이 페이지에서
수동 모니터링
수동 모니터링 이해하기
수동 모니터링은 인터페이스 모니터링에서 트래픽을 수동적으로 캡처하는 데 사용되는 일종의 네트워크 모니터링입니다. 수동 모니터링을 활성화하면 디바이스는 인터페이스에서 트래픽을 수락하고 모니터링하여 IDS 서버 및 패킷 분석기 또는 라우터 또는 엔드 노드 호스트와 같은 다른 디바이스의 모니터링 도구로 트래픽을 전달합니다.
수동 모니터링 이점
-
보안 네트워크가 연결된 PoP(Internet Point of Presence)에서 수신 및 송신 트래픽 모니터링을 위한 필터링 기능을 제공합니다.
수동 모니터링 구성 지침
-
인터페이스 수준에서만 패시브 모니터링을 구성할 수 있습니다. VLAN 또는 논리적 인터페이스별 구성은 지원되지 않습니다.
-
수동 모니터링 인터페이스는 어그리게이션 이더넷(AE) 인터페이스가 될 수 없습니다.
-
모니터링 도구 또는 디바이스는 스위치 또는 라우터에 직접 연결되어야 합니다.
-
2개 이상의 MPLS 레이블과 두 개 이상의 VLAN 태그가 있는 패킷은 삭제됩니다.
-
IP 패킷 옵션, 라우터 경고 및 TTL 만료 패킷과 같은 예외 패킷은 일반 트래픽으로 처리됩니다.
-
이더넷 캡슐화는 지원되지 않습니다.
-
MPLS 제품군은 PTX10001-36MR, PTX10004 및 PTX10008 라우터에서 지원됩니다.
-
링크 어그리게이션 제어 프로토콜(LACP)은 모니터링 도구 또는 디바이스에 연결된 AE 번들에서 지원되지 않습니다.
예: 수동 모니터링 구성
이 예는 QFX10000 스위치에서 패시브 모니터링을 구성하는 방법을 보여줍니다.
요구 사항
이 예는 다음과 같은 하드웨어 및 소프트웨어 구성 요소를 사용합니다.
-
라우터 2개(R1 및 R2)
-
QFX10002 스위치 1개
-
스위치에 직접 연결된 두 개의 디바이스
-
Junos OS 릴리스 18.4R1 이상
개요
이 예에서는 스위치에서 패시브 모니터링을 구성하는 방법을 설명합니다.
및 은(는) et-0/0/2
et-0/0/4
패시브 모니터링 인터페이스로 구성됩니다. 네트워크에 들어오는 패킷은 라우터 1(R1)과 Router 2(R2) 간에 두 방향(R1에서 R2, R2에서 R1로) 교환되며 모니터링되는 인터페이스로 전송됩니다. 트래픽이 수신되면 방화벽 필터는 모든 패킷을 라우팅 인스턴스로 전송하고 패킷을 모니터링 도구로 전달합니다. 그런 다음 인터페이스는 링크 어그리게이션 그룹(LAG) 또는 AE 번들로 알려진 단일 논리적 인터페이스로 그룹화됩니다. 이를 통해 모니터링 도구 전반에 트래픽을 균등하게 분산하여 업링크 대역폭을 효과적으로 높일 수 있습니다. 하나의 인터페이스가 실패하면 번들은 나머지 인터페이스를 통해 트래픽을 계속 전달합니다.
선택적으로 패시브 모니터 인터페이스에 대칭 해싱을 적용하여 트래픽 로드 밸런싱을 모니터링 도구에 적용할 수 있습니다. 이를 통해 동일한 플로우의 수신 및 송신 트래픽이 동일한 모니터링 인터페이스를 통해 전송될 수 있습니다. 대칭 해싱을 구성하려면 계층 아래에 [edit forwarding-options enhanced-hash-key]
옵션을 포함합니다no-incoming-port
. 대칭 해싱은 전역 수준에서만 활성화 및 비활성화됩니다. 프로토콜별 해싱은 지원되지 않습니다.
토폴로지
구성
다음 예제에서는 CLI 계층에서 다양한 수준의 탐색이 필요합니다. CLI 탐색에 대한 정보는 구성 모드에서 CLI 편집기 사용을 참조하십시오.
