Passive Überwachung
Verstehen der passiven Überwachung
Passive Überwachung ist eine Art von Netzwerküberwachung, die zur passiven Erfassung des Datenverkehrs von Überwachungsschnittstellen verwendet wird. Wenn Sie die passive Überwachung aktivieren, akzeptiert und überwacht das Gerät den Datenverkehr auf der Schnittstelle und leitet den Datenverkehr an Überwachungstools wie IDS-Server und Paketanalysatoren oder andere Geräte wie Router oder Endknoten-Hosts weiter.
Vorteile der passiven Überwachung
-
Bietet Filterfunktionen zur Überwachung des eingehenden und ausgehenden Datenverkehrs am Internet Point of Presence (PoP), an dem Sicherheitsnetzwerke angeschlossen sind.
Richtlinien für die Konfiguration passiver Überwachung
-
Sie können die passive Überwachung nur auf Schnittstellenebene konfigurieren. Die Konfiguration per VLAN oder logischer Schnittstelle wird nicht unterstützt.
-
Eine passive Überwachungsschnittstelle kann keine aggregierte Ethernet-Schnittstelle (AE) sein.
-
Überwachungstools oder -geräte müssen direkt mit dem Switch oder Router verbunden sein.
-
Pakete mit mehr als zwei MPLS-Labeln und mehr als zwei VLAN-Tags werden gelöscht.
-
Ausnahmepakete wie IP-Paketoptionen, Routerwarnung und ablaufende TTL-Pakete werden als regulärer Datenverkehr behandelt.
-
Die Ethernet-Kapselung wird nicht unterstützt.
-
Die MPLS-Familie wird auf den Routern PTX10001-36MR, PTX10004 und PTX10008 unterstützt.
-
Das Link Aggregation Control Protocol (LACP) wird auf dem AE-Paket, das mit dem Überwachungstool oder -gerät verbunden ist, nicht unterstützt.
Beispiel: Konfigurieren der passiven Überwachung
Dieses Beispiel zeigt, wie Sie die passive Überwachung auf QFX10000-Switches konfigurieren.
- Anforderungen
- Übersicht
- Konfiguration
- Überprüfung
- Beispielkonfiguration für PTX10001-36MR-, PTX10004- und PTX10008-Router
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
-
Zwei Router (R1 und R2)
-
Ein QFX10002 Switch
-
Zwei Geräte, die direkt mit dem Switch verbunden sind
-
Junos OS Version 18.4R1 oder höher
Übersicht
In diesem Beispiel wird die Konfiguration der passiven Überwachung auf dem Switch beschrieben.
In Abbildung 1et-0/0/2 et-0/0/4 und sind als passive Überwachungsschnittstellen konfiguriert. Pakete, die in das Netzwerk eingehen, werden zwischen Router 1 (R1) und Router 2 (R2) in zwei Richtungen (R1 zu R2, R2 zu R1) ausgetauscht und an die überwachten Schnittstellen gesendet. Wenn Datenverkehr empfangen wird, überträgt ein Firewall-Filter alle Pakete an eine Routing-Instanz und leitet die Pakete an die Überwachungstools weiter. Die Schnittstellen werden dann in eine einzige logische Schnittstelle gruppiert, die als Link Aggregation Group (LAG) oder AE-Paket bezeichnet wird. Auf diese Weise kann der Datenverkehr gleichmäßig über die Überwachungstools verteilt werden, wodurch die Uplink-Bandbreite effektiv erhöht wird. Wenn eine Schnittstelle ausfällt, leitet das Paket weiterhin den Datenverkehr über die restlichen Schnittstellen.
Optional können Sie symmetrisches Hashing über die passiven Überwachungsschnittstellen zum Load Balancing des Datenverkehrs auf die Überwachungstools anwenden. Auf diese Weise kann eingehender und ausgehender Datenverkehr desselben Datenstroms über dieselbe überwachte Schnittstelle gesendet werden. Um symmetrischem Hashing zu konfigurieren, fügen Sie die no-incoming-port Option in der [edit forwarding-options enhanced-hash-key] Hierarchie ein. Symmetrisches Hashing ist nur auf globaler Ebene aktiviert und deaktiviert. Hashing pro Protokoll wird nicht unterstützt.
