EN ESTA PÁGINA
Configuración de analizadores y duplicación de puertos
Descripción de los analizadores de duplicación de puertos
La duplicación de puertos se puede usar para el análisis de tráfico en enrutadores y conmutadores que, a diferencia de los concentradores, no difunden paquetes a todos los puertos del dispositivo de destino. La duplicación de puertos envía copias de todos los paquetes o paquetes de muestra basados en políticas a analizadores locales o remotos donde puede supervisar y analizar los datos.
En el contexto de los analizadores de duplicación de puertos, utilizamos el término dispositivo de conmutación. El término indica que el dispositivo (incluidos los enrutadores) está realizando una función de conmutación.
Puede utilizar analizadores a nivel de paquete para ayudarle a:
Supervisar el tráfico de red
Aplicar políticas de uso de red
Aplicar políticas de uso compartido de archivos
Identificar las causas de los problemas
Identificar estaciones o aplicaciones con un uso intensivo o anormal del ancho de banda
Puede configurar la duplicación de puertos para duplicar:
Paquetes en puente (paquetes de capa 2)
Paquetes enrutados (paquetes de capa 3)
Los paquetes duplicados se pueden copiar en una interfaz local para el monitoreo local o en un dominio de VLAN o puente para el monitoreo remoto.
Se pueden copiar los siguientes paquetes:
Packets entering or exiting a port: puede duplicar paquetes que entran o salen de puertos, en cualquier combinación, para un máximo de 256 puertos. Por ejemplo, puede enviar copias de los paquetes que entran en algunos puertos y los paquetes que salen de otros puertos al mismo puerto del analizador local o VLAN del analizador.
Packets entering or exiting a VLAN or bridge domain: puede reflejar los paquetes que entran o salen de un dominio de VLAN o puente en un puerto del analizador local o en una VLAN o dominio de puente del analizador. Puede configurar varias VLAN (hasta 256 VLAN) o dominios de puente como entradas de entrada a un analizador, incluido un rango de VLAN y VLAN privadas (PVLAN).
Policy-based sample packets: puede reflejar una muestra basada en políticas de paquetes que ingresan a un dominio de puerto, VLAN o puente. Configure un filtro de firewall con una directiva para seleccionar los paquetes que se van a reflejar. Puede enviar la muestra a una instancia de duplicación de puertos, a una VLAN de analizador o a un dominio de puente.
- Descripción general del analizador
- Descripción general del analizador estadístico
- Descripción general del analizador predeterminado
- Creación de reflejo de puertos en un grupo de puertos enlazados a varios analizadores estadísticos
- Terminología del analizador de duplicación de puertos
- Directrices de configuración para analizadores de duplicación de puertos
Descripción general del analizador
Puede configurar un analizador para definir tanto el tráfico de entrada como el tráfico de salida en la misma configuración del analizador. El tráfico de entrada que se va a analizar puede ser el tráfico que entra o el tráfico que sale de una interfaz o VLAN. La configuración del analizador le permite enviar este tráfico a una interfaz de salida, instancia, grupo del próximo salto, VLAN o dominio de puente. Puede configurar un analizador en el nivel jerárquico .[edit forwarding-options analyzer]
Descripción general del analizador estadístico
Puede definir un conjunto de propiedades de duplicación, como la velocidad de creación de reflejo y la longitud máxima de paquete para el tráfico, que puede enlazar explícitamente a puertos físicos del enrutador o conmutador. Este conjunto de propiedades de reflejo constituye un analizador estadístico (también denominado analizador no predeterminado). En este nivel, puede enlazar una instancia con nombre a los puertos físicos asociados a un FPC específico.
Descripción general del analizador predeterminado
Puede configurar un analizador sin configurar ninguna propiedad de creación de reflejo (como la velocidad de creación de reflejo o la longitud máxima del paquete). De forma predeterminada, la velocidad de creación de reflejo se establece en 1 y la longitud máxima del paquete se establece en la longitud completa del paquete. Estas propiedades se aplican a nivel global y no necesitan estar enlazadas a un FPC específico.
Creación de reflejo de puertos en un grupo de puertos enlazados a varios analizadores estadísticos
Puede aplicar hasta dos analizadores estadísticos a los mismos grupos de puertos del dispositivo de conmutación. Al aplicar dos instancias de analizador estadístico diferentes al mismo FPC o motor de reenvío de paquetes, puede enlazar dos especificaciones de duplicación de capa 2 distintas a un único grupo de puertos. Las propiedades de creación de reflejo enlazadas a una FPC invalidan cualquier propiedad del analizador (analizador predeterminado) enlazada a nivel global en el dispositivo de conmutación. Las propiedades predeterminadas del analizador se reemplazan mediante el enlace de una segunda instancia del analizador en el mismo grupo de puertos.
Terminología del analizador de duplicación de puertos
Tabla 1 enumera algunos términos del analizador de duplicación de puertos y sus descripciones.
| Término | Description |
|---|---|
Analizador |
En una configuración de duplicación, el analizador incluye:
|
Interfaz de salida del analizador (También conocido como puerto de monitor) |
Interfaz donde se envía el tráfico reflejado y se conecta un analizador de protocolos. Las interfaces utilizadas como salida a un analizador deben configurarse bajo el nivel de jerarquía. Las interfaces de salida del analizador tienen las siguientes limitaciones:
|
Analizador VLAN o dominio de puente (También conocido como VLAN de monitor o dominio de puente) |
VLAN o dominio de puente al que se envía el tráfico reflejado para que lo utilice un analizador de protocolos. Las interfaces miembro en la VLAN de monitor o en el dominio de puente se distribuyen por los dispositivos de conmutación de la red. |
Analizador basado en dominios de puente |
Una sesión de analizador configurada para usar dominios de puente para entrada, salida o ambos. |
Analizador predeterminado |
Un analizador con parámetros de duplicación predeterminados. De forma predeterminada, la velocidad de creación de reflejo es 1 y la longitud máxima del paquete es la longitud del paquete completo. |
Interfaz de entrada (También conocidos como puertos duplicados o interfaces monitoreadas) |
Una interfaz en el dispositivo de conmutación donde se refleja el tráfico que entra o sale de esta interfaz. |
Analizador basado en LAG |
Un analizador que tiene un grupo de agregación de vínculos (LAG) especificado como interfaz de entrada (entrada) en la configuración del analizador. |
Duplicación local |
Configuración del analizador en la que los paquetes se reflejan en un puerto del analizador local. |
Estación de monitoreo |
Equipo que ejecuta un analizador de protocolos. |
Analizador basado en el grupo del siguiente salto |
Una configuración de analizador que utiliza el grupo del salto siguiente como salida a un analizador. |
Analizador basado en puertos |
Una configuración de analizador que define interfaces para entrada y salida. |
Aplicación del analizador de protocolos |
Una aplicación utilizada para examinar paquetes transmitidos a través de un segmento de red. También se le suele llamar analizador de red, rastreador de paquetes o sonda. |
Duplicación remota |
Funciona de la misma manera que la creación de reflejo local, excepto que el tráfico reflejado no se copia en un puerto del analizador local, sino que se inunda a una VLAN del analizador o a un dominio de puente que se crea específicamente con el fin de recibir tráfico reflejado. Los paquetes duplicados tienen una etiqueta externa adicional de la VLAN del analizador o del dominio de puente. |
Analizador estadístico (También conocido como analizador no predeterminado) |
Un conjunto de propiedades de creación de reflejo que se pueden enlazar explícitamente a los puertos físicos del conmutador. Este conjunto de propiedades del analizador se conoce como analizador estadístico. |
Analizador basado en VLAN |
Una configuración de analizador que utiliza VLAN para entregar el tráfico reflejado al analizador. |
Directrices de configuración para analizadores de duplicación de puertos
Al configurar analizadores de duplicación de puertos. Le recomendamos que siga estas pautas para garantizar un beneficio óptimo. Se recomienda deshabilitar la creación de reflejo cuando no la esté utilizando y seleccionar interfaces específicas como entrada para el analizador en lugar de utilizar la opción de palabra clave, que habilita la creación de reflejo en todas las interfaces.all La duplicación de solo los paquetes necesarios reduce cualquier impacto potencial en el rendimiento.
También puede limitar la cantidad de tráfico reflejado de la siguiente manera:
-
Uso del muestreo estadístico
-
Uso de un filtro de firewall
-
Establecer una proporción para seleccionar una muestra estadística
Con la creación de reflejo local, el tráfico de varios puertos se replica en la interfaz de salida del analizador. Si la interfaz de salida de un analizador alcanza su capacidad, los paquetes se descartan. Debe considerar si el tráfico que se refleja supera la capacidad de la interfaz de salida del analizador.
Tabla 2 Resume otras directrices de configuración para los analizadores.
|
Pauta |
Información de valor o soporte |
Comentario |
|---|---|---|
|
Número de analizadores que puede habilitar simultáneamente. |
64 Analizadores predeterminados 2 por FPC–Analizador estadístico |
Los analizadores estadísticos deben estar enlazados a una FPC para reflejar el tráfico en los puertos que pertenecen a esa FPC. Nota:
Las propiedades predeterminadas del analizador están implícitamente enlazadas en la última (o penúltima) instancia de todos los FPC del sistema. Por lo tanto, cuando se enlaza explícitamente un segundo analizador estadístico en la FPC, se reemplazan las propiedades predeterminadas del analizador. |
|
Número de interfaces, VLAN o dominios de puente que puede utilizar como entrada de entrada a un analizador. |
256 |
– |
|
Tipos de puertos en los que no se puede reflejar el tráfico. |
|
|
|
Familias de protocolos que puede incluir en un analizador. |
para los conmutadores de la serie EX y para los enrutadores de la serie MX. |
Un analizador solo refleja el tráfico en puente. Para reflejar el tráfico enrutado, utilice la configuración de creación de reflejo de puertos con como o . |
|
Los paquetes con errores de capa física no se envían al analizador local o remoto. |
Aplicable |
Los paquetes con estos errores se filtran y, por lo tanto, no se envían al analizador. |
|
El analizador no admite tráfico de velocidad de línea. |
Aplicable |
La creación de reflejo para el tráfico de velocidad de línea se realiza con el mejor esfuerzo. |
|
Salida del analizador en una interfaz LAG. |
Compatible |
|
|
El analizador genera el modo de interfaz como modo troncal. |
Compatible |
|
|
Reflejo de salida de paquetes de control generados por el host. |
No compatible |
|
|
Configuración de interfaces lógicas de capa 3 en la estrofa de un analizador. |
No compatible |
|
|
Se deben evitar las estrofas de entrada y salida del analizador que contengan miembros de la misma VLAN o de la propia VLAN. |
Aplicable |
|
|
Soporte para VLAN y sus interfaces miembro en diferentes sesiones de analizador |
No compatible |
Si se configura la creación de reflejo, cualquiera de los analizadores estará activo. |
|
Duplicación de salida de interfaces Ethernet (ae) agregadas y sus interfaces lógicas secundarias configuradas para diferentes analizadores. |
No compatible |
|
Configuración de la creación de reflejo en conmutadores EX9200 para analizar el tráfico (procedimiento de la CLI)
Los conmutadores EX9200 permiten configurar la creación de reflejo para enviar copias de paquetes a una interfaz local para supervisión local o a una VLAN para supervisión remota. Puede utilizar la creación de reflejo para copiar los siguientes paquetes:
Paquetes que entran o salen de un puerto
Paquetes que entran o salen de una VLAN
Refleje solo los paquetes necesarios para reducir el impacto potencial en el rendimiento. Le recomendamos que:
Desactive los analizadores que haya configurado cuando no los esté utilizando.
Especifique interfaces individuales como entrada para los analizadores en lugar de especificar todas las interfaces como entrada.
Limite la cantidad de tráfico reflejado de la siguiente manera:
Uso de muestreo estadístico.
Establecer ratios para seleccionar muestras estadísticas.
Uso de filtros de firewall.
