Configuration de la mise en miroir des ports et des analyseurs
Comprendre les analyseurs de mise en miroir de ports
La mise en miroir des ports peut être utilisée pour analyser le trafic sur les routeurs et commutateurs qui, contrairement aux concentrateurs, ne diffusent pas de paquets sur tous les ports de l’équipement de destination. La mise en miroir de ports envoie des copies de tous les paquets ou des exemples de paquets basés sur des stratégies à des analyseurs locaux ou distants où vous pouvez surveiller et analyser les données.
Dans le contexte des analyseurs de mise en miroir de ports, nous utilisons le terme dispositif de commutation. Le terme indique que l’appareil (y compris les routeurs) exécute une fonction de commutation.
Vous pouvez utiliser des analyseurs au niveau des paquets pour vous aider à :
Surveiller le trafic réseau
Appliquer les politiques d’utilisation du réseau
Appliquer des stratégies de partage de fichiers
Identifier les causes des problèmes
Identifier les stations ou les applications dont la consommation de bande passante est importante ou anormale
Vous pouvez configurer la mise en miroir des ports pour la mise en miroir :
Paquets pontés (paquets de couche 2)
Paquets routés (paquets de couche 3)
Les paquets mis en miroir peuvent être copiés soit vers une interface locale pour la surveillance locale, soit vers un VLAN ou un domaine de pont pour la surveillance à distance.
Les paquets suivants peuvent être copiés :
Packets entering or exiting a port: vous pouvez mettre en miroir les paquets entrant ou sortant des ports, dans n’importe quelle combinaison, pour un maximum de 256 ports. Par exemple, vous pouvez envoyer des copies des paquets entrant dans certains ports et des paquets sortant d’autres ports vers le même port d’analyseur local ou le même VLAN d’analyseur.
Packets entering or exiting a VLAN or bridge domain: vous pouvez mettre en miroir les paquets entrant ou sortant d’un VLAN ou d’un domaine de pont vers un port d’analyse local ou vers un VLAN ou un domaine de pont d’analyseur. Vous pouvez configurer plusieurs VLAN (jusqu’à 256 VLAN) ou ponter des domaines en tant qu’entrées d’entrée vers un analyseur, y compris une plage de VLAN et des VLAN privés (PVLAN).
Policy-based sample packets: vous pouvez mettre en miroir un échantillon basé sur une stratégie de paquets entrant dans un domaine de port, de VLAN ou de pont. Vous configurez un filtre de pare-feu avec une stratégie pour sélectionner les paquets à mettre en miroir. Vous pouvez envoyer l’exemple à une instance de mise en miroir de port ou à un domaine de pont ou de VLAN de l’analyseur.
- Vue d’ensemble de l’analyseur
- Présentation de Statistical Analyzer
- Vue d’ensemble de l’analyseur par défaut
- Mise en miroir de ports au niveau d’un groupe de ports liés à plusieurs analyseurs statistiques
- Terminologie de Port Mirroring Analyzer
- Consignes de configuration pour les analyseurs de mise en miroir de ports
Vue d’ensemble de l’analyseur
Vous pouvez configurer un analyseur pour définir à la fois le trafic d’entrée et le trafic de sortie dans la même configuration d’analyseur. Le trafic d’entrée à analyser peut être le trafic entrant ou sortant d’une interface ou d’un VLAN. La configuration de l’analyseur vous permet d’envoyer ce trafic vers une interface de sortie, une instance, un groupe de tronçons suivants, un VLAN ou un domaine de pont. Vous pouvez configurer un analyseur au niveau de la [edit forwarding-options analyzer] hiérarchie.
Présentation de Statistical Analyzer
Vous pouvez définir un ensemble de propriétés de mise en miroir, telles que le débit de mise en miroir et la longueur maximale des paquets pour le trafic, que vous pouvez lier explicitement aux ports physiques du routeur ou du commutateur. Cet ensemble de propriétés de mise en miroir constitue un analyseur statistique (également appelé analyseur non par défaut). À ce niveau, vous pouvez lier une instance nommée aux ports physiques associés à un FPC spécifique.
Vue d’ensemble de l’analyseur par défaut
Vous pouvez configurer un analyseur sans configurer de propriétés de mise en miroir (telles que le taux de mise en miroir ou la longueur maximale des paquets). Par défaut, le taux de mise en miroir est défini sur 1 et la longueur maximale du paquet est définie sur la longueur totale du paquet. Ces propriétés sont appliquées au niveau global et n’ont pas besoin d’être liées à un FPC spécifique.
Mise en miroir de ports au niveau d’un groupe de ports liés à plusieurs analyseurs statistiques
Vous pouvez appliquer jusqu’à deux analyseurs statistiques aux mêmes groupes de ports sur le périphérique de commutation. En appliquant deux instances d’analyse statistique différentes au même FPC ou moteur de transfert de paquets, vous pouvez lier deux spécifications de mise en miroir de couche 2 distinctes à un seul groupe de ports. Les propriétés de mise en miroir liées à un FPC remplacent toutes les propriétés de l’analyseur (analyseur par défaut) liées au niveau global sur le périphérique de commutation. Les propriétés par défaut de l’analyseur sont remplacées en liant une deuxième instance de l’analyseur sur le même groupe de ports.
Terminologie de Port Mirroring Analyzer
Tableau 1 Répertorie certains termes de l’analyseur de mise en miroir de ports et leurs descriptions.
| Terme | Description |
|---|---|
Analyseur |
Dans une configuration de mise en miroir, l’analyseur comprend :
|
Interface de sortie de l’analyseur (Également connu sous le nom de port de moniteur) |
Interface dans laquelle le trafic en miroir est envoyé et un analyseur de protocole est connecté. Les interfaces utilisées en tant que sortie vers un analyseur doivent être configurées au niveau de la Les interfaces de sortie de l’analyseur présentent les limitations suivantes :
|
VLAN ou domaine de pont de l’analyseur (Également connu sous le nom de domaine de contrôleur, VLAN ou de pont) |
VLAN ou domaine de pont vers lequel le trafic en miroir est envoyé pour être utilisé par un analyseur de protocole. Les interfaces membres du domaine du VLAN de surveillance ou du pont sont réparties sur les appareils de commutation de votre réseau. |
Analyseur basé sur un domaine en pont |
Session d’analyse configurée pour utiliser des domaines de pont pour l’entrée, la sortie ou les deux. |
Analyseur par défaut |
Un analyseur avec des paramètres de mise en miroir par défaut. Par défaut, le taux de mise en miroir est égal à 1 et la longueur maximale du paquet correspond à la longueur du paquet complet. |
Interface d’entrée (Également appelés ports en miroir ou interfaces surveillées) |
Interface sur l’équipement de commutation dans laquelle le trafic entrant ou sortant de cette interface est mis en miroir. |
Analyseur basé sur LAG |
Un analyseur qui a un groupe d’agrégation de liens (LAG) spécifié comme interface d’entrée dans la configuration de l’analyseur. |
Mise en miroir locale |
Configuration de l’analyseur dans laquelle les paquets sont mis en miroir sur un port local de l’analyseur. |
Station de surveillance |
Un ordinateur exécutant un analyseur de protocole. |
Analyseur basé sur le groupe next-hop |
Configuration de l’analyseur qui utilise le groupe next-hop comme sortie vers un analyseur. |
Analyseur basé sur les ports |
Configuration de l’analyseur qui définit les interfaces d’entrée et de sortie. |
Application d’analyse de protocole |
Application utilisée pour examiner les paquets transmis sur un segment de réseau. Aussi communément appelé analyseur de réseau, renifleur de paquets ou sonde. |
Mise en miroir à distance |
Fonctionne de la même manière que la mise en miroir locale, sauf que le trafic mis en miroir n’est pas copié sur un port d’analyse local, mais qu’il est inondé vers un VLAN d’analyseur ou un domaine de pont que vous créez spécifiquement dans le but de recevoir le trafic en miroir. Les paquets mis en miroir disposent d’une balise externe supplémentaire du VLAN ou du domaine de pont de l’analyseur. |
Analyseur statistique (Également connu sous le nom d’analyseur non par défaut) |
Ensemble de propriétés de mise en miroir que vous pouvez lier explicitement aux ports physiques du commutateur. Cet ensemble de propriétés de l’analyseur est connu sous le nom d’analyseur statistique. |
Analyseur VLAN |
Configuration de l’analyseur qui utilise des VLAN pour transmettre le trafic en miroir à l’analyseur. |
Consignes de configuration pour les analyseurs de mise en miroir de ports
Lorsque vous configurez des analyseurs de mise en miroir de ports. Nous vous recommandons de suivre ces directives pour vous assurer un bénéfice optimal. Nous vous recommandons de désactiver la mise en miroir lorsque vous ne l’utilisez pas et de sélectionner des interfaces spécifiques en entrée de l’analyseur plutôt que d’utiliser l’option de mot-clé, qui active la all mise en miroir sur toutes les interfaces. La mise en miroir des paquets nécessaires réduit tout impact potentiel sur les performances.
Vous pouvez également limiter la quantité de trafic en miroir en procédant comme suit :
-
Utilisation de l’échantillonnage statistique
-
Utilisation d’un filtre de pare-feu
-
Définition d’un ratio pour sélectionner un échantillon statistique
Avec la mise en miroir locale, le trafic provenant de plusieurs ports est répliqué vers l’interface de sortie de l’analyseur. Si l’interface de sortie d’un analyseur atteint sa capacité, les paquets sont abandonnés. Vous devez déterminer si le trafic mis en miroir dépasse la capacité de l’interface de sortie de l’analyseur.
Tableau 2 Résume d’autres directives de configuration pour les analyseurs.
|
Directive |
Informations sur la valeur ou le support |
Commentaire |
|---|---|---|
|
Nombre d’analyseurs que vous pouvez activer simultanément. |
64 Analyseurs par défaut 2 par FPC – Analyseur statistique |
Les analyseurs statistiques doivent être liés à un FPC pour la mise en miroir du trafic sur les ports appartenant à ce FPC. REMARQUE :
Les propriétés par défaut de l’analyseur sont implicitement liées à la dernière (ou avant-dernière) instance sur tous les FPC du système. Par conséquent, lorsque vous liez explicitement un deuxième analyseur statistique sur le FPC, les propriétés par défaut de l’analyseur sont remplacées. |
|
Nombre d’interfaces, de VLAN ou de domaines de pont que vous pouvez utiliser comme entrée d’un analyseur. |
256 |
– |
|
Types de ports sur lesquels vous ne pouvez pas mettre en miroir le trafic. |
|
|
|
Familles de protocoles que vous pouvez inclure dans un analyseur. |
|
Un analyseur reflète uniquement le trafic ponté. Pour mettre en miroir le trafic routé, utilisez la configuration de mise en miroir des ports avec |
|
Les paquets présentant des erreurs de couche physique ne sont pas envoyés à l’analyseur local ou distant. |
Applicable |
Les paquets présentant ces erreurs sont filtrés et ne sont donc pas envoyés à l’analyseur. |
|
Analyzer ne prend pas en charge le trafic à débit de ligne. |
Applicable |
La mise en miroir du trafic au débit de ligne s’effectue au mieux. |
|
Sortie de l’analyseur sur une interface LAG. |
Compatible |
|
|
Mode d’interface de sortie de l’analyseur en mode trunk. |
Compatible |
|
|
Mise en miroir sortante des paquets de contrôle générés par l’hôte. |
Non pris en charge |
|
|
Configuration des interfaces logiques de couche 3 dans la strophe |
Non pris en charge |
|
|
Les strophes d’entrée et de sortie de l’analyseur contenant des membres du même VLAN ou le VLAN lui-même doivent être évités. |
Applicable |
|
|
Prise en charge du VLAN et de ses interfaces membres dans différentes sessions d’analyse |
Non pris en charge |
Si la mise en miroir est configurée, l’un des analyseurs est actif. |
|
Mise en miroir sortante d’interfaces Ethernet agrégées (ae) et de ses interfaces logiques enfants configurées pour différents analyseurs. |
Non pris en charge |
|
Configuration de la mise en miroir sur les commutateurs EX9200 pour analyser le trafic (procédure CLI)
Les commutateurs EX9200 vous permettent de configurer la mise en miroir pour envoyer des copies de paquets à une interface locale pour une surveillance locale ou à un VLAN pour une surveillance à distance. Vous pouvez utiliser la mise en miroir pour copier les paquets suivants :
Paquets entrant ou sortant d’un port
Paquets entrant ou sortant d’un VLAN
Ne mettez en miroir que les paquets nécessaires pour réduire l’impact potentiel sur les performances. Nous vous recommandons de :
Désactivez les analyseurs que vous avez configurés lorsque vous ne les utilisez pas.
Spécifiez des interfaces individuelles en tant qu’entrée pour les analyseurs plutôt que de spécifier toutes les interfaces en entrée.
Limitez la quantité de trafic en miroir en procédant comme suit :
Utilisation de l’échantillonnage statistique.
Définition de ratios pour sélectionner des échantillons statistiques.
Utilisation de filtres de pare-feu.
Si vous souhaitez créer des analyseurs supplémentaires sans supprimer les analyseurs existants, désactivez-les à l’aide de l’instruction disable analyzer analyzer-name de l’interface de ligne de commande (CLI) ou de la page de configuration J-Web pour la mise en miroir.
Les interfaces utilisées en sortie vers un analyseur doivent être configurées sous le ethernet-switching family, et doivent être associées à un VLAN.
