Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Sur cette page
 

Configuration de la mise en miroir des ports et des analyseurs

Comprendre les analyseurs de mise en miroir de ports

La mise en miroir des ports peut être utilisée pour analyser le trafic sur les routeurs et commutateurs qui, contrairement aux concentrateurs, ne diffusent pas de paquets sur tous les ports de l’équipement de destination. La mise en miroir de ports envoie des copies de tous les paquets ou des exemples de paquets basés sur des stratégies à des analyseurs locaux ou distants où vous pouvez surveiller et analyser les données.

Dans le contexte des analyseurs de mise en miroir de ports, nous utilisons le terme dispositif de commutation. Le terme indique que l’appareil (y compris les routeurs) exécute une fonction de commutation.

Vous pouvez utiliser des analyseurs au niveau des paquets pour vous aider à :

  • Surveiller le trafic réseau

  • Appliquer les politiques d’utilisation du réseau

  • Appliquer des stratégies de partage de fichiers

  • Identifier les causes des problèmes

  • Identifier les stations ou les applications dont la consommation de bande passante est importante ou anormale

Vous pouvez configurer la mise en miroir des ports pour la mise en miroir :

  • Paquets pontés (paquets de couche 2)

  • Paquets routés (paquets de couche 3)

Les paquets mis en miroir peuvent être copiés soit vers une interface locale pour la surveillance locale, soit vers un VLAN ou un domaine de pont pour la surveillance à distance.

Les paquets suivants peuvent être copiés :

  • Packets entering or exiting a port: vous pouvez mettre en miroir les paquets entrant ou sortant des ports, dans n’importe quelle combinaison, pour un maximum de 256 ports. Par exemple, vous pouvez envoyer des copies des paquets entrant dans certains ports et des paquets sortant d’autres ports vers le même port d’analyseur local ou le même VLAN d’analyseur.

  • Packets entering or exiting a VLAN or bridge domain: vous pouvez mettre en miroir les paquets entrant ou sortant d’un VLAN ou d’un domaine de pont vers un port d’analyse local ou vers un VLAN ou un domaine de pont d’analyseur. Vous pouvez configurer plusieurs VLAN (jusqu’à 256 VLAN) ou ponter des domaines en tant qu’entrées d’entrée vers un analyseur, y compris une plage de VLAN et des VLAN privés (PVLAN).

  • Policy-based sample packets: vous pouvez mettre en miroir un échantillon basé sur une stratégie de paquets entrant dans un domaine de port, de VLAN ou de pont. Vous configurez un filtre de pare-feu avec une stratégie pour sélectionner les paquets à mettre en miroir. Vous pouvez envoyer l’exemple à une instance de mise en miroir de port ou à un domaine de pont ou de VLAN de l’analyseur.

Vue d’ensemble de l’analyseur

Vous pouvez configurer un analyseur pour définir à la fois le trafic d’entrée et le trafic de sortie dans la même configuration d’analyseur. Le trafic d’entrée à analyser peut être le trafic entrant ou sortant d’une interface ou d’un VLAN. La configuration de l’analyseur vous permet d’envoyer ce trafic vers une interface de sortie, une instance, un groupe de tronçons suivants, un VLAN ou un domaine de pont. Vous pouvez configurer un analyseur au niveau de la [edit forwarding-options analyzer] hiérarchie.

Présentation de Statistical Analyzer

Vous pouvez définir un ensemble de propriétés de mise en miroir, telles que le débit de mise en miroir et la longueur maximale des paquets pour le trafic, que vous pouvez lier explicitement aux ports physiques du routeur ou du commutateur. Cet ensemble de propriétés de mise en miroir constitue un analyseur statistique (également appelé analyseur non par défaut). À ce niveau, vous pouvez lier une instance nommée aux ports physiques associés à un FPC spécifique.

Vue d’ensemble de l’analyseur par défaut

Vous pouvez configurer un analyseur sans configurer de propriétés de mise en miroir (telles que le taux de mise en miroir ou la longueur maximale des paquets). Par défaut, le taux de mise en miroir est défini sur 1 et la longueur maximale du paquet est définie sur la longueur totale du paquet. Ces propriétés sont appliquées au niveau global et n’ont pas besoin d’être liées à un FPC spécifique.

Mise en miroir de ports au niveau d’un groupe de ports liés à plusieurs analyseurs statistiques

Vous pouvez appliquer jusqu’à deux analyseurs statistiques aux mêmes groupes de ports sur le périphérique de commutation. En appliquant deux instances d’analyse statistique différentes au même FPC ou moteur de transfert de paquets, vous pouvez lier deux spécifications de mise en miroir de couche 2 distinctes à un seul groupe de ports. Les propriétés de mise en miroir liées à un FPC remplacent toutes les propriétés de l’analyseur (analyseur par défaut) liées au niveau global sur le périphérique de commutation. Les propriétés par défaut de l’analyseur sont remplacées en liant une deuxième instance de l’analyseur sur le même groupe de ports.

Terminologie de Port Mirroring Analyzer

Tableau 1 Répertorie certains termes de l’analyseur de mise en miroir de ports et leurs descriptions.

Tableau 1 : Terminologie de l’analyseur
Terme Description

Analyseur

Dans une configuration de mise en miroir, l’analyseur comprend :

  • Le nom de l’analyseur

  • Ports sources (d’entrée), VLAN ou domaines de pont

  • Destination des paquets en miroir (port local, VLAN ou domaine de pont)

Interface de sortie de l’analyseur

(Également connu sous le nom de port de moniteur)

Interface dans laquelle le trafic en miroir est envoyé et un analyseur de protocole est connecté.

Les interfaces utilisées en tant que sortie vers un analyseur doivent être configurées au niveau de la forwarding-options hiérarchie.

Les interfaces de sortie de l’analyseur présentent les limitations suivantes :

  • Il ne peut pas s’agir d’un port source.

  • Ils ne participent pas aux protocoles de couche 2, tels que le protocole Spanning Tree (STP).

  • Si la bande passante de l’interface de sortie de l’analyseur n’est pas suffisante pour gérer le trafic provenant des ports sources, les paquets de dépassement sont abandonnés.

VLAN ou domaine de pont de l’analyseur

(Également connu sous le nom de domaine de contrôleur, VLAN ou de pont)

VLAN ou domaine de pont vers lequel le trafic en miroir est envoyé pour être utilisé par un analyseur de protocole. Les interfaces membres du domaine du VLAN de surveillance ou du pont sont réparties sur les appareils de commutation de votre réseau.

Analyseur basé sur un domaine en pont

Session d’analyse configurée pour utiliser des domaines de pont pour l’entrée, la sortie ou les deux.

Analyseur par défaut

Un analyseur avec des paramètres de mise en miroir par défaut. Par défaut, le taux de mise en miroir est égal à 1 et la longueur maximale du paquet correspond à la longueur du paquet complet.

Interface d’entrée

(Également appelés ports en miroir ou interfaces surveillées)

Interface sur l’équipement de commutation dans laquelle le trafic entrant ou sortant de cette interface est mis en miroir.

Analyseur basé sur LAG

Un analyseur qui a un groupe d’agrégation de liens (LAG) spécifié comme interface d’entrée dans la configuration de l’analyseur.

Mise en miroir locale

Configuration de l’analyseur dans laquelle les paquets sont mis en miroir sur un port local de l’analyseur.

Station de surveillance

Un ordinateur exécutant un analyseur de protocole.

Analyseur basé sur le groupe next-hop

Configuration de l’analyseur qui utilise le groupe next-hop comme sortie vers un analyseur.

Analyseur basé sur les ports

Configuration de l’analyseur qui définit les interfaces d’entrée et de sortie.

Application d’analyse de protocole

Application utilisée pour examiner les paquets transmis sur un segment de réseau. Aussi communément appelé analyseur de réseau, renifleur de paquets ou sonde.

Mise en miroir à distance

Fonctionne de la même manière que la mise en miroir locale, sauf que le trafic mis en miroir n’est pas copié sur un port d’analyse local, mais qu’il est inondé vers un VLAN d’analyseur ou un domaine de pont que vous créez spécifiquement dans le but de recevoir le trafic en miroir. Les paquets mis en miroir disposent d’une balise externe supplémentaire du VLAN ou du domaine de pont de l’analyseur.

Analyseur statistique

(Également connu sous le nom d’analyseur non par défaut)

Ensemble de propriétés de mise en miroir que vous pouvez lier explicitement aux ports physiques du commutateur. Cet ensemble de propriétés de l’analyseur est connu sous le nom d’analyseur statistique.

Analyseur VLAN

Configuration de l’analyseur qui utilise des VLAN pour transmettre le trafic en miroir à l’analyseur.

Consignes de configuration pour les analyseurs de mise en miroir de ports

Lorsque vous configurez des analyseurs de mise en miroir de ports. Nous vous recommandons de suivre ces directives pour vous assurer un bénéfice optimal. Nous vous recommandons de désactiver la mise en miroir lorsque vous ne l’utilisez pas et de sélectionner des interfaces spécifiques en entrée de l’analyseur plutôt que d’utiliser l’option de mot-clé, qui active la all mise en miroir sur toutes les interfaces. La mise en miroir des paquets nécessaires réduit tout impact potentiel sur les performances.

Vous pouvez également limiter la quantité de trafic en miroir en procédant comme suit :

  • Utilisation de l’échantillonnage statistique

  • Utilisation d’un filtre de pare-feu

  • Définition d’un ratio pour sélectionner un échantillon statistique

Avec la mise en miroir locale, le trafic provenant de plusieurs ports est répliqué vers l’interface de sortie de l’analyseur. Si l’interface de sortie d’un analyseur atteint sa capacité, les paquets sont abandonnés. Vous devez déterminer si le trafic mis en miroir dépasse la capacité de l’interface de sortie de l’analyseur.

Tableau 2 Résume d’autres directives de configuration pour les analyseurs.

Tableau 2 : Consignes de configuration pour les analyseurs de mise en miroir de ports

Ligne directrice

Informations sur la valeur ou le support

Commentaire

Nombre d’analyseurs que vous pouvez activer simultanément.

64 Analyseurs par défaut

2 par FPC – Analyseur statistique

Les analyseurs statistiques doivent être liés à un FPC pour la mise en miroir du trafic sur les ports appartenant à ce FPC.

REMARQUE :

Les propriétés par défaut de l’analyseur sont implicitement liées à la dernière (ou avant-dernière) instance sur tous les FPC du système. Par conséquent, lorsque vous liez explicitement un deuxième analyseur statistique sur le FPC, les propriétés par défaut de l’analyseur sont remplacées.

Nombre d’interfaces, de VLAN ou de domaines de pont que vous pouvez utiliser comme entrée d’un analyseur.

256

Types de ports sur lesquels vous ne pouvez pas mettre en miroir le trafic.

  • Ports Virtual Chassis (VCP)

  • Gestion des ports Ethernet (me0 ou vme0)

  • Interfaces de routage et de pontage intégrées (IRB)

  • Interfaces de couche 3 balisées VLAN

 

Familles de protocoles que vous pouvez inclure dans un analyseur.

ethernet-switching pour les commutateurs EX Series et bridge pour les routeurs MX Series.

Un analyseur reflète uniquement le trafic ponté. Pour mettre en miroir le trafic routé, utilisez la configuration de mise en miroir des ports avec family as inet ou inet6.

Les paquets présentant des erreurs de couche physique ne sont pas envoyés à l’analyseur local ou distant.

Applicable

Les paquets présentant ces erreurs sont filtrés et ne sont donc pas envoyés à l’analyseur.

Analyzer ne prend pas en charge le trafic à débit de ligne.

Applicable

La mise en miroir du trafic au débit de ligne s’effectue au mieux.

Sortie de l’analyseur sur une interface LAG.

Mise en place

 

Mode d’interface de sortie de l’analyseur en mode trunk.

Mise en place

  • L’interface trunk doit être membre de tous les VLAN ou domaines de pont associés à la configuration d’entrée de l’analyseur.

  • Vous devez utiliser l’option si l’entrée mirror-once a été configurée en tant que VLAN ou domaine de pont et que la sortie est une interface trunk.

    REMARQUE :

    Avec l’option mirror-once, si l’entrée de l’analyseur provient à la fois de la mise en miroir entrante et sortante, seul le trafic entrant est mis en miroir. Si la mise en miroir entrante et sortante est requise, l’interface de sortie ne peut pas être une jonction. Dans ce cas, configurez l’interface en tant qu’interface d’accès.

Mise en miroir sortante des paquets de contrôle générés par l’hôte.

Non pris en charge

 

Configuration des interfaces logiques de couche 3 dans la strophe input d’un analyseur.

Non pris en charge

 

Les strophes d’entrée et de sortie de l’analyseur contenant des membres du même VLAN ou le VLAN lui-même doivent être évités.

Applicable

 

Prise en charge du VLAN et de ses interfaces membres dans différentes sessions d’analyse

Non pris en charge

Si la mise en miroir est configurée, l’un des analyseurs est actif.

Mise en miroir sortante d’interfaces Ethernet agrégées (ae) et de ses interfaces logiques enfants configurées pour différents analyseurs.

Non pris en charge

 

Configuration de la mise en miroir sur les commutateurs EX9200 pour analyser le trafic (procédure CLI)

Les commutateurs EX9200 vous permettent de configurer la mise en miroir pour envoyer des copies de paquets à une interface locale pour une surveillance locale ou à un VLAN pour une surveillance à distance. Vous pouvez utiliser la mise en miroir pour copier les paquets suivants :

  • Paquets entrant ou sortant d’un port

  • Paquets entrant ou sortant d’un VLAN

bonnes pratiques :

Ne mettez en miroir que les paquets nécessaires pour réduire l’impact potentiel sur les performances. Nous vous recommandons de :

  • Désactivez les analyseurs que vous avez configurés lorsque vous ne les utilisez pas.

  • Spécifiez des interfaces individuelles en tant qu’entrée pour les analyseurs plutôt que de spécifier toutes les interfaces en entrée.

  • Limitez la quantité de trafic en miroir en procédant comme suit :

    • Utilisation de l’échantillonnage statistique.

    • Définition de ratios pour sélectionner des échantillons statistiques.

    • Utilisation de filtres de pare-feu.

REMARQUE :

Si vous souhaitez créer des analyseurs supplémentaires sans supprimer les analyseurs existants, désactivez-les à l’aide de l’instruction de l’interface disable analyzer analyzer-name de ligne de commande (CLI) ou de la page de configuration J-Web pour la mise en miroir.

REMARQUE :

Les interfaces utilisées en sortie vers un analyseur doivent être configurées sous le ethernet-switching family, et doivent être associées à un VLAN.

Configuration d’un analyseur pour l’analyse du trafic local

Pour mettre en miroir le trafic réseau ou le trafic VLAN sur le commutateur vers une interface du commutateur à l’aide des analyseurs :

  1. Choisissez un nom pour l’analyseur et spécifiez l’entrée :

    Par exemple, créez un analyseur appelé employee-monitor pour surveiller les paquets entrant dans les interfaces ge-0/0/0.0 et ge-0/0/1.0 :

  2. Configurez l’interface de destination pour les paquets mis en miroir :

    Par exemple, configurez ge-0/0/10.0 comme interface de destination pour l’analyseur employee-monitor :

Configuration d’un analyseur pour l’analyse du trafic à distance

Pour mettre en miroir le trafic qui traverse des interfaces ou un VLAN sur le commutateur vers un VLAN utilisé pour l’analyse à partir d’un emplacement distant :

  1. Configurez un VLAN pour transporter le trafic en miroir :

    Par exemple, définissez un VLAN d’analyse appelé remote-analyzer et attribuez-lui l’ID 999VLAN :

  2. Définissez l’interface connectée au commutateur de distribution en mode d’accès et associez-la au VLAN de l’analyseur :

    Par exemple, paramétrez l’interface ge-0/1/1 en mode d’accès et associez-la à l’ID 999VLAN de l’analyseur :

  3. Configurez l’analyseur :
    1. Définissez un analyseur et spécifiez le trafic à mettre en miroir :

      Par exemple, définissez l’analyseur pour lequel le employee-monitor trafic à mettre en miroir comprend des paquets entrant dans les interfaces ge-0/0/0.0 et ge-0/0/1.0 :

    2. Spécifiez le VLAN de l’analyseur en tant que sortie de l’analyseur :

      Par exemple, spécifiez le remote-analyzer VLAN en tant qu’analyseur de sortie pour l’analyseur employee-monitor :

Configuration d’un analyseur statistique pour l’analyse du trafic local

Pour mettre en miroir le trafic d’interface ou le trafic VLAN sur le commutateur vers une interface du commutateur à l’aide d’un analyseur statistique :

  1. Choisissez un nom pour l’analyseur et spécifiez les interfaces d’entrée :

    Par exemple, spécifiez un analyseur appelé employee-monitor et spécifiez les interfaces d’entrée ge-0/0/0 et ge-0/0/1 :

  2. Configurez l’interface de destination pour les paquets mis en miroir :

    Par exemple, configurez ge-0/0/10.0 comme interface de destination pour les paquets mis en miroir :

  3. Spécifiez les propriétés de mise en miroir.
    1. Spécifiez le taux de mise en miroir, c’est-à-dire le nombre de paquets à mettre en miroir par seconde :

      La plage valide est comprise entre 1 et 65 535.

    2. Spécifiez à quelle longueur les paquets en miroir sont tronqués :

    La plage valide est comprise entre 0 et 9216. La valeur par défaut est 0, ce qui indique que les paquets mis en miroir ne sont pas tronqués.

Configuration d’un analyseur statistique pour l’analyse du trafic à distance

Pour mettre en miroir le trafic qui traverse des interfaces ou un VLAN sur le commutateur vers un VLAN pour analyse à partir d’un emplacement distant à l’aide d’un analyseur statistique :

  1. Configurez un VLAN pour transporter le trafic en miroir :

    Par exemple, configurez un VLAN appelé remote-analyzer avec l’ID 999de VLAN :

  2. Définissez l’interface connectée au commutateur de distribution en mode d’accès et associez-la au VLAN :

    Par exemple, réglez l’interface ge-0/1/1.0 qui est connectée au commutateur de distribution en mode d’accès et associez-la au remote-analyzer VLAN :

  3. Configurez l’analyseur statistique :
    1. Spécifiez le trafic à mettre en miroir :

      Par exemple, spécifiez les paquets entrant dans les ports ge-0/0/0.0 et ge-0/0/1.0 à mettre en miroir :

    2. Spécifiez une sortie pour l’analyseur :

      Par exemple, spécifiez le remote-analyzer VLAN comme sortie de l’analyseur :

  4. Spécifiez les propriétés de mise en miroir.

    1. Spécifiez le taux de mise en miroir, c’est-à-dire le nombre de paquets à mettre en miroir par seconde :

      La plage valide est comprise entre 1 et 65 535.

    2. Spécifiez la longueur à laquelle les paquets en miroir doivent être tronqués :

    La plage valide est comprise entre 0 et 9216. La valeur par défaut est 0, ce qui signifie que les paquets mis en miroir ne sont pas tronqués.

Liaison d’analyseurs statistiques à des ports regroupés au niveau FPC

Vous pouvez lier un analyseur statistique à un FPC spécifique dans le commutateur, c’est-à-dire que vous pouvez lier l’instance de l’analyseur statistique au niveau FPC du commutateur. Les propriétés de mise en miroir spécifiées dans l’analyseur statistique sont appliquées à tous les ports physiques associés à tous les moteurs de transfert de paquets sur le FPC spécifié.

Pour lier une instance nommée de l’analyseur de couche 2 à un FPC :

  1. Activez la configuration des propriétés du châssis du commutateur :

  2. Activez la configuration d’un FPC (et de ses PICs installés) :

  3. Liez une instance de l’analyseur statistique au FPC :

  4. (Facultatif) Pour lier une deuxième instance d’analyseur statistique de mise en miroir de couche 2 au même FPC, répétez l’étape 3 et spécifiez un autre nom d’analyseur statistique :

  5. Vérifiez la configuration minimale de la liaison :

REMARQUE :

Lors de la liaison d’une deuxième instance (stats_analyzer-2 dans cet exemple), les propriétés de mise en miroir de cette session, si elles sont configurées, remplacent tout analyseur par défaut.

Configuration d’un analyseur avec plusieurs destinations à l’aide de groupes de saut suivant

Vous pouvez mettre en miroir le trafic vers plusieurs destinations en configurant les groupes next-hop en tant que sortie de l’analyseur. La mise en miroir de paquets vers plusieurs destinations est également connue sous le nom de mise en miroir de ports multipaquets.

Pour mettre en miroir le trafic d’interface ou le trafic VLAN sur le commutateur vers une interface du commutateur (à l’aide d’analyseurs) :

  1. Choisissez un nom pour l’analyseur et spécifiez l’entrée :

    Par exemple, créez un analyseur appelé employee-monitor pour lequel le trafic d’entrée comprend des paquets entrant dans les interfaces ge-0/0/0.0 et ge-0/0/1.0 :

  2. Configurez l’interface de destination pour les paquets mis en miroir :

    Par exemple, configurez le groupe nhg next-hop comme destination de l’analyseur employee-monitor :

Définition d’un groupe de sauts suivants pour la mise en miroir de couche 2

La configuration du groupe next-hop au niveau de la configuration vous permet de [edit forwarding-options] définir un nom de groupe next-hop, le type d’adresses à utiliser dans le groupe next-hop et les interfaces logiques qui forment les multiples destinations vers lesquelles le trafic peut être mis en miroir. Par défaut, le groupe next-hop est spécifié à l’aide d’adresses de couche 3 à l’aide de l’instruction [edit forwarding-options next-hop-group next-hop-group-name group-type inet] . Pour spécifier un groupe next-hop à l’aide d’adresses de couche 2 à la place, incluez l’instruction [edit forwarding-options next-hop-group next-hop-group-name group-type layer-2] .

Pour définir un groupe next-hop pour la mise en miroir de couche 2 :

  1. Activez la configuration d’un groupe next-hop pour la mise en miroir de couche 2 :

    Par exemple, configurez next-hop-group avec le nom nhg:

  2. Spécifiez le type d’adresses à utiliser dans la configuration du groupe de sauts suivants :

    Par exemple, configurez next-hop-group type comme layer-2 car la sortie de l’analyseur doit être layer-2 uniquement :

  3. Spécifiez les interfaces logiques du groupe de sauts suivants :

    Par exemple, pour spécifier ge-0/0/10.0 et ge-0/0/11.0 comme interfaces logiques du groupe nhgnext-hop :

Configuration de la mise en miroir sur les commutateurs EX4300 pour analyser le trafic (procédure CLI)

REMARQUE :

Cette tâche utilise Junos OS pour les commutateurs EX Series avec prise en charge du style de configuration ELS (Enhanced L2 Software).

Les commutateurs EX4300 vous permettent de configurer la mise en miroir pour envoyer des copies de paquets vers une interface locale pour une surveillance locale ou vers un VLAN pour une surveillance à distance. Vous pouvez utiliser la mise en miroir pour copier ces paquets :

  • Paquets entrant ou sortant d’un port

  • Paquets entrant dans un VLAN

bonnes pratiques :

Ne mettez en miroir que les paquets nécessaires pour réduire l’impact potentiel sur les performances. Nous vous recommandons de :

  • Désactivez vos configurations de mise en miroir configurées lorsque vous ne les utilisez pas.

  • Spécifiez des interfaces individuelles en tant qu’entrée pour les analyseurs plutôt que de spécifier toutes les interfaces en entrée.

  • Limitez la quantité de trafic en miroir à l’aide de filtres de pare-feu.

REMARQUE :

Si vous souhaitez créer des analyseurs supplémentaires sans supprimer les analyseurs existants, désactivez-les à l’aide de l’instruction de l’interface disable analyzer analyzer-name de ligne de commande ou de la page de configuration de J-Web pour la mise en miroir.

REMARQUE :

Les interfaces utilisées comme sortie pour un analyseur doivent être configurées dans la ethernet-switching famille.

Configuration d’un analyseur pour l’analyse du trafic local

Pour mettre en miroir le trafic d’interface ou le trafic VLAN sur le commutateur vers une interface du commutateur (à l’aide d’analyseurs) :

  1. Choisissez un nom pour l’analyseur et spécifiez l’entrée :

    Par exemple, créez un analyseur appelé employee-monitor pour lequel le trafic d’entrée est constitué de paquets entrant dans les interfaces ge-0/0/0.0 et ge-0/0/1.0 :

  2. Configurez l’interface de destination pour les paquets mis en miroir :

    Par exemple, configurez ge-0/0/10.0 comme interface de destination pour l’analyseur employee-monitor :

Configuration d’un analyseur pour l’analyse du trafic à distance

Pour mettre en miroir le trafic qui traverse des interfaces ou un VLAN sur le commutateur vers un VLAN pour analyse à partir d’un emplacement distant (à l’aide d’analyseurs) :

  1. Configurez un VLAN pour transporter le trafic en miroir :

    Par exemple, définissez un VLAN d’analyse appelé remote-analyzer et attribuez-lui un ID de VLAN de 999:

  2. Définissez l’interface du module de liaison montante connectée au commutateur de distribution en mode trunk et associez-la au VLAN de l’analyseur :

    Par exemple, définissez l’interface ge-0/1/1 en mode trunk et associez-la à l’ID 999VLAN de l’analyseur :

  3. Configurez l’analyseur :
    1. Définissez un analyseur et spécifiez le trafic à mettre en miroir :

      Par exemple, définissez l’analyseur pour lequel le trafic à mettre en miroir est constitué employee-monitor de paquets entrant dans les interfaces ge-0/0/0.0 et ge-0/0/1.0 :

    2. Spécifiez le VLAN de l’analyseur en tant que sortie de l’analyseur :

      Par exemple, spécifiez le remote-analyzer VLAN en tant qu’analyseur de sortie pour l’analyseur employee-monitor :

Configuration de la mise en miroir des ports

Pour filtrer les paquets devant être mis en miroir sur une instance de mise en miroir de port, créez l’instance, puis utilisez-la comme action dans le filtre de pare-feu. Vous pouvez utiliser des filtres de pare-feu dans les configurations de mise en miroir locale et distante.

Si la même instance de mise en miroir de port est utilisée dans plusieurs filtres ou termes, les paquets ne sont copiés qu’une seule fois sur le port de sortie ou le VLAN de l’analyseur.

Pour filtrer le trafic en miroir, créez une instance de mise en miroir de port sous le niveau hiérarchique [edit forwarding-options] , puis créez un filtre de pare-feu. Le filtre peut utiliser n’importe laquelle des conditions de correspondance disponibles et doit avoir port-mirror-instance instance-name comme action. Cette action dans la configuration du filtre de pare-feu fournit l’entrée à l’instance de mise en miroir des ports.

Pour configurer une instance de mise en miroir de port avec des filtres de pare-feu :

  1. Configurez le nom de l’instance de mise en miroir des ports (ici, employee-monitor) et la sortie :
    1. Pour l’analyse locale, définissez la sortie sur l’interface locale où vous allez connecter l’ordinateur exécutant l’analyseur de protocole :
    2. Pour l’analyse à distance, définissez la sortie sur le remote-analyzer VLAN :
  2. Créez un filtre de pare-feu à l’aide de l’une des conditions de correspondance disponibles et attribuez-le employee-monitor à l’action port-mirror-instance :

    Cette étape montre un filtre example-filterde pare-feu , avec deux termes (no-analyzer et to-analyzer) :

    1. Créez le premier terme pour définir le trafic qui ne doit pas passer par l’instance employee-monitorde mise en miroir des ports :
    2. Créez le second terme pour définir le trafic qui doit passer par l’instance employee-monitorde mise en miroir des ports :
  3. Appliquez le filtre de pare-feu aux interfaces ou au VLAN qui fournissent une entrée à l’instance de mise en miroir des ports :

Configuration de la mise en miroir des ports pour analyser le trafic (procédure CLI)

Cette tâche de configuration utilise Junos OS pour les commutateurs EX Series qui ne prennent pas en charge le style de configuration ELS (Enhanced L2 Software).

Les commutateurs EX Series vous permettent de configurer la mise en miroir des ports pour envoyer des copies de paquets vers une interface locale pour la surveillance locale ou vers un VLAN pour la surveillance à distance. Vous pouvez utiliser la mise en miroir des ports pour copier ces paquets :

  • Paquets entrant ou sortant d’un port

  • Paquets entrant dans un VLAN sur les commutateurs EX2200, EX3200, EX3300, EX4200, EX4500 ou EX6200

  • Paquets sortant d’un VLAN sur les commutateurs EX8200

bonnes pratiques :

Ne mettez en miroir que les paquets nécessaires pour réduire l’impact potentiel sur les performances. Nous vous recommandons de :

  • Désactivez vos analyseurs de mise en miroir de port configurés lorsque vous ne les utilisez pas.

  • Spécifiez des interfaces individuelles en tant qu’entrée pour les analyseurs plutôt que de spécifier toutes les interfaces en entrée.

  • Limitez la quantité de trafic en miroir en procédant comme suit :

    • Utilisation de l’échantillonnage statistique.

    • Définition de ratios pour sélectionner des échantillons statistiques.

    • Utilisation de filtres de pare-feu.

Avant de commencer à configurer la mise en miroir des ports, notez les limitations suivantes pour les interfaces de sortie de l’analyseur :

  • Ne peut pas être un port source.

  • Ne peut pas être utilisé pour la commutation.

  • Ne participez pas aux protocoles de couche 2 (tels que RSTP) lorsque vous faites partie d’une configuration de mise en miroir de ports.

  • Ne conservez pas les associations VLAN qu’elles contenaient avant d’être configurées en tant qu’interfaces de sortie de l’analyseur.

REMARQUE :

Si vous souhaitez créer des analyseurs supplémentaires sans supprimer l’analyseur existant, désactivez-le d’abord à l’aide de la commande ou de la page de configuration J-Web pour la disable analyzer analyzer-name mise en miroir des ports.

REMARQUE :

Les interfaces utilisées comme sortie d’un analyseur doivent être configurées en tant que famille ethernet-switching.

Configuration de la mise en miroir des ports pour l’analyse du trafic local

Pour mettre en miroir le trafic d’interface ou le trafic VLAN sur le commutateur vers une autre interface du commutateur :

  1. Choisissez un nom pour l’analyseur (dans ce cas) et spécifiez l’entrée (dans ce cas employee-monitor, les paquets entrant ge-0/0/0 et ge-0/0/1:
  2. Si vous le souhaitez, vous pouvez spécifier un échantillonnage statistique des paquets en définissant un ratio :

    Lorsque le ratio est défini sur 200, 1 paquet sur 200 est mis en miroir sur l’analyseur. Vous pouvez utiliser l’échantillonnage statistique pour réduire le volume de trafic en miroir, car un volume élevé de trafic en miroir peut nécessiter des performances élevées pour le commutateur. Sur les commutateurs EX8200, vous ne pouvez définir un ratio que pour les paquets entrants.

  3. Configurez l’interface de destination pour les paquets mis en miroir :

Configuration de la mise en miroir des ports pour l’analyse du trafic à distance

Pour mettre en miroir le trafic qui traverse des interfaces ou un VLAN sur le commutateur vers un VLAN pour analyse à partir d’un emplacement distant :

  1. Configurez un VLAN pour qu’il transporte le trafic en miroir. Ce VLAN est appelé remote-analyzer et reçoit l’ID 999 par convention dans cette documentation :
  2. Définissez l’interface du module de liaison montante connectée au commutateur de distribution en mode trunk et associez-la au remote-analyzer VLAN :
  3. Configurez l’analyseur :
    1. Choisissez un nom et définissez la priorité des pertes sur élevée. La priorité de perte doit toujours être définie sur élevée lors de la configuration de la mise en miroir de ports distants :
    2. Spécifiez le trafic à mettre en miroir : dans cet exemple, les paquets entrant dans les ports ge-0/0/0 et ge-0/0/1:
    3. Spécifiez le remote-analyzer VLAN comme sortie de l’analyseur :
  4. Si vous le souhaitez, vous pouvez spécifier un échantillonnage statistique des paquets en définissant un ratio :

    Lorsque le ratio est défini sur 200, 1 paquet sur 200 est mis en miroir sur l’analyseur. Vous pouvez l’utiliser pour réduire le volume de trafic en miroir, car un volume très élevé de trafic en miroir peut nécessiter beaucoup de performances pour le commutateur.

Filtrage du trafic entrant dans un analyseur

Pour filtrer les paquets mis en miroir à un analyseur, créez l’analyseur, puis utilisez-le comme action dans le filtre de pare-feu. Vous pouvez utiliser des filtres de pare-feu dans les configurations de mise en miroir de ports locaux et distants.

Si le même analyseur est utilisé dans plusieurs filtres ou termes, les paquets ne sont copiés qu’une seule fois sur le port de sortie ou le VLAN de l’analyseur.

Pour filtrer le trafic en miroir, créez un analyseur, puis un filtre de pare-feu. Le filtre peut utiliser n’importe laquelle des conditions de correspondance disponibles et doit avoir une action de analyzer. L’action du filtre de pare-feu fournit l’entrée à l’analyseur.

Pour configurer la mise en miroir des ports avec des filtres :

  1. Configurez le nom de l’analyseur (ici, employee-monitor) et la sortie :
    1. Pour l’analyse locale, définissez la sortie sur l’interface locale à laquelle vous allez connecter l’ordinateur exécutant l’application d’analyse de protocole :
    2. Pour l’analyse à distance, définissez la priorité de perte sur élevée et définissez la sortie sur le remote-analyzer VLAN :
  2. Créez un filtre de pare-feu à l’aide de l’une des conditions de correspondance disponibles et spécifiez l’action comme analyzersuit :

    Cette étape montre un filtre de pare-feu appelé example-filter, avec deux termes :

    1. Créez le premier terme pour définir le trafic qui ne doit pas passer par l’analyseur :
    2. Créez le deuxième terme pour définir le trafic qui doit passer par l’analyseur :
  3. Appliquez le filtre de pare-feu aux interfaces ou VLAN qui sont entrés dans l’analyseur :

Vérification des entrées et sorties des analyseurs de mise en miroir de ports sur les commutateurs EX Series

But

Cette tâche de vérification utilise Junos OS pour les commutateurs EX Series qui ne prennent pas en charge le style de configuration ELS (Enhanced L2 Software).

Vérifiez qu’un analyseur a été créé sur le commutateur et qu’il dispose des interfaces d’entrée miroir appropriées, ainsi que de l’interface de sortie de l’analyseur appropriée.

Action

Vous pouvez vérifier que l’analyseur de miroir de port est configuré comme prévu à l’aide de la show analyzer commande.

Vous pouvez afficher tous les analyseurs de miroir de port configurés sur le commutateur, y compris ceux qui sont désactivés, à l’aide de la show ethernet-switching-options commande en mode de configuration.

Sens

Cette sortie montre que l’analyseur employee-monitor a un ratio de 1 (mise en miroir de chaque paquet, la valeur par défaut), une priorité de perte de (définissez cette option sur high chaque fois que la sortie de high l’analyseur est vers un VLAN), met en miroir le trafic entrant ge-0/0/0 et ge-0/0/1, et envoie le trafic en miroir à l’analyseur appelé remote-analyzer.

Exemple : Configuration des analyseurs de mise en miroir des ports pour la surveillance locale de l’utilisation des ressources des employés

Les équipements Juniper Networks vous permettent de configurer la mise en miroir des ports pour envoyer des copies de paquets vers une interface locale pour la surveillance locale, vers un VLAN ou vers un domaine de pont pour la surveillance à distance. Vous pouvez utiliser la mise en miroir pour copier ces paquets :

  • Paquets entrant ou sortant d’un port

  • Paquets entrant ou sortant d’un VLAN ou d’un domaine de pont

Vous pouvez ensuite analyser le trafic en miroir localement ou à distance à l’aide d’un analyseur de protocole. Vous pouvez installer un analyseur sur une interface de destination locale. Si vous envoyez du trafic en miroir vers un VLAN d’analyse ou un domaine de pont, vous pouvez utiliser un analyseur sur une station de surveillance distante.

Cette rubrique décrit comment configurer la mise en miroir locale sur un périphérique de commutation. Les exemples de cette rubrique décrivent comment configurer un périphérique de commutation pour mettre en miroir le trafic entrant dans les interfaces connectées aux ordinateurs des employés vers une interface de sortie de l’analyseur sur ce même périphérique.

Conditions préalables

Utilisez l’un des composants matériels et logiciels suivants :

  • Un commutateur EX9200 avec Junos OS version 13.2 ou ultérieure

  • Un routeur MX Series avec Junos OS version 14.1 ou ultérieure

Avant de configurer la mise en miroir des ports, assurez-vous de bien comprendre les concepts de mise en miroir. Pour plus d’informations sur les analyseurs, reportez-vous à la section Présentation des analyseurs de mise en miroir de ports. Pour plus d’informations sur la mise en miroir de ports, reportez-vous à la section Présentation de la mise en miroir de ports de couche 2.

Vue d’ensemble et topologie

Cette rubrique explique comment mettre en miroir tout le trafic entrant dans les ports du périphérique de commutation vers une interface de destination sur le même périphérique (mise en miroir locale). Dans ce cas, le trafic entre dans les ports connectés aux ordinateurs des employés.

REMARQUE :

La mise en miroir de l’ensemble du trafic nécessite une bande passante importante et ne doit être effectuée que lors d’une enquête active.

Les interfaces ge-0/0/0 et ge-0/0/1 servent de connexions pour les ordinateurs des employés.

L’interface ge-0/0/10 est réservée à l’analyse du trafic en miroir.

Connectez un PC exécutant un analyseur de protocole à l’interface de sortie de l’analyseur.

REMARQUE :

Plusieurs ports mis en miroir sur une interface peuvent provoquer un débordement de la mémoire tampon, ce qui entraîne la perte de paquets en miroir au niveau de l’interface de sortie.

Figure 1 affiche la topologie du réseau dans cet exemple.

Figure 1 : Exemple de topologie de réseau pour la mise en miroir de ports locauxExemple de topologie de réseau pour la mise en miroir de ports locaux

Mise en miroir de tout le trafic des employés pour l’analyse locale

Procédure

Configuration rapide de l’interface de ligne de commande

Pour configurer rapidement la mise en miroir locale pour le trafic entrant envoyé sur deux ports connectés aux ordinateurs des employés, copiez l’une des commandes suivantes pour les commutateurs EX Series ou les routeurs MX Series et collez-les dans la fenêtre du terminal du périphérique de commutation :

EX Series

MX Series

Procédure étape par étape

Pour configurer un analyseur appelé employee-monitor et spécifier à la fois les interfaces d’entrée (source) et l’interface de sortie de l’analyseur :

  1. Configurez chaque interface à utiliser dans la configuration de l’analyseur. Utilisez le protocole familial adapté à votre plateforme.

    Pour configurer sur une interface, vous devez configurer family bridgeinterface-mode access ou interface-mode trunk également. Vous devez également configurer vlan-id.

  2. Configurez chaque interface connectée aux ordinateurs des employés en tant qu’interface employee-monitord’analyseur de sortie.

  3. Configurez l’interface de l’analyseur employee-monitor de sortie.

    Il s’agira de l’interface de destination pour les paquets mis en miroir.

Résultats

Vérifiez les résultats de la configuration.

Vérification

Vérification de la création correcte de l’analyseur

But

Vérifiez que l’analyseur employee-monitor a été créé sur l’appareil de commutation avec les interfaces d’entrée et de sortie appropriées.

Action

Utilisez la show forwarding-options analyzer commande opérationnelle pour vérifier qu’un analyseur est configuré comme prévu.

Sens

La sortie montre que l’analyseur a un rapport de 1 (c’est-à-dire qu’il met en miroir chaque paquet, le paramètre par défaut), que la taille maximale du paquet d’origine mis en miroir est 0 (ce qui indique que l’ensemble du paquet est mis en miroir), que l’état de la configuration est up, et que l’analyseur met en miroir le trafic entrant dans l’interface ge-0/0/0 et envoie le trafic mis en miroir à l’interface employee-monitor ge-0/0/10.

Si l’état de l’interface de sortie est ou si l’interface de sortie n’est down pas configurée, la valeur de State indique down que l’analyseur ne recevra pas de trafic en miroir.

Exemple : Configuration de la mise en miroir des ports pour la surveillance à distance de l’utilisation des ressources des employés

Les équipements Juniper Networks vous permettent de configurer la mise en miroir des ports pour envoyer des copies de paquets vers une interface locale pour la surveillance locale ou vers un VLAN ou un domaine de pont pour la surveillance à distance. Vous pouvez utiliser la mise en miroir pour copier ces paquets :

  • Paquets entrant ou sortant d’un port

  • Paquets entrant ou sortant d’un VLAN

  • Paquets entrant ou sortant d’un domaine de pont

Si vous envoyez du trafic en miroir à un VLAN d’analyse ou à un domaine de pont, vous pouvez analyser le trafic en miroir à l’aide d’un analyseur de protocole exécuté sur une station de surveillance à distance.

bonnes pratiques :

Ne mettez en miroir que les paquets nécessaires pour réduire l’impact potentiel sur les performances. Nous vous recommandons de procéder comme suit :

  • Désactivez vos sessions de mise en miroir configurées lorsque vous ne les utilisez pas.

  • Spécifiez des interfaces individuelles en tant qu’entrée pour les analyseurs plutôt que de spécifier toutes les interfaces en entrée.

  • Limitez la quantité de trafic en miroir en procédant comme suit :

    • Utilisation de l’échantillonnage statistique.

    • Définition de ratios pour sélectionner des échantillons statistiques.

    • Utilisation de filtres de pare-feu.

Les exemples de cette rubrique décrivent comment configurer la mise en miroir de ports distants pour analyser l’utilisation des ressources des employés.

Conditions préalables

Cet exemple utilise l’une des paires de composants matériels et logiciels suivantes :

  • Un commutateur EX9200 connecté à un autre commutateur EX9200, tous deux exécutant Junos OS version 13.2 ou ultérieure

  • Un routeur MX Series connecté à un autre routeur MX Series, tous deux exécutant Junos OS version 14.1 ou ultérieure

Avant de configurer la mise en miroir à distance, assurez-vous que :

Vue d’ensemble et topologie

Cette rubrique explique comment configurer la mise en miroir de ports vers un VLAN d’analyseur distant ou un domaine de pont afin que l’analyse puisse être effectuée à partir d’une station de surveillance à distance.

Figure 2 affiche la topologie du réseau pour les exemples EX Series et MX Series.

Topologie

Figure 2 : Topologie de réseau pour la mise en miroir et l’analyse de ports distantsTopologie de réseau pour la mise en miroir et l’analyse de ports distants

Dans cet exemple :

  • L’interface ge-0/0/0 est une interface de couche 2 et l’interface ge-0/0/1 est une interface de couche 3 (les deux sont des interfaces sur l’équipement source) qui servent de connexions pour les ordinateurs des employés.

  • L’interface ge-0/0/10 est une interface de couche 2 qui connecte le périphérique de commutation source au périphérique de commutation de destination.

  • L’interface ge-0/0/5 est une interface de couche 2 qui relie le dispositif de commutation de destination à la station de télésurveillance.

  • L’analyseur remote-analyzer est configuré sur tous les équipements de commutation de la topologie pour acheminer le trafic en miroir. Cette topologie peut utiliser un VLAN ou un domaine de pont.

Mise en miroir du trafic des employés pour l’analyse à distance à l’aide d’un analyseur statistique

Pour configurer un analyseur statistique pour l’analyse du trafic à distance pour l’ensemble du trafic entrant et sortant des employés, sélectionnez l’un des exemples suivants :

Mise en miroir du trafic des employés pour l’analyse à distance des commutateurs EX Series

Configuration rapide de l’interface de ligne de commande

Pour configurer rapidement un analyseur statistique pour l’analyse du trafic à distance du trafic entrant et sortant des employés, copiez les commandes suivantes pour les commutateurs EX Series et collez-les dans la fenêtre de terminal de périphérique de commutation appropriée.

  • Copiez et collez les commandes suivantes dans la fenêtre du terminal du périphérique de commutation source :

    EX Series

  • Copiez et collez les commandes suivantes dans la fenêtre du terminal du périphérique de commutation de destination :

    EX Series

Procédure étape par étape

Pour configurer la mise en miroir à distance de base :

  1. Sur le périphérique de commutation source, procédez comme suit :

    • Configurez l’ID de VLAN pour le remote-analyzer VLAN.

    • Configurez l’interface sur le port réseau connecté à l’équipement de commutation de destination pour le mode d’accès et associez-la au remote-analyzer VLAN.

    • Configurez l’analyseur employee-monitorstatistique .

    • Liez l’analyseur statistique au FPC qui contient l’interface d’entrée.

  2. Sur le périphérique réseau de destination, procédez comme suit :

    • Configurez l’ID de VLAN pour le remote-analyzer VLAN.

    • Configurez l’interface sur l’équipement de commutation de destination pour le mode d’accès et associez-la au remote-analyzer VLAN.

    • Configurez l’interface connectée au commutateur de destination pour le mode d’accès.

    • Configurez l’analyseur employee-monitor .

    • Spécifiez les paramètres de mise en miroir tels que le débit et la longueur maximale des paquets pour l’analyseur employee-monitor .

    • Liez l’analyseur employee-monitor au FPC contenant les ports d’entrée.

Résultats

Vérifiez les résultats de la configuration sur le périphérique de commutation source :

Vérifiez les résultats de la configuration sur le commutateur de destination.

Mise en miroir du trafic des employés pour l’analyse à distance des routeurs MX Series

Configuration rapide de l’interface de ligne de commande

Pour configurer rapidement un analyseur statistique pour l’analyse du trafic à distance du trafic entrant et sortant des employés, copiez les commandes suivantes pour les routeurs MX Series et collez-les dans la fenêtre de terminal de périphérique de commutation appropriée.

  • Copiez et collez les commandes suivantes dans la fenêtre du terminal du périphérique de commutation source :

    MX Series

  • Copiez et collez les commandes suivantes dans la fenêtre du terminal du périphérique de commutation de destination :

    MX Series

Procédure étape par étape

Pour configurer la mise en miroir distante de base à l’aide de routeurs MX Series :

  1. Sur le périphérique de commutation source, procédez comme suit :

    • Configurez l’ID de VLAN pour le domaine de remote-analyzer pont.

    • Configurez l’interface sur le port réseau connecté au périphérique de commutation de destination pour le mode d’accès et associez-la au domaine de remote-analyzer pont.

    • Configurez l’analyseur employee-monitorstatistique .

    • Liez l’analyseur statistique au FPC qui contient l’interface d’entrée.

  2. Sur le périphérique de commutation de destination, procédez comme suit :

    • Configurez l’ID de VLAN pour le domaine de remote-analyzer pont.

    • Configurez l’interface sur l’équipement de commutation de destination pour le mode d’accès et associez-la au domaine de remote-analyzer pont.

    • Configurez l’interface connectée au commutateur de destination pour le mode d’accès.

    • Configurez l’analyseur employee-monitor .

    • Spécifiez les paramètres de mise en miroir tels que le débit et la longueur maximale des paquets pour l’analyseur employee-monitor .

    • Liez l’analyseur employee-monitor au FPC contenant les ports d’entrée.

Résultats

Vérifiez les résultats de la configuration sur le périphérique de commutation source :

Vérifiez les résultats de la configuration sur le commutateur de destination.

Vérification

Vérification de la création correcte de l’analyseur

But

Vérifiez que l’analyseur nommé employee-monitor a été créé sur l’appareil avec les interfaces d’entrée et de sortie appropriées.

Action

Pour vérifier que l’analyseur est configuré comme prévu lors de la surveillance de tout le trafic des employés sur le périphérique de commutation source, exécutez la show forwarding-options analyzer commande sur le périphérique de commutation source. La sortie suivante s’affiche pour cet exemple de configuration.

Sens

Cette sortie montre que l’instance a un rapport de 2, que la taille maximale du paquet d’origine mis en miroir est de 128, que l’état de la configuration est , ce qui indique l’état approprié et que l’analyseur est upprogrammé, et que l’analyseur employee-monitor met en miroir le trafic entrant ge-0/0/0.0 et ge-0/0/1.0, et envoie le trafic mis en miroir au VLAN appelé remote-analyzer.

Si l’état de l’interface de sortie est ou si l’interface de sortie n’est down pas configurée, la valeur de sera inactive et l’analyseur ne sera pas en mesure de State surveiller le trafic.

Exemple : Configuration de la mise en miroir vers plusieurs interfaces pour la surveillance à distance de l’utilisation des ressources des employés sur les commutateurs EX9200

Les commutateurs EX9200 vous permettent de configurer la mise en miroir pour envoyer des copies de paquets à une interface locale pour une surveillance locale ou à un VLAN pour une surveillance à distance. Vous pouvez utiliser la mise en miroir pour copier ces paquets :

  • Paquets entrant ou sortant d’un port

  • Paquets entrant ou sortant d’un VLAN sur

Vous pouvez analyser le trafic en miroir à l’aide d’une application d’analyse de protocole exécutée sur une station de surveillance à distance si vous envoyez du trafic en miroir à un VLAN d’analyse.

bonnes pratiques :

Ne mettez en miroir que les paquets nécessaires pour réduire l’impact potentiel sur les performances. Nous vous recommandons de :

  • Désactivez vos analyseurs de mise en miroir configurés lorsque vous ne les utilisez pas.

  • Spécifiez des interfaces individuelles en tant qu’entrée pour les analyseurs plutôt que de spécifier toutes les interfaces en entrée.

  • Limitez la quantité de trafic en miroir en procédant comme suit :

    • Utilisation de l’échantillonnage statistique.

    • Définition de ratios pour sélectionner des échantillons statistiques.

    • Utilisation de filtres de pare-feu.

Cet exemple décrit comment configurer la mise en miroir à distance vers plusieurs interfaces sur un VLAN d’analyseur :

Conditions préalables

Cet exemple utilise les composants matériels et logiciels suivants :

  • Trois commutateurs EX9200

  • Junos OS version 13.2 ou ultérieure pour les commutateurs EX Series

Avant de configurer la mise en miroir à distance, assurez-vous que :

  • Les interfaces que l’analyseur utilisera comme interfaces d’entrée ont été configurées sur le commutateur.

Vue d’ensemble et topologie

Cet exemple décrit comment mettre en miroir le trafic entrant dans les ports du commutateur vers le VLAN de l’analyseur distant afin de pouvoir effectuer une analyse à partir d’une station de surveillance à distance. Dans cet exemple, le VLAN de l’analyseur distant contient plusieurs interfaces membres. Par conséquent, le même trafic est mis en miroir sur toutes les interfaces membres du VLAN de l’analyseur à distance, de sorte que les paquets mis en miroir peuvent être envoyés à différentes stations de surveillance à distance. Vous pouvez installer des applications, telles que des renifleurs et des systèmes de détection d’intrusion, sur des stations de surveillance à distance afin d’analyser ces paquets en miroir et d’obtenir des données statistiques utiles. Par exemple, s’il y a deux stations de télésurveillance, vous pouvez installer un renifleur sur une station de télésurveillance et un système de détection d’intrusion sur l’autre station. Vous pouvez utiliser une configuration d’analyseur de filtre de pare-feu pour transférer un type de trafic spécifique à une station de télésurveillance.

Cet exemple décrit comment configurer un analyseur pour mettre en miroir le trafic vers plusieurs interfaces du groupe de sauts suivants afin que le trafic soit envoyé à différentes stations de surveillance pour analyse.

Figure 3 affiche la topologie du réseau dans cet exemple.

Figure 3 : Exemple de mise en miroir à distance Topologie de réseau utilisant plusieurs interfaces membres VLAN dans le groupe de saut suivantExemple de mise en miroir à distance Topologie de réseau utilisant plusieurs interfaces membres VLAN dans le groupe de saut suivant

Topologie

Dans cet exemple :

  • Les interfaces ge-0/0/0 et ge-0/0/1 sont des interfaces de couche 2 (toutes deux des interfaces sur le commutateur source) qui servent de connexions pour les ordinateurs des employés.

  • Les interfaces ge-0/0/10 et ge-0/0/11 sont des interfaces de couche 2 connectées à différents commutateurs de destination.

  • L’interface ge-0/0/12 est une interface de couche 2 qui connecte le commutateur de destination 1 à la station de télésurveillance.

  • L’interface ge-0/0/13 est une interface de couche 2 qui connecte le commutateur Destination 2 à la station de télésurveillance.

  • Le VLAN remote-analyzer est configuré sur tous les commutateurs de la topologie pour transporter le trafic en miroir.

Mise en miroir de l’ensemble du trafic des employés vers plusieurs interfaces membres VLAN pour une analyse à distance

Pour configurer la mise en miroir sur plusieurs interfaces membres VLAN afin d’analyser le trafic à distance pour l’ensemble du trafic entrant et sortant des employés, effectuez les tâches suivantes :

Procédure

Configuration rapide de l’interface de ligne de commande

Pour configurer rapidement la mise en miroir pour l’analyse du trafic à distance pour le trafic entrant et sortant des employés, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur :

  • Dans la fenêtre du terminal du commutateur source, copiez et collez les commandes suivantes :

  • Dans la fenêtre Terminal du commutateur Destination 1, copiez et collez les commandes suivantes :

  • Dans la fenêtre du terminal du commutateur Destination 2, copiez et collez les commandes suivantes :

Procédure étape par étape

Pour configurer la mise en miroir à distance de base sur deux interfaces membres VLAN :

  1. Sur le commutateur source :

    • Configurez l’ID de VLAN pour le remote-analyzer VLAN :

    • Configurez les interfaces sur le port réseau connecté aux commutateurs de destination pour le mode d’accès et associez-le au remote-analyzer VLAN :

    • Configurez l’analyseur employee-monitor :

      Dans cette configuration de l’analyseur, le trafic qui entre et sort des interfaces ge-0/0/0.0 et ge-0/0/1.0 est envoyé à la destination de sortie définie par le groupe de sauts suivant nommé remote-analyzer-nhg.

    • Configurez le remote-analyzer-nhb groupe next-hop :

  2. Sur le commutateur Destination 1 :

    • Configurez l’ID de VLAN pour le remote-analyzer VLAN :

    • Configurez l’interface ge-0/0/10 sur le commutateur Destination 1 pour le mode d’accès :

    • Configurez l’interface connectée à la station de télésurveillance pour le mode d’accès :

    • Configurez l’analyseur employee-monitor :

  3. Sur le commutateur Destination 2 :

    • Configurez l’ID de VLAN pour le remote-analyzer VLAN :

    • Configurez l’interface ge-0/0/11 sur le commutateur Destination 2 pour le mode d’accès :

    • Configurez l’interface connectée à la station de télésurveillance pour le mode d’accès :

    • Configurez l’analyseur employee-monitor :

Résultats

Vérifiez les résultats de la configuration sur le commutateur source :

Vérifiez les résultats de la configuration sur le commutateur Destination 1 :

Vérifiez les résultats de la configuration sur le commutateur Destination 2 :

Vérification

Pour vérifier que la configuration fonctionne correctement, effectuez les opérations suivantes :

Vérification de la création correcte de l’analyseur

But

Vérifiez que l’analyseur nommé employee-monitor a été créé sur le commutateur avec les interfaces d’entrée et de sortie appropriées.

Action

Vous pouvez vérifier que l’analyseur est configuré comme prévu à l’aide de la show forwarding-options analyzer commande.

Pour vérifier que l’analyseur est configuré comme prévu tout en surveillant tout le trafic des employés sur le commutateur source, exécutez la show forwarding-options analyzer commande sur le commutateur source. La sortie suivante s’affiche pour cet exemple de configuration sur le commutateur source :

Sens

Cette sortie montre que l’analyseur a un ratio de 1 (mise en miroir de chaque paquet, ce qui est le comportement par défaut), que l’état de la configuration est , ce qui indique l’état correct et que l’analyseur employee-monitor est upprogrammé, met en miroir le trafic entrant ou sortant des interfaces ge-0/0/0 et ge-0/0/1, et envoie le trafic en miroir à plusieurs interfaces ge-0/0/10.0 et ge-0/0/11.0 via le groupe remote-analyzer-nhgde sauts suivant. Si l’état de l’interface de sortie est ou si l’interface de sortie n’est down pas configurée, la valeur d’état sera inactive et l’analyseur ne sera pas en mesure de mettre en miroir le trafic.

Exemple : Configuration de la mise en miroir pour la surveillance à distance de l’utilisation des ressources des employés par le biais d’un commutateur de transit sur les commutateurs EX9200

Les commutateurs EX9200 vous permettent de configurer la mise en miroir pour envoyer des copies de paquets à une interface locale pour une surveillance locale ou à un VLAN pour une surveillance à distance. Vous pouvez utiliser la mise en miroir pour copier ces paquets :

  • Paquets entrant ou sortant d’un port

  • Paquets entrant ou sortant d’un VLAN

Vous pouvez analyser le trafic en miroir à l’aide d’une application d’analyse de protocole exécutée sur une station de surveillance à distance si vous envoyez du trafic en miroir à un VLAN d’analyse.

Cette rubrique comprend un exemple décrivant comment mettre en miroir le trafic entrant dans les ports du commutateur vers le VLAN de l’analyseur distant via un commutateur de transit, afin de pouvoir effectuer une analyse à partir d’une station de surveillance à distance.

bonnes pratiques :

Ne mettez en miroir que les paquets nécessaires pour réduire l’impact potentiel sur les performances. Nous vous recommandons de :

  • Désactivez vos sessions de mise en miroir configurées lorsque vous ne les utilisez pas.

  • Spécifiez des interfaces individuelles en tant qu’entrée pour les analyseurs plutôt que de spécifier toutes les interfaces en entrée.

  • Limitez la quantité de trafic en miroir en procédant comme suit :

    • Utilisation de l’échantillonnage statistique.

    • Définition de ratios pour sélectionner des échantillons statistiques.

    • Utilisation de filtres de pare-feu.

Cet exemple décrit comment configurer la mise en miroir à distance via un commutateur de transit :

Conditions préalables

Cet exemple utilise les composants matériels et logiciels suivants :

  • Un commutateur EX9200 connecté à un autre commutateur EX9200 via un troisième commutateur EX9200

  • Junos OS version 13.2 ou ultérieure pour les commutateurs EX Series

Avant de configurer la mise en miroir à distance, assurez-vous que :

  • Les interfaces que l’analyseur utilisera comme interfaces d’entrée ont été configurées sur le commutateur.

Vue d’ensemble et topologie

Cet exemple décrit comment mettre en miroir le trafic entrant dans les ports du commutateur vers le remote-analyzer VLAN via un commutateur de transit afin de pouvoir effectuer une analyse de tout le trafic provenant des ordinateurs des employés.

Dans cette configuration, une session d’analyse est requise sur le commutateur de destination pour mettre en miroir le trafic entrant du VLAN de l’analyseur vers l’interface de sortie à laquelle la station de surveillance à distance est connectée.

Figure 4 affiche la topologie du réseau dans cet exemple.

Topologie

Figure 4 : Surveillance du réseau pour la mise en miroir à distance via un commutateur de transitSurveillance du réseau pour la mise en miroir à distance via un commutateur de transit

Dans cet exemple :

  1. L’interface ge-0/0/0 est une interface de couche 2 et l’interface ge-0/0/1 est une interface de couche 3 (les deux interfaces sur le commutateur source) qui servent de connexions pour les ordinateurs des employés.

  2. L’interface ge-0/0/10 est une interface de couche 2 qui se connecte au commutateur de transit.

  3. L’interface ge-0/0/11 est une interface de couche 2 sur le commutateur de transit.

  4. L’interface ge-0/0/12 est une interface de couche 2 sur le commutateur de transit et se connecte au commutateur de destination.

  5. L’interface ge-0/0/13 est une interface de couche 2 sur le commutateur de destination.

  6. L’interface ge-0/0/14 est une interface de couche 2 sur le commutateur de destination et se connecte à la station de télésurveillance.

  7. Le VLAN remote-analyzer est configuré sur tous les commutateurs de la topologie pour transporter le trafic en miroir.

Mise en miroir de l’ensemble du trafic des employés pour une analyse à distance via un commutateur de transport en commun

Pour configurer la mise en miroir de l’analyse du trafic à distance par le biais d’un commutateur de transit, effectuez les tâches suivantes pour l’ensemble du trafic entrant et sortant des employés :

Procédure

Configuration rapide de l’interface de ligne de commande

Pour configurer rapidement la mise en miroir pour l’analyse du trafic à distance via un commutateur de transit, pour le trafic entrant et sortant des employés, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur :

  • Copiez et collez les commandes suivantes dans la fenêtre du terminal du commutateur source (commutateur surveillé) :

  • Copiez et collez les commandes suivantes dans la fenêtre du commutateur de transit :

  • Copiez et collez les commandes suivantes dans la fenêtre du commutateur de destination :

Procédure étape par étape

Pour configurer la mise en miroir à distance via un commutateur de transit :

  1. Sur le commutateur source :

    • Configurez l’ID de VLAN pour le remote-analyzer VLAN :

    • Configurez les interfaces sur le port réseau connecté au commutateur de transit pour le mode d’accès et associez-le au remote-analyzer VLAN :

    • Configurez l’analyseur employee-monitor :

  2. Sur l’aiguillage de transit :

    • Configurez l’ID de VLAN pour le remote-analyzer VLAN :

    • Configurez l’interface ge-0/0/11 pour le mode d’accès, associez-la au remote-analyzer VLAN :

    • Configurez l’interface ge-0/0/12 pour le mode d’accès, associez-la au remote-analyzer VLAN et définissez l’interface pour le trafic sortant uniquement :

  3. Sur le commutateur de destination :

    • Configurez l’ID de VLAN pour le remote-analyzer VLAN :

    • Configurez l’interface ge-0/0/13 pour le mode d’accès, associez-la au remote-analyzer VLAN et définissez l’interface pour le trafic entrant uniquement :

    • Configurez l’interface connectée à la station de télésurveillance pour le mode d’accès :

    • Configurez l’analyseur remote-analyzer :

Résultats

Vérifiez les résultats de la configuration sur le commutateur source :

Vérifiez les résultats de la configuration sur le commutateur de transit :

Vérifiez les résultats de la configuration sur le commutateur de destination :

Vérification

Pour vérifier que la configuration fonctionne correctement, effectuez les opérations suivantes :

Vérification de la création correcte de l’analyseur

But

Vérifiez que l’analyseur nommé employee-monitor a été créé sur le commutateur avec les interfaces d’entrée et de sortie appropriées.

Action

Vous pouvez vérifier que l’analyseur est configuré comme prévu à l’aide de la show forwarding-options analyzer commande.

Pour vérifier que l’analyseur est configuré comme prévu tout en surveillant tout le trafic des employés sur le commutateur source, exécutez la show forwarding-options analyzer commande sur le commutateur source. La sortie suivante s’affiche pour cet exemple de configuration :

Sens

Cette sortie montre que l’analyseur a un ratio de mise en miroir de 1 (mise en miroir de chaque paquet, valeur par défaut), que l’état de la configuration est , ce qui indique un état correct et que l’analyseur est upprogrammé, qu’il met en miroir le trafic entrant ge-0/0/0 et ge-0/0/1, et qu’il envoie le trafic en miroir à l’analyseur employee-monitor appelé remote-analyzer. Si l’état de l’interface de sortie est ou si l’interface de sortie n’est down pas configurée, la valeur d’état sera inactive et l’analyseur ne sera pas en mesure de mettre en miroir le trafic.

Exemple : Configuration de la mise en miroir pour la surveillance locale de l’utilisation des ressources des employés sur les commutateurs EX4300

REMARQUE :

Cet exemple utilise Junos OS pour les commutateurs EX Series avec prise en charge du style de configuration ELS (Enhanced L2 Software). Si votre commutateur exécute un logiciel qui ne prend pas en charge ELS, reportez-vous à la section Exemple : Configuration de la mise en miroir des ports pour la surveillance locale de l’utilisation des ressources des employés sur les commutateurs EX Series. Pour plus d’informations sur ELS, reportez-vous à la section Prise en main du logiciel de couche 2 amélioré.

Les commutateurs EX4300 vous permettent de configurer la mise en miroir pour envoyer des copies de paquets vers une interface locale pour une surveillance locale ou vers un VLAN pour une surveillance à distance. Vous pouvez utiliser la mise en miroir pour copier ces paquets :

  • Paquets entrant ou sortant d’un port

  • Paquets entrant dans un VLAN

Vous pouvez analyser le trafic en miroir à l’aide d’un analyseur de protocole installé sur un système connecté à l’interface de destination locale ou à une station de surveillance à distance si vous envoyez du trafic en miroir à un VLAN de l’analyseur.

Cet exemple décrit comment configurer la mise en miroir locale sur un commutateur EX4300. Cet exemple décrit comment configurer le commutateur pour mettre en miroir le trafic entrant dans les interfaces connectées aux ordinateurs des employés vers une interface de sortie de l’analyseur sur le même commutateur.

Conditions préalables

Cet exemple utilise les composants matériels et logiciels suivants :

  • Un commutateur EX4300

  • Junos OS version 13.2X50-D10 ou ultérieure pour les commutateurs EX Series

Vue d’ensemble et topologie

Cette rubrique comprend deux exemples décrivant comment mettre en miroir le trafic entrant dans les ports du commutateur vers une interface de destination sur le même commutateur (mise en miroir locale). Le premier exemple montre comment mettre en miroir tout le trafic entrant dans les ports connectés aux ordinateurs des employés. Le deuxième exemple montre le même scénario, mais inclut un filtre pour refléter uniquement le trafic des employés qui se dirige vers le Web.

Les interfaces ge-0/0/0 et ge-0/0/1 servent de connexions pour les ordinateurs des employés. L’interface ge0/0/10 est réservée à l’analyse du trafic en miroir. Connectez un PC exécutant une application d’analyse de protocole à l’interface de sortie de l’analyseur pour analyser le trafic en miroir.

REMARQUE :

Plusieurs ports mis en miroir sur une interface peuvent provoquer un débordement de la mémoire tampon et la perte de paquets.

Les deux exemples utilisent la topologie de réseau illustrée à Figure 5la section .

Figure 5 : Exemple de topologie de réseau pour la mise en miroir localeExemple de topologie de réseau pour la mise en miroir locale

Mise en miroir de tout le trafic des employés pour l’analyse locale

Pour configurer la mise en miroir de l’ensemble du trafic des employés à des fins d’analyse locale, effectuez les tâches suivantes :

Procédure

Configuration rapide de l’interface de ligne de commande

Pour configurer rapidement la mise en miroir locale du trafic entrant vers les deux ports connectés aux ordinateurs des employés, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur :

Procédure étape par étape

Pour configurer un analyseur appelé employee-monitor et spécifier les interfaces d’entrée (source) et l’interface de sortie de l’analyseur :

  1. Configurez chaque interface connectée aux ordinateurs des employés en tant qu’interface d’entrée pour l’analyseur employee-monitor:

  2. Configurez l’interface de sortie de l’analyseur dans le cadre d’un VLAN :

  3. Configurez l’interface de l’analyseur de sortie pour l’analyseur employee-monitor. Il s’agira de l’interface de destination pour les paquets mis en miroir :

Résultats

Vérifiez les résultats de la configuration :

Mise en miroir du trafic des employés vers le Web pour l’analyse locale

Pour configurer la mise en miroir du trafic des employés vers le trafic Web, effectuez les tâches suivantes :

Procédure

Configuration rapide de l’interface de ligne de commande

Pour configurer rapidement la mise en miroir locale du trafic à partir des deux ports connectés aux ordinateurs des employés, en filtrant de sorte que seul le trafic vers le Web externe soit mis en miroir, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur :

Procédure étape par étape

Pour configurer la mise en miroir locale du trafic des employés vers le trafic Web à partir des deux ports connectés aux ordinateurs des employés :

  1. Configurez l’interface de l’analyseur local :

  2. Configurez l’instance de sortie (l’entrée de l’instance provient de l’action employee-web-monitor du filtre) :

  3. Configurez un filtre de pare-feu appelé watch-employee pour envoyer à l’instance employee-web-monitor des copies en miroir des demandes des employés sur le Web. Acceptez tout le trafic en provenance et à destination du sous-réseau de l’entreprise (adresse de destination ou source 192.0.2.16/24). Envoyez des copies en miroir de tous les paquets à destination d’Internet (port de destination 80) à l’instance employee-web-monitor .

  4. Appliquez le watch-employee filtre aux ports appropriés :

Résultats

Vérifiez les résultats de la configuration :

Vérification

Pour vérifier que la configuration est correcte, effectuez les opérations suivantes :

Vérification de la création correcte de l’analyseur

But

Vérifiez que l’analyseur employee-monitor ou employee-web-monitor a été créé sur le commutateur avec les interfaces d’entrée et de sortie appropriées.

Action

Vous pouvez utiliser la show forwarding-options analyzer commande pour vérifier que l’analyseur est correctement configuré.

Sens

Cette sortie montre que l’analyseur a un ratio de 1 (mise en miroir de chaque paquet, le paramètre par défaut), la taille maximale du paquet d’origine qui a été mis en miroir (indique le paquet entier), l’état de la configuration (0est actif indique que l’analyseur employee-monitor met en miroir le trafic entrant dans les interfaces ge-0/0/0 et ge-0/0/1, et envoie le trafic mis en miroir à l’interface ge-0/0/10). Si l’état de l’interface de sortie est inactif ou si l’interface de sortie n’est pas configurée, la valeur de l’état sera down et l’analyseur ne sera pas programmé pour la mise en miroir.

Vérification de la configuration correcte de l’instance de mise en miroir des ports

But

Vérifiez que l’instance employee-web-monitor de mise en miroir des ports a été correctement configurée sur le commutateur avec les interfaces d’entrée appropriées.

Action

Vous pouvez vérifier que l’instance de mise en miroir des ports est correctement configurée à l’aide de la show forwarding-options port-mirroring commande.

Sens

Cette sortie montre que l’instance a un ratio de 1 (mise en miroir de chaque paquet, valeur par défaut), la taille maximale du paquet d’origine qui a été mis en miroir (0indique un paquet entier), que l’état de la configuration est actif et que la mise en miroir des ports est programmée, et que le trafic mis en miroir à partir de l’action de filtre du pare-feu est envoyé sur l’interface employee-web-monitor ge-0/0/10.0. Si l’état de l’interface de sortie est inactif ou si l’interface n’est pas configurée, la valeur de l’état sera inactive et la mise en miroir des ports ne sera pas programmée pour la mise en miroir.

Exemple : Configuration de la mise en miroir pour la surveillance à distance de l’utilisation des ressources des employés sur les commutateurs EX4300

REMARQUE :

Cet exemple utilise Junos OS pour les commutateurs EX Series avec prise en charge du style de configuration ELS (Enhanced L2 Software). Si votre commutateur exécute un logiciel qui ne prend pas en charge ELS, reportez-vous à la section Exemple : Configuration de la mise en miroir pour la surveillance à distance de l’utilisation des ressources des employés sur les commutateurs EX4300. Pour plus de détails sur ELS, voir : Prise en main du logiciel de couche 2 amélioré.

Les commutateurs EX4300 vous permettent de configurer la mise en miroir pour envoyer des copies de paquets vers une interface locale pour une surveillance locale ou vers un VLAN pour une surveillance à distance. Vous pouvez utiliser la mise en miroir pour copier ces paquets :

  • Paquets entrant ou sortant d’un port

  • Paquets entrant dans un VLAN sur les commutateurs EX4300

Vous pouvez analyser le trafic en miroir à l’aide d’une application d’analyse de protocole s’exécutant sur une station de surveillance à distance si vous envoyez du trafic en miroir à un VLAN d’analyse.

Cette rubrique comprend deux exemples connexes qui décrivent comment mettre en miroir le trafic entrant dans les ports du commutateur vers le remote-analyzer VLAN afin de pouvoir effectuer une analyse à partir d’une station de surveillance à distance. Le premier exemple montre comment mettre en miroir tout le trafic entrant dans les ports connectés aux ordinateurs des employés. Le deuxième exemple montre le même scénario, mais inclut un filtre pour refléter uniquement le trafic des employés qui se dirige vers le Web.

bonnes pratiques :

Ne mettez en miroir que les paquets nécessaires pour réduire l’impact potentiel sur les performances. Nous vous recommandons de :

  • Désactivez vos sessions de mise en miroir configurées lorsque vous ne les utilisez pas.

  • Spécifiez des interfaces individuelles en tant qu’entrée pour les analyseurs plutôt que de spécifier toutes les interfaces en entrée.

  • Limitez la quantité de trafic en miroir à l’aide de filtres de pare-feu.

Cet exemple décrit comment configurer la mise en miroir à distance :

Conditions préalables

Cet exemple utilise les composants matériels et logiciels suivants :

  • Junos OS version 13.2X50-D10 ou ultérieure pour les commutateurs EX Series

  • Un commutateur EX4300 connecté à un autre commutateur EX4300

Le schéma montre un châssis EX4300 Virtual Chassis connecté à un commutateur de destination EX4300.

Avant de configurer la mise en miroir à distance, assurez-vous que :

  • Vous comprenez les concepts de mise en miroir.

  • Les interfaces que l’analyseur utilisera comme interfaces d’entrée ont été configurées sur le commutateur.

Vue d’ensemble et topologie

Cette rubrique comprend deux exemples connexes qui décrivent comment configurer la mise en miroir sur le VLAN afin que l’analyse remote-analyzer puisse être effectuée à partir d’une station de surveillance distante. Le premier exemple montre comment configurer un commutateur pour qu’il mette en miroir tout le trafic provenant des ordinateurs des employés. Le deuxième exemple illustre le même scénario, mais la configuration inclut un filtre pour refléter uniquement le trafic des employés qui se dirige vers le Web.

Figure 6 Affiche la topologie du réseau pour ces deux exemples de scénarios.

Topologie

Figure 6 : Exemple de topologie de réseau de mise en miroir à distanceExemple de topologie de réseau de mise en miroir à distance

Dans cet exemple :

  1. L’interface ge-0/0/0 est une interface de couche 2 et l’interface ge-0/0/1 est une interface de couche 3 (les deux interfaces sur le commutateur source) qui servent de connexions pour les ordinateurs des employés.

  2. L’interface ge-0/0/10 est une interface de couche 2 qui connecte le commutateur source au commutateur de destination.

  3. L’interface ge-0/0/5 est une interface de couche 2 qui connecte le commutateur de destination à la station de télésurveillance.

  4. Le VLAN remote-analyzer est configuré sur tous les commutateurs de la topologie pour transporter le trafic en miroir.

Mise en miroir de l’ensemble du trafic des collaborateurs pour une analyse à distance

Pour configurer un analyseur d’analyse du trafic à distance pour l’ensemble du trafic entrant et sortant des employés, effectuez les tâches suivantes :

Procédure

Configuration rapide de l’interface de ligne de commande

Pour configurer rapidement un analyseur d’analyse du trafic à distance pour le trafic entrant et sortant des employés, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur :

  • Copiez et collez les commandes suivantes dans la fenêtre du terminal du commutateur source :

  • Copiez et collez les commandes suivantes dans la fenêtre du terminal du commutateur de destination :

Procédure étape par étape

Pour configurer la mise en miroir de ports distants de base :

  1. Sur le commutateur source :

    • Configurez l’ID de VLAN pour le remote-analyzer VLAN :

    • Configurez l’interface sur le port réseau connecté au commutateur de destination pour le mode trunk et associez-la au remote-analyzer VLAN :

    • Configurez l’analyseur employee-monitor :

  2. Sur le commutateur de destination :

    • Configurez l’ID de VLAN pour le remote-analyzer VLAN :

    • Configurez l’interface sur le commutateur de destination pour le mode trunk et associez-la au remote-analyzer VLAN :

    • Configurez l’interface connectée au commutateur de destination pour le mode trunk :

    • Configurez l’analyseur employee-monitor :

Résultats

Vérifiez les résultats de la configuration sur le commutateur source :

Vérifiez les résultats de la configuration sur le commutateur de destination :

Mise en miroir du trafic des employés vers le Web pour une analyse à distance

Pour configurer la mise en miroir des ports pour l’analyse à distance du trafic des employés vers le Web, effectuez les tâches suivantes :

Procédure

Configuration rapide de l’interface de ligne de commande

Pour configurer rapidement la mise en miroir des ports afin de mettre en miroir le trafic des employés sur le Web externe, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur :

  • Copiez et collez les commandes suivantes dans la fenêtre du terminal du commutateur source :

  • Copiez et collez les commandes suivantes dans la fenêtre du terminal du commutateur de destination :

Procédure étape par étape

Pour configurer la mise en miroir de tout le trafic des deux ports connectés aux ordinateurs des employés vers le remote-analyzer VLAN pour une utilisation à partir d’une station de surveillance à distance :

  1. Sur le commutateur source :

    • Configurez l’instance de employee-web-monitor mise en miroir des ports :

    • Configurez l’ID de VLAN pour le remote-analyzer VLAN :

    • Configurez l’interface pour l’associer au remote-analyzer VLAN :

    • Configurez le filtre de pare-feu appelé watch-employee:

    • Appliquez le filtre de pare-feu aux interfaces des collaborateurs :

  2. Sur le commutateur de destination :

    • Configurez l’ID de VLAN pour le remote-analyzer VLAN :

    • Configurez l’interface sur le commutateur de destination pour le mode trunk et associez-la au remote-analyzer VLAN :

    • Configurez l’interface connectée au commutateur de destination pour le mode trunk :

    • Configurez l’analyseur employee-monitor :

Résultats

Vérifiez les résultats de la configuration sur le commutateur source :

Vérifiez les résultats de la configuration sur le commutateur de destination :

Vérification

Pour vérifier que la configuration fonctionne correctement, effectuez les opérations suivantes :

Vérification de la création correcte de l’analyseur

But

Vérifiez que l’analyseur nommé employee-monitor ou employee-web-monitor a été créé sur le commutateur avec les interfaces d’entrée et de sortie appropriées.

Action

Vous pouvez vérifier que l’analyseur est configuré comme prévu à l’aide de la show forwarding-options analyzer commande. Pour afficher les analyseurs précédemment créés et désactivés, rendez-vous sur l’interface J-Web.

Pour vérifier que l’analyseur est configuré comme prévu tout en surveillant tout le trafic des employés sur le commutateur source, exécutez la show analyzer commande sur le commutateur source. La sortie suivante s’affiche pour cet exemple de configuration :

Sens

Cette sortie montre que l’instance a un ratio de 1 (mise en miroir de chaque paquet, valeur par défaut), la taille maximale du paquet d’origine qui a été mis en miroir (0 indique le paquet entier), que l’état de la configuration est actif (ce qui indique l’état correct et que l’analyseur employee-monitor est programmé, et met en miroir le trafic entrant ge-0/0/0 et ge-0/0/1 et envoie le trafic mis en miroir au VLAN appelé remote-analyzer). Si l’état de l’interface de sortie est inactif ou si l’interface de sortie n’est pas configurée, la valeur de l’état sera inactive et l’analyseur ne sera pas programmé pour la mise en miroir.

Exemple : Configuration de la mise en miroir pour la surveillance à distance de l’utilisation des ressources des employés par le biais d’un commutateur de transit sur les commutateurs EX4300

REMARQUE :

Cet exemple utilise Junos OS pour les commutateurs EX Series avec prise en charge du style de configuration ELS (Enhanced L2 Software).

Les commutateurs EX4300 vous permettent de configurer la mise en miroir pour envoyer des copies de paquets vers une interface locale pour une surveillance locale ou vers un VLAN pour une surveillance à distance. Vous pouvez utiliser la mise en miroir pour copier ces paquets :

  • Paquets entrant ou sortant d’un port

  • Paquets entrant dans un VLAN sur les commutateurs EX4300

Vous pouvez analyser le trafic en miroir à l’aide d’une application d’analyse de protocole s’exécutant sur une station de surveillance à distance si vous envoyez du trafic en miroir à un VLAN d’analyse.

Cette rubrique comprend un exemple décrivant comment mettre en miroir le trafic entrant dans les ports du commutateur vers le remote-analyzer VLAN via un commutateur de transit, afin de pouvoir effectuer une analyse à partir d’une station de surveillance à distance.

bonnes pratiques :

Ne mettez en miroir que les paquets nécessaires pour réduire l’impact potentiel sur les performances. Nous vous recommandons de :

  • Désactivez vos sessions de mise en miroir configurées lorsque vous ne les utilisez pas.

  • Spécifiez des interfaces individuelles en tant qu’entrée pour les analyseurs plutôt que de spécifier toutes les interfaces en entrée.

  • Limitez la quantité de trafic en miroir à l’aide de filtres de pare-feu.

Cet exemple décrit comment configurer la mise en miroir à distance via un commutateur de transit :

Conditions préalables

Cet exemple utilise les composants matériels et logiciels suivants :

  • Un commutateur EX4300 connecté à un autre commutateur EX4300 via un troisième commutateur EX4300

  • Junos OS version 13.2X50-D10 ou ultérieure pour les commutateurs EX Series

Avant de configurer la mise en miroir à distance, assurez-vous que :

  • Vous comprenez les concepts de mise en miroir.

  • Les interfaces que l’analyseur utilisera comme interfaces d’entrée ont été configurées sur le commutateur.

Vue d’ensemble et topologie

Cet exemple décrit comment mettre en miroir le trafic entrant dans les ports du commutateur vers le remote-analyzer VLAN via un commutateur de transit afin de pouvoir effectuer une analyse à partir d’une station de surveillance à distance. L’exemple montre comment configurer un commutateur pour mettre en miroir tout le trafic des ordinateurs des employés vers un analyseur distant.

Dans cette configuration, une session d’analyse est requise sur le commutateur de destination pour mettre en miroir le trafic entrant du VLAN de l’analyseur vers l’interface de sortie à laquelle la station de surveillance à distance est connectée. Vous devez désactiver l’apprentissage MAC sur le commutateur de transit pour le VLAN afin que l’apprentissage MAC soit désactivé pour toutes les interfaces membres du VLAN sur le remote-analyzer commutateur de remote-analyzer transit.

Figure 7 affiche la topologie du réseau dans cet exemple.

Topologie

Figure 7 : Mise en miroir à distance via un réseau de commutateurs de transit – exemple de topologieMise en miroir à distance via un réseau de commutateurs de transit – exemple de topologie

Dans cet exemple :

  • L’interface ge-0/0/0 est une interface de couche 2 et l’interface ge-0/0/1 est une interface de couche 3 (les deux interfaces sur le commutateur source) qui servent de connexions pour les ordinateurs des employés.

  • L’interface ge-0/0/10 est une interface de couche 2 qui se connecte au commutateur de transit.

  • L’interface ge-0/0/11 est une interface de couche 2 sur le commutateur de transit.

  • L’interface ge-0/0/12 est une interface de couche 2 sur le commutateur de transit et se connecte au commutateur de destination.

  • L’interface ge-0/0/13 est une interface de couche 2 sur le commutateur de destination.

  • L’interface ge-0/0/14 est une interface de couche 2 sur le commutateur de destination et se connecte à la station de télésurveillance.

  • Le VLAN remote-analyzer est configuré sur tous les commutateurs de la topologie pour transporter le trafic en miroir.

Mise en miroir de l’ensemble du trafic des employés pour une analyse à distance via un commutateur de transport en commun

Pour configurer la mise en miroir de l’analyse du trafic à distance par le biais d’un commutateur de transit, effectuez les tâches suivantes pour l’ensemble du trafic entrant et sortant des employés :

Procédure

Configuration rapide de l’interface de ligne de commande

Pour configurer rapidement la mise en miroir pour l’analyse du trafic à distance via un commutateur de transit, pour le trafic entrant et sortant des employés, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur :

  • Copiez et collez les commandes suivantes dans la fenêtre du terminal du commutateur source (commutateur surveillé) :

  • Copiez et collez les commandes suivantes dans la fenêtre du commutateur de transit :

  • Copiez et collez les commandes suivantes dans la fenêtre du commutateur de destination :

Procédure étape par étape

Pour configurer la mise en miroir à distance via un commutateur de transit :

  1. Sur le commutateur source :

    • Configurez l’ID de VLAN pour le remote-analyzer VLAN :

    • Configurez les interfaces sur le port réseau connecté au commutateur de transit pour le mode trunk et associez-le au remote-analyzer VLAN :

    • Configurez l’analyseur employee-monitor :

  2. Sur l’aiguillage de transit :

    • Configurez l’ID de VLAN pour le remote-analyzer VLAN :

    • Configurez l’interface ge-0/0/11 pour le mode trunk, associez-la au remote-analyzer VLAN :

    • Configurez l’interface pour le mode trunk, associez-la au remote-analyzer VLAN et définissez l’interface ge-0/0/12 pour le trafic sortant uniquement :

    • Configurez l’option pour que le VLAN désactive l’apprentissage no-mac-learningremote-analyzer MAC sur toutes les interfaces membres du remote-analyzer VLAN :

  3. Sur le commutateur de destination :

    • Configurez l’ID de VLAN pour le remote-analyzer VLAN :

    • Configurez l’interface ge-0/0/13 pour le mode trunk, associez-la au remote-analyzer VLAN et définissez l’interface pour le trafic entrant uniquement :

    • Configurez l’interface connectée à la station de télésurveillance pour le mode trunk :

    • Configurez l’analyseur employee-monitor :

Résultats

Vérifiez les résultats de la configuration sur le commutateur source :

Vérifiez les résultats de la configuration sur le commutateur de transit :

Vérifiez les résultats de la configuration sur le commutateur de destination :

Vérification

Pour vérifier que la configuration fonctionne correctement, effectuez les opérations suivantes :

Vérification de la création correcte de l’analyseur

But

Vérifiez que l’analyseur nommé employee-monitor a été créé sur le commutateur avec les interfaces d’entrée et de sortie appropriées.

Action

Vous pouvez vérifier si l’analyseur est configuré comme prévu à l’aide de la show analyzer commande. Pour afficher les analyseurs précédemment créés et désactivés, rendez-vous sur l’interface J-Web.

Pour vérifier que l’analyseur est configuré comme prévu tout en surveillant tout le trafic des employés sur le commutateur source, exécutez la show analyzer commande sur le commutateur source. La sortie suivante s’affiche pour cet exemple de configuration :

Sens

Cette sortie montre que l’analyseur a un ratio de 1 (mise en miroir de chaque paquet, valeur par défaut), qu’il met en miroir le trafic entrant ge-0/0/0 et ge-0/0/1 et qu’il envoie le trafic mis en miroir à l’analyseur employee-monitorremote-analyzer.