Configurar analizadores y duplicación de puertos
Descripción de los analizadores de duplicación de puertos
La duplicación de puertos se puede utilizar para el análisis de tráfico en enrutadores y conmutadores que, a diferencia de los concentradores, no transmiten paquetes a todos los puertos del dispositivo de destino. La duplicación de puertos envía copias de todos los paquetes o paquetes de muestra basados en políticas a analizadores locales o remotos, donde puede supervisar y analizar los datos.
En el contexto de los analizadores de duplicación de puertos, usamos el término dispositivo de conmutación. El término indica que el dispositivo (incluidos los enrutadores) está realizando una función de conmutación.
Puede usar analizadores a nivel de paquete para ayudarlo a:
Supervisión del tráfico de red
Aplicar políticas de uso de red
Aplicar políticas de uso compartido de archivos
Identificar las causas de los problemas
Identificar estaciones o aplicaciones con un uso de ancho de banda pesado o anormal
Puede configurar la duplicación de puertos para que se refleje:
Paquetes de puente (paquetes de capa 2)
Paquetes enrutados (paquetes de capa 3)
Los paquetes reflejados se pueden copiar a una interfaz local para la supervisión local o a una VLAN o dominio de puente para la supervisión remota.
Se pueden copiar los siguientes paquetes:
Packets entering or exiting a port— Puede reflejar paquetes que entran o salen de puertos, en cualquier combinación, para hasta 256 puertos. Por ejemplo, puede enviar copias de los paquetes que entran en algunos puertos y los paquetes que salen de otros puertos al mismo puerto local de analizador o VLAN de analizador.
Packets entering or exiting a VLAN or bridge domain— Puede reflejar los paquetes que entran o salen de una VLAN o dominio de puente a un puerto de analizador local o a una VLAN o dominio de puente del analizador. Puede configurar varias VLAN (hasta 256 VLAN) o puentear dominios como entradas de entrada a un analizador, incluyendo un rango de VLAN y VLAN privadas (PVLAN).
Policy-based sample packets: puede reflejar una muestra basada en políticas de paquetes que ingresan en un puerto, VLAN o dominio de puente. Configure un filtro de firewall con una política para seleccionar los paquetes que se van a reflejar. Puede enviar el ejemplo a una instancia de duplicación de puerto o a un dominio de VLAN o de puente del analizador.
- Descripción general del analizador
- Descripción general del analizador estadístico
- Descripción general del analizador predeterminado
- Duplicación de puertos en un grupo de puertos vinculados a varios analizadores estadísticos
- Terminología del analizador de duplicación de puertos
- Pautas de configuración para analizadores de duplicación de puertos
Descripción general del analizador
Puede configurar un analizador para definir tanto el tráfico de entrada como el de salida en la misma configuración del analizador. El tráfico de entrada que se va a analizar puede ser tráfico que entra o tráfico que sale de una interfaz o VLAN. La configuración del analizador le permite enviar este tráfico a una interfaz de salida, instancia, grupo de salto siguiente, VLAN o dominio de puente. Puede configurar un analizador en el [edit forwarding-options analyzer] nivel jerárquico.
Descripción general del analizador estadístico
Puede definir un conjunto de propiedades de duplicación, como la velocidad de duplicación y la longitud máxima del paquete para el tráfico, que puede enlazar explícitamente a puertos físicos en el enrutador o conmutador. Este conjunto de propiedades de duplicación constituye un analizador estadístico (también llamado analizador no predeterminado). En este nivel, puede enlazar una instancia con nombre a los puertos físicos asociados con una FPC específica.
Descripción general del analizador predeterminado
Puede configurar un analizador sin configurar ninguna propiedad de duplicación (como la velocidad de duplicación o la longitud máxima del paquete). De forma predeterminada, la velocidad de duplicación se establece en 1 y la longitud máxima del paquete se establece en la longitud completa del paquete. Estas propiedades se aplican a nivel global y no es necesario vincularse a una FPC específica.
Duplicación de puertos en un grupo de puertos vinculados a varios analizadores estadísticos
Puede aplicar hasta dos analizadores estadísticos a los mismos grupos de puertos en el dispositivo de conmutación. Mediante la aplicación de dos instancias diferentes de analizador estadístico al mismo FPC o al motor de reenvío de paquetes, puede enlazar dos especificaciones de duplicación de capa 2 distintas a un único grupo de puertos. Las propiedades de duplicación enlazadas a una FPC invalidan cualquier propiedad de analizador (analizador predeterminado) vinculada a nivel global en el dispositivo de conmutación. Las propiedades predeterminadas del analizador se anulan mediante la unión de una segunda instancia del analizador en el mismo grupo de puertos.
Terminología del analizador de duplicación de puertos
Tabla 1 enumera algunos términos del analizador de duplicación de puertos y sus descripciones.
| Término | Description |
|---|---|
Analizador |
En una configuración de duplicación, el analizador incluye:
|
Interfaz de salida del analizador (También conocido como puerto de monitoreo) |
Interfaz en la que se envía tráfico reflejado y se conecta un analizador de protocolos. Las interfaces utilizadas como salida a un analizador deben configurarse en el Las interfaces de salida del analizador tienen las siguientes limitaciones:
|
VLAN del analizador o dominio de puente (También conocido como VLAN de monitoreo o dominio de puente) |
VLAN o dominio de puente a donde se envía tráfico reflejado para que lo use un analizador de protocolos. Las interfaces de miembro de la VLAN de monitoreo o del dominio de puente se extienden por los dispositivos de conmutación de su red. |
Analizador basado en dominios de puente |
Una sesión de analizador configurada para usar dominios de puente para entrada, salida o ambos. |
Analizador predeterminado |
Un analizador con parámetros de duplicación predeterminados. De forma predeterminada, la velocidad de duplicación es 1 y la longitud máxima del paquete es la longitud del paquete completo. |
Interfaz de entrada (También conocidos como puertos espejo o interfaces monitoreadas) |
Una interfaz en el dispositivo de conmutación en la que se refleja el tráfico que entra o sale de esta interfaz. |
Analizador basado en LAG |
Un analizador que tiene un grupo de agregación de vínculos (LAG) especificado como la interfaz de entrada (entrada) en la configuración del analizador. |
Creación de reflejos locales |
Una configuración de analizador en la que los paquetes se reflejan en un puerto de analizador local. |
Estación de monitoreo |
Un equipo que ejecuta un analizador de protocolos. |
Analizador basado en el grupo del próximo salto |
Una configuración de analizador que usa el grupo del siguiente salto como salida a un analizador. |
Analizador basado en puertos |
Una configuración de analizador que define las interfaces para la entrada y la salida. |
Aplicación de analizador de protocolos |
Una aplicación que se utiliza para examinar los paquetes transmitidos a través de un segmento de red. También se llama comúnmente analizador de red, rastreador de paquetes o sonda. |
Creación de reflejos remotos |
Funciona de la misma manera que la duplicación local, con la excepción de que el tráfico reflejado no se copia en un puerto de analizador local, sino que se inunda en una VLAN o dominio de puente del analizador que se crea específicamente con el propósito de recibir tráfico reflejado. Los paquetes reflejados tienen una etiqueta externa adicional de la VLAN del analizador o del dominio de puente. |
Analizador estadístico (También conocido como analizador no predeterminado) |
Un conjunto de propiedades de duplicación que puede enlazar explícitamente a los puertos físicos del conmutador. Este conjunto de propiedades del analizador se conoce como analizador estadístico. |
Analizador basado en VLAN |
Una configuración de analizador que usa redes VLAN para entregar el tráfico reflejado al analizador. |
Pautas de configuración para analizadores de duplicación de puertos
Cuando configure analizadores de duplicación de puertos. recomendamos que siga estas pautas para garantizar un beneficio óptimo. Recomendamos que desactive la duplicación cuando no la esté utilizando y que seleccione interfaces específicas como entrada al analizador en lugar de usar la all opción de palabra clave, que permite la duplicación en todas las interfaces. Duplicar solo los paquetes necesarios reduce cualquier impacto potencial en el rendimiento.
También puede limitar la cantidad de tráfico reflejado de la siguiente manera:
Uso de muestras estadísticas
Uso de un filtro de firewall
Establecer una proporción para seleccionar una muestra estadística
Con la duplicación local, el tráfico desde varios puertos se replica a la interfaz de salida del analizador. Si la interfaz de salida de un analizador alcanza la capacidad, los paquetes se pierden. Debe considerar si el tráfico que se replica supera la capacidad de la interfaz de salida del analizador.
Tabla 2 resume las pautas de configuración adicionales para los analizadores.
Pauta |
Información de valor o soporte |
Comentario |
|---|---|---|
Número de analizadores que puede habilitar al mismo tiempo. |
64 analizadores predeterminados 2 por FPC– Analizador estadístico |
Los analizadores estadísticos deben estar enlazados a una FPC para reflejar el tráfico en puertos que pertenecen a esa FPC. Nota:
Las propiedades predeterminadas del analizador se vinculan implícitamente en la última (o segunda a última) instancia de todas las FPC del sistema. Por lo tanto, cuando se enlaza explícitamente un segundo analizador estadístico en la FPC, se anulan las propiedades predeterminadas del analizador. |
Número de interfaces, VLAN o dominios de puente que puede usar como entrada de entrada a un analizador. |
256 |
– |
Tipos de puertos en los que no puede reflejar el tráfico. |
|
|
Familias de protocolos que puede incluir en un analizador. |
|
Los analizadores reflejan solo tráfico de puente. Para reflejar el tráfico enrutado, utilice la configuración de duplicación de puerto con |
Los paquetes con errores de capa física no se envían al analizador local o remoto. |
Aplicable |
Los paquetes con estos errores se filtran y, por lo tanto, no se envían al analizador. |
El analizador no admite tráfico de velocidad de línea. |
Aplicable |
La duplicación del tráfico de velocidad de línea se realiza sobre la base del mejor esfuerzo. |
Salida del analizador en una interfaz LAG. |
Apoyado |
|
Modo de interfaz de salida del analizador como modo de troncalización. |
Apoyado |
|
Duplicación de salida de paquetes de control generados por host. |
No compatible |
|
Configuración de interfaces lógicas de capa 3 en la |
No compatible |
|
Se deben evitar las estrofas de entrada y salida del analizador que contienen miembros de la misma VLAN o de la misma VLAN. |
Aplicable |
|
Soporte para VLAN y sus interfaces de miembro en diferentes sesiones de analizador |
No compatible |
Si se configura la duplicación, cualquiera de los analizadores está activo. |
Duplicación de salida de las interfaces de Ethernet (ae) agregadas y sus interfaces lógicas secundarias configuradas para diferentes analizadores. |
No compatible |
|
Configuración de la duplicación en conmutadores EX9200 para analizar el tráfico (procedimiento de CLI)
Los conmutadores EX9200 le permiten configurar la duplicación para enviar copias de paquetes a una interfaz local para la supervisión local o a una VLAN para la supervisión remota. Puede usar la duplicación para copiar los siguientes paquetes:
Paquetes que entran o salen de un puerto
Paquetes que ingresan o salen de una VLAN
Refleje solo los paquetes necesarios para reducir el potencial impacto en el rendimiento. Recomendamos que:
Desactive los analizadores que haya configurado cuando no los esté utilizando.
Especifique interfaces individuales como entrada a los analizadores en lugar de especificar todas las interfaces como entrada.
Limite la cantidad de tráfico reflejado de la siguiente manera:
Uso de muestras estadísticas.
Establecer ratios para seleccionar muestras estadísticas.
Uso de filtros de firewall.
Si desea crear analizadores adicionales sin eliminar los analizadores existentes, desactive los analizadores existentes mediante el uso de la instrucción desde la disable analyzer analyzer-name interfaz de línea de comandos (CLI) o desde la página de configuración J-Web para reflejar.
Las interfaces utilizadas como salida a un analizador deben configurarse en , ethernet-switching familyy deben asociarse a una VLAN.
