Configurar la duplicación de puertos para destinos remotos
Duplicación de puerto de capa 2 en destino remoto mediante el destino como VLAN
Configure la duplicación de puertos en un conmutador EX9200 para enviar copias del tráfico a un destino de salida, como una interfaz, una instancia de enrutamiento o una VLAN; y para el tráfico de entrada, puede configurar un término de filtro de firewall con varias condiciones y acciones de coincidencia.
Cuando configura la VLAN como el destino de salida en una configuración de duplicación de puerto, el tráfico de cada sesión de duplicación de puerto se lleva a través de una VLAN especificada por el usuario que está dedicada a esa sesión de duplicación en todos los conmutadores participantes. El tráfico reflejado se copia en esa VLAN (también llamada VLAN de espejo) y se reenvía a las interfaces, que son miembros de la VLAN de espejo. Las interfaces de destino, que son miembros de la VLAN reflejada, pueden abarcar varios conmutadores de la red, siempre que se use la misma VLAN de duplicación remota para una sesión de duplicación en todos los conmutadores.
Puede usar la port-mirror o port-mirror-instance acción en la configuración del filtro de firewall cuando espeje el tráfico en destinos remotos mediante la configuración de una VLAN como destino de salida de duplicación de puerto.
Duplicación de puertos de la capa 2 de configuración en una VLAN remota
Los conmutadores EX9200 le permiten configurar la duplicación para enviar copias de paquetes a una interfaz local para la supervisión local o a una VLAN para la supervisión remota. Puede usar la duplicación para copiar los siguientes paquetes:
Paquetes que entran o salen de un puerto
Paquetes que ingresan o salen de una VLAN
Refleje solo los paquetes necesarios para reducir el potencial impacto en el rendimiento. Recomendamos que:
Desactive la duplicación de puertos que haya configurado cuando no los esté utilizando.
Especifique interfaces individuales como entrada en lugar de especificar todas las interfaces como entrada en una configuración de duplicación de puerto.
Limite la cantidad de tráfico reflejado de la siguiente manera:
Uso de muestras estadísticas.
Establecer ratios para seleccionar muestras estadísticas.
Uso de filtros de firewall.
Configurar la duplicación de puertos en una VLAN remota
Para filtrar paquetes que se reflejarán en una instancia de duplicación de puerto, cree la instancia y úselo como acción en el filtro de firewall. Puede usar filtros de firewall en configuraciones de duplicación local y remota.
Si se utiliza la misma instancia de duplicación de puerto en varios filtros o términos, los paquetes se copian en el puerto de salida de duplicación de puerto o en la VLAN de duplicación de puerto solo una vez.
Para filtrar el tráfico reflejado, cree una instancia de duplicación de puerto en el [edit forwarding-options] nivel de jerarquía y, a continuación, cree un filtro de firewall. El filtro puede usar cualquiera de las condiciones de coincidencia disponibles y debe tener port-mirror-instance instance-name como acción. Esta acción en la configuración del filtro de firewall proporciona la entrada a la instancia de duplicación de puerto.
Para configurar una instancia de duplicación de puerto con filtros de firewall:
Ejemplo: Configuración de la duplicación de puertos de capa 2 en VLAN remota
Los conmutadores EX9200 le permiten configurar la duplicación para enviar copias de paquetes a una interfaz local para la supervisión local o a una VLAN para la supervisión remota. Puede usar la duplicación para copiar estos paquetes:
Paquetes que entran o salen de un puerto
Paquetes que ingresan o que ya están en una VLAN
Puede analizar el tráfico reflejado mediante una aplicación de analizador de protocolo que se ejecuta en una estación de monitoreo remota si envía tráfico reflejado a una VLAN de analizador.
En este tema, se incluyen dos ejemplos relacionados que describen cómo reflejar el tráfico que entra en los puertos del conmutador a la remote-analyzer VLAN para que pueda realizar análisis desde una estación de supervisión remota. El primer ejemplo muestra cómo reflejar todo el tráfico que entra en los puertos conectados a las computadoras de los empleados. En el segundo ejemplo, se muestra la misma situación, pero incluye un filtro para reflejar solo el tráfico de empleados que va a la Web.
