Surveillance passive
Comprendre la surveillance passive
La surveillance passive est un type de surveillance réseau utilisé pour capturer passivement le trafic des interfaces de surveillance. Lorsque vous activez la surveillance passive, l’équipement accepte et surveille le trafic sur l’interface, puis le transmet à des outils de surveillance tels que des serveurs IDS et des analyseurs de paquets, ou à d’autres périphériques tels que des routeurs ou des hôtes de nuds finaux.
Avantages de la surveillance passive
-
Fournit des fonctionnalités de filtrage pour surveiller le trafic entrant et sortant au point de présence Internet (PoP) où les réseaux de sécurité sont connectés.
Instructions pour la configuration de la surveillance passive
-
Vous ne pouvez configurer la surveillance passive qu’au niveau de l’interface. La configuration par VLAN ou interface logique n’est pas prise en charge.
-
Une interface de surveillance passive ne peut pas être une interface Ethernet agrégée (AE).
-
Les outils ou équipements de surveillance doivent être directement connectés au commutateur ou au routeur.
-
Les paquets comportant plus de deux étiquettes MPLS et plus de deux étiquettes VLAN sont abandonnés.
-
Les paquets d’exception, tels que les paquets d’options de paquets IP, les alertes de routeur et les paquets d’expiration TTL, sont traités comme du trafic normal.
-
L’encapsulation Ethernet n’est pas prise en charge.
-
La famille MPLS est prise en charge sur les routeurs PTX10001-36MR, PTX10004 et PTX10008.
-
Le protocole LACP (Link Aggregation Control Protocol) n’est pas pris en charge sur le bundle AE connecté à l’outil ou à l’équipement de surveillance.
Exemple : Configuration de la surveillance passive
Cet exemple montre comment configurer la surveillance passive sur QFX10000 commutateurs.
- Exigences
- Aperçu
- Configuration
- Vérification
- Exemple de configuration pour les routeurs PTX10001-36MR, PTX10004 et PTX10008
Exigences
Cet exemple utilise les composants matériels et logiciels suivants :
-
Deux routeurs (R1 et R2)
-
Un commutateur QFX10002
-
Deux appareils, directement connectés au commutateur
-
Junos OS version 18.4R1 ou ultérieure
Aperçu
Cet exemple décrit comment configurer la surveillance passive sur le commutateur.
sur la Figure 1 et et-0/0/2 et-0/0/4 sont configurées comme des interfaces de surveillance passives. Les paquets entrant dans le réseau sont échangés entre le routeur 1 (R1) et le routeur 2 (R2) dans deux sens (R1 vers R2, R2 vers R1) et sont envoyés vers les interfaces surveillées. À la réception du trafic, un filtre de pare-feu transfère tous les paquets à une instance de routage et les transmet aux outils de surveillance. Les interfaces sont ensuite regroupées en une seule interface logique, appelée groupe d’agrégation de liens (LAG) ou bundle AE. Le trafic est ainsi réparti uniformément entre les outils de surveillance, augmentant ainsi la bande passante de la liaison montante. En cas de défaillance d’une interface, le bundle continue d’acheminer le trafic sur les interfaces restantes.
Si vous le souhaitez, vous pouvez appliquer un hachage symétrique sur les interfaces de surveillance passives pour l’équilibrage de charge du trafic vers les outils de surveillance. Cela permet d’envoyer le trafic entrant et sortant d’un même flux via la même interface surveillée. Pour configurer le hachage symétrique, incluez l’option no-incoming-port sous la [edit forwarding-options enhanced-hash-key] hiérarchie. Le hachage symétrique est activé et désactivé au niveau global uniquement. Le hachage par protocole n’est pas pris en charge.
Topologie
de surveillance passive
Configuration
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie CLI. Pour plus d’informations sur la navigation dans l’interface de ligne de commande, consultez Utilisation de l’éditeur CLI en mode Configuration.
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.
