이 페이지의 내용
포트 미러링 및 분석기 구성
포트 미러링 분석기 이해하기
포트 미러링은 허브와 달리 대상 디바이스의 모든 포트에 패킷을 브로드캐스트하지 않는 라우터와 스위치의 트래픽 분석에 사용할 수 있습니다. 포트 미러링은 모든 패킷 또는 정책 기반 샘플 패킷의 사본을 데이터를 모니터링하고 분석할 수 있는 로컬 또는 원격 분석기로 보냅니다.
포트 미러링 분석기의 맥락에서 스 위칭 디바이스라는 용어를 사용합니다. 이 용어는 디바이스(라우터 포함)가 스위칭 기능을 수행하고 있음을 나타냅니다.
패킷 수준에서 분석기를 사용하면 다음과 같은 지원을 받을 수 있습니다.
-
네트워크 트래픽 모니터링
-
네트워크 사용 정책 시행
-
파일 공유 정책 시행
-
문제 원인 식별
-
대역폭 사용량이 많거나 비정상적인 스테이션 또는 애플리케이션 식별
포트 미러링을 구성하여 다음을 미러링할 수 있습니다.
-
브리지 패킷(레이어 2 패킷)
-
라우팅 패킷(레이어 3 패킷)
미러링된 패킷은 로컬 모니터링을 위한 로컬 인터페이스 또는 원격 모니터링을 위한 VLAN이나 브리지 도메인에 복사할 수 있습니다.
다음 패킷을 복사할 수 있습니다.
-
포트에 들어오거나 나가는 패킷—최대 256개의 포트에 대해 임의의 조합으로 포트에 들어오거나 나가는 패킷을 미러링할 수 있습니다. 예를 들어, 일부 포트로 들어오는 패킷의 사본과 다른 포트에서 나가는 패킷의 사본을 동일한 로컬 분석기 포트 또는 분석기 VLAN으로 보낼 수 있습니다.
-
VLAN 또는 브리지 도메인에 들어오거나 나가는 패킷 - VLAN 또는 브리지 도메인에 들어오거나 나가는 패킷을 로컬 분석기 포트, 분석기 VLAN, 또는 브리지 도메인으로 미러링할 수 있습니다. VLAN 범위 및 프라이빗 VLAN(PVLAN)을 포함하여, 여러 VLAN(최대 256개) 또는 브리지 도메인을 분석기에 대한 수신 입력으로 구성할 수 있습니다.
-
정책 기반 샘플 패킷 - 포트, VLAN 또는 브리지 도메인으로 들어가는 패킷의 정책 기반 샘플을 미러링할 수 있습니다. 미러링할 패킷을 선택하는 정책으로 방화벽 필터를 구성합니다. 샘플을 포트 미러링 인스턴스, 분석기 VLAN 또는 브리지 도메인으로 보낼 수 있습니다.
분석기 개요
동일한 분석기 구성에서 입력 트래픽과 출력 트래픽 모두를 정의하도록 분석기를 구성할 수 있습니다. 분석할 입력 트래픽은 인터페이스 또는 VLAN을 들어오거나 나가는 트래픽일 수 있습니다. 분석기 구성을 사용하면 이 트래픽을 출력 인터페이스, 인스턴스, 다음 홉 그룹, VLAN 또는 브리지 도메인으로 보낼 수 있습니다. 계층 수준에서 분석기를 구성할 수 있습니다.[edit forwarding-options analyzer]
통계 분석기 개요
미러링 속도, 트래픽에 대한 최대 패킷 길이와 같은 미러링 속성 집합을 정의할 수 있으며, 이를 라우터나 스위치의 물리적 포트에 명시적으로 바인딩할 수 있습니다. 이 미러링 속성 집합은 통계 분석기(기본이 아닌 분석기라고도 함)를 구성합니다. 이 수준에서 특정 FPC와 관련된 물리적 포트에 명명된 인스턴스를 바인딩할 수 있습니다.
기본 분석기 개요
미러링 속성(예: 미러링 속도 또는 최대 패킷 길이)을 구성하지 않고 분석기를 구성할 수 있습니다. 기본적으로 미러링 속도는 1로 설정되고 최대 패킷 길이는 패킷의 전체 길이로 설정됩니다. 이러한 속성은 전역 수준에 적용되며 특정 FPC에 바인딩할 필요가 없습니다.
여러 통계 분석기에 바인딩된 포트 그룹에서 포트 미러링
스위칭 디바이스의 동일한 포트 그룹에 최대 2개의 통계 분석기를 적용할 수 있습니다. 두 개의 서로 다른 통계 분석기 인스턴스를 동일한 FPC 또는 패킷 포워딩 엔진에 적용하여, 두 개의 개별 레이어 2 미러링 사양을 단일 포트 그룹에 바인딩할 수 있습니다. FPC에 바인딩된 미러링 속성은 스위칭 디바이스의 전역 수준에서 바인딩된 모든 분석기(기본 분석기) 속성을 재정의합니다. 기본 분석기 속성은 동일한 포트 그룹에서 두 번째 분석기 인스턴스를 바인딩하여 재정의됩니다.
포트 미러링 분석기 용어
표 1 에는 일부 포트 미러링 분석기 용어와 해당 설명이 나와 있습니다.
| 용어 | 설명 |
|---|---|
분석기 |
미러링 구성에서 분석기에는 다음이 포함됩니다.
|
분석기 출력 인터페이스 (모니터 포트라고도 함) |
미러링된 트래픽이 전송되고 프로토콜 분석기가 연결된 인터페이스입니다. 분석기에 대한 출력으로 사용되는 인터페이스는 계층 수준에서 구성해야 합니다. 분석기 출력 인터페이스에는 다음과 같은 제한 사항이 있습니다.
|
분석기 VLAN 또는 브리지 도메인 (모니터 VLAN 또는 브리지 도메인이라고도 함) |
프로토콜 분석기에서 사용하도록 미러링된 트래픽이 전송되는 VLAN 또는 브리지 도메인. 모니터 VLAN 또는 브리지 도메인의 멤버 인터페이스는 네트워크의 스위칭 디바이스에 분산되어 있습니다. |
브리지 도메인 기반 분석기 |
입력, 출력 또는 두 가지 모두에 대해 브리지 도메인을 사용하도록 구성된 분석기 세션. |
기본 분석기 |
기본 미러링 매개 변수가 있는 분석기. 기본적으로 미러링 속도는 1이고 최대 패킷 길이는 전체 패킷의 길이입니다. |
입력 인터페이스 (미러링 포트 또는 모니터링 인터페이스라고도 함) |
이 인터페이스가 들어오거나 나가는 트래픽이 미러링되는 스위칭 디바이스의 인터페이스. |
LAG 기반 분석기 |
분석기 구성에서 입력(수신) 인터페이스로 지정된 LAG(Link Aggregation Group)가 있는 분석기. |
로컬 미러링 |
패킷이 로컬 분석기 포트로 미러링되는 분석기 구성. |
모니터링 스테이션 |
프로토콜 분석기를 실행하는 컴퓨터. |
next-hop 그룹 기반 분석기 |
next-hop 그룹을 분석기에 대한 출력으로 사용하는 분석기 구성. |
포트 기반 분석기 |
입력 및 출력을 위한 인터페이스를 정의하는 분석기 구성입니다. |
프로토콜 분석기 애플리케이션 |
네트워크 세그먼트를 통해 전송되는 패킷을 검사하는 데 사용되는 애플리케이션입니다. 일반적으로 네트워크 분석기, 패킷 스니퍼 또는 프로브라고도 합니다. |
원격 미러링 |
미러링된 트래픽이 로컬 분석기 포트로 복사되지 않고 미러링된 트래픽을 수신하기 위해 특별히 생성한 분석기 VLAN 또는 브리지 도메인으로 플러드된다는 점을 제외하고는 로컬 미러링과 동일한 방식으로 작동합니다. 미러링된 패킷에는 분석기 VLAN 또는 브리지 도메인의 추가 외부 태그가 있습니다. |
통계 분석기 (기본이 아닌 분석기라고도 함) |
스위치의 물리적 포트에 명시적으로 바인딩할 수 있는 미러링 속성 집합입니다. 이 분석기 속성 집합을 통계 분석기라고 합니다. |
VLAN 기반 분석기 |
VLAN을 사용하여 미러링된 트래픽을 분석기로 전달하는 분석기 구성입니다. |
포트 미러링 분석기에 대한 구성 지침
포트 미러링 분석기를 구성할 때. 최적의 이점을 얻으려면 다음 지침을 따르는 것이 좋습니다. 미러링을 사용하지 않을 때는 비활성화하는 것이 좋으며, 키워드 옵션을 사용하여 all 모든 인터페이스에서 미러링을 활성화하는 대신 특정 인터페이스를 분석기에 대한 입력으로 선택하는 것이 좋습니다. 필요한 패킷만 미러링하면 성능에 미칠 수 있는 모든 잠재적 영향을 줄일 수 있습니다.
또한 다음을 통해 미러링된 트래픽의 양을 제한할 수 있습니다.
-
통계 샘플링 사용
-
방화벽 필터 사용
-
통계 샘플을 선택하기 위한 비율 설정
로컬 미러링을 사용하면 여러 포트의 트래픽이 분석기 출력 인터페이스로 복제됩니다. 분석기에 대한 출력 인터페이스가 용량에 도달하면 패킷이 손실됩니다. 미러링되는 트래픽이 분석기 출력 인터페이스의 용량을 초과하는지 여부를 고려해야 합니다.
표 2 에는 분석기에 대한 추가 구성 지침이 요약되어 있습니다.
| 지침 |
값 또는 지원 정보 |
댓글 |
|---|---|---|
| 동시에 활성화할 수 있는 분석기 수입니다. |
64개의 기본 분석기 FPC-통계 분석기당 2개 |
통계 분석기는 해당 FPC에 속한 포트의 트래픽을 미러링하기 위해 FPC에 바인딩되어야 합니다.
참고:
기본 분석기 속성은 시스템의 모든 FPC에서 마지막 (또는 마지막에서 두 번째) 인스턴스에 암시적으로 바인딩됩니다. 따라서 FPC에서 두 번째 통계 분석기를 명시적으로 바인딩하면 기본 분석기 속성이 재정의됩니다. |
| 분석기에 대한 수신 입력으로 사용할 수 있는 인터페이스, VLAN 또는 브리지 도메인의 수입니다. |
256 |
– |
| 트래픽을 미러링할 수 없는 포트 유형입니다. |
|
|
| 분석기에 포함할 수 있는 프로토콜 계열. |
|
분석기는 브리지된 트래픽만 미러링합니다. 라우팅된 트래픽을 미러링하려면 as |
| 물리적 레이어 오류가 있는 패킷은 로컬 또는 원격 분석기로 전송되지 않습니다. |
적용 가능한 |
이러한 오류가 있는 패킷은 필터링되므로 분석기로 전송되지 않습니다. |
| 분석기는 회선 속도 트래픽을 지원하지 않습니다. |
적용 가능한 |
회선 속도 트래픽에 대한 미러링은 최선형 기준으로 수행됩니다. |
| LAG 인터페이스의 분석기 출력. |
지원 |
|
| 트렁크 모드로서의 분석기 출력 인터페이스 모드. |
지원 |
|
| 호스트 생성 제어 패킷의 송신 미러링. |
지원되지 않음 |
|
| 분석기의 스탠자에서 |
지원되지 않음 |
|
| 동일한 VLAN 또는 VLAN 자체의 구성원을 포함하는 분석기 입력 및 출력 스탠자는 피해야 합니다. |
적용 가능한 |
|
| 서로 다른 분석기 세션에서 VLAN 및 해당 구성원 인터페이스에 대한 지원 |
지원되지 않음 |
미러링이 구성된 경우, 분석기 중 하나가 활성화됩니다. |
| 어그리게이션 이더넷(ae) 인터페이스의 송신 미러링 및 다른 분석기에 대해 구성된 해당 하위 논리적 인터페이스. |
지원되지 않음 |
|
트래픽 분석을 위한 EX9200 스위치 미러링 구성(CLI 절차)
EX9200 스위치를 사용하면 미러링을 구성하여 로컬 모니터링을 위한 로컬 인터페이스 또는 원격 모니터링을 위한 VLAN으로 패킷 사본을 전송할 수 있습니다. 미러링을 사용하여 다음 패킷을 복사할 수 있습니다.
포트에 들어오거나 나가는 패킷
VLAN에 들어오거나 나가는 패킷
필요한 패킷만 미러링하여 성능에 미칠 수 있는 잠재적 영향을 줄입니다. 다음과 같이 하실 것을 권장합니다.
사용하지 않을 때 구성한 분석기를 비활성화합니다.
모든 인터페이스를 입력으로 지정하기보다는 개별 인터페이스를 분석기에 대한 입력으로 지정하십시오.
다음을 통해 미러링된 트래픽의 양을 제한합니다.
통계 샘플링 사용.
비율을 설정하여 통계 샘플 선택.
방화벽 필터 사용.
기존 분석기를 삭제하지 않고 추가 분석기를 만들고 싶다면 미러링을 위한 CLI(command-line-interface) 또는 J-웹 구성 페이지의 문을 사용하여 disable analyzer analyzer-name 기존 분석기를 비활성화하십시오.
분석기의 출력으로 사용되는 인터페이스는 에서 구성 ethernet-switching family되어야 하며 VLAN과 연결되어 있어야 합니다.
- 로컬 트래픽 분석을 위한 분석기 구성
- 원격 트래픽 분석을 위한 분석기 구성
- 로컬 트래픽 분석을 위한 통계 분석기 구성
- 원격 트래픽 분석을 위한 통계 분석기 구성
- 통계 분석기를 FPC 수준에서 그룹화된 포트로 연결
- 다음 홉 그룹을 사용하여 여러 대상에 대한 분석기 구성
- 레이어 2 미러링을 위한 다음 홉 그룹 정의
로컬 트래픽 분석을 위한 분석기 구성
스위치의 네트워크 트래픽 또는 VLAN 트래픽을 분석기를 사용하여 스위치의 인터페이스로 미러링하려면 다음을 수행합니다.
