포트 미러링 구성 로컬 및 원격 분석
포트 미러링 구성하기
포트 미러링을 사용하여 패킷을 복사하고 네트워크 분석기 또는 침입 탐지 애플리케이션과 같은 애플리케이션을 실행하는 디바이스로 사본을 전송함으로써 트래픽을 지연 없이 분석할 수 있습니다. 포트를 들어오거나 나가거나 VLAN에 들어오는 트래픽을 미러링할 수 있으며, 트렁크 인터페이스를 통해 로컬 액세스 인터페이스 또는 VLAN으로 사본을 보낼 수 있습니다.
포트 미러링을 사용하지 않을 때는 비활성화하는 것이 좋습니다. 성능 문제가 발생하지 않도록 하려면 포트 미러링을 사용하는 경우 키워드를 all
사용하는 대신 특정 입력 인터페이스를 선택하는 것이 좋습니다. 방화벽 필터를 사용하여 미러링된 트래픽의 양을 제한할 수도 있습니다.
이 작업에서는 ELS(Enhanced Layer 2 Software) 구성 스타일을 사용합니다. 스위치에서 ELS를 지원하지 않는 소프트웨어를 실행하는 경우 포트 미러링 구성을 참조하십시오. ELS 세부 사항은 Enhanced Layer 2 Software CLI 사용을 참조하십시오.
기존 분석기를 삭제하지 않고 추가 분석기를 만들려면 먼저 명령을 사용하여 기존 분석기를 비활성화합니다 disable analyzer analyzer-name .
포트 미러링 출력 인터페이스를 로 family ethernet-switching구성해야 합니다.
로컬 분석을 위한 포트 미러링 구성
스위치의 로컬 인터페이스로 인터페이스 트래픽을 미러링하는 방법:
원격 분석을 위한 포트 미러링 구성
원격 위치에서 분석을 위해 VLAN으로 트래픽을 미러링하려면 다음을 수행합니다.
분석기로 유입되는 트래픽 필터링
이 기능은 NFX150 디바이스에서 지원되지 않습니다.
분석기를 구성하여 미러링할 트래픽을 지정하는 것 외에도 방화벽 필터를 사용하여 복사할 패킷을 보다 효과적으로 제어할 수 있습니다. 예를 들어 필터를 사용하여 특정 애플리케이션의 트래픽만 미러링되도록 지정할 수 있습니다. 필터는 사용 가능한 일치 조건을 사용할 수 있으며 port-mirror-instance instance-name.
여러 필터 또는 용어에서 동일한 분석기를 사용하는 경우 출력 패킷은 한 번만 복사됩니다.
포트 미러링 인스턴스에 대한 입력으로 방화벽 필터를 사용하면 방화벽이 관련되지 않을 때와 마찬가지로 복사된 트래픽을 로컬 인터페이스 또는 VLAN으로 보냅니다.
필터를 사용하여 포트 미러링을 구성하는 방법:
SRX 시리즈 방화벽에서 포트 미러링 구성
SRX 디바이스에서 포트 미러링을 구성하려면 먼저 계층 수준에서 및 interfaces
을(를[edit]
) 구성해야 forwarding-options
합니다.
포트 미러링을 위한 포트 인스턴스를 mirror-to
정의하고 미러링될 인터페이스도 구성하도록 문을 구성해야 forwarding-options
합니다.
미러된 포트와 미러 투 포트는 I/O 카드에서 동일한 Broadcom 칩셋 아래에 있어야 합니다.
포트 미러링 구성하기:
여러 mirror-to
포트를 지정하는 절을 구성할 instance
수 있습니다.
인터페이스를 미러링하려면 계층 수준에서 문을 [edit interface mirrored-intf-name]
포함합니다 port-mirror-instance
.
미러링된 인터페이스는 에 정의된 forwarding-options
인스턴스 이름으로 구성됩니다. mirrored
포트와 mirror-to
포트는 해당 인스턴스를 통해 연결됩니다.
instance { inst-name { input { rate number; run-length number; } family any { output { interface intf-name; } } } } interfaces mirrored-intf-name { port-mirror-instance instance-name; }
SRX 시리즈 방화벽의 포트 미러링은 트래픽 방향을 구분하지 않고 수신 및 송신 샘플을 함께 미러링합니다.