- Configuration d’un analyseur pour l’analyse du trafic local
- Configuration d’un analyseur pour l’analyse du trafic à distance
- Configuration d’un analyseur statistique pour l’analyse du trafic local
- Configuration d’un analyseur statistique pour l’analyse du trafic à distance
- Liaison d’analyseurs statistiques à des ports regroupés au niveau FPC
- Configuration d’un analyseur avec plusieurs destinations à l’aide de groupes de saut suivant
- Définition d’un groupe de sauts suivants pour la mise en miroir de couche 2
Configuration d’un analyseur pour l’analyse du trafic local
Pour mettre en miroir le trafic réseau ou le trafic VLAN sur le commutateur vers une interface du commutateur à l’aide des analyseurs :
Configuration d’un analyseur pour l’analyse du trafic à distance
Pour mettre en miroir le trafic qui traverse des interfaces ou un VLAN sur le commutateur vers un VLAN utilisé pour l’analyse à partir d’un emplacement distant :
Configuration d’un analyseur statistique pour l’analyse du trafic local
Pour mettre en miroir le trafic d’interface ou le trafic VLAN sur le commutateur vers une interface du commutateur à l’aide d’un analyseur statistique :
Configuration d’un analyseur statistique pour l’analyse du trafic à distance
Pour mettre en miroir le trafic qui traverse des interfaces ou un VLAN sur le commutateur vers un VLAN pour analyse à partir d’un emplacement distant à l’aide d’un analyseur statistique :
Liaison d’analyseurs statistiques à des ports regroupés au niveau FPC
Vous pouvez lier un analyseur statistique à un FPC spécifique dans le commutateur, c’est-à-dire que vous pouvez lier l’instance de l’analyseur statistique au niveau FPC du commutateur. Les propriétés de mise en miroir spécifiées dans l’analyseur statistique sont appliquées à tous les ports physiques associés à tous les moteurs de transfert de paquets sur le FPC spécifié.
Pour lier une instance nommée de l’analyseur de couche 2 à un FPC :
Activez la configuration des propriétés du châssis du commutateur :
[edit] user@switch# edit chassis
Activez la configuration d’un FPC (et de ses PICs installés) :
[edit chassis] user@switch# edit fpc slot-number
Liez une instance de l’analyseur statistique au FPC :
[edit chassis fpc slot-number] user@switch# set port-mirror-instance stats_analyzer-1
(Facultatif) Pour lier une deuxième instance d’analyseur statistique de mise en miroir de couche 2 au même FPC, répétez l’étape 3 et spécifiez un autre nom d’analyseur statistique :
[edit chassis fpc slot-number] user@switch# set port-mirror-instance stats_analyzer-2
Vérifiez la configuration minimale de la liaison :
[edit chassis fpc slot-number port-mirror-instance analyzer_name] user@switch# top [edit] user@switch# show chassis chassis { fpc slot-number { # Bind two statistical analyzers or port mirroring named instances at the FPC level. port-mirror-instance stats_analyzer-1; port-mirror-instance stats_analyzer-2; } }
Lors de la liaison d’une deuxième instance (stats_analyzer-2 dans cet exemple), les propriétés de mise en miroir de cette session, si elles sont configurées, remplacent tout analyseur par défaut.
Configuration d’un analyseur avec plusieurs destinations à l’aide de groupes de saut suivant
Vous pouvez mettre en miroir le trafic vers plusieurs destinations en configurant les groupes next-hop en tant que sortie de l’analyseur. La mise en miroir de paquets vers plusieurs destinations est également connue sous le nom de mise en miroir de ports multipaquets.
Pour mettre en miroir le trafic d’interface ou le trafic VLAN sur le commutateur vers une interface du commutateur (à l’aide d’analyseurs) :
Définition d’un groupe de sauts suivants pour la mise en miroir de couche 2
La configuration du groupe next-hop au niveau de la [edit forwarding-options] configuration vous permet de définir un nom de groupe next-hop, le type d’adresses à utiliser dans le groupe next-hop et les interfaces logiques qui forment les multiples destinations vers lesquelles le trafic peut être mis en miroir. Par défaut, le groupe next-hop est spécifié à l’aide d’adresses de couche 3 à l’aide de l’instruction [edit forwarding-options next-hop-group next-hop-group-name group-type inet] . Pour spécifier un groupe next-hop à l’aide d’adresses de couche 2 à la place, incluez l’instruction [edit forwarding-options next-hop-group next-hop-group-name group-type layer-2] .
Pour définir un groupe next-hop pour la mise en miroir de couche 2 :
Configuration de la mise en miroir sur les commutateurs EX4300 pour analyser le trafic (procédure CLI)
Cette tâche utilise Junos OS pour les commutateurs EX Series avec prise en charge du style de configuration ELS (Enhanced L2 Software).
Les commutateurs EX4300 vous permettent de configurer la mise en miroir pour envoyer des copies de paquets vers une interface locale pour une surveillance locale ou vers un VLAN pour une surveillance à distance. Vous pouvez utiliser la mise en miroir pour copier ces paquets :
Paquets entrant ou sortant d’un port
Paquets entrant dans un VLAN
Ne mettez en miroir que les paquets nécessaires pour réduire l’impact potentiel sur les performances. Nous vous recommandons de :
Désactivez vos configurations de mise en miroir configurées lorsque vous ne les utilisez pas.
Spécifiez des interfaces individuelles en tant qu’entrée pour les analyseurs plutôt que de spécifier toutes les interfaces en entrée.
Limitez la quantité de trafic en miroir à l’aide de filtres de pare-feu.
Si vous souhaitez créer des analyseurs supplémentaires sans supprimer les analyseurs existants, désactivez-les à l’aide de l’instruction disable analyzer analyzer-name de l’interface de ligne de commande ou de la page de configuration de J-Web pour la mise en miroir.
Les interfaces utilisées comme sortie pour un analyseur doivent être configurées dans la ethernet-switching famille.
- Configuration d’un analyseur pour l’analyse du trafic local
- Configuration d’un analyseur pour l’analyse du trafic à distance
- Configuration de la mise en miroir des ports
Configuration d’un analyseur pour l’analyse du trafic local
Pour mettre en miroir le trafic d’interface ou le trafic VLAN sur le commutateur vers une interface du commutateur (à l’aide d’analyseurs) :
Configuration d’un analyseur pour l’analyse du trafic à distance
Pour mettre en miroir le trafic qui traverse des interfaces ou un VLAN sur le commutateur vers un VLAN pour analyse à partir d’un emplacement distant (à l’aide d’analyseurs) :
Configuration de la mise en miroir des ports
Pour filtrer les paquets devant être mis en miroir sur une instance de mise en miroir de port, créez l’instance, puis utilisez-la comme action dans le filtre de pare-feu. Vous pouvez utiliser des filtres de pare-feu dans les configurations de mise en miroir locale et distante.
Si la même instance de mise en miroir de port est utilisée dans plusieurs filtres ou termes, les paquets ne sont copiés qu’une seule fois sur le port de sortie ou le VLAN de l’analyseur.
Pour filtrer le trafic en miroir, créez une instance de mise en miroir de port sous le niveau hiérarchique [edit forwarding-options] , puis créez un filtre de pare-feu. Le filtre peut utiliser n’importe laquelle des conditions de correspondance disponibles et doit avoir port-mirror-instance instance-name comme action. Cette action dans la configuration du filtre de pare-feu fournit l’entrée à l’instance de mise en miroir des ports.
Pour configurer une instance de mise en miroir de port avec des filtres de pare-feu :
Configuration de la mise en miroir des ports pour analyser le trafic (procédure CLI)
Cette tâche de configuration utilise Junos OS pour les commutateurs EX Series qui ne prennent pas en charge le style de configuration ELS (Enhanced L2 Software).
Les commutateurs EX Series vous permettent de configurer la mise en miroir des ports pour envoyer des copies de paquets vers une interface locale pour la surveillance locale ou vers un VLAN pour la surveillance à distance. Vous pouvez utiliser la mise en miroir des ports pour copier ces paquets :
Paquets entrant ou sortant d’un port
Paquets entrant dans un VLAN sur les commutateurs EX2200, EX3200, EX3300, EX4200, EX4500 ou EX6200
Paquets sortant d’un VLAN sur les commutateurs EX8200
Ne mettez en miroir que les paquets nécessaires pour réduire l’impact potentiel sur les performances. Nous vous recommandons de :
Désactivez vos analyseurs de mise en miroir de port configurés lorsque vous ne les utilisez pas.
Spécifiez des interfaces individuelles en tant qu’entrée pour les analyseurs plutôt que de spécifier toutes les interfaces en entrée.
Limitez la quantité de trafic en miroir en procédant comme suit :
Utilisation de l’échantillonnage statistique.
Définition de ratios pour sélectionner des échantillons statistiques.
Utilisation de filtres de pare-feu.
Avant de commencer à configurer la mise en miroir des ports, notez les limitations suivantes pour les interfaces de sortie de l’analyseur :
Ne peut pas être un port source.
Ne peut pas être utilisé pour la commutation.
Ne participez pas aux protocoles de couche 2 (tels que RSTP) lorsque vous faites partie d’une configuration de mise en miroir de ports.
Ne conservez pas les associations VLAN qu’elles contenaient avant d’être configurées en tant qu’interfaces de sortie de l’analyseur.
Si vous souhaitez créer des analyseurs supplémentaires sans supprimer l’analyseur existant, désactivez-le d’abord à l’aide de la disable analyzer analyzer-name commande ou de la page de configuration J-Web pour la mise en miroir des ports.
Les interfaces utilisées comme sortie d’un analyseur doivent être configurées en tant que famille ethernet-switching.
- Configuration de la mise en miroir des ports pour l’analyse du trafic local
- Configuration de la mise en miroir des ports pour l’analyse du trafic à distance
- Filtrage du trafic entrant dans un analyseur
Configuration de la mise en miroir des ports pour l’analyse du trafic local
Pour mettre en miroir le trafic d’interface ou le trafic VLAN sur le commutateur vers une autre interface du commutateur :
Configuration de la mise en miroir des ports pour l’analyse du trafic à distance
Pour mettre en miroir le trafic qui traverse des interfaces ou un VLAN sur le commutateur vers un VLAN pour analyse à partir d’un emplacement distant :
Filtrage du trafic entrant dans un analyseur
Pour filtrer les paquets mis en miroir à un analyseur, créez l’analyseur, puis utilisez-le comme action dans le filtre de pare-feu. Vous pouvez utiliser des filtres de pare-feu dans les configurations de mise en miroir de ports locaux et distants.
Si le même analyseur est utilisé dans plusieurs filtres ou termes, les paquets ne sont copiés qu’une seule fois sur le port de sortie ou le VLAN de l’analyseur.
Pour filtrer le trafic en miroir, créez un analyseur, puis un filtre de pare-feu. Le filtre peut utiliser n’importe laquelle des conditions de correspondance disponibles et doit avoir une action de analyzer. L’action du filtre de pare-feu fournit l’entrée à l’analyseur.
Pour configurer la mise en miroir des ports avec des filtres :
Vérification des entrées et sorties des analyseurs de mise en miroir de ports sur les commutateurs EX Series
But
Cette tâche de vérification utilise Junos OS pour les commutateurs EX Series qui ne prennent pas en charge le style de configuration ELS (Enhanced L2 Software).
Vérifiez qu’un analyseur a été créé sur le commutateur et qu’il dispose des interfaces d’entrée miroir appropriées, ainsi que de l’interface de sortie de l’analyseur appropriée.
Action
Vous pouvez vérifier que l’analyseur de miroir de port est configuré comme prévu à l’aide de la show analyzer commande.
[edit] user@switch> show analyzer Analyzer name : employee-monitor Output VLAN : remote-analyzer Mirror ratio : 1 Loss priority : High Ingress monitored interfaces : ge-0/0/0.0 Ingress monitored interfaces : ge-0/0/1.0
Vous pouvez afficher tous les analyseurs de miroir de port configurés sur le commutateur, y compris ceux qui sont désactivés, à l’aide de la show ethernet-switching-options commande en mode de configuration.
user@switch# show ethernet-switching-options
inactive: analyzer employee-web-monitor {
loss-priority high;
output {
analyzer employee-monitor {
loss-priority high;
input {
ingress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
}
output {
vlan {
remote-analyzer;
}
}
}
Sens
Cette sortie montre que l’analyseur employee-monitor a un ratio de 1 (mise en miroir de chaque paquet, la valeur par défaut), une priorité de perte de high (définissez cette option sur high chaque fois que la sortie de l’analyseur est vers un VLAN), met en miroir le trafic entrant ge-0/0/0 et ge-0/0/1, et envoie le trafic en miroir à l’analyseur appelé remote-analyzer.
Exemple : Configuration des analyseurs de mise en miroir des ports pour la surveillance locale de l’utilisation des ressources des employés
Les équipements Juniper Networks vous permettent de configurer la mise en miroir des ports pour envoyer des copies de paquets vers une interface locale pour la surveillance locale, vers un VLAN ou vers un domaine de pont pour la surveillance à distance. Vous pouvez utiliser la mise en miroir pour copier ces paquets :
Paquets entrant ou sortant d’un port
Paquets entrant ou sortant d’un VLAN ou d’un domaine de pont
Vous pouvez ensuite analyser le trafic en miroir localement ou à distance à l’aide d’un analyseur de protocole. Vous pouvez installer un analyseur sur une interface de destination locale. Si vous envoyez du trafic en miroir vers un VLAN d’analyse ou un domaine de pont, vous pouvez utiliser un analyseur sur une station de surveillance distante.
