Konfigurieren der Portspiegelung für Remoteziele
Layer-2-Port-Spiegelung zum Remote-Ziel mithilfe von Ziel als VLAN
Sie konfigurieren die Port-Spiegelung auf einem EX9200-Switch, um Kopien des Datenverkehrs an ein Ausgabeziel zu senden, z. B. an eine Schnittstelle, eine Routing-Instanz oder ein VLAN. Und für den Eingangsdatenverkehr können Sie einen Firewall-Filterbegriff mit verschiedenen Übereinstimmungsbedingungen und -aktionen konfigurieren.
Wenn Sie VLAN als Ausgabeziel in einer Port-Spiegelungskonfiguration konfigurieren, wird der Datenverkehr für jede Port-Spiegelungssitzung über ein benutzerdefiniertes VLAN übertragen, das für diese Spiegelungssitzung in allen teilnehmenden Switches reserviert ist. Der gespiegelte Datenverkehr wird in dieses VLAN (auch als Spiegel-VLAN bezeichnet) kopiert und an Schnittstellen weitergeleitet, die Mitglieder des Spiegel-VLANs sind. Die Zielschnittstellen, die Mitglieder des Spiegelungs-VLANs sind, können sich über mehrere Switches im Netzwerk erstrecken, vorausgesetzt, dass für eine Spiegelungssitzung in allen Switches dasselbe Remote-Spiegelungs-VLAN verwendet wird.
Sie können die Aktion "oder" in der Firewall-Filterkonfiguration verwenden, wenn Sie Datenverkehr an Remote-Ziele spiegeln, indem Sie ein VLAN als Ausgabeziel für die Portspiegelung konfigurieren.port-mirrorport-mirror-instance
Konfigurations-Layer-2-Port-Spiegelung in ein Remote-VLAN
Mit EX9200-Switches können Sie die Spiegelung so konfigurieren, dass Kopien von Paketen entweder an eine lokale Schnittstelle zur lokalen Überwachung oder an ein VLAN zur Fernüberwachung gesendet werden. Sie können die Spiegelung verwenden, um die folgenden Pakete zu kopieren:
Pakete, die einen Port betreten oder verlassen
Pakete, die in ein VLAN ein- oder ausgehen
Spiegeln Sie nur notwendige Pakete, um potenzielle Leistungseinbußen zu reduzieren. Wir empfehlen Ihnen:
Deaktivieren Sie die Portspiegelung, die Sie konfiguriert haben, wenn Sie sie nicht verwenden.
Geben Sie einzelne Schnittstellen als Eingabe an, anstatt alle Schnittstellen als Eingabe in einer Port-Spiegelungskonfiguration anzugeben.
Begrenzen Sie die Menge des gespiegelten Datenverkehrs durch:
Mit statistischer Stichprobe.
Festlegen von Verhältnissen zur Auswahl statistischer Stichproben.
Verwenden von Firewall-Filtern.
Konfigurieren der Port-Spiegelung für ein Remote-VLAN
Um Pakete zu filtern, die auf eine Port-Mirroring-Instanz gespiegelt werden sollen, erstellen Sie die Instanz, und verwenden Sie sie dann als Aktion im Firewall-Filter. Sie können Firewallfilter sowohl in lokalen als auch in Remote-Spiegelungskonfigurationen verwenden.
Wenn dieselbe Port-Mirroring-Instanz in mehreren Filtern oder Termen verwendet wird, werden die Pakete nur einmal in den Port-Mirroring-Ausgabeport oder das Port-Mirroring-VLAN kopiert.
Um gespiegelten Datenverkehr zu filtern, erstellen Sie eine Portspiegelungsinstanz unter der Hierarchieebene und dann einen Firewallfilter.[edit forwarding-options] Der Filter kann jede der verfügbaren Übereinstimmungsbedingungen verwenden und muss als Aktion vorhanden sein .port-mirror-instance instance-name Diese Aktion in der Firewallfilterkonfiguration liefert die Eingabe für die Portspiegelungsinstanz.
