Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Sur cette page
 

Configuration de la mise en miroir de ports et des analyseurs

Comprendre les analyseurs de mise en miroir de ports

La mise en miroir des ports peut être utilisée pour l’analyse du trafic sur des routeurs et des commutateurs qui, contrairement aux hubs, ne diffusent pas de paquets sur chaque port de l’équipement de destination. La mise en miroir des ports envoie des copies de tous les paquets ou des paquets d’échantillons basés sur des stratégies à des analyseurs locaux ou distants, où vous pouvez surveiller et analyser les données.

Dans le contexte des analyseurs de mise en miroir de ports, nous utilisons le terme équipement de commutation. Le terme indique que l’équipement (y compris les routeurs) effectue une fonction de commutation.

Vous pouvez utiliser des analyseurs au niveau des paquets pour vous aider à :

  • Surveiller le trafic réseau

  • Appliquer les stratégies d’utilisation du réseau

  • Appliquer des stratégies de partage de fichiers

  • Identifier les causes des problèmes

  • Identifier les stations ou les applications ayant une utilisation importante ou anormale de la bande passante

Vous pouvez configurer la mise en miroir des ports pour mettre en miroir :

  • Paquets pontés (paquets de couche 2)

  • Paquets routés (paquets de couche 3)

Les paquets mis en miroir peuvent être copiés soit vers une interface locale pour la surveillance locale, soit vers un VLAN ou un domaine de pont pour la surveillance à distance.

Les paquets suivants peuvent être copiés :

  • Packets entering or exiting a port— Vous pouvez mettre en miroir les paquets entrants ou sortants des ports, dans n’importe quelle combinaison, pour un maximum de 256 ports. Par exemple, vous pouvez envoyer des copies des paquets entrant dans certains ports et des paquets sortant d’autres ports vers le même port d’analyse local ou VLAN d’analyseur.

  • Packets entering or exiting a VLAN or bridge domain— Vous pouvez mettre en miroir les paquets entrant ou sortant d’un VLAN ou d’un domaine de pont vers un port d’analyse local ou vers un VLAN ou un domaine de pont d’analyse. Vous pouvez configurer plusieurs VLAN (jusqu’à 256 VLAN) ou des domaines de pont comme entrées entrantes vers un analyseur, y compris une plage VLAN et des VLAN privés (PVLAN).

  • Policy-based sample packets: vous pouvez mettre en miroir un échantillon basé sur des stratégies de paquets qui pénètrent un port, un VLAN ou un domaine de pont. Vous configurez un filtre de pare-feu avec une stratégie pour sélectionner les paquets à mettre en miroir. Vous pouvez envoyer l’échantillon à une instance de mise en miroir de ports ou à un VLAN d’analyseur ou à un domaine de pont.

Présentation de l’analyseur

Vous pouvez configurer un analyseur pour définir à la fois le trafic d’entrée et le trafic de sortie dans la même configuration d’analyseur. Le trafic d’entrée à analyser peut être soit le trafic entrant, soit le trafic sortant d’une interface ou d’un VLAN. La configuration de l’analyseur vous permet d’envoyer ce trafic vers une interface de sortie, une instance, un groupe de sauts suivants, un VLAN ou un domaine de pont. Vous pouvez configurer un analyseur au niveau de la [edit forwarding-options analyzer] hiérarchie.

Présentation de l’analyseur statistique

Vous pouvez définir un ensemble de propriétés de mise en miroir, telles que la vitesse de mise en miroir et la longueur maximale des paquets pour le trafic, que vous pouvez lier explicitement aux ports physiques du routeur ou du commutateur. Cet ensemble de propriétés de mise en miroir constitue un analyseur statistique (également appelé analyseur non par défaut). À ce niveau, vous pouvez lier une instance nommée aux ports physiques associés à un FPC spécifique.

Présentation de l’analyseur par défaut

Vous pouvez configurer un analyseur sans configurer de propriétés de mise en miroir (telles que le débit de mise en miroir ou la longueur maximale des paquets). Par défaut, le taux de mise en miroir est défini sur 1 et la longueur maximale du paquet est définie sur la longueur complète du paquet. Ces propriétés sont appliquées au niveau global et n’ont pas besoin d’être liées à un FPC spécifique.

Mise en miroir de ports dans un groupe de ports liés à plusieurs analyseurs statistiques

Vous pouvez appliquer jusqu’à deux analyseurs statistiques aux mêmes groupes de ports sur l’équipement de commutation. En appliquant deux instances d’analyse statistique différentes au même FPC ou au même moteur de transfert de paquets, vous pouvez lier deux spécifications distinctes de mise en miroir de couche 2 à un seul groupe de ports. Les propriétés de mise en miroir liées à un FPC remplacent toutes les propriétés de l’analyseur (analyseur par défaut) liées au niveau global sur l’équipement de commutation. Les propriétés de l’analyseur par défaut sont remplacées par la liaison d’une deuxième instance d’analyseur sur le même groupe de ports.

Terminologie de l’analyseur de mise en miroir de ports

Tableau 1 répertorie certains termes de l’analyseur de mise en miroir de ports et leurs descriptions.

Tableau 1 : Terminologie de l’analyseur
Terme Description

Analyseur

Dans une configuration de mise en miroir, l’analyseur comprend :

  • Nom de l’analyseur

  • Ports source (entrée), VLAN ou domaines de pont

  • Destination des paquets mis en miroir (soit un port local, un VLAN ou un domaine de pont)

Interface de sortie de l’analyseur

(Également connu sous le nom de port de surveillance)

Interface où le trafic mis en miroir est envoyé et un analyseur de protocole est connecté.

Les interfaces utilisées comme sortie vers un analyseur doivent être configurées au niveau hiérarchique forwarding-options .

Les interfaces de sortie des analyseurs présentent les limites suivantes :

  • Ils ne peuvent pas non plus être un port source.

  • Ils ne participent pas aux protocoles de couche 2, tels que le protocole STP (Spanning Tree Protocol).

  • Si la bande passante de l’interface de sortie de l’analyseur n’est pas suffisante pour gérer le trafic des ports source, les paquets de dépassement sont supprimés.

VLAN d’analyse ou domaine de pont

(Également connu sous le nom de VLAN de surveillance ou de domaine de pont)

VLAN ou domaine de pont vers lequel le trafic mis en miroir est envoyé pour être utilisé par un analyseur de protocole. Les interfaces membres du VLAN ou du domaine de pont de surveillance sont réparties sur les équipements de commutation de votre réseau.

Analyseur basé sur des domaines de pont

Session d’analyse configurée pour utiliser des domaines de pont pour les entrées, les sorties ou les deux.

Analyseur par défaut

Un analyseur avec des paramètres de mise en miroir par défaut. Par défaut, le taux de mise en miroir est de 1 et la longueur maximale du paquet est la longueur du paquet complet.

Interface d’entrée

(Également appelé ports en miroir ou interfaces surveillées)

Une interface sur l’équipement de commutation où le trafic entrant ou sortant de cette interface est mis en miroir.

Analyseur basé sur LAG

Un analyseur dont un groupe d’agrégation de liaisons (LAG) est spécifié comme interface d’entrée (entrée) dans la configuration de l’analyseur.

Mise en miroir locale

Configuration d’analyseur dans laquelle les paquets sont mis en miroir sur un port d’analyse local.

Station de surveillance

Un ordinateur exécutant un analyseur de protocoles.

Analyseur basé sur le groupe de sauts suivants

Configuration d’analyseur qui utilise le groupe de sauts suivants comme sortie d’un analyseur.

Analyseur basé sur les ports

Une configuration d’analyseur qui définit des interfaces d’entrée et de sortie.

Application d’analyse de protocole

Une application utilisée pour examiner les paquets transmis sur un segment de réseau. Aussi appelé analyseur réseau, renifleur de paquets ou sonde.

Mise en miroir à distance

Fonctionne de la même manière que la mise en miroir locale, sauf que le trafic mis en miroir n’est pas copié sur un port d’analyse local, mais est inondé vers un VLAN d’analyseur ou un domaine de pont que vous créez spécifiquement pour recevoir le trafic mis en miroir. Les paquets mis en miroir ont une balise externe supplémentaire du VLAN de l’analyseur ou du domaine de pont.

Analyseur statistique

(Également connu sous le nom d’analyseur non par défaut)

Ensemble de propriétés de mise en miroir que vous pouvez lier explicitement aux ports physiques du commutateur. Cet ensemble de propriétés d’analyseur est connu sous le nom d’analyseur statistique.

Analyseur basé sur VLAN

Configuration d’analyseur qui utilise des VLAN pour fournir le trafic mis en miroir à l’analyseur.

Consignes de configuration pour les analyseurs de mise en miroir de ports

Lorsque vous configurez des analyseurs de mise en miroir de ports. nous vous recommandons de suivre ces consignes pour garantir un bénéfice optimal. Nous vous recommandons de désactiver la mise en miroir lorsque vous ne l’utilisez pas, et de sélectionner des interfaces spécifiques comme entrée dans l’analyseur plutôt que d’utiliser l’option all de mot-clé, qui permet la mise en miroir sur toutes les interfaces. Mettre en miroir uniquement les paquets nécessaires réduit l’impact potentiel sur les performances.

Vous pouvez également limiter la quantité de trafic mis en miroir :

  • Utilisation de l’échantillonnage statistique

  • Utilisation d’un filtre de pare-feu

  • Définition d’un ratio pour sélectionner un échantillon statistique

Grâce à la mise en miroir locale, le trafic provenant de plusieurs ports est répliqué vers l’interface de sortie de l’analyseur. Si l’interface de sortie d’un analyseur atteint sa capacité, les paquets sont abandonnés. Vous devez déterminer si le trafic mis en miroir dépasse la capacité de l’interface de sortie de l’analyseur.

Tableau 2 résume les consignes de configuration supplémentaires pour les analyseurs.

Tableau 2 : Consignes de configuration pour les analyseurs de mise en miroir de ports

Ligne directrice

Valeur ou informations d’assistance

Commentaire

Nombre d’analyseurs que vous pouvez activer simultanément.

64 analyseurs par défaut

2 par FPC – Analyseur statistique

Les analyseurs statistiques doivent être reliés à un FPC pour mettre en miroir le trafic sur les ports appartenant à ce FPC.

REMARQUE :

Les propriétés de l’analyseur par défaut sont implicitement liées à la dernière (ou l’avant-dernière) instance de tous les SPC du système. Par conséquent, lorsque vous liez explicitement un deuxième analyseur statistique sur le FPC, les propriétés de l’analyseur par défaut sont remplacées.

Nombre d’interfaces, de VLAN ou de domaines de pont que vous pouvez utiliser comme entrée entrante vers un analyseur.

256

Types de ports sur lesquels vous ne pouvez pas mettre en miroir le trafic.

