이 페이지에서
포트 미러링 및 분석기 구성
포트 미러링 분석기 이해하기
포트 미러링은 허브와 달리 대상 디바이스의 모든 포트에 패킷을 브로드캐스트하지 않는 라우터와 스위치 분석에 사용할 수 있습니다. 포트 미러링은 모든 패킷이나 정책 기반 샘플 패킷의 사본을 데이터를 모니터링하고 분석할 수 있는 로컬 또는 원격 분석기로 보냅니다.
포트 미러링 분석기의 맥락에서 스위칭 디바이스라는 용어를 사용합니다. 이 용어는 디바이스(라우터 포함)가 스위칭 기능을 수행하고 있음을 나타냅니다.
패킷 수준에서 분석기를 사용하면 다음과 같은 지원을 받을 수 있습니다.
네트워크 트래픽 모니터링
네트워크 사용 정책 시행
파일 공유 정책 시행
문제 원인 식별
대역폭 사용량이 너무 많거나 비정상적인 스테이션 또는 애플리케이션 식별
포트 미러링을 구성하여 다음을 미러링할 수 있습니다.
브리지 패킷(레이어 2 패킷)
라우팅 패킷(레이어 3 패킷)
미러링된 패킷은 로컬 모니터링을 위한 로컬 인터페이스 또는 원격 모니터링을 위한 VLAN이나 브리지 도메인에 복사할 수 있습니다.
다음 패킷을 복사할 수 있습니다.
Packets entering or exiting a port—최대 256개의 포트에 대해 임의의 조합으로 들어오거나 나가는 포트를 미러링할 수 있습니다. 예를 들어, 일부 포트로 들어오는 패킷의 사본과 다른 포트에서 나가는 패킷의 사본을 동일한 로컬 분석기 포트나 분석기 VLAN으로 보낼 수 있습니다.
Packets entering or exiting a VLAN or bridge domain—VLAN 또는 브리지 도메인으로 들어오거나 나가는 패킷을 로컬 분석기 포트, 분석기 VLAN, 또는 브리지 도메인으로 미러링할 수 있습니다. VLAN 범위 및 프라이빗 VLAN(PVLAN)을 포함하여, 여러 VLAN(최대 256개) 또는 브리지 도메인을 분석기에 대한 수신 입력으로 구성할 수 있습니다.
Policy-based sample packets—포트, VLAN 또는 브리지 도메인으로 들어가는 패킷의 정책 기반 샘플을 미러링할 수 있습니다. 미러링될 패킷을 선택할 수 있는 정책으로 방화벽 필터를 구성합니다. 샘플을 포트 미러링 인스턴스, 분석기 VLAN 또는 브리지 도메인으로 보낼 수 있습니다.
분석기 개요
동일한 분석기 구성에서 입력 트래픽과 출력 트래픽 모두를 정의하도록 분석기를 구성할 수 있습니다. 분석할 입력 트래픽은 인터페이스 또는 VLAN을 들어오거나 나가는 트래픽일 수 있습니다. 분석기 구성을 사용하면 이 트래픽을 출력 인터페이스, 인스턴스, 다음 홉 그룹, VLAN 또는 브리지 도메인으로 보낼 수 있습니다. 분석기는 [edit forwarding-options analyzer] 계층 수준에서 구성할 수 있습니다.
통계 분석기 개요
라우터나 스위치의 물리적 포트에 명시적으로 바인딩할 수 있는 미러링 속성 집합(예: 미러링 속도, 트래픽에 대한 최대 패킷 길이)을 정의할 수 있습니다. 이 미러링 속성 집합은 통계 분석기(기본이 아닌 분석기라고도 함)를 구성합니다. 이 수준에서 특정 FPC와 관련된 물리적 포트에 지정 인스턴스를 바인딩할 수 있습니다.
기본 분석기 개요
미러링 속성(예: 미러링 속도 또는 최대 패킷 길이)을 구성하지 않고 분석기를 구성할 수 있습니다. 기본적으로, 미러링 속도는 1로 설정되고 최대 패킷 길이는 패킷 전체 길이로 설정되어 있습니다. 이러한 속성은 전역 수준에 적용되며 특정 FPC에 바인딩할 필요가 없습니다.
여러 통계 분석기에 바인딩된 포트 그룹에서 포트 미러링
스위칭 디바이스의 동일한 포트 그룹에 최대 2개의 통계 분석기를 적용할 수 있습니다. 두 개의 서로 다른 통계 분석기 인스턴스를 동일한 FPC 또는 패킷 전달 엔진에 적용하여, 두 개의 개별 레이어 2 미러링 사양을 단일 포트 그룹에 바인딩할 수 있습니다. FPC에 바인딩된 미러링 속성은 스위칭 디바이스의 전역 수준에서 바인딩된 모든 분석기(기본 분석기) 속성을 재정의합니다. 기본 분석기 속성은 동일한 포트 그룹에서 두 번째 분석기 인스턴스를 바인딩하여 재정의됩니다.
포트 미러링 분석기 용어
표 1에는 일부 포트 미러링 분석기 용어와 해당 설명이 있습니다.
| 용어 | 설명 |
|---|---|
분석기 |
미러링 구성에서 분석기에는 다음이 포함됩니다.
|
분석기 출력 인터페이스 (모니터 포트라고도 함) |
미러링된 트래픽이 전송되고 프로토콜 분석기가 연결된 인터페이스. 분석기에 대한 출력으로 사용되는 인터페이스는 분석기 출력 인터페이스에는 다음과 같은 제약이 있습니다.
|
분석기 VLAN 또는 브리지 도메인 (모니터 VLAN 또는 브리지 도메인이라고도 함) |
프로토콜 분석기에서 사용하도록 미러링된 트래픽이 전송되는 VLAN 또는 브리지 도메인. 모니터 VLAN 또는 브리지 도메인의 멤버 인터페이스는 네트워크의 스위칭 디바이스에 분산되어 있습니다. |
브리지 도메인 기반(Bridge-domain-based) 분석기 |
입력, 출력 또는 두 가지 모두에 대해 브리지 도메인을 사용하도록 구성된 분석기 세션. |
기본 분석기 |
기본 미러링 매개 변수가 있는 분석기. 기본적으로, 미러링 속도는 1이고 최대 패킷 길이는 전체 패킷의 길이입니다. |
입력 인터페이스 (미러링 포트 또는 모니터링 인터페이스라고도 함) |
이 인터페이스가 들어오거나 나가는 트래픽이 미러링되는 스위칭 디바이스의 인터페이스. |
LAG 기반(LAG-based) 분석기 |
분석기 구성에서 입력(수신) 인터페이스로 지정되는 LAG(Link Aggregation Group)가 있는 분석기. |
로컬 미러링 |
패킷이 로컬 분석기 포트로 미러링되는 분석기 구성. |
모니터링 스테이션 |
프로토콜 분석기를 실행하는 컴퓨터. |
next-hop 그룹 기반 분석기 |
next-hop 그룹을 분석기에 대한 출력으로 사용하는 분석기 구성. |
포트 기반(Port-based) 분석기 |
입력 및 출력을 위한 인터페이스를 정의하는 분석기 구성. |
프로토콜 분석기 애플리케이션 |
네트워크 세그먼트를 통해 전송되는 패킷을 검사하는 데 사용되는 애플리케이션. 일반적으로 네트워크 분석기, 패킷 스니퍼 또는 프로브라고도 합니다. |
원격 미러링 |
미러링된 트래픽이 로컬 분석기 포트로 복사되지 않고 미러링된 트래픽을 수신하기 위한 목적으로 특별히 생성한 분석기 VLAN 또는 브리지 도메인으로 플러드된다는 점을 제외하고는 로컬 미러링과 동일한 방법으로 작동합니다. 미러링된 패킷에는 분석기 VLAN 또는 브리지 도메인의 추가 외부 태그가 있습니다. |
통계 분석기 (기본이 아닌 분석기라고도 함) |
스위치의 물리적 포트에 명시적으로 바인딩할 수 있는 미러링 속성 집합. 이 분석기 속성 집합은 통계 분석기로 알려져 있습니다. |
VLAN 기반(VLAN-based) 분석기 |
VLAN을 사용하여 미러링된 트래픽을 분석기로 전달하는 분석기 구성. |
포트 미러링 분석기에 대한 구성 지침
포트 미러링 분석기를 구성할 때 이점을 최대한 누릴 수 있도록 다음 지침을 따르십시오. 모든 인터페이스에서 미러링을 활성화하는 all 키워드 옵션을 사용하는 대신, 미러링을 사용하지 않을 때는 비활성화하고 특정 인터페이스를 분석기에 대한 입력으로 선택하는 것이 좋습니다. 필요한 패킷만 미러링해야 성능에 미칠 수 있는 모든 잠재적 영향을 줄일 수 있습니다.
또한 다음을 통해 미러링된 트래픽 양을 제한할 수 있습니다.
-
통계 샘플링 사용
-
방화벽 필터 사용
-
통계 샘플을 선택할 수 있는 비율 설정
로컬 미러링에서는 여러 포트의 트래픽이 분석기 출력 인터페이스로 복제됩니다. 분석기에 대한 출력 인터페이스가 용량에 도달하면 패킷은 손실됩니다. 미러링되는 트래픽이 분석기 출력 인터페이스의 용량을 초과하는지 여부를 고려해야 합니다.
표 2는 분석기에 대한 추가 구성 지침을 요약한 것입니다.
|
지침 |
값 또는 지원 정보 |
코멘트 |
|---|---|---|
|
동시에 활성화할 수 있는 분석기 수. |
64개의 기본 분석기 FPC-통계 분석기 당 2개 |
통계 분석기는 해당 FPC에 속한 포트의 트래픽을 미러링하기 위해 FPC에 바인딩해야 합니다. 주:
기본 분석기 속성은 시스템의 모든 FPC에서 마지막 (또는 마지막에서 두 번째) 인스턴스에 암시적으로 바인딩됩니다. 따라서 FPC에서 두 번째 통계 분석기를 명시적으로 바인딩하면 기본 분석기 속성이 재정의됩니다. |
|
분석기에 대한 수신 입력으로 사용할 수 있는 인터페이스, VLAN 또는 브리지 도메인의 수. |
256 |
– |
|
트래픽을 미러링할 수 없는 포트 유형 |
|
|
|
분석기에 포함할 수 있는 프로토콜 계열. |
EX 시리즈 스위치의 경우 |
분석기는 브리지된 트래픽만 미러링합니다. 라우팅된 트래픽을 미러링하려면 |
|
물리적 레이어 오류가 있는 패킷은 로컬 또는 원격 분석기로 전송되지 않습니다. |
적용 가능 |
이러한 오류가 있는 패킷은 필터링되므로 분석기로 전송되지 않습니다. |
|
분석기는 line-rate 트래픽을 지원하지 않습니다. |
적용 가능 |
line-rate 트래픽을 위한 미러링은 최상의 방식으로 수행됩니다. |
|
LAG 인터페이스의 분석기 출력. |
지원됨 |
|
|
트렁크 모드로서의 분석기 출력 인터페이스 모드. |
지원됨 |
|
|
호스트 생성 제어 패킷의 송신 미러링. |
지원되지 않음 |
|
|
분석기의 |
지원되지 않음 |
|
|
동일한 VLAN 또는 VLAN 자체의 구성원을 포함하는 분석기 입력 및 출력 스탠자는 피해야 합니다. |
적용 가능 |
|
|
서로 다른 분석기 세션에서 VLAN 및 해당 구성원 인터페이스에 대한 지원. |
지원되지 않음 |
미러링이 구성된 경우, 분석기 중 하나가 활성화됩니다. |
|
어그리게이션 이더넷(ae) 인터페이스의 송신 미러링 및 다른 분석기에 대해 구성된 해당 하위 논리적 인터페이스. |
지원되지 않음 |
|
트래픽 분석을 위한 EX9200 스위치 미러링 구성(CLI 절차)
EX9200 스위치를 통해 로컬 모니터링을 위한 로컬 인터페이스나 원격 모니터링을 위한 VLAN으로 패킷 사본을 보내도록 미러링을 구성할 수 있습니다. 미러링 방법을 사용하여 다음 패킷을 복사할 수 있습니다.
포트에 들어가거나 나가는 패킷
VLAN에 들어가거나 나가는 패킷
필요한 패킷만 미러링하여 성능에 미칠 수 있는 잠재적 영향을 줄입니다. 다음과 같이 하실 것을 권장합니다.
사용하지 않을 때 구성된 분석기를 비활성화하세요.
모든 인터페이스를 입력으로 지정하기보다는 개별 인터페이스를 분석기에 대한 입력으로 지정하십시오.
다음을 통해 미러링된 트래픽 양을 제한합니다.
통계 샘플링 사용.
비율을 설정하여 통계 샘플 선택.
방화벽 필터 사용.
기존 분석기를 삭제하지 않고 추가 분석기를 만들고 싶다면 미러링을 위한 CLI(command-line-interface) 또는 J-웹 구성 페이지에서 disable analyzer analyzer-name 명령문을 사용하여 기존 분석기를 비활성화하세요.
분석기의 출력으로 사용되는 인터페이스는 ethernet-switching family 아래에 반드시 구성되어야하며 VLAN과 연결되어 있어야 합니다.
- 로컬 트래픽 분석을 위한 분석기 구성
- 원격 트래픽 분석을 위한 분석기 구성
- 로컬 트래픽 분석을 위한 통계 분석기 구성하기
- 원격 트래픽 분석을 위한 통계 분석기 구성하기
- 통계 분석기를 FPC 수준에서 그룹화된 포트로 연결
- 다음 홉 그룹을 사용하여 여러 대상에 대한 분석기 구성하기
- 레이어 2 미러링에 대한 다음 홉 그룹 정의하기
로컬 트래픽 분석을 위한 분석기 구성
스위치에서 네트워크 트래픽 또는 VLAN 트래픽을 분석기를 사용하여 스위치 인터페이스로 미러링하기 위해 다음을 수행합니다.