원격 트래픽 분석을 위한 분석기 구성
인터페이스 또는 스위치의 VLAN을 통과하는 트래픽을 원격 위치에서 분석을 위해 사용하는 VLAN으로 미러링하려면 다음을 수행하십시오.
로컬 트래픽 분석을 위한 통계 분석기 구성
스위치의 인터페이스 트래픽 또는 VLAN 트래픽을 통계 분석기를 사용하여 스위치의 인터페이스로 미러링하기 위해 다음을 수행합니다.
원격 트래픽 분석을 위한 통계 분석기 구성
인터페이스 또는 스위치의 VLAN을 통과하는 트래픽을 통계 분석기를 사용하여 원격 위치에서 분석을 위해 VLAN으로 미러링하기 위해 다음을 수행합니다.
통계 분석기를 FPC 수준에서 그룹화된 포트로 연결
통계 분석기를 스위치의 특정 FPC에 바인딩할 수 있습니다. 즉, 스위치의 FPC 수준에서 통계 분석기 인스턴스를 바인딩할 수 있습니다. 통계 분석기에 지정된 미러링 속성은 지정된 FPC의 모든 패킷 전달 엔진과 관련된 모든 물리적 포트에 적용됩니다.
레이어 2 분석기의 명명된 인스턴스를 FPC에 바인딩하는 방법:
스위치 섀시 속성 구성을 활성화합니다.
[edit] user@switch# edit chassis
FPC(및 설치된 PIC)의 구성을 활성화합니다.
[edit chassis] user@switch# edit fpc slot-number
통계 분석기 인스턴스를 FPC에 바인딩합니다.
[edit chassis fpc slot-number] user@switch# set port-mirror-instance stats_analyzer-1
(선택 사항) 레이어 2 미러링의 두 번째 통계 분석기 인스턴스를 동일한 FPC에 연결하려면 3단계를 반복하고 다른 통계 분석기 이름을 지정합니다.
[edit chassis fpc slot-number] user@switch# set port-mirror-instance stats_analyzer-2
바인딩의 최소 구성을 확인합니다.
[edit chassis fpc slot-number port-mirror-instance analyzer_name] user@switch# top [edit] user@switch# show chassis chassis { fpc slot-number { # Bind two statistical analyzers or port mirroring named instances at the FPC level. port-mirror-instance stats_analyzer-1; port-mirror-instance stats_analyzer-2; } }
두 번째 인스턴스를 바인딩할 때(stats_analyzer-2 이 예에서는 ) 이 세션의 미러링 속성이 구성된 경우 기본 분석기를 재정의합니다.
다음 홉 그룹을 사용하여 여러 대상에 대한 분석기 구성
다음 홉 그룹을 분석기 출력으로 구성하여 여러 대상으로 트래픽을 미러링할 수 있습니다. 여러 대상에 대한 패킷의 미러링은 다중 패킷 포트 미러링으로도 알려져 있습니다.
스위치의 인터페이스 트래픽 또는 VLAN 트래픽을 분석기를 사용하여 스위치의 인터페이스로 미러링하기 위해 다음을 수행합니다.
레이어 2 미러링을 위한 다음 홉 그룹 정의
구성 수준에서 [edit forwarding-options] 다음 홉 그룹 구성을 사용하면 다음 홉 그룹 이름, 다음 홉 그룹에서 사용할 주소 유형, 트래픽 미러링이 가능한 여러 대상을 형성하는 논리적 인터페이스를 정의할 수 있습니다. 기본적으로 다음 홉 그룹은 문을 사용하는 레이어 3 주소를 사용하여 지정됩니다[edit forwarding-options next-hop-group next-hop-group-name group-type inet]. 레이어 2 주소를 사용하여 다음 홉 그룹을 대신 지정하려면 문을 포함합니다.[edit forwarding-options next-hop-group next-hop-group-name group-type layer-2]
레이어 2 미러링을 위한 다음 홉 그룹을 정의하려면 다음을 수행합니다.
트래픽 분석을 위해 EX4300 스위치에 미러링 구성하기(CLI 절차)
이 작업에서는 ELS(Enhanced Layer 2 소프트웨어) 구성 스타일을 지원하는 EX 시리즈 스위치용 Junos OS를 사용합니다.
EX4300 스위치를 사용하면 미러링을 구성하여 로컬 모니터링을 위한 로컬 인터페이스 또는 원격 모니터링을 위한 VLAN으로 패킷 사본을 전송할 수 있습니다. 미러링을 사용하여 복사할 수 있는 패킷은 다음과 같습니다.
포트에 들어오거나 나가는 패킷
VLAN에 들어가는 패킷
필요한 패킷만 미러링하여 성능에 미칠 수 있는 잠재적 영향을 줄입니다. 다음과 같이 하실 것을 권장합니다.
사용하지 않을 때는 구성된 미러링 구성을 비활성화합니다.
모든 인터페이스를 입력으로 지정하기보다는 개별 인터페이스를 분석기에 대한 입력으로 지정하십시오.
방화벽 필터를 사용하여 미러링된 트래픽의 양을 제한합니다.
기존 분석기를 삭제하지 않고 추가 분석기를 만들고 싶다면 미러링을 위한 명령줄 인터페이스 또는 J-웹 구성 페이지의 문을 사용하여 disable analyzer analyzer-name 기존 분석기를 비활성화하십시오.
분석기의 출력으로 사용되는 인터페이스는 반드시 ethernet-switching 패밀리 아래에 구성되어야 합니다.
로컬 트래픽 분석을 위한 분석기 구성
스위치의 인터페이스 트래픽 또는 VLAN 트래픽을 분석기를 사용하여 스위치의 인터페이스로 미러링하기 위해 다음을 수행합니다.
원격 트래픽 분석을 위한 분석기 구성
인터페이스 또는 스위치의 VLAN을 통과하는 트래픽을 (분석기를 사용하여) 원격 위치에서 분석을 위해 VLAN으로 미러링하기 위해 다음을 수행합니다.
포트 미러링 구성
포트 미러링 인스턴스로 미러링 될 패킷을 필터링하려면 인스턴스를 생성한 다음 방화벽 필터에서 작업으로 사용합니다. 로컬 및 원격 미러링 구성 모두에서 방화벽 필터를 사용할 수 있습니다.
동일한 포트 미러링 인스턴스가 여러 필터 또는 용어로 사용되는 경우 패킷은 분석기 출력 포트 또는 분석기 VLAN에 한 번만 복사됩니다.
미러링된 트래픽을 필터링하려면 계층 수준에서 [edit forwarding-options] 포트 미러링 인스턴스를 생성한 다음 방화벽 필터를 생성합니다. 필터는 사용 가능한 일치 조건을 사용할 수 있으며 반드시 작업으로 가져야 port-mirror-instance instance-name 합니다. 방화벽 필터 구성의 이 작업은 포트 미러링 인스턴스에 대한 입력을 제공합니다.
방화벽 필터를 사용하여 포트 미러링 인스턴스를 구성하려면 다음을 수행합니다.
포트 미러링을 구성하여 트래픽 분석(CLI 절차)
이 구성 작업은 ELS(Enhanced Layer 2 소프트웨어) 구성 스타일을 지원하지 않는 EX 시리즈 스위치용 Junos OS를 사용합니다.
EX 시리즈 스위치를 사용하면 포트 미러링을 구성하여 로컬 모니터링을 위한 로컬 인터페이스 또는 원격 모니터링을 위한 VLAN으로 패킷 사본을 전송할 수 있습니다. 포트 미러링을 사용하여 다음과 같은 패킷을 복사할 수 있습니다.
포트에 들어오거나 나가는 패킷
EX2200, EX3200, EX3300, EX4200, EX4500 또는 EX6200 스위치에서 VLAN에 들어가는 패킷
EX8200 스위치의 VLAN에서 나가는 패킷
필요한 패킷만 미러링하여 성능에 미칠 수 있는 잠재적 영향을 줄입니다. 다음과 같이 하실 것을 권장합니다.
구성된 포트 미러링 분석기를 사용하지 않을 때는 비활성화합니다.
모든 인터페이스를 입력으로 지정하기보다는 개별 인터페이스를 분석기에 대한 입력으로 지정하십시오.
다음을 통해 미러링된 트래픽의 양을 제한합니다.
통계 샘플링 사용.
비율을 설정하여 통계 샘플 선택.
방화벽 필터 사용.
포트 미러링 구성을 시작하기 전에 분석기 출력 인터페이스에 대한 다음과 같은 제한 사항에 유의하십시오.
소스 포트도 될 수 없습니다.
스위칭에 사용할 수 없습니다.
포트의 일부가 구성을 미러링할 때 계층 2 프로토콜(예: RSTP)에 참여하지 않습니다.
분석기 출력 인터페이스로 구성되기 전에 보유한 VLAN 연관성을 유지하지 않습니다.
기존 분석기를 삭제하지 않고 추가 분석기를 만들고 싶다면 우선 포트 미러링을 위한 명령 또는 J-웹 구성 페이지를 사용하여 disable analyzer analyzer-name 기존 분석기를 비활성화하십시오.
분석기의 출력으로 사용되는 인터페이스는 family ethernet-switching로 구성해야 합니다.
로컬 트래픽 분석을 위한 포트 미러링 구성
스위치의 인터페이스 트래픽 또는 VLAN 트래픽을 스위치의 다른 인터페이스로 미러링하는 방법:
원격 트래픽 분석을 위한 포트 미러링 구성
인터페이스 또는 스위치의 VLAN을 통과하는 트래픽을 원격 위치에서 분석을 위해 VLAN으로 미러링하려면 다음을 수행합니다.
분석기로 유입되는 트래픽 필터링
분석기로 미러링되는 패킷을 필터링하려면 분석기를 생성한 다음 방화벽 필터에서 작업으로 사용합니다. 로컬 및 원격 포트 미러링 구성 모두에서 방화벽 필터를 사용할 수 있습니다.
동일한 분석기를 여러 필터 또는 용어로 사용하는 경우 패킷은 분석기 출력 포트 또는 분석기 VLAN에 한 번만 복사됩니다.
미러링된 트래픽을 필터링하려면 분석기를 생성한 다음 방화벽 필터를 생성해야 합니다. 필터는 사용 가능한 일치 조건을 사용할 수 있으며 의 작업을 analyzer수행해야 합니다. 방화벽 필터의 동작은 분석기에 입력을 제공합니다.
필터를 사용하여 포트 미러링을 구성하는 방법:
EX 시리즈 스위치에서 포트 미러링 분석기를 위한 입력 및 출력 확인
목적
이 검증 작업에서는 ELS(Enhanced Layer 2 소프트웨어) 구성 스타일을 지원하지 않는 EX 시리즈 스위치용 Junos OS를 사용합니다.
스위치에서 분석기가 생성되었고 적절한 미러 입력 인터페이스와 적절한 분석기 출력 인터페이스를 가지고 있는지 확인합니다.
작업
명령을 사용하여 show analyzer 포트 미러 분석기가 예상대로 구성되었는지 확인할 수 있습니다.
[edit] user@switch> show analyzer Analyzer name : employee-monitor Output VLAN : remote-analyzer Mirror ratio : 1 Loss priority : High Ingress monitored interfaces : ge-0/0/0.0 Ingress monitored interfaces : ge-0/0/1.0
구성 모드에서 명령을 사용하면 show ethernet-switching-options 비활성화된 항목을 포함하여 스위치에 구성된 모든 포트 미러 분석기를 볼 수 있습니다.
user@switch# show ethernet-switching-options
inactive: analyzer employee-web-monitor {
loss-priority high;
output {
analyzer employee-monitor {
loss-priority high;
input {
ingress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
}
output {
vlan {
remote-analyzer;
}
}
}
의미
이 출력은 employee-monitor 분석기가 비율 1(모든 패킷 미러링, 기본값), 손실 우선순위 high (분석기 출력이 VLAN일 때마다 이 옵션을 설정) high 를 가지며, ge-0/0/0 및 ge-0/0/1에 들어오는 트래픽을 미러링하고 있으며, 미러링된 트래픽을 remote-analyzer라는 분석기로 보내고 있음을 보여줍니다.
예: 직원 자원 사용에 대한 로컬 모니터링을 위한 포트 미러링 분석기 구성
주니퍼 네트웍스 디바이스를 사용하면 포트 미러링을 구성하여 로컬 모니터링을 위한 로컬 인터페이스, 원격 모니터링을 위한 VLAN 또는 브리지 도메인으로 패킷 사본을 전송할 수 있습니다. 미러링을 사용하여 복사할 수 있는 패킷은 다음과 같습니다.
포트에 들어오거나 나가는 패킷
VLAN 또는 브리지 도메인에 들어가거나 나가는 패킷
그런 다음 프로토콜 분석기를 사용하여 미러링된 트래픽을 로컬 또는 원격으로 분석할 수 있습니다. 로컬 대상 인터페이스에 분석기를 설치할 수 있습니다. 미러링된 트래픽을 분석기 VLAN 또는 브리지 도메인에 전송하는 경우 원격 모니터링 스테이션에서 분석기를 사용할 수 있습니다.
이 주제는 스위칭 디바이스에서 로컬 미러링을 구성하는 방법을 설명합니다. 이 주제의 예는 직원 컴퓨터와 연결된 인터페이스에 들어가는 트래픽을 동일한 디바이스의 분석기 출력 인터페이스로 미러링하도록 스위칭 디바이스를 구성하는 방법을 설명합니다.
요구 사항
다음 하드웨어 및 소프트웨어 구성 요소 중 하나를 사용합니다.
Junos OS 릴리스 13.2 이상을 사용하는 EX9200 스위치 1개
Junos OS 릴리스 14.1 이상을 사용하는 MX 시리즈 라우터 1개
포트 미러링을 구성하기 전에 미러링 개념을 이해하고 있는지 확인해야 합니다. 분석기에 대한 정보는 포트 미러링 분석기 이해하기를 참조하세요. 포트 미러링에 대한 정보는 레이어 2 포트 미러링 이해하기를 참조하세요.