  • Ports Virtual Chassis (VCP)

  • Ports Ethernet de gestion (me0 ou vme0)

  • Interfaces de routage et de pontage intégrés (IRB)

  • Interfaces de couche 3 marquées par VLAN

 

Familles de protocoles que vous pouvez inclure dans un analyseur.

ethernet-switching pour les commutateurs EX Series et bridge les routeurs MX Series.

ethernet-switching Ou bridge

Pointe: Consultez l’interface CLI sur votre plate-forme pour voir laquelle de ces familles est disponible. [voir aussi ma note quelques rangées plus bas.]

Un analyseur ne met en miroir que le trafic ponté. Pour mettre en miroir le trafic routé, utilisez la configuration de mise en miroir de port avec family le ou inetinet6. [ajoutera un lien ici pour obtenir des informations sur la configuration de mise en miroir des ports.]

Les paquets présentant des erreurs de couche physique ne sont pas envoyés à l’analyseur local ou distant.

Applicable

Les paquets présentant ces erreurs sont filtrés et ne sont donc pas envoyés à l’analyseur.

L’analyseur ne prend pas en charge le trafic à débit de ligne.

Applicable

La mise en miroir du trafic à débit de ligne se fait dans le meilleur des efforts.

Sortie de l’analyseur sur une interface LAG.

Soutenu

 

Mode interface de sortie de l’analyseur en mode trunk.

Soutenu

  • L’interface de tronc doit être membre de tous les VLAN ou domaines de pont liés à la configuration d’entrée de l’analyseur.

  • Vous devez utiliser l’option mirror-once si l’entrée a été configurée en tant que VLAN ou domaine de pont et que la sortie est une interface de tronc.

    REMARQUE :

    Avec l’option miroir une fois, si l’entrée de l’analyseur provient à la fois de la mise en miroir entrante et sortante, seul le trafic entrant est mis en miroir. Si la mise en miroir d’entrée et de sortie est nécessaire, l’interface de sortie ne peut pas être un tronc. Dans de tels cas, configurez l’interface en tant qu’interface d’accès.

Mise en miroir sortante des paquets de contrôle générés par l’hôte.

Non pris en charge

 

Configuration des interfaces logiques de couche 3 dans la input strophe d’un analyseur.

Non pris en charge

 

Les strophes d’entrée et de sortie de l’analyseur contenant des membres du même VLAN ou du VLAN lui-même doivent être évitées.

Applicable

 

Prise en charge du VLAN et de ses interfaces membres dans différentes sessions d’analyse

Non pris en charge

Si la mise en miroir est configurée, l’un des analyseurs est actif.

Mise en miroir sortante des interfaces Ethernet agrégées (ae) et de ses interfaces logiques enfant configurées pour différents analyseurs.

Non pris en charge

 

Configuration de la mise en miroir sur les commutateurs EX9200 pour analyser le trafic (procédure CLI)

Les commutateurs EX9200 vous permettent de configurer la mise en miroir pour envoyer des copies de paquets à une interface locale pour une surveillance locale ou à un VLAN pour la surveillance à distance. Vous pouvez utiliser la mise en miroir pour copier les paquets suivants :

  • Paquets entrants ou sortants d’un port

  • Paquets entrants ou sortants d’un VLAN

bonnes pratiques :

Mettre en miroir uniquement les paquets nécessaires pour réduire l’impact potentiel sur les performances. Nous vous recommandons de :

  • Désactivez les analyseurs que vous avez configurés lorsque vous ne les utilisez pas.

  • Spécifiez des interfaces individuelles en tant qu’entrée pour les analyseurs plutôt que de spécifier toutes les interfaces en tant qu’entrée.

  • Limitez la quantité de trafic mis en miroir par :

    • À l’aide d’un échantillonnage statistique.

    • Définir des ratios pour sélectionner des échantillons statistiques.

    • À l’aide de filtres de pare-feu.

REMARQUE :

Si vous souhaitez créer des analyseurs supplémentaires sans supprimer les analyseurs existants, désactivez-les à l’aide de l’instruction disable analyzer analyzer-name de l’interface de ligne de commande (CLI) ou de la page de configuration J-Web pour la mise en miroir.

REMARQUE :

Les interfaces utilisées comme sortie pour un analyseur doivent être configurées sous le ethernet-switching family, et doivent être associées à un VLAN.

Configuration d’un analyseur pour l’analyse du trafic local

Pour mettre en miroir le trafic réseau ou VLAN sur le commutateur vers une interface du commutateur à l’aide d’analyseurs :

  1. Choisissez un nom pour l’analyseur et spécifiez l’entrée :

    Par exemple, créer un analyseur appelé employee-monitor pour surveiller les paquets entrant dans les interfaces ge-0/0/0.0 et ge-0/0/1.0 :

  2. Configurez l’interface de destination pour les paquets mis en miroir :

    Par exemple, configurez ge-0/0/10.0 comme interface de destination pour l’analyseur employee-monitor :

Configuration d’un analyseur pour l’analyse du trafic distant

Pour mettre en miroir le trafic qui traverse des interfaces ou un VLAN sur le commutateur vers un VLAN utilisé pour l’analyse à partir d’un emplacement distant :

  1. Configurez un VLAN pour transporter le trafic en miroir :

    Par exemple, définissez un VLAN d’analyseur appelé remote-analyzer et lui assignez l’ID 999VLAN :

  2. Définissez l’interface connectée au commutateur de distribution en mode d’accès et associez-la au VLAN de l’analyseur :

    Par exemple, définissez le mode d’accès de l’interface ge-0/1/1 et associez-la à l’ID 999VLAN de l’analyseur :

  3. Configurez l’analyseur :
    1. Définissez un analyseur et spécifiez le trafic à mettre en miroir :

      Par exemple, définissez l’analyseur pour lequel le employee-monitor trafic à mettre en miroir comprend les paquets entrant dans les interfaces ge-0/0/0/0 et ge-0/0/1.0 :

    2. Spécifiez le VLAN de l’analyseur comme sortie pour l’analyseur :

      Par exemple, spécifiez le remote-analyzer VLAN comme analyseur de sortie pour l’analyseur employee-monitor :

Configuration d’un analyseur statistique pour l’analyse du trafic local

Pour mettre en miroir le trafic d’interface ou le trafic VLAN sur le commutateur à une interface sur le commutateur à l’aide d’un analyseur statistique :

  1. Choisissez un nom pour l’analyseur et spécifiez les interfaces d’entrée :

    Par exemple, spécifiez un analyseur appelé employee-monitor et spécifiez les interfaces d’entrée ge-0/0/0 et ge-0/0/1 :

  2. Configurez l’interface de destination pour les paquets mis en miroir :

    Par exemple, configurez ge-0/0/10.0 comme interface de destination pour les paquets mis en miroir :

  3. Spécifiez les propriétés de mise en miroir.
    1. Spécifiez le taux de mise en miroir, c’est-à-dire le nombre de paquets à mettre en miroir par seconde :

      La plage valide est de 1 à 65 535.

    2. Spécifiez à quelle longueur les paquets mis en miroir sont tronqués :

    La plage valide est de 0 à 9216. La valeur par défaut est 0, ce qui indique que les paquets mis en miroir ne sont pas tronqués.

Configuration d’un analyseur statistique pour l’analyse du trafic distant

Pour mettre en miroir le trafic qui traverse des interfaces ou un VLAN sur le commutateur vers un VLAN pour l’analyse à partir d’un emplacement distant à l’aide d’un analyseur statistique :

  1. Configurez un VLAN pour transporter le trafic en miroir :

    Par exemple, configurez un VLAN appelé remote-analyzer avec l’ID 999VLAN :

  2. Définissez l’interface connectée au commutateur de distribution en mode d’accès et associez-la au VLAN :

    Par exemple, définissez l’interface ge-0/1/1.0 connectée au commutateur de distribution en mode d’accès et associez-la au remote-analyzer VLAN :

  3. Configurez l’analyseur statistique :
    1. Spécifiez le trafic à mettre en miroir :

      Par exemple, spécifiez les paquets entrant dans les ports ge-0/0/0.0 et ge-0/0/1.0 à mettre en miroir :

    2. Spécifiez une sortie pour l’analyseur :

      Par exemple, spécifiez le remote-analyzer VLAN comme sortie pour l’analyseur :

  4. Spécifiez les propriétés de mise en miroir.

    1. Spécifiez le taux de mise en miroir, c’est-à-dire le nombre de paquets à mettre en miroir par seconde :

      La plage valide est de 1 à 65 535.

    2. Spécifiez la longueur à laquelle les paquets mis en miroir doivent être tronqués :

    La plage valide est de 0 à 9216. La valeur par défaut est 0, ce qui signifie que les paquets mis en miroir ne sont pas tronqués.

Liaison des analyseurs statistiques aux ports regroupés au niveau FPC

Vous pouvez lier un analyseur statistique à un FPC spécifique dans le commutateur, c’est-à-dire que vous pouvez lier l’instance d’analyseur statistique au niveau FPC du commutateur. Les propriétés de mise en miroir spécifiées dans l’analyseur statistique sont appliquées à tous les ports physiques associés à tous les moteurs de transfert de paquets sur le FPC spécifié.

Pour lier une instance nommée de l’analyseur de couche 2 à un FPC :

  1. Activer la configuration des propriétés du châssis de commutateur :

  2. Activer la configuration d’un FPC (et de ses PIC installés) :

  3. Lier une instance d’analyseur statistique au FPC :

  4. (Facultatif) Pour lier une deuxième instance d’analyseur statistique de couche 2 en miroir au même FPC, répétez l’étape 3 et spécifiez un autre nom :

  5. Vérifiez la configuration minimale de la liaison :

REMARQUE :

Lors de la liaison d’une deuxième instance (stats_analyzer-2 dans cet exemple), les propriétés de mise en miroir de cette session, si configurées, remplacent tout analyseur par défaut.

Configuration d’un analyseur avec plusieurs destinations à l’aide de groupes de sauts suivants

Vous pouvez mettre en miroir le trafic vers plusieurs destinations en configurant des groupes de sauts suivants en tant que sortie d’analyseur. La mise en miroir de paquets vers plusieurs destinations est également connue sous le nom de mise en miroir de ports multipacket.

Pour mettre en miroir le trafic d’interface ou le trafic VLAN sur le commutateur vers une interface sur le commutateur (à l’aide d’analyseurs) :

  1. Choisissez un nom pour l’analyseur et spécifiez l’entrée :

    Par exemple, créez un analyseur appelé employee-monitor pour lequel le trafic d’entrée comprend des paquets entrant dans les interfaces ge-0/0/0/0 et ge-0/0/1.0 :

  2. Configurez l’interface de destination pour les paquets mis en miroir :

    Par exemple, configurez le groupe nhg du saut suivant comme destination pour l’analyseur employee-monitor :

Définition d’un groupe de sauts suivants pour la mise en miroir de couche 2

La configuration du groupe du saut suivant au niveau de la [edit forwarding-options] configuration vous permet de définir le nom d’un groupe de sauts suivant, le type d’adresses à utiliser dans le groupe de sauts suivants et les interfaces logiques qui forment les multiples destinations vers lesquelles le trafic peut être mis en miroir. Par défaut, le groupe de sauts suivants est spécifié à l’aide d’adresses de couche 3 à l’aide de l’instruction [edit forwarding-options next-hop-group next-hop-group-name group-type inet] . Pour spécifier un groupe de sauts suivants à l’aide d’adresses de couche 2 à la place, incluez l’instruction [edit forwarding-options next-hop-group next-hop-group-name group-type layer-2] .