원격 트래픽 분석을 위한 분석기 구성
인터페이스 또는 스위치의 VLAN을 통과하는 트래픽을 원격 위치에서 분석을 위해 사용하는 VLAN으로 미러링하려면 다음을 수행하세요.
로컬 트래픽 분석을 위한 통계 분석기 구성하기
스위치에서 인터페이스 트래픽 또는 VLAN 트래픽을 통계 분석기를 사용하여 스위치 인터페이스로 미러링하기 위해 다음을 수행합니다.
원격 트래픽 분석을 위한 통계 분석기 구성하기
인터페이스 또는 스위치의 VLAN으로 전환하는 트래픽을 통계 분석기를 사용하여 원격 위치에서 분석을 위해 VLAN으로 미러링하기 위해 다음을 수행합니다.
통계 분석기를 FPC 수준에서 그룹화된 포트로 연결
통계 분석기를 스위치 내의 특정 FPC에 연결할 수 있습니다. 즉, 스위치의 FPC 수준에서 통계 분석기 인스턴스를 연결할 수 있습니다. 통계 분석기에 명시된 미러링 속성은 지정된 FPC의 모든 패킷 포워딩 엔진과 관련된 모든 물리적 포트에 적용됩니다.
레이어 2 분석기의 지정 인스턴스를 FPC에 연결하기 위해 다음을 수행합니다.
스위치 섀시 속성에 대한 구성을 활성화합니다.
[edit] user@switch# edit chassis
FPC(및 설치된 PIC)에 대한 구성을 활성화합니다.
[edit chassis] user@switch# edit fpc slot-number
통계 분석기 인스턴스를 FPC에 연결합니다.
[edit chassis fpc slot-number] user@switch# set port-mirror-instance stats_analyzer-1
(선택 사항) 레이어 2 미러링에 대한 두 번째 통계 분석기 인스턴스를 동일한 FPC에 연결하려면 3단계를 반복하고 다른 통계 분석기 이름을 지정합니다.
[edit chassis fpc slot-number] user@switch# set port-mirror-instance stats_analyzer-2
연결에 대한 최소 구성을 확인합니다.
[edit chassis fpc slot-number port-mirror-instance analyzer_name] user@switch# top [edit] user@switch# show chassis chassis { fpc slot-number { # Bind two statistical analyzers or port mirroring named instances at the FPC level. port-mirror-instance stats_analyzer-1; port-mirror-instance stats_analyzer-2; } }
두 번째 인스턴스 연결에서(이 예에서는 stats_analyzer-2), 이 세션의 미러링 속성은 구성되었다면 기본 분석기를 대체합니다.
다음 홉 그룹을 사용하여 여러 대상에 대한 분석기 구성하기
다음 홉 그룹을 분석기 출력으로 구성함으로써 여러 대상으로 트래픽을 미러링할 수 있습니다. 여러 대상에 대한 패킷의 미러링은 다중 패킷 포트 미러링으로도 알려져 있습니다.
스위치에서 인터페이스 트래픽 또는 VLAN 트래픽을 분석기를 사용하여 스위치 인터페이스로 (분석기를 사용해) 미러링하기 위해 다음을 수행합니다.
레이어 2 미러링에 대한 다음 홉 그룹 정의하기
[edit forwarding-options] 구성 수준에서 다음 홉 그룹 구성은 다음 홉 그룹 이름, 다음 홉 그룹에서 사용할 주소 유형, 트래픽 미러링이 가능한 여러 대상을 형성하는 논리적 인터페이스를 정의합니다. 기본적으로 다음 홉 그룹은 [edit forwarding-options next-hop-group next-hop-group-name group-type inet] 명령문을 사용해 레이어 3 주소를 사용해 지정됩니다. 레이어 2 주소를 사용하여 다음 홉 그룹을 대신 지정하려면 [edit forwarding-options next-hop-group next-hop-group-name group-type layer-2] 명령문을 포함합니다.
레이어 2 미러링을 위한 다음 홉 그룹을 정의합니다.
트래픽 분석을 위해 EX4300 스위치 미러링 구성하기 (CLI 절차)
이 작업에서는 Enhanced Layer 2 소프트웨어(ELS) 구성 스타일에 대한 지원 기능이 있는 EX 시리즈 스위치용 Junos OS를 사용합니다.
EX4300 스위치에서는 미러링을 구성하여 로컬 모니터링을 위해 로컬 인터페이스로 또는 원격 모니터링을 위해 VLAN으로 패킷 사본을 전송할 수 있습니다. 미러링을 사용하여 복사할 수 있는 패킷은 다음과 같습니다.
포트에 들어가거나 나가는 패킷
VLAN에 들어가는 패킷
필요한 패킷만 미러링하여 성능에 미칠 수 있는 잠재적 영향을 줄입니다. 다음과 같이 하실 것을 권장합니다.
사용하지 않을 때는 구성된 미러링 구성을 비활성화합니다.
모든 인터페이스를 입력으로 지정하기보다는 개별 인터페이스를 분석기에 대한 입력으로 지정하십시오.
방화벽 필터를 사용하여 미러링된 트래픽의 양을 제한합니다.
기존 분석기를 삭제하지 않고 추가 분석기를 만들고 싶다면 미러링을 위한 명령줄 인터페이스 또는 J-웹 구성 페이지에서 disable analyzer analyzer-name 명령문을 사용하여 기존 분석기를 비활성화하세요.
분석기에 대한 출력으로 사용되는 인터페이스는 반드시 ethernet-switching 체계 아래 구성되어야 합니다.
로컬 트래픽 분석을 위한 분석기 구성
스위치에서 인터페이스 트래픽 또는 VLAN 트래픽을 분석기를 사용하여 스위치 인터페이스로 (분석기를 사용해) 미러링하기 위해 다음을 수행합니다.
원격 트래픽 분석을 위한 분석기 구성
인터페이스 또는 스위치의 VLAN으로 전환하는 트래픽을 (통계 분석기를 사용해) 원격 위치에서 분석을 위해 VLAN으로 미러링하기 위해 다음을 수행합니다.
포트 미러링 구성하기
포트 미러링 인스턴스로 미러링 될 패킷을 필터링하는 하기 위해서는 인스턴스를 생성한 후 방화벽 필터의 동작으로 사용합니다. 로컬과 원격 모두의 미러링 구성으로 방화벽 필터를 사용할 수 있습니다.
동일한 포트 미러링 인스턴스가 여러 필터 또는 용어로 사용되는 경우 패킷은 분석기 출력 포트 또는 분석기 VLAN으로 단 한 번만 복사됩니다.
미러링된 트래픽을 필터링하기 위해 [edit forwarding-options] 계층 수준에서 포트 미러링 인스턴스를 생성한 후 방화벽 필터를 만듭니다. 필터는 사용 가능한 일치 조건 중 어느 하나를 사용할 수 있으며 반드시 동작으로 port-mirror-instance instance-name이(가) 있어야 합니다. 방화벽 필터 구성의 이 동작은 포트 미러링 인스턴스에 대한 입력을 제공합니다.
방화벽 필터가 있는 포트 미러링 인스턴스를 구성하려면 다음을 수행합니다.
포트 미러링을 구성하여 트래픽 분석(CLI 절차)
이 구성 작업은 Enhanced Layer 2 Software(ELS) 구성 스타일을 지원하지 않는 EX 시리즈 스위치용 Junos OS를 사용합니다.
EX 시리즈 스위치를 사용하면 포트 미러링을 구성하여 로컬 모니터링을 위한 로컬 인터페이스 또는 원격 모니터링을 위한 VLAN 중 하나로 패킷 사본을 전송할 수 있습니다. 포트 미러링을 사용하여 다음과 같은 패킷을 복사할 수 있습니다.
포트에 들어가거나 나가는 패킷
EX2200, EX3200, EX3300, EX4200, EX4500 또는 EX6200 스위치의 VLAN에 들어가는 패킷
EX8200 스위치의 VLAN에서 나가는 패킷
필요한 패킷만 미러링하여 성능에 미칠 수 있는 잠재적 영향을 줄입니다. 다음과 같이 하실 것을 권장합니다.
사용하고 있지 않을 때 구성된 포트 미러링 분석기를 비활성화하십시오.
모든 인터페이스를 입력으로 지정하기보다는 개별 인터페이스를 분석기에 대한 입력으로 지정하십시오.
다음을 통해 미러링된 트래픽 양을 제한합니다.
통계 샘플링 사용.
비율을 설정하여 통계 샘플 선택.
방화벽 필터 사용.
포트 미러링 구성을 시작하기 전에 분석기 출력 인터페이스에 다음과 같은 제약이 있음을 유의하십시오.
소스 포트도 될 수 없습니다.
스위칭에 사용할 수 없습니다.
포트의 일부가 구성을 미러링할 때 계층 2 프로토콜(예: RSTP)에 참여하지 않습니다.
분석기 출력 인터페이스로 구성되기 전에 보유한 VLAN 연관성을 유지하지 않습니다.
기존 분석기를 삭제하지 않고 추가 분석기를 만들고 싶다면 우선 포트 미러링을 위한 disable analyzer analyzer-name 명령 또는 J-웹 구성 페이지를 사용하여 기존 분석기를 비활성화하십시오.
분석기 출력으로 사용되는 인터페이스는 ethernet-switching 제품군으로 구성해야 합니다.
로컬 트래픽 분석을 위해 포트 미러링 구성
스위치에서 인터페이스 트래픽 또는 VLAN 트래픽을 스위치의 또 다른 인터페이스로 미러링하는 방법:
원격 트래픽 분석을 위한 포트 미러링 구성
인터페이스 또는 스위치의 VLAN을 통과하는 트래픽을 원격 위치에서 분석을 위해 VLAN으로 미러링하려면 다음을 수행하세요.
분석기로 유입되는 트래픽 필터링
분석기로 미러링되는 패킷을 필터링하려면 분석기를 생성하고 방화벽 필터에서 이를 작업으로 활용해야 합니다. 로컬과 원격 포트 모두의 미러링 구성으로 방화벽 필터를 사용할 수 있습니다.
동일한 분석기를 여러 필터 또는 용어로 사용할 경우 패킷은 분석기 출력 포트 또는 분석기 VLAN에 한 번만 복사됩니다.
미러링된 트래픽을 필터링하려면 분석기를 생성한 다음, 방화벽 필터를 생성해야 합니다. 필터는 사용 가능한 일치 조건을 사용할 수 있으며 analyzer의 작업을 수행해야 합니다. 방화벽 필터가 동작하면 분석기에 입력이 제공됩니다.
필터를 사용하여 포트 미러링을 구성하는 방법:
EX 시리즈 스위치에서 포트 미러링 분석기를 위한 입력 및 출력 확인
목적
이 검증 작업에서는 ELS(Enhanced Layer 2 Software) 구성 스타일을 지원하지 않는 EX 시리즈 스위치용 Junos OS를 사용합니다.
스위치에서 분석기가 생성되어 적절한 미러 입력 인터페이스와 적절한 분석기 출력 인터페이스를 갖고 있는지 확인합니다.
작업
show analyzer 명령을 사용하여 포트 미러 분석기가 예상대로 구성되었는지 확인할 수 있습니다.
[edit] user@switch> show analyzer Analyzer name : employee-monitor Output VLAN : remote-analyzer Mirror ratio : 1 Loss priority : High Ingress monitored interfaces : ge-0/0/0.0 Ingress monitored interfaces : ge-0/0/1.0
구성 모드에서 show ethernet-switching-options 명령을 사용하면 비활성화된 항목을 포함하여 스위치에서 구성된 모든 포트 미러 분석기를 볼 수 있습니다.
user@switch# show ethernet-switching-options
inactive: analyzer employee-web-monitor {
loss-priority high;
output {
analyzer employee-monitor {
loss-priority high;
input {
ingress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
}
output {
vlan {
remote-analyzer;
}
}
}
의미
이 출력 결과를 보면 employee-monitor 분석기가 비율 1(모든 패킷 미러링, 기본값)을 갖고 있고, 손실 우선순위가 high이며(분석기 출력 대상이 VLAN일 때마다 이 옵션을 high로 설정), ge-0/0/0 및 ge-0/0/1에 들어오는 트래픽을 미러링하고 있고, 이 미러링된 트래픽을 remote-analyzer라는 분석기로 보내고 있음을 알 수 있습니다.
예: 직원 자원 사용에 대한 로컬 모니터링을 위한 포트 미러링 분석기 구성하기
주니퍼 네트웍스 디바이스는 로컬 모니터링을 위한 로컬 인터페이스 또는 원격 모니터링을 위한 VLAN이나 브리지 도메인으로 패킷 사본을 전송하기 위한 포트 미러링을 구성할 수 있도록 해줍니다. 미러링을 사용하여 복사할 수 있는 패킷은 다음과 같습니다.
포트에 들어가거나 나가는 패킷
VLAN 또는 브리지 도메인에 들어가거나 나가는 패킷
그런 다음 프로토콜 분석기를 사용하여 미러된 트래픽을 로컬 또는 원격으로 분석할 수 있습니다. 로컬 대상 인터페이스에 분석기를 설치할 수 있습니다. 미러링된 트래픽을 분석기 VLAN 또는 브리지 도메인에 전송하는 경우 원격 모니터링 스테이션에서 분석기를 사용할 수 있습니다.
이 주제는 스위칭 디바이스에서 로컬 미러링을 구성하는 방법을 설명합니다. 이 주제에 대한 예는 직원 컴퓨터와 연결된 인터페이스에 들어가는 트래픽을 동일한 디바이스에서 분석기가 출력 인터페이스로 미러링하는 스위칭 디바이스를 구성하는 방법을 설명합니다.
요구 사항
다음 하드웨어 및 소프트웨어 구성 요소 중 하나를 사용합니다.