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브러브를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 명령을 CLI [edit]
로 복사해 붙여 넣은 다음, 구성 모드에서 을(를) 입력 commit
합니다.
set interfaces et-0/0/2 passive-monitor-mode set interfaces et-0/0/2 unit 0 family inet filter input pm set interfaces et-0/0/4 passive-monitor-mode set interfaces et-0/0/4 unit 0 family inet filter input pm1 set firewall family inet filter pm1 term t1 from interface et-0/0/4.0 set firewall family inet filter pm1 term t1 then count c1 set firewall family inet filter pm1 term t1 then routing-instance pm_inst set firewall family inet filter pm term t1 from interface et-0/0/2.0 set firewall family inet filter pm term t1 then count c3 set firewall family inet filter pm term t1 then routing-instance pm_inst set routing-instances pm_inst instance-type virtual-router set routing-instances pm_inst interface ae0.0 set routing-instances pm_inst routing-options static route 0.0.0.0/0 next-hop 198.51.100.1 set interfaces xe-0/0/9:0 ether-options 802.3ad ae0 set interfaces xe-0/0/9:1 ether-options 802.3ad ae0 set interfaces ae0 unit 0 family inet address 198.51.100.2/24 arp 198.51.100.1 mac 00:10:94:00:00:05 set routing-instances pm_inst interface ae0.0 set forwarding-options enhanced-hash-key inet no-incoming-port
패시브 모니터링 구성
단계별 절차
패시브 모니터링 구성 방법:
-
스위치 인터페이스에서 패시브 모니터 모드를 구성합니다.
[edit]] user@switch# set interfaces et-0/0/2 passive-monitor-mode set interfaces et-0/0/2 unit 0 family inet filter input pm set interfaces et-0/0/4 passive-monitor-mode set interfaces et-0/0/4 unit 0 family inet filter input pm1
-
family inet
패시브 모니터 인터페이스에서 방화벽 필터를 구성하여 트래픽을 라우팅 인스턴스로 전달합니다. 지원되는 필터 동작은 입니다accept, reject, count, routing-instance
.[edit] user@switch# set firewall family inet filter pm1 term t1 from interface et-0/0/4.0 set firewall family inet filter pm1 term t1 then count c1 set firewall family inet filter pm1 term t1 then routing-instance pm_inst set firewall family inet filter pm term t1 from interface et-0/0/2.0 set firewall family inet filter pm term t1 then count c3 set firewall family inet filter pm term t1 then routing-instance pm_inst
-
디바이스를 가리키는 정적 경로로 라우팅 인스턴스를 생성합니다.
[edit] user@switch# set routing-instances pm_inst instance-type virtual-router set routing-instances pm_inst interface ae0.0 set routing-instances pm_inst routing-options static route 0.0.0.0/0 next-hop 198.51.100.1
-
수동 모니터링 인터페이스에서 AE 번들을 구성합니다.
[edit] user@switch# set interfaces xe-0/0/9:0 ether-options 802.3ad ae0 set interfaces xe-0/0/9:1 ether-options 802.3ad ae0 set interfaces ae0 unit 0 family inet address 198.51.100.2/24 arp 198.51.100.1 mac 00:10:94:00:00:05 set routing-instances pm_inst interface ae0.0
-
(선택 사항) 대칭 해싱을 구성합니다.
[edit] user@switch# set forwarding-options enhanced-hash-key inet no-incoming-port
-
구성 모드에서 명령을 입력하여 구성을 확인합니다
show interfaces
. 명령 출력이 의도한 구성을 표시하지 않으면 이 예의 지침을 반복하여 수정합니다. -
인터페이스 구성이 완료되면 구성 모드에서 을(를) 입력
commit
합니다.
확인
구성이 제대로 작동하는지 확인합니다.
수동 모니터링 구성 확인
목적
패시브 모니터링이 인터페이스에서 작동하는지 확인합니다. 인터페이스 출력에 및 No-transmit
이(가) 표시 No-receive
되면 이는 수동 모니터링이 작동한다는 것을 의미합니다.
작업
운영 모드에서 명령을 입력 show interfaces
하여 패시브 모니터링 인터페이스를 확인합니다.