Pour définir un groupe de sauts suivants pour la mise en miroir de couche 2 :

  1. Activez la configuration d’un groupe de sauts suivants pour la mise en miroir de couche 2 :

    Par exemple, configurez next-hop-group avec le nom nhg:

  2. Spécifiez le type d’adresses à utiliser dans la configuration du groupe du saut suivant :

    Par exemple, configurez next-hop-group type comme étant donné que layer-2 la sortie de l’analyseur doit être layer-2 uniquement :

  3. Spécifiez les interfaces logiques du groupe de sauts suivants :

    Par exemple, pour spécifier ge-0/0/10.0 et ge-0/0/11.0 comme interfaces logiques du groupe nhgdu saut suivant :

Configuration de la mise en miroir sur les commutateurs EX4300 pour analyser le trafic (procédure CLI)

REMARQUE :

Cette tâche utilise Junos OS pour les commutateurs EX Series avec la prise en charge du style de configuration ELS (Enhanced Layer 2 Software).

Les commutateurs EX4300 vous permettent de configurer la mise en miroir pour envoyer des copies de paquets à une interface locale pour une surveillance locale ou à un VLAN pour la surveillance à distance. Vous pouvez utiliser la mise en miroir pour copier ces paquets :

  • Paquets entrants ou sortants d’un port

  • Paquets entrant dans un VLAN

bonnes pratiques :

Mettre en miroir uniquement les paquets nécessaires pour réduire l’impact potentiel sur les performances. Nous vous recommandons de :

  • Désactivez vos configurations de mise en miroir configurées lorsque vous ne les utilisez pas.

  • Spécifiez des interfaces individuelles en tant qu’entrée pour les analyseurs plutôt que de spécifier toutes les interfaces en tant qu’entrée.

  • Limitez la quantité de trafic mis en miroir à l’aide de filtres de pare-feu.

REMARQUE :

Si vous souhaitez créer des analyseurs supplémentaires sans supprimer les analyseurs existants, désactivez-les à l’aide de l’instruction disable analyzer analyzer-name de l’interface de ligne de commande ou de la page de configuration J-Web pour la mise en miroir.

REMARQUE :

Les interfaces utilisées comme sortie pour un analyseur doivent être configurées dans la ethernet-switching famille.

Configuration d’un analyseur pour l’analyse du trafic local

Pour mettre en miroir le trafic d’interface ou le trafic VLAN sur le commutateur vers une interface sur le commutateur (à l’aide d’analyseurs) :

  1. Choisissez un nom pour l’analyseur et spécifiez l’entrée :

    Par exemple, créez un analyseur appelé employee-monitor pour lequel le trafic d’entrée est des paquets entrant dans les interfaces ge-0/0/0/0 et ge-0/0/1.0 :

  2. Configurez l’interface de destination pour les paquets mis en miroir :

    Par exemple, configurez ge-0/0/10.0 comme interface de destination pour l’analyseur employee-monitor :

Configuration d’un analyseur pour l’analyse du trafic distant

Pour mettre en miroir le trafic qui traverse des interfaces ou un VLAN sur le commutateur vers un VLAN pour l’analyse à partir d’un emplacement distant (à l’aide d’analyseurs) :

  1. Configurez un VLAN pour transporter le trafic en miroir :

    Par exemple, définir un VLAN d’analyseur appelé remote-analyzer et lui attribuer un ID VLAN de 999:

  2. Configurez l’interface du module de liaison montante connectée au commutateur de distribution en mode trunk et associez-la au VLAN de l’analyseur :

    Par exemple, définissez l’interface ge-0/1/1 en mode trunk et associez-la à l’ID 999VLAN de l’analyseur :

  3. Configurez l’analyseur :
    1. Définissez un analyseur et spécifiez le trafic à mettre en miroir :

      Par exemple, définissez l’analyseur pour lequel le employee-monitor trafic à mettre en miroir est des paquets entrant dans les interfaces ge-0/0/0/0 et ge-0/0/1.0 :

    2. Spécifiez le VLAN de l’analyseur comme sortie pour l’analyseur :

      Par exemple, spécifiez le remote-analyzer VLAN comme analyseur de sortie pour l’analyseur employee-monitor :

Configuration de la mise en miroir de ports

Pour filtrer les paquets à mettre en miroir sur une instance de mise en miroir de ports, créez l’instance, puis utilisez-la comme action dans le filtre de pare-feu. Vous pouvez utiliser des filtres de pare-feu dans des configurations de mise en miroir locales et distantes.

Si la même instance de mise en miroir de ports est utilisée dans plusieurs filtres ou termes, les paquets ne sont copiés qu’une seule fois dans le port de sortie de l’analyseur ou le VLAN de l’analyseur.

Pour filtrer le trafic mis en miroir, créez une instance de mise en miroir de port au niveau hiérarchique [edit forwarding-options] , puis créez un filtre de pare-feu. Le filtre peut utiliser n’importe quelle condition de correspondance disponible et doit avoir port-mirror-instance instance-name comme action. Cette action dans la configuration du filtre de pare-feu fournit l’entrée à l’instance de mise en miroir de port.

Pour configurer une instance de mise en miroir de ports avec des filtres de pare-feu :

  1. Configurez le nom de l’instance de mise en miroir des ports (ici) employee-monitoret la sortie :
    1. Pour l’analyse locale, définissez la sortie sur l’interface locale où vous connecterez l’ordinateur exécutant l’analyseur de protocole :
    2. Pour l’analyse à distance, définissez la sortie sur le remote-analyzer VLAN :
  2. Créez un filtre de pare-feu à l’aide de l’une des conditions de correspondance disponibles et attribuez employee-monitor à l’action port-mirror-instance :

    Cette étape montre un filtre example-filterde pare-feu , avec deux termes (no-analyzer et to-analyzer) :

    1. Créez le premier terme pour définir le trafic qui ne doit pas passer par l’instance employee-monitorde mise en miroir des ports :
    2. Créez le deuxième terme pour définir le trafic qui doit passer par l’instance employee-monitorde mise en miroir des ports :
  3. Appliquez le filtre de pare-feu aux interfaces ou VLAN qui fournissent l’entrée à l’instance de mise en miroir des ports :

Configuration de la mise en miroir des ports pour analyser le trafic (procédure CLI)

Cette tâche de configuration utilise Junos OS pour les commutateurs EX Series qui ne prennent pas en charge le style de configuration ELS (Enhanced Layer 2 Software).

Les commutateurs EX Series vous permettent de configurer la mise en miroir des ports pour envoyer des copies de paquets à une interface locale pour une surveillance locale ou à un VLAN pour la surveillance à distance. Vous pouvez utiliser la mise en miroir de ports pour copier ces paquets :

  • Paquets entrants ou sortants d’un port

  • Paquets entrant un VLAN sur les commutateurs EX2200, EX3200, EX3300, EX4200, EX4500 ou EX6200

  • Paquets sortant d’un VLAN sur les commutateurs EX8200

bonnes pratiques :

Mettre en miroir uniquement les paquets nécessaires pour réduire l’impact potentiel sur les performances. Nous vous recommandons de :

  • Désactivez vos analyseurs de mise en miroir de ports configurés lorsque vous ne les utilisez pas.

  • Spécifiez des interfaces individuelles en tant qu’entrée pour les analyseurs plutôt que de spécifier toutes les interfaces en tant qu’entrée.

  • Limitez la quantité de trafic mis en miroir par :

    • À l’aide d’un échantillonnage statistique.

    • Définir des ratios pour sélectionner des échantillons statistiques.

    • À l’aide de filtres de pare-feu.

Avant de commencer à configurer la mise en miroir des ports, notez les limitations suivantes pour les interfaces de sortie de l’analyseur :

  • Ne peut pas non plus être un port source.

  • Ne peut pas être utilisée pour la commutation.

  • Ne participez pas aux protocoles de couche 2 (tels que RSTP) lorsque vous faites partie d’une configuration de mise en miroir de ports.

  • Ne conservez aucune association VLAN qu’ils détenaient avant d’être configurées en tant qu’interfaces de sortie d’analyseur.

REMARQUE :

Si vous souhaitez créer des analyseurs supplémentaires sans supprimer l’analyseur existant, commencez par désactiver l’analyseur existant à l’aide de la disable analyzer analyzer-name commande ou de la page de configuration J-Web pour la mise en miroir des ports.

REMARQUE :

Les interfaces utilisées comme sortie pour un analyseur doivent être configurées en tant que famille ethernet-switching.

Configuration de la mise en miroir des ports pour l’analyse du trafic local

Pour mettre en miroir le trafic d’interface ou le trafic VLAN sur le commutateur vers une autre interface du commutateur :

  1. Choisissez un nom pour l’analyseur (dans ce cas employee-monitor) et spécifiez l’entrée, dans ce cas, les paquets entrants ge-0/0/0 et ge-0/0/1:
  2. Vous pouvez éventuellement spécifier un échantillonnage statistique des paquets en définissant un ratio :

    Lorsque le ratio est défini à 200, 1 paquet sur 200 est mis en miroir sur l’analyseur. Vous pouvez utiliser l’échantillonnage statistique pour réduire le volume de trafic mis en miroir, car un volume élevé de trafic mis en miroir peut être coûteux en performances pour le commutateur. Sur les commutateurs EX8200, vous pouvez définir un ratio uniquement pour les paquets entrants.

  3. Configurez l’interface de destination pour les paquets mis en miroir :

Configuration de la mise en miroir de ports pour l’analyse du trafic distant

Pour mettre en miroir le trafic qui traverse des interfaces ou un VLAN sur le commutateur vers un VLAN à des fins d’analyse à partir d’un emplacement distant :

  1. Configurez un VLAN pour transporter le trafic en miroir. Ce VLAN est appelé remote-analyzer et donné l’ID de 999 par convention dans cette documentation :
  2. Configurez l’interface du module de liaison montante connectée au commutateur de distribution en mode trunk et associez-la au remote-analyzer VLAN :
  3. Configurez l’analyseur :
    1. Choisissez un nom et fixez la priorité des pertes à un niveau élevé. Lors de la configuration de la mise en miroir de ports distants, la priorité des pertes doit toujours être élevée :
    2. Spécifiez le trafic à mettre en miroir , dans cet exemple, les paquets entrant dans les ports ge-0/0/0 et ge-0/0/1:
    3. Spécifiez le remote-analyzer VLAN comme sortie pour l’analyseur :
  4. Vous pouvez éventuellement spécifier un échantillonnage statistique des paquets en définissant un ratio :

    Lorsque le ratio est défini à 200, 1 paquet sur 200 est mis en miroir dans l’analyseur. Vous pouvez l’utiliser pour réduire le volume de trafic mis en miroir, car un volume très élevé de trafic mis en miroir peut être coûteux en performances pour le commutateur.

Filtrage du trafic entrant dans un analyseur

Pour filtrer les paquets mis en miroir sur un analyseur, créez l’analyseur, puis utilisez-le comme action dans le filtre de pare-feu. Vous pouvez utiliser des filtres de pare-feu dans des configurations de mise en miroir de ports locaux et distants.

Si le même analyseur est utilisé dans plusieurs filtres ou termes, les paquets ne sont copiés qu’une seule fois vers le port de sortie de l’analyseur ou le VLAN de l’analyseur.

Pour filtrer le trafic mis en miroir, créez un analyseur, puis un filtre de pare-feu. Le filtre peut utiliser n’importe quelle des conditions de correspondance disponibles et doit avoir une action de analyzer. L’action du filtre de pare-feu fournit l’entrée à l’analyseur.

Pour configurer la mise en miroir des ports avec des filtres :

  1. Configurez le nom de l’analyseur (ici) employee-monitoret la sortie :
    1. Pour l’analyse locale, définissez la sortie sur l’interface locale à laquelle vous connecterez l’ordinateur exécutant l’application d’analyse de protocole :
    2. Pour l’analyse à distance, définissez la priorité sur les pertes et définissez la sortie sur le remote-analyzer VLAN :
  2. Créez un filtre de pare-feu à l’aide de l’une des conditions de correspondance disponibles et spécifiez l’action comme :analyzer

    Cette étape montre un filtre de pare-feu appelé example-filter, avec deux termes :

    1. Créez le premier terme pour définir le trafic qui ne doit pas passer par l’analyseur :
    2. Créez le deuxième terme pour définir le trafic qui doit passer par l’analyseur :
  3. Appliquez le filtre de pare-feu aux interfaces ou au VLAN entrant dans l’analyseur :

Vérification des entrées et sorties pour les analyseurs de mise en miroir de ports sur les commutateurs EX Series

But

Cette tâche de vérification utilise Junos OS pour les commutateurs EX Series qui ne prennent pas en charge le style de configuration ELS (Enhanced Layer 2 Software).

Vérifiez qu’un analyseur a été créé sur le commutateur et dispose des interfaces d’entrée miroir appropriées et de l’interface de sortie de l’analyseur appropriée.

Action

Vous pouvez vérifier que l’analyseur de miroir de port est configuré comme prévu à l’aide de la show analyzer commande.

Vous pouvez afficher tous les analyseurs de miroir de ports configurés sur le commutateur, y compris ceux qui sont désactivés, à l’aide de la show ethernet-switching-options commande en mode de configuration.

Sens

Cette sortie montre que l’analyseur employé-moniteur a un ratio de 1 (mettant en miroir chaque paquet, par défaut), une priorité de perte de high (définissez cette option à high chaque sortie de l’analyseur est vers un VLAN), reflète le trafic entrant dans ge-0/0/0 et ge-0/0/1, et envoie le trafic mis en miroir à l’analyseur appelé analyseur à distance.

Exemple : Configuration des analyseurs de mise en miroir de ports pour une surveillance locale de l’utilisation des ressources des employés

Les équipements Juniper Networks vous permettent de configurer la mise en miroir des ports pour envoyer des copies de paquets à une interface locale pour une surveillance locale, à un VLAN ou à un domaine de pont pour la surveillance à distance. Vous pouvez utiliser la mise en miroir pour copier ces paquets :

  • Paquets entrants ou sortants d’un port

  • Paquets entrants ou sortants d’un VLAN ou d’un domaine de pont

Vous pouvez ensuite analyser le trafic mis en miroir en local ou à distance à l’aide d’un analyseur de protocole. Vous pouvez installer un analyseur sur une interface de destination locale. Si vous envoyez un trafic en miroir à un VLAN d’analyse ou à un domaine de pont, vous pouvez l’utiliser sur une station de surveillance distante.

Cette rubrique explique comment configurer la mise en miroir locale sur un équipement de commutation. Les exemples de cette rubrique décrivent comment configurer un équipement de commutation pour mettre en miroir le trafic entrant dans les interfaces connectées aux ordinateurs des employés vers une interface de sortie d’analyseur sur ce même équipement.

Conditions préalables

Utilisez l’un des composants matériels et logiciels suivants :

  • Un commutateur EX9200 avec Junos OS version 13.2 ou ultérieure

  • Un routeur MX Series avec Junos OS version 14.1 ou ultérieure

Avant de configurer la mise en miroir des ports, assurez-vous de bien comprendre les concepts de mise en miroir. Pour plus d’informations sur les analyseurs, voir Comprendre les analyseurs de mise en miroir de ports. Pour plus d’informations sur la mise en miroir des ports, voir Présentation de la mise en miroir des ports de couche 2.

Présentation et topologie

Cette rubrique décrit comment mettre en miroir tout le trafic entrant dans les ports de l’équipement de commutation vers une interface de destination sur le même équipement (mise en miroir locale). Dans ce cas, le trafic pénètre dans des ports connectés aux ordinateurs des employés.

REMARQUE :

La mise en miroir de tout le trafic nécessite une bande passante importante et ne doit être effectuée que lors d’une investigation active.

Les interfaces ge-0/0/0 et ge-0/0/1 servent de connexions aux ordinateurs des employés.

L’interface ge-0/0/10 est réservée à l’analyse du trafic mis en miroir.

Connectez un PC exécutant un analyseur de protocole à l’interface de sortie de l’analyseur.

REMARQUE :

Plusieurs ports mis en miroir sur une interface peuvent entraîner un dépassement de tampon, entraînant la perte de paquets en miroir au niveau de l’interface de sortie.

Figure 1 affiche la topologie du réseau pour cet exemple.

Figure 1 : Exemple de topologie réseau pour la mise en miroir de ports locauxExemple de topologie réseau pour la mise en miroir de ports locaux

Mise en miroir de tout le trafic des employés pour une analyse locale

Procédure

Configuration rapide cli

Pour configurer rapidement la mise en miroir locale pour le trafic entrant envoyé sur deux ports connectés aux ordinateurs des employés, copiez l’une des commandes suivantes pour les commutateurs EX Series ou les routeurs MX Series et collez-les dans la fenêtre du terminal de commutation :

EX Series

MX Series

Procédure étape par étape

Pour configurer un analyseur appelé employee-monitor et spécifier à la fois les interfaces d’entrée (source) et l’interface de sortie de l’analyseur :

  1. Configurez chaque interface à utiliser dans la configuration de l’analyseur. Utilisez le protocole de famille qui convient à votre plate-forme.

    Pour configurer family bridge sur une interface, vous devez configurer interface-mode access ou interface-mode trunk aussi. Vous devez également configurer vlan-id.

  2. Configurez chaque interface connectée aux ordinateurs des employés en tant qu’interface employee-monitord’analyse de sortie .

  3. Configurez l’interface d’analyse de sortie pour l’analyseur employee-monitor .

    Il s’agit de l’interface de destination des paquets mis en miroir.

Résultats

Vérifiez les résultats de la configuration.

Vérification

Vérifier que l’analyseur a été correctement créé

But

Vérifiez que l’analyseur employee-monitor a été créé sur l’équipement de commutation avec les interfaces d’entrée et l’interface de sortie appropriées.

Action

Utilisez la show forwarding-options analyzer commande opérationnelle pour vérifier qu’un analyseur est configuré comme prévu.

Sens

La sortie montre que l’analyseur employee-monitor a un ratio de 1 (c’est-à-dire, mettant en miroir chaque paquet, le paramètre par défaut), la taille maximale du paquet d’origine mis en miroir est 0 (indiquant que l’ensemble du paquet est mis en miroir), l’état de la configuration est up, et l’analyseur met en miroir le trafic entrant dans l’interface ge-0/0/0, et envoie le trafic mis en miroir à l’interface ge-0/0/10.

Si l’état de l’interface de sortie est ou si l’interface de sortie n’est down pas configurée, la valeur de State indique down que l’analyseur ne recevra pas de trafic en miroir.

Exemple : Configuration de la mise en miroir des ports pour une surveillance à distance de l’utilisation des ressources des employés

Les équipements Juniper Networks vous permettent de configurer la mise en miroir des ports pour envoyer des copies de paquets à une interface locale pour une surveillance locale ou à un VLAN ou un domaine de pont pour la surveillance à distance. Vous pouvez utiliser la mise en miroir pour copier ces paquets :

  • Paquets entrants ou sortants d’un port

  • Paquets entrants ou sortants d’un VLAN

  • Paquets entrants ou sortants d’un domaine de pont

Si vous envoyez du trafic en miroir à un VLAN d’analyseur ou à un domaine de pont, vous pouvez analyser le trafic mis en miroir à l’aide d’un analyseur de protocole s’exécutant sur une station de surveillance à distance.

bonnes pratiques :

Mettre en miroir uniquement les paquets nécessaires pour réduire l’impact potentiel sur les performances. Nous vous recommandons d’effectuer les opérations suivantes :

  • Désactivez vos sessions de mise en miroir configurées lorsque vous ne les utilisez pas.

  • Spécifiez des interfaces individuelles en tant qu’entrée pour les analyseurs plutôt que de spécifier toutes les interfaces en tant qu’entrée.

  • Limitez la quantité de trafic mis en miroir par :

    • À l’aide d’un échantillonnage statistique.

    • Définir des ratios pour sélectionner des échantillons statistiques.

    • À l’aide de filtres de pare-feu.

Les exemples de cette rubrique décrivent comment configurer la mise en miroir des ports distants pour analyser l’utilisation des ressources des employés.

Conditions préalables

Cet exemple utilise l’une des paires de composants matériels et logiciels suivants :

  • Un commutateur EX9200 connecté à un autre commutateur EX9200 exécutant Junos OS version 13.2 ou ultérieure

  • Un routeur MX Series connecté à un autre routeur MX Series, tous deux exécutant Junos OS version 14.1 ou ultérieure

Avant de configurer la mise en miroir à distance, assurez-vous que :

Présentation et topologie

Cette rubrique explique comment configurer la mise en miroir des ports vers un VLAN d’analyse distant ou un domaine de pont afin que l’analyse puisse être effectuée à partir d’une station de surveillance à distance.

Figure 2 affiche la topologie du réseau pour les scénarios EX Series et MX Series.

topologie

Figure 2 : Topologie du réseau pour la mise en miroir et l’analyse des ports distantsTopologie du réseau pour la mise en miroir et l’analyse des ports distants

Dans cet exemple :

  • L’interface ge-0/0/0 est une interface de couche 2, et l’interface ge-0/0/1 est une interface de couche 3 (les deux sont des interfaces sur l’équipement source) qui servent de connexions aux ordinateurs des employés.

  • L’interface ge-0/0/10 est une interface de couche 2 qui connecte l’équipement de commutation source à l’équipement de commutation de destination.