개요 및 토폴로지
이 주제는 스위칭 디바이스의 포트에 들어가는 모든 트래픽을 동일한 디바이스의 대상 인터페이스로 미러링하는 방법(로컬 미러링)에 대해 설명합니다. 이 경우 트래픽은 직원 컴퓨터에 연결된 포트로 들어가고 있습니다.
모든 트래픽을 미러링하려면 상당한 대역폭이 필요하며 적극적인 조사 중에만 이루어져야 합니다.
인터페이스 ge-0/0/0 및 ge-0/0/1은 직원 컴퓨터의 연결을 제공합니다.
인터페이스 ge-0/0/10은 미러링된 트래픽 분석을 위해 예약되어 있습니다.
프로토콜 분석기를 실행하는 PC를 분석기 출력 인터페이스에 연결합니다.
하나의 인터페이스에 미러링된 여러 포트는 버퍼 오버플로우를 일으킬 수 있으며, 그 결과 출력 인터페이스에서 미러링된 패킷이 드롭됩니다.
그림 1 은 이 예의 네트워크 토폴로지를 보여줍니다.
로컬 분석을 위한 모든 직원 트래픽 미러링
절차
CLI 빠른 구성
직원 컴퓨터에 연결된 두 포트에서 전송되는 수신 트래픽에 대한 로컬 미러링을 신속하게 구성하기 위해 EX 시리즈 스위치 또는 MX 시리즈 라우터의 다음 명령 중 하나를 복사하여 스위칭 디바이스 단말 창에 붙여넣습니다.
EX 시리즈
[edit] set interfaces ge-0/0/0 unit 0 family ethernet-switching set interfaces ge-0/0/1 unit 0 family ethernet-switching set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor output interface ge-0/0/10.0
MX 시리즈
[edit] set interfaces ge-0/0/0 unit 0 family bridge interface-mode access vlan-id 99 set interfaces ge-0/0/1 unit 0 family bridge interface-mode access vlan-id 98 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor output interface ge-0/0/10.0
단계별 절차
분석기를 구성하려면 입력(소스) 인터페이스와 분석기 출력 인터페이스를 모두 호출 employee-monitor 하고 지정합니다.
분석기 구성에 사용할 각 인터페이스를 구성합니다. 플랫폼에 맞는 가족 프로토콜을 사용하십시오.
EX Series [edit] set interfaces ge-0/0/0 unit 0 family ethernet-switching set interfaces ge-0/0/1 unit 0 family ethernet-switching
인터페이스에서 구성
family bridge하려면 또는interface-mode trunk또한 구성interface-mode access해야 합니다. 또한 구성을 해야vlan-id합니다.MX Series [edit] set interfaces ge-0/0/0 unit 0 family bridge interface-mode access vlan-id 99 set interfaces ge-0/0/1 unit 0 family bridge interface-mode access vlan-id 98
직원 컴퓨터에 연결된 각 인터페이스를 출력 분석기 인터페이스
employee-monitor로 구성합니다.[edit forwarding-options] set analyzer employee-monitor input ingress interface ge-0/0/0.0 set analyzer employee-monitor input ingress interface ge-0/0/1.0
분석기에 대한 출력 분석기 인터페이스를 구성합니다.
employee-monitor이것은 미러링된 패킷의 대상 인터페이스가 됩니다.
[edit forwarding-options] set analyzer employee-monitor output interface ge-0/0/10.0
결과
구성 결과를 확인합니다.
[edit]
user@device# show forwarding-options
analyzer {
employee-monitor {
input {
ingress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
}
output {
interface ge-0/0/10.0;
}
}
}
검증
분석기가 올바르게 생성되었는지 확인
목적
스위칭 디바이스에서 분석기가 employee-monitor 적절한 입력 인터페이스 및 적절한 출력 인터페이스로 생성되었는지 확인합니다.
작업
작동 명령을 사용하여 show forwarding-options analyzer 분석기가 예상대로 구성되었는지 확인합니다.
user@device> show forwarding-options analyzer Analyzer name : employee-monitor Mirror rate : 1 Maximum packet length : 0 State : up Ingress monitored interfaces : ge-0/0/0.0 Output interface : ge-0/0/10.0
의미
출력은 분석기의 비율이 1이고(기본 설정으로 모든 패킷 미러링), 미러링된 원본 패킷의 최대 크기가 0이고(전체 패킷이 미러링됨을 나타냄), 구성 상태가 up입니다. 분석기는 ge-0/0/0 인터페이스로 들어오는 트래픽을 미러링하고 미러링된 트래픽을 ge-0/0/10 인터페이스로 전송하고 있음을 보여줍니다employee-monitor.
출력 인터페이스의 상태가 또는 down 출력 인터페이스가 구성되지 않은 경우, 의 State down 값은 분석기가 미러링된 트래픽을 수신하지 않음을 나타냅니다.
예: 직원 자원 사용의 원격 모니터링을 위한 포트 미러링 구성
주니퍼 네트웍스 디바이스를 사용하면 포트 미러링을 구성하여 로컬 모니터링을 위한 로컬 인터페이스 또는 원격 모니터링을 위한 VLAN 또는 브리지 도메인으로 패킷 사본을 전송할 수 있습니다. 미러링을 사용하여 복사할 수 있는 패킷은 다음과 같습니다.
-
포트에 들어오거나 나가는 패킷
-
VLAN에 들어오거나 나가는 패킷
-
브리지 도메인에 들어가거나 나가는 패킷
미러링된 트래픽을 분석기 VLAN 또는 브리지 도메인으로 전송하는 경우 원격 모니터링 스테이션에서 실행되는 프로토콜 분석기를 사용하여 미러링된 트래픽을 분석할 수 있습니다.
필요한 패킷만 미러링하여 성능에 미칠 수 있는 잠재적 영향을 줄입니다. 다음을 수행하는 것이 좋습니다.
-
사용하지 않을 때는 구성된 미러링 세션을 비활성화합니다.
-
모든 인터페이스를 입력으로 지정하기보다는 개별 인터페이스를 분석기에 대한 입력으로 지정하십시오.
-
다음을 통해 미러링된 트래픽의 양을 제한합니다.
-
통계 샘플링 사용.
-
비율을 설정하여 통계 샘플 선택.
-
방화벽 필터 사용.
-
이 주제의 예에서는 직원 자원 사용량을 분석하기 위해 원격 포트 미러링을 구성하는 방법을 설명합니다.
요구 사항
이 예는 다음과 같은 하드웨어 및 소프트웨어 구성 요소 중 하나를 사용합니다.
-
EX9200 스위치 하나는 다른 EX9200 스위치에 연결되며, 둘 다 Junos OS 릴리스 13.2 이상을 실행합니다.
-
하나의 MX 시리즈 라우터가 다른 MX 시리즈 라우터에 연결되며, 둘 다 Junos OS 릴리스 14.1 이상을 실행합니다.
원격 미러링을 구성하기 전에 다음 조건이 갖추어졌는지 확인합니다.
-
미러링 개념을 이해하고 있습니다. 분석기에 대한 정보는 포트 미러링 분석기 이해하기를 참조하세요. 포트 미러링에 대한 정보는 레이어 2 포트 미러링 이해하기를 참조하세요.
-
분석기가 입력 인터페이스로 사용할 인터페이스는 이미 스위칭 디바이스에 구성되었습니다.
개요 및 토폴로지
이 주제는 원격 분석기 VLAN 또는 브리지 도메인으로 포트 미러링을 구성하여 원격 모니터링 스테이션에서 분석을 수행할 수 있도록 하는 방법을 설명합니다.
그림 2 에는 EX 시리즈 예시 및 MX 시리즈 예시 시나리오 모두에 대한 네트워크 토폴로지가 나와 있습니다.
토폴로지
위한 네트워크 토폴로지
이 예제에서는 다음과 같습니다.
-
인터페이스 ge-0/0/0은 레이어 2 인터페이스이며 인터페이스 ge-0/0/1은 직원 컴퓨터에 대한 연결 역할을 하는 레이어 3 인터페이스(둘 다 소스 디바이스의 인터페이스)입니다.
-
인터페이스 ge-0/0/10은 소스 스위칭 디바이스를 대상 스위칭 디바이스로 연결하는 레이어 2 인터페이스입니다.
-
인터페이스 ge-0/0/5는 대상 스위칭 디바이스를 원격 모니터링 스테이션에 연결하는 레이어 2 인터페이스입니다.
-
분석기는
remote-analyzer미러링된 트래픽을 수행하도록 토폴로지의 모든 스위칭 디바이스에 구성됩니다. 이 토폴로지는 VLAN 또는 브리지 도메인 중 하나를 사용할 수 있습니다.
통계 분석기를 사용한 원격 분석을 위한 직원 트래픽 미러링
들어오고 나가는 모든 직원 트래픽에 대한 원격 트래픽 분석을 위한 통계 분석기를 구성하기 위해 다음 예 중 하나를 선택합니다.
EX 시리즈 스위치의 원격 분석을 위한 직원 트래픽 미러링
CLI 빠른 구성
들어오고 나가는 직원 트래픽의 원격 트래픽 분석을 위한 통계 분석기를 빠르게 구성하기 위해 EX 시리즈 스위치에 대한 다음의 명령을 복사하여 올바른 스위칭 디바이스 단말 창에 붙여 넣습니다.
-
소스 스위칭 디바이스 단말 창에 다음 명령을 복사해 붙여 넣습니다.
EX 시리즈
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor output vlan remote-analyzer set forwarding-options analyzer employee-monitor input rate 2 set forwarding-options analyzer employee-monitor input maximum-packet-length 128 set chassis fpc 0 port-mirror-instance employee-monitor
-
대상 스위칭 디바이스 단말 창에 다음 명령을 복사해 붙여 넣습니다.
EX 시리즈
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 set interfaces ge-0/0/5 unit 0 family ethernet-switching interface-mode access set forwarding-options analyzer employee-monitor input ingress vlan remote-analyzer set forwarding-options analyzer employee-monitor output interface ge-0/0/5.0
단계별 절차
기본 원격 미러링 구성하기:
-
소스 스위칭 디바이스에서 다음을 수행합니다.
-
VLAN의 VLAN ID를 구성합니다.
remote-analyzer[edit] user@device# set vlans remote-analyzer vlan-id 999
-
액세스 모드를 위한 대상 스위칭 디바이스에 연결된 네트워크 포트에서 인터페이스를 설정하고 VLAN
remote-analyzer과 연결합니다.[edit] user@device# set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode access user@device# set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999
-
통계 분석기를
employee-monitor구성합니다.[edit forwarding-options] user@device# set analyzer employee-monitor input ingress interface ge-0/0/0.0 user@device# set analyzer employee-monitor input ingress interface ge-0/0/1.0 user@device# set analyzer employee-monitor input egress interface ge-0/0/0.0 user@device# set analyzer employee-monitor input egress interface ge-0/0/1.0 user@device# set analyzer employee-monitor output vlan remote-analyzer user@device# set analyzer employee-monitor input rate 2 user@device# set analyzer employee-monitor input maximum-packet-length 128
-
통계 분석기를 입력 인터페이스를 포함하는 FPC에 바인딩합니다.
[edit] user@device# set chassis fpc 0 port-mirror-instance employee-monitor
-
-
대상 네트워크 디바이스에서 다음을 수행합니다.
-
VLAN의 VLAN ID를 구성합니다.
remote-analyzer[edit] user@device# set vlans remote-analyzer vlan-id 999
-
액세스 모드를 위한 대상 스위칭 디바이스의 인터페이스를 구성하고 VLAN
remote-analyzer과 연결합니다.[edit interfaces] user@device# set ge-0/0/10 unit 0 family ethernet-switching interface-mode access user@device# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999
-
액세스 모드를 위한 대상 스위칭 디바이스에 연결된 인터페이스를 구성합니다.
[edit interfaces] user@device# set ge-0/0/5 unit 0 family ethernet-switching interface-mode access
-
분석기를 구성합니다
employee-monitor.[edit forwarding-options] user@device# set analyzer employee-monitor input ingress vlan remote-analyzer user@device# set analyzer employee-monitor output interface ge-0/0/5.0
-
속도 및 분석기의 최대 패킷 길이와 같은 미러링 매개 변수를 지정합니다.
employee-monitor[edit] user@device# set forwarding-options analyzer employee-monitor input rate 2 user@device# set forwarding-options analyzer employee-monitor input maximum-packet-length 128
-
분석기를 입력 포트를 포함하는 FPC에 바인딩
employee-monitor합니다.[edit] user@device# set chassis fpc 0 port-mirror-instance employee-monitor
-
결과
소스 스위칭 디바이스에서 구성 결과를 확인합니다.
[edit]
user@device# show
forwarding-options {
analyzer employee-monitor {
input {
ingress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
egress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
maximum-packet-length 128;
rate 2;
}
output {
vlan {
remote-analyzer;
}
}
}
}
interfaces {
ge-0/0/10 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members 999;
}
}
}
}
}
vlans {
remote-analyzer {
vlan-id 999;
}
}
대상 스위칭 디바이스의 구성 결과를 확인합니다.
[edit]
user@device# show
interfaces {
ge0/0/5 {
unit 0 {
family ethernet-switching {
interface-mode access;
}
}
}
ge-0/0/10 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members 999;
}
}
}
}
}
vlans {
remote-analyzer {
vlan-id 999;
interface {
ge-0/0/10.0;
}
}
}
forwarding-options {
analyzer employee-monitor {
input {
ingress {
vlan remote-analyzer;
}
}
output {
interface {
ge-0/0/5.0;
}
}
}
}
MX 시리즈 라우터의 원격 분석을 위한 직원 트래픽 미러링
CLI 빠른 구성
들어오고 나가는 직원 트래픽의 원격 트래픽 분석을 위한 통계 분석기를 빠르게 구성하기 위해 MX 시리즈 라우터에 대한 다음의 명령을 복사하여 올바른 스위칭 디바이스 단말 창에 붙여 넣습니다.
-
소스 스위칭 디바이스 단말 창에 다음 명령을 복사해 붙여 넣습니다.
MX 시리즈
[edit] set bridge-domains remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family bridge interface-mode access set interfaces ge-0/0/10 unit 0 family bridge vlan-id 999 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor output bridge-domain remote-analyzer set forwarding-options analyzer employee-monitor input rate 2 set forwarding-options analyzer employee-monitor input maximum-packet-length 128 set chassis fpc 0 port-mirror-instance employee-monitor
-
대상 스위칭 디바이스 단말 창에 다음 명령을 복사해 붙여 넣습니다.
MX 시리즈
[edit] set bridge-domains remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family bridge interface-mode access set interfaces ge-0/0/10 unit 0 family bridge vlan-id 999 set interfaces ge-0/0/5 unit 0 family bridge interface-mode access set forwarding-options analyzer employee-monitor input ingress bridge-domain remote-analyzer set forwarding-options analyzer employee-monitor output interface ge-0/0/5.0
단계별 절차
MX 시리즈 라우터를 사용하여 기본 원격 미러링 구성하기:
-
소스 스위칭 디바이스에서 다음을 수행합니다.
-
브리지 도메인에 대한 VLAN ID를 구성합니다
remote-analyzer.[edit] user@device# set bridge-domains remote-analyzer vlan-id 999
-
액세스 모드를 위한 대상 스위칭 디바이스에 연결된 네트워크 포트의 인터페이스를 설정하고 브리지 도메인과
remote-analyzer연결합니다.[edit] user@device# set interfaces ge-0/0/10 unit 0 family bridge interface-mode access user@device# set interfaces ge-0/0/10 unit 0 family bridge vlan members 999
-
통계 분석기를
employee-monitor구성합니다.[edit forwarding-options] user@device# set analyzer employee-monitor input ingress interface ge-0/0/0.0 user@device# set analyzer employee-monitor input ingress interface ge-0/0/1.0 user@device# set analyzer employee-monitor input egress interface ge-0/0/0.0 user@device# set analyzer employee-monitor input egress interface ge-0/0/1.0 user@device# set analyzer employee-monitor output bridge-domain remote-analyzer user@device# set analyzer employee-monitor input rate 2 user@device# set analyzer employee-monitor input maximum-packet-length 128
-
통계 분석기를 입력 인터페이스를 포함하는 FPC에 바인딩합니다.
[edit] user@device# set chassis fpc 0 port-mirror-instance employee-monitor
-
-
대상 스위칭 디바이스에서 다음을 수행합니다.
-
브리지 도메인에 대한 VLAN ID를 구성합니다
remote-analyzer.[edit bridge-domains] user@device# set remote-analyzer vlan-id 999
-
액세스 모드를 위한 대상 스위칭 디바이스의 인터페이스를 구성하고 브리지 도메인과
remote-analyzer연결합니다.[edit interfaces] user@device# set ge-0/0/10 unit 0 family bridge interface-mode access user@device# set ge-0/0/10 unit 0 family bridge vlan members 999
-
액세스 모드를 위한 대상 스위칭 디바이스에 연결된 인터페이스를 구성합니다.
[edit interfaces] user@device# set ge-0/0/5 unit 0 family bridge interface-mode access
-
분석기를 구성합니다
employee-monitor.[edit forwarding-options] user@device# set analyzer employee-monitor input ingress bridge-domain remote-analyzer user@device# set analyzer employee-monitor output interface ge-0/0/5.0
employee-monitor 분석기에 대한 속도 및 최대 패킷 길이와 같은 미러링 매개 변수를 지정합니다.
[edit] user@device# set forwarding-options analyzer employee-monitor input rate 2 user@device# set forwarding-options analyzer employee-monitor input maximum-packet-length 128
-
분석기를 입력 포트를 포함하는 FPC에 바인딩
employee-monitor합니다.[edit] user@device# set chassis fpc 0 port-mirror-instance employee-monitor
-
결과
소스 스위칭 디바이스에서 구성 결과를 확인합니다.
[edit]
user@device# show
bridge-domains {
remote-analyzer {
vlan-id 999;
}
}
forwarding-options {
analyzer {
employee-monitor {
input {
ingress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
egress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
rate 2;
maximum-packet-length 128;
}
output {
bridge-domain {
remote-analyzer;
}
}
}
}
}
interfaces {
ge-0/0/0 {
unit 0 {
family bridge {
interface-mode access;
vlan-id 99;
}
}
}
ge-0/0/1 {
unit 0 {
family bridge {
interface-mode access;
vlan-id 98;
}
}
}
ge-0/0/10 {
unit 0 {
family bridge {
interface-mode access;
vlan-id 999;
}
}
}
}
대상 스위칭 디바이스의 구성 결과를 확인합니다.
[edit]
user@device# show
bridge-domains {
remote-analyzer {
vlan-id 999;
}
}
forwarding-options {
analyzer {
employee-monitor {
input {
ingress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
bridge-domain remote-analyzer;
}
}
output {
interface ge-0/0/5.0;
}
}
}
}
interfaces {
ge-0/0/5 {
unit 0 {
family bridge {
interface-mode access;
}
}
}
}
검증
분석기가 올바르게 생성되었는지 확인
목적
명명 employee-monitor 된 분석기가 적절한 입력 인터페이스 및 적절한 출력 인터페이스를 사용하여 디바이스에서 생성되었는지 확인합니다.
작업
소스 스위칭 디바이스에서 모든 직원 트래픽을 모니터링하면서 분석기가 예상대로 구성되었는지 확인하려면 소스 스위칭 디바이스에서 명령을 show forwarding-options analyzer 실행합니다. 이 구성 예에서는 다음과 같은 출력이 표시됩니다.
user@device> show forwarding-options analyzer Analyzer name : employee-monitor Mirror rate : 2 Maximum packet length : 128 State : up Ingress monitored interfaces : ge-0/0/0.0 Ingress monitored interfaces : ge-0/0/1.0 Egress monitored interfaces : ge-0/0/0.0 Egress monitored interfaces : ge-0/0/1.0 Output VLAN : default-switch/remote-analyzer
의미
이 출력은 인스턴스의 employee-monitor 비율이 2이고, 미러링된 원본 패킷의 최대 크기는 128이며, 구성 상태는 up적절한 상태를 나타내고 분석기가 프로그래밍되어 있으며, 분석기는 ge-0/0/0.0 및 ge-0/0/1.0으로 들어가는 트래픽을 미러링하고 미러링된 트래픽을 라는 VLAN remote-analyzer으로 전송하고 있음을 보여줍니다.
출력 인터페이스의 상태가 이거나 down 출력 인터페이스가 구성되지 않은 경우, 의 State 값은 낮아지고 분석기는 트래픽을 모니터링할 수 없습니다.
예: EX9200 스위치에서 직원 리소스 사용을 원격 모니터링하기 위해 다중 인터페이스로의 미러링 구성
EX9200 스위치를 통해 로컬 모니터링을 위한 로컬 인터페이스 또는 원격 모니터링을 위한 VLAN으로 패킷 사본을 보내도록 미러링을 구성할 수 있습니다. 미러링을 사용하여 복사할 수 있는 패킷은 다음과 같습니다.
-
포트에 들어오거나 나가는 패킷
-
다음의 VLAN에 들어오거나 나가는 패킷
미러링된 트래픽을 분석기 VLAN으로 전송하는 경우 원격 모니터링 스테이션에서 실행되는 프로토콜 분석기 애플리케이션을 사용하여 미러링된 트래픽을 분석할 수 있습니다.
필요한 패킷만 미러링하여 성능에 미칠 수 있는 잠재적 영향을 줄입니다. 다음과 같이 하실 것을 권장합니다.
-
구성된 미러링 분석기를 사용하지 않을 때는 비활성화합니다.
-
모든 인터페이스를 입력으로 지정하기보다는 개별 인터페이스를 분석기에 대한 입력으로 지정하십시오.
-
다음을 통해 미러링된 트래픽의 양을 제한합니다.
-
통계 샘플링 사용.
-
비율을 설정하여 통계 샘플 선택.
-
방화벽 필터 사용.
-
이 예제에서는 분석기 VLAN의 다중 인터페이스에 원격 미러링을 구성하는 방법을 설명합니다.
요구 사항
이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.
-
EX9200 스위치 3개
-
EX 시리즈 스위치용 Junos OS 릴리스 13.2 이상
원격 미러링을 구성하기 전에 다음 조건이 갖추어졌는지 확인합니다.
-
분석기가 입력 인터페이스로 사용할 인터페이스가 스위치에 구성되어 있습니다.
개요 및 토폴로지
이 예제에서는 원격 모니터링 스테이션에서 분석을 수행할 수 있도록 스위치의 포트로 들어오는 트래픽을 원격 분석기 VLAN으로 미러링하는 방법을 설명합니다. 이 예의 원격 분석기 VLAN에는 여러 멤버 인터페이스가 포함되어 있습니다. 따라서 동일한 트래픽이 원격 분석기 VLAN의 모든 멤버 인터페이스에 미러링 되어 미러링 된 패킷이 서로 다른 원격 모니터링 스테이션으로 전송될 수 있습니다. 원격 모니터링 스테이션에 스니퍼 및 침입 탐지 시스템과 같은 애플리케이션을 설치하여 이러한 미러링된 패킷을 분석하고 유용한 통계 데이터를 얻을 수 있습니다. 예를 들어, 두 개의 원격 모니터링 스테이션이 있는 경우 한 원격 모니터링 스테이션에 스니퍼를 설치하고 다른 스테이션에 침입 탐지 시스템을 설치할 수 있습니다. 방화벽 필터 분석기 구성을 사용하여 특정 유형의 트래픽을 원격 모니터링 스테이션으로 포워딩할 수 있습니다.
이 예제에서는 트래픽을 다음 홉 그룹의 여러 인터페이스에 미러링 하여 트래픽이 분석을 위해 서로 다른 모니터링 스테이션으로 전송되도록 분석기를 구성하는 방법을 설명합니다.
그림 3 은 이 예의 네트워크 토폴로지를 보여줍니다.
토폴로지
이 예제에서는 다음과 같습니다.
-
인터페이스 ge-0/0/0 및 ge-0/0/1은 직원 컴퓨터의 연결 역할을 하는 레이어 2 인터페이스(소스 스위치의 두 인터페이스)입니다.
-
인터페이스 ge-0/0/10 및 ge-0/0/11은 서로 다른 대상 스위치에 연결된 레이어 2 인터페이스입니다.
-
인터페이스 ge-0/0/12는 목적지 1 스위치를 원격 모니터링 스테이션에 연결하는 레이어 2 인터페이스입니다.
-
인터페이스 ge-0/0/13은 대상 2 스위치를 원격 모니터링 스테이션에 연결하는 레이어 2 인터페이스입니다.
-
VLAN
remote-analyzer은 미러링된 트래픽을 전달하도록 토폴로지의 모든 스위치에 구성됩니다.
원격 분석을 위해 모든 직원 트래픽을 다중 VLAN 멤버 인터페이스에 미러링
모든 들어오고 나가는 직원 트래픽에 대한 원격 트래픽 분석을 위해 다중 VLAN 멤버 인터페이스에 미러링을 구성하려면 다음 작업을 수행합니다.
절차
CLI 빠른 구성
들어오고 나가는 직원 트래픽에 대한 원격 트래픽 분석을 위한 미러링을 신속하게 구성하려면 다음 명령을 복사하여 스위치 터미널 창에 붙여 넣습니다.
-
소스 스위치 터미널 창에서 다음 명령을 복사하여 붙여 넣습니다.
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 set interfaces ge-0/0/11 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/11 unit 0 family ethernet-switching vlan members 999 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor output next-hop-group remote-analyzer-nhg set forwarding-options next-hop-group remote-analyzer-nhg interface ge-0/0/10.0 set forwarding-options next-hop-group remote-analyzer-nhg interface ge-0/0/11.0 set forwarding-options next-hop-group remote-analyzer-nhg group-type layer-2
-
목적지 1 스위치 터미널 창에서 다음 명령을 복사하여 붙여 넣습니다.
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode acess set interfaces ge-0/0/12 unit 0 family ethernet-switching interface-mode access set forwarding-options analyzer employee-monitor input ingress vlan remote-analyzer set forwarding-options analyzer employee-monitor loss-priority high output interface ge-0/0/12.0
-
목적지 2 스위치 터미널 창에서 다음 명령을 복사하여 붙여 넣습니다.
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/11 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/13 unit 0 family ethernet-switching interface-mode access set forwarding-options analyzer employee-monitor input ingress vlan remote-analyzer set forwarding-options analyzer employee-monitor loss-priority high output interface ge-0/0/13.0
단계별 절차
두 개의 VLAN 멤버 인터페이스에 기본 원격 미러링을 구성하려면 다음을 수행합니다.
-
소스 스위치에서 다음을 수행합니다.
-
VLAN에 대한 VLAN ID를 구성합니다.
remote-analyzer[edit vlans] user@switch# set remote-analyzer vlan-id 999 -
액세스 모드를 위해 대상 스위치에 연결된 네트워크 포트의 인터페이스를 구성하고 이를 VLAN
remote-analyzer과 연결합니다.[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999 user@switch# set ge-0/0/11 unit 0 family ethernet-switching interface-mode trunk user@switch# set ge-0/0/11 unit 0 family ethernet-switching vlan members 999
-
분석기를 구성합니다.
employee-monitor[edit forwarding-options] user@switch# set analyzer employee-monitor input ingress interface ge-0/0/0.0 user@switch# set analyzer employee-monitor input ingress interface ge-0/0/1.0 user@switch# set analyzer employee-monitor input egress interface ge-0/0/0.0 user@switch# set analyzer employee-monitor input egress interface ge-0/0/1.0 user@switch# set analyzer employee-monitor output next-hop-group remote-analyzer-nhg
이 분석기 구성에서 인터페이스 ge-0/0/0.0 및 ge-0/0/1.0을 출입하는 트래픽은 라는 다음
remote-analyzer-nhg홉 그룹에 의해 정의된 출력 목적지로 전송됩니다. -
다음 홉 그룹을 구성합니다
remote-analyzer-nhb.[edit forwarding-options] user@switch# set next-hop-group remote-analyzer-nhg interface ge-0/0/10.0 user@switch# set next-hop-group remote-analyzer-nhg interface ge-0/0/11.0 user@switch# set next-hop-group remote-analyzer-nhg group-type layer-2
-
-
목적지 1 스위치에서 다음을 수행합니다.
