Konfigurieren der Portspiegelung Lokale und Remote-Analyse
Konfigurieren der Portspiegelung
Sie verwenden die Portspiegelung, um Pakete zu kopieren und die Kopien an ein Gerät zu senden, auf dem eine Anwendung ausgeführt wird, z. B. eine Netzwerkanalyse- oder Intrusion Detection-Anwendung, sodass Sie den Datenverkehr analysieren können, ohne ihn zu verzögern. Sie können den Datenverkehr, der in einen Port ein- oder ausgeht oder in ein VLAN eintritt, spiegeln und die Kopien über eine Trunk-Schnittstelle an eine lokale Zugriffsschnittstelle oder an ein VLAN senden.
Es wird empfohlen, die Portspiegelung zu deaktivieren, wenn Sie sie nicht verwenden. So vermeiden Sie ein Leistungsproblem Wenn Sie die Portspiegelung aktivieren, empfehlen wir, bestimmte Eingabeschnittstellen auszuwählen, anstatt das Schlüsselwort zu verwenden.all
Sie können die Menge des gespiegelten Datenverkehrs auch mithilfe eines Firewallfilters begrenzen.
Für diese Aufgabe wird der Konfigurationsstil Enhanced Layer 2 Software (ELS) verwendet. Wenn auf Ihrem Switch Software ausgeführt wird, die ELS nicht unterstützt, finden Sie weitere Informationen unter Konfigurieren der Portspiegelung.https://www.juniper.net/documentation/en_US/junos/topics/task/configuration/port-mirroring-qfx-series-cli.html Weitere Informationen zu ELS finden Sie unter Verwenden der erweiterten Layer-2-Software-CLI.https://www.juniper.net/documentation/en_US/junos/topics/topic-map/layer-2-understanding.html
Wenn Sie zusätzliche Analysetools erstellen möchten, ohne eine vorhandene Analyseanalyse zu löschen, deaktivieren Sie zunächst die vorhandene Analysefunktion mithilfe des Befehls.disable analyzer analyzer-name
Sie müssen die Ausgabeschnittstellen für die Portspiegelung als .family ethernet-switching
- Konfigurieren der Portspiegelung für die lokale Analyse
- Konfigurieren der Portspiegelung für die Remote-Analyse
- Filtern des Datenverkehrs, der in einen Analyzer gelangt
Konfigurieren der Portspiegelung für die lokale Analyse
So spiegeln Sie den Schnittstellendatenverkehr auf eine lokale Schnittstelle auf dem Switch:
Konfigurieren der Portspiegelung für die Remote-Analyse
So spiegeln Sie den Datenverkehr zur Analyse an einem Remote-Standort in ein VLAN:
Filtern des Datenverkehrs, der in einen Analyzer gelangt
Diese Funktion wird auf NFX150-Geräten nicht unterstützt.
Sie können nicht nur angeben, welcher Datenverkehr durch die Konfiguration eines Analysetools gespiegelt werden soll, sondern auch einen Firewallfilter verwenden, um mehr Kontrolle darüber auszuüben, welche Pakete kopiert werden. Sie können z. B. einen Filter verwenden, um anzugeben, dass nur Datenverkehr von bestimmten Anwendungen gespiegelt wird. Der Filter kann jede der verfügbaren Übereinstimmungsbedingungen verwenden und muss über die Aktion Modifizierer Wenn Sie dasselbe Analysetool in mehreren Filtern oder Termen verwenden, werden die Ausgabepakete nur einmal kopiert.port-mirror-instance instance-name.
Wenn Sie einen Firewall-Filter als Eingabe für eine Port-Mirroring-Instanz verwenden, senden Sie den kopierten Datenverkehr an eine lokale Schnittstelle oder ein VLAN, genau wie wenn keine Firewall beteiligt ist.
So konfigurieren Sie die Portspiegelung mit Filtern:
Konfigurieren der Portspiegelung auf Firewalls der SRX-Serie
Um die Portspiegelung auf einem SRX-Gerät zu konfigurieren, müssen Sie zunächst und auf Hierarchieebene konfigurieren.forwarding-options
interfaces
[edit]
Sie müssen die Anweisung so konfigurieren, dass eine Instanz des Ports für die Portspiegelung definiert wird, und auch die zu spiegelnde Schnittstelle konfigurieren.forwarding-options
mirror-to
Der gespiegelte Port und der gespiegelte Port müssen sich unter demselben Broadcom-Chipsatz in einer E/A-Karte befinden.
So konfigurieren Sie die Portspiegelung:
Sie können eine Klausel konfigurieren, um mehrere Ports anzugeben.instance
mirror-to
Um eine Schnittstelle zu spiegeln, fügen Sie die Anweisung auf Hierarchieebene ein. port-mirror-instance
[edit interface mirrored-intf-name]
Die gespiegelte Schnittstelle wird mit einem Instanznamen konfiguriert, der in .forwarding-options
Der Port und der Port sind über diese Instanz verbunden.mirrored
mirror-to
instance { inst-name { input { rate number; run-length number; } family any { output { interface intf-name; } } } } interfaces mirrored-intf-name { port-mirror-instance instance-name; }
Bei der Portspiegelung auf Firewalls der SRX-Serie wird nicht die Richtung des Datenverkehrs unterschieden, sondern die Eingangs- und Ausgangsbeispiele werden gemeinsam gespiegelt.
Nachfolgend finden Sie eine Beispielkonfiguration für die Port-Spiegelung:
mirror port ge-1/0/2 to port ge-1/0/9.0 forwarding-options port-mirroring { input { rate 1; run-length 10; } family any { output { interface ge-1/0/9.0; } } instance { inst1 { input { rate 1; run-length 10; } family any { output { interface ge-1/0/9.0; } } } } interfaces { ge-1/0/2 { port-mirror-instance inst1; } }
Beispiele: Konfigurieren der Portspiegelung für die lokale Analyse
Verwenden Sie die Portspiegelung, um Datenverkehr an Anwendungen zu senden, die den Datenverkehr analysieren, z. B. um die Einhaltung von Vorschriften zu überwachen, Richtlinien durchzusetzen, Eindringlinge zu erkennen, Datenverkehrsmuster zu überwachen und vorherzusagen, Ereignisse zu korrelieren usw. Die Portspiegelung kopiert Pakete, die in eine Schnittstelle ein- oder ausgehen oder in ein VLAN eintreten, und sendet die Kopien zur lokalen Überwachung an eine lokale Schnittstelle.
In diesem Beispiel wird der Konfigurationsstil Enhanced Layer 2 Software (ELS) verwendet. Weitere Informationen zu ELS finden Sie unter Verwenden der erweiterten Layer-2-Software-CLI.
In diesem Beispiel wird beschrieben, wie die Portspiegelung so konfiguriert wird, dass der von Mitarbeitercomputern an einen Switch gesendete Datenverkehr auf eine Zugriffsschnittstelle auf demselben Switch kopiert wird.
- Anforderungen
- Übersicht und Topologie
- Beispiel: Spiegelung des gesamten Mitarbeiterdatenverkehrs für lokale Analysen
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Junos OS Version 13.2
Einen Schalter
Übersicht und Topologie
Dieses Thema enthält zwei verwandte Beispiele, in denen beschrieben wird, wie der Datenverkehr, der Schnittstellen auf dem Switch betritt, auf eine Zugriffsschnittstelle auf demselben Switch gespiegelt wird. Das erste Beispiel zeigt, wie der gesamte Datenverkehr, der von den Computern der Mitarbeiter an den Switch gesendet wird, gespiegelt wird. Das zweite Beispiel enthält einen Filter, der nur den Mitarbeiterdatenverkehr spiegelt, der ins Web geht.
Topologie
In diesem Beispiel dienen und als Verbindungen für Mitarbeitercomputer.xe-0/0/0
xe-0/0/6
Die Schnittstelle ist mit einem Gerät verbunden, auf dem eine Analyseanwendung ausgeführt wird.xe-0/0/47
Mehrere Ports, die auf eine Schnittstelle gespiegelt werden, können zu Pufferüberlauf und verworfenen Paketen führen.
Abbildung 1 zeigt die Netzwerktopologie für dieses Beispiel.
Beispiel: Spiegelung des gesamten Mitarbeiterdatenverkehrs für lokale Analysen
Führen Sie die in diesem Abschnitt beschriebenen Aufgaben aus, um die Portspiegelung für den gesamten Datenverkehr zu konfigurieren, der von den Computern der Mitarbeiter zur lokalen Analyse gesendet wird.
