Configuration de la mise en miroir des ports pour les destinations distantes
Mise en miroir de ports de couche 2 vers une destination distante en utilisant la destination comme VLAN
Vous configurez la mise en miroir des ports sur un commutateur EX9200 pour envoyer des copies du trafic vers une destination de sortie, telle qu’une interface, une instance de routage ou un VLAN. Et pour le trafic d’entrée, vous pouvez configurer un terme de filtre de pare-feu avec différentes conditions de correspondance et actions.
Lorsque vous configurez le VLAN comme destination de sortie dans une configuration de mise en miroir de ports, le trafic de chaque session de mise en miroir de ports est transporté sur un VLAN spécifié par l’utilisateur qui est dédié à cette session de mise en miroir dans tous les commutateurs participants. Le trafic mis en miroir est copié sur ce VLAN (également appelé VLAN miroir) et transféré vers les interfaces, qui sont membres du VLAN miroir. Les interfaces de destination, qui sont membres du VLAN miroir, peuvent s’étendre sur plusieurs commutateurs du réseau, à condition que le même VLAN de mise en miroir distante soit utilisé pour une session de mise en miroir sur tous les commutateurs.
Vous pouvez utiliser l’action ou port-mirror-instance dans la configuration du filtre de pare-feu lorsque vous mettez en miroir du port-mirror trafic vers des destinations distantes en configurant un VLAN comme destination de sortie de mise en miroir de port.
Mise en miroir de ports de couche 2 de configuration vers un VLAN distant
Les commutateurs EX9200 vous permettent de configurer la mise en miroir pour envoyer des copies de paquets à une interface locale pour une surveillance locale ou à un VLAN pour une surveillance à distance. Vous pouvez utiliser la mise en miroir pour copier les paquets suivants :
Paquets entrant ou sortant d’un port
Paquets entrant ou sortant d’un VLAN
Ne mettez en miroir que les paquets nécessaires pour réduire l’impact potentiel sur les performances. Nous vous recommandons de :
Désactivez la mise en miroir des ports que vous avez configurés lorsque vous ne les utilisez pas.
Spécifiez des interfaces individuelles en entrée plutôt que de spécifier toutes les interfaces en tant qu’entrée dans une configuration de mise en miroir de ports.
Limitez la quantité de trafic en miroir en procédant comme suit :
Utilisation de l’échantillonnage statistique.
Définition de ratios pour sélectionner des échantillons statistiques.
Utilisation de filtres de pare-feu.
Configuration de la mise en miroir de ports sur un VLAN distant
Pour filtrer les paquets devant être mis en miroir sur une instance de mise en miroir de port, créez l’instance, puis utilisez-la comme action dans le filtre de pare-feu. Vous pouvez utiliser des filtres de pare-feu dans les configurations de mise en miroir locale et distante.
Si la même instance de mise en miroir des ports est utilisée dans plusieurs filtres ou termes, les paquets ne sont copiés qu’une seule fois sur le port de sortie ou le VLAN de mise en miroir des ports.
Pour filtrer le trafic en miroir, créez une instance de mise en miroir de port sous le niveau hiérarchique [edit forwarding-options] , puis créez un filtre de pare-feu. Le filtre peut utiliser n’importe laquelle des conditions de correspondance disponibles et doit avoir port-mirror-instance instance-name comme action. Cette action dans la configuration du filtre de pare-feu fournit l’entrée à l’instance de mise en miroir des ports.
Pour configurer une instance de mise en miroir de port avec des filtres de pare-feu :
Exemple : Configuration de la mise en miroir de ports de couche 2 sur un VLAN distant
Les commutateurs EX9200 vous permettent de configurer la mise en miroir pour envoyer des copies de paquets à une interface locale pour une surveillance locale ou à un VLAN pour une surveillance à distance. Vous pouvez utiliser la mise en miroir pour copier ces paquets :
Paquets entrant ou sortant d’un port
Paquets entrant ou existant sur un VLAN
Vous pouvez analyser le trafic en miroir à l’aide d’une application d’analyse de protocole s’exécutant sur une station de surveillance à distance si vous envoyez du trafic en miroir à un VLAN d’analyse.
Cette rubrique comprend deux exemples connexes qui décrivent comment mettre en miroir le trafic entrant dans les ports du commutateur vers le remote-analyzer VLAN afin de pouvoir effectuer une analyse à partir d’une station de surveillance à distance. Le premier exemple montre comment mettre en miroir tout le trafic entrant dans les ports connectés aux ordinateurs des employés. Le deuxième exemple montre le même scénario, mais inclut un filtre pour refléter uniquement le trafic des employés qui se dirige vers le Web.