  • L’interface ge-0/0/5 est une interface de couche 2 qui connecte l’équipement de commutation de destination à la station de surveillance à distance.

  • L’analyseur remote-analyzer est configuré sur tous les équipements de commutation de la topologie pour transporter le trafic mis en miroir. Cette topologie peut utiliser un VLAN ou un domaine de pont.

Mise en miroir du trafic des employés pour l’analyse à distance à l’aide d’un analyseur statistique

Pour configurer un analyseur statistique pour l’analyse du trafic à distance pour tout le trafic entrant et sortant des employés, sélectionnez l’un des exemples suivants :

Mise en miroir du trafic des employés pour l’analyse à distance pour les commutateurs EX Series

Configuration rapide cli

Pour configurer rapidement un analyseur statistique pour l’analyse à distance du trafic des employés entrants et sortants, copiez les commandes suivantes pour les commutateurs EX Series et collez-les dans la fenêtre de terminal de l’équipement de commutation appropriée.

  • Copiez et collez les commandes suivantes dans la fenêtre de terminal de commutation source :

    EX Series

  • Copiez et collez les commandes suivantes dans la fenêtre de terminal de commutation de destination :

    EX Series

Procédure étape par étape

Pour configurer la mise en miroir à distance de base :

  1. Sur l’équipement de commutation source, effectuez les opérations suivantes :

    • Configurez l’ID VLAN pour le remote-analyzer VLAN.

    • Configurez l’interface sur le port réseau connecté à l’équipement de commutation de destination pour le mode d’accès et associez-la au remote-analyzer VLAN.

    • Configurez l’analyseur employee-monitorstatistique .

    • Reliez l’analyseur statistique au FPC qui contient l’interface d’entrée.

  2. Sur l’équipement réseau de destination, effectuez les opérations suivantes :

    • Configurez l’ID VLAN pour le remote-analyzer VLAN.

    • Configurez l’interface de l’équipement de commutation de destination pour le mode d’accès et associez-la au remote-analyzer VLAN.

    • Configurez l’interface connectée à l’équipement de commutation de destination pour le mode d’accès.

    • Configurez l’analyseur employee-monitor .

    • Spécifiez les paramètres de mise en miroir tels que le débit et la longueur maximale des paquets pour l’analyseur employee-monitor .

    • Reliez l’analyseur employee-monitor au FPC contenant les ports d’entrée.

Résultats

Vérifiez les résultats de la configuration sur l’équipement de commutation source :

Vérifiez les résultats de la configuration sur l’équipement de commutation de destination.

Mise en miroir du trafic des employés pour l’analyse à distance pour les routeurs MX Series

Configuration rapide cli

Pour configurer rapidement un analyseur statistique pour l’analyse à distance du trafic des employés entrants et sortants, copiez les commandes suivantes pour les routeurs MX Series et collez-les dans la fenêtre de terminal de l’équipement de commutation appropriée.

  • Copiez et collez les commandes suivantes dans la fenêtre de terminal de commutation source :

    MX Series

  • Copiez et collez les commandes suivantes dans la fenêtre de terminal de commutation de destination :

    MX Series

Procédure étape par étape

Pour configurer la mise en miroir à distance de base à l’aide de routeurs MX Series :

  1. Sur l’équipement de commutation source, effectuez les opérations suivantes :

    • Configurez l’ID VLAN pour le domaine de remote-analyzer pont.

    • Configurez l’interface sur le port réseau connecté à l’équipement de commutation de destination pour le mode d’accès et associez-la au domaine de remote-analyzer pont.

    • Configurez l’analyseur employee-monitorstatistique .

    • Reliez l’analyseur statistique au FPC qui contient l’interface d’entrée.

  2. Sur l’équipement de commutation de destination, effectuez les opérations suivantes :

    • Configurez l’ID VLAN pour le domaine de remote-analyzer pont.

    • Configurez l’interface de l’équipement de commutation de destination pour le mode d’accès et associez-la au domaine de remote-analyzer pont.

    • Configurez l’interface connectée à l’équipement de commutation de destination pour le mode d’accès.

    • Configurez l’analyseur employee-monitor .

    • Spécifiez les paramètres de mise en miroir tels que le débit et la longueur maximale des paquets pour l’analyseur employee-monitor .

    • Reliez l’analyseur employee-monitor au FPC contenant les ports d’entrée.

Résultats

Vérifiez les résultats de la configuration sur l’équipement de commutation source :

Vérifiez les résultats de la configuration sur l’équipement de commutation de destination.

Vérification

Vérifier que l’analyseur a été correctement créé

But

Vérifiez que l’analyseur nommé employee-monitor a été créé sur l’équipement avec les interfaces d’entrée et l’interface de sortie appropriées.

Action

Pour vérifier que l’analyseur est configuré comme prévu tout en surveillant tout le trafic des employés sur l’équipement de commutation source, exécutez la show forwarding-options analyzer commande sur l’équipement de commutation source. La sortie suivante est affichée pour cet exemple de configuration.

Sens

Cette sortie montre que l’instance employee-monitor a un rapport de 2, la taille maximale du paquet d’origine qui a été mis en miroir est 128, l’état de la configuration est up, ce qui indique l’état correct et que l’analyseur est programmé, et l’analyseur met en miroir le trafic entrant dans ge-0/0/0.0 et ge-0/0/1.0, et envoie le trafic mis en miroir au VLAN appelé analyseur à distance.

Si l’état de l’interface de sortie est ou si l’interface down de sortie n’est pas configurée, la valeur de State sera en baisse et l’analyseur ne sera pas en mesure de surveiller le trafic.

Exemple : Configuration de la mise en miroir sur plusieurs interfaces pour surveiller à distance l’utilisation des ressources des employés sur les commutateurs EX9200

Les commutateurs EX9200 vous permettent de configurer la mise en miroir pour envoyer des copies de paquets à une interface locale pour une surveillance locale ou à un VLAN pour la surveillance à distance. Vous pouvez utiliser la mise en miroir pour copier ces paquets :

  • Paquets entrants ou sortants d’un port

  • Paquets entrants ou sortants d’un VLAN sur

Vous pouvez analyser le trafic mis en miroir à l’aide d’une application d’analyse de protocole s’exécutant sur une station de surveillance distante si vous envoyez le trafic en miroir à un VLAN d’analyse.

bonnes pratiques :

Mettre en miroir uniquement les paquets nécessaires pour réduire l’impact potentiel sur les performances. Nous vous recommandons de :

  • Désactivez vos analyseurs de mise en miroir configurés lorsque vous ne les utilisez pas.

  • Spécifiez des interfaces individuelles en tant qu’entrée pour les analyseurs plutôt que de spécifier toutes les interfaces en tant qu’entrée.

  • Limitez la quantité de trafic mis en miroir par :

    • À l’aide d’un échantillonnage statistique.

    • Définir des ratios pour sélectionner des échantillons statistiques.

    • À l’aide de filtres de pare-feu.

Cet exemple explique comment configurer la mise en miroir à distance sur plusieurs interfaces sur un VLAN d’analyse :

Conditions préalables

Cet exemple utilise les composants matériels et logiciels suivants :

  • Trois commutateurs EX9200

  • Junos OS version 13.2 ou ultérieure pour les commutateurs EX Series

Avant de configurer la mise en miroir à distance, assurez-vous que :

  • Les interfaces que l’analyseur utilisera en tant qu’interfaces d’entrée ont été configurées sur le commutateur.

Présentation et topologie

Cet exemple explique comment mettre en miroir le trafic entrant dans les ports du commutateur sur le VLAN de l’analyseur distant afin que vous puissiez effectuer l’analyse à partir d’une station de surveillance à distance. Dans cet exemple, le VLAN de l’analyseur à distance contient plusieurs interfaces membres. Par conséquent, le même trafic est mis en miroir sur toutes les interfaces membres du VLAN de l’analyseur à distance, de sorte que les paquets mis en miroir peuvent être envoyés à différentes stations de surveillance à distance. Vous pouvez installer des applications, telles que des renifleurs et des systèmes de détection d’intrusion, sur des stations de surveillance distantes pour analyser ces paquets en miroir et obtenir des données statistiques utiles. Par exemple, s’il existe deux stations de surveillance à distance, vous pouvez installer un renifleur sur une station de surveillance à distance et un système de détection d’intrusion sur l’autre station. Vous pouvez utiliser une configuration d’analyseur de filtre de pare-feu pour transférer un type spécifique de trafic vers une station de surveillance distante.

Cet exemple explique comment configurer un analyseur pour mettre en miroir le trafic sur plusieurs interfaces du groupe de sauts suivants afin que le trafic soit envoyé à différentes stations de surveillance pour analyse.

Figure 3 affiche la topologie du réseau pour cet exemple.

Figure 3 : Exemple de topologie de réseau en miroir à distance utilisant plusieurs interfaces membres VLAN dans le groupe de sauts suivantsExemple de topologie de réseau en miroir à distance utilisant plusieurs interfaces membres VLAN dans le groupe de sauts suivants

topologie

Dans cet exemple :

  • Les interfaces ge-0/0/0 et ge-0/0/1 sont des interfaces de couche 2 (les deux interfaces sur le commutateur source) qui servent de connexions aux ordinateurs des employés.

  • Les interfaces ge-0/0/10 et ge-0/0/11 sont des interfaces de couche 2 connectées à différents commutateurs de destination.

  • L’interface ge-0/0/12 est une interface de couche 2 qui connecte le commutateur de destination 1 à la station de surveillance à distance.

  • L’interface ge-0/0/13 est une interface de couche 2 qui connecte le commutateur de destination 2 à la station de surveillance à distance.

  • Le VLAN remote-analyzer est configuré sur tous les commutateurs de la topologie pour transporter le trafic mis en miroir.

Mise en miroir de tout le trafic des employés vers plusieurs interfaces membres VLAN pour l’analyse à distance

Pour configurer la mise en miroir vers plusieurs interfaces membres VLAN pour l’analyse du trafic distant pour tout le trafic entrant et sortant des employés, effectuez ces tâches :

Procédure

Configuration rapide cli

Pour configurer rapidement la mise en miroir pour l’analyse à distance du trafic des employés entrants et sortants, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur :

  • Dans la fenêtre du terminal du commutateur source, copiez et collez les commandes suivantes :

  • Dans la fenêtre du terminal du commutateur de destination 1, copiez et collez les commandes suivantes :

  • Dans la fenêtre du terminal du commutateur de destination 2, copiez et collez les commandes suivantes :

Procédure étape par étape

Pour configurer la mise en miroir à distance de base sur deux interfaces membres VLAN :

  1. Sur le commutateur source :

    • Configurez l’ID VLAN pour le remote-analyzer VLAN :

    • Configurez les interfaces du port réseau connectés aux commutateurs de destination pour le mode d’accès et associez-le au remote-analyzer VLAN :

    • Configurez l’analyseur employee-monitor :

      Dans cette configuration d’analyseur, le trafic entrant et sortant des interfaces ge-0/0/0 et ge-0/0/0/1.0 est envoyé à la destination de sortie définie par le groupe de sauts suivants nommé remote-analyzer-nhg.