Topologie
Konfiguration
Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der CLI-Hierarchie navigieren. Informationen zum Navigieren in der CLI finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .
set interfaces et-0/0/2 passive-monitor-mode set interfaces et-0/0/2 unit 0 family inet filter input pm set interfaces et-0/0/4 passive-monitor-mode set interfaces et-0/0/4 unit 0 family inet filter input pm1 set firewall family inet filter pm1 term t1 from interface et-0/0/4.0 set firewall family inet filter pm1 term t1 then count c1 set firewall family inet filter pm1 term t1 then routing-instance pm_inst set firewall family inet filter pm term t1 from interface et-0/0/2.0 set firewall family inet filter pm term t1 then count c3 set firewall family inet filter pm term t1 then routing-instance pm_inst set routing-instances pm_inst instance-type virtual-router set routing-instances pm_inst interface ae0.0 set routing-instances pm_inst routing-options static route 0.0.0.0/0 next-hop 198.51.100.1 set interfaces xe-0/0/9:0 ether-options 802.3ad ae0 set interfaces xe-0/0/9:1 ether-options 802.3ad ae0 set interfaces ae0 unit 0 family inet address 198.51.100.2/24 arp 198.51.100.1 mac 00:10:94:00:00:05 set routing-instances pm_inst interface ae0.0 set forwarding-options enhanced-hash-key inet no-incoming-port
Konfiguration der passiven Überwachung
Schritt-für-Schritt-Verfahren
So konfigurieren Sie die passive Überwachung:
-
Konfigurieren Sie den passiven Überwachungsmodus auf den Switch-Schnittstellen:
[edit]] user@switch# set interfaces et-0/0/2 passive-monitor-mode set interfaces et-0/0/2 unit 0 family inet filter input pm set interfaces et-0/0/4 passive-monitor-mode set interfaces et-0/0/4 unit 0 family inet filter input pm1
-
Konfigurieren Sie einen
family inetFirewall-Filter auf den passiven Überwachungsschnittstellen, um den Datenverkehr an eine Routing-Instanz weiterzuleiten. Unterstützte Filteraktionen sindaccept, reject, count, routing-instance.[edit] user@switch# set firewall family inet filter pm1 term t1 from interface et-0/0/4.0 set firewall family inet filter pm1 term t1 then count c1 set firewall family inet filter pm1 term t1 then routing-instance pm_inst set firewall family inet filter pm term t1 from interface et-0/0/2.0 set firewall family inet filter pm term t1 then count c3 set firewall family inet filter pm term t1 then routing-instance pm_inst
-
Erstellen Sie eine Routing-Instanz mit einer statischen Route, die auf die Geräte zeigt.
[edit] user@switch# set routing-instances pm_inst instance-type virtual-router set routing-instances pm_inst interface ae0.0 set routing-instances pm_inst routing-options static route 0.0.0.0/0 next-hop 198.51.100.1
-
Konfigurieren Sie ein AE-Paket auf den passiven Überwachungsschnittstellen.
[edit] user@switch# set interfaces xe-0/0/9:0 ether-options 802.3ad ae0 set interfaces xe-0/0/9:1 ether-options 802.3ad ae0 set interfaces ae0 unit 0 family inet address 198.51.100.2/24 arp 198.51.100.1 mac 00:10:94:00:00:05 set routing-instances pm_inst interface ae0.0
-
(Optional) Konfigurieren Sie symmetrischem Hashing.
[edit] user@switch# set forwarding-options enhanced-hash-key inet no-incoming-port
-
Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie den
show interfacesBefehl eingeben. Wenn in der Befehlsausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um sie zu korrigieren. -
Wenn Sie mit der Konfiguration der Schnittstellen fertig sind, geben Sie im Konfigurationsmodus ein
commit.
Überprüfung
Bestätigen Sie, dass die Konfiguration ordnungsgemäß funktioniert.
Konfiguration der passiven Überwachung überprüfen
Zweck
Stellen Sie sicher, dass die passive Überwachung an den Schnittstellen funktioniert. Wenn die Schnittstellenausgabe zeigt No-receive und No-transmit, bedeutet dies, dass die passive Überwachung funktioniert.
Aktion
Geben Sie im Betriebsmodus den show interfaces Befehl ein, um die passiven Überwachungsschnittstellen anzuzeigen.
