Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

포트 미러링 구성 로컬 및 원격 분석

포트 미러링 구성하기

포트 미러링을 사용하여 패킷을 복사하고 네트워크 분석기 또는 침입 탐지 애플리케이션과 같은 애플리케이션을 실행하는 디바이스로 사본을 전송함으로써 트래픽을 지연 없이 분석할 수 있습니다. 포트를 들어오거나 나가거나 VLAN에 들어오는 트래픽을 미러링할 수 있으며, 트렁크 인터페이스를 통해 로컬 액세스 인터페이스 또는 VLAN으로 사본을 보낼 수 있습니다.

포트 미러링을 사용하지 않을 때는 비활성화하는 것이 좋습니다. 성능 문제가 발생하지 않도록 하려면 포트 미러링을 사용하는 경우 키워드를 all 사용하는 대신 특정 입력 인터페이스를 선택하는 것이 좋습니다. 방화벽 필터를 사용하여 미러링된 트래픽의 양을 제한할 수도 있습니다.

주:

이 작업에서는 ELS(Enhanced Layer 2 Software) 구성 스타일을 사용합니다. 스위치에서 ELS를 지원하지 않는 소프트웨어를 실행하는 경우 포트 미러링 구성을 참조하십시오. ELS 세부 사항은 Enhanced Layer 2 Software CLI 사용을 참조하십시오.

주:

기존 분석기를 삭제하지 않고 추가 분석기를 만들려면 먼저 명령을 사용하여 기존 분석기를 비활성화합니다 disable analyzer analyzer-name .

주:

포트 미러링 출력 인터페이스를 로 family ethernet-switching구성해야 합니다.

로컬 분석을 위한 포트 미러링 구성

스위치의 로컬 인터페이스로 인터페이스 트래픽을 미러링하는 방법:

  1. 특정 인터페이스를 수신 또는 송신하는 트래픽을 미러링하려면 포트 미러링 구성의 이름을 선택하고 인터페이스와 트래픽 방향을 지정하여 미러링해야 하는 트래픽을 구성합니다.
    주:

    송신 패킷을 미러링하도록 Junos OS를 구성하는 경우 2000개 이상의 VLAN을 구성하지 마십시오. 이렇게 하면 일부 VLAN 패킷에 잘못된 VLAN ID가 포함될 수 있습니다.

    주:

    액세스 인터페이스를 송신하는 패킷에 대해 미러링을 구성하는 경우, 원래 패킷은 액세스 인터페이스를 나갈 때 VLAN 태그를 잃게 되지만, 미러링된(복사된) 패킷은 분석기 시스템으로 전송될 때 VLAN 태그를 유지합니다.

  2. VLAN으로 들어오는 모든 트래픽이 미러링되도록 지정하려면 포트 미러링 구성의 이름을 선택하고 VLAN을 지정합니다.
    주:

    VLAN을 송신하는 트래픽을 복사하도록 포트 미러링을 구성할 수 없습니다.

  3. 미러링된 패킷에 대한 대상 인터페이스를 구성합니다.

원격 분석을 위한 포트 미러링 구성

원격 위치에서 분석을 위해 VLAN으로 트래픽을 미러링하려면 다음을 수행합니다.

  1. 미러링된 트래픽을 수행하는 VLAN을 구성합니다.
  2. 트렁크 모드로 다른 스위치(업링크 인터페이스)에 연결하는 인터페이스를 구성하고 이를 적절한 VLAN과 연결합니다.
  3. 분석기를 구성합니다.
    1. 분석기의 이름을 선택합니다.
    2. 미러링할 인터페이스와 트래픽이 수신 또는 송신 시 미러링되어야 하는지 여부를 지정합니다.
    3. 적절한 IP 주소 또는 VLAN을 출력으로 지정합니다(VLAN은 다음 예에서 지정됨).

      IP 주소를 출력으로 지정하는 경우 다음 제약 조건에 유의하십시오.

      • 주소는 스위치 관리 인터페이스와 동일한 서브네트워크에 있을 수 없습니다.

