Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Konfiguration der Portspiegelung lokale und Remote-Analyse

Konfiguration von Port-Spiegelung

Sie verwenden die Portspiegelung, um Pakete zu kopieren und die Kopien an ein Gerät zu senden, auf dem eine Anwendung ausgeführt wird, beispielsweise ein Netzwerkanalyse oder eine Intrusion Detection-Anwendung, damit Sie den Datenverkehr ohne Verzögerung analysieren können. Sie können den ein- oder aus dem Port ein- oder ausgangsenden Datenverkehr spiegeln und die Kopien über eine Trunkschnittstelle an eine lokale Zugriffsschnittstelle oder an ein VLAN senden.

Wir empfehlen, die Portspiegelung zu deaktivieren, wenn Sie sie nicht verwenden. Um ein Leistungsproblem zu vermeiden Wenn Sie die Portspiegelung aktivieren, empfehlen wir Ihnen, anstelle des Stichworts bestimmte Eingabeschnittstellen all auszuwählen. Sie können auch die Menge des gespiegelten Datenverkehrs über einen Firewall-Filter beschränken.

Anmerkung:

Bei dieser Aufgabe wird der Konfigurationsstil für Enhanced Layer 2 Software (ELS) verwendet. Wenn Auf Ihrem Switch Software ausgeführt wird, die ELS nicht unterstützt, finden Sie weitere Informationen unter Configuring Port Mirroring (Konfiguration von Portspiegelung). Informationen zu ELS finden Sie unter Verwenden der Enhanced Layer 2-Software CLI.

Anmerkung:

Wenn Sie weitere Analysegeräte erstellen möchten, ohne einen vorhandenen Analyzer löschen zu müssen, deaktivieren Sie den vorhandenen Analyzer zuerst mithilfe des disable analyzer analyzer-name Befehls.

Anmerkung:

Sie müssen die Portspiegelungs-Ausgabeschnittstellen als family ethernet-switching konfigurieren.

Konfiguration von Port-Spiegelung für die lokale Analyse

So spiegeln Sie den Datenverkehr der Schnittstelle zu einer lokalen Schnittstelle auf dem Switch wieder:

  1. Wenn Sie Datenverkehr, der ein- oder ausgehende bestimmte Schnittstellen spiegeln möchte, einen Namen für die Konfiguration der Portspiegelung wählen und den gespiegelten Datenverkehr konfigurieren möchten, indem Sie die Schnittstellen und die Richtung des Datenverkehrs angeben:
    Anmerkung:

    Wenn Sie die Junos OS spiegelung der Ausgangspakete konfigurieren, konfigurieren Sie nicht mehr als 2000 VLANs. In manchen VLAN-Paketen sind möglicherweise falsche VLAN-IDs enthalten.

    Anmerkung:

    Wenn Sie die Spiegelung für Pakete konfigurieren, die die Zugriffsschnittstelle verlassen, verlieren die ursprünglichen Pakete beim Verlassen der Zugriffsschnittstelle keine VLAN-Tags, aber die gespiegelten (kopierten) Pakete behalten die VLAN-Tags, wenn sie an das Analysesystem gesendet werden.

  2. Wenn Sie angeben möchten, dass der in einem VLAN eingebene Datenverkehr gespiegelt werden soll, wählen Sie einen Namen für die Konfiguration der Port-Spiegelung aus, und geben Sie das VLAN ein:
    Anmerkung:

    Sie können die Portspiegelung nicht konfigurieren, um Datenverkehr, der ein VLAN ausgehend, zu kopieren.