Refleje solo los paquetes necesarios para reducir el potencial impacto en el rendimiento. Recomendamos que:
Desactive las sesiones de duplicación configuradas cuando no las esté utilizando.
Especifique interfaces individuales como entrada a los analizadores en lugar de especificar todas las interfaces como entrada.
Limite la cantidad de tráfico reflejado mediante filtros de firewall.
En este ejemplo, se describe cómo configurar la duplicación remota:
- Requisitos
- Descripción general y topología
- Replicación del tráfico del empleado a la web para el análisis remoto
- Verificación
Requisitos
Antes de configurar la duplicación remota, asegúrese de que:
Tienes una comprensión de los conceptos de duplicación.
Las interfaces que utilizará la duplicación de puertos a medida que las interfaces de salida se configuraron en el conmutador.
Descripción general y topología
En este tema, se incluyen dos ejemplos relacionados que describen cómo configurar la duplicación en la remote-analyzer VLAN para que el análisis se pueda realizar desde una estación de supervisión remota. En el primer ejemplo, se muestra cómo configurar un conmutador para reflejar todo el tráfico de los equipos de los empleados. En el segundo ejemplo, se muestra la misma situación, pero la configuración incluye un filtro para reflejar solo el tráfico de empleados que va a la Web.
Figura 1 muestra la topología de red para ambos escenarios de ejemplo.
Topología
En este ejemplo:
La interfaz ge-0/0/0 es una interfaz de capa 2, y la interfaz ge-0/0/1 es una interfaz de capa 2 (ambas interfaces en el conmutador de origen) que sirven como conexiones para las computadoras de los empleados.
La interfaz ge-0/0/10 es una interfaz de capa 2 que conecta el conmutador de origen al conmutador de destino.
La interfaz ge-0/0/5 es una interfaz de capa 2 que conecta el conmutador de destino a la estación de monitoreo remoto.
La VLAN
remote-analyzerse configura en todos los conmutadores de la topología para transportar el tráfico reflejado.
Replicación del tráfico del empleado a la web para el análisis remoto
Para configurar la duplicación de puertos para el análisis de tráfico remoto del tráfico del empleado a la web, realice estas tareas:
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente la duplicación de puertos para reflejar el tráfico de los empleados en el Web externo, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:
Copie y pegue los siguientes comandos en la ventana terminal del conmutador de origen:
[edit] set forwarding-options port-mirroring instance employee-web-monitor output vlan 999 set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 set firewall family ethernet-switching filter watch-employee term employee-to-corp from destination-address 192.0.2.16/28 set firewall family ethernet-switching filter watch-employee term employee-to-corp from source-address 192.0.2.16/28 set firewall family ethernet-switching filter watch-employee term employee-to-corp then accept set firewall family ethernet-switching filter watch-employee term employee-to-web from destination-port 80 set firewall family ethernet-switching filter watch-employee term employee-to-web then port-mirror-instance employee-web-monitor set interfaces ge-0/0/0 unit 0 family ethernet-switching filter input watch-employee set interfaces ge-0/0/1 unit 0 family ethernet-switching filter input watch-employee
Copie y pegue los siguientes comandos en la ventana terminal del conmutador de destino:
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 set interfaces ge-0/0/5 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/5 unit 0 family ethernet-switching vlan members 999
Procedimiento paso a paso
Para configurar la duplicación de puertos de todo el tráfico desde los dos puertos conectados a los equipos de los empleados a la remote-analyzer VLAN para su uso desde una estación de monitoreo remoto:
En el conmutador de origen:
Configure la instancia de
employee-web-monitorduplicación de puerto:[edit ] user@switch# set interfaces ge-0/0/10 unit 0 family ethernet-switching port mode access user@switch# set forwarding-options port-mirroring instance employee-web-monitor output vlan 999
Configure el ID de VLAN para la
remote-analyzerVLAN:[edit vlans] user@switch# set remote-analyzer vlan-id 999
Configure la interfaz para asociarla con la
remote-analyzerVLAN:[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999
Configure el filtro de firewall llamado