user@host> show interfaces et-0/0/2
Physical interface: et-0/0/2, Enabled, Physical link is Up
Interface index: 146, SNMP ifIndex: 515
Link-level type: Ethernet, MTU: 1514, LAN-PHY mode, Speed: 40Gbps, BPDU Error: None, Loop Detect PDU Error: None, Ethernet-Switching Error: None, MAC-REWRITE Error: None,
Loopback: Disabled, Source filtering: Disabled, Flow control: Disabled, Media type: Fiber
Device flags : Present Running
Interface flags: SNMP-Traps No-receive No-transmit Internal: 0x4000
Link flags : None
CoS queues : 8 supported, 8 maximum usable queues
Current address: 3c:61:04:75:3c:5d, Hardware address: 3c:61:04:75:3c:5d
Last flapped : 2018-05-17 11:19:05 PDT (00:17:55 ago)
Input rate : 0 bps (0 pps)
Output rate : 0 bps (0 pps)
Active alarms : None
Active defects : None
PCS statistics Seconds
Bit errors 0
Errored blocks 0
Ethernet FEC Mode : NONE
Ethernet FEC statistics Errors
FEC Corrected Errors 0
FEC Uncorrected Errors 0
FEC Corrected Errors Rate 0
FEC Uncorrected Errors Rate 0
PRBS Statistics : Disabled
Interface transmit statistics: Disabled
user@host show interfaces et-0/0/4
Physical interface: et-0/0/4, Enabled, Physical link is Up
Interface index: 146, SNMP ifIndex: 515
Link-level type: Ethernet, MTU: 1514, LAN-PHY mode, Speed: 40Gbps, BPDU Error: None, Loop Detect PDU Error: None, Ethernet-Switching Error: None, MAC-REWRITE Error: None,
Loopback: Disabled, Source filtering: Disabled, Flow control: Disabled, Media type: Fiber
Device flags : Present Running
Interface flags: SNMP-Traps No-receive No-transmit Internal: 0x4000
Link flags : None
CoS queues : 8 supported, 8 maximum usable queues
Current address: 3c:61:04:75:3c:5d, Hardware address: 3c:61:04:75:3c:5d
Last flapped : 2018-05-17 11:19:05 PDT (00:18:17 ago)
Input rate : 0 bps (0 pps)
Output rate : 0 bps (0 pps)
Active alarms : None
Active defects : None
PCS statistics Seconds
Bit errors 0
Errored blocks 0
Ethernet FEC Mode : NONE
Ethernet FEC statistics Errors
FEC Corrected Errors 0
FEC Uncorrected Errors 0
FEC Corrected Errors Rate 0
FEC Uncorrected Errors Rate 0
PRBS Statistics : Disabled
Interface transmit statistics: Disabled
대칭 해싱 확인
목적
대칭 해싱의 출력을 확인합니다. 및 L2
의 inet,inet6
수신 포트 필드는 모두 아니오로 설정되어야 합니다.
작업
구성 모드에서 명령을 입력합니다 show forwarding-options enhanced-hash-key
.
Slot 0 Seed value for Hash function 0: 3626023417 Seed value for Hash function 1: 3626023417 Seed value for Hash function 2: 3626023417 Seed value for Hash function 3: 3626023417 Inet settings: -------------- IPV4 dest address: Yes IPV4 source address: Yes L4 Dest Port: Yes L4 Source Port: Yes Incoming port: No Inet6 settings: -------------- IPV6 dest address: Yes IPV6 source address: Yes L4 Dest Port: Yes L4 Source Port: Yes Incoming port: No L2 settings: ------------ Dest Mac address: No Source Mac address: No Vlan Id: Yes Inner-vlan Id: No Incoming port: No GRE settings: ------------- Key: No Protocol: No MPLS settings: -------------- MPLS Enabled: Yes VXLAN settings: --------------- VXLAN VNID: No
PTX10001-36MR, PTX10004 및 PTX10008 라우터에 대한 샘플 구성
다음은 제품군 mpls를 지원하는 PTX10001-36MR, PTX10004 및 PTX10008 라우터에 대한 샘플 구성입니다.
set interfaces et-0/0/13 passive-monitor-mode set interfaces et-0/0/13 passive-monitor-mode set interfaces et-0/0/13 unit 0 family inet filter input ipv4pmFilter set interfaces et-0/0/13 unit 0 family inet6 filter input ipv6pmFilter set interfaces et-0/0/13 unit 0 family mpls filter input mplspmFilter set interfaces et-0/0/5 ether-options 802.3ad ae0 set interfaces et-0/0/7 ether-options 802.3ad ae0 set interfaces ae0 unit 0 family inet address 192.168.1.1/24 arp 192.168.1.10 mac 00:00:00:11:11:11 set interfaces ae0 unit 0 family inet6 address 2001:db8:1::1/64 ndp 2001:db8:1::10 mac 00:00:00:11:11:11 set routing-instances pm_inst routing-options rib pm_inst.inet6.0 static route 0::0/0 next-hop 2001:db8:1::10 set routing-instances pm_inst routing-options static route 0.0.0.0/0 next-hop 192.168.1.10 set routing-instances pm_inst instance-type virtual-router set routing-instances pm_inst interface ae0.0 set firewall family inet filter ipv4pmFilter term t1 then count C1 set firewall family inet filter ipv4pmFilter term t1 then routing-instance pm_inst set firewall family inet6 filter ipv6pmFilter term t2 then count C2 set firewall family inet6 filter ipv6pmFilter term t2 then routing-instance pm_inst set firewall family mpls filter ipv4pmfilter term t1 then count C1 set firewall family mpls filter ipv4pmfilter term t1 then routing-instance pm_inst set firewall family mpls filter ipv4pmfilter term t1 from ip-version ipv4 ip-protocol-except 255 set firewall family mpls filter ipv6pmfilter term t2 then count C2 set firewall family mpls filter ipv6pmfilter term t2 then routing-instance pm_inst set firewall family mpls filter ipv6pmfilter term t2 from ip-version ipv6 next-header-except 255