  3. Konfigurieren Sie die Zielschnittstelle für gespiegelte Pakete:

Konfigurieren der Portspiegelung für die Remoteanalyse

So spiegeln Sie den Datenverkehr zu einem VLAN für die Analyse an einem Remote-Standort wieder:

  1. Konfigurieren Sie ein VLAN, um den gespiegelten Datenverkehr zu über tragen:
  2. Konfigurieren Sie die Schnittstelle, die sich mit einem anderen Switch (der Uplink-Schnittstelle) mit dem Bündelmodus verbindet, und verbinden Sie sie mit dem entsprechenden VLAN:
  3. Analyzer konfigurieren:
    1. Wählen Sie einen Namen für den Analyzer:
    2. Geben Sie die zu spiegelnde Schnittstelle an und, ob der Datenverkehr auf dem Ein- oder Ausgehenden gespiegelt werden soll:
    3. Geben Sie die entsprechende IP-Adresse oder VLAN als Ausgabe an (in diesem Beispiel wird ein VLAN angegeben:

      Wenn Sie eine IP-Adresse als Ausgabe angeben, beachten Sie die folgenden Einschränkungen:

      • Die Adresse darf sich nicht im selben Subnetz wie alle Switch-Verwaltungsschnittstellen befinden.

      • Wenn Sie virtuelle Routinginstanzen erstellen und außerdem eine Analyzer-Konfiguration erstellen, die eine Ausgabe-IP-Adresse enthält, ist die Ausgabeadresse der virtuellen Standard-Routinginstanz ( inet.0 Routing-Tabelle).

      • Das Analysegerät muss in der Lage sein, GRE-eingekapselte Pakete zu entkapselen, oder die GRE-eingekapselten Pakete müssen entkapselt werden, bevor sie das Analysegerät erreichen. (Sie können einen Netzwerk-Sniffer verwenden, um die Pakete zu entkapseln.)

Filterung des datenverkehrs, der an einem Analyzer

Anmerkung:

Diese Funktion wird auf anderen Geräten nicht NFX150 unterstützt.

Sie können nicht nur angeben, welcher Datenverkehr durch die Konfiguration eines Analysegeräts gespiegelt werden soll, Sondern Sie können auch einen Firewall-Filter verwenden, um mehr Kontrolle darüber zu üben, welche Pakete kopiert werden. Sie können beispielsweise einen Filter verwenden, um anzugeben, dass nur Datenverkehr von bestimmten Anwendungen gespiegelt wird. Der Filter kann eine der verfügbaren Bedingungen verwenden und muss einen Änderungsverkn(n) haben Wenn Sie denselben Analyzer in mehreren Filtern oder Begriffen verwenden, werden die Ausgabepakete nur einmal port-mirror-instance instance-name. kopiert.

Wenn Sie einen Firewallfilter als Eingabe an eine Port-Spiegelungsinstanz verwenden, senden Sie den kopierten Datenverkehr an eine lokale Schnittstelle oder ein VLAN, genau wie bei nicht beteiligter Firewall.

So konfigurieren Sie die Port-Spiegelung mit Filtern:

  1. Konfigurieren Sie eine Instanz mit Portspiegelung für die lokale oder Remote-Analyse. Nur die Ausgabe konfigurieren. Geben Sie zur lokalen Analyse beispielsweise Folgendes ein:
    Anmerkung:

    Eingaben in diese Instanz können nicht konfiguriert werden.

  2. Erstellen Sie einen Firewall-Filter unter Verwendung der verfügbaren Bedingungen. In einem then Begriff können Sie den Aktions-Modifizierer port-mirror-instance instance-name angeben.
  3. Wenden Sie den Firewall-Filter auf die Schnittstellen oder VLAN an, die die Daten für den Analysedatenanalysedienst bereitstellen sollten:

Konfigurieren der Portspiegelung auf SRX-Geräten

Zur Konfiguration der Portspiegelung auf einem SRX-Gerät muss zunächst die forwarding-optionsinterfaces[edit] Hierarchieebene konfiguriert werden.

Sie müssen die Anweisung so konfigurieren, dass eine Instanz des Ports für die Portspiegelung definiert wird, und die zu forwarding-optionsmirror-to spiegelnde Schnittstelle muss konfiguriert werden.