      • 가상 라우팅 인스턴스를 생성하고 출력 IP 주소를 포함하는 분석기 구성도 생성하는 경우, 출력 주소는 기본 가상 라우팅 인스턴스(inet.0 라우팅 테이블)에 속합니다.

      • 분석기 디바이스는 GRE 캡슐화 패킷을 캡슐화 해제할 수 있어야 하며, 또는 GRE 캡슐화 패킷은 분석기 디바이스에 도달하기 전에 캡슐화 해제되어야 합니다. (네트워크 스니퍼를 사용하여 패킷의 캡슐화를 해제할 수 있습니다.)

분석기로 유입되는 트래픽 필터링

주:

이 기능은 NFX150 디바이스에서 지원되지 않습니다.

분석기를 구성하여 미러링할 트래픽을 지정하는 것 외에도 방화벽 필터를 사용하여 복사할 패킷을 보다 효과적으로 제어할 수 있습니다. 예를 들어 필터를 사용하여 특정 애플리케이션의 트래픽만 미러링되도록 지정할 수 있습니다. 필터는 사용 가능한 일치 조건을 사용할 수 있으며 port-mirror-instance instance-name. 여러 필터 또는 용어에서 동일한 분석기를 사용하는 경우 출력 패킷은 한 번만 복사됩니다.

포트 미러링 인스턴스에 대한 입력으로 방화벽 필터를 사용하면 방화벽이 관련되지 않을 때와 마찬가지로 복사된 트래픽을 로컬 인터페이스 또는 VLAN으로 보냅니다.

필터를 사용하여 포트 미러링을 구성하는 방법:

  1. 로컬 또는 원격 분석을 위해 포트 미러링 인스턴스를 구성합니다. 출력만 구성합니다. 예를 들어, 로컬 분석의 경우 다음을 입력합니다.
    주:

    이 인스턴스에 대한 입력을 구성할 수 없습니다.

  2. 사용 가능한 일치 조건을 사용하여 방화벽 필터를 생성합니다. 용어에서 then specify include the action 수정자 port-mirror-instance instance-name.
  3. 분석기에 입력을 제공해야 하는 인터페이스 또는 VLAN에 방화벽 필터를 적용합니다.

SRX 시리즈 방화벽에서 포트 미러링 구성

SRX 디바이스에서 포트 미러링을 구성하려면 먼저 계층 수준에서 및 interfaces 을(를[edit]) 구성해야 forwarding-options 합니다.

포트 미러링을 위한 포트 인스턴스를 mirror-to 정의하고 미러링될 인터페이스도 구성하도록 문을 구성해야 forwarding-options 합니다.

주:

미러된 포트와 미러 투 포트는 I/O 카드에서 동일한 Broadcom 칩셋 아래에 있어야 합니다.

포트 미러링 구성하기:

  1. rate 계층 수준에서 및 run-length 을(를) [edit forwarding-options port-mirroring input] 지정합니다.
    주:
    • rate: 샘플링할 패킷 비율(1 중 1개)(1 - N65535)

    • run-length: 초기 트리거 후 샘플 수(0에서 20까지)

  2. 패킷 사본을 포트로 mirror-to 보내려면 계층 수준에서 문을 [edit forwarding-options port-mirroring family any output] 포함합니다 interface intf-name.
    주:

    SRX 시리즈 방화벽의 포트 미러링은 포트 정보를 패킷 전달 엔진(PFE)으로 전송하는 mirror-to 데 사용됩니다family any. 미러링 엔진은 포트에서 포트로 mirroredmirror-to 모든 패킷을 복사합니다.

주:

여러 mirror-to 포트를 지정하는 절을 구성할 instance 수 있습니다.

인터페이스를 미러링하려면 계층 수준에서 문을 [edit interface mirrored-intf-name] 포함합니다 port-mirror-instance.

미러링된 인터페이스는 에 정의된 forwarding-options인스턴스 이름으로 구성됩니다. mirrored 포트와 mirror-to 포트는 해당 인스턴스를 통해 연결됩니다.

주:

SRX 시리즈 방화벽의 포트 미러링은 트래픽 방향을 구분하지 않고 수신 및 송신 샘플을 함께 미러링합니다.