- Configuración de un analizador para análisis de tráfico local
- Configuración de un analizador para el análisis de tráfico remoto
- Configuración de un analizador estadístico para el análisis de tráfico local
- Configuración de un analizador estadístico para el análisis de tráfico remoto
- Enlazar analizadores estadísticos a puertos agrupados a nivel de FPC
- Configurar un analizador con varios destinos mediante el uso de grupos de siguiente salto
- Definición de un grupo de siguiente salto para la duplicación de capa 2
Configuración de un analizador para análisis de tráfico local
Para reflejar el tráfico de red o el tráfico de VLAN en el conmutador a una interfaz en el conmutador mediante el uso de analizadores:
Configuración de un analizador para el análisis de tráfico remoto
Para reflejar el tráfico que atraviesa interfaces o una VLAN en el conmutador a una VLAN utilizada para el análisis desde una ubicación remota:
Configuración de un analizador estadístico para el análisis de tráfico local
Para duplicar el tráfico de interfaz o el tráfico de VLAN en el conmutador a una interfaz en el conmutador mediante un analizador estadístico:
Configuración de un analizador estadístico para el análisis de tráfico remoto
Para reflejar el tráfico que atraviesa interfaces o una VLAN en el conmutador a una VLAN para el análisis desde una ubicación remota mediante un analizador estadístico:
Enlazar analizadores estadísticos a puertos agrupados a nivel de FPC
Puede enlazar un analizador estadístico a una FPC específica en el conmutador, es decir, puede enlazar la instancia del analizador estadístico en el nivel de FPC del conmutador. Las propiedades de duplicación especificadas en el analizador estadístico se aplican a todos los puertos físicos asociados con todos los motores de reenvío de paquetes en la FPC especificada.
Para enlazar una instancia con nombre del analizador de capa 2 a una FPC:
Habilite la configuración de las propiedades del chasis del conmutador:
[edit] user@switch# edit chassis
Habilite la configuración de una FPC (y sus PIC instaladas):
[edit chassis] user@switch# edit fpc slot-number
Enlazar una instancia de analizador estadístico a la FPC:
[edit chassis fpc slot-number] user@switch# set port-mirror-instance stats_analyzer-1
(Opcional) Para enlazar una segunda instancia de analizador estadístico de duplicación de capa 2 a la misma FPC, repita el paso 3 y especifique un nombre diferente de analizador estadístico:
[edit chassis fpc slot-number] user@switch# set port-mirror-instance stats_analyzer-2
Compruebe la configuración mínima del enlace:
[edit chassis fpc slot-number port-mirror-instance analyzer_name] user@switch# top [edit] user@switch# show chassis chassis { fpc slot-number { # Bind two statistical analyzers or port mirroring named instances at the FPC level. port-mirror-instance stats_analyzer-1; port-mirror-instance stats_analyzer-2; } }
Al enlazar una segunda instancia (stats_analyzer-2 en este ejemplo), las propiedades de duplicación de esta sesión, si están configuradas, invalidan cualquier analizador predeterminado.
Configurar un analizador con varios destinos mediante el uso de grupos de siguiente salto
Puede duplicar el tráfico a varios destinos mediante la configuración de grupos de próximo salto como salida del analizador. La duplicación de paquetes a varios destinos también se conoce como duplicación de puerto multipacket.
Para reflejar el tráfico de interfaz o el tráfico de VLAN en el conmutador a una interfaz en el conmutador (mediante el uso de analizadores):
Definición de un grupo de siguiente salto para la duplicación de capa 2
La configuración del grupo del siguiente salto en el [edit forwarding-options] nivel de configuración le permite definir un nombre de grupo de salto siguiente, el tipo de direcciones que se usarán en el grupo de siguiente salto y las interfaces lógicas que forman los múltiples destinos a los que se puede reflejar el tráfico. De forma predeterminada, el grupo del siguiente salto se especifica mediante el uso de direcciones de capa 3 mediante la [edit forwarding-options next-hop-group next-hop-group-name group-type inet] instrucción. Para especificar un grupo de siguiente salto con direcciones de capa 2 en su lugar, incluya la [edit forwarding-options next-hop-group next-hop-group-name group-type layer-2] instrucción.
Para definir un grupo de salto siguiente para la duplicación de capa 2:
Configuración de la duplicación en conmutadores EX4300 para analizar el tráfico (procedimiento de CLI)
Esta tarea usa Junos OS para conmutadores de la serie EX compatibles con el estilo de configuración Enhanced Layer 2 Software (ELS).
Los conmutadores EX4300 le permiten configurar la duplicación para enviar copias de paquetes a una interfaz local para la supervisión local o a una VLAN para la supervisión remota. Puede usar la duplicación para copiar estos paquetes:
Paquetes que entran o salen de un puerto
Paquetes que ingresan a una VLAN
Refleje solo los paquetes necesarios para reducir el potencial impacto en el rendimiento. Recomendamos que:
Desactive las configuraciones de duplicación configuradas cuando no las esté utilizando.
Especifique interfaces individuales como entrada a los analizadores en lugar de especificar todas las interfaces como entrada.
Limite la cantidad de tráfico reflejado mediante filtros de firewall.
Si desea crear analizadores adicionales sin eliminar los analizadores existentes, desactive los analizadores existentes mediante el uso de la disable analyzer analyzer-name instrucción de la interfaz de línea de comandos o de la página de configuración J-Web para reflejar.
Las interfaces utilizadas como salida para un analizador deben configurarse en la ethernet-switching familia.
- Configuración de un analizador para análisis de tráfico local
- Configuración de un analizador para el análisis de tráfico remoto
- Configuración de la duplicación de puertos
Configuración de un analizador para análisis de tráfico local
Para reflejar el tráfico de interfaz o el tráfico de VLAN en el conmutador a una interfaz en el conmutador (mediante el uso de analizadores):
Configuración de un analizador para el análisis de tráfico remoto
Para reflejar el tráfico que atraviesa interfaces o una VLAN en el conmutador a una VLAN para el análisis desde una ubicación remota (mediante el uso de analizadores):
Configuración de la duplicación de puertos
Para filtrar paquetes que se reflejarán en una instancia de duplicación de puerto, cree la instancia y úselo como acción en el filtro de firewall. Puede usar filtros de firewall en configuraciones de duplicación local y remota.
Si se utiliza la misma instancia de duplicación de puerto en varios filtros o términos, los paquetes se copian en el puerto de salida del analizador o en la VLAN del analizador solo una vez.
Para filtrar el tráfico reflejado, cree una instancia de duplicación de puerto en el [edit forwarding-options] nivel de jerarquía y, a continuación, cree un filtro de firewall. El filtro puede usar cualquiera de las condiciones de coincidencia disponibles y debe tener port-mirror-instance instance-name como acción. Esta acción en la configuración del filtro de firewall proporciona la entrada a la instancia de duplicación de puerto.
Para configurar una instancia de duplicación de puerto con filtros de firewall:
Configurar la duplicación de puertos para analizar el tráfico (procedimiento de CLI)
Esta tarea de configuración usa Junos OS para conmutadores de la serie EX que no admiten el estilo de configuración Enhanced Layer 2 Software (ELS).
Los conmutadores de la serie EX le permiten configurar la duplicación de puertos para enviar copias de paquetes a una interfaz local para la supervisión local o a una VLAN para la supervisión remota. Puede usar la duplicación de puertos para copiar estos paquetes:
Paquetes que entran o salen de un puerto
Paquetes que ingresan a una VLAN en conmutadores EX2200, EX3200, EX3300, EX4200, EX4500 o EX6200
Paquetes que salen de una VLAN en conmutadores EX8200
Refleje solo los paquetes necesarios para reducir el potencial impacto en el rendimiento. Recomendamos que:
Desactive sus analizadores de duplicación de puertos configurados cuando no los esté utilizando.
Especifique interfaces individuales como entrada a los analizadores en lugar de especificar todas las interfaces como entrada.
Limite la cantidad de tráfico reflejado de la siguiente manera:
Uso de muestras estadísticas.
Establecer ratios para seleccionar muestras estadísticas.
Uso de filtros de firewall.
Antes de comenzar a configurar la duplicación de puertos, tenga en cuenta las siguientes limitaciones para las interfaces de salida del analizador:
Tampoco puede ser un puerto de origen.
No se puede usar para la conmutación.
No participe en protocolos de capa 2 (como RSTP) cuando forme parte de una configuración de duplicación de puerto.
No conserve las asociaciones de VLAN que tenían antes de configurarse como interfaces de salida del analizador.
Si desea crear analizadores adicionales sin eliminar el analizador existente, primero desactive el analizador existente mediante el disable analyzer analyzer-name comando o la página de configuración J-Web para la duplicación de puertos.
Las interfaces utilizadas como salida para un analizador deben configurarse como familia ethernet-switching.
- Configurar la duplicación de puertos para el análisis de tráfico local
- Configurar la duplicación de puertos para el análisis de tráfico remoto
- Filtrado del tráfico que ingresa a un analizador
Configurar la duplicación de puertos para el análisis de tráfico local
Para reflejar el tráfico de interfaz o el tráfico de VLAN en el conmutador a otra interfaz en el conmutador:
Configurar la duplicación de puertos para el análisis de tráfico remoto
Para reflejar el tráfico que atraviesa interfaces o una VLAN en el conmutador a una VLAN para análisis desde una ubicación remota:
Filtrado del tráfico que ingresa a un analizador
Para filtrar qué paquetes se reflejan en un analizador, cree el analizador y, luego, úselo como acción en el filtro de firewall. Puede usar filtros de firewall en configuraciones de duplicación de puertos locales y remotos.
Si se utiliza el mismo analizador en varios filtros o términos, los paquetes se copian al puerto de salida del analizador o al VLAN del analizador solo una vez.
Para filtrar el tráfico reflejado, cree un analizador y, luego, cree un filtro de firewall. El filtro puede utilizar cualquiera de las condiciones de coincidencia disponibles y debe tener una acción de analyzer. La acción del filtro de firewall proporciona la entrada al analizador.
Para configurar la duplicación de puertos con filtros:
Verificación de entrada y salida para analizadores de duplicación de puertos en conmutadores de la serie EX
Propósito
Esta tarea de verificación usa Junos OS para conmutadores de la serie EX que no admiten el estilo de configuración Enhanced Layer 2 Software (ELS).
Compruebe que se ha creado un analizador en el conmutador y que tiene las interfaces de entrada de espejo adecuadas y la interfaz de salida del analizador adecuada.
Acción
Puede comprobar que el analizador de espejo de puerto está configurado como se esperaba mediante el show analyzer comando.
[edit] user@switch> show analyzer Analyzer name : employee-monitor Output VLAN : remote-analyzer Mirror ratio : 1 Loss priority : High Ingress monitored interfaces : ge-0/0/0.0 Ingress monitored interfaces : ge-0/0/1.0
Puede ver todos los analizadores de espejo de puerto configurados en el conmutador, incluidos los que están deshabilitados, mediante el comando en modo show ethernet-switching-options de configuración.
user@switch# show ethernet-switching-options
inactive: analyzer employee-web-monitor {
loss-priority high;
output {
analyzer employee-monitor {
loss-priority high;
input {
ingress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
}
output {
vlan {
remote-analyzer;
}
}
}
Significado
Este resultado muestra que el analizador monitor empleado tiene una proporción de 1 (duplicando cada paquete, el valor predeterminado), una prioridad de pérdida de high (establezca esta opción en high cada vez que la salida del analizador sea en una VLAN), está reflejando el tráfico que ingresa ge-0/0/0 y ge-0/0/1, y envía el tráfico reflejado al analizador llamado analizador remoto.
Ejemplo: Configuración de analizadores de duplicación de puertos para la supervisión local del uso de recursos de los empleados
Los dispositivos Juniper Networks le permiten configurar la duplicación de puertos para enviar copias de paquetes a una interfaz local para la supervisión local, a una VLAN o a un dominio de puente para la supervisión remota. Puede usar la duplicación para copiar estos paquetes:
Paquetes que entran o salen de un puerto
Paquetes que entran o salen de una VLAN o dominio de puente
A continuación, puede analizar el tráfico reflejado de forma local o remota mediante un analizador de protocolos. Puede instalar un analizador en una interfaz de destino local. Si envía tráfico reflejado a un dominio de puente o VLAN del analizador, puede usar un analizador en una estación de monitoreo remota.
En este tema se describe cómo configurar la duplicación local en un dispositivo de conmutación. En los ejemplos de este tema se describe cómo configurar un dispositivo de conmutación para reflejar el tráfico que introduce interfaces conectadas a los equipos de los empleados a una interfaz de salida del analizador en ese mismo dispositivo.
- Requisitos
- Descripción general y topología
- Replicación de todo el tráfico de empleados para el análisis local
- Verificación
Requisitos
Utilice cualquiera de los siguientes componentes de hardware y software:
Un conmutador EX9200 con la versión 13.2 o posterior de Junos OS
Un enrutador serie MX con la versión 14.1 o posterior de Junos OS
Antes de configurar la duplicación de puertos, asegúrese de comprender los conceptos de duplicación. Para obtener más información acerca de los analizadores, consulte Descripción de analizadores de duplicación de puertos. Para obtener más información acerca de la duplicación de puertos, consulte Descripción de la duplicación de puertos de capa 2.