Anmerkung:

Der gespiegelte Port und der Mirror-to-Port müssen unter dem gleichen Broadcom-Chipsatz in einer I/O-Karte sein.

So konfigurieren Sie die Portspiegelung:

  1. Bitte geben Sie rate die run-length[edit forwarding-options port-mirroring input] Hierarchieebene an:
    Anmerkung:
    • rate: Anteil der zu nutzenden Pakete (1 von N)(1 bis 65535)

    • run-length: Anzahl der Muster nach dem ersten Trigger (0 bis 20)

  2. Um die Kopien des Pakets an den Port zu senden, fügen Sie mirror-to die Anweisung auf der interface intf-name[edit forwarding-options port-mirroring family any output] Hierarchieebene bei.
    Anmerkung:

    Port-Spiegelung auf SRX-Geräten verwendet, um die Portinformationen an die Packet Forwarding Engine family anymirror-to (PFE) zu übertragen. Die Spiegelungs-Engine kopiert alle Pakete von mirrored Port zu mirror-to Port.

Anmerkung:

Sie können eine Klausel instance zur Angabe mehrerer Ports mirror-to konfigurieren.

Um eine Schnittstelle zu spiegeln, fügen Sie die port-mirror-instance Anweisung auf der [edit interface mirrored-intf-name] Hierarchieebene ein.

Die gespiegelte Schnittstelle wird mit einem im forwarding-options Port mirrored und Port werden über diese Instanz mirror-to verknüpft.

Anmerkung:

Die Port-Spiegelung auf SRX-Geräten unterscheidet nicht die Richtung des Datenverkehrs, sondern spiegelt die ingress- und egress-Samples zusammen.

Eine Beispielkonfiguration für Die Portspiegelung wird unten dargestellt:

Beispiele: Konfiguration von Port-Spiegelung für die lokale Analyse

Port-Spiegelung verwenden, um Datenverkehr an Anwendungen zu senden, die Datenverkehr für Zwecke wie Überwachung der Compliance, Durchsetzung von Richtlinien, Erkennung von Eindringlingen, Überwachung und Vorhersage von Datenverkehrsmustern, Korrelation von Ereignissen und so weiter analysieren. Portspiegelung von Kopien, die an eine Schnittstelle oder den Eintritt in ein VLAN gesendet werden, und sendet die Kopien zur lokalen Überwachung an eine lokale Schnittstelle.

Anmerkung:

In diesem Beispiel wird der Konfigurationsstil für Enhanced Layer 2 Software (ELS) verwendet. Informationen zu ELS finden Sie unter Verwenden der Enhanced Layer 2-Software CLI.

In diesem Beispiel wird beschrieben, wie die Portspiegelung konfiguriert wird, um Datenverkehr, der von Mitarbeitercomputern an einen Switch gesendet wird, an eine Zugriffsschnittstelle auf demselben Switch zu kopieren.

Anforderungen

In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:

  • Junos OS Version 13.2

  • Ein Switch

Überblick und Topologie

Dieses Thema enthält zwei ähnliche Beispiele, die beschreiben, wie der an der Switch-Schnittstelle einflädte Datenverkehr zu einer Zugriffsschnittstelle desselben Switches gespiegelt wird. Das erste Beispiel zeigt, wie der von den Computern der Mitarbeiter an den Switch gesendete Datenverkehr gespiegelt wird. Im zweiten Beispiel wird ein Filter enthalten, der nur den Mitarbeiterdatenverkehr, der zum Internet geht, wiederspiegelt.

Topologie

In diesem Beispiel und xe-0/0/0 dient als Verbindung für die Computer der xe-0/0/6 Mitarbeiter. Die xe-0/0/47 Schnittstelle ist mit einem Gerät verbunden, auf dem eine Analyseanwendung ausgeführt wird.

Anmerkung:

Mehrere ports, die an eine Schnittstelle gespiegelt werden, können zu Pufferüberlauf und eingestellten Paketen führen.