포트 미러링을 위한 샘플 구성은 다음과 같습니다.

예: 로컬 분석을 위한 포트 미러링 구성

포트 미러링을 사용하여 규정 준수 모니터링, 정책 시행, 침입 탐지, 트래픽 패턴 모니터링 및 예측, 이벤트 상관관계 분석 등의 목적으로 트래픽을 분석하는 애플리케이션으로 트래픽을 전송합니다. 포트 미러링은 인터페이스에 들어오거나 나가는 패킷 또는 VLAN에 들어오는 패킷을 복사하여 로컬 모니터링을 위해 로컬 인터페이스로 보냅니다.

주:

이 예에서는 ELS(Enhanced Layer 2 Software) 구성 스타일을 사용합니다. ELS에 대한 자세한 내용은 ELS(Enhanced Layer 2 Software) CLI 사용하기를 참조하십시오.

이 예에서는 직원 컴퓨터가 스위치로 보낸 트래픽을 동일한 스위치의 액세스 인터페이스로 복사하도록 포트 미러링을 구성하는 방법에 대해 설명합니다.

요구 사항

이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.

  • Junos OS 릴리스 13.2

  • 스위치

개요 및 토폴로지

이 주제에는 스위치의 인터페이스로 들어오는 트래픽을 동일한 스위치의 액세스 인터페이스로 미러링하는 방법을 설명하는 두 개의 관련 예가 포함되어 있습니다. 첫 번째 예에서는 직원 컴퓨터가 스위치로 보낸 모든 트래픽을 미러링하는 방법을 보여줍니다. 두 번째 예에는 웹으로 이동하는 직원 트래픽만 미러링하는 필터가 포함되어 있습니다.

토폴로지

이 예에서는 xe-0/0/0 직원 컴퓨터에 대한 연결 역할을 합니다 xe-0/0/6 . 인터페이스가 xe-0/0/47 분석기 애플리케이션을 실행하는 디바이스에 연결되어 있습니다.

주:

하나의 인터페이스에 여러 개의 포트가 미러링되면 버퍼 오버플로를 일으키고 패킷 손실을 유발할 수 있습니다.

그림 1은(는) 이 예제의 네트워크 토폴로지를 보여줍니다.

그림 1: 로컬 포트 미러링을 위한 네트워크 토폴로지의 예로컬 포트 미러링을 위한 네트워크 토폴로지의 예

예: 로컬 분석을 위한 모든 직원 트래픽 미러링

로컬 분석을 위해 직원 컴퓨터에서 보낸 모든 트래픽에 대해 포트 미러링을 구성하려면 이 섹션에서 설명하는 작업을 수행합니다.

절차

CLI 빠른 구성

직원 컴퓨터에 연결된 두 포트에 대한 수신 트래픽에 대한 로컬 포트 미러링을 신속하게 구성하려면 다음 명령을 복사하여 스위치 터미널 창에 붙여넣습니다.

단계별 절차

라는 employee-monitor 분석기를 구성하고 입력(소스) 인터페이스와 출력 인터페이스를 지정하려면 다음 단계를 따르십시오.

  1. 직원 컴퓨터에 연결된 인터페이스를 포트 미러 분석기 employee-monitor의 입력 인터페이스로 구성합니다.

  2. employee-monitor 분석기에 대한 출력 분석기 인터페이스를 구성합니다. 이것은 미러링된 패킷의 대상 인터페이스가 됩니다.

결과

구성 결과를 확인합니다:

예: 방화벽 필터로 직원 웹 트래픽 미러링

요구 사항

이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.

  • QFX5100 스위치 1개

  • Junos OS 릴리스 14.1X53-D30

개요

모든 트래픽을 미러링하기보다는 일반적으로 특정 트래픽만 미러링하는 것이 바람직합니다. 이는 대역폭과 하드웨어를 보다 효율적으로 사용하는 것이며 이러한 자산에 대한 제약으로 인해 필요할 수 있습니다. 미러링할 특정 트래픽을 선택하려면 방화벽 필터를 사용하여 원하는 트래픽과 일치시키고 포트 미러링 인스턴스로 보냅니다. 그런 다음 포트 미러링 인스턴스는 패킷을 복사하여 출력 VLAN, 인터페이스 또는 IP 주소로 보냅니다.