user@host> show interfaces et-0/0/2
Physical interface: et-0/0/2, Enabled, Physical link is Up
Interface index: 146, SNMP ifIndex: 515
Link-level type: Ethernet, MTU: 1514, LAN-PHY mode, Speed: 40Gbps, BPDU Error: None, Loop Detect PDU Error: None, Ethernet-Switching Error: None, MAC-REWRITE Error: None,
Loopback: Disabled, Source filtering: Disabled, Flow control: Disabled, Media type: Fiber
Device flags : Present Running
Interface flags: SNMP-Traps No-receive No-transmit Internal: 0x4000
Link flags : None
CoS queues : 8 supported, 8 maximum usable queues
Current address: 3c:61:04:75:3c:5d, Hardware address: 3c:61:04:75:3c:5d
Last flapped : 2018-05-17 11:19:05 PDT (00:17:55 ago)
Input rate : 0 bps (0 pps)
Output rate : 0 bps (0 pps)
Active alarms : None
Active defects : None
PCS statistics Seconds
Bit errors 0
Errored blocks 0
Ethernet FEC Mode : NONE
Ethernet FEC statistics Errors
FEC Corrected Errors 0
FEC Uncorrected Errors 0
FEC Corrected Errors Rate 0
FEC Uncorrected Errors Rate 0
PRBS Statistics : Disabled
Interface transmit statistics: Disabled
user@host show interfaces et-0/0/4
Physical interface: et-0/0/4, Enabled, Physical link is Up
Interface index: 146, SNMP ifIndex: 515
Link-level type: Ethernet, MTU: 1514, LAN-PHY mode, Speed: 40Gbps, BPDU Error: None, Loop Detect PDU Error: None, Ethernet-Switching Error: None, MAC-REWRITE Error: None,
Loopback: Disabled, Source filtering: Disabled, Flow control: Disabled, Media type: Fiber
Device flags : Present Running
Interface flags: SNMP-Traps No-receive No-transmit Internal: 0x4000
Link flags : None
CoS queues : 8 supported, 8 maximum usable queues
Current address: 3c:61:04:75:3c:5d, Hardware address: 3c:61:04:75:3c:5d
Last flapped : 2018-05-17 11:19:05 PDT (00:18:17 ago)
Input rate : 0 bps (0 pps)
Output rate : 0 bps (0 pps)
Active alarms : None
Active defects : None
PCS statistics Seconds
Bit errors 0
Errored blocks 0
Ethernet FEC Mode : NONE
Ethernet FEC statistics Errors
FEC Corrected Errors 0
FEC Uncorrected Errors 0
FEC Corrected Errors Rate 0
FEC Uncorrected Errors Rate 0
PRBS Statistics : Disabled
Interface transmit statistics: Disabled
Symmetrisches Hashing überprüfen
Zweck
Überprüfen Sie die Ausgabe für symmetrisches Hashing. Die eingehenden Portfelder für inet,inet6 und L2 sollten alle auf Nein festgelegt werden.
Aktion
Geben Sie im Konfigurationsmodus den show forwarding-options enhanced-hash-key Befehl ein.
Slot 0
Seed value for Hash function 0: 3626023417
Seed value for Hash function 1: 3626023417
Seed value for Hash function 2: 3626023417
Seed value for Hash function 3: 3626023417
Inet settings:
--------------
IPV4 dest address: Yes
IPV4 source address: Yes
L4 Dest Port: Yes
L4 Source Port: Yes
Incoming port: No
Inet6 settings:
--------------
IPV6 dest address: Yes
IPV6 source address: Yes
L4 Dest Port: Yes
L4 Source Port: Yes
Incoming port: No
L2 settings:
------------
Dest Mac address: No
Source Mac address: No
Vlan Id: Yes
Inner-vlan Id: No
Incoming port: No
GRE settings:
-------------
Key: No
Protocol: No
MPLS settings:
--------------
MPLS Enabled: Yes
VXLAN settings:
---------------
VXLAN VNID: No
Beispielkonfiguration für PTX10001-36MR-, PTX10004- und PTX10008-Router
Im Folgenden wird eine Beispielkonfiguration für Router PTX10001-36MR, PTX10004 und PTX10008 mit Mpls-Unterstützung der Familie angeboten.
set interfaces et-0/0/13 passive-monitor-mode set interfaces et-0/0/13 passive-monitor-mode set interfaces et-0/0/13 unit 0 family inet filter input ipv4pmFilter set interfaces et-0/0/13 unit 0 family inet6 filter input ipv6pmFilter set interfaces et-0/0/13 unit 0 family mpls filter input mplspmFilter set interfaces et-0/0/5 ether-options 802.3ad ae0 set interfaces et-0/0/7 ether-options 802.3ad ae0 set interfaces ae0 unit 0 family inet address 192.168.1.1/24 arp 192.168.1.10 mac 00:00:00:11:11:11 set interfaces ae0 unit 0 family inet6 address 2001:db8:1::1/64 ndp 2001:db8:1::10 mac 00:00:00:11:11:11 set routing-instances pm_inst routing-options rib pm_inst.inet6.0 static route 0::0/0 next-hop 2001:db8:1::10 set routing-instances pm_inst routing-options static route 0.0.0.0/0 next-hop 192.168.1.10 set routing-instances pm_inst instance-type virtual-router set routing-instances pm_inst interface ae0.0 set firewall family inet filter ipv4pmFilter term t1 then count C1 set firewall family inet filter ipv4pmFilter term t1 then routing-instance pm_inst set firewall family inet6 filter ipv6pmFilter term t2 then count C2 set firewall family inet6 filter ipv6pmFilter term t2 then routing-instance pm_inst set firewall family mpls filter ipv4pmfilter term t1 then count C1 set firewall family mpls filter ipv4pmfilter term t1 then routing-instance pm_inst set firewall family mpls filter ipv4pmfilter term t1 from ip-version ipv4 ip-protocol-except 255 set firewall family mpls filter ipv6pmfilter term t2 then count C2 set firewall family mpls filter ipv6pmfilter term t2 then routing-instance pm_inst set firewall family mpls filter ipv6pmfilter term t2 from ip-version ipv6 next-header-except 255