Cette rubrique décrit comment configurer la mise en miroir locale sur un périphérique de commutation. Les exemples de cette rubrique décrivent comment configurer un périphérique de commutation pour mettre en miroir le trafic entrant dans les interfaces connectées aux ordinateurs des employés vers une interface de sortie de l’analyseur sur ce même périphérique.
- Conditions préalables
- Vue d’ensemble et topologie
- Mise en miroir de tout le trafic des employés pour l’analyse locale
- Vérification
Conditions préalables
Utilisez l’un des composants matériels et logiciels suivants :
Un commutateur EX9200 avec Junos OS version 13.2 ou ultérieure
Un routeur MX Series avec Junos OS version 14.1 ou ultérieure
Avant de configurer la mise en miroir des ports, assurez-vous de bien comprendre les concepts de mise en miroir. Pour plus d’informations sur les analyseurs, reportez-vous à la section Présentation des analyseurs de mise en miroir de ports. Pour plus d’informations sur la mise en miroir de ports, reportez-vous à la section Présentation de la mise en miroir de ports de couche 2.
Vue d’ensemble et topologie
Cette rubrique explique comment mettre en miroir tout le trafic entrant dans les ports du périphérique de commutation vers une interface de destination sur le même périphérique (mise en miroir locale). Dans ce cas, le trafic entre dans les ports connectés aux ordinateurs des employés.
La mise en miroir de l’ensemble du trafic nécessite une bande passante importante et ne doit être effectuée que lors d’une enquête active.
Les interfaces ge-0/0/0 et ge-0/0/1 servent de connexions pour les ordinateurs des employés.
L’interface ge-0/0/10 est réservée à l’analyse du trafic en miroir.
Connectez un PC exécutant un analyseur de protocole à l’interface de sortie de l’analyseur.
Plusieurs ports mis en miroir sur une interface peuvent provoquer un débordement de la mémoire tampon, ce qui entraîne la perte de paquets en miroir au niveau de l’interface de sortie.
Figure 1 affiche la topologie du réseau dans cet exemple.
Mise en miroir de tout le trafic des employés pour l’analyse locale
Procédure
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement la mise en miroir locale pour le trafic entrant envoyé sur deux ports connectés aux ordinateurs des employés, copiez l’une des commandes suivantes pour les commutateurs EX Series ou les routeurs MX Series et collez-les dans la fenêtre du terminal du périphérique de commutation :
EX Series
[edit] set interfaces ge-0/0/0 unit 0 family ethernet-switching set interfaces ge-0/0/1 unit 0 family ethernet-switching set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor output interface ge-0/0/10.0
MX Series
[edit] set interfaces ge-0/0/0 unit 0 family bridge interface-mode access vlan-id 99 set interfaces ge-0/0/1 unit 0 family bridge interface-mode access vlan-id 98 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor output interface ge-0/0/10.0
Procédure étape par étape
Pour configurer un analyseur appelé employee-monitor et spécifier à la fois les interfaces d’entrée (source) et l’interface de sortie de l’analyseur :
Configurez chaque interface à utiliser dans la configuration de l’analyseur. Utilisez le protocole familial adapté à votre plateforme.
EX Series [edit] set interfaces ge-0/0/0 unit 0 family ethernet-switching set interfaces ge-0/0/1 unit 0 family ethernet-switching
Pour configurer
family bridgesur une interface, vous devez configurerinterface-mode accessouinterface-mode trunkégalement. Vous devez également configurervlan-id.MX Series [edit] set interfaces ge-0/0/0 unit 0 family bridge interface-mode access vlan-id 99 set interfaces ge-0/0/1 unit 0 family bridge interface-mode access vlan-id 98
Configurez chaque interface connectée aux ordinateurs des employés en tant qu’interface
employee-monitord’analyseur de sortie.[edit forwarding-options] set analyzer employee-monitor input ingress interface ge-0/0/0.0 set analyzer employee-monitor input ingress interface ge-0/0/1.0
Configurez l’interface de l’analyseur
employee-monitorde sortie.Il s’agira de l’interface de destination pour les paquets mis en miroir.
[edit forwarding-options] set analyzer employee-monitor output interface ge-0/0/10.0
Résultats
Vérifiez les résultats de la configuration.
[edit]
user@device# show forwarding-options
analyzer {
employee-monitor {
input {
ingress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
}
output {
interface ge-0/0/10.0;
}
}
}
Vérification
Vérification de la création correcte de l’analyseur
But
Vérifiez que l’analyseur employee-monitor a été créé sur l’appareil de commutation avec les interfaces d’entrée et de sortie appropriées.
Action
Utilisez la show forwarding-options analyzer commande opérationnelle pour vérifier qu’un analyseur est configuré comme prévu.
user@device> show forwarding-options analyzer Analyzer name : employee-monitor Mirror rate : 1 Maximum packet length : 0 State : up Ingress monitored interfaces : ge-0/0/0.0 Output interface : ge-0/0/10.0
Sens
La sortie montre que l’analyseur a un rapport de 1 (c’est-à-dire qu’il employee-monitor met en miroir chaque paquet, le paramètre par défaut), que la taille maximale du paquet d’origine mis en miroir est 0 (ce qui indique que l’ensemble du paquet est mis en miroir), que l’état de la configuration est up, et que l’analyseur met en miroir le trafic entrant dans l’interface ge-0/0/0 et envoie le trafic mis en miroir à l’interface ge-0/0/10.
Si l’état de l’interface de sortie est down ou si l’interface de sortie n’est pas configurée, la valeur de State indique down que l’analyseur ne recevra pas de trafic en miroir.
Exemple : Configuration de la mise en miroir des ports pour la surveillance à distance de l’utilisation des ressources des employés
Les équipements Juniper Networks vous permettent de configurer la mise en miroir des ports pour envoyer des copies de paquets vers une interface locale pour la surveillance locale ou vers un VLAN ou un domaine de pont pour la surveillance à distance. Vous pouvez utiliser la mise en miroir pour copier ces paquets :
Paquets entrant ou sortant d’un port
Paquets entrant ou sortant d’un VLAN
Paquets entrant ou sortant d’un domaine de pont
Si vous envoyez du trafic en miroir à un VLAN d’analyse ou à un domaine de pont, vous pouvez analyser le trafic en miroir à l’aide d’un analyseur de protocole exécuté sur une station de surveillance à distance.
Ne mettez en miroir que les paquets nécessaires pour réduire l’impact potentiel sur les performances. Nous vous recommandons de procéder comme suit :
Désactivez vos sessions de mise en miroir configurées lorsque vous ne les utilisez pas.
Spécifiez des interfaces individuelles en tant qu’entrée pour les analyseurs plutôt que de spécifier toutes les interfaces en entrée.
Limitez la quantité de trafic en miroir en procédant comme suit :
Utilisation de l’échantillonnage statistique.
Définition de ratios pour sélectionner des échantillons statistiques.
Utilisation de filtres de pare-feu.
Les exemples de cette rubrique décrivent comment configurer la mise en miroir de ports distants pour analyser l’utilisation des ressources des employés.
- Conditions préalables
- Vue d’ensemble et topologie
- Mise en miroir du trafic des employés pour l’analyse à distance à l’aide d’un analyseur statistique
- Vérification
Conditions préalables
Cet exemple utilise l’une des paires de composants matériels et logiciels suivantes :
Un commutateur EX9200 connecté à un autre commutateur EX9200, tous deux exécutant Junos OS version 13.2 ou ultérieure
Un routeur MX Series connecté à un autre routeur MX Series, tous deux exécutant Junos OS version 14.1 ou ultérieure
Avant de configurer la mise en miroir à distance, assurez-vous que :
Vous comprenez les concepts de mise en miroir. Pour plus d’informations sur les analyseurs, reportez-vous à la section Présentation des analyseurs de mise en miroir de ports. Pour plus d’informations sur la mise en miroir de ports, reportez-vous à la section Présentation de la mise en miroir de ports de couche 2.
Les interfaces que l’analyseur utilisera comme interfaces d’entrée ont déjà été configurées sur l’appareil de commutation.
Vue d’ensemble et topologie
Cette rubrique explique comment configurer la mise en miroir de ports vers un VLAN d’analyseur distant ou un domaine de pont afin que l’analyse puisse être effectuée à partir d’une station de surveillance à distance.
Figure 2 affiche la topologie du réseau pour les exemples EX Series et MX Series.
Topologie
Dans cet exemple :
L’interface ge-0/0/0 est une interface de couche 2 et l’interface ge-0/0/1 est une interface de couche 3 (les deux sont des interfaces sur l’équipement source) qui servent de connexions pour les ordinateurs des employés.
L’interface ge-0/0/10 est une interface de couche 2 qui connecte le périphérique de commutation source au périphérique de commutation de destination.
L’interface ge-0/0/5 est une interface de couche 2 qui relie le dispositif de commutation de destination à la station de télésurveillance.
L’analyseur
remote-analyzerest configuré sur tous les équipements de commutation de la topologie pour acheminer le trafic en miroir. Cette topologie peut utiliser un VLAN ou un domaine de pont.
Mise en miroir du trafic des employés pour l’analyse à distance à l’aide d’un analyseur statistique
Pour configurer un analyseur statistique pour l’analyse du trafic à distance pour l’ensemble du trafic entrant et sortant des employés, sélectionnez l’un des exemples suivants :
- Mise en miroir du trafic des employés pour l’analyse à distance des commutateurs EX Series
- Mise en miroir du trafic des employés pour l’analyse à distance des routeurs MX Series
Mise en miroir du trafic des employés pour l’analyse à distance des commutateurs EX Series
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement un analyseur statistique pour l’analyse du trafic à distance du trafic entrant et sortant des employés, copiez les commandes suivantes pour les commutateurs EX Series et collez-les dans la fenêtre de terminal de périphérique de commutation appropriée.
Copiez et collez les commandes suivantes dans la fenêtre du terminal du périphérique de commutation source :
EX Series
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor output vlan remote-analyzer set forwarding-options analyzer employee-monitor input rate 2 set forwarding-options analyzer employee-monitor input maximum-packet-length 128 set chassis fpc 0 port-mirror-instance employee-monitor
Copiez et collez les commandes suivantes dans la fenêtre du terminal du périphérique de commutation de destination :
EX Series
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 set interfaces ge-0/0/5 unit 0 family ethernet-switching interface-mode access set forwarding-options analyzer employee-monitor input ingress vlan remote-analyzer set forwarding-options analyzer employee-monitor output interface ge-0/0/5.0
Procédure étape par étape
Pour configurer la mise en miroir à distance de base :
Sur le périphérique de commutation source, procédez comme suit :
Configurez l’ID de VLAN pour le
remote-analyzerVLAN.[edit] user@device# set vlans remote-analyzer vlan-id 999
Configurez l’interface sur le port réseau connecté à l’équipement de commutation de destination pour le mode d’accès et associez-la au
remote-analyzerVLAN.[edit] user@device# set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode access user@device# set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999
Configurez l’analyseur
employee-monitorstatistique .[edit forwarding-options] user@device# set analyzer employee-monitor input ingress interface ge-0/0/0.0 user@device# set analyzer employee-monitor input ingress interface ge-0/0/1.0 user@device# set analyzer employee-monitor input egress interface ge-0/0/0.0 user@device# set analyzer employee-monitor input egress interface ge-0/0/1.0 user@device# set analyzer employee-monitor output vlan remote-analyzer user@device# set analyzer employee-monitor input rate 2 user@device# set analyzer employee-monitor input maximum-packet-length 128
Liez l’analyseur statistique au FPC qui contient l’interface d’entrée.
[edit] user@device# set chassis fpc 0 port-mirror-instance employee-monitor
Sur le périphérique réseau de destination, procédez comme suit :
Configurez l’ID de VLAN pour le
remote-analyzerVLAN.[edit] user@device# set vlans remote-analyzer vlan-id 999
Configurez l’interface sur l’équipement de commutation de destination pour le mode d’accès et associez-la au
remote-analyzerVLAN.[edit interfaces] user@device# set ge-0/0/10 unit 0 family ethernet-switching interface-mode access user@device# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999
Configurez l’interface connectée au commutateur de destination pour le mode d’accès.
[edit interfaces] user@device# set ge-0/0/5 unit 0 family ethernet-switching interface-mode access
Configurez l’analyseur
employee-monitor.[edit forwarding-options] user@device# set analyzer employee-monitor input ingress vlan remote-analyzer user@device# set analyzer employee-monitor output interface ge-0/0/5.0
Spécifiez les paramètres de mise en miroir tels que le débit et la longueur maximale des paquets pour l’analyseur
employee-monitor.[edit] user@device# set forwarding-options analyzer employee-monitor input rate 2 user@device# set forwarding-options analyzer employee-monitor input maximum-packet-length 128
Liez l’analyseur
employee-monitorau FPC contenant les ports d’entrée.[edit] user@device# set chassis fpc 0 port-mirror-instance employee-monitor
Résultats
Vérifiez les résultats de la configuration sur le périphérique de commutation source :
[edit]
user@device# show
forwarding-options {
analyzer employee-monitor {
input {
ingress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
egress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
maximum-packet-length 128;
rate 2;
}
output {
vlan {
remote-analyzer;
}
}
}
}
interfaces {
ge-0/0/10 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members 999;
}
}
}
}
}
vlans {
remote-analyzer {
vlan-id 999;
}
}
Vérifiez les résultats de la configuration sur le commutateur de destination.