Si desea crear analizadores adicionales sin eliminar los analizadores existentes, deshabilite los analizadores existentes mediante la instrucción de la interfaz de línea de comandos (CLI) o de la página de configuración de J-Web para la creación de reflejo.disable analyzer analyzer-name
Las interfaces utilizadas como salida a un analizador deben configurarse en el comando y deben estar asociadas a una VLAN.ethernet-switching family
- Configuración de un analizador para el análisis de tráfico local
- Configuración de un analizador para el análisis de tráfico remoto
- Configuración de un analizador estadístico para el análisis de tráfico local
- Configuración de un analizador estadístico para el análisis de tráfico remoto
- Enlazar analizadores estadísticos a puertos agrupados en el nivel de FPC
- Configurar un analizador con varios destinos mediante grupos de salto siguiente
- Definición de un grupo de salto siguiente para la creación de reflejo de capa 2
Configuración de un analizador para el análisis de tráfico local
Para reflejar el tráfico de red o el tráfico de VLAN en el conmutador a una interfaz en el conmutador mediante el uso de analizadores:
Configuración de un analizador para el análisis de tráfico remoto
Para reflejar el tráfico que atraviesa las interfaces o una VLAN del conmutador a una VLAN utilizada para el análisis desde una ubicación remota:
Configuración de un analizador estadístico para el análisis de tráfico local
Para reflejar el tráfico de interfaz o VLAN del conmutador a una interfaz del conmutador mediante un analizador estadístico:
Configuración de un analizador estadístico para el análisis de tráfico remoto
Para reflejar el tráfico que atraviesa las interfaces o una VLAN en el conmutador a una VLAN para su análisis desde una ubicación remota mediante un analizador estadístico:
Enlazar analizadores estadísticos a puertos agrupados en el nivel de FPC
Puede enlazar un analizador estadístico a una FPC específica en el conmutador, es decir, puede enlazar la instancia del analizador estadístico en el nivel de FPC del conmutador. Las propiedades de duplicación especificadas en el analizador estadístico se aplican a todos los puertos físicos asociados con todos los motores de reenvío de paquetes en la FPC especificada.
Para enlazar una instancia con nombre del analizador de capa 2 a una FPC:
Habilite la configuración de las propiedades del chasis del conmutador:
[edit] user@switch# edit chassis
Habilitar la configuración de una FPC (y sus PIC instaladas):
[edit chassis] user@switch# edit fpc slot-number
Enlazar una instancia de analizador estadístico a la FPC:
[edit chassis fpc slot-number] user@switch# set port-mirror-instance stats_analyzer-1
(Opcional) Para enlazar una segunda instancia de analizador estadístico de creación de reflejo de capa 2 a la misma FPC, repita el paso 3 y especifique un nombre de analizador estadístico diferente:
[edit chassis fpc slot-number] user@switch# set port-mirror-instance stats_analyzer-2
Compruebe la configuración mínima del enlace:
[edit chassis fpc slot-number port-mirror-instance analyzer_name] user@switch# top [edit] user@switch# show chassis chassis { fpc slot-number { # Bind two statistical analyzers or port mirroring named instances at the FPC level. port-mirror-instance stats_analyzer-1; port-mirror-instance stats_analyzer-2; } }
Al enlazar una segunda instancia ( en este ejemplo), las propiedades de creación de reflejo de esta sesión, si están configuradas, anulan cualquier analizador predeterminado.stats_analyzer-2
Configurar un analizador con varios destinos mediante grupos de salto siguiente
Puede reflejar el tráfico a varios destinos configurando los grupos del próximo salto como salida del analizador. La duplicación de paquetes a múltiples destinos también se conoce como duplicación de puertos multipaquete.
Para reflejar el tráfico de interfaz o VLAN en el conmutador a una interfaz en el conmutador (mediante el uso de analizadores):
Definición de un grupo de salto siguiente para la creación de reflejo de capa 2
La configuración del grupo del salto siguiente en el nivel de configuración permite definir un nombre de grupo del salto siguiente, el tipo de direcciones que se usarán en el grupo del salto siguiente y las interfaces lógicas que forman los múltiples destinos a los que se puede reflejar el tráfico.[edit forwarding-options] De forma predeterminada, el grupo del salto siguiente se especifica utilizando direcciones de capa 3 mediante la instrucción.[edit forwarding-options next-hop-group next-hop-group-name group-type inet] Para especificar un grupo de salto siguiente utilizando direcciones de capa 2 en su lugar, incluya la instrucción.[edit forwarding-options next-hop-group next-hop-group-name group-type layer-2]
Para definir un grupo de salto siguiente para la creación de reflejo de capa 2:
Configuración de la creación de reflejo en conmutadores EX4300 para analizar el tráfico (procedimiento de la CLI)
Esta tarea utiliza Junos OS para conmutadores serie EX compatibles con el estilo de configuración Enhanced Layer 2 software (ELS).
Los conmutadores EX4300 permiten configurar la creación de reflejo para enviar copias de paquetes a una interfaz local para monitoreo local o a una VLAN para monitoreo remoto. Puede utilizar la creación de reflejo para copiar estos paquetes:
Paquetes que entran o salen de un puerto
Paquetes que ingresan a una VLAN
Refleje solo los paquetes necesarios para reducir el impacto potencial en el rendimiento. Le recomendamos que:
Deshabilite las configuraciones de creación de reflejo configuradas cuando no las esté utilizando.
Especifique interfaces individuales como entrada para los analizadores en lugar de especificar todas las interfaces como entrada.
Limite la cantidad de tráfico reflejado mediante filtros de firewall.
Si desea crear analizadores adicionales sin eliminar los analizadores existentes, deshabilite los analizadores existentes mediante la instrucción de la interfaz de línea de comandos o la página de configuración de J-Web para la creación de reflejo.disable analyzer analyzer-name
Las interfaces utilizadas como salida para un analizador deben configurarse bajo la familia.ethernet-switching
- Configuración de un analizador para el análisis de tráfico local
- Configuración de un analizador para el análisis de tráfico remoto
- Configuración de la creación de reflejo de puertos
Configuración de un analizador para el análisis de tráfico local
Para reflejar el tráfico de interfaz o VLAN en el conmutador a una interfaz en el conmutador (mediante el uso de analizadores):
Configuración de un analizador para el análisis de tráfico remoto
Para reflejar el tráfico que atraviesa las interfaces o una VLAN en el conmutador a una VLAN para su análisis desde una ubicación remota (mediante el uso de analizadores):
Configuración de la creación de reflejo de puertos
Para filtrar los paquetes que se reflejarán en una instancia de creación de reflejo de puertos, cree la instancia y, a continuación, utilícela como acción en el filtro de firewall. Puede usar filtros de firewall en configuraciones de creación de reflejo local y remota.
Si se utiliza la misma instancia de duplicación de puertos en varios filtros o términos, los paquetes se copian en el puerto de salida del analizador o en la VLAN del analizador solo una vez.
Para filtrar el tráfico reflejado, cree una instancia de creación de reflejo de puertos en el nivel de jerarquía y, a continuación, cree un filtro de firewall.[edit forwarding-options] El filtro puede usar cualquiera de las condiciones de coincidencia disponibles y debe tenerlo como acción.port-mirror-instance instance-name Esta acción en la configuración del filtro del firewall proporciona la entrada a la instancia de duplicación de puertos.
Para configurar una instancia de creación de reflejo de puerto con filtros de firewall:
Configuración de la creación de reflejo de puertos para analizar el tráfico (procedimiento de la CLI)
Esta tarea de configuración utiliza Junos OS para conmutadores serie EX que no admiten el estilo de configuración Enhanced Layer 2 Software (ELS).
Los conmutadores de la serie EX le permiten configurar la duplicación de puertos para enviar copias de paquetes a una interfaz local para monitoreo local o a una VLAN para monitoreo remoto. Puede utilizar la creación de reflejo de puertos para copiar estos paquetes:
Paquetes que entran o salen de un puerto
Paquetes que ingresan a una VLAN en conmutadores EX2200, EX3200, EX3300, EX4200, EX4500 o EX6200
Paquetes que salen de una VLAN en conmutadores EX8200
Refleje solo los paquetes necesarios para reducir el impacto potencial en el rendimiento. Le recomendamos que:
Desactive los analizadores de creación de reflejo de puertos configurados cuando no los esté utilizando.
Especifique interfaces individuales como entrada para los analizadores en lugar de especificar todas las interfaces como entrada.
Limite la cantidad de tráfico reflejado de la siguiente manera:
Uso de muestreo estadístico.
Establecer ratios para seleccionar muestras estadísticas.
Uso de filtros de firewall.
Antes de comenzar a configurar la creación de reflejo de puertos, tenga en cuenta las siguientes limitaciones para las interfaces de salida del analizador:
No puede ser también un puerto de origen.
No se puede utilizar para cambiar.
No participe en protocolos de capa 2 (como RSTP) cuando forme parte de una configuración de creación de reflejo de puerto.
No conserve ninguna asociación de VLAN que tenían antes de configurarse como interfaces de salida del analizador.
Si desea crear analizadores adicionales sin eliminar el analizador existente, desactive primero el analizador existente mediante el comando o la página de configuración de J-Web para la creación de reflejo de puertos.disable analyzer analyzer-name
Las interfaces utilizadas como salida para un analizador deben configurarse como familia .ethernet-switching
- Configuración de la creación de reflejo de puertos para el análisis de tráfico local
- Configuración de la creación de reflejo de puertos para el análisis de tráfico remoto
- Filtrado del tráfico que entra en un analizador
Configuración de la creación de reflejo de puertos para el análisis de tráfico local
Para reflejar el tráfico de interfaz o VLAN del conmutador a otra interfaz del conmutador:
Configuración de la creación de reflejo de puertos para el análisis de tráfico remoto
Para reflejar el tráfico que atraviesa las interfaces o una VLAN en el conmutador a una VLAN para su análisis desde una ubicación remota:
Filtrado del tráfico que entra en un analizador
Para filtrar los paquetes que se reflejan en un analizador, cree el analizador y, a continuación, utilícelo como acción en el filtro de firewall. Puede usar filtros de firewall en configuraciones de creación de reflejo de puertos locales y remotos.
Si se utiliza el mismo analizador en varios filtros o términos, los paquetes se copian en el puerto de salida del analizador o en la VLAN del analizador solo una vez.
Para filtrar el tráfico reflejado, cree un analizador y, a continuación, cree un filtro de firewall. El filtro puede utilizar cualquiera de las condiciones de coincidencia disponibles y debe tener una acción de .analyzer La acción del filtro de firewall proporciona la entrada al analizador.
Para configurar la creación de reflejo de puertos con filtros:
Verificación de entrada y salida para analizadores de duplicación de puertos en conmutadores de la serie EX
Propósito
Esta tarea de verificación utiliza Junos OS para conmutadores serie EX que no admiten el estilo de configuración Enhanced Layer 2 Software (ELS).
Verifique que se haya creado un analizador en el conmutador y que tenga las interfaces de entrada de espejo adecuadas y la interfaz de salida del analizador adecuada.
Acción
Puede comprobar que el analizador de reflejos de puertos está configurado como se esperaba mediante el comando.show analyzer
[edit] user@switch> show analyzer Analyzer name : employee-monitor Output VLAN : remote-analyzer Mirror ratio : 1 Loss priority : High Ingress monitored interfaces : ge-0/0/0.0 Ingress monitored interfaces : ge-0/0/1.0
Puede ver todos los analizadores de espejo de puertos configurados en el conmutador, incluidos los que estén deshabilitados, mediante el comando en modo de configuración.show ethernet-switching-options
user@switch# show ethernet-switching-options
inactive: analyzer employee-web-monitor {
loss-priority high;
output {
analyzer employee-monitor {
loss-priority high;
input {
ingress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
}
output {
vlan {
remote-analyzer;
}
}
}
Significado
Esta salida muestra que el analizador empleado-monitor tiene una relación de 1 (duplicación de cada paquete, el valor predeterminado), una prioridad de pérdida de (establezca esta opción en siempre que la salida del analizador sea a una VLAN), está reflejando el tráfico que entra en ge-0/0/0 y ge-0/0/1, y está enviando el tráfico reflejado al analizador llamado remote-analyzer.highhigh
Ejemplo: Configuración de analizadores de creación de reflejo de puertos para la supervisión local del uso de recursos de los empleados
Los dispositivos de Juniper Networks le permiten configurar la duplicación de puertos para enviar copias de paquetes a una interfaz local para monitoreo local, a una VLAN o a un dominio de puente para monitoreo remoto. Puede utilizar la creación de reflejo para copiar estos paquetes:
Paquetes que entran o salen de un puerto
Paquetes que entran o salen de un dominio de VLAN o puente
A continuación, puede analizar el tráfico reflejado de forma local o remota mediante un analizador de protocolos. Puede instalar un analizador en una interfaz de destino local. Si va a enviar tráfico duplicado a una VLAN analizadora o a un dominio de puente, puede utilizar un analizador en una estación de supervisión remota.
En este tema se describe cómo configurar la creación de reflejo local en un dispositivo de conmutación. En los ejemplos de este tema se describe cómo configurar un dispositivo de conmutación para reflejar el tráfico que entra en las interfaces conectadas a los equipos de los empleados en una interfaz de salida del analizador en ese mismo dispositivo.