So konfigurieren Sie eine Portspiegelungsinstanz mit Firewall-Filtern:
Beispiel: Konfigurieren der Layer-2-Port-Spiegelung für ein Remote-VLAN
Mit EX9200-Switches können Sie die Spiegelung so konfigurieren, dass Kopien von Paketen entweder an eine lokale Schnittstelle zur lokalen Überwachung oder an ein VLAN zur Fernüberwachung gesendet werden. Sie können die Spiegelung verwenden, um diese Pakete zu kopieren:
Pakete, die einen Port betreten oder verlassen
Pakete, die in ein VLAN eingehen oder vorhanden sind
Sie können den gespiegelten Datenverkehr analysieren, indem Sie eine Protokollanalyseanwendung verwenden, die auf einer Remote-Überwachungsstation ausgeführt wird, wenn Sie gespiegelten Datenverkehr an ein Analyse-VLAN senden.
Dieses Thema enthält zwei verwandte Beispiele, in denen beschrieben wird, wie der Datenverkehr, der in die Ports des Switches eingeht, in das VLAN gespiegelt wird, sodass Sie Analysen von einer Remote-Überwachungsstation aus durchführen können.remote-analyzer Das erste Beispiel zeigt, wie der gesamte Datenverkehr gespiegelt werden kann, der in die Ports eingeht, die mit den Computern der Mitarbeiter verbunden sind. Das zweite Beispiel zeigt das gleiche Szenario, enthält jedoch einen Filter, der nur den Mitarbeiterdatenverkehr widerspiegelt, der ins Web geht.
Spiegeln Sie nur notwendige Pakete, um potenzielle Leistungseinbußen zu reduzieren. Wir empfehlen Ihnen:
Deaktivieren Sie Ihre konfigurierten Spiegelungssitzungen, wenn Sie sie nicht verwenden.
Geben Sie einzelne Schnittstellen als Eingabe für Analysetools an, anstatt alle Schnittstellen als Eingabe anzugeben.
Begrenzen Sie die Menge des gespiegelten Datenverkehrs mithilfe von Firewall-Filtern.
In diesem Beispiel wird beschrieben, wie die Remotespiegelung konfiguriert wird:
- Anforderungen
- Übersicht und Topologie
- Spiegelung des Mitarbeiter-zu-Web-Datenverkehrs für die Remote-Analyse
- Überprüfung
Anforderungen
Bevor Sie die Remote-Spiegelung konfigurieren, stellen Sie Folgendes sicher:
Sie haben ein Verständnis für Spiegelungskonzepte.
Die Schnittstellen, die von der Port-Spiegelung als Ausgabeschnittstellen verwendet werden, wurden auf dem Switch konfiguriert.
Übersicht und Topologie
Dieses Thema enthält zwei verwandte Beispiele, in denen beschrieben wird, wie die Spiegelung in das VLAN konfiguriert wird, damit die Analyse von einer Remote-Überwachungsstation aus durchgeführt werden kann.remote-analyzer Im ersten Beispiel wird gezeigt, wie ein Switch so konfiguriert wird, dass der gesamte Datenverkehr von den Computern der Mitarbeiter gespiegelt wird. Das zweite Beispiel zeigt das gleiche Szenario, aber die Einrichtung enthält einen Filter, der nur den Mitarbeiterdatenverkehr spiegelt, der ins Web geht.
Abbildung 1 Zeigt die Netzwerktopologie für diese beiden Beispielszenarien.
Topologie
In diesem Beispiel:
Die Schnittstelle ge-0/0/0 ist eine Layer-2-Schnittstelle, und die Schnittstelle ge-0/0/1 ist eine Layer-2-Schnittstelle (beide Schnittstellen auf dem Quell-Switch), die als Verbindungen für die Computer der Mitarbeiter dienen.
Die Schnittstelle ge-0/0/10 ist eine Layer-2-Schnittstelle, die den Quell-Switch mit dem Ziel-Switch verbindet.
Die Schnittstelle ge-0/0/5 ist eine Layer-2-Schnittstelle, die den Ziel-Switch mit der Fernüberwachungsstation verbindet.
