Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Konfigurieren von Portspiegelung und Analysatoren

Grundlegendes zu Port Mirroring Analyzern

Die Portspiegelung kann für die Datenverkehrsanalyse auf Routern und Switches verwendet werden, die im Gegensatz zu Hubs nicht Pakete an jeden Port des Zielgeräts senden. Bei der Portspiegelung werden Kopien aller Pakete oder richtlinienbasierten Beispielpakete an lokale oder Remote-Analysetools gesendet, wo Sie die Daten überwachen und analysieren können.

Im Zusammenhang mit Port-Mirroring-Analysatoren verwenden wir den Begriff Switching-Gerät. Der Begriff gibt an, dass das Gerät (einschließlich Router) eine Switching-Funktion ausführt.

Sie können Analysatoren auf Paketebene verwenden, um Folgendes zu tun:

  • Überwachen des Netzwerkverkehrs

  • Richtlinien zur Netzwerknutzung durchsetzen

  • Richtlinien für die gemeinsame Nutzung von Dateien durchsetzen

  • Identifizieren Sie die Ursachen von Problemen

  • Identifizieren von Stationen oder Anwendungen mit hoher oder abnormaler Bandbreitennutzung

Sie können die Portspiegelung so konfigurieren, dass sie gespiegelt wird:

  • Bridged-Pakete (Layer-2-Pakete)

  • Geroutete Pakete (Layer-3-Pakete)

Gespiegelte Pakete können entweder auf eine lokale Schnittstelle für die lokale Überwachung oder in ein VLAN oder eine Bridge-Domäne für die Fernüberwachung kopiert werden.

Folgende Pakete können kopiert werden:

  • Packets entering or exiting a port—Sie können Pakete, die in Ports ein- oder ausgehen, in beliebiger Kombination für bis zu 256 Ports spiegeln. Sie können beispielsweise Kopien der Pakete, die in einige Ports eingehen, und der Pakete, die andere Ports verlassen, an denselben lokalen Analyzer-Port oder dasselbe Analyzer-VLAN senden.

  • Packets entering or exiting a VLAN or bridge domain- Sie können die Pakete, die in ein VLAN oder eine Bridge-Domäne eingehen oder es verlassen, entweder an einen lokalen Analyzer-Port oder an ein Analyzer-VLAN oder eine Bridge-Domäne spiegeln. Sie können mehrere VLANs (bis zu 256 VLANs) oder Bridge-Domänen als Eingangseingänge zu einem Analyzer konfigurieren, einschließlich eines VLAN-Bereichs und privater VLANs (PVLANs).

  • Policy-based sample packets- Sie können eine richtlinienbasierte Stichprobe von Paketen spiegeln, die in einen Port, ein VLAN oder eine Bridge-Domäne gelangen. Sie konfigurieren einen Firewallfilter mit einer Richtlinie zur Auswahl der Pakete, die gespiegelt werden sollen. Sie können das Beispiel an eine Port-Mirroring-Instanz oder an ein Analyzer-VLAN oder eine Bridge-Domäne senden.

Analyzer – Übersicht

Sie können einen Analyzer so konfigurieren, dass sowohl der Eingabedatenverkehr als auch der Ausgabedatenverkehr in derselben Analysekonfiguration definiert werden. Der zu analysierende Eingangsdatenverkehr kann entweder eingehender oder verlassener Datenverkehr eine Schnittstelle oder ein VLAN sein. Die Analysekonfiguration ermöglicht es Ihnen, diesen Datenverkehr an eine Ausgabeschnittstelle, eine Instanz, eine Next-Hop-Gruppe, ein VLAN oder eine Bridge-Domäne zu senden. Sie können einen Analyzer auf Hierarchieebene konfigurieren.[edit forwarding-options analyzer]

Statistical Analyzer – Übersicht

Sie können eine Reihe von Spiegelungseigenschaften definieren, z. B. die Spiegelungsrate und die maximale Paketlänge für den Datenverkehr, die Sie explizit an physische Ports auf dem Router oder Switch binden können. Dieser Satz von Spiegelungseigenschaften stellt einen statistischen Analyzer (auch als Nicht-Standard-Analyzer bezeichnet) dar. Auf dieser Ebene können Sie eine benannte Instanz an die physischen Ports binden, die einem bestimmten FPC zugeordnet sind.

Übersicht über den Standard-Analyzer

Sie können einen Analyzer konfigurieren, ohne Spiegelungseigenschaften (z. B. Spiegelungsrate oder maximale Paketlänge) zu konfigurieren. Standardmäßig ist die Spiegelungsrate auf 1 und die maximale Paketlänge auf die gesamte Länge des Pakets festgelegt. Diese Eigenschaften werden auf globaler Ebene angewendet und müssen nicht an eine bestimmte FPC gebunden sein.

Port-Spiegelung an einer Gruppe von Ports, die an mehrere statistische Analysetools gebunden sind

Sie können bis zu zwei statistische Analysetools auf dieselben Portgruppen auf dem Switching-Gerät anwenden. Durch die Anwendung von zwei verschiedenen Instanzen der statistischen Analyse auf dieselbe FPC oder Packet Forwarding Engine können Sie zwei unterschiedliche Layer-2-Spiegelungsspezifikationen an eine einzelne Portgruppe binden. Spiegelungseigenschaften, die an eine FPC gebunden sind, überschreiben alle Analyzer-Eigenschaften (Standard-Analyzer), die auf globaler Ebene auf dem Switching-Gerät gebunden sind. Standardmäßige Analyseeigenschaften werden überschrieben, indem eine zweite Analyseinstanz an dieselbe Portgruppe gebunden wird.

Terminologie des Port Mirroring Analyzers

Tabelle 1 Listet einige Begriffe des Port Mirroring Analyzers und deren Beschreibungen auf.

Tabelle 1: Analyzer-Terminologie
Begriff Beschreibung

Analyzer

In einer Spiegelungskonfiguration umfasst der Analyzer Folgendes:

  • Der Name des Analysators

  • Quell-(Eingangs-)Ports, VLANs oder Bridge-Domänen

  • Das Ziel für gespiegelte Pakete (entweder ein lokaler Port, ein VLAN oder eine Bridge-Domäne)

Ausgangsschnittstelle des Analysators

(Auch als Monitor-Port bezeichnet)

Schnittstelle, an die gespiegelter Datenverkehr gesendet und ein Protokollanalysator angeschlossen wird.

Schnittstellen, die als Ausgabe an einen Analyzer verwendet werden, müssen auf der Hierarchieebene konfiguriert werden.forwarding-options

Für die Ausgangsschnittstellen des Analyzers gelten die folgenden Einschränkungen:

  • Sie können nicht auch ein Quellport sein.

  • Sie nehmen nicht an Layer-2-Protokollen wie dem Spanning Tree Protocol (STP) teil.

  • Wenn die Bandbreite der Ausgangsschnittstelle des Analysators nicht ausreicht, um den Datenverkehr von den Quellports zu verarbeiten, werden Überlaufpakete verworfen.

Analyzer-VLAN oder Bridge-Domäne

(Auch als Monitor-VLAN oder Bridge-Domäne bezeichnet)

VLAN- oder Bridge-Domain, an die gespiegelter Datenverkehr gesendet wird, um von einem Protokollanalysator verwendet zu werden. Die Mitgliedsschnittstellen im Monitor-VLAN oder in der Bridge-Domäne sind über die Switching-Geräte in Ihrem Netzwerk verteilt.

Bridge-Domain-basierter Analysator

Eine Analysesitzung, die für die Verwendung von Bridge-Domänen für Eingabe, Ausgabe oder beides konfiguriert ist.

Standard-Analysator

Ein Analysetool mit Standard-Spiegelungsparametern. Standardmäßig beträgt die Spiegelungsrate 1 und die maximale Paketlänge ist die Länge des gesamten Pakets.

Eingabeschnittstelle

(Auch als gespiegelte Ports oder überwachte Schnittstellen bezeichnet)

Eine Schnittstelle auf dem Switching-Gerät, über die der Datenverkehr, der in diese Schnittstelle ein- oder ausgeht, gespiegelt wird.

LAG-basierter Analysator

Ein Analysegerät, für das in der Analysekonfiguration eine Link Aggregation Group (LAG) als Eingabeschnittstelle (Eingang) angegeben ist.

Lokale Spiegelung

Eine Analyzer-Konfiguration, bei der Pakete an einen lokalen Analyzer-Port gespiegelt werden.

Leitstelle

Ein Computer, auf dem ein Protokollanalysator ausgeführt wird.

Analyzer basierend auf Next-Hop-Gruppe

Eine Analyzer-Konfiguration, die die Next-Hop-Gruppe als Ausgabe für einen Analyzer verwendet.

Portbasierter Analysator

Eine Analysekonfiguration, die Schnittstellen für die Eingabe und Ausgabe definiert.

Protokollanalysator-Anwendung

Eine Anwendung zum Untersuchen von Paketen, die über ein Netzwerksegment übertragen werden. Wird auch als Netzwerkanalysator, Paket-Sniffer oder Probe bezeichnet.

Remote-Spiegelung

Funktioniert auf die gleiche Weise wie die lokale Spiegelung, mit dem Unterschied, dass der gespiegelte Datenverkehr nicht an einen lokalen Analyzer-Port kopiert wird, sondern an ein Analyzer-VLAN oder eine Bridge-Domäne, die Sie speziell für den Empfang von gespiegeltem Datenverkehr erstellen. Gespiegelte Pakete verfügen über ein zusätzliches äußeres Tag des Analysator-VLANs oder der Bridge-Domäne.

Statistischer Analysator

(Wird auch als nicht standardmäßiger Analyzer bezeichnet)

Eine Reihe von Spiegelungseigenschaften, die Sie explizit an die physischen Ports des Switches binden können. Dieser Satz von Analyseeigenschaften wird als statistischer Analysepunkt bezeichnet.

VLAN-basierter Analysator

Eine Analyzer-Konfiguration, die VLANs verwendet, um den gespiegelten Datenverkehr an den Analyzer zu übermitteln.

Konfigurationsrichtlinien für Portspiegelungs-Analysatoren

Wenn Sie Portspiegelungs-Analysatoren konfigurieren. Wir empfehlen Ihnen, diese Richtlinien zu befolgen, um einen optimalen Nutzen zu gewährleisten. Es wird empfohlen, die Spiegelung zu deaktivieren, wenn Sie sie nicht verwenden, und bestimmte Schnittstellen als Eingabe für das Analysetool auszuwählen, anstatt die Schlüsselwortoption zu verwenden, die die Spiegelung auf allen Schnittstellen ermöglicht.all Wenn nur die erforderlichen Pakete gespiegelt werden, werden potenzielle Leistungseinbußen reduziert.

Sie können die Menge des gespiegelten Datenverkehrs auch begrenzen, indem Sie:

  • Verwenden statistischer Stichproben

  • Verwenden eines Firewall-Filters

  • Festlegen eines Verhältnisses zur Auswahl einer statistischen Stichprobe

Bei der lokalen Spiegelung wird der Datenverkehr von mehreren Ports an die Ausgabeschnittstelle des Analysetools repliziert. Wenn die Ausgabeschnittstelle für einen Analyzer die Kapazität erreicht, werden Pakete verworfen. Sie müssen prüfen, ob der gespiegelte Datenverkehr die Kapazität der Analyse-Ausgabeschnittstelle überschreitet.

Tabelle 2 Fasst weitere Konfigurationsrichtlinien für Analysatoren zusammen.

Tabelle 2: Konfigurationsrichtlinien für Portspiegelungs-Analysatoren

Richtlinie

Wert- oder Supportinformationen

Kommentar

Anzahl der Analysen, die Sie gleichzeitig aktivieren können.

64 Standard-Analysatoren

2 pro FPC – Statistischer Analysator

Statistische Analysetools müssen an eine FPC gebunden werden, um den Datenverkehr auf Ports zu spiegeln, die zu dieser FPC gehören.

HINWEIS:

Die Eigenschaften der Standardanalyse sind implizit an die letzte (oder vorletzte) Instanz auf allen FPCs im System gebunden. Wenn Sie also explizit ein zweites statistisches Analysetool an die FPC binden, werden die Eigenschaften des Standardanalysetools überschrieben.

Anzahl der Schnittstellen, VLANs oder Bridge-Domänen, die Sie als Eingangseingabe für einen Analyzer verwenden können.

256

Porttypen, auf denen der Datenverkehr nicht gespiegelt werden kann.

  • Virtual Chassis-Ports (VCPs)

  • Management-Ethernet-Ports (me0 oder vme0)

  • Integrierte Routing- und Bridging-Schnittstellen (IRB)

  • VLAN-getaggte Layer-3-Schnittstellen

 

Protokollfamilien, die Sie in ein Analysetool einbinden können.

für Switches der EX-Serie und für Router der MX-Serie.ethernet-switchingbridge

Ein Analyzer spiegelt nur den überbrückten Datenverkehr wider. Um gerouteten Datenverkehr zu spiegeln, verwenden Sie die Portspiegelungskonfiguration mit as oder .familyinetinet6

Pakete mit Fehlern auf der physikalischen Ebene werden nicht an den lokalen oder Remote-Analysator gesendet.

Anwendbar

Pakete mit diesen Fehlern werden herausgefiltert und somit nicht an den Analysator gesendet.

Analyzer unterstützt keinen Leitungsdatenverkehr.

Anwendbar

Die Spiegelung des Datenverkehrs mit Leitungsgeschwindigkeit erfolgt nach bestem Bemühen.

Analyzer-Ausgabe auf einer LAG-Schnittstelle.

Unterstützt

 

Analyzer-Ausgangsschnittstellenmodus als Trunk-Modus.