- Requisitos
- Descripción general y topología
- Duplicación de todo el tráfico de empleados para análisis local
- Verificación
Requisitos
Utilice uno de los siguientes componentes de hardware y software:
Un conmutador EX9200 con Junos OS versión 13.2 o posterior
Un enrutador serie MX con Junos OS versión 14.1 o posterior
Antes de configurar la creación de reflejo de puertos, asegúrese de que comprende los conceptos de creación de reflejos. Para obtener información acerca de los analizadores, consulte Descripción de los analizadores de creación de reflejo de puertos. Para obtener información acerca de la creación de reflejo de puertos, consulte Descripción de la creación de reflejo de puertos de capa 2.Descripción de la creación de reflejo de puertos de capa 2
Descripción general y topología
En este tema se describe cómo reflejar todo el tráfico que entra en los puertos del dispositivo de conmutación a una interfaz de destino en el mismo dispositivo (creación de reflejo local). En este caso, el tráfico entra en los puertos conectados a los equipos de los empleados.
La duplicación de todo el tráfico requiere un ancho de banda significativo y solo debe realizarse durante una investigación activa.
Las interfaces ge-0/0/0 y ge-0/0/1 sirven como conexiones para los equipos de los empleados.
La interfaz ge-0/0/10 está reservada para el análisis del tráfico reflejado.
Conecte un PC que ejecute un analizador de protocolos a la interfaz de salida del analizador.
Varios puertos reflejados en una interfaz pueden provocar el desbordamiento del búfer, lo que provoca que los paquetes reflejados se descarten en la interfaz de salida.
Figura 1 muestra la topología de red de este ejemplo.
Duplicación de todo el tráfico de empleados para análisis local
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente la duplicación local para el tráfico de entrada enviado en dos puertos conectados a las computadoras de los empleados, copie cualquiera de los siguientes comandos para conmutadores de la serie EX o para enrutadores de la serie MX y péguelos en la ventana de terminal del dispositivo de conmutación:
Serie EX
[edit] set interfaces ge-0/0/0 unit 0 family ethernet-switching set interfaces ge-0/0/1 unit 0 family ethernet-switching set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor output interface ge-0/0/10.0
Serie MX
[edit] set interfaces ge-0/0/0 unit 0 family bridge interface-mode access vlan-id 99 set interfaces ge-0/0/1 unit 0 family bridge interface-mode access vlan-id 98 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor output interface ge-0/0/10.0
Procedimiento paso a paso
Para configurar un analizador llamado y especificar las interfaces de entrada (origen) y la interfaz de salida del analizador:employee-monitor
Configure cada interfaz que se utilizará en la configuración del analizador. Utilice el protocolo de familia que sea correcto para su plataforma.
EX Series [edit] set interfaces ge-0/0/0 unit 0 family ethernet-switching set interfaces ge-0/0/1 unit 0 family ethernet-switching
Para configurar en una interfaz, debe configurar o también.
family bridgeinterface-mode accessinterface-mode trunkTambién debe configurar .vlan-idMX Series [edit] set interfaces ge-0/0/0 unit 0 family bridge interface-mode access vlan-id 99 set interfaces ge-0/0/1 unit 0 family bridge interface-mode access vlan-id 98
Configure cada interfaz conectada a los equipos de los empleados como una interfaz de analizador de salida.
employee-monitor[edit forwarding-options] set analyzer employee-monitor input ingress interface ge-0/0/0.0 set analyzer employee-monitor input ingress interface ge-0/0/1.0
Configure la interfaz del analizador de salida para el analizador.
employee-monitorEsta será la interfaz de destino para los paquetes reflejados.
[edit forwarding-options] set analyzer employee-monitor output interface ge-0/0/10.0
Resultados
Compruebe los resultados de la configuración.
[edit]
user@device# show forwarding-options
analyzer {
employee-monitor {
input {
ingress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
}
output {
interface ge-0/0/10.0;
}
}
}
Verificación
Comprobación de que el analizador se ha creado correctamente
Propósito
Compruebe que el analizador se ha creado en el dispositivo de conmutación con las interfaces de entrada y la interfaz de salida adecuadas.employee-monitor
Acción
Utilice el comando operativo para comprobar que un analizador está configurado como se esperaba.show forwarding-options analyzer
user@device> show forwarding-options analyzer Analyzer name : employee-monitor Mirror rate : 1 Maximum packet length : 0 State : up Ingress monitored interfaces : ge-0/0/0.0 Output interface : ge-0/0/10.0
Significado
El resultado muestra que el analizador tiene una proporción de 1 (es decir, duplicar cada paquete, la configuración predeterminada), el tamaño máximo del paquete original reflejado es 0 (lo que indica que todo el paquete está reflejado), el estado de la configuración es , y el analizador está reflejando el tráfico que entra en la interfaz ge-0/0/0 y envía el tráfico reflejado a la interfaz ge-0/0/10.employee-monitorup
Si el estado de la interfaz de salida es o si la interfaz de salida no está configurada, el valor de indicará que el analizador no recibirá tráfico reflejado.downStatedown
Ejemplo: Configuración de la creación de reflejo de puertos para la supervisión remota del uso de los recursos de los empleados
Los dispositivos de Juniper Networks le permiten configurar la duplicación de puertos para enviar copias de paquetes a una interfaz local para monitoreo local o a una VLAN o dominio de puente para monitoreo remoto. Puede utilizar la creación de reflejo para copiar estos paquetes:
Paquetes que entran o salen de un puerto
Paquetes que entran o salen de una VLAN
Paquetes que entran o salen de un dominio de puente
Si envía tráfico reflejado a una VLAN de analizador o a un dominio de puente, puede analizar el tráfico reflejado mediante un analizador de protocolos que se ejecute en una estación de supervisión remota.
Refleje solo los paquetes necesarios para reducir el impacto potencial en el rendimiento. Le recomendamos que haga lo siguiente:
Deshabilite las sesiones de creación de reflejo configuradas cuando no las esté utilizando.
Especifique interfaces individuales como entrada para los analizadores en lugar de especificar todas las interfaces como entrada.
Limite la cantidad de tráfico reflejado de la siguiente manera:
Uso de muestreo estadístico.
Establecer ratios para seleccionar muestras estadísticas.
Uso de filtros de firewall.
En los ejemplos de este tema se describe cómo configurar la creación de reflejo de puertos remotos para analizar el uso de recursos de los empleados.
- Requisitos
- Descripción general y topología
- Duplicación del tráfico de empleados para el análisis remoto mediante un analizador estadístico
- Verificación
Requisitos
En este ejemplo se utiliza uno de los siguientes pares de componentes de hardware y software:
Un conmutador EX9200 conectado a otro conmutador EX9200, ambos con la versión 13.2 o posterior de Junos OS
Un enrutador de la serie MX conectado a otro enrutador de la serie MX, ambos con Junos OS versión 14.1 o posterior
Antes de configurar la creación remota de reflejos, asegúrese de que:
Tienes una comprensión de los conceptos de reflejo. Para obtener información acerca de los analizadores, consulte Descripción de los analizadores de creación de reflejo de puertos. Para obtener información acerca de la creación de reflejo de puertos, consulte Descripción de la creación de reflejo de puertos de capa 2.Descripción de la creación de reflejo de puertos de capa 2
Las interfaces que utilizará el analizador como interfaces de entrada ya se han configurado en el dispositivo de conmutación.
Descripción general y topología
En este tema se describe cómo configurar la creación de reflejo de puertos en una VLAN de analizador remoto o en un dominio de puente para que el análisis se pueda realizar desde una estación de supervisión remota.
Figura 2 muestra la topología de red para los escenarios de ejemplo de la serie EX y de la serie MX.
Topología
En este ejemplo:
La interfaz ge-0/0/0 es una interfaz de capa 2 y la interfaz ge-0/0/1 es una interfaz de capa 3 (ambas son interfaces en el dispositivo fuente) que sirven como conexiones para las computadoras de los empleados.
La interfaz ge-0/0/10 es una interfaz de capa 2 que conecta el dispositivo de conmutación de fuente con el dispositivo de conmutación de destino.
La interfaz ge-0/0/5 es una interfaz de capa 2 que conecta el dispositivo de conmutación de destino a la estación de monitoreo remoto.
El analizador está configurado en todos los dispositivos de conmutación de la topología para transportar el tráfico reflejado.
remote-analyzerEsta topología puede usar un dominio de VLAN o de puente.
Duplicación del tráfico de empleados para el análisis remoto mediante un analizador estadístico
Para configurar un analizador estadístico para el análisis de tráfico remoto para todo el tráfico de empleados entrantes y salientes, seleccione uno de los siguientes ejemplos:
- Duplicación del tráfico de empleados para análisis remoto para conmutadores de la serie EX
- Duplicación del tráfico de empleados para análisis remoto para enrutadores de la serie MX
Duplicación del tráfico de empleados para análisis remoto para conmutadores de la serie EX
Configuración rápida de CLI
Para configurar rápidamente un analizador estadístico para el análisis de tráfico remoto del tráfico entrante y saliente de empleados, copie los siguientes comandos para los conmutadores de la serie EX y péguelos en la ventana correcta del terminal del dispositivo de conmutación.
Copie y pegue los siguientes comandos en la ventana terminal del dispositivo de conmutación de origen :
Serie EX
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor output vlan remote-analyzer set forwarding-options analyzer employee-monitor input rate 2 set forwarding-options analyzer employee-monitor input maximum-packet-length 128 set chassis fpc 0 port-mirror-instance employee-monitor
Copie y pegue los siguientes comandos en la ventana Terminal del dispositivo de conmutación de destino :
Serie EX
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 set interfaces ge-0/0/5 unit 0 family ethernet-switching interface-mode access set forwarding-options analyzer employee-monitor input ingress vlan remote-analyzer set forwarding-options analyzer employee-monitor output interface ge-0/0/5.0
Procedimiento paso a paso
Para configurar la creación de reflejo remota básica:
En el dispositivo de conmutación de origen, haga lo siguiente:
Configure el ID de VLAN para la VLAN.
remote-analyzer[edit] user@device# set vlans remote-analyzer vlan-id 999
Configure la interfaz en el puerto de red conectado al dispositivo de conmutación de destino para el modo de acceso y asócielo a la VLAN.
remote-analyzer[edit] user@device# set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode access user@device# set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999
Configure el analizador estadístico .
employee-monitor[edit forwarding-options] user@device# set analyzer employee-monitor input ingress interface ge-0/0/0.0 user@device# set analyzer employee-monitor input ingress interface ge-0/0/1.0 user@device# set analyzer employee-monitor input egress interface ge-0/0/0.0 user@device# set analyzer employee-monitor input egress interface ge-0/0/1.0 user@device# set analyzer employee-monitor output vlan remote-analyzer user@device# set analyzer employee-monitor input rate 2 user@device# set analyzer employee-monitor input maximum-packet-length 128
Enlazar el analizador estadístico a la FPC que contiene la interfaz de entrada.
[edit] user@device# set chassis fpc 0 port-mirror-instance employee-monitor
En el dispositivo de red de destino, haga lo siguiente:
Configure el ID de VLAN para la VLAN.
remote-analyzer[edit] user@device# set vlans remote-analyzer vlan-id 999
Configure la interfaz en el dispositivo de conmutación de destino para el modo de acceso y asóciela a la VLAN.
remote-analyzer[edit interfaces] user@device# set ge-0/0/10 unit 0 family ethernet-switching interface-mode access user@device# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999
Configure la interfaz conectada al dispositivo de conmutación de destino para el modo de acceso.
[edit interfaces] user@device# set ge-0/0/5 unit 0 family ethernet-switching interface-mode access
Configure el analizador.
employee-monitor[edit forwarding-options] user@device# set analyzer employee-monitor input ingress vlan remote-analyzer user@device# set analyzer employee-monitor output interface ge-0/0/5.0
Especifique parámetros de creación de reflejo, como la velocidad y la longitud máxima del paquete para el analizador.
employee-monitor[edit] user@device# set forwarding-options analyzer employee-monitor input rate 2 user@device# set forwarding-options analyzer employee-monitor input maximum-packet-length 128
Vincule el analizador a la FPC que contiene los puertos de entrada.
employee-monitor[edit] user@device# set chassis fpc 0 port-mirror-instance employee-monitor
Resultados
Compruebe los resultados de la configuración en el dispositivo de conmutación de origen:
[edit]
user@device# show
forwarding-options {
analyzer employee-monitor {
input {
ingress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
egress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
maximum-packet-length 128;
rate 2;
}
output {
vlan {
remote-analyzer;
}
}
}
}
interfaces {
ge-0/0/10 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members 999;
}
}
}
}
}
vlans {
remote-analyzer {
vlan-id 999;
}
}
Compruebe los resultados de la configuración en el dispositivo de conmutación de destino.
[edit]
user@device# show
interfaces {
ge0/0/5 {
unit 0 {
family ethernet-switching {
interface-mode access;
}
}
}
ge-0/0/10 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members 999;
}
}
}
}
}
vlans {
remote-analyzer {
vlan-id 999;
interface {
ge-0/0/10.0;
}
}
}
forwarding-options {
analyzer employee-monitor {
input {
ingress {
vlan remote-analyzer;
}
}
output {
interface {
ge-0/0/5.0;
}
}
}
}
Duplicación del tráfico de empleados para análisis remoto para enrutadores de la serie MX
Configuración rápida de CLI
Para configurar rápidamente un analizador estadístico para el análisis de tráfico remoto del tráfico entrante y saliente de empleados, copie los siguientes comandos para enrutadores serie MX y péguelos en la ventana correcta del terminal del dispositivo de conmutación.