    • Configurez le remote-analyzer-nhb groupe du saut suivant :

  2. Sur le commutateur Destination 1 :

    • Configurez l’ID VLAN pour le remote-analyzer VLAN :

    • Configurez l’interface ge-0/0/10 sur le commutateur Destination 1 pour le mode d’accès :

    • Configurez l’interface connectée à la station de surveillance à distance pour le mode d’accès :

    • Configurez l’analyseur employee-monitor :

  3. Sur le commutateur Destination 2 :

    • Configurez l’ID VLAN pour le remote-analyzer VLAN :

    • Configurez l’interface ge-0/0/11 sur le commutateur Destination 2 pour le mode d’accès :

    • Configurez l’interface connectée à la station de surveillance à distance pour le mode d’accès :

    • Configurez l’analyseur employee-monitor :

Résultats

Vérifiez les résultats de la configuration sur le commutateur source :

Vérifiez les résultats de la configuration sur le commutateur De destination 1 :

Vérifiez les résultats de la configuration sur le commutateur de destination 2 :

Vérification

Pour vérifier que la configuration fonctionne correctement, effectuez les tâches suivantes :

Vérifier que l’analyseur a été correctement créé

But

Vérifiez que l’analyseur nommé employee-monitor a été créé sur le commutateur avec les interfaces d’entrée et l’interface de sortie appropriées.

Action

Vous pouvez vérifier que l’analyseur est configuré comme prévu à l’aide de la show forwarding-options analyzer commande.

Pour vérifier que l’analyseur est configuré comme prévu tout en surveillant tout le trafic des employés sur le commutateur source, exécutez la show forwarding-options analyzer commande sur le commutateur source. La sortie suivante est affichée pour cet exemple de configuration sur le commutateur source :

Sens

Cette sortie montre que l’analyseur employee-monitor a un ratio de 1 (mettant en miroir chaque paquet, qui est le comportement par défaut), l’état de la configuration est up, qui indique l’état correct et que l’analyseur est programmé, met en miroir le trafic entrant ou sortant des interfaces ge-0/0/0 et ge-0/0/1, et envoie le trafic en miroir vers plusieurs interfaces ge-0/0/10.0 et ge-0/0/11.0 via le groupe remote-analyzer-nhgde sauts suivant . Si l’état de l’interface de sortie est ou si l’interface de sortie n’est down pas configurée, la valeur de l’état sera en baisse et l’analyseur ne pourra pas mettre en miroir le trafic.

Exemple : Configuration de la mise en miroir pour une surveillance à distance de l’utilisation des ressources des employés via un commutateur de transit sur les commutateurs EX9200

Les commutateurs EX9200 vous permettent de configurer la mise en miroir pour envoyer des copies de paquets à une interface locale pour une surveillance locale ou à un VLAN pour la surveillance à distance. Vous pouvez utiliser la mise en miroir pour copier ces paquets :

  • Paquets entrants ou sortants d’un port

  • Paquets entrants ou sortants d’un VLAN

Vous pouvez analyser le trafic mis en miroir à l’aide d’une application d’analyse de protocole s’exécutant sur une station de surveillance distante si vous envoyez le trafic en miroir à un VLAN d’analyse.

Cette rubrique comprend un exemple qui explique comment mettre en miroir le trafic entrant dans les ports du commutateur vers le VLAN de l’analyseur distant via un commutateur de transit, afin que vous puissiez effectuer l’analyse à partir d’une station de surveillance à distance.

bonnes pratiques :

Mettre en miroir uniquement les paquets nécessaires pour réduire l’impact potentiel sur les performances. Nous vous recommandons de :

  • Désactivez vos sessions de mise en miroir configurées lorsque vous ne les utilisez pas.

  • Spécifiez des interfaces individuelles en tant qu’entrée pour les analyseurs plutôt que de spécifier toutes les interfaces en tant qu’entrée.

  • Limitez la quantité de trafic mis en miroir par :

    • À l’aide d’un échantillonnage statistique.

    • Définir des ratios pour sélectionner des échantillons statistiques.

    • À l’aide de filtres de pare-feu.

Cet exemple explique comment configurer la mise en miroir à distance via un commutateur de transit :

Conditions préalables

Cet exemple utilise les composants matériels et logiciels suivants :

  • Un commutateur EX9200 connecté à un autre commutateur EX9200 via un troisième commutateur EX9200

  • Junos OS version 13.2 ou ultérieure pour les commutateurs EX Series

Avant de configurer la mise en miroir à distance, assurez-vous que :

  • Les interfaces que l’analyseur utilisera en tant qu’interfaces d’entrée ont été configurées sur le commutateur.

Présentation et topologie

Cet exemple décrit comment mettre en miroir le trafic entrant dans les ports du commutateur vers le remote-analyzer VLAN via un commutateur de transit afin que vous puissiez analyser tout le trafic provenant des ordinateurs des employés.

Dans cette configuration, une session d’analyse est requise sur le commutateur de destination pour mettre en miroir le trafic entrant du VLAN de l’analyseur à l’interface sortante à laquelle la station de surveillance à distance est connectée.

Figure 4 affiche la topologie du réseau pour cet exemple.

topologie

Figure 4 : Surveillance du réseau pour la mise en miroir à distance via un commutateur de transitSurveillance du réseau pour la mise en miroir à distance via un commutateur de transit

Dans cet exemple :

  1. L’interface ge-0/0/0 est une interface de couche 2, et l’interface ge-0/0/1 est une interface de couche 3 (les deux interfaces sur le commutateur source) qui servent de connexion aux ordinateurs des employés.

  2. L’interface ge-0/0/10 est une interface de couche 2 qui se connecte au commutateur de transit.

  3. L’interface ge-0/0/11 est une interface de couche 2 sur le commutateur de transit.

  4. L’interface ge-0/0/12 est une interface de couche 2 sur le commutateur de transit et se connecte au commutateur de destination.

  5. L’interface ge-0/0/13 est une interface de couche 2 sur le commutateur de destination.

  6. L’interface ge-0/0/14 est une interface de couche 2 sur le commutateur de destination et se connecte à la station de surveillance à distance.

  7. Le VLAN remote-analyzer est configuré sur tous les commutateurs de la topologie pour transporter le trafic mis en miroir.

Mise en miroir de tout le trafic des employés pour une analyse à distance via un commutateur de transit

Pour configurer la mise en miroir pour l’analyse du trafic à distance via un commutateur de transit, pour tout le trafic entrant et sortant des employés, effectuez les tâches suivantes :

Procédure

Configuration rapide cli

Pour configurer rapidement la mise en miroir pour l’analyse du trafic à distance via un commutateur de transit, pour le trafic entrant et sortant des employés, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur :

  • Copiez et collez les commandes suivantes dans la fenêtre de terminal du commutateur source (commutateur surveillé) :

  • Copiez et collez les commandes suivantes dans la fenêtre du commutateur de transit :

  • Copiez et collez les commandes suivantes dans la fenêtre du commutateur de destination :

Procédure étape par étape

Pour configurer la mise en miroir à distance via un commutateur de transit :

  1. Sur le commutateur source :

    • Configurez l’ID VLAN pour le remote-analyzer VLAN :

    • Configurez les interfaces du port réseau connecté au commutateur de transit pour le mode d’accès et associez-le au remote-analyzer VLAN :

    • Configurez l’analyseur employee-monitor :

  2. Sur le commutateur de transit :

    • Configurez l’ID VLAN pour le remote-analyzer VLAN :

    • Configurez l’interface ge-0/0/11 pour le mode d’accès, associez-la au remote-analyzer VLAN :

    • Configurez l’interface ge-0/0/12 pour le mode d’accès, associez-la au remote-analyzer VLAN et définissez l’interface pour le trafic sortant uniquement :

  3. Sur le commutateur de destination :

    • Configurez l’ID VLAN pour le remote-analyzer VLAN :

    • Configurez l’interface ge-0/0/13 pour le mode d’accès, associez-la au remote-analyzer VLAN et définissez l’interface pour le trafic entrant uniquement :

    • Configurez l’interface connectée à la station de surveillance à distance pour le mode d’accès :

    • Configurez l’analyseur remote-analyzer :

Résultats

Vérifiez les résultats de la configuration sur le commutateur source :

Vérifiez les résultats de la configuration sur le commutateur de transit :

Vérifiez les résultats de la configuration sur le commutateur de destination :

Vérification

Pour vérifier que la configuration fonctionne correctement, effectuez les tâches suivantes :

Vérifier que l’analyseur a été correctement créé

But

Vérifiez que l’analyseur nommé employee-monitor a été créé sur le commutateur avec les interfaces d’entrée et l’interface de sortie appropriées.

Action

Vous pouvez vérifier que l’analyseur est configuré comme prévu à l’aide de la show forwarding-options analyzer commande.

Pour vérifier que l’analyseur est configuré comme prévu tout en surveillant tout le trafic des employés sur le commutateur source, exécutez la show forwarding-options analyzer commande sur le commutateur source. La sortie suivante s’affiche pour cette configuration par exemple :

Sens

Cette sortie montre que l’analyseur employee-monitor a un ratio de mise en miroir de 1 (mettant en miroir chaque paquet, le par défaut), l’état de la configuration est up, qui indique l’état approprié et que l’analyseur est programmé, reflète le trafic entrant dans les ge-0/0 et ge-0/0/1, et envoie le trafic mis en miroir à l’analyseur appelé remote-analyzer. Si l’état de l’interface de sortie est ou si l’interface de sortie n’est down pas configurée, la valeur de l’état sera en baisse et l’analyseur ne pourra pas mettre en miroir le trafic.

Exemple : Configuration de la mise en miroir pour une surveillance locale de l’utilisation des ressources des employés sur les commutateurs EX4300

REMARQUE :

Cet exemple utilise Junos OS pour les commutateurs EX Series avec la prise en charge du style de configuration ELS (Enhanced Layer 2 Software). Si votre commutateur exécute un logiciel qui ne prend pas en charge ELS, consultez l’exemple : Configuration de la mise en miroir des ports pour une surveillance locale de l’utilisation des ressources des employés sur les commutateurs EX Series. Pour plus de détails sur els, voir Prise en main d’un logiciel de couche 2 améliorée.

Les commutateurs EX4300 vous permettent de configurer la mise en miroir pour envoyer des copies de paquets à une interface locale pour une surveillance locale ou à un VLAN pour la surveillance à distance. Vous pouvez utiliser la mise en miroir pour copier ces paquets :

  • Paquets entrants ou sortants d’un port

  • Paquets entrant dans un VLAN

Vous pouvez analyser le trafic mis en miroir à l’aide d’un analyseur de protocole installé sur un système connecté à l’interface de destination locale ou d’une station de surveillance à distance si vous envoyez le trafic en miroir à un VLAN d’analyse.