set interfaces et-0/0/2 passive-monitor-mode set interfaces et-0/0/2 unit 0 family inet filter input pm set interfaces et-0/0/4 passive-monitor-mode set interfaces et-0/0/4 unit 0 family inet filter input pm1 set firewall family inet filter pm1 term t1 from interface et-0/0/4.0 set firewall family inet filter pm1 term t1 then count c1 set firewall family inet filter pm1 term t1 then routing-instance pm_inst set firewall family inet filter pm term t1 from interface et-0/0/2.0 set firewall family inet filter pm term t1 then count c3 set firewall family inet filter pm term t1 then routing-instance pm_inst set routing-instances pm_inst instance-type virtual-router set routing-instances pm_inst interface ae0.0 set routing-instances pm_inst routing-options static route 0.0.0.0/0 next-hop 198.51.100.1 set interfaces xe-0/0/9:0 ether-options 802.3ad ae0 set interfaces xe-0/0/9:1 ether-options 802.3ad ae0 set interfaces ae0 unit 0 family inet address 198.51.100.2/24 arp 198.51.100.1 mac 00:10:94:00:00:05 set routing-instances pm_inst interface ae0.0 set forwarding-options enhanced-hash-key inet no-incoming-port
Configuration de la surveillance passive
Procédure étape par étape
Pour configurer la surveillance passive :
-
Configurez le mode de surveillance passive sur les interfaces du commutateur :
[edit]] user@switch# set interfaces et-0/0/2 passive-monitor-mode set interfaces et-0/0/2 unit 0 family inet filter input pm set interfaces et-0/0/4 passive-monitor-mode set interfaces et-0/0/4 unit 0 family inet filter input pm1
-
Configurez un
family inetfiltre de pare-feu sur les interfaces de surveillance passive pour transférer le trafic vers une instance de routage. Les actions de filtre prises en charge sontaccept, reject, count, routing-instance.[edit] user@switch# set firewall family inet filter pm1 term t1 from interface et-0/0/4.0 set firewall family inet filter pm1 term t1 then count c1 set firewall family inet filter pm1 term t1 then routing-instance pm_inst set firewall family inet filter pm term t1 from interface et-0/0/2.0 set firewall family inet filter pm term t1 then count c3 set firewall family inet filter pm term t1 then routing-instance pm_inst
-
Créez une instance de routage avec une route statique qui pointe vers les périphériques.
[edit] user@switch# set routing-instances pm_inst instance-type virtual-router set routing-instances pm_inst interface ae0.0 set routing-instances pm_inst routing-options static route 0.0.0.0/0 next-hop 198.51.100.1
-
Configurez un bundle AE sur les interfaces de surveillance passives.
[edit] user@switch# set interfaces xe-0/0/9:0 ether-options 802.3ad ae0 set interfaces xe-0/0/9:1 ether-options 802.3ad ae0 set interfaces ae0 unit 0 family inet address 198.51.100.2/24 arp 198.51.100.1 mac 00:10:94:00:00:05 set routing-instances pm_inst interface ae0.0
-
(Facultatif) Configurez le hachage symétrique.
[edit] user@switch# set forwarding-options enhanced-hash-key inet no-incoming-port
-
À partir du mode configuration, confirmez votre configuration en entrant la
show interfacescommande. Si la sortie de la commande n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour la corriger. -
Si vous avez terminé de configurer les interfaces, passez en
commitmode de configuration.
Vérification
Vérifiez que la configuration fonctionne correctement.
Vérifier la configuration de la surveillance passive
But
Vérifiez que la surveillance passive fonctionne sur les interfaces. Si la sortie de l’interface affiche No-receive et No-transmit, cela signifie que la surveillance passive fonctionne.
Action
À partir du mode opérationnel, entrez la show interfaces commande pour afficher les interfaces de surveillance passives.
user@host> show interfaces et-0/0/2
Physical interface: et-0/0/2, Enabled, Physical link is Up
Interface index: 146, SNMP ifIndex: 515
Link-level type: Ethernet, MTU: 1514, LAN-PHY mode, Speed: 40Gbps, BPDU Error: None, Loop Detect PDU Error: None, Ethernet-Switching Error: None, MAC-REWRITE Error: None,
Loopback: Disabled, Source filtering: Disabled, Flow control: Disabled, Media type: Fiber
Device flags : Present Running
Interface flags: SNMP-Traps No-receive No-transmit Internal: 0x4000
Link flags : None
CoS queues : 8 supported, 8 maximum usable queues
Current address: 3c:61:04:75:3c:5d, Hardware address: 3c:61:04:75:3c:5d
Last flapped : 2018-05-17 11:19:05 PDT (00:17:55 ago)