Copie y pegue los siguientes comandos en la ventana terminal del dispositivo de conmutación de origen :
Serie MX
[edit] set bridge-domains remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family bridge interface-mode access set interfaces ge-0/0/10 unit 0 family bridge vlan-id 999 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor output bridge-domain remote-analyzer set forwarding-options analyzer employee-monitor input rate 2 set forwarding-options analyzer employee-monitor input maximum-packet-length 128 set chassis fpc 0 port-mirror-instance employee-monitor
Copie y pegue los siguientes comandos en la ventana Terminal del dispositivo de conmutación de destino :
Serie MX
[edit] set bridge-domains remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family bridge interface-mode access set interfaces ge-0/0/10 unit 0 family bridge vlan-id 999 set interfaces ge-0/0/5 unit 0 family bridge interface-mode access set forwarding-options analyzer employee-monitor input ingress bridge-domain remote-analyzer set forwarding-options analyzer employee-monitor output interface ge-0/0/5.0
Procedimiento paso a paso
Para configurar la duplicación remota básica con enrutadores de la serie MX:
En el dispositivo de conmutación de origen, haga lo siguiente:
Configure el ID de VLAN para el dominio de puente.
remote-analyzer[edit] user@device# set bridge-domains remote-analyzer vlan-id 999
Configure la interfaz en el puerto de red conectado al dispositivo de conmutación de destino para el modo de acceso y asócielo al dominio de puente.
remote-analyzer[edit] user@device# set interfaces ge-0/0/10 unit 0 family bridge interface-mode access user@device# set interfaces ge-0/0/10 unit 0 family bridge vlan members 999
Configure el analizador estadístico .
employee-monitor[edit forwarding-options] user@device# set analyzer employee-monitor input ingress interface ge-0/0/0.0 user@device# set analyzer employee-monitor input ingress interface ge-0/0/1.0 user@device# set analyzer employee-monitor input egress interface ge-0/0/0.0 user@device# set analyzer employee-monitor input egress interface ge-0/0/1.0 user@device# set analyzer employee-monitor output bridge-domain remote-analyzer user@device# set analyzer employee-monitor input rate 2 user@device# set analyzer employee-monitor input maximum-packet-length 128
Enlazar el analizador estadístico a la FPC que contiene la interfaz de entrada.
[edit] user@device# set chassis fpc 0 port-mirror-instance employee-monitor
En el dispositivo de conmutación de destino, haga lo siguiente:
Configure el ID de VLAN para el dominio de puente.
remote-analyzer[edit bridge-domains] user@device# set remote-analyzer vlan-id 999
Configure la interfaz en el dispositivo de conmutación de destino para el modo de acceso y asóciela al dominio del puente.
remote-analyzer[edit interfaces] user@device# set ge-0/0/10 unit 0 family bridge interface-mode access user@device# set ge-0/0/10 unit 0 family bridge vlan members 999
Configure la interfaz conectada al dispositivo de conmutación de destino para el modo de acceso.
[edit interfaces] user@device# set ge-0/0/5 unit 0 family bridge interface-mode access
Configure el analizador.
employee-monitor[edit forwarding-options] user@device# set analyzer employee-monitor input ingress bridge-domain remote-analyzer user@device# set analyzer employee-monitor output interface ge-0/0/5.0
Especifique parámetros de creación de reflejo, como la velocidad y la longitud máxima del paquete para el analizador.
employee-monitor[edit] user@device# set forwarding-options analyzer employee-monitor input rate 2 user@device# set forwarding-options analyzer employee-monitor input maximum-packet-length 128
Vincule el analizador a la FPC que contiene los puertos de entrada.
employee-monitor[edit] user@device# set chassis fpc 0 port-mirror-instance employee-monitor
Resultados
Compruebe los resultados de la configuración en el dispositivo de conmutación de origen:
[edit]
user@device# show
bridge-domains {
remote-analyzer {
vlan-id 999;
}
}
forwarding-options {
analyzer {
employee-monitor {
input {
ingress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
egress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
maximum-packet-length 128;
rate 2;
}
output {
bridge-domain {
remote-analyzer;
}
}
}
}
}
interfaces {
ge-0/0/0 {
unit 0 {
family bridge {
interface-mode access;
vlan-id 99;
}
}
}
ge-0/0/1 {
unit 0 {
family bridge {
interface-mode access;
vlan-id 98;
}
}
}
ge-0/0/10 {
unit 0 {
family bridge {
interface-mode access;
vlan-id 999;
}
}
}
}
Compruebe los resultados de la configuración en el dispositivo de conmutación de destino.
[edit]
user@device# show
bridge-domains {
remote-analyzer {
vlan-id 999;
}
}
forwarding-options {
analyzer {
employee-monitor {
input {
ingress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
bridge-domain remote-analyzer;
}
}
output {
interface ge-0/0/5.0;
}
}
}
}
interfaces {
ge-0/0/5 {
unit 0 {
family bridge {
interface-mode access;
}
}
}
}
Verificación
Comprobación de que el analizador se ha creado correctamente
Propósito
Compruebe que el analizador denominado se haya creado en el dispositivo con las interfaces de entrada y la interfaz de salida adecuadas.employee-monitor
Acción
Para comprobar que el analizador está configurado como se esperaba mientras supervisa todo el tráfico de empleados en el dispositivo de conmutación de origen, ejecute el comando en el dispositivo de conmutación de origen.show forwarding-options analyzer Se muestra el siguiente resultado para este ejemplo de configuración.
user@device> show forwarding-options analyzer Analyzer name : employee-monitor Mirror rate : 2 Maximum packet length : 128 State : up Ingress monitored interfaces : ge-0/0/0.0 Ingress monitored interfaces : ge-0/0/1.0 Egress monitored interfaces : ge-0/0/0.0 Egress monitored interfaces : ge-0/0/1.0 Output VLAN : default-switch/remote-analyzer
Significado
Este resultado muestra que la instancia tiene una relación de 2, el tamaño máximo del paquete original que se reflejó es 128, el estado de la configuración es , que indica el estado correcto y que el analizador está programado, y el analizador está reflejando el tráfico que entra en ge-0/0/0.0 y ge-0/0/1.0, y está enviando el tráfico reflejado a la VLAN llamada remote-analyzer.employee-monitorup
Si el estado de la interfaz de salida es o si la interfaz de salida no está configurada, el valor de estará inactivo y el analizador no podrá supervisar el tráfico.downState
Ejemplo: Configuración de la creación de reflejo en varias interfaces para el monitoreo remoto del uso de recursos de los empleados en conmutadores EX9200
Los conmutadores EX9200 permiten configurar la creación de reflejo para enviar copias de paquetes a una interfaz local para monitoreo local o a una VLAN para monitoreo remoto. Puede utilizar la creación de reflejo para copiar estos paquetes:
Paquetes que entran o salen de un puerto
Paquetes que entran o salen de una VLAN en
Puede analizar el tráfico reflejado mediante una aplicación de analizador de protocolos que se ejecute en una estación de supervisión remota si envía tráfico reflejado a una VLAN de analizador.
Refleje solo los paquetes necesarios para reducir el impacto potencial en el rendimiento. Le recomendamos que:
Desactive los analizadores de creación de reflejo configurados cuando no los esté utilizando.
Especifique interfaces individuales como entrada para los analizadores en lugar de especificar todas las interfaces como entrada.
Limite la cantidad de tráfico reflejado de la siguiente manera:
Uso de muestreo estadístico.
Establecer ratios para seleccionar muestras estadísticas.
Uso de filtros de firewall.
En este ejemplo se describe cómo configurar la creación remota de reflejo en varias interfaces en una VLAN de analizador:
- Requisitos
- Descripción general y topología
- Duplicación de todo el tráfico de empleados a múltiples interfaces miembro de VLAN para análisis remoto
- Verificación
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Tres conmutadores EX9200
Junos OS versión 13.2 o posterior para conmutadores serie EX
Antes de configurar la creación remota de reflejos, asegúrese de que:
Las interfaces que el analizador utilizará como interfaces de entrada se han configurado en el conmutador.
Descripción general y topología
En este ejemplo se describe cómo reflejar el tráfico que entra en los puertos del conmutador a la VLAN del analizador remoto para que pueda realizar el análisis desde una estación de supervisión remota. La VLAN del analizador remoto de este ejemplo contiene varias interfaces miembro. Por lo tanto, el mismo tráfico se refleja en todas las interfaces miembro de la VLAN del analizador remoto para que los paquetes reflejados puedan enviarse a diferentes estaciones de supervisión remota. Puede instalar aplicaciones, como sniffers y sistemas de detección de intrusos, en estaciones de monitoreo remoto para analizar estos paquetes duplicados y obtener datos estadísticos útiles. Por ejemplo, si hay dos estaciones de monitoreo remoto, puede instalar un sniffer en una estación de monitoreo remoto y un sistema de detección de intrusos en la otra estación. Puede utilizar una configuración de analizador de filtros de firewall para reenviar un tipo específico de tráfico a una estación de supervisión remota.
En este ejemplo se describe cómo configurar un analizador para reflejar el tráfico a varias interfaces del grupo del salto siguiente, de modo que el tráfico se envíe a diferentes estaciones de supervisión para su análisis.
Figura 3 muestra la topología de red de este ejemplo.
Topología
En este ejemplo:
Las interfaces ge-0/0/0 y ge-0/0/1 son interfaces de capa 2 (ambas interfaces en el conmutador de origen) que sirven como conexiones para los equipos de los empleados.
Las interfaces ge-0/0/10 y ge-0/0/11 son interfaces de capa 2 que están conectadas a diferentes conmutadores de destino.
La interfaz ge-0/0/12 es una interfaz de capa 2 que conecta el conmutador de destino 1 a la estación de monitoreo remoto.
La interfaz ge-0/0/13 es una interfaz de capa 2 que conecta el conmutador de destino 2 a la estación de monitoreo remoto.
La VLAN está configurada en todos los conmutadores de la topología para transportar el tráfico reflejado.
remote-analyzer
Duplicación de todo el tráfico de empleados a múltiples interfaces miembro de VLAN para análisis remoto
Para configurar la creación de reflejo en varias interfaces miembro de VLAN para el análisis de tráfico remoto para todo el tráfico de empleados entrantes y salientes, realice estas tareas:
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente la creación de reflejo para el análisis de tráfico remoto para el tráfico de empleados entrantes y salientes, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:
En la ventana terminal del conmutador de origen, copie y pegue los siguientes comandos:
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 set interfaces ge-0/0/11 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/11 unit 0 family ethernet-switching vlan members 999 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor output next-hop-group remote-analyzer-nhg set forwarding-options next-hop-group remote-analyzer-nhg interface ge-0/0/10.0 set forwarding-options next-hop-group remote-analyzer-nhg interface ge-0/0/11.0 set forwarding-options next-hop-group remote-analyzer-nhg group-type layer-2
En la ventana Terminal del conmutador Destino 1, copie y pegue los siguientes comandos:
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode acess set interfaces ge-0/0/12 unit 0 family ethernet-switching interface-mode access set forwarding-options analyzer employee-monitor input ingress vlan remote-analyzer set forwarding-options analyzer employee-monitor loss-priority high output interface ge-0/0/12.0
En la ventana Terminal del conmutador Destino 2, copie y pegue los siguientes comandos:
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/11 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/13 unit 0 family ethernet-switching interface-mode access set forwarding-options analyzer employee-monitor input ingress vlan remote-analyzer set forwarding-options analyzer employee-monitor loss-priority high output interface ge-0/0/13.0
Procedimiento paso a paso
Para configurar la creación de reflejo remota básica en dos interfaces miembro de VLAN:
En el conmutador de origen:
Configure el ID de VLAN para la VLAN:
remote-analyzer[edit vlans] user@switch# set remote-analyzer vlan-id 999
Configure las interfaces en el puerto de red conectado a los conmutadores de destino para el modo de acceso y asócielo a la VLAN:
remote-analyzer[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999 user@switch# set ge-0/0/11 unit 0 family ethernet-switching interface-mode trunk user@switch# set ge-0/0/11 unit 0 family ethernet-switching vlan members 999
Configure el analizador:
employee-monitor[edit forwarding-options] user@switch# set analyzer employee-monitor input ingress interface ge-0/0/0.0 user@switch# set analyzer employee-monitor input ingress interface ge-0/0/1.0 user@switch# set analyzer employee-monitor input egress interface ge-0/0/0.0 user@switch# set analyzer employee-monitor input egress interface ge-0/0/1.0 user@switch# set analyzer employee-monitor output next-hop-group remote-analyzer-nhg
En esta configuración del analizador, el tráfico que entra y sale de las interfaces ge-0/0/0.0 y ge-0/0/1.0 se envía al destino de salida definido por el grupo del próximo salto denominado .