Descripción general y topología
En este tema se describe cómo reflejar todo el tráfico que entra en los puertos del dispositivo de conmutación a una interfaz de destino en el mismo dispositivo (duplicación local). En este caso, el tráfico entra en puertos conectados a las computadoras de los empleados.
Duplicar todo el tráfico requiere un ancho de banda significativo y solo se debe hacer durante una investigación activa.
Las interfaces ge-0/0/0 y ge-0/0/1 sirven como conexiones para las computadoras de los empleados.
La interfaz ge-0/0/10 está reservada para el análisis del tráfico reflejado.
Conecte una PC en la que se ejecute un analizador de protocolos a la interfaz de salida del analizador.
Varios puertos reflejados en una interfaz pueden causar un desbordamiento del búfer, lo que da como resultado que los paquetes reflejados se caigan en la interfaz de salida.
Figura 1 muestra la topología de red para este ejemplo.
Replicación de todo el tráfico de empleados para el análisis local
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente la duplicación local para el tráfico de entrada enviado en dos puertos conectados a los equipos de los empleados, copie cualquiera de los siguientes comandos para conmutadores de la serie EX o para enrutadores serie MX y péguelos en la ventana terminal del dispositivo de conmutación:
Serie EX
[edit] set interfaces ge-0/0/0 unit 0 family ethernet-switching set interfaces ge-0/0/1 unit 0 family ethernet-switching set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor output interface ge-0/0/10.0
Serie MX
[edit] set interfaces ge-0/0/0 unit 0 family bridge interface-mode access vlan-id 99 set interfaces ge-0/0/1 unit 0 family bridge interface-mode access vlan-id 98 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor output interface ge-0/0/10.0
Procedimiento paso a paso
Para configurar un analizador llamado employee-monitor y especificar tanto las interfaces de entrada (fuente) como la interfaz de salida del analizador:
Configure cada interfaz para que se use en la configuración del analizador. Utilice el protocolo de familia correcto para su plataforma.
EX Series [edit] set interfaces ge-0/0/0 unit 0 family ethernet-switching set interfaces ge-0/0/1 unit 0 family ethernet-switching
Para configurar
family bridgeen una interfaz, debe configurarinterface-mode accessointerface-mode trunktambién. También debe configurarvlan-id.MX Series [edit] set interfaces ge-0/0/0 unit 0 family bridge interface-mode access vlan-id 99 set interfaces ge-0/0/1 unit 0 family bridge interface-mode access vlan-id 98
Configure cada interfaz conectada a las computadoras de los empleados como una interfaz de analizador de salida
employee-monitor.[edit forwarding-options] set analyzer employee-monitor input ingress interface ge-0/0/0.0 set analyzer employee-monitor input ingress interface ge-0/0/1.0
Configure la interfaz del analizador de salida para el
employee-monitoranalizador.Esta será la interfaz de destino de los paquetes reflejados.
[edit forwarding-options] set analyzer employee-monitor output interface ge-0/0/10.0
Resultados
Compruebe los resultados de la configuración.
[edit]
user@device# show forwarding-options
analyzer {
employee-monitor {
input {
ingress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
}
output {
interface ge-0/0/10.0;
}
}
}
Verificación
Verificar que el analizador se creó correctamente
Propósito
Verifique que el analizador employee-monitor se ha creado en el dispositivo de conmutación con las interfaces de entrada adecuadas y la interfaz de salida adecuada.
Acción
Utilice el show forwarding-options analyzer comando operativo para comprobar que un analizador está configurado como se esperaba.
user@device> show forwarding-options analyzer Analyzer name : employee-monitor Mirror rate : 1 Maximum packet length : 0 State : up Ingress monitored interfaces : ge-0/0/0.0 Output interface : ge-0/0/10.0
Significado
El resultado muestra que el employee-monitor analizador tiene una relación de 1 (es decir, reflejando cada paquete, la configuración predeterminada), el tamaño máximo del paquete original reflejado es 0 (lo que indica que todo el paquete está reflejado), el estado de la configuración es up, y el analizador está reflejando el tráfico que entra en la interfaz ge-0/0/0 y enviando el tráfico reflejado a la interfaz ge-0/0/10.
Si el estado de la interfaz de salida es down o si la interfaz de salida no está configurada, el valor de State estará down indicando que el analizador no recibirá tráfico reflejado.
Ejemplo: Configuración de la duplicación de puertos para la supervisión remota del uso de recursos de los empleados
Los dispositivos de Juniper Networks le permiten configurar la duplicación de puertos para enviar copias de paquetes a una interfaz local para la supervisión local o a una VLAN o dominio de puente para monitoreo remoto. Puede usar la duplicación para copiar estos paquetes:
Paquetes que entran o salen de un puerto
Paquetes que ingresan o salen de una VLAN
Paquetes que ingresan o salen de un dominio de puente
Si va a enviar tráfico reflejado a una VLAN o dominio de puente del analizador, puede analizar el tráfico reflejado mediante un analizador de protocolo que se ejecuta en una estación de monitoreo remota.
Refleje solo los paquetes necesarios para reducir el potencial impacto en el rendimiento. Recomendamos que haga lo siguiente:
Desactive las sesiones de duplicación configuradas cuando no las esté utilizando.
Especifique interfaces individuales como entrada a los analizadores en lugar de especificar todas las interfaces como entrada.
Limite la cantidad de tráfico reflejado de la siguiente manera:
Uso de muestras estadísticas.
Establecer ratios para seleccionar muestras estadísticas.
Uso de filtros de firewall.
Los ejemplos de este tema describen cómo configurar la duplicación de puertos remotos para analizar el uso de recursos de los empleados.
- Requisitos
- Descripción general y topología
- Replicación del tráfico de empleados para el análisis remoto mediante el uso de un analizador estadístico
- Verificación
Requisitos
En este ejemplo, se utiliza uno de los pares siguientes de componentes de hardware y software:
Un conmutador EX9200 conectado a otro ex9200, que ejecuta la versión 13.2 o posterior de Junos OS
Un enrutador serie MX conectado a otro enrutador serie MX, ambos con Junos OS versión 14.1 o posterior
Antes de configurar la duplicación remota, asegúrese de que:
Tienes una comprensión de los conceptos de duplicación. Para obtener más información acerca de los analizadores, consulte Descripción de analizadores de duplicación de puertos. Para obtener más información acerca de la duplicación de puertos, consulte Descripción de la duplicación de puertos de capa 2.
Las interfaces que el analizador utilizará como interfaces de entrada ya se han configurado en el dispositivo de conmutación.
Descripción general y topología
En este tema se describe cómo configurar la duplicación de puertos en un dominio de puente o VLAN de analizador remoto para que el análisis se pueda realizar desde una estación de monitoreo remota.
Figura 2 muestra la topología de red para el ejemplo de la serie EX y los escenarios de ejemplo de la serie MX.
Topología
En este ejemplo:
La interfaz ge-0/0/0 es una interfaz de capa 2, y la interfaz ge-0/0/1 es una interfaz de capa 3 (ambas interfaces en el dispositivo de origen) que sirven como conexiones para las computadoras de los empleados.
La interfaz ge-0/0/10 es una interfaz de capa 2 que conecta el dispositivo de conmutación de origen al dispositivo de conmutación de destino.
La interfaz ge-0/0/5 es una interfaz de capa 2 que conecta el dispositivo de conmutación de destino a la estación de monitoreo remoto.
El analizador
remote-analyzerestá configurado en todos los dispositivos de conmutación de la topología para transportar el tráfico reflejado. Esta topología puede usar una VLAN o un dominio de puente.
Replicación del tráfico de empleados para el análisis remoto mediante el uso de un analizador estadístico
Para configurar un analizador estadístico para el análisis de tráfico remoto para todo el tráfico de empleados entrante y saliente, seleccione uno de los ejemplos siguientes:
- Duplicación del tráfico de empleados para el análisis remoto de conmutadores de la serie EX
- Espejo de tráfico de empleados para análisis remotos para enrutadores serie MX
Duplicación del tráfico de empleados para el análisis remoto de conmutadores de la serie EX
Configuración rápida de CLI
Para configurar rápidamente un analizador estadístico para el análisis de tráfico remoto del tráfico de empleados entrante y saliente, copie los siguientes comandos para conmutadores de la serie EX y péguelos en la ventana terminal del dispositivo de conmutación correcta.
Copie y pegue los siguientes comandos en la ventana terminal del dispositivo de conmutación de origen:
Serie EX
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor output vlan remote-analyzer set forwarding-options analyzer employee-monitor input rate 2 set forwarding-options analyzer employee-monitor input maximum-packet-length 128 set chassis fpc 0 port-mirror-instance employee-monitor
Copie y pegue los siguientes comandos en la ventana terminal del dispositivo de conmutación de destino :
Serie EX
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 set interfaces ge-0/0/5 unit 0 family ethernet-switching interface-mode access set forwarding-options analyzer employee-monitor input ingress vlan remote-analyzer set forwarding-options analyzer employee-monitor output interface ge-0/0/5.0
Procedimiento paso a paso
Para configurar la duplicación remota básica:
En el dispositivo de conmutación de origen, haga lo siguiente:
Configure el ID de VLAN para la
remote-analyzerVLAN.[edit] user@device# set vlans remote-analyzer vlan-id 999
Configure la interfaz en el puerto de red conectado al dispositivo de conmutación de destino para el modo de acceso y asóciela a la
remote-analyzerVLAN.[edit] user@device# set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode access user@device# set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999
Configure el analizador
employee-monitorestadístico .[edit forwarding-options] user@device# set analyzer employee-monitor input ingress interface ge-0/0/0.0 user@device# set analyzer employee-monitor input ingress interface ge-0/0/1.0 user@device# set analyzer employee-monitor input egress interface ge-0/0/0.0 user@device# set analyzer employee-monitor input egress interface ge-0/0/1.0 user@device# set analyzer employee-monitor output vlan remote-analyzer user@device# set analyzer employee-monitor input rate 2 user@device# set analyzer employee-monitor input maximum-packet-length 128
Vincule el analizador estadístico a la FPC que contiene la interfaz de entrada.
[edit] user@device# set chassis fpc 0 port-mirror-instance employee-monitor
En el dispositivo de red de destino, haga lo siguiente:
Configure el ID de VLAN para la
remote-analyzerVLAN.[edit] user@device# set vlans remote-analyzer vlan-id 999
Configure la interfaz en el dispositivo de conmutación de destino para el modo de acceso y asóciela a la
remote-analyzerVLAN.[edit interfaces] user@device# set ge-0/0/10 unit 0 family ethernet-switching interface-mode access user@device# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999
Configure la interfaz conectada al dispositivo de conmutación de destino para el modo de acceso.
[edit interfaces] user@device# set ge-0/0/5 unit 0 family ethernet-switching interface-mode access
Configure el
employee-monitoranalizador.[edit forwarding-options] user@device# set analyzer employee-monitor input ingress vlan remote-analyzer user@device# set analyzer employee-monitor output interface ge-0/0/5.0
Especifique parámetros de duplicación, como la velocidad y la longitud máxima del paquete para el
employee-monitoranalizador.[edit] user@device# set forwarding-options analyzer employee-monitor input rate 2 user@device# set forwarding-options analyzer employee-monitor input maximum-packet-length 128
Vincule el
employee-monitoranalizador a la FPC que contiene los puertos de entrada.[edit] user@device# set chassis fpc 0 port-mirror-instance employee-monitor
Resultados
Compruebe los resultados de la configuración en el dispositivo de conmutación de origen:
[edit]
user@device# show
forwarding-options {
analyzer employee-monitor {
input {
ingress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
egress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
maximum-packet-length 128;
rate 2;
}
output {
vlan {
remote-analyzer;
}
}
}
}
interfaces {
ge-0/0/10 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members 999;
}
}
}
}
}
vlans {
remote-analyzer {
vlan-id 999;
}
}
Compruebe los resultados de la configuración en el dispositivo de conmutación de destino.
[edit]
user@device# show
interfaces {
ge0/0/5 {
unit 0 {
family ethernet-switching {
interface-mode access;
}
}
}
ge-0/0/10 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members 999;
}
}
}
}
}
vlans {
remote-analyzer {
vlan-id 999;
interface {
ge-0/0/10.0;
}
}
}
forwarding-options {
analyzer employee-monitor {
input {
ingress {
vlan remote-analyzer;
}
}
output {
interface {
ge-0/0/5.0;
}
}
}
}
Espejo de tráfico de empleados para análisis remotos para enrutadores serie MX
Configuración rápida de CLI
Para configurar rápidamente un analizador estadístico para el análisis de tráfico remoto de tráfico de empleados entrante y saliente, copie los siguientes comandos para enrutadores serie MX y péguelos en la ventana de terminal del dispositivo de conmutación correcta.