Junos OS 릴리스 13.2 이상을 사용하는 EX9200 스위치 한 개
Junos OS 릴리스 14.1 이상을 사용하는 MX 시리즈 라우터
포트 미러링을 구성하기 전에 미러링 개념에 대한 이해를 가지고 있는지 확인해야 합니다. 분석기에 대한 정보는 포트 미러링 분석기 이해하기를 참조하세요. 포트 미러링에 대한 정보는 레이어 2 포트 미러링 이해하기를 참조하세요.
개요 및 토폴로지
이 주제는 스위칭 디바이스에서 포트에 들어가는 모든 트래픽을 같은 디바이스에서 대상 인터페이스로 미러링하는(로컬 미러링) 방법을 설명합니다. 이 경우 트래픽은 직원 컴퓨터와 연결된 포트에 들어가고 있습니다.
모든 트래픽을 미러링하려면 상당한 대역폭이 필요하며 적극적인 조사 중에만 이루어져야 합니다.
인터페이스 ge-0/0/0 및 ge-0/0/1은 직원 컴퓨터의 연결을 제공합니다.
인터페이스 ge-0/0/10은 미러링된 트래픽 분석을 위해 예약되어 있습니다.
프로토콜 분석기를 운영하는 PC를 분석기 출력 인터페이스에 연결합니다.
한 인터페이스에 미러링된 여러 포트는 버퍼 오버플로우를 일으킬 수 있으며, 그 결과 출력 인터페이스에서 미러링된 패킷이 빠지게 됩니다.
그림 1은(는) 이 예제의 네트워크 토폴로지를 보여줍니다.
로컬 분석을 위한 모든 직원 트래픽 미러링
절차
CLI 빠른 구성
직원 컴퓨터와 연결된 두 포트에 전송되는 수신 트래픽에 대한 로컬 미러링을 신속하게 구성하기 위해 EX 시리즈 스위치 또는 MX 시리즈 라우터의 다음의 명령 중 하나를 복사하여 스위칭 디바이스 단말 창에 붙여 넣기 합니다.
EX 시리즈
[edit] set interfaces ge-0/0/0 unit 0 family ethernet-switching set interfaces ge-0/0/1 unit 0 family ethernet-switching set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor output interface ge-0/0/10.0
MX 시리즈
[edit] set interfaces ge-0/0/0 unit 0 family bridge interface-mode access vlan-id 99 set interfaces ge-0/0/1 unit 0 family bridge interface-mode access vlan-id 98 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor output interface ge-0/0/10.0
단계별 절차
employee-monitor라고 불리는 분석기를 구성하고 입력(소스) 인터페이스 및 분석기 출력 인터페이스를 모두 지정합니다.
분석기 구성에 사용할 각 인터페이스를 구성합니다. 플랫폼에 맞는 가족 프로토콜을 사용하십시오.
EX Series [edit] set interfaces ge-0/0/0 unit 0 family ethernet-switching set interfaces ge-0/0/1 unit 0 family ethernet-switching
인터페이스에서
family bridge을(를) 구성하려면 반드시interface-mode access또는interface-mode trunk도 구성해야합니다. 또한vlan-id도 구성해야합니다.MX Series [edit] set interfaces ge-0/0/0 unit 0 family bridge interface-mode access vlan-id 99 set interfaces ge-0/0/1 unit 0 family bridge interface-mode access vlan-id 98
직원 컴퓨터와 연결된 각 인터페이스를 출력 분석기 인터페이스
employee-monitor(으)로 구성합니다.[edit forwarding-options] set analyzer employee-monitor input ingress interface ge-0/0/0.0 set analyzer employee-monitor input ingress interface ge-0/0/1.0
employee-monitor분석기에 대한 출력 분석기 인터페이스를 구성합니다.이것은 미러링된 패킷의 대상 인터페이스가 됩니다.
[edit forwarding-options] set analyzer employee-monitor output interface ge-0/0/10.0
결과
구성의 결과를 확인합니다.
[edit]
user@device# show forwarding-options
analyzer {
employee-monitor {
input {
ingress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
}
output {
interface ge-0/0/10.0;
}
}
}
검증
분석기가 올바르게 생성되었는지 확인하기
목적
employee-monitor 분석기가 스위칭 디바이스에서 적절한 입력 인터페이스 및 적절한 출력 인터페이스로 생성되었는지 확인합니다.
작업
show forwarding-options analyzer 작동 명령을 사용하여 분석기가 예상대로 구성되었는지 확인합니다.
user@device> show forwarding-options analyzer Analyzer name : employee-monitor Mirror rate : 1 Maximum packet length : 0 State : up Ingress monitored interfaces : ge-0/0/0.0 Output interface : ge-0/0/10.0
의미
이 출력은 employee-monitor 분석기가 1의 비율이며(기본 설정으로 모든 패킷을 미러링을 의미), 미러링된 원본 패킷의 최대 사이즈가 0이고(전체 패킷이 미러링 됨을 표시), 구성 상태가 up입니다. 분석기는 ge-0/0/0 인터페이스에 들어오는 트래픽을 미러링하고 미러링된 트래픽을 ge-0/0/10 인터페이스로 전송합니다.
출력 인터페이스의 상태가 down(이)거나 또는 출력 인터페이스가 구성되지 않은 경우, State의 값은 down(이)고 이는 분석기가 미러링된 트래픽 수신할 수 없음을 나타냅니다.
예: 직원 자원 사용을 원격 모니터링하기 위한 포트 미러링 구성하기
주니퍼 네트웍스 디바이스는 로컬 모니터링을 위한 로컬 인터페이스 또는 원격 모니터링을 위한 VLAN이나 브리지 도메인으로 패킷 사본을 전송하기 위한 포트 미러링을 구성할 수 있도록 해줍니다. 미러링을 사용하여 복사할 수 있는 패킷은 다음과 같습니다.
포트에 들어가거나 나가는 패킷
VLAN에 들어가거나 나가는 패킷
브리지 도메인에 들어가거나 나가는 패킷
미러링된 트래픽을 분석기 VLAN 또는 브리지 도메인에 전송하는 경우 원격 모니터링 스테이션에서 실행되는 프로토콜 분석기를 사용하여 미러링된 트래픽을 분석할 수 있습니다.
필요한 패킷만 미러링하여 성능에 미칠 수 있는 잠재적 영향을 줄입니다. 다음을 수행하는 것이 좋습니다.
사용하지 않을 때는 구성된 미러링 세션을 비활성화합니다.
모든 인터페이스를 입력으로 지정하기보다는 개별 인터페이스를 분석기에 대한 입력으로 지정하십시오.
다음을 통해 미러링된 트래픽 양을 제한합니다.
통계 샘플링 사용.
비율을 설정하여 통계 샘플 선택.
방화벽 필터 사용.
이 주제에 대한 예로 직원 자원 사용량을 분석하기 위한 원격 포트 미러링 구성 방법을 보여줍니다.
요구 사항
이 예는 다음과 같은 하드웨어 및 소프트웨어 구성 요소 중 하나를 사용합니다.
EX9200 스위치 하나는 다른 EX9200 스위치에 연결되며, 이 둘은 모두 Junos OS 릴리스 13.2 또는 이후에서 실행됩니다.
MX 시리즈 라우터 하나는 다른 MX 시리즈 라우터에 연결되며, 이 둘은 모두 Junos OS 릴리스 14.1 또는 이후에서 실행됩니다.
원격 미러링을 구성하기 전에 다음 조건이 갖추어졌는지 확인합니다.
미러링 개념을 이해하고 있습니다. 분석기에 대한 정보는 포트 미러링 분석기 이해하기를 참조하세요. 포트 미러링에 대한 정보는 레이어 2 포트 미러링 이해하기를 참조하세요.
분석기가 입력 인터페이스로 사용할 인터페이스는 이미 스위칭 디바이스 상에 구성되었습니다.
개요 및 토폴로지
이 주제는 원격 분석기 VLAN 또는 브리지 도메인으로 포트 미러링해 원격 모니터링 스테이션에서 분석이 이루어 질 수 있도록 하는 방법을 설명하고 있습니다.
그림 2은(는) EX 시리즈 예시 및 MX 시리즈 예시 시나리오 모두에 대한 네트워크 토폴로지를 보여줍니다.
토폴로지
이 예제에 대한 설명은 다음과 같습니다.
인터페이스 ge-0/0/0은 레이어 2 인터페이스이며 인터페이스 ge-0/0/1은 레이어 3 인터페이스(둘 다 소스 디바이스의 인터페이스)이며 직원 컴퓨터에 대한 연결을 수행합니다.
인터페이스 ge-0/0/10은 레이어 2 인터페이스로서 소스 스위칭 디바이스를 대상 스위칭 디바이스로 연결합니다.
인터페이스 ge-0/0/5는 레이어 2 인터페이스로서 대상 스위칭 디바이스를 원격 모니터링 스테이션에 연결합니다.
remote-analyzer분석기는 미러링된 트래픽을 수행하기 위해 토폴로지에 모든 스위칭 디바이스에 구성됩니다. 이 토폴로지는 VLAN 또는 브리지 도메인 중 하나에 사용할 수 있습니다.
통계 분석기를 사용한 원격 분석을 위한 직원 트래픽 미러링
들어오고 나가는 모든 직원 트래픽에 대한 원격 트래픽을 분석하는 통계 분석기를 구성하기 위해 다음 예 중 하나를 선택하세요.
EX 시리즈 스위치의 원격 분석을 위한 직원 트래픽 미러링
CLI 빠른 구성
들어오고 나가는 직원 트래픽을 원격 트래픽 분석하기 위한 통계 분석기를 빠르게 구성하기 위해 EX 시리즈 스위치에 대한 다음의 명령을 복사하고 올바른 스위칭 디바이스 단말 창에 붙여 넣습니다.
소스 스위칭 디바이스 단말 창에 다음의 명령을 복사해 붙여 넣으세요.
EX 시리즈
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor output vlan remote-analyzer set forwarding-options analyzer employee-monitor input rate 2 set forwarding-options analyzer employee-monitor input maximum-packet-length 128 set chassis fpc 0 port-mirror-instance employee-monitor
대상 스위칭 디바이스 단말 창에 다음의 명령을 복사해 붙여 넣으세요.
EX 시리즈
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 set interfaces ge-0/0/5 unit 0 family ethernet-switching interface-mode access set forwarding-options analyzer employee-monitor input ingress vlan remote-analyzer set forwarding-options analyzer employee-monitor output interface ge-0/0/5.0
단계별 절차
기본 원격 미러링 구성하기:
소스 스위칭 디바이스에서 다음을 수행합니다.
remote-analyzerVLAN에 대한 VLAN ID 설정.[edit] user@device# set vlans remote-analyzer vlan-id 999
액세스 모드를 위한 대상 스위칭 디바이스에 연결된 네트워크 포트 인터페이스를 설정하고
remote-analyzerVLAN과 연결합니다.[edit] user@device# set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode access user@device# set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999
employee-monitor통계 분석기 설정.[edit forwarding-options] user@device# set analyzer employee-monitor input ingress interface ge-0/0/0.0 user@device# set analyzer employee-monitor input ingress interface ge-0/0/1.0 user@device# set analyzer employee-monitor input egress interface ge-0/0/0.0 user@device# set analyzer employee-monitor input egress interface ge-0/0/1.0 user@device# set analyzer employee-monitor output vlan remote-analyzer user@device# set analyzer employee-monitor input rate 2 user@device# set analyzer employee-monitor input maximum-packet-length 128
통계 분석기를 입력 인터페이스를 포함하는 FPC에 연결합니다.
[edit] user@device# set chassis fpc 0 port-mirror-instance employee-monitor
대상 네트워크 디바이스에서 다음을 수행합니다.
remote-analyzerVLAN에 대한 VLAN ID 설정.[edit] user@device# set vlans remote-analyzer vlan-id 999
액세스 모드를 위한 대상 스위칭 디바이스 인터페이스를 설정하고
remote-analyzerVLAN과 연결합니다.[edit interfaces] user@device# set ge-0/0/10 unit 0 family ethernet-switching interface-mode access user@device# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999
액세스 모드를 위한 대 스위칭 디바이스에 연결된 인터페이스를 설정합니다.
[edit interfaces] user@device# set ge-0/0/5 unit 0 family ethernet-switching interface-mode access
employee-monitor분석기 설정.[edit forwarding-options] user@device# set analyzer employee-monitor input ingress vlan remote-analyzer user@device# set analyzer employee-monitor output interface ge-0/0/5.0
속도 및
employee-monitor분석기에 대한 최대 패킷 길이와 같은 미러링 매개 변수를 지정하세요.[edit] user@device# set forwarding-options analyzer employee-monitor input rate 2 user@device# set forwarding-options analyzer employee-monitor input maximum-packet-length 128
employee-monitor분석기를 입력 포트를 포함하는 FPC에 연결합니다.[edit] user@device# set chassis fpc 0 port-mirror-instance employee-monitor
결과
소스 스위칭 디바이스 구성 결과를 확인합니다.
[edit]
user@device# show
forwarding-options {
analyzer employee-monitor {
input {
ingress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
egress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
maximum-packet-length 128;
rate 2;
}
output {
vlan {
remote-analyzer;
}
}
}
}
interfaces {
ge-0/0/10 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members 999;
}
}
}
}
}
vlans {
remote-analyzer {
vlan-id 999;
}
}
대상 스위칭 디바이스의 구성 결과를 확인합니다.
[edit]
user@device# show
interfaces {
ge0/0/5 {
unit 0 {
family ethernet-switching {
interface-mode access;
}
}
}
ge-0/0/10 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members 999;
}
}
}
}
}
vlans {
remote-analyzer {
vlan-id 999;
interface {
ge-0/0/10.0;
}
}
}
forwarding-options {
analyzer employee-monitor {
input {
ingress {
vlan remote-analyzer;
}
}
output {
interface {
ge-0/0/5.0;
}
}
}
}
MX 시리즈 라우터의 원격 분석을 위한 직원 트래픽 미러링
CLI 빠른 구성
들어오고 나가는 직원 트래픽의 원격 트래픽 분석을 위한 통계 분석기를 빠르게 구성하기 위해 MX 시리즈 라우터에 대한 다음의 명령을 복사하고 올바른 스위칭 디바이스 단말 창에 붙여 넣습니다.