remote-analyzer-nhgConfigure el grupo del próximo salto:
remote-analyzer-nhb[edit forwarding-options] user@switch# set next-hop-group remote-analyzer-nhg interface ge-0/0/10.0 user@switch# set next-hop-group remote-analyzer-nhg interface ge-0/0/11.0 user@switch# set next-hop-group remote-analyzer-nhg group-type layer-2
En el conmutador Destino 1:
Configure el ID de VLAN para la VLAN:
remote-analyzer[edit vlans] user@switch# set remote-analyzer vlan-id 999
Configure la interfaz ge-0/0/10 en el conmutador de destino 1 para el modo de acceso:
[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching interface-mode access
Configure la interfaz conectada a la estación de monitoreo remoto para el modo de acceso:
[edit interfaces] user@switch# set ge-0/0/12 unit 0 family ethernet-switching interface-mode access
Configure el analizador:
employee-monitor[edit forwarding-options] user@switch# set analyzer employee-monitor input ingress vlan remote-analyzer user@switch# set analyzer employee-monitor loss-priority high output interface ge-0/0/12.0
En el conmutador Destino 2:
Configure el ID de VLAN para la VLAN:
remote-analyzer[edit vlans] user@switch# set remote-analyzer vlan-id 999
Configure la interfaz ge-0/0/11 en el conmutador de destino 2 para el modo de acceso:
[edit interfaces] user@switch# set ge-0/0/11 unit 0 family ethernet-switching interface-mode access
Configure la interfaz conectada a la estación de monitoreo remoto para el modo de acceso:
[edit interfaces] user@switch# set ge-0/0/13 unit 0 family ethernet-switching interface-mode access
Configure el analizador:
employee-monitor[edit forwarding-options] user@switch# set analyzer employee-monitor input ingress vlan remote-analyzer user@switch# set analyzer employee-monitor loss-priority high output interface ge-0/0/13.0
Resultados
Compruebe los resultados de la configuración en el conmutador de origen:
[edit]
user@switch# show
forwarding-options {
analyzer employee-monitor {
input {
ingress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
egress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
}
output {
next-hop-group {
remote-analyzer-nhg;
}
}
}
}
vlans {
remote-analyzer {
vlan-id 999;
interface {
ge-0/0/10.0
ge-0/0/11.0
}
}
}
interfaces {
ge-0/0/10 {
unit 0 {
family ethernet-switching {
interface-mode access;
}
}
}
ge-0/0/11 {
unit 0 {
family ethernet-switching {
interface-mode access;
}
}
}
}
Compruebe los resultados de la configuración en el conmutador Destino 1:
[edit]
user@switch# show
vlans {
remote-analyzer {
vlan-id 999;
}
}
interfaces {
ge-0/0/10 {
unit 0 {
ethernet-switching {
interface-mode acess;
}
}
}
ge-0/0/12 {
unit 0 {
family ethernet-switching {
interface-mode access;
}
}
}
}
forwarding-options {
analyzer employee-monitor {
input {
ingress {
vlan remote-analyzer;
}
}
loss-priority high;
output {
interface {
ge-0/0/12.0;
}
}
}
}
Compruebe los resultados de la configuración en el conmutador Destino 2:
[edit]
user@switch# show
vlans {
remote-analyzer {
vlan-id 999;
interface {
ge-0/0/11.0
}
}
}
interfaces {
ge-0/0/11 {
unit 0 {
family ethernet-switching {
interface-mode access;
}
}
}
ge-0/0/13 {
unit 0 {
family ethernet-switching {
interface-mode access;
}
}
}
}
forwarding-options {
employee-monitor {
input {
ingress {
vlan remote-analyzer;
}
}
loss-priority high;
output {
interface {
ge-0/0/13.0;
}
}
}
}
Verificación
Para confirmar que la configuración funcione correctamente, realice las siguientes tareas:
Comprobación de que el analizador se ha creado correctamente
Propósito
Verifique que el analizador denominado se haya creado en el conmutador con las interfaces de entrada y la interfaz de salida adecuadas.employee-monitor
Acción
Puede comprobar que el analizador está configurado como se esperaba mediante el comando.show forwarding-options analyzer
Para comprobar que el analizador está configurado como se esperaba mientras supervisa todo el tráfico de empleados en el conmutador de origen, ejecute el comando en el conmutador de origen.show forwarding-options analyzer Se muestra el siguiente resultado para esta configuración de ejemplo en el conmutador de origen:
user@switch> show forwarding-options analyzer
Analyzer name : employee-monitor
Mirror rate : 1
Maximum packet length : 0
State : up
Ingress monitored interfaces : ge-0/0/0.0
Ingress monitored interfaces : ge-0/0/1.0
Egress monitored interfaces : ge-0/0/0.0
Egress monitored interfaces : ge-0/0/1.0
Output nhg : remote-analyzer-nhg
user@switch> show forwarding-options next-hop-group
Next-hop-group: remote-analyzer-nhg
Type: layer-2
State: up
Members Interfaces:
ge-0/0/10.0
ge-0/0/11.0
Significado
Este resultado muestra que el analizador tiene una relación de 1 (duplicación de cada paquete, que es el comportamiento predeterminado), el estado de la configuración es , que indica el estado correcto y que el analizador está programado, refleja el tráfico que entra o sale de las interfaces ge-0/0/0 y ge-0/0/1, y envía el tráfico reflejado a varias interfaces ge-0/0/10.0 y ge-0/0/11.0 a través del grupo del siguiente salto.employee-monitorupremote-analyzer-nhg Si el estado de la interfaz de salida es o si la interfaz de salida no está configurada, el valor de estado estará inactivo y el analizador no podrá reflejar el tráfico.down
Ejemplo: Configuración de la duplicación para la supervisión remota del uso de recursos de los empleados mediante un conmutador de tránsito en conmutadores EX9200
Los conmutadores EX9200 permiten configurar la creación de reflejo para enviar copias de paquetes a una interfaz local para supervisión local o a una VLAN para supervisión remota. Puede utilizar la creación de reflejo para copiar estos paquetes:
Paquetes que entran o salen de un puerto
Paquetes que entran o salen de una VLAN
Puede analizar el tráfico reflejado mediante una aplicación de analizador de protocolos que se ejecute en una estación de supervisión remota si envía tráfico reflejado a una VLAN de analizador.
En este tema se incluye un ejemplo en el que se describe cómo reflejar el tráfico que entra en los puertos del conmutador a la VLAN del analizador remoto a través de un conmutador de tránsito, de modo que pueda realizar análisis desde una estación de supervisión remota.
Refleje solo los paquetes necesarios para reducir el impacto potencial en el rendimiento. Le recomendamos que:
Deshabilite las sesiones de creación de reflejo configuradas cuando no las esté utilizando.
Especifique interfaces individuales como entrada para los analizadores en lugar de especificar todas las interfaces como entrada.
Limite la cantidad de tráfico reflejado de la siguiente manera:
Uso de muestreo estadístico.
Establecer ratios para seleccionar muestras estadísticas.
Uso de filtros de firewall.
En este ejemplo se describe cómo configurar la creación remota de reflejo mediante un conmutador de tránsito:
- Requisitos
- Descripción general y topología
- Duplicación de todo el tráfico de empleados para análisis remoto a través de un conmutador de tránsito
- Verificación
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Un conmutador EX9200 conectado a otro conmutador EX9200 a través de un tercer conmutador EX9200
Junos OS versión 13.2 o posterior para conmutadores serie EX
Antes de configurar la creación remota de reflejos, asegúrese de que:
Las interfaces que el analizador utilizará como interfaces de entrada se han configurado en el conmutador.
Descripción general y topología
En este ejemplo se describe cómo reflejar el tráfico que entra en los puertos del conmutador a la VLAN a través de un conmutador de tránsito para que pueda realizar análisis en todo el tráfico de los equipos de los empleados.remote-analyzer
En esta configuración, se requiere una sesión de analizador en el conmutador de destino para reflejar el tráfico entrante desde la VLAN del analizador a la interfaz de salida a la que está conectada la estación de monitoreo remoto.
Figura 4 muestra la topología de red de este ejemplo.
Topología
En este ejemplo:
La interfaz ge-0/0/0 es una interfaz de capa 2 y la interfaz ge-0/0/1 es una interfaz de capa 3 (ambas interfaces en el conmutador de origen) que sirven como conexiones para las computadoras de los empleados.
La interfaz ge-0/0/10 es una interfaz de capa 2 que se conecta al conmutador de tránsito.
La interfaz ge-0/0/11 es una interfaz de capa 2 en el conmutador de tránsito.
La interfaz ge-0/0/12 es una interfaz de capa 2 en el conmutador de tránsito y se conecta al conmutador de destino.
La interfaz ge-0/0/13 es una interfaz de capa 2 en el conmutador de destino.
La interfaz ge-0/0/14 es una interfaz de capa 2 en el conmutador de destino y se conecta a la estación de monitoreo remoto.
La VLAN está configurada en todos los conmutadores de la topología para transportar el tráfico reflejado.