Das VLAN ist auf allen Switches in der Topologie so konfiguriert, dass es den gespiegelten Datenverkehr überträgt.
remote-analyzer
Spiegelung des Mitarbeiter-zu-Web-Datenverkehrs für die Remote-Analyse
Führen Sie die folgenden Aufgaben aus, um die Portspiegelung für die Remote-Datenverkehrsanalyse des Mitarbeiter-zu-Web-Datenverkehrs zu konfigurieren:
Verfahren
CLI-Schnellkonfiguration
Um die Port-Spiegelung schnell so zu konfigurieren, dass der Datenverkehr der Mitarbeiter in das externe Web gespiegelt wird, kopieren Sie die folgenden Befehle, und fügen Sie sie in das Fenster des Switch-Terminals ein:
Kopieren Sie die folgenden Befehle, und fügen Sie sie in das Terminalfenster des Quell-Switches ein:
[edit] set forwarding-options port-mirroring instance employee-web-monitor output vlan 999 set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 set firewall family ethernet-switching filter watch-employee term employee-to-corp from destination-address 192.0.2.16/28 set firewall family ethernet-switching filter watch-employee term employee-to-corp from source-address 192.0.2.16/28 set firewall family ethernet-switching filter watch-employee term employee-to-corp then accept set firewall family ethernet-switching filter watch-employee term employee-to-web from destination-port 80 set firewall family ethernet-switching filter watch-employee term employee-to-web then port-mirror-instance employee-web-monitor set interfaces ge-0/0/0 unit 0 family ethernet-switching filter input watch-employee set interfaces ge-0/0/1 unit 0 family ethernet-switching filter input watch-employee
Kopieren Sie die folgenden Befehle, und fügen Sie sie in das Terminalfenster des Ziel-Switches ein:
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 set interfaces ge-0/0/5 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/5 unit 0 family ethernet-switching vlan members 999
Schritt-für-Schritt-Anleitung
So konfigurieren Sie die Port-Spiegelung des gesamten Datenverkehrs von den beiden Ports, die mit den Computern der Mitarbeiter im VLAN verbunden sind, um sie von einer Remote-Überwachungsstation aus zu verwenden:remote-analyzer
Gehen Sie auf dem Quell-Switch wie folgt vor:
Konfigurieren Sie die Portspiegelungsinstanz:
employee-web-monitor[edit ] user@switch# set interfaces ge-0/0/10 unit 0 family ethernet-switching port mode access user@switch# set forwarding-options port-mirroring instance employee-web-monitor output vlan 999
Konfigurieren Sie die VLAN-ID für das VLAN:
remote-analyzer[edit vlans] user@switch# set remote-analyzer vlan-id 999
Konfigurieren Sie die Schnittstelle so, dass sie mit dem VLAN verknüpft wird:
remote-analyzer[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999
Konfigurieren Sie den Firewall-Filter mit dem Namen :
watch-employee[edit firewall family ethernet-switching] user@switch# set filter watch-employee term employee-to-corp from destination-address 192.0.2.16/28 user@switch# set filter watch-employee term employee-to-corp from source-address 192.0.2.16/28 user@switch# set filter watch-employee term employee-to-corp then accept user@switch# set filter watch-employee term employee-to-web from destination-port 80 user@switch# set filter watch-employee term employee-to-web then port-mirror-instance employee-web-monitor
In dieser Konfiguration definiert der Begriff, dass Datenverkehr von der Zieladresse und der Quelladresse akzeptiert werden kann, um den Switch zu passieren, und der Begriff definiert, dass Datenverkehr vom Port an die Portspiegelungsinstanz gesendet werden muss.