watch-employee:[edit firewall family ethernet-switching] user@switch# set filter watch-employee term employee-to-corp from destination-address 192.0.2.16/28 user@switch# set filter watch-employee term employee-to-corp from source-address 192.0.2.16/28 user@switch# set filter watch-employee term employee-to-corp then accept user@switch# set filter watch-employee term employee-to-web from destination-port 80 user@switch# set filter watch-employee term employee-to-web then port-mirror-instance employee-web-monitor
En esta configuración, el
employee-to-corptérmino define que el tráfico de la dirección192.0.2.16/28de destino y la dirección192.0.2.16/28de origen puede aceptarse para pasar por el conmutador, y el término define que elemployee-to-webtráfico desde el puerto80debe enviarse a la instanciaemployee-web-monitorde duplicación de puerto.Aplique el filtro de firewall a las interfaces de los empleados:
[edit interfaces] user@switch# set ge-0/0/0 unit 0 family ethernet-switching filter input watch-employee user@switch# set ge-0/0/1 unit 0 family ethernet-switching filter input watch-employee
En el conmutador de destino:
Configure el ID de VLAN para la
remote-analyzerVLAN:[edit vlans] user@switch# set remote-analyzer vlan-id 999
Configure la interfaz en el conmutador de destino para el modo de acceso y asociela a la
remote-analyzerVLAN:[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching interface-mode access user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999
Configure la interfaz conectada al conmutador de destino para el modo de acceso y asóciela a la
remote-analyzerVLAN:[edit interfaces] user@switch# set ge-0/0/5 unit 0 family ethernet-switching interface-mode access user@switch# set ge-0/0/5 unit 0 family ethernet-switching vlan members 999
Resultados
Compruebe los resultados de la configuración en el conmutador de origen:
[edit]
user@switch> show
interfaces {
ge-0/0/10 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members remote-analyzer;
}
}
}
}
ge-0/0/0 {
unit 0 {
family ethernet-switching {
filter {
input watch-employee;
}
}
}
}
ge-0/0/1 {
unit 0 {
family ethernet-switching {
filter {
input watch-employee;
}
}
}
}
}
firewall {
family ethernet-switching {
filter watch-employee {
term employee-to-corp {
from {
source-address {
192.0.2.16/28;
}
destination-address {
192.0.2.16/28;
}
}
then accept;
}
term employee-to-web {
from {
destination-port 80;
}
then port-mirror-instance employee-web-monitor;
}
}
}
}
forwarding-options {
analyzer employee-web-monitor {
output {
vlan {
999;
}
}
}
vlans {
remote-analyzer {
vlan-id 999;
}
}
Compruebe los resultados de la configuración en el conmutador de destino:
[edit]
user@switch> show
vlans {
remote-analyzer {
vlan-id 999;
}
}
interfaces {
ge-0/0/10 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members remote-analyzer;
}
}
}
}
ge-0/0/5 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members remote-analyzer;
}
}
}
}
}
Verificación
Para confirmar que la configuración funciona correctamente, realice estas tareas:
Verificar que la instancia de duplicación de puerto se ha creado correctamente
Propósito
Compruebe que la instancia employee-web-monitor de espejo de puerto se creó en el conmutador con la VLAN de salida adecuada.
Acción
Puede comprobar que el espejo de puerto está configurado como se esperaba mediante el show forwarding-options port-mirror comando. Para ver los analizadores creados anteriormente que están deshabilitados, vaya a la interfaz J-Web.
Para comprobar que el espejo de puerto está configurado como se esperaba mientras monitorea el tráfico de empleados en el conmutador de origen, ejecute el show forwarding-options port-miror comando en el conmutador de origen. El siguiente resultado se muestra para este ejemplo de configuración:
user@switch> show forwarding-options port-mirror
Instance Name: employee-web-monitor
Instance Id: 3
Input parameters:
Rate : 1
Run-length : 0
Maximum-packet-length : 0
Output parameters:
Family State Destination Next-hop
ethernet-switching up default-switch/remote-analyzer
Significado
Este resultado muestra que la employee-web-monitor instancia tiene una relación de 1 (duplicación de cada paquete, que es el valor predeterminado), el tamaño máximo del paquete original que se espeló (0 indica el paquete completo), el estado de la configuración está activo (lo que indica el estado adecuado y que el analizador está programado, está reflejando el tráfico que ingresa ge-0/0/0 y ge-0/0/1, y envía el tráfico reflejado a la VLAN llamado remote-analyzer).