[edit]
user@device# show
interfaces {
ge0/0/5 {
unit 0 {
family ethernet-switching {
interface-mode access;
}
}
}
ge-0/0/10 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members 999;
}
}
}
}
}
vlans {
remote-analyzer {
vlan-id 999;
interface {
ge-0/0/10.0;
}
}
}
forwarding-options {
analyzer employee-monitor {
input {
ingress {
vlan remote-analyzer;
}
}
output {
interface {
ge-0/0/5.0;
}
}
}
}
Mise en miroir du trafic des employés pour l’analyse à distance des routeurs MX Series
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement un analyseur statistique pour l’analyse du trafic à distance du trafic entrant et sortant des employés, copiez les commandes suivantes pour les routeurs MX Series et collez-les dans la fenêtre de terminal de périphérique de commutation appropriée.
Copiez et collez les commandes suivantes dans la fenêtre du terminal du périphérique de commutation source :
MX Series
[edit] set bridge-domains remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family bridge interface-mode access set interfaces ge-0/0/10 unit 0 family bridge vlan-id 999 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor output bridge-domain remote-analyzer set forwarding-options analyzer employee-monitor input rate 2 set forwarding-options analyzer employee-monitor input maximum-packet-length 128 set chassis fpc 0 port-mirror-instance employee-monitor
Copiez et collez les commandes suivantes dans la fenêtre du terminal du périphérique de commutation de destination :
MX Series
[edit] set bridge-domains remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family bridge interface-mode access set interfaces ge-0/0/10 unit 0 family bridge vlan-id 999 set interfaces ge-0/0/5 unit 0 family bridge interface-mode access set forwarding-options analyzer employee-monitor input ingress bridge-domain remote-analyzer set forwarding-options analyzer employee-monitor output interface ge-0/0/5.0
Procédure étape par étape
Pour configurer la mise en miroir distante de base à l’aide de routeurs MX Series :
Sur le périphérique de commutation source, procédez comme suit :
Configurez l’ID de VLAN pour le domaine de
remote-analyzerpont.[edit] user@device# set bridge-domains remote-analyzer vlan-id 999
Configurez l’interface sur le port réseau connecté au périphérique de commutation de destination pour le mode d’accès et associez-la au domaine de
remote-analyzerpont.[edit] user@device# set interfaces ge-0/0/10 unit 0 family bridge interface-mode access user@device# set interfaces ge-0/0/10 unit 0 family bridge vlan members 999
Configurez l’analyseur
employee-monitorstatistique .[edit forwarding-options] user@device# set analyzer employee-monitor input ingress interface ge-0/0/0.0 user@device# set analyzer employee-monitor input ingress interface ge-0/0/1.0 user@device# set analyzer employee-monitor input egress interface ge-0/0/0.0 user@device# set analyzer employee-monitor input egress interface ge-0/0/1.0 user@device# set analyzer employee-monitor output bridge-domain remote-analyzer user@device# set analyzer employee-monitor input rate 2 user@device# set analyzer employee-monitor input maximum-packet-length 128
Liez l’analyseur statistique au FPC qui contient l’interface d’entrée.
[edit] user@device# set chassis fpc 0 port-mirror-instance employee-monitor
Sur le périphérique de commutation de destination, procédez comme suit :
Configurez l’ID de VLAN pour le domaine de
remote-analyzerpont.[edit bridge-domains] user@device# set remote-analyzer vlan-id 999
Configurez l’interface sur l’équipement de commutation de destination pour le mode d’accès et associez-la au domaine de
remote-analyzerpont.[edit interfaces] user@device# set ge-0/0/10 unit 0 family bridge interface-mode access user@device# set ge-0/0/10 unit 0 family bridge vlan members 999
Configurez l’interface connectée au commutateur de destination pour le mode d’accès.
[edit interfaces] user@device# set ge-0/0/5 unit 0 family bridge interface-mode access
Configurez l’analyseur
employee-monitor.[edit forwarding-options] user@device# set analyzer employee-monitor input ingress bridge-domain remote-analyzer user@device# set analyzer employee-monitor output interface ge-0/0/5.0
Spécifiez les paramètres de mise en miroir tels que le débit et la longueur maximale des paquets pour l’analyseur
employee-monitor.[edit] user@device# set forwarding-options analyzer employee-monitor input rate 2 user@device# set forwarding-options analyzer employee-monitor input maximum-packet-length 128
Liez l’analyseur
employee-monitorau FPC contenant les ports d’entrée.[edit] user@device# set chassis fpc 0 port-mirror-instance employee-monitor
Résultats
Vérifiez les résultats de la configuration sur le périphérique de commutation source :
[edit]
user@device# show
bridge-domains {
remote-analyzer {
vlan-id 999;
}
}
forwarding-options {
analyzer {
employee-monitor {
input {
ingress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
egress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
maximum-packet-length 128;
rate 2;
}
output {
bridge-domain {
remote-analyzer;
}
}
}
}
}
interfaces {
ge-0/0/0 {
unit 0 {
family bridge {
interface-mode access;
vlan-id 99;
}
}
}
ge-0/0/1 {
unit 0 {
family bridge {
interface-mode access;
vlan-id 98;
}
}
}
ge-0/0/10 {
unit 0 {
family bridge {
interface-mode access;
vlan-id 999;
}
}
}
}
Vérifiez les résultats de la configuration sur le commutateur de destination.
[edit]
user@device# show
bridge-domains {
remote-analyzer {
vlan-id 999;
}
}
forwarding-options {
analyzer {
employee-monitor {
input {
ingress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
bridge-domain remote-analyzer;
}
}
output {
interface ge-0/0/5.0;
}
}
}
}
interfaces {
ge-0/0/5 {
unit 0 {
family bridge {
interface-mode access;
}
}
}
}
Vérification
Vérification de la création correcte de l’analyseur
But
Vérifiez que l’analyseur nommé employee-monitor a été créé sur l’appareil avec les interfaces d’entrée et de sortie appropriées.
Action
Pour vérifier que l’analyseur est configuré comme prévu lors de la surveillance de tout le trafic des employés sur le périphérique de commutation source, exécutez la show forwarding-options analyzer commande sur le périphérique de commutation source. La sortie suivante s’affiche pour cet exemple de configuration.
user@device> show forwarding-options analyzer Analyzer name : employee-monitor Mirror rate : 2 Maximum packet length : 128 State : up Ingress monitored interfaces : ge-0/0/0.0 Ingress monitored interfaces : ge-0/0/1.0 Egress monitored interfaces : ge-0/0/0.0 Egress monitored interfaces : ge-0/0/1.0 Output VLAN : default-switch/remote-analyzer
Sens
Cette sortie montre que l’instance employee-monitor a un rapport de 2, que la taille maximale du paquet d’origine mis en miroir est de 128, que l’état de la configuration est up, ce qui indique l’état approprié et que l’analyseur est programmé, et que l’analyseur met en miroir le trafic entrant ge-0/0/0.0 et ge-0/0/1.0, et envoie le trafic mis en miroir au VLAN appelé remote-analyzer.
Si l’état de l’interface de sortie est down ou si l’interface de sortie n’est pas configurée, la valeur de State sera inactive et l’analyseur ne sera pas en mesure de surveiller le trafic.
Exemple : Configuration de la mise en miroir vers plusieurs interfaces pour la surveillance à distance de l’utilisation des ressources des employés sur les commutateurs EX9200
Les commutateurs EX9200 vous permettent de configurer la mise en miroir pour envoyer des copies de paquets à une interface locale pour une surveillance locale ou à un VLAN pour une surveillance à distance. Vous pouvez utiliser la mise en miroir pour copier ces paquets :
Paquets entrant ou sortant d’un port
Paquets entrant ou sortant d’un VLAN sur
Vous pouvez analyser le trafic en miroir à l’aide d’une application d’analyse de protocole exécutée sur une station de surveillance à distance si vous envoyez du trafic en miroir à un VLAN d’analyse.
Ne mettez en miroir que les paquets nécessaires pour réduire l’impact potentiel sur les performances. Nous vous recommandons de :
Désactivez vos analyseurs de mise en miroir configurés lorsque vous ne les utilisez pas.
Spécifiez des interfaces individuelles en tant qu’entrée pour les analyseurs plutôt que de spécifier toutes les interfaces en entrée.
Limitez la quantité de trafic en miroir en procédant comme suit :
Utilisation de l’échantillonnage statistique.
Définition de ratios pour sélectionner des échantillons statistiques.
Utilisation de filtres de pare-feu.
Cet exemple décrit comment configurer la mise en miroir à distance vers plusieurs interfaces sur un VLAN d’analyseur :
- Conditions préalables
- Vue d’ensemble et topologie
- Mise en miroir de l’ensemble du trafic des employés vers plusieurs interfaces membres VLAN pour une analyse à distance
- Vérification
Conditions préalables
Cet exemple utilise les composants matériels et logiciels suivants :
Trois commutateurs EX9200
Junos OS version 13.2 ou ultérieure pour les commutateurs EX Series
Avant de configurer la mise en miroir à distance, assurez-vous que :
Les interfaces que l’analyseur utilisera comme interfaces d’entrée ont été configurées sur le commutateur.
Vue d’ensemble et topologie
Cet exemple décrit comment mettre en miroir le trafic entrant dans les ports du commutateur vers le VLAN de l’analyseur distant afin de pouvoir effectuer une analyse à partir d’une station de surveillance à distance. Dans cet exemple, le VLAN de l’analyseur distant contient plusieurs interfaces membres. Par conséquent, le même trafic est mis en miroir sur toutes les interfaces membres du VLAN de l’analyseur à distance, de sorte que les paquets mis en miroir peuvent être envoyés à différentes stations de surveillance à distance. Vous pouvez installer des applications, telles que des renifleurs et des systèmes de détection d’intrusion, sur des stations de surveillance à distance afin d’analyser ces paquets en miroir et d’obtenir des données statistiques utiles. Par exemple, s’il y a deux stations de télésurveillance, vous pouvez installer un renifleur sur une station de télésurveillance et un système de détection d’intrusion sur l’autre station. Vous pouvez utiliser une configuration d’analyseur de filtre de pare-feu pour transférer un type de trafic spécifique à une station de télésurveillance.
Cet exemple décrit comment configurer un analyseur pour mettre en miroir le trafic vers plusieurs interfaces du groupe de sauts suivants afin que le trafic soit envoyé à différentes stations de surveillance pour analyse.
Figure 3 affiche la topologie du réseau dans cet exemple.
Topologie
Dans cet exemple :
Les interfaces ge-0/0/0 et ge-0/0/1 sont des interfaces de couche 2 (toutes deux des interfaces sur le commutateur source) qui servent de connexions pour les ordinateurs des employés.
Les interfaces ge-0/0/10 et ge-0/0/11 sont des interfaces de couche 2 connectées à différents commutateurs de destination.
L’interface ge-0/0/12 est une interface de couche 2 qui connecte le commutateur de destination 1 à la station de télésurveillance.
L’interface ge-0/0/13 est une interface de couche 2 qui connecte le commutateur Destination 2 à la station de télésurveillance.
Le VLAN
remote-analyzerest configuré sur tous les commutateurs de la topologie pour transporter le trafic en miroir.