Cet exemple explique comment configurer la mise en miroir locale sur un commutateur EX4300. Cet exemple explique comment configurer le commutateur pour mettre en miroir le trafic entrant dans les interfaces connectées aux ordinateurs des employés vers une interface de sortie d’analyseur sur le même commutateur.

Conditions préalables

Cet exemple utilise les composants matériels et logiciels suivants :

  • Un commutateur EX4300

  • Junos OS Version 13.2X50-D10 ou ultérieure pour les commutateurs EX Series

Présentation et topologie

Cette rubrique présente deux exemples qui décrivent comment mettre en miroir le trafic entrant dans des ports sur le commutateur vers une interface de destination sur le même commutateur (mise en miroir locale). Le premier exemple montre comment mettre en miroir tout le trafic entrant dans les ports connectés aux ordinateurs des employés. Le deuxième exemple illustre le même scénario, mais inclut un filtre pour mettre en miroir uniquement le trafic des employés qui va sur le Web.

Les interfaces ge-0/0/0 et ge-0/0/1 servent de connexions aux ordinateurs des employés. L’interface ge0/0/10 est réservée à l’analyse du trafic mis en miroir. Connectez un PC exécutant une application d’analyse de protocole à l’interface de sortie de l’analyseur pour analyser le trafic mis en miroir.

REMARQUE :

Plusieurs ports mis en miroir sur une seule interface peuvent entraîner un dépassement de tampon et des paquets perdus.

Ces deux exemples utilisent la topologie du réseau indiquée dans la section Figure 5.

Figure 5 : Exemple de topologie du réseau pour la mise en miroir localeExemple de topologie du réseau pour la mise en miroir locale

Mise en miroir de tout le trafic des employés pour une analyse locale

Pour configurer la mise en miroir de tout le trafic des employés à des fins d’analyse locale, effectuez les tâches suivantes :

Procédure

Configuration rapide cli

Pour configurer rapidement la mise en miroir locale pour le trafic entrant vers les deux ports connectés aux ordinateurs des employés, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur :

Procédure étape par étape

Pour configurer un analyseur appelé employee-monitor et spécifier les interfaces d’entrée (source) et l’interface de sortie de l’analyseur :

  1. Configurez chaque interface connectée aux ordinateurs des employés en tant qu’interface d’entrée pour l’analyseur employee-monitor:

  2. Configurez l’interface de sortie de l’analyseur dans le cadre d’un VLAN :

  3. Configurez l’interface d’analyse de sortie pour l’analyseur employee-monitor. Il s’agit de l’interface de destination des paquets mis en miroir :

Résultats

Vérifiez les résultats de la configuration :

Mise en miroir du trafic de l’employé vers le Web pour l’analyse locale

Pour configurer la mise en miroir de l’employé vers le trafic Web, effectuez ces tâches :

Procédure

Configuration rapide cli

Pour configurer rapidement la mise en miroir locale du trafic à partir des deux ports connectés aux ordinateurs des employés, en filtrant de sorte que seul le trafic vers le Web externe soit mis en miroir, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur :

Procédure étape par étape

Pour configurer la mise en miroir locale du trafic Web de l’employé à partir des deux ports connectés aux ordinateurs des employés :

  1. Configurez l’interface d’analyse locale :

  2. Configurez l’instance employee-web-monitor de sortie (l’entrée à l’instance provient de l’action du filtre) :

  3. Configurez un filtre de pare-feu appelé watch-employee pour envoyer des copies en miroir des demandes des employés sur le Web à l’instance employee-web-monitor . Accepter tout le trafic à destination et en provenance du sous-réseau d’entreprise (adresse de destination ou source de 192.0.2.16/24). Envoyez des copies en miroir de tous les paquets à destination d’Internet (port de destination 80) à l’instance employee-web-monitor .

  4. Appliquez le watch-employee filtre aux ports appropriés :

Résultats

Vérifiez les résultats de la configuration :

Vérification

Pour vérifier que la configuration est correcte, effectuez ces tâches :

Vérifier que l’analyseur a été correctement créé

But

Vérifiez que l’analyseur employee-monitor ou employee-web-monitor a été créé sur le commutateur avec les interfaces d’entrée appropriées et l’interface de sortie appropriée.

Action

Vous pouvez utiliser la show forwarding-options analyzer commande pour vérifier que l’analyseur est correctement configuré.

Sens

Cette sortie montre que l’analyseur employee-monitor a un ratio de 1 (mettant en miroir chaque paquet, le paramètre par défaut), la taille maximale du paquet d’origine qui a été mis en miroir (0 indique le paquet entier), l’état de la configuration (il indique que l’analyseur met en miroir le trafic entrant dans les interfaces ge-0/0/0 et ge-0/0/1, et en envoyant le trafic mis en miroir à l’interface ge-0/0/10). Si l’état de l’interface de sortie est en panne ou si l’interface de sortie n’est pas configurée, la valeur de l’état sera down et l’analyseur ne sera pas programmé pour la mise en miroir.

Vérifier que l’instance de mise en miroir des ports est correctement configurée

But

Vérifiez que l’instance employee-web-monitor de mise en miroir de port a été correctement configurée sur le commutateur avec les interfaces d’entrée appropriées.

Action

Vous pouvez vérifier que l’instance de mise en miroir de port est correctement configurée à l’aide de la show forwarding-options port-mirroring commande.

Sens

Ce résultat montre que l’instance employee-web-monitor a un ratio de 1 (mettant en miroir chaque paquet, par défaut), la taille maximale du paquet d’origine mis en miroir (0 indique un paquet entier), l’état de la configuration est opérationnel et la mise en miroir des ports est programmé, et que le trafic mis en miroir provenant de l’action du filtre de pare-feu est envoyé sur l’interface ge-0/0/10.0. Si l’état de l’interface de sortie est en panne ou si l’interface n’est pas configurée, la valeur de l’état sera en panne et la mise en miroir des ports ne sera pas programmée pour la mise en miroir.

Exemple : Configuration de la mise en miroir pour la surveillance à distance de l’utilisation des ressources des employés sur les commutateurs EX4300

REMARQUE :

Cet exemple utilise Junos OS pour les commutateurs EX Series avec la prise en charge du style de configuration ELS (Enhanced Layer 2 Software). Si votre commutateur exécute un logiciel qui ne prend pas en charge ELS, consultez l’exemple : Configuration de la mise en miroir pour surveiller à distance l’utilisation des ressources des employés sur les commutateurs EX4300. Pour plus de détails sur ELS, voir : Prise en main des logiciels de couche 2 améliorés.

Les commutateurs EX4300 vous permettent de configurer la mise en miroir pour envoyer des copies de paquets à une interface locale pour une surveillance locale ou à un VLAN pour la surveillance à distance. Vous pouvez utiliser la mise en miroir pour copier ces paquets :

  • Paquets entrants ou sortants d’un port

  • Paquets entrant dans un VLAN sur les commutateurs EX4300

Vous pouvez analyser le trafic mis en miroir à l’aide d’une application d’analyse de protocole s’exécutant sur une station de surveillance distante si vous envoyez le trafic en miroir à un VLAN d’analyse.

Cette rubrique présente deux exemples connexes qui décrivent comment mettre en miroir le trafic entrant dans les ports du commutateur vers le remote-analyzer VLAN afin que vous puissiez effectuer des analyses à partir d’une station de surveillance à distance. Le premier exemple montre comment mettre en miroir tout le trafic entrant dans les ports connectés aux ordinateurs des employés. Le deuxième exemple illustre le même scénario, mais inclut un filtre pour mettre en miroir uniquement le trafic des employés qui va sur le Web.

bonnes pratiques :

Mettre en miroir uniquement les paquets nécessaires pour réduire l’impact potentiel sur les performances. Nous vous recommandons de :

  • Désactivez vos sessions de mise en miroir configurées lorsque vous ne les utilisez pas.

  • Spécifiez des interfaces individuelles en tant qu’entrée pour les analyseurs plutôt que de spécifier toutes les interfaces en tant qu’entrée.

  • Limitez la quantité de trafic mis en miroir à l’aide de filtres de pare-feu.

Cet exemple explique comment configurer la mise en miroir à distance :

Conditions préalables

Cet exemple utilise les composants matériels et logiciels suivants :

  • Junos OS Version 13.2X50-D10 ou ultérieure pour les commutateurs EX Series

  • Un commutateur EX4300 connecté à un autre commutateur EX4300

Le diagramme montre un EX4300 Virtual Chassis connecté à un commutateur de destination EX4300.

Avant de configurer la mise en miroir à distance, assurez-vous que :

  • Vous comprenez les concepts de mise en miroir.

  • Les interfaces que l’analyseur utilisera en tant qu’interfaces d’entrée ont été configurées sur le commutateur.

Présentation et topologie

Cette rubrique présente deux exemples connexes qui décrivent comment configurer la mise en miroir sur le VLAN afin que l’analyse remote-analyzer puisse être effectuée à partir d’une station de surveillance à distance. Le premier exemple montre comment configurer un commutateur pour mettre en miroir tout le trafic provenant des ordinateurs des employés. Le deuxième exemple illustre le même scénario, mais la configuration inclut un filtre pour mettre en miroir uniquement le trafic des employés qui va sur le Web.

Figure 6 affiche la topologie du réseau pour ces deux scénarios.

topologie

Figure 6 : Exemple de topologie de réseau en miroir à distanceExemple de topologie de réseau en miroir à distance

Dans cet exemple :

  1. L’interface ge-0/0/0 est une interface de couche 2, et l’interface ge-0/0/1 est une interface de couche 3 (les deux interfaces sur le commutateur source) qui servent de connexion aux ordinateurs des employés.

  2. L’interface ge-0/0/10 est une interface de couche 2 qui connecte le commutateur source au commutateur de destination.

  3. L’interface ge-0/0/5 est une interface de couche 2 qui connecte le commutateur de destination à la station de surveillance à distance.

  4. Le VLAN remote-analyzer est configuré sur tous les commutateurs de la topologie pour transporter le trafic mis en miroir.