Unterstützt

  • Die Trunk-Schnittstelle muss Mitglied aller VLANs oder Bridge-Domänen sein, die sich auf die Eingangskonfiguration des Analysetools beziehen.

  • Sie müssen die Option verwenden, wenn der Eingang als VLAN oder Bridge-Domäne konfiguriert wurde und die Ausgabe eine Trunk-Schnittstelle ist. mirror-once

    HINWEIS:

    Wenn die Analyzer-Eingabe sowohl aus der Eingangs- als auch aus der Ausgangsspiegelung stammt, wird bei der Option mirror-once nur der Eingangsdatenverkehr gespiegelt. Wenn sowohl eine Eingangs- als auch eine Ausgangsspiegelung erforderlich ist, darf die Ausgabeschnittstelle kein Trunk sein. Konfigurieren Sie in solchen Fällen die Schnittstelle als Zugriffsschnittstelle.

Ausgangsspiegelung von hostgenerierten Steuerpaketen.

Nicht unterstützt

 

Konfiguration logischer Layer-3-Schnittstellen in der Zeilengruppe eines Analysetools.input

Nicht unterstützt

 

Die Eingabe- und Ausgabezeilen des Analyzers, die Mitglieder desselben VLAN oder des VLAN selbst enthalten, müssen vermieden werden.

Anwendbar

 

Unterstützung für VLAN und seine Mitgliedsschnittstellen in verschiedenen Analysesitzungen

Nicht unterstützt

Wenn die Spiegelung konfiguriert ist, ist einer der Analyzer aktiv.

Ausgangsspiegelung von aggregierten Ethernet-Schnittstellen (ae) und deren untergeordneten logischen Schnittstellen, die für verschiedene Analysetools konfiguriert sind.

Nicht unterstützt

 

Konfigurieren der Spiegelung auf EX9200-Switches zur Analyse des Datenverkehrs (CLI-Verfahren)

Mit EX9200-Switches können Sie die Spiegelung so konfigurieren, dass Kopien von Paketen entweder an eine lokale Schnittstelle zur lokalen Überwachung oder an ein VLAN zur Fernüberwachung gesendet werden. Sie können die Spiegelung verwenden, um die folgenden Pakete zu kopieren:

  • Pakete, die einen Port betreten oder verlassen

  • Pakete, die in ein VLAN ein- oder ausgehen

Bewährte Verfahren:

Spiegeln Sie nur notwendige Pakete, um potenzielle Leistungseinbußen zu reduzieren. Wir empfehlen Ihnen:

  • Deaktivieren Sie die von Ihnen konfigurierten Analysetools, wenn Sie sie nicht verwenden.

  • Geben Sie einzelne Schnittstellen als Eingabe für Analysetools an, anstatt alle Schnittstellen als Eingabe anzugeben.

  • Begrenzen Sie die Menge des gespiegelten Datenverkehrs durch:

    • Mit statistischer Stichprobe.

    • Festlegen von Verhältnissen zur Auswahl statistischer Stichproben.

    • Verwenden von Firewall-Filtern.

HINWEIS:

Wenn Sie zusätzliche Analysetools erstellen möchten, ohne die vorhandenen Analysetools zu löschen, deaktivieren Sie die vorhandenen Analysetools, indem Sie die Anweisung über die Befehlszeilenschnittstelle (CLI) oder über die J-Web-Konfigurationsseite für die Spiegelung verwenden.disable analyzer analyzer-name

HINWEIS:

Schnittstellen, die als Ausgabe für einen Analyzer verwendet werden, müssen unter dem konfiguriert und einem VLAN zugeordnet werden.ethernet-switching family

Konfigurieren eines Analysetools für die Analyse des lokalen Datenverkehrs

So spiegeln Sie den Netzwerkdatenverkehr oder VLAN-Datenverkehr auf dem Switch mithilfe von Analysetools auf eine Schnittstelle auf dem Switch:

  1. Wählen Sie einen Namen für den Analysator und geben Sie die Eingabe an:

    Erstellen Sie z. B. einen Analyzer, der aufgerufen wird , die Pakete zu überwachen, die in die Schnittstellen ge-0/0/0.0 und ge-0/0/1.0 eingehen:employee-monitor

  2. Konfigurieren Sie die Zielschnittstelle für die gespiegelten Pakete:

    Konfigurieren Sie z. B. ge-0/0/10.0 als Zielschnittstelle für den Analyzer:employee-monitor

Konfigurieren eines Analysetools für die Remote-Datenverkehrsanalyse

So spiegeln Sie den Datenverkehr, der Schnittstellen oder ein VLAN auf dem Switch durchläuft, in ein VLAN, das für die Analyse von einem Remote-Standort aus verwendet wird:

  1. Konfigurieren Sie ein VLAN für die Übertragung des gespiegelten Datenverkehrs:

    Definieren Sie beispielsweise ein aufgerufenes Analyzer-VLAN und weisen Sie ihm die VLAN-ID zu:remote-analyzer999

  2. Setzen Sie die Schnittstelle, die mit dem Verteiler-Switch verbunden ist, auf den Zugriffsmodus und ordnen Sie sie dem Analysator-VLAN zu:

    Legen Sie beispielsweise die Schnittstelle ge-0/1/1 auf den Zugriffsmodus fest und ordnen Sie sie der VLAN-ID des Analysators zu:999

  3. Konfigurieren Sie den Analyzer:
    1. Definieren Sie einen Analyzer und geben Sie den Datenverkehr an, der gespiegelt werden soll:

      Definieren Sie z. B. den Analyzer, für den der zu spiegelnde Datenverkehr aus Paketen besteht, die in die Schnittstellen ge-0/0/0.0 und ge-0/0/1.0 eingehen:employee-monitor

    2. Geben Sie das Analyzer-VLAN als Ausgabe für den Analyzer an:

      Geben Sie beispielsweise das VLAN als Ausgabeanalysator für den Analysator an:remote-analyzeremployee-monitor

Konfigurieren eines statistischen Analysetools für die Analyse des lokalen Datenverkehrs

So spiegeln Sie den Schnittstellendatenverkehr oder VLAN-Datenverkehr auf dem Switch mithilfe eines statistischen Analysetools auf eine Schnittstelle auf dem Switch:

  1. Wählen Sie einen Namen für den Analysator und geben Sie die Eingabeschnittstellen an:

    Geben Sie z. B. einen Analyzer namens und die Eingabeschnittstellen ge-0/0/0 und ge-0/0/1 an:employee-monitor

  2. Konfigurieren Sie die Zielschnittstelle für die gespiegelten Pakete:

    Konfigurieren Sie z. B. ge-0/0/10.0 als Zielschnittstelle für die gespiegelten Pakete:

  3. Geben Sie die Spiegelungseigenschaften an.
    1. Geben Sie die Spiegelungsrate an, d. h. die Anzahl der Pakete, die pro Sekunde gespiegelt werden sollen:

      Der gültige Bereich liegt zwischen 1 und 65.535.

    2. Geben Sie an, bei welcher Länge gespiegelte Pakete abgeschnitten werden:

    Der gültige Bereich liegt zwischen 0 und 9216. Der Standardwert ist 0 und gibt an, dass gespiegelte Pakete nicht abgeschnitten werden.

Konfigurieren eines statistischen Analysetools für die Remote-Datenverkehrsanalyse

So spiegeln Sie den Datenverkehr, der Schnittstellen oder ein VLAN auf dem Switch durchläuft, in ein VLAN zur Analyse von einem Remote-Standort mithilfe eines statistischen Analysetools:

  1. Konfigurieren Sie ein VLAN für die Übertragung des gespiegelten Datenverkehrs:

    Konfigurieren Sie beispielsweise ein VLAN, das mit der VLAN-ID aufgerufen wird:remote-analyzer999

  2. Setzen Sie die Schnittstelle, die mit dem Distribution-Switch verbunden ist, in den Zugriffsmodus und ordnen Sie sie dem VLAN zu:

    Legen Sie beispielsweise die Schnittstelle ge-0/1/1.0, die mit dem Verteiler-Switch verbunden ist, auf den Zugriffsmodus fest und ordnen Sie sie dem VLAN zu:remote-analyzer

  3. Konfigurieren Sie den statistischen Analysator:
    1. Geben Sie den Datenverkehr an, der gespiegelt werden soll:

      Geben Sie beispielsweise die Pakete an, die an den Ports ge-0/0/0.0 und ge-0/0/1.0 gespiegelt werden sollen:

    2. Geben Sie einen Ausgang für den Analyzer an:

      Geben Sie beispielsweise das VLAN als Ausgabe für den Analyzer an:remote-analyzer

  4. Geben Sie die Spiegelungseigenschaften an.

    1. Geben Sie die Spiegelungsrate an, d. h. die Anzahl der Pakete, die pro Sekunde gespiegelt werden sollen:

      Der gültige Bereich liegt zwischen 1 und 65.535.

    2. Geben Sie die Länge an, auf die gespiegelte Pakete gekürzt werden sollen:

    Der gültige Bereich liegt zwischen 0 und 9216. Der Standardwert ist 0, was bedeutet, dass die gespiegelten Pakete nicht abgeschnitten werden.

Bindung statistischer Analysetools an Ports, die auf FPC-Ebene gruppiert sind

Sie können eine statistische Analyse an eine bestimmte FPC im Switch binden, d. h., Sie können die Instanz der statistischen Analyse auf der FPC-Ebene des Switches binden. Die in der statistischen Analyse angegebenen Spiegelungseigenschaften werden auf alle physischen Ports angewendet, die allen Paketweiterleitungsmodulen in der angegebenen FPC zugeordnet sind.

So binden Sie eine benannte Instanz des Layer-2-Analyzers an eine FPC:

  1. Aktivieren Sie die Konfiguration der Eigenschaften des Switch-Gehäuses:

  2. Aktivieren Sie die Konfiguration eines FPC (und der installierten PICs):

  3. Binden einer Statistikanalyseinstanz an die FPC:

  4. (Optional) Um eine zweite Instanz der Layer-2-Spiegelung der statistischen Analyse an dieselbe FPC zu binden, wiederholen Sie Schritt 3, und geben Sie einen anderen Namen für die statistische Analyse an:

  5. Überprüfen Sie die Mindestkonfiguration der Bindung:

HINWEIS:

Beim Binden einer zweiten Instanz ( in diesem Beispiel) überschreiben die Spiegelungseigenschaften dieser Sitzung, sofern konfiguriert, alle Standardanalysen.stats_analyzer-2

Konfigurieren eines Analyzers mit mehreren Zielen mithilfe von Next-Hop-Gruppen

Sie können den Datenverkehr auf mehrere Ziele spiegeln, indem Sie Next-Hop-Gruppen als Analyseausgabe konfigurieren. Die Spiegelung von Paketen an mehrere Ziele wird auch als Multipacket-Port-Spiegelung bezeichnet.

So spiegeln Sie den Schnittstellendatenverkehr oder VLAN-Datenverkehr auf dem Switch auf eine Schnittstelle auf dem Switch (mithilfe von Analysetools):

  1. Wählen Sie einen Namen für den Analysator und geben Sie die Eingabe an:

    Erstellen Sie z. B. einen aufgerufenen Analyzer, für den der Eingangsverkehr aus Paketen besteht, die in die Schnittstellen ge-0/0/0.0 und ge-0/0/1.0 eingehen:employee-monitor

  2. Konfigurieren Sie die Zielschnittstelle für die gespiegelten Pakete:

    Konfigurieren Sie z. B. die Next-Hop-Gruppe als Ziel für das Analysetool:nhgemployee-monitor

Definieren einer Next-Hop-Gruppe für die Layer-2-Spiegelung

Die Next-Hop-Gruppenkonfiguration auf Konfigurationsebene ermöglicht es Ihnen, einen Next-Hop-Gruppennamen, den Typ der Adressen, die in der Next-Hop-Gruppe verwendet werden sollen, und die logischen Schnittstellen zu definieren, die die verschiedenen Ziele bilden, an die der Datenverkehr gespiegelt werden kann.[edit forwarding-options] Standardmäßig wird die Next-Hop-Gruppe mithilfe von Layer-3-Adressen mit der Anweisung angegeben.[edit forwarding-options next-hop-group next-hop-group-name group-type inet] Wenn Sie stattdessen eine Next-Hop-Gruppe mit Layer-2-Adressen angeben möchten, schließen Sie die Anweisung ein.[edit forwarding-options next-hop-group next-hop-group-name group-type layer-2]

So definieren Sie eine Next-Hop-Gruppe für die Layer-2-Spiegelung:

  1. Aktivieren Sie die Konfiguration einer Next-Hop-Gruppe für die Layer-2-Spiegelung:

    Konfigurieren Sie z. B. mit dem Namen :next-hop-groupnhg

  2. Geben Sie den Typ der Adressen an, die in der Next-Hop-Gruppenkonfiguration verwendet werden sollen:

    Konfigurieren Sie z. B. als , weil die Ausgabe des Analyzers nur wie folgt aussehen darf:next-hop-group typelayer-2layer-2

  3. Geben Sie die logischen Schnittstellen der Next-Hop-Gruppe an:

    So geben Sie z. B. ge-0/0/10.0 und ge-0/0/11.0 als logische Schnittstellen der Next-Hop-Gruppe an:nhg

Konfigurieren der Spiegelung auf EX4300-Switches zur Analyse des Datenverkehrs (CLI-Verfahren)

HINWEIS:

Für diese Aufgabe wird Junos OS für Switches der EX-Serie mit Unterstützung für den Konfigurationsstil Enhanced Layer 2 Software (ELS) verwendet.

