로컬 및 원격 분석 포트 미러링 구성
포트 미러링 구성
포트 미러링을 사용하여 패킷을 복사하고 네트워크 분석기 또는 침입 탐지 애플리케이션과 같은 애플리케이션을 실행하는 디바이스로 사본을 전송하여 지연 없이 트래픽을 분석할 수 있습니다. 포트에 들어오거나 나가는 트래픽이나 VLAN에 들어오는 트래픽을 미러링할 수 있으며, 트렁크 인터페이스를 통해 로컬 액세스 인터페이스 또는 VLAN으로 사본을 보낼 수 있습니다.
사용하지 않을 때는 포트 미러링을 비활성화하는 것이 좋습니다. 성능 문제 생성을 방지하려면 포트 미러링을 활성화할 경우 키워드를 사용하는 대신 특정 입력 인터페이스를 all 선택하는 것이 좋습니다. 또한 방화벽 필터를 사용하여 미러링된 트래픽 양을 제한할 수도 있습니다.
이 작업은 ELS(Enhanced Layer 2 Software) 구성 스타일을 사용합니다. 스위치에서 ELS를 지원하지 않는 소프트웨어를 실행하는 경우 포트 미러링 구성을 참조하십시오. ELS에 대한 자세한 내용은 Enhanced Layer 2 소프트웨어 CLI 사용을 참조하십시오.
기존 분석기를 삭제하지 않고 추가 분석기를 만들고 싶다면 먼저 명령을 사용하여 disable analyzer analyzer-name 기존 분석기를 비활성화합니다.
포트 미러링 출력 인터페이스를 로 family ethernet-switching구성해야 합니다.
로컬 분석을 위한 포트 미러링 구성
스위치에서 로컬 인터페이스로 인터페이스 트래픽을 미러하는 경우:
원격 분석을 위한 포트 미러링 구성
원격 위치에서 분석을 위해 트래픽을 VLAN으로 미러하는 경우:
분석기로 들어오는 트래픽 필터링
이 기능은 NFX150 디바이스에서 지원되지 않습니다.
분석기를 구성하여 미러링할 트래픽을 지정할 뿐만 아니라 방화벽 필터를 사용하여 어떤 패킷이 복사되는지 더 많이 제어할 수도 있습니다. 예를 들어, 필터를 사용하여 특정 애플리케이션의 트래픽만 미러링되도록 지정할 수 있습니다. 필터는 사용 가능한 일치 조건 중 어느 것을 사용할 수 있으며 여러 필터 또는 용어에 동일한 분석기를 port-mirror-instance instance-name. 사용하는 경우 출력 패킷이 한 번만 복사됩니다.
방화벽 필터를 포트 미러링 인스턴스에 대한 입력으로 사용할 때 방화벽이 포함되지 않은 경우와 마찬가지로 복사된 트래픽을 로컬 인터페이스 또는 VLAN으로 보냅니다.
필터를 사용하여 포트 미러링을 구성하려면 다음을 수행합니다.
SRX 시리즈 방화벽의 포트 미러링 구성
SRX 디바이스에서 포트 미러링을 구성하려면 먼저 및 interfaces 을 [edit] 계층 수준에서 구성 forwarding-options 해야 합니다.
포트 미러링을 위한 포트 인스턴스 mirror-to 를 정의하도록 문을 구성 forwarding-options 하고 미러링할 인터페이스도 구성해야 합니다.
미러링된 포트와 미러 투 포트는 I/O 카드의 동일한 Broadcom 칩셋 아래에 있어야 합니다.
포트 미러링을 구성하려면 다음을 수행합니다.
여러 mirror-to 포트를 지정하는 절을 instance 구성할 수 있습니다.
인터페이스를 미러하려면 계층 수준에서 문을 [edit interface mirrored-intf-name] 포함합니다 port-mirror-instance.
