Sur cette page
configuration de la mise en miroir des ports sur les pare-feu SRX Series
Exemples: Configuration de la mise en miroir des ports pour l’analyse locale
Exemple : Mise en miroir du trafic Web des employés à l’aide d’un filtre de pare-feu
Exemple : Configuration de la mise en miroir des ports pour l’analyse à distance
Configuration de la mise en miroir des ports Analyse locale et distante
Configuration de la mise en miroir des ports
La mise en miroir de ports permet de copier des paquets et d’envoyer les copies à un périphérique exécutant une application, telle qu’un analyseur de réseau ou une application de détection d’intrusion, afin de pouvoir analyser le trafic sans le ralentir. Vous pouvez mettre en miroir le trafic entrant ou sortant d’un port ou entrant dans un VLAN, et vous pouvez envoyer les copies vers une interface d’accès local ou vers un VLAN via une interface trunk.
Nous vous recommandons de désactiver la mise en miroir des ports lorsque vous ne l’utilisez pas. Pour éviter de créer un problème de performances Si vous activez la mise en miroir des ports, nous vous recommandons de sélectionner des interfaces d’entrée spécifiques au lieu d’utiliser le all mot-clé. Vous pouvez également limiter la quantité de trafic en miroir à l’aide d’un filtre de pare-feu.
Cette tâche utilise le style de configuration ELS (Enhanced L2 Software). Si votre commutateur exécute un logiciel qui ne prend pas en charge ELS, reportez-vous à la section Configuration de la mise en miroir des ports. Pour plus d’informations sur ELS, reportez-vous à la section Utilisation de la CLI logicielle de couche 2 améliorée.
Si vous souhaitez créer des analyseurs supplémentaires sans supprimer un analyseur existant, désactivez d’abord l’analyseur existant à l’aide de la disable analyzer analyzer-name commande.
Vous devez configurer les interfaces de sortie de mise en miroir des ports en tant que family ethernet-switching.
- Configuration de la mise en miroir des ports pour l’analyse locale
- Configuration de la mise en miroir des ports pour l’analyse à distance
- Filtrage du trafic entrant dans un analyseur
Configuration de la mise en miroir des ports pour l’analyse locale
Pour mettre en miroir le trafic de l’interface vers une interface locale sur le commutateur :
Configuration de la mise en miroir des ports pour l’analyse à distance
Pour mettre en miroir le trafic vers un VLAN à des fins d’analyse sur un emplacement distant :
Filtrage du trafic entrant dans un analyseur
Cette fonctionnalité n’est pas prise en charge sur les équipements NFX150.
En plus de spécifier le trafic à mettre en miroir en configurant un analyseur, vous pouvez également utiliser un filtre de pare-feu pour mieux contrôler les paquets copiés. Par exemple, vous pouvez utiliser un filtre pour spécifier que seul le trafic de certaines applications doit être mis en miroir. Le filtre peut utiliser n’importe laquelle des conditions de correspondance disponibles et doit avoir une action de modificateur de Si vous utilisez le même analyseur dans plusieurs filtres ou termes, les paquets de port-mirror-instance instance-name. sortie ne sont copiés qu’une seule fois.
Lorsque vous utilisez un filtre de pare-feu comme entrée d’une instance de mise en miroir de port, vous envoyez le trafic copié vers une interface locale ou un VLAN, comme vous le faites lorsqu’un pare-feu n’est pas impliqué.
Pour configurer la mise en miroir des ports avec des filtres :
configuration de la mise en miroir des ports sur les pare-feu SRX Series
Pour configurer la mise en miroir des ports sur un périphérique SRX, vous devez d’abord configurer le forwarding-options et interfaces au niveau de la [edit] hiérarchie.
Vous devez configurer l’instruction pour définir une instance du port pour la mirror-to mise en miroir des ports, ainsi que pour configurer l’interface forwarding-options à mettre en miroir.
Le port en miroir et le port en miroir vers doivent se trouver sous le même chipset Broadcom dans une carte d’E/S.
Pour configurer la mise en miroir des ports :
Vous pouvez configurer une instance clause pour spécifier plusieurs mirror-to ports.
Pour dupliquer une interface, incluez l’instruction port-mirror-instance au niveau de la [edit interface mirrored-intf-name] hiérarchie.
L’interface mise en miroir est configurée avec un nom d’instance, défini dans le forwarding-optionsfichier . Le mirrored port et le port sont liés par cette mirror-to instance.
instance {
inst-name {
input {
rate number;
run-length number;
}
family any {
output {
interface intf-name;
}
}
}
}
interfaces
mirrored-intf-name {
port-mirror-instance instance-name;
}
La mise en miroir des ports sur les pare-feu SRX Series ne différencie pas la direction du trafic, mais reflète les échantillons d’entrée et de sortie.
