Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

수동 모니터링

수동 모니터링 이해하기

수동 모니터링은 인터페이스 모니터링에서 트래픽을 수동적으로 캡처하는 데 사용되는 일종의 네트워크 모니터링입니다. 수동 모니터링을 활성화하면 디바이스는 인터페이스에서 트래픽을 수락하고 모니터링하여 IDS 서버 및 패킷 분석기 또는 라우터 또는 엔드 노드 호스트와 같은 다른 디바이스의 모니터링 도구로 트래픽을 전달합니다.

수동 모니터링 이점

  • 보안 네트워크가 연결된 PoP(Internet Point of Presence)에서 수신 및 송신 트래픽 모니터링을 위한 필터링 기능을 제공합니다.

수동 모니터링 구성 지침

  • 인터페이스 수준에서만 패시브 모니터링을 구성할 수 있습니다. VLAN 또는 논리적 인터페이스별 구성은 지원되지 않습니다.

  • 수동 모니터링 인터페이스는 어그리게이션 이더넷(AE) 인터페이스가 될 수 없습니다.

  • 모니터링 도구 또는 디바이스는 스위치 또는 라우터에 직접 연결되어야 합니다.

  • 2개 이상의 MPLS 레이블과 두 개 이상의 VLAN 태그가 있는 패킷은 삭제됩니다.

  • IP 패킷 옵션, 라우터 경고 및 TTL 만료 패킷과 같은 예외 패킷은 일반 트래픽으로 처리됩니다.

  • 이더넷 캡슐화는 지원되지 않습니다.

  • MPLS 제품군은 PTX10001-36MR, PTX10004 및 PTX10008 라우터에서 지원됩니다.

  • 링크 어그리게이션 제어 프로토콜(LACP)은 모니터링 도구 또는 디바이스에 연결된 AE 번들에서 지원되지 않습니다.

예: 수동 모니터링 구성

이 예는 QFX10000 스위치에서 패시브 모니터링을 구성하는 방법을 보여줍니다.

요구 사항

이 예는 다음과 같은 하드웨어 및 소프트웨어 구성 요소를 사용합니다.

  • 라우터 2개(R1 및 R2)

  • QFX10002 스위치 1개

  • 스위치에 직접 연결된 두 개의 디바이스

  • Junos OS 릴리스 18.4R1 이상

개요

이 예에서는 스위치에서 패시브 모니터링을 구성하는 방법을 설명합니다.

및 은(는) et-0/0/2 et-0/0/4 패시브 모니터링 인터페이스로 구성됩니다. 네트워크에 들어오는 패킷은 라우터 1(R1)과 Router 2(R2) 간에 두 방향(R1에서 R2, R2에서 R1로) 교환되며 모니터링되는 인터페이스로 전송됩니다. 트래픽이 수신되면 방화벽 필터는 모든 패킷을 라우팅 인스턴스로 전송하고 패킷을 모니터링 도구로 전달합니다. 그런 다음 인터페이스는 링크 어그리게이션 그룹(LAG) 또는 AE 번들로 알려진 단일 논리적 인터페이스로 그룹화됩니다. 이를 통해 모니터링 도구 전반에 트래픽을 균등하게 분산하여 업링크 대역폭을 효과적으로 높일 수 있습니다. 하나의 인터페이스가 실패하면 번들은 나머지 인터페이스를 통해 트래픽을 계속 전달합니다.

선택적으로 패시브 모니터 인터페이스에 대칭 해싱을 적용하여 트래픽 로드 밸런싱을 모니터링 도구에 적용할 수 있습니다. 이를 통해 동일한 플로우의 수신 및 송신 트래픽이 동일한 모니터링 인터페이스를 통해 전송될 수 있습니다. 대칭 해싱을 구성하려면 계층 아래에 [edit forwarding-options enhanced-hash-key] 옵션을 포함합니다no-incoming-port. 대칭 해싱은 전역 수준에서만 활성화 및 비활성화됩니다. 프로토콜별 해싱은 지원되지 않습니다.

토폴로지

그림 1: 패시브 모니터링 토폴로지 Passive Monitoring Topology

구성

다음 예제에서는 CLI 계층에서 다양한 수준의 탐색이 필요합니다. CLI 탐색에 대한 정보는 구성 모드에서 CLI 편집기 사용을 참조하십시오.

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브러브를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 명령을 CLI [edit] 로 복사해 붙여 넣은 다음, 구성 모드에서 을(를) 입력 commit 합니다.

패시브 모니터링 구성

단계별 절차

패시브 모니터링 구성 방법:

  1. 스위치 인터페이스에서 패시브 모니터 모드를 구성합니다.

  2. family inet 패시브 모니터 인터페이스에서 방화벽 필터를 구성하여 트래픽을 라우팅 인스턴스로 전달합니다. 지원되는 필터 동작은 입니다accept, reject, count, routing-instance.

  3. 디바이스를 가리키는 정적 경로로 라우팅 인스턴스를 생성합니다.

  4. 수동 모니터링 인터페이스에서 AE 번들을 구성합니다.

  5. (선택 사항) 대칭 해싱을 구성합니다.

  6. 구성 모드에서 명령을 입력하여 구성을 확인합니다 show interfaces . 명령 출력이 의도한 구성을 표시하지 않으면 이 예의 지침을 반복하여 수정합니다.

  7. 인터페이스 구성이 완료되면 구성 모드에서 을(를) 입력 commit 합니다.

확인

구성이 제대로 작동하는지 확인합니다.

수동 모니터링 구성 확인

목적

패시브 모니터링이 인터페이스에서 작동하는지 확인합니다. 인터페이스 출력에 및 No-transmit이(가) 표시 No-receive 되면 이는 수동 모니터링이 작동한다는 것을 의미합니다.

작업

운영 모드에서 명령을 입력 show interfaces 하여 패시브 모니터링 인터페이스를 확인합니다.

대칭 해싱 확인

목적

대칭 해싱의 출력을 확인합니다. 및 L2inet,inet6 수신 포트 필드는 모두 아니오로 설정되어야 합니다.

작업

구성 모드에서 명령을 입력합니다 show forwarding-options enhanced-hash-key .

PTX10001-36MR, PTX10004 및 PTX10008 라우터에 대한 샘플 구성

다음은 제품군 mpls를 지원하는 PTX10001-36MR, PTX10004 및 PTX10008 라우터에 대한 샘플 구성입니다.

릴리스 기록 테이블
릴리스
설명
18.4R1
릴리스 18.4R1 Junos OS QFX10000 스위치에서 패시브 모니터링이 지원됩니다.
18.4R1
Junos OS Evolved 19.4R1부터 PTX10003 라우터에서 패시브 모니터링이 지원됩니다.