소스 스위칭 디바이스 단말 창에 다음의 명령을 복사해 붙여 넣으세요.
MX 시리즈
[edit] set bridge-domains remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family bridge interface-mode access set interfaces ge-0/0/10 unit 0 family bridge vlan-id 999 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor output bridge-domain remote-analyzer set forwarding-options analyzer employee-monitor input rate 2 set forwarding-options analyzer employee-monitor input maximum-packet-length 128 set chassis fpc 0 port-mirror-instance employee-monitor
대상 스위칭 디바이스 단말 창에 다음의 명령을 복사해 붙여 넣으세요.
MX 시리즈
[edit] set bridge-domains remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family bridge interface-mode access set interfaces ge-0/0/10 unit 0 family bridge vlan-id 999 set interfaces ge-0/0/5 unit 0 family bridge interface-mode access set forwarding-options analyzer employee-monitor input ingress bridge-domain remote-analyzer set forwarding-options analyzer employee-monitor output interface ge-0/0/5.0
단계별 절차
MX 시리즈 라우터를 사용하여 기본 원격 미러링 구성하기:
소스 스위칭 디바이스에서 다음을 수행합니다.
remote-analyzer브리지 도메인에 대한 VLAN ID 설정.[edit] user@device# set bridge-domains remote-analyzer vlan-id 999
액세스 모드를 위한 대상 스위칭 디바이스에 연결된 네트워크 포트 인터페이스를 설정하고
remote-analyzer브리지 도메인과 연결합니다.[edit] user@device# set interfaces ge-0/0/10 unit 0 family bridge interface-mode access user@device# set interfaces ge-0/0/10 unit 0 family bridge vlan members 999
employee-monitor통계 분석기 설정.[edit forwarding-options] user@device# set analyzer employee-monitor input ingress interface ge-0/0/0.0 user@device# set analyzer employee-monitor input ingress interface ge-0/0/1.0 user@device# set analyzer employee-monitor input egress interface ge-0/0/0.0 user@device# set analyzer employee-monitor input egress interface ge-0/0/1.0 user@device# set analyzer employee-monitor output bridge-domain remote-analyzer user@device# set analyzer employee-monitor input rate 2 user@device# set analyzer employee-monitor input maximum-packet-length 128
통계 분석기를 입력 인터페이스를 포함하는 FPC에 연결합니다.
[edit] user@device# set chassis fpc 0 port-mirror-instance employee-monitor
대상 스위칭 디바이스에서 다음을 수행합니다.
remote-analyzer브리지 도메인에 대한 VLAN ID 설정.[edit bridge-domains] user@device# set remote-analyzer vlan-id 999
액세스 모드를 위한 대상 스위칭 디바이스 인터페이스를 설정하고
remote-analyzer브리지 도메인과 연결합니다.[edit interfaces] user@device# set ge-0/0/10 unit 0 family bridge interface-mode access user@device# set ge-0/0/10 unit 0 family bridge vlan members 999
액세스 모드를 위한 대 스위칭 디바이스에 연결된 인터페이스를 설정합니다.
[edit interfaces] user@device# set ge-0/0/5 unit 0 family bridge interface-mode access
employee-monitor분석기 설정.[edit forwarding-options] user@device# set analyzer employee-monitor input ingress bridge-domain remote-analyzer user@device# set analyzer employee-monitor output interface ge-0/0/5.0
속도 및
employee-monitor분석기에 대한 최대 패킷 길이와 같은 미러링 매개 변수를 지정하세요.[edit] user@device# set forwarding-options analyzer employee-monitor input rate 2 user@device# set forwarding-options analyzer employee-monitor input maximum-packet-length 128
employee-monitor분석기를 입력 포트를 포함하는 FPC에 연결합니다.[edit] user@device# set chassis fpc 0 port-mirror-instance employee-monitor
결과
소스 스위칭 디바이스 구성 결과를 확인합니다.
[edit]
user@device# show
bridge-domains {
remote-analyzer {
vlan-id 999;
}
}
forwarding-options {
analyzer {
employee-monitor {
input {
ingress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
egress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
maximum-packet-length 128;
rate 2;
}
output {
bridge-domain {
remote-analyzer;
}
}
}
}
}
interfaces {
ge-0/0/0 {
unit 0 {
family bridge {
interface-mode access;
vlan-id 99;
}
}
}
ge-0/0/1 {
unit 0 {
family bridge {
interface-mode access;
vlan-id 98;
}
}
}
ge-0/0/10 {
unit 0 {
family bridge {
interface-mode access;
vlan-id 999;
}
}
}
}
대상 스위칭 디바이스의 구성 결과를 확인합니다.
[edit]
user@device# show
bridge-domains {
remote-analyzer {
vlan-id 999;
}
}
forwarding-options {
analyzer {
employee-monitor {
input {
ingress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
bridge-domain remote-analyzer;
}
}
output {
interface ge-0/0/5.0;
}
}
}
}
interfaces {
ge-0/0/5 {
unit 0 {
family bridge {
interface-mode access;
}
}
}
}
검증
분석기가 올바르게 생성되었는지 확인하기
목적
employee-monitor라는 분석기가 디바이스 내에서 적절한 입력 인터페이스 및 적절한 출력 인터페이스로 생성되었는지 확인합니다.
작업
분석기가 소스 스위칭 디바이스에서 모든 직원 트래픽을 모니터링하면서 예상한대로 구성되었는지 확인하기 위해 소스 스위칭 디바이스에서 show forwarding-options analyzer 명령을 실행합니다. 다음의 출력은 이 구성 예에 나타납니다.
user@device> show forwarding-options analyzer Analyzer name : employee-monitor Mirror rate : 2 Maximum packet length : 128 State : up Ingress monitored interfaces : ge-0/0/0.0 Ingress monitored interfaces : ge-0/0/1.0 Egress monitored interfaces : ge-0/0/0.0 Egress monitored interfaces : ge-0/0/1.0 Output VLAN : default-switch/remote-analyzer
의미
이 출력은 employee-monitor 인스턴스가 2로서, 미러링된 원래 패킷의 최대 크기인 128이고, 구성 상태는 up(으)로 적절한 상태를 나타내고 분석기가 프로그램되어 있는 상태이며, 분석기는 ge-0/0/0.0 및 ge-0/0/1.0에 들어가는 트래픽을 미러링 하며 원격 분석기라고 불리는 VLAN에 미러링된 트래픽을 보냅니다.
출력 인터페이스의 상태가 down 또는 출력 인터페이스가 구성되지 않은 경우, State의 값은 낮아지고 분석기는 트래픽 모니터링 할 수 없습니다.
예: EX9200 스위치에서 직원 리소스 사용에 대한 원격 모니터링을 위한 다중 인터페이스로의 미러링 구성
EX9200 스위치를 통해 로컬 모니터링을 위한 로컬 인터페이스나 원격 모니터링을 위한 VLAN으로 패킷 사본을 보내도록 미러링을 구성할 수 있습니다. 미러링을 사용하여 복사할 수 있는 패킷은 다음과 같습니다.
포트에 들어가거나 나가는 패킷
다음의 VLAN에 들어오거나 나가는 패킷:
미러링된 트래픽을 분석기 VLAN에 보내는 경우 원격 모니터링 스테이션에서 실행되는 프로토콜 분석기 애플리케이션을 사용하여 미러링된 트래픽을 분석할 수 있습니다.
필요한 패킷만 미러링하여 성능에 미칠 수 있는 잠재적 영향을 줄입니다. 다음과 같이 하실 것을 권장합니다.
구성된 미러링 분석기를 사용하지 않을 때는 비활성화합니다.
모든 인터페이스를 입력으로 지정하기보다는 개별 인터페이스를 분석기에 대한 입력으로 지정하십시오.
다음을 통해 미러링된 트래픽 양을 제한합니다.
통계 샘플링 사용.
비율을 설정하여 통계 샘플 선택.
방화벽 필터 사용.
이 예제에서는 분석기 VLAN의 다중 인터페이스에 원격 미러링을 구성하는 방법을 설명합니다.
요구 사항
이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.
EX9200 스위치 3개
EX 시리즈 스위치용 Junos OS 릴리스 13.2 이상
원격 미러링을 구성하기 전에 다음 조건이 갖추어졌는지 확인합니다.
분석기가 입력 인터페이스로 사용할 인터페이스가 스위치에 구성되어 있습니다.
개요 및 토폴로지
이 예제에서는 원격 모니터링 스테이션에서 분석을 수행할 수 있도록 스위치의 포트로 들어오는 트래픽을 원격 분석기 VLAN으로 미러링 하는 방법을 설명합니다. 이 예제의 원격 분석기 VLAN에는 다중 멤버 인터페이스가 포함되어 있습니다. 따라서 동일한 트래픽이 원격 분석기 VLAN의 모든 멤버 인터페이스에 미러링 되어 미러링 된 패킷이 서로 다른 원격 모니터링 스테이션으로 전송될 수 있습니다. 원격 모니터링 스테이션에 스니퍼 및 침입 탐지 시스템과 같은 애플리케이션을 설치하여 이러한 미러링 된 패킷을 분석하고 유용한 통계 데이터를 얻을 수 있습니다. 예를 들어, 두 개의 원격 모니터링 스테이션이 있으면 한 원격 모니터링 스테이션에 스니퍼를 설치하고 다른 스테이션에 침입 탐지 시스템을 설치할 수 있습니다. 방화벽 필터 분석기 구성을 사용하여 특정 유형의 트래픽을 원격 모니터링 스테이션으로 포워딩할 수 있습니다.
이 예제에서는 트래픽을 다음 홉 그룹의 다중 인터페이스에 미러링 하여 트래픽이 분석을 위해 서로 다른 모니터링 스테이션으로 전송되도록 분석기를 구성하는 방법을 설명합니다.
그림 3은(는) 이 예제의 네트워크 토폴로지를 보여줍니다.
토폴로지
이 예제에 대한 설명은 다음과 같습니다.
인터페이스 ge-0/0/0 및 ge-0/0/1은 직원 컴퓨터의 연결 역할을 하는 레이어 2 인터페이스(소스 스위치의 두 인터페이스)입니다.
인터페이스 ge-0/0/10 및 ge-0/0/11은 서로 다른 목적지 스위치에 연결된 레이어 2 인터페이스입니다.
인터페이스 ge-0/0/12는 목적지 1 스위치를 원격 모니터링 스테이션에 연결하는 레이어 2 인터페이스입니다.
인터페이스 ge-0/0/13는 대상 2 스위치를 원격 모니터링 스테이션에 연결하는 레이어 2 인터페이스입니다.
VLAN
remote-analyzer은(는) 토폴로지의 모든 스위치에 구성되어 미러링된 트래픽을 전달합니다.
원격 분석을 위한 모든 직원 트래픽을 다중 VLAN 멤버 인터페이스에 미러링
모든 들어오고 나가는 직원 트래픽에 대한 원격 트래픽 분석을 위해 다중 VLAN 멤버 인터페이스에 미러링을 구성하려면 다음과 같은 작업을 수행합니다.
절차
CLI 빠른 구성
들어오고 나가는 직원 트래픽에 대한 원격 트래픽 분석을 위한 미러링을 신속하게 구성하려면 다음과 같은 명령을 복사하여 스위치 터미널 창에 붙여 넣습니다.
소스 스위치 터미널 창에서 다음 명령을 복사하여 넣습니다.
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 set interfaces ge-0/0/11 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/11 unit 0 family ethernet-switching vlan members 999 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor output next-hop-group remote-analyzer-nhg set forwarding-options next-hop-group remote-analyzer-nhg interface ge-0/0/10.0 set forwarding-options next-hop-group remote-analyzer-nhg interface ge-0/0/11.0 set forwarding-options next-hop-group remote-analyzer-nhg group-type layer-2
목적지 1 스위치 터미널 창에서 다음 명령을 복사하여 붙여 넣습니다.
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode acess set interfaces ge-0/0/12 unit 0 family ethernet-switching interface-mode access set forwarding-options analyzer employee-monitor input ingress vlan remote-analyzer set forwarding-options analyzer employee-monitor loss-priority high output interface ge-0/0/12.0
목적지 2 스위치 터미널 창에서 다음 명령을 복사하여 붙여 넣습니다.
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/11 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/13 unit 0 family ethernet-switching interface-mode access set forwarding-options analyzer employee-monitor input ingress vlan remote-analyzer set forwarding-options analyzer employee-monitor loss-priority high output interface ge-0/0/13.0
단계별 절차
두 개의 VLAN 멤버 인터페이스에 기본 원격 미러링을 구성하려면 다음을 수행합니다.
소스 스위치에서 다음을 수행합니다.
remote-analyzerVLAN에 대해 VLAN ID를 구성합니다.[edit vlans] user@switch# set remote-analyzer vlan-id 999
액세스 모드를 위해 목적지 스위치에 연결된 네트워크 포트에 인터페이스를 구성하고 이를
remote-analyzerVLAN과 연결합니다.[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999 user@switch# set ge-0/0/11 unit 0 family ethernet-switching interface-mode trunk user@switch# set ge-0/0/11 unit 0 family ethernet-switching vlan members 999
employee-monitor분석기를 구성합니다.[edit forwarding-options] user@switch# set analyzer employee-monitor input ingress interface ge-0/0/0.0 user@switch# set analyzer employee-monitor input ingress interface ge-0/0/1.0 user@switch# set analyzer employee-monitor input egress interface ge-0/0/0.0 user@switch# set analyzer employee-monitor input egress interface ge-0/0/1.0 user@switch# set analyzer employee-monitor output next-hop-group remote-analyzer-nhg
이 분석기 구성에서 인터페이스 ge-0/0/0.0 및 ge-0/0/1.0을 출입하는 트래픽은
remote-analyzer-nhg라는 이름의 다음 홉 그룹에 의해 정의된 출력 목적지로 전송됩니다.remote-analyzer-nhb다음 홉 그룹을 구성합니다.[edit forwarding-options] user@switch# set next-hop-group remote-analyzer-nhg interface ge-0/0/10.0 user@switch# set next-hop-group remote-analyzer-nhg interface ge-0/0/11.0 user@switch# set next-hop-group remote-analyzer-nhg group-type layer-2
목적지 1 스위치에서 다음을 수행합니다.
remote-analyzerVLAN에 대해 VLAN ID를 구성합니다.[edit vlans] user@switch# set remote-analyzer vlan-id 999
액세스 모드를 위한 목적지 1 스위치에 ge-0/0/10 인터페이스를 구성합니다.