remote-analyzer
Duplicación de todo el tráfico de empleados para análisis remoto a través de un conmutador de tránsito
Para configurar la creación de reflejo para el análisis de tráfico remoto a través de un conmutador de tránsito, para todo el tráfico de empleados entrante y saliente, realice estas tareas:
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente la creación de reflejo para el análisis de tráfico remoto a través de un conmutador de tránsito, para el tráfico de empleados entrante y saliente, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:
Copie y pegue los siguientes comandos en la ventana del terminal del conmutador de origen (conmutador supervisado):
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor output vlan remote-analyzer
Copie y pegue los siguientes comandos en la ventana del conmutador de tránsito:
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/11 unit 0 family ethernet-switching interface-mode access set vlans remote-analyzer interface ge-0/0/11 set interfaces ge-0/0/12 unit 0 family ethernet-switching interface-mode access set vlans remote-analyzer interface ge-0/0/12
Copie y pegue los siguientes comandos en la ventana del conmutador de destino:
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/13 unit 0 family ethernet-switching interface-mode access set vlans remote-analyzer interface ge-0/0/13 ingress set interfaces ge-0/0/14 unit 0 family ethernet-switching interface-mode access set forwarding-options analyzer employee-monitor input ingress vlan remote-analyzer set forwarding-options analyzer employee-monitor output interface ge-0/0/14.0
Procedimiento paso a paso
Para configurar la creación remota de reflejo mediante un conmutador de tránsito:
En el conmutador de origen:
Configure el ID de VLAN para la VLAN:
remote-analyzer[edit vlans] user@switch# set remote-analyzer vlan-id 999
Configure las interfaces en el puerto de red conectado al conmutador de tránsito para el modo de acceso y asócielo a la VLAN:
remote-analyzer[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching interface-mode access user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999
Configure el analizador:
employee-monitor[edit forwarding-options] user@switch# set analyzer employee-monitor input ingress interface ge-0/0/0.0 user@switch# set analyzer employee-monitor input ingress interface ge-0/0/1.0 user@switch# set analyzer employee-monitor input egress interface ge-0/0/0.0 user@switch# set analyzer employee-monitor input egress interface ge-0/0/1.0 user@switch# set analyzer employee-monitor output vlan remote-analyzer
En el conmutador de tránsito:
Configure el ID de VLAN para la VLAN:
remote-analyzer[edit vlans] user@switch# set remote-analyzer vlan-id 999
Configure la interfaz ge-0/0/11 para el modo de acceso, asóciela a la VLAN:
remote-analyzer[edit interfaces] user@switch# set ge-0/0/11 unit 0 family ethernet-switching interface-mode access
Configure la interfaz ge-0/0/12 para el modo de acceso, asóciela a la VLAN y establezca la interfaz solo para el tráfico de salida:
remote-analyzer[edit interfaces] user@switch# set ge-0/0/12 unit 0 family ethernet-switching interface-mode access user@switch# set vlans remote-analyzer interface ge-0/0/12
En el conmutador de destino:
Configure el ID de VLAN para la VLAN:
remote-analyzer[edit vlans] user@switch# set remote-analyzer vlan-id 999
Configure la interfaz ge-0/0/13 para el modo de acceso, asóciela a la VLAN y establezca la interfaz solo para el tráfico de entrada:
remote-analyzer[edit interfaces] user@switch# set ge-0/0/13 unit 0 family ethernet-switching interface-mode access user@switch# set vlans remote-analyzer interface ge-0/0/13 ingress
Configure la interfaz conectada a la estación de monitoreo remoto para el modo de acceso:
[edit interfaces] user@switch# set ge-0/0/14 unit 0 family ethernet-switching interface-mode access
Configure el analizador:
remote-analyzer[edit forwarding-options] user@switch# set analyzer employee-monitor input ingress vlan remote-analyzer user@switch# set analyzer employee-monitor output interface ge-0/0/14.0
Resultados
Compruebe los resultados de la configuración en el conmutador de origen:
[edit]
user@switch> show
forwarding-options {
analyzer employee-monitor {
input {
ingress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
egress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
}
output {
vlan {
remote-analyzer;
}
}
}
}
vlans {
remote-analyzer {
vlan-id 999;
}
}
interfaces {
ge-0/0/10 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
member 999;
}
}
}
}
}
Compruebe los resultados de la configuración en el conmutador de tránsito:
[edit]
user@switch> show
vlans {
remote-analyzer {
vlan-id 999;
interface {
ge-0/0/11.0 {
}
ge-0/0/12.0 {
}
}
}
}
interfaces {
ge-0/0/11 {
unit 0 {
family ethernet-switching {
interface-mode access;
}
}
}
ge-0/0/12 {
unit 0 {
family ethernet-switching {
interface-mode access;
}
}
}
}
Compruebe los resultados de la configuración en el conmutador de destino:
[edit]
user@switch> show
vlans {
remote-analyzer {
vlan-id 999;
interface {
ge-0/0/13.0 {
ingress;
}
}
}
}
interfaces {
ge-0/0/13 {
unit 0 {
family ethernet-switching {
interface-mode access;
}
}
}
ge-0/0/14 {
unit 0 {
family ethernet-switching {
interface-mode access;
}
}
}
}
forwarding-options {
analyzer employee-monitor {
input {
ingress {
vlan remote-analyzer;
}
}
output {
interface {
ge-0/0/14.0;
}
}
}
}
Verificación
Para confirmar que la configuración funcione correctamente, realice las siguientes tareas:
Comprobación de que el analizador se ha creado correctamente
Propósito
Verifique que el analizador denominado se haya creado en el conmutador con las interfaces de entrada y la interfaz de salida adecuadas.employee-monitor
Acción
Puede comprobar que el analizador está configurado como se esperaba mediante el comando.show forwarding-options analyzer
Para comprobar que el analizador está configurado como se esperaba mientras supervisa todo el tráfico de empleados en el conmutador de origen, ejecute el comando en el conmutador de origen.show forwarding-options analyzer Se muestra el siguiente resultado para esta configuración de ejemplo:
user@switch> show forwarding-options analyzer Analyzer name : employee-monitor Mirror rate : 1 Maximum packet length : 0 State : up Ingress monitored interfaces : ge-0/0/0.0 Ingress monitored interfaces : ge-0/0/1.0 Egress monitored interfaces : ge-0/0/0.0 Egress monitored interfaces : ge-0/0/1.0 Output vlan : default-switch/remote-analyzer
Significado
Este resultado muestra que el analizador tiene una relación de duplicación de 1 (reflejo de cada paquete, el valor predeterminado), el estado de la configuración es , que indica el estado correcto y que el analizador está programado, está reflejando el tráfico que entra en ge-0/0/0 y ge-0/0/1, y está enviando el tráfico reflejado al analizador llamado .employee-monitorupremote-analyzer Si el estado de la interfaz de salida es o si la interfaz de salida no está configurada, el valor de estado estará inactivo y el analizador no podrá reflejar el tráfico.down
Ejemplo: Configuración de la duplicación para el monitoreo local del uso de recursos de los empleados en conmutadores EX4300
En este ejemplo se utiliza Junos OS para conmutadores serie EX compatibles con el estilo de configuración Enhanced Layer 2 Software (ELS). Si el conmutador ejecuta software que no admite ELS, consulte el ejemplo: Configuración de la duplicación de puertos para la supervisión local del uso de recursos de los empleados en los conmutadores de la serie EX. Para obtener detalles de ELS, consulte Introducción al software de capa 2 mejorado.
Los conmutadores EX4300 permiten configurar la creación de reflejo para enviar copias de paquetes a una interfaz local para monitoreo local o a una VLAN para monitoreo remoto. Puede utilizar la creación de reflejo para copiar estos paquetes:
Paquetes que entran o salen de un puerto
Paquetes que ingresan a una VLAN
Puede analizar el tráfico reflejado mediante un analizador de protocolos instalado en un sistema conectado a la interfaz de destino local o una estación de supervisión remota si envía tráfico reflejado a una VLAN de analizador.
En este ejemplo se describe cómo configurar la creación de reflejo local en un conmutador EX4300. En este ejemplo se describe cómo configurar el conmutador para reflejar el tráfico que entra en las interfaces conectadas a los equipos de los empleados a una interfaz de salida del analizador en el mismo conmutador.
- Requisitos
- Descripción general y topología
- Duplicación de todo el tráfico de empleados para análisis local
- Duplicación del tráfico de empleados a la web para análisis local
- Verificación
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Un conmutador EX4300
Junos OS versión 13.2X50-D10 o posterior para conmutadores serie EX
Descripción general y topología
En este tema se incluyen dos ejemplos en los que se describe cómo reflejar el tráfico que entra en los puertos del conmutador a una interfaz de destino en el mismo conmutador (creación de reflejo local). El primer ejemplo muestra cómo reflejar todo el tráfico que entra en los puertos conectados a las computadoras de los empleados. El segundo ejemplo muestra el mismo escenario, pero incluye un filtro para reflejar sólo el tráfico de empleados que va a la Web.
Las interfaces ge-0/0/0 y ge-0/0/1 sirven como conexiones para los equipos de los empleados. La interfaz ge0/0/10 está reservada para el análisis del tráfico reflejado. Conecte un equipo que ejecute una aplicación de analizador de protocolos a la interfaz de salida del analizador para analizar el tráfico reflejado.
Varios puertos reflejados en una interfaz pueden provocar el desbordamiento del búfer y la pérdida de paquetes.
En ambos ejemplos se utiliza la topología de red que se muestra en .Figura 5
Duplicación de todo el tráfico de empleados para análisis local
Para configurar la creación de reflejo para todo el tráfico de empleados para el análisis local, realice estas tareas:
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente la creación de reflejo local para el tráfico de entrada a los dos puertos conectados a los equipos de los empleados, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:
[edit] set interfaces ge-0/0/0 unit 0 family ethernet-switching set interfaces ge-0/0/1 unit 0 family inet address 192.0.2.1/24 set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members analyzer_vlan set vlans analyzer-vlan vlan-id 1000 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor output interface ge-0/0/10.0
Procedimiento paso a paso
Para configurar un analizador llamado y especificar las interfaces de entrada (origen) y la interfaz de salida del analizador:employee-monitor
Configure cada interfaz conectada a los equipos de los empleados como una interfaz de entrada para el analizador :
employee-monitor[edit forwarding-options] user@switch# set analyzer employee-monitor input ingress interface ge–0/0/0.0 user@switch# set analyzer employee-monitor input ingress interface ge-0/0/1.0
Configure la interfaz de salida del analizador como parte de una VLAN:
[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members analyzer_vlan
[edit vlans] user@switch# set analyzer-vlan vlan-id 1000
Configure la interfaz del analizador de salida para el analizador .
employee-monitorEsta será la interfaz de destino para los paquetes reflejados:[edit forwarding-options] user@switch# set analyzer employee-monitor output interface ge-0/0/10.0
Resultados
Compruebe los resultados de la configuración:
[edit]
user@switch# show
forwarding-options {
analyzer employee-monitor {
input {
ingress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;}
}
output {
interface {
ge-0/0/10.0;
}
}
}
}
Duplicación del tráfico de empleados a la web para análisis local
Para configurar la creación de reflejo para el tráfico de empleados a web, realice estas tareas:
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente la creación de reflejo local del tráfico de los dos puertos conectados a los equipos de los empleados, filtrando de modo que sólo se refleje el tráfico a la Web externa, copie los siguientes comandos y péguelos en la ventana de terminal del conmutador:
[edit] set forwarding-options port-mirroring instance employee-web-monitor output interface ge-0/0/10.0 set firewall family ethernet-switching filter watch-employee term employee-to-corp from destination-address 192.0.2.16/24 set firewall family ethernet-switching filter watch-employee term employee-to-corp from source-address 192.0.2.16/24 set firewall family ethernet-switching filter watch-employee term employee-to-corp then accept set firewall family ethernet-switching filter watch-employee term employee-to-web from destination-port 80 set firewall family ethernet-switching filter watch-employee term employee-to-web then port-mirroring-instance employee-web-monitor set interfaces ge-0/0/0 unit 0 family ethernet-switching filter input watch-employee set interfaces ge-0/0/1 unit 0 family ethernet-switching filter input watch-employee
Procedimiento paso a paso
Para configurar la creación de reflejo local del tráfico de empleados a Web desde los dos puertos conectados a los equipos de los empleados:
Configure la interfaz del analizador local:
[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching
Configure la instancia de salida (la entrada a la instancia proviene de la acción del filtro):
employee-web-monitor[edit forwarding-options port-mirroring] user@switch# set instance employee-web-monitor output interface ge-0/0/10.0
Configure un filtro de firewall llamado para enviar copias reflejadas de las solicitudes de los empleados a la Web a la instancia.
watch-employeeemployee-web-monitorAcepte todo el tráfico hacia y desde la subred corporativa (dirección de destino o origen de 192.0.2.16/24). Envíe copias duplicadas de todos los paquetes destinados a Internet (puerto de destino 80) a la instancia.employee-web-monitor[edit firewall family ethernet-switching] user@switch# set filter watch-employee term employee-to-corp from destination-address 192.0.2.16/24 user@switch# set filter watch-employee term employee-to-corp from source-address 192.0.2.16/24 user@switch# set filter watch-employee term employee-to-corp then accept ser@switch# set filter watch-employee term employee-to-web from destination-port 80 user@switch# set filter watch-employee term employee-to-web then port-mirroring-instance employee-web-monitor
Aplique el filtro a los puertos adecuados:
watch-employee[edit interfaces] user@switch# set ge-0/0/0 unit 0 family ethernet-switching filter input watch-employee user@switch# set ge-0/0/1 unit 0 family ethernet-switching filter input watch-employee
Resultados
Compruebe los resultados de la configuración:
[edit]
user@switch# show
forwarding-options {
port-mirroring {
instance {
employee-web-monitor {
family ethernet-switching {
output {
interface ge-0/0/10.0;
}
}
}
}
}
}
...
firewall family ethernet-switching {
filter watch-employee {
term employee-to-corp {
from {
destination-address 192.0.2.16/24;
source-address 192.0.2.16/24;
}
then accept {
}
term employee-to-web {
from {
destination-port 80;
}
then port-mirroring-instance employee-web-monitor;
}
}
}
...
interfaces {
ge-0/0/0 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
vlan members [employee-vlan, voice-vlan];
filter {
input watch-employee;
}
}
}
}
ge-0/0/1 {
family ethernet-switching {
filter {
input watch-employee;
}
}
}
}
Verificación
Para confirmar que la configuración es correcta, realice estas tareas:
- Comprobación de que el analizador se ha creado correctamente
- Comprobación de que la instancia de creación de reflejo de puertos está configurada correctamente
Comprobación de que el analizador se ha creado correctamente
Propósito
Verifique que el analizador o se haya creado en el conmutador con las interfaces de entrada adecuadas y la interfaz de salida adecuada.employee-monitoremployee-web-monitor
Acción
Puede utilizar el comando para comprobar que el analizador está configurado correctamente.show forwarding-options analyzer
user@switch> show forwarding-options analyzer Analyzer name : employee-monitor Mirror rate : 1 Maximum packet length : 0 State : up Ingress monitored interfaces : ge-0/0/0.0 Ingress monitored interfaces : ge-0/0/1.0 Output interface : ge-0/0/10.0
Significado
Este resultado muestra que el analizador tiene una relación de 1 (duplicación de cada paquete, la configuración predeterminada), el tamaño máximo del paquete original que se reflejó ( indica todo el paquete), el estado de la configuración (está activo indica que el analizador está reflejando el tráfico que entra en las interfaces ge-0/0/0 y ge-0/0/1, y envía el tráfico reflejado a la interfaz ge-0/0/10).employee-monitor0 Si el estado de la interfaz de salida está inactivo o si la interfaz de salida no está configurada, el valor de estado será y el analizador no se programará para la duplicación.down
Comprobación de que la instancia de creación de reflejo de puertos está configurada correctamente
Propósito
Verifique que la instancia de duplicación de puertos se haya configurado correctamente en el conmutador con las interfaces de entrada adecuadas.employee-web-monitor
Acción
Puede comprobar que la instancia de creación de reflejo de puerto está configurada correctamente mediante el comando.show forwarding-options port-mirroring
user@switch> show forwarding-options port-mirroring
Instance Name: employee-web-monitor
Instance Id: 3
Input parameters:
Rate : 1
Run-length : 0
Maximum-packet-length : 0
Output parameters:
Family State Destination Next-hop
ethernet-switching up ge-0/0/10.0
Significado
Este resultado muestra que la instancia tiene una proporción de 1 (duplicación de cada paquete, el valor predeterminado), el tamaño máximo del paquete original que se reflejó ( indica un paquete completo), el estado de la configuración está activo y la duplicación de puertos está programada, y que el tráfico reflejado desde la acción de filtro de firewall se envía en la interfaz ge-0/0/10.0. Si el estado de la interfaz de salida está inactivo o si la interfaz no está configurada, el valor de estado estará inactivo y la duplicación de puertos no se programará para la duplicación.employee-web-monitor0
Ejemplo: Configuración de la duplicación para la supervisión remota del uso de recursos de los empleados en conmutadores EX4300
En este ejemplo se utiliza Junos OS para conmutadores serie EX compatibles con el estilo de configuración Enhanced Layer 2 Software (ELS). Si el conmutador ejecuta software que no admite ELS, consulte el ejemplo: Configuración de la creación de reflejo para el monitoreo remoto del uso de recursos de los empleados en conmutadores EX4300. Para obtener más información sobre ELS, consulte: Introducción al software de capa 2 mejorado.