Copie y pegue los siguientes comandos en la ventana terminal del dispositivo de conmutación de origen:
Serie MX
[edit] set bridge-domains remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family bridge interface-mode access set interfaces ge-0/0/10 unit 0 family bridge vlan-id 999 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor output bridge-domain remote-analyzer set forwarding-options analyzer employee-monitor input rate 2 set forwarding-options analyzer employee-monitor input maximum-packet-length 128 set chassis fpc 0 port-mirror-instance employee-monitor
Copie y pegue los siguientes comandos en la ventana terminal del dispositivo de conmutación de destino :
Serie MX
[edit] set bridge-domains remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family bridge interface-mode access set interfaces ge-0/0/10 unit 0 family bridge vlan-id 999 set interfaces ge-0/0/5 unit 0 family bridge interface-mode access set forwarding-options analyzer employee-monitor input ingress bridge-domain remote-analyzer set forwarding-options analyzer employee-monitor output interface ge-0/0/5.0
Procedimiento paso a paso
Para configurar la duplicación remota básica mediante enrutadores serie MX:
En el dispositivo de conmutación de origen, haga lo siguiente:
Configure el ID de VLAN para el dominio de
remote-analyzerpuente.[edit] user@device# set bridge-domains remote-analyzer vlan-id 999
Configure la interfaz en el puerto de red conectado al dispositivo de conmutación de destino para el modo de acceso y asóciela al dominio de
remote-analyzerpuente.[edit] user@device# set interfaces ge-0/0/10 unit 0 family bridge interface-mode access user@device# set interfaces ge-0/0/10 unit 0 family bridge vlan members 999
Configure el analizador
employee-monitorestadístico .[edit forwarding-options] user@device# set analyzer employee-monitor input ingress interface ge-0/0/0.0 user@device# set analyzer employee-monitor input ingress interface ge-0/0/1.0 user@device# set analyzer employee-monitor input egress interface ge-0/0/0.0 user@device# set analyzer employee-monitor input egress interface ge-0/0/1.0 user@device# set analyzer employee-monitor output bridge-domain remote-analyzer user@device# set analyzer employee-monitor input rate 2 user@device# set analyzer employee-monitor input maximum-packet-length 128
Vincule el analizador estadístico a la FPC que contiene la interfaz de entrada.
[edit] user@device# set chassis fpc 0 port-mirror-instance employee-monitor
En el dispositivo de conmutación de destino, haga lo siguiente:
Configure el ID de VLAN para el dominio de
remote-analyzerpuente.[edit bridge-domains] user@device# set remote-analyzer vlan-id 999
Configure la interfaz en el dispositivo de conmutación de destino para el modo de acceso y asóciela al dominio de
remote-analyzerpuente.[edit interfaces] user@device# set ge-0/0/10 unit 0 family bridge interface-mode access user@device# set ge-0/0/10 unit 0 family bridge vlan members 999
Configure la interfaz conectada al dispositivo de conmutación de destino para el modo de acceso.
[edit interfaces] user@device# set ge-0/0/5 unit 0 family bridge interface-mode access
Configure el
employee-monitoranalizador.[edit forwarding-options] user@device# set analyzer employee-monitor input ingress bridge-domain remote-analyzer user@device# set analyzer employee-monitor output interface ge-0/0/5.0
Especifique parámetros de duplicación, como la velocidad y la longitud máxima del paquete para el
employee-monitoranalizador.[edit] user@device# set forwarding-options analyzer employee-monitor input rate 2 user@device# set forwarding-options analyzer employee-monitor input maximum-packet-length 128
Vincule el
employee-monitoranalizador a la FPC que contiene los puertos de entrada.[edit] user@device# set chassis fpc 0 port-mirror-instance employee-monitor
Resultados
Compruebe los resultados de la configuración en el dispositivo de conmutación de origen:
[edit]
user@device# show
bridge-domains {
remote-analyzer {
vlan-id 999;
}
}
forwarding-options {
analyzer {
employee-monitor {
input {
ingress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
egress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
maximum-packet-length 128;
rate 2;
}
output {
bridge-domain {
remote-analyzer;
}
}
}
}
}
interfaces {
ge-0/0/0 {
unit 0 {
family bridge {
interface-mode access;
vlan-id 99;
}
}
}
ge-0/0/1 {
unit 0 {
family bridge {
interface-mode access;
vlan-id 98;
}
}
}
ge-0/0/10 {
unit 0 {
family bridge {
interface-mode access;
vlan-id 999;
}
}
}
}
Compruebe los resultados de la configuración en el dispositivo de conmutación de destino.
[edit]
user@device# show
bridge-domains {
remote-analyzer {
vlan-id 999;
}
}
forwarding-options {
analyzer {
employee-monitor {
input {
ingress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
bridge-domain remote-analyzer;
}
}
output {
interface ge-0/0/5.0;
}
}
}
}
interfaces {
ge-0/0/5 {
unit 0 {
family bridge {
interface-mode access;
}
}
}
}
Verificación
Verificar que el analizador se creó correctamente
Propósito
Compruebe que el analizador nombrado employee-monitor se ha creado en el dispositivo con las interfaces de entrada adecuadas y la interfaz de salida adecuada.
Acción
Para comprobar que el analizador está configurado como se esperaba mientras monitorea todo el tráfico de empleados en el dispositivo de conmutación de origen, ejecute el show forwarding-options analyzer comando en el dispositivo de conmutación de origen. Se muestra el siguiente resultado para este ejemplo de configuración.
user@device> show forwarding-options analyzer Analyzer name : employee-monitor Mirror rate : 2 Maximum packet length : 128 State : up Ingress monitored interfaces : ge-0/0/0.0 Ingress monitored interfaces : ge-0/0/1.0 Egress monitored interfaces : ge-0/0/0.0 Egress monitored interfaces : ge-0/0/1.0 Output VLAN : default-switch/remote-analyzer
Significado
Este resultado muestra que la employee-monitor instancia tiene una relación de 2, el tamaño máximo del paquete original que se espejado es 128, el estado de la configuración es up, lo que indica el estado adecuado y que el analizador está programado, y el analizador está reflejando el tráfico que ingresa ge-0/0/0.0 y ge-0/0/1.0, y envía el tráfico reflejado a la VLAN llamada analizador remoto.
Si el estado de la interfaz de salida es down o si la interfaz de salida no está configurada, el valor de State estará caído y el analizador no podrá supervisar el tráfico.
Ejemplo: Configuración de la duplicación en varias interfaces para la supervisión remota del uso de recursos de los empleados en conmutadores EX9200
Los conmutadores EX9200 le permiten configurar la duplicación para enviar copias de paquetes a una interfaz local para la supervisión local o a una VLAN para la supervisión remota. Puede usar la duplicación para copiar estos paquetes:
Paquetes que entran o salen de un puerto
Paquetes que ingresan o salen de una VLAN en
Puede analizar el tráfico reflejado mediante una aplicación de analizador de protocolo que se ejecuta en una estación de monitoreo remota si envía tráfico reflejado a una VLAN del analizador.
Refleje solo los paquetes necesarios para reducir el potencial impacto en el rendimiento. Recomendamos que:
Desactive sus analizadores de duplicación configurados cuando no los esté utilizando.
Especifique interfaces individuales como entrada a los analizadores en lugar de especificar todas las interfaces como entrada.
Limite la cantidad de tráfico reflejado de la siguiente manera:
Uso de muestras estadísticas.
Establecer ratios para seleccionar muestras estadísticas.
Uso de filtros de firewall.
En este ejemplo, se describe cómo configurar la duplicación remota en varias interfaces en una VLAN de analizador:
- Requisitos
- Descripción general y topología
- Duplicar todo el tráfico de empleados en varias interfaces de miembros de VLAN para análisis remotos
- Verificación
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Tres conmutadores EX9200
Junos OS versión 13.2 o posterior para conmutadores serie EX
Antes de configurar la duplicación remota, asegúrese de que:
Las interfaces que el analizador utilizará como interfaces de entrada se configuraron en el conmutador.
Descripción general y topología
En este ejemplo, se describe cómo reflejar el tráfico que entra en los puertos del conmutador en la VLAN del analizador remoto para que pueda realizar análisis desde una estación de supervisión remota. La VLAN de analizador remoto de este ejemplo contiene varias interfaces de miembro. Por lo tanto, el mismo tráfico se replica en todas las interfaces miembros de la VLAN del analizador remoto para que se puedan enviar paquetes reflejados a diferentes estaciones de monitoreo remoto. Puede instalar aplicaciones, como detectores y sistemas de detección de intrusiones, en estaciones de monitoreo remoto para analizar estos paquetes reflejados y obtener datos estadísticos útiles. Por ejemplo, si hay dos estaciones de monitoreo remoto, puede instalar un rastreador en una estación de monitoreo remota y un sistema de detección de intrusiones en la otra estación. Puede usar una configuración del analizador de filtros de firewall para reenviar un tipo específico de tráfico a una estación de monitoreo remota.
En este ejemplo, se describe cómo configurar un analizador para que refleje el tráfico en varias interfaces del grupo de salto siguiente para que el tráfico se envíe a diferentes estaciones de supervisión para su análisis.
Figura 3 muestra la topología de red para este ejemplo.
Topología
En este ejemplo:
Las interfaces ge-0/0/0 y ge-0/0/1 son interfaces de capa 2 (ambas interfaces en el conmutador de origen) que sirven como conexiones para las computadoras de los empleados.
Las interfaces ge-0/0/10 y ge-0/0/11 son interfaces de capa 2 que están conectadas a diferentes conmutadores de destino.
La interfaz ge-0/0/12 es una interfaz de capa 2 que conecta el conmutador de destino 1 a la estación de monitoreo remoto.
La interfaz ge-0/0/13 es una interfaz de capa 2 que conecta el conmutador de destino 2 a la estación de monitoreo remoto.
La VLAN
remote-analyzerse configura en todos los conmutadores de la topología para transportar el tráfico reflejado.