[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching interface-mode access
액세스 모드를 위해 원격 모니터링 스테이션에 연결된 인터페이스를 구성합니다.
[edit interfaces] user@switch# set ge-0/0/12 unit 0 family ethernet-switching interface-mode access
employee-monitor분석기를 구성합니다.[edit forwarding-options] user@switch# set analyzer employee-monitor input ingress vlan remote-analyzer user@switch# set analyzer employee-monitor loss-priority high output interface ge-0/0/12.0
목적지 2 스위치에서 다음을 수행합니다.
remote-analyzerVLAN에 대해 VLAN ID를 구성합니다.[edit vlans] user@switch# set remote-analyzer vlan-id 999
액세스 모드를 위한 목적지 2 스위치에 ge-0/0/11 인터페이스를 구성합니다.
[edit interfaces] user@switch# set ge-0/0/11 unit 0 family ethernet-switching interface-mode access
액세스 모드를 위해 원격 모니터링 스테이션에 연결된 인터페이스를 구성합니다.
[edit interfaces] user@switch# set ge-0/0/13 unit 0 family ethernet-switching interface-mode access
employee-monitor분석기를 구성합니다.[edit forwarding-options] user@switch# set analyzer employee-monitor input ingress vlan remote-analyzer user@switch# set analyzer employee-monitor loss-priority high output interface ge-0/0/13.0
결과
소스 스위치에서 구성 결과를 확인합니다.
[edit]
user@switch# show
forwarding-options {
analyzer employee-monitor {
input {
ingress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
egress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
}
output {
next-hop-group {
remote-analyzer-nhg;
}
}
}
}
vlans {
remote-analyzer {
vlan-id 999;
interface {
ge-0/0/10.0
ge-0/0/11.0
}
}
}
interfaces {
ge-0/0/10 {
unit 0 {
family ethernet-switching {
interface-mode access;
}
}
}
ge-0/0/11 {
unit 0 {
family ethernet-switching {
interface-mode access;
}
}
}
}
목적지 1 스위치에서 구성 결과를 확인합니다.
[edit]
user@switch# show
vlans {
remote-analyzer {
vlan-id 999;
}
}
interfaces {
ge-0/0/10 {
unit 0 {
ethernet-switching {
interface-mode acess;
}
}
}
ge-0/0/12 {
unit 0 {
family ethernet-switching {
interface-mode access;
}
}
}
}
forwarding-options {
analyzer employee-monitor {
input {
ingress {
vlan remote-analyzer;
}
}
loss-priority high;
output {
interface {
ge-0/0/12.0;
}
}
}
}
목적지 2 스위치에서 구성 결과를 확인합니다.
[edit]
user@switch# show
vlans {
remote-analyzer {
vlan-id 999;
interface {
ge-0/0/11.0
}
}
}
interfaces {
ge-0/0/11 {
unit 0 {
family ethernet-switching {
interface-mode access;
}
}
}
ge-0/0/13 {
unit 0 {
family ethernet-switching {
interface-mode access;
}
}
}
}
forwarding-options {
employee-monitor {
input {
ingress {
vlan remote-analyzer;
}
}
loss-priority high;
output {
interface {
ge-0/0/13.0;
}
}
}
}
검증
구성이 제대로 작동하는지 확인하려면 다음의 작업을 수행하십시오:
분석기가 올바르게 생성되었는지 확인하기
목적
스위치에서 employee-monitor라는 이름의 분석기가 적절한 입력 인터페이스 및 적절한 출력 인터페이스로 생성되었는지 확인합니다.
작업
show forwarding-options analyzer 명령을 사용하여 분석기가 예상대로 구성되었는지 확인할 수 있습니다.
소스 스위치에서 모든 직원 트래픽을 모니터링하면서 분석기가 예상대로 구성되었는지 확인하려면 소스 스위치에서 show forwarding-options analyzer 명령을 실행하십시오. 소스 스위치의 이 구성 예제에 대한 다음 출력이 표시됩니다.
user@switch> show forwarding-options analyzer
Analyzer name : employee-monitor
Mirror rate : 1
Maximum packet length : 0
State : up
Ingress monitored interfaces : ge-0/0/0.0
Ingress monitored interfaces : ge-0/0/1.0
Egress monitored interfaces : ge-0/0/0.0
Egress monitored interfaces : ge-0/0/1.0
Output nhg : remote-analyzer-nhg
user@switch> show forwarding-options next-hop-group
Next-hop-group: remote-analyzer-nhg
Type: layer-2
State: up
Members Interfaces:
ge-0/0/10.0
ge-0/0/11.0
의미
이 출력은 employee-monitor 분석기의 비율이 1(기본 동작인 모든 패킷 미러링)이며, 구성 상태는 up(으)로 이는 적절한 상태를 나타내며, 분석기가 프로그래밍되어 인터페이스 ge-0/0/0 및 ge-0/0/1을 출입하는 트래픽을 미러링하고, 미러링된 트래픽을 다음 홉 그룹 remote-analyzer-nhg을(를) 통해 다중 인터페이스 ge-0/0/10.0 및 ge-0/0/11.0에 전송함을 나타냅니다. 출력 인터페이스의 상태가 down이거나 출력 인터페이스가 구성되지 않은 경우 상태 값은 낮아지고 분석기는 트래픽을 모니터링할 수 없습니다.
예: EX9200 스위치의 전송 스위치를 통해 직원 리소스 사용 원격 모니터링을 위한 미러링 구성
EX9200 스위치를 통해 로컬 모니터링을 위한 로컬 인터페이스나 원격 모니터링을 위한 VLAN으로 패킷 사본을 보내도록 미러링을 구성할 수 있습니다. 미러링을 사용하여 복사할 수 있는 패킷은 다음과 같습니다.
포트에 들어가거나 나가는 패킷
VLAN에 들어가거나 나가는 패킷
미러링된 트래픽을 분석기 VLAN에 보내는 경우 원격 모니터링 스테이션에서 실행되는 프로토콜 분석기 애플리케이션을 사용하여 미러링된 트래픽을 분석할 수 있습니다.
이 주제에는 원격 모니터링 스테이션에서 분석을 수행할 수 있도록 스위치의 포트로 들어오는 트래픽을 전송 스위치를 통해 remote-analyzer VLAN으로 미러링하는 방법에 대한 예제가 포함되어 있습니다.
필요한 패킷만 미러링하여 성능에 미칠 수 있는 잠재적 영향을 줄입니다. 다음과 같이 하실 것을 권장합니다.
사용하지 않을 때는 구성된 미러링 세션을 비활성화합니다.
모든 인터페이스를 입력으로 지정하기보다는 개별 인터페이스를 분석기에 대한 입력으로 지정하십시오.
다음을 통해 미러링된 트래픽 양을 제한합니다.
통계 샘플링 사용.
비율을 설정하여 통계 샘플 선택.
방화벽 필터 사용.
이 예제는 전송 스위치를 통해 원격 미러링을 구성하는 방법을 설명합니다.
요구 사항
이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.
세 번째 EX9200 스위치를 통해 다른 EX9200 스위치에 연결된 EX9200 스위치
EX 시리즈 스위치용 Junos OS 릴리스 13.2 이상
원격 미러링을 구성하기 전에 다음 조건이 갖추어졌는지 확인합니다.
분석기가 입력 인터페이스로 사용할 인터페이스가 스위치에 구성되어 있습니다.
개요 및 토폴로지
이 예제에서는 직원 컴퓨터의 모든 트래픽에서 분석을 수행할 수 있도록 스위치의 포트로 들어오는 트래픽을 전송 스위치를 통해 remote-analyzer VLAN으로 미러링하는 방법을 설명합니다.
이 구성에서는 분석기 VLAN에서 원격 모니터링 스테이션이 연결된 송신 인터페이스로 들어오는 트래픽을 미러링하기 위해 대상 스위치에 분석기 세션이 필요합니다.
그림 4은(는) 이 예제의 네트워크 토폴로지를 보여줍니다.
토폴로지
이 예제에 대한 설명은 다음과 같습니다.
인터페이스 ge-0/0/0은 레이어 2 인터페이스이며, 인터페이스 ge-0/0/1은 레이어 3 인터페이스로서(두 인터페이스 모두 소스 스위치에 속함) 직원 컴퓨터를 연결해줍니다.
인터페이스 ge-0/0/10은 전송 스위치에 연결되는 레이어 2 인터페이스입니다.
인터페이스 ge-0/0/11은 전송 스위치의 레이어 2 인터페이스입니다.
인터페이스 ge-0/0/12는 전송 스위치의 레이어 2 인터페이스이며 대상 스위치에 연결됩니다.
인터페이스 ge-0/0/13은 대상 스위치의 레이어 2 인터페이스입니다.
인터페이스 ge-0/0/14는 대상 스위치의 레이어 2 인터페이스이며 원격 모니터링 스테이션에 연결됩니다.
VLAN
remote-analyzer은(는) 토폴로지의 모든 스위치에 구성되어 미러링된 트래픽을 전달합니다.
전송 스위치를 통한 원격 분석을 위해 모든 직원 트래픽 미러링
들어오고 나가는 모든 직원 트래픽에 대해 전송 스위치를 사용하여 원격 트래픽 분석을 위한 미러링을 구성하려면 다음 작업을 수행합니다.
절차
CLI 빠른 구성
전송 스위치를 통해 원격 트래픽 분석을 위한 미러링을 빠르게 구성하려면 들어오고 나가는 직원 트래픽에 대해 다음 명령을 복사하여 스위치 터미널 창에 붙여 넣습니다.
다음의 명령을 복사하여 소스 스위치(모니터링된 스위치) 터미널 창에 붙여 넣습니다.
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor output vlan remote-analyzer
다음의 명령을 복사하여 전송 스위치 창에 붙여 넣습니다.
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/11 unit 0 family ethernet-switching interface-mode access set vlans remote-analyzer interface ge-0/0/11 set interfaces ge-0/0/12 unit 0 family ethernet-switching interface-mode access set vlans remote-analyzer interface ge-0/0/12
다음의 명령을 복사하여 대상 스위치 창에 붙여 넣습니다.
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/13 unit 0 family ethernet-switching interface-mode access set vlans remote-analyzer interface ge-0/0/13 ingress set interfaces ge-0/0/14 unit 0 family ethernet-switching interface-mode access set forwarding-options analyzer employee-monitor input ingress vlan remote-analyzer set forwarding-options analyzer employee-monitor output interface ge-0/0/14.0
단계별 절차
전송 스위치 통해 원격 미러링을 구성하려면 다음을 수행합니다.
소스 스위치에서 다음을 수행합니다.
remote-analyzerVLAN에 대해 VLAN ID를 구성합니다.[edit vlans] user@switch# set remote-analyzer vlan-id 999
액세스 모드를 위해 전송 스위치에 연결된 네트워크 포트에서 인터페이스를 구성하고, 이를
remote-analyzerVLAN과 연결합니다.[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching interface-mode access user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999
employee-monitor분석기를 구성합니다.[edit forwarding-options] user@switch# set analyzer employee-monitor input ingress interface ge-0/0/0.0 user@switch# set analyzer employee-monitor input ingress interface ge-0/0/1.0 user@switch# set analyzer employee-monitor input egress interface ge-0/0/0.0 user@switch# set analyzer employee-monitor input egress interface ge-0/0/1.0 user@switch# set analyzer employee-monitor output vlan remote-analyzer
전송 스위치에서 다음을 수행합니다.
remote-analyzerVLAN에 대해 VLAN ID를 구성합니다.[edit vlans] user@switch# set remote-analyzer vlan-id 999
액세스 모드를 위해 ge-0/0/11 인터페이스를 구성하고, 이를
remote-analyzerVLAN과 연결합니다.[edit interfaces] user@switch# set ge-0/0/11 unit 0 family ethernet-switching interface-mode access
액세스 모드를 위해 ge-0/0/12 인터페이스를 구성하고, 이를
remote-analyzerVLAN과 연결하며, 송신 트래픽 전용으로 인터페이스를 설정합니다.[edit interfaces] user@switch# set ge-0/0/12 unit 0 family ethernet-switching interface-mode access user@switch# set vlans remote-analyzer interface ge-0/0/12
대상 스위치에서 다음을 수행합니다.
remote-analyzerVLAN에 대해 VLAN ID를 구성합니다.[edit vlans] user@switch# set remote-analyzer vlan-id 999
액세스 모드를 위해 ge-0/0/13 인터페이스를 구성하고, 이를
remote-analyzerVLAN과 연결하며, 수신 트래픽 전용으로 인터페이스를 설정합니다.[edit interfaces] user@switch# set ge-0/0/13 unit 0 family ethernet-switching interface-mode access user@switch# set vlans remote-analyzer interface ge-0/0/13 ingress
액세스 모드를 위해 원격 모니터링 스테이션에 연결된 인터페이스를 구성합니다.
[edit interfaces] user@switch# set ge-0/0/14 unit 0 family ethernet-switching interface-mode access
remote-analyzer분석기를 구성합니다.[edit forwarding-options] user@switch# set analyzer employee-monitor input ingress vlan remote-analyzer user@switch# set analyzer employee-monitor output interface ge-0/0/14.0
결과
소스 스위치에서 구성 결과를 확인합니다.