Mit EX4300-Switches können Sie die Spiegelung so konfigurieren, dass Kopien von Paketen entweder an eine lokale Schnittstelle für die lokale Überwachung oder an ein VLAN für die Fernüberwachung gesendet werden. Sie können die Spiegelung verwenden, um diese Pakete zu kopieren:

  • Pakete, die einen Port betreten oder verlassen

  • Pakete, die in ein VLAN eingehen

Bewährte Verfahren:

Spiegeln Sie nur notwendige Pakete, um potenzielle Leistungseinbußen zu reduzieren. Wir empfehlen Ihnen:

  • Deaktivieren Sie Ihre konfigurierten Spiegelungskonfigurationen, wenn Sie sie nicht verwenden.

  • Geben Sie einzelne Schnittstellen als Eingabe für Analysetools an, anstatt alle Schnittstellen als Eingabe anzugeben.

  • Begrenzen Sie die Menge des gespiegelten Datenverkehrs mithilfe von Firewall-Filtern.

HINWEIS:

Wenn Sie zusätzliche Analysetools erstellen möchten, ohne die vorhandenen Analysetools zu löschen, deaktivieren Sie die vorhandenen Analysetools, indem Sie die Anweisung in der Befehlszeilenschnittstelle oder auf der J-Web-Konfigurationsseite für die Spiegelung verwenden.disable analyzer analyzer-name

HINWEIS:

Schnittstellen, die als Ausgabe für einen Analyzer verwendet werden, müssen unter der Familie konfiguriert werden.ethernet-switching

Konfigurieren eines Analysetools für die Analyse des lokalen Datenverkehrs

So spiegeln Sie den Schnittstellendatenverkehr oder VLAN-Datenverkehr auf dem Switch auf eine Schnittstelle auf dem Switch (mithilfe von Analysetools):

  1. Wählen Sie einen Namen für den Analysator und geben Sie die Eingabe an:

    Erstellen Sie z. B. einen aufgerufenen Analyzer, für den der Eingangsdatenverkehr Pakete sind, die in die Schnittstellen ge-0/0/0.0 und ge-0/0/1.0 eingehen:employee-monitor

  2. Konfigurieren Sie die Zielschnittstelle für die gespiegelten Pakete:

    Konfigurieren Sie z. B. ge-0/0/10.0 als Zielschnittstelle für den Analyzer:employee-monitor

Konfigurieren eines Analysetools für die Remote-Datenverkehrsanalyse

So spiegeln Sie den Datenverkehr, der Schnittstellen oder ein VLAN auf dem Switch durchläuft, zur Analyse von einem Remote-Standort aus in ein VLAN wider (mithilfe von Analysetools):

  1. Konfigurieren Sie ein VLAN für die Übertragung des gespiegelten Datenverkehrs:

    Definieren Sie beispielsweise ein aufgerufenes Analyzer-VLAN und weisen Sie ihm die VLAN-ID zu :remote-analyzer999

  2. Setzen Sie die Uplink-Modulschnittstelle, die mit dem Distribution-Switch verbunden ist, in den Trunk-Modus und ordnen Sie sie dem Analyzer-VLAN zu:

    Setzen Sie beispielsweise die Schnittstelle ge-0/1/1 in den Trunk-Modus und ordnen Sie sie der VLAN-ID des Analysators zu:999

  3. Konfigurieren Sie den Analyzer:
    1. Definieren Sie einen Analyzer und geben Sie den Datenverkehr an, der gespiegelt werden soll:

      Definieren Sie z. B. den Analyzer, für den der zu spiegelnde Datenverkehr Pakete sind, die in die Schnittstellen ge-0/0/0.0 und ge-0/0/1.0 eingehen:employee-monitor

    2. Geben Sie das Analyzer-VLAN als Ausgabe für den Analyzer an:

      Geben Sie beispielsweise das VLAN als Ausgabeanalysator für den Analysator an:remote-analyzeremployee-monitor

Konfigurieren der Portspiegelung

Um Pakete zu filtern, die auf eine Port-Mirroring-Instanz gespiegelt werden sollen, erstellen Sie die Instanz, und verwenden Sie sie dann als Aktion im Firewall-Filter. Sie können Firewallfilter sowohl in lokalen als auch in Remote-Spiegelungskonfigurationen verwenden.

Wenn dieselbe Port-Mirroring-Instanz in mehreren Filtern oder Begriffen verwendet wird, werden die Pakete nur einmal in den Ausgangsport des Analyzers oder das VLAN des Analyzers kopiert.

Um gespiegelten Datenverkehr zu filtern, erstellen Sie eine Portspiegelungsinstanz unter der Hierarchieebene und dann einen Firewallfilter.[edit forwarding-options] Der Filter kann jede der verfügbaren Übereinstimmungsbedingungen verwenden und muss als Aktion vorhanden sein .port-mirror-instance instance-name Diese Aktion in der Firewallfilterkonfiguration liefert die Eingabe für die Portspiegelungsinstanz.

So konfigurieren Sie eine Portspiegelungsinstanz mit Firewall-Filtern:

  1. Konfigurieren Sie den Namen der Port-Mirroring-Instanz (hier, ) und die Ausgabe:employee-monitor
    1. Legen Sie für die lokale Analyse die Ausgabe auf die lokale Schnittstelle fest, an die Sie den Computer anschließen, auf dem der Protokollanalysator ausgeführt wird:
    2. Legen Sie für die Remote-Analyse die Ausgabe auf das VLAN fest:remote-analyzer
  2. Erstellen Sie einen Firewall-Filter, indem Sie eine der verfügbaren Übereinstimmungsbedingungen verwenden, und weisen Sie ihn der Aktion zu:employee-monitorport-mirror-instance

    Dieser Schritt zeigt einen Firewall-Filter mit zwei Begriffen ( und ):example-filterno-analyzerto-analyzer

    1. Erstellen Sie den ersten Begriff, um den Datenverkehr zu definieren, der nicht an die Portspiegelungsinstanz übergeben werden soll: employee-monitor
    2. Erstellen Sie den zweiten Begriff, um den Datenverkehr zu definieren, der an die Portspiegelungsinstanz übergeben werden soll:employee-monitor
  3. Wenden Sie den Firewall-Filter auf die Schnittstellen oder das VLAN an, die Eingaben für die Port-Mirroring-Instanz bereitstellen:

Konfigurieren der Portspiegelung zur Analyse des Datenverkehrs (CLI-Verfahren)

Bei dieser Konfigurationsaufgabe wird Junos OS für Switches der EX-Serie verwendet, die den Konfigurationsstil Enhanced Layer 2 Software (ELS) nicht unterstützen.

Mit Switches der EX-Serie können Sie die Port-Spiegelung so konfigurieren, dass Kopien von Paketen entweder an eine lokale Schnittstelle zur lokalen Überwachung oder an ein VLAN zur Fernüberwachung gesendet werden. Sie können die Portspiegelung verwenden, um diese Pakete zu kopieren:

  • Pakete, die einen Port betreten oder verlassen

  • Pakete, die in ein VLAN auf EX2200-, EX3200-, EX3300-, EX4200-, EX4500- oder EX6200-Switches eingehen

  • Pakete, die ein VLAN auf EX8200-Switches verlassen

Bewährte Verfahren:

Spiegeln Sie nur notwendige Pakete, um potenzielle Leistungseinbußen zu reduzieren. Wir empfehlen Ihnen:

  • Deaktivieren Sie die konfigurierten Portspiegelungsanalysen, wenn Sie sie nicht verwenden.

  • Geben Sie einzelne Schnittstellen als Eingabe für Analysetools an, anstatt alle Schnittstellen als Eingabe anzugeben.

  • Begrenzen Sie die Menge des gespiegelten Datenverkehrs durch:

    • Mit statistischer Stichprobe.

    • Festlegen von Verhältnissen zur Auswahl statistischer Stichproben.

    • Verwenden von Firewall-Filtern.

Bevor Sie mit der Konfiguration der Portspiegelung beginnen, beachten Sie die folgenden Einschränkungen für Analyzer-Ausgabeschnittstellen:

  • Kann nicht auch ein Quellport sein.

  • Kann nicht zum Umschalten verwendet werden.

  • Nehmen Sie nicht an Layer-2-Protokollen (z. B. RSTP) teil, wenn diese Teil einer Portspiegelungskonfiguration sind.

  • Behalten Sie keine VLAN-Zuordnungen bei, die sie besaßen, bevor sie als Analyzer-Ausgabeschnittstellen konfiguriert wurden.

HINWEIS:

Wenn Sie zusätzliche Analyzer erstellen möchten, ohne den vorhandenen Analyzer zu löschen, deaktivieren Sie zunächst den vorhandenen Analyzer mit dem Befehl oder der J-Web-Konfigurationsseite für die Portspiegelung.disable analyzer analyzer-name

HINWEIS:

Schnittstellen, die als Ausgabe für einen Analysator verwendet werden, müssen als Familie konfiguriert werden.ethernet-switching

Konfigurieren der Portspiegelung für die Analyse des lokalen Datenverkehrs

So spiegeln Sie den Schnittstellen- oder VLAN-Datenverkehr auf dem Switch auf eine andere Schnittstelle auf dem Switch:

  1. Wählen Sie einen Namen für den Analysator – in diesem Fall – und geben Sie die Eingabe an – in diesem Fall die eingehenden Pakete und :employee-monitorge-0/0/0ge-0/0/1
  2. Optional können Sie eine statistische Stichprobe der Pakete angeben, indem Sie ein Verhältnis festlegen:

    Wenn das Verhältnis auf 200 festgelegt ist, wird 1 von 200 Paketen an den Analyzer gespiegelt. Sie können statistische Stichproben verwenden, um das Volumen des gespiegelten Datenverkehrs zu reduzieren, da ein hohes Volumen an gespiegeltem Datenverkehr für den Switch leistungsintensiv sein kann. Bei EX8200-Switches können Sie ein Verhältnis nur für eingehende Pakete festlegen.

  3. Konfigurieren Sie die Zielschnittstelle für die gespiegelten Pakete:

Konfigurieren der Portspiegelung für die Remote-Datenverkehrsanalyse

So spiegeln Sie den Datenverkehr, der Schnittstellen oder ein VLAN auf dem Switch durchläuft, zur Analyse von einem Remote-Standort in ein VLAN wider:

  1. Konfigurieren Sie ein VLAN für die Übertragung des gespiegelten Datenverkehrs. Dieses VLAN wird in dieser Dokumentation gemäß der Konvention 999 aufgerufen und mit der ID 999 versehen:remote-analyzer
  2. Setzen Sie die Uplink-Modulschnittstelle, die mit dem Distribution-Switch verbunden ist, in den Trunk-Modus und ordnen Sie sie dem VLAN zu:remote-analyzer
  3. Konfigurieren Sie den Analyzer:
    1. Wählen Sie einen Namen und setzen Sie die Verlustpriorität auf hoch. Die Verlustpriorität sollte bei der Konfiguration für die Remote-Port-Spiegelung immer auf "Hoch" gesetzt werden:
    2. Geben Sie den Datenverkehr an, der gespiegelt werden soll, in diesem Beispiel die Pakete, die in Ports eingehen, und :ge-0/0/0ge-0/0/1
    3. Geben Sie das VLAN als Ausgabe für den Analyzer an:remote-analyzer
  4. Optional können Sie eine statistische Stichprobe der Pakete angeben, indem Sie ein Verhältnis festlegen:

    Wenn das Verhältnis auf 200 eingestellt ist, wird 1 von 200 Paketen in den Analyzer gespiegelt. Auf diese Weise können Sie das Volumen des gespiegelten Datenverkehrs reduzieren, da ein sehr hohes Volumen an gespiegeltem Datenverkehr für den Switch leistungsintensiv sein kann.

Filtern des Datenverkehrs, der in einen Analyzer gelangt

Um zu filtern, welche Pakete in einen Analyzer gespiegelt werden, erstellen Sie den Analyzer und verwenden Sie ihn dann als Aktion im Firewallfilter. Sie können Firewallfilter sowohl in lokalen als auch in Remote-Port-Spiegelungskonfigurationen verwenden.

Wenn derselbe Analyzer in mehreren Filtern oder Termen verwendet wird, werden die Pakete nur einmal in den Ausgangsport des Analyzers oder das Analyzer-VLAN kopiert.

Um gespiegelten Datenverkehr zu filtern, erstellen Sie einen Analyzer und dann einen Firewallfilter. Der Filter kann jede der verfügbaren Übereinstimmungsbedingungen verwenden und muss über die Aktion .analyzer Die Aktion des Firewall-Filters liefert die Eingabe an den Analysator.

So konfigurieren Sie die Portspiegelung mit Filtern:

  1. Konfigurieren Sie den Namen des Analysators (hier, ) und die Ausgabe:employee-monitor
    1. Legen Sie für die lokale Analyse die Ausgabe auf die lokale Schnittstelle fest, mit der Sie den Computer verbinden, auf dem die Protokollanalyseanwendung ausgeführt wird:
    2. Setzen Sie für die Remote-Analyse die Verlustpriorität auf "Hoch" und legen Sie die Ausgabe auf das VLAN fest:remote-analyzer
  2. Erstellen Sie einen Firewall-Filter mit einer der verfügbaren Übereinstimmungsbedingungen, und geben Sie die Aktion wie folgt an:analyzer

    In diesem Schritt wird ein Firewallfilter mit dem Namen , mit zwei Begriffen angezeigt:example-filter

    1. Erstellen Sie den ersten Begriff, um den Datenverkehr zu definieren, der nicht zum Analysetool durchgeleitet werden soll:
    2. Erstellen Sie den zweiten Begriff, um den Datenverkehr zu definieren, der zum Analysetool durchgeleitet werden soll:
  3. Wenden Sie den Firewall-Filter auf die Schnittstellen oder das VLAN an, die in den Analyzer eingegeben werden:

Verifizieren von Ein- und Ausgängen für Port-Mirroring-Analysatoren auf Switches der EX-Serie

Zweck

Bei dieser Verifizierungsaufgabe wird Junos OS für Switches der EX-Serie verwendet, die den Konfigurationsstil Enhanced Layer 2 Software (ELS) nicht unterstützen.