Duplicar todo el tráfico de empleados en varias interfaces de miembros de VLAN para análisis remotos
Para configurar la duplicación en varias interfaces de miembros de VLAN para el análisis de tráfico remoto para todo el tráfico de empleados entrante y saliente, realice estas tareas:
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente la duplicación para el análisis de tráfico remoto para el tráfico de empleados entrante y saliente, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:
En la ventana terminal del conmutador de origen, copie y pegue los siguientes comandos:
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 set interfaces ge-0/0/11 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/11 unit 0 family ethernet-switching vlan members 999 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor output next-hop-group remote-analyzer-nhg set forwarding-options next-hop-group remote-analyzer-nhg interface ge-0/0/10.0 set forwarding-options next-hop-group remote-analyzer-nhg interface ge-0/0/11.0 set forwarding-options next-hop-group remote-analyzer-nhg group-type layer-2
En la ventana terminal del conmutador de destino 1, copie y pegue los siguientes comandos:
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode acess set interfaces ge-0/0/12 unit 0 family ethernet-switching interface-mode access set forwarding-options analyzer employee-monitor input ingress vlan remote-analyzer set forwarding-options analyzer employee-monitor loss-priority high output interface ge-0/0/12.0
En la ventana terminal del conmutador de destino 2, copie y pegue los siguientes comandos:
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/11 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/13 unit 0 family ethernet-switching interface-mode access set forwarding-options analyzer employee-monitor input ingress vlan remote-analyzer set forwarding-options analyzer employee-monitor loss-priority high output interface ge-0/0/13.0
Procedimiento paso a paso
Para configurar la duplicación remota básica en dos interfaces de miembro VLAN:
En el conmutador de origen:
Configure el ID de VLAN para la
remote-analyzerVLAN:[edit vlans] user@switch# set remote-analyzer vlan-id 999
Configure las interfaces en el puerto de red conectado a conmutadores de destino para el modo de acceso y asócielo a la
remote-analyzerVLAN:[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999 user@switch# set ge-0/0/11 unit 0 family ethernet-switching interface-mode trunk user@switch# set ge-0/0/11 unit 0 family ethernet-switching vlan members 999
Configure el
employee-monitoranalizador:[edit forwarding-options] user@switch# set analyzer employee-monitor input ingress interface ge-0/0/0.0 user@switch# set analyzer employee-monitor input ingress interface ge-0/0/1.0 user@switch# set analyzer employee-monitor input egress interface ge-0/0/0.0 user@switch# set analyzer employee-monitor input egress interface ge-0/0/1.0 user@switch# set analyzer employee-monitor output next-hop-group remote-analyzer-nhg
En esta configuración del analizador, el tráfico que entra y sale de las interfaces ge-0/0/0.0 y ge-0/0/1.0 se envía al destino de salida definido por el grupo de siguiente salto denominado
remote-analyzer-nhg.Configure el grupo del
remote-analyzer-nhbsiguiente salto:[edit forwarding-options] user@switch# set next-hop-group remote-analyzer-nhg interface ge-0/0/10.0 user@switch# set next-hop-group remote-analyzer-nhg interface ge-0/0/11.0 user@switch# set next-hop-group remote-analyzer-nhg group-type layer-2
En el conmutador de destino 1:
Configure el ID de VLAN para la
remote-analyzerVLAN:[edit vlans] user@switch# set remote-analyzer vlan-id 999
Configure la interfaz ge-0/0/10 en el conmutador de destino 1 para el modo de acceso:
[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching interface-mode access
Configure la interfaz conectada a la estación de monitoreo remoto para el modo de acceso:
[edit interfaces] user@switch# set ge-0/0/12 unit 0 family ethernet-switching interface-mode access
Configure el
employee-monitoranalizador:[edit forwarding-options] user@switch# set analyzer employee-monitor input ingress vlan remote-analyzer user@switch# set analyzer employee-monitor loss-priority high output interface ge-0/0/12.0
En el conmutador de destino 2:
Configure el ID de VLAN para la
remote-analyzerVLAN:[edit vlans] user@switch# set remote-analyzer vlan-id 999
Configure la interfaz ge-0/0/11 en el conmutador de destino 2 para el modo de acceso:
[edit interfaces] user@switch# set ge-0/0/11 unit 0 family ethernet-switching interface-mode access
Configure la interfaz conectada a la estación de monitoreo remoto para el modo de acceso:
[edit interfaces] user@switch# set ge-0/0/13 unit 0 family ethernet-switching interface-mode access
Configure el
employee-monitoranalizador:[edit forwarding-options] user@switch# set analyzer employee-monitor input ingress vlan remote-analyzer user@switch# set analyzer employee-monitor loss-priority high output interface ge-0/0/13.0
Resultados
Compruebe los resultados de la configuración en el conmutador de origen:
[edit]
user@switch# show
forwarding-options {
analyzer employee-monitor {
input {
ingress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
egress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
}
output {
next-hop-group {
remote-analyzer-nhg;
}
}
}
}
vlans {
remote-analyzer {
vlan-id 999;
interface {
ge-0/0/10.0
ge-0/0/11.0
}
}
}
interfaces {
ge-0/0/10 {
unit 0 {
family ethernet-switching {
interface-mode access;
}
}
}
ge-0/0/11 {
unit 0 {
family ethernet-switching {
interface-mode access;
}
}
}
}
Compruebe los resultados de la configuración en el conmutador de destino 1:
[edit]
user@switch# show
vlans {
remote-analyzer {
vlan-id 999;
}
}
interfaces {
ge-0/0/10 {
unit 0 {
ethernet-switching {
interface-mode acess;
}
}
}
ge-0/0/12 {
unit 0 {
family ethernet-switching {
interface-mode access;
}
}
}
}
forwarding-options {
analyzer employee-monitor {
input {
ingress {
vlan remote-analyzer;
}
}
loss-priority high;
output {
interface {
ge-0/0/12.0;
}
}
}
}
Compruebe los resultados de la configuración en el conmutador de destino 2:
[edit]
user@switch# show
vlans {
remote-analyzer {
vlan-id 999;
interface {
ge-0/0/11.0
}
}
}
interfaces {
ge-0/0/11 {
unit 0 {
family ethernet-switching {
interface-mode access;
}
}
}
ge-0/0/13 {
unit 0 {
family ethernet-switching {
interface-mode access;
}
}
}
}
forwarding-options {
employee-monitor {
input {
ingress {
vlan remote-analyzer;
}
}
loss-priority high;
output {
interface {
ge-0/0/13.0;
}
}
}
}
Verificación
Para confirmar que la configuración funciona correctamente, realice estas tareas:
Verificar que el analizador se creó correctamente
Propósito
Compruebe que el analizador nombrado employee-monitor se ha creado en el conmutador con las interfaces de entrada adecuadas y la interfaz de salida adecuadas.
Acción
Puede comprobar que el analizador está configurado como se esperaba mediante el show forwarding-options analyzer comando.
Para comprobar que el analizador está configurado como se esperaba mientras monitorea todo el tráfico de empleados en el conmutador de origen, ejecute el show forwarding-options analyzer comando en el conmutador de origen. Se muestra el siguiente resultado para este ejemplo de configuración en el conmutador de origen:
user@switch> show forwarding-options analyzer
Analyzer name : employee-monitor
Mirror rate : 1
Maximum packet length : 0
State : up
Ingress monitored interfaces : ge-0/0/0.0
Ingress monitored interfaces : ge-0/0/1.0
Egress monitored interfaces : ge-0/0/0.0
Egress monitored interfaces : ge-0/0/1.0
Output nhg : remote-analyzer-nhg
user@switch> show forwarding-options next-hop-group
Next-hop-group: remote-analyzer-nhg
Type: layer-2
State: up
Members Interfaces:
ge-0/0/10.0
ge-0/0/11.0
Significado
Este resultado muestra que el employee-monitor analizador tiene una proporción de 1 (reflejando cada paquete, que es el comportamiento predeterminado), el estado de la configuración es up, que indica el estado adecuado y que el analizador está programado, refleja el tráfico de entrada o salida de las interfaces ge-0/0/0 y ge-0/0/1, y envía tráfico reflejado a varias interfaces ge-0/0/10.0 y ge-0/0/11.0 a través del next-hop-group remote-analyzer-nhg. Si el estado de la interfaz de salida está down o si la interfaz de salida no está configurada, el valor de estado estará inactivo y el analizador no podrá reflejar el tráfico.
Ejemplo: Configuración de la duplicación para la supervisión remota del uso de recursos de los empleados a través de un conmutador de tránsito en conmutadores EX9200
Los conmutadores EX9200 le permiten configurar la duplicación para enviar copias de paquetes a una interfaz local para la supervisión local o a una VLAN para la supervisión remota. Puede usar la duplicación para copiar estos paquetes:
Paquetes que entran o salen de un puerto
Paquetes que ingresan o salen de una VLAN
Puede analizar el tráfico reflejado mediante una aplicación de analizador de protocolo que se ejecuta en una estación de monitoreo remota si envía tráfico reflejado a una VLAN del analizador.
En este tema, se incluye un ejemplo en el que se describe cómo reflejar el tráfico que entra en los puertos del conmutador a la VLAN del analizador remoto a través de un conmutador de tránsito para que pueda realizar análisis desde una estación de supervisión remota.
Refleje solo los paquetes necesarios para reducir el potencial impacto en el rendimiento. Recomendamos que:
Desactive las sesiones de duplicación configuradas cuando no las esté utilizando.
Especifique interfaces individuales como entrada a los analizadores en lugar de especificar todas las interfaces como entrada.
Limite la cantidad de tráfico reflejado de la siguiente manera:
Uso de muestras estadísticas.
Establecer ratios para seleccionar muestras estadísticas.
Uso de filtros de firewall.
En este ejemplo se describe cómo configurar la duplicación remota a través de un conmutador de tránsito:
- Requisitos
- Descripción general y topología
- Replicación de todo el tráfico de empleados para análisis remotos a través de un conmutador de tránsito
- Verificación
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Un conmutador EX9200 conectado a otro conmutador EX9200 a través de un tercer conmutador EX9200
Junos OS versión 13.2 o posterior para conmutadores serie EX
Antes de configurar la duplicación remota, asegúrese de que:
Las interfaces que el analizador utilizará como interfaces de entrada se configuraron en el conmutador.
Descripción general y topología
En este ejemplo, se describe cómo reflejar el tráfico que entra en los puertos del conmutador a la remote-analyzer VLAN a través de un conmutador de tránsito para que pueda realizar análisis en todo el tráfico desde los equipos de los empleados.
En esta configuración, se requiere una sesión de analizador en el conmutador de destino para reflejar el tráfico entrante desde la VLAN del analizador hasta la interfaz de salida a la que está conectada la estación de supervisión remota.
Figura 4 muestra la topología de red para este ejemplo.
Topología
En este ejemplo:
La interfaz ge-0/0/0 es una interfaz de capa 2, y la interfaz ge-0/0/1 es una interfaz de capa 3 (ambas interfaces en el conmutador de origen) que sirven como conexiones para las computadoras de los empleados.
La interfaz ge-0/0/10 es una interfaz de capa 2 que se conecta al conmutador de tránsito.
La interfaz ge-0/0/11 es una interfaz de capa 2 en el conmutador de tránsito.
La interfaz ge-0/0/12 es una interfaz de capa 2 en el conmutador de tránsito y se conecta al conmutador de destino.
La interfaz ge-0/0/13 es una interfaz de capa 2 en el conmutador de destino.
La interfaz ge-0/0/14 es una interfaz de capa 2 en el conmutador de destino y se conecta a la estación de monitoreo remoto.
La VLAN
remote-analyzerse configura en todos los conmutadores de la topología para transportar el tráfico reflejado.
Replicación de todo el tráfico de empleados para análisis remotos a través de un conmutador de tránsito
Para configurar la duplicación para el análisis de tráfico remoto a través de un conmutador de tránsito, realice estas tareas para todo el tráfico de empleados entrantes y salientes:
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente la duplicación para el análisis de tráfico remoto a través de un conmutador de tránsito, para el tráfico de empleados entrante y saliente, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:
Copie y pegue los siguientes comandos en la ventana terminal del conmutador de origen (conmutador supervisado):
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor output vlan remote-analyzer
Copie y pegue los siguientes comandos en la ventana del conmutador de tránsito:
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/11 unit 0 family ethernet-switching interface-mode access set vlans remote-analyzer interface ge-0/0/11 set interfaces ge-0/0/12 unit 0 family ethernet-switching interface-mode access set vlans remote-analyzer interface ge-0/0/12
Copie y pegue los siguientes comandos en la ventana del conmutador de destino:
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/13 unit 0 family ethernet-switching interface-mode access set vlans remote-analyzer interface ge-0/0/13 ingress set interfaces ge-0/0/14 unit 0 family ethernet-switching interface-mode access set forwarding-options analyzer employee-monitor input ingress vlan remote-analyzer set forwarding-options analyzer employee-monitor output interface ge-0/0/14.0
Procedimiento paso a paso
Para configurar la duplicación remota a través de un conmutador de tránsito:
En el conmutador de origen:
Configure el ID de VLAN para la
remote-analyzerVLAN:[edit vlans] user@switch# set remote-analyzer vlan-id 999
Configure las interfaces en el puerto de red conectado al conmutador de tránsito para el modo de acceso y asócielo a la
remote-analyzerVLAN:[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching interface-mode access user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999
Configure el
employee-monitoranalizador:[edit forwarding-options] user@switch# set analyzer employee-monitor input ingress interface ge-0/0/0.0 user@switch# set analyzer employee-monitor input ingress interface ge-0/0/1.0 user@switch# set analyzer employee-monitor input egress interface ge-0/0/0.0 user@switch# set analyzer employee-monitor input egress interface ge-0/0/1.0 user@switch# set analyzer employee-monitor output vlan remote-analyzer
En el conmutador de tránsito:
Configure el ID de VLAN para la
remote-analyzerVLAN:[edit vlans] user@switch# set remote-analyzer vlan-id 999
Configure la interfaz ge-0/0/11 para el modo de acceso, asóciela con la
remote-analyzerVLAN:[edit interfaces] user@switch# set ge-0/0/11 unit 0 family ethernet-switching interface-mode access
Configure la interfaz ge-0/0/12 para el modo de acceso, asóciela a la
remote-analyzerVLAN y establezca la interfaz solo para el tráfico de salida:[edit interfaces] user@switch# set ge-0/0/12 unit 0 family ethernet-switching interface-mode access user@switch# set vlans remote-analyzer interface ge-0/0/12
En el conmutador de destino:
Configure el ID de VLAN para la
remote-analyzerVLAN:[edit vlans] user@switch# set remote-analyzer vlan-id 999
Configure la interfaz ge-0/0/13 para el modo de acceso, asóciela a la
remote-analyzerVLAN y defina la interfaz solo para el tráfico de entrada:[edit interfaces] user@switch# set ge-0/0/13 unit 0 family ethernet-switching interface-mode access user@switch# set vlans remote-analyzer interface ge-0/0/13 ingress
Configure la interfaz conectada a la estación de monitoreo remoto para el modo de acceso:
[edit interfaces] user@switch# set ge-0/0/14 unit 0 family ethernet-switching interface-mode access
Configure el
remote-analyzeranalizador:[edit forwarding-options] user@switch# set analyzer employee-monitor input ingress vlan remote-analyzer user@switch# set analyzer employee-monitor output interface ge-0/0/14.0
Resultados
Compruebe los resultados de la configuración en el conmutador de origen:
[edit]
user@switch> show
forwarding-options {
analyzer employee-monitor {
input {
ingress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
egress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
}
output {
vlan {
remote-analyzer;
}
}
}
}
vlans {
remote-analyzer {
vlan-id 999;
}
}
interfaces {
ge-0/0/10 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
member 999;
}
}
}
}
}
Compruebe los resultados de la configuración en el conmutador de tránsito:
[edit]
user@switch> show
vlans {
remote-analyzer {
vlan-id 999;
interface {
ge-0/0/11.0 {
}
ge-0/0/12.0 {
}
}
}
}
interfaces {
ge-0/0/11 {
unit 0 {
family ethernet-switching {
interface-mode access;
}
}
}
ge-0/0/12 {
unit 0 {
family ethernet-switching {
interface-mode access;
}
}
}
}
Compruebe los resultados de la configuración en el conmutador de destino:
[edit]
user@switch> show
vlans {
remote-analyzer {
vlan-id 999;
interface {
ge-0/0/13.0 {
ingress;
}
}
}
}
interfaces {
ge-0/0/13 {
unit 0 {
family ethernet-switching {
interface-mode access;
}
}
}
ge-0/0/14 {
unit 0 {
family ethernet-switching {
interface-mode access;
}
}
}
}
forwarding-options {
analyzer employee-monitor {
input {
ingress {
vlan remote-analyzer;
}
}
output {
interface {
ge-0/0/14.0;
}
}
}
}
Verificación
Para confirmar que la configuración funciona correctamente, realice estas tareas:
Verificar que el analizador se creó correctamente
Propósito
Compruebe que el analizador nombrado employee-monitor se ha creado en el conmutador con las interfaces de entrada adecuadas y la interfaz de salida adecuada.