-
VLAN에 대한 VLAN ID를 구성합니다.
remote-analyzer[edit vlans] user@switch# set remote-analyzer vlan-id 999
-
액세스 모드를 위한 목적지 1 스위치에 ge-0/0/10 인터페이스를 구성합니다.
[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching interface-mode access
-
액세스 모드를 위해 원격 모니터링 스테이션에 연결된 인터페이스를 구성합니다.
[edit interfaces] user@switch# set ge-0/0/12 unit 0 family ethernet-switching interface-mode access
-
분석기를 구성합니다.
employee-monitor[edit forwarding-options] user@switch# set analyzer employee-monitor input ingress vlan remote-analyzer user@switch# set analyzer employee-monitor loss-priority high output interface ge-0/0/12.0
-
-
목적지 2 스위치에서 다음을 수행합니다.
-
VLAN에 대한 VLAN ID를 구성합니다.
remote-analyzer[edit vlans] user@switch# set remote-analyzer vlan-id 999
-
액세스 모드를 위한 목적지 2 스위치에 ge-0/0/11 인터페이스를 구성합니다.
[edit interfaces] user@switch# set ge-0/0/11 unit 0 family ethernet-switching interface-mode access
-
액세스 모드를 위해 원격 모니터링 스테이션에 연결된 인터페이스를 구성합니다.
[edit interfaces] user@switch# set ge-0/0/13 unit 0 family ethernet-switching interface-mode access
-
분석기를 구성합니다.
employee-monitor[edit forwarding-options] user@switch# set analyzer employee-monitor input ingress vlan remote-analyzer user@switch# set analyzer employee-monitor loss-priority high output interface ge-0/0/13.0
-
결과
소스 스위치에서 구성 결과를 확인합니다.
[edit]
user@switch# show
forwarding-options {
analyzer employee-monitor {
input {
ingress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
egress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
}
output {
next-hop-group {
remote-analyzer-nhg;
}
}
}
}
vlans {
remote-analyzer {
vlan-id 999;
interface {
ge-0/0/10.0
ge-0/0/11.0
}
}
}
interfaces {
ge-0/0/10 {
unit 0 {
family ethernet-switching {
interface-mode access;
}
}
}
ge-0/0/11 {
unit 0 {
family ethernet-switching {
interface-mode access;
}
}
}
}
목적지 1 스위치에서 구성 결과를 확인합니다.
[edit]
user@switch# show
vlans {
remote-analyzer {
vlan-id 999;
}
}
interfaces {
ge-0/0/10 {
unit 0 {
ethernet-switching {
interface-mode acess;
}
}
}
ge-0/0/12 {
unit 0 {
family ethernet-switching {
interface-mode access;
}
}
}
}
forwarding-options {
analyzer employee-monitor {
input {
ingress {
vlan remote-analyzer;
}
}
loss-priority high;
output {
interface {
ge-0/0/12.0;
}
}
}
}
목적지 2 스위치에서 구성 결과를 확인합니다.
[edit]
user@switch# show
vlans {
remote-analyzer {
vlan-id 999;
interface {
ge-0/0/11.0
}
}
}
interfaces {
ge-0/0/11 {
unit 0 {
family ethernet-switching {
interface-mode access;
}
}
}
ge-0/0/13 {
unit 0 {
family ethernet-switching {
interface-mode access;
}
}
}
}
forwarding-options {
employee-monitor {
input {
ingress {
vlan remote-analyzer;
}
}
loss-priority high;
output {
interface {
ge-0/0/13.0;
}
}
}
}
검증
구성이 제대로 작동하는지 확인하려면 다음 작업을 수행하십시오.
분석기가 올바르게 생성되었는지 확인
목적
스위치에서 적절한 입력 인터페이스 및 적절한 출력 인터페이스를 사용하여 명명된 employee-monitor 분석기가 생성되었는지 확인합니다.
작업
명령을 사용하여 show forwarding-options analyzer 분석기가 예상대로 구성되었는지 확인할 수 있습니다.
소스 스위치에서 모든 직원 트래픽을 모니터링하면서 분석기가 예상대로 구성되었는지 확인하려면 소스 스위치에서 명령을 show forwarding-options analyzer 실행합니다. 소스 스위치의 이 구성 예제에 대한 다음 출력이 표시됩니다.
user@switch> show forwarding-options analyzer
Analyzer name : employee-monitor
Mirror rate : 1
Maximum packet length : 0
State : up
Ingress monitored interfaces : ge-0/0/0.0
Ingress monitored interfaces : ge-0/0/1.0
Egress monitored interfaces : ge-0/0/0.0
Egress monitored interfaces : ge-0/0/1.0
Output nhg : remote-analyzer-nhg
user@switch> show forwarding-options next-hop-group
Next-hop-group: remote-analyzer-nhg
Type: layer-2
State: up
Members Interfaces:
ge-0/0/10.0
ge-0/0/11.0
의미
이 출력 employee-monitor 은 분석기의 비율이 1(기본 동작인 모든 패킷 미러링)이며, 구성 상태는 up이며, 이는 적절한 상태를 나타내며, 분석기가 프로그래밍되어 인터페이스 ge-0/0/0 및 ge-0/0/1을 출입하는 트래픽을 미러링하고, 미러링된 트래픽을 다음 홉 그룹을 remote-analyzer-nhg통해 다중 인터페이스 ge-0/0/10.0 및 ge-0/0/11.0으로 전송함을 나타냅니다. 출력 인터페이스의 상태가 이거나 down 출력 인터페이스가 구성되지 않은 경우, 상태 값은 낮아지고 분석기는 트래픽을 미러링할 수 없습니다.
예: EX9200 스위치의 전송 스위치를 통해 직원 리소스 사용을 원격 모니터링하기 위한 미러링 구성
EX9200 스위치를 사용하면 미러링을 구성하여 로컬 모니터링을 위한 로컬 인터페이스 또는 원격 모니터링을 위한 VLAN으로 패킷 사본을 전송할 수 있습니다. 미러링을 사용하여 복사할 수 있는 패킷은 다음과 같습니다.
-
포트에 들어오거나 나가는 패킷
-
VLAN에 들어오거나 나가는 패킷
미러링된 트래픽을 분석기 VLAN으로 전송하는 경우 원격 모니터링 스테이션에서 실행되는 프로토콜 분석기 애플리케이션을 사용하여 미러링된 트래픽을 분석할 수 있습니다.
이 주제에는 원격 모니터링 스테이션에서 분석을 수행할 수 있도록 스위치의 포트로 들어오는 트래픽을 전송 스위치를 통해 remote-analyzer VLAN으로 미러링하는 방법에 대한 예제가 포함되어 있습니다.
필요한 패킷만 미러링하여 성능에 미칠 수 있는 잠재적 영향을 줄입니다. 다음과 같이 하실 것을 권장합니다.
-
사용하지 않을 때는 구성된 미러링 세션을 비활성화합니다.
-
모든 인터페이스를 입력으로 지정하기보다는 개별 인터페이스를 분석기에 대한 입력으로 지정하십시오.
-
다음을 통해 미러링된 트래픽의 양을 제한합니다.
-
통계 샘플링 사용.
-
비율을 설정하여 통계 샘플 선택.
-
방화벽 필터 사용.
-
이 예제에서는 전송 스위치를 통해 원격 미러링을 구성하는 방법을 설명합니다.
요구 사항
이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.
-
세 번째 EX9200 스위치를 통해 다른 EX9200 스위치에 연결된 EX9200 스위치
-
EX 시리즈 스위치용 Junos OS 릴리스 13.2 이상
원격 미러링을 구성하기 전에 다음 조건이 갖추어졌는지 확인합니다.
-
분석기가 입력 인터페이스로 사용할 인터페이스가 스위치에 구성되어 있습니다.
개요 및 토폴로지
이 예제에서는 직원 컴퓨터의 모든 트래픽에 대한 분석을 수행할 수 있도록 스위치의 포트로 들어오는 트래픽을 전송 스위치를 통해 VLAN으로 remote-analyzer 미러링하는 방법을 설명합니다.
이 구성에서는 분석기 VLAN에서 원격 모니터링 스테이션이 연결된 송신 인터페이스로 들어오는 트래픽을 미러링하기 위해 대상 스위치에 분석기 세션이 필요합니다.
그림 4 는 이 예제의 네트워크 토폴로지를 보여줍니다.
토폴로지
이 예제에서는 다음과 같습니다.
-
인터페이스 ge-0/0/0은 레이어 2 인터페이스이며, 인터페이스 ge-0/0/1은 직원 컴퓨터의 연결 역할을 하는 레이어 3 인터페이스(소스 스위치의 두 인터페이스)입니다.
-
인터페이스 ge-0/0/10은 전송 스위치에 연결되는 레이어 2 인터페이스입니다.
-
인터페이스 ge-0/0/11은 전송 스위치의 레이어 2 인터페이스입니다.
-
인터페이스 ge-0/0/12는 전송 스위치의 레이어 2 인터페이스이며 대상 스위치에 연결됩니다.
-
인터페이스 ge-0/0/13은 대상 스위치의 레이어 2 인터페이스입니다.
-
인터페이스 ge-0/0/14는 대상 스위치의 레이어 2 인터페이스이며 원격 모니터링 스테이션에 연결됩니다.
-
VLAN
remote-analyzer은 미러링된 트래픽을 전달하도록 토폴로지의 모든 스위치에 구성됩니다.
전송 스위치를 통한 원격 분석을 위해 모든 직원 트래픽 미러링
들어오고 나가는 모든 직원 트래픽에 대해 전송 스위치를 통해 원격 트래픽 분석을 위한 미러링을 구성하려면 다음 작업을 수행합니다.
절차
CLI 빠른 구성
전송 스위치를 통해 원격 트래픽 분석을 위한 미러링을 신속하게 구성하려면 들어오고 나가는 직원 트래픽에 대해 다음 명령을 복사하여 스위치 터미널 창에 붙여넣습니다.
-
소스 스위치(모니터링된 스위치) 터미널 창에 다음 명령을 복사하여 붙여 넣습니다.
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor output vlan remote-analyzer
-
다음 명령을 복사하여 전송 스위치 창에 붙여 넣습니다.
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/11 unit 0 family ethernet-switching interface-mode access set vlans remote-analyzer interface ge-0/0/11 set interfaces ge-0/0/12 unit 0 family ethernet-switching interface-mode access set vlans remote-analyzer interface ge-0/0/12
-
다음 명령을 복사하여 대상 스위치 창에 붙여 넣습니다.
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/13 unit 0 family ethernet-switching interface-mode access set vlans remote-analyzer interface ge-0/0/13 ingress set interfaces ge-0/0/14 unit 0 family ethernet-switching interface-mode access set forwarding-options analyzer employee-monitor input ingress vlan remote-analyzer set forwarding-options analyzer employee-monitor output interface ge-0/0/14.0
단계별 절차
전송 스위치를 통해 원격 미러링을 구성하려면 다음을 수행합니다.
-
소스 스위치에서 다음을 수행합니다.
-
VLAN에 대한 VLAN ID를 구성합니다.
remote-analyzer[edit vlans] user@switch# set remote-analyzer vlan-id 999
-
액세스 모드를 위해 전송 스위치에 연결된 네트워크 포트에서 인터페이스를 구성하고 VLAN과 연결합니다.
remote-analyzer[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching interface-mode access user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999
-
분석기를 구성합니다.
employee-monitor[edit forwarding-options] user@switch# set analyzer employee-monitor input ingress interface ge-0/0/0.0 user@switch# set analyzer employee-monitor input ingress interface ge-0/0/1.0 user@switch# set analyzer employee-monitor input egress interface ge-0/0/0.0 user@switch# set analyzer employee-monitor input egress interface ge-0/0/1.0 user@switch# set analyzer employee-monitor output vlan remote-analyzer
-
-
전송 스위치에서 다음을 수행합니다.
-
VLAN에 대한 VLAN ID를 구성합니다.
remote-analyzer[edit vlans] user@switch# set remote-analyzer vlan-id 999
-
액세스 모드를 위해 ge-0/0/11 인터페이스를 구성하고 VLAN과
remote-analyzer연결합니다.[edit interfaces] user@switch# set ge-0/0/11 unit 0 family ethernet-switching interface-mode access
-
액세스 모드를 위해 ge-0/0/12 인터페이스를 구성하고, VLAN과
remote-analyzer연결하며, 송신 트래픽 전용으로 인터페이스를 설정합니다.[edit interfaces] user@switch# set ge-0/0/12 unit 0 family ethernet-switching interface-mode access user@switch# set vlans remote-analyzer interface ge-0/0/12
-
-
대상 스위치에서 다음을 수행합니다.
-
VLAN에 대한 VLAN ID를 구성합니다.
remote-analyzer[edit vlans] user@switch# set remote-analyzer vlan-id 999
-
액세스 모드를 위해 ge-0/0/13 인터페이스를 구성하고, VLAN과
remote-analyzer연결하며, 수신 트래픽 전용으로 인터페이스를 설정합니다.[edit interfaces] user@switch# set ge-0/0/13 unit 0 family ethernet-switching interface-mode access user@switch# set vlans remote-analyzer interface ge-0/0/13 ingress
-
액세스 모드를 위해 원격 모니터링 스테이션에 연결된 인터페이스를 구성합니다.
[edit interfaces] user@switch# set ge-0/0/14 unit 0 family ethernet-switching interface-mode access
-
분석기를 구성합니다.
remote-analyzer[edit forwarding-options] user@switch# set analyzer employee-monitor input ingress vlan remote-analyzer user@switch# set analyzer employee-monitor output interface ge-0/0/14.0
-
결과
소스 스위치에서 구성 결과를 확인합니다.