Vous trouverez ci-dessous un exemple de configuration pour la mise en miroir des ports :
mirror port ge-1/0/2 to port ge-1/0/9.0
forwarding-options
port-mirroring {
input {
rate 1;
run-length 10;
}
family any {
output {
interface ge-1/0/9.0;
}
}
instance {
inst1 {
input {
rate 1;
run-length 10;
}
family any {
output {
interface ge-1/0/9.0;
}
}
}
}
interfaces {
ge-1/0/2 {
port-mirror-instance inst1;
}
}
Exemples: Configuration de la mise en miroir des ports pour l’analyse locale
Utilisez la mise en miroir des ports pour envoyer du trafic vers des applications qui analysent le trafic à des fins telles que la surveillance de la conformité, l’application de stratégies, la détection d’intrusions, la surveillance et la prédiction des modèles de trafic, la corrélation d’événements, etc. La mise en miroir de ports copie les paquets entrant ou sortant d’une interface ou entrant dans un VLAN, puis envoie les copies à une interface locale pour une surveillance locale.
Cet exemple utilise le style de configuration ELS (Enhanced L2 Software). Pour plus d’informations sur ELS, reportez-vous à la section Utilisation de la CLI logicielle de couche 2 améliorée.
Cet exemple décrit comment configurer la mise en miroir des ports pour copier le trafic envoyé par les ordinateurs des employés vers un commutateur vers une interface d’accès sur le même commutateur.
- Conditions préalables
- Vue d’ensemble et topologie
- Exemple : Mise en miroir de tout le trafic des employés pour l’analyse locale
Conditions préalables
Cet exemple utilise les composants matériels et logiciels suivants :
Junos OS version 13.2
Un interrupteur
Vue d’ensemble et topologie
Cette rubrique comprend deux exemples connexes qui décrivent comment mettre en miroir le trafic entrant dans les interfaces du commutateur vers une interface d’accès sur le même commutateur. Le premier exemple montre comment mettre en miroir l’ensemble du trafic envoyé par les ordinateurs des employés vers le commutateur. Le deuxième exemple inclut un filtre pour refléter uniquement le trafic des employés qui se dirige vers le Web.
Topologie
Dans cet exemple, xe-0/0/0 et xe-0/0/6 servent de connexions pour les ordinateurs des employés. L’interface xe-0/0/47 est connectée à un appareil exécutant une application d’analyse.
Plusieurs ports mis en miroir sur une interface peuvent provoquer un débordement de la mémoire tampon et la perte de paquets.
Figure 1 affiche la topologie du réseau dans cet exemple.
Exemple : Mise en miroir de tout le trafic des employés pour l’analyse locale
Pour configurer la mise en miroir des ports pour l’ensemble du trafic envoyé par les ordinateurs des employés à des fins d’analyse locale, effectuez les tâches expliquées dans cette section.
Procédure
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement la mise en miroir des ports locaux pour le trafic entrant vers les deux ports connectés aux ordinateurs des employés, copiez les commandes suivantes et collez-les dans une fenêtre de terminal de commutateur :
[edit] set interfaces xe-0/0/0 unit 0 family ethernet-switching set interfaces xe-0/0/6 unit 0 family ethernet-switching set interfaces xe-0/0/47 unit 0 family ethernet-switching set forwarding-options analyzer employee-monitor input ingress interface xe-0/0/0.0 set forwarding-options analyzer employee-monitor input ingress interface xe-0/0/6.0 set forwarding-options analyzer employee-monitor output interface xe-0/0/47.0
Procédure étape par étape
Pour configurer un analyseur appelé employee-monitor et spécifier les interfaces d’entrée (source) et l’interface de sortie :
Configurez les interfaces connectées aux postes des collaborateurs en tant qu’interfaces d’entrée pour l’analyseur
employee-monitorport-miroir :[edit forwarding-options] user@switch# set analyzer employee-monitor input ingress interface xe–0/0/0.0 user@switch# set analyzer employee-monitor input ingress interface xe–0/0/6.0
Configurez l’interface de l’analyseur
employee-monitorde sortie. Il s’agira de l’interface de destination pour les paquets mis en miroir :[edit forwarding-options] user@switch# set analyzer employee-monitor output interface xe-0/0/47.0
Résultats
Vérifiez les résultats de la configuration :
[edit]
user@switch# show forwarding-options analyzer
employee-monitor {
input {
ingress {
interface xe-0/0/0.0;
interface xe-0/0/6.0;
}
}
output {
interface {
xe-0/0/47.0;
}
}
}
}
Exemple : Mise en miroir du trafic Web des employés à l’aide d’un filtre de pare-feu
Conditions préalables
Cet exemple utilise les composants matériels et logiciels suivants :
Un commutateur QFX5100
Junos OS version 14.1X53-D30
Présentation
Plutôt que de mettre en miroir l’ensemble du trafic, il est généralement souhaitable de ne le mettre en miroir qu’une partie du trafic. Il s’agit d’une utilisation plus efficace de votre bande passante et de votre matériel, qui peut s’avérer nécessaire en raison des contraintes qui pèsent sur ces ressources. Pour sélectionner un trafic spécifique à mettre en miroir, utilisez un filtre de pare-feu pour faire correspondre le trafic souhaité et le diriger vers une instance de mise en miroir de port. L’instance de mise en miroir des ports copie ensuite les paquets et les envoie au VLAN, à l’interface ou à l’adresse IP de sortie.