Mise en miroir de l’ensemble du trafic des employés vers plusieurs interfaces membres VLAN pour une analyse à distance
Pour configurer la mise en miroir sur plusieurs interfaces membres VLAN afin d’analyser le trafic à distance pour l’ensemble du trafic entrant et sortant des employés, effectuez les tâches suivantes :
Procédure
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement la mise en miroir pour l’analyse du trafic à distance pour le trafic entrant et sortant des employés, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur :
Dans la fenêtre du terminal du commutateur source, copiez et collez les commandes suivantes :
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 set interfaces ge-0/0/11 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/11 unit 0 family ethernet-switching vlan members 999 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor output next-hop-group remote-analyzer-nhg set forwarding-options next-hop-group remote-analyzer-nhg interface ge-0/0/10.0 set forwarding-options next-hop-group remote-analyzer-nhg interface ge-0/0/11.0 set forwarding-options next-hop-group remote-analyzer-nhg group-type layer-2
Dans la fenêtre Terminal du commutateur Destination 1, copiez et collez les commandes suivantes :
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode acess set interfaces ge-0/0/12 unit 0 family ethernet-switching interface-mode access set forwarding-options analyzer employee-monitor input ingress vlan remote-analyzer set forwarding-options analyzer employee-monitor loss-priority high output interface ge-0/0/12.0
Dans la fenêtre du terminal du commutateur Destination 2, copiez et collez les commandes suivantes :
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/11 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/13 unit 0 family ethernet-switching interface-mode access set forwarding-options analyzer employee-monitor input ingress vlan remote-analyzer set forwarding-options analyzer employee-monitor loss-priority high output interface ge-0/0/13.0
Procédure étape par étape
Pour configurer la mise en miroir à distance de base sur deux interfaces membres VLAN :
Sur le commutateur source :
Configurez l’ID de VLAN pour le
remote-analyzerVLAN :[edit vlans] user@switch# set remote-analyzer vlan-id 999
Configurez les interfaces sur le port réseau connecté aux commutateurs de destination pour le mode d’accès et associez-le au
remote-analyzerVLAN :[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999 user@switch# set ge-0/0/11 unit 0 family ethernet-switching interface-mode trunk user@switch# set ge-0/0/11 unit 0 family ethernet-switching vlan members 999
Configurez l’analyseur
employee-monitor:[edit forwarding-options] user@switch# set analyzer employee-monitor input ingress interface ge-0/0/0.0 user@switch# set analyzer employee-monitor input ingress interface ge-0/0/1.0 user@switch# set analyzer employee-monitor input egress interface ge-0/0/0.0 user@switch# set analyzer employee-monitor input egress interface ge-0/0/1.0 user@switch# set analyzer employee-monitor output next-hop-group remote-analyzer-nhg
Dans cette configuration de l’analyseur, le trafic qui entre et sort des interfaces ge-0/0/0.0 et ge-0/0/1.0 est envoyé à la destination de sortie définie par le groupe de sauts suivant nommé
remote-analyzer-nhg.Configurez le
remote-analyzer-nhbgroupe next-hop :[edit forwarding-options] user@switch# set next-hop-group remote-analyzer-nhg interface ge-0/0/10.0 user@switch# set next-hop-group remote-analyzer-nhg interface ge-0/0/11.0 user@switch# set next-hop-group remote-analyzer-nhg group-type layer-2
Sur le commutateur Destination 1 :
Configurez l’ID de VLAN pour le
remote-analyzerVLAN :[edit vlans] user@switch# set remote-analyzer vlan-id 999
Configurez l’interface ge-0/0/10 sur le commutateur Destination 1 pour le mode d’accès :
[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching interface-mode access
Configurez l’interface connectée à la station de télésurveillance pour le mode d’accès :
[edit interfaces] user@switch# set ge-0/0/12 unit 0 family ethernet-switching interface-mode access
Configurez l’analyseur
employee-monitor:[edit forwarding-options] user@switch# set analyzer employee-monitor input ingress vlan remote-analyzer user@switch# set analyzer employee-monitor loss-priority high output interface ge-0/0/12.0
Sur le commutateur Destination 2 :
Configurez l’ID de VLAN pour le
remote-analyzerVLAN :[edit vlans] user@switch# set remote-analyzer vlan-id 999
Configurez l’interface ge-0/0/11 sur le commutateur Destination 2 pour le mode d’accès :
[edit interfaces] user@switch# set ge-0/0/11 unit 0 family ethernet-switching interface-mode access
Configurez l’interface connectée à la station de télésurveillance pour le mode d’accès :
[edit interfaces] user@switch# set ge-0/0/13 unit 0 family ethernet-switching interface-mode access
Configurez l’analyseur
employee-monitor:[edit forwarding-options] user@switch# set analyzer employee-monitor input ingress vlan remote-analyzer user@switch# set analyzer employee-monitor loss-priority high output interface ge-0/0/13.0
Résultats
Vérifiez les résultats de la configuration sur le commutateur source :
[edit]
user@switch# show
forwarding-options {
analyzer employee-monitor {
input {
ingress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
egress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
}
output {
next-hop-group {
remote-analyzer-nhg;
}
}
}
}
vlans {
remote-analyzer {
vlan-id 999;
interface {
ge-0/0/10.0
ge-0/0/11.0
}
}
}
interfaces {
ge-0/0/10 {
unit 0 {
family ethernet-switching {
interface-mode access;
}
}
}
ge-0/0/11 {
unit 0 {
family ethernet-switching {
interface-mode access;
}
}
}
}
Vérifiez les résultats de la configuration sur le commutateur Destination 1 :
[edit]
user@switch# show
vlans {
remote-analyzer {
vlan-id 999;
}
}
interfaces {
ge-0/0/10 {
unit 0 {
ethernet-switching {
interface-mode acess;
}
}
}
ge-0/0/12 {
unit 0 {
family ethernet-switching {
interface-mode access;
}
}
}
}
forwarding-options {
analyzer employee-monitor {
input {
ingress {
vlan remote-analyzer;
}
}
loss-priority high;
output {
interface {
ge-0/0/12.0;
}
}
}
}
Vérifiez les résultats de la configuration sur le commutateur Destination 2 :
[edit]
user@switch# show
vlans {
remote-analyzer {
vlan-id 999;
interface {
ge-0/0/11.0
}
}
}
interfaces {
ge-0/0/11 {
unit 0 {
family ethernet-switching {
interface-mode access;
}
}
}
ge-0/0/13 {
unit 0 {
family ethernet-switching {
interface-mode access;
}
}
}
}
forwarding-options {
employee-monitor {
input {
ingress {
vlan remote-analyzer;
}
}
loss-priority high;
output {
interface {
ge-0/0/13.0;
}
}
}
}
Vérification
Pour vérifier que la configuration fonctionne correctement, effectuez les opérations suivantes :
Vérification de la création correcte de l’analyseur
But
Vérifiez que l’analyseur nommé employee-monitor a été créé sur le commutateur avec les interfaces d’entrée et de sortie appropriées.
Action
Vous pouvez vérifier que l’analyseur est configuré comme prévu à l’aide de la show forwarding-options analyzer commande.
Pour vérifier que l’analyseur est configuré comme prévu tout en surveillant tout le trafic des employés sur le commutateur source, exécutez la show forwarding-options analyzer commande sur le commutateur source. La sortie suivante s’affiche pour cet exemple de configuration sur le commutateur source :
user@switch> show forwarding-options analyzer
Analyzer name : employee-monitor
Mirror rate : 1
Maximum packet length : 0
State : up
Ingress monitored interfaces : ge-0/0/0.0
Ingress monitored interfaces : ge-0/0/1.0
Egress monitored interfaces : ge-0/0/0.0
Egress monitored interfaces : ge-0/0/1.0
Output nhg : remote-analyzer-nhg
user@switch> show forwarding-options next-hop-group
Next-hop-group: remote-analyzer-nhg
Type: layer-2
State: up
Members Interfaces:
ge-0/0/10.0
ge-0/0/11.0
Sens
Cette sortie montre que l’analyseur employee-monitor a un ratio de 1 (mise en miroir de chaque paquet, ce qui est le comportement par défaut), que l’état de la configuration est up, ce qui indique l’état correct et que l’analyseur est programmé, met en miroir le trafic entrant ou sortant des interfaces ge-0/0/0 et ge-0/0/1, et envoie le trafic en miroir à plusieurs interfaces ge-0/0/10.0 et ge-0/0/11.0 via le groupe remote-analyzer-nhgde sauts suivant. Si l’état de l’interface de sortie est down ou si l’interface de sortie n’est pas configurée, la valeur d’état sera inactive et l’analyseur ne sera pas en mesure de mettre en miroir le trafic.
Exemple : Configuration de la mise en miroir pour la surveillance à distance de l’utilisation des ressources des employés par le biais d’un commutateur de transit sur les commutateurs EX9200
Les commutateurs EX9200 vous permettent de configurer la mise en miroir pour envoyer des copies de paquets à une interface locale pour une surveillance locale ou à un VLAN pour une surveillance à distance. Vous pouvez utiliser la mise en miroir pour copier ces paquets :
Paquets entrant ou sortant d’un port
Paquets entrant ou sortant d’un VLAN
Vous pouvez analyser le trafic en miroir à l’aide d’une application d’analyse de protocole exécutée sur une station de surveillance à distance si vous envoyez du trafic en miroir à un VLAN d’analyse.
Cette rubrique comprend un exemple décrivant comment mettre en miroir le trafic entrant dans les ports du commutateur vers le VLAN de l’analyseur distant via un commutateur de transit, afin de pouvoir effectuer une analyse à partir d’une station de surveillance à distance.
Ne mettez en miroir que les paquets nécessaires pour réduire l’impact potentiel sur les performances. Nous vous recommandons de :
Désactivez vos sessions de mise en miroir configurées lorsque vous ne les utilisez pas.
Spécifiez des interfaces individuelles en tant qu’entrée pour les analyseurs plutôt que de spécifier toutes les interfaces en entrée.
Limitez la quantité de trafic en miroir en procédant comme suit :
Utilisation de l’échantillonnage statistique.
Définition de ratios pour sélectionner des échantillons statistiques.
Utilisation de filtres de pare-feu.
Cet exemple décrit comment configurer la mise en miroir à distance via un commutateur de transit :
- Conditions préalables
- Vue d’ensemble et topologie
- Mise en miroir de l’ensemble du trafic des employés pour une analyse à distance via un commutateur de transport en commun
- Vérification
Conditions préalables
Cet exemple utilise les composants matériels et logiciels suivants :
Un commutateur EX9200 connecté à un autre commutateur EX9200 via un troisième commutateur EX9200
Junos OS version 13.2 ou ultérieure pour les commutateurs EX Series
Avant de configurer la mise en miroir à distance, assurez-vous que :
Les interfaces que l’analyseur utilisera comme interfaces d’entrée ont été configurées sur le commutateur.
Vue d’ensemble et topologie
Cet exemple décrit comment mettre en miroir le trafic entrant dans les ports du commutateur vers le remote-analyzer VLAN via un commutateur de transit afin de pouvoir effectuer une analyse de tout le trafic provenant des ordinateurs des employés.
Dans cette configuration, une session d’analyse est requise sur le commutateur de destination pour mettre en miroir le trafic entrant du VLAN de l’analyseur vers l’interface de sortie à laquelle la station de surveillance à distance est connectée.
Figure 4 affiche la topologie du réseau dans cet exemple.
Topologie
Dans cet exemple :
L’interface ge-0/0/0 est une interface de couche 2 et l’interface ge-0/0/1 est une interface de couche 3 (les deux interfaces sur le commutateur source) qui servent de connexions pour les ordinateurs des employés.
L’interface ge-0/0/10 est une interface de couche 2 qui se connecte au commutateur de transit.
L’interface ge-0/0/11 est une interface de couche 2 sur le commutateur de transit.
L’interface ge-0/0/12 est une interface de couche 2 sur le commutateur de transit et se connecte au commutateur de destination.
L’interface ge-0/0/13 est une interface de couche 2 sur le commutateur de destination.
L’interface ge-0/0/14 est une interface de couche 2 sur le commutateur de destination et se connecte à la station de télésurveillance.
Le VLAN
remote-analyzerest configuré sur tous les commutateurs de la topologie pour transporter le trafic en miroir.
Mise en miroir de l’ensemble du trafic des employés pour une analyse à distance via un commutateur de transport en commun
Pour configurer la mise en miroir de l’analyse du trafic à distance par le biais d’un commutateur de transit, effectuez les tâches suivantes pour l’ensemble du trafic entrant et sortant des employés :
Procédure
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement la mise en miroir pour l’analyse du trafic à distance via un commutateur de transit, pour le trafic entrant et sortant des employés, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur :
Copiez et collez les commandes suivantes dans la fenêtre du terminal du commutateur source (commutateur surveillé) :
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor output vlan remote-analyzer
Copiez et collez les commandes suivantes dans la fenêtre du commutateur de transit :
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/11 unit 0 family ethernet-switching interface-mode access set vlans remote-analyzer interface ge-0/0/11 set interfaces ge-0/0/12 unit 0 family ethernet-switching interface-mode access set vlans remote-analyzer interface ge-0/0/12
Copiez et collez les commandes suivantes dans la fenêtre du commutateur de destination :
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/13 unit 0 family ethernet-switching interface-mode access set vlans remote-analyzer interface ge-0/0/13 ingress set interfaces ge-0/0/14 unit 0 family ethernet-switching interface-mode access set forwarding-options analyzer employee-monitor input ingress vlan remote-analyzer set forwarding-options analyzer employee-monitor output interface ge-0/0/14.0
Procédure étape par étape
Pour configurer la mise en miroir à distance via un commutateur de transit :
Sur le commutateur source :
Configurez l’ID de VLAN pour le
remote-analyzerVLAN :[edit vlans] user@switch# set remote-analyzer vlan-id 999
Configurez les interfaces sur le port réseau connecté au commutateur de transit pour le mode d’accès et associez-le au
remote-analyzerVLAN :[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching interface-mode access user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999
Configurez l’analyseur
employee-monitor:[edit forwarding-options] user@switch# set analyzer employee-monitor input ingress interface ge-0/0/0.0 user@switch# set analyzer employee-monitor input ingress interface ge-0/0/1.0 user@switch# set analyzer employee-monitor input egress interface ge-0/0/0.0 user@switch# set analyzer employee-monitor input egress interface ge-0/0/1.0 user@switch# set analyzer employee-monitor output vlan remote-analyzer
Sur l’aiguillage de transit :
Configurez l’ID de VLAN pour le
remote-analyzerVLAN :[edit vlans] user@switch# set remote-analyzer vlan-id 999
Configurez l’interface ge-0/0/11 pour le mode d’accès, associez-la au
remote-analyzerVLAN :[edit interfaces] user@switch# set ge-0/0/11 unit 0 family ethernet-switching interface-mode access
Configurez l’interface ge-0/0/12 pour le mode d’accès, associez-la au
remote-analyzerVLAN et définissez l’interface pour le trafic sortant uniquement :[edit interfaces] user@switch# set ge-0/0/12 unit 0 family ethernet-switching interface-mode access user@switch# set vlans remote-analyzer interface ge-0/0/12
Sur le commutateur de destination :
Configurez l’ID de VLAN pour le
remote-analyzerVLAN :[edit vlans] user@switch# set remote-analyzer vlan-id 999
Configurez l’interface ge-0/0/13 pour le mode d’accès, associez-la au
remote-analyzerVLAN et définissez l’interface pour le trafic entrant uniquement :[edit interfaces] user@switch# set ge-0/0/13 unit 0 family ethernet-switching interface-mode access user@switch# set vlans remote-analyzer interface ge-0/0/13 ingress
Configurez l’interface connectée à la station de télésurveillance pour le mode d’accès :
[edit interfaces] user@switch# set ge-0/0/14 unit 0 family ethernet-switching interface-mode access
Configurez l’analyseur
remote-analyzer:[edit forwarding-options] user@switch# set analyzer employee-monitor input ingress vlan remote-analyzer user@switch# set analyzer employee-monitor output interface ge-0/0/14.0
Résultats
Vérifiez les résultats de la configuration sur le commutateur source :
[edit]
user@switch> show
forwarding-options {
analyzer employee-monitor {
input {
ingress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
egress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
}
output {
vlan {
remote-analyzer;
}
}
}
}
vlans {
remote-analyzer {
vlan-id 999;
}
}
interfaces {
ge-0/0/10 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
member 999;
}
}
}
}
}
Vérifiez les résultats de la configuration sur le commutateur de transit :
[edit]
user@switch> show
vlans {
remote-analyzer {
vlan-id 999;
interface {
ge-0/0/11.0 {
}
ge-0/0/12.0 {
}
}
}
}
interfaces {
ge-0/0/11 {
unit 0 {
family ethernet-switching {
interface-mode access;
}
}
}
ge-0/0/12 {
unit 0 {
family ethernet-switching {
interface-mode access;
}
}
}
}
Vérifiez les résultats de la configuration sur le commutateur de destination :
[edit]
user@switch> show
vlans {
remote-analyzer {
vlan-id 999;
interface {
ge-0/0/13.0 {
ingress;
}
}
}
}
interfaces {
ge-0/0/13 {
unit 0 {
family ethernet-switching {
interface-mode access;
}
}
}
ge-0/0/14 {
unit 0 {
family ethernet-switching {
interface-mode access;
}
}
}
}
forwarding-options {
analyzer employee-monitor {
input {
ingress {
vlan remote-analyzer;
}
}
output {
interface {
ge-0/0/14.0;
}
}
}
}
Vérification
Pour vérifier que la configuration fonctionne correctement, effectuez les opérations suivantes :
Vérification de la création correcte de l’analyseur
But
Vérifiez que l’analyseur nommé employee-monitor a été créé sur le commutateur avec les interfaces d’entrée et de sortie appropriées.