Mise en miroir de tout le trafic des employés pour l’analyse à distance

Pour configurer un analyseur pour l’analyse du trafic à distance pour tout le trafic entrant et sortant des employés, effectuez ces tâches :

Procédure

Configuration rapide cli

Pour configurer rapidement un analyseur pour l’analyse du trafic à distance pour le trafic entrant et sortant des employés, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur :

  • Copiez et collez les commandes suivantes dans la fenêtre de terminal du commutateur source :

  • Copiez et collez les commandes suivantes dans la fenêtre du terminal du commutateur de destination :

Procédure étape par étape

Pour configurer la mise en miroir des ports distants de base :

  1. Sur le commutateur source :

    • Configurez l’ID VLAN pour le remote-analyzer VLAN :

    • Configurez l’interface sur le port réseau connecté au commutateur de destination en mode trunk et associez-la au remote-analyzer VLAN :

    • Configurez l’analyseur employee-monitor :

  2. Sur le commutateur de destination :

    • Configurez l’ID VLAN pour le remote-analyzer VLAN :

    • Configurez l’interface du commutateur de destination pour le mode trunk et associez-la au remote-analyzer VLAN :

    • Configurez l’interface connectée au commutateur de destination pour le mode trunk :

    • Configurez l’analyseur employee-monitor :

Résultats

Vérifiez les résultats de la configuration sur le commutateur source :

Vérifiez les résultats de la configuration sur le commutateur de destination :

Mise en miroir du trafic de l’employé vers le Web pour l’analyse à distance

Pour configurer la mise en miroir des ports pour l’analyse à distance du trafic web des employés, effectuez les tâches suivantes :

Procédure

Configuration rapide cli

Pour configurer rapidement la mise en miroir des ports afin de mettre en miroir le trafic des employés sur le Web externe, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur :

  • Copiez et collez les commandes suivantes dans la fenêtre de terminal du commutateur source :

  • Copiez et collez les commandes suivantes dans la fenêtre du terminal du commutateur de destination :

Procédure étape par étape

Pour configurer la mise en miroir de tout le trafic, des deux ports connectés aux ordinateurs des employés au VLAN pour une remote-analyzer utilisation à partir d’une station de surveillance distante :

  1. Sur le commutateur source :

    • Configurez l’instance employee-web-monitor de mise en miroir de port :

    • Configurez l’ID VLAN pour le remote-analyzer VLAN :

    • Configurez l’interface pour l’associer au remote-analyzer VLAN :

    • Configurez le filtre de pare-feu appelé watch-employee:

    • Appliquez le filtre de pare-feu aux interfaces des employés :

  2. Sur le commutateur de destination :

    • Configurez l’ID VLAN pour le remote-analyzer VLAN :

    • Configurez l’interface du commutateur de destination pour le mode trunk et associez-la au remote-analyzer VLAN :

    • Configurez l’interface connectée au commutateur de destination pour le mode trunk :

    • Configurez l’analyseur employee-monitor :

Résultats

Vérifiez les résultats de la configuration sur le commutateur source :

Vérifiez les résultats de la configuration sur le commutateur de destination :

Vérification

Pour vérifier que la configuration fonctionne correctement, effectuez les tâches suivantes :

Vérifier que l’analyseur a été correctement créé

But

Vérifiez que l’analyseur nommé employee-monitor ou employee-web-monitor a été créé sur le commutateur avec les interfaces d’entrée et l’interface de sortie appropriées.

Action

Vous pouvez vérifier que l’analyseur est configuré comme prévu à l’aide de la show forwarding-options analyzer commande. Pour afficher les analyseurs précédemment créés qui sont désactivés, accédez à l’interface J-Web.

Pour vérifier que l’analyseur est configuré comme prévu tout en surveillant tout le trafic des employés sur le commutateur source, exécutez la show analyzer commande sur le commutateur source. La sortie suivante s’affiche pour cet exemple de configuration :

Sens

Ce résultat montre que l’instance employee-monitor a un ratio de 1 (mettant en miroir chaque paquet, par défaut), la taille maximale du paquet d’origine qui a été mis en miroir (0 indique le paquet entier), l’état de la configuration est opérationnel (ce qui indique l’état approprié et que l’analyseur est programmé, et met en miroir le trafic entrant dans les ge-0/0/0 et ge-0/0/1 et envoie le trafic mis en miroir au VLAN appelé remote-analyzer). Si l’état de l’interface de sortie est en panne ou si l’interface de sortie n’est pas configurée, la valeur de l’état sera en baisse et l’analyseur ne sera pas programmé pour la mise en miroir.

Exemple : Configuration de la mise en miroir pour une surveillance à distance de l’utilisation des ressources des employés via un commutateur de transit sur les commutateurs EX4300

REMARQUE :

Cet exemple utilise Junos OS pour les commutateurs EX Series avec la prise en charge du style de configuration ELS (Enhanced Layer 2 Software).

Les commutateurs EX4300 vous permettent de configurer la mise en miroir pour envoyer des copies de paquets à une interface locale pour une surveillance locale ou à un VLAN pour la surveillance à distance. Vous pouvez utiliser la mise en miroir pour copier ces paquets :

  • Paquets entrants ou sortants d’un port

  • Paquets entrant dans un VLAN sur les commutateurs EX4300

Vous pouvez analyser le trafic mis en miroir à l’aide d’une application d’analyse de protocole s’exécutant sur une station de surveillance distante si vous envoyez le trafic en miroir à un VLAN d’analyse.

Cette rubrique comprend un exemple qui explique comment mettre en miroir le trafic entrant dans les ports du commutateur vers le remote-analyzer VLAN via un commutateur de transit, afin que vous puissiez effectuer des analyses à partir d’une station de surveillance à distance.

bonnes pratiques :

Mettre en miroir uniquement les paquets nécessaires pour réduire l’impact potentiel sur les performances. Nous vous recommandons de :

  • Désactivez vos sessions de mise en miroir configurées lorsque vous ne les utilisez pas.

  • Spécifiez des interfaces individuelles en tant qu’entrée pour les analyseurs plutôt que de spécifier toutes les interfaces en tant qu’entrée.

  • Limitez la quantité de trafic mis en miroir à l’aide de filtres de pare-feu.

Cet exemple explique comment configurer la mise en miroir à distance via un commutateur de transit :

Conditions préalables

Cet exemple utilise les composants matériels et logiciels suivants :

  • Un commutateur EX4300 connecté à un autre commutateur EX4300 via un troisième commutateur EX4300

  • Junos OS Version 13.2X50-D10 ou ultérieure pour les commutateurs EX Series

Avant de configurer la mise en miroir à distance, assurez-vous que :

  • Vous comprenez les concepts de mise en miroir.

  • Les interfaces que l’analyseur utilisera en tant qu’interfaces d’entrée ont été configurées sur le commutateur.

Présentation et topologie

Cet exemple explique comment mettre en miroir le trafic entrant dans les ports du commutateur vers le remote-analyzer VLAN via un commutateur de transit afin que vous puissiez effectuer des analyses à partir d’une station de surveillance à distance. L’exemple montre comment configurer un commutateur pour mettre en miroir tout le trafic des ordinateurs des employés vers un analyseur distant.

Dans cette configuration, une session d’analyse est requise sur le commutateur de destination pour mettre en miroir le trafic entrant du VLAN de l’analyseur à l’interface sortante à laquelle la station de surveillance à distance est connectée. Vous devez désactiver l’apprentissage MAC sur le commutateur de transit pour le remote-analyzer VLAN afin que l’apprentissage MAC soit désactivé pour toutes les interfaces membres du remote-analyzer VLAN sur le commutateur de transit.

Figure 7 affiche la topologie du réseau pour cet exemple.

topologie

Figure 7 : Mise en miroir à distance via un réseau de commutateur de transit – Exemple de topologieMise en miroir à distance via un réseau de commutateur de transit – Exemple de topologie

Dans cet exemple :

  • L’interface ge-0/0/0 est une interface de couche 2, et l’interface ge-0/0/1 est une interface de couche 3 (les deux interfaces sur le commutateur source) qui servent de connexion aux ordinateurs des employés.

  • L’interface ge-0/0/10 est une interface de couche 2 qui se connecte au commutateur de transit.

  • L’interface ge-0/0/11 est une interface de couche 2 sur le commutateur de transit.

  • L’interface ge-0/0/12 est une interface de couche 2 sur le commutateur de transit et se connecte au commutateur de destination.

  • L’interface ge-0/0/13 est une interface de couche 2 sur le commutateur de destination .

  • L’interface ge-0/0/14 est une interface de couche 2 sur le commutateur de destination et se connecte à la station de surveillance à distance.

  • Le VLAN remote-analyzer est configuré sur tous les commutateurs de la topologie pour transporter le trafic mis en miroir.

Mise en miroir de tout le trafic des employés pour une analyse à distance via un commutateur de transit

Pour configurer la mise en miroir pour l’analyse du trafic à distance via un commutateur de transit, pour tout le trafic entrant et sortant des employés, effectuez les tâches suivantes :

Procédure

Configuration rapide cli

Pour configurer rapidement la mise en miroir pour l’analyse du trafic à distance via un commutateur de transit, pour le trafic entrant et sortant des employés, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur :

  • Copiez et collez les commandes suivantes dans la fenêtre de terminal du commutateur source (commutateur surveillé) :

  • Copiez et collez les commandes suivantes dans la fenêtre du commutateur de transit :

  • Copiez et collez les commandes suivantes dans la fenêtre du commutateur de destination :

Procédure étape par étape

Pour configurer la mise en miroir à distance via un commutateur de transit :

  1. Sur le commutateur source :

    • Configurez l’ID VLAN pour le remote-analyzer VLAN :

    • Configurez les interfaces du port réseau connecté au commutateur de transit pour le mode trunk et associez-le au remote-analyzer VLAN :

    • Configurez l’analyseur employee-monitor :

  2. Sur le commutateur de transit :

    • Configurez l’ID VLAN pour le remote-analyzer VLAN :

    • Configurez l’interface ge-0/0/11 pour le mode trunk, associez-la au remote-analyzer VLAN :

    • Configurez l’interface ge-0/0/12 en mode trunk, associez-la au remote-analyzer VLAN et définissez l’interface pour le trafic sortant uniquement :

    • Configurez l’option no-mac-learning du remote-analyzer VLAN pour désactiver l’apprentissage MAC sur toutes les interfaces membres du remote-analyzer VLAN :

  3. Sur le commutateur de destination :

    • Configurez l’ID VLAN pour le remote-analyzer VLAN :

    • Configurez l’interface ge-0/0/13 pour le mode trunk, associez-la au remote-analyzer VLAN et définissez l’interface pour le trafic entrant uniquement :

    • Configurez l’interface connectée à la station de surveillance à distance pour le mode trunk :

    • Configurez l’analyseur employee-monitor :

Résultats

Vérifiez les résultats de la configuration sur le commutateur source :

Vérifiez les résultats de la configuration sur le commutateur de transit :

Vérifiez les résultats de la configuration sur le commutateur de destination :

Vérification

Pour vérifier que la configuration fonctionne correctement, effectuez les tâches suivantes :

Vérifier que l’analyseur a été correctement créé

But

Vérifiez que l’analyseur nommé employee-monitor a été créé sur le commutateur avec les interfaces d’entrée et l’interface de sortie appropriées.

Action

Vous pouvez vérifier si l’analyseur est configuré comme prévu à l’aide de la show analyzer commande. Pour afficher les analyseurs précédemment créés qui sont désactivés, accédez à l’interface J-Web.

Pour vérifier que l’analyseur est configuré comme prévu tout en surveillant tout le trafic des employés sur le commutateur source, exécutez la show analyzer commande sur le commutateur source. La sortie suivante s’affiche pour cette configuration par exemple :

Sens

Cette sortie montre que l’analyseur employee-monitor a un ratio de 1 (mettant en miroir chaque paquet, par défaut), met en miroir le trafic entrant dans ge-0/0/0 et ge-0/0/1, et envoie le trafic mis en miroir à l’analyseur remote-analyzer.