Input rate : 0 bps (0 pps)
Output rate : 0 bps (0 pps)
Active alarms : None
Active defects : None
PCS statistics Seconds
Bit errors 0
Errored blocks 0
Ethernet FEC Mode : NONE
Ethernet FEC statistics Errors
FEC Corrected Errors 0
FEC Uncorrected Errors 0
FEC Corrected Errors Rate 0
FEC Uncorrected Errors Rate 0
PRBS Statistics : Disabled
Interface transmit statistics: Disabled
user@host show interfaces et-0/0/4
Physical interface: et-0/0/4, Enabled, Physical link is Up
Interface index: 146, SNMP ifIndex: 515
Link-level type: Ethernet, MTU: 1514, LAN-PHY mode, Speed: 40Gbps, BPDU Error: None, Loop Detect PDU Error: None, Ethernet-Switching Error: None, MAC-REWRITE Error: None,
Loopback: Disabled, Source filtering: Disabled, Flow control: Disabled, Media type: Fiber
Device flags : Present Running
Interface flags: SNMP-Traps No-receive No-transmit Internal: 0x4000
Link flags : None
CoS queues : 8 supported, 8 maximum usable queues
Current address: 3c:61:04:75:3c:5d, Hardware address: 3c:61:04:75:3c:5d
Last flapped : 2018-05-17 11:19:05 PDT (00:18:17 ago)
Input rate : 0 bps (0 pps)
Output rate : 0 bps (0 pps)
Active alarms : None
Active defects : None
PCS statistics Seconds
Bit errors 0
Errored blocks 0
Ethernet FEC Mode : NONE
Ethernet FEC statistics Errors
FEC Corrected Errors 0
FEC Uncorrected Errors 0
FEC Corrected Errors Rate 0
FEC Uncorrected Errors Rate 0
PRBS Statistics : Disabled
Interface transmit statistics: Disabled
Vérifier le hachage symétrique
But
Vérifiez la sortie pour le hachage symétrique. Les champs de port entrant pour inet,inet6 et L2 doivent tous être définis sur Non.
Action
À partir du mode configuration, entrez la show forwarding-options enhanced-hash-key commande.
Slot 0
Seed value for Hash function 0: 3626023417
Seed value for Hash function 1: 3626023417
Seed value for Hash function 2: 3626023417
Seed value for Hash function 3: 3626023417
Inet settings:
--------------
IPV4 dest address: Yes
IPV4 source address: Yes
L4 Dest Port: Yes
L4 Source Port: Yes
Incoming port: No
Inet6 settings:
--------------
IPV6 dest address: Yes
IPV6 source address: Yes
L4 Dest Port: Yes
L4 Source Port: Yes
Incoming port: No
L2 settings:
------------
Dest Mac address: No
Source Mac address: No
Vlan Id: Yes
Inner-vlan Id: No
Incoming port: No
GRE settings:
-------------
Key: No
Protocol: No
MPLS settings:
--------------
MPLS Enabled: Yes
VXLAN settings:
---------------
VXLAN VNID: No
Exemple de configuration pour les routeurs PTX10001-36MR, PTX10004 et PTX10008
Voici un exemple de configuration pour les routeurs PTX10001-36MR, PTX10004 et PTX10008 avec prise en charge de la famille MPLS.
set interfaces et-0/0/13 passive-monitor-mode set interfaces et-0/0/13 passive-monitor-mode set interfaces et-0/0/13 unit 0 family inet filter input ipv4pmFilter set interfaces et-0/0/13 unit 0 family inet6 filter input ipv6pmFilter set interfaces et-0/0/13 unit 0 family mpls filter input mplspmFilter set interfaces et-0/0/5 ether-options 802.3ad ae0 set interfaces et-0/0/7 ether-options 802.3ad ae0 set interfaces ae0 unit 0 family inet address 192.168.1.1/24 arp 192.168.1.10 mac 00:00:00:11:11:11 set interfaces ae0 unit 0 family inet6 address 2001:db8:1::1/64 ndp 2001:db8:1::10 mac 00:00:00:11:11:11 set routing-instances pm_inst routing-options rib pm_inst.inet6.0 static route 0::0/0 next-hop 2001:db8:1::10 set routing-instances pm_inst routing-options static route 0.0.0.0/0 next-hop 192.168.1.10 set routing-instances pm_inst instance-type virtual-router set routing-instances pm_inst interface ae0.0 set firewall family inet filter ipv4pmFilter term t1 then count C1 set firewall family inet filter ipv4pmFilter term t1 then routing-instance pm_inst set firewall family inet6 filter ipv6pmFilter term t2 then count C2 set firewall family inet6 filter ipv6pmFilter term t2 then routing-instance pm_inst set firewall family mpls filter ipv4pmfilter term t1 then count C1 set firewall family mpls filter ipv4pmfilter term t1 then routing-instance pm_inst set firewall family mpls filter ipv4pmfilter term t1 from ip-version ipv4 ip-protocol-except 255 set firewall family mpls filter ipv6pmfilter term t2 then count C2 set firewall family mpls filter ipv6pmfilter term t2 then routing-instance pm_inst set firewall family mpls filter ipv6pmfilter term t2 from ip-version ipv6 next-header-except 255