Action
Vous pouvez vérifier que l’analyseur est configuré comme prévu à l’aide de la show forwarding-options analyzer commande.
Pour vérifier que l’analyseur est configuré comme prévu tout en surveillant tout le trafic des employés sur le commutateur source, exécutez la show forwarding-options analyzer commande sur le commutateur source. La sortie suivante s’affiche pour cet exemple de configuration :
user@switch> show forwarding-options analyzer Analyzer name : employee-monitor Mirror rate : 1 Maximum packet length : 0 State : up Ingress monitored interfaces : ge-0/0/0.0 Ingress monitored interfaces : ge-0/0/1.0 Egress monitored interfaces : ge-0/0/0.0 Egress monitored interfaces : ge-0/0/1.0 Output vlan : default-switch/remote-analyzer
Sens
Cette sortie montre que l’analyseur employee-monitor a un ratio de mise en miroir de 1 (mise en miroir de chaque paquet, valeur par défaut), que l’état de la configuration est up, ce qui indique un état correct et que l’analyseur est programmé, qu’il met en miroir le trafic entrant ge-0/0/0 et ge-0/0/1, et qu’il envoie le trafic en miroir à l’analyseur appelé remote-analyzer. Si l’état de l’interface de sortie est down ou si l’interface de sortie n’est pas configurée, la valeur d’état sera inactive et l’analyseur ne sera pas en mesure de mettre en miroir le trafic.
Exemple : Configuration de la mise en miroir pour la surveillance locale de l’utilisation des ressources des employés sur les commutateurs EX4300
Cet exemple utilise Junos OS pour les commutateurs EX Series avec prise en charge du style de configuration ELS (Enhanced L2 Software). Si votre commutateur exécute un logiciel qui ne prend pas en charge ELS, reportez-vous à la section Exemple : Configuration de la mise en miroir des ports pour la surveillance locale de l’utilisation des ressources des employés sur les commutateurs EX Series. Pour plus d’informations sur ELS, reportez-vous à la section Prise en main du logiciel de couche 2 amélioré.
Les commutateurs EX4300 vous permettent de configurer la mise en miroir pour envoyer des copies de paquets vers une interface locale pour une surveillance locale ou vers un VLAN pour une surveillance à distance. Vous pouvez utiliser la mise en miroir pour copier ces paquets :
Paquets entrant ou sortant d’un port
Paquets entrant dans un VLAN
Vous pouvez analyser le trafic en miroir à l’aide d’un analyseur de protocole installé sur un système connecté à l’interface de destination locale ou à une station de surveillance à distance si vous envoyez du trafic en miroir à un VLAN de l’analyseur.
Cet exemple décrit comment configurer la mise en miroir locale sur un commutateur EX4300. Cet exemple décrit comment configurer le commutateur pour mettre en miroir le trafic entrant dans les interfaces connectées aux ordinateurs des employés vers une interface de sortie de l’analyseur sur le même commutateur.
- Conditions préalables
- Vue d’ensemble et topologie
- Mise en miroir de tout le trafic des employés pour l’analyse locale
- Mise en miroir du trafic des employés vers le Web pour l’analyse locale
- Vérification
Conditions préalables
Cet exemple utilise les composants matériels et logiciels suivants :
Un commutateur EX4300
Junos OS version 13.2X50-D10 ou ultérieure pour les commutateurs EX Series
Vue d’ensemble et topologie
Cette rubrique comprend deux exemples décrivant comment mettre en miroir le trafic entrant dans les ports du commutateur vers une interface de destination sur le même commutateur (mise en miroir locale). Le premier exemple montre comment mettre en miroir tout le trafic entrant dans les ports connectés aux ordinateurs des employés. Le deuxième exemple montre le même scénario, mais inclut un filtre pour refléter uniquement le trafic des employés qui se dirige vers le Web.
Les interfaces ge-0/0/0 et ge-0/0/1 servent de connexions pour les ordinateurs des employés. L’interface ge0/0/10 est réservée à l’analyse du trafic en miroir. Connectez un PC exécutant une application d’analyse de protocole à l’interface de sortie de l’analyseur pour analyser le trafic en miroir.
Plusieurs ports mis en miroir sur une interface peuvent provoquer un débordement de la mémoire tampon et la perte de paquets.
Les deux exemples utilisent la topologie de réseau illustrée à Figure 5la section .
Mise en miroir de tout le trafic des employés pour l’analyse locale
Pour configurer la mise en miroir de l’ensemble du trafic des employés à des fins d’analyse locale, effectuez les tâches suivantes :
Procédure
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement la mise en miroir locale du trafic entrant vers les deux ports connectés aux ordinateurs des employés, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur :
[edit] set interfaces ge-0/0/0 unit 0 family ethernet-switching set interfaces ge-0/0/1 unit 0 family inet address 192.0.2.1/24 set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members analyzer_vlan set vlans analyzer-vlan vlan-id 1000 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor output interface ge-0/0/10.0
Procédure étape par étape
Pour configurer un analyseur appelé employee-monitor et spécifier les interfaces d’entrée (source) et l’interface de sortie de l’analyseur :
Configurez chaque interface connectée aux ordinateurs des employés en tant qu’interface d’entrée pour l’analyseur
employee-monitor:[edit forwarding-options] user@switch# set analyzer employee-monitor input ingress interface ge–0/0/0.0 user@switch# set analyzer employee-monitor input ingress interface ge-0/0/1.0
Configurez l’interface de sortie de l’analyseur dans le cadre d’un VLAN :
[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members analyzer_vlan
[edit vlans] user@switch# set analyzer-vlan vlan-id 1000
Configurez l’interface de l’analyseur de sortie pour l’analyseur
employee-monitor. Il s’agira de l’interface de destination pour les paquets mis en miroir :[edit forwarding-options] user@switch# set analyzer employee-monitor output interface ge-0/0/10.0
Résultats
Vérifiez les résultats de la configuration :
[edit]
user@switch# show
forwarding-options {
analyzer employee-monitor {
input {
ingress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;}
}
output {
interface {
ge-0/0/10.0;
}
}
}
}
Mise en miroir du trafic des employés vers le Web pour l’analyse locale
Pour configurer la mise en miroir du trafic des employés vers le trafic Web, effectuez les tâches suivantes :
Procédure
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement la mise en miroir locale du trafic à partir des deux ports connectés aux ordinateurs des employés, en filtrant de sorte que seul le trafic vers le Web externe soit mis en miroir, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur :
[edit] set forwarding-options port-mirroring instance employee-web-monitor output interface ge-0/0/10.0 set firewall family ethernet-switching filter watch-employee term employee-to-corp from destination-address 192.0.2.16/24 set firewall family ethernet-switching filter watch-employee term employee-to-corp from source-address 192.0.2.16/24 set firewall family ethernet-switching filter watch-employee term employee-to-corp then accept set firewall family ethernet-switching filter watch-employee term employee-to-web from destination-port 80 set firewall family ethernet-switching filter watch-employee term employee-to-web then port-mirroring-instance employee-web-monitor set interfaces ge-0/0/0 unit 0 family ethernet-switching filter input watch-employee set interfaces ge-0/0/1 unit 0 family ethernet-switching filter input watch-employee
Procédure étape par étape
Pour configurer la mise en miroir locale du trafic des employés vers le trafic Web à partir des deux ports connectés aux ordinateurs des employés :
Configurez l’interface de l’analyseur local :
[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching
Configurez l’instance
employee-web-monitorde sortie (l’entrée de l’instance provient de l’action du filtre) :[edit forwarding-options port-mirroring] user@switch# set instance employee-web-monitor output interface ge-0/0/10.0
Configurez un filtre de pare-feu appelé
watch-employeepour envoyer à l’instanceemployee-web-monitordes copies en miroir des demandes des employés sur le Web. Acceptez tout le trafic en provenance et à destination du sous-réseau de l’entreprise (adresse de destination ou source 192.0.2.16/24). Envoyez des copies en miroir de tous les paquets à destination d’Internet (port de destination 80) à l’instanceemployee-web-monitor.[edit firewall family ethernet-switching] user@switch# set filter watch-employee term employee-to-corp from destination-address 192.0.2.16/24 user@switch# set filter watch-employee term employee-to-corp from source-address 192.0.2.16/24 user@switch# set filter watch-employee term employee-to-corp then accept ser@switch# set filter watch-employee term employee-to-web from destination-port 80 user@switch# set filter watch-employee term employee-to-web then port-mirroring-instance employee-web-monitor
Appliquez le
watch-employeefiltre aux ports appropriés :[edit interfaces] user@switch# set ge-0/0/0 unit 0 family ethernet-switching filter input watch-employee user@switch# set ge-0/0/1 unit 0 family ethernet-switching filter input watch-employee
Résultats
Vérifiez les résultats de la configuration :
[edit]
user@switch# show
forwarding-options {
port-mirroring {
instance {
employee-web-monitor {
family ethernet-switching {
output {
interface ge-0/0/10.0;
}
}
}
}
}
}
...
firewall family ethernet-switching {
filter watch-employee {
term employee-to-corp {
from {
destination-address 192.0.2.16/24;
source-address 192.0.2.16/24;
}
then accept {
}
term employee-to-web {
from {
destination-port 80;
}
then port-mirroring-instance employee-web-monitor;
}
}
}
...
interfaces {
ge-0/0/0 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
vlan members [employee-vlan, voice-vlan];
filter {
input watch-employee;
}
}
}
}
ge-0/0/1 {
family ethernet-switching {
filter {
input watch-employee;
}
}
}
}
Vérification
Pour vérifier que la configuration est correcte, effectuez les opérations suivantes :
- Vérification de la création correcte de l’analyseur
- Vérification de la configuration correcte de l’instance de mise en miroir des ports
Vérification de la création correcte de l’analyseur
But
Vérifiez que l’analyseur employee-monitor ou employee-web-monitor a été créé sur le commutateur avec les interfaces d’entrée et de sortie appropriées.
Action
Vous pouvez utiliser la show forwarding-options analyzer commande pour vérifier que l’analyseur est correctement configuré.
user@switch> show forwarding-options analyzer Analyzer name : employee-monitor Mirror rate : 1 Maximum packet length : 0 State : up Ingress monitored interfaces : ge-0/0/0.0 Ingress monitored interfaces : ge-0/0/1.0 Output interface : ge-0/0/10.0
Sens
Cette sortie montre que l’analyseur employee-monitor a un ratio de 1 (mise en miroir de chaque paquet, le paramètre par défaut), la taille maximale du paquet d’origine qui a été mis en miroir (0 indique le paquet entier), l’état de la configuration (est actif indique que l’analyseur met en miroir le trafic entrant dans les interfaces ge-0/0/0 et ge-0/0/1, et envoie le trafic mis en miroir à l’interface ge-0/0/10). Si l’état de l’interface de sortie est inactif ou si l’interface de sortie n’est pas configurée, la valeur de l’état sera down et l’analyseur ne sera pas programmé pour la mise en miroir.
Vérification de la configuration correcte de l’instance de mise en miroir des ports
But
Vérifiez que l’instance employee-web-monitor de mise en miroir des ports a été correctement configurée sur le commutateur avec les interfaces d’entrée appropriées.