Acción
Puede comprobar que el analizador está configurado como se esperaba mediante el show forwarding-options analyzer comando.
Para comprobar que el analizador está configurado como se esperaba mientras monitorea todo el tráfico de empleados en el conmutador de origen, ejecute el show forwarding-options analyzer comando en el conmutador de origen. Se muestra el siguiente resultado para esta configuración de ejemplo:
user@switch> show forwarding-options analyzer Analyzer name : employee-monitor Mirror rate : 1 Maximum packet length : 0 State : up Ingress monitored interfaces : ge-0/0/0.0 Ingress monitored interfaces : ge-0/0/1.0 Egress monitored interfaces : ge-0/0/0.0 Egress monitored interfaces : ge-0/0/1.0 Output vlan : default-switch/remote-analyzer
Significado
Este resultado muestra que el employee-monitor analizador tiene una relación de duplicación de 1 (duplicación de cada paquete, el valor predeterminado), el estado de la configuración es up, que indica el estado adecuado y que el analizador está programado, que refleja el tráfico que ingresa ge-0/0/0 y ge-0/0/1, y envía el tráfico reflejado al analizador llamado remote-analyzer. Si el estado de la interfaz de salida está down o si la interfaz de salida no está configurada, el valor de estado estará inactivo y el analizador no podrá reflejar el tráfico.
Ejemplo: Configuración de la duplicación para la supervisión local del uso de recursos de los empleados en conmutadores EX4300
En este ejemplo, se usa Junos OS para conmutadores de la serie EX compatibles con el estilo de configuración Enhanced Layer 2 Software (ELS). Si el conmutador ejecuta software que no admite ELS, consulte ejemplo: Configuración de la duplicación de puertos para la supervisión local del uso de recursos de los empleados en conmutadores de la serie EX. Para obtener detalles de ELS, consulte Introducción al software de capa 2 mejorado.
Los conmutadores EX4300 le permiten configurar la duplicación para enviar copias de paquetes a una interfaz local para la supervisión local o a una VLAN para la supervisión remota. Puede usar la duplicación para copiar estos paquetes:
Paquetes que entran o salen de un puerto
Paquetes que ingresan a una VLAN
Puede analizar el tráfico reflejado mediante el uso de un analizador de protocolo instalado en un sistema conectado a la interfaz de destino local o una estación de monitoreo remota si envía tráfico reflejado a una VLAN del analizador.
En este ejemplo, se describe cómo configurar la duplicación local en un conmutador EX4300. En este ejemplo, se describe cómo configurar el conmutador para que refleje el tráfico que introduce interfaces conectadas a los equipos de los empleados a una interfaz de salida del analizador en el mismo conmutador.
- Requisitos
- Descripción general y topología
- Replicación de todo el tráfico de empleados para el análisis local
- Replicación del tráfico del empleado a la web para el análisis local
- Verificación
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Un conmutador EX4300
Junos OS versión 13.2X50-D10 o posterior para conmutadores de la serie EX
Descripción general y topología
En este tema, se incluyen dos ejemplos en los que se describe cómo reflejar el tráfico que entra en los puertos del conmutador a una interfaz de destino en el mismo conmutador (duplicación local). El primer ejemplo muestra cómo reflejar todo el tráfico que entra en los puertos conectados a las computadoras de los empleados. En el segundo ejemplo, se muestra el mismo escenario, pero incluye un filtro para reflejar solo el tráfico de empleados que va a la Web.
Las interfaces ge-0/0/0 y ge-0/0/1 sirven como conexiones para las computadoras de los empleados. La interfaz ge0/0/10 está reservada para el análisis del tráfico reflejado. Conecte un equipo que ejecuta una aplicación de analizador de protocolo a la interfaz de salida del analizador para analizar el tráfico reflejado.
Varios puertos reflejados en una interfaz pueden causar un desbordamiento del búfer y paquetes caídos.
Ambos ejemplos utilizan la topología de red que se muestra en Figura 5.
Replicación de todo el tráfico de empleados para el análisis local
Para configurar la duplicación de todo el tráfico de empleados para el análisis local, realice las siguientes tareas:
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente la duplicación local para el tráfico de entrada a los dos puertos conectados a los equipos de los empleados, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:
[edit] set interfaces ge-0/0/0 unit 0 family ethernet-switching set interfaces ge-0/0/1 unit 0 family inet address 192.0.2.1/24 set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members analyzer_vlan set vlans analyzer-vlan vlan-id 1000 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor output interface ge-0/0/10.0
Procedimiento paso a paso
Para configurar un analizador llamado employee-monitor y especificar las interfaces de entrada (fuente) y la interfaz de salida del analizador:
Configure cada interfaz conectada a las computadoras de los empleados como una interfaz de entrada para el analizador
employee-monitor:[edit forwarding-options] user@switch# set analyzer employee-monitor input ingress interface ge–0/0/0.0 user@switch# set analyzer employee-monitor input ingress interface ge-0/0/1.0
Configure la interfaz de salida del analizador como parte de una VLAN:
[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members analyzer_vlan
[edit vlans] user@switch# set analyzer-vlan vlan-id 1000
Configure la interfaz del analizador de salida para el analizador
employee-monitor. Esta será la interfaz de destino para los paquetes reflejados:[edit forwarding-options] user@switch# set analyzer employee-monitor output interface ge-0/0/10.0
Resultados
Compruebe los resultados de la configuración:
[edit]
user@switch# show
forwarding-options {
analyzer employee-monitor {
input {
ingress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;}
}
output {
interface {
ge-0/0/10.0;
}
}
}
}
Replicación del tráfico del empleado a la web para el análisis local
Para configurar la duplicación para el tráfico web del empleado, realice estas tareas:
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente la duplicación local del tráfico desde los dos puertos conectados a los equipos de los empleados, filtrado de modo que solo se refleje el tráfico al Web externo, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:
[edit] set forwarding-options port-mirroring instance employee-web-monitor output interface ge-0/0/10.0 set firewall family ethernet-switching filter watch-employee term employee-to-corp from destination-address 192.0.2.16/24 set firewall family ethernet-switching filter watch-employee term employee-to-corp from source-address 192.0.2.16/24 set firewall family ethernet-switching filter watch-employee term employee-to-corp then accept set firewall family ethernet-switching filter watch-employee term employee-to-web from destination-port 80 set firewall family ethernet-switching filter watch-employee term employee-to-web then port-mirroring-instance employee-web-monitor set interfaces ge-0/0/0 unit 0 family ethernet-switching filter input watch-employee set interfaces ge-0/0/1 unit 0 family ethernet-switching filter input watch-employee
Procedimiento paso a paso
Para configurar la duplicación local del tráfico web del empleado en el tráfico web desde los dos puertos conectados a los equipos de los empleados:
Configure la interfaz del analizador local:
[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching
Configure la
employee-web-monitorinstancia de salida (la entrada a la instancia proviene de la acción del filtro):[edit forwarding-options port-mirroring] user@switch# set instance employee-web-monitor output interface ge-0/0/10.0
Configure un filtro de firewall llamado
watch-employeepara enviar copias duplicadas de las solicitudes de los empleados a la Web a laemployee-web-monitorinstancia. Aceptar todo el tráfico hacia y desde la subred corporativa (dirección de destino o origen de 192.0.2.16/24). Envíe copias duplicadas de todos los paquetes destinados a Internet (puerto de destino 80) a laemployee-web-monitorinstancia.[edit firewall family ethernet-switching] user@switch# set filter watch-employee term employee-to-corp from destination-address 192.0.2.16/24 user@switch# set filter watch-employee term employee-to-corp from source-address 192.0.2.16/24 user@switch# set filter watch-employee term employee-to-corp then accept ser@switch# set filter watch-employee term employee-to-web from destination-port 80 user@switch# set filter watch-employee term employee-to-web then port-mirroring-instance employee-web-monitor
Aplique el
watch-employeefiltro a los puertos adecuados:[edit interfaces] user@switch# set ge-0/0/0 unit 0 family ethernet-switching filter input watch-employee user@switch# set ge-0/0/1 unit 0 family ethernet-switching filter input watch-employee
Resultados
Compruebe los resultados de la configuración:
[edit]
user@switch# show
forwarding-options {
port-mirroring {
instance {
employee-web-monitor {
family ethernet-switching {
output {
interface ge-0/0/10.0;
}
}
}
}
}
}
...
firewall family ethernet-switching {
filter watch-employee {
term employee-to-corp {
from {
destination-address 192.0.2.16/24;
source-address 192.0.2.16/24;
}
then accept {
}
term employee-to-web {
from {
destination-port 80;
}
then port-mirroring-instance employee-web-monitor;
}
}
}
...
interfaces {
ge-0/0/0 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
vlan members [employee-vlan, voice-vlan];
filter {
input watch-employee;
}
}
}
}
ge-0/0/1 {
family ethernet-switching {
filter {
input watch-employee;
}
}
}
}
Verificación
Para confirmar que la configuración es correcta, realice estas tareas:
- Verificar que el analizador se creó correctamente
- Verificar que la instancia de duplicación de puerto esté configurada correctamente
Verificar que el analizador se creó correctamente
Propósito
Compruebe que el analizador employee-monitor o employee-web-monitor se ha creado en el conmutador con las interfaces de entrada adecuadas y la interfaz de salida adecuada.
Acción
Puede usar el show forwarding-options analyzer comando para comprobar que el analizador está configurado correctamente.
user@switch> show forwarding-options analyzer Analyzer name : employee-monitor Mirror rate : 1 Maximum packet length : 0 State : up Ingress monitored interfaces : ge-0/0/0.0 Ingress monitored interfaces : ge-0/0/1.0 Output interface : ge-0/0/10.0
Significado
Este resultado muestra que el analizador employee-monitor tiene una relación de 1 (duplicando cada paquete, la configuración predeterminada), el tamaño máximo del paquete original que se ha reflejado (0 indica el paquete completo), el estado de la configuración (activo indica que el analizador está reflejando el tráfico que ingresa en las interfaces ge-0/0/0 y ge-0/1, y envía el tráfico reflejado a la interfaz ge-0/0/10). Si el estado de la interfaz de salida está inactivo o si la interfaz de salida no está configurada, el valor del estado será down y el analizador no se programará para la duplicación.
Verificar que la instancia de duplicación de puerto esté configurada correctamente
Propósito
Compruebe que la instancia employee-web-monitor de duplicación de puerto se ha configurado correctamente en el conmutador con las interfaces de entrada adecuadas.
