Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configurar analizadores y duplicación de puertos

Descripción de los analizadores de duplicación de puertos

La duplicación de puertos se puede utilizar para el análisis de tráfico en enrutadores y conmutadores que, a diferencia de los concentradores, no transmiten paquetes a todos los puertos del dispositivo de destino. La duplicación de puertos envía copias de todos los paquetes o paquetes de muestra basados en políticas a analizadores locales o remotos, donde puede supervisar y analizar los datos.

En el contexto de los analizadores de duplicación de puertos, usamos el término dispositivo de conmutación. El término indica que el dispositivo (incluidos los enrutadores) está realizando una función de conmutación.

Puede usar analizadores a nivel de paquete para ayudarlo a:

  • Supervisión del tráfico de red

  • Aplicar políticas de uso de red

  • Aplicar políticas de uso compartido de archivos

  • Identificar las causas de los problemas

  • Identificar estaciones o aplicaciones con un uso de ancho de banda pesado o anormal

Puede configurar la duplicación de puertos para que se refleje:

  • Paquetes de puente (paquetes de capa 2)

  • Paquetes enrutados (paquetes de capa 3)

Los paquetes reflejados se pueden copiar a una interfaz local para la supervisión local o a una VLAN o dominio de puente para la supervisión remota.

Se pueden copiar los siguientes paquetes:

  • Packets entering or exiting a port— Puede reflejar paquetes que entran o salen de puertos, en cualquier combinación, para hasta 256 puertos. Por ejemplo, puede enviar copias de los paquetes que entran en algunos puertos y los paquetes que salen de otros puertos al mismo puerto local de analizador o VLAN de analizador.

  • Packets entering or exiting a VLAN or bridge domain— Puede reflejar los paquetes que entran o salen de una VLAN o dominio de puente a un puerto de analizador local o a una VLAN o dominio de puente del analizador. Puede configurar varias VLAN (hasta 256 VLAN) o puentear dominios como entradas de entrada a un analizador, incluyendo un rango de VLAN y VLAN privadas (PVLAN).

  • Policy-based sample packets: puede reflejar una muestra basada en políticas de paquetes que ingresan en un puerto, VLAN o dominio de puente. Configure un filtro de firewall con una política para seleccionar los paquetes que se van a reflejar. Puede enviar el ejemplo a una instancia de duplicación de puerto o a un dominio de VLAN o de puente del analizador.

Descripción general del analizador

Puede configurar un analizador para definir tanto el tráfico de entrada como el de salida en la misma configuración del analizador. El tráfico de entrada que se va a analizar puede ser tráfico que entra o tráfico que sale de una interfaz o VLAN. La configuración del analizador le permite enviar este tráfico a una interfaz de salida, instancia, grupo de salto siguiente, VLAN o dominio de puente. Puede configurar un analizador en el [edit forwarding-options analyzer] nivel jerárquico.

Descripción general del analizador estadístico

Puede definir un conjunto de propiedades de duplicación, como la velocidad de duplicación y la longitud máxima del paquete para el tráfico, que puede enlazar explícitamente a puertos físicos en el enrutador o conmutador. Este conjunto de propiedades de duplicación constituye un analizador estadístico (también llamado analizador no predeterminado). En este nivel, puede enlazar una instancia con nombre a los puertos físicos asociados con una FPC específica.

Descripción general del analizador predeterminado

Puede configurar un analizador sin configurar ninguna propiedad de duplicación (como la velocidad de duplicación o la longitud máxima del paquete). De forma predeterminada, la velocidad de duplicación se establece en 1 y la longitud máxima del paquete se establece en la longitud completa del paquete. Estas propiedades se aplican a nivel global y no es necesario vincularse a una FPC específica.

Duplicación de puertos en un grupo de puertos vinculados a varios analizadores estadísticos

Puede aplicar hasta dos analizadores estadísticos a los mismos grupos de puertos en el dispositivo de conmutación. Mediante la aplicación de dos instancias diferentes de analizador estadístico al mismo FPC o al motor de reenvío de paquetes, puede enlazar dos especificaciones de duplicación de capa 2 distintas a un único grupo de puertos. Las propiedades de duplicación enlazadas a una FPC invalidan cualquier propiedad de analizador (analizador predeterminado) vinculada a nivel global en el dispositivo de conmutación. Las propiedades predeterminadas del analizador se anulan mediante la unión de una segunda instancia del analizador en el mismo grupo de puertos.

Terminología del analizador de duplicación de puertos

Tabla 1 enumera algunos términos del analizador de duplicación de puertos y sus descripciones.

Tabla 1: Terminología del analizador
Término Description

Analizador

En una configuración de duplicación, el analizador incluye:

  • El nombre del analizador

  • Puertos de origen (entrada), VLAN o dominios de puente

  • El destino de los paquetes reflejados (ya sea un puerto local, VLAN o dominio de puente)

Interfaz de salida del analizador

(También conocido como puerto de monitoreo)

Interfaz en la que se envía tráfico reflejado y se conecta un analizador de protocolos.

Las interfaces utilizadas como salida a un analizador deben configurarse en el forwarding-options nivel de jerarquía.

Las interfaces de salida del analizador tienen las siguientes limitaciones:

  • Tampoco pueden ser un puerto de origen.

  • No participan en protocolos de capa 2, como el protocolo de árbol de expansión (STP).

  • Si el ancho de banda de la interfaz de salida del analizador no es suficiente para manejar el tráfico desde los puertos de origen, se pierden los paquetes de desbordamiento.

VLAN del analizador o dominio de puente

(También conocido como VLAN de monitoreo o dominio de puente)

VLAN o dominio de puente a donde se envía tráfico reflejado para que lo use un analizador de protocolos. Las interfaces de miembro de la VLAN de monitoreo o del dominio de puente se extienden por los dispositivos de conmutación de su red.

Analizador basado en dominios de puente

Una sesión de analizador configurada para usar dominios de puente para entrada, salida o ambos.

Analizador predeterminado

Un analizador con parámetros de duplicación predeterminados. De forma predeterminada, la velocidad de duplicación es 1 y la longitud máxima del paquete es la longitud del paquete completo.

Interfaz de entrada

(También conocidos como puertos espejo o interfaces monitoreadas)

Una interfaz en el dispositivo de conmutación en la que se refleja el tráfico que entra o sale de esta interfaz.

Analizador basado en LAG

Un analizador que tiene un grupo de agregación de vínculos (LAG) especificado como la interfaz de entrada (entrada) en la configuración del analizador.

Creación de reflejos locales

Una configuración de analizador en la que los paquetes se reflejan en un puerto de analizador local.

Estación de monitoreo

Un equipo que ejecuta un analizador de protocolos.

Analizador basado en el grupo del próximo salto

Una configuración de analizador que usa el grupo del siguiente salto como salida a un analizador.

Analizador basado en puertos

Una configuración de analizador que define las interfaces para la entrada y la salida.

Aplicación de analizador de protocolos

Una aplicación que se utiliza para examinar los paquetes transmitidos a través de un segmento de red. También se llama comúnmente analizador de red, rastreador de paquetes o sonda.

Creación de reflejos remotos

Funciona de la misma manera que la duplicación local, con la excepción de que el tráfico reflejado no se copia en un puerto de analizador local, sino que se inunda en una VLAN o dominio de puente del analizador que se crea específicamente con el propósito de recibir tráfico reflejado. Los paquetes reflejados tienen una etiqueta externa adicional de la VLAN del analizador o del dominio de puente.

Analizador estadístico

(También conocido como analizador no predeterminado)

Un conjunto de propiedades de duplicación que puede enlazar explícitamente a los puertos físicos del conmutador. Este conjunto de propiedades del analizador se conoce como analizador estadístico.

Analizador basado en VLAN

Una configuración de analizador que usa redes VLAN para entregar el tráfico reflejado al analizador.

Pautas de configuración para analizadores de duplicación de puertos

Cuando configure analizadores de duplicación de puertos. recomendamos que siga estas pautas para garantizar un beneficio óptimo. Recomendamos que desactive la duplicación cuando no la esté utilizando y que seleccione interfaces específicas como entrada al analizador en lugar de usar la all opción de palabra clave, que permite la duplicación en todas las interfaces. Duplicar solo los paquetes necesarios reduce cualquier impacto potencial en el rendimiento.

También puede limitar la cantidad de tráfico reflejado de la siguiente manera:

  • Uso de muestras estadísticas

  • Uso de un filtro de firewall

  • Establecer una proporción para seleccionar una muestra estadística

Con la duplicación local, el tráfico desde varios puertos se replica a la interfaz de salida del analizador. Si la interfaz de salida de un analizador alcanza la capacidad, los paquetes se pierden. Debe considerar si el tráfico que se replica supera la capacidad de la interfaz de salida del analizador.

Tabla 2 resume las pautas de configuración adicionales para los analizadores.

Tabla 2: Pautas de configuración para analizadores de duplicación de puertos

Pauta

Información de valor o soporte

Comentario

Número de analizadores que puede habilitar al mismo tiempo.

64 analizadores predeterminados

2 por FPC– Analizador estadístico

Los analizadores estadísticos deben estar enlazados a una FPC para reflejar el tráfico en puertos que pertenecen a esa FPC.

Nota:

Las propiedades predeterminadas del analizador se vinculan implícitamente en la última (o segunda a última) instancia de todas las FPC del sistema. Por lo tanto, cuando se enlaza explícitamente un segundo analizador estadístico en la FPC, se anulan las propiedades predeterminadas del analizador.

Número de interfaces, VLAN o dominios de puente que puede usar como entrada de entrada a un analizador.

256

Tipos de puertos en los que no puede reflejar el tráfico.

  • Puertos virtuales de chasis (VCP)

  • Puertos Ethernet de administración (me0 o vme0)

  • Interfaces de enrutamiento y puente integrados (IRB)

  • Interfaces de capa 3 etiquetadas por VLAN

 

Familias de protocolos que puede incluir en un analizador.

ethernet-switching para conmutadores serie EX y bridge para enrutadores serie MX.

Los analizadores reflejan solo tráfico de puente. Para reflejar el tráfico enrutado, utilice la configuración de duplicación de puerto con family el as inet o inet6.

Los paquetes con errores de capa física no se envían al analizador local o remoto.

Aplicable

Los paquetes con estos errores se filtran y, por lo tanto, no se envían al analizador.

El analizador no admite tráfico de velocidad de línea.

Aplicable

La duplicación del tráfico de velocidad de línea se realiza sobre la base del mejor esfuerzo.

Salida del analizador en una interfaz LAG.

Apoyado

 

Modo de interfaz de salida del analizador como modo de troncalización.

Apoyado

  • La interfaz troncal tiene que ser miembro de todas las VLAN o dominios de puente que estén relacionados con la configuración de entrada del analizador.

  • Debe usar la mirror-once opción si la entrada se ha configurado como VLAN o dominio de puente y la salida es una interfaz troncal.

    Nota:

    Con la opción espejo una vez, si la entrada del analizador es tanto de espejo de entrada como de salida, solo se replica el tráfico de entrada. Si se requiere espejo de entrada y salida, la interfaz de salida no puede ser una troncalización. En tales casos, configure la interfaz como una interfaz de acceso.

Duplicación de salida de paquetes de control generados por host.

No compatible

 

Configuración de interfaces lógicas de capa 3 en la input estrofa de un analizador.

No compatible

 

Se deben evitar las estrofas de entrada y salida del analizador que contienen miembros de la misma VLAN o de la misma VLAN.

Aplicable

 

Soporte para VLAN y sus interfaces de miembro en diferentes sesiones de analizador

No compatible

Si se configura la duplicación, cualquiera de los analizadores está activo.

Duplicación de salida de las interfaces de Ethernet (ae) agregadas y sus interfaces lógicas secundarias configuradas para diferentes analizadores.

No compatible

 

Configuración de la duplicación en conmutadores EX9200 para analizar el tráfico (procedimiento de CLI)

Los conmutadores EX9200 le permiten configurar la duplicación para enviar copias de paquetes a una interfaz local para la supervisión local o a una VLAN para la supervisión remota. Puede usar la duplicación para copiar los siguientes paquetes:

  • Paquetes que entran o salen de un puerto

  • Paquetes que ingresan o salen de una VLAN

prácticas recomendadas:

Refleje solo los paquetes necesarios para reducir el potencial impacto en el rendimiento. Recomendamos que:

  • Desactive los analizadores que haya configurado cuando no los esté utilizando.

  • Especifique interfaces individuales como entrada a los analizadores en lugar de especificar todas las interfaces como entrada.

  • Limite la cantidad de tráfico reflejado de la siguiente manera:

    • Uso de muestras estadísticas.

    • Establecer ratios para seleccionar muestras estadísticas.

    • Uso de filtros de firewall.

Nota:

Si desea crear analizadores adicionales sin eliminar los analizadores existentes, desactive los analizadores existentes mediante el uso de la instrucción desde la disable analyzer analyzer-name interfaz de línea de comandos (CLI) o desde la página de configuración J-Web para reflejar.

Nota:

Las interfaces utilizadas como salida a un analizador deben configurarse en , ethernet-switching familyy deben asociarse a una VLAN.

Configuración de un analizador para análisis de tráfico local

Para reflejar el tráfico de red o el tráfico de VLAN en el conmutador a una interfaz en el conmutador mediante el uso de analizadores:

  1. Elija un nombre para el analizador y especifique la entrada:

    Por ejemplo, cree un analizador llamado employee-monitor para supervisar los paquetes que entran en las interfaces ge-0/0/0.0 y ge-0/0/1.0:

  2. Configure la interfaz de destino para los paquetes reflejados:

    Por ejemplo, configure ge-0/0/10.0 como la interfaz de destino del employee-monitor analizador:

Configuración de un analizador para el análisis de tráfico remoto

Para reflejar el tráfico que atraviesa interfaces o una VLAN en el conmutador a una VLAN utilizada para el análisis desde una ubicación remota:

  1. Configure una VLAN para transportar el tráfico reflejado:

    Por ejemplo, defina una VLAN de analizador llamada remote-analyzer y asigne el ID 999de VLAN:

  2. Establezca la interfaz que está conectada al conmutador de distribución en modo de acceso y asóciela con la VLAN del analizador:

    Por ejemplo, establezca la interfaz ge-0/1/1 en modo de acceso y asociela al ID 999de VLAN del analizador:

  3. Configure el analizador:
    1. Defina un analizador y especifique el tráfico que se va a reflejar:

      Por ejemplo, defina el analizador para el employee-monitor cual el tráfico que se va a duplicar comprende paquetes que entran en las interfaces ge-0/0/0.0 y ge-0/0/1.0:

    2. Especifique la VLAN del analizador como resultado para el analizador:

      Por ejemplo, especifique la remote-analyzer VLAN como analizador de salida para el employee-monitor analizador:

Configuración de un analizador estadístico para el análisis de tráfico local

Para duplicar el tráfico de interfaz o el tráfico de VLAN en el conmutador a una interfaz en el conmutador mediante un analizador estadístico:

  1. Elija un nombre para el analizador y especifique las interfaces de entrada:

    Por ejemplo, especifique un analizador llamado employee-monitor y especifique las interfaces de entrada ge-0/0/0 y ge-0/0/1:

  2. Configure la interfaz de destino para los paquetes reflejados:

    Por ejemplo, configure ge-0/0/10.0 como la interfaz de destino para los paquetes reflejados:

  3. Especifique las propiedades de duplicación.
    1. Especifique la velocidad de duplicación, es decir, el número de paquetes que se duplicarán por segundo:

      El rango válido es de 1 a 65.535.

    2. Especifique a qué longitud se truncan los paquetes espejados:

    El rango válido es del 0 al 9216. El valor predeterminado es 0, lo que indica que los paquetes reflejados no se truncan.

Configuración de un analizador estadístico para el análisis de tráfico remoto

Para reflejar el tráfico que atraviesa interfaces o una VLAN en el conmutador a una VLAN para el análisis desde una ubicación remota mediante un analizador estadístico:

  1. Configure una VLAN para transportar el tráfico reflejado:

    Por ejemplo, configure una VLAN llamada remote-analyzer con ID 999de VLAN:

  2. Establezca la interfaz que está conectada al conmutador de distribución en modo de acceso y asóciela a la VLAN:

    Por ejemplo, establezca la interfaz ge-0/1/1.0 que está conectada al conmutador de distribución en modo de acceso y asociela a la remote-analyzer VLAN:

  3. Configure el analizador estadístico:
    1. Especifique el tráfico que se va a reflejar:

      Por ejemplo, especifique los paquetes que ingresan a los puertos ge-0/0/0.0 y ge-0/0/1.0 que se reflejarán:

    2. Especifique un resultado para el analizador:

      Por ejemplo, especifique la remote-analyzer VLAN como resultado para el analizador:

  4. Especifique las propiedades de duplicación.

    1. Especifique la velocidad de duplicación, es decir, el número de paquetes que se duplicarán por segundo:

      El rango válido es de 1 a 65.535.

    2. Especifique la longitud a la que se van a truncar los paquetes reflejados:

    El rango válido es del 0 al 9216. El valor predeterminado es 0, lo que significa que los paquetes reflejados no se truncan.

Enlazar analizadores estadísticos a puertos agrupados a nivel de FPC

Puede enlazar un analizador estadístico a una FPC específica en el conmutador, es decir, puede enlazar la instancia del analizador estadístico en el nivel de FPC del conmutador. Las propiedades de duplicación especificadas en el analizador estadístico se aplican a todos los puertos físicos asociados con todos los motores de reenvío de paquetes en la FPC especificada.

Para enlazar una instancia con nombre del analizador de capa 2 a una FPC:

  1. Habilite la configuración de las propiedades del chasis del conmutador:

  2. Habilite la configuración de una FPC (y sus PIC instaladas):

  3. Enlazar una instancia de analizador estadístico a la FPC:

  4. (Opcional) Para enlazar una segunda instancia de analizador estadístico de duplicación de capa 2 a la misma FPC, repita el paso 3 y especifique un nombre diferente de analizador estadístico:

  5. Compruebe la configuración mínima del enlace:

Nota:

Al enlazar una segunda instancia (stats_analyzer-2 en este ejemplo), las propiedades de duplicación de esta sesión, si están configuradas, invalidan cualquier analizador predeterminado.

Configurar un analizador con varios destinos mediante el uso de grupos de siguiente salto

Puede duplicar el tráfico a varios destinos mediante la configuración de grupos de próximo salto como salida del analizador. La duplicación de paquetes a varios destinos también se conoce como duplicación de puerto multipacket.

Para reflejar el tráfico de interfaz o el tráfico de VLAN en el conmutador a una interfaz en el conmutador (mediante el uso de analizadores):

  1. Elija un nombre para el analizador y especifique la entrada:

    Por ejemplo, cree un analizador llamado employee-monitor para el cual el tráfico de entrada se compone de paquetes que entran en las interfaces ge-0/0/0.0 y ge-0/0/1.0:

  2. Configure la interfaz de destino para los paquetes reflejados:

    Por ejemplo, configure el grupo nhg del siguiente salto como el destino del employee-monitor analizador:

Definición de un grupo de siguiente salto para la duplicación de capa 2

La configuración del grupo del siguiente salto en el [edit forwarding-options] nivel de configuración le permite definir un nombre de grupo de salto siguiente, el tipo de direcciones que se usarán en el grupo de siguiente salto y las interfaces lógicas que forman los múltiples destinos a los que se puede reflejar el tráfico. De forma predeterminada, el grupo del siguiente salto se especifica mediante el uso de direcciones de capa 3 mediante la [edit forwarding-options next-hop-group next-hop-group-name group-type inet] instrucción. Para especificar un grupo de siguiente salto con direcciones de capa 2 en su lugar, incluya la [edit forwarding-options next-hop-group next-hop-group-name group-type layer-2] instrucción.

Para definir un grupo de salto siguiente para la duplicación de capa 2:

  1. Habilite la configuración de un grupo de próximo salto para la duplicación de capa 2:

    Por ejemplo, configure next-hop-group con nombre nhg:

  2. Especifique el tipo de direcciones que se usarán en la configuración del grupo del siguiente salto:

    Por ejemplo, configure next-hop-group type como layer-2 porque la salida del analizador debe ser layer-2 solo:

  3. Especifique las interfaces lógicas del grupo del siguiente salto:

    Por ejemplo, para especificar ge-0/0/10.0 y ge-0/0/11.0 como las interfaces lógicas del grupo nhgdel siguiente salto:

Configuración de la duplicación en conmutadores EX4300 para analizar el tráfico (procedimiento de CLI)

Nota:

Esta tarea usa Junos OS para conmutadores de la serie EX compatibles con el estilo de configuración Enhanced Layer 2 Software (ELS).

Los conmutadores EX4300 le permiten configurar la duplicación para enviar copias de paquetes a una interfaz local para la supervisión local o a una VLAN para la supervisión remota. Puede usar la duplicación para copiar estos paquetes:

  • Paquetes que entran o salen de un puerto

  • Paquetes que ingresan a una VLAN

prácticas recomendadas:

Refleje solo los paquetes necesarios para reducir el potencial impacto en el rendimiento. Recomendamos que:

  • Desactive las configuraciones de duplicación configuradas cuando no las esté utilizando.

  • Especifique interfaces individuales como entrada a los analizadores en lugar de especificar todas las interfaces como entrada.

  • Limite la cantidad de tráfico reflejado mediante filtros de firewall.

Nota:

Si desea crear analizadores adicionales sin eliminar los analizadores existentes, desactive los analizadores existentes mediante el uso de la disable analyzer analyzer-name instrucción de la interfaz de línea de comandos o de la página de configuración J-Web para reflejar.

Nota:

Las interfaces utilizadas como salida para un analizador deben configurarse en la ethernet-switching familia.

Configuración de un analizador para análisis de tráfico local

Para reflejar el tráfico de interfaz o el tráfico de VLAN en el conmutador a una interfaz en el conmutador (mediante el uso de analizadores):

  1. Elija un nombre para el analizador y especifique la entrada:

    Por ejemplo, cree un analizador llamado employee-monitor para el cual el tráfico de entrada son paquetes que ingresan las interfaces ge-0/0/0.0 y ge-0/0/1.0:

  2. Configure la interfaz de destino para los paquetes reflejados:

    Por ejemplo, configure ge-0/0/10.0 como la interfaz de destino del employee-monitor analizador:

Configuración de un analizador para el análisis de tráfico remoto

Para reflejar el tráfico que atraviesa interfaces o una VLAN en el conmutador a una VLAN para el análisis desde una ubicación remota (mediante el uso de analizadores):

  1. Configure una VLAN para transportar el tráfico reflejado:

    Por ejemplo, defina una VLAN de analizador llamada remote-analyzer y asigne un ID de VLAN de 999:

  2. Configure la interfaz del módulo uplink que está conectada al conmutador de distribución al modo de troncalización y asóciela con la VLAN del analizador:

    Por ejemplo, establezca la interfaz ge-0/1/1 en modo de troncalización y asociela con el ID 999de VLAN del analizador:

  3. Configure el analizador:
    1. Defina un analizador y especifique el tráfico que se va a reflejar:

      Por ejemplo, defina el analizador para el employee-monitor que se va a duplicar el tráfico de paquetes que ingresan las interfaces ge-0/0/0.0 y ge-0/0/1.0:

    2. Especifique la VLAN del analizador como resultado para el analizador:

      Por ejemplo, especifique la remote-analyzer VLAN como analizador de salida para el employee-monitor analizador:

Configuración de la duplicación de puertos

Para filtrar paquetes que se reflejarán en una instancia de duplicación de puerto, cree la instancia y úselo como acción en el filtro de firewall. Puede usar filtros de firewall en configuraciones de duplicación local y remota.

Si se utiliza la misma instancia de duplicación de puerto en varios filtros o términos, los paquetes se copian en el puerto de salida del analizador o en la VLAN del analizador solo una vez.

Para filtrar el tráfico reflejado, cree una instancia de duplicación de puerto en el [edit forwarding-options] nivel de jerarquía y, a continuación, cree un filtro de firewall. El filtro puede usar cualquiera de las condiciones de coincidencia disponibles y debe tener port-mirror-instance instance-name como acción. Esta acción en la configuración del filtro de firewall proporciona la entrada a la instancia de duplicación de puerto.

Para configurar una instancia de duplicación de puerto con filtros de firewall:

  1. Configure el nombre de la instancia de duplicación de puerto (aquí, employee-monitor) y el resultado:
    1. Para el análisis local, establezca el resultado en la interfaz local donde conectará el equipo que ejecuta el analizador de protocolos:
    2. Para el análisis remoto, establezca la salida en la remote-analyzer VLAN:
  2. Cree un filtro de firewall mediante cualquiera de las condiciones de coincidencia disponibles y asigne employee-monitor a la port-mirror-instance acción:

    En este paso, se muestra un filtro example-filterde firewall, con dos términos (no-analyzer y to-analyzer):

    1. Cree el primer término para definir el tráfico que no debe pasar a la instancia employee-monitorde duplicación de puerto:
    2. Cree el segundo término para definir el tráfico que debe pasar a la instancia employee-monitorde duplicación de puerto:
  3. Aplique el filtro de firewall a las interfaces o VLAN que proporcionan entrada a la instancia de duplicación de puerto:

Configurar la duplicación de puertos para analizar el tráfico (procedimiento de CLI)

Esta tarea de configuración usa Junos OS para conmutadores de la serie EX que no admiten el estilo de configuración Enhanced Layer 2 Software (ELS).

Los conmutadores de la serie EX le permiten configurar la duplicación de puertos para enviar copias de paquetes a una interfaz local para la supervisión local o a una VLAN para la supervisión remota. Puede usar la duplicación de puertos para copiar estos paquetes:

  • Paquetes que entran o salen de un puerto

  • Paquetes que ingresan a una VLAN en conmutadores EX2200, EX3200, EX3300, EX4200, EX4500 o EX6200

  • Paquetes que salen de una VLAN en conmutadores EX8200

prácticas recomendadas:

Refleje solo los paquetes necesarios para reducir el potencial impacto en el rendimiento. Recomendamos que:

  • Desactive sus analizadores de duplicación de puertos configurados cuando no los esté utilizando.

  • Especifique interfaces individuales como entrada a los analizadores en lugar de especificar todas las interfaces como entrada.

  • Limite la cantidad de tráfico reflejado de la siguiente manera:

    • Uso de muestras estadísticas.

    • Establecer ratios para seleccionar muestras estadísticas.

    • Uso de filtros de firewall.

Antes de comenzar a configurar la duplicación de puertos, tenga en cuenta las siguientes limitaciones para las interfaces de salida del analizador:

  • Tampoco puede ser un puerto de origen.

  • No se puede usar para la conmutación.

  • No participe en protocolos de capa 2 (como RSTP) cuando forme parte de una configuración de duplicación de puerto.

  • No conserve las asociaciones de VLAN que tenían antes de configurarse como interfaces de salida del analizador.

Nota:

Si desea crear analizadores adicionales sin eliminar el analizador existente, primero desactive el analizador existente mediante el disable analyzer analyzer-name comando o la página de configuración J-Web para la duplicación de puertos.

Nota:

Las interfaces utilizadas como salida para un analizador deben configurarse como familia ethernet-switching.

Configurar la duplicación de puertos para el análisis de tráfico local

Para reflejar el tráfico de interfaz o el tráfico de VLAN en el conmutador a otra interfaz en el conmutador:

  1. Elija un nombre para el analizador—en este caso employee-monitor—y especifique la entrada—, en este caso, los paquetes que ingresan ge-0/0/0 y ge-0/0/1:
  2. Opcionalmente, puede especificar un muestreo estadístico de los paquetes estableciendo una proporción:

    Cuando la proporción se establece en 200, 1 de cada 200 paquetes se refleja en el analizador. Puede usar muestras estadísticas para reducir el volumen del tráfico reflejado, ya que un alto volumen de tráfico reflejado puede ser intensivo en rendimiento para el conmutador. En conmutadores EX8200, puede establecer una proporción solo para los paquetes de entrada.

  3. Configure la interfaz de destino para los paquetes reflejados:

Configurar la duplicación de puertos para el análisis de tráfico remoto

Para reflejar el tráfico que atraviesa interfaces o una VLAN en el conmutador a una VLAN para análisis desde una ubicación remota:

  1. Configure una VLAN para transportar el tráfico reflejado. Esta VLAN se llama remote-analyzer y se le da el ID de 999 por convención en esta documentación:
  2. Configure la interfaz del módulo uplink que está conectada al conmutador de distribución al modo de troncalización y asociela con la remote-analyzer VLAN:
  3. Configure el analizador:
    1. Elija un nombre y establezca la prioridad de pérdida en alto. La prioridad de pérdida siempre debe establecerse en alto cuando se configura para la duplicación de puertos remotos:
    2. Especifique el tráfico que se va a duplicar: en este ejemplo, los paquetes que ingresan a los puertos ge-0/0/0 y ge-0/0/1:
    3. Especifique la remote-analyzer VLAN como resultado para el analizador:
  4. Opcionalmente, puede especificar un muestreo estadístico de los paquetes estableciendo una proporción:

    Cuando la proporción se establece en 200, 1 de cada 200 paquetes se refleja en el analizador. Puede usar esto para reducir el volumen de tráfico reflejado, ya que un volumen muy alto de tráfico reflejado puede ser intensivo en rendimiento para el conmutador.

Filtrado del tráfico que ingresa a un analizador

Para filtrar qué paquetes se reflejan en un analizador, cree el analizador y, luego, úselo como acción en el filtro de firewall. Puede usar filtros de firewall en configuraciones de duplicación de puertos locales y remotos.

Si se utiliza el mismo analizador en varios filtros o términos, los paquetes se copian al puerto de salida del analizador o al VLAN del analizador solo una vez.

Para filtrar el tráfico reflejado, cree un analizador y, luego, cree un filtro de firewall. El filtro puede utilizar cualquiera de las condiciones de coincidencia disponibles y debe tener una acción de analyzer. La acción del filtro de firewall proporciona la entrada al analizador.

Para configurar la duplicación de puertos con filtros:

  1. Configure el nombre del analizador (aquí, employee-monitor) y el resultado:
    1. Para el análisis local, establezca el resultado en la interfaz local a la que conectará el equipo que ejecuta la aplicación analizador de protocolos:
    2. Para el análisis remoto, establezca la prioridad de pérdida en alto y establezca la salida a la remote-analyzer VLAN:
  2. Cree un filtro de firewall mediante cualquiera de las condiciones de coincidencia disponibles y especifique la acción como analyzer:

    Este paso muestra un filtro de firewall llamado example-filter, con dos términos:

    1. Cree el primer término para definir el tráfico que no debe pasar al analizador:
    2. Cree el segundo término para definir el tráfico que debe pasar al analizador:
  3. Aplique el filtro de firewall a las interfaces o VLAN que se ingresan en el analizador:

Verificación de entrada y salida para analizadores de duplicación de puertos en conmutadores de la serie EX

Propósito

Esta tarea de verificación usa Junos OS para conmutadores de la serie EX que no admiten el estilo de configuración Enhanced Layer 2 Software (ELS).

Compruebe que se ha creado un analizador en el conmutador y que tiene las interfaces de entrada de espejo adecuadas y la interfaz de salida del analizador adecuada.

Acción

Puede comprobar que el analizador de espejo de puerto está configurado como se esperaba mediante el show analyzer comando.

Puede ver todos los analizadores de espejo de puerto configurados en el conmutador, incluidos los que están deshabilitados, mediante el comando en modo show ethernet-switching-options de configuración.

Significado

Este resultado muestra que el analizador monitor empleado tiene una proporción de 1 (duplicando cada paquete, el valor predeterminado), una prioridad de pérdida de high (establezca esta opción en high cada vez que la salida del analizador sea en una VLAN), está reflejando el tráfico que ingresa ge-0/0/0 y ge-0/0/1, y envía el tráfico reflejado al analizador llamado analizador remoto.

Ejemplo: Configuración de analizadores de duplicación de puertos para la supervisión local del uso de recursos de los empleados

Los dispositivos Juniper Networks le permiten configurar la duplicación de puertos para enviar copias de paquetes a una interfaz local para la supervisión local, a una VLAN o a un dominio de puente para la supervisión remota. Puede usar la duplicación para copiar estos paquetes:

  • Paquetes que entran o salen de un puerto

  • Paquetes que entran o salen de una VLAN o dominio de puente

A continuación, puede analizar el tráfico reflejado de forma local o remota mediante un analizador de protocolos. Puede instalar un analizador en una interfaz de destino local. Si envía tráfico reflejado a un dominio de puente o VLAN del analizador, puede usar un analizador en una estación de monitoreo remota.

En este tema se describe cómo configurar la duplicación local en un dispositivo de conmutación. En los ejemplos de este tema se describe cómo configurar un dispositivo de conmutación para reflejar el tráfico que introduce interfaces conectadas a los equipos de los empleados a una interfaz de salida del analizador en ese mismo dispositivo.

Requisitos

Utilice cualquiera de los siguientes componentes de hardware y software:

  • Un conmutador EX9200 con la versión 13.2 o posterior de Junos OS

  • Un enrutador serie MX con la versión 14.1 o posterior de Junos OS

Antes de configurar la duplicación de puertos, asegúrese de comprender los conceptos de duplicación. Para obtener más información acerca de los analizadores, consulte Descripción de analizadores de duplicación de puertos. Para obtener más información acerca de la duplicación de puertos, consulte Descripción de la duplicación de puertos de capa 2.

Descripción general y topología

En este tema se describe cómo reflejar todo el tráfico que entra en los puertos del dispositivo de conmutación a una interfaz de destino en el mismo dispositivo (duplicación local). En este caso, el tráfico entra en puertos conectados a las computadoras de los empleados.

Nota:

Duplicar todo el tráfico requiere un ancho de banda significativo y solo se debe hacer durante una investigación activa.

Las interfaces ge-0/0/0 y ge-0/0/1 sirven como conexiones para las computadoras de los empleados.

La interfaz ge-0/0/10 está reservada para el análisis del tráfico reflejado.

Conecte una PC en la que se ejecute un analizador de protocolos a la interfaz de salida del analizador.

Nota:

Varios puertos reflejados en una interfaz pueden causar un desbordamiento del búfer, lo que da como resultado que los paquetes reflejados se caigan en la interfaz de salida.

Figura 1 muestra la topología de red para este ejemplo.

Figura 1: Ejemplo de topología de red para duplicación de puerto localEjemplo de topología de red para duplicación de puerto local

Replicación de todo el tráfico de empleados para el análisis local

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente la duplicación local para el tráfico de entrada enviado en dos puertos conectados a los equipos de los empleados, copie cualquiera de los siguientes comandos para conmutadores de la serie EX o para enrutadores serie MX y péguelos en la ventana terminal del dispositivo de conmutación:

Serie EX

Serie MX

Procedimiento paso a paso

Para configurar un analizador llamado employee-monitor y especificar tanto las interfaces de entrada (fuente) como la interfaz de salida del analizador:

  1. Configure cada interfaz para que se use en la configuración del analizador. Utilice el protocolo de familia correcto para su plataforma.

    Para configurar family bridge en una interfaz, debe configurar interface-mode access o interface-mode trunk también. También debe configurar vlan-id.

  2. Configure cada interfaz conectada a las computadoras de los empleados como una interfaz de analizador de salida employee-monitor.

  3. Configure la interfaz del analizador de salida para el employee-monitor analizador.

    Esta será la interfaz de destino de los paquetes reflejados.

Resultados

Compruebe los resultados de la configuración.

Verificación

Verificar que el analizador se creó correctamente

Propósito

Verifique que el analizador employee-monitor se ha creado en el dispositivo de conmutación con las interfaces de entrada adecuadas y la interfaz de salida adecuada.

Acción

Utilice el show forwarding-options analyzer comando operativo para comprobar que un analizador está configurado como se esperaba.

Significado

El resultado muestra que el employee-monitor analizador tiene una relación de 1 (es decir, reflejando cada paquete, la configuración predeterminada), el tamaño máximo del paquete original reflejado es 0 (lo que indica que todo el paquete está reflejado), el estado de la configuración es up, y el analizador está reflejando el tráfico que entra en la interfaz ge-0/0/0 y enviando el tráfico reflejado a la interfaz ge-0/0/10.

Si el estado de la interfaz de salida es down o si la interfaz de salida no está configurada, el valor de State estará down indicando que el analizador no recibirá tráfico reflejado.

Ejemplo: Configuración de la duplicación de puertos para la supervisión remota del uso de recursos de los empleados

Los dispositivos de Juniper Networks le permiten configurar la duplicación de puertos para enviar copias de paquetes a una interfaz local para la supervisión local o a una VLAN o dominio de puente para monitoreo remoto. Puede usar la duplicación para copiar estos paquetes:

  • Paquetes que entran o salen de un puerto

  • Paquetes que ingresan o salen de una VLAN

  • Paquetes que ingresan o salen de un dominio de puente

Si va a enviar tráfico reflejado a una VLAN o dominio de puente del analizador, puede analizar el tráfico reflejado mediante un analizador de protocolo que se ejecuta en una estación de monitoreo remota.

prácticas recomendadas:

Refleje solo los paquetes necesarios para reducir el potencial impacto en el rendimiento. Recomendamos que haga lo siguiente:

  • Desactive las sesiones de duplicación configuradas cuando no las esté utilizando.

  • Especifique interfaces individuales como entrada a los analizadores en lugar de especificar todas las interfaces como entrada.

  • Limite la cantidad de tráfico reflejado de la siguiente manera:

    • Uso de muestras estadísticas.

    • Establecer ratios para seleccionar muestras estadísticas.

    • Uso de filtros de firewall.

Los ejemplos de este tema describen cómo configurar la duplicación de puertos remotos para analizar el uso de recursos de los empleados.

Requisitos

En este ejemplo, se utiliza uno de los pares siguientes de componentes de hardware y software:

  • Un conmutador EX9200 conectado a otro ex9200, que ejecuta la versión 13.2 o posterior de Junos OS

  • Un enrutador serie MX conectado a otro enrutador serie MX, ambos con Junos OS versión 14.1 o posterior

Antes de configurar la duplicación remota, asegúrese de que:

Descripción general y topología

En este tema se describe cómo configurar la duplicación de puertos en un dominio de puente o VLAN de analizador remoto para que el análisis se pueda realizar desde una estación de monitoreo remota.

Figura 2 muestra la topología de red para el ejemplo de la serie EX y los escenarios de ejemplo de la serie MX.

Topología

Figura 2: Topología de red para replicación y análisis de puertos remotosTopología de red para replicación y análisis de puertos remotos

En este ejemplo:

  • La interfaz ge-0/0/0 es una interfaz de capa 2, y la interfaz ge-0/0/1 es una interfaz de capa 3 (ambas interfaces en el dispositivo de origen) que sirven como conexiones para las computadoras de los empleados.

  • La interfaz ge-0/0/10 es una interfaz de capa 2 que conecta el dispositivo de conmutación de origen al dispositivo de conmutación de destino.

  • La interfaz ge-0/0/5 es una interfaz de capa 2 que conecta el dispositivo de conmutación de destino a la estación de monitoreo remoto.

  • El analizador remote-analyzer está configurado en todos los dispositivos de conmutación de la topología para transportar el tráfico reflejado. Esta topología puede usar una VLAN o un dominio de puente.

Replicación del tráfico de empleados para el análisis remoto mediante el uso de un analizador estadístico

Para configurar un analizador estadístico para el análisis de tráfico remoto para todo el tráfico de empleados entrante y saliente, seleccione uno de los ejemplos siguientes:

Duplicación del tráfico de empleados para el análisis remoto de conmutadores de la serie EX

Configuración rápida de CLI

Para configurar rápidamente un analizador estadístico para el análisis de tráfico remoto del tráfico de empleados entrante y saliente, copie los siguientes comandos para conmutadores de la serie EX y péguelos en la ventana terminal del dispositivo de conmutación correcta.

  • Copie y pegue los siguientes comandos en la ventana terminal del dispositivo de conmutación de origen:

    Serie EX

  • Copie y pegue los siguientes comandos en la ventana terminal del dispositivo de conmutación de destino :

    Serie EX

Procedimiento paso a paso

Para configurar la duplicación remota básica:

  1. En el dispositivo de conmutación de origen, haga lo siguiente:

    • Configure el ID de VLAN para la remote-analyzer VLAN.

    • Configure la interfaz en el puerto de red conectado al dispositivo de conmutación de destino para el modo de acceso y asóciela a la remote-analyzer VLAN.

    • Configure el analizador employee-monitorestadístico .

    • Vincule el analizador estadístico a la FPC que contiene la interfaz de entrada.

  2. En el dispositivo de red de destino, haga lo siguiente:

    • Configure el ID de VLAN para la remote-analyzer VLAN.

    • Configure la interfaz en el dispositivo de conmutación de destino para el modo de acceso y asóciela a la remote-analyzer VLAN.

    • Configure la interfaz conectada al dispositivo de conmutación de destino para el modo de acceso.

    • Configure el employee-monitor analizador.

    • Especifique parámetros de duplicación, como la velocidad y la longitud máxima del paquete para el employee-monitor analizador.

    • Vincule el employee-monitor analizador a la FPC que contiene los puertos de entrada.

Resultados

Compruebe los resultados de la configuración en el dispositivo de conmutación de origen:

Compruebe los resultados de la configuración en el dispositivo de conmutación de destino.

Espejo de tráfico de empleados para análisis remotos para enrutadores serie MX

Configuración rápida de CLI

Para configurar rápidamente un analizador estadístico para el análisis de tráfico remoto de tráfico de empleados entrante y saliente, copie los siguientes comandos para enrutadores serie MX y péguelos en la ventana de terminal del dispositivo de conmutación correcta.

  • Copie y pegue los siguientes comandos en la ventana terminal del dispositivo de conmutación de origen:

    Serie MX

  • Copie y pegue los siguientes comandos en la ventana terminal del dispositivo de conmutación de destino :

    Serie MX

Procedimiento paso a paso

Para configurar la duplicación remota básica mediante enrutadores serie MX:

  1. En el dispositivo de conmutación de origen, haga lo siguiente:

    • Configure el ID de VLAN para el dominio de remote-analyzer puente.

    • Configure la interfaz en el puerto de red conectado al dispositivo de conmutación de destino para el modo de acceso y asóciela al dominio de remote-analyzer puente.

    • Configure el analizador employee-monitorestadístico .

    • Vincule el analizador estadístico a la FPC que contiene la interfaz de entrada.

  2. En el dispositivo de conmutación de destino, haga lo siguiente:

    • Configure el ID de VLAN para el dominio de remote-analyzer puente.

    • Configure la interfaz en el dispositivo de conmutación de destino para el modo de acceso y asóciela al dominio de remote-analyzer puente.

    • Configure la interfaz conectada al dispositivo de conmutación de destino para el modo de acceso.

    • Configure el employee-monitor analizador.

    • Especifique parámetros de duplicación, como la velocidad y la longitud máxima del paquete para el employee-monitor analizador.

    • Vincule el employee-monitor analizador a la FPC que contiene los puertos de entrada.

Resultados

Compruebe los resultados de la configuración en el dispositivo de conmutación de origen:

Compruebe los resultados de la configuración en el dispositivo de conmutación de destino.

Verificación

Verificar que el analizador se creó correctamente

Propósito

Compruebe que el analizador nombrado employee-monitor se ha creado en el dispositivo con las interfaces de entrada adecuadas y la interfaz de salida adecuada.

Acción

Para comprobar que el analizador está configurado como se esperaba mientras monitorea todo el tráfico de empleados en el dispositivo de conmutación de origen, ejecute el show forwarding-options analyzer comando en el dispositivo de conmutación de origen. Se muestra el siguiente resultado para este ejemplo de configuración.

Significado

Este resultado muestra que la employee-monitor instancia tiene una relación de 2, el tamaño máximo del paquete original que se espejado es 128, el estado de la configuración es up, lo que indica el estado adecuado y que el analizador está programado, y el analizador está reflejando el tráfico que ingresa ge-0/0/0.0 y ge-0/0/1.0, y envía el tráfico reflejado a la VLAN llamada analizador remoto.

Si el estado de la interfaz de salida es down o si la interfaz de salida no está configurada, el valor de State estará caído y el analizador no podrá supervisar el tráfico.

Ejemplo: Configuración de la duplicación en varias interfaces para la supervisión remota del uso de recursos de los empleados en conmutadores EX9200

Los conmutadores EX9200 le permiten configurar la duplicación para enviar copias de paquetes a una interfaz local para la supervisión local o a una VLAN para la supervisión remota. Puede usar la duplicación para copiar estos paquetes:

  • Paquetes que entran o salen de un puerto

  • Paquetes que ingresan o salen de una VLAN en

Puede analizar el tráfico reflejado mediante una aplicación de analizador de protocolo que se ejecuta en una estación de monitoreo remota si envía tráfico reflejado a una VLAN del analizador.

prácticas recomendadas:

Refleje solo los paquetes necesarios para reducir el potencial impacto en el rendimiento. Recomendamos que:

  • Desactive sus analizadores de duplicación configurados cuando no los esté utilizando.

  • Especifique interfaces individuales como entrada a los analizadores en lugar de especificar todas las interfaces como entrada.

  • Limite la cantidad de tráfico reflejado de la siguiente manera:

    • Uso de muestras estadísticas.

    • Establecer ratios para seleccionar muestras estadísticas.

    • Uso de filtros de firewall.

En este ejemplo, se describe cómo configurar la duplicación remota en varias interfaces en una VLAN de analizador:

Requisitos

En este ejemplo, se utilizan los siguientes componentes de hardware y software:

  • Tres conmutadores EX9200

  • Junos OS versión 13.2 o posterior para conmutadores serie EX

Antes de configurar la duplicación remota, asegúrese de que:

  • Las interfaces que el analizador utilizará como interfaces de entrada se configuraron en el conmutador.

Descripción general y topología

En este ejemplo, se describe cómo reflejar el tráfico que entra en los puertos del conmutador en la VLAN del analizador remoto para que pueda realizar análisis desde una estación de supervisión remota. La VLAN de analizador remoto de este ejemplo contiene varias interfaces de miembro. Por lo tanto, el mismo tráfico se replica en todas las interfaces miembros de la VLAN del analizador remoto para que se puedan enviar paquetes reflejados a diferentes estaciones de monitoreo remoto. Puede instalar aplicaciones, como detectores y sistemas de detección de intrusiones, en estaciones de monitoreo remoto para analizar estos paquetes reflejados y obtener datos estadísticos útiles. Por ejemplo, si hay dos estaciones de monitoreo remoto, puede instalar un rastreador en una estación de monitoreo remota y un sistema de detección de intrusiones en la otra estación. Puede usar una configuración del analizador de filtros de firewall para reenviar un tipo específico de tráfico a una estación de monitoreo remota.

En este ejemplo, se describe cómo configurar un analizador para que refleje el tráfico en varias interfaces del grupo de salto siguiente para que el tráfico se envíe a diferentes estaciones de supervisión para su análisis.

Figura 3 muestra la topología de red para este ejemplo.

Figura 3: Topología de ejemplo de replicación remota de red mediante varias interfaces de miembro VLAN en el grupo de siguiente saltoTopología de ejemplo de replicación remota de red mediante varias interfaces de miembro VLAN en el grupo de siguiente salto

Topología

En este ejemplo:

  • Las interfaces ge-0/0/0 y ge-0/0/1 son interfaces de capa 2 (ambas interfaces en el conmutador de origen) que sirven como conexiones para las computadoras de los empleados.

  • Las interfaces ge-0/0/10 y ge-0/0/11 son interfaces de capa 2 que están conectadas a diferentes conmutadores de destino.

  • La interfaz ge-0/0/12 es una interfaz de capa 2 que conecta el conmutador de destino 1 a la estación de monitoreo remoto.

  • La interfaz ge-0/0/13 es una interfaz de capa 2 que conecta el conmutador de destino 2 a la estación de monitoreo remoto.

  • La VLAN remote-analyzer se configura en todos los conmutadores de la topología para transportar el tráfico reflejado.

Duplicar todo el tráfico de empleados en varias interfaces de miembros de VLAN para análisis remotos

Para configurar la duplicación en varias interfaces de miembros de VLAN para el análisis de tráfico remoto para todo el tráfico de empleados entrante y saliente, realice estas tareas:

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente la duplicación para el análisis de tráfico remoto para el tráfico de empleados entrante y saliente, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:

  • En la ventana terminal del conmutador de origen, copie y pegue los siguientes comandos:

  • En la ventana terminal del conmutador de destino 1, copie y pegue los siguientes comandos:

  • En la ventana terminal del conmutador de destino 2, copie y pegue los siguientes comandos:

Procedimiento paso a paso

Para configurar la duplicación remota básica en dos interfaces de miembro VLAN:

  1. En el conmutador de origen:

    • Configure el ID de VLAN para la remote-analyzer VLAN:

    • Configure las interfaces en el puerto de red conectado a conmutadores de destino para el modo de acceso y asócielo a la remote-analyzer VLAN:

    • Configure el employee-monitor analizador:

      En esta configuración del analizador, el tráfico que entra y sale de las interfaces ge-0/0/0.0 y ge-0/0/1.0 se envía al destino de salida definido por el grupo de siguiente salto denominado remote-analyzer-nhg.

    • Configure el grupo del remote-analyzer-nhb siguiente salto:

  2. En el conmutador de destino 1:

    • Configure el ID de VLAN para la remote-analyzer VLAN:

    • Configure la interfaz ge-0/0/10 en el conmutador de destino 1 para el modo de acceso:

    • Configure la interfaz conectada a la estación de monitoreo remoto para el modo de acceso:

    • Configure el employee-monitor analizador:

  3. En el conmutador de destino 2:

    • Configure el ID de VLAN para la remote-analyzer VLAN:

    • Configure la interfaz ge-0/0/11 en el conmutador de destino 2 para el modo de acceso:

    • Configure la interfaz conectada a la estación de monitoreo remoto para el modo de acceso:

    • Configure el employee-monitor analizador:

Resultados

Compruebe los resultados de la configuración en el conmutador de origen:

Compruebe los resultados de la configuración en el conmutador de destino 1:

Compruebe los resultados de la configuración en el conmutador de destino 2:

Verificación

Para confirmar que la configuración funciona correctamente, realice estas tareas:

Verificar que el analizador se creó correctamente

Propósito

Compruebe que el analizador nombrado employee-monitor se ha creado en el conmutador con las interfaces de entrada adecuadas y la interfaz de salida adecuadas.

Acción

Puede comprobar que el analizador está configurado como se esperaba mediante el show forwarding-options analyzer comando.

Para comprobar que el analizador está configurado como se esperaba mientras monitorea todo el tráfico de empleados en el conmutador de origen, ejecute el show forwarding-options analyzer comando en el conmutador de origen. Se muestra el siguiente resultado para este ejemplo de configuración en el conmutador de origen:

Significado

Este resultado muestra que el employee-monitor analizador tiene una proporción de 1 (reflejando cada paquete, que es el comportamiento predeterminado), el estado de la configuración es up, que indica el estado adecuado y que el analizador está programado, refleja el tráfico de entrada o salida de las interfaces ge-0/0/0 y ge-0/0/1, y envía tráfico reflejado a varias interfaces ge-0/0/10.0 y ge-0/0/11.0 a través del next-hop-group remote-analyzer-nhg. Si el estado de la interfaz de salida está down o si la interfaz de salida no está configurada, el valor de estado estará inactivo y el analizador no podrá reflejar el tráfico.

Ejemplo: Configuración de la duplicación para la supervisión remota del uso de recursos de los empleados a través de un conmutador de tránsito en conmutadores EX9200

Los conmutadores EX9200 le permiten configurar la duplicación para enviar copias de paquetes a una interfaz local para la supervisión local o a una VLAN para la supervisión remota. Puede usar la duplicación para copiar estos paquetes:

  • Paquetes que entran o salen de un puerto

  • Paquetes que ingresan o salen de una VLAN

Puede analizar el tráfico reflejado mediante una aplicación de analizador de protocolo que se ejecuta en una estación de monitoreo remota si envía tráfico reflejado a una VLAN del analizador.

En este tema, se incluye un ejemplo en el que se describe cómo reflejar el tráfico que entra en los puertos del conmutador a la VLAN del analizador remoto a través de un conmutador de tránsito para que pueda realizar análisis desde una estación de supervisión remota.

prácticas recomendadas:

Refleje solo los paquetes necesarios para reducir el potencial impacto en el rendimiento. Recomendamos que:

  • Desactive las sesiones de duplicación configuradas cuando no las esté utilizando.

  • Especifique interfaces individuales como entrada a los analizadores en lugar de especificar todas las interfaces como entrada.

  • Limite la cantidad de tráfico reflejado de la siguiente manera:

    • Uso de muestras estadísticas.

    • Establecer ratios para seleccionar muestras estadísticas.

    • Uso de filtros de firewall.

En este ejemplo se describe cómo configurar la duplicación remota a través de un conmutador de tránsito:

Requisitos

En este ejemplo, se utilizan los siguientes componentes de hardware y software:

  • Un conmutador EX9200 conectado a otro conmutador EX9200 a través de un tercer conmutador EX9200

  • Junos OS versión 13.2 o posterior para conmutadores serie EX

Antes de configurar la duplicación remota, asegúrese de que:

  • Las interfaces que el analizador utilizará como interfaces de entrada se configuraron en el conmutador.

Descripción general y topología

En este ejemplo, se describe cómo reflejar el tráfico que entra en los puertos del conmutador a la remote-analyzer VLAN a través de un conmutador de tránsito para que pueda realizar análisis en todo el tráfico desde los equipos de los empleados.

En esta configuración, se requiere una sesión de analizador en el conmutador de destino para reflejar el tráfico entrante desde la VLAN del analizador hasta la interfaz de salida a la que está conectada la estación de supervisión remota.

Figura 4 muestra la topología de red para este ejemplo.

Topología

Figura 4: Monitoreo de red para replicación remota a través de un conmutador de tránsitoMonitoreo de red para replicación remota a través de un conmutador de tránsito

En este ejemplo:

  1. La interfaz ge-0/0/0 es una interfaz de capa 2, y la interfaz ge-0/0/1 es una interfaz de capa 3 (ambas interfaces en el conmutador de origen) que sirven como conexiones para las computadoras de los empleados.

  2. La interfaz ge-0/0/10 es una interfaz de capa 2 que se conecta al conmutador de tránsito.

  3. La interfaz ge-0/0/11 es una interfaz de capa 2 en el conmutador de tránsito.

  4. La interfaz ge-0/0/12 es una interfaz de capa 2 en el conmutador de tránsito y se conecta al conmutador de destino.

  5. La interfaz ge-0/0/13 es una interfaz de capa 2 en el conmutador de destino.

  6. La interfaz ge-0/0/14 es una interfaz de capa 2 en el conmutador de destino y se conecta a la estación de monitoreo remoto.

  7. La VLAN remote-analyzer se configura en todos los conmutadores de la topología para transportar el tráfico reflejado.

Replicación de todo el tráfico de empleados para análisis remotos a través de un conmutador de tránsito

Para configurar la duplicación para el análisis de tráfico remoto a través de un conmutador de tránsito, realice estas tareas para todo el tráfico de empleados entrantes y salientes:

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente la duplicación para el análisis de tráfico remoto a través de un conmutador de tránsito, para el tráfico de empleados entrante y saliente, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:

  • Copie y pegue los siguientes comandos en la ventana terminal del conmutador de origen (conmutador supervisado):

  • Copie y pegue los siguientes comandos en la ventana del conmutador de tránsito:

  • Copie y pegue los siguientes comandos en la ventana del conmutador de destino:

Procedimiento paso a paso

Para configurar la duplicación remota a través de un conmutador de tránsito:

  1. En el conmutador de origen:

    • Configure el ID de VLAN para la remote-analyzer VLAN:

    • Configure las interfaces en el puerto de red conectado al conmutador de tránsito para el modo de acceso y asócielo a la remote-analyzer VLAN:

    • Configure el employee-monitor analizador:

  2. En el conmutador de tránsito:

    • Configure el ID de VLAN para la remote-analyzer VLAN:

    • Configure la interfaz ge-0/0/11 para el modo de acceso, asóciela con la remote-analyzer VLAN:

    • Configure la interfaz ge-0/0/12 para el modo de acceso, asóciela a la remote-analyzer VLAN y establezca la interfaz solo para el tráfico de salida:

  3. En el conmutador de destino:

    • Configure el ID de VLAN para la remote-analyzer VLAN:

    • Configure la interfaz ge-0/0/13 para el modo de acceso, asóciela a la remote-analyzer VLAN y defina la interfaz solo para el tráfico de entrada:

    • Configure la interfaz conectada a la estación de monitoreo remoto para el modo de acceso:

    • Configure el remote-analyzer analizador:

Resultados

Compruebe los resultados de la configuración en el conmutador de origen:

Compruebe los resultados de la configuración en el conmutador de tránsito:

Compruebe los resultados de la configuración en el conmutador de destino:

Verificación

Para confirmar que la configuración funciona correctamente, realice estas tareas:

Verificar que el analizador se creó correctamente

Propósito

Compruebe que el analizador nombrado employee-monitor se ha creado en el conmutador con las interfaces de entrada adecuadas y la interfaz de salida adecuada.

Acción

Puede comprobar que el analizador está configurado como se esperaba mediante el show forwarding-options analyzer comando.

Para comprobar que el analizador está configurado como se esperaba mientras monitorea todo el tráfico de empleados en el conmutador de origen, ejecute el show forwarding-options analyzer comando en el conmutador de origen. Se muestra el siguiente resultado para esta configuración de ejemplo:

Significado

Este resultado muestra que el employee-monitor analizador tiene una relación de duplicación de 1 (duplicación de cada paquete, el valor predeterminado), el estado de la configuración es up, que indica el estado adecuado y que el analizador está programado, que refleja el tráfico que ingresa ge-0/0/0 y ge-0/0/1, y envía el tráfico reflejado al analizador llamado remote-analyzer. Si el estado de la interfaz de salida está down o si la interfaz de salida no está configurada, el valor de estado estará inactivo y el analizador no podrá reflejar el tráfico.

Ejemplo: Configuración de la duplicación para la supervisión local del uso de recursos de los empleados en conmutadores EX4300

Nota:

En este ejemplo, se usa Junos OS para conmutadores de la serie EX compatibles con el estilo de configuración Enhanced Layer 2 Software (ELS). Si el conmutador ejecuta software que no admite ELS, consulte ejemplo: Configuración de la duplicación de puertos para la supervisión local del uso de recursos de los empleados en conmutadores de la serie EX. Para obtener detalles de ELS, consulte Introducción al software de capa 2 mejorado.

Los conmutadores EX4300 le permiten configurar la duplicación para enviar copias de paquetes a una interfaz local para la supervisión local o a una VLAN para la supervisión remota. Puede usar la duplicación para copiar estos paquetes:

  • Paquetes que entran o salen de un puerto

  • Paquetes que ingresan a una VLAN

Puede analizar el tráfico reflejado mediante el uso de un analizador de protocolo instalado en un sistema conectado a la interfaz de destino local o una estación de monitoreo remota si envía tráfico reflejado a una VLAN del analizador.

En este ejemplo, se describe cómo configurar la duplicación local en un conmutador EX4300. En este ejemplo, se describe cómo configurar el conmutador para que refleje el tráfico que introduce interfaces conectadas a los equipos de los empleados a una interfaz de salida del analizador en el mismo conmutador.

Requisitos

En este ejemplo, se utilizan los siguientes componentes de hardware y software:

  • Un conmutador EX4300

  • Junos OS versión 13.2X50-D10 o posterior para conmutadores de la serie EX

Descripción general y topología

En este tema, se incluyen dos ejemplos en los que se describe cómo reflejar el tráfico que entra en los puertos del conmutador a una interfaz de destino en el mismo conmutador (duplicación local). El primer ejemplo muestra cómo reflejar todo el tráfico que entra en los puertos conectados a las computadoras de los empleados. En el segundo ejemplo, se muestra el mismo escenario, pero incluye un filtro para reflejar solo el tráfico de empleados que va a la Web.

Las interfaces ge-0/0/0 y ge-0/0/1 sirven como conexiones para las computadoras de los empleados. La interfaz ge0/0/10 está reservada para el análisis del tráfico reflejado. Conecte un equipo que ejecuta una aplicación de analizador de protocolo a la interfaz de salida del analizador para analizar el tráfico reflejado.

Nota:

Varios puertos reflejados en una interfaz pueden causar un desbordamiento del búfer y paquetes caídos.

Ambos ejemplos utilizan la topología de red que se muestra en Figura 5.

Figura 5: Ejemplo de topología de red para replicación localEjemplo de topología de red para replicación local

Replicación de todo el tráfico de empleados para el análisis local

Para configurar la duplicación de todo el tráfico de empleados para el análisis local, realice las siguientes tareas:

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente la duplicación local para el tráfico de entrada a los dos puertos conectados a los equipos de los empleados, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:

Procedimiento paso a paso

Para configurar un analizador llamado employee-monitor y especificar las interfaces de entrada (fuente) y la interfaz de salida del analizador:

  1. Configure cada interfaz conectada a las computadoras de los empleados como una interfaz de entrada para el analizador employee-monitor:

  2. Configure la interfaz de salida del analizador como parte de una VLAN:

  3. Configure la interfaz del analizador de salida para el analizador employee-monitor. Esta será la interfaz de destino para los paquetes reflejados:

Resultados

Compruebe los resultados de la configuración:

Replicación del tráfico del empleado a la web para el análisis local

Para configurar la duplicación para el tráfico web del empleado, realice estas tareas:

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente la duplicación local del tráfico desde los dos puertos conectados a los equipos de los empleados, filtrado de modo que solo se refleje el tráfico al Web externo, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:

Procedimiento paso a paso

Para configurar la duplicación local del tráfico web del empleado en el tráfico web desde los dos puertos conectados a los equipos de los empleados:

  1. Configure la interfaz del analizador local:

  2. Configure la employee-web-monitor instancia de salida (la entrada a la instancia proviene de la acción del filtro):

  3. Configure un filtro de firewall llamado watch-employee para enviar copias duplicadas de las solicitudes de los empleados a la Web a la employee-web-monitor instancia. Aceptar todo el tráfico hacia y desde la subred corporativa (dirección de destino o origen de 192.0.2.16/24). Envíe copias duplicadas de todos los paquetes destinados a Internet (puerto de destino 80) a la employee-web-monitor instancia.

  4. Aplique el watch-employee filtro a los puertos adecuados:

Resultados

Compruebe los resultados de la configuración:

Verificación

Para confirmar que la configuración es correcta, realice estas tareas:

Verificar que el analizador se creó correctamente

Propósito

Compruebe que el analizador employee-monitor o employee-web-monitor se ha creado en el conmutador con las interfaces de entrada adecuadas y la interfaz de salida adecuada.

Acción

Puede usar el show forwarding-options analyzer comando para comprobar que el analizador está configurado correctamente.

Significado

Este resultado muestra que el analizador employee-monitor tiene una relación de 1 (duplicando cada paquete, la configuración predeterminada), el tamaño máximo del paquete original que se ha reflejado (0 indica el paquete completo), el estado de la configuración (activo indica que el analizador está reflejando el tráfico que ingresa en las interfaces ge-0/0/0 y ge-0/1, y envía el tráfico reflejado a la interfaz ge-0/0/10). Si el estado de la interfaz de salida está inactivo o si la interfaz de salida no está configurada, el valor del estado será down y el analizador no se programará para la duplicación.

Verificar que la instancia de duplicación de puerto esté configurada correctamente

Propósito

Compruebe que la instancia employee-web-monitor de duplicación de puerto se ha configurado correctamente en el conmutador con las interfaces de entrada adecuadas.

Acción

Puede comprobar que la instancia de duplicación de puerto está configurada correctamente mediante el show forwarding-options port-mirroring comando.

Significado

Este resultado muestra que la employee-web-monitor instancia tiene una relación de 1 (duplicando cada paquete, el valor predeterminado), el tamaño máximo del paquete original que se espeló (0 indica un paquete completo), el estado de la configuración está activo y la duplicación de puertos está programado, y que el tráfico reflejado desde la acción de filtro de firewall se envía en la interfaz ge-0/0/10.0. Si el estado de la interfaz de salida está inactivo o si la interfaz no está configurada, el valor del estado estará caído y no se programará la duplicación de puertos para la duplicación.

Ejemplo: Configuración de la duplicación para la supervisión remota del uso de recursos de los empleados en conmutadores EX4300

Nota:

En este ejemplo, se usa Junos OS para conmutadores de la serie EX compatibles con el estilo de configuración Enhanced Layer 2 Software (ELS). Si el conmutador ejecuta software que no admite ELS, consulte ejemplo: Configuración de la duplicación para la supervisión remota del uso de recursos de los empleados en conmutadores EX4300. Para obtener más información sobre ELS, consulte: Introducción al software de capa 2 mejorado.

Los conmutadores EX4300 le permiten configurar la duplicación para enviar copias de paquetes a una interfaz local para la supervisión local o a una VLAN para la supervisión remota. Puede usar la duplicación para copiar estos paquetes:

  • Paquetes que entran o salen de un puerto

  • Paquetes que ingresan a una VLAN en conmutadores EX4300

Puede analizar el tráfico reflejado mediante una aplicación de analizador de protocolo que se ejecuta en una estación de monitoreo remota si envía tráfico reflejado a una VLAN de analizador.

En este tema, se incluyen dos ejemplos relacionados que describen cómo reflejar el tráfico que entra en los puertos del conmutador a la remote-analyzer VLAN para que pueda realizar análisis desde una estación de supervisión remota. El primer ejemplo muestra cómo reflejar todo el tráfico que entra en los puertos conectados a las computadoras de los empleados. En el segundo ejemplo, se muestra la misma situación, pero incluye un filtro para reflejar solo el tráfico de empleados que va a la Web.

prácticas recomendadas:

Refleje solo los paquetes necesarios para reducir el potencial impacto en el rendimiento. Recomendamos que:

  • Desactive las sesiones de duplicación configuradas cuando no las esté utilizando.

  • Especifique interfaces individuales como entrada a los analizadores en lugar de especificar todas las interfaces como entrada.

  • Limite la cantidad de tráfico reflejado mediante filtros de firewall.

En este ejemplo, se describe cómo configurar la duplicación remota:

Requisitos

En este ejemplo, se utilizan los siguientes componentes de hardware y software:

  • Junos OS versión 13.2X50-D10 o posterior para conmutadores de la serie EX

  • Un conmutador EX4300 conectado a otro conmutador EX4300

El diagrama muestra un Virtual Chassis EX4300 conectado a un conmutador de destino EX4300.

Antes de configurar la duplicación remota, asegúrese de que:

  • Tienes una comprensión de los conceptos de duplicación.

  • Las interfaces que el analizador utilizará como interfaces de entrada se configuraron en el conmutador.

Descripción general y topología

En este tema, se incluyen dos ejemplos relacionados que describen cómo configurar la duplicación en la remote-analyzer VLAN para que el análisis se pueda realizar desde una estación de supervisión remota. En el primer ejemplo, se muestra cómo configurar un conmutador para reflejar todo el tráfico de los equipos de los empleados. En el segundo ejemplo, se muestra la misma situación, pero la configuración incluye un filtro para reflejar solo el tráfico de empleados que va a la Web.

Figura 6 muestra la topología de red para ambos escenarios de ejemplo.

Topología

Figura 6: Ejemplo de topología de red de replicación remotaEjemplo de topología de red de replicación remota

En este ejemplo:

  1. La interfaz ge-0/0/0 es una interfaz de capa 2, y la interfaz ge-0/0/1 es una interfaz de capa 3 (ambas interfaces en el conmutador de origen) que sirven como conexiones para las computadoras de los empleados.

  2. La interfaz ge-0/0/10 es una interfaz de capa 2 que conecta el conmutador de origen al conmutador de destino.

  3. La interfaz ge-0/0/5 es una interfaz de capa 2 que conecta el conmutador de destino a la estación de monitoreo remoto.

  4. La VLAN remote-analyzer se configura en todos los conmutadores de la topología para transportar el tráfico reflejado.

Replicación de todo el tráfico de empleados para análisis remotos

Para configurar un analizador para el análisis de tráfico remoto para todo el tráfico de empleados entrante y saliente, realice estas tareas:

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente un analizador para el análisis de tráfico remoto para el tráfico de empleados entrante y saliente, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:

  • Copie y pegue los siguientes comandos en la ventana terminal del conmutador de origen:

  • Copie y pegue los siguientes comandos en la ventana terminal del conmutador de destino:

Procedimiento paso a paso

Para configurar la duplicación básica de puertos remotos:

  1. En el conmutador de origen:

    • Configure el ID de VLAN para la remote-analyzer VLAN:

    • Configure la interfaz en el puerto de red conectado al conmutador de destino para el modo de troncalización y asóciela a la remote-analyzer VLAN:

    • Configure el employee-monitor analizador:

  2. En el conmutador de destino:

    • Configure el ID de VLAN para la remote-analyzer VLAN:

    • Configure la interfaz en el conmutador de destino para el modo de troncalización y asociela a la remote-analyzer VLAN:

    • Configure la interfaz conectada al conmutador de destino para el modo de troncalización:

    • Configure el employee-monitor analizador:

Resultados

Compruebe los resultados de la configuración en el conmutador de origen:

Compruebe los resultados de la configuración en el conmutador de destino:

Replicación del tráfico del empleado a la web para el análisis remoto

Para configurar la duplicación de puertos para el análisis de tráfico remoto del tráfico del empleado a la web, realice las siguientes tareas:

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente la duplicación de puertos para reflejar el tráfico de los empleados en el Web externo, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:

  • Copie y pegue los siguientes comandos en la ventana terminal del conmutador de origen:

  • Copie y pegue los siguientes comandos en la ventana terminal del conmutador de destino:

Procedimiento paso a paso

Para configurar la duplicación de puertos de todo el tráfico desde los dos puertos conectados a los equipos de los empleados a la remote-analyzer VLAN para su uso desde una estación de monitoreo remoto:

  1. En el conmutador de origen:

    • Configure la instancia de employee-web-monitor duplicación de puerto:

    • Configure el ID de VLAN para la remote-analyzer VLAN:

    • Configure la interfaz para asociarla con la remote-analyzer VLAN:

    • Configure el filtro de firewall llamado watch-employee:

    • Aplique el filtro de firewall a las interfaces de los empleados:

  2. En el conmutador de destino:

    • Configure el ID de VLAN para la remote-analyzer VLAN:

    • Configure la interfaz en el conmutador de destino para el modo de troncalización y asociela a la remote-analyzer VLAN:

    • Configure la interfaz conectada al conmutador de destino para el modo de troncalización:

    • Configure el employee-monitor analizador:

Resultados

Compruebe los resultados de la configuración en el conmutador de origen:

Compruebe los resultados de la configuración en el conmutador de destino:

Verificación

Para confirmar que la configuración funciona correctamente, realice estas tareas:

Verificar que el analizador se creó correctamente

Propósito

Compruebe que el analizador nombrado employee-monitor o employee-web-monitor se ha creado en el conmutador con las interfaces de entrada adecuadas y la interfaz de salida adecuadas.

Acción

Puede comprobar que el analizador está configurado como se esperaba mediante el show forwarding-options analyzer comando. Para ver los analizadores creados anteriormente que están deshabilitados, vaya a la interfaz J-Web.

Para comprobar que el analizador está configurado como se esperaba mientras monitorea todo el tráfico de empleados en el conmutador de origen, ejecute el show analyzer comando en el conmutador de origen. El siguiente resultado se muestra para este ejemplo de configuración:

Significado

Este resultado muestra que la employee-monitor instancia tiene una relación de 1 (reflejando cada paquete, el valor predeterminado), el tamaño máximo del paquete original que se ha reflejado (0 indica el paquete completo), el estado de la configuración está activo (lo que indica el estado adecuado y que el analizador está programado, y está reflejando el tráfico que ingresa ge-0/0/0 y ge-0/0/1 y envía el tráfico reflejado a la VLAN denominada ).remote-analyzer Si el estado de la interfaz de salida está inactivo o si la interfaz de salida no está configurada, el valor de estado estará inactivo y el analizador no se programará para la duplicación.

Ejemplo: Configuración de la duplicación para la supervisión remota del uso de recursos de los empleados a través de un conmutador de tránsito en conmutadores EX4300

Nota:

En este ejemplo, se usa Junos OS para conmutadores de la serie EX compatibles con el estilo de configuración Enhanced Layer 2 Software (ELS).

Los conmutadores EX4300 le permiten configurar la duplicación para enviar copias de paquetes a una interfaz local para la supervisión local o a una VLAN para la supervisión remota. Puede usar la duplicación para copiar estos paquetes:

  • Paquetes que entran o salen de un puerto

  • Paquetes que ingresan a una VLAN en conmutadores EX4300

Puede analizar el tráfico reflejado mediante una aplicación de analizador de protocolo que se ejecuta en una estación de monitoreo remota si envía tráfico reflejado a una VLAN de analizador.

En este tema se incluye un ejemplo en el que se describe cómo reflejar el tráfico que entra en los puertos del conmutador a la remote-analyzer VLAN a través de un conmutador de tránsito para que pueda realizar análisis desde una estación de supervisión remota.

prácticas recomendadas:

Refleje solo los paquetes necesarios para reducir el potencial impacto en el rendimiento. Recomendamos que:

  • Desactive las sesiones de duplicación configuradas cuando no las esté utilizando.

  • Especifique interfaces individuales como entrada a los analizadores en lugar de especificar todas las interfaces como entrada.

  • Limite la cantidad de tráfico reflejado mediante filtros de firewall.

En este ejemplo se describe cómo configurar la duplicación remota a través de un conmutador de tránsito:

Requisitos

En este ejemplo, se utilizan los siguientes componentes de hardware y software:

  • Un conmutador EX4300 conectado a otro conmutador EX4300 a través de un tercer conmutador EX4300

  • Junos OS versión 13.2X50-D10 o posterior para conmutadores de la serie EX

Antes de configurar la duplicación remota, asegúrese de que:

  • Tienes una comprensión de los conceptos de duplicación.

  • Las interfaces que el analizador utilizará como interfaces de entrada se configuraron en el conmutador.

Descripción general y topología

En este ejemplo, se describe cómo reflejar el tráfico que entra en los puertos del conmutador a la remote-analyzer VLAN a través de un conmutador de tránsito para que pueda realizar análisis desde una estación de supervisión remota. En el ejemplo, se muestra cómo configurar un conmutador para reflejar todo el tráfico desde los equipos de los empleados hasta un analizador remoto.

En esta configuración, se requiere una sesión de analizador en el conmutador de destino para reflejar el tráfico entrante desde la VLAN del analizador hasta la interfaz de salida a la que está conectada la estación de supervisión remota. Debe deshabilitar el aprendizaje de MAC en el conmutador de tránsito de la VLAN para que el remote-analyzer aprendizaje de MAC esté deshabilitado para todas las interfaces miembro de la remote-analyzer VLAN en el conmutador de tránsito.

Figura 7 muestra la topología de red para este ejemplo.

Topología

Figura 7: Replicación remota a través de una topología de muestra de red de conmutadores de tránsitoReplicación remota a través de una topología de muestra de red de conmutadores de tránsito

En este ejemplo:

  • La interfaz ge-0/0/0 es una interfaz de capa 2, y la interfaz ge-0/0/1 es una interfaz de capa 3 (ambas interfaces en el conmutador de origen) que sirven como conexiones para las computadoras de los empleados.

  • La interfaz ge-0/0/10 es una interfaz de capa 2 que se conecta al conmutador de tránsito.

  • La interfaz ge-0/0/11 es una interfaz de capa 2 en el conmutador de tránsito.

  • La interfaz ge-0/0/12 es una interfaz de capa 2 en el conmutador de tránsito y se conecta al conmutador de destino.

  • La interfaz ge-0/0/13 es una interfaz de capa 2 en el conmutador de destino.

  • La interfaz ge-0/0/14 es una interfaz de capa 2 en el conmutador de destino y se conecta a la estación de monitoreo remoto.

  • La VLAN remote-analyzer se configura en todos los conmutadores de la topología para transportar el tráfico reflejado.

Replicación de todo el tráfico de empleados para análisis remotos a través de un conmutador de tránsito

Para configurar la duplicación para el análisis de tráfico remoto a través de un conmutador de tránsito, realice estas tareas para todo el tráfico de empleados entrantes y salientes:

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente la duplicación para el análisis de tráfico remoto a través de un conmutador de tránsito, para el tráfico de empleados entrante y saliente, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:

  • Copie y pegue los siguientes comandos en la ventana terminal del conmutador de origen (conmutador supervisado):

  • Copie y pegue los siguientes comandos en la ventana del conmutador de tránsito:

  • Copie y pegue los siguientes comandos en la ventana del conmutador de destino:

Procedimiento paso a paso

Para configurar la duplicación remota a través de un conmutador de tránsito:

  1. En el conmutador de origen:

    • Configure el ID de VLAN para la remote-analyzer VLAN:

    • Configure las interfaces en el puerto de red conectado al conmutador de tránsito para el modo de troncalización y asócielo a la remote-analyzer VLAN:

    • Configure el employee-monitor analizador:

  2. En el conmutador de tránsito:

    • Configure el ID de VLAN para la remote-analyzer VLAN:

    • Configure la interfaz ge-0/0/11 para el modo de troncalización, asóciela con la remote-analyzer VLAN:

    • Configure la interfaz para el ge-0/0/12 modo de troncalización, asóciela con la remote-analyzer VLAN y establezca la interfaz solo para el tráfico de salida:

    • Configure la no-mac-learning opción para que la remote-analyzer VLAN deshabilite el aprendizaje de MAC en todas las interfaces que son miembros de la remote-analyzer VLAN:

  3. En el conmutador de destino:

    • Configure el ID de VLAN para la remote-analyzer VLAN:

    • Configure la interfaz ge-0/0/13 para el modo de troncalización, asóciela a la remote-analyzer VLAN y establezca la interfaz solo para el tráfico de entrada:

    • Configure la interfaz conectada a la estación de monitoreo remoto para el modo de troncalización:

    • Configure el employee-monitor analizador:

Resultados

Compruebe los resultados de la configuración en el conmutador de origen:

Compruebe los resultados de la configuración en el conmutador de tránsito:

Compruebe los resultados de la configuración en el conmutador de destino:

Verificación

Para confirmar que la configuración funciona correctamente, realice estas tareas:

Verificar que el analizador se creó correctamente

Propósito

Compruebe que el analizador nombrado employee-monitor se ha creado en el conmutador con las interfaces de entrada adecuadas y la interfaz de salida adecuada.

Acción

Puede comprobar si el analizador está configurado como se esperaba mediante el show analyzer comando. Para ver los analizadores creados anteriormente que están deshabilitados, vaya a la interfaz J-Web.

Para comprobar que el analizador está configurado como se esperaba mientras monitorea todo el tráfico de empleados en el conmutador de origen, ejecute el show analyzer comando en el conmutador de origen. Se muestra el siguiente resultado para esta configuración de ejemplo:

Significado

Esta salida muestra que el employee-monitor analizador tiene una proporción de 1 (reflejando cada paquete, el valor predeterminado), está reflejando el tráfico que ingresa ge-0/0/0 y ge-0/0/1, y envía el tráfico reflejado al analizador remote-analyzer.