Action
Vous pouvez vérifier que l’instance de mise en miroir des ports est correctement configurée à l’aide de la show forwarding-options port-mirroring commande.
user@switch> show forwarding-options port-mirroring
Instance Name: employee-web-monitor
Instance Id: 3
Input parameters:
Rate : 1
Run-length : 0
Maximum-packet-length : 0
Output parameters:
Family State Destination Next-hop
ethernet-switching up ge-0/0/10.0
Sens
Cette sortie montre que l’instance employee-web-monitor a un ratio de 1 (mise en miroir de chaque paquet, valeur par défaut), la taille maximale du paquet d’origine qui a été mis en miroir (0 indique un paquet entier), que l’état de la configuration est actif et que la mise en miroir des ports est programmée, et que le trafic mis en miroir à partir de l’action de filtre du pare-feu est envoyé sur l’interface ge-0/0/10.0. Si l’état de l’interface de sortie est inactif ou si l’interface n’est pas configurée, la valeur de l’état sera inactive et la mise en miroir des ports ne sera pas programmée pour la mise en miroir.
Exemple : Configuration de la mise en miroir pour la surveillance à distance de l’utilisation des ressources des employés sur les commutateurs EX4300
Cet exemple utilise Junos OS pour les commutateurs EX Series avec prise en charge du style de configuration ELS (Enhanced L2 Software). Si votre commutateur exécute un logiciel qui ne prend pas en charge ELS, reportez-vous à la section Exemple : Configuration de la mise en miroir pour la surveillance à distance de l’utilisation des ressources des employés sur les commutateurs EX4300. Pour plus de détails sur ELS, voir : Prise en main du logiciel de couche 2 amélioré.
Les commutateurs EX4300 vous permettent de configurer la mise en miroir pour envoyer des copies de paquets vers une interface locale pour une surveillance locale ou vers un VLAN pour une surveillance à distance. Vous pouvez utiliser la mise en miroir pour copier ces paquets :
Paquets entrant ou sortant d’un port
Paquets entrant dans un VLAN sur les commutateurs EX4300
Vous pouvez analyser le trafic en miroir à l’aide d’une application d’analyse de protocole s’exécutant sur une station de surveillance à distance si vous envoyez du trafic en miroir à un VLAN d’analyse.
Cette rubrique comprend deux exemples connexes qui décrivent comment mettre en miroir le trafic entrant dans les ports du commutateur vers le remote-analyzer VLAN afin de pouvoir effectuer une analyse à partir d’une station de surveillance à distance. Le premier exemple montre comment mettre en miroir tout le trafic entrant dans les ports connectés aux ordinateurs des employés. Le deuxième exemple montre le même scénario, mais inclut un filtre pour refléter uniquement le trafic des employés qui se dirige vers le Web.
Ne mettez en miroir que les paquets nécessaires pour réduire l’impact potentiel sur les performances. Nous vous recommandons de :
Désactivez vos sessions de mise en miroir configurées lorsque vous ne les utilisez pas.
Spécifiez des interfaces individuelles en tant qu’entrée pour les analyseurs plutôt que de spécifier toutes les interfaces en entrée.
Limitez la quantité de trafic en miroir à l’aide de filtres de pare-feu.
Cet exemple décrit comment configurer la mise en miroir à distance :
- Conditions préalables
- Vue d’ensemble et topologie
- Mise en miroir de l’ensemble du trafic des collaborateurs pour une analyse à distance
- Mise en miroir du trafic des employés vers le Web pour une analyse à distance
- Vérification
Conditions préalables
Cet exemple utilise les composants matériels et logiciels suivants :
Junos OS version 13.2X50-D10 ou ultérieure pour les commutateurs EX Series
Un commutateur EX4300 connecté à un autre commutateur EX4300
Le schéma montre un châssis EX4300 Virtual Chassis connecté à un commutateur de destination EX4300.
Avant de configurer la mise en miroir à distance, assurez-vous que :
Vous comprenez les concepts de mise en miroir.
Les interfaces que l’analyseur utilisera comme interfaces d’entrée ont été configurées sur le commutateur.
Vue d’ensemble et topologie
Cette rubrique comprend deux exemples connexes qui décrivent comment configurer la mise en miroir sur le VLAN afin que l’analyse remote-analyzer puisse être effectuée à partir d’une station de surveillance distante. Le premier exemple montre comment configurer un commutateur pour qu’il mette en miroir tout le trafic provenant des ordinateurs des employés. Le deuxième exemple illustre le même scénario, mais la configuration inclut un filtre pour refléter uniquement le trafic des employés qui se dirige vers le Web.
Figure 6 Affiche la topologie du réseau pour ces deux exemples de scénarios.
Topologie
Dans cet exemple :
L’interface ge-0/0/0 est une interface de couche 2 et l’interface ge-0/0/1 est une interface de couche 3 (les deux interfaces sur le commutateur source) qui servent de connexions pour les ordinateurs des employés.
L’interface ge-0/0/10 est une interface de couche 2 qui connecte le commutateur source au commutateur de destination.
L’interface ge-0/0/5 est une interface de couche 2 qui connecte le commutateur de destination à la station de télésurveillance.
Le VLAN
remote-analyzerest configuré sur tous les commutateurs de la topologie pour transporter le trafic en miroir.
Mise en miroir de l’ensemble du trafic des collaborateurs pour une analyse à distance
Pour configurer un analyseur d’analyse du trafic à distance pour l’ensemble du trafic entrant et sortant des employés, effectuez les tâches suivantes :
Procédure
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement un analyseur d’analyse du trafic à distance pour le trafic entrant et sortant des employés, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur :
Copiez et collez les commandes suivantes dans la fenêtre du terminal du commutateur source :
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor output vlan remote-analyzer
Copiez et collez les commandes suivantes dans la fenêtre du terminal du commutateur de destination :
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 set interfaces ge-0/0/5 unit 0 family ethernet-switching interface-mode trunk set forwarding-options analyzer employee-monitor input ingress vlan remote-analyzer set forwarding-options analyzer employee-monitor output interface ge-0/0/5.0
Procédure étape par étape
Pour configurer la mise en miroir de ports distants de base :
Sur le commutateur source :
Configurez l’ID de VLAN pour le
remote-analyzerVLAN :[edit vlans] user@switch# set remote-analyzer vlan-id 999
Configurez l’interface sur le port réseau connecté au commutateur de destination pour le mode trunk et associez-la au
remote-analyzerVLAN :[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999
Configurez l’analyseur
employee-monitor:[edit forwarding-options] user@switch# set analyzer employee-monitor input ingress interface ge-0/0/0.0 user@switch# set analyzer employee-monitor input ingress interface ge-0/0/1.0 user@switch# set instance employee-monitor input egress interface ge-0/0/0.0 user@switch# set analyzer employee-monitor input egress interface ge-0/0/1.0 user@switch# set analyzer employee-monitor output vlan remote-analyzer
Sur le commutateur de destination :
Configurez l’ID de VLAN pour le
remote-analyzerVLAN :[edit vlans] user@switch# set remote-analyzer vlan-id 999
Configurez l’interface sur le commutateur de destination pour le mode trunk et associez-la au
remote-analyzerVLAN :[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999
Configurez l’interface connectée au commutateur de destination pour le mode trunk :
[edit interfaces] user@switch# set ge-0/0/5 unit 0 family ethernet-switching interface-mode trunk
Configurez l’analyseur
employee-monitor:[edit forwarding-options] user@switch# set analyzer employee-monitor input ingress vlan remote-analyzer user@switch# set analyzer employee-monitor output interface ge-0/0/5.0
Résultats
Vérifiez les résultats de la configuration sur le commutateur source :
[edit]
user@switch> show
forwarding-options {
analyzer employee-monitor {
input {
ingress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
egress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
}
output {
vlan {
remote-analyzer;
}
}
}
}
interfaces {
ge-0/0/10 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
vlan {
members 999;
}
}
}
}
}
vlans {
remote-analyzer {
vlan-id 999;
interface {
ge-0/0/10.0
}
}
}
}
Vérifiez les résultats de la configuration sur le commutateur de destination :
[edit]
user@switch> show
interfaces {
ge0/0/5 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
}
}
}
ge-0/0/10 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
vlan {
members 999;
}
}
}
}
}
vlans {
remote-analyzer {
vlan-id 999;
interface {
ge-0/0/10.0
}
}
}
}
forwarding-options {
analyzer employee-monitor {
input {
ingress {
vlan remote-analyzer;
}
}
output {
interface {
ge-0/0/5.0;
}
}
}
}
Mise en miroir du trafic des employés vers le Web pour une analyse à distance
Pour configurer la mise en miroir des ports pour l’analyse à distance du trafic des employés vers le Web, effectuez les tâches suivantes :
Procédure
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement la mise en miroir des ports afin de mettre en miroir le trafic des employés sur le Web externe, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur :
Copiez et collez les commandes suivantes dans la fenêtre du terminal du commutateur source :
[edit] user@switch# set forwarding-options port-mirroring instance employee-web-monitor output vlan 999 user@switch# set vlans remote-analyzer vlan-id 999 user@switch# set interfaces ge-0/0/10 unit 0 family ethernet-switching port mode trunk user@switch# set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 user@switch# set firewall family ethernet-switching filter watch-employee term employee-to-corp from destination-address 192.0.2.16/24 user@switch# set firewall family ethernet-switching filter watch-employee term employee-to-corp from source-address 192.0.2.16/24 user@switch# set firewall family ethernet-switching filter watch-employee term employee-to-corp then accept user@switch# set firewall family ethernet-switching filter watch-employee term employee-to-web from destination-port 80 user@switch# set firewall family ethernet-switching filter watch-employee term employee-to-web then port-mirror-instance employee-web-monitor user@switch# set interfaces ge-0/0/0 unit 0 family ethernet-switching filter input watch-employee user@switch# set interfaces ge-0/0/1 unit 0 family ethernet-switching filter input watch-employee
Copiez et collez les commandes suivantes dans la fenêtre du terminal du commutateur de destination :
[edit] user@switch# set vlans remote-analyzer vlan-id 999 user@switch# set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk user@switch# set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 user@switch# set interfaces ge-0/0/5 unit 0 family ethernet-switching interface-mode trunk user@switch# set forwarding-options analyzer employee-web-monitor input ingress vlan remote-analyzer user@switch# set forwarding-options analyzer employee-web-monitor output interface ge-0/0/5.0
Procédure étape par étape
Pour configurer la mise en miroir de tout le trafic des deux ports connectés aux ordinateurs des employés vers le remote-analyzer VLAN pour une utilisation à partir d’une station de surveillance à distance :
Sur le commutateur source :
Configurez l’instance de
employee-web-monitormise en miroir des ports :[edit ] user@switch# set interfaces ge-0/0/10 unit 0 family ethernet-switching port mode trunk user@switch# set forwarding-options port-mirroring instance employee-web-monitor output vlan 999
Configurez l’ID de VLAN pour le
remote-analyzerVLAN :[edit vlans] user@switch# set remote-analyzer vlan-id 999
Configurez l’interface pour l’associer au
remote-analyzerVLAN :[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999
Configurez le filtre de pare-feu appelé
watch-employee:[edit firewall family ethernet-switching] user@switch# set filter watch-employee term employee-to-corp from destination-address 192.0.2.16/24 user@switch# set filter watch-employee term employee-to-corp from source-address 192.0.2.16/24 user@switch# set filter watch-employee term employee-to-corp then accept user@switch# set filter watch-employee term employee-to-web from destination-port 80 user@switch# set filter watch-employee term employee-to-web then port-mirror-instance employee-web-monitor
Appliquez le filtre de pare-feu aux interfaces des collaborateurs :
[edit interfaces] user@switch# set ge-0/0/0 unit 0 family ethernet-switching filter input watch-employee user@switch# set ge-0/0/1 unit 0 family ethernet-switching filter input watch-employee
Sur le commutateur de destination :
Configurez l’ID de VLAN pour le
remote-analyzerVLAN :[edit vlans] user@switch# set remote-analyzer vlan-id 999
Configurez l’interface sur le commutateur de destination pour le mode trunk et associez-la au
remote-analyzerVLAN :[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999
Configurez l’interface connectée au commutateur de destination pour le mode trunk :
[edit interfaces] user@switch# set ge-0/0/5 unit 0 family ethernet-switching interface-mode trunk
Configurez l’analyseur
employee-monitor:[edit forwarding-options port-mirroring] user@switch# set instance employee-web-monitor input ingress vlan remote-analyzer user@switch# set instance employee-web-monitor output interface ge-0/0/5.0
Résultats
Vérifiez les résultats de la configuration sur le commutateur source :
[edit]
user@switch> show
interfaces {
ge-0/0/10 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
vlan {
members remote-analyzer;
}
}
}
}
ge-0/0/0 {
unit 0 {
family ethernet-switching {
filter {
input watch-employee;
}
}
}
}
ge-0/0/1 {
unit 0 {
family ethernet-switching {
filter {
input watch-employee;
}
}
}
}
}
firewall {
family ethernet-switching {
filter watch-employee {
term employee-to-corp {
from {
source-address {
192.0.2.16/24;
}
destination-address {
192.0.2.16/24;
}
}
then accept;
}
term employee-to-web {
from {
destination-port 80;
}
then port-mirror-instance employee-web-monitor;
}
}
}
}
forwarding-options {
analyzer employee-web-monitor {
output {
vlan {
999;
}
}
}
vlans {
remote-analyzer {
vlan-id 999;
}
}
Vérifiez les résultats de la configuration sur le commutateur de destination :
[edit]
user@switch> show
vlans {
remote-analyzer {
vlan-id 999;
}
}
interfaces {
ge-0/0/10 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
vlan {
members remote-analyzer;
}
}
}
}
ge-0/0/5 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
}
}
}
}
forwarding-options {
port-mirroring {
instance employee-web-monitor {
input {
ingress {
vlan remote-analyzer;
}
}
output {
interface {
ge-0/0/5.0;
}
}
}
}
Vérification
Pour vérifier que la configuration fonctionne correctement, effectuez les opérations suivantes :
Vérification de la création correcte de l’analyseur
But
Vérifiez que l’analyseur nommé employee-monitor ou employee-web-monitor a été créé sur le commutateur avec les interfaces d’entrée et de sortie appropriées.