Stellen Sie sicher, dass auf dem Switch ein Analyzer erstellt wurde und über die entsprechenden Spiegeleingangsschnittstellen sowie die entsprechende Analyzer-Ausgangsschnittstelle verfügt.

Was

Mit dem Befehl können Sie überprüfen, ob der Port Mirror Analyzer wie erwartet konfiguriert ist.show analyzer

Sie können alle auf dem Switch konfigurierten Port-Mirror-Analysatoren, einschließlich derer, die deaktiviert sind, anzeigen, indem Sie den Befehl im Konfigurationsmodus verwenden.show ethernet-switching-options

Bedeutung

Diese Ausgabe zeigt, dass der Mitarbeitermonitor-Analysator ein Verhältnis von 1 hat (wobei jedes Paket gespiegelt wird, die Standardeinstellung), eine Verlustpriorität von (setzen Sie diese Option auf immer dann, wenn die Analysatorausgabe in ein VLAN erfolgt), den Datenverkehr spiegelt, der in ge-0/0/0 und ge-0/0/1 eingeht, und den gespiegelten Datenverkehr an den Analyzer namens remote-analyzer sendet.highhigh

Beispiel: Konfigurieren von Port Mirroring Analyzers für die lokale Überwachung der Ressourcennutzung durch Mitarbeiter

Mit Geräten von Juniper Networks können Sie die Port-Spiegelung so konfigurieren, dass Kopien von Paketen entweder an eine lokale Schnittstelle zur lokalen Überwachung, an ein VLAN oder an eine Bridge-Domäne zur Fernüberwachung gesendet werden. Sie können die Spiegelung verwenden, um diese Pakete zu kopieren:

  • Pakete, die einen Port betreten oder verlassen

  • Pakete, die in ein VLAN oder eine Bridge-Domäne eingehen oder diese verlassen

Anschließend können Sie den gespiegelten Datenverkehr lokal oder remote mit einem Protokollanalysator analysieren. Sie können einen Analyzer auf einer lokalen Zielschnittstelle installieren. Wenn Sie gespiegelten Datenverkehr an ein Analyzer-VLAN oder eine Bridge-Domäne senden, können Sie einen Analyzer auf einer Remote-Überwachungsstation verwenden.

In diesem Thema wird beschrieben, wie die lokale Spiegelung auf einem Switching-Gerät konfiguriert wird. In den Beispielen in diesem Thema wird beschrieben, wie ein Switching-Gerät so konfiguriert wird, dass der Datenverkehr, der Schnittstellen eingeht, die mit Mitarbeitercomputern verbunden sind, zu einer Analyse-Ausgabeschnittstelle auf demselben Gerät gespiegelt wird.

Anforderungen

Verwenden Sie eine der folgenden Hardware- und Softwarekomponenten:

  • Ein EX9200-Switch mit Junos OS Version 13.2 oder höher

  • Ein Router der MX-Serie mit Junos OS Version 14.1 oder höher

Bevor Sie die Portspiegelung konfigurieren, stellen Sie sicher, dass Sie mit den Spiegelungskonzepten vertraut sind. Weitere Informationen zu Analysetools finden Sie unter Grundlegendes zu Portspiegelungsanalysen. Weitere Informationen zur Portspiegelung finden Sie unter Grundlegendes zur Layer-2-Portspiegelung.Grundlegendes zur Layer-2-Port-Spiegelung

Übersicht und Topologie

In diesem Thema wird beschrieben, wie der gesamte Datenverkehr, der in die Ports des Switching-Geräts eingeht, auf eine Zielschnittstelle auf demselben Gerät gespiegelt wird (lokale Spiegelung). In diesem Fall gelangt der Datenverkehr über Ports, die mit den Computern der Mitarbeiter verbunden sind.

HINWEIS:

Die Spiegelung des gesamten Datenverkehrs erfordert eine beträchtliche Bandbreite und sollte nur während einer aktiven Untersuchung durchgeführt werden.

Die Schnittstellen ge-0/0/0 und ge-0/0/1 dienen als Anschlüsse für Mitarbeiterrechner.

Die Schnittstelle ge-0/0/10 ist für die Analyse des gespiegelten Datenverkehrs reserviert.

Schließen Sie einen PC, auf dem ein Protokollanalysator ausgeführt wird, an die Ausgabeschnittstelle des Analysators an.

HINWEIS:

Mehrere Ports, die auf eine Schnittstelle gespiegelt werden, können einen Pufferüberlauf verursachen, der dazu führt, dass gespiegelte Pakete an der Ausgabeschnittstelle verworfen werden.

Abbildung 1 zeigt die Netzwerktopologie für dieses Beispiel.

Abbildung 1: Beispiel für eine Netzwerktopologie für die lokale PortspiegelungBeispiel für eine Netzwerktopologie für die lokale Portspiegelung

Spiegelung des gesamten Mitarbeiterdatenverkehrs für lokale Analysen

Verfahren

CLI-Schnellkonfiguration

Um schnell die lokale Spiegelung für eingehenden Datenverkehr zu konfigurieren, der über zwei Ports gesendet wird, die mit den Computern der Mitarbeiter verbunden sind, kopieren Sie einen der folgenden Befehle für Switches der EX-Serie oder für Router der MX-Serie, und fügen Sie sie in das Terminalfenster des Switching-Geräts ein:

EX-Serie

MX-Serie

Schritt-für-Schritt-Anleitung

Gehen Sie wie folgt vor, um einen aufgerufenen Analyzer zu konfigurieren und sowohl die Eingabeschnittstellen (Quelle) als auch die Ausgabeschnittstelle des Analyzers anzugeben:employee-monitor

  1. Konfigurieren Sie jede Schnittstelle, die in der Analyzer-Konfiguration verwendet werden soll. Verwenden Sie das Familienprotokoll, das für Ihre Plattform geeignet ist.

    Um eine Schnittstelle zu konfigurieren, müssen Sie auch oder konfigurieren.family bridgeinterface-mode accessinterface-mode trunk Außerdem müssen Sie .vlan-id

  2. Konfigurieren Sie jede Schnittstelle, die mit den Computern der Mitarbeiter verbunden ist, als Output-Analyzer-Schnittstelle .employee-monitor

  3. Konfigurieren Sie die Schnittstelle für die Ausgabeanalyse für die Analyse.employee-monitor

    Dies ist die Zielschnittstelle für die gespiegelten Pakete.

Ergebnisse

Überprüfen Sie die Ergebnisse der Konfiguration.

Überprüfung

Überprüfen, ob der Analyzer korrekt erstellt wurde

Zweck

Stellen Sie sicher, dass der Analysator auf dem Switching-Gerät mit den entsprechenden Eingangsschnittstellen und der entsprechenden Ausgabeschnittstelle erstellt wurde.employee-monitor

Was

Verwenden Sie den Betriebsbefehl, um zu überprüfen, ob ein Analysetool wie erwartet konfiguriert ist.show forwarding-options analyzer

Bedeutung

Die Ausgabe zeigt, dass der Analyzer ein Verhältnis von 1 hat (d. h. jedes Paket wird gespiegelt, die Standardeinstellung), die maximale Größe des ursprünglich gespiegelten Pakets ist 0 (was angibt, dass das gesamte Paket gespiegelt wird), der Status der Konfiguration ist , und der Analyzer spiegelt den Datenverkehr, der in die ge-0/0/0-Schnittstelle eintritt, und sendet den gespiegelten Datenverkehr an die ge-0/0/10-Schnittstelle.employee-monitorup

Wenn der Status der Ausgabeschnittstelle lautet oder wenn die Ausgabeschnittstelle nicht konfiguriert ist, gibt der Wert von an, dass der Analyzer keinen gespiegelten Datenverkehr empfängt.downStatedown

Beispiel: Konfigurieren der Portspiegelung für die Fernüberwachung der Ressourcennutzung durch Mitarbeiter

Mit Geräten von Juniper Networks können Sie die Port-Spiegelung so konfigurieren, dass Kopien von Paketen entweder an eine lokale Schnittstelle zur lokalen Überwachung oder an ein VLAN oder eine Bridge-Domäne zur Remote-Überwachung gesendet werden. Sie können die Spiegelung verwenden, um diese Pakete zu kopieren:

  • Pakete, die einen Port betreten oder verlassen

  • Pakete, die in ein VLAN ein- oder ausgehen

  • Pakete, die in eine Bridge-Domäne ein- oder ausgehen

Wenn Sie gespiegelten Datenverkehr an ein Analysator-VLAN oder eine Bridge-Domäne senden, können Sie den gespiegelten Datenverkehr mit einem Protokollanalysator analysieren, der auf einer Remote-Überwachungsstation ausgeführt wird.

Bewährte Verfahren:

Spiegeln Sie nur notwendige Pakete, um potenzielle Leistungseinbußen zu reduzieren. Wir empfehlen Folgendes:

  • Deaktivieren Sie Ihre konfigurierten Spiegelungssitzungen, wenn Sie sie nicht verwenden.

  • Geben Sie einzelne Schnittstellen als Eingabe für Analysetools an, anstatt alle Schnittstellen als Eingabe anzugeben.

  • Begrenzen Sie die Menge des gespiegelten Datenverkehrs durch:

    • Mit statistischer Stichprobe.

    • Festlegen von Verhältnissen zur Auswahl statistischer Stichproben.

    • Verwenden von Firewall-Filtern.

In den Beispielen in diesem Thema wird beschrieben, wie Sie die Remoteportspiegelung konfigurieren, um die Ressourcennutzung durch Mitarbeiter zu analysieren.

Anforderungen

In diesem Beispiel wird eines der folgenden Paare von Hardware- und Softwarekomponenten verwendet:

  • Ein EX9200-Switch ist mit einem anderen EX9200-Switch verbunden, auf denen jeweils Junos OS Version 13.2 oder höher ausgeführt wird

  • Ein Router der MX-Serie, der mit einem anderen Router der MX-Serie verbunden ist, auf beiden läuft Junos OS Version 14.1 oder höher

Bevor Sie die Remote-Spiegelung konfigurieren, stellen Sie Folgendes sicher:

  • Sie haben ein Verständnis für Spiegelungskonzepte. Weitere Informationen zu Analysetools finden Sie unter Grundlegendes zu Portspiegelungsanalysen. Weitere Informationen zur Portspiegelung finden Sie unter Grundlegendes zur Layer-2-Portspiegelung.Grundlegendes zur Layer-2-Port-Spiegelung

  • Die Schnittstellen, die der Analysator als Eingangsschnittstellen verwendet, sind bereits auf dem Switching-Gerät konfiguriert.

Übersicht und Topologie

In diesem Thema wird beschrieben, wie Sie die Port-Spiegelung in ein Remote-Analyse-VLAN oder eine Bridge-Domäne konfigurieren, sodass die Analyse von einer Remote-Überwachungsstation aus durchgeführt werden kann.

Abbildung 2 zeigt die Netzwerktopologie sowohl für das Beispiel der EX-Serie als auch für das Beispielszenario der MX-Serie.

Topologie

Abbildung 2: Netzwerktopologie für Remote-Port-Spiegelung und -AnalyseNetzwerktopologie für Remote-Port-Spiegelung und -Analyse

In diesem Beispiel:

  • Die Schnittstelle ge-0/0/0 ist eine Layer-2-Schnittstelle, und die Schnittstelle ge-0/0/1 ist eine Layer-3-Schnittstelle (beides sind Schnittstellen auf dem Quellgerät), die als Verbindungen für Mitarbeitercomputer dienen.

  • Die Schnittstelle ge-0/0/10 ist eine Layer-2-Schnittstelle, die das Quell-Switching-Gerät mit dem Ziel-Switching-Gerät verbindet.

  • Die Schnittstelle ge-0/0/5 ist eine Layer-2-Schnittstelle, die das Ziel-Switching-Gerät mit der Fernüberwachungsstation verbindet.

  • Der Analyzer ist auf allen Switching-Geräten in der Topologie so konfiguriert, dass er den gespiegelten Datenverkehr überträgt.remote-analyzer Diese Topologie kann entweder ein VLAN oder eine Bridge-Domäne verwenden.

Spiegelung des Mitarbeiterdatenverkehrs für die Remoteanalyse mithilfe eines statistischen Analysetools

Wählen Sie eines der folgenden Beispiele aus, um ein statistisches Analysetool für die Remote-Datenverkehrsanalyse für den gesamten ein- und ausgehenden Mitarbeiterdatenverkehr zu konfigurieren:

Spiegelung des Mitarbeiterdatenverkehrs für die Remote-Analyse für Switches der EX-Serie

CLI-Schnellkonfiguration

Um schnell einen statistischen Analysator für die Remote-Datenverkehrsanalyse des ein- und ausgehenden Mitarbeiterdatenverkehrs zu konfigurieren, kopieren Sie die folgenden Befehle für Switches der EX-Serie, und fügen Sie sie in das richtige Switching-Geräteklemmenfenster ein.

  • Kopieren Sie die folgenden Befehle, und fügen Sie sie in das Terminalfenster des Quell-Switching-Geräts ein:

    EX-Serie

  • Kopieren Sie die folgenden Befehle, und fügen Sie sie in das Terminalfenster des Ziel-Switching-Geräts ein:

    EX-Serie

Schritt-für-Schritt-Anleitung

So konfigurieren Sie die grundlegende Remote-Spiegelung:

  1. Gehen Sie auf dem Quell-Switching-Gerät wie folgt vor:

    • Konfigurieren Sie die VLAN-ID für das VLAN.remote-analyzer

    • Konfigurieren Sie die Schnittstelle auf dem Netzwerkport, der mit dem Ziel-Switching-Gerät verbunden ist, für den Zugriffsmodus und ordnen Sie sie dem VLAN zu.remote-analyzer

    • Konfigurieren Sie das statistische Analysetool .employee-monitor

    • Binden Sie die statistische Analyse an die FPC, die die Eingabeschnittstelle enthält.