미러링된 인터페이스는 에 정의된 인스턴스 이름으로 구성됩니다 forwarding-options. mirrored 포트와 포트는 해당 인스턴스를 mirror-to 통해 연결됩니다.
instance {
inst-name {
input {
rate number;
run-length number;
}
family any {
output {
interface intf-name;
}
}
}
}
interfaces
mirrored-intf-name {
port-mirror-instance instance-name;
}
SRX 시리즈 방화벽의 포트 미러링이 트래픽 방향을 구별하지는 않지만 수신 및 송신 샘플을 함께 미러링합니다.
포트 미러링을 위한 샘플 구성은 아래에 표시됩니다.
mirror port ge-1/0/2 to port ge-1/0/9.0
forwarding-options
port-mirroring {
input {
rate 1;
run-length 10;
}
family any {
output {
interface ge-1/0/9.0;
}
}
instance {
inst1 {
input {
rate 1;
run-length 10;
}
family any {
output {
interface ge-1/0/9.0;
}
}
}
}
interfaces {
ge-1/0/2 {
port-mirror-instance inst1;
}
}
예제: 로컬 분석을 위한 포트 미러링 구성
포트 미러링을 사용하여 컴플라이언스 모니터링, 정책 시행, 침입 탐지, 트래픽 패턴 모니터링 및 예측, 이벤트 상관관계 분석 등의 목적으로 트래픽을 분석하는 애플리케이션으로 트래픽을 전송합니다. 포트 미러링에서는 인터페이스에 들어오거나 나가는 패킷이나 VLAN에 들어오는 패킷을 복사하고 로컬 모니터링을 위해 로컬 인터페이스로 사본을 보냅니다.
이 예는 ELS(Enhanced Layer 2 Software) 구성 스타일을 사용합니다. ELS에 대한 자세한 내용은 Enhanced Layer 2 소프트웨어 CLI 사용을 참조하십시오.
이 예에서는 직원 컴퓨터가 스위치로 전송한 트래픽을 동일한 스위치의 액세스 인터페이스로 복사하도록 포트 미러링을 구성하는 방법을 설명합니다.
요구 사항
이 예는 다음과 같은 하드웨어 및 소프트웨어 구성 요소를 사용합니다.
Junos OS 릴리스 13.2
스위치
개요 및 토폴로지
이 주제에는 스위치의 인터페이스로 들어오는 트래픽을 동일한 스위치의 액세스 인터페이스로 미러하는 방법을 설명하는 두 개의 관련 예가 포함되어 있습니다. 첫 번째 예는 직원 컴퓨터가 스위치로 보내는 모든 트래픽을 미러하는 방법을 보여줍니다. 두 번째 예에는 웹으로 가는 직원 트래픽만 미러하는 필터가 포함됩니다.
토폴로지
이 예 xe-0/0/0xe-0/0/6 에서 직원 컴퓨터에 대한 연결 역할을 합니다. - 인터페이스 xe-0/0/47 는 분석기 애플리케이션을 실행하는 디바이스에 연결됩니다.
하나의 인터페이스에 미러링된 여러 포트는 버퍼 오버플로우 및 패킷 손실의 원인이 될 수 있습니다.
그림 1 은(는) 이 예의 네트워크 토폴로지 를 보여줍니다.
예를 들면 다음과 같습니다. 로컬 분석을 위한 모든 직원 트래픽 미러링
로컬 분석을 위해 직원 컴퓨터가 보낸 모든 트래픽에 대한 포트 미러링을 구성하려면 이 섹션에서 설명된 작업을 수행합니다.
절차
CLI 빠른 구성
직원 컴퓨터에 연결된 두 포트에 수신 트래픽을 위한 로컬 포트 미러링을 신속하게 구성하려면 다음 명령을 복사하여 스위치 터미널 창에 붙여 넣습니다.