Los conmutadores EX4300 permiten configurar la creación de reflejo para enviar copias de paquetes a una interfaz local para monitoreo local o a una VLAN para monitoreo remoto. Puede utilizar la creación de reflejo para copiar estos paquetes:
Paquetes que entran o salen de un puerto
Paquetes que ingresan a una VLAN en conmutadores EX4300
Puede analizar el tráfico reflejado mediante una aplicación de analizador de protocolos que se ejecute en una estación de supervisión remota si envía tráfico reflejado a una VLAN de analizador.
En este tema se incluyen dos ejemplos relacionados en los que se describe cómo reflejar el tráfico que entra en los puertos del conmutador a la VLAN para que pueda realizar análisis desde una estación de supervisión remota.remote-analyzer El primer ejemplo muestra cómo reflejar todo el tráfico que entra en los puertos conectados a las computadoras de los empleados. El segundo ejemplo muestra el mismo escenario, pero incluye un filtro para reflejar sólo el tráfico de empleados que va a la Web.
Refleje solo los paquetes necesarios para reducir el impacto potencial en el rendimiento. Le recomendamos que:
Deshabilite las sesiones de creación de reflejo configuradas cuando no las esté utilizando.
Especifique interfaces individuales como entrada para los analizadores en lugar de especificar todas las interfaces como entrada.
Limite la cantidad de tráfico reflejado mediante filtros de firewall.
En este ejemplo se describe cómo configurar la creación de reflejo remota:
- Requisitos
- Descripción general y topología
- Duplicación de todo el tráfico de empleados para análisis remoto
- Duplicación del tráfico de empleados a la web para análisis remoto
- Verificación
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Junos OS versión 13.2X50-D10 o posterior para conmutadores serie EX
Un conmutador EX4300 conectado a otro conmutador EX4300
El diagrama muestra un chasis virtual EX4300 conectado a un conmutador de destino EX4300.
Antes de configurar la creación remota de reflejos, asegúrese de que:
Tienes una comprensión de los conceptos de reflejo.
Las interfaces que el analizador utilizará como interfaces de entrada se han configurado en el conmutador.
Descripción general y topología
En este tema se incluyen dos ejemplos relacionados en los que se describe cómo configurar la creación de reflejo en la VLAN para que el análisis se pueda realizar desde una estación de supervisión remota.remote-analyzer En el primer ejemplo se muestra cómo configurar un conmutador para reflejar todo el tráfico de los equipos de los empleados. El segundo ejemplo muestra el mismo escenario, pero la configuración incluye un filtro para reflejar sólo el tráfico de empleados que va a la Web.
Figura 6 muestra la topología de red para estos dos escenarios de ejemplo.
Topología
En este ejemplo:
La interfaz ge-0/0/0 es una interfaz de capa 2 y la interfaz ge-0/0/1 es una interfaz de capa 3 (ambas interfaces en el conmutador de origen) que sirven como conexiones para las computadoras de los empleados.
La interfaz ge-0/0/10 es una interfaz de capa 2 que conecta el conmutador de origen al conmutador de destino.
La interfaz ge-0/0/5 es una interfaz de capa 2 que conecta el conmutador de destino a la estación de monitoreo remoto.
La VLAN está configurada en todos los conmutadores de la topología para transportar el tráfico reflejado.
remote-analyzer
Duplicación de todo el tráfico de empleados para análisis remoto
Para configurar un analizador para el análisis de tráfico remoto para todo el tráfico de empleados entrantes y salientes, realice estas tareas:
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente un analizador para el análisis de tráfico remoto para el tráfico entrante y saliente de empleados, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:
Copie y pegue los siguientes comandos en la ventana terminal del conmutador de origen:
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor output vlan remote-analyzer
Copie y pegue los siguientes comandos en la ventana terminal del conmutador de destino:
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 set interfaces ge-0/0/5 unit 0 family ethernet-switching interface-mode trunk set forwarding-options analyzer employee-monitor input ingress vlan remote-analyzer set forwarding-options analyzer employee-monitor output interface ge-0/0/5.0
Procedimiento paso a paso
Para configurar la creación básica de reflejo de puerto remoto:
En el conmutador de origen:
Configure el ID de VLAN para la VLAN:
remote-analyzer[edit vlans] user@switch# set remote-analyzer vlan-id 999
Configure la interfaz en el puerto de red conectado al conmutador de destino para el modo troncal y asócielo a la VLAN:
remote-analyzer[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999
Configure el analizador:
employee-monitor[edit forwarding-options] user@switch# set analyzer employee-monitor input ingress interface ge-0/0/0.0 user@switch# set analyzer employee-monitor input ingress interface ge-0/0/1.0 user@switch# set instance employee-monitor input egress interface ge-0/0/0.0 user@switch# set analyzer employee-monitor input egress interface ge-0/0/1.0 user@switch# set analyzer employee-monitor output vlan remote-analyzer
En el conmutador de destino:
Configure el ID de VLAN para la VLAN:
remote-analyzer[edit vlans] user@switch# set remote-analyzer vlan-id 999
Configure la interfaz en el conmutador de destino para el modo troncal y asóciela a la VLAN:
remote-analyzer[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999
Configure la interfaz conectada al conmutador de destino para el modo troncal:
[edit interfaces] user@switch# set ge-0/0/5 unit 0 family ethernet-switching interface-mode trunk
Configure el analizador:
employee-monitor[edit forwarding-options] user@switch# set analyzer employee-monitor input ingress vlan remote-analyzer user@switch# set analyzer employee-monitor output interface ge-0/0/5.0
Resultados
Compruebe los resultados de la configuración en el conmutador de origen:
[edit]
user@switch> show
forwarding-options {
analyzer employee-monitor {
input {
ingress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
egress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
}
output {
vlan {
remote-analyzer;
}
}
}
}
interfaces {
ge-0/0/10 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
vlan {
members 999;
}
}
}
}
}
vlans {
remote-analyzer {
vlan-id 999;
interface {
ge-0/0/10.0
}
}
}
}
Compruebe los resultados de la configuración en el conmutador de destino:
[edit]
user@switch> show
interfaces {
ge0/0/5 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
}
}
}
ge-0/0/10 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
vlan {
members 999;
}
}
}
}
}
vlans {
remote-analyzer {
vlan-id 999;
interface {
ge-0/0/10.0
}
}
}
}
forwarding-options {
analyzer employee-monitor {
input {
ingress {
vlan remote-analyzer;
}
}
output {
interface {
ge-0/0/5.0;
}
}
}
}
Duplicación del tráfico de empleados a la web para análisis remoto
Para configurar la creación de reflejo de puertos para el análisis del tráfico remoto del tráfico de empleados a web, realice estas tareas:
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente la duplicación de puertos para reflejar el tráfico de empleados a la Web externa, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:
Copie y pegue los siguientes comandos en la ventana terminal del conmutador de origen:
[edit] user@switch# set forwarding-options port-mirroring instance employee-web-monitor output vlan 999 user@switch# set vlans remote-analyzer vlan-id 999 user@switch# set interfaces ge-0/0/10 unit 0 family ethernet-switching port mode trunk user@switch# set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 user@switch# set firewall family ethernet-switching filter watch-employee term employee-to-corp from destination-address 192.0.2.16/24 user@switch# set firewall family ethernet-switching filter watch-employee term employee-to-corp from source-address 192.0.2.16/24 user@switch# set firewall family ethernet-switching filter watch-employee term employee-to-corp then accept user@switch# set firewall family ethernet-switching filter watch-employee term employee-to-web from destination-port 80 user@switch# set firewall family ethernet-switching filter watch-employee term employee-to-web then port-mirror-instance employee-web-monitor user@switch# set interfaces ge-0/0/0 unit 0 family ethernet-switching filter input watch-employee user@switch# set interfaces ge-0/0/1 unit 0 family ethernet-switching filter input watch-employee
Copie y pegue los siguientes comandos en la ventana terminal del conmutador de destino:
[edit] user@switch# set vlans remote-analyzer vlan-id 999 user@switch# set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk user@switch# set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 user@switch# set interfaces ge-0/0/5 unit 0 family ethernet-switching interface-mode trunk user@switch# set forwarding-options analyzer employee-web-monitor input ingress vlan remote-analyzer user@switch# set forwarding-options analyzer employee-web-monitor output interface ge-0/0/5.0
Procedimiento paso a paso
Para configurar la duplicación de puertos de todo el tráfico de los dos puertos conectados a las computadoras de los empleados a la VLAN para su uso desde una estación de monitoreo remota:remote-analyzer
En el conmutador de origen:
Configure la instancia de creación de reflejo de puerto:
employee-web-monitor[edit ] user@switch# set interfaces ge-0/0/10 unit 0 family ethernet-switching port mode trunk user@switch# set forwarding-options port-mirroring instance employee-web-monitor output vlan 999
Configure el ID de VLAN para la VLAN:
remote-analyzer[edit vlans] user@switch# set remote-analyzer vlan-id 999
Configure la interfaz para asociarla con la VLAN:
remote-analyzer[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999
Configure el filtro de firewall llamado :
watch-employee[edit firewall family ethernet-switching] user@switch# set filter watch-employee term employee-to-corp from destination-address 192.0.2.16/24 user@switch# set filter watch-employee term employee-to-corp from source-address 192.0.2.16/24 user@switch# set filter watch-employee term employee-to-corp then accept user@switch# set filter watch-employee term employee-to-web from destination-port 80 user@switch# set filter watch-employee term employee-to-web then port-mirror-instance employee-web-monitor
Aplique el filtro de firewall a las interfaces de empleados:
[edit interfaces] user@switch# set ge-0/0/0 unit 0 family ethernet-switching filter input watch-employee user@switch# set ge-0/0/1 unit 0 family ethernet-switching filter input watch-employee
En el conmutador de destino:
Configure el ID de VLAN para la VLAN:
remote-analyzer[edit vlans] user@switch# set remote-analyzer vlan-id 999
Configure la interfaz en el conmutador de destino para el modo troncal y asóciela a la VLAN:
remote-analyzer[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999
Configure la interfaz conectada al conmutador de destino para el modo troncal:
[edit interfaces] user@switch# set ge-0/0/5 unit 0 family ethernet-switching interface-mode trunk
Configure el analizador:
employee-monitor[edit forwarding-options port-mirroring] user@switch# set instance employee-web-monitor input ingress vlan remote-analyzer user@switch# set instance employee-web-monitor output interface ge-0/0/5.0
Resultados
Compruebe los resultados de la configuración en el conmutador de origen:
[edit]
user@switch> show
interfaces {
ge-0/0/10 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
vlan {
members remote-analyzer;
}
}
}
}
ge-0/0/0 {
unit 0 {
family ethernet-switching {
filter {
input watch-employee;
}
}
}
}
ge-0/0/1 {
unit 0 {
family ethernet-switching {
filter {
input watch-employee;
}
}
}
}
}
firewall {
family ethernet-switching {
filter watch-employee {
term employee-to-corp {
from {
source-address {
192.0.2.16/24;
}
destination-address {
192.0.2.16/24;
}
}
then accept;
}
term employee-to-web {
from {
destination-port 80;
}
then port-mirror-instance employee-web-monitor;
}
}
}
}
forwarding-options {
analyzer employee-web-monitor {
output {
vlan {
999;
}
}
}
vlans {
remote-analyzer {
vlan-id 999;
}
}
Compruebe los resultados de la configuración en el conmutador de destino:
[edit]
user@switch> show
vlans {
remote-analyzer {
vlan-id 999;
}
}
interfaces {
ge-0/0/10 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
vlan {
members remote-analyzer;
}
}
}
}
ge-0/0/5 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
}
}
}
}
forwarding-options {
port-mirroring {
instance employee-web-monitor {
input {
ingress {
vlan remote-analyzer;
}
}
output {
interface {
ge-0/0/5.0;
}
}
}
}
Verificación
Para confirmar que la configuración funcione correctamente, realice las siguientes tareas:
Comprobación de que el analizador se ha creado correctamente
Propósito
Verifique que el analizador denominado o creado en el conmutador con las interfaces de entrada y la interfaz de salida adecuadas.employee-monitoremployee-web-monitor
Acción
Puede comprobar que el analizador está configurado como se esperaba mediante el comando.show forwarding-options analyzer Para ver los analizadores creados anteriormente que están deshabilitados, vaya a la interfaz de J-Web.