  2. Gehen Sie auf dem Zielnetzwerkgerät wie folgt vor:

    • Konfigurieren Sie die VLAN-ID für das VLAN.remote-analyzer

    • Konfigurieren Sie die Schnittstelle auf dem Ziel-Switching-Gerät für den Zugriffsmodus und ordnen Sie sie dem VLAN zu.remote-analyzer

    • Konfigurieren Sie die Schnittstelle, die mit dem Ziel-Switching-Gerät verbunden ist, für den Zugriffsmodus.

    • Konfigurieren Sie den Analyzer.employee-monitor

    • Geben Sie Spiegelungsparameter wie die Rate und die maximale Paketlänge für den Analyzer an.employee-monitor

    • Binden Sie den Analysator an den FPC, der die Eingangsports enthält.employee-monitor

Ergebnisse

Überprüfen Sie die Ergebnisse der Konfiguration auf dem Quell-Switching-Gerät:

Überprüfen Sie die Ergebnisse der Konfiguration auf dem Ziel-Switching-Gerät.

Spiegelung des Mitarbeiterdatenverkehrs für die Remote-Analyse für Router der MX-Serie

CLI-Schnellkonfiguration

Um schnell einen statistischen Analysator für die Remote-Datenverkehrsanalyse des ein- und ausgehenden Mitarbeiterdatenverkehrs zu konfigurieren, kopieren Sie die folgenden Befehle für Router der MX-Serie, und fügen Sie sie in das richtige Switching-Geräte-Terminalfenster ein.

  • Kopieren Sie die folgenden Befehle, und fügen Sie sie in das Terminalfenster des Quell-Switching-Geräts ein:

    MX-Serie

  • Kopieren Sie die folgenden Befehle, und fügen Sie sie in das Terminalfenster des Ziel-Switching-Geräts ein:

    MX-Serie

Schritt-für-Schritt-Anleitung

So konfigurieren Sie die grundlegende Remote-Spiegelung mit Routern der MX-Serie:

  1. Gehen Sie auf dem Quell-Switching-Gerät wie folgt vor:

    • Konfigurieren Sie die VLAN-ID für die Bridge-Domäne.remote-analyzer

    • Konfigurieren Sie die Schnittstelle am Netzwerkport, der mit dem Ziel-Switching-Gerät verbunden ist, für den Zugriffsmodus und ordnen Sie sie der Bridge-Domäne zu.remote-analyzer

    • Konfigurieren Sie das statistische Analysetool .employee-monitor

    • Binden Sie die statistische Analyse an die FPC, die die Eingabeschnittstelle enthält.

  2. Gehen Sie auf dem Ziel-Switching-Gerät wie folgt vor:

    • Konfigurieren Sie die VLAN-ID für die Bridge-Domäne.remote-analyzer

    • Konfigurieren Sie die Schnittstelle auf dem Ziel-Switching-Gerät für den Zugriffsmodus und ordnen Sie sie der Bridge-Domäne zu.remote-analyzer

    • Konfigurieren Sie die Schnittstelle, die mit dem Ziel-Switching-Gerät verbunden ist, für den Zugriffsmodus.

    • Konfigurieren Sie den Analyzer.employee-monitor

    • Geben Sie Spiegelungsparameter wie die Rate und die maximale Paketlänge für den Analyzer an.employee-monitor

    • Binden Sie den Analysator an den FPC, der die Eingangsports enthält.employee-monitor

Ergebnisse

Überprüfen Sie die Ergebnisse der Konfiguration auf dem Quell-Switching-Gerät:

Überprüfen Sie die Ergebnisse der Konfiguration auf dem Ziel-Switching-Gerät.

Überprüfung

Überprüfen, ob der Analyzer korrekt erstellt wurde

Zweck

Stellen Sie sicher, dass der genannte Analyzer auf dem Gerät mit den entsprechenden Eingangsschnittstellen und der entsprechenden Ausgabeschnittstelle erstellt wurde.employee-monitor

Was

Führen Sie den Befehl auf dem Quell-Switching-Gerät aus, um zu überprüfen, ob der Analyzer wie erwartet konfiguriert ist, während Sie den gesamten Mitarbeiterdatenverkehr auf dem Quell-Switching-Gerät überwachen.show forwarding-options analyzer Für dieses Konfigurationsbeispiel wird die folgende Ausgabe angezeigt.

Bedeutung

Diese Ausgabe zeigt, dass die Instanz ein Verhältnis von 2 hat, die maximale Größe des ursprünglichen Pakets, das gespiegelt wurde, 128 beträgt, der Status der Konfiguration ist , was den richtigen Zustand anzeigt und dass der Analyzer programmiert ist , und dass der Analyzer den Datenverkehr spiegelt, der in ge-0/0/0.0 und ge-0/0/1.0 eingeht, und sendet den gespiegelten Datenverkehr an das VLAN namens remote-analyzer.employee-monitorup

Wenn der Status der Ausgabeschnittstelle ist oder wenn die Ausgabeschnittstelle nicht konfiguriert ist, ist der Wert von niedrig und der Analyzer kann den Datenverkehr nicht überwachen.downState

Beispiel: Konfigurieren der Spiegelung auf mehreren Schnittstellen zur Fernüberwachung der Ressourcennutzung durch Mitarbeiter auf EX9200-Switches

Mit EX9200-Switches können Sie die Spiegelung so konfigurieren, dass Kopien von Paketen entweder an eine lokale Schnittstelle zur lokalen Überwachung oder an ein VLAN zur Fernüberwachung gesendet werden. Sie können die Spiegelung verwenden, um diese Pakete zu kopieren:

  • Pakete, die einen Port betreten oder verlassen

  • Pakete, die in ein VLAN eingehen oder es verlassen

Sie können den gespiegelten Datenverkehr mit einer Protokollanalyseanwendung analysieren, die auf einer Remote-Überwachungsstation ausgeführt wird, wenn Sie gespiegelten Datenverkehr an ein Analyse-VLAN senden.

Bewährte Verfahren:

Spiegeln Sie nur notwendige Pakete, um potenzielle Leistungseinbußen zu reduzieren. Wir empfehlen Ihnen:

  • Deaktivieren Sie die konfigurierten Spiegelungsanalysetools, wenn Sie sie nicht verwenden.

  • Geben Sie einzelne Schnittstellen als Eingabe für Analysetools an, anstatt alle Schnittstellen als Eingabe anzugeben.

  • Begrenzen Sie die Menge des gespiegelten Datenverkehrs durch:

    • Mit statistischer Stichprobe.

    • Festlegen von Verhältnissen zur Auswahl statistischer Stichproben.

    • Verwenden von Firewall-Filtern.

In diesem Beispiel wird beschrieben, wie die Remote-Spiegelung auf mehrere Schnittstellen in einem Analyse-VLAN konfiguriert wird:

Anforderungen

In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:

  • Drei EX9200-Switches

  • Junos OS Version 13.2 oder höher für Switches der EX-Serie

Bevor Sie die Remote-Spiegelung konfigurieren, stellen Sie Folgendes sicher:

  • Die Schnittstellen, die der Analyzer als Eingangsschnittstellen verwendet, wurden auf dem Switch konfiguriert.

Übersicht und Topologie

In diesem Beispiel wird beschrieben, wie der Datenverkehr, der in die Ports des Switches eingeht, in das Remote Analyzer-VLAN gespiegelt wird, damit Sie Analysen von einer Remote-Überwachungsstation aus durchführen können. Das Remote-Analyzer-VLAN in diesem Beispiel enthält mehrere Member-Schnittstellen. Daher wird derselbe Datenverkehr auf alle Mitgliedsschnittstellen des Remote-Analyzer-VLAN gespiegelt, sodass gespiegelte Pakete an verschiedene Remote-Überwachungsstationen gesendet werden können. Sie können Anwendungen wie Sniffer und Intrusion Detection Systems auf Remote-Überwachungsstationen installieren, um diese gespiegelten Pakete zu analysieren und nützliche statistische Daten zu erhalten. Wenn es beispielsweise zwei Fernüberwachungsstationen gibt, können Sie an einer Fernüberwachungsstation einen Sniffer und an der anderen Station ein Einbruchmeldesystem installieren. Sie können eine Firewall-Filter-Analyzer-Konfiguration verwenden, um einen bestimmten Datenverkehrstyp an eine Remote-Überwachungsstation weiterzuleiten.

In diesem Beispiel wird beschrieben, wie ein Analysetool so konfiguriert wird, dass der Datenverkehr auf mehrere Schnittstellen in der Next-Hop-Gruppe gespiegelt wird, sodass der Datenverkehr zur Analyse an verschiedene Überwachungsstationen gesendet wird.

Abbildung 3 zeigt die Netzwerktopologie für dieses Beispiel.

Abbildung 3: Beispiel für Remote-Spiegelung Netzwerktopologie mit mehreren VLAN-Mitgliedsschnittstellen in der Next-Hop-GruppeBeispiel für Remote-Spiegelung Netzwerktopologie mit mehreren VLAN-Mitgliedsschnittstellen in der Next-Hop-Gruppe

Topologie

In diesem Beispiel:

  • Die Schnittstellen ge-0/0/0 und ge-0/0/1 sind Layer-2-Schnittstellen (beides Schnittstellen auf dem Quell-Switch), die als Verbindungen für Mitarbeitercomputer dienen.

  • Die Schnittstellen ge-0/0/10 und ge-0/0/11 sind Layer-2-Schnittstellen, die mit verschiedenen Ziel-Switches verbunden sind.

  • Die Schnittstelle ge-0/0/12 ist eine Layer-2-Schnittstelle, die den Destination 1-Switch mit der Fernüberwachungsstation verbindet.

  • Die Schnittstelle ge-0/0/13 ist eine Layer-2-Schnittstelle, die den Destination 2-Switch mit der Fernüberwachungsstation verbindet.

  • Das VLAN ist auf allen Switches in der Topologie so konfiguriert, dass es den gespiegelten Datenverkehr überträgt.remote-analyzer

Spiegelung des gesamten Mitarbeiterdatenverkehrs auf mehrere VLAN-Mitgliederschnittstellen zur Remote-Analyse

Führen Sie die folgenden Aufgaben aus, um die Spiegelung auf mehrere VLAN-Mitgliederschnittstellen für die Remote-Datenverkehrsanalyse für den gesamten ein- und ausgehenden Mitarbeiterdatenverkehr zu konfigurieren:

Verfahren

CLI-Schnellkonfiguration

Um die Spiegelung für die Remote-Datenverkehrsanalyse für ein- und ausgehenden Mitarbeiterdatenverkehr schnell zu konfigurieren, kopieren Sie die folgenden Befehle, und fügen Sie sie in das Switch-Terminal-Fenster ein:

  • Kopieren Sie im Terminalfenster des Quell-Switches die folgenden Befehle, und fügen Sie sie ein:

  • Kopieren Sie im Fenster Switch-Terminal Ziel 1 die folgenden Befehle, und fügen Sie sie ein:

  • Kopieren Sie im Switch-Terminalfenster Ziel 2 die folgenden Befehle, und fügen Sie sie ein:

Schritt-für-Schritt-Anleitung

So konfigurieren Sie die grundlegende Remote-Spiegelung auf zwei VLAN-Mitgliedsschnittstellen:

  1. Gehen Sie auf dem Quell-Switch wie folgt vor:

    • Konfigurieren Sie die VLAN-ID für das VLAN:remote-analyzer

    • Konfigurieren Sie die Schnittstellen auf dem Netzwerkport, der mit den Ziel-Switches verbunden ist, für den Zugriffsmodus und ordnen Sie ihn dem VLAN zu:remote-analyzer

    • Konfigurieren Sie den Analyzer:employee-monitor

      In dieser Analysekonfiguration wird Datenverkehr, der die Schnittstellen ge-0/0/0.0 und ge-0/0/1.0 ein- und ausgeht, an das Ausgabeziel gesendet, das durch die Next-Hop-Gruppe mit dem Namen definiert ist.remote-analyzer-nhg

    • Konfigurieren Sie die Next-Hop-Gruppe:remote-analyzer-nhb

  2. Gehen Sie auf dem Schalter "Ziel 1" wie folgt vor:

    • Konfigurieren Sie die VLAN-ID für das VLAN:remote-analyzer

    • Konfigurieren Sie die ge-0/0/10-Schnittstelle auf dem Schalter Ziel 1 für den Zugriffsmodus:

    • Konfigurieren Sie die an die Fernüberwachungsstation angeschlossene Schnittstelle für den Zugriffsmodus:

    • Konfigurieren Sie den Analyzer:employee-monitor

  3. Gehen Sie auf dem Schalter "Ziel 2" wie folgt vor:

    • Konfigurieren Sie die VLAN-ID für das VLAN:remote-analyzer

    • Konfigurieren Sie die ge-0/0/11-Schnittstelle auf dem Schalter "Ziel 2" für den Zugriffsmodus:

    • Konfigurieren Sie die an die Fernüberwachungsstation angeschlossene Schnittstelle für den Zugriffsmodus:

    • Konfigurieren Sie den Analyzer:employee-monitor

Ergebnisse

Überprüfen Sie die Ergebnisse der Konfiguration auf dem Quell-Switch:

Überprüfen Sie die Ergebnisse der Konfiguration auf dem Switch "Ziel 1":