Acción
Puede comprobar que la instancia de duplicación de puerto está configurada correctamente mediante el show forwarding-options port-mirroring comando.
user@switch> show forwarding-options port-mirroring
Instance Name: employee-web-monitor
Instance Id: 3
Input parameters:
Rate : 1
Run-length : 0
Maximum-packet-length : 0
Output parameters:
Family State Destination Next-hop
ethernet-switching up ge-0/0/10.0
Significado
Este resultado muestra que la employee-web-monitor instancia tiene una relación de 1 (duplicando cada paquete, el valor predeterminado), el tamaño máximo del paquete original que se espeló (0 indica un paquete completo), el estado de la configuración está activo y la duplicación de puertos está programado, y que el tráfico reflejado desde la acción de filtro de firewall se envía en la interfaz ge-0/0/10.0. Si el estado de la interfaz de salida está inactivo o si la interfaz no está configurada, el valor del estado estará caído y no se programará la duplicación de puertos para la duplicación.
Ejemplo: Configuración de la duplicación para la supervisión remota del uso de recursos de los empleados en conmutadores EX4300
En este ejemplo, se usa Junos OS para conmutadores de la serie EX compatibles con el estilo de configuración Enhanced Layer 2 Software (ELS). Si el conmutador ejecuta software que no admite ELS, consulte ejemplo: Configuración de la duplicación para la supervisión remota del uso de recursos de los empleados en conmutadores EX4300. Para obtener más información sobre ELS, consulte: Introducción al software de capa 2 mejorado.
Los conmutadores EX4300 le permiten configurar la duplicación para enviar copias de paquetes a una interfaz local para la supervisión local o a una VLAN para la supervisión remota. Puede usar la duplicación para copiar estos paquetes:
Paquetes que entran o salen de un puerto
Paquetes que ingresan a una VLAN en conmutadores EX4300
Puede analizar el tráfico reflejado mediante una aplicación de analizador de protocolo que se ejecuta en una estación de monitoreo remota si envía tráfico reflejado a una VLAN de analizador.
En este tema, se incluyen dos ejemplos relacionados que describen cómo reflejar el tráfico que entra en los puertos del conmutador a la remote-analyzer VLAN para que pueda realizar análisis desde una estación de supervisión remota. El primer ejemplo muestra cómo reflejar todo el tráfico que entra en los puertos conectados a las computadoras de los empleados. En el segundo ejemplo, se muestra la misma situación, pero incluye un filtro para reflejar solo el tráfico de empleados que va a la Web.
Refleje solo los paquetes necesarios para reducir el potencial impacto en el rendimiento. Recomendamos que:
Desactive las sesiones de duplicación configuradas cuando no las esté utilizando.
Especifique interfaces individuales como entrada a los analizadores en lugar de especificar todas las interfaces como entrada.
Limite la cantidad de tráfico reflejado mediante filtros de firewall.
En este ejemplo, se describe cómo configurar la duplicación remota:
- Requisitos
- Descripción general y topología
- Replicación de todo el tráfico de empleados para análisis remotos
- Replicación del tráfico del empleado a la web para el análisis remoto
- Verificación
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Junos OS versión 13.2X50-D10 o posterior para conmutadores de la serie EX
Un conmutador EX4300 conectado a otro conmutador EX4300
El diagrama muestra un Virtual Chassis EX4300 conectado a un conmutador de destino EX4300.
Antes de configurar la duplicación remota, asegúrese de que:
Tienes una comprensión de los conceptos de duplicación.
Las interfaces que el analizador utilizará como interfaces de entrada se configuraron en el conmutador.
Descripción general y topología
En este tema, se incluyen dos ejemplos relacionados que describen cómo configurar la duplicación en la remote-analyzer VLAN para que el análisis se pueda realizar desde una estación de supervisión remota. En el primer ejemplo, se muestra cómo configurar un conmutador para reflejar todo el tráfico de los equipos de los empleados. En el segundo ejemplo, se muestra la misma situación, pero la configuración incluye un filtro para reflejar solo el tráfico de empleados que va a la Web.
Figura 6 muestra la topología de red para ambos escenarios de ejemplo.
Topología
En este ejemplo:
La interfaz ge-0/0/0 es una interfaz de capa 2, y la interfaz ge-0/0/1 es una interfaz de capa 3 (ambas interfaces en el conmutador de origen) que sirven como conexiones para las computadoras de los empleados.
La interfaz ge-0/0/10 es una interfaz de capa 2 que conecta el conmutador de origen al conmutador de destino.
La interfaz ge-0/0/5 es una interfaz de capa 2 que conecta el conmutador de destino a la estación de monitoreo remoto.
La VLAN
remote-analyzerse configura en todos los conmutadores de la topología para transportar el tráfico reflejado.
Replicación de todo el tráfico de empleados para análisis remotos
Para configurar un analizador para el análisis de tráfico remoto para todo el tráfico de empleados entrante y saliente, realice estas tareas:
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente un analizador para el análisis de tráfico remoto para el tráfico de empleados entrante y saliente, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:
Copie y pegue los siguientes comandos en la ventana terminal del conmutador de origen:
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor output vlan remote-analyzer
Copie y pegue los siguientes comandos en la ventana terminal del conmutador de destino:
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 set interfaces ge-0/0/5 unit 0 family ethernet-switching interface-mode trunk set forwarding-options analyzer employee-monitor input ingress vlan remote-analyzer set forwarding-options analyzer employee-monitor output interface ge-0/0/5.0
Procedimiento paso a paso
Para configurar la duplicación básica de puertos remotos:
En el conmutador de origen:
Configure el ID de VLAN para la
remote-analyzerVLAN:[edit vlans] user@switch# set remote-analyzer vlan-id 999
Configure la interfaz en el puerto de red conectado al conmutador de destino para el modo de troncalización y asóciela a la
remote-analyzerVLAN:[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999
Configure el
employee-monitoranalizador:[edit forwarding-options] user@switch# set analyzer employee-monitor input ingress interface ge-0/0/0.0 user@switch# set analyzer employee-monitor input ingress interface ge-0/0/1.0 user@switch# set instance employee-monitor input egress interface ge-0/0/0.0 user@switch# set analyzer employee-monitor input egress interface ge-0/0/1.0 user@switch# set analyzer employee-monitor output vlan remote-analyzer
En el conmutador de destino:
Configure el ID de VLAN para la
remote-analyzerVLAN:[edit vlans] user@switch# set remote-analyzer vlan-id 999
Configure la interfaz en el conmutador de destino para el modo de troncalización y asociela a la
remote-analyzerVLAN:[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999
Configure la interfaz conectada al conmutador de destino para el modo de troncalización:
[edit interfaces] user@switch# set ge-0/0/5 unit 0 family ethernet-switching interface-mode trunk
Configure el
employee-monitoranalizador:[edit forwarding-options] user@switch# set analyzer employee-monitor input ingress vlan remote-analyzer user@switch# set analyzer employee-monitor output interface ge-0/0/5.0
Resultados
Compruebe los resultados de la configuración en el conmutador de origen:
[edit]
user@switch> show
forwarding-options {
analyzer employee-monitor {
input {
ingress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
egress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
}
output {
vlan {
remote-analyzer;
}
}
}
}
interfaces {
ge-0/0/10 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
vlan {
members 999;
}
}
}
}
}
vlans {
remote-analyzer {
vlan-id 999;
interface {
ge-0/0/10.0
}
}
}
}
Compruebe los resultados de la configuración en el conmutador de destino:
[edit]
user@switch> show
interfaces {
ge0/0/5 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
}
}
}
ge-0/0/10 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
vlan {
members 999;
}
}
}
}
}
vlans {
remote-analyzer {
vlan-id 999;
interface {
ge-0/0/10.0
}
}
}
}
forwarding-options {
analyzer employee-monitor {
input {
ingress {
vlan remote-analyzer;
}
}
output {
interface {
ge-0/0/5.0;
}
}
}
}
Replicación del tráfico del empleado a la web para el análisis remoto
Para configurar la duplicación de puertos para el análisis de tráfico remoto del tráfico del empleado a la web, realice las siguientes tareas:
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente la duplicación de puertos para reflejar el tráfico de los empleados en el Web externo, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:
Copie y pegue los siguientes comandos en la ventana terminal del conmutador de origen:
[edit] user@switch# set forwarding-options port-mirroring instance employee-web-monitor output vlan 999 user@switch# set vlans remote-analyzer vlan-id 999 user@switch# set interfaces ge-0/0/10 unit 0 family ethernet-switching port mode trunk user@switch# set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 user@switch# set firewall family ethernet-switching filter watch-employee term employee-to-corp from destination-address 192.0.2.16/24 user@switch# set firewall family ethernet-switching filter watch-employee term employee-to-corp from source-address 192.0.2.16/24 user@switch# set firewall family ethernet-switching filter watch-employee term employee-to-corp then accept user@switch# set firewall family ethernet-switching filter watch-employee term employee-to-web from destination-port 80 user@switch# set firewall family ethernet-switching filter watch-employee term employee-to-web then port-mirror-instance employee-web-monitor user@switch# set interfaces ge-0/0/0 unit 0 family ethernet-switching filter input watch-employee user@switch# set interfaces ge-0/0/1 unit 0 family ethernet-switching filter input watch-employee
Copie y pegue los siguientes comandos en la ventana terminal del conmutador de destino:
[edit] user@switch# set vlans remote-analyzer vlan-id 999 user@switch# set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk user@switch# set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 user@switch# set interfaces ge-0/0/5 unit 0 family ethernet-switching interface-mode trunk user@switch# set forwarding-options analyzer employee-web-monitor input ingress vlan remote-analyzer user@switch# set forwarding-options analyzer employee-web-monitor output interface ge-0/0/5.0
Procedimiento paso a paso
Para configurar la duplicación de puertos de todo el tráfico desde los dos puertos conectados a los equipos de los empleados a la remote-analyzer VLAN para su uso desde una estación de monitoreo remoto:
En el conmutador de origen:
Configure la instancia de
employee-web-monitorduplicación de puerto:[edit ] user@switch# set interfaces ge-0/0/10 unit 0 family ethernet-switching port mode trunk user@switch# set forwarding-options port-mirroring instance employee-web-monitor output vlan 999
Configure el ID de VLAN para la
remote-analyzerVLAN:[edit vlans] user@switch# set remote-analyzer vlan-id 999
Configure la interfaz para asociarla con la
remote-analyzerVLAN:[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999
Configure el filtro de firewall llamado
watch-employee:[edit firewall family ethernet-switching] user@switch# set filter watch-employee term employee-to-corp from destination-address 192.0.2.16/24 user@switch# set filter watch-employee term employee-to-corp from source-address 192.0.2.16/24 user@switch# set filter watch-employee term employee-to-corp then accept user@switch# set filter watch-employee term employee-to-web from destination-port 80 user@switch# set filter watch-employee term employee-to-web then port-mirror-instance employee-web-monitor
Aplique el filtro de firewall a las interfaces de los empleados:
[edit interfaces] user@switch# set ge-0/0/0 unit 0 family ethernet-switching filter input watch-employee user@switch# set ge-0/0/1 unit 0 family ethernet-switching filter input watch-employee
En el conmutador de destino:
Configure el ID de VLAN para la
remote-analyzerVLAN:[edit vlans] user@switch# set remote-analyzer vlan-id 999
Configure la interfaz en el conmutador de destino para el modo de troncalización y asociela a la
remote-analyzerVLAN:[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999
Configure la interfaz conectada al conmutador de destino para el modo de troncalización:
[edit interfaces] user@switch# set ge-0/0/5 unit 0 family ethernet-switching interface-mode trunk
Configure el
employee-monitoranalizador:[edit forwarding-options port-mirroring] user@switch# set instance employee-web-monitor input ingress vlan remote-analyzer user@switch# set instance employee-web-monitor output interface ge-0/0/5.0
Resultados
Compruebe los resultados de la configuración en el conmutador de origen:
[edit]
user@switch> show
interfaces {
ge-0/0/10 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
vlan {
members remote-analyzer;
}
}
}
}
ge-0/0/0 {
unit 0 {
family ethernet-switching {
filter {
input watch-employee;
}
}
}
}
ge-0/0/1 {
unit 0 {
family ethernet-switching {
filter {
input watch-employee;
}
}
}
}
}
firewall {
family ethernet-switching {
filter watch-employee {
term employee-to-corp {
from {
source-address {
192.0.2.16/24;
}
destination-address {
192.0.2.16/24;
}
}
then accept;
}
term employee-to-web {
from {
destination-port 80;
}
then port-mirror-instance employee-web-monitor;
}
}
}
}
forwarding-options {
analyzer employee-web-monitor {
output {
vlan {
999;
}
}
}
vlans {
remote-analyzer {
vlan-id 999;
}
}
Compruebe los resultados de la configuración en el conmutador de destino:
[edit]
user@switch> show
vlans {
remote-analyzer {
vlan-id 999;
}
}
interfaces {
ge-0/0/10 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
vlan {
members remote-analyzer;
}
}
}
}
ge-0/0/5 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
}
}
}
}
forwarding-options {
port-mirroring {
instance employee-web-monitor {
input {
ingress {
vlan remote-analyzer;
}
}
output {
interface {
ge-0/0/5.0;
}
}
}
}
Verificación
Para confirmar que la configuración funciona correctamente, realice estas tareas:
Verificar que el analizador se creó correctamente
Propósito
Compruebe que el analizador nombrado employee-monitor o employee-web-monitor se ha creado en el conmutador con las interfaces de entrada adecuadas y la interfaz de salida adecuadas.