포트 미러링을 위한 샘플 구성은 다음과 같습니다.
mirror port ge-1/0/2 to port ge-1/0/9.0 forwarding-options port-mirroring { input { rate 1; run-length 10; } family any { output { interface ge-1/0/9.0; } } instance { inst1 { input { rate 1; run-length 10; } family any { output { interface ge-1/0/9.0; } } } } interfaces { ge-1/0/2 { port-mirror-instance inst1; } }
예: 로컬 분석을 위한 포트 미러링 구성
포트 미러링을 사용하여 규정 준수 모니터링, 정책 시행, 침입 탐지, 트래픽 패턴 모니터링 및 예측, 이벤트 상관관계 분석 등의 목적으로 트래픽을 분석하는 애플리케이션으로 트래픽을 전송합니다. 포트 미러링은 인터페이스에 들어오거나 나가는 패킷 또는 VLAN에 들어오는 패킷을 복사하여 로컬 모니터링을 위해 로컬 인터페이스로 보냅니다.
이 예에서는 ELS(Enhanced Layer 2 Software) 구성 스타일을 사용합니다. ELS에 대한 자세한 내용은 ELS(Enhanced Layer 2 Software) CLI 사용하기를 참조하십시오.
이 예에서는 직원 컴퓨터가 스위치로 보낸 트래픽을 동일한 스위치의 액세스 인터페이스로 복사하도록 포트 미러링을 구성하는 방법에 대해 설명합니다.
요구 사항
이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.
Junos OS 릴리스 13.2
스위치
개요 및 토폴로지
이 주제에는 스위치의 인터페이스로 들어오는 트래픽을 동일한 스위치의 액세스 인터페이스로 미러링하는 방법을 설명하는 두 개의 관련 예가 포함되어 있습니다. 첫 번째 예에서는 직원 컴퓨터가 스위치로 보낸 모든 트래픽을 미러링하는 방법을 보여줍니다. 두 번째 예에는 웹으로 이동하는 직원 트래픽만 미러링하는 필터가 포함되어 있습니다.
토폴로지
이 예에서는 xe-0/0/0
직원 컴퓨터에 대한 연결 역할을 합니다 xe-0/0/6
. 인터페이스가 xe-0/0/47
분석기 애플리케이션을 실행하는 디바이스에 연결되어 있습니다.
하나의 인터페이스에 여러 개의 포트가 미러링되면 버퍼 오버플로를 일으키고 패킷 손실을 유발할 수 있습니다.
그림 1은(는) 이 예제의 네트워크 토폴로지를 보여줍니다.
예: 로컬 분석을 위한 모든 직원 트래픽 미러링
로컬 분석을 위해 직원 컴퓨터에서 보낸 모든 트래픽에 대해 포트 미러링을 구성하려면 이 섹션에서 설명하는 작업을 수행합니다.
절차
CLI 빠른 구성
직원 컴퓨터에 연결된 두 포트에 대한 수신 트래픽에 대한 로컬 포트 미러링을 신속하게 구성하려면 다음 명령을 복사하여 스위치 터미널 창에 붙여넣습니다.
[edit] set interfaces xe-0/0/0 unit 0 family ethernet-switching set interfaces xe-0/0/6 unit 0 family ethernet-switching set interfaces xe-0/0/47 unit 0 family ethernet-switching set forwarding-options analyzer employee-monitor input ingress interface xe-0/0/0.0 set forwarding-options analyzer employee-monitor input ingress interface xe-0/0/6.0 set forwarding-options analyzer employee-monitor output interface xe-0/0/47.0
단계별 절차
라는 employee-monitor
분석기를 구성하고 입력(소스) 인터페이스와 출력 인터페이스를 지정하려면 다음 단계를 따르십시오.
직원 컴퓨터에 연결된 인터페이스를 포트 미러 분석기
employee-monitor
의 입력 인터페이스로 구성합니다.[edit forwarding-options] user@switch# set analyzer employee-monitor input ingress interface xe–0/0/0.0 user@switch# set analyzer employee-monitor input ingress interface xe–0/0/6.0
employee-monitor
분석기에 대한 출력 분석기 인터페이스를 구성합니다. 이것은 미러링된 패킷의 대상 인터페이스가 됩니다.[edit forwarding-options] user@switch# set analyzer employee-monitor output interface xe-0/0/47.0
결과
구성 결과를 확인합니다:
[edit] user@switch# show forwarding-options analyzer employee-monitor { input { ingress { interface xe-0/0/0.0; interface xe-0/0/6.0; } } output { interface { xe-0/0/47.0; } } } }
예: 방화벽 필터로 직원 웹 트래픽 미러링
요구 사항
이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.