[edit] set interfaces xe-0/0/0 unit 0 family ethernet-switching set interfaces xe-0/0/6 unit 0 family ethernet-switching set interfaces xe-0/0/47 unit 0 family ethernet-switching set forwarding-options analyzer employee-monitor input ingress interface xe-0/0/0.0 set forwarding-options analyzer employee-monitor input ingress interface xe-0/0/6.0 set forwarding-options analyzer employee-monitor output interface xe-0/0/47.0
단계별 절차
라는 employee-monitor 분석기를 구성하고 입력(소스) 인터페이스와 출력 인터페이스를 지정하려면 다음을 수행합니다.
직원 컴퓨터에 연결된 인터페이스를 포트 미러 분석기의
employee-monitor입력 인터페이스로 구성합니다.[edit forwarding-options] user@switch# set analyzer employee-monitor input ingress interface xe–0/0/0.0 user@switch# set analyzer employee-monitor input ingress interface xe–0/0/6.0
분석기에 대한 출력 분석기 인터페이스를 구성합니다
employee-monitor. 이것은 미러링된 패킷의 대상 인터페이스가 됩니다.[edit forwarding-options] user@switch# set analyzer employee-monitor output interface xe-0/0/47.0
결과
구성 결과를 확인합니다.
[edit]
user@switch# show forwarding-options analyzer
employee-monitor {
input {
ingress {
interface xe-0/0/0.0;
interface xe-0/0/6.0;
}
}
output {
interface {
xe-0/0/47.0;
}
}
}
}
예를 들면 다음과 같습니다. 방화벽 필터로 직원 웹 트래픽 미러링
요구 사항
이 예는 다음과 같은 하드웨어 및 소프트웨어 구성 요소를 사용합니다.
QFX5100 스위치 1개
Junos OS 릴리스 14.1X53-D30
개요
모든 트래픽을 미러링은 대신 특정 트래픽만 미러하는 것이 바람직합니다. 이는 대역폭과 하드웨어를 보다 효율적으로 사용하는 것이며 이러한 자산의 제약으로 인해 필요할 수 있습니다. 미러링을 위한 특정 트래픽을 선택하기 위해 방화벽 필터를 사용하여 원하는 트래픽과 일치시키고 포트 미러링 인스턴스로 안내합니다. 그런 다음 포트 미러링 인스턴스는 패킷을 복사하여 출력 VLAN, 인터페이스 또는 IP 주소로 보냅니다.
구성
미러링될 유일한 트래픽은 직원이 웹으로 보내는 트래픽뿐임을 지정하려면 이 섹션에서 설명한 작업을 수행합니다. 미러링을 위해 이 트래픽을 선택하려면 방화벽 필터를 사용하여 이 트래픽을 지정하고 포트 미러링 인스턴스로 안내합니다.
절차
CLI 빠른 구성
웹을 목적지로 하는 직원 컴퓨터의 트래픽 로컬 포트 미러링을 신속하게 구성하려면 다음 명령을 복사하여 스위치 터미널 창에 붙여 넣습니다.
[edit] set interface xe-0/0/47 unit 0 family ethernet-switching set forwarding-options port-mirroring instance employee–web–monitor family ethernet-switching output interface xe-0/0/47.0 set firewall family ethernet-switching filter watch-employee term employee-to-corp from ip-destination-address 192.0.2.16/28 set firewall family ethernet-switching filter watch-employee term employee-to-corp from ip-source-address 192.0.2.16/28 set firewall family ethernet-switching filter watch-employee term employee-to-corp then accept set firewall family ethernet-switching filter watch-employee term employee-to-web from destination-port 80 set firewall family ethernet-switching filter watch-employee term employee-to-web then port-mirror-instance employee-web-monitor set interfaces xe-0/0/0 unit 0 family ethernet-switching filter input watch-employee set interfaces xe-0/0/6 unit 0 family ethernet-switching filter input watch-employee
단계별 절차
직원 컴퓨터에 연결된 두 포트에서 직원 대 웹 트래픽의 로컬 포트 미러링을 구성하려면 다음을 수행합니다.
