwartet konfiguriert ist.show forwarding-options analyzer
Um zuvor erstellte Analysetools anzuzeigen, die deaktiviert sind, rufen Sie die J-Web-Oberfläche auf.
Führen Sie den Befehl auf dem Quell-Switch aus, um zu überprüfen, ob der Analyzer wie erwartet konfiguriert ist, während Sie den gesamten Mitarbeiterdatenverkehr auf dem Quell-Switch überwachen.show analyzer
Für dieses Konfigurationsbeispiel wird die folgende Ausgabe angezeigt:
user@switch> show forwarding-options analyzer Analyzer name : employee-monitor Mirror rate : 1 Maximum packet length : 0 State : up Ingress monitored interfaces : ge-0/0/0.0 Ingress monitored interfaces : ge-0/0/1.0 Egress monitored interfaces : ge-0/0/0.0 Egress monitored interfaces : ge-0/0/1.0 Output VLAN : default-switch/remote-analyzer
Bedeutung
Diese Ausgabe zeigt, dass die Instanz ein Verhältnis von 1 hat (Spiegelung jedes Pakets, die Standardeinstellung), die maximale Größe des ursprünglichen Pakets, das gespiegelt wurde (0 gibt das gesamte Paket an), der Status der Konfiguration aktiv ist (was den richtigen Zustand anzeigt und dass der Analyzer programmiert ist und den Datenverkehr spiegelt, der in ge-0/0/0 und ge-0/0/1 eingeht und den gespiegelten Datenverkehr an das aufgerufene VLAN sendet).employee-monitor
remote-analyzer
Wenn der Status der Ausgabeschnittstelle nicht verfügbar ist oder wenn die Ausgabeschnittstelle nicht konfiguriert ist, ist der Wert von state down und der Analyzer wird nicht für die Spiegelung programmiert.
Beispiel: Konfigurieren der Spiegelung für die Fernüberwachung der Ressourcennutzung durch Mitarbeiter über einen Transit-Switch auf EX4300-Switches
In diesem Beispiel wird Junos OS für Switches der EX-Serie mit Unterstützung für den Konfigurationsstil Enhanced Layer 2 Software (ELS) verwendet.
Mit EX4300-Switches können Sie die Spiegelung so konfigurieren, dass Kopien von Paketen entweder an eine lokale Schnittstelle für die lokale Überwachung oder an ein VLAN für die Fernüberwachung gesendet werden. Sie können die Spiegelung verwenden, um diese Pakete zu kopieren:
Pakete, die einen Port betreten oder verlassen
Pakete, die in ein VLAN auf EX4300-Switches eingehen
Sie können den gespiegelten Datenverkehr analysieren, indem Sie eine Protokollanalyseanwendung verwenden, die auf einer Remote-Überwachungsstation ausgeführt wird, wenn Sie gespiegelten Datenverkehr an ein Analyse-VLAN senden.
Dieses Thema enthält ein Beispiel, das beschreibt, wie der Datenverkehr, der in die Ports des Switches eingeht, über einen Transit-Switch in das VLAN gespiegelt wird, sodass Sie Analysen von einer Remote-Überwachungsstation aus durchführen können.remote-analyzer
Spiegeln Sie nur notwendige Pakete, um potenzielle Leistungseinbußen zu reduzieren. Wir empfehlen Ihnen:
Deaktivieren Sie Ihre konfigurierten Spiegelungssitzungen, wenn Sie sie nicht verwenden.
Geben Sie einzelne Schnittstellen als Eingabe für Analysetools an, anstatt alle Schnittstellen als Eingabe anzugeben.
Begrenzen Sie die Menge des gespiegelten Datenverkehrs mithilfe von Firewall-Filtern.
In diesem Beispiel wird beschrieben, wie die Remotespiegelung über einen Transit-Switch konfiguriert wird:
- Anforderungen
- Übersicht und Topologie
- Spiegelung des gesamten Mitarbeiterdatenverkehrs zur Fernanalyse über einen Transit-Switch
- Überprüfung
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Ein EX4300-Switch, der über einen dritten EX4300-Switch mit einem anderen EX4300-Switch verbunden ist
Junos OS Version 13.2X50-D10 oder höher für Switches der EX-Serie
Bevor Sie die Remote-Spiegelung konfigurieren, stellen Sie Folgendes sicher:
Sie haben ein Verständnis für Spiegelungskonzepte.
Die Schnittstellen, die der Analyzer als Eingangsschnittstellen verwendet, wurden auf dem Switch konfiguriert.
Übersicht und Topologie
In diesem Beispiel wird beschrieben, wie der Datenverkehr, der in die Ports des Switches eingeht, über einen Transit-Switch in das VLAN gespiegelt wird, sodass Sie Analysen von einer Remote-Überwachungsstation aus durchführen können.remote-analyzer
Das Beispiel zeigt, wie ein Switch so konfiguriert wird, dass der gesamte Datenverkehr von den Computern der Mitarbeiter zu einem Remoteanalysator gespiegelt wird.
In dieser Konfiguration ist eine Analysesitzung auf dem Ziel-Switch erforderlich, um den eingehenden Datenverkehr vom Analyse-VLAN an die Ausgangsschnittstelle zu spiegeln, mit der die Remote-Überwachungsstation verbunden ist. Sie müssen das MAC-Lernen auf dem Transit-Switch für das VLAN deaktivieren, damit das MAC-Lernen für alle Mitgliedsschnittstellen des VLANs auf dem Transit-Switch deaktiviert ist.remote-analyzer
remote-analyzer
Abbildung 7 zeigt die Netzwerktopologie für dieses Beispiel.
Topologie
In diesem Beispiel:
Die Schnittstelle ge-0/0/0 ist eine Layer-2-Schnittstelle, und die Schnittstelle ge-0/0/1 ist eine Layer-3-Schnittstelle (beide Schnittstellen auf dem Quell-Switch), die als Verbindungen für Mitarbeitercomputer dienen.
Die Schnittstelle ge-0/0/10 ist eine Layer-2-Schnittstelle, die eine Verbindung zum Transit-Switch herstellt.
Die Schnittstelle ge-0/0/11 ist eine Layer-2-Schnittstelle auf dem Transit-Switch.
Die Schnittstelle ge-0/0/12 ist eine Layer-2-Schnittstelle auf dem Transit-Switch und stellt eine Verbindung zum Ziel-Switch her.
Die Schnittstelle ge-0/0/13 ist eine Layer-2-Schnittstelle auf dem Ziel-Switch.
Die Schnittstelle ge-0/0/14 ist eine Layer-2-Schnittstelle auf dem Ziel-Switch und stellt eine Verbindung zur Fernüberwachungsstation her.
Das VLAN ist auf allen Switches in der Topologie so konfiguriert, dass es den gespiegelten Datenverkehr überträgt.
remote-analyzer
Spiegelung des gesamten Mitarbeiterdatenverkehrs zur Fernanalyse über einen Transit-Switch
Führen Sie die folgenden Aufgaben aus, um die Spiegelung für die Remote-Datenverkehrsanalyse über einen Transit-Switch für den gesamten ein- und ausgehenden Mitarbeiterverkehr zu konfigurieren:
Verfahren
CLI-Schnellkonfiguration
Um die Spiegelung für die Remote-Datenverkehrsanalyse über einen Transit-Switch für ein- und ausgehenden Mitarbeiterverkehr schnell zu konfigurieren, kopieren Sie die folgenden Befehle, und fügen Sie sie in das Switch-Terminalfenster ein:
Kopieren Sie die folgenden Befehle, und fügen Sie sie in das Terminalfenster des Quell-Switches (überwachter Switch) ein:
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor output vlan remote-analyzer
Kopieren Sie die folgenden Befehle und fügen Sie sie in das Fenster des Transit-Switches ein:
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/11 unit 0 family ethernet-switching interface-mode trunk set vlans remote-analyzer interface ge-0/0/11 set interfaces ge-0/0/12 unit 0 family ethernet-switching interface-mode trunk set vlans remote-analyzer interface ge-0/0/12 set vlans remote-analyzer no-mac-learning
Kopieren Sie die folgenden Befehle, und fügen Sie sie in das Ziel-Switch-Fenster ein:
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/13 unit 0 family ethernet-switching interface-mode trunk set vlans remote-analyzer interface ge-0/0/13 ingress set interfaces ge-0/0/14 unit 0 family ethernet-switching interface-mode trunk set forwarding-options analyzer employee-monitor input ingress vlan remote-analyzer set forwarding-options analyzer employee-monitor output interface ge-0/0/14.0
Schritt-für-Schritt-Anleitung
So konfigurieren Sie die Remote-Spiegelung über einen Transit-Switch:
Gehen Sie auf dem Quell-Switch wie folgt vor:
Konfigurieren Sie die VLAN-ID für das VLAN:
remote-analyzer
[edit vlans] user@switch# set remote-analyzer vlan-id 999
Konfigurieren Sie die Schnittstellen auf dem Netzwerkport, der mit dem Transit-Switch verbunden ist, für den Trunk-Modus und ordnen Sie ihn dem VLAN zu:
remote-analyzer
[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999
Konfigurieren Sie den Analyzer:
employee-monitor
[edit forwarding-options] user@switch# set analyzer employee-monitor input ingress interface ge-0/0/0.0 user@switch# set analyzer employee-monitor input ingress interface ge-0/0/1.0 user@switch# set analyzer employee-monitor input egress interface ge-0/0/0.0 user@switch# set analyzer employee-monitor input egress interface ge-0/0/1.0 user@switch# set analyzer employee-monitor output vlan remote-analyzer
Gehen Sie auf dem Transit-Switch wie folgt vor:
Konfigurieren Sie die VLAN-ID für das VLAN:
remote-analyzer
[edit vlans] user@switch# set remote-analyzer vlan-id 999
Konfigurieren Sie die ge-0/0/11-Schnittstelle für den Trunk-Modus und verknüpfen Sie sie mit dem VLAN:
remote-analyzer
[edit interfaces] user@switch# set ge-0/0/11 unit 0 family ethernet-switching interface-mode trunk
Konfigurieren Sie die Schnittstelle für den Trunk-Modus, ordnen Sie sie dem VLAN zu und legen Sie die Schnittstelle nur für ausgehenden Datenverkehr fest:
ge-0/0/12
remote-analyzer
[edit interfaces] user@switch# set ge-0/0/12 unit 0 family ethernet-switching interface-mode trunk user@switch# set vlans remote-analyzer interface ge-0/0/12
Konfigurieren Sie die Option für das VLAN, um das MAC-Lernen auf allen Schnittstellen zu deaktivieren, die Mitglieder des VLANs sind:
no-mac-learning
remote-analyzer
remote-analyzer
[edit interfaces] user@switch# set vlans remote-analyzer no-mac-learning
Auf dem Ziel-Switch:
Konfigurieren Sie die VLAN-ID für das VLAN:
remote-analyzer
[edit vlans] user@switch# set remote-analyzer vlan-id 999
Konfigurieren Sie die ge-0/0/13-Schnittstelle für den Trunk-Modus, ordnen Sie sie dem VLAN zu und legen Sie die Schnittstelle nur für eingehenden Datenverkehr fest:
remote-analyzer
[edit interfaces] user@switch# set ge-0/0/13 unit 0 family ethernet-switching interface-mode trunk user@switch# set vlans remote-analyzer interface ge-0/0/13 ingress
Konfigurieren Sie die an die Fernüberwachungsstation angeschlossene Schnittstelle für den Trunk-Modus:
[edit interfaces] user@switch# set ge-0/0/14 unit 0 family ethernet-switching interface-mode trunk
Konfigurieren Sie den Analyzer:
employee-monitor
[edit forwarding-options] user@switch# set analyzer employee-monitor input ingress vlan remote-analyzer user@switch# set analyzer employee-monitor output interface ge-0/0/14.0
Ergebnisse
Überprüfen Sie die Ergebnisse der Konfiguration auf dem Quell-Switch:
[edit] user@switch> show forwarding-options { analyzer employee-monitor { input { ingress { interface ge-0/0/0.0; interface ge-0/0/1.0; } egress { interface ge-0/0/0.0; interface ge-0/0/1.0; } } output { vlan { remote-analyzer; } } } } vlans { remote-analyzer { vlan-id 999; } } interfaces { ge-0/0/10 { unit 0 { family ethernet-switching { interface-mode trunk; vlan { member 999; } } } } }
Überprüfen Sie die Ergebnisse der Konfiguration auf dem Transit-Switch:
[edit] user@switch> show vlans { remote-analyzer { vlan-id 999; interface { ge-0/0/11.0 { } ge-0/0/12.0 { } } no-mac-learning; } } interfaces { ge-0/0/11 { unit 0 { family ethernet-switching { interface-mode trunk; } } } ge-0/0/12 { unit 0 { family ethernet-switching { interface-mode trunk; } } } }
Überprüfen Sie die Ergebnisse der Konfiguration auf dem Ziel-Switch:
[edit] user@switch> show vlans { remote-analyzer { vlan-id 999; interface { ge-0/0/13.0 { ingress; } } } } interfaces { ge-0/0/13 { unit 0 { family ethernet-switching { interface-mode trunk; } } } ge-0/0/14 { unit 0 { family ethernet-switching { interface-mode trunk; } } } } forwarding-options { analyzer employee-monitor { input { ingress { vlan remote-analyzer; } } output { interface { ge-0/0/14.0; } } } }
Überprüfung
Um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert, führen Sie die folgenden Schritte aus:
Überprüfen, ob der Analyzer korrekt erstellt wurde
Zweck
Stellen Sie sicher, dass der benannte Analyzer auf dem Switch mit den entsprechenden Eingangsschnittstellen und der entsprechenden Ausgabeschnittstelle erstellt wurde.employee-monitor
Was
Mit dem Befehl können Sie überprüfen, ob das Analysetool wie erwartet konfiguriert ist.show analyzer
Um zuvor erstellte Analysetools anzuzeigen, die deaktiviert sind, rufen Sie die J-Web-Oberfläche auf.
Führen Sie den Befehl auf dem Quell-Switch aus, um zu überprüfen, ob der Analyzer wie erwartet konfiguriert ist, während Sie den gesamten Mitarbeiterdatenverkehr auf dem Quell-Switch überwachen.show analyzer
Für diese Beispielkonfiguration wird die folgende Ausgabe angezeigt:
user@switch> show forwarding-options analyzer Analyzer name : employee-monitor Mirror rate : 1 Maximum packet length : 0 State : up Ingress monitored interfaces : ge-0/0/0.0 Ingress monitored interfaces : ge-0/0/1.0 Egress monitored interfaces : ge-0/0/0.0 Egress monitored interfaces : ge-0/0/1.0 Output vlan : default-switch/remote-analyzer
Bedeutung
Diese Ausgabe zeigt, dass der Analyzer ein Verhältnis von 1 hat (wobei jedes Paket gespiegelt wird, die Standardeinstellung), den Datenverkehr spiegelt, der in ge-0/0/0 und ge-0/0/1 eingeht, und den gespiegelten Datenverkehr an den Analyzer sendet.employee-monitor
remote-analyzer