Verfahren
CLI-Schnellkonfiguration
Um schnell die lokale Portspiegelung für eingehenden Datenverkehr zu den beiden Ports zu konfigurieren, die mit den Computern der Mitarbeiter verbunden sind, kopieren Sie die folgenden Befehle, und fügen Sie sie in ein Switch-Terminalfenster ein:
[edit] set interfaces xe-0/0/0 unit 0 family ethernet-switching set interfaces xe-0/0/6 unit 0 family ethernet-switching set interfaces xe-0/0/47 unit 0 family ethernet-switching set forwarding-options analyzer employee-monitor input ingress interface xe-0/0/0.0 set forwarding-options analyzer employee-monitor input ingress interface xe-0/0/6.0 set forwarding-options analyzer employee-monitor output interface xe-0/0/47.0
Schritt-für-Schritt-Anleitung
Gehen Sie wie folgt vor, um einen Analyzer zu konfigurieren und die Eingabeschnittstellen (Quellschnittstellen) und die Ausgabeschnittstelle anzugeben:employee-monitor
Konfigurieren Sie die Schnittstellen, die an Mitarbeiterrechner angeschlossen sind, als Eingabeschnittstellen für den Port-Mirror-Analysator :
employee-monitor
[edit forwarding-options] user@switch# set analyzer employee-monitor input ingress interface xe–0/0/0.0 user@switch# set analyzer employee-monitor input ingress interface xe–0/0/6.0
Konfigurieren Sie die Schnittstelle für die Ausgabeanalyse für die Analyse.
employee-monitor
Dies ist die Zielschnittstelle für die gespiegelten Pakete:[edit forwarding-options] user@switch# set analyzer employee-monitor output interface xe-0/0/47.0
Ergebnisse
Überprüfen Sie die Ergebnisse der Konfiguration:
[edit] user@switch# show forwarding-options analyzer employee-monitor { input { ingress { interface xe-0/0/0.0; interface xe-0/0/6.0; } } output { interface { xe-0/0/47.0; } } } }
Beispiel: Spiegelung des Webdatenverkehrs von Mitarbeitern mit einem Firewall-Filter
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Ein QFX5100 Switch
Junos OS-Version 14.1X53-D30
Überblick
Anstatt den gesamten Datenverkehr zu spiegeln, ist es in der Regel wünschenswert, nur bestimmten Datenverkehr zu spiegeln. Dies ist eine effizientere Nutzung Ihrer Bandbreite und Hardware und kann aufgrund von Einschränkungen für diese Ressourcen erforderlich sein. Um bestimmten Datenverkehr für die Spiegelung auszuwählen, verwenden Sie einen Firewall-Filter, um den gewünschten Datenverkehr abzugleichen und ihn an eine Portspiegelungsinstanz zu leiten. Die Port-Mirroring-Instanz kopiert dann die Pakete und sendet sie an das Ausgabe-VLAN, die Schnittstelle oder die IP-Adresse.
Konfiguration
Führen Sie die in diesem Abschnitt erläuterten Aufgaben aus, um anzugeben, dass nur Datenverkehr gespiegelt wird, der von Mitarbeitern an das Web gesendet wird. Um diesen Datenverkehr für die Spiegelung auszuwählen, verwenden Sie einen Firewallfilter, um diesen Datenverkehr anzugeben und an eine Portspiegelungsinstanz zu leiten.
Verfahren
CLI-Schnellkonfiguration
Um schnell die lokale Portspiegelung des Datenverkehrs von Mitarbeitercomputern zu konfigurieren, der für das Web bestimmt ist, kopieren Sie die folgenden Befehle, und fügen Sie sie in ein Switch-Terminalfenster ein:
[edit] set interface xe-0/0/47 unit 0 family ethernet-switching set forwarding-options port-mirroring instance employee–web–monitor family ethernet-switching output interface xe-0/0/47.0 set firewall family ethernet-switching filter watch-employee term employee-to-corp from ip-destination-address 192.0.2.16/28 set firewall family ethernet-switching filter watch-employee term employee-to-corp from ip-source-address 192.0.2.16/28 set firewall family ethernet-switching filter watch-employee term employee-to-corp then accept set firewall family ethernet-switching filter watch-employee term employee-to-web from destination-port 80 set firewall family ethernet-switching filter watch-employee term employee-to-web then port-mirror-instance employee-web-monitor set interfaces xe-0/0/0 unit 0 family ethernet-switching filter input watch-employee set interfaces xe-0/0/6 unit 0 family ethernet-switching filter input watch-employee
Schritt-für-Schritt-Anleitung
So konfigurieren Sie die lokale Portspiegelung des Mitarbeiter-zu-Web-Datenverkehrs von den beiden Ports, die mit den Computern der Mitarbeiter verbunden sind:
Konfigurieren Sie die Ausgabeschnittstelle:
[edit interfaces] user@switch# set xe-0/0/47 unit 0 family ethernet-switching
Konfigurieren Sie die Ausgabeschnittstelle.