QFX5100 스위치 1개
Junos OS 릴리스 14.1X53-D30
개요
모든 트래픽을 미러링하기보다는 일반적으로 특정 트래픽만 미러링하는 것이 바람직합니다. 이는 대역폭과 하드웨어를 보다 효율적으로 사용하는 것이며 이러한 자산에 대한 제약으로 인해 필요할 수 있습니다. 미러링할 특정 트래픽을 선택하려면 방화벽 필터를 사용하여 원하는 트래픽과 일치시키고 포트 미러링 인스턴스로 보냅니다. 그런 다음 포트 미러링 인스턴스는 패킷을 복사하여 출력 VLAN, 인터페이스 또는 IP 주소로 보냅니다.
구성
직원이 웹으로 보내는 트래픽만 미러링되도록 지정하려면 이 섹션에서 설명하는 작업을 수행합니다. 미러링을 위해 이 트래픽을 선택하려면 방화벽 필터를 사용하여 이 트래픽을 지정하고 포트 미러링 인스턴스로 보냅니다.
절차
CLI 빠른 구성
웹으로 향하는 직원 컴퓨터의 트래픽에 대한 로컬 포트 미러링을 신속하게 구성하려면 다음 명령을 복사하여 스위치 터미널 창에 붙여넣습니다.
[edit] set interface xe-0/0/47 unit 0 family ethernet-switching set forwarding-options port-mirroring instance employee–web–monitor family ethernet-switching output interface xe-0/0/47.0 set firewall family ethernet-switching filter watch-employee term employee-to-corp from ip-destination-address 192.0.2.16/28 set firewall family ethernet-switching filter watch-employee term employee-to-corp from ip-source-address 192.0.2.16/28 set firewall family ethernet-switching filter watch-employee term employee-to-corp then accept set firewall family ethernet-switching filter watch-employee term employee-to-web from destination-port 80 set firewall family ethernet-switching filter watch-employee term employee-to-web then port-mirror-instance employee-web-monitor set interfaces xe-0/0/0 unit 0 family ethernet-switching filter input watch-employee set interfaces xe-0/0/6 unit 0 family ethernet-switching filter input watch-employee
단계별 절차
직원 컴퓨터에 연결된 두 포트에서 직원에서 웹으로 가는 트래픽의 로컬 포트 미러링을 구성하려면 다음을 수행합니다.
출력 인터페이스를 구성합니다.
[edit interfaces] user@switch# set xe-0/0/47 unit 0 family ethernet-switching
employee-web-monitor
출력 인터페이스를 구성합니다. (출력만 구성합니다. 입력은 필터에서 나옵니다.)[edit forwarding-options] user@switch# set port-mirroring instance employee–web–monitor family ethernet-switching output interface xe-0/0/47.0
웹으로 전송된 트래픽을 일치시키고 포트 미러링 인스턴스
employee-web-monitor
로 보내는 용어를 포함하는 라는 방화벽 필터를watch-employee
구성합니다. 회사 서브넷(의 대상 또는 소스 주소192.0.2.16/28
)에서 송수신되는 트래픽은 복사할 필요가 없으므로, 웹 트래픽을 인스턴스로 전송하는 용어에 도달하기 전에 해당 트래픽을 허용하는 다른 용어를 생성합니다.[edit firewall family ethernet-switching] user@switch# set filter watch-employee term employee-to-corp from ip-destination-address 192.0.2.16/28 user@switch# set filter watch-employee term employee-to-corp from ip-source-address 192.0.2.16/28 user@switch# set filter watch-employee term employee-to-corp then accept user@switch# set filter watch-employee term employee-to-web from destination-port 80 user@switch# set filter watch-employee term employee-to-web then port-mirror-instance employee-web-monitor
방화벽 필터를 수신 필터로 적절한 인터페이스에 적용합니다(송신 필터는 분석기를 허용하지 않음).
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching filter input watch-employee user@switch# set xe-0/0/6 unit 0 family ethernet-switching filter input watch-employee
결과
구성 결과를 확인합니다:
[edit] user@switch# show forwarding-options { port-mirroring { instance { employee-web-monitor { family ethernet-switching { output { interface xe-0/0/47.0; } } } } } } ... firewall { family ethernet-switching { filter watch-employee { term employee-to-corp { from { ip-source-address 192.0.2.16/28; ip-destination-address 192.0.2.16/28; } then accept; term employee-to-web { from { destination-port 80; } then port-mirror-instance employee-web-monitor; } } } } ... interfaces { xe-0/0/0 { unit 0 { family ethernet-switching { filter { input watch-employee; } } } } xe-0/0/6 { family ethernet-switching { filter { input watch-employee; } } } xe-0/0/47 { family ethernet-switching; } }
검증
분석기가 올바르게 생성되었는지 확인하기
목적
스위치에서 라는 employee-web-monitor
포트 미러링 인스턴스가 적절한 입력 인터페이스 및 적절한 출력 인터페이스와 함께 생성되었는지 확인합니다.