Configuration
Pour spécifier que le seul trafic qui sera mis en miroir est le trafic envoyé par les employés sur le Web, effectuez les tâches expliquées dans cette section. Pour sélectionner ce trafic pour la mise en miroir, utilisez un filtre de pare-feu pour spécifier ce trafic et le diriger vers une instance de mise en miroir de port.
Procédure
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement la mise en miroir du port local du trafic provenant des ordinateurs des employés à destination du Web, copiez les commandes suivantes et collez-les dans une fenêtre de terminal de commutateur :
[edit] set interface xe-0/0/47 unit 0 family ethernet-switching set forwarding-options port-mirroring instance employee–web–monitor family ethernet-switching output interface xe-0/0/47.0 set firewall family ethernet-switching filter watch-employee term employee-to-corp from ip-destination-address 192.0.2.16/28 set firewall family ethernet-switching filter watch-employee term employee-to-corp from ip-source-address 192.0.2.16/28 set firewall family ethernet-switching filter watch-employee term employee-to-corp then accept set firewall family ethernet-switching filter watch-employee term employee-to-web from destination-port 80 set firewall family ethernet-switching filter watch-employee term employee-to-web then port-mirror-instance employee-web-monitor set interfaces xe-0/0/0 unit 0 family ethernet-switching filter input watch-employee set interfaces xe-0/0/6 unit 0 family ethernet-switching filter input watch-employee
Procédure étape par étape
Pour configurer la mise en miroir des ports locaux du trafic employé-Web à partir des deux ports connectés aux ordinateurs des employés :
Configurez l’interface de sortie :
[edit interfaces] user@switch# set xe-0/0/47 unit 0 family ethernet-switching
Configurez l’interface de
employee-web-monitorsortie. (Configurez uniquement la sortie : l’entrée provient du filtre.)[edit forwarding-options] user@switch# set port-mirroring instance employee–web–monitor family ethernet-switching output interface xe-0/0/47.0
Configurez un filtre de pare-feu appelé qui inclut un terme pour faire correspondre le trafic envoyé au Web et l’envoyer à l’instance
employee-web-monitorde mise en miroir dewatch-employeeport . Le trafic à destination et en provenance du sous-réseau d’entreprise (adresse de destination ou source de ) n’a pas besoin d’être copié, créez donc un autre terme pour accepter ce trafic avant qu’il n’atteigne192.0.2.16/28le terme qui envoie le trafic Web à l’instance :[edit firewall family ethernet-switching] user@switch# set filter watch-employee term employee-to-corp from ip-destination-address 192.0.2.16/28 user@switch# set filter watch-employee term employee-to-corp from ip-source-address 192.0.2.16/28 user@switch# set filter watch-employee term employee-to-corp then accept user@switch# set filter watch-employee term employee-to-web from destination-port 80 user@switch# set filter watch-employee term employee-to-web then port-mirror-instance employee-web-monitor
Appliquez le filtre de pare-feu aux interfaces appropriées en tant que filtre d’entrée (les filtres de sortie n’autorisent pas les analyseurs) :
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching filter input watch-employee user@switch# set xe-0/0/6 unit 0 family ethernet-switching filter input watch-employee
Résultats
Vérifiez les résultats de la configuration :
[edit]
user@switch# show
forwarding-options {
port-mirroring {
instance {
employee-web-monitor {
family ethernet-switching {
output {
interface xe-0/0/47.0;
}
}
}
}
}
}
...
firewall {
family ethernet-switching {
filter watch-employee {
term employee-to-corp {
from {
ip-source-address 192.0.2.16/28;
ip-destination-address 192.0.2.16/28;
}
then accept;
term employee-to-web {
from {
destination-port 80;
}
then port-mirror-instance employee-web-monitor;
}
}
}
}
...
interfaces {
xe-0/0/0 {
unit 0 {
family ethernet-switching {
filter {
input watch-employee;
}
}
}
}
xe-0/0/6 {
family ethernet-switching {
filter {
input watch-employee;
}
}
}
xe-0/0/47 {
family ethernet-switching;
}
}
Vérification
Vérification de la création correcte de l’analyseur
But
Vérifiez que l’instance de mise en miroir de port nommée a été créée sur le commutateur avec les interfaces d’entrée et de employee-web-monitor sortie appropriées.