Ne mettez en miroir que les paquets nécessaires pour réduire l’impact potentiel sur les performances. Nous vous recommandons de :
Désactivez vos sessions de mise en miroir configurées lorsque vous ne les utilisez pas.
Spécifiez des interfaces individuelles en tant qu’entrée pour les analyseurs plutôt que de spécifier toutes les interfaces en entrée.
Limitez la quantité de trafic en miroir à l’aide de filtres de pare-feu.
Cet exemple décrit comment configurer la mise en miroir à distance :
- Conditions préalables
- Vue d’ensemble et topologie
- Mise en miroir du trafic des employés vers le Web pour une analyse à distance
- Vérification
Conditions préalables
Avant de configurer la mise en miroir à distance, assurez-vous que :
Vous comprenez les concepts de mise en miroir.
Les interfaces que la mise en miroir de ports utilisera comme interfaces de sortie ont été configurées sur le commutateur.
Vue d’ensemble et topologie
Cette rubrique comprend deux exemples connexes qui décrivent comment configurer la mise en miroir sur le VLAN afin que l’analyse remote-analyzer puisse être effectuée à partir d’une station de surveillance distante. Le premier exemple montre comment configurer un commutateur pour qu’il mette en miroir tout le trafic provenant des ordinateurs des employés. Le deuxième exemple illustre le même scénario, mais la configuration inclut un filtre pour refléter uniquement le trafic des employés qui se dirige vers le Web.
Figure 1 Affiche la topologie du réseau pour ces deux exemples de scénarios.
Topologie
Dans cet exemple :
L’interface ge-0/0/0 est une interface de couche 2, et l’interface ge-0/0/1 est une interface de couche 2 (les deux interfaces sur le commutateur source) qui servent de connexions pour les ordinateurs des employés.
L’interface ge-0/0/10 est une interface de couche 2 qui connecte le commutateur source au commutateur de destination.
L’interface ge-0/0/5 est une interface de couche 2 qui connecte le commutateur de destination à la station de télésurveillance.
Le VLAN
remote-analyzerest configuré sur tous les commutateurs de la topologie pour transporter le trafic en miroir.
Mise en miroir du trafic des employés vers le Web pour une analyse à distance
Pour configurer la mise en miroir des ports pour l’analyse à distance du trafic des employés vers le Web, effectuez les tâches suivantes :
Procédure
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement la mise en miroir des ports afin de mettre en miroir le trafic des employés sur le Web externe, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur :
Copiez et collez les commandes suivantes dans la fenêtre du terminal du commutateur source :
[edit] set forwarding-options port-mirroring instance employee-web-monitor output vlan 999 set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 set firewall family ethernet-switching filter watch-employee term employee-to-corp from destination-address 192.0.2.16/28 set firewall family ethernet-switching filter watch-employee term employee-to-corp from source-address 192.0.2.16/28 set firewall family ethernet-switching filter watch-employee term employee-to-corp then accept set firewall family ethernet-switching filter watch-employee term employee-to-web from destination-port 80 set firewall family ethernet-switching filter watch-employee term employee-to-web then port-mirror-instance employee-web-monitor set interfaces ge-0/0/0 unit 0 family ethernet-switching filter input watch-employee set interfaces ge-0/0/1 unit 0 family ethernet-switching filter input watch-employee
Copiez et collez les commandes suivantes dans la fenêtre du terminal du commutateur de destination :
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 set interfaces ge-0/0/5 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/5 unit 0 family ethernet-switching vlan members 999
Procédure étape par étape
Pour configurer la mise en miroir de tout le trafic des deux ports connectés aux ordinateurs des employés vers le remote-analyzer VLAN pour une utilisation à partir d’une station de surveillance à distance :
Sur le commutateur source :
Configurez l’instance
employee-web-monitorde mise en miroir des ports :[edit ] user@switch# set interfaces ge-0/0/10 unit 0 family ethernet-switching port mode access user@switch# set forwarding-options port-mirroring instance employee-web-monitor output vlan 999
Configurez l’ID de VLAN pour le
remote-analyzerVLAN :[edit vlans] user@switch# set remote-analyzer vlan-id 999
Configurez l’interface pour l’associer au
remote-analyzerVLAN :[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999