작업
명령을 사용하여 포트 미러 포트 미러링 인스턴스가 예상대로 구성되었는지 확인할 수 있습니다 show forwarding-options port-mirroring
.
user@switch> show forwarding-options port-mirroring Instance name : employee-web-monitor Instance Id: 2 Input parameters: Rate :1 Run-length :0 Maximum packet length :0 Output parameters: Family State Destination Next-hop ethernet-switching up xe-0/0/47.0
의미
이 출력은 포트 미러링 인스턴스에 employee-web-monitor
대한 다음 정보를 보여줍니다.
(모든 패킷 미러링, 기본 설정)의 비율이 있습니다.
1
샘플링된 연속 패킷 수(run-length)는 다음과 같습니다.
0
미러링
0
된 원본 패킷의 최대 크기는 (0
전체 패킷을 나타냄)출력 매개 변수의 상태는 다음과 같습니다.
up
는 인스턴스가 xe-0/0/0 및 xe-0/0/6 인터페이스로 들어오는 트래픽을 미러링 중이며, 미러링된 트래픽을 xe-0/0/47 인터페이스로 전송하고 있음을 나타냅니다
출력 인터페이스의 상태가 이거나 down
출력 인터페이스가 구성 state
되지 않은 경우 값은 이고 down
인스턴스는 미러링을 위해 프로그래밍되지 않습니다.
예: 원격 분석을 위한 포트 미러링 구성
포트 미러링을 사용하여 규정 준수 모니터링, 정책 시행, 침입 탐지, 트래픽 패턴 모니터링 및 예측, 이벤트 상관관계 분석 등의 목적으로 트래픽을 분석하는 애플리케이션으로 트래픽을 전송합니다. 포트 미러링은 인터페이스에 들어오거나 나가는 패킷 또는 VLAN에 들어오는 패킷을 복사하여 로컬 모니터링을 위해 로컬 인터페이스로 또는 원격 모니터링을 위해 VLAN으로 보냅니다. 이 예에서는 원격 분석을 위해 포트 미러링을 구성하는 방법을 설명합니다.
요구 사항
이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.
QFX 시리즈용 Junos OS 릴리스 13.2
스위치
개요 및 토폴로지
이 주제에는 원격 디바이스를 사용하여 분석을 수행할 수 있도록 스위치의 포트로 들어오는 트래픽을 분석기 VLAN으로 미러링하는 방법을 설명하는 두 개의 관련 예가 포함되어 있습니다. 첫 번째 예에서는 직원 컴퓨터가 스위치로 보낸 모든 트래픽을 미러링하는 방법을 보여줍니다. 두 번째 예에는 웹으로 이동하는 직원 트래픽만 미러링하는 필터가 포함되어 있습니다.
토폴로지
이 예제에 대한 설명은 다음과 같습니다.
인터페이스
ge-0/0/0
및ge-0/0/1
는 직원 컴퓨터에 연결하는 레이어 2 인터페이스입니다.Interface(인터페이스
ge-0/0/2
)는 다른 스위치에 연결되는 레이어 2 인터페이스입니다.VLAN
remote-analyzer
은(는) 토폴로지의 모든 스위치에 구성되어 미러링된 트래픽을 전달합니다.
여기에 설명된 구성 단계를 수행하는 것 외에도 소스 스위치(이 구성의 스위치)를 모니터링 스테이션이 연결된 스위치에 연결하는 데 사용되는 다른 스위치에서 분석기 VLAN(remote-analyzer
이 예에서는 )을 구성해야 합니다.
원격 분석을 위해 모든 직원 트래픽 미러링
절차
CLI 빠른 구성
예의 이 섹션을 빠르게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여 넣은 다음 모든 줄 바꿈을 제거하고, 네트워크 구성과 일치하는 데 필요한 세부 사항을 변경한 다음, 명령을 복사하여 계층 수준에서 CLI edit
에 붙여넣습니다.
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family ethernet-switching port-mode trunk set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor output vlan remote-analyzer
단계별 절차
기본적인 원격 포트 미러링을 구성하려면 다음과 같이 하십시오.