Abbildung 1 zeigt die Netzwerktopologie für dieses Beispiel.

Abbildung 1: Beispiel: Netzwerktopologie für die Spiegelung lokaler PortsBeispiel: Netzwerktopologie für die Spiegelung lokaler Ports

Beispiel: Spiegelung des datenverkehrs aller Mitarbeiter zur lokalen Analyse

Um die Portspiegelung für den von den Mitarbeitercomputern zur lokalen Analyse gesendeten Datenverkehr zu konfigurieren, führen Sie die in diesem Abschnitt beschriebenen Aufgaben aus.

Verfahren

CLI-Konfiguration

Kopieren Sie die folgenden Befehle, und fügen Sie sie in ein Switch-Terminalfenster ein, um die lokale Portspiegelung für den einlaufenden Datenverkehr zu den zwei mit den Mitarbeitercomputern verbundenen Ports schnell zu konfigurieren:

Schritt-für-Schritt-Verfahren

Zur Konfiguration eines Analysegerätes, der als Analyse verwendet wird, und Angabe der Eingangs- employee-monitor (Quell-)Schnittstellen und der Ausgangsschnittstelle:

  1. Konfigurieren Sie die mit Mitarbeitercomputern verbundenen Schnittstellen als Eingabeschnittstellen für den Port-Mirror employee-monitor Analyzer:

  2. Konfigurieren Sie die Ausgabeanalyseschnittstelle für den employee-monitor Analyzer. Dies ist die Zielschnittstelle für die gespiegelten Pakete:

Ergebnisse

Überprüfen Sie die Ergebnisse der Konfiguration:

Beispiel: Spiegelung des Webdatenverkehrs von Mitarbeitern mit einem Firewall-Filter

Anforderungen

In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:

  • Ein QFX5100-Switch

  • Junos OS Release 14.1X53-D30

Überblick

Anstatt den ganzen Datenverkehr zu spiegeln, ist es in der Regel wünschenswert, nur bestimmten Datenverkehr wiederspiegeln zu müssen. Dies ist eine effizientere Nutzung Ihrer Bandbreite und Hardware und kann aufgrund der Einschränkungen dieser Ressourcen erforderlich sein. Um einen bestimmten Datenverkehr für die Spiegelung auszuwählen, verwenden Sie einen Firewall-Filter, um den gewünschten Datenverkehr zu wählen und ihn zu einer Port-Spiegelungsinstanz zu leitet. Die Port-Spiegelungsinstanz kopiert die Pakete und sendet sie an die VLAN-Ausgabe, die Schnittstelle oder die IP-Adresse.

Konfiguration

Um festzulegen, dass der einzige gespiegelte Datenverkehr der Datenverkehr ist, der von Mitarbeitern an das Internet gesendet wird, führen Sie die in diesem Abschnitt beschriebenen Aufgaben aus. Um diesen Datenverkehr zur Spiegelung auszuwählen, verwenden Sie einen Firewall-Filter, um diesen Datenverkehr anzugeben und ihn auf eine Port-Spiegelungsinstanz zu richten.

Verfahren

CLI-Konfiguration

Kopieren Sie die folgenden Befehle, und fügen Sie sie in ein Switch-Terminal-Fenster ein, um die Spiegelung des lokalen Port-Spiegelungs von Mitarbeitercomputern, der für das Internet bestimmt ist, schnell zu konfigurieren:

Schritt-für-Schritt-Verfahren

So konfigurieren Sie die lokale Portspiegelung des Mitarbeiter-zu-Web-Datenverkehrs von den zwei Ports, die mit den Computer der Mitarbeiter verbunden sind:

  1. Konfiguration der Ausgangsschnittstelle:

  2. Konfigurieren Sie employee-web-monitor die Ausgangsschnittstelle. (Nur die Ausgabe konfigurieren – die Eingabe kommt vom Filter.)

  3. Konfigurieren Sie einen Firewall-Filter mit dem Begriff, der einen Begriff enthält, der an das Web gesendete Datenverkehr an und an die watch-employee Port-Spiegelungsinstanz employee-web-monitor sendet. Datenverkehr zum und vom Unternehmens-Subnetz (Ziel- oder Quelladresse) muss nicht kopiert werden. Erstellen Sie daher einen anderen Begriff, um diesen Datenverkehr zu akzeptieren, bevor er den Begriff erreicht, der Webdatenverkehr an die Instanz 192.0.2.16/28 sendet:

  4. Wenden Sie den Firewall-Filter als Ingress-Filter auf die entsprechenden Schnittstellen an (Ausgangsfilter lassen keine Analyse zu):

Ergebnisse

Überprüfen Sie die Ergebnisse der Konfiguration:

Überprüfung

Überprüfung der korrekten Analyse

Zweck

Stellen Sie sicher, dass die portspiegelende Instanz auf dem Switch mit den entsprechenden Eingangsschnittstellen und der entsprechenden employee-web-monitor Ausgabeschnittstelle erstellt wurde.

Aktion

Sie können überprüfen, ob die Portspiegelungsinstanz mithilfe des Befehls wie erwartet konfiguriert show forwarding-options port-mirroring wurde.

Bedeutung

Diese Ausgabe zeigt die folgenden Informationen zur Port-Spiegelungsinstanz: employee-web-monitor

  • Hat eine Rate 1 von (Spiegelung jedes Pakets, die Standardeinstellung)

  • Die Anzahl der aufeinanderfolgenden Musterpakete (Run-Length) be 0

  • Die maximale Größe des originalen, gespiegelten Pakets ist 0 ( gibt das gesamte Paket 0 an)

  • Der Status der Ausgabeparameter: up gibt an, dass die Instanz den an die xe-0/0/0- und xe-0/0/6-Schnittstellen überträgt, und den gespiegelten Datenverkehr an die xe-0/0/47-Schnittstelle sendet

Wenn der Status der Ausgabeschnittstelle angezeigt wird oder die Ausgabeschnittstelle nicht konfiguriert ist, wird der Wert angezeigt und die Instanz wird nicht für die downstatedown Spiegelung programmiert.

Beispiel: Konfigurieren der Portspiegelung für die Remoteanalyse

Port-Spiegelung verwenden, um Datenverkehr an Anwendungen zu senden, die Datenverkehr für Zwecke wie Überwachung der Compliance, Durchsetzung von Richtlinien, Erkennung von Eindringlingen, Überwachung und Vorhersage von Datenverkehrsmustern, Korrelation von Ereignissen und so weiter analysieren. Port-Spiegelung kopiert Pakete, die an eine Schnittstelle oder den Zugriff auf ein VLAN gesendet werden, und sendet die Kopien entweder an eine lokale Schnittstelle zur lokalen Überwachung oder zur Remote-Überwachung an ein VLAN. In diesem Beispiel wird beschrieben, wie die Portspiegelung für die Remoteanalyse konfiguriert wird.

Anforderungen

In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:

  • Junos OS Version 13.2 für die QFX-Serie

  • Ein Switch

Überblick und Topologie

Dieses Thema enthält zwei ähnliche Beispiele, die beschreiben, wie der an den Ports am Switch übertragene Datenverkehr zu einem Analyzer-VLAN gespiegelt werden kann, damit Sie Analysen mit einem Remotegerät durchführen können. Das erste Beispiel zeigt, wie der von den Computern der Mitarbeiter an den Switch gesendete Datenverkehr gespiegelt wird. Im zweiten Beispiel wird ein Filter enthalten, der nur den Mitarbeiterdatenverkehr, der zum Internet geht, wiederspiegelt.

Topologie

In diesem Beispiel:

  • Schnittstellen ge-0/0/0 und ge-0/0/1 sind Layer-2-Schnittstellen, die eine Verbindung zu Mitarbeitercomputern herstellen.