employee-web-monitor
(Konfigurieren Sie nur die Ausgabe – die Eingabe kommt vom Filter.)[edit forwarding-options] user@switch# set port-mirroring instance employee–web–monitor family ethernet-switching output interface xe-0/0/47.0
Konfigurieren Sie einen aufgerufenen Firewallfilter, der einen Begriff enthält, um den an das Web gesendeten Datenverkehr abzugleichen, und senden Sie ihn an die Portspiegelungsinstanz .
watch-employee
employee-web-monitor
Datenverkehr zum und vom Unternehmenssubnetz (Ziel- oder Quelladresse von ) muss nicht kopiert werden, erstellen Sie also einen weiteren Begriff, um diesen Datenverkehr zu akzeptieren, bevor er den Begriff erreicht, der Webdatenverkehr an die Instanz sendet:192.0.2.16/28
[edit firewall family ethernet-switching] user@switch# set filter watch-employee term employee-to-corp from ip-destination-address 192.0.2.16/28 user@switch# set filter watch-employee term employee-to-corp from ip-source-address 192.0.2.16/28 user@switch# set filter watch-employee term employee-to-corp then accept user@switch# set filter watch-employee term employee-to-web from destination-port 80 user@switch# set filter watch-employee term employee-to-web then port-mirror-instance employee-web-monitor
Wenden Sie den Firewallfilter als Eingangsfilter auf die entsprechenden Schnittstellen an (Ausgangsfilter lassen keine Analysatoren zu):
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching filter input watch-employee user@switch# set xe-0/0/6 unit 0 family ethernet-switching filter input watch-employee
Ergebnisse
Überprüfen Sie die Ergebnisse der Konfiguration:
[edit] user@switch# show forwarding-options { port-mirroring { instance { employee-web-monitor { family ethernet-switching { output { interface xe-0/0/47.0; } } } } } } ... firewall { family ethernet-switching { filter watch-employee { term employee-to-corp { from { ip-source-address 192.0.2.16/28; ip-destination-address 192.0.2.16/28; } then accept; term employee-to-web { from { destination-port 80; } then port-mirror-instance employee-web-monitor; } } } } ... interfaces { xe-0/0/0 { unit 0 { family ethernet-switching { filter { input watch-employee; } } } } xe-0/0/6 { family ethernet-switching { filter { input watch-employee; } } } xe-0/0/47 { family ethernet-switching; } }
Überprüfung
Überprüfen, ob der Analyzer korrekt erstellt wurde
Zweck
Stellen Sie sicher, dass die benannte Port-Mirroring-Instanz auf dem Switch mit den entsprechenden Eingabeschnittstellen und der entsprechenden Ausgabeschnittstelle erstellt wurde.employee-web-monitor
Was
Mit dem Befehl können Sie überprüfen, ob die Port Mirror-Port-Mirroring-Instanz wie erwartet konfiguriert wurde.show forwarding-options port-mirroring
user@switch> show forwarding-options port-mirroring Instance name : employee-web-monitor Instance Id: 2 Input parameters: Rate :1 Run-length :0 Maximum packet length :0 Output parameters: Family State Destination Next-hop ethernet-switching up xe-0/0/47.0
Bedeutung
Diese Ausgabe zeigt die folgenden Informationen über die Portspiegelungsinstanz :employee-web-monitor
Hat eine Rate von (Spiegelung jedes Pakets, die Standardeinstellung)
1
Die Anzahl der aufeinanderfolgenden Pakete, die abgetastet werden (Lauflänge), beträgt
0
Die maximale Größe des ursprünglichen Pakets, das gespiegelt wurde, beträgt ( gibt das gesamte Paket an)
0
0
Der Status der Ausgabeparameter:
up
Gibt an, dass die Instance den Datenverkehr, der in die Schnittstellen xe-0/0/0 und xe-0/0/6 eintritt, spiegelt und den gespiegelten Datenverkehr an die Schnittstelle xe-0/0/47 sendet
Wenn der Status der Ausgabeschnittstelle ist oder wenn die Ausgabeschnittstelle nicht konfiguriert ist , wird der Wert und die Instanz nicht für die Spiegelung programmiert.down
state
down
Beispiel: Konfigurieren der Portspiegelung für die Remote-Analyse
Verwenden Sie die Portspiegelung, um Datenverkehr an Anwendungen zu senden, die den Datenverkehr analysieren, z. B. um die Einhaltung von Vorschriften zu überwachen, Richtlinien durchzusetzen, Eindringlinge zu erkennen, Datenverkehrsmuster zu überwachen und vorherzusagen, Ereignisse zu korrelieren usw. Bei der Portspiegelung werden Pakete kopiert, die in eine Schnittstelle eingehen oder diese verlassen oder in ein VLAN eintreten, und die Kopien entweder an eine lokale Schnittstelle zur lokalen Überwachung oder an ein VLAN zur Fernüberwachung gesendet. In diesem Beispiel wird beschrieben, wie die Portspiegelung für die Remoteanalyse konfiguriert wird.