Überprüfen Sie die Ergebnisse der Konfiguration auf dem Schalter "Ziel 2":

Überprüfung

Um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert, führen Sie die folgenden Schritte aus:

Überprüfen, ob der Analyzer korrekt erstellt wurde

Zweck

Stellen Sie sicher, dass der benannte Analyzer auf dem Switch mit den entsprechenden Eingangsschnittstellen und der entsprechenden Ausgabeschnittstelle erstellt wurde.employee-monitor

Was

Mit dem Befehl können Sie überprüfen, ob das Analysetool wie erwartet konfiguriert ist.show forwarding-options analyzer

Führen Sie den Befehl auf dem Quell-Switch aus, um zu überprüfen, ob der Analyzer wie erwartet konfiguriert ist, während Sie den gesamten Mitarbeiterdatenverkehr auf dem Quell-Switch überwachen.show forwarding-options analyzer Die folgende Ausgabe wird für diese Beispielkonfiguration auf dem Quell-Switch angezeigt:

Bedeutung

Diese Ausgabe zeigt, dass der Analyzer ein Verhältnis von 1 hat (jedes Paket wird gespiegelt, was das Standardverhalten ist), der Status der Konfiguration ist , was den richtigen Zustand anzeigt und dass der Analyzer programmiert ist , spiegelt den Datenverkehr, der in die oder die Schnittstellen ge-0/0/0 und ge-0/0/1 ein- oder ausgeht, und sendet gespiegelten Datenverkehr über die Next-Hop-Gruppe an mehrere Schnittstellen ge-0/0/10.0 und ge-0/0/11.0 .employee-monitorupremote-analyzer-nhg Wenn der Status der Ausgabeschnittstelle ist oder wenn die Ausgabeschnittstelle nicht konfiguriert ist , ist der Wert von state niedrig, und der Analyzer kann den Datenverkehr nicht spiegeln.down

Beispiel: Konfigurieren der Spiegelung für die Fernüberwachung der Ressourcennutzung durch Mitarbeiter über einen Transit-Switch auf EX9200-Switches

Mit EX9200-Switches können Sie die Spiegelung so konfigurieren, dass Kopien von Paketen entweder an eine lokale Schnittstelle zur lokalen Überwachung oder an ein VLAN zur Fernüberwachung gesendet werden. Sie können die Spiegelung verwenden, um diese Pakete zu kopieren:

  • Pakete, die einen Port betreten oder verlassen

  • Pakete, die in ein VLAN ein- oder ausgehen

Sie können den gespiegelten Datenverkehr mit einer Protokollanalyseanwendung analysieren, die auf einer Remote-Überwachungsstation ausgeführt wird, wenn Sie gespiegelten Datenverkehr an ein Analyse-VLAN senden.

Dieses Thema enthält ein Beispiel, das beschreibt, wie der Datenverkehr, der in Ports auf dem Switch eingeht, über einen Transit-Switch in das Remote-Analyzer-VLAN gespiegelt wird, sodass Sie Analysen von einer Remote-Überwachungsstation aus durchführen können.

Bewährte Verfahren:

Spiegeln Sie nur notwendige Pakete, um potenzielle Leistungseinbußen zu reduzieren. Wir empfehlen Ihnen:

  • Deaktivieren Sie Ihre konfigurierten Spiegelungssitzungen, wenn Sie sie nicht verwenden.

  • Geben Sie einzelne Schnittstellen als Eingabe für Analysetools an, anstatt alle Schnittstellen als Eingabe anzugeben.

  • Begrenzen Sie die Menge des gespiegelten Datenverkehrs durch:

    • Mit statistischer Stichprobe.

    • Festlegen von Verhältnissen zur Auswahl statistischer Stichproben.

    • Verwenden von Firewall-Filtern.

In diesem Beispiel wird beschrieben, wie die Remotespiegelung über einen Transit-Switch konfiguriert wird:

Anforderungen

In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:

  • Ein EX9200-Switch, der über einen dritten EX9200-Switch mit einem anderen EX9200-Switch verbunden ist

  • Junos OS Version 13.2 oder höher für Switches der EX-Serie

Bevor Sie die Remote-Spiegelung konfigurieren, stellen Sie Folgendes sicher:

  • Die Schnittstellen, die der Analyzer als Eingangsschnittstellen verwendet, wurden auf dem Switch konfiguriert.

Übersicht und Topologie

In diesem Beispiel wird beschrieben, wie der Datenverkehr, der in die Ports des Switches eingeht, über einen Transit-Switch in das VLAN gespiegelt wird, sodass Sie Analysen für den gesamten Datenverkehr von Mitarbeitercomputern durchführen können.remote-analyzer

In dieser Konfiguration ist eine Analysesitzung auf dem Ziel-Switch erforderlich, um den eingehenden Datenverkehr vom Analyse-VLAN an die Ausgangsschnittstelle zu spiegeln, mit der die Remote-Überwachungsstation verbunden ist.

Abbildung 4 zeigt die Netzwerktopologie für dieses Beispiel.

Topologie

Abbildung 4: Netzwerküberwachung für die Remote-Spiegelung über einen Transit-SwitchNetzwerküberwachung für die Remote-Spiegelung über einen Transit-Switch

In diesem Beispiel:

  1. Die Schnittstelle ge-0/0/0 ist eine Layer-2-Schnittstelle, und die Schnittstelle ge-0/0/1 ist eine Layer-3-Schnittstelle (beide Schnittstellen auf dem Quell-Switch), die als Verbindungen für Mitarbeitercomputer dienen.

  2. Die Schnittstelle ge-0/0/10 ist eine Layer-2-Schnittstelle, die eine Verbindung zum Transit-Switch herstellt.

  3. Die Schnittstelle ge-0/0/11 ist eine Layer-2-Schnittstelle auf dem Transit-Switch.

  4. Die Schnittstelle ge-0/0/12 ist eine Layer-2-Schnittstelle auf dem Transit-Switch und stellt eine Verbindung zum Ziel-Switch her.

  5. Die Schnittstelle ge-0/0/13 ist eine Layer-2-Schnittstelle auf dem Ziel-Switch.

  6. Die Schnittstelle ge-0/0/14 ist eine Layer-2-Schnittstelle auf dem Ziel-Switch und stellt eine Verbindung zur Fernüberwachungsstation her.

  7. Das VLAN ist auf allen Switches in der Topologie so konfiguriert, dass es den gespiegelten Datenverkehr überträgt.remote-analyzer

Spiegelung des gesamten Mitarbeiterdatenverkehrs zur Fernanalyse über einen Transit-Switch

Führen Sie die folgenden Aufgaben aus, um die Spiegelung für die Remote-Datenverkehrsanalyse über einen Transit-Switch für den gesamten ein- und ausgehenden Mitarbeiterverkehr zu konfigurieren:

Verfahren

CLI-Schnellkonfiguration

Um die Spiegelung für die Remote-Datenverkehrsanalyse über einen Transit-Switch für ein- und ausgehenden Mitarbeiterverkehr schnell zu konfigurieren, kopieren Sie die folgenden Befehle, und fügen Sie sie in das Switch-Terminalfenster ein:

  • Kopieren Sie die folgenden Befehle, und fügen Sie sie in das Terminalfenster des Quell-Switches (überwachter Switch) ein:

  • Kopieren Sie die folgenden Befehle und fügen Sie sie in das Fenster des Transit-Switches ein:

  • Kopieren Sie die folgenden Befehle, und fügen Sie sie in das Ziel-Switch-Fenster ein:

Schritt-für-Schritt-Anleitung

So konfigurieren Sie die Remote-Spiegelung über einen Transit-Switch:

  1. Gehen Sie auf dem Quell-Switch wie folgt vor:

    • Konfigurieren Sie die VLAN-ID für das VLAN:remote-analyzer

    • Konfigurieren Sie die Schnittstellen auf dem Netzwerkport, der mit dem Transit-Switch verbunden ist, für den Zugriffsmodus und ordnen Sie ihn dem VLAN zu:remote-analyzer

    • Konfigurieren Sie den Analyzer:employee-monitor

  2. Gehen Sie auf dem Transit-Switch wie folgt vor:

    • Konfigurieren Sie die VLAN-ID für das VLAN:remote-analyzer

    • Konfigurieren Sie die ge-0/0/11-Schnittstelle für den Zugriffsmodus und verknüpfen Sie sie mit dem VLAN:remote-analyzer

    • Konfigurieren Sie die ge-0/0/12-Schnittstelle für den Zugriffsmodus, ordnen Sie sie dem VLAN zu, und legen Sie die Schnittstelle nur für ausgehenden Datenverkehr fest:remote-analyzer

  3. Auf dem Ziel-Switch:

    • Konfigurieren Sie die VLAN-ID für das VLAN:remote-analyzer

    • Konfigurieren Sie die ge-0/0/13-Schnittstelle für den Zugriffsmodus, ordnen Sie sie dem VLAN zu und legen Sie die Schnittstelle nur für eingehenden Datenverkehr fest:remote-analyzer

    • Konfigurieren Sie die an die Fernüberwachungsstation angeschlossene Schnittstelle für den Zugriffsmodus:

    • Konfigurieren Sie den Analyzer:remote-analyzer

Ergebnisse

Überprüfen Sie die Ergebnisse der Konfiguration auf dem Quell-Switch:

Überprüfen Sie die Ergebnisse der Konfiguration auf dem Transit-Switch:

Überprüfen Sie die Ergebnisse der Konfiguration auf dem Ziel-Switch:

Überprüfung

Um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert, führen Sie die folgenden Schritte aus:

Überprüfen, ob der Analyzer korrekt erstellt wurde

Zweck

Stellen Sie sicher, dass der benannte Analyzer auf dem Switch mit den entsprechenden Eingangsschnittstellen und der entsprechenden Ausgabeschnittstelle erstellt wurde.employee-monitor

Was

Mit dem Befehl können Sie überprüfen, ob das Analysetool wie erwartet konfiguriert ist.show forwarding-options analyzer

Führen Sie den Befehl auf dem Quell-Switch aus, um zu überprüfen, ob der Analyzer wie erwartet konfiguriert ist, während Sie den gesamten Mitarbeiterdatenverkehr auf dem Quell-Switch überwachen.show forwarding-options analyzer Für diese Beispielkonfiguration wird die folgende Ausgabe angezeigt:

Bedeutung

Diese Ausgabe zeigt, dass der Analyzer ein Spiegelungsverhältnis von 1 hat (Spiegelung jedes Pakets, die Standardeinstellung), der Status der Konfiguration ist , was den richtigen Zustand anzeigt und dass der Analyzer programmiert ist, den Datenverkehr spiegelt, der in ge-0/0/0 und ge-0/0/1 eingeht, und den gespiegelten Datenverkehr an den Analyzer namens sendet.employee-monitorupremote-analyzer Wenn der Status der Ausgabeschnittstelle ist oder wenn die Ausgabeschnittstelle nicht konfiguriert ist , ist der Wert von state niedrig, und der Analyzer kann den Datenverkehr nicht spiegeln.down

Beispiel: Konfigurieren der Spiegelung für die lokale Überwachung der Ressourcennutzung durch Mitarbeiter auf EX4300-Switches

HINWEIS:

In diesem Beispiel wird Junos OS für Switches der EX-Serie mit Unterstützung für den Konfigurationsstil Enhanced Layer 2 Software (ELS) verwendet. Wenn auf Ihrem Switch Software ausgeführt wird, die ELS nicht unterstützt, finden Sie weitere Informationen unter Beispiel: Konfigurieren der Port-Spiegelung für die lokale Überwachung der Ressourcennutzung durch Mitarbeiter auf Switches der EX-Serie. Weitere Informationen zu ELS finden Sie unter Erste Schritte mit erweiterter Layer-2-Software.

Mit EX4300-Switches können Sie die Spiegelung so konfigurieren, dass Kopien von Paketen entweder an eine lokale Schnittstelle für die lokale Überwachung oder an ein VLAN für die Fernüberwachung gesendet werden. Sie können die Spiegelung verwenden, um diese Pakete zu kopieren:

  • Pakete, die einen Port betreten oder verlassen

  • Pakete, die in ein VLAN eingehen

Sie können den gespiegelten Datenverkehr mit einem Protokollanalysator analysieren, der auf einem System installiert ist, das mit der lokalen Zielschnittstelle verbunden ist, oder mit einer Remote-Überwachungsstation, wenn Sie gespiegelten Datenverkehr an ein Analyse-VLAN senden.

In diesem Beispiel wird beschrieben, wie die lokale Spiegelung auf einem EX4300-Switch konfiguriert wird. In diesem Beispiel wird beschrieben, wie der Switch so konfiguriert wird, dass der mit Mitarbeitercomputern verbundene Datenverkehr auf eine Analyseausgangsschnittstelle auf demselben Switch gespiegelt wird.

Anforderungen

In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:

  • Ein EX4300-Switch

  • Junos OS Version 13.2X50-D10 oder höher für Switches der EX-Serie

Übersicht und Topologie

Dieses Thema enthält zwei Beispiele, in denen beschrieben wird, wie der Datenverkehr, der in Ports auf dem Switch eingeht, auf eine Zielschnittstelle auf demselben Switch gespiegelt wird (lokale Spiegelung). Das erste Beispiel zeigt, wie der gesamte Datenverkehr gespiegelt werden kann, der in die Ports eingeht, die mit den Computern der Mitarbeiter verbunden sind. Das zweite Beispiel zeigt das gleiche Szenario, enthält jedoch einen Filter, der nur den Mitarbeiterdatenverkehr spiegelt, der ins Web geleitet wird.