구성

직원이 웹으로 보내는 트래픽만 미러링되도록 지정하려면 이 섹션에서 설명하는 작업을 수행합니다. 미러링을 위해 이 트래픽을 선택하려면 방화벽 필터를 사용하여 이 트래픽을 지정하고 포트 미러링 인스턴스로 보냅니다.

절차

CLI 빠른 구성

웹으로 향하는 직원 컴퓨터의 트래픽에 대한 로컬 포트 미러링을 신속하게 구성하려면 다음 명령을 복사하여 스위치 터미널 창에 붙여넣습니다.

단계별 절차

직원 컴퓨터에 연결된 두 포트에서 직원에서 웹으로 가는 트래픽의 로컬 포트 미러링을 구성하려면 다음을 수행합니다.

  1. 출력 인터페이스를 구성합니다.

  2. employee-web-monitor 출력 인터페이스를 구성합니다. (출력만 구성합니다. 입력은 필터에서 나옵니다.)

  3. 웹으로 전송된 트래픽을 일치시키고 포트 미러링 인스턴스employee-web-monitor로 보내는 용어를 포함하는 라는 방화벽 필터를 watch-employee 구성합니다. 회사 서브넷(의 대상 또는 소스 주소 192.0.2.16/28)에서 송수신되는 트래픽은 복사할 필요가 없으므로, 웹 트래픽을 인스턴스로 전송하는 용어에 도달하기 전에 해당 트래픽을 허용하는 다른 용어를 생성합니다.

  4. 방화벽 필터를 수신 필터로 적절한 인터페이스에 적용합니다(송신 필터는 분석기를 허용하지 않음).

결과

구성 결과를 확인합니다:

검증

분석기가 올바르게 생성되었는지 확인하기

목적

스위치에서 라는 employee-web-monitor 포트 미러링 인스턴스가 적절한 입력 인터페이스 및 적절한 출력 인터페이스와 함께 생성되었는지 확인합니다.

작업

명령을 사용하여 포트 미러 포트 미러링 인스턴스가 예상대로 구성되었는지 확인할 수 있습니다 show forwarding-options port-mirroring .

의미

이 출력은 포트 미러링 인스턴스에 employee-web-monitor대한 다음 정보를 보여줍니다.

  • (모든 패킷 미러링, 기본 설정)의 비율이 있습니다.1

  • 샘플링된 연속 패킷 수(run-length)는 다음과 같습니다. 0

  • 미러링 0 된 원본 패킷의 최대 크기는 (0 전체 패킷을 나타냄)

  • 출력 매개 변수의 상태는 다음과 같습니다. up 는 인스턴스가 xe-0/0/0 및 xe-0/0/6 인터페이스로 들어오는 트래픽을 미러링 중이며, 미러링된 트래픽을 xe-0/0/47 인터페이스로 전송하고 있음을 나타냅니다

출력 인터페이스의 상태가 이거나 down 출력 인터페이스가 구성 state 되지 않은 경우 값은 이고 down 인스턴스는 미러링을 위해 프로그래밍되지 않습니다.

예: 원격 분석을 위한 포트 미러링 구성

포트 미러링을 사용하여 규정 준수 모니터링, 정책 시행, 침입 탐지, 트래픽 패턴 모니터링 및 예측, 이벤트 상관관계 분석 등의 목적으로 트래픽을 분석하는 애플리케이션으로 트래픽을 전송합니다. 포트 미러링은 인터페이스에 들어오거나 나가는 패킷 또는 VLAN에 들어오는 패킷을 복사하여 로컬 모니터링을 위해 로컬 인터페이스로 또는 원격 모니터링을 위해 VLAN으로 보냅니다. 이 예에서는 원격 분석을 위해 포트 미러링을 구성하는 방법을 설명합니다.

요구 사항

이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.

