Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configurar la duplicación de puertos para destinos remotos

Duplicación de puerto de capa 2 en destino remoto mediante el destino como VLAN

Configure la duplicación de puertos en un conmutador EX9200 para enviar copias del tráfico a un destino de salida, como una interfaz, una instancia de enrutamiento o una VLAN; y para el tráfico de entrada, puede configurar un término de filtro de firewall con varias condiciones y acciones de coincidencia.

Cuando configura la VLAN como el destino de salida en una configuración de duplicación de puerto, el tráfico de cada sesión de duplicación de puerto se lleva a través de una VLAN especificada por el usuario que está dedicada a esa sesión de duplicación en todos los conmutadores participantes. El tráfico reflejado se copia en esa VLAN (también llamada VLAN de espejo) y se reenvía a las interfaces, que son miembros de la VLAN de espejo. Las interfaces de destino, que son miembros de la VLAN reflejada, pueden abarcar varios conmutadores de la red, siempre que se use la misma VLAN de duplicación remota para una sesión de duplicación en todos los conmutadores.

Puede usar la port-mirror o port-mirror-instance acción en la configuración del filtro de firewall cuando espeje el tráfico en destinos remotos mediante la configuración de una VLAN como destino de salida de duplicación de puerto.

Duplicación de puertos de la capa 2 de configuración en una VLAN remota

Los conmutadores EX9200 le permiten configurar la duplicación para enviar copias de paquetes a una interfaz local para la supervisión local o a una VLAN para la supervisión remota. Puede usar la duplicación para copiar los siguientes paquetes:

  • Paquetes que entran o salen de un puerto

  • Paquetes que ingresan o salen de una VLAN

prácticas recomendadas:

Refleje solo los paquetes necesarios para reducir el potencial impacto en el rendimiento. Recomendamos que:

  • Desactive la duplicación de puertos que haya configurado cuando no los esté utilizando.

  • Especifique interfaces individuales como entrada en lugar de especificar todas las interfaces como entrada en una configuración de duplicación de puerto.

  • Limite la cantidad de tráfico reflejado de la siguiente manera:

    • Uso de muestras estadísticas.

    • Establecer ratios para seleccionar muestras estadísticas.

    • Uso de filtros de firewall.

Configurar la duplicación de puertos en una VLAN remota

Para filtrar paquetes que se reflejarán en una instancia de duplicación de puerto, cree la instancia y úselo como acción en el filtro de firewall. Puede usar filtros de firewall en configuraciones de duplicación local y remota.

Si se utiliza la misma instancia de duplicación de puerto en varios filtros o términos, los paquetes se copian en el puerto de salida de duplicación de puerto o en la VLAN de duplicación de puerto solo una vez.

Para filtrar el tráfico reflejado, cree una instancia de duplicación de puerto en el [edit forwarding-options] nivel de jerarquía y, a continuación, cree un filtro de firewall. El filtro puede usar cualquiera de las condiciones de coincidencia disponibles y debe tener port-mirror-instance instance-name como acción. Esta acción en la configuración del filtro de firewall proporciona la entrada a la instancia de duplicación de puerto.

Para configurar una instancia de duplicación de puerto con filtros de firewall:

  1. Configure el nombre de la instancia de duplicación de puerto y establezca el destino de salida en una VLAN:

    Por ejemplo, configure una instancia employee-monitor de duplicación de puerto y establezca el destino de salida en un ID 999de VLAN:

  2. Cree un filtro de firewall mediante cualquiera de las condiciones de coincidencia disponibles y asigne el nombre de la instancia de duplicación de puerto como una acción en la configuración del filtro de firewall.

    Por ejemplo, cree un filtro de firewall llamado example-filter con dos términos no-analyzer y , y to-analyzerasigne el to-analyzer término a la employee-monitor instancia de duplicación de puerto:

    1. Cree el primer término para definir el tráfico que no debe pasar a la instancia employee-monitorde duplicación de puerto:
    2. Cree el segundo término para definir el tráfico que debe pasar a la instancia employee-monitorde duplicación de puerto:
  3. Aplique el filtro de firewall a una interfaz o VLAN que proporcione entrada a la instancia de duplicación de puerto.

    Para aplicar un filtro de firewall a una interfaz:

    Para aplicar un filtro de firewall a una VLAN:

    Por ejemplo, para aplicar el filtro de example-filter firewall a la interfaz ge-0/0/1:

    Por ejemplo, para aplicar el example-filter filtro a la source-vlan VLAN:

Ejemplo: Configuración de la duplicación de puertos de capa 2 en VLAN remota

Los conmutadores EX9200 le permiten configurar la duplicación para enviar copias de paquetes a una interfaz local para la supervisión local o a una VLAN para la supervisión remota. Puede usar la duplicación para copiar estos paquetes:

  • Paquetes que entran o salen de un puerto

  • Paquetes que ingresan o que ya están en una VLAN

Puede analizar el tráfico reflejado mediante una aplicación de analizador de protocolo que se ejecuta en una estación de monitoreo remota si envía tráfico reflejado a una VLAN de analizador.

