Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

ON THIS PAGE

Ejemplo Configuración de la creación de reflejos en varias interfaces para la supervisión remota del uso de recursos de empleados en conmutadores de EX9200

 

EX9200 switchesallow configurar la creación de reflejos para enviar copias de paquetes a una interfaz local para supervisión local o a una VLAN para supervisión remota. Puede usar el reflejo para copiar estos paquetes:

  • Paquetes que entran o salen de un puerto

  • Paquetes que entran o salen de una VLAN en

Puede analizar el tráfico reflejado mediante una aplicación analizador de protocolos que se ejecute en una estación de supervisión remota si envía tráfico reflejado a una VLAN de analizador.

Mejor práctica

Reflejar únicamente los paquetes necesarios para reducir el impacto potencial sobre el rendimiento. Recomendamos que:

  • Deshabilite los analizadores de creación de reflejo cuando no los esté utilizando.

  • Especifique las interfaces individuales como entrada para los analizadores en lugar de especificar todas las interfaces como entrada.

  • Limite la cantidad de tráfico reflejado de la siguiente manera:

    • Utilizando el muestreo estadístico.

    • Establezca los coeficientes para seleccionar las muestras estadísticas.

    • Uso de filtros de cortafuegos.

En este ejemplo se describe cómo configurar el reflejo remoto en varias interfaces de una VLAN de analizador:

Aplicables

En este ejemplo se utilizan los siguientes componentes de hardware y software:

  • Tres conmutadores de EX9200

  • Junos OS versión 13,2 o posterior para conmutadores de la serie EX

Antes de configurar la creación de reflejos remotos, asegúrese de lo siguiente:

Descripción general y topología

Este ejemplo describe cómo reflejar en el analizador remoto el tráfico que entra en los puertos del conmutador a VLANso de que puede realizar el análisis desde una estación de control remoto. La VLAN de Remote Analyzer en este ejemplo contiene varias interfaces de miembro. Por lo tanto, el mismo tráfico se refleja en todas las interfaces miembro de la VLAN remota de Remote-Analyzer, de modo que los paquetes reflejados se pueden enviar a distintas estaciones de supervisión remota. Puede instalar aplicaciones como, por ejemplo, rastreadores y sistemas de detección de intrusiones, en estaciones de supervisión remotas para analizar estos paquetes reflejados y obtener datos estadísticos útiles. Por ejemplo, si hay dos estaciones de supervisión remota, puede instalar un rastreador en una estación de supervisión remota y un sistema de detección de intrusiones en la otra estación. Puede utilizar una configuración de analizador de filtros de cortafuegos para reenviar un tipo específico de tráfico a una estación de supervisión remota.

En este ejemplo se describe cómo configurar un analizador para reflejar el tráfico en varias interfaces del grupo del próximo salto, de modo que el tráfico se envíe a distintas estaciones de supervisión para su análisis.

Figura 1muestra la topología de red de este ejemplo.

Figura 1: Ejemplo de espejado remoto topología de red que utiliza varias interfaces de miembro de VLAN en el grupo de salto siguiente
Ejemplo de espejado remoto topología de red que utiliza varias interfaces de miembro de VLAN en el grupo de salto siguiente

En este ejemplo:

  • Las interfaces GE-0/0/0 y GE-0/0/1 son interfaces de capa 2 (ambas interfaces del conmutador de origen) que sirven como conexiones para los equipos de los empleados.

  • Las interfaces GE-0/0/10 y GE-0/0/11 son interfaces de capa 2 que están conectadas a distintos conmutadores de destino.

  • Interface GE-0/0/12 es una interfaz de capa 2 que conecta el conmutador destino 1 a la estación de control remoto.

  • Interface GE-0/0/13 es una interfaz de capa 2 que conecta el conmutador destino 2 a la estación de control remoto.

  • LAN analizador remoto está configurado en todos los conmutadores de la topología para llevar el tráfico reflejado.

Espejado de todo el tráfico de empleados a varias interfaces de miembros de VLAN para análisis remoto

Para configurar la creación de reflejos en varias interfaces de miembro VLAN para el análisis de tráfico remoto de todo el tráfico entrante y saliente de los empleados, realice estas tareas:

Configuración rápida de CLI

Para configurar rápidamente el espejeado para el análisis de tráfico forincoming y el tráfico de los empleados salientes, copie los siguientes comandos y péguelos en la ventana switchterminal:

  • En la ventana switchterminal de origen, copie y pegue los siguientes comandos:

    [edit]
    set vlans remote-analyzer vlan-id 999
    set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode access
    set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999
    set interfaces ge-0/0/11 unit 0 family ethernet-switching interface-mode access
    set interfaces ge-0/0/11 unit 0 family ethernet-switching vlan members 999
    set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/0.0
    set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/1.0
    set forwarding-options analyzer employee-monitor input egress interface ge-0/0/0.0
    set forwarding-options analyzer employee-monitor input egress interface ge-0/0/1.0
    set forwarding-options analyzer employee-monitor output next-hop-group remote-analyzer-nhg
    set forwarding-options next-hop-group remote-analyzer-nhg interface ge-0/0/10.0
    set forwarding-options next-hop-group remote-analyzer-nhg interface ge-0/0/11.0
    set forwarding-options next-hop-group remote-analyzer-nhg group-type layer-2

  • En la ventana switchterminal de destino 1, copie y pegue los siguientes comandos:

    [edit]
    set vlans remote-analyzer vlan-id 999
    set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode acess
    set interfaces ge-0/0/12 unit 0 family ethernet-switching interface-mode access
    set forwarding-options analyzer employee-monitor input ingress vlan remote-analyzer
    set forwarding-options analyzer employee-monitor loss-priority high output interface ge-0/0/12.0