Action
Vous pouvez vérifier que l’instance port mirror-mirroring a été configurée comme prévu à l’aide de la show forwarding-options port-mirroring commande.
user@switch> show forwarding-options port-mirroring Instance name : employee-web-monitor Instance Id: 2 Input parameters: Rate :1 Run-length :0 Maximum packet length :0 Output parameters: Family State Destination Next-hop ethernet-switching up xe-0/0/47.0
Sens
Cette sortie affiche les informations suivantes sur l’instance employee-web-monitorde mise en miroir des ports :
A un débit de (mise en miroir de
1chaque paquet, le paramètre par défaut)Le nombre de paquets consécutifs échantillonnés (run-length) est égal à
0La taille maximale du paquet d’origine mis en miroir est
0de (0indique l’intégralité du paquet)L’état des paramètres de sortie :
upindique que l’instance met en miroir le trafic entrant dans les interfaces xe-0/0/0 et xe-0/0/6 et envoie le trafic mis en miroir à l’interface xe-0/0/47
Si l’état de l’interface de sortie est ou si l’interface de sortie n’est down pas configurée, la valeur sera down et l’instance ne sera pas programmée pour la state mise en miroir.
Exemple : Configuration de la mise en miroir des ports pour l’analyse à distance
Utilisez la mise en miroir des ports pour envoyer du trafic vers des applications qui analysent le trafic à des fins telles que la surveillance de la conformité, l’application de stratégies, la détection d’intrusions, la surveillance et la prédiction des modèles de trafic, la corrélation d’événements, etc. La mise en miroir des ports copie les paquets entrant ou sortant d’une interface ou entrant dans un VLAN, puis envoie les copies à une interface locale pour la surveillance locale ou à un VLAN pour la surveillance à distance. Cet exemple décrit comment configurer la mise en miroir des ports pour l’analyse à distance.
- Conditions préalables
- Vue d’ensemble et topologie
- Mise en miroir de l’ensemble du trafic des collaborateurs pour une analyse à distance
- Mise en miroir du trafic des employés vers le Web pour une analyse à distance
- Vérification
Conditions préalables
Cet exemple utilise les composants matériels et logiciels suivants :
Junos OS version 13.2 pour QFX Series
Un interrupteur
Vue d’ensemble et topologie
Cette rubrique comprend deux exemples connexes qui décrivent comment mettre en miroir le trafic entrant dans les ports du commutateur vers un VLAN d’analyse afin de pouvoir effectuer une analyse à l’aide d’un périphérique distant. Le premier exemple montre comment mettre en miroir l’ensemble du trafic envoyé par les ordinateurs des employés vers le commutateur. Le deuxième exemple inclut un filtre pour refléter uniquement le trafic des employés qui se dirige vers le Web.
Topologie
Dans cet exemple :
et
ge-0/0/0ge-0/0/1sont des interfaces de couche 2 qui se connectent aux ordinateurs des employés.L’interface est une interface
ge-0/0/2de couche 2 qui se connecte à un autre commutateur.Le VLAN
remote-analyzerest configuré sur tous les commutateurs de la topologie pour transporter le trafic en miroir.
En plus d’effectuer les étapes de configuration décrites ici, vous devez également configurer le VLAN de l’analyseur (dans cet exemple) sur les autres commutateurs qui sont utilisés pour connecter le commutateur source (remote-analyzer celui de cette configuration) à celui auquel la station de surveillance est connectée.