En este tema, se incluyen dos ejemplos relacionados que describen cómo reflejar el tráfico que entra en los puertos del conmutador a la remote-analyzer VLAN para que pueda realizar análisis desde una estación de supervisión remota. El primer ejemplo muestra cómo reflejar todo el tráfico que entra en los puertos conectados a las computadoras de los empleados. En el segundo ejemplo, se muestra la misma situación, pero incluye un filtro para reflejar solo el tráfico de empleados que va a la Web.

prácticas recomendadas:

Refleje solo los paquetes necesarios para reducir el potencial impacto en el rendimiento. Recomendamos que:

  • Desactive las sesiones de duplicación configuradas cuando no las esté utilizando.

  • Especifique interfaces individuales como entrada a los analizadores en lugar de especificar todas las interfaces como entrada.

  • Limite la cantidad de tráfico reflejado mediante filtros de firewall.

En este ejemplo, se describe cómo configurar la duplicación remota:

Requisitos

Antes de configurar la duplicación remota, asegúrese de que:

  • Tienes una comprensión de los conceptos de duplicación.

  • Las interfaces que utilizará la duplicación de puertos a medida que las interfaces de salida se configuraron en el conmutador.

Descripción general y topología

En este tema, se incluyen dos ejemplos relacionados que describen cómo configurar la duplicación en la remote-analyzer VLAN para que el análisis se pueda realizar desde una estación de supervisión remota. En el primer ejemplo, se muestra cómo configurar un conmutador para reflejar todo el tráfico de los equipos de los empleados. En el segundo ejemplo, se muestra la misma situación, pero la configuración incluye un filtro para reflejar solo el tráfico de empleados que va a la Web.

Figura 1 muestra la topología de red para ambos escenarios de ejemplo.

Topología

Figura 1: Ejemplo de topología de red de replicación remotaEjemplo de topología de red de replicación remota

En este ejemplo:

  1. La interfaz ge-0/0/0 es una interfaz de capa 2, y la interfaz ge-0/0/1 es una interfaz de capa 2 (ambas interfaces en el conmutador de origen) que sirven como conexiones para las computadoras de los empleados.

  2. La interfaz ge-0/0/10 es una interfaz de capa 2 que conecta el conmutador de origen al conmutador de destino.

  3. La interfaz ge-0/0/5 es una interfaz de capa 2 que conecta el conmutador de destino a la estación de monitoreo remoto.

  4. La VLAN remote-analyzer se configura en todos los conmutadores de la topología para transportar el tráfico reflejado.

Replicación del tráfico del empleado a la web para el análisis remoto

Para configurar la duplicación de puertos para el análisis de tráfico remoto del tráfico del empleado a la web, realice estas tareas:

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente la duplicación de puertos para reflejar el tráfico de los empleados en el Web externo, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:

  • Copie y pegue los siguientes comandos en la ventana terminal del conmutador de origen:

  • Copie y pegue los siguientes comandos en la ventana terminal del conmutador de destino:

Procedimiento paso a paso

Para configurar la duplicación de puertos de todo el tráfico desde los dos puertos conectados a los equipos de los empleados a la remote-analyzer VLAN para su uso desde una estación de monitoreo remoto:

  1. En el conmutador de origen:

    1. Configure la instancia de employee-web-monitor duplicación de puerto:

    2. Configure el ID de VLAN para la remote-analyzer VLAN:

    3. Configure la interfaz para asociarla con la remote-analyzer VLAN:

    4. Configure el filtro de firewall llamado watch-employee:

      En esta configuración, el employee-to-corp término define que el tráfico de la dirección 192.0.2.16/28 de destino y la dirección 192.0.2.16/28 de origen puede aceptarse para pasar por el conmutador, y el término define que el employee-to-web tráfico desde el puerto 80 debe enviarse a la instancia employee-web-monitorde duplicación de puerto.

    5. Aplique el filtro de firewall a las interfaces de los empleados:

  2. En el conmutador de destino:

    • Configure el ID de VLAN para la remote-analyzer VLAN:

    • Configure la interfaz en el conmutador de destino para el modo de acceso y asociela a la remote-analyzer VLAN:

    • Configure la interfaz conectada al conmutador de destino para el modo de acceso y asóciela a la remote-analyzer VLAN:

Resultados

Compruebe los resultados de la configuración en el conmutador de origen:

Compruebe los resultados de la configuración en el conmutador de destino:

Verificación

Para confirmar que la configuración funciona correctamente, realice estas tareas:

Verificar que la instancia de duplicación de puerto se ha creado correctamente

Propósito

Compruebe que la instancia employee-web-monitor de espejo de puerto se creó en el conmutador con la VLAN de salida adecuada.

Acción

Puede comprobar que el espejo de puerto está configurado como se esperaba mediante el show forwarding-options port-mirror comando. Para ver los analizadores creados anteriormente que están deshabilitados, vaya a la interfaz J-Web.

Para comprobar que el espejo de puerto está configurado como se esperaba mientras monitorea el tráfico de empleados en el conmutador de origen, ejecute el show forwarding-options port-miror comando en el conmutador de origen. El siguiente resultado se muestra para este ejemplo de configuración:

Significado

Este resultado muestra que la employee-web-monitor instancia tiene una relación de 1 (duplicación de cada paquete, que es el valor predeterminado), el tamaño máximo del paquete original que se espeló (0 indica el paquete completo), el estado de la configuración está activo (lo que indica el estado adecuado y que el analizador está programado, está reflejando el tráfico que ingresa ge-0/0/0 y ge-0/0/1, y envía el tráfico reflejado a la VLAN llamado remote-analyzer).