employee-to-corp192.0.2.16/28192.0.2.16/28employee-to-web80employee-web-monitorWenden Sie den Firewall-Filter auf die Mitarbeiterschnittstellen an:
[edit interfaces] user@switch# set ge-0/0/0 unit 0 family ethernet-switching filter input watch-employee user@switch# set ge-0/0/1 unit 0 family ethernet-switching filter input watch-employee
Auf dem Ziel-Switch:
Konfigurieren Sie die VLAN-ID für das VLAN:
remote-analyzer[edit vlans] user@switch# set remote-analyzer vlan-id 999
Konfigurieren Sie die Schnittstelle auf dem Ziel-Switch für den Zugriffsmodus und ordnen Sie sie dem VLAN zu:
remote-analyzer[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching interface-mode access user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999
Konfigurieren Sie die mit dem Ziel-Switch verbundene Schnittstelle für den Zugriffsmodus und ordnen Sie sie dem VLAN zu:
remote-analyzer[edit interfaces] user@switch# set ge-0/0/5 unit 0 family ethernet-switching interface-mode access user@switch# set ge-0/0/5 unit 0 family ethernet-switching vlan members 999
Ergebnisse
Überprüfen Sie die Ergebnisse der Konfiguration auf dem Quell-Switch:
[edit]
user@switch> show
interfaces {
ge-0/0/10 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members remote-analyzer;
}
}
}
}
ge-0/0/0 {
unit 0 {
family ethernet-switching {
filter {
input watch-employee;
}
}
}
}
ge-0/0/1 {
unit 0 {
family ethernet-switching {
filter {
input watch-employee;
}
}
}
}
}
firewall {
family ethernet-switching {
filter watch-employee {
term employee-to-corp {
from {
source-address {
192.0.2.16/28;
}
destination-address {
192.0.2.16/28;
}
}
then accept;
}
term employee-to-web {
from {
destination-port 80;
}
then port-mirror-instance employee-web-monitor;
}
}
}
}
forwarding-options {
analyzer employee-web-monitor {
output {
vlan {
999;
}
}
}
vlans {
remote-analyzer {
vlan-id 999;
}
}
Überprüfen Sie die Ergebnisse der Konfiguration auf dem Ziel-Switch:
[edit]
user@switch> show
vlans {
remote-analyzer {
vlan-id 999;
}
}
interfaces {
ge-0/0/10 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members remote-analyzer;
}
}
}
}
ge-0/0/5 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members remote-analyzer;
}
}
}
}
}
Überprüfung
Um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert, führen Sie die folgenden Schritte aus:
Überprüfen, ob die Portspiegelungsinstanz korrekt erstellt wurde
Zweck
Stellen Sie sicher, dass die Port-Mirror-Instanz auf dem Switch mit dem entsprechenden Ausgabe-VLAN erstellt wurde.employee-web-monitor
Was
Mit dem Befehl können Sie überprüfen, ob der Port-Mirror wie erwartet konfiguriert ist.show forwarding-options port-mirror Um zuvor erstellte Analysetools anzuzeigen, die deaktiviert sind, rufen Sie die J-Web-Oberfläche auf.
Führen Sie den Befehl auf dem Quell-Switch aus, um zu überprüfen, ob der Port-Mirror wie erwartet konfiguriert ist, während Sie den Datenverkehr der Mitarbeiter auf dem Quell-Switch überwachen.show forwarding-options port-miror Für dieses Konfigurationsbeispiel wird die folgende Ausgabe angezeigt:
user@switch> show forwarding-options port-mirror
Instance Name: employee-web-monitor
Instance Id: 3
Input parameters:
Rate : 1
Run-length : 0
Maximum-packet-length : 0
Output parameters:
Family State Destination Next-hop
ethernet-switching up default-switch/remote-analyzer
Bedeutung
Diese Ausgabe zeigt, dass die Instanz ein Verhältnis von 1 hat (Spiegelung jedes Pakets, was die Standardeinstellung ist), die maximale Größe des ursprünglichen Pakets, das gespiegelt wurde (0 steht für das gesamte Paket), der Status der Konfiguration ist up (was den richtigen Status anzeigt und dass der Analyzer programmiert ist, den Datenverkehr spiegelt, der in ge-0/0/0 und ge-0/0/1 eingeht, und sendet den gespiegelten Datenverkehr an das VLAN namens ).employee-web-monitorremote-analyzer