[edit]
user@switch> show
forwarding-options {
analyzer employee-monitor {
input {
ingress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
egress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
}
output {
vlan {
remote-analyzer;
}
}
}
}
vlans {
remote-analyzer {
vlan-id 999;
}
}
interfaces {
ge-0/0/10 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
member 999;
}
}
}
}
}
전송 스위치에서 구성 결과를 확인합니다.
[edit]
user@switch> show
vlans {
remote-analyzer {
vlan-id 999;
interface {
ge-0/0/11.0 {
}
ge-0/0/12.0 {
}
}
}
}
interfaces {
ge-0/0/11 {
unit 0 {
family ethernet-switching {
interface-mode access;
}
}
}
ge-0/0/12 {
unit 0 {
family ethernet-switching {
interface-mode access;
}
}
}
}
대상 스위치에서 구성 결과를 확인합니다.
[edit]
user@switch> show
vlans {
remote-analyzer {
vlan-id 999;
interface {
ge-0/0/13.0 {
ingress;
}
}
}
}
interfaces {
ge-0/0/13 {
unit 0 {
family ethernet-switching {
interface-mode access;
}
}
}
ge-0/0/14 {
unit 0 {
family ethernet-switching {
interface-mode access;
}
}
}
}
forwarding-options {
analyzer employee-monitor {
input {
ingress {
vlan remote-analyzer;
}
}
output {
interface {
ge-0/0/14.0;
}
}
}
}
검증
구성이 제대로 작동하는지 확인하려면 다음의 작업을 수행하십시오:
분석기가 올바르게 생성되었는지 확인하기
목적
스위치에서 employee-monitor라는 이름의 분석기가 적절한 입력 인터페이스 및 적절한 출력 인터페이스로 생성되었는지 확인합니다.
작업
show forwarding-options analyzer 명령을 사용하여 분석기가 예상대로 구성되었는지 확인할 수 있습니다.
소스 스위치에서 모든 직원 트래픽을 모니터링하면서 분석기가 예상대로 구성되었는지 확인하려면 소스 스위치에서 show forwarding-options analyzer 명령을 실행하십시오. 이 구성 예제에서는 다음과 같은 출력이 표시됩니다.
user@switch> show forwarding-options analyzer Analyzer name : employee-monitor Mirror rate : 1 Maximum packet length : 0 State : up Ingress monitored interfaces : ge-0/0/0.0 Ingress monitored interfaces : ge-0/0/1.0 Egress monitored interfaces : ge-0/0/0.0 Egress monitored interfaces : ge-0/0/1.0 Output vlan : default-switch/remote-analyzer
의미
이 출력은 employee-monitor 분석기의 미러링 비율이 1(모든 패킷 미러링, 기본)이고 구성 상태가 up임을 보여주며, 이는 적절한 상태임을 나타냅니다. 분석기가 프로그래밍되어 있고 ge-0/0/0 및 ge-0/0/1로 들어오는 트래픽을 미러링하고 미러링된 트래픽을 remote-analyzer라는 분석기로 보냅니다. 출력 인터페이스의 상태가 down이거나 출력 인터페이스가 구성되지 않은 경우 상태 값은 낮아지고 분석기는 트래픽을 모니터링할 수 없습니다.
예: EX4300 스위치에서 직원 리소스 사용을 로컬 모니터링하기 위한 미러링 구성하기
이 예에서는 Enhanced Layer 2 Software(ELS) 구성 스타일을 지원하는 EX 시리즈 스위치용 Junos OS를 사용합니다. 스위치에서 실행되는 소프트웨어가 ELS를 지원하지 않는 경우 다음 예를 참조하십시오. 예: EX 시리즈 스위치에서 직원 리소스 사용을 로컬 모니터링하기 위한 포트 미러링 구성하기. ELS에 대한 자세한 내용은 Enhanced Layer 2 Software 시작하기를 참조하십시오.
EX4300 스위치에서는 미러링을 구성하여 로컬 모니터링을 위해 로컬 인터페이스로 또는 원격 모니터링을 위해 VLAN으로 패킷 사본을 전송할 수 있습니다. 미러링을 사용하여 복사할 수 있는 패킷은 다음과 같습니다.
포트에 들어가거나 나가는 패킷
VLAN에 들어가는 패킷
미러링된 트래픽을 분석기 VLAN으로 전송하는 경우, 로컬 대상 인터페이스 또는 원격 모니터링 스테이션에 연결된 시스템에 설치된 프로토콜 분석기를 사용하여 미러링된 트래픽을 분석할 수 있습니다.
이 예시는 EX4300 스위치에서 로컬 미러링을 구성하는 방법에 대해 설명합니다. 이 예시는 직원 컴퓨터에 연결된 인터페이스에 들어오는 트래픽을 동일한 스위치의 분석기 출력 인터페이스로 미러링하도록 스위치를 구성하는 방법에 대해 설명합니다.
요구 사항
이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.
EX4300 스위치 1개
EX 시리즈 스위치용 Junos OS 릴리스 13.2X50-D10 또는 이후 버전
개요 및 토폴로지
이 주제에는 스위치의 포트로 들어오는 트래픽을 동일한 스위치의 대상 인터페이스로 미러링하는 방법(로컬 미러링)에 대해 설명하는 두 가지 예시가 포함되어 있습니다. 첫 번째 예에서는 직원 컴퓨터에 연결된 포트로 들어오는 모든 트래픽을 미러링하는 방법을 보여줍니다. 두 번째 예시에서는 동일한 시나리오를 보여주지만, 웹으로 향하는 직원 트래픽만 미러링하는 필터가 포함됩니다.
인터페이스 ge-0/0/0 및 ge-0/0/1은 직원 컴퓨터의 연결을 제공합니다. 인터페이스 ge0/0/10은 미러링된 트래픽 분석에 대해 예약됩니다. 프로토콜 분석기 애플리케이션을 실행하는 PC를 분석기 출력 인터페이스에 연결하여 미러링된 트래픽을 분석할 수 있습니다.
하나의 인터페이스에 여러 개의 포트가 미러링되면 버퍼 오버플로를 일으키고 패킷 손실을 유발할 수 있습니다.
두 가지 예시 모두 그림 5에 표시된 네트워크 토폴로지를 사용합니다.
로컬 분석을 위한 모든 직원 트래픽 미러링
로컬 분석을 위해 모든 직원 트래픽에 미러링을 구성하려면 다음 작업을 수행하십시오.
절차
CLI 빠른 구성
직원 컴퓨터에 연결된 두 개의 포트에 수신 트래픽을 위한 로컬 미러링을 신속하게 구성하려면 다음 명령을 복사하여 스위치 터미널 창에 붙여넣습니다.
[edit] set interfaces ge-0/0/0 unit 0 family ethernet-switching set interfaces ge-0/0/1 unit 0 family inet address 192.0.2.1/24 set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members analyzer_vlan set vlans analyzer-vlan vlan-id 1000 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor output interface ge-0/0/10.0
단계별 절차
employee-monitor라고 불리는 분석기를 구성하고 입력(소스) 인터페이스 및 분석기 출력 인터페이스를 지정하려면 다음 절차를 따르십시오.
직원 컴퓨터에 연결된 각 인터페이스를 분석기
employee-monitor에 대한 입력 인터페이스로 구성합니다.[edit forwarding-options] user@switch# set analyzer employee-monitor input ingress interface ge–0/0/0.0 user@switch# set analyzer employee-monitor input ingress interface ge-0/0/1.0
분석기의 출력 인터페이스를 VLAN의 일부로 구성합니다.
[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members analyzer_vlan
[edit vlans] user@switch# set analyzer-vlan vlan-id 1000
분석기
employee-monitor에 대한 출력 분석기 인터페이스를 구성합니다. 이것은 미러링된 패킷의 대상 인터페이스가 됩니다.[edit forwarding-options] user@switch# set analyzer employee-monitor output interface ge-0/0/10.0
결과
구성 결과를 확인합니다:
[edit]
user@switch# show
forwarding-options {
analyzer employee-monitor {
input {
ingress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;}
}
output {
interface {
ge-0/0/10.0;
}
}
}
}
로컬 분석을 위해 직원 컴퓨터에서 웹으로 가는 트래픽 미러링
직원 컴퓨터에서 웹으로 가는 트래픽의 미러링을 구성하려면 다음 작업을 수행하십시오.
절차
CLI 빠른 구성
직원 컴퓨터에 연결된 두 포트의 트래픽에 대한 로컬 미러링을 신속하게 구성하고 외부 웹에 대한 트래픽만 미러링되도록 필터링하려면 다음 명령을 복사하여 스위치 터미널 창에 붙여 넣습니다.
[edit] set forwarding-options port-mirroring instance employee-web-monitor output interface ge-0/0/10.0 set firewall family ethernet-switching filter watch-employee term employee-to-corp from destination-address 192.0.2.16/24 set firewall family ethernet-switching filter watch-employee term employee-to-corp from source-address 192.0.2.16/24 set firewall family ethernet-switching filter watch-employee term employee-to-corp then accept set firewall family ethernet-switching filter watch-employee term employee-to-web from destination-port 80 set firewall family ethernet-switching filter watch-employee term employee-to-web then port-mirroring-instance employee-web-monitor set interfaces ge-0/0/0 unit 0 family ethernet-switching filter input watch-employee set interfaces ge-0/0/1 unit 0 family ethernet-switching filter input watch-employee
단계별 절차
직원 컴퓨터에 연결된 두 포트에서, 직원 컴퓨터에서 웹으로 가는 트래픽의 로컬 미러링을 구성하려면 다음 작업을 수행하십시오.
로컬 분석기 인터페이스를 구성합니다.
[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching
employee-web-monitor출력 인스턴스를 구성합니다(인스턴스에 대한 입력은 필터 동작에서 나옴).[edit forwarding-options port-mirroring] user@switch# set instance employee-web-monitor output interface ge-0/0/10.0
watch-employee라는 방화벽 필터를 구성하여 웹에 대한 직원 요청의 미러링된 사본을employee-web-monitor인스턴스로 전송합니다. 회사 서브넷(대상 또는 소스 주소 192.0.2.16/24)을 들어오고 나가는 모든 트래픽을 수락합니다. 인터넷(대상 포트 80)으로 향하는 모든 패킷의 미러링된 사본을employee-web-monitor인스턴스로 전송합니다.[edit firewall family ethernet-switching] user@switch# set filter watch-employee term employee-to-corp from destination-address 192.0.2.16/24 user@switch# set filter watch-employee term employee-to-corp from source-address 192.0.2.16/24 user@switch# set filter watch-employee term employee-to-corp then accept ser@switch# set filter watch-employee term employee-to-web from destination-port 80 user@switch# set filter watch-employee term employee-to-web then port-mirroring-instance employee-web-monitor
watch-employee필터를 적절한 포트에 적용합니다.[edit interfaces] user@switch# set ge-0/0/0 unit 0 family ethernet-switching filter input watch-employee user@switch# set ge-0/0/1 unit 0 family ethernet-switching filter input watch-employee
결과
구성 결과를 확인합니다:
[edit]
user@switch# show
forwarding-options {
port-mirroring {
instance {
employee-web-monitor {
family ethernet-switching {
output {
interface ge-0/0/10.0;
}
}
}
}
}
}
...
firewall family ethernet-switching {
filter watch-employee {
term employee-to-corp {
from {
destination-address 192.0.2.16/24;
source-address 192.0.2.16/24;
}
then accept {
}
term employee-to-web {
from {
destination-port 80;
}
then port-mirroring-instance employee-web-monitor;
}
}
}
...
interfaces {
ge-0/0/0 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
vlan members [employee-vlan, voice-vlan];
filter {
input watch-employee;
}
}
}
}
ge-0/0/1 {
family ethernet-switching {
filter {
input watch-employee;
}
}
}
}
검증
구성이 정확한지 확인하려면 다음 작업을 수행하십시오.
분석기가 올바르게 생성되었는지 확인하기
목적
분석기 employee-monitor 또는 employee-web-monitor이(가) 적절한 입력 인터페이스와 출력 인터페이스를 사용하여 스위치에서 생성되었는지 확인합니다.
작업
show forwarding-options analyzer 명령을 사용하여 분석기가 제대로 구성되었는지 확인할 수 있습니다.
user@switch> show forwarding-options analyzer Analyzer name : employee-monitor Mirror rate : 1 Maximum packet length : 0 State : up Ingress monitored interfaces : ge-0/0/0.0 Ingress monitored interfaces : ge-0/0/1.0 Output interface : ge-0/0/10.0
의미
이 출력은 분석기 employee-monitor의 비율이 1(모든 패킷 미러링, 기본 설정)이고, 미러링된 원본 패킷의 최대 크기(0은 전체 패킷을 나타냄)이며, 구성 상태(가동되면 분석기가 ge-0/0/0 및 ge-0/0/1 인스턴스로 들어오는 트래픽을 미러링하고, 미러링된 트래픽을 ge-0/0/10 인터페이스로 전송함을 나타냄)를 갖추고 있음을 보여줍니다. 출력 인터페이스의 상태가 꺼짐이거나 출력 인터페이스가 구성되지 않은 경우, 상태 값은 down이(가) 되고 분석기는 미러링을 위해 프로그래밍되지 않습니다.
포트 미러링 인스턴스가 제대로 구성되었는지 확인
목적
포트 미러링 인스턴스 employee-web-monitor이(가) 적절한 입력 인터페이스를 갖춘 스위치에서 제대로 구성되었는지 확인합니다.