Configurez le filtre de pare-feu appelé
watch-employee:[edit firewall family ethernet-switching] user@switch# set filter watch-employee term employee-to-corp from destination-address 192.0.2.16/28 user@switch# set filter watch-employee term employee-to-corp from source-address 192.0.2.16/28 user@switch# set filter watch-employee term employee-to-corp then accept user@switch# set filter watch-employee term employee-to-web from destination-port 80 user@switch# set filter watch-employee term employee-to-web then port-mirror-instance employee-web-monitor
Dans cette configuration, le
employee-to-corpterme définit que le trafic provenant de l’adresse192.0.2.16/28de destination et de l’adresse192.0.2.16/28source peut être accepté pour passer par le commutateur, et définitemployee-to-webque le trafic provenant du port80doit être envoyé à l’instanceemployee-web-monitorde mise en miroir du port.Appliquez le filtre de pare-feu aux interfaces des collaborateurs :
[edit interfaces] user@switch# set ge-0/0/0 unit 0 family ethernet-switching filter input watch-employee user@switch# set ge-0/0/1 unit 0 family ethernet-switching filter input watch-employee
Sur le commutateur de destination :
Configurez l’ID de VLAN pour le
remote-analyzerVLAN :[edit vlans] user@switch# set remote-analyzer vlan-id 999
Configurez l’interface sur le commutateur de destination pour le mode d’accès et associez-la au
remote-analyzerVLAN :[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching interface-mode access user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999
Configurez l’interface connectée au commutateur de destination pour le mode d’accès et associez-la au
remote-analyzerVLAN :[edit interfaces] user@switch# set ge-0/0/5 unit 0 family ethernet-switching interface-mode access user@switch# set ge-0/0/5 unit 0 family ethernet-switching vlan members 999
Résultats
Vérifiez les résultats de la configuration sur le commutateur source :
[edit]
user@switch> show
interfaces {
ge-0/0/10 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members remote-analyzer;
}
}
}
}
ge-0/0/0 {
unit 0 {
family ethernet-switching {
filter {
input watch-employee;
}
}
}
}
ge-0/0/1 {
unit 0 {
family ethernet-switching {
filter {
input watch-employee;
}
}
}
}
}
firewall {
family ethernet-switching {
filter watch-employee {
term employee-to-corp {
from {
source-address {
192.0.2.16/28;
}
destination-address {
192.0.2.16/28;
}
}
then accept;
}
term employee-to-web {
from {
destination-port 80;
}
then port-mirror-instance employee-web-monitor;
}
}
}
}
forwarding-options {
analyzer employee-web-monitor {
output {
vlan {
999;
}
}
}
vlans {
remote-analyzer {
vlan-id 999;
}
}
Vérifiez les résultats de la configuration sur le commutateur de destination :
[edit]
user@switch> show
vlans {
remote-analyzer {
vlan-id 999;
}
}
interfaces {
ge-0/0/10 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members remote-analyzer;
}
}
}
}
ge-0/0/5 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members remote-analyzer;
}
}
}
}
}
Vérification
Pour vérifier que la configuration fonctionne correctement, effectuez les opérations suivantes :
Vérification de la création correcte de l’instance de mise en miroir des ports
But
Vérifiez que l’instance employee-web-monitor port-mirror a été créée sur le commutateur avec le VLAN de sortie approprié.
Action
Vous pouvez vérifier que le port-mirror est configuré comme prévu à l’aide de la show forwarding-options port-mirror commande. Pour afficher les analyseurs précédemment créés et désactivés, rendez-vous sur l’interface J-Web.
Pour vérifier que le miroir de port est configuré comme prévu lors de la surveillance du trafic des employés sur le commutateur source, exécutez la show forwarding-options port-miror commande sur le commutateur source. La sortie suivante s’affiche pour cet exemple de configuration :
user@switch> show forwarding-options port-mirror
Instance Name: employee-web-monitor
Instance Id: 3
Input parameters:
Rate : 1
Run-length : 0
Maximum-packet-length : 0
Output parameters:
Family State Destination Next-hop
ethernet-switching up default-switch/remote-analyzer
Sens
Cette sortie montre que l’instance employee-web-monitor a un ratio de 1 (mise en miroir de chaque paquet, ce qui est la valeur par défaut), la taille maximale du paquet d’origine qui a été mis en miroir (0 indique le paquet entier), l’état de la configuration est en hausse (ce qui indique l’état correct et que l’analyseur est programmé, met en miroir le trafic entrant ge-0/0/0 et ge-0/0/1, et envoie le trafic en miroir vers le VLAN appelé remote-analyzer).