출력 인터페이스를 구성합니다.
[edit interfaces] user@switch# set xe-0/0/47 unit 0 family ethernet-switching
출력 인터페이스를 구성합니다
employee-web-monitor. (출력만 구성하면 입력은 필터에서 나옵니다.)[edit forwarding-options] user@switch# set port-mirroring instance employee–web–monitor family ethernet-switching output interface xe-0/0/47.0
웹으로 전송된 트래픽을 일치시키고 포트 미러링 인스턴스
employee-web-monitor로 보내는 용어를 포함하는 라는watch-employee방화벽 필터를 구성합니다. 기업 서브넷(대상 또는 소스 주소192.0.2.16/28)을 오가는 트래픽은 복사할 필요가 없으므로 웹 트래픽을 인스턴스로 전송하는 용어에 도달하기 전에 해당 트래픽을 수락하기 위한 또 다른 용어를 생성합니다.[edit firewall family ethernet-switching] user@switch# set filter watch-employee term employee-to-corp from ip-destination-address 192.0.2.16/28 user@switch# set filter watch-employee term employee-to-corp from ip-source-address 192.0.2.16/28 user@switch# set filter watch-employee term employee-to-corp then accept user@switch# set filter watch-employee term employee-to-web from destination-port 80 user@switch# set filter watch-employee term employee-to-web then port-mirror-instance employee-web-monitor
수신 필터로 방화벽 필터를 적절한 인터페이스에 적용(송신 필터는 분석기를 허용하지 않음).
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching filter input watch-employee user@switch# set xe-0/0/6 unit 0 family ethernet-switching filter input watch-employee
결과
구성 결과를 확인합니다.
[edit]
user@switch# show
forwarding-options {
port-mirroring {
instance {
employee-web-monitor {
family ethernet-switching {
output {
interface xe-0/0/47.0;
}
}
}
}
}
}
...
firewall {
family ethernet-switching {
filter watch-employee {
term employee-to-corp {
from {
ip-source-address 192.0.2.16/28;
ip-destination-address 192.0.2.16/28;
}
then accept;
term employee-to-web {
from {
destination-port 80;
}
then port-mirror-instance employee-web-monitor;
}
}
}
}
...
interfaces {
xe-0/0/0 {
unit 0 {
family ethernet-switching {
filter {
input watch-employee;
}
}
}
}
xe-0/0/6 {
family ethernet-switching {
filter {
input watch-employee;
}
}
}
xe-0/0/47 {
family ethernet-switching;
}
}
확인
분석기가 올바르게 생성되었는지 확인
목적
스위치에서 라는 이름의 employee-web-monitor 포트 미러링 인스턴스가 적절한 입력 인터페이스와 적절한 출력 인터페이스로 생성되었는지 확인합니다.
실행
명령을 사용하여 show forwarding-options port-mirroring 포트 미러링 포트 미러링 인스턴스가 예상대로 구성되었는지 확인할 수 있습니다.
user@switch> show forwarding-options port-mirroring Instance name : employee-web-monitor Instance Id: 2 Input parameters: Rate :1 Run-length :0 Maximum packet length :0 Output parameters: Family State Destination Next-hop ethernet-switching up xe-0/0/47.0
의미
이 출력은 포트 미러링 인스턴스 employee-web-monitor에 대한 다음 정보를 보여줍니다.
속도
1(모든 패킷 미러링, 기본 설정)샘플링된 연속 패킷 수(런 길이)는
0미러링된 원본 패킷의 최대 크기는 입니다
0(0전체 패킷을 나타냅니다).출력 매개 변수의 상태:
up인스턴스가 xe-0/0/0 및 xe-0/0/6 인터페이스로 들어오는 트래픽을 미러링하고 미러링된 트래픽을 xe-0/0/47 인터페이스로 전송하고 있음을 나타냅니다.