- Anforderungen
- Übersicht und Topologie
- Spiegelung des gesamten Mitarbeiterdatenverkehrs für die Remote-Analyse
- Spiegelung des Mitarbeiter-zu-Web-Datenverkehrs für die Remote-Analyse
- Überprüfung
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Junos OS Version 13.2 für die QFX-Serie
Einen Schalter
Übersicht und Topologie
Dieses Thema enthält zwei verwandte Beispiele, in denen beschrieben wird, wie der Datenverkehr, der in Ports auf dem Switch eingeht, in ein Analyse-VLAN gespiegelt wird, sodass Sie Analysen mit einem Remote-Gerät durchführen können. Das erste Beispiel zeigt, wie der gesamte Datenverkehr, der von den Computern der Mitarbeiter an den Switch gesendet wird, gespiegelt wird. Das zweite Beispiel enthält einen Filter, der nur den Mitarbeiterdatenverkehr spiegelt, der ins Web geht.
Topologie
In diesem Beispiel:
Schnittstellen und sind Layer-2-Schnittstellen, die eine Verbindung zu Mitarbeitercomputern herstellen.
ge-0/0/0
ge-0/0/1
Die Schnittstelle ist eine Layer-2-Schnittstelle, die eine Verbindung zu einem anderen Switch herstellt.
ge-0/0/2
Das VLAN ist auf allen Switches in der Topologie so konfiguriert, dass es den gespiegelten Datenverkehr überträgt.
remote-analyzer
Zusätzlich zum Ausführen der hier beschriebenen Konfigurationsschritte müssen Sie auch das Analyzer-VLAN (in diesem Beispiel) auf den anderen Switches konfigurieren, die zum Verbinden des Quell-Switches ( der in dieser Konfiguration) mit dem Switch verwendet werden, mit dem die Überwachungsstation verbunden ist.remote-analyzer
Spiegelung des gesamten Mitarbeiterdatenverkehrs für die Remote-Analyse
Verfahren
CLI-Schnellkonfiguration
Um diesen Abschnitt des Beispiels schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, und kopieren Sie dann die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein:edit
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family ethernet-switching port-mode trunk set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor output vlan remote-analyzer
Schritt-für-Schritt-Anleitung
So konfigurieren Sie die grundlegende Remote-Port-Spiegelung:
Konfigurieren Sie das Analyzer-VLAN (in diesem Beispiel aufgerufen ):
remote-analyzer
[edit vlans] user@switch# set vlans remote-analyzer vlan-id 999
Konfigurieren Sie die Schnittstelle, die mit einem anderen Switch verbunden ist, für den Trunk-Modus und ordnen Sie sie dem VLAN zu:
remote-analyzer
[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching port-mode trunk user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999
Konfigurieren Sie den Analyzer:
employee-monitor
[edit forwarding-options] user@switch# set analyzer employee–monitor user@switch# set analyzer employee-monitor input ingress interface ge-0/0/0.0 user@switch# set analyzer employee-monitor input ingress interface ge-0/0/1.0 user@switch# set analyzer employee-monitor output vlan remote-analyzer
Konfigurieren Sie das VLAN auf den Switches, die diesen Switch mit der Überwachungs-Workstation verbinden.