분석기 VLAN(이 예에서는 호출
remote-analyzer
)을 구성합니다.[edit vlans] user@switch# set vlans remote-analyzer vlan-id 999
트렁크 모드를 위해 다른 스위치에 연결된 인터페이스를 구성하고 VLAN과
remote-analyzer
연결합니다.[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching port-mode trunk user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999
employee-monitor
분석기를 구성합니다.[edit forwarding-options] user@switch# set analyzer employee–monitor user@switch# set analyzer employee-monitor input ingress interface ge-0/0/0.0 user@switch# set analyzer employee-monitor input ingress interface ge-0/0/1.0 user@switch# set analyzer employee-monitor output vlan remote-analyzer
remote-analyzer
이 스위치를 모니터링 워크스테이션에 연결하는 스위치에서 VLAN을 구성합니다.
결과
구성 결과를 확인합니다:
[edit] user@switch# show forwarding-options { analyzer employee-monitor { input { ingress { interface ge-0/0/0.0; interface ge-0/0/1.0; } } output { vlan { remote-analyzer; } } } }
원격 분석을 위해 직원 컴퓨터에서 웹으로 가는 트래픽 미러링
CLI 빠른 구성
예의 이 섹션을 빠르게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여 넣은 다음 모든 줄 바꿈을 제거하고, 네트워크 구성과 일치하는 데 필요한 세부 사항을 변경한 다음, 명령을 복사하여 계층 수준에서 CLI edit
에 붙여넣습니다.
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 set forwarding-options port-mirroring instance employee-web-monitor loss-priority high output vlan 999 set firewall family ethernet-switching filter watch-employee term employee-to-web from destination-port 80 set firewall family ethernet-switching filter watch-employee term employee-to-web then port-mirror-instance employee-web-monitor set ge-0/0/0 unit 0 family ethernet-switching filter input watch-employee set interfaces ge-0/0/1 unit 0 family ethernet-switching filter input watch-employee
절차
단계별 절차
분석기 VLAN(이 예에서는 호출
remote-analyzer
)을 구성합니다.[edit vlans] user@switch# set remote-analyzer vlan-id 999
VLAN과
remote-analyzer
연결할 인터페이스를 구성합니다.[edit interfaces] user@switch# set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999
employee-web-monitor
분석기 설정. (출력만 구성합니다. 입력은 필터에서 나옵니다.)[edit forwarding-options] user@switch# set forwarding-options port-mirroring instance employee-web-monitor output vlan 999
웹으로 전송된 트래픽과 일치하도록 라는
watch-employee
방화벽 필터를 구성하여 분석기employee-web-monitor
로 보냅니다.[edit firewall family ethernet-switching] user@switch# set filter watch-employee term employee-to-web from destination-port 80 user@switch# set filter watch-employee term employee-to-web then port-mirror-instance employee-web-monitor
방화벽 필터를 수신 필터로 적절한 인터페이스에 적용합니다.
[edit interfaces] user@switch# set ge-0/0/0 unit 0 family ethernet-switching filterinput watch-employee user@switch# set ge-0/0/1 unit 0 family ethernet-switching filter input watch-employee
remote-analyzer
이 스위치를 모니터링 워크스테이션에 연결하는 스위치에서 VLAN을 구성합니다.
결과
구성 결과를 확인합니다:
[edit] user@switch# show interfaces { ... ge-0/0/10 { unit 0 { family ethernet-switching { interface-mode trunk; vlan { members remote-analyzer; } } } } ge-0/0/0 { unit 0 { family ethernet-switching { filter { input watch-employee; } } } } ge-0/0/1 { unit 0 { family ethernet-switching { filter { input watch-employee; } } } } } ... firewall { family ethernet-switching { ... filter watch-employee { term employee-to-web { from { destination-port 80; } then port-mirror-instance employee-web-monitor; } } } } forwarding-options analyzer { employee-web-monitor { output { vlan { 999; } } } vlans { remote-analyzer { vlan-id 999; } }
검증
분석기가 올바르게 생성되었는지 확인하기
목적
스위치에서 employee-monitor
또는 employee-web-monitor
이름의 분석기가 적절한 입력 인터페이스 및 적절한 출력 인터페이스를 포함하며 생성되었는지 확인합니다.
작업
명령을 사용하여 포트 미러 분석기가 예상대로 구성되었는지 확인할 수 있습니다 show analyzer
.
user@switch> show analyzer Analyzer name : employee-monitor Output VLAN : remote-analyzer Ingress monitored interfaces : ge-0/0/0.0 Ingress monitored interfaces : ge-0/0/1.0
의미
이 출력은 분석기가 employee-monitor
들어오는 ge-0/0/0
트래픽을 미러링하고 ge-0/0/1
있으며 미러 트래픽을 분석기remote-analyzer
로 보내고 있음을 보여줍니다.