작업
show forwarding-options port-mirroring 명령을 사용하여 포트 미러링 인스턴스가 제대로 구성되었는지 확인할 수 있습니다.
user@switch> show forwarding-options port-mirroring
Instance Name: employee-web-monitor
Instance Id: 3
Input parameters:
Rate : 1
Run-length : 0
Maximum-packet-length : 0
Output parameters:
Family State Destination Next-hop
ethernet-switching up ge-0/0/10.0
의미
이 출력은 employee-web-monitor 인스턴스의 비율이 1(모든 패킷 미러링, 기본)이고, 미러링된 원본 패킷의 최대 크기(0은 전체 패킷을 나타냄)이며, 구성 상태가 가동되고 포트 미러링이 프래그래밍되어 있고, 방화벽 필터 작업의 미러링된 트래픽이 인터페이스 ge-0/0/10.0으로 전송됨을 보여줍니다. 출력 인터페이스 상태가 다운되거나 인터페이스가 구성되지 않은 경우, 상태 값은 낮아지고 포트 미러링은 미러링을 위해 프로그래밍되지 않습니다.
예: EX4300 스위치에서 직원 리소스 사용을 원격 모니터링하기 위한 미러링 구성하기
이 예에서는 Enhanced Layer 2 Software(ELS) 구성 스타일을 지원하는 EX 시리즈 스위치용 Junos OS를 사용합니다. 스위치에서 실행되는 소프트웨어가 ELS를 지원하지 않는 경우, 예: EX4300 스위치에서 직원 리소스 사용을 원격 모니터링하기 위한 미러링 구성하기를 참조하십시오. ELS에 대한 자세한 내용은 ELS(Enhanced Layer 2 Software) 시작하기에서 확인하실 수 있습니다.
EX4300 스위치에서는 미러링을 구성하여 로컬 모니터링을 위해 로컬 인터페이스로 또는 원격 모니터링을 위해 VLAN으로 패킷 사본을 전송할 수 있습니다. 미러링을 사용하여 복사할 수 있는 패킷은 다음과 같습니다.
포트에 들어가거나 나가는 패킷
EX4300 스위치에서 VLAN에 들어가는 패킷
미러링된 트래픽을 분석기 VLAN으로 전송하는 경우에는 원격 모니터링 스테이션에서 실행되는 프로토콜 분석기 애플리케이션을 사용하여 이 미러링된 트래픽을 분석할 수 있습니다.
이 주제에는 스위치의 포트로 들어오는 트래픽을 원격 모니터링 스테이션에서 분석할 수 있도록 remote-analyzer VLAN으로 미러링하는 방법을 설명하는 두 개의 관련 예가 포함되어 있습니다. 첫 번째 예에서는 직원 컴퓨터에 연결된 포트로 들어오는 모든 트래픽을 미러링하는 방법을 보여줍니다. 두 번째 예에서는 똑같은 시나리오를 보여주지만 웹으로 가는 직원 트래픽만 미러링하는 필터를 포함합니다.
필요한 패킷만 미러링하여 성능에 미칠 수 있는 잠재적 영향을 줄입니다. 다음과 같이 하실 것을 권장합니다.
사용하지 않을 때는 구성된 미러링 세션을 비활성화합니다.
모든 인터페이스를 입력으로 지정하기보다는 개별 인터페이스를 분석기에 대한 입력으로 지정하십시오.
방화벽 필터를 사용하여 미러링된 트래픽의 양을 제한합니다.
이 예에서는 원격 미러링을 구성하는 방법을 설명합니다.
요구 사항
이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.
EX 시리즈 스위치용 Junos OS 릴리스 13.2X50-D10 또는 이후 버전
다른 EX4300 스위치에 연결된 EX4300 스위치
아래 다이어그램에는 EX4300 대상 스위치에 연결된 EX4300 버추얼 섀시가 나와 있습니다.
원격 미러링을 구성하기 전에 다음 조건이 갖추어졌는지 확인합니다.
미러링 개념을 이해하고 있습니다.
분석기가 입력 인터페이스로 사용할 인터페이스가 스위치에 구성되어 있습니다.
개요 및 토폴로지
이 주제에는 원격 모니터링 스테이션에서 분석을 수행할 수 있도록 remote-analyzer VLAN으로의 미러링을 구성하는 방법을 설명하는 두 개의 관련 예가 포함되어 있습니다. 첫 번째 예에서는 직원들 컴퓨터의 모든 트래픽을 미러링하도록 스위치를 구성하는 방법을 보여줍니다. 두 번째 예에서는 똑같은 시나리오를 보여주지만, 웹으로 가는 직원 트래픽만 미러링하는 필터가 설정에 포함됩니다.
그림 6에는 이러한 두 가지 예제 시나리오 모두에 대한 네트워크 토폴로지가 나와 있습니다.
토폴로지
이 예제에 대한 설명은 다음과 같습니다.
인터페이스 ge-0/0/0은 레이어 2 인터페이스이며, 인터페이스 ge-0/0/1은 레이어 3 인터페이스로서(두 인터페이스 모두 소스 스위치에 속함) 직원 컴퓨터를 연결해줍니다.
인터페이스 ge-0/0/10은 원본 스위치를 대상 스위치에 연결하는 레이어 2 인터페이스입니다.
인터페이스 ge-0/0/5는 대상 스위치를 원격 모니터링 스테이션에 연결하는 레이어 2 인터페이스입니다.
VLAN
remote-analyzer은(는) 토폴로지의 모든 스위치에 구성되어 미러링된 트래픽을 전달합니다.
원격 분석을 위해 모든 직원 트래픽 미러링
들어오고 나가는 모든 직원 트래픽에 대한 원격 트래픽 분석을 위해 분석기를 구성하려면 다음의 작업을 수행하십시오.
절차
CLI 빠른 구성
들어오고 나가는 직원 트래픽에 대한 원격 트래픽 분석을 위해 분석기를 빠르게 구성하려면 다음의 명령을 복사하여 스위치 터미널 창에 붙여 넣으십시오.
다음의 명령을 복사하여 원본 스위치 터미널 창에 붙여 넣습니다.
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor output vlan remote-analyzer
다음의 명령을 복사하여 대상 스위치 터미널 창에 붙여 넣습니다.
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 set interfaces ge-0/0/5 unit 0 family ethernet-switching interface-mode trunk set forwarding-options analyzer employee-monitor input ingress vlan remote-analyzer set forwarding-options analyzer employee-monitor output interface ge-0/0/5.0
단계별 절차
기본적인 원격 포트 미러링을 구성하려면 다음과 같이 하십시오.
소스 스위치에서 다음을 수행합니다.
remote-analyzerVLAN에 대해 VLAN ID를 구성합니다.[edit vlans] user@switch# set remote-analyzer vlan-id 999
트렁크 모드를 위해 대상 스위치에 연결된 네트워크 포트에서 인터페이스를 구성하고 이를
remote-analyzerVLAN과 연결합니다.[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999
employee-monitor분석기를 구성합니다.[edit forwarding-options] user@switch# set analyzer employee-monitor input ingress interface ge-0/0/0.0 user@switch# set analyzer employee-monitor input ingress interface ge-0/0/1.0 user@switch# set instance employee-monitor input egress interface ge-0/0/0.0 user@switch# set analyzer employee-monitor input egress interface ge-0/0/1.0 user@switch# set analyzer employee-monitor output vlan remote-analyzer
대상 스위치에서 다음을 수행합니다.
remote-analyzerVLAN에 대해 VLAN ID를 구성합니다.[edit vlans] user@switch# set remote-analyzer vlan-id 999
트렁크 모드를 위해 대상 스위치에서 인터페이스를 구성하고 이를
remote-analyzerVLAN과 연결합니다.[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999
트렁크 모드를 위해 대상 스위치에 연결된 인터페이스를 구성합니다.
[edit interfaces] user@switch# set ge-0/0/5 unit 0 family ethernet-switching interface-mode trunk
employee-monitor분석기를 구성합니다.[edit forwarding-options] user@switch# set analyzer employee-monitor input ingress vlan remote-analyzer user@switch# set analyzer employee-monitor output interface ge-0/0/5.0
결과
소스 스위치에서 구성 결과를 확인합니다.
[edit]
user@switch> show
forwarding-options {
analyzer employee-monitor {
input {
ingress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
egress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
}
output {
vlan {
remote-analyzer;
}
}
}
}
interfaces {
ge-0/0/10 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
vlan {
members 999;
}
}
}
}
}
vlans {
remote-analyzer {
vlan-id 999;
interface {
ge-0/0/10.0
}
}
}
}
대상 스위치에서 구성 결과를 확인합니다.
[edit]
user@switch> show
interfaces {
ge0/0/5 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
}
}
}
ge-0/0/10 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
vlan {
members 999;
}
}
}
}
}
vlans {
remote-analyzer {
vlan-id 999;
interface {
ge-0/0/10.0
}
}
}
}
forwarding-options {
analyzer employee-monitor {
input {
ingress {
vlan remote-analyzer;
}
}
output {
interface {
ge-0/0/5.0;
}
}
}
}
원격 분석을 위해 직원 컴퓨터에서 웹으로 가는 트래픽 미러링
직원 컴퓨터에서 웹으로 가는 트래픽의 원격 분석을 위해 포트 미러링을 구성하려면 다음의 작업을 수행하십시오.
절차
CLI 빠른 구성
외부 웹으로 가는 직원 트래픽을 미러링하기 위해 포트 미러링을 빠르게 구성하려면 다음의 명령을 복사하여 스위치 터미널 창에 붙여 넣으십시오.
다음의 명령을 복사하여 원본 스위치 터미널 창에 붙여 넣습니다.
[edit] user@switch# set forwarding-options port-mirroring instance employee-web-monitor output vlan 999 user@switch# set vlans remote-analyzer vlan-id 999 user@switch# set interfaces ge-0/0/10 unit 0 family ethernet-switching port mode trunk user@switch# set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 user@switch# set firewall family ethernet-switching filter watch-employee term employee-to-corp from destination-address 192.0.2.16/24 user@switch# set firewall family ethernet-switching filter watch-employee term employee-to-corp from source-address 192.0.2.16/24 user@switch# set firewall family ethernet-switching filter watch-employee term employee-to-corp then accept user@switch# set firewall family ethernet-switching filter watch-employee term employee-to-web from destination-port 80 user@switch# set firewall family ethernet-switching filter watch-employee term employee-to-web then port-mirror-instance employee-web-monitor user@switch# set interfaces ge-0/0/0 unit 0 family ethernet-switching filter input watch-employee user@switch# set interfaces ge-0/0/1 unit 0 family ethernet-switching filter input watch-employee
다음의 명령을 복사하여 대상 스위치 터미널 창에 붙여 넣습니다.
[edit] user@switch# set vlans remote-analyzer vlan-id 999 user@switch# set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk user@switch# set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 user@switch# set interfaces ge-0/0/5 unit 0 family ethernet-switching interface-mode trunk user@switch# set forwarding-options analyzer employee-web-monitor input ingress vlan remote-analyzer user@switch# set forwarding-options analyzer employee-web-monitor output interface ge-0/0/5.0
단계별 절차
원격 모니터링 스테이션에서 사용하기 위해 직원들 컴퓨터에 연결된 두 개 포트의 모든 트래픽을 remote-analyzer VLAN으로 미러링하는 포트 미러링을 구성하려면 다음과 같이 하십시오.
소스 스위치에서 다음을 수행합니다.
employee-web-monitor포트 미러링 인스턴스를 구성합니다.[edit ] user@switch# set interfaces ge-0/0/10 unit 0 family ethernet-switching port mode trunk user@switch# set forwarding-options port-mirroring instance employee-web-monitor output vlan 999
remote-analyzerVLAN에 대해 VLAN ID를 구성합니다.[edit vlans] user@switch# set remote-analyzer vlan-id 999
remote-analyzerVLAN과 연결할 인터페이스를 구성합니다.[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999
watch-employee라는 방화벽 필터를 구성합니다.[edit firewall family ethernet-switching] user@switch# set filter watch-employee term employee-to-corp from destination-address 192.0.2.16/24 user@switch# set filter watch-employee term employee-to-corp from source-address 192.0.2.16/24 user@switch# set filter watch-employee term employee-to-corp then accept user@switch# set filter watch-employee term employee-to-web from destination-port 80 user@switch# set filter watch-employee term employee-to-web then port-mirror-instance employee-web-monitor
직원 인터페이스에 방화벽 필터를 적용합니다.
[edit interfaces] user@switch# set ge-0/0/0 unit 0 family ethernet-switching filter input watch-employee user@switch# set ge-0/0/1 unit 0 family ethernet-switching filter input watch-employee
대상 스위치에서 다음을 수행합니다.
remote-analyzerVLAN에 대해 VLAN ID를 구성합니다.[edit vlans] user@switch# set remote-analyzer vlan-id 999
트렁크 모드를 위해 대상 스위치에서 인터페이스를 구성하고 이를
remote-analyzerVLAN과 연결합니다.[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999
트렁크 모드를 위해 대상 스위치에 연결된 인터페이스를 구성합니다.
[edit interfaces] user@switch# set ge-0/0/5 unit 0 family ethernet-switching interface-mode trunk
employee-monitor분석기를 구성합니다.[edit forwarding-options port-mirroring] user@switch# set instance employee-web-monitor input ingress vlan remote-analyzer user@switch# set instance employee-web-monitor output interface ge-0/0/5.0
결과
소스 스위치에서 구성 결과를 확인합니다.
[edit]
user@switch> show
interfaces {
ge-0/0/10 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
vlan {
members remote-analyzer;
}
}
}
}
ge-0/0/0 {
unit 0 {
family ethernet-switching {
filter {
input watch-employee;
}
}
}
}
ge-0/0/1 {
unit 0 {
family ethernet-switching {
filter {
input watch-employee;
}
}
}
}
}
firewall {
family ethernet-switching {
filter watch-employee {
term employee-to-corp {
from {
source-address {
192.0.2.16/24;
}
destination-address {
192.0.2.16/24;
}
}
then accept;
}
term employee-to-web {
from {
destination-port 80;
}
then port-mirror-instance employee-web-monitor;
}
}
}
}
forwarding-options {
analyzer employee-web-monitor {
output {
vlan {
999;
}
}
}
vlans {
remote-analyzer {
vlan-id 999;
}
}
대상 스위치에서 구성 결과를 확인합니다.
