Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuración del análisis local y remoto de creación de reflejo de puertos

Configuración de la creación de reflejo de puertos

Utilice la creación de reflejo de puertos para copiar paquetes y enviar las copias a un dispositivo que ejecute una aplicación, como un analizador de red o una aplicación de detección de intrusiones, de modo que pueda analizar el tráfico sin retrasarlo. Puede reflejar el tráfico que entra o sale de un puerto o entrar en una VLAN, y puede enviar las copias a una interfaz de acceso local o a una VLAN a través de una interfaz troncal.

Le recomendamos que deshabilite la creación de reflejo de puertos cuando no la esté utilizando. Para evitar crear un problema de rendimiento Si habilita la creación de reflejo de puertos, le recomendamos que seleccione interfaces de entrada específicas en lugar de usar la palabra clave.all También puede limitar la cantidad de tráfico reflejado mediante un filtro de firewall.

Nota:

Esta tarea utiliza el estilo de configuración Enhanced Layer 2 Software (ELS). Si el conmutador utiliza software que no admite ELS, consulte Configuración de la creación de reflejo de puertos.https://www.juniper.net/documentation/en_US/junos/topics/task/configuration/port-mirroring-qfx-series-cli.html Para obtener detalles de ELS, consulte Uso de la CLI de Enhanced Layer 2 Software.

Nota:

Si desea crear analizadores adicionales sin eliminar un analizador existente, desactive primero el analizador existente mediante el comando.disable analyzer analyzer-name

Nota:

Debe configurar las interfaces de salida de creación de reflejo de puerto como .family ethernet-switching

Configuración de la creación de reflejo de puertos para el análisis local

Para reflejar el tráfico de la interfaz a una interfaz local en el conmutador:

  1. Si desea reflejar el tráfico que entra o sale de interfaces específicas, elija un nombre para la configuración de duplicación de puertos y configure qué tráfico debe reflejarse especificando las interfaces y la dirección del tráfico:
    Nota:

    Si configura Junos OS para reflejar paquetes de salida, no configure más de 2000 VLAN. Si lo hace, es posible que algunos paquetes de VLAN contengan ID de VLAN incorrectos.

    Nota:

    Si configura la creación de reflejo para los paquetes que salen de una interfaz de acceso, los paquetes originales pierden cualquier etiqueta VLAN cuando salen de la interfaz de acceso, pero los paquetes reflejados (copiados) conservan las etiquetas VLAN cuando se envían al sistema del analizador.

  2. Si desea especificar que todo el tráfico que entre en una VLAN se refleje, elija un nombre para la configuración de duplicación de puertos y especifique la VLAN:
    Nota:

    No puede configurar la creación de reflejo de puertos para copiar el tráfico que sale de una VLAN.

  3. Configure la interfaz de destino para los paquetes reflejados:

Configuración de la creación de reflejo de puertos para el análisis remoto

Para reflejar el tráfico a una VLAN para su análisis en una ubicación remota:

  1. Configure una VLAN para transportar el tráfico reflejado:
  2. Configure la interfaz que se conecta a otro conmutador (la interfaz de vínculo ascendente) en modo troncal y asóciela a la VLAN adecuada:
  3. Configure el analizador:
    1. Elija un nombre para el analizador:
    2. Especifique la interfaz que se reflejará y si el tráfico debe reflejarse al entrar o al salir:
    3. Especifique la dirección IP o VLAN adecuada como resultado (en este ejemplo, se especifica una VLAN:

      Si especifica una dirección IP como salida, tenga en cuenta las siguientes restricciones:

      • La dirección no puede estar en la misma subred que ninguna de las interfaces de administración del conmutador.

      • Si crea instancias de enrutamiento virtual y también crea una configuración de analizador que incluya una dirección IP de salida, la dirección de salida pertenece a la instancia de enrutamiento virtual predeterminada ( tabla de enrutamiento).inet.0

      • El dispositivo analizador debe ser capaz de desencapsular paquetes encapsulados en GRE o los paquetes encapsulados en GRE deben desencapsularse antes de llegar al dispositivo analizador. (Puede usar un rastreador de red para desencapsular los paquetes).

Filtrado del tráfico que entra en un analizador

Nota:

Esta funcionalidad no es compatible con dispositivos NFX150.