  • En la ventana switchterminal de destino 2, copie y pegue los siguientes comandos:

    [edit]
    set vlans remote-analyzer vlan-id 999
    set interfaces ge-0/0/11 unit 0 family ethernet-switching interface-mode access
    set interfaces ge-0/0/13 unit 0 family ethernet-switching interface-mode access
    set forwarding-options analyzer employee-monitor input ingress vlan remote-analyzer
    set forwarding-options analyzer employee-monitor loss-priority high output interface ge-0/0/13.0

Procedimiento detallado

Para configurar el espejado remoto básico en dos interfaces de miembro de VLAN:

  1. En el conmutador de origen:

    • Configure el ID de VLAN para el analizador remoto LAN

      [edit vlans]

      user@switch# set remote-analyzer vlan-id 999

    • Configure las interfaces en el puerto de red conectado a los conmutadores de destino para el modo de acceso y asócielo con el analizador remoto LAN

      [edit interfaces]

      user@switch# set ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk

      user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999

      user@switch# set ge-0/0/11 unit 0 family ethernet-switching interface-mode trunk

      user@switch# set ge-0/0/11 unit 0 family ethernet-switching vlan members 999

    • Configure el empleado-monitor Analizador

      [edit forwarding-options]

      user@switch# set analyzer employee-monitor input ingress interface ge-0/0/0.0

      user@switch# set analyzer employee-monitor input ingress interface ge-0/0/1.0

      user@switch# set analyzer employee-monitor input egress interface ge-0/0/0.0

      user@switch# set analyzer employee-monitor input egress interface ge-0/0/1.0

      user@switch# set analyzer employee-monitor output next-hop-group remote-analyzer-nhg

      En esta configuración del analizador, el tráfico que entra y sale de las interfaces GE-0/0/0.0 y GE-0/0/1,0 se envía al destino de salida definido por el grupo de salto siguiente denominado remote-analyzer-nhg.

    • Configure el remote-analyzer-nhb Grupo de salto siguiente:

      [edit forwarding-options]

      user@switch# set next-hop-group remote-analyzer-nhg interface ge-0/0/10.0

      user@switch# set next-hop-group remote-analyzer-nhg interface ge-0/0/11.0

      user@switch# set next-hop-group remote-analyzer-nhg group-type layer-2
  2. En el conmutador de destino 1:

    • Configure el ID de VLAN para el analizador remoto LAN

      [edit vlans]

      user@switch# set remote-analyzer vlan-id 999

    • Configure la interfaz GE-0/0/10 en el conmutador de destino 1 para el modo de acceso:

      [edit interfaces]

      user@switch# set ge-0/0/10 unit 0 family ethernet-switching interface-mode access

    • Configure la interfaz conectada a la estación de supervisión remota para el modo de acceso:

      [edit interfaces]

      user@switch# set ge-0/0/12 unit 0 family ethernet-switching interface-mode access

    • Configure el empleado-monitor Analizador

      [edit forwarding-options]

      user@switch# set analyzer employee-monitor input ingress vlan remote-analyzer

      user@switch# set analyzer employee-monitor loss-priority high output interface ge-0/0/12.0
  3. En el conmutador de destino 2:

    • Configure el ID de VLAN para el analizador remoto LAN

      [edit vlans]

      user@switch# set remote-analyzer vlan-id 999

    • Configure la interfaz GE-0/0/11 en el conmutador de destino 2 para el modo de acceso:

      [edit interfaces]

      user@switch# set ge-0/0/11 unit 0 family ethernet-switching interface-mode access

    • Configure la interfaz conectada a la estación de supervisión remota para el modo de acceso:

      [edit interfaces]

      user@switch# set ge-0/0/13 unit 0 family ethernet-switching interface-mode access

    • Configure el empleado-monitor Analizador

      [edit forwarding-options]

      user@switch# set analyzer employee-monitor input ingress vlan remote-analyzer

      user@switch# set analyzer employee-monitor loss-priority high output interface ge-0/0/13.0

Resultados

Compruebe los resultados de la configuración en el conmutador de origen:

Compruebe los resultados de la configuración en el conmutador de destino 1:

Compruebe los resultados de la configuración en el conmutador de destino 2:

Comproba

Para confirmar que la configuración funciona correctamente, realice estas tareas:

Verificación de que el analizador se ha creado correctamente

Finalidad

Compruebe que el analizador empleado-monitor se ha creado en el conmutador con las interfaces de entrada apropiadas y una interfaz de salida adecuada.

Acción

Puede comprobar que el analizador está configurado como se espera mediante el show forwarding-options analyzer comando.

Para comprobar que el analizador se ha configurado según lo previsto mientras se monitorea todo el tráfico de los empleados en show forwarding-options analyzer el conmutador de origen, ejecute el comando en el conmutador de origen. Para esta configuración de ejemplo en el conmutador de código fuente se muestra el siguiente resultado:

user@switch> show forwarding-options analyzer
user@switch> show forwarding-options next-hop-group

Significado

Esta salida muestra que el employee-monitor Analyzer tiene una relación de 1 (espejando cada paquete, que es el comportamiento predeterminado), el estado de la configuración es up, que indica el estado correcto y que el analizador está programado, refleja el tráfico que entra o sale de las interfaces GE-0/0/0 y GE-0/0/1, y envía tráfico reflejado a varias interfaces GE-0/0/10.0 y GE-0/0/11.0 a través del grupo de saltos siguientes remote-analyzer-nhg. Si el estado de la interfaz de salida down es o si la interfaz de salida no está configurada, el valor de State será Down y el analizador no podrá reflejar tráfico.

Temas relacionados