[edit]
user@switch> show
vlans {
remote-analyzer {
vlan-id 999;
}
}
interfaces {
ge-0/0/10 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
vlan {
members remote-analyzer;
}
}
}
}
ge-0/0/5 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
}
}
}
}
forwarding-options {
port-mirroring {
instance employee-web-monitor {
input {
ingress {
vlan remote-analyzer;
}
}
output {
interface {
ge-0/0/5.0;
}
}
}
}
검증
구성이 제대로 작동하는지 확인하려면 다음의 작업을 수행하십시오:
분석기가 올바르게 생성되었는지 확인하기
목적
스위치에서 employee-monitor 또는 employee-web-monitor 이름의 분석기가 적절한 입력 인터페이스 및 적절한 출력 인터페이스를 포함하며 생성되었는지 확인합니다.
작업
show forwarding-options analyzer 명령을 사용하여 분석기가 예상대로 구성되었는지 확인할 수 있습니다. 비활성화된 이전 분석기를 보려면 J-Web 인터페이스로 이동하십시오.
소스 스위치에서 모든 직원 트래픽을 모니터링하면서 분석기가 예상대로 구성되었는지 확인하려면 소스 스위치에서 show analyzer 명령을 실행하십시오. 이 구성 예에서는 다음과 같은 출력이 표시됩니다.
user@switch> show forwarding-options analyzer Analyzer name : employee-monitor Mirror rate : 1 Maximum packet length : 0 State : up Ingress monitored interfaces : ge-0/0/0.0 Ingress monitored interfaces : ge-0/0/1.0 Egress monitored interfaces : ge-0/0/0.0 Egress monitored interfaces : ge-0/0/1.0 Output VLAN : default-switch/remote-analyzer
의미
이 결과에서는 employee-monitor 인스턴스가 비율 1을 갖고 있고(모든 패킷을 미러링, 기본값), 미러링된 원본 패킷의 최대 크기를 갖고 있으며(0은 전체 패킷을 의미), 구성 상태가 켜짐인 것을(적절한 상태를 나타내며 분석기가 프로그래밍되어 ge-0/0/0 및 ge-0/0/1로 들어오는 트래픽을 미러링하여 이 미러링된 트래픽을 remote-analyzer라는 VLAN으로 전송하고 있음을) 보여줍니다. 출력 인터페이스의 상태가 꺼짐이거나 출력 인터페이스가 구성되지 않은 경우, 상태 값은 꺼짐이 되고 분석기는 미러링을 위해 프로그래밍되지 않습니다.
예: EX4300 스위치의 Transit 스위치를 통한 직원 리소스 사용 원격 모니터링을 위한 미러링 구성
이 예에서는 Enhanced Layer 2 Software(ELS) 구성 스타일을 지원하는 EX 시리즈 스위치용 Junos OS를 사용합니다.
EX4300 스위치에서는 미러링을 구성하여 로컬 모니터링을 위해 로컬 인터페이스로 또는 원격 모니터링을 위해 VLAN으로 패킷 사본을 전송할 수 있습니다. 미러링을 사용하여 복사할 수 있는 패킷은 다음과 같습니다.
포트에 들어가거나 나가는 패킷
EX4300 스위치에서 VLAN에 들어가는 패킷
미러링된 트래픽을 분석기 VLAN으로 전송하는 경우에는 원격 모니터링 스테이션에서 실행되는 프로토콜 분석기 애플리케이션을 사용하여 이 미러링된 트래픽을 분석할 수 있습니다.
이 항목에는 원격 모니터링 스테이션에서 분석을 수행할 수 있도록 스위치의 포트로 들어오는 트래픽을 수송 스위치를 통해 remote-analyzer VLAN으로 미러링 하는 방법에 대한 예제가 포함되어 있습니다.
필요한 패킷만 미러링하여 성능에 미칠 수 있는 잠재적 영향을 줄입니다. 다음과 같이 하실 것을 권장합니다.
사용하지 않을 때는 구성된 미러링 세션을 비활성화합니다.
모든 인터페이스를 입력으로 지정하기보다는 개별 인터페이스를 분석기에 대한 입력으로 지정하십시오.
방화벽 필터를 사용하여 미러링된 트래픽의 양을 제한합니다.
이 예제는 전송 스위치를 통해 원격 미러링을 구성하는 방법을 설명합니다.
요구 사항
이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.
EX4300 스위치가 세 번째 EX4300 스위치를 통해 다른 EX4300 스위치에 연결됨
EX 시리즈 스위치용 Junos OS 릴리스 13.2X50-D10 또는 이후 버전
원격 미러링을 구성하기 전에 다음 조건이 갖추어졌는지 확인합니다.
미러링 개념을 이해하고 있습니다.
분석기가 입력 인터페이스로 사용할 인터페이스가 스위치에 구성되어 있습니다.
개요 및 토폴로지
이 예제에서는 원격 모니터링 스테이션에서 분석을 수행할 수 있도록 수송 스위치를 통해 스위치의 포트로 들어오는 트래픽을 remote-analyzer VLAN으로 미러링 하는 방법을 설명합니다. 이 예제에서는 직원 컴퓨터에서 원격 분석기로의 모든 트래픽을 미러링하도록 스위치를 구성하는 방법을 보여줍니다.
이 구성에서는 분석기 VLAN에서 원격 모니터링 스테이션이 연결된 송신 인터페이스로 들어오는 트래픽을 미러링하기 위해 대상 스위치에 분석기 세션이 필요합니다. remote-analyzer VLAN에 대한 전송 스위치에서 MAC 학습을 비활성화해야 전송 스위치에서 remote-analyzer VLAN의 모든 멤버 인터페이스에 대한 MAC 학습이 비활성화됩니다.
그림 7은(는) 이 예제의 네트워크 토폴로지를 보여줍니다.
토폴로지
이 예제에 대한 설명은 다음과 같습니다.
인터페이스 ge-0/0/0은 레이어 2 인터페이스이며, 인터페이스 ge-0/0/1은 레이어 3 인터페이스로서(두 인터페이스 모두 소스 스위치에 속함) 직원 컴퓨터를 연결해줍니다.
인터페이스 ge-0/0/10은 전송 스위치에 연결되는 레이어 2 인터페이스입니다.
인터페이스 ge-0/0/11은 전송 스위치의 레이어 2 인터페이스입니다.
인터페이스 ge-0/0/12는 전송 스위치의 레이어 2 인터페이스이며 대상 스위치에 연결됩니다.
인터페이스 ge-0/0/13은 목적지 스위치의 레이어 2 인터페이스입니다.
인터페이스 ge-0/0/14는 대상 스위치의 레이어 2 인터페이스이며 원격 모니터링 스테이션에 연결됩니다.
VLAN
remote-analyzer은(는) 토폴로지의 모든 스위치에 구성되어 미러링된 트래픽을 전달합니다.
전송 스위치를 통한 원격 분석을 위해 모든 직원 트래픽 미러링
들어오고 나가는 모든 직원 트래픽에 대해 전송 스위치를 사용하여 원격 트래픽 분석을 위한 미러링을 구성하려면 다음 작업을 수행합니다.
절차
CLI 빠른 구성
전송 스위치를 통해 원격 트래픽 분석을 위한 미러링을 빠르게 구성하려면 들어오고 나가는 직원 트래픽에 대해 다음 명령을 복사하여 스위치 터미널 창에 붙여 넣습니다.
다음의 명령을 복사하여 소스 스위치(모니터링된 스위치) 터미널 창에 붙여 넣습니다.
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor output vlan remote-analyzer
다음의 명령을 복사하여 전송 스위치 창에 붙여 넣습니다.
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/11 unit 0 family ethernet-switching interface-mode trunk set vlans remote-analyzer interface ge-0/0/11 set interfaces ge-0/0/12 unit 0 family ethernet-switching interface-mode trunk set vlans remote-analyzer interface ge-0/0/12 set vlans remote-analyzer no-mac-learning
다음의 명령을 복사하여 대상 스위치 창에 붙여 넣습니다.
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/13 unit 0 family ethernet-switching interface-mode trunk set vlans remote-analyzer interface ge-0/0/13 ingress set interfaces ge-0/0/14 unit 0 family ethernet-switching interface-mode trunk set forwarding-options analyzer employee-monitor input ingress vlan remote-analyzer set forwarding-options analyzer employee-monitor output interface ge-0/0/14.0
단계별 절차
전송 스위치 통해 원격 미러링을 구성하려면 다음을 수행합니다.
소스 스위치에서 다음을 수행합니다.
remote-analyzerVLAN에 대해 VLAN ID를 구성합니다.[edit vlans] user@switch# set remote-analyzer vlan-id 999
전송 스위치에 연결된 네트워크 포트의 인터페이스를 트렁크 모드로 구성하고 이를
remote-analyzerVLAN과 연결합니다.[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999
employee-monitor분석기를 구성합니다.[edit forwarding-options] user@switch# set analyzer employee-monitor input ingress interface ge-0/0/0.0 user@switch# set analyzer employee-monitor input ingress interface ge-0/0/1.0 user@switch# set analyzer employee-monitor input egress interface ge-0/0/0.0 user@switch# set analyzer employee-monitor input egress interface ge-0/0/1.0 user@switch# set analyzer employee-monitor output vlan remote-analyzer
전송 스위치에서 다음을 수행합니다.
remote-analyzerVLAN에 대해 VLAN ID를 구성합니다.[edit vlans] user@switch# set remote-analyzer vlan-id 999
트렁크 모드용으로 ge-0/0/11 인터페이스를 구성하여, 이를
remote-analyzerVLAN과 연결합니다.[edit interfaces] user@switch# set ge-0/0/11 unit 0 family ethernet-switching interface-mode trunk
ge-0/0/12인터페이스를 트렁크 모드로 구성하고remote-analyzerVLAN과 연결하여 송신 트래픽 전용 인터페이스를 구성합니다.[edit interfaces] user@switch# set ge-0/0/12 unit 0 family ethernet-switching interface-mode trunk user@switch# set vlans remote-analyzer interface ge-0/0/12
remote-analyzerVLAN에 대한no-mac-learning옵션을 구성하여remote-analyzerVLAN의 멤버인 모든 인터페이스에서 MAC 학습을 비활성화합니다.[edit interfaces] user@switch# set vlans remote-analyzer no-mac-learning
대상 스위치에서 다음을 수행합니다.
remote-analyzerVLAN에 대해 VLAN ID를 구성합니다.[edit vlans] user@switch# set remote-analyzer vlan-id 999
트렁크 모드용 ge-0/0/13 인터페이스를 구성하고, 이를
remote-analyzerVLAN과 연결하고 수신 트래픽 전용 인터페이스를 설정합니다.[edit interfaces] user@switch# set ge-0/0/13 unit 0 family ethernet-switching interface-mode trunk user@switch# set vlans remote-analyzer interface ge-0/0/13 ingress
트렁크 모드를 위한 원격 모니터링 스테이션에 연결된 인터페이스를 구성합니다.
[edit interfaces] user@switch# set ge-0/0/14 unit 0 family ethernet-switching interface-mode trunk
employee-monitor분석기를 구성합니다.[edit forwarding-options] user@switch# set analyzer employee-monitor input ingress vlan remote-analyzer user@switch# set analyzer employee-monitor output interface ge-0/0/14.0
결과
소스 스위치에서 구성 결과를 확인합니다.
[edit]
user@switch> show
forwarding-options {
analyzer employee-monitor {
input {
ingress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
egress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
}
output {
vlan {
remote-analyzer;
}
}
}
}
vlans {
remote-analyzer {
vlan-id 999;
}
}
interfaces {
ge-0/0/10 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
vlan {
member 999;
}
}
}
}
}
전송 스위치에서 구성 결과를 확인합니다.
[edit]
user@switch> show
vlans {
remote-analyzer {
vlan-id 999;
interface {
ge-0/0/11.0 {
}
ge-0/0/12.0 {
}
}
no-mac-learning;
}
}
interfaces {
ge-0/0/11 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
}
}
}
ge-0/0/12 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
}
}
}
}
대상 스위치에서 구성 결과를 확인합니다.
[edit]
user@switch> show
vlans {
remote-analyzer {
vlan-id 999;
interface {
ge-0/0/13.0 {
ingress;
}
}
}
}
interfaces {
ge-0/0/13 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
}
}
}
ge-0/0/14 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
}
}
}
}
forwarding-options {
analyzer employee-monitor {
input {
ingress {
vlan remote-analyzer;
}
}
output {
interface {
ge-0/0/14.0;
}
}
}
}
검증
구성이 제대로 작동하는지 확인하려면 다음의 작업을 수행하십시오:
분석기가 올바르게 생성되었는지 확인하기
목적
스위치에서 employee-monitor라는 이름의 분석기가 적절한 입력 인터페이스 및 적절한 출력 인터페이스로 생성되었는지 확인합니다.
작업
show analyzer 명령을 사용하여 분석기가 예상대로 구성되었는지 확인할 수 있습니다. 비활성화된 이전 분석기를 보려면 J-Web 인터페이스로 이동하십시오.
소스 스위치에서 모든 직원 트래픽을 모니터링하면서 분석기가 예상대로 구성되었는지 확인하려면 소스 스위치에서 show analyzer 명령을 실행하십시오. 이 구성 예제에서는 다음과 같은 출력이 표시됩니다.
user@switch> show forwarding-options analyzer Analyzer name : employee-monitor Mirror rate : 1 Maximum packet length : 0 State : up Ingress monitored interfaces : ge-0/0/0.0 Ingress monitored interfaces : ge-0/0/1.0 Egress monitored interfaces : ge-0/0/0.0 Egress monitored interfaces : ge-0/0/1.0 Output vlan : default-switch/remote-analyzer
의미
이 출력은 employee-monitor 분석기의 비율은 1(모든 패킷 미러링, 기본값)이며, ge-0/0/0 및 ge-0/0/1로 들어오는 트래픽을 미러링 하고, 미러링 된 트래픽을 분석기 remote-analyzer로 전송하는 것을 보여줍니다.