Action
Vous pouvez vérifier que l’analyseur est configuré comme prévu à l’aide de la show forwarding-options analyzer commande. Pour afficher les analyseurs précédemment créés et désactivés, rendez-vous sur l’interface J-Web.
Pour vérifier que l’analyseur est configuré comme prévu tout en surveillant tout le trafic des employés sur le commutateur source, exécutez la show analyzer commande sur le commutateur source. La sortie suivante s’affiche pour cet exemple de configuration :
user@switch> show forwarding-options analyzer Analyzer name : employee-monitor Mirror rate : 1 Maximum packet length : 0 State : up Ingress monitored interfaces : ge-0/0/0.0 Ingress monitored interfaces : ge-0/0/1.0 Egress monitored interfaces : ge-0/0/0.0 Egress monitored interfaces : ge-0/0/1.0 Output VLAN : default-switch/remote-analyzer
Sens
Cette sortie montre que l’instance employee-monitor a un ratio de 1 (mise en miroir de chaque paquet, valeur par défaut), la taille maximale du paquet d’origine qui a été mis en miroir (0 indique le paquet entier), que l’état de la configuration est actif (ce qui indique l’état correct et que l’analyseur est programmé, et met en miroir le trafic entrant ge-0/0/0 et ge-0/0/1 et envoie le trafic mis en miroir au VLAN appelé remote-analyzer). Si l’état de l’interface de sortie est inactif ou si l’interface de sortie n’est pas configurée, la valeur de l’état sera inactive et l’analyseur ne sera pas programmé pour la mise en miroir.
Exemple : Configuration de la mise en miroir pour la surveillance à distance de l’utilisation des ressources des employés par le biais d’un commutateur de transit sur les commutateurs EX4300
Cet exemple utilise Junos OS pour les commutateurs EX Series avec prise en charge du style de configuration ELS (Enhanced L2 Software).
Les commutateurs EX4300 vous permettent de configurer la mise en miroir pour envoyer des copies de paquets vers une interface locale pour une surveillance locale ou vers un VLAN pour une surveillance à distance. Vous pouvez utiliser la mise en miroir pour copier ces paquets :
Paquets entrant ou sortant d’un port
Paquets entrant dans un VLAN sur les commutateurs EX4300
Vous pouvez analyser le trafic en miroir à l’aide d’une application d’analyse de protocole s’exécutant sur une station de surveillance à distance si vous envoyez du trafic en miroir à un VLAN d’analyse.
Cette rubrique comprend un exemple décrivant comment mettre en miroir le trafic entrant dans les ports du commutateur vers le remote-analyzer VLAN via un commutateur de transit, afin de pouvoir effectuer une analyse à partir d’une station de surveillance à distance.
Ne mettez en miroir que les paquets nécessaires pour réduire l’impact potentiel sur les performances. Nous vous recommandons de :
Désactivez vos sessions de mise en miroir configurées lorsque vous ne les utilisez pas.
Spécifiez des interfaces individuelles en tant qu’entrée pour les analyseurs plutôt que de spécifier toutes les interfaces en entrée.
Limitez la quantité de trafic en miroir à l’aide de filtres de pare-feu.
Cet exemple décrit comment configurer la mise en miroir à distance via un commutateur de transit :
- Conditions préalables
- Vue d’ensemble et topologie
- Mise en miroir de l’ensemble du trafic des employés pour une analyse à distance via un commutateur de transport en commun
- Vérification
Conditions préalables
Cet exemple utilise les composants matériels et logiciels suivants :
Un commutateur EX4300 connecté à un autre commutateur EX4300 via un troisième commutateur EX4300
Junos OS version 13.2X50-D10 ou ultérieure pour les commutateurs EX Series
Avant de configurer la mise en miroir à distance, assurez-vous que :
Vous comprenez les concepts de mise en miroir.
Les interfaces que l’analyseur utilisera comme interfaces d’entrée ont été configurées sur le commutateur.
Vue d’ensemble et topologie
Cet exemple décrit comment mettre en miroir le trafic entrant dans les ports du commutateur vers le remote-analyzer VLAN via un commutateur de transit afin de pouvoir effectuer une analyse à partir d’une station de surveillance à distance. L’exemple montre comment configurer un commutateur pour mettre en miroir tout le trafic des ordinateurs des employés vers un analyseur distant.
Dans cette configuration, une session d’analyse est requise sur le commutateur de destination pour mettre en miroir le trafic entrant du VLAN de l’analyseur vers l’interface de sortie à laquelle la station de surveillance à distance est connectée. Vous devez désactiver l’apprentissage MAC sur le commutateur de transit pour le VLAN afin que l’apprentissage remote-analyzer MAC soit désactivé pour toutes les interfaces membres du VLAN sur le commutateur de remote-analyzer transit.
Figure 7 affiche la topologie du réseau dans cet exemple.
Topologie
Dans cet exemple :
L’interface ge-0/0/0 est une interface de couche 2 et l’interface ge-0/0/1 est une interface de couche 3 (les deux interfaces sur le commutateur source) qui servent de connexions pour les ordinateurs des employés.
L’interface ge-0/0/10 est une interface de couche 2 qui se connecte au commutateur de transit.
L’interface ge-0/0/11 est une interface de couche 2 sur le commutateur de transit.
L’interface ge-0/0/12 est une interface de couche 2 sur le commutateur de transit et se connecte au commutateur de destination.
L’interface ge-0/0/13 est une interface de couche 2 sur le commutateur de destination.
L’interface ge-0/0/14 est une interface de couche 2 sur le commutateur de destination et se connecte à la station de télésurveillance.
Le VLAN
remote-analyzerest configuré sur tous les commutateurs de la topologie pour transporter le trafic en miroir.
Mise en miroir de l’ensemble du trafic des employés pour une analyse à distance via un commutateur de transport en commun
Pour configurer la mise en miroir de l’analyse du trafic à distance par le biais d’un commutateur de transit, effectuez les tâches suivantes pour l’ensemble du trafic entrant et sortant des employés :
Procédure
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement la mise en miroir pour l’analyse du trafic à distance via un commutateur de transit, pour le trafic entrant et sortant des employés, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur :
Copiez et collez les commandes suivantes dans la fenêtre du terminal du commutateur source (commutateur surveillé) :
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor output vlan remote-analyzer
Copiez et collez les commandes suivantes dans la fenêtre du commutateur de transit :
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/11 unit 0 family ethernet-switching interface-mode trunk set vlans remote-analyzer interface ge-0/0/11 set interfaces ge-0/0/12 unit 0 family ethernet-switching interface-mode trunk set vlans remote-analyzer interface ge-0/0/12 set vlans remote-analyzer no-mac-learning
Copiez et collez les commandes suivantes dans la fenêtre du commutateur de destination :
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/13 unit 0 family ethernet-switching interface-mode trunk set vlans remote-analyzer interface ge-0/0/13 ingress set interfaces ge-0/0/14 unit 0 family ethernet-switching interface-mode trunk set forwarding-options analyzer employee-monitor input ingress vlan remote-analyzer set forwarding-options analyzer employee-monitor output interface ge-0/0/14.0
Procédure étape par étape
Pour configurer la mise en miroir à distance via un commutateur de transit :
Sur le commutateur source :
Configurez l’ID de VLAN pour le
remote-analyzerVLAN :[edit vlans] user@switch# set remote-analyzer vlan-id 999
Configurez les interfaces sur le port réseau connecté au commutateur de transit pour le mode trunk et associez-le au
remote-analyzerVLAN :[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999
Configurez l’analyseur
employee-monitor:[edit forwarding-options] user@switch# set analyzer employee-monitor input ingress interface ge-0/0/0.0 user@switch# set analyzer employee-monitor input ingress interface ge-0/0/1.0 user@switch# set analyzer employee-monitor input egress interface ge-0/0/0.0 user@switch# set analyzer employee-monitor input egress interface ge-0/0/1.0 user@switch# set analyzer employee-monitor output vlan remote-analyzer
Sur l’aiguillage de transit :
Configurez l’ID de VLAN pour le
remote-analyzerVLAN :[edit vlans] user@switch# set remote-analyzer vlan-id 999
Configurez l’interface ge-0/0/11 pour le mode trunk, associez-la au
remote-analyzerVLAN :[edit interfaces] user@switch# set ge-0/0/11 unit 0 family ethernet-switching interface-mode trunk
Configurez l’interface pour le
ge-0/0/12mode trunk, associez-la auremote-analyzerVLAN et définissez l’interface pour le trafic sortant uniquement :[edit interfaces] user@switch# set ge-0/0/12 unit 0 family ethernet-switching interface-mode trunk user@switch# set vlans remote-analyzer interface ge-0/0/12
Configurez l’option
no-mac-learningpour que le VLAN désactive l’apprentissageremote-analyzerMAC sur toutes les interfaces membres duremote-analyzerVLAN :[edit interfaces] user@switch# set vlans remote-analyzer no-mac-learning
Sur le commutateur de destination :
Configurez l’ID de VLAN pour le
remote-analyzerVLAN :[edit vlans] user@switch# set remote-analyzer vlan-id 999
Configurez l’interface ge-0/0/13 pour le mode trunk, associez-la au
remote-analyzerVLAN et définissez l’interface pour le trafic entrant uniquement :[edit interfaces] user@switch# set ge-0/0/13 unit 0 family ethernet-switching interface-mode trunk user@switch# set vlans remote-analyzer interface ge-0/0/13 ingress
Configurez l’interface connectée à la station de télésurveillance pour le mode trunk :
[edit interfaces] user@switch# set ge-0/0/14 unit 0 family ethernet-switching interface-mode trunk
Configurez l’analyseur
employee-monitor:[edit forwarding-options] user@switch# set analyzer employee-monitor input ingress vlan remote-analyzer user@switch# set analyzer employee-monitor output interface ge-0/0/14.0
Résultats
Vérifiez les résultats de la configuration sur le commutateur source :
[edit]
user@switch> show
forwarding-options {
analyzer employee-monitor {
input {
ingress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
egress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
}
output {
vlan {
remote-analyzer;
}
}
}
}
vlans {
remote-analyzer {
vlan-id 999;
}
}
interfaces {
ge-0/0/10 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
vlan {
member 999;
}
}
}
}
}
Vérifiez les résultats de la configuration sur le commutateur de transit :
[edit]
user@switch> show
vlans {
remote-analyzer {
vlan-id 999;
interface {
ge-0/0/11.0 {
}
ge-0/0/12.0 {
}
}
no-mac-learning;
}
}
interfaces {
ge-0/0/11 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
}
}
}
ge-0/0/12 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
}
}
}
}
Vérifiez les résultats de la configuration sur le commutateur de destination :
[edit]
user@switch> show
vlans {
remote-analyzer {
vlan-id 999;
interface {
ge-0/0/13.0 {
ingress;
}
}
}
}
interfaces {
ge-0/0/13 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
}
}
}
ge-0/0/14 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
}
}
}
}
forwarding-options {
analyzer employee-monitor {
input {
ingress {
vlan remote-analyzer;
}
}
output {
interface {
ge-0/0/14.0;
}
}
}
}
Vérification
Pour vérifier que la configuration fonctionne correctement, effectuez les opérations suivantes :
Vérification de la création correcte de l’analyseur
But
Vérifiez que l’analyseur nommé employee-monitor a été créé sur le commutateur avec les interfaces d’entrée et de sortie appropriées.
Action
Vous pouvez vérifier si l’analyseur est configuré comme prévu à l’aide de la show analyzer commande. Pour afficher les analyseurs précédemment créés et désactivés, rendez-vous sur l’interface J-Web.
Pour vérifier que l’analyseur est configuré comme prévu tout en surveillant tout le trafic des employés sur le commutateur source, exécutez la show analyzer commande sur le commutateur source. La sortie suivante s’affiche pour cet exemple de configuration :
user@switch> show forwarding-options analyzer Analyzer name : employee-monitor Mirror rate : 1 Maximum packet length : 0 State : up Ingress monitored interfaces : ge-0/0/0.0 Ingress monitored interfaces : ge-0/0/1.0 Egress monitored interfaces : ge-0/0/0.0 Egress monitored interfaces : ge-0/0/1.0 Output vlan : default-switch/remote-analyzer
Sens
Cette sortie montre que l’analyseur employee-monitor a un ratio de 1 (mise en miroir de chaque paquet, valeur par défaut), qu’il met en miroir le trafic entrant ge-0/0/0 et ge-0/0/1 et qu’il envoie le trafic mis en miroir à l’analyseur remote-analyzer.