Para comprobar que el analizador está configurado como se esperaba mientras supervisa todo el tráfico de empleados en el conmutador de origen, ejecute el comando en el conmutador de origen.show analyzer Se muestra el siguiente resultado para este ejemplo de configuración:
user@switch> show forwarding-options analyzer Analyzer name : employee-monitor Mirror rate : 1 Maximum packet length : 0 State : up Ingress monitored interfaces : ge-0/0/0.0 Ingress monitored interfaces : ge-0/0/1.0 Egress monitored interfaces : ge-0/0/0.0 Egress monitored interfaces : ge-0/0/1.0 Output VLAN : default-switch/remote-analyzer
Significado
Este resultado muestra que la instancia tiene una relación de 1 (duplicación de cada paquete, el valor predeterminado), el tamaño máximo del paquete original que se reflejó (0 indica todo el paquete), el estado de la configuración está activo (lo que indica el estado correcto y que el analizador está programado, y está reflejando el tráfico que entra en ge-0/0/0 y ge-0/0/1 y está enviando el tráfico reflejado a la VLAN llamada ).employee-monitorremote-analyzer Si el estado de la interfaz de salida está inactivo o si la interfaz de salida no está configurada, el valor de estado estará inactivo y el analizador no se programará para la duplicación.
Ejemplo: Configuración de la duplicación para el monitoreo remoto del uso de recursos de los empleados a través de un conmutador de tránsito en conmutadores EX4300
En este ejemplo se utiliza Junos OS para conmutadores serie EX compatibles con el estilo de configuración Enhanced Layer 2 Software (ELS).
Los conmutadores EX4300 permiten configurar la creación de reflejo para enviar copias de paquetes a una interfaz local para monitoreo local o a una VLAN para monitoreo remoto. Puede utilizar la creación de reflejo para copiar estos paquetes:
Paquetes que entran o salen de un puerto
Paquetes que ingresan a una VLAN en conmutadores EX4300
Puede analizar el tráfico reflejado mediante una aplicación de analizador de protocolos que se ejecute en una estación de supervisión remota si envía tráfico reflejado a una VLAN de analizador.
En este tema se incluye un ejemplo en el que se describe cómo reflejar el tráfico que entra en los puertos del conmutador a la VLAN a través de un conmutador de tránsito, de modo que pueda realizar análisis desde una estación de supervisión remota.remote-analyzer
Refleje solo los paquetes necesarios para reducir el impacto potencial en el rendimiento. Le recomendamos que:
Deshabilite las sesiones de creación de reflejo configuradas cuando no las esté utilizando.
Especifique interfaces individuales como entrada para los analizadores en lugar de especificar todas las interfaces como entrada.
Limite la cantidad de tráfico reflejado mediante filtros de firewall.
En este ejemplo se describe cómo configurar la creación remota de reflejo mediante un conmutador de tránsito:
- Requisitos
- Descripción general y topología
- Duplicación de todo el tráfico de empleados para análisis remoto a través de un conmutador de tránsito
- Verificación
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Un conmutador EX4300 conectado a otro conmutador EX4300 a través de un tercer conmutador EX4300
Junos OS versión 13.2X50-D10 o posterior para conmutadores serie EX
Antes de configurar la creación remota de reflejos, asegúrese de que:
Tienes una comprensión de los conceptos de reflejo.
Las interfaces que el analizador utilizará como interfaces de entrada se han configurado en el conmutador.
Descripción general y topología
En este ejemplo se describe cómo reflejar el tráfico que entra en los puertos del conmutador a la VLAN a través de un conmutador de tránsito para que pueda realizar análisis desde una estación de supervisión remota.remote-analyzer En el ejemplo se muestra cómo configurar un conmutador para reflejar todo el tráfico desde los equipos de los empleados a un analizador remoto.
En esta configuración, se requiere una sesión de analizador en el conmutador de destino para reflejar el tráfico entrante desde la VLAN del analizador a la interfaz de salida a la que está conectada la estación de monitoreo remoto. Debe deshabilitar el aprendizaje de MAC en el conmutador de tránsito para la VLAN, de modo que el aprendizaje de MAC esté deshabilitado para todas las interfaces miembro de la VLAN en el conmutador de tránsito.remote-analyzerremote-analyzer
Figura 7 muestra la topología de red de este ejemplo.
Topología
En este ejemplo:
La interfaz ge-0/0/0 es una interfaz de capa 2 y la interfaz ge-0/0/1 es una interfaz de capa 3 (ambas interfaces en el conmutador de origen) que sirven como conexiones para las computadoras de los empleados.
La interfaz ge-0/0/10 es una interfaz de capa 2 que se conecta al conmutador de tránsito.
La interfaz ge-0/0/11 es una interfaz de capa 2 en el conmutador de tránsito.
La interfaz ge-0/0/12 es una interfaz de capa 2 en el conmutador de tránsito y se conecta al conmutador de destino.
La interfaz ge-0/0/13 es una interfaz de capa 2 en el conmutador de destino.
La interfaz ge-0/0/14 es una interfaz de capa 2 en el conmutador de destino y se conecta a la estación de monitoreo remoto.
La VLAN está configurada en todos los conmutadores de la topología para transportar el tráfico reflejado.
remote-analyzer
Duplicación de todo el tráfico de empleados para análisis remoto a través de un conmutador de tránsito
Para configurar la creación de reflejo para el análisis de tráfico remoto a través de un conmutador de tránsito, para todo el tráfico de empleados entrante y saliente, realice estas tareas:
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente la creación de reflejo para el análisis de tráfico remoto a través de un conmutador de tránsito, para el tráfico de empleados entrante y saliente, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:
Copie y pegue los siguientes comandos en la ventana del terminal del conmutador de origen (conmutador supervisado):
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor output vlan remote-analyzer
Copie y pegue los siguientes comandos en la ventana del conmutador de tránsito:
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/11 unit 0 family ethernet-switching interface-mode trunk set vlans remote-analyzer interface ge-0/0/11 set interfaces ge-0/0/12 unit 0 family ethernet-switching interface-mode trunk set vlans remote-analyzer interface ge-0/0/12 set vlans remote-analyzer no-mac-learning
Copie y pegue los siguientes comandos en la ventana del conmutador de destino:
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/13 unit 0 family ethernet-switching interface-mode trunk set vlans remote-analyzer interface ge-0/0/13 ingress set interfaces ge-0/0/14 unit 0 family ethernet-switching interface-mode trunk set forwarding-options analyzer employee-monitor input ingress vlan remote-analyzer set forwarding-options analyzer employee-monitor output interface ge-0/0/14.0
Procedimiento paso a paso
Para configurar la creación remota de reflejo mediante un conmutador de tránsito:
En el conmutador de origen:
Configure el ID de VLAN para la VLAN:
remote-analyzer[edit vlans] user@switch# set remote-analyzer vlan-id 999
Configure las interfaces en el puerto de red conectado al conmutador de tránsito para el modo troncal y asócielo a la VLAN:
remote-analyzer[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999
Configure el analizador:
employee-monitor[edit forwarding-options] user@switch# set analyzer employee-monitor input ingress interface ge-0/0/0.0 user@switch# set analyzer employee-monitor input ingress interface ge-0/0/1.0 user@switch# set analyzer employee-monitor input egress interface ge-0/0/0.0 user@switch# set analyzer employee-monitor input egress interface ge-0/0/1.0 user@switch# set analyzer employee-monitor output vlan remote-analyzer
En el conmutador de tránsito:
Configure el ID de VLAN para la VLAN:
remote-analyzer[edit vlans] user@switch# set remote-analyzer vlan-id 999
Configure la interfaz ge-0/0/11 para el modo troncal, asóciela a la VLAN:
remote-analyzer[edit interfaces] user@switch# set ge-0/0/11 unit 0 family ethernet-switching interface-mode trunk
Configure la interfaz para el modo de troncalización, asóciela a la VLAN y establezca la interfaz solo para el tráfico de salida:
ge-0/0/12remote-analyzer[edit interfaces] user@switch# set ge-0/0/12 unit 0 family ethernet-switching interface-mode trunk user@switch# set vlans remote-analyzer interface ge-0/0/12
Configure la opción de la VLAN para deshabilitar el aprendizaje de MAC en todas las interfaces que son miembros de la VLAN:
no-mac-learningremote-analyzerremote-analyzer[edit interfaces] user@switch# set vlans remote-analyzer no-mac-learning
En el conmutador de destino:
Configure el ID de VLAN para la VLAN:
remote-analyzer[edit vlans] user@switch# set remote-analyzer vlan-id 999
Configure la interfaz ge-0/0/13 para el modo troncal, asóciela a la VLAN y establezca la interfaz solo para el tráfico de entrada:
remote-analyzer[edit interfaces] user@switch# set ge-0/0/13 unit 0 family ethernet-switching interface-mode trunk user@switch# set vlans remote-analyzer interface ge-0/0/13 ingress
Configure la interfaz conectada a la estación de monitoreo remoto para el modo troncal:
[edit interfaces] user@switch# set ge-0/0/14 unit 0 family ethernet-switching interface-mode trunk
Configure el analizador:
employee-monitor[edit forwarding-options] user@switch# set analyzer employee-monitor input ingress vlan remote-analyzer user@switch# set analyzer employee-monitor output interface ge-0/0/14.0
Resultados
Compruebe los resultados de la configuración en el conmutador de origen:
[edit]
user@switch> show
forwarding-options {
analyzer employee-monitor {
input {
ingress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
egress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
}
output {
vlan {
remote-analyzer;
}
}
}
}
vlans {
remote-analyzer {
vlan-id 999;
}
}
interfaces {
ge-0/0/10 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
vlan {
member 999;
}
}
}
}
}
Compruebe los resultados de la configuración en el conmutador de tránsito:
[edit]
user@switch> show
vlans {
remote-analyzer {
vlan-id 999;
interface {
ge-0/0/11.0 {
}
ge-0/0/12.0 {
}
}
no-mac-learning;
}
}
interfaces {
ge-0/0/11 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
}
}
}
ge-0/0/12 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
}
}
}
}
Compruebe los resultados de la configuración en el conmutador de destino:
[edit]
user@switch> show
vlans {
remote-analyzer {
vlan-id 999;
interface {
ge-0/0/13.0 {
ingress;
}
}
}
}
interfaces {
ge-0/0/13 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
}
}
}
ge-0/0/14 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
}
}
}
}
forwarding-options {
analyzer employee-monitor {
input {
ingress {
vlan remote-analyzer;
}
}
output {
interface {
ge-0/0/14.0;
}
}
}
}
Verificación
Para confirmar que la configuración funcione correctamente, realice las siguientes tareas:
Comprobación de que el analizador se ha creado correctamente
Propósito
Verifique que el analizador denominado se haya creado en el conmutador con las interfaces de entrada y la interfaz de salida adecuadas.employee-monitor
Acción
Puede comprobar si el analizador está configurado como se esperaba mediante el comando.show analyzer Para ver los analizadores creados anteriormente que están deshabilitados, vaya a la interfaz de J-Web.
Para comprobar que el analizador está configurado como se esperaba mientras supervisa todo el tráfico de empleados en el conmutador de origen, ejecute el comando en el conmutador de origen.show analyzer Se muestra el siguiente resultado para esta configuración de ejemplo:
user@switch> show forwarding-options analyzer Analyzer name : employee-monitor Mirror rate : 1 Maximum packet length : 0 State : up Ingress monitored interfaces : ge-0/0/0.0 Ingress monitored interfaces : ge-0/0/1.0 Egress monitored interfaces : ge-0/0/0.0 Egress monitored interfaces : ge-0/0/1.0 Output vlan : default-switch/remote-analyzer
Significado
Este resultado muestra que el analizador tiene una relación de 1 (duplicación de cada paquete, el valor predeterminado), está reflejando el tráfico que entra en ge-0/0/0 y ge-0/0/1, y enviando el tráfico reflejado al analizador .employee-monitorremote-analyzer