Además de especificar qué tráfico reflejar mediante la configuración de un analizador, también puede utilizar un filtro de firewall para ejercer más control sobre qué paquetes se copian. Por ejemplo, puede usar un filtro para especificar que solo se refleje el tráfico de determinadas aplicaciones. El filtro puede utilizar cualquiera de las condiciones de coincidencia disponibles y debe tener una acción de modificador de Si utiliza el mismo analizador en varios filtros o términos, los paquetes de salida se copian una sola vez.port-mirror-instance instance-name.

Cuando se utiliza un filtro de firewall como entrada para una instancia de duplicación de puertos, se envía el tráfico copiado a una interfaz local o a una VLAN del mismo modo que se hace cuando no interviene un firewall.

Para configurar la creación de reflejo de puertos con filtros:

  1. Configure una instancia de duplicación de puertos para el análisis local o remoto. Configure solo la salida. Por ejemplo, para el análisis local, escriba:
    Nota:

    No puede configurar la entrada para esta instancia.

  2. Cree un filtro de firewall utilizando cualquiera de las condiciones de coincidencia disponibles. En un término, especifique include el modificador de acción .thenport-mirror-instance instance-name
  3. Aplique el filtro de firewall a las interfaces o VLAN que deben proporcionar la entrada al analizador:

Configuración de la duplicación de puertos en firewalls de la serie SRX

Para configurar la creación de reflejo de puertos en un dispositivo SRX, primero debe configurar el y en el nivel de jerarquía.forwarding-optionsinterfaces[edit]

Debe configurar la instrucción para definir una instancia del puerto para la creación de reflejo del puerto y también configurar la interfaz que se reflejará.forwarding-optionsmirror-to

Nota:

El puerto duplicado y el puerto espejo a deben estar bajo el mismo chipset Broadcom en una tarjeta de E/S.

Para configurar la creación de reflejo de puertos:

  1. Especifique el y en el nivel jerárquico:raterun-length[edit forwarding-options port-mirroring input]
    Nota:
    • rate: Proporción de paquetes a muestrear (1 de cada ) (de 1 a 65535)N

    • run-length: Número de muestras después del disparo inicial (0 a 20)

  2. Para enviar las copias del paquete al puerto, incluya la instrucción en el nivel jerárquico.mirror-to interface intf-name[edit forwarding-options port-mirroring family any output]
    Nota:

    La creación de reflejo de puertos en los firewalls de la serie SRX se utiliza para transferir la información del puerto al motor de reenvío de paquetes (PFE).family anymirror-to El motor de creación de reflejo copia todos los paquetes del puerto al puerto.mirroredmirror-to

Nota:

Puede configurar una cláusula para especificar varios puertos.instancemirror-to

Para reflejar una interfaz, incluya la instrucción en el nivel jerárquico . port-mirror-instance[edit interface mirrored-intf-name]

La interfaz reflejada se configura con un nombre de instancia, definido en el archivo .forwarding-options El puerto y el puerto están vinculados a través de esa instancia.mirroredmirror-to

Nota:

La duplicación de puertos en los firewalls de la serie SRX no diferencia la dirección del tráfico, pero refleja las muestras de entrada y salida juntas .

A continuación se muestra un ejemplo de configuración para la creación de reflejo de puertos:

Ejemplos: Configuración de la creación de reflejo de puertos para el análisis local

Use la creación de reflejo de puertos para enviar tráfico a aplicaciones que analizan el tráfico con fines como supervisar el cumplimiento, aplicar políticas, detectar intrusiones, supervisar y predecir patrones de tráfico, correlacionar eventos, etc. La duplicación de puertos copia los paquetes que entran o salen de una interfaz o que ingresan a una VLAN y envía las copias a una interfaz local para el monitoreo local.

Nota:

En este ejemplo se utiliza el estilo de configuración Enhanced Layer 2 Software (ELS). Para obtener detalles de ELS, consulte Uso de la CLI de Enhanced Layer 2 Software.

En este ejemplo se describe cómo configurar la creación de reflejo de puertos para copiar el tráfico enviado por los equipos de los empleados a un conmutador a una interfaz de acceso en el mismo conmutador.

Requisitos

En este ejemplo, se utilizan los siguientes componentes de hardware y software:

  • Junos OS versión 13.2

  • Un conmutador

Descripción general y topología

En este tema se incluyen dos ejemplos relacionados en los que se describe cómo reflejar el tráfico que entra en las interfaces del conmutador y una interfaz de acceso del mismo conmutador. En el primer ejemplo, se muestra cómo reflejar todo el tráfico enviado por los equipos de los empleados al conmutador. El segundo ejemplo incluye un filtro para reflejar sólo el tráfico de empleados que va a la Web.

Topología

En este ejemplo, y sirven como conexiones para las computadoras de los empleados.xe-0/0/0xe-0/0/6 La interfaz está conectada a un dispositivo que ejecuta una aplicación analizadora.xe-0/0/47

Nota:

Varios puertos reflejados en una interfaz pueden provocar el desbordamiento del búfer y la pérdida de paquetes.

Figura 1 muestra la topología de red de este ejemplo.

Figura 1: Ejemplo de topología de red para creación de reflejo de puerto localEjemplo de topología de red para creación de reflejo de puerto local

Ejemplo: Duplicación de todo el tráfico de empleados para análisis local

Para configurar la creación de reflejo de puertos para todo el tráfico enviado por los equipos de los empleados para su análisis local, realice las tareas que se explican en esta sección.

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente la duplicación de puertos locales para el tráfico de entrada a los dos puertos conectados a los equipos de los empleados, copie los siguientes comandos y péguelos en una ventana de terminal de conmutación:

Procedimiento paso a paso

Para configurar un analizador llamado y especificar las interfaces de entrada (origen) y la interfaz de salida:employee-monitor

  1. Configure las interfaces conectadas a los equipos de los empleados como interfaces de entrada para el analizador de espejo de puerto:employee-monitor

  2. Configure la interfaz del analizador de salida para el analizador.employee-monitor Esta será la interfaz de destino para los paquetes reflejados:

Resultados

Compruebe los resultados de la configuración:

Ejemplo: Duplicación del tráfico web de los empleados con un filtro de firewall

Requisitos

En este ejemplo, se utilizan los siguientes componentes de hardware y software:

  • Un conmutador QFX5100

  • Junos OS versión 14.1X53-D30

Descripción general

En lugar de reflejar todo el tráfico, generalmente es deseable reflejar solo cierto tráfico. Este es un uso más eficiente de su ancho de banda y hardware y puede ser necesario debido a restricciones en estos activos. Para seleccionar tráfico específico para la creación de reflejos, utilice un filtro de firewall para que coincida con el tráfico deseado y lo dirija a una instancia de creación de reflejo de puertos. A continuación, la instancia de duplicación de puertos copia los paquetes y los envía a la VLAN, interfaz o dirección IP de salida.

Configurar

Para especificar que el único tráfico que se reflejará es el tráfico enviado por los empleados a la Web, realice las tareas explicadas en esta sección. Para seleccionar este tráfico para la creación de reflejos, utilice un filtro de firewall para especificar este tráfico y dirigirlo a una instancia de creación de reflejo de puertos.

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente la duplicación del puerto local del tráfico de los equipos de los empleados destinado a la Web, copie los comandos siguientes y péguelos en una ventana de terminal de conmutador:

Procedimiento paso a paso

Para configurar la creación de reflejo del puerto local del tráfico de empleados a web desde los dos puertos conectados a los equipos de los empleados:

  1. Configure la interfaz de salida:

  2. Configure la interfaz de salida.employee-web-monitor (Configure solo la salida: la entrada proviene del filtro).

  3. Configure un filtro de firewall llamado que incluya un término para que coincida con el tráfico enviado a la Web y envíelo a la instancia de creación de reflejo de puertos.watch-employeeemployee-web-monitor No es necesario copiar el tráfico hacia y desde la subred corporativa (destino o dirección de origen de ) , así que cree otro término para aceptar ese tráfico antes de que llegue al término que envía el tráfico web a la instancia:192.0.2.16/28

  4. Aplique el filtro de firewall a las interfaces apropiadas como filtro de entrada (los filtros de salida no permiten analizadores):

Resultados

Compruebe los resultados de la configuración:

Verificación

Comprobación de que el analizador se ha creado correctamente

Propósito

Verifique que la instancia de duplicación de puertos denominada se haya creado en el conmutador con las interfaces de entrada y la interfaz de salida adecuadas.employee-web-monitor

Acción

Puede comprobar que la instancia de duplicación de puertos se ha configurado según lo esperado mediante el comando.show forwarding-options port-mirroring

Significado

Este resultado muestra la siguiente información acerca de la instancia de creación de reflejo de puertos:employee-web-monitor

  • Tiene una velocidad de (duplicar cada paquete, la configuración predeterminada)1

  • El número de paquetes consecutivos muestreados (longitud de ejecución) es 0

  • El tamaño máximo del paquete original que se reflejó es ( indica todo el paquete)00

  • El estado de los parámetros de salida: up Indica que la instancia refleja el tráfico que entra en las interfaces xe-0/0/0 y xe-0/0/6 y envía el tráfico reflejado a la interfaz xe-0/0/47

Si el estado de la interfaz de salida es o si la interfaz de salida no está configurada, el valor será y la instancia no se programará para la creación de reflejo.downstatedown

Ejemplo: Configuración de la creación de reflejo de puertos para el análisis remoto

Use la creación de reflejo de puertos para enviar tráfico a aplicaciones que analizan el tráfico con fines como supervisar el cumplimiento, aplicar políticas, detectar intrusiones, supervisar y predecir patrones de tráfico, correlacionar eventos, etc. La duplicación de puertos copia los paquetes que entran o salen de una interfaz o que ingresan una VLAN y envía las copias a una interfaz local para monitoreo local o a una VLAN para monitoreo remoto. En este ejemplo se describe cómo configurar la creación de reflejo de puertos para el análisis remoto.

Requisitos

En este ejemplo, se utilizan los siguientes componentes de hardware y software:

  • Junos OS versión 13.2 para la serie QFX

  • Un conmutador

Descripción general y topología

En este tema se incluyen dos ejemplos relacionados en los que se describe cómo reflejar el tráfico que entra en los puertos del conmutador a una VLAN del analizador para que pueda realizar el análisis mediante un dispositivo remoto. En el primer ejemplo, se muestra cómo reflejar todo el tráfico enviado por los equipos de los empleados al conmutador. El segundo ejemplo incluye un filtro para reflejar sólo el tráfico de empleados que va a la Web.

Topología

En este ejemplo:

  • Interfaces y son interfaces de capa 2 que se conectan a los equipos de los empleados.ge-0/0/0ge-0/0/1

  • La interfaz es una interfaz de capa 2 que se conecta a otro conmutador.ge-0/0/2

  • La VLAN está configurada en todos los conmutadores de la topología para transportar el tráfico reflejado.remote-analyzer

Nota:

Además de realizar los pasos de configuración descritos aquí, también debe configurar la VLAN del analizador (en este ejemplo) en los demás conmutadores que se utilizan para conectar el conmutador de origen ( el de esta configuración) al que está conectada la estación de supervisión.remote-analyzer

Duplicación de todo el tráfico de empleados para análisis remoto

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente esta sección del ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, a continuación, copie y pegue los comandos en la CLI en el nivel de jerarquía:edit

Procedimiento paso a paso

Para configurar la creación básica de reflejo de puerto remoto:

  1. Configure la VLAN del analizador (llamada en este ejemplo):remote-analyzer

  2. Configure la interfaz conectada a otro conmutador para el modo troncal y asóciela a la VLAN:remote-analyzer

  3. Configure el analizador:employee-monitor

  4. Configure la VLAN en los conmutadores que conectan este conmutador a la estación de trabajo de supervisión.remote-analyzer

Resultados

Compruebe los resultados de la configuración:

Duplicación del tráfico de empleados a la web para análisis remoto

Configuración rápida de CLI

Para configurar rápidamente esta sección del ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, a continuación, copie y pegue los comandos en la CLI en el nivel de jerarquía:edit

Procedimiento

Procedimiento paso a paso
  1. Configure la VLAN del analizador (llamada en este ejemplo):remote-analyzer

  2. Configure una interfaz para asociarla con la VLAN:remote-analyzer

  3. Configure el analizador.employee-web-monitor (Configure solo la salida: la entrada proviene del filtro).

  4. Configure un filtro de firewall llamado para que coincida con el tráfico enviado a la Web y envíelo al analizador :watch-employeeemployee-web-monitor

  5. Aplique el filtro de firewall a las interfaces apropiadas como filtro de entrada:

  6. Configure la VLAN en los conmutadores que conectan este conmutador a la estación de trabajo de supervisión.remote-analyzer

Resultados

Compruebe los resultados de la configuración:

Verificación

Comprobación de que el analizador se ha creado correctamente

Propósito

Verifique que el analizador denominado o creado en el conmutador con las interfaces de entrada y la interfaz de salida adecuadas.employee-monitoremployee-web-monitor

Acción

Puede comprobar que el analizador de espejo de puertos está configurado como se esperