Configuration de la mise en miroir de ports et des analyseurs
Comprendre les analyseurs de mise en miroir de ports
La mise en miroir des ports peut être utilisée pour l’analyse du trafic sur des routeurs et des commutateurs qui, contrairement aux hubs, ne diffusent pas de paquets sur chaque port de l’équipement de destination. La mise en miroir des ports envoie des copies de tous les paquets ou des paquets d’échantillons basés sur des stratégies à des analyseurs locaux ou distants, où vous pouvez surveiller et analyser les données.
Dans le contexte des analyseurs de mise en miroir de ports, nous utilisons le terme équipement de commutation. Le terme indique que l’équipement (y compris les routeurs) effectue une fonction de commutation.
Vous pouvez utiliser des analyseurs au niveau des paquets pour vous aider à :
Surveiller le trafic réseau
Appliquer les stratégies d’utilisation du réseau
Appliquer des stratégies de partage de fichiers
Identifier les causes des problèmes
Identifier les stations ou les applications ayant une utilisation importante ou anormale de la bande passante
Vous pouvez configurer la mise en miroir des ports pour mettre en miroir :
Paquets pontés (paquets de couche 2)
Paquets routés (paquets de couche 3)
Les paquets mis en miroir peuvent être copiés soit vers une interface locale pour la surveillance locale, soit vers un VLAN ou un domaine de pont pour la surveillance à distance.
Les paquets suivants peuvent être copiés :
Packets entering or exiting a port— Vous pouvez mettre en miroir les paquets entrants ou sortants des ports, dans n’importe quelle combinaison, pour un maximum de 256 ports. Par exemple, vous pouvez envoyer des copies des paquets entrant dans certains ports et des paquets sortant d’autres ports vers le même port d’analyse local ou VLAN d’analyseur.
Packets entering or exiting a VLAN or bridge domain— Vous pouvez mettre en miroir les paquets entrant ou sortant d’un VLAN ou d’un domaine de pont vers un port d’analyse local ou vers un VLAN ou un domaine de pont d’analyse. Vous pouvez configurer plusieurs VLAN (jusqu’à 256 VLAN) ou des domaines de pont comme entrées entrantes vers un analyseur, y compris une plage VLAN et des VLAN privés (PVLAN).
Policy-based sample packets: vous pouvez mettre en miroir un échantillon basé sur des stratégies de paquets qui pénètrent un port, un VLAN ou un domaine de pont. Vous configurez un filtre de pare-feu avec une stratégie pour sélectionner les paquets à mettre en miroir. Vous pouvez envoyer l’échantillon à une instance de mise en miroir de ports ou à un VLAN d’analyseur ou à un domaine de pont.
- Présentation de l’analyseur
- Présentation de l’analyseur statistique
- Présentation de l’analyseur par défaut
- Mise en miroir de ports dans un groupe de ports liés à plusieurs analyseurs statistiques
- Terminologie de l’analyseur de mise en miroir de ports
- Consignes de configuration pour les analyseurs de mise en miroir de ports
Présentation de l’analyseur
Vous pouvez configurer un analyseur pour définir à la fois le trafic d’entrée et le trafic de sortie dans la même configuration d’analyseur. Le trafic d’entrée à analyser peut être soit le trafic entrant, soit le trafic sortant d’une interface ou d’un VLAN. La configuration de l’analyseur vous permet d’envoyer ce trafic vers une interface de sortie, une instance, un groupe de sauts suivants, un VLAN ou un domaine de pont. Vous pouvez configurer un analyseur au niveau de la [edit forwarding-options analyzer] hiérarchie.
Présentation de l’analyseur statistique
Vous pouvez définir un ensemble de propriétés de mise en miroir, telles que la vitesse de mise en miroir et la longueur maximale des paquets pour le trafic, que vous pouvez lier explicitement aux ports physiques du routeur ou du commutateur. Cet ensemble de propriétés de mise en miroir constitue un analyseur statistique (également appelé analyseur non par défaut). À ce niveau, vous pouvez lier une instance nommée aux ports physiques associés à un FPC spécifique.
Présentation de l’analyseur par défaut
Vous pouvez configurer un analyseur sans configurer de propriétés de mise en miroir (telles que le débit de mise en miroir ou la longueur maximale des paquets). Par défaut, le taux de mise en miroir est défini sur 1 et la longueur maximale du paquet est définie sur la longueur complète du paquet. Ces propriétés sont appliquées au niveau global et n’ont pas besoin d’être liées à un FPC spécifique.
Mise en miroir de ports dans un groupe de ports liés à plusieurs analyseurs statistiques
Vous pouvez appliquer jusqu’à deux analyseurs statistiques aux mêmes groupes de ports sur l’équipement de commutation. En appliquant deux instances d’analyse statistique différentes au même FPC ou au même moteur de transfert de paquets, vous pouvez lier deux spécifications distinctes de mise en miroir de couche 2 à un seul groupe de ports. Les propriétés de mise en miroir liées à un FPC remplacent toutes les propriétés de l’analyseur (analyseur par défaut) liées au niveau global sur l’équipement de commutation. Les propriétés de l’analyseur par défaut sont remplacées par la liaison d’une deuxième instance d’analyseur sur le même groupe de ports.
Terminologie de l’analyseur de mise en miroir de ports
Tableau 1 répertorie certains termes de l’analyseur de mise en miroir de ports et leurs descriptions.
| Terme | Description |
|---|---|
Analyseur |
Dans une configuration de mise en miroir, l’analyseur comprend :
|
Interface de sortie de l’analyseur (Également connu sous le nom de port de surveillance) |
Interface où le trafic mis en miroir est envoyé et un analyseur de protocole est connecté. Les interfaces utilisées comme sortie vers un analyseur doivent être configurées au niveau hiérarchique Les interfaces de sortie des analyseurs présentent les limites suivantes :
|
VLAN d’analyse ou domaine de pont (Également connu sous le nom de VLAN de surveillance ou de domaine de pont) |
VLAN ou domaine de pont vers lequel le trafic mis en miroir est envoyé pour être utilisé par un analyseur de protocole. Les interfaces membres du VLAN ou du domaine de pont de surveillance sont réparties sur les équipements de commutation de votre réseau. |
Analyseur basé sur des domaines de pont |
Session d’analyse configurée pour utiliser des domaines de pont pour les entrées, les sorties ou les deux. |
Analyseur par défaut |
Un analyseur avec des paramètres de mise en miroir par défaut. Par défaut, le taux de mise en miroir est de 1 et la longueur maximale du paquet est la longueur du paquet complet. |
Interface d’entrée (Également appelé ports en miroir ou interfaces surveillées) |
Une interface sur l’équipement de commutation où le trafic entrant ou sortant de cette interface est mis en miroir. |
Analyseur basé sur LAG |
Un analyseur dont un groupe d’agrégation de liaisons (LAG) est spécifié comme interface d’entrée (entrée) dans la configuration de l’analyseur. |
Mise en miroir locale |
Configuration d’analyseur dans laquelle les paquets sont mis en miroir sur un port d’analyse local. |
Station de surveillance |
Un ordinateur exécutant un analyseur de protocoles. |
Analyseur basé sur le groupe de sauts suivants |
Configuration d’analyseur qui utilise le groupe de sauts suivants comme sortie d’un analyseur. |
Analyseur basé sur les ports |
Une configuration d’analyseur qui définit des interfaces d’entrée et de sortie. |
Application d’analyse de protocole |
Une application utilisée pour examiner les paquets transmis sur un segment de réseau. Aussi appelé analyseur réseau, renifleur de paquets ou sonde. |
Mise en miroir à distance |
Fonctionne de la même manière que la mise en miroir locale, sauf que le trafic mis en miroir n’est pas copié sur un port d’analyse local, mais est inondé vers un VLAN d’analyseur ou un domaine de pont que vous créez spécifiquement pour recevoir le trafic mis en miroir. Les paquets mis en miroir ont une balise externe supplémentaire du VLAN de l’analyseur ou du domaine de pont. |
Analyseur statistique (Également connu sous le nom d’analyseur non par défaut) |
Ensemble de propriétés de mise en miroir que vous pouvez lier explicitement aux ports physiques du commutateur. Cet ensemble de propriétés d’analyseur est connu sous le nom d’analyseur statistique. |
Analyseur basé sur VLAN |
Configuration d’analyseur qui utilise des VLAN pour fournir le trafic mis en miroir à l’analyseur. |
Consignes de configuration pour les analyseurs de mise en miroir de ports
Lorsque vous configurez des analyseurs de mise en miroir de ports. nous vous recommandons de suivre ces consignes pour garantir un bénéfice optimal. Nous vous recommandons de désactiver la mise en miroir lorsque vous ne l’utilisez pas, et de sélectionner des interfaces spécifiques comme entrée dans l’analyseur plutôt que d’utiliser l’option all de mot-clé, qui permet la mise en miroir sur toutes les interfaces. Mettre en miroir uniquement les paquets nécessaires réduit l’impact potentiel sur les performances.
Vous pouvez également limiter la quantité de trafic mis en miroir :
Utilisation de l’échantillonnage statistique
Utilisation d’un filtre de pare-feu
Définition d’un ratio pour sélectionner un échantillon statistique
Grâce à la mise en miroir locale, le trafic provenant de plusieurs ports est répliqué vers l’interface de sortie de l’analyseur. Si l’interface de sortie d’un analyseur atteint sa capacité, les paquets sont abandonnés. Vous devez déterminer si le trafic mis en miroir dépasse la capacité de l’interface de sortie de l’analyseur.
Tableau 2 résume les consignes de configuration supplémentaires pour les analyseurs.
Ligne directrice |
Valeur ou informations d’assistance |
Commentaire |
|---|---|---|
Nombre d’analyseurs que vous pouvez activer simultanément. |
64 analyseurs par défaut 2 par FPC – Analyseur statistique |
Les analyseurs statistiques doivent être reliés à un FPC pour mettre en miroir le trafic sur les ports appartenant à ce FPC. REMARQUE :
Les propriétés de l’analyseur par défaut sont implicitement liées à la dernière (ou l’avant-dernière) instance de tous les SPC du système. Par conséquent, lorsque vous liez explicitement un deuxième analyseur statistique sur le FPC, les propriétés de l’analyseur par défaut sont remplacées. |
Nombre d’interfaces, de VLAN ou de domaines de pont que vous pouvez utiliser comme entrée entrante vers un analyseur. |
256 |
– |
Types de ports sur lesquels vous ne pouvez pas mettre en miroir le trafic. |
|
|
Familles de protocoles que vous pouvez inclure dans un analyseur. |
Pointe: Consultez l’interface CLI sur votre plate-forme pour voir laquelle de ces familles est disponible. [voir aussi ma note quelques rangées plus bas.] |
Un analyseur ne met en miroir que le trafic ponté. Pour mettre en miroir le trafic routé, utilisez la configuration de mise en miroir de port avec |
Les paquets présentant des erreurs de couche physique ne sont pas envoyés à l’analyseur local ou distant. |
Applicable |
Les paquets présentant ces erreurs sont filtrés et ne sont donc pas envoyés à l’analyseur. |
L’analyseur ne prend pas en charge le trafic à débit de ligne. |
Applicable |
La mise en miroir du trafic à débit de ligne se fait dans le meilleur des efforts. |
Sortie de l’analyseur sur une interface LAG. |
Soutenu |
|
Mode interface de sortie de l’analyseur en mode trunk. |
Soutenu |
|
Mise en miroir sortante des paquets de contrôle générés par l’hôte. |
Non pris en charge |
|
Configuration des interfaces logiques de couche 3 dans la |
Non pris en charge |
|
Les strophes d’entrée et de sortie de l’analyseur contenant des membres du même VLAN ou du VLAN lui-même doivent être évitées. |
Applicable |
|
Prise en charge du VLAN et de ses interfaces membres dans différentes sessions d’analyse |
Non pris en charge |
Si la mise en miroir est configurée, l’un des analyseurs est actif. |
Mise en miroir sortante des interfaces Ethernet agrégées (ae) et de ses interfaces logiques enfant configurées pour différents analyseurs. |
Non pris en charge |
|
Configuration de la mise en miroir sur les commutateurs EX9200 pour analyser le trafic (procédure CLI)
Les commutateurs EX9200 vous permettent de configurer la mise en miroir pour envoyer des copies de paquets à une interface locale pour une surveillance locale ou à un VLAN pour la surveillance à distance. Vous pouvez utiliser la mise en miroir pour copier les paquets suivants :
Paquets entrants ou sortants d’un port
Paquets entrants ou sortants d’un VLAN
Mettre en miroir uniquement les paquets nécessaires pour réduire l’impact potentiel sur les performances. Nous vous recommandons de :
Désactivez les analyseurs que vous avez configurés lorsque vous ne les utilisez pas.
Spécifiez des interfaces individuelles en tant qu’entrée pour les analyseurs plutôt que de spécifier toutes les interfaces en tant qu’entrée.
Limitez la quantité de trafic mis en miroir par :
À l’aide d’un échantillonnage statistique.
Définir des ratios pour sélectionner des échantillons statistiques.
À l’aide de filtres de pare-feu.
Si vous souhaitez créer des analyseurs supplémentaires sans supprimer les analyseurs existants, désactivez-les à l’aide de l’instruction disable analyzer analyzer-name de l’interface de ligne de commande (CLI) ou de la page de configuration J-Web pour la mise en miroir.
Les interfaces utilisées comme sortie pour un analyseur doivent être configurées sous le ethernet-switching family, et doivent être associées à un VLAN.
- Configuration d’un analyseur pour l’analyse du trafic local
- Configuration d’un analyseur pour l’analyse du trafic distant
- Configuration d’un analyseur statistique pour l’analyse du trafic local
- Configuration d’un analyseur statistique pour l’analyse du trafic distant
- Liaison des analyseurs statistiques aux ports regroupés au niveau FPC
- Configuration d’un analyseur avec plusieurs destinations à l’aide de groupes de sauts suivants
- Définition d’un groupe de sauts suivants pour la mise en miroir de couche 2
Configuration d’un analyseur pour l’analyse du trafic local
Pour mettre en miroir le trafic réseau ou VLAN sur le commutateur vers une interface du commutateur à l’aide d’analyseurs :
Configuration d’un analyseur pour l’analyse du trafic distant
Pour mettre en miroir le trafic qui traverse des interfaces ou un VLAN sur le commutateur vers un VLAN utilisé pour l’analyse à partir d’un emplacement distant :
Configuration d’un analyseur statistique pour l’analyse du trafic local
Pour mettre en miroir le trafic d’interface ou le trafic VLAN sur le commutateur à une interface sur le commutateur à l’aide d’un analyseur statistique :
Configuration d’un analyseur statistique pour l’analyse du trafic distant
Pour mettre en miroir le trafic qui traverse des interfaces ou un VLAN sur le commutateur vers un VLAN pour l’analyse à partir d’un emplacement distant à l’aide d’un analyseur statistique :
Liaison des analyseurs statistiques aux ports regroupés au niveau FPC
Vous pouvez lier un analyseur statistique à un FPC spécifique dans le commutateur, c’est-à-dire que vous pouvez lier l’instance d’analyseur statistique au niveau FPC du commutateur. Les propriétés de mise en miroir spécifiées dans l’analyseur statistique sont appliquées à tous les ports physiques associés à tous les moteurs de transfert de paquets sur le FPC spécifié.
Pour lier une instance nommée de l’analyseur de couche 2 à un FPC :
Activer la configuration des propriétés du châssis de commutateur :
[edit] user@switch# edit chassis
Activer la configuration d’un FPC (et de ses PIC installés) :
[edit chassis] user@switch# edit fpc slot-number
Lier une instance d’analyseur statistique au FPC :
[edit chassis fpc slot-number] user@switch# set port-mirror-instance stats_analyzer-1
(Facultatif) Pour lier une deuxième instance d’analyseur statistique de couche 2 en miroir au même FPC, répétez l’étape 3 et spécifiez un autre nom :
[edit chassis fpc slot-number] user@switch# set port-mirror-instance stats_analyzer-2
Vérifiez la configuration minimale de la liaison :
[edit chassis fpc slot-number port-mirror-instance analyzer_name] user@switch# top [edit] user@switch# show chassis chassis { fpc slot-number { # Bind two statistical analyzers or port mirroring named instances at the FPC level. port-mirror-instance stats_analyzer-1; port-mirror-instance stats_analyzer-2; } }
Lors de la liaison d’une deuxième instance (stats_analyzer-2 dans cet exemple), les propriétés de mise en miroir de cette session, si configurées, remplacent tout analyseur par défaut.
Configuration d’un analyseur avec plusieurs destinations à l’aide de groupes de sauts suivants
Vous pouvez mettre en miroir le trafic vers plusieurs destinations en configurant des groupes de sauts suivants en tant que sortie d’analyseur. La mise en miroir de paquets vers plusieurs destinations est également connue sous le nom de mise en miroir de ports multipacket.
Pour mettre en miroir le trafic d’interface ou le trafic VLAN sur le commutateur vers une interface sur le commutateur (à l’aide d’analyseurs) :
Définition d’un groupe de sauts suivants pour la mise en miroir de couche 2
La configuration du groupe du saut suivant au niveau de la [edit forwarding-options] configuration vous permet de définir le nom d’un groupe de sauts suivant, le type d’adresses à utiliser dans le groupe de sauts suivants et les interfaces logiques qui forment les multiples destinations vers lesquelles le trafic peut être mis en miroir. Par défaut, le groupe de sauts suivants est spécifié à l’aide d’adresses de couche 3 à l’aide de l’instruction [edit forwarding-options next-hop-group next-hop-group-name group-type inet] . Pour spécifier un groupe de sauts suivants à l’aide d’adresses de couche 2 à la place, incluez l’instruction [edit forwarding-options next-hop-group next-hop-group-name group-type layer-2] .
Pour définir un groupe de sauts suivants pour la mise en miroir de couche 2 :
Configuration de la mise en miroir sur les commutateurs EX4300 pour analyser le trafic (procédure CLI)
Cette tâche utilise Junos OS pour les commutateurs EX Series avec la prise en charge du style de configuration ELS (Enhanced Layer 2 Software).
Les commutateurs EX4300 vous permettent de configurer la mise en miroir pour envoyer des copies de paquets à une interface locale pour une surveillance locale ou à un VLAN pour la surveillance à distance. Vous pouvez utiliser la mise en miroir pour copier ces paquets :
Paquets entrants ou sortants d’un port
Paquets entrant dans un VLAN
Mettre en miroir uniquement les paquets nécessaires pour réduire l’impact potentiel sur les performances. Nous vous recommandons de :
Désactivez vos configurations de mise en miroir configurées lorsque vous ne les utilisez pas.
Spécifiez des interfaces individuelles en tant qu’entrée pour les analyseurs plutôt que de spécifier toutes les interfaces en tant qu’entrée.
Limitez la quantité de trafic mis en miroir à l’aide de filtres de pare-feu.
Si vous souhaitez créer des analyseurs supplémentaires sans supprimer les analyseurs existants, désactivez-les à l’aide de l’instruction disable analyzer analyzer-name de l’interface de ligne de commande ou de la page de configuration J-Web pour la mise en miroir.
Les interfaces utilisées comme sortie pour un analyseur doivent être configurées dans la ethernet-switching famille.
- Configuration d’un analyseur pour l’analyse du trafic local
- Configuration d’un analyseur pour l’analyse du trafic distant
- Configuration de la mise en miroir de ports
Configuration d’un analyseur pour l’analyse du trafic local
Pour mettre en miroir le trafic d’interface ou le trafic VLAN sur le commutateur vers une interface sur le commutateur (à l’aide d’analyseurs) :
Configuration d’un analyseur pour l’analyse du trafic distant
Pour mettre en miroir le trafic qui traverse des interfaces ou un VLAN sur le commutateur vers un VLAN pour l’analyse à partir d’un emplacement distant (à l’aide d’analyseurs) :
Configuration de la mise en miroir de ports
Pour filtrer les paquets à mettre en miroir sur une instance de mise en miroir de ports, créez l’instance, puis utilisez-la comme action dans le filtre de pare-feu. Vous pouvez utiliser des filtres de pare-feu dans des configurations de mise en miroir locales et distantes.
Si la même instance de mise en miroir de ports est utilisée dans plusieurs filtres ou termes, les paquets ne sont copiés qu’une seule fois dans le port de sortie de l’analyseur ou le VLAN de l’analyseur.
Pour filtrer le trafic mis en miroir, créez une instance de mise en miroir de port au niveau hiérarchique [edit forwarding-options] , puis créez un filtre de pare-feu. Le filtre peut utiliser n’importe quelle condition de correspondance disponible et doit avoir port-mirror-instance instance-name comme action. Cette action dans la configuration du filtre de pare-feu fournit l’entrée à l’instance de mise en miroir de port.
Pour configurer une instance de mise en miroir de ports avec des filtres de pare-feu :
Configuration de la mise en miroir des ports pour analyser le trafic (procédure CLI)
Cette tâche de configuration utilise Junos OS pour les commutateurs EX Series qui ne prennent pas en charge le style de configuration ELS (Enhanced Layer 2 Software).
Les commutateurs EX Series vous permettent de configurer la mise en miroir des ports pour envoyer des copies de paquets à une interface locale pour une surveillance locale ou à un VLAN pour la surveillance à distance. Vous pouvez utiliser la mise en miroir de ports pour copier ces paquets :
Paquets entrants ou sortants d’un port
Paquets entrant un VLAN sur les commutateurs EX2200, EX3200, EX3300, EX4200, EX4500 ou EX6200
Paquets sortant d’un VLAN sur les commutateurs EX8200
Mettre en miroir uniquement les paquets nécessaires pour réduire l’impact potentiel sur les performances. Nous vous recommandons de :
Désactivez vos analyseurs de mise en miroir de ports configurés lorsque vous ne les utilisez pas.
Spécifiez des interfaces individuelles en tant qu’entrée pour les analyseurs plutôt que de spécifier toutes les interfaces en tant qu’entrée.
Limitez la quantité de trafic mis en miroir par :
À l’aide d’un échantillonnage statistique.
Définir des ratios pour sélectionner des échantillons statistiques.
À l’aide de filtres de pare-feu.
Avant de commencer à configurer la mise en miroir des ports, notez les limitations suivantes pour les interfaces de sortie de l’analyseur :
Ne peut pas non plus être un port source.
Ne peut pas être utilisée pour la commutation.
Ne participez pas aux protocoles de couche 2 (tels que RSTP) lorsque vous faites partie d’une configuration de mise en miroir de ports.
Ne conservez aucune association VLAN qu’ils détenaient avant d’être configurées en tant qu’interfaces de sortie d’analyseur.
Si vous souhaitez créer des analyseurs supplémentaires sans supprimer l’analyseur existant, commencez par désactiver l’analyseur existant à l’aide de la disable analyzer analyzer-name commande ou de la page de configuration J-Web pour la mise en miroir des ports.
Les interfaces utilisées comme sortie pour un analyseur doivent être configurées en tant que famille ethernet-switching.
- Configuration de la mise en miroir des ports pour l’analyse du trafic local
- Configuration de la mise en miroir de ports pour l’analyse du trafic distant
- Filtrage du trafic entrant dans un analyseur
Configuration de la mise en miroir des ports pour l’analyse du trafic local
Pour mettre en miroir le trafic d’interface ou le trafic VLAN sur le commutateur vers une autre interface du commutateur :
Configuration de la mise en miroir de ports pour l’analyse du trafic distant
Pour mettre en miroir le trafic qui traverse des interfaces ou un VLAN sur le commutateur vers un VLAN à des fins d’analyse à partir d’un emplacement distant :
Filtrage du trafic entrant dans un analyseur
Pour filtrer les paquets mis en miroir sur un analyseur, créez l’analyseur, puis utilisez-le comme action dans le filtre de pare-feu. Vous pouvez utiliser des filtres de pare-feu dans des configurations de mise en miroir de ports locaux et distants.
Si le même analyseur est utilisé dans plusieurs filtres ou termes, les paquets ne sont copiés qu’une seule fois vers le port de sortie de l’analyseur ou le VLAN de l’analyseur.
Pour filtrer le trafic mis en miroir, créez un analyseur, puis un filtre de pare-feu. Le filtre peut utiliser n’importe quelle des conditions de correspondance disponibles et doit avoir une action de analyzer. L’action du filtre de pare-feu fournit l’entrée à l’analyseur.
Pour configurer la mise en miroir des ports avec des filtres :
Vérification des entrées et sorties pour les analyseurs de mise en miroir de ports sur les commutateurs EX Series
But
Cette tâche de vérification utilise Junos OS pour les commutateurs EX Series qui ne prennent pas en charge le style de configuration ELS (Enhanced Layer 2 Software).
Vérifiez qu’un analyseur a été créé sur le commutateur et dispose des interfaces d’entrée miroir appropriées et de l’interface de sortie de l’analyseur appropriée.
Action
Vous pouvez vérifier que l’analyseur de miroir de port est configuré comme prévu à l’aide de la show analyzer commande.
[edit] user@switch> show analyzer Analyzer name : employee-monitor Output VLAN : remote-analyzer Mirror ratio : 1 Loss priority : High Ingress monitored interfaces : ge-0/0/0.0 Ingress monitored interfaces : ge-0/0/1.0
Vous pouvez afficher tous les analyseurs de miroir de ports configurés sur le commutateur, y compris ceux qui sont désactivés, à l’aide de la show ethernet-switching-options commande en mode de configuration.
user@switch# show ethernet-switching-options
inactive: analyzer employee-web-monitor {
loss-priority high;
output {
analyzer employee-monitor {
loss-priority high;
input {
ingress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
}
output {
vlan {
remote-analyzer;
}
}
}
Sens
Cette sortie montre que l’analyseur employé-moniteur a un ratio de 1 (mettant en miroir chaque paquet, par défaut), une priorité de perte de high (définissez cette option à high chaque sortie de l’analyseur est vers un VLAN), reflète le trafic entrant dans ge-0/0/0 et ge-0/0/1, et envoie le trafic mis en miroir à l’analyseur appelé analyseur à distance.
Exemple : Configuration des analyseurs de mise en miroir de ports pour une surveillance locale de l’utilisation des ressources des employés
Les équipements Juniper Networks vous permettent de configurer la mise en miroir des ports pour envoyer des copies de paquets à une interface locale pour une surveillance locale, à un VLAN ou à un domaine de pont pour la surveillance à distance. Vous pouvez utiliser la mise en miroir pour copier ces paquets :
Paquets entrants ou sortants d’un port
Paquets entrants ou sortants d’un VLAN ou d’un domaine de pont
Vous pouvez ensuite analyser le trafic mis en miroir en local ou à distance à l’aide d’un analyseur de protocole. Vous pouvez installer un analyseur sur une interface de destination locale. Si vous envoyez un trafic en miroir à un VLAN d’analyse ou à un domaine de pont, vous pouvez l’utiliser sur une station de surveillance distante.
Cette rubrique explique comment configurer la mise en miroir locale sur un équipement de commutation. Les exemples de cette rubrique décrivent comment configurer un équipement de commutation pour mettre en miroir le trafic entrant dans les interfaces connectées aux ordinateurs des employés vers une interface de sortie d’analyseur sur ce même équipement.
- Conditions préalables
- Présentation et topologie
- Mise en miroir de tout le trafic des employés pour une analyse locale
- Vérification
Conditions préalables
Utilisez l’un des composants matériels et logiciels suivants :
Un commutateur EX9200 avec Junos OS version 13.2 ou ultérieure
Un routeur MX Series avec Junos OS version 14.1 ou ultérieure
Avant de configurer la mise en miroir des ports, assurez-vous de bien comprendre les concepts de mise en miroir. Pour plus d’informations sur les analyseurs, voir Comprendre les analyseurs de mise en miroir de ports. Pour plus d’informations sur la mise en miroir des ports, voir Présentation de la mise en miroir des ports de couche 2.
Présentation et topologie
Cette rubrique décrit comment mettre en miroir tout le trafic entrant dans les ports de l’équipement de commutation vers une interface de destination sur le même équipement (mise en miroir locale). Dans ce cas, le trafic pénètre dans des ports connectés aux ordinateurs des employés.
La mise en miroir de tout le trafic nécessite une bande passante importante et ne doit être effectuée que lors d’une investigation active.
Les interfaces ge-0/0/0 et ge-0/0/1 servent de connexions aux ordinateurs des employés.
L’interface ge-0/0/10 est réservée à l’analyse du trafic mis en miroir.
Connectez un PC exécutant un analyseur de protocole à l’interface de sortie de l’analyseur.
Plusieurs ports mis en miroir sur une interface peuvent entraîner un dépassement de tampon, entraînant la perte de paquets en miroir au niveau de l’interface de sortie.
Figure 1 affiche la topologie du réseau pour cet exemple.
Mise en miroir de tout le trafic des employés pour une analyse locale
Procédure
Configuration rapide cli
Pour configurer rapidement la mise en miroir locale pour le trafic entrant envoyé sur deux ports connectés aux ordinateurs des employés, copiez l’une des commandes suivantes pour les commutateurs EX Series ou les routeurs MX Series et collez-les dans la fenêtre du terminal de commutation :
EX Series
[edit] set interfaces ge-0/0/0 unit 0 family ethernet-switching set interfaces ge-0/0/1 unit 0 family ethernet-switching set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor output interface ge-0/0/10.0
MX Series
[edit] set interfaces ge-0/0/0 unit 0 family bridge interface-mode access vlan-id 99 set interfaces ge-0/0/1 unit 0 family bridge interface-mode access vlan-id 98 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor output interface ge-0/0/10.0
Procédure étape par étape
Pour configurer un analyseur appelé employee-monitor et spécifier à la fois les interfaces d’entrée (source) et l’interface de sortie de l’analyseur :
Configurez chaque interface à utiliser dans la configuration de l’analyseur. Utilisez le protocole de famille qui convient à votre plate-forme.
EX Series [edit] set interfaces ge-0/0/0 unit 0 family ethernet-switching set interfaces ge-0/0/1 unit 0 family ethernet-switching
Pour configurer
family bridgesur une interface, vous devez configurerinterface-mode accessouinterface-mode trunkaussi. Vous devez également configurervlan-id.MX Series [edit] set interfaces ge-0/0/0 unit 0 family bridge interface-mode access vlan-id 99 set interfaces ge-0/0/1 unit 0 family bridge interface-mode access vlan-id 98
Configurez chaque interface connectée aux ordinateurs des employés en tant qu’interface
employee-monitord’analyse de sortie .[edit forwarding-options] set analyzer employee-monitor input ingress interface ge-0/0/0.0 set analyzer employee-monitor input ingress interface ge-0/0/1.0
Configurez l’interface d’analyse de sortie pour l’analyseur
employee-monitor.Il s’agit de l’interface de destination des paquets mis en miroir.
[edit forwarding-options] set analyzer employee-monitor output interface ge-0/0/10.0
Résultats
Vérifiez les résultats de la configuration.
[edit]
user@device# show forwarding-options
analyzer {
employee-monitor {
input {
ingress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
}
output {
interface ge-0/0/10.0;
}
}
}
Vérification
Vérifier que l’analyseur a été correctement créé
But
Vérifiez que l’analyseur employee-monitor a été créé sur l’équipement de commutation avec les interfaces d’entrée et l’interface de sortie appropriées.
Action
Utilisez la show forwarding-options analyzer commande opérationnelle pour vérifier qu’un analyseur est configuré comme prévu.
user@device> show forwarding-options analyzer Analyzer name : employee-monitor Mirror rate : 1 Maximum packet length : 0 State : up Ingress monitored interfaces : ge-0/0/0.0 Output interface : ge-0/0/10.0
Sens
La sortie montre que l’analyseur employee-monitor a un ratio de 1 (c’est-à-dire, mettant en miroir chaque paquet, le paramètre par défaut), la taille maximale du paquet d’origine mis en miroir est 0 (indiquant que l’ensemble du paquet est mis en miroir), l’état de la configuration est up, et l’analyseur met en miroir le trafic entrant dans l’interface ge-0/0/0, et envoie le trafic mis en miroir à l’interface ge-0/0/10.
Si l’état de l’interface de sortie est ou si l’interface de sortie n’est down pas configurée, la valeur de State indique down que l’analyseur ne recevra pas de trafic en miroir.
Exemple : Configuration de la mise en miroir des ports pour une surveillance à distance de l’utilisation des ressources des employés
Les équipements Juniper Networks vous permettent de configurer la mise en miroir des ports pour envoyer des copies de paquets à une interface locale pour une surveillance locale ou à un VLAN ou un domaine de pont pour la surveillance à distance. Vous pouvez utiliser la mise en miroir pour copier ces paquets :
Paquets entrants ou sortants d’un port
Paquets entrants ou sortants d’un VLAN
Paquets entrants ou sortants d’un domaine de pont
Si vous envoyez du trafic en miroir à un VLAN d’analyseur ou à un domaine de pont, vous pouvez analyser le trafic mis en miroir à l’aide d’un analyseur de protocole s’exécutant sur une station de surveillance à distance.
Mettre en miroir uniquement les paquets nécessaires pour réduire l’impact potentiel sur les performances. Nous vous recommandons d’effectuer les opérations suivantes :
Désactivez vos sessions de mise en miroir configurées lorsque vous ne les utilisez pas.
Spécifiez des interfaces individuelles en tant qu’entrée pour les analyseurs plutôt que de spécifier toutes les interfaces en tant qu’entrée.
Limitez la quantité de trafic mis en miroir par :
À l’aide d’un échantillonnage statistique.
Définir des ratios pour sélectionner des échantillons statistiques.
À l’aide de filtres de pare-feu.
Les exemples de cette rubrique décrivent comment configurer la mise en miroir des ports distants pour analyser l’utilisation des ressources des employés.
- Conditions préalables
- Présentation et topologie
- Mise en miroir du trafic des employés pour l’analyse à distance à l’aide d’un analyseur statistique
- Vérification
Conditions préalables
Cet exemple utilise l’une des paires de composants matériels et logiciels suivants :
Un commutateur EX9200 connecté à un autre commutateur EX9200 exécutant Junos OS version 13.2 ou ultérieure
Un routeur MX Series connecté à un autre routeur MX Series, tous deux exécutant Junos OS version 14.1 ou ultérieure
Avant de configurer la mise en miroir à distance, assurez-vous que :
Vous comprenez les concepts de mise en miroir. Pour plus d’informations sur les analyseurs, voir Comprendre les analyseurs de mise en miroir de ports. Pour plus d’informations sur la mise en miroir des ports, voir Présentation de la mise en miroir des ports de couche 2.
Les interfaces que l’analyseur utilisera en tant qu’interfaces d’entrée ont déjà été configurées sur l’équipement de commutation.
Présentation et topologie
Cette rubrique explique comment configurer la mise en miroir des ports vers un VLAN d’analyse distant ou un domaine de pont afin que l’analyse puisse être effectuée à partir d’une station de surveillance à distance.
Figure 2 affiche la topologie du réseau pour les scénarios EX Series et MX Series.
topologie
Dans cet exemple :
L’interface ge-0/0/0 est une interface de couche 2, et l’interface ge-0/0/1 est une interface de couche 3 (les deux sont des interfaces sur l’équipement source) qui servent de connexions aux ordinateurs des employés.
L’interface ge-0/0/10 est une interface de couche 2 qui connecte l’équipement de commutation source à l’équipement de commutation de destination.
L’interface ge-0/0/5 est une interface de couche 2 qui connecte l’équipement de commutation de destination à la station de surveillance à distance.
L’analyseur
remote-analyzerest configuré sur tous les équipements de commutation de la topologie pour transporter le trafic mis en miroir. Cette topologie peut utiliser un VLAN ou un domaine de pont.
Mise en miroir du trafic des employés pour l’analyse à distance à l’aide d’un analyseur statistique
Pour configurer un analyseur statistique pour l’analyse du trafic à distance pour tout le trafic entrant et sortant des employés, sélectionnez l’un des exemples suivants :
- Mise en miroir du trafic des employés pour l’analyse à distance pour les commutateurs EX Series
- Mise en miroir du trafic des employés pour l’analyse à distance pour les routeurs MX Series
Mise en miroir du trafic des employés pour l’analyse à distance pour les commutateurs EX Series
Configuration rapide cli
Pour configurer rapidement un analyseur statistique pour l’analyse à distance du trafic des employés entrants et sortants, copiez les commandes suivantes pour les commutateurs EX Series et collez-les dans la fenêtre de terminal de l’équipement de commutation appropriée.
Copiez et collez les commandes suivantes dans la fenêtre de terminal de commutation source :
EX Series
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor output vlan remote-analyzer set forwarding-options analyzer employee-monitor input rate 2 set forwarding-options analyzer employee-monitor input maximum-packet-length 128 set chassis fpc 0 port-mirror-instance employee-monitor
Copiez et collez les commandes suivantes dans la fenêtre de terminal de commutation de destination :
EX Series
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 set interfaces ge-0/0/5 unit 0 family ethernet-switching interface-mode access set forwarding-options analyzer employee-monitor input ingress vlan remote-analyzer set forwarding-options analyzer employee-monitor output interface ge-0/0/5.0
Procédure étape par étape
Pour configurer la mise en miroir à distance de base :
Sur l’équipement de commutation source, effectuez les opérations suivantes :
Configurez l’ID VLAN pour le
remote-analyzerVLAN.[edit] user@device# set vlans remote-analyzer vlan-id 999
Configurez l’interface sur le port réseau connecté à l’équipement de commutation de destination pour le mode d’accès et associez-la au
remote-analyzerVLAN.[edit] user@device# set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode access user@device# set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999
Configurez l’analyseur
employee-monitorstatistique .[edit forwarding-options] user@device# set analyzer employee-monitor input ingress interface ge-0/0/0.0 user@device# set analyzer employee-monitor input ingress interface ge-0/0/1.0 user@device# set analyzer employee-monitor input egress interface ge-0/0/0.0 user@device# set analyzer employee-monitor input egress interface ge-0/0/1.0 user@device# set analyzer employee-monitor output vlan remote-analyzer user@device# set analyzer employee-monitor input rate 2 user@device# set analyzer employee-monitor input maximum-packet-length 128
Reliez l’analyseur statistique au FPC qui contient l’interface d’entrée.
[edit] user@device# set chassis fpc 0 port-mirror-instance employee-monitor
Sur l’équipement réseau de destination, effectuez les opérations suivantes :
Configurez l’ID VLAN pour le
remote-analyzerVLAN.[edit] user@device# set vlans remote-analyzer vlan-id 999
Configurez l’interface de l’équipement de commutation de destination pour le mode d’accès et associez-la au
remote-analyzerVLAN.[edit interfaces] user@device# set ge-0/0/10 unit 0 family ethernet-switching interface-mode access user@device# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999
Configurez l’interface connectée à l’équipement de commutation de destination pour le mode d’accès.
[edit interfaces] user@device# set ge-0/0/5 unit 0 family ethernet-switching interface-mode access
Configurez l’analyseur
employee-monitor.[edit forwarding-options] user@device# set analyzer employee-monitor input ingress vlan remote-analyzer user@device# set analyzer employee-monitor output interface ge-0/0/5.0
Spécifiez les paramètres de mise en miroir tels que le débit et la longueur maximale des paquets pour l’analyseur
employee-monitor.[edit] user@device# set forwarding-options analyzer employee-monitor input rate 2 user@device# set forwarding-options analyzer employee-monitor input maximum-packet-length 128
Reliez l’analyseur
employee-monitorau FPC contenant les ports d’entrée.[edit] user@device# set chassis fpc 0 port-mirror-instance employee-monitor
Résultats
Vérifiez les résultats de la configuration sur l’équipement de commutation source :
[edit]
user@device# show
forwarding-options {
analyzer employee-monitor {
input {
ingress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
egress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
maximum-packet-length 128;
rate 2;
}
output {
vlan {
remote-analyzer;
}
}
}
}
interfaces {
ge-0/0/10 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members 999;
}
}
}
}
}
vlans {
remote-analyzer {
vlan-id 999;
}
}
Vérifiez les résultats de la configuration sur l’équipement de commutation de destination.
[edit]
user@device# show
interfaces {
ge0/0/5 {
unit 0 {
family ethernet-switching {
interface-mode access;
}
}
}
ge-0/0/10 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members 999;
}
}
}
}
}
vlans {
remote-analyzer {
vlan-id 999;
interface {
ge-0/0/10.0;
}
}
}
forwarding-options {
analyzer employee-monitor {
input {
ingress {
vlan remote-analyzer;
}
}
output {
interface {
ge-0/0/5.0;
}
}
}
}
Mise en miroir du trafic des employés pour l’analyse à distance pour les routeurs MX Series
Configuration rapide cli
Pour configurer rapidement un analyseur statistique pour l’analyse à distance du trafic des employés entrants et sortants, copiez les commandes suivantes pour les routeurs MX Series et collez-les dans la fenêtre de terminal de l’équipement de commutation appropriée.
Copiez et collez les commandes suivantes dans la fenêtre de terminal de commutation source :
MX Series
[edit] set bridge-domains remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family bridge interface-mode access set interfaces ge-0/0/10 unit 0 family bridge vlan-id 999 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor output bridge-domain remote-analyzer set forwarding-options analyzer employee-monitor input rate 2 set forwarding-options analyzer employee-monitor input maximum-packet-length 128 set chassis fpc 0 port-mirror-instance employee-monitor
Copiez et collez les commandes suivantes dans la fenêtre de terminal de commutation de destination :
MX Series
[edit] set bridge-domains remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family bridge interface-mode access set interfaces ge-0/0/10 unit 0 family bridge vlan-id 999 set interfaces ge-0/0/5 unit 0 family bridge interface-mode access set forwarding-options analyzer employee-monitor input ingress bridge-domain remote-analyzer set forwarding-options analyzer employee-monitor output interface ge-0/0/5.0
Procédure étape par étape
Pour configurer la mise en miroir à distance de base à l’aide de routeurs MX Series :
Sur l’équipement de commutation source, effectuez les opérations suivantes :
Configurez l’ID VLAN pour le domaine de
remote-analyzerpont.[edit] user@device# set bridge-domains remote-analyzer vlan-id 999
Configurez l’interface sur le port réseau connecté à l’équipement de commutation de destination pour le mode d’accès et associez-la au domaine de
remote-analyzerpont.[edit] user@device# set interfaces ge-0/0/10 unit 0 family bridge interface-mode access user@device# set interfaces ge-0/0/10 unit 0 family bridge vlan members 999
Configurez l’analyseur
employee-monitorstatistique .[edit forwarding-options] user@device# set analyzer employee-monitor input ingress interface ge-0/0/0.0 user@device# set analyzer employee-monitor input ingress interface ge-0/0/1.0 user@device# set analyzer employee-monitor input egress interface ge-0/0/0.0 user@device# set analyzer employee-monitor input egress interface ge-0/0/1.0 user@device# set analyzer employee-monitor output bridge-domain remote-analyzer user@device# set analyzer employee-monitor input rate 2 user@device# set analyzer employee-monitor input maximum-packet-length 128
Reliez l’analyseur statistique au FPC qui contient l’interface d’entrée.
[edit] user@device# set chassis fpc 0 port-mirror-instance employee-monitor
Sur l’équipement de commutation de destination, effectuez les opérations suivantes :
Configurez l’ID VLAN pour le domaine de
remote-analyzerpont.[edit bridge-domains] user@device# set remote-analyzer vlan-id 999
Configurez l’interface de l’équipement de commutation de destination pour le mode d’accès et associez-la au domaine de
remote-analyzerpont.[edit interfaces] user@device# set ge-0/0/10 unit 0 family bridge interface-mode access user@device# set ge-0/0/10 unit 0 family bridge vlan members 999
Configurez l’interface connectée à l’équipement de commutation de destination pour le mode d’accès.
[edit interfaces] user@device# set ge-0/0/5 unit 0 family bridge interface-mode access
Configurez l’analyseur
employee-monitor.[edit forwarding-options] user@device# set analyzer employee-monitor input ingress bridge-domain remote-analyzer user@device# set analyzer employee-monitor output interface ge-0/0/5.0
Spécifiez les paramètres de mise en miroir tels que le débit et la longueur maximale des paquets pour l’analyseur
employee-monitor.[edit] user@device# set forwarding-options analyzer employee-monitor input rate 2 user@device# set forwarding-options analyzer employee-monitor input maximum-packet-length 128
Reliez l’analyseur
employee-monitorau FPC contenant les ports d’entrée.[edit] user@device# set chassis fpc 0 port-mirror-instance employee-monitor
Résultats
Vérifiez les résultats de la configuration sur l’équipement de commutation source :
[edit]
user@device# show
bridge-domains {
remote-analyzer {
vlan-id 999;
}
}
forwarding-options {
analyzer {
employee-monitor {
input {
ingress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
egress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
maximum-packet-length 128;
rate 2;
}
output {
bridge-domain {
remote-analyzer;
}
}
}
}
}
interfaces {
ge-0/0/0 {
unit 0 {
family bridge {
interface-mode access;
vlan-id 99;
}
}
}
ge-0/0/1 {
unit 0 {
family bridge {
interface-mode access;
vlan-id 98;
}
}
}
ge-0/0/10 {
unit 0 {
family bridge {
interface-mode access;
vlan-id 999;
}
}
}
}
Vérifiez les résultats de la configuration sur l’équipement de commutation de destination.
[edit]
user@device# show
bridge-domains {
remote-analyzer {
vlan-id 999;
}
}
forwarding-options {
analyzer {
employee-monitor {
input {
ingress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
bridge-domain remote-analyzer;
}
}
output {
interface ge-0/0/5.0;
}
}
}
}
interfaces {
ge-0/0/5 {
unit 0 {
family bridge {
interface-mode access;
}
}
}
}
Vérification
Vérifier que l’analyseur a été correctement créé
But
Vérifiez que l’analyseur nommé employee-monitor a été créé sur l’équipement avec les interfaces d’entrée et l’interface de sortie appropriées.
Action
Pour vérifier que l’analyseur est configuré comme prévu tout en surveillant tout le trafic des employés sur l’équipement de commutation source, exécutez la show forwarding-options analyzer commande sur l’équipement de commutation source. La sortie suivante est affichée pour cet exemple de configuration.
user@device> show forwarding-options analyzer Analyzer name : employee-monitor Mirror rate : 2 Maximum packet length : 128 State : up Ingress monitored interfaces : ge-0/0/0.0 Ingress monitored interfaces : ge-0/0/1.0 Egress monitored interfaces : ge-0/0/0.0 Egress monitored interfaces : ge-0/0/1.0 Output VLAN : default-switch/remote-analyzer
Sens
Cette sortie montre que l’instance employee-monitor a un rapport de 2, la taille maximale du paquet d’origine qui a été mis en miroir est 128, l’état de la configuration est up, ce qui indique l’état correct et que l’analyseur est programmé, et l’analyseur met en miroir le trafic entrant dans ge-0/0/0.0 et ge-0/0/1.0, et envoie le trafic mis en miroir au VLAN appelé analyseur à distance.
Si l’état de l’interface de sortie est ou si l’interface down de sortie n’est pas configurée, la valeur de State sera en baisse et l’analyseur ne sera pas en mesure de surveiller le trafic.
Exemple : Configuration de la mise en miroir sur plusieurs interfaces pour surveiller à distance l’utilisation des ressources des employés sur les commutateurs EX9200
Les commutateurs EX9200 vous permettent de configurer la mise en miroir pour envoyer des copies de paquets à une interface locale pour une surveillance locale ou à un VLAN pour la surveillance à distance. Vous pouvez utiliser la mise en miroir pour copier ces paquets :
Paquets entrants ou sortants d’un port
Paquets entrants ou sortants d’un VLAN sur
Vous pouvez analyser le trafic mis en miroir à l’aide d’une application d’analyse de protocole s’exécutant sur une station de surveillance distante si vous envoyez le trafic en miroir à un VLAN d’analyse.
Mettre en miroir uniquement les paquets nécessaires pour réduire l’impact potentiel sur les performances. Nous vous recommandons de :
Désactivez vos analyseurs de mise en miroir configurés lorsque vous ne les utilisez pas.
Spécifiez des interfaces individuelles en tant qu’entrée pour les analyseurs plutôt que de spécifier toutes les interfaces en tant qu’entrée.
Limitez la quantité de trafic mis en miroir par :
À l’aide d’un échantillonnage statistique.
Définir des ratios pour sélectionner des échantillons statistiques.
À l’aide de filtres de pare-feu.
Cet exemple explique comment configurer la mise en miroir à distance sur plusieurs interfaces sur un VLAN d’analyse :
- Conditions préalables
- Présentation et topologie
- Mise en miroir de tout le trafic des employés vers plusieurs interfaces membres VLAN pour l’analyse à distance
- Vérification
Conditions préalables
Cet exemple utilise les composants matériels et logiciels suivants :
Trois commutateurs EX9200
Junos OS version 13.2 ou ultérieure pour les commutateurs EX Series
Avant de configurer la mise en miroir à distance, assurez-vous que :
Les interfaces que l’analyseur utilisera en tant qu’interfaces d’entrée ont été configurées sur le commutateur.
Présentation et topologie
Cet exemple explique comment mettre en miroir le trafic entrant dans les ports du commutateur sur le VLAN de l’analyseur distant afin que vous puissiez effectuer l’analyse à partir d’une station de surveillance à distance. Dans cet exemple, le VLAN de l’analyseur à distance contient plusieurs interfaces membres. Par conséquent, le même trafic est mis en miroir sur toutes les interfaces membres du VLAN de l’analyseur à distance, de sorte que les paquets mis en miroir peuvent être envoyés à différentes stations de surveillance à distance. Vous pouvez installer des applications, telles que des renifleurs et des systèmes de détection d’intrusion, sur des stations de surveillance distantes pour analyser ces paquets en miroir et obtenir des données statistiques utiles. Par exemple, s’il existe deux stations de surveillance à distance, vous pouvez installer un renifleur sur une station de surveillance à distance et un système de détection d’intrusion sur l’autre station. Vous pouvez utiliser une configuration d’analyseur de filtre de pare-feu pour transférer un type spécifique de trafic vers une station de surveillance distante.
Cet exemple explique comment configurer un analyseur pour mettre en miroir le trafic sur plusieurs interfaces du groupe de sauts suivants afin que le trafic soit envoyé à différentes stations de surveillance pour analyse.
Figure 3 affiche la topologie du réseau pour cet exemple.
topologie
Dans cet exemple :
Les interfaces ge-0/0/0 et ge-0/0/1 sont des interfaces de couche 2 (les deux interfaces sur le commutateur source) qui servent de connexions aux ordinateurs des employés.
Les interfaces ge-0/0/10 et ge-0/0/11 sont des interfaces de couche 2 connectées à différents commutateurs de destination.
L’interface ge-0/0/12 est une interface de couche 2 qui connecte le commutateur de destination 1 à la station de surveillance à distance.
L’interface ge-0/0/13 est une interface de couche 2 qui connecte le commutateur de destination 2 à la station de surveillance à distance.
Le VLAN
remote-analyzerest configuré sur tous les commutateurs de la topologie pour transporter le trafic mis en miroir.
Mise en miroir de tout le trafic des employés vers plusieurs interfaces membres VLAN pour l’analyse à distance
Pour configurer la mise en miroir vers plusieurs interfaces membres VLAN pour l’analyse du trafic distant pour tout le trafic entrant et sortant des employés, effectuez ces tâches :
Procédure
Configuration rapide cli
Pour configurer rapidement la mise en miroir pour l’analyse à distance du trafic des employés entrants et sortants, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur :
Dans la fenêtre du terminal du commutateur source, copiez et collez les commandes suivantes :
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 set interfaces ge-0/0/11 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/11 unit 0 family ethernet-switching vlan members 999 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor output next-hop-group remote-analyzer-nhg set forwarding-options next-hop-group remote-analyzer-nhg interface ge-0/0/10.0 set forwarding-options next-hop-group remote-analyzer-nhg interface ge-0/0/11.0 set forwarding-options next-hop-group remote-analyzer-nhg group-type layer-2
Dans la fenêtre du terminal du commutateur de destination 1, copiez et collez les commandes suivantes :
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode acess set interfaces ge-0/0/12 unit 0 family ethernet-switching interface-mode access set forwarding-options analyzer employee-monitor input ingress vlan remote-analyzer set forwarding-options analyzer employee-monitor loss-priority high output interface ge-0/0/12.0
Dans la fenêtre du terminal du commutateur de destination 2, copiez et collez les commandes suivantes :
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/11 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/13 unit 0 family ethernet-switching interface-mode access set forwarding-options analyzer employee-monitor input ingress vlan remote-analyzer set forwarding-options analyzer employee-monitor loss-priority high output interface ge-0/0/13.0
Procédure étape par étape
Pour configurer la mise en miroir à distance de base sur deux interfaces membres VLAN :
Sur le commutateur source :
Configurez l’ID VLAN pour le
remote-analyzerVLAN :[edit vlans] user@switch# set remote-analyzer vlan-id 999
Configurez les interfaces du port réseau connectés aux commutateurs de destination pour le mode d’accès et associez-le au
remote-analyzerVLAN :[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999 user@switch# set ge-0/0/11 unit 0 family ethernet-switching interface-mode trunk user@switch# set ge-0/0/11 unit 0 family ethernet-switching vlan members 999
Configurez l’analyseur
employee-monitor:[edit forwarding-options] user@switch# set analyzer employee-monitor input ingress interface ge-0/0/0.0 user@switch# set analyzer employee-monitor input ingress interface ge-0/0/1.0 user@switch# set analyzer employee-monitor input egress interface ge-0/0/0.0 user@switch# set analyzer employee-monitor input egress interface ge-0/0/1.0 user@switch# set analyzer employee-monitor output next-hop-group remote-analyzer-nhg
Dans cette configuration d’analyseur, le trafic entrant et sortant des interfaces ge-0/0/0 et ge-0/0/0/1.0 est envoyé à la destination de sortie définie par le groupe de sauts suivants nommé
remote-analyzer-nhg.Configurez le
remote-analyzer-nhbgroupe du saut suivant :[edit forwarding-options] user@switch# set next-hop-group remote-analyzer-nhg interface ge-0/0/10.0 user@switch# set next-hop-group remote-analyzer-nhg interface ge-0/0/11.0 user@switch# set next-hop-group remote-analyzer-nhg group-type layer-2
Sur le commutateur Destination 1 :
Configurez l’ID VLAN pour le
remote-analyzerVLAN :[edit vlans] user@switch# set remote-analyzer vlan-id 999
Configurez l’interface ge-0/0/10 sur le commutateur Destination 1 pour le mode d’accès :
[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching interface-mode access
Configurez l’interface connectée à la station de surveillance à distance pour le mode d’accès :
[edit interfaces] user@switch# set ge-0/0/12 unit 0 family ethernet-switching interface-mode access
Configurez l’analyseur
employee-monitor:[edit forwarding-options] user@switch# set analyzer employee-monitor input ingress vlan remote-analyzer user@switch# set analyzer employee-monitor loss-priority high output interface ge-0/0/12.0
Sur le commutateur Destination 2 :
Configurez l’ID VLAN pour le
remote-analyzerVLAN :[edit vlans] user@switch# set remote-analyzer vlan-id 999
Configurez l’interface ge-0/0/11 sur le commutateur Destination 2 pour le mode d’accès :
[edit interfaces] user@switch# set ge-0/0/11 unit 0 family ethernet-switching interface-mode access
Configurez l’interface connectée à la station de surveillance à distance pour le mode d’accès :
[edit interfaces] user@switch# set ge-0/0/13 unit 0 family ethernet-switching interface-mode access
Configurez l’analyseur
employee-monitor:[edit forwarding-options] user@switch# set analyzer employee-monitor input ingress vlan remote-analyzer user@switch# set analyzer employee-monitor loss-priority high output interface ge-0/0/13.0
Résultats
Vérifiez les résultats de la configuration sur le commutateur source :
[edit]
user@switch# show
forwarding-options {
analyzer employee-monitor {
input {
ingress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
egress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
}
output {
next-hop-group {
remote-analyzer-nhg;
}
}
}
}
vlans {
remote-analyzer {
vlan-id 999;
interface {
ge-0/0/10.0
ge-0/0/11.0
}
}
}
interfaces {
ge-0/0/10 {
unit 0 {
family ethernet-switching {
interface-mode access;
}
}
}
ge-0/0/11 {
unit 0 {
family ethernet-switching {
interface-mode access;
}
}
}
}
Vérifiez les résultats de la configuration sur le commutateur De destination 1 :
[edit]
user@switch# show
vlans {
remote-analyzer {
vlan-id 999;
}
}
interfaces {
ge-0/0/10 {
unit 0 {
ethernet-switching {
interface-mode acess;
}
}
}
ge-0/0/12 {
unit 0 {
family ethernet-switching {
interface-mode access;
}
}
}
}
forwarding-options {
analyzer employee-monitor {
input {
ingress {
vlan remote-analyzer;
}
}
loss-priority high;
output {
interface {
ge-0/0/12.0;
}
}
}
}
Vérifiez les résultats de la configuration sur le commutateur de destination 2 :
[edit]
user@switch# show
vlans {
remote-analyzer {
vlan-id 999;
interface {
ge-0/0/11.0
}
}
}
interfaces {
ge-0/0/11 {
unit 0 {
family ethernet-switching {
interface-mode access;
}
}
}
ge-0/0/13 {
unit 0 {
family ethernet-switching {
interface-mode access;
}
}
}
}
forwarding-options {
employee-monitor {
input {
ingress {
vlan remote-analyzer;
}
}
loss-priority high;
output {
interface {
ge-0/0/13.0;
}
}
}
}
Vérification
Pour vérifier que la configuration fonctionne correctement, effectuez les tâches suivantes :
Vérifier que l’analyseur a été correctement créé
But
Vérifiez que l’analyseur nommé employee-monitor a été créé sur le commutateur avec les interfaces d’entrée et l’interface de sortie appropriées.
Action
Vous pouvez vérifier que l’analyseur est configuré comme prévu à l’aide de la show forwarding-options analyzer commande.
Pour vérifier que l’analyseur est configuré comme prévu tout en surveillant tout le trafic des employés sur le commutateur source, exécutez la show forwarding-options analyzer commande sur le commutateur source. La sortie suivante est affichée pour cet exemple de configuration sur le commutateur source :
user@switch> show forwarding-options analyzer
Analyzer name : employee-monitor
Mirror rate : 1
Maximum packet length : 0
State : up
Ingress monitored interfaces : ge-0/0/0.0
Ingress monitored interfaces : ge-0/0/1.0
Egress monitored interfaces : ge-0/0/0.0
Egress monitored interfaces : ge-0/0/1.0
Output nhg : remote-analyzer-nhg
user@switch> show forwarding-options next-hop-group
Next-hop-group: remote-analyzer-nhg
Type: layer-2
State: up
Members Interfaces:
ge-0/0/10.0
ge-0/0/11.0
Sens
Cette sortie montre que l’analyseur employee-monitor a un ratio de 1 (mettant en miroir chaque paquet, qui est le comportement par défaut), l’état de la configuration est up, qui indique l’état correct et que l’analyseur est programmé, met en miroir le trafic entrant ou sortant des interfaces ge-0/0/0 et ge-0/0/1, et envoie le trafic en miroir vers plusieurs interfaces ge-0/0/10.0 et ge-0/0/11.0 via le groupe remote-analyzer-nhgde sauts suivant . Si l’état de l’interface de sortie est ou si l’interface de sortie n’est down pas configurée, la valeur de l’état sera en baisse et l’analyseur ne pourra pas mettre en miroir le trafic.
Exemple : Configuration de la mise en miroir pour une surveillance à distance de l’utilisation des ressources des employés via un commutateur de transit sur les commutateurs EX9200
Les commutateurs EX9200 vous permettent de configurer la mise en miroir pour envoyer des copies de paquets à une interface locale pour une surveillance locale ou à un VLAN pour la surveillance à distance. Vous pouvez utiliser la mise en miroir pour copier ces paquets :
Paquets entrants ou sortants d’un port
Paquets entrants ou sortants d’un VLAN
Vous pouvez analyser le trafic mis en miroir à l’aide d’une application d’analyse de protocole s’exécutant sur une station de surveillance distante si vous envoyez le trafic en miroir à un VLAN d’analyse.
Cette rubrique comprend un exemple qui explique comment mettre en miroir le trafic entrant dans les ports du commutateur vers le VLAN de l’analyseur distant via un commutateur de transit, afin que vous puissiez effectuer l’analyse à partir d’une station de surveillance à distance.
Mettre en miroir uniquement les paquets nécessaires pour réduire l’impact potentiel sur les performances. Nous vous recommandons de :
Désactivez vos sessions de mise en miroir configurées lorsque vous ne les utilisez pas.
Spécifiez des interfaces individuelles en tant qu’entrée pour les analyseurs plutôt que de spécifier toutes les interfaces en tant qu’entrée.
Limitez la quantité de trafic mis en miroir par :
À l’aide d’un échantillonnage statistique.
Définir des ratios pour sélectionner des échantillons statistiques.
À l’aide de filtres de pare-feu.
Cet exemple explique comment configurer la mise en miroir à distance via un commutateur de transit :
- Conditions préalables
- Présentation et topologie
- Mise en miroir de tout le trafic des employés pour une analyse à distance via un commutateur de transit
- Vérification
Conditions préalables
Cet exemple utilise les composants matériels et logiciels suivants :
Un commutateur EX9200 connecté à un autre commutateur EX9200 via un troisième commutateur EX9200
Junos OS version 13.2 ou ultérieure pour les commutateurs EX Series
Avant de configurer la mise en miroir à distance, assurez-vous que :
Les interfaces que l’analyseur utilisera en tant qu’interfaces d’entrée ont été configurées sur le commutateur.
Présentation et topologie
Cet exemple décrit comment mettre en miroir le trafic entrant dans les ports du commutateur vers le remote-analyzer VLAN via un commutateur de transit afin que vous puissiez analyser tout le trafic provenant des ordinateurs des employés.
Dans cette configuration, une session d’analyse est requise sur le commutateur de destination pour mettre en miroir le trafic entrant du VLAN de l’analyseur à l’interface sortante à laquelle la station de surveillance à distance est connectée.
Figure 4 affiche la topologie du réseau pour cet exemple.
topologie
Dans cet exemple :
L’interface ge-0/0/0 est une interface de couche 2, et l’interface ge-0/0/1 est une interface de couche 3 (les deux interfaces sur le commutateur source) qui servent de connexion aux ordinateurs des employés.
L’interface ge-0/0/10 est une interface de couche 2 qui se connecte au commutateur de transit.
L’interface ge-0/0/11 est une interface de couche 2 sur le commutateur de transit.
L’interface ge-0/0/12 est une interface de couche 2 sur le commutateur de transit et se connecte au commutateur de destination.
L’interface ge-0/0/13 est une interface de couche 2 sur le commutateur de destination.
L’interface ge-0/0/14 est une interface de couche 2 sur le commutateur de destination et se connecte à la station de surveillance à distance.
Le VLAN
remote-analyzerest configuré sur tous les commutateurs de la topologie pour transporter le trafic mis en miroir.
Mise en miroir de tout le trafic des employés pour une analyse à distance via un commutateur de transit
Pour configurer la mise en miroir pour l’analyse du trafic à distance via un commutateur de transit, pour tout le trafic entrant et sortant des employés, effectuez les tâches suivantes :
Procédure
Configuration rapide cli
Pour configurer rapidement la mise en miroir pour l’analyse du trafic à distance via un commutateur de transit, pour le trafic entrant et sortant des employés, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur :
Copiez et collez les commandes suivantes dans la fenêtre de terminal du commutateur source (commutateur surveillé) :
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor output vlan remote-analyzer
Copiez et collez les commandes suivantes dans la fenêtre du commutateur de transit :
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/11 unit 0 family ethernet-switching interface-mode access set vlans remote-analyzer interface ge-0/0/11 set interfaces ge-0/0/12 unit 0 family ethernet-switching interface-mode access set vlans remote-analyzer interface ge-0/0/12
Copiez et collez les commandes suivantes dans la fenêtre du commutateur de destination :
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/13 unit 0 family ethernet-switching interface-mode access set vlans remote-analyzer interface ge-0/0/13 ingress set interfaces ge-0/0/14 unit 0 family ethernet-switching interface-mode access set forwarding-options analyzer employee-monitor input ingress vlan remote-analyzer set forwarding-options analyzer employee-monitor output interface ge-0/0/14.0
Procédure étape par étape
Pour configurer la mise en miroir à distance via un commutateur de transit :
Sur le commutateur source :
Configurez l’ID VLAN pour le
remote-analyzerVLAN :[edit vlans] user@switch# set remote-analyzer vlan-id 999
Configurez les interfaces du port réseau connecté au commutateur de transit pour le mode d’accès et associez-le au
remote-analyzerVLAN :[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching interface-mode access user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999
Configurez l’analyseur
employee-monitor:[edit forwarding-options] user@switch# set analyzer employee-monitor input ingress interface ge-0/0/0.0 user@switch# set analyzer employee-monitor input ingress interface ge-0/0/1.0 user@switch# set analyzer employee-monitor input egress interface ge-0/0/0.0 user@switch# set analyzer employee-monitor input egress interface ge-0/0/1.0 user@switch# set analyzer employee-monitor output vlan remote-analyzer
Sur le commutateur de transit :
Configurez l’ID VLAN pour le
remote-analyzerVLAN :[edit vlans] user@switch# set remote-analyzer vlan-id 999
Configurez l’interface ge-0/0/11 pour le mode d’accès, associez-la au
remote-analyzerVLAN :[edit interfaces] user@switch# set ge-0/0/11 unit 0 family ethernet-switching interface-mode access
Configurez l’interface ge-0/0/12 pour le mode d’accès, associez-la au
remote-analyzerVLAN et définissez l’interface pour le trafic sortant uniquement :[edit interfaces] user@switch# set ge-0/0/12 unit 0 family ethernet-switching interface-mode access user@switch# set vlans remote-analyzer interface ge-0/0/12
Sur le commutateur de destination :
Configurez l’ID VLAN pour le
remote-analyzerVLAN :[edit vlans] user@switch# set remote-analyzer vlan-id 999
Configurez l’interface ge-0/0/13 pour le mode d’accès, associez-la au
remote-analyzerVLAN et définissez l’interface pour le trafic entrant uniquement :[edit interfaces] user@switch# set ge-0/0/13 unit 0 family ethernet-switching interface-mode access user@switch# set vlans remote-analyzer interface ge-0/0/13 ingress
Configurez l’interface connectée à la station de surveillance à distance pour le mode d’accès :
[edit interfaces] user@switch# set ge-0/0/14 unit 0 family ethernet-switching interface-mode access
Configurez l’analyseur
remote-analyzer:[edit forwarding-options] user@switch# set analyzer employee-monitor input ingress vlan remote-analyzer user@switch# set analyzer employee-monitor output interface ge-0/0/14.0
Résultats
Vérifiez les résultats de la configuration sur le commutateur source :
[edit]
user@switch> show
forwarding-options {
analyzer employee-monitor {
input {
ingress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
egress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
}
output {
vlan {
remote-analyzer;
}
}
}
}
vlans {
remote-analyzer {
vlan-id 999;
}
}
interfaces {
ge-0/0/10 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
member 999;
}
}
}
}
}
Vérifiez les résultats de la configuration sur le commutateur de transit :
[edit]
user@switch> show
vlans {
remote-analyzer {
vlan-id 999;
interface {
ge-0/0/11.0 {
}
ge-0/0/12.0 {
}
}
}
}
interfaces {
ge-0/0/11 {
unit 0 {
family ethernet-switching {
interface-mode access;
}
}
}
ge-0/0/12 {
unit 0 {
family ethernet-switching {
interface-mode access;
}
}
}
}
Vérifiez les résultats de la configuration sur le commutateur de destination :
[edit]
user@switch> show
vlans {
remote-analyzer {
vlan-id 999;
interface {
ge-0/0/13.0 {
ingress;
}
}
}
}
interfaces {
ge-0/0/13 {
unit 0 {
family ethernet-switching {
interface-mode access;
}
}
}
ge-0/0/14 {
unit 0 {
family ethernet-switching {
interface-mode access;
}
}
}
}
forwarding-options {
analyzer employee-monitor {
input {
ingress {
vlan remote-analyzer;
}
}
output {
interface {
ge-0/0/14.0;
}
}
}
}
Vérification
Pour vérifier que la configuration fonctionne correctement, effectuez les tâches suivantes :
Vérifier que l’analyseur a été correctement créé
But
Vérifiez que l’analyseur nommé employee-monitor a été créé sur le commutateur avec les interfaces d’entrée et l’interface de sortie appropriées.
Action
Vous pouvez vérifier que l’analyseur est configuré comme prévu à l’aide de la show forwarding-options analyzer commande.
Pour vérifier que l’analyseur est configuré comme prévu tout en surveillant tout le trafic des employés sur le commutateur source, exécutez la show forwarding-options analyzer commande sur le commutateur source. La sortie suivante s’affiche pour cette configuration par exemple :
user@switch> show forwarding-options analyzer Analyzer name : employee-monitor Mirror rate : 1 Maximum packet length : 0 State : up Ingress monitored interfaces : ge-0/0/0.0 Ingress monitored interfaces : ge-0/0/1.0 Egress monitored interfaces : ge-0/0/0.0 Egress monitored interfaces : ge-0/0/1.0 Output vlan : default-switch/remote-analyzer
Sens
Cette sortie montre que l’analyseur employee-monitor a un ratio de mise en miroir de 1 (mettant en miroir chaque paquet, le par défaut), l’état de la configuration est up, qui indique l’état approprié et que l’analyseur est programmé, reflète le trafic entrant dans les ge-0/0 et ge-0/0/1, et envoie le trafic mis en miroir à l’analyseur appelé remote-analyzer. Si l’état de l’interface de sortie est ou si l’interface de sortie n’est down pas configurée, la valeur de l’état sera en baisse et l’analyseur ne pourra pas mettre en miroir le trafic.
Exemple : Configuration de la mise en miroir pour une surveillance locale de l’utilisation des ressources des employés sur les commutateurs EX4300
Cet exemple utilise Junos OS pour les commutateurs EX Series avec la prise en charge du style de configuration ELS (Enhanced Layer 2 Software). Si votre commutateur exécute un logiciel qui ne prend pas en charge ELS, consultez l’exemple : Configuration de la mise en miroir des ports pour une surveillance locale de l’utilisation des ressources des employés sur les commutateurs EX Series. Pour plus de détails sur els, voir Prise en main d’un logiciel de couche 2 améliorée.
Les commutateurs EX4300 vous permettent de configurer la mise en miroir pour envoyer des copies de paquets à une interface locale pour une surveillance locale ou à un VLAN pour la surveillance à distance. Vous pouvez utiliser la mise en miroir pour copier ces paquets :
Paquets entrants ou sortants d’un port
Paquets entrant dans un VLAN
Vous pouvez analyser le trafic mis en miroir à l’aide d’un analyseur de protocole installé sur un système connecté à l’interface de destination locale ou d’une station de surveillance à distance si vous envoyez le trafic en miroir à un VLAN d’analyse.
Cet exemple explique comment configurer la mise en miroir locale sur un commutateur EX4300. Cet exemple explique comment configurer le commutateur pour mettre en miroir le trafic entrant dans les interfaces connectées aux ordinateurs des employés vers une interface de sortie d’analyseur sur le même commutateur.
- Conditions préalables
- Présentation et topologie
- Mise en miroir de tout le trafic des employés pour une analyse locale
- Mise en miroir du trafic de l’employé vers le Web pour l’analyse locale
- Vérification
Conditions préalables
Cet exemple utilise les composants matériels et logiciels suivants :
Un commutateur EX4300
Junos OS Version 13.2X50-D10 ou ultérieure pour les commutateurs EX Series
Présentation et topologie
Cette rubrique présente deux exemples qui décrivent comment mettre en miroir le trafic entrant dans des ports sur le commutateur vers une interface de destination sur le même commutateur (mise en miroir locale). Le premier exemple montre comment mettre en miroir tout le trafic entrant dans les ports connectés aux ordinateurs des employés. Le deuxième exemple illustre le même scénario, mais inclut un filtre pour mettre en miroir uniquement le trafic des employés qui va sur le Web.
Les interfaces ge-0/0/0 et ge-0/0/1 servent de connexions aux ordinateurs des employés. L’interface ge0/0/10 est réservée à l’analyse du trafic mis en miroir. Connectez un PC exécutant une application d’analyse de protocole à l’interface de sortie de l’analyseur pour analyser le trafic mis en miroir.
Plusieurs ports mis en miroir sur une seule interface peuvent entraîner un dépassement de tampon et des paquets perdus.
Ces deux exemples utilisent la topologie du réseau indiquée dans la section Figure 5.
Mise en miroir de tout le trafic des employés pour une analyse locale
Pour configurer la mise en miroir de tout le trafic des employés à des fins d’analyse locale, effectuez les tâches suivantes :
Procédure
Configuration rapide cli
Pour configurer rapidement la mise en miroir locale pour le trafic entrant vers les deux ports connectés aux ordinateurs des employés, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur :
[edit] set interfaces ge-0/0/0 unit 0 family ethernet-switching set interfaces ge-0/0/1 unit 0 family inet address 192.0.2.1/24 set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members analyzer_vlan set vlans analyzer-vlan vlan-id 1000 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor output interface ge-0/0/10.0
Procédure étape par étape
Pour configurer un analyseur appelé employee-monitor et spécifier les interfaces d’entrée (source) et l’interface de sortie de l’analyseur :
Configurez chaque interface connectée aux ordinateurs des employés en tant qu’interface d’entrée pour l’analyseur
employee-monitor:[edit forwarding-options] user@switch# set analyzer employee-monitor input ingress interface ge–0/0/0.0 user@switch# set analyzer employee-monitor input ingress interface ge-0/0/1.0
Configurez l’interface de sortie de l’analyseur dans le cadre d’un VLAN :
[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members analyzer_vlan
[edit vlans] user@switch# set analyzer-vlan vlan-id 1000
Configurez l’interface d’analyse de sortie pour l’analyseur
employee-monitor. Il s’agit de l’interface de destination des paquets mis en miroir :[edit forwarding-options] user@switch# set analyzer employee-monitor output interface ge-0/0/10.0
Résultats
Vérifiez les résultats de la configuration :
[edit]
user@switch# show
forwarding-options {
analyzer employee-monitor {
input {
ingress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;}
}
output {
interface {
ge-0/0/10.0;
}
}
}
}
Mise en miroir du trafic de l’employé vers le Web pour l’analyse locale
Pour configurer la mise en miroir de l’employé vers le trafic Web, effectuez ces tâches :
Procédure
Configuration rapide cli
Pour configurer rapidement la mise en miroir locale du trafic à partir des deux ports connectés aux ordinateurs des employés, en filtrant de sorte que seul le trafic vers le Web externe soit mis en miroir, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur :
[edit] set forwarding-options port-mirroring instance employee-web-monitor output interface ge-0/0/10.0 set firewall family ethernet-switching filter watch-employee term employee-to-corp from destination-address 192.0.2.16/24 set firewall family ethernet-switching filter watch-employee term employee-to-corp from source-address 192.0.2.16/24 set firewall family ethernet-switching filter watch-employee term employee-to-corp then accept set firewall family ethernet-switching filter watch-employee term employee-to-web from destination-port 80 set firewall family ethernet-switching filter watch-employee term employee-to-web then port-mirroring-instance employee-web-monitor set interfaces ge-0/0/0 unit 0 family ethernet-switching filter input watch-employee set interfaces ge-0/0/1 unit 0 family ethernet-switching filter input watch-employee
Procédure étape par étape
Pour configurer la mise en miroir locale du trafic Web de l’employé à partir des deux ports connectés aux ordinateurs des employés :
Configurez l’interface d’analyse locale :
[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching
Configurez l’instance
employee-web-monitorde sortie (l’entrée à l’instance provient de l’action du filtre) :[edit forwarding-options port-mirroring] user@switch# set instance employee-web-monitor output interface ge-0/0/10.0
Configurez un filtre de pare-feu appelé
watch-employeepour envoyer des copies en miroir des demandes des employés sur le Web à l’instanceemployee-web-monitor. Accepter tout le trafic à destination et en provenance du sous-réseau d’entreprise (adresse de destination ou source de 192.0.2.16/24). Envoyez des copies en miroir de tous les paquets à destination d’Internet (port de destination 80) à l’instanceemployee-web-monitor.[edit firewall family ethernet-switching] user@switch# set filter watch-employee term employee-to-corp from destination-address 192.0.2.16/24 user@switch# set filter watch-employee term employee-to-corp from source-address 192.0.2.16/24 user@switch# set filter watch-employee term employee-to-corp then accept ser@switch# set filter watch-employee term employee-to-web from destination-port 80 user@switch# set filter watch-employee term employee-to-web then port-mirroring-instance employee-web-monitor
Appliquez le
watch-employeefiltre aux ports appropriés :[edit interfaces] user@switch# set ge-0/0/0 unit 0 family ethernet-switching filter input watch-employee user@switch# set ge-0/0/1 unit 0 family ethernet-switching filter input watch-employee
Résultats
Vérifiez les résultats de la configuration :
[edit]
user@switch# show
forwarding-options {
port-mirroring {
instance {
employee-web-monitor {
family ethernet-switching {
output {
interface ge-0/0/10.0;
}
}
}
}
}
}
...
firewall family ethernet-switching {
filter watch-employee {
term employee-to-corp {
from {
destination-address 192.0.2.16/24;
source-address 192.0.2.16/24;
}
then accept {
}
term employee-to-web {
from {
destination-port 80;
}
then port-mirroring-instance employee-web-monitor;
}
}
}
...
interfaces {
ge-0/0/0 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
vlan members [employee-vlan, voice-vlan];
filter {
input watch-employee;
}
}
}
}
ge-0/0/1 {
family ethernet-switching {
filter {
input watch-employee;
}
}
}
}
Vérification
Pour vérifier que la configuration est correcte, effectuez ces tâches :
- Vérifier que l’analyseur a été correctement créé
- Vérifier que l’instance de mise en miroir des ports est correctement configurée
Vérifier que l’analyseur a été correctement créé
But
Vérifiez que l’analyseur employee-monitor ou employee-web-monitor a été créé sur le commutateur avec les interfaces d’entrée appropriées et l’interface de sortie appropriée.
Action
Vous pouvez utiliser la show forwarding-options analyzer commande pour vérifier que l’analyseur est correctement configuré.
user@switch> show forwarding-options analyzer Analyzer name : employee-monitor Mirror rate : 1 Maximum packet length : 0 State : up Ingress monitored interfaces : ge-0/0/0.0 Ingress monitored interfaces : ge-0/0/1.0 Output interface : ge-0/0/10.0
Sens
Cette sortie montre que l’analyseur employee-monitor a un ratio de 1 (mettant en miroir chaque paquet, le paramètre par défaut), la taille maximale du paquet d’origine qui a été mis en miroir (0 indique le paquet entier), l’état de la configuration (il indique que l’analyseur met en miroir le trafic entrant dans les interfaces ge-0/0/0 et ge-0/0/1, et en envoyant le trafic mis en miroir à l’interface ge-0/0/10). Si l’état de l’interface de sortie est en panne ou si l’interface de sortie n’est pas configurée, la valeur de l’état sera down et l’analyseur ne sera pas programmé pour la mise en miroir.
Vérifier que l’instance de mise en miroir des ports est correctement configurée
But
Vérifiez que l’instance employee-web-monitor de mise en miroir de port a été correctement configurée sur le commutateur avec les interfaces d’entrée appropriées.
Action
Vous pouvez vérifier que l’instance de mise en miroir de port est correctement configurée à l’aide de la show forwarding-options port-mirroring commande.
user@switch> show forwarding-options port-mirroring
Instance Name: employee-web-monitor
Instance Id: 3
Input parameters:
Rate : 1
Run-length : 0
Maximum-packet-length : 0
Output parameters:
Family State Destination Next-hop
ethernet-switching up ge-0/0/10.0
Sens
Ce résultat montre que l’instance employee-web-monitor a un ratio de 1 (mettant en miroir chaque paquet, par défaut), la taille maximale du paquet d’origine mis en miroir (0 indique un paquet entier), l’état de la configuration est opérationnel et la mise en miroir des ports est programmé, et que le trafic mis en miroir provenant de l’action du filtre de pare-feu est envoyé sur l’interface ge-0/0/10.0. Si l’état de l’interface de sortie est en panne ou si l’interface n’est pas configurée, la valeur de l’état sera en panne et la mise en miroir des ports ne sera pas programmée pour la mise en miroir.
Exemple : Configuration de la mise en miroir pour la surveillance à distance de l’utilisation des ressources des employés sur les commutateurs EX4300
Cet exemple utilise Junos OS pour les commutateurs EX Series avec la prise en charge du style de configuration ELS (Enhanced Layer 2 Software). Si votre commutateur exécute un logiciel qui ne prend pas en charge ELS, consultez l’exemple : Configuration de la mise en miroir pour surveiller à distance l’utilisation des ressources des employés sur les commutateurs EX4300. Pour plus de détails sur ELS, voir : Prise en main des logiciels de couche 2 améliorés.
Les commutateurs EX4300 vous permettent de configurer la mise en miroir pour envoyer des copies de paquets à une interface locale pour une surveillance locale ou à un VLAN pour la surveillance à distance. Vous pouvez utiliser la mise en miroir pour copier ces paquets :
Paquets entrants ou sortants d’un port
Paquets entrant dans un VLAN sur les commutateurs EX4300
Vous pouvez analyser le trafic mis en miroir à l’aide d’une application d’analyse de protocole s’exécutant sur une station de surveillance distante si vous envoyez le trafic en miroir à un VLAN d’analyse.
Cette rubrique présente deux exemples connexes qui décrivent comment mettre en miroir le trafic entrant dans les ports du commutateur vers le remote-analyzer VLAN afin que vous puissiez effectuer des analyses à partir d’une station de surveillance à distance. Le premier exemple montre comment mettre en miroir tout le trafic entrant dans les ports connectés aux ordinateurs des employés. Le deuxième exemple illustre le même scénario, mais inclut un filtre pour mettre en miroir uniquement le trafic des employés qui va sur le Web.
Mettre en miroir uniquement les paquets nécessaires pour réduire l’impact potentiel sur les performances. Nous vous recommandons de :
Désactivez vos sessions de mise en miroir configurées lorsque vous ne les utilisez pas.
Spécifiez des interfaces individuelles en tant qu’entrée pour les analyseurs plutôt que de spécifier toutes les interfaces en tant qu’entrée.
Limitez la quantité de trafic mis en miroir à l’aide de filtres de pare-feu.
Cet exemple explique comment configurer la mise en miroir à distance :
- Conditions préalables
- Présentation et topologie
- Mise en miroir de tout le trafic des employés pour l’analyse à distance
- Mise en miroir du trafic de l’employé vers le Web pour l’analyse à distance
- Vérification
Conditions préalables
Cet exemple utilise les composants matériels et logiciels suivants :
Junos OS Version 13.2X50-D10 ou ultérieure pour les commutateurs EX Series
Un commutateur EX4300 connecté à un autre commutateur EX4300
Le diagramme montre un EX4300 Virtual Chassis connecté à un commutateur de destination EX4300.
Avant de configurer la mise en miroir à distance, assurez-vous que :
Vous comprenez les concepts de mise en miroir.
Les interfaces que l’analyseur utilisera en tant qu’interfaces d’entrée ont été configurées sur le commutateur.
Présentation et topologie
Cette rubrique présente deux exemples connexes qui décrivent comment configurer la mise en miroir sur le VLAN afin que l’analyse remote-analyzer puisse être effectuée à partir d’une station de surveillance à distance. Le premier exemple montre comment configurer un commutateur pour mettre en miroir tout le trafic provenant des ordinateurs des employés. Le deuxième exemple illustre le même scénario, mais la configuration inclut un filtre pour mettre en miroir uniquement le trafic des employés qui va sur le Web.
Figure 6 affiche la topologie du réseau pour ces deux scénarios.
topologie
Dans cet exemple :
L’interface ge-0/0/0 est une interface de couche 2, et l’interface ge-0/0/1 est une interface de couche 3 (les deux interfaces sur le commutateur source) qui servent de connexion aux ordinateurs des employés.
L’interface ge-0/0/10 est une interface de couche 2 qui connecte le commutateur source au commutateur de destination.
L’interface ge-0/0/5 est une interface de couche 2 qui connecte le commutateur de destination à la station de surveillance à distance.
Le VLAN
remote-analyzerest configuré sur tous les commutateurs de la topologie pour transporter le trafic mis en miroir.
Mise en miroir de tout le trafic des employés pour l’analyse à distance
Pour configurer un analyseur pour l’analyse du trafic à distance pour tout le trafic entrant et sortant des employés, effectuez ces tâches :
Procédure
Configuration rapide cli
Pour configurer rapidement un analyseur pour l’analyse du trafic à distance pour le trafic entrant et sortant des employés, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur :
Copiez et collez les commandes suivantes dans la fenêtre de terminal du commutateur source :
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor output vlan remote-analyzer
Copiez et collez les commandes suivantes dans la fenêtre du terminal du commutateur de destination :
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 set interfaces ge-0/0/5 unit 0 family ethernet-switching interface-mode trunk set forwarding-options analyzer employee-monitor input ingress vlan remote-analyzer set forwarding-options analyzer employee-monitor output interface ge-0/0/5.0
Procédure étape par étape
Pour configurer la mise en miroir des ports distants de base :
Sur le commutateur source :
Configurez l’ID VLAN pour le
remote-analyzerVLAN :[edit vlans] user@switch# set remote-analyzer vlan-id 999
Configurez l’interface sur le port réseau connecté au commutateur de destination en mode trunk et associez-la au
remote-analyzerVLAN :[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999
Configurez l’analyseur
employee-monitor:[edit forwarding-options] user@switch# set analyzer employee-monitor input ingress interface ge-0/0/0.0 user@switch# set analyzer employee-monitor input ingress interface ge-0/0/1.0 user@switch# set instance employee-monitor input egress interface ge-0/0/0.0 user@switch# set analyzer employee-monitor input egress interface ge-0/0/1.0 user@switch# set analyzer employee-monitor output vlan remote-analyzer
Sur le commutateur de destination :
Configurez l’ID VLAN pour le
remote-analyzerVLAN :[edit vlans] user@switch# set remote-analyzer vlan-id 999
Configurez l’interface du commutateur de destination pour le mode trunk et associez-la au
remote-analyzerVLAN :[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999
Configurez l’interface connectée au commutateur de destination pour le mode trunk :
[edit interfaces] user@switch# set ge-0/0/5 unit 0 family ethernet-switching interface-mode trunk
Configurez l’analyseur
employee-monitor:[edit forwarding-options] user@switch# set analyzer employee-monitor input ingress vlan remote-analyzer user@switch# set analyzer employee-monitor output interface ge-0/0/5.0
Résultats
Vérifiez les résultats de la configuration sur le commutateur source :
[edit]
user@switch> show
forwarding-options {
analyzer employee-monitor {
input {
ingress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
egress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
}
output {
vlan {
remote-analyzer;
}
}
}
}
interfaces {
ge-0/0/10 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
vlan {
members 999;
}
}
}
}
}
vlans {
remote-analyzer {
vlan-id 999;
interface {
ge-0/0/10.0
}
}
}
}
Vérifiez les résultats de la configuration sur le commutateur de destination :
[edit]
user@switch> show
interfaces {
ge0/0/5 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
}
}
}
ge-0/0/10 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
vlan {
members 999;
}
}
}
}
}
vlans {
remote-analyzer {
vlan-id 999;
interface {
ge-0/0/10.0
}
}
}
}
forwarding-options {
analyzer employee-monitor {
input {
ingress {
vlan remote-analyzer;
}
}
output {
interface {
ge-0/0/5.0;
}
}
}
}
Mise en miroir du trafic de l’employé vers le Web pour l’analyse à distance
Pour configurer la mise en miroir des ports pour l’analyse à distance du trafic web des employés, effectuez les tâches suivantes :
Procédure
Configuration rapide cli
Pour configurer rapidement la mise en miroir des ports afin de mettre en miroir le trafic des employés sur le Web externe, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur :
Copiez et collez les commandes suivantes dans la fenêtre de terminal du commutateur source :
[edit] user@switch# set forwarding-options port-mirroring instance employee-web-monitor output vlan 999 user@switch# set vlans remote-analyzer vlan-id 999 user@switch# set interfaces ge-0/0/10 unit 0 family ethernet-switching port mode trunk user@switch# set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 user@switch# set firewall family ethernet-switching filter watch-employee term employee-to-corp from destination-address 192.0.2.16/24 user@switch# set firewall family ethernet-switching filter watch-employee term employee-to-corp from source-address 192.0.2.16/24 user@switch# set firewall family ethernet-switching filter watch-employee term employee-to-corp then accept user@switch# set firewall family ethernet-switching filter watch-employee term employee-to-web from destination-port 80 user@switch# set firewall family ethernet-switching filter watch-employee term employee-to-web then port-mirror-instance employee-web-monitor user@switch# set interfaces ge-0/0/0 unit 0 family ethernet-switching filter input watch-employee user@switch# set interfaces ge-0/0/1 unit 0 family ethernet-switching filter input watch-employee
Copiez et collez les commandes suivantes dans la fenêtre du terminal du commutateur de destination :
[edit] user@switch# set vlans remote-analyzer vlan-id 999 user@switch# set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk user@switch# set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 user@switch# set interfaces ge-0/0/5 unit 0 family ethernet-switching interface-mode trunk user@switch# set forwarding-options analyzer employee-web-monitor input ingress vlan remote-analyzer user@switch# set forwarding-options analyzer employee-web-monitor output interface ge-0/0/5.0
Procédure étape par étape
Pour configurer la mise en miroir de tout le trafic, des deux ports connectés aux ordinateurs des employés au VLAN pour une remote-analyzer utilisation à partir d’une station de surveillance distante :
Sur le commutateur source :
Configurez l’instance
employee-web-monitorde mise en miroir de port :[edit ] user@switch# set interfaces ge-0/0/10 unit 0 family ethernet-switching port mode trunk user@switch# set forwarding-options port-mirroring instance employee-web-monitor output vlan 999
Configurez l’ID VLAN pour le
remote-analyzerVLAN :[edit vlans] user@switch# set remote-analyzer vlan-id 999
Configurez l’interface pour l’associer au
remote-analyzerVLAN :[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999
Configurez le filtre de pare-feu appelé
watch-employee:[edit firewall family ethernet-switching] user@switch# set filter watch-employee term employee-to-corp from destination-address 192.0.2.16/24 user@switch# set filter watch-employee term employee-to-corp from source-address 192.0.2.16/24 user@switch# set filter watch-employee term employee-to-corp then accept user@switch# set filter watch-employee term employee-to-web from destination-port 80 user@switch# set filter watch-employee term employee-to-web then port-mirror-instance employee-web-monitor
Appliquez le filtre de pare-feu aux interfaces des employés :
[edit interfaces] user@switch# set ge-0/0/0 unit 0 family ethernet-switching filter input watch-employee user@switch# set ge-0/0/1 unit 0 family ethernet-switching filter input watch-employee
Sur le commutateur de destination :
Configurez l’ID VLAN pour le
remote-analyzerVLAN :[edit vlans] user@switch# set remote-analyzer vlan-id 999
Configurez l’interface du commutateur de destination pour le mode trunk et associez-la au
remote-analyzerVLAN :[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999
Configurez l’interface connectée au commutateur de destination pour le mode trunk :
[edit interfaces] user@switch# set ge-0/0/5 unit 0 family ethernet-switching interface-mode trunk
Configurez l’analyseur
employee-monitor:[edit forwarding-options port-mirroring] user@switch# set instance employee-web-monitor input ingress vlan remote-analyzer user@switch# set instance employee-web-monitor output interface ge-0/0/5.0
Résultats
Vérifiez les résultats de la configuration sur le commutateur source :
[edit]
user@switch> show
interfaces {
ge-0/0/10 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
vlan {
members remote-analyzer;
}
}
}
}
ge-0/0/0 {
unit 0 {
family ethernet-switching {
filter {
input watch-employee;
}
}
}
}
ge-0/0/1 {
unit 0 {
family ethernet-switching {
filter {
input watch-employee;
}
}
}
}
}
firewall {
family ethernet-switching {
filter watch-employee {
term employee-to-corp {
from {
source-address {
192.0.2.16/24;
}
destination-address {
192.0.2.16/24;
}
}
then accept;
}
term employee-to-web {
from {
destination-port 80;
}
then port-mirror-instance employee-web-monitor;
}
}
}
}
forwarding-options {
analyzer employee-web-monitor {
output {
vlan {
999;
}
}
}
vlans {
remote-analyzer {
vlan-id 999;
}
}
Vérifiez les résultats de la configuration sur le commutateur de destination :
[edit]
user@switch> show
vlans {
remote-analyzer {
vlan-id 999;
}
}
interfaces {
ge-0/0/10 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
vlan {
members remote-analyzer;
}
}
}
}
ge-0/0/5 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
}
}
}
}
forwarding-options {
port-mirroring {
instance employee-web-monitor {
input {
ingress {
vlan remote-analyzer;
}
}
output {
interface {
ge-0/0/5.0;
}
}
}
}
Vérification
Pour vérifier que la configuration fonctionne correctement, effectuez les tâches suivantes :
Vérifier que l’analyseur a été correctement créé
But
Vérifiez que l’analyseur nommé employee-monitor ou employee-web-monitor a été créé sur le commutateur avec les interfaces d’entrée et l’interface de sortie appropriées.
Action
Vous pouvez vérifier que l’analyseur est configuré comme prévu à l’aide de la show forwarding-options analyzer commande. Pour afficher les analyseurs précédemment créés qui sont désactivés, accédez à l’interface J-Web.
Pour vérifier que l’analyseur est configuré comme prévu tout en surveillant tout le trafic des employés sur le commutateur source, exécutez la show analyzer commande sur le commutateur source. La sortie suivante s’affiche pour cet exemple de configuration :
user@switch> show forwarding-options analyzer Analyzer name : employee-monitor Mirror rate : 1 Maximum packet length : 0 State : up Ingress monitored interfaces : ge-0/0/0.0 Ingress monitored interfaces : ge-0/0/1.0 Egress monitored interfaces : ge-0/0/0.0 Egress monitored interfaces : ge-0/0/1.0 Output VLAN : default-switch/remote-analyzer
Sens
Ce résultat montre que l’instance employee-monitor a un ratio de 1 (mettant en miroir chaque paquet, par défaut), la taille maximale du paquet d’origine qui a été mis en miroir (0 indique le paquet entier), l’état de la configuration est opérationnel (ce qui indique l’état approprié et que l’analyseur est programmé, et met en miroir le trafic entrant dans les ge-0/0/0 et ge-0/0/1 et envoie le trafic mis en miroir au VLAN appelé remote-analyzer). Si l’état de l’interface de sortie est en panne ou si l’interface de sortie n’est pas configurée, la valeur de l’état sera en baisse et l’analyseur ne sera pas programmé pour la mise en miroir.
Exemple : Configuration de la mise en miroir pour une surveillance à distance de l’utilisation des ressources des employés via un commutateur de transit sur les commutateurs EX4300
Cet exemple utilise Junos OS pour les commutateurs EX Series avec la prise en charge du style de configuration ELS (Enhanced Layer 2 Software).
Les commutateurs EX4300 vous permettent de configurer la mise en miroir pour envoyer des copies de paquets à une interface locale pour une surveillance locale ou à un VLAN pour la surveillance à distance. Vous pouvez utiliser la mise en miroir pour copier ces paquets :
Paquets entrants ou sortants d’un port
Paquets entrant dans un VLAN sur les commutateurs EX4300
Vous pouvez analyser le trafic mis en miroir à l’aide d’une application d’analyse de protocole s’exécutant sur une station de surveillance distante si vous envoyez le trafic en miroir à un VLAN d’analyse.
Cette rubrique comprend un exemple qui explique comment mettre en miroir le trafic entrant dans les ports du commutateur vers le remote-analyzer VLAN via un commutateur de transit, afin que vous puissiez effectuer des analyses à partir d’une station de surveillance à distance.
Mettre en miroir uniquement les paquets nécessaires pour réduire l’impact potentiel sur les performances. Nous vous recommandons de :
Désactivez vos sessions de mise en miroir configurées lorsque vous ne les utilisez pas.
Spécifiez des interfaces individuelles en tant qu’entrée pour les analyseurs plutôt que de spécifier toutes les interfaces en tant qu’entrée.
Limitez la quantité de trafic mis en miroir à l’aide de filtres de pare-feu.
Cet exemple explique comment configurer la mise en miroir à distance via un commutateur de transit :
- Conditions préalables
- Présentation et topologie
- Mise en miroir de tout le trafic des employés pour une analyse à distance via un commutateur de transit
- Vérification
Conditions préalables
Cet exemple utilise les composants matériels et logiciels suivants :
Un commutateur EX4300 connecté à un autre commutateur EX4300 via un troisième commutateur EX4300
Junos OS Version 13.2X50-D10 ou ultérieure pour les commutateurs EX Series
Avant de configurer la mise en miroir à distance, assurez-vous que :
Vous comprenez les concepts de mise en miroir.
Les interfaces que l’analyseur utilisera en tant qu’interfaces d’entrée ont été configurées sur le commutateur.
Présentation et topologie
Cet exemple explique comment mettre en miroir le trafic entrant dans les ports du commutateur vers le remote-analyzer VLAN via un commutateur de transit afin que vous puissiez effectuer des analyses à partir d’une station de surveillance à distance. L’exemple montre comment configurer un commutateur pour mettre en miroir tout le trafic des ordinateurs des employés vers un analyseur distant.
Dans cette configuration, une session d’analyse est requise sur le commutateur de destination pour mettre en miroir le trafic entrant du VLAN de l’analyseur à l’interface sortante à laquelle la station de surveillance à distance est connectée. Vous devez désactiver l’apprentissage MAC sur le commutateur de transit pour le remote-analyzer VLAN afin que l’apprentissage MAC soit désactivé pour toutes les interfaces membres du remote-analyzer VLAN sur le commutateur de transit.
Figure 7 affiche la topologie du réseau pour cet exemple.
topologie
Dans cet exemple :
L’interface ge-0/0/0 est une interface de couche 2, et l’interface ge-0/0/1 est une interface de couche 3 (les deux interfaces sur le commutateur source) qui servent de connexion aux ordinateurs des employés.
L’interface ge-0/0/10 est une interface de couche 2 qui se connecte au commutateur de transit.
L’interface ge-0/0/11 est une interface de couche 2 sur le commutateur de transit.
L’interface ge-0/0/12 est une interface de couche 2 sur le commutateur de transit et se connecte au commutateur de destination.
L’interface ge-0/0/13 est une interface de couche 2 sur le commutateur de destination .
L’interface ge-0/0/14 est une interface de couche 2 sur le commutateur de destination et se connecte à la station de surveillance à distance.
Le VLAN
remote-analyzerest configuré sur tous les commutateurs de la topologie pour transporter le trafic mis en miroir.
Mise en miroir de tout le trafic des employés pour une analyse à distance via un commutateur de transit
Pour configurer la mise en miroir pour l’analyse du trafic à distance via un commutateur de transit, pour tout le trafic entrant et sortant des employés, effectuez les tâches suivantes :
Procédure
Configuration rapide cli
Pour configurer rapidement la mise en miroir pour l’analyse du trafic à distance via un commutateur de transit, pour le trafic entrant et sortant des employés, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur :
Copiez et collez les commandes suivantes dans la fenêtre de terminal du commutateur source (commutateur surveillé) :
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor output vlan remote-analyzer
Copiez et collez les commandes suivantes dans la fenêtre du commutateur de transit :
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/11 unit 0 family ethernet-switching interface-mode trunk set vlans remote-analyzer interface ge-0/0/11 set interfaces ge-0/0/12 unit 0 family ethernet-switching interface-mode trunk set vlans remote-analyzer interface ge-0/0/12 set vlans remote-analyzer no-mac-learning
Copiez et collez les commandes suivantes dans la fenêtre du commutateur de destination :
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/13 unit 0 family ethernet-switching interface-mode trunk set vlans remote-analyzer interface ge-0/0/13 ingress set interfaces ge-0/0/14 unit 0 family ethernet-switching interface-mode trunk set forwarding-options analyzer employee-monitor input ingress vlan remote-analyzer set forwarding-options analyzer employee-monitor output interface ge-0/0/14.0
Procédure étape par étape
Pour configurer la mise en miroir à distance via un commutateur de transit :
Sur le commutateur source :
Configurez l’ID VLAN pour le
remote-analyzerVLAN :[edit vlans] user@switch# set remote-analyzer vlan-id 999
Configurez les interfaces du port réseau connecté au commutateur de transit pour le mode trunk et associez-le au
remote-analyzerVLAN :[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999
Configurez l’analyseur
employee-monitor:[edit forwarding-options] user@switch# set analyzer employee-monitor input ingress interface ge-0/0/0.0 user@switch# set analyzer employee-monitor input ingress interface ge-0/0/1.0 user@switch# set analyzer employee-monitor input egress interface ge-0/0/0.0 user@switch# set analyzer employee-monitor input egress interface ge-0/0/1.0 user@switch# set analyzer employee-monitor output vlan remote-analyzer
Sur le commutateur de transit :
Configurez l’ID VLAN pour le
remote-analyzerVLAN :[edit vlans] user@switch# set remote-analyzer vlan-id 999
Configurez l’interface ge-0/0/11 pour le mode trunk, associez-la au
remote-analyzerVLAN :[edit interfaces] user@switch# set ge-0/0/11 unit 0 family ethernet-switching interface-mode trunk
Configurez l’interface
ge-0/0/12en mode trunk, associez-la auremote-analyzerVLAN et définissez l’interface pour le trafic sortant uniquement :[edit interfaces] user@switch# set ge-0/0/12 unit 0 family ethernet-switching interface-mode trunk user@switch# set vlans remote-analyzer interface ge-0/0/12
Configurez l’option
no-mac-learningduremote-analyzerVLAN pour désactiver l’apprentissage MAC sur toutes les interfaces membres duremote-analyzerVLAN :[edit interfaces] user@switch# set vlans remote-analyzer no-mac-learning
Sur le commutateur de destination :
Configurez l’ID VLAN pour le
remote-analyzerVLAN :[edit vlans] user@switch# set remote-analyzer vlan-id 999
Configurez l’interface ge-0/0/13 pour le mode trunk, associez-la au
remote-analyzerVLAN et définissez l’interface pour le trafic entrant uniquement :[edit interfaces] user@switch# set ge-0/0/13 unit 0 family ethernet-switching interface-mode trunk user@switch# set vlans remote-analyzer interface ge-0/0/13 ingress
Configurez l’interface connectée à la station de surveillance à distance pour le mode trunk :
[edit interfaces] user@switch# set ge-0/0/14 unit 0 family ethernet-switching interface-mode trunk
Configurez l’analyseur
employee-monitor:[edit forwarding-options] user@switch# set analyzer employee-monitor input ingress vlan remote-analyzer user@switch# set analyzer employee-monitor output interface ge-0/0/14.0
Résultats
Vérifiez les résultats de la configuration sur le commutateur source :
[edit]
user@switch> show
forwarding-options {
analyzer employee-monitor {
input {
ingress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
egress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
}
output {
vlan {
remote-analyzer;
}
}
}
}
vlans {
remote-analyzer {
vlan-id 999;
}
}
interfaces {
ge-0/0/10 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
vlan {
member 999;
}
}
}
}
}
Vérifiez les résultats de la configuration sur le commutateur de transit :
[edit]
user@switch> show
vlans {
remote-analyzer {
vlan-id 999;
interface {
ge-0/0/11.0 {
}
ge-0/0/12.0 {
}
}
no-mac-learning;
}
}
interfaces {
ge-0/0/11 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
}
}
}
ge-0/0/12 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
}
}
}
}
Vérifiez les résultats de la configuration sur le commutateur de destination :
[edit]
user@switch> show
vlans {
remote-analyzer {
vlan-id 999;
interface {
ge-0/0/13.0 {
ingress;
}
}
}
}
interfaces {
ge-0/0/13 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
}
}
}
ge-0/0/14 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
}
}
}
}
forwarding-options {
analyzer employee-monitor {
input {
ingress {
vlan remote-analyzer;
}
}
output {
interface {
ge-0/0/14.0;
}
}
}
}
Vérification
Pour vérifier que la configuration fonctionne correctement, effectuez les tâches suivantes :
Vérifier que l’analyseur a été correctement créé
But
Vérifiez que l’analyseur nommé employee-monitor a été créé sur le commutateur avec les interfaces d’entrée et l’interface de sortie appropriées.
Action
Vous pouvez vérifier si l’analyseur est configuré comme prévu à l’aide de la show analyzer commande. Pour afficher les analyseurs précédemment créés qui sont désactivés, accédez à l’interface J-Web.
Pour vérifier que l’analyseur est configuré comme prévu tout en surveillant tout le trafic des employés sur le commutateur source, exécutez la show analyzer commande sur le commutateur source. La sortie suivante s’affiche pour cette configuration par exemple :
user@switch> show forwarding-options analyzer Analyzer name : employee-monitor Mirror rate : 1 Maximum packet length : 0 State : up Ingress monitored interfaces : ge-0/0/0.0 Ingress monitored interfaces : ge-0/0/1.0 Egress monitored interfaces : ge-0/0/0.0 Egress monitored interfaces : ge-0/0/1.0 Output vlan : default-switch/remote-analyzer
Sens
Cette sortie montre que l’analyseur employee-monitor a un ratio de 1 (mettant en miroir chaque paquet, par défaut), met en miroir le trafic entrant dans ge-0/0/0 et ge-0/0/1, et envoie le trafic mis en miroir à l’analyseur remote-analyzer.