[edit]
user@switch> show
forwarding-options {
analyzer employee-monitor {
input {
ingress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
egress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
}
output {
vlan {
remote-analyzer;
}
}
}
}
vlans {
remote-analyzer {
vlan-id 999;
}
}
interfaces {
ge-0/0/10 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
member 999;
}
}
}
}
}
전송 스위치에서 구성 결과를 확인합니다.
[edit]
user@switch> show
vlans {
remote-analyzer {
vlan-id 999;
interface {
ge-0/0/11.0 {
}
ge-0/0/12.0 {
}
}
}
}
interfaces {
ge-0/0/11 {
unit 0 {
family ethernet-switching {
interface-mode access;
}
}
}
ge-0/0/12 {
unit 0 {
family ethernet-switching {
interface-mode access;
}
}
}
}
대상 스위치에서 구성 결과를 확인합니다.
[edit]
user@switch> show
vlans {
remote-analyzer {
vlan-id 999;
interface {
ge-0/0/13.0 {
ingress;
}
}
}
}
interfaces {
ge-0/0/13 {
unit 0 {
family ethernet-switching {
interface-mode access;
}
}
}
ge-0/0/14 {
unit 0 {
family ethernet-switching {
interface-mode access;
}
}
}
}
forwarding-options {
analyzer employee-monitor {
input {
ingress {
vlan remote-analyzer;
}
}
output {
interface {
ge-0/0/14.0;
}
}
}
}
검증
구성이 제대로 작동하는지 확인하려면 다음 작업을 수행하십시오.
분석기가 올바르게 생성되었는지 확인
목적
스위치 employee-monitor 에서 지정된 분석기가 적절한 입력 인터페이스 및 적절한 출력 인터페이스를 사용하여 생성되었는지 확인합니다.
작업
명령을 사용하여 show forwarding-options analyzer 분석기가 예상대로 구성되었는지 확인할 수 있습니다.
소스 스위치에서 모든 직원 트래픽을 모니터링하면서 분석기가 예상대로 구성되었는지 확인하려면 소스 스위치에서 명령을 show forwarding-options analyzer 실행합니다. 이 구성 예제에서는 다음과 같은 출력이 표시됩니다.
user@switch> show forwarding-options analyzer Analyzer name : employee-monitor Mirror rate : 1 Maximum packet length : 0 State : up Ingress monitored interfaces : ge-0/0/0.0 Ingress monitored interfaces : ge-0/0/1.0 Egress monitored interfaces : ge-0/0/0.0 Egress monitored interfaces : ge-0/0/1.0 Output vlan : default-switch/remote-analyzer
의미
이 출력은 분석기의 미러링 비율이 1(모든 패킷 미러링, 기본값)이고 구성 상태가 up입니다. 이는 적절한 상태를 나타내며 분석기가 프로그래밍되어 ge-0/0/0 및 ge-0/0/1로 들어오는 트래픽을 미러링하고 미러링된 트래픽을 라는 분석기remote-analyzer로 전송하고 있음을 보여줍니다employee-monitor. 출력 인터페이스의 상태가 이거나 down 출력 인터페이스가 구성되지 않은 경우, 상태 값은 낮아지고 분석기는 트래픽을 미러링할 수 없습니다.
예: EX4300 스위치에서 직원 리소스 사용을 로컬 모니터링하기 위한 미러링 구성
이 예에서는 ELS(Enhanced Layer 2 소프트웨어) 구성 스타일을 지원하는 EX 시리즈 스위치용 Junos OS를 사용합니다. 스위치가 ELS를 지원하지 않는 소프트웨어를 실행하는 경우, 예: EX 시리즈 스위치에서 직원 리소스 사용에 대한 로컬 모니터링을 위한 포트 미러링 구성을 참조하십시오. ELS에 대한 자세한 내용은 Enhanced Layer 2 소프트웨어 시작하기를 참조하십시오.
EX4300 스위치를 사용하면 미러링을 구성하여 로컬 모니터링을 위한 로컬 인터페이스 또는 원격 모니터링을 위한 VLAN으로 패킷 사본을 전송할 수 있습니다. 미러링을 사용하여 복사할 수 있는 패킷은 다음과 같습니다.
-
포트에 들어오거나 나가는 패킷
-
VLAN에 들어가는 패킷
미러링된 트래픽을 분석기 VLAN으로 전송하는 경우, 로컬 대상 인터페이스 또는 원격 모니터링 스테이션에 연결된 시스템에 설치된 프로토콜 분석기를 사용하여 미러링된 트래픽을 분석할 수 있습니다.
이 예에서는 EX4300 스위치에서 로컬 미러링을 구성하는 방법을 설명합니다. 이 예에서는 직원 컴퓨터에 연결된 인터페이스로 들어오는 트래픽을 동일한 스위치의 분석기 출력 인터페이스로 미러링하도록 스위치를 구성하는 방법을 설명합니다.
요구 사항
이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.
-
EX4300 스위치 1개
-
EX 시리즈 스위치용 Junos OS 릴리스 13.2X50-D10 이상
개요 및 토폴로지
이 주제에는 스위치의 포트로 들어오는 트래픽을 동일한 스위치의 대상 인터페이스로 미러링하는 방법(로컬 미러링)에 대해 설명하는 두 가지 예가 포함되어 있습니다. 첫 번째 예에서는 직원 컴퓨터에 연결된 포트로 들어오는 모든 트래픽을 미러링하는 방법을 보여줍니다. 두 번째 예에서는 동일한 시나리오를 보여주지만, 웹으로 가는 직원 트래픽만 미러링하는 필터가 포함되어 있습니다.
인터페이스 ge-0/0/0 및 ge-0/0/1은 직원 컴퓨터의 연결을 제공합니다. 인터페이스 ge0/0/10은 미러링된 트래픽 분석을 위해 예약되어 있습니다. 프로토콜 분석기 애플리케이션을 실행하는 PC를 분석기 출력 인터페이스에 연결하여 미러링된 트래픽을 분석합니다.
하나의 인터페이스에 여러 포트가 미러링되면 버퍼 오버플로가 발생하고 패킷이 손실될 수 있습니다.
두 예시 모두 그림 5에 표시된 네트워크 토폴로지를 사용합니다.
로컬 분석을 위한 모든 직원 트래픽 미러링
로컬 분석을 위해 모든 직원 트래픽에 대한 미러링을 구성하려면 다음 작업을 수행하십시오.
절차
CLI 빠른 구성
직원 컴퓨터에 연결된 두 개의 포트에 수신 트래픽을 위한 로컬 미러링을 신속하게 구성하려면 다음 명령을 복사하여 스위치 터미널 창에 붙여넣습니다.
[edit] set interfaces ge-0/0/0 unit 0 family ethernet-switching set interfaces ge-0/0/1 unit 0 family inet address 192.0.2.1/24 set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members analyzer_vlan set vlans analyzer-vlan vlan-id 1000 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor output interface ge-0/0/10.0
단계별 절차
분석기를 구성하려면 입력(소스) 인터페이스 및 분석기 출력 인터페이스를 호출 employee-monitor 하고 지정합니다.
-
직원 컴퓨터에 연결된 각 인터페이스를 분석기의
employee-monitor입력 인터페이스로 구성합니다.[edit forwarding-options] user@switch# set analyzer employee-monitor input ingress interface ge–0/0/0.0 user@switch# set analyzer employee-monitor input ingress interface ge-0/0/1.0
-
분석기의 출력 인터페이스를 VLAN의 일부로 구성합니다.
[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members analyzer_vlan
[edit vlans] user@switch# set analyzer-vlan vlan-id 1000
-
분석기에
employee-monitor대한 출력 분석기 인터페이스를 구성합니다. 이것은 미러링된 패킷의 대상 인터페이스가 됩니다.[edit forwarding-options] user@switch# set analyzer employee-monitor output interface ge-0/0/10.0
결과
구성 결과를 확인합니다.
[edit]
user@switch# show
forwarding-options {
analyzer employee-monitor {
input {
ingress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;}
}
output {
interface {
ge-0/0/10.0;
}
}
}
}
로컬 분석을 위해 직원 컴퓨터에서 웹으로 가는 트래픽 미러링
직원 컴퓨터에서 웹으로 가는 트래픽의 미러링을 구성하려면 다음 작업을 수행하십시오.
절차
CLI 빠른 구성
직원 컴퓨터에 연결된 두 포트의 트래픽에 대한 로컬 미러링을 신속하게 구성하고 외부 웹에 대한 트래픽만 미러링되도록 필터링하려면 다음 명령을 복사하여 스위치 터미널 창에 붙여 넣습니다.
[edit] set forwarding-options port-mirroring instance employee-web-monitor output interface ge-0/0/10.0 set firewall family ethernet-switching filter watch-employee term employee-to-corp from destination-address 192.0.2.16/24 set firewall family ethernet-switching filter watch-employee term employee-to-corp from source-address 192.0.2.16/24 set firewall family ethernet-switching filter watch-employee term employee-to-corp then accept set firewall family ethernet-switching filter watch-employee term employee-to-web from destination-port 80 set firewall family ethernet-switching filter watch-employee term employee-to-web then port-mirroring-instance employee-web-monitor set interfaces ge-0/0/0 unit 0 family ethernet-switching filter input watch-employee set interfaces ge-0/0/1 unit 0 family ethernet-switching filter input watch-employee
단계별 절차
직원 컴퓨터에 연결된 두 포트에서 직원 컴퓨터에서 웹으로 가는 트래픽의 로컬 미러링을 구성하려면 다음 작업을 수행합니다.
-
로컬 분석기 인터페이스를 구성합니다.
[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching
-
출력 인스턴스를
employee-web-monitor구성합니다(인스턴스에 대한 입력은 필터 동작에서 나옴).[edit forwarding-options port-mirroring] user@switch# set instance employee-web-monitor output interface ge-0/0/10.0
-
웹에 대한 직원 요청의 미러링된 사본을 인스턴스로
employee-web-monitor전송하도록 호출watch-employee된 방화벽 필터를 구성합니다. 회사 서브넷(대상 또는 소스 주소 192.0.2.16/24)을 들어오고 나가는 모든 트래픽을 수락합니다. 인터넷(대상 포트 80)으로 향하는 모든 패킷의 미러링된 사본을employee-web-monitor인스턴스로 전송합니다.[edit firewall family ethernet-switching] user@switch# set filter watch-employee term employee-to-corp from destination-address 192.0.2.16/24 user@switch# set filter watch-employee term employee-to-corp from source-address 192.0.2.16/24 user@switch# set filter watch-employee term employee-to-corp then accept ser@switch# set filter watch-employee term employee-to-web from destination-port 80 user@switch# set filter watch-employee term employee-to-web then port-mirroring-instance employee-web-monitor
-
적절한 포트에 필터를
watch-employee적용합니다.[edit interfaces] user@switch# set ge-0/0/0 unit 0 family ethernet-switching filter input watch-employee user@switch# set ge-0/0/1 unit 0 family ethernet-switching filter input watch-employee
결과
구성 결과를 확인합니다.
[edit]
user@switch# show
forwarding-options {
port-mirroring {
instance {
employee-web-monitor {
family ethernet-switching {
output {
interface ge-0/0/10.0;
}
}
}
}
}
}
...
firewall family ethernet-switching {
filter watch-employee {
term employee-to-corp {
from {
destination-address 192.0.2.16/24;
source-address 192.0.2.16/24;
}
then accept {
}
term employee-to-web {
from {
destination-port 80;
}
then port-mirroring-instance employee-web-monitor;
}
}
}
...
interfaces {
ge-0/0/0 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
vlan members [employee-vlan, voice-vlan];
filter {
input watch-employee;
}
}
}
}
ge-0/0/1 {
family ethernet-switching {
filter {
input watch-employee;
}
}
}
}
검증
구성이 올바른지 확인하려면 다음 작업을 수행하십시오.
분석기가 올바르게 생성되었는지 확인
목적
분석기 employee-monitor 또는 employee-web-monitor 이 적절한 입력 인터페이스와 적절한 출력 인터페이스를 사용하여 스위치에서 생성되었는지 확인합니다.
작업
이 명령을 사용하여 show forwarding-options analyzer 분석기가 제대로 구성되었는지 확인할 수 있습니다.
user@switch> show forwarding-options analyzer Analyzer name : employee-monitor Mirror rate : 1 Maximum packet length : 0 State : up Ingress monitored interfaces : ge-0/0/0.0 Ingress monitored interfaces : ge-0/0/1.0 Output interface : ge-0/0/10.0
의미
이 출력은 분석기의 employee-monitor 비율이 1(모든 패킷 미러링, 기본 설정), 미러링된 원본 패킷의 최대 크기(0 전체 패킷을 나타냄), 구성 상태(가동되면 분석기가 ge-0/0/0 및 ge-0/0/1 인터페이스로 들어오는 트래픽을 미러링하고 미러링된 트래픽을 ge-0/0/10 인터페이스로 전송함을 나타냄)를 가지고 있음을 보여줍니다. 출력 인터페이스의 상태가 꺼짐이거나 출력 인터페이스가 구성되지 않은 경우, 상태 값은 이것이며 down 분석기는 미러링을 위해 프로그래밍되지 않습니다.
포트 미러링 인스턴스가 제대로 구성되었는지 확인
목적
포트 미러링 인스턴스 employee-web-monitor 가 적절한 입력 인터페이스를 사용하여 스위치에서 올바르게 구성되었는지 확인합니다.
작업
이 show forwarding-options port-mirroring 명령을 사용하여 포트 미러링 인스턴스가 제대로 구성되었는지 확인할 수 있습니다.
user@switch> show forwarding-options port-mirroring
Instance Name: employee-web-monitor
Instance Id: 3
Input parameters:
Rate : 1
Run-length : 0
Maximum-packet-length : 0
Output parameters:
Family State Destination Next-hop
ethernet-switching up ge-0/0/10.0
의미
이 출력은 인스턴스의 employee-web-monitor 비율이 1(모든 패킷 미러링, 기본값)이고, 미러링된 원본 패킷의 최대 크기(0 전체 패킷을 나타냄)이며, 구성 상태가 가동되고 포트 미러링이 프로그래밍되어 있으며, 방화벽 필터 작업의 미러링된 트래픽이 인터페이스 ge-0/0/10.0으로 전송됨을 보여줍니다. 출력 인터페이스의 상태가 다운되거나 인터페이스가 구성되지 않은 경우, 상태 값은 다운이 되고 포트 미러링은 미러링을 위해 프로그래밍되지 않습니다.
예: EX4300 스위치에서 직원 리소스 사용을 원격 모니터링하기 위한 미러링 구성
이 예에서는 ELS(Enhanced Layer 2 소프트웨어) 구성 스타일을 지원하는 EX 시리즈 스위치용 Junos OS를 사용합니다. 스위치가 ELS를 지원하지 않는 소프트웨어를 실행하는 경우, 예: EX4300 스위치에서 직원 리소스 사용을 원격 모니터링하기 위한 미러링 구성을 참조하십시오. ELS에 대한 자세한 내용은 Enhanced Layer 2 소프트웨어 시작하기를 참조하십시오.
EX4300 스위치를 사용하면 미러링을 구성하여 로컬 모니터링을 위한 로컬 인터페이스 또는 원격 모니터링을 위한 VLAN으로 패킷 사본을 전송할 수 있습니다. 미러링을 사용하여 복사할 수 있는 패킷은 다음과 같습니다.
-
포트에 들어오거나 나가는 패킷
-
EX4300 스위치에서 VLAN에 들어가는 패킷
미러링된 트래픽을 분석기 VLAN으로 전송하는 경우 원격 모니터링 스테이션에서 실행되는 프로토콜 분석기 애플리케이션을 사용하여 미러링된 트래픽을 분석할 수 있습니다.
이 주제에는 원격 모니터링 스테이션에서 분석을 수행할 수 있도록 스위치의 포트로 들어오는 트래픽을 VLAN으로 remote-analyzer 미러링하는 방법을 설명하는 두 개의 관련 예가 포함되어 있습니다. 첫 번째 예에서는 직원 컴퓨터에 연결된 포트로 들어오는 모든 트래픽을 미러링하는 방법을 보여줍니다. 두 번째 예에서는 동일한 시나리오를 보여주지만 웹으로 가는 직원 트래픽만 미러링하는 필터를 포함합니다.
필요한 패킷만 미러링하여 성능에 미칠 수 있는 잠재적 영향을 줄입니다. 다음과 같이 하실 것을 권장합니다.
-
사용하지 않을 때는 구성된 미러링 세션을 비활성화합니다.
-
모든 인터페이스를 입력으로 지정하기보다는 개별 인터페이스를 분석기에 대한 입력으로 지정하십시오.
-
방화벽 필터를 사용하여 미러링된 트래픽의 양을 제한합니다.
이 예에서는 원격 미러링을 구성하는 방법을 설명합니다.
요구 사항
이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.
-
EX 시리즈 스위치용 Junos OS 릴리스 13.2X50-D10 이상
-
다른 EX4300 스위치에 연결된 EX4300 스위치
아래 다이어그램은 EX4300 대상 스위치에 연결된 EX4300 Virtual Chassis를 보여줍니다.
원격 미러링을 구성하기 전에 다음 조건이 갖추어졌는지 확인합니다.
-
미러링 개념을 이해하고 있습니다.
-
분석기가 입력 인터페이스로 사용할 인터페이스가 스위치에 구성되어 있습니다.
개요 및 토폴로지
이 주제에는 원격 모니터링 스테이션에서 분석을 수행할 수 있도록 VLAN으로의 remote-analyzer 미러링을 구성하는 방법을 설명하는 두 개의 관련 예가 포함되어 있습니다. 첫 번째 예에서는 직원 컴퓨터의 모든 트래픽을 미러링하도록 스위치를 구성하는 방법을 보여줍니다. 두 번째 예에서는 동일한 시나리오를 보여주지만, 웹으로 가는 직원 트래픽만 미러링하는 필터가 설정에 포함되어 있습니다.
그림 6은 이러한 두 가지 예제 시나리오에 대한 네트워크 토폴로지를 보여줍니다.
토폴로지
이 예제에서는 다음과 같습니다.
-
인터페이스 ge-0/0/0은 레이어 2 인터페이스이며, 인터페이스 ge-0/0/1은 직원 컴퓨터의 연결 역할을 하는 레이어 3 인터페이스(소스 스위치의 두 인터페이스)입니다.
-
인터페이스 ge-0/0/10은 원본 스위치를 대상 스위치에 연결하는 레이어 2 인터페이스입니다.
-
인터페이스 ge-0/0/5는 대상 스위치를 원격 모니터링 스테이션에 연결하는 레이어 2 인터페이스입니다.
-
VLAN
remote-analyzer은 미러링된 트래픽을 전달하도록 토폴로지의 모든 스위치에 구성됩니다.
원격 분석을 위해 모든 직원 트래픽 미러링
들어오고 나가는 모든 직원 트래픽에 대한 원격 트래픽 분석을 위해 분석기를 구성하려면 다음 작업을 수행합니다.
절차
CLI 빠른 구성
들어오고 나가는 직원 트래픽에 대한 원격 트래픽 분석을 위해 분석기를 빠르게 구성하려면 다음 명령을 복사하여 스위치 터미널 창에 붙여넣으십시오.
-
소스 스위치 터미널 창에 다음 명령을 복사하여 붙여 넣습니다.
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor output vlan remote-analyzer
-
다음 명령을 복사하여 대상 스위치 터미널 창에 붙여 넣습니다.
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 set interfaces ge-0/0/5 unit 0 family ethernet-switching interface-mode trunk set forwarding-options analyzer employee-monitor input ingress vlan remote-analyzer set forwarding-options analyzer employee-monitor output interface ge-0/0/5.0
단계별 절차
기본 원격 포트 미러링을 구성하려면 다음을 수행합니다.
-
소스 스위치에서 다음을 수행합니다.
-
VLAN에 대한 VLAN ID를 구성합니다.
remote-analyzer[edit vlans] user@switch# set remote-analyzer vlan-id 999 -
트렁크 모드용으로 대상 스위치에 연결된 네트워크 포트에서 인터페이스를 구성하고 이를 VLAN
remote-analyzer과 연결합니다.[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999
-
분석기를 구성합니다.
employee-monitor[edit forwarding-options] user@switch# set analyzer employee-monitor input ingress interface ge-0/0/0.0 user@switch# set analyzer employee-monitor input ingress interface ge-0/0/1.0 user@switch# set instance employee-monitor input egress interface ge-0/0/0.0 user@switch# set analyzer employee-monitor input egress interface ge-0/0/1.0 user@switch# set analyzer employee-monitor output vlan remote-analyzer
-
-
대상 스위치에서 다음을 수행합니다.
-
VLAN에 대한 VLAN ID를 구성합니다.
remote-analyzer[edit vlans] user@switch# set remote-analyzer vlan-id 999
-
트렁크 모드용으로 대상 스위치에서 인터페이스를 구성하고 VLAN과
remote-analyzer연결합니다.[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999
-
트렁크 모드용으로 대상 스위치에 연결된 인터페이스를 구성합니다.
[edit interfaces] user@switch# set ge-0/0/5 unit 0 family ethernet-switching interface-mode trunk
-
분석기를 구성합니다.
employee-monitor[edit forwarding-options] user@switch# set analyzer employee-monitor input ingress vlan remote-analyzer user@switch# set analyzer employee-monitor output interface ge-0/0/5.0
-
결과
소스 스위치에서 구성 결과를 확인합니다.
[edit]
user@switch> show
forwarding-options {
analyzer employee-monitor {
input {
ingress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
egress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
}
output {
vlan {
remote-analyzer;
}
}
}
}
interfaces {
ge-0/0/10 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
vlan {
members 999;
}
}
}
}
}
vlans {
remote-analyzer {
vlan-id 999;
interface {
ge-0/0/10.0
}
}
}
}
대상 스위치에서 구성 결과를 확인합니다.
[edit]
user@switch> show
interfaces {
ge0/0/5 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
}
}
}
ge-0/0/10 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
vlan {
members 999;
}
}
}
}
}
vlans {
remote-analyzer {
vlan-id 999;
interface {
ge-0/0/10.0
}
}
}
}
forwarding-options {
analyzer employee-monitor {
input {
ingress {
vlan remote-analyzer;
}
}
output {
interface {
ge-0/0/5.0;
}
}
}
}
원격 분석을 위해 직원 컴퓨터에서 웹으로 가는 트래픽 미러링
직원 컴퓨터에서 웹으로 가는 트래픽의 원격 트래픽 분석을 위해 포트 미러링을 구성하려면 다음 작업을 수행하십시오.
절차
CLI 빠른 구성
외부 웹으로 가는 직원 트래픽을 미러링하기 위해 포트 미러링을 신속하게 구성하려면 다음 명령을 복사하여 스위치 터미널 창에 붙여 넣으십시오.
-
소스 스위치 터미널 창에 다음 명령을 복사하여 붙여 넣습니다.
[edit] user@switch# set forwarding-options port-mirroring instance employee-web-monitor output vlan 999 user@switch# set vlans remote-analyzer vlan-id 999 user@switch# set interfaces ge-0/0/10 unit 0 family ethernet-switching port mode trunk user@switch# set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 user@switch# set firewall family ethernet-switching filter watch-employee term employee-to-corp from destination-address 192.0.2.16/24 user@switch# set firewall family ethernet-switching filter watch-employee term employee-to-corp from source-address 192.0.2.16/24 user@switch# set firewall family ethernet-switching filter watch-employee term employee-to-corp then accept user@switch# set firewall family ethernet-switching filter watch-employee term employee-to-web from destination-port 80 user@switch# set firewall family ethernet-switching filter watch-employee term employee-to-web then port-mirror-instance employee-web-monitor user@switch# set interfaces ge-0/0/0 unit 0 family ethernet-switching filter input watch-employee user@switch# set interfaces ge-0/0/1 unit 0 family ethernet-switching filter input watch-employee
-
다음 명령을 복사하여 대상 스위치 터미널 창에 붙여 넣습니다.
[edit] user@switch# set vlans remote-analyzer vlan-id 999 user@switch# set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk user@switch# set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 user@switch# set interfaces ge-0/0/5 unit 0 family ethernet-switching interface-mode trunk user@switch# set forwarding-options analyzer employee-web-monitor input ingress vlan remote-analyzer user@switch# set forwarding-options analyzer employee-web-monitor output interface ge-0/0/5.0
단계별 절차
원격 모니터링 스테이션에서 사용하기 위해 직원 컴퓨터에 연결된 두 포트의 모든 트래픽을 VLAN remote-analyzer 으로 미러링하는 포트 미러링을 구성하려면 다음을 수행합니다.
-
소스 스위치에서 다음을 수행합니다.
-
포트 미러링 인스턴스를 구성합니다
employee-web-monitor.[edit ] user@switch# set interfaces ge-0/0/10 unit 0 family ethernet-switching port mode trunk user@switch# set forwarding-options port-mirroring instance employee-web-monitor output vlan 999
-
VLAN에 대한 VLAN ID를 구성합니다.
remote-analyzer[edit vlans] user@switch# set remote-analyzer vlan-id 999
-
VLAN과 연결하도록 인터페이스를 구성합니다.
remote-analyzer[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999
-
라는
watch-employee방화벽 필터를 구성합니다.[edit firewall family ethernet-switching] user@switch# set filter watch-employee term employee-to-corp from destination-address 192.0.2.16/24 user@switch# set filter watch-employee term employee-to-corp from source-address 192.0.2.16/24 user@switch# set filter watch-employee term employee-to-corp then accept user@switch# set filter watch-employee term employee-to-web from destination-port 80 user@switch# set filter watch-employee term employee-to-web then port-mirror-instance employee-web-monitor
-
직원 인터페이스에 방화벽 필터를 적용합니다.
[edit interfaces] user@switch# set ge-0/0/0 unit 0 family ethernet-switching filter input watch-employee user@switch# set ge-0/0/1 unit 0 family ethernet-switching filter input watch-employee
-
-
대상 스위치에서 다음을 수행합니다.
-
VLAN에 대한 VLAN ID를 구성합니다.
remote-analyzer[edit vlans] user@switch# set remote-analyzer vlan-id 999
-
트렁크 모드용으로 대상 스위치에서 인터페이스를 구성하고 VLAN과
remote-analyzer연결합니다.[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999
-
트렁크 모드용으로 대상 스위치에 연결된 인터페이스를 구성합니다.
[edit interfaces] user@switch# set ge-0/0/5 unit 0 family ethernet-switching interface-mode trunk
-
분석기를 구성합니다.
employee-monitor[edit forwarding-options port-mirroring] user@switch# set instance employee-web-monitor input ingress vlan remote-analyzer user@switch# set instance employee-web-monitor output interface ge-0/0/5.0
-
결과
소스 스위치에서 구성 결과를 확인합니다.
[edit]
user@switch> show
interfaces {
ge-0/0/10 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
vlan {
members remote-analyzer;
}
}
}
}
ge-0/0/0 {
unit 0 {
family ethernet-switching {
filter {
input watch-employee;
}
}
}
}
ge-0/0/1 {
unit 0 {
family ethernet-switching {
filter {
input watch-employee;
}
}
}
}
}
firewall {
family ethernet-switching {
filter watch-employee {
term employee-to-corp {
from {
source-address {
192.0.2.16/24;
}
destination-address {
192.0.2.16/24;
}
}
then accept;
}
term employee-to-web {
from {
destination-port 80;
}
then port-mirror-instance employee-web-monitor;
}
}
}
}
forwarding-options {
analyzer employee-web-monitor {
output {
vlan {
999;
}
}
}
vlans {
remote-analyzer {
vlan-id 999;
}
}
대상 스위치에서 구성 결과를 확인합니다.