Acción
Puede comprobar que el analizador está configurado como se esperaba mediante el show forwarding-options analyzer comando. Para ver los analizadores creados anteriormente que están deshabilitados, vaya a la interfaz J-Web.
Para comprobar que el analizador está configurado como se esperaba mientras monitorea todo el tráfico de empleados en el conmutador de origen, ejecute el show analyzer comando en el conmutador de origen. El siguiente resultado se muestra para este ejemplo de configuración:
user@switch> show forwarding-options analyzer Analyzer name : employee-monitor Mirror rate : 1 Maximum packet length : 0 State : up Ingress monitored interfaces : ge-0/0/0.0 Ingress monitored interfaces : ge-0/0/1.0 Egress monitored interfaces : ge-0/0/0.0 Egress monitored interfaces : ge-0/0/1.0 Output VLAN : default-switch/remote-analyzer
Significado
Este resultado muestra que la employee-monitor instancia tiene una relación de 1 (reflejando cada paquete, el valor predeterminado), el tamaño máximo del paquete original que se ha reflejado (0 indica el paquete completo), el estado de la configuración está activo (lo que indica el estado adecuado y que el analizador está programado, y está reflejando el tráfico que ingresa ge-0/0/0 y ge-0/0/1 y envía el tráfico reflejado a la VLAN denominada ).remote-analyzer Si el estado de la interfaz de salida está inactivo o si la interfaz de salida no está configurada, el valor de estado estará inactivo y el analizador no se programará para la duplicación.
Ejemplo: Configuración de la duplicación para la supervisión remota del uso de recursos de los empleados a través de un conmutador de tránsito en conmutadores EX4300
En este ejemplo, se usa Junos OS para conmutadores de la serie EX compatibles con el estilo de configuración Enhanced Layer 2 Software (ELS).
Los conmutadores EX4300 le permiten configurar la duplicación para enviar copias de paquetes a una interfaz local para la supervisión local o a una VLAN para la supervisión remota. Puede usar la duplicación para copiar estos paquetes:
Paquetes que entran o salen de un puerto
Paquetes que ingresan a una VLAN en conmutadores EX4300
Puede analizar el tráfico reflejado mediante una aplicación de analizador de protocolo que se ejecuta en una estación de monitoreo remota si envía tráfico reflejado a una VLAN de analizador.
En este tema se incluye un ejemplo en el que se describe cómo reflejar el tráfico que entra en los puertos del conmutador a la remote-analyzer VLAN a través de un conmutador de tránsito para que pueda realizar análisis desde una estación de supervisión remota.
Refleje solo los paquetes necesarios para reducir el potencial impacto en el rendimiento. Recomendamos que:
Desactive las sesiones de duplicación configuradas cuando no las esté utilizando.
Especifique interfaces individuales como entrada a los analizadores en lugar de especificar todas las interfaces como entrada.
Limite la cantidad de tráfico reflejado mediante filtros de firewall.
En este ejemplo se describe cómo configurar la duplicación remota a través de un conmutador de tránsito:
- Requisitos
- Descripción general y topología
- Replicación de todo el tráfico de empleados para análisis remotos a través de un conmutador de tránsito
- Verificación
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Un conmutador EX4300 conectado a otro conmutador EX4300 a través de un tercer conmutador EX4300
Junos OS versión 13.2X50-D10 o posterior para conmutadores de la serie EX
Antes de configurar la duplicación remota, asegúrese de que:
Tienes una comprensión de los conceptos de duplicación.
Las interfaces que el analizador utilizará como interfaces de entrada se configuraron en el conmutador.
Descripción general y topología
En este ejemplo, se describe cómo reflejar el tráfico que entra en los puertos del conmutador a la remote-analyzer VLAN a través de un conmutador de tránsito para que pueda realizar análisis desde una estación de supervisión remota. En el ejemplo, se muestra cómo configurar un conmutador para reflejar todo el tráfico desde los equipos de los empleados hasta un analizador remoto.
En esta configuración, se requiere una sesión de analizador en el conmutador de destino para reflejar el tráfico entrante desde la VLAN del analizador hasta la interfaz de salida a la que está conectada la estación de supervisión remota. Debe deshabilitar el aprendizaje de MAC en el conmutador de tránsito de la VLAN para que el remote-analyzer aprendizaje de MAC esté deshabilitado para todas las interfaces miembro de la remote-analyzer VLAN en el conmutador de tránsito.
Figura 7 muestra la topología de red para este ejemplo.
Topología
En este ejemplo:
La interfaz ge-0/0/0 es una interfaz de capa 2, y la interfaz ge-0/0/1 es una interfaz de capa 3 (ambas interfaces en el conmutador de origen) que sirven como conexiones para las computadoras de los empleados.
La interfaz ge-0/0/10 es una interfaz de capa 2 que se conecta al conmutador de tránsito.
La interfaz ge-0/0/11 es una interfaz de capa 2 en el conmutador de tránsito.
La interfaz ge-0/0/12 es una interfaz de capa 2 en el conmutador de tránsito y se conecta al conmutador de destino.
La interfaz ge-0/0/13 es una interfaz de capa 2 en el conmutador de destino.
La interfaz ge-0/0/14 es una interfaz de capa 2 en el conmutador de destino y se conecta a la estación de monitoreo remoto.
La VLAN
remote-analyzerse configura en todos los conmutadores de la topología para transportar el tráfico reflejado.
Replicación de todo el tráfico de empleados para análisis remotos a través de un conmutador de tránsito
Para configurar la duplicación para el análisis de tráfico remoto a través de un conmutador de tránsito, realice estas tareas para todo el tráfico de empleados entrantes y salientes:
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente la duplicación para el análisis de tráfico remoto a través de un conmutador de tránsito, para el tráfico de empleados entrante y saliente, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:
Copie y pegue los siguientes comandos en la ventana terminal del conmutador de origen (conmutador supervisado):
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor output vlan remote-analyzer
Copie y pegue los siguientes comandos en la ventana del conmutador de tránsito:
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/11 unit 0 family ethernet-switching interface-mode trunk set vlans remote-analyzer interface ge-0/0/11 set interfaces ge-0/0/12 unit 0 family ethernet-switching interface-mode trunk set vlans remote-analyzer interface ge-0/0/12 set vlans remote-analyzer no-mac-learning
Copie y pegue los siguientes comandos en la ventana del conmutador de destino:
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/13 unit 0 family ethernet-switching interface-mode trunk set vlans remote-analyzer interface ge-0/0/13 ingress set interfaces ge-0/0/14 unit 0 family ethernet-switching interface-mode trunk set forwarding-options analyzer employee-monitor input ingress vlan remote-analyzer set forwarding-options analyzer employee-monitor output interface ge-0/0/14.0
Procedimiento paso a paso
Para configurar la duplicación remota a través de un conmutador de tránsito:
En el conmutador de origen:
Configure el ID de VLAN para la
remote-analyzerVLAN:[edit vlans] user@switch# set remote-analyzer vlan-id 999
Configure las interfaces en el puerto de red conectado al conmutador de tránsito para el modo de troncalización y asócielo a la
remote-analyzerVLAN:[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999
Configure el
employee-monitoranalizador:[edit forwarding-options] user@switch# set analyzer employee-monitor input ingress interface ge-0/0/0.0 user@switch# set analyzer employee-monitor input ingress interface ge-0/0/1.0 user@switch# set analyzer employee-monitor input egress interface ge-0/0/0.0 user@switch# set analyzer employee-monitor input egress interface ge-0/0/1.0 user@switch# set analyzer employee-monitor output vlan remote-analyzer
En el conmutador de tránsito:
Configure el ID de VLAN para la
remote-analyzerVLAN:[edit vlans] user@switch# set remote-analyzer vlan-id 999
Configure la interfaz ge-0/0/11 para el modo de troncalización, asóciela con la
remote-analyzerVLAN:[edit interfaces] user@switch# set ge-0/0/11 unit 0 family ethernet-switching interface-mode trunk
Configure la interfaz para el
ge-0/0/12modo de troncalización, asóciela con laremote-analyzerVLAN y establezca la interfaz solo para el tráfico de salida:[edit interfaces] user@switch# set ge-0/0/12 unit 0 family ethernet-switching interface-mode trunk user@switch# set vlans remote-analyzer interface ge-0/0/12
Configure la
no-mac-learningopción para que laremote-analyzerVLAN deshabilite el aprendizaje de MAC en todas las interfaces que son miembros de laremote-analyzerVLAN:[edit interfaces] user@switch# set vlans remote-analyzer no-mac-learning
En el conmutador de destino:
Configure el ID de VLAN para la
remote-analyzerVLAN:[edit vlans] user@switch# set remote-analyzer vlan-id 999
Configure la interfaz ge-0/0/13 para el modo de troncalización, asóciela a la
remote-analyzerVLAN y establezca la interfaz solo para el tráfico de entrada:[edit interfaces] user@switch# set ge-0/0/13 unit 0 family ethernet-switching interface-mode trunk user@switch# set vlans remote-analyzer interface ge-0/0/13 ingress
Configure la interfaz conectada a la estación de monitoreo remoto para el modo de troncalización:
[edit interfaces] user@switch# set ge-0/0/14 unit 0 family ethernet-switching interface-mode trunk
Configure el
employee-monitoranalizador:[edit forwarding-options] user@switch# set analyzer employee-monitor input ingress vlan remote-analyzer user@switch# set analyzer employee-monitor output interface ge-0/0/14.0
Resultados
Compruebe los resultados de la configuración en el conmutador de origen:
[edit]
user@switch> show
forwarding-options {
analyzer employee-monitor {
input {
ingress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
egress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
}
output {
vlan {
remote-analyzer;
}
}
}
}
vlans {
remote-analyzer {
vlan-id 999;
}
}
interfaces {
ge-0/0/10 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
vlan {
member 999;
}
}
}
}
}
Compruebe los resultados de la configuración en el conmutador de tránsito:
[edit]
user@switch> show
vlans {
remote-analyzer {
vlan-id 999;
interface {
ge-0/0/11.0 {
}
ge-0/0/12.0 {
}
}
no-mac-learning;
}
}
interfaces {
ge-0/0/11 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
}
}
}
ge-0/0/12 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
}
}
}
}
Compruebe los resultados de la configuración en el conmutador de destino:
[edit]
user@switch> show
vlans {
remote-analyzer {
vlan-id 999;
interface {
ge-0/0/13.0 {
ingress;
}
}
}
}
interfaces {
ge-0/0/13 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
}
}
}
ge-0/0/14 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
}
}
}
}
forwarding-options {
analyzer employee-monitor {
input {
ingress {
vlan remote-analyzer;
}
}
output {
interface {
ge-0/0/14.0;
}
}
}
}
Verificación
Para confirmar que la configuración funciona correctamente, realice estas tareas:
Verificar que el analizador se creó correctamente
Propósito
Compruebe que el analizador nombrado employee-monitor se ha creado en el conmutador con las interfaces de entrada adecuadas y la interfaz de salida adecuada.
Acción
Puede comprobar si el analizador está configurado como se esperaba mediante el show analyzer comando. Para ver los analizadores creados anteriormente que están deshabilitados, vaya a la interfaz J-Web.
Para comprobar que el analizador está configurado como se esperaba mientras monitorea todo el tráfico de empleados en el conmutador de origen, ejecute el show analyzer comando en el conmutador de origen. Se muestra el siguiente resultado para esta configuración de ejemplo:
user@switch> show forwarding-options analyzer Analyzer name : employee-monitor Mirror rate : 1 Maximum packet length : 0 State : up Ingress monitored interfaces : ge-0/0/0.0 Ingress monitored interfaces : ge-0/0/1.0 Egress monitored interfaces : ge-0/0/0.0 Egress monitored interfaces : ge-0/0/1.0 Output vlan : default-switch/remote-analyzer
Significado
Esta salida muestra que el employee-monitor analizador tiene una proporción de 1 (reflejando cada paquete, el valor predeterminado), está reflejando el tráfico que ingresa ge-0/0/0 y ge-0/0/1, y envía el tráfico reflejado al analizador remote-analyzer.