출력 인터페이스의 상태가 이거나 출력 인터페이스 down 가 구성되지 않은 경우, state 값은 이(가) 되고 down 인스턴스는 미러링을 위해 프로그래밍되지 않습니다.
예를 들면 다음과 같습니다. 원격 분석을 위한 포트 미러링 구성
포트 미러링을 사용하여 컴플라이언스 모니터링, 정책 시행, 침입 탐지, 트래픽 패턴 모니터링 및 예측, 이벤트 상관관계 분석 등의 목적으로 트래픽을 분석하는 애플리케이션으로 트래픽을 전송합니다. 포트 미러링에서는 인터페이스에 들어오거나 나가는 패킷이나 VLAN에 들어오는 패킷을 복사하고 로컬 모니터링을 위한 로컬 인터페이스 또는 원격 모니터링을 위해 VLAN으로 사본을 보냅니다. 이 예에서는 원격 분석을 위해 포트 미러링을 구성하는 방법을 설명합니다.
요구 사항
이 예는 다음과 같은 하드웨어 및 소프트웨어 구성 요소를 사용합니다.
Junos OS QFX 시리즈 대한 릴리스 13.2
스위치
개요 및 토폴로지
이 주제에는 스위치의 포트로 들어오는 트래픽을 원격 디바이스를 사용하여 분석을 수행할 수 있도록 분석기 VLAN으로 미러하는 방법을 설명하는 두 개의 관련 예가 포함되어 있습니다. 첫 번째 예는 직원 컴퓨터가 스위치로 보내는 모든 트래픽을 미러하는 방법을 보여줍니다. 두 번째 예에는 웹으로 가는 직원 트래픽만 미러하는 필터가 포함됩니다.
토폴로지
이 예에서는 다음을 참조하십시오.
인터페이스 및
ge-0/0/0ge-0/0/1은(는) 직원 컴퓨터에 연결하는 레이어 2 인터페이스입니다.인터페이스
ge-0/0/2는 다른 스위치에 연결되는 레이어 2 인터페이스입니다.VLAN
remote-analyzer은 미러링된 트래픽을 수행하기 위해 토폴로지의 모든 스위치에 구성됩니다.
여기에서 설명한 구성 단계를 수행할 뿐만 아니라 소스 스위치(remote-analyzer 이 구성의 스위치)를 모니터링 스테이션에 연결된 스위치에 연결하는 데 사용되는 다른 스위치에서도 분석기 VLAN(이 예에서)을 구성해야 합니다.
원격 분석을 위한 모든 직원 트래픽 미러링
절차
CLI 빠른 구성
예의 이 섹션을 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브러브를 제거하고, 네트워크 구성과 일치하는 데 필요한 세부 사항을 변경한 다음 계층 수준에서 명령을 CLI edit 로 복사해 붙여 넣습니다.
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family ethernet-switching port-mode trunk set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor output vlan remote-analyzer
단계별 절차
기본 원격 포트 미러링을 구성하려면 다음을 수행합니다.
분석기 VLAN을 구성합니다(이 예에서는 참조
remote-analyzer).[edit vlans] user@switch# set vlans remote-analyzer vlan-id 999
트렁크 모드를 위해 다른 스위치에 연결된 인터페이스를 구성하고 이를 VLAN과 연결합니다
remote-analyzer.[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching port-mode trunk user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999
분석기
employee-monitor구성:[edit forwarding-options] user@switch# set analyzer employee–monitor user@switch# set analyzer employee-monitor input ingress interface ge-0/0/0.0 user@switch# set analyzer employee-monitor input ingress interface ge-0/0/1.0 user@switch# set analyzer employee-monitor output vlan remote-analyzer
이 스위치를
remote-analyzer모니터링 워크스테이션에 연결하는 스위치에서 VLAN을 구성합니다.
결과
구성 결과를 확인합니다.