Die Schnittstellen ge-0/0/0 und ge-0/0/1 dienen als Anschlüsse für Mitarbeiterrechner. Die Schnittstelle ge0/0/10 ist für die Analyse des gespiegelten Datenverkehrs reserviert. Schließen Sie einen PC, auf dem eine Protokollanalyseanwendung ausgeführt wird, an die Ausgabeschnittstelle des Analysegeräts an, um den gespiegelten Datenverkehr zu analysieren.

HINWEIS:

Mehrere Ports, die auf eine Schnittstelle gespiegelt werden, können zu Pufferüberlauf und verworfenen Paketen führen.

In beiden Beispielen wird die in .Abbildung 5

Abbildung 5: Beispiel für eine Netzwerktopologie für die lokale SpiegelungBeispiel für eine Netzwerktopologie für die lokale Spiegelung

Spiegelung des gesamten Mitarbeiterdatenverkehrs für lokale Analysen

Führen Sie die folgenden Aufgaben aus, um die Spiegelung für den gesamten Mitarbeiterdatenverkehr für die lokale Analyse zu konfigurieren:

Verfahren

CLI-Schnellkonfiguration

Um schnell die lokale Spiegelung für eingehenden Datenverkehr zu den beiden Ports zu konfigurieren, die mit den Computern der Mitarbeiter verbunden sind, kopieren Sie die folgenden Befehle, und fügen Sie sie in das Fenster des Switch-Terminals ein:

Schritt-für-Schritt-Anleitung

Gehen Sie wie folgt vor, um einen aufgerufenen Analyzer zu konfigurieren und die Eingabeschnittstellen (Quelle) und die Ausgabeschnittstelle des Analyzers anzugeben:employee-monitor

  1. Konfigurieren Sie jede Schnittstelle, die mit den Computern der Mitarbeiter verbunden ist, als Eingabeschnittstelle für den Analysator :employee-monitor

  2. Konfigurieren Sie die Ausgabeschnittstelle des Analysators als Teil eines VLANs:

  3. Konfigurieren Sie die Schnittstelle des Ausgabeanalysators für den Analysator .employee-monitor Dies ist die Zielschnittstelle für die gespiegelten Pakete:

Ergebnisse

Überprüfen Sie die Ergebnisse der Konfiguration:

Spiegelung des Mitarbeiter-zu-Web-Datenverkehrs für lokale Analysen

Führen Sie die folgenden Aufgaben aus, um die Spiegelung für den Datenverkehr von Mitarbeitern in das Web zu konfigurieren:

Verfahren

CLI-Schnellkonfiguration

Kopieren Sie die folgenden Befehle, um schnell die lokale Spiegelung des Datenverkehrs von den beiden Ports zu konfigurieren, die mit den Computern der Mitarbeiter verbunden sind, und filtern Sie so, dass nur der Datenverkehr in das externe Web gespiegelt wird:

Schritt-für-Schritt-Anleitung

So konfigurieren Sie die lokale Spiegelung des Mitarbeiter-zu-Web-Datenverkehrs von den beiden Ports, die mit den Computern der Mitarbeiter verbunden sind:

  1. Konfigurieren Sie die lokale Analyseschnittstelle:

  2. Konfigurieren Sie die Ausgabeinstanz (die Eingabe in die Instanz stammt aus der Aktion des Filters):employee-web-monitor

  3. Konfigurieren Sie einen Firewallfilter, der aufgerufen wird , gespiegelte Kopien von Mitarbeiteranforderungen an das Web an die Instanz zu senden.watch-employeeemployee-web-monitor Akzeptieren Sie den gesamten Datenverkehr zum und vom Unternehmenssubnetz (Ziel- oder Quelladresse 192.0.2.16/24). Senden Sie gespiegelte Kopien aller Pakete, die für das Internet (Zielport 80) bestimmt sind, an die Instanz .employee-web-monitor

  4. Wenden Sie den Filter auf die entsprechenden Ports an:watch-employee

Ergebnisse

Überprüfen Sie die Ergebnisse der Konfiguration:

Überprüfung

Um zu bestätigen, dass die Konfiguration korrekt ist, führen Sie die folgenden Aufgaben aus:

Überprüfen, ob der Analyzer korrekt erstellt wurde

Zweck

Stellen Sie sicher, dass der Analysator oder auf dem Switch mit den entsprechenden Eingangsschnittstellen und der entsprechenden Ausgabeschnittstelle erstellt wurde.employee-monitoremployee-web-monitor

Was

Mit dem Befehl können Sie überprüfen, ob das Analysetool ordnungsgemäß konfiguriert ist.show forwarding-options analyzer

Bedeutung

Diese Ausgabe zeigt, dass der Analyzer ein Verhältnis von 1 (Spiegelung jedes Pakets, die Standardeinstellung), die maximale Größe des ursprünglichen Pakets, das gespiegelt wurde ( gibt das gesamte Paket an), den Status der Konfiguration (ist up gibt an, dass der Analyzer den Datenverkehr spiegelt, der in die Schnittstellen ge-0/0/0 und ge-0/0/1 eintritt, und den gespiegelten Datenverkehr an die ge-0/0/10-Schnittstelle sendet).employee-monitor0 Wenn der Zustand der Ausgabeschnittstelle nicht verfügbar ist oder wenn die Ausgabeschnittstelle nicht konfiguriert ist, wird der Wert von state und der Analysator wird nicht für die Spiegelung programmiert.down

Überprüfen, ob die Port-Mirroring-Instanz ordnungsgemäß konfiguriert ist

Zweck

Stellen Sie sicher, dass die Port-Mirroring-Instanz auf dem Switch mit den entsprechenden Eingabeschnittstellen ordnungsgemäß konfiguriert wurde.employee-web-monitor

Was

Mit dem Befehl können Sie überprüfen, ob die Portspiegelungsinstanz ordnungsgemäß konfiguriert ist.show forwarding-options port-mirroring

Bedeutung

Diese Ausgabe zeigt, dass die Instanz ein Verhältnis von 1 aufweist (Spiegelung jedes Pakets, die Standardeinstellung), die maximale Größe des ursprünglichen Pakets, das gespiegelt wurde ( gibt ein ganzes Paket an), der Status der Konfiguration aktiv ist und die Portspiegelung programmiert ist und dass gespiegelter Datenverkehr von der Firewall-Filteraktion an die Schnittstelle ge-0/0/10.0 gesendet wird. Wenn der Status der Ausgabeschnittstelle nicht verfügbar ist oder wenn die Schnittstelle nicht konfiguriert ist, ist der Wert für state down und die Portspiegelung wird nicht für die Spiegelung programmiert.employee-web-monitor0

Beispiel: Konfigurieren der Spiegelung für die Fernüberwachung der Ressourcennutzung durch Mitarbeiter auf EX4300-Switches

HINWEIS:

In diesem Beispiel wird Junos OS für Switches der EX-Serie mit Unterstützung für den Konfigurationsstil Enhanced Layer 2 Software (ELS) verwendet. Wenn auf Ihrem Switch Software ausgeführt wird, die ELS nicht unterstützt, finden Sie weitere Informationen unter Beispiel: Konfigurieren der Spiegelung für die Fernüberwachung der Ressourcennutzung durch Mitarbeiter auf EX4300-Switches. Weitere Informationen zu ELS finden Sie unter: Erste Schritte mit erweiterter Layer-2-Software.

Mit EX4300-Switches können Sie die Spiegelung so konfigurieren, dass Kopien von Paketen entweder an eine lokale Schnittstelle für die lokale Überwachung oder an ein VLAN für die Fernüberwachung gesendet werden. Sie können die Spiegelung verwenden, um diese Pakete zu kopieren:

  • Pakete, die einen Port betreten oder verlassen

  • Pakete, die in ein VLAN auf EX4300-Switches eingehen

Sie können den gespiegelten Datenverkehr analysieren, indem Sie eine Protokollanalyseanwendung verwenden, die auf einer Remote-Überwachungsstation ausgeführt wird, wenn Sie gespiegelten Datenverkehr an ein Analyse-VLAN senden.

Dieses Thema enthält zwei verwandte Beispiele, in denen beschrieben wird, wie der Datenverkehr, der in die Ports des Switches eingeht, in das VLAN gespiegelt wird, sodass Sie Analysen von einer Remote-Überwachungsstation aus durchführen können.remote-analyzer Das erste Beispiel zeigt, wie der gesamte Datenverkehr gespiegelt werden kann, der in die Ports eingeht, die mit den Computern der Mitarbeiter verbunden sind. Das zweite Beispiel zeigt das gleiche Szenario, enthält jedoch einen Filter, der nur den Mitarbeiterdatenverkehr widerspiegelt, der ins Web geht.

Bewährte Verfahren:

Spiegeln Sie nur notwendige Pakete, um potenzielle Leistungseinbußen zu reduzieren. Wir empfehlen Ihnen:

  • Deaktivieren Sie Ihre konfigurierten Spiegelungssitzungen, wenn Sie sie nicht verwenden.

  • Geben Sie einzelne Schnittstellen als Eingabe für Analysetools an, anstatt alle Schnittstellen als Eingabe anzugeben.

  • Begrenzen Sie die Menge des gespiegelten Datenverkehrs mithilfe von Firewall-Filtern.

In diesem Beispiel wird beschrieben, wie die Remotespiegelung konfiguriert wird:

Anforderungen

In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:

  • Junos OS Version 13.2X50-D10 oder höher für Switches der EX-Serie

  • Ein EX4300-Switch, der mit einem anderen EX4300-Switch verbunden ist

Das Diagramm zeigt ein EX4300 Virtual Chassis, das mit einem EX4300-Ziel-Switch verbunden ist.

Bevor Sie die Remote-Spiegelung konfigurieren, stellen Sie Folgendes sicher:

  • Sie haben ein Verständnis für Spiegelungskonzepte.

  • Die Schnittstellen, die der Analyzer als Eingangsschnittstellen verwendet, wurden auf dem Switch konfiguriert.

Übersicht und Topologie

Dieses Thema enthält zwei verwandte Beispiele, in denen beschrieben wird, wie die Spiegelung in das VLAN konfiguriert wird, damit die Analyse von einer Remote-Überwachungsstation aus durchgeführt werden kann.remote-analyzer Im ersten Beispiel wird gezeigt, wie ein Switch so konfiguriert wird, dass der gesamte Datenverkehr von den Computern der Mitarbeiter gespiegelt wird. Das zweite Beispiel zeigt das gleiche Szenario, aber die Einrichtung enthält einen Filter, der nur den Mitarbeiterdatenverkehr spiegelt, der ins Web geht.

Abbildung 6 Zeigt die Netzwerktopologie für diese beiden Beispielszenarien.

Topologie

Abbildung 6: Beispiel für eine Netzwerktopologie für die Remote-SpiegelungBeispiel für eine Netzwerktopologie für die Remote-Spiegelung

In diesem Beispiel:

  1. Die Schnittstelle ge-0/0/0 ist eine Layer-2-Schnittstelle, und die Schnittstelle ge-0/0/1 ist eine Layer-3-Schnittstelle (beide Schnittstellen auf dem Quell-Switch), die als Verbindungen für Mitarbeitercomputer dienen.

  2. Die Schnittstelle ge-0/0/10 ist eine Layer-2-Schnittstelle, die den Quell-Switch mit dem Ziel-Switch verbindet.

  3. Die Schnittstelle ge-0/0/5 ist eine Layer-2-Schnittstelle, die den Ziel-Switch mit der Fernüberwachungsstation verbindet.

  4. Das VLAN ist auf allen Switches in der Topologie so konfiguriert, dass es den gespiegelten Datenverkehr überträgt.remote-analyzer

Spiegelung des gesamten Mitarbeiterdatenverkehrs für die Remote-Analyse

Führen Sie die folgenden Aufgaben aus, um einen Analyzer für die Remote-Datenverkehrsanalyse für den gesamten ein- und ausgehenden Mitarbeiterdatenverkehr zu konfigurieren:

Verfahren

CLI-Schnellkonfiguration

Um schnell einen Analyzer für die Remote-Datenverkehrsanalyse für ein- und ausgehenden Mitarbeiterdatenverkehr zu konfigurieren, kopieren Sie die folgenden Befehle, und fügen Sie sie in das Switch-Terminal-Fenster ein:

  • Kopieren Sie die folgenden Befehle, und fügen Sie sie in das Terminalfenster des Quell-Switches ein:

  • Kopieren Sie die folgenden Befehle, und fügen Sie sie in das Terminalfenster des Ziel-Switches ein:

Schritt-für-Schritt-Anleitung

So konfigurieren Sie die grundlegende Remote-Port-Spiegelung:

  1. Gehen Sie auf dem Quell-Switch wie folgt vor:

    • Konfigurieren Sie die VLAN-ID für das VLAN:remote-analyzer

    • Konfigurieren Sie die Schnittstelle auf dem Netzwerkport, der mit dem Ziel-Switch verbunden ist, für den Trunk-Modus und ordnen Sie sie dem VLAN zu:remote-analyzer

    • Konfigurieren Sie den Analyzer:employee-monitor

  2. Auf dem Ziel-Switch:

    • Konfigurieren Sie die VLAN-ID für das VLAN:remote-analyzer

    • Konfigurieren Sie die Schnittstelle auf dem Ziel-Switch für den Trunk-Modus und ordnen Sie sie dem VLAN zu:remote-analyzer

    • Konfigurieren Sie die mit dem Ziel-Switch verbundene Schnittstelle für den Trunk-Modus:

    • Konfigurieren Sie den Analyzer:employee-monitor

Ergebnisse

Überprüfen Sie die Ergebnisse der Konfiguration auf dem Quell-Switch:

Überprüfen Sie die Ergebnisse der Konfiguration auf dem Ziel-Switch:

Spiegelung des Mitarbeiter-zu-Web-Datenverkehrs für die Remote-Analyse

Führen Sie die folgenden Aufgaben aus, um die Portspiegelung für die Remoteanalyse des Datenverkehrs von Mitarbeitern zum Web zu konfigurieren:

Verfahren

CLI-Schnellkonfiguration

Um die Portspiegelung schnell so zu konfigurieren, dass der Datenverkehr der Mitarbeiter in das externe Web gespiegelt wird, kopieren Sie die folgenden Befehle, und fügen Sie sie in das Fenster des Switch-Terminals ein:

  • Kopieren Sie die folgenden Befehle, und fügen Sie sie in das Terminalfenster des Quell-Switches ein:

  • Kopieren Sie die folgenden Befehle, und fügen Sie sie in das Terminalfenster des Ziel-Switches ein:

Schritt-für-Schritt-Anleitung

So konfigurieren Sie die Port-Spiegelung des gesamten Datenverkehrs von den beiden Ports, die mit den Computern der Mitarbeiter im VLAN verbunden sind, um sie von einer Remote-Überwachungsstation aus zu verwenden:remote-analyzer

  1. Gehen Sie auf dem Quell-Switch wie folgt vor:

    • Konfigurieren Sie die Port Mirroring-Instanz:employee-web-monitor

    • Konfigurieren Sie die VLAN-ID für das VLAN:remote-analyzer

    • Konfigurieren Sie die Schnittstelle so, dass sie mit dem VLAN verknüpft wird:remote-analyzer

    • Konfigurieren Sie den Firewall-Filter mit dem Namen :watch-employee

    • Wenden Sie den Firewall-Filter auf die Mitarbeiterschnittstellen an:

  2. Auf dem Ziel-Switch:

    • Konfigurieren Sie die VLAN-ID für das VLAN:remote-analyzer

    • Konfigurieren Sie die Schnittstelle auf dem Ziel-Switch für den Trunk-Modus und ordnen Sie sie dem VLAN zu:remote-analyzer

    • Konfigurieren Sie die mit dem Ziel-Switch verbundene Schnittstelle für den Trunk-Modus:

    • Konfigurieren Sie den Analyzer:employee-monitor

Ergebnisse

Überprüfen Sie die Ergebnisse der Konfiguration auf dem Quell-Switch:

Überprüfen Sie die Ergebnisse der Konfiguration auf dem Ziel-Switch:

Überprüfung

Um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert, führen Sie die folgenden Schritte aus:

Überprüfen, ob der Analyzer korrekt erstellt wurde

Zweck

Stellen Sie sicher, dass der Analyzer benannt oder auf dem Switch mit den entsprechenden Eingangsschnittstellen und der entsprechenden Ausgabeschnittstelle erstellt wurde.employee-monitoremployee-web-monitor

Was

Mit dem Befehl können Sie überprüfen, ob das Analysetool wie erwartet konfiguriert ist.show forwarding-options analyzer Um zuvor erstellte Analysetools anzuzeigen, die deaktiviert sind, rufen Sie die J-Web-Oberfläche auf.

Führen Sie den Befehl auf dem Quell-Switch aus, um zu überprüfen, ob der Analyzer wie erwartet konfiguriert ist, während Sie den gesamten Mitarbeiterdatenverkehr auf dem Quell-Switch überwachen.show analyzer Für dieses Konfigurationsbeispiel wird die folgende Ausgabe angezeigt:

Bedeutung

Diese Ausgabe zeigt, dass die Instanz ein Verhältnis von 1 hat (Spiegelung jedes Pakets, die Standardeinstellung), die maximale Größe des ursprünglichen Pakets, das gespiegelt wurde (0 gibt das gesamte Paket an), der Status der Konfiguration aktiv ist (was den richtigen Zustand anzeigt und dass der Analyzer programmiert ist und den Datenverkehr spiegelt, der in ge-0/0/0 und ge-0/0/1 eingeht und den gespiegelten Datenverkehr an das aufgerufene VLAN sendet).employee-monitorremote-analyzer Wenn der Status der Ausgabeschnittstelle nicht verfügbar ist oder wenn die Ausgabeschnittstelle nicht konfiguriert ist, ist der Wert von state down und der Analyzer wird nicht für die Spiegelung programmiert.

Beispiel: Konfigurieren der Spiegelung für die Fernüberwachung der Ressourcennutzung durch Mitarbeiter über einen Transit-Switch auf EX4300-Switches

HINWEIS:

In diesem Beispiel wird Junos OS für Switches der EX-Serie mit Unterstützung für den Konfigurationsstil Enhanced Layer 2 Software (ELS) verwendet.

Mit EX4300-Switches können Sie die Spiegelung so konfigurieren, dass Kopien von Paketen entweder an eine lokale Schnittstelle für die lokale Überwachung oder an ein VLAN für die Fernüberwachung gesendet werden. Sie können die Spiegelung verwenden, um diese Pakete zu kopieren:

  • Pakete, die einen Port betreten oder verlassen

  • Pakete, die in ein VLAN auf EX4300-Switches eingehen

Sie können den gespiegelten Datenverkehr analysieren, indem Sie eine Protokollanalyseanwendung verwenden, die auf einer Remote-Überwachungsstation ausgeführt wird, wenn Sie gespiegelten Datenverkehr an ein Analyse-VLAN senden.

Dieses Thema enthält ein Beispiel, das beschreibt, wie der Datenverkehr, der in die Ports des Switches eingeht, über einen Transit-Switch in das VLAN gespiegelt wird, sodass Sie Analysen von einer Remote-Überwachungsstation aus durchführen können.remote-analyzer

Bewährte Verfahren:

Spiegeln Sie nur notwendige Pakete, um potenzielle Leistungseinbußen zu reduzieren. Wir empfehlen Ihnen:

  • Deaktivieren Sie Ihre konfigurierten Spiegelungssitzungen, wenn Sie sie nicht verwenden.

  • Geben Sie einzelne Schnittstellen als Eingabe für Analysetools an, anstatt alle Schnittstellen als Eingabe anzugeben.

  • Begrenzen Sie die Menge des gespiegelten Datenverkehrs mithilfe von Firewall-Filtern.

In diesem Beispiel wird beschrieben, wie die Remotespiegelung über einen Transit-Switch konfiguriert wird:

Anforderungen

In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:

  • Ein EX4300-Switch, der über einen dritten EX4300-Switch mit einem anderen EX4300-Switch verbunden ist

  • Junos OS Version 13.2X50-D10 oder höher für Switches der EX-Serie

Bevor Sie die Remote-Spiegelung konfigurieren, stellen Sie Folgendes sicher:

  • Sie haben ein Verständnis für Spiegelungskonzepte.

  • Die Schnittstellen, die der Analyzer als Eingangsschnittstellen verwendet, wurden auf dem Switch konfiguriert.

Übersicht und Topologie

In diesem Beispiel wird beschrieben, wie der Datenverkehr, der in die Ports des Switches eingeht, über einen Transit-Switch in das VLAN gespiegelt wird, sodass Sie Analysen von einer Remote-Überwachungsstation aus durchführen können.remote-analyzer Das Beispiel zeigt, wie ein Switch so konfiguriert wird, dass der gesamte Datenverkehr von den Computern der Mitarbeiter zu einem Remoteanalysator gespiegelt wird.

In dieser Konfiguration ist eine Analysesitzung auf dem Ziel-Switch erforderlich, um den eingehenden Datenverkehr vom Analyse-VLAN an die Ausgangsschnittstelle zu spiegeln, mit der die Remote-Überwachungsstation verbunden ist. Sie müssen das MAC-Lernen auf dem Transit-Switch für das VLAN deaktivieren, damit das MAC-Lernen für alle Mitgliedsschnittstellen des VLANs auf dem Transit-Switch deaktiviert ist.remote-analyzerremote-analyzer

Abbildung 7 zeigt die Netzwerktopologie für dieses Beispiel.

Topologie

Abbildung 7: Remote-Spiegelung über ein Transit-Switch-Netzwerk – BeispieltopologieRemote-Spiegelung über ein Transit-Switch-Netzwerk – Beispieltopologie

In diesem Beispiel:

  • Die Schnittstelle ge-0/0/0 ist eine Layer-2-Schnittstelle, und die Schnittstelle ge-0/0/1 ist eine Layer-3-Schnittstelle (beide Schnittstellen auf dem Quell-Switch), die als Verbindungen für Mitarbeitercomputer dienen.

  • Die Schnittstelle ge-0/0/10 ist eine Layer-2-Schnittstelle, die eine Verbindung zum Transit-Switch herstellt.

  • Die Schnittstelle ge-0/0/11 ist eine Layer-2-Schnittstelle auf dem Transit-Switch.

  • Die Schnittstelle ge-0/0/12 ist eine Layer-2-Schnittstelle auf dem Transit-Switch und stellt eine Verbindung zum Ziel-Switch her.

  • Die Schnittstelle ge-0/0/13 ist eine Layer-2-Schnittstelle auf dem Ziel-Switch.

  • Die Schnittstelle ge-0/0/14 ist eine Layer-2-Schnittstelle auf dem Ziel-Switch und stellt eine Verbindung zur Fernüberwachungsstation her.

  • Das VLAN ist auf allen Switches in der Topologie so konfiguriert, dass es den gespiegelten Datenverkehr überträgt.remote-analyzer

Spiegelung des gesamten Mitarbeiterdatenverkehrs zur Fernanalyse über einen Transit-Switch

Führen Sie die folgenden Aufgaben aus, um die Spiegelung für die Remote-Datenverkehrsanalyse über einen Transit-Switch für den gesamten ein- und ausgehenden Mitarbeiterverkehr zu konfigurieren:

Verfahren

CLI-Schnellkonfiguration

Um die Spiegelung für die Remote-Datenverkehrsanalyse über einen Transit-Switch für ein- und ausgehenden Mitarbeiterverkehr schnell zu konfigurieren, kopieren Sie die folgenden Befehle, und fügen Sie sie in das Switch-Terminalfenster ein:

  • Kopieren Sie die folgenden Befehle, und fügen Sie sie in das Terminalfenster des Quell-Switches (überwachter Switch) ein:

  • Kopieren Sie die folgenden Befehle und fügen Sie sie in das Fenster des Transit-Switches ein:

  • Kopieren Sie die folgenden Befehle, und fügen Sie sie in das Ziel-Switch-Fenster ein:

Schritt-für-Schritt-Anleitung

So konfigurieren Sie die Remote-Spiegelung über einen Transit-Switch:

  1. Gehen Sie auf dem Quell-Switch wie folgt vor:

    • Konfigurieren Sie die VLAN-ID für das VLAN:remote-analyzer

    • Konfigurieren Sie die Schnittstellen auf dem Netzwerkport, der mit dem Transit-Switch verbunden ist, für den Trunk-Modus und ordnen Sie ihn dem VLAN zu:remote-analyzer

    • Konfigurieren Sie den Analyzer:employee-monitor

  2. Gehen Sie auf dem Transit-Switch wie folgt vor:

    • Konfigurieren Sie die VLAN-ID für das VLAN:remote-analyzer

    • Konfigurieren Sie die ge-0/0/11-Schnittstelle für den Trunk-Modus und verknüpfen Sie sie mit dem VLAN:remote-analyzer

    • Konfigurieren Sie die Schnittstelle für den Trunk-Modus, ordnen Sie sie dem VLAN zu und legen Sie die Schnittstelle nur für ausgehenden Datenverkehr fest:ge-0/0/12remote-analyzer

    • Konfigurieren Sie die Option für das VLAN, um das MAC-Lernen auf allen Schnittstellen zu deaktivieren, die Mitglieder des VLANs sind:no-mac-learningremote-analyzerremote-analyzer

  3. Auf dem Ziel-Switch:

    • Konfigurieren Sie die VLAN-ID für das VLAN:remote-analyzer

    • Konfigurieren Sie die ge-0/0/13-Schnittstelle für den Trunk-Modus, ordnen Sie sie dem VLAN zu und legen Sie die Schnittstelle nur für eingehenden Datenverkehr fest:remote-analyzer

    • Konfigurieren Sie die an die Fernüberwachungsstation angeschlossene Schnittstelle für den Trunk-Modus:

    • Konfigurieren Sie den Analyzer:employee-monitor

Ergebnisse

Überprüfen Sie die Ergebnisse der Konfiguration auf dem Quell-Switch:

Überprüfen Sie die Ergebnisse der Konfiguration auf dem Transit-Switch:

Überprüfen Sie die Ergebnisse der Konfiguration auf dem Ziel-Switch:

Überprüfung

Um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert, führen Sie die folgenden Schritte aus:

Überprüfen, ob der Analyzer korrekt erstellt wurde

Zweck

Stellen Sie sicher, dass der benannte Analyzer auf dem Switch mit den entsprechenden Eingangsschnittstellen und der entsprechenden Ausgabeschnittstelle erstellt wurde.employee-monitor

Was

Mit dem Befehl können Sie überprüfen, ob das Analysetool wie erwartet konfiguriert ist.show analyzer Um zuvor erstellte Analysetools anzuzeigen, die deaktiviert sind, rufen Sie die J-Web-Oberfläche auf.

Führen Sie den Befehl auf dem Quell-Switch aus, um zu überprüfen, ob der Analyzer wie erwartet konfiguriert ist, während Sie den gesamten Mitarbeiterdatenverkehr auf dem Quell-Switch überwachen.show analyzer Für diese Beispielkonfiguration wird die folgende Ausgabe angezeigt:

Bedeutung

Diese Ausgabe zeigt, dass der Analyzer ein Verhältnis von 1 hat (wobei jedes Paket gespiegelt wird, die Standardeinstellung), den Datenverkehr spiegelt, der in ge-0/0/0 und ge-0/0/1 eingeht, und den gespiegelten Datenverkehr an den Analyzer sendet.employee-monitorremote-analyzer