Mise en miroir de l’ensemble du trafic des collaborateurs pour une analyse à distance
Procédure
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cette section de l’exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez les détails nécessaires pour qu’ils correspondent à votre configuration réseau, puis copiez et collez les commandes dans l’interface de ligne de commande au niveau de la edit hiérarchie :
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family ethernet-switching port-mode trunk set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor output vlan remote-analyzer
Procédure étape par étape
Pour configurer la mise en miroir de ports distants de base :
Configurez le VLAN de l’analyseur (appelé
remote-analyzerdans cet exemple) :[edit vlans] user@switch# set vlans remote-analyzer vlan-id 999
Configurez l’interface connectée à un autre commutateur pour le mode trunk et associez-la au
remote-analyzerVLAN :[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching port-mode trunk user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999
Configurez l’analyseur
employee-monitor:[edit forwarding-options] user@switch# set analyzer employee–monitor user@switch# set analyzer employee-monitor input ingress interface ge-0/0/0.0 user@switch# set analyzer employee-monitor input ingress interface ge-0/0/1.0 user@switch# set analyzer employee-monitor output vlan remote-analyzer
Configurez le
remote-analyzerVLAN sur les commutateurs qui connectent ce commutateur au poste de travail de surveillance.
Résultats
Vérifiez les résultats de la configuration :
[edit]
user@switch# show
forwarding-options {
analyzer employee-monitor {
input {
ingress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
}
output {
vlan {
remote-analyzer;
}
}
}
}
Mise en miroir du trafic des employés vers le Web pour une analyse à distance
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cette section de l’exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez les détails nécessaires pour qu’ils correspondent à votre configuration réseau, puis copiez et collez les commandes dans l’interface de ligne de commande au niveau de la edit hiérarchie :
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 set forwarding-options port-mirroring instance employee-web-monitor loss-priority high output vlan 999 set firewall family ethernet-switching filter watch-employee term employee-to-web from destination-port 80 set firewall family ethernet-switching filter watch-employee term employee-to-web then port-mirror-instance employee-web-monitor set ge-0/0/0 unit 0 family ethernet-switching filter input watch-employee set interfaces ge-0/0/1 unit 0 family ethernet-switching filter input watch-employee
Procédure
Procédure étape par étape
Configurez le VLAN de l’analyseur (appelé
remote-analyzerdans cet exemple) :[edit vlans] user@switch# set remote-analyzer vlan-id 999
Configurez une interface pour l’associer au
remote-analyzerVLAN :[edit interfaces] user@switch# set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999
Configurez l’analyseur
employee-web-monitor. (Configurez uniquement la sortie : l’entrée provient du filtre.)[edit forwarding-options] user@switch# set forwarding-options port-mirroring instance employee-web-monitor output vlan 999
Configurez un filtre de pare-feu appelé
watch-employeepour faire correspondre le trafic envoyé vers le Web et l’envoyer à l’analyseuremployee-web-monitor:[edit firewall family ethernet-switching] user@switch# set filter watch-employee term employee-to-web from destination-port 80 user@switch# set filter watch-employee term employee-to-web then port-mirror-instance employee-web-monitor
Appliquez le filtre de pare-feu aux interfaces appropriées en tant que filtre d’entrée :
[edit interfaces] user@switch# set ge-0/0/0 unit 0 family ethernet-switching filterinput watch-employee user@switch# set ge-0/0/1 unit 0 family ethernet-switching filter input watch-employee
Configurez le
remote-analyzerVLAN sur les commutateurs qui connectent ce commutateur au poste de travail de surveillance.
Résultats
Vérifiez les résultats de la configuration :
[edit]
user@switch# show
interfaces {
...
ge-0/0/10 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
vlan {
members remote-analyzer;
}
}
}
}
ge-0/0/0 {
unit 0 {
family ethernet-switching {
filter {
input watch-employee;
}
}
}
}
ge-0/0/1 {
unit 0 {
family ethernet-switching {
filter {
input watch-employee;
}
}
}
}
}
...
firewall {
family ethernet-switching {
...
filter watch-employee {
term employee-to-web {
from {
destination-port 80;
}
then port-mirror-instance employee-web-monitor;
}
}
}
}
forwarding-options analyzer {
employee-web-monitor {
output {
vlan {
999;
}
}
}
vlans {
remote-analyzer {
vlan-id 999;
}
}
Vérification
Vérification de la création correcte de l’analyseur
But
Vérifiez que l’analyseur nommé employee-monitor ou employee-web-monitor a été créé sur le commutateur avec les interfaces d’entrée et de sortie appropriées.
Action
Vous pouvez vérifier que l’analyseur de miroir de port est configuré comme prévu à l’aide de la show analyzer commande.
user@switch> show analyzer Analyzer name : employee-monitor Output VLAN : remote-analyzer Ingress monitored interfaces : ge-0/0/0.0 Ingress monitored interfaces : ge-0/0/1.0
Sens
Cette sortie montre que l’analyseur met en miroir le trafic entrant et envoie le trafic miroir à l’analyseur employee-monitorremote-analyzer.ge-0/0/1ge-0/0/0