remote-analyzer
Ergebnisse
Überprüfen Sie die Ergebnisse der Konfiguration:
[edit] user@switch# show forwarding-options { analyzer employee-monitor { input { ingress { interface ge-0/0/0.0; interface ge-0/0/1.0; } } output { vlan { remote-analyzer; } } } }
Spiegelung des Mitarbeiter-zu-Web-Datenverkehrs für die Remote-Analyse
CLI-Schnellkonfiguration
Um diesen Abschnitt des Beispiels schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, und kopieren Sie dann die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein:edit
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 set forwarding-options port-mirroring instance employee-web-monitor loss-priority high output vlan 999 set firewall family ethernet-switching filter watch-employee term employee-to-web from destination-port 80 set firewall family ethernet-switching filter watch-employee term employee-to-web then port-mirror-instance employee-web-monitor set ge-0/0/0 unit 0 family ethernet-switching filter input watch-employee set interfaces ge-0/0/1 unit 0 family ethernet-switching filter input watch-employee
Verfahren
Schritt-für-Schritt-Anleitung
Konfigurieren Sie das Analyzer-VLAN (in diesem Beispiel aufgerufen ):
remote-analyzer
[edit vlans] user@switch# set remote-analyzer vlan-id 999
Konfigurieren Sie eine Schnittstelle, um sie mit dem VLAN zu verknüpfen:
remote-analyzer
[edit interfaces] user@switch# set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999
Konfigurieren Sie den Analyzer.
employee-web-monitor
(Konfigurieren Sie nur die Ausgabe – die Eingabe kommt vom Filter.)[edit forwarding-options] user@switch# set forwarding-options port-mirroring instance employee-web-monitor output vlan 999
Konfigurieren Sie einen Firewallfilter, der aufgerufen wird , um den an das Web gesendeten Datenverkehr abzugleichen und an den Analyzer zu senden:
watch-employee
employee-web-monitor
[edit firewall family ethernet-switching] user@switch# set filter watch-employee term employee-to-web from destination-port 80 user@switch# set filter watch-employee term employee-to-web then port-mirror-instance employee-web-monitor
Wenden Sie den Firewallfilter als Eingangsfilter auf die entsprechenden Schnittstellen an:
[edit interfaces] user@switch# set ge-0/0/0 unit 0 family ethernet-switching filterinput watch-employee user@switch# set ge-0/0/1 unit 0 family ethernet-switching filter input watch-employee
Konfigurieren Sie das VLAN auf den Switches, die diesen Switch mit der Überwachungs-Workstation verbinden.
remote-analyzer
Ergebnisse
Überprüfen Sie die Ergebnisse der Konfiguration:
[edit] user@switch# show interfaces { ... ge-0/0/10 { unit 0 { family ethernet-switching { interface-mode trunk; vlan { members remote-analyzer; } } } } ge-0/0/0 { unit 0 { family ethernet-switching { filter { input watch-employee; } } } } ge-0/0/1 { unit 0 { family ethernet-switching { filter { input watch-employee; } } } } } ... firewall { family ethernet-switching { ... filter watch-employee { term employee-to-web { from { destination-port 80; } then port-mirror-instance employee-web-monitor; } } } } forwarding-options analyzer { employee-web-monitor { output { vlan { 999; } } } vlans { remote-analyzer { vlan-id 999; } }
Überprüfung
Überprüfen, ob der Analyzer korrekt erstellt wurde
Zweck
Stellen Sie sicher, dass der Analyzer benannt oder auf dem Switch mit den entsprechenden Eingangsschnittstellen und der entsprechenden Ausgabeschnittstelle erstellt wurde.employee-monitor
employee-web-monitor
Was
Mit dem Befehl können Sie überprüfen, ob der Port Mirror Analyzer wie erwartet konfiguriert ist.show analyzer
user@switch> show analyzer Analyzer name : employee-monitor Output VLAN : remote-analyzer Ingress monitored interfaces : ge-0/0/0.0 Ingress monitored interfaces : ge-0/0/1.0
Bedeutung
Diese Ausgabe zeigt, dass der Analyzer den eingehenden Datenverkehr spiegelt und den Spiegelverkehr an den Analyzer sendet.employee-monitor
ge-0/0/0
ge-0/0/1
remote-analyzer