  • Die ge-0/0/2 Schnittstelle ist eine Layer 2-Schnittstelle, die mit einem anderen Switch verbunden ist.

  • VLAN ist auf allen Switches in der Topologie konfiguriert, um remote-analyzer den gespiegelten Datenverkehr zu tragen.

Anmerkung:

Zusätzlich zur Ausführung der hier beschriebenen Konfigurationsschritte müssen Sie das ANALYZER-VLAN (in diesem Beispiel) auf den anderen Switches konfigurieren, die verwendet werden, um den Quell-Switch (den in dieser Konfiguration) mit dem Switch zu verbinden, mit dem die Überwachungsstation verbunden remote-analyzer ist.

Spiegelung des datenverkehrs aller Mitarbeiter zur Remoteanalyse

Verfahren

CLI-Konfiguration

Um diesen Abschnitt des Beispiels schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Leitungsbrüche, ändern Sie alle details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich sind, und kopieren Sie die Befehle, und fügen Sie die Befehle dann in die CLI-Hierarchieebene edit ein:

Schritt-für-Schritt-Verfahren

So konfigurieren Sie die grundlegende Remote-Portspiegelung:

  1. Konfigurieren Sie den VLAN-Analyzer remote-analyzer (in diesem Beispiel genannt):

  2. Konfigurieren Sie die mit einem Switch verbundene Schnittstelle für den Trunkmodus und verbinden Sie sie mit dem remote-analyzer VLAN:

  3. Analyzer employee-monitor konfigurieren:

  4. Konfigurieren Sie remote-analyzer das VLAN auf den Switches, die diesen Switch mit der Überwachungs-Workstation verbinden.

Ergebnisse

Überprüfen Sie die Ergebnisse der Konfiguration:

Spiegelung des Mitarbeiter-zu-Web-Datenverkehrs zur Remoteanalyse

CLI-Konfiguration

Um diesen Abschnitt des Beispiels schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Leitungsbrüche, ändern Sie alle details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich sind, und kopieren Sie die Befehle, und fügen Sie die Befehle dann in die CLI-Hierarchieebene edit ein:

Verfahren

Schritt-für-Schritt-Verfahren
  1. Konfigurieren Sie den VLAN-Analyzer remote-analyzer (in diesem Beispiel genannt):

  2. Eine Schnittstelle konfigurieren, um sie mit dem remote-analyzer VLAN zu verknüpfen:

  3. Konfigurieren Sie den employee-web-monitor Analyzer. (Nur die Ausgabe konfigurieren – die Eingabe kommt vom Filter.)

  4. Konfigurieren Sie einen Firewall-Filter, der dazu aufgerufen wird, den an das Web gesendeten Datenverkehr an einen bestimmten Datenverkehr an den watch-employee Analysegeräte zu employee-web-monitor senden:

  5. Wenden Sie den Firewall-Filter als Ingress-Filter auf die entsprechenden Schnittstellen an:

  6. Konfigurieren Sie remote-analyzer das VLAN auf den Switches, die diesen Switch mit der Überwachungs-Workstation verbinden.

Ergebnisse

Überprüfen Sie die Ergebnisse der Konfiguration:

Überprüfung

Überprüfung der korrekten Analyse

Zweck

Stellen Sie sicher, dass der Analyzer mit den entsprechenden Eingabeschnittstellen und der entsprechenden Ausgabeschnittstelle auf dem Switch employee-monitoremployee-web-monitor erstellt wurde.

Aktion

Sie können überprüfen, ob der Portspiegel analyzer mithilfe des Befehls wie erwartet konfiguriert show analyzer wurde.

Bedeutung

Diese Ausgabe zeigt, dass der Analysedatenverkehr den ein- und aus dem Verkehr wiederspiegelt und den employee-monitorge-0/0/0ge-0/0/1 Spiegelungsverkehr an den Analysegeräte remote-analyzer sendet.