[edit]
user@switch> show
vlans {
remote-analyzer {
vlan-id 999;
}
}
interfaces {
ge-0/0/10 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
vlan {
members remote-analyzer;
}
}
}
}
ge-0/0/5 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
}
}
}
}
forwarding-options {
port-mirroring {
instance employee-web-monitor {
input {
ingress {
vlan remote-analyzer;
}
}
output {
interface {
ge-0/0/5.0;
}
}
}
}
검증
구성이 제대로 작동하는지 확인하려면 다음 작업을 수행하십시오.
분석기가 올바르게 생성되었는지 확인
목적
분석기가 적절한 입력 인터페이스 및 적절한 출력 인터페이스를 사용하여 스위치에서 이름이 지정 employee-monitor 되었거나 employee-web-monitor 생성되었는지 확인합니다.
작업
명령을 사용하여 show forwarding-options analyzer 분석기가 예상대로 구성되었는지 확인할 수 있습니다. 비활성화된 이전에 생성된 분석기를 보려면 J-Web 인터페이스로 이동하십시오.
소스 스위치에서 모든 직원 트래픽을 모니터링하면서 분석기가 예상대로 구성되었는지 확인하려면 소스 스위치에서 명령을 show analyzer 실행합니다. 이 구성 예에서는 다음과 같은 출력이 표시됩니다.
user@switch> show forwarding-options analyzer Analyzer name : employee-monitor Mirror rate : 1 Maximum packet length : 0 State : up Ingress monitored interfaces : ge-0/0/0.0 Ingress monitored interfaces : ge-0/0/1.0 Egress monitored interfaces : ge-0/0/0.0 Egress monitored interfaces : ge-0/0/1.0 Output VLAN : default-switch/remote-analyzer
의미
이 출력은 인스턴스의 employee-monitor 비율이 1(모든 패킷 미러링, 기본값)이고, 미러링된 원본 패킷의 최대 크기(0은 전체 패킷을 나타냄)이며, 구성 상태가 가동(적절한 상태를 나타내며 분석기가 프로그래밍되어 ge-0/0/0 및 ge-0/0/1로 들어오는 트래픽을 미러링하고 미러링된 트래픽을 이라는 remote-analyzer VLAN으로 전송하고 있음을 보여줍니다). 출력 인터페이스의 상태가 꺼짐이거나 출력 인터페이스가 구성되지 않은 경우, 상태 값은 꺼짐이 되고 분석기는 미러링을 위해 프로그래밍되지 않습니다.
예: EX4300 스위치의 전송 스위치를 통해 직원 리소스 사용을 원격 모니터링하기 위한 미러링 구성
이 예에서는 ELS(Enhanced Layer 2 소프트웨어) 구성 스타일을 지원하는 EX 시리즈 스위치용 Junos OS를 사용합니다.
EX4300 스위치를 사용하면 미러링을 구성하여 로컬 모니터링을 위한 로컬 인터페이스 또는 원격 모니터링을 위한 VLAN으로 패킷 사본을 전송할 수 있습니다. 미러링을 사용하여 복사할 수 있는 패킷은 다음과 같습니다.
-
포트에 들어오거나 나가는 패킷
-
EX4300 스위치에서 VLAN에 들어가는 패킷
미러링된 트래픽을 분석기 VLAN으로 전송하는 경우 원격 모니터링 스테이션에서 실행되는 프로토콜 분석기 애플리케이션을 사용하여 미러링된 트래픽을 분석할 수 있습니다.
이 항목에는 원격 모니터링 스테이션에서 분석을 수행할 수 있도록 스위치의 포트로 들어오는 트래픽을 전송 스위치를 통해 VLAN remote-analyzer 으로 미러링하는 방법에 대한 예제가 포함되어 있습니다.
필요한 패킷만 미러링하여 성능에 미칠 수 있는 잠재적 영향을 줄입니다. 다음과 같이 하실 것을 권장합니다.
-
사용하지 않을 때는 구성된 미러링 세션을 비활성화합니다.
-
모든 인터페이스를 입력으로 지정하기보다는 개별 인터페이스를 분석기에 대한 입력으로 지정하십시오.
-
방화벽 필터를 사용하여 미러링된 트래픽의 양을 제한합니다.
이 예제에서는 전송 스위치를 통해 원격 미러링을 구성하는 방법을 설명합니다.
요구 사항
이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.
-
세 번째 EX4300 스위치를 통해 다른 EX4300 스위치에 연결된 EX4300 스위치
-
EX 시리즈 스위치용 Junos OS 릴리스 13.2X50-D10 이상
원격 미러링을 구성하기 전에 다음 조건이 갖추어졌는지 확인합니다.
-
미러링 개념을 이해하고 있습니다.
-
분석기가 입력 인터페이스로 사용할 인터페이스가 스위치에 구성되어 있습니다.
개요 및 토폴로지
이 예제에서는 원격 모니터링 스테이션에서 분석을 수행할 수 있도록 스위치의 포트로 들어오는 트래픽을 전송 스위치를 통해 VLAN remote-analyzer 으로 미러링하는 방법을 설명합니다. 이 예에서는 직원 컴퓨터에서 원격 분석기로의 모든 트래픽을 미러링하도록 스위치를 구성하는 방법을 보여줍니다.
이 구성에서는 분석기 VLAN에서 원격 모니터링 스테이션이 연결된 송신 인터페이스로 들어오는 트래픽을 미러링하기 위해 대상 스위치에 분석기 세션이 필요합니다. 전송 스위치에서 VLAN의 remote-analyzer 모든 멤버 인터페이스에 대해 MAC 학습이 비활성화되도록 VLAN에 대한 remote-analyzer 전송 스위치에서 MAC 학습을 비활성화해야 합니다.
그림 7은 이 예의 네트워크 토폴로지를 보여줍니다.
토폴로지
통한 원격 미러링
이 예제에서는 다음과 같습니다.
-
인터페이스 ge-0/0/0은 레이어 2 인터페이스이며, 인터페이스 ge-0/0/1은 직원 컴퓨터의 연결 역할을 하는 레이어 3 인터페이스(소스 스위치의 두 인터페이스)입니다.
-
인터페이스 ge-0/0/10은 전송 스위치에 연결되는 레이어 2 인터페이스입니다.
-
인터페이스 ge-0/0/11은 전송 스위치의 레이어 2 인터페이스입니다.
-
인터페이스 ge-0/0/12는 전송 스위치의 레이어 2 인터페이스이며 대상 스위치에 연결됩니다.
-
인터페이스 ge-0/0/13은 대상 스위치의 레이어 2 인터페이스입니다.
-
인터페이스 ge-0/0/14는 대상 스위치의 레이어 2 인터페이스이며 원격 모니터링 스테이션에 연결됩니다.
-
VLAN
remote-analyzer은 미러링된 트래픽을 전달하도록 토폴로지의 모든 스위치에 구성됩니다.
전송 스위치를 통한 원격 분석을 위해 모든 직원 트래픽 미러링
들어오고 나가는 모든 직원 트래픽에 대해 전송 스위치를 통해 원격 트래픽 분석을 위한 미러링을 구성하려면 다음 작업을 수행합니다.
절차
CLI 빠른 구성
전송 스위치를 통해 원격 트래픽 분석을 위한 미러링을 신속하게 구성하려면 들어오고 나가는 직원 트래픽에 대해 다음 명령을 복사하여 스위치 터미널 창에 붙여넣습니다.
-
소스 스위치(모니터링된 스위치) 터미널 창에 다음 명령을 복사하여 붙여 넣습니다.
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor output vlan remote-analyzer
-
다음 명령을 복사하여 전송 스위치 창에 붙여 넣습니다.
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/11 unit 0 family ethernet-switching interface-mode trunk set vlans remote-analyzer interface ge-0/0/11 set interfaces ge-0/0/12 unit 0 family ethernet-switching interface-mode trunk set vlans remote-analyzer interface ge-0/0/12 set vlans remote-analyzer no-mac-learning
-
다음 명령을 복사하여 대상 스위치 창에 붙여 넣습니다.
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/13 unit 0 family ethernet-switching interface-mode trunk set vlans remote-analyzer interface ge-0/0/13 ingress set interfaces ge-0/0/14 unit 0 family ethernet-switching interface-mode trunk set forwarding-options analyzer employee-monitor input ingress vlan remote-analyzer set forwarding-options analyzer employee-monitor output interface ge-0/0/14.0
단계별 절차
전송 스위치를 통해 원격 미러링을 구성하려면 다음을 수행합니다.
-
소스 스위치에서 다음을 수행합니다.
-
VLAN에 대한 VLAN ID를 구성합니다.
remote-analyzer[edit vlans] user@switch# set remote-analyzer vlan-id 999
-
전송 스위치에 연결된 네트워크 포트의 인터페이스를 트렁크 모드로 구성하고 이를 VLAN과
remote-analyzer연결합니다.[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999
-
분석기를 구성합니다.
employee-monitor[edit forwarding-options] user@switch# set analyzer employee-monitor input ingress interface ge-0/0/0.0 user@switch# set analyzer employee-monitor input ingress interface ge-0/0/1.0 user@switch# set analyzer employee-monitor input egress interface ge-0/0/0.0 user@switch# set analyzer employee-monitor input egress interface ge-0/0/1.0 user@switch# set analyzer employee-monitor output vlan remote-analyzer
-
-
전송 스위치에서 다음을 수행합니다.
-
VLAN에 대한 VLAN ID를 구성합니다.
remote-analyzer[edit vlans] user@switch# set remote-analyzer vlan-id 999
-
트렁크 모드용으로 ge-0/0/11 인터페이스를 구성하고 VLAN과 연결합니다.
remote-analyzer[edit interfaces] user@switch# set ge-0/0/11 unit 0 family ethernet-switching interface-mode trunk
-
인터페이스를 트렁크 모드용으로 구성
ge-0/0/12하고, VLAN과remote-analyzer연결하며, 송신 트래픽 전용으로 인터페이스를 설정합니다.[edit interfaces] user@switch# set ge-0/0/12 unit 0 family ethernet-switching interface-mode trunk user@switch# set vlans remote-analyzer interface ge-0/0/12
-
VLAN의 멤버인 모든 인터페이스에서 MAC 학습을 비활성화하도록 VLAN에 대한
remote-analyzer옵션을 구성no-mac-learning합니다.remote-analyzer[edit interfaces] user@switch# set vlans remote-analyzer no-mac-learning
-
-
대상 스위치에서 다음을 수행합니다.
-
VLAN에 대한 VLAN ID를 구성합니다.
remote-analyzer[edit vlans] user@switch# set remote-analyzer vlan-id 999
-
트렁크 모드용으로 ge-0/0/13 인터페이스를 구성하고, VLAN과
remote-analyzer연결하고, 수신 트래픽 전용으로 인터페이스를 설정합니다.[edit interfaces] user@switch# set ge-0/0/13 unit 0 family ethernet-switching interface-mode trunk user@switch# set vlans remote-analyzer interface ge-0/0/13 ingress
-
트렁크 모드용으로 원격 모니터링 스테이션에 연결된 인터페이스를 구성합니다.
[edit interfaces] user@switch# set ge-0/0/14 unit 0 family ethernet-switching interface-mode trunk
-
분석기를 구성합니다.
employee-monitor[edit forwarding-options] user@switch# set analyzer employee-monitor input ingress vlan remote-analyzer user@switch# set analyzer employee-monitor output interface ge-0/0/14.0
-
결과
소스 스위치에서 구성 결과를 확인합니다.
[edit]
user@switch> show
forwarding-options {
analyzer employee-monitor {
input {
ingress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
egress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
}
output {
vlan {
remote-analyzer;
}
}
}
}
vlans {
remote-analyzer {
vlan-id 999;
}
}
interfaces {
ge-0/0/10 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
vlan {
member 999;
}
}
}
}
}
전송 스위치에서 구성 결과를 확인합니다.
[edit]
user@switch> show
vlans {
remote-analyzer {
vlan-id 999;
interface {
ge-0/0/11.0 {
}
ge-0/0/12.0 {
}
}
no-mac-learning;
}
}
interfaces {
ge-0/0/11 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
}
}
}
ge-0/0/12 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
}
}
}
}
대상 스위치에서 구성 결과를 확인합니다.
[edit]
user@switch> show
vlans {
remote-analyzer {
vlan-id 999;
interface {
ge-0/0/13.0 {
ingress;
}
}
}
}
interfaces {
ge-0/0/13 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
}
}
}
ge-0/0/14 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
}
}
}
}
forwarding-options {
analyzer employee-monitor {
input {
ingress {
vlan remote-analyzer;
}
}
output {
interface {
ge-0/0/14.0;
}
}
}
}
검증
구성이 제대로 작동하는지 확인하려면 다음 작업을 수행하십시오.
분석기가 올바르게 생성되었는지 확인
목적
스위치 employee-monitor 에서 지정된 분석기가 적절한 입력 인터페이스 및 적절한 출력 인터페이스를 사용하여 생성되었는지 확인합니다.
작업
명령을 사용하여 show analyzer 분석기가 예상대로 구성되었는지 확인할 수 있습니다. 비활성화된 이전에 생성된 분석기를 보려면 J-Web 인터페이스로 이동하십시오.
소스 스위치에서 모든 직원 트래픽을 모니터링하면서 분석기가 예상대로 구성되었는지 확인하려면 소스 스위치에서 명령을 show analyzer 실행합니다. 이 구성 예제에서는 다음과 같은 출력이 표시됩니다.
user@switch> show forwarding-options analyzer Analyzer name : employee-monitor Mirror rate : 1 Maximum packet length : 0 State : up Ingress monitored interfaces : ge-0/0/0.0 Ingress monitored interfaces : ge-0/0/1.0 Egress monitored interfaces : ge-0/0/0.0 Egress monitored interfaces : ge-0/0/1.0 Output vlan : default-switch/remote-analyzer
의미
이 출력은 분석기의 비율이 1(모든 패킷 미러링, 기본값)이며, ge-0/0/0 및 ge-0/0/1로 들어오는 트래픽을 미러링하고, 미러링된 트래픽을 분석기remote-analyzer로 전송하고 있음을 보여줍니다employee-monitor.