  • QFX 시리즈용 Junos OS 릴리스 13.2

  • 스위치

개요 및 토폴로지

이 주제에는 원격 디바이스를 사용하여 분석을 수행할 수 있도록 스위치의 포트로 들어오는 트래픽을 분석기 VLAN으로 미러링하는 방법을 설명하는 두 개의 관련 예가 포함되어 있습니다. 첫 번째 예에서는 직원 컴퓨터가 스위치로 보낸 모든 트래픽을 미러링하는 방법을 보여줍니다. 두 번째 예에는 웹으로 이동하는 직원 트래픽만 미러링하는 필터가 포함되어 있습니다.

토폴로지

이 예제에 대한 설명은 다음과 같습니다.

  • 인터페이스 ge-0/0/0ge-0/0/1 는 직원 컴퓨터에 연결하는 레이어 2 인터페이스입니다.

  • Interface(인터페이스 ge-0/0/2 )는 다른 스위치에 연결되는 레이어 2 인터페이스입니다.

  • VLAN remote-analyzer은(는) 토폴로지의 모든 스위치에 구성되어 미러링된 트래픽을 전달합니다.

주:

여기에 설명된 구성 단계를 수행하는 것 외에도 소스 스위치(이 구성의 스위치)를 모니터링 스테이션이 연결된 스위치에 연결하는 데 사용되는 다른 스위치에서 분석기 VLAN(remote-analyzer 이 예에서는 )을 구성해야 합니다.

원격 분석을 위해 모든 직원 트래픽 미러링

절차

CLI 빠른 구성

예의 이 섹션을 빠르게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여 넣은 다음 모든 줄 바꿈을 제거하고, 네트워크 구성과 일치하는 데 필요한 세부 사항을 변경한 다음, 명령을 복사하여 계층 수준에서 CLI edit 에 붙여넣습니다.

단계별 절차

기본적인 원격 포트 미러링을 구성하려면 다음과 같이 하십시오.

  1. 분석기 VLAN(이 예에서는 호출 remote-analyzer )을 구성합니다.

  2. 트렁크 모드를 위해 다른 스위치에 연결된 인터페이스를 구성하고 VLAN과 remote-analyzer 연결합니다.

  3. employee-monitor 분석기를 구성합니다.

  4. remote-analyzer 이 스위치를 모니터링 워크스테이션에 연결하는 스위치에서 VLAN을 구성합니다.

결과

구성 결과를 확인합니다:

원격 분석을 위해 직원 컴퓨터에서 웹으로 가는 트래픽 미러링

CLI 빠른 구성

예의 이 섹션을 빠르게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여 넣은 다음 모든 줄 바꿈을 제거하고, 네트워크 구성과 일치하는 데 필요한 세부 사항을 변경한 다음, 명령을 복사하여 계층 수준에서 CLI edit 에 붙여넣습니다.

절차

단계별 절차
  1. 분석기 VLAN(이 예에서는 호출 remote-analyzer )을 구성합니다.

  2. VLAN과 remote-analyzer 연결할 인터페이스를 구성합니다.

  3. employee-web-monitor 분석기 설정. (출력만 구성합니다. 입력은 필터에서 나옵니다.)

  4. 웹으로 전송된 트래픽과 일치하도록 라는 watch-employee 방화벽 필터를 구성하여 분석기 employee-web-monitor로 보냅니다.

  5. 방화벽 필터를 수신 필터로 적절한 인터페이스에 적용합니다.

  6. remote-analyzer 이 스위치를 모니터링 워크스테이션에 연결하는 스위치에서 VLAN을 구성합니다.

결과

구성 결과를 확인합니다:

검증

분석기가 올바르게 생성되었는지 확인하기

목적

스위치에서 employee-monitor 또는 employee-web-monitor 이름의 분석기가 적절한 입력 인터페이스 및 적절한 출력 인터페이스를 포함하며 생성되었는지 확인합니다.

작업

명령을 사용하여 포트 미러 분석기가 예상대로 구성되었는지 확인할 수 있습니다 show analyzer .

의미

이 출력은 분석기가 employee-monitor 들어오는 ge-0/0/0 트래픽을 미러링하고 ge-0/0/1 있으며 미러 트래픽을 분석기remote-analyzer로 보내고 있음을 보여줍니다.