[edit]
user@switch# show
forwarding-options {
analyzer employee-monitor {
input {
ingress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
}
output {
vlan {
remote-analyzer;
}
}
}
}
원격 분석을 위한 직원-웹 트래픽 미러링
CLI 빠른 구성
예의 이 섹션을 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브러브를 제거하고, 네트워크 구성과 일치하는 데 필요한 세부 사항을 변경한 다음 계층 수준에서 명령을 CLI edit 로 복사해 붙여 넣습니다.
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 set forwarding-options port-mirroring instance employee-web-monitor loss-priority high output vlan 999 set firewall family ethernet-switching filter watch-employee term employee-to-web from destination-port 80 set firewall family ethernet-switching filter watch-employee term employee-to-web then port-mirror-instance employee-web-monitor set ge-0/0/0 unit 0 family ethernet-switching filter input watch-employee set interfaces ge-0/0/1 unit 0 family ethernet-switching filter input watch-employee
절차
단계별 절차
분석기 VLAN을 구성합니다(이 예에서는 참조
remote-analyzer).[edit vlans] user@switch# set remote-analyzer vlan-id 999
인터페이스를 VLAN과 연결하도록 구성합니다
remote-analyzer.[edit interfaces] user@switch# set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999
분석기를 구성합니다
employee-web-monitor. (출력만 구성하면 입력은 필터에서 나옵니다.)[edit forwarding-options] user@switch# set forwarding-options port-mirroring instance employee-web-monitor output vlan 999
웹으로 전송된 트래픽을 일치시켜 분석기로
employee-web-monitor보내도록 라는watch-employee방화벽 필터를 구성합니다.[edit firewall family ethernet-switching] user@switch# set filter watch-employee term employee-to-web from destination-port 80 user@switch# set filter watch-employee term employee-to-web then port-mirror-instance employee-web-monitor
방화벽 필터를 수신 필터로 적절한 인터페이스에 적용합니다.
[edit interfaces] user@switch# set ge-0/0/0 unit 0 family ethernet-switching filterinput watch-employee user@switch# set ge-0/0/1 unit 0 family ethernet-switching filter input watch-employee
이 스위치를
remote-analyzer모니터링 워크스테이션에 연결하는 스위치에서 VLAN을 구성합니다.
결과
구성 결과를 확인합니다.
[edit]
user@switch# show
interfaces {
...
ge-0/0/10 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
vlan {
members remote-analyzer;
}
}
}
}
ge-0/0/0 {
unit 0 {
family ethernet-switching {
filter {
input watch-employee;
}
}
}
}
ge-0/0/1 {
unit 0 {
family ethernet-switching {
filter {
input watch-employee;
}
}
}
}
}
...
firewall {
family ethernet-switching {
...
filter watch-employee {
term employee-to-web {
from {
destination-port 80;
}
then port-mirror-instance employee-web-monitor;
}
}
}
}
forwarding-options analyzer {
employee-web-monitor {
output {
vlan {
999;
}
}
}
vlans {
remote-analyzer {
vlan-id 999;
}
}
확인
분석기가 올바르게 생성되었는지 확인
목적
스위치에서 또는 employee-web-monitor 라는 employee-monitor 분석기가 적절한 입력 인터페이스와 적절한 출력 인터페이스로 생성되었는지 확인합니다.
실행
명령을 사용하여 show analyzer 포트 미러 분석기가 예상대로 구성되었는지 확인할 수 있습니다.
user@switch> show analyzer Analyzer name : employee-monitor Output VLAN : remote-analyzer Ingress monitored interfaces : ge-0/0/0.0 Ingress monitored interfaces : ge-0/0/1.0
의미
이 출력은 분석기가 들어오는 트래픽을 미러링하고 ge-0/0/1 미러링 트래픽을 분석기로 remote-analyzer전송하고 있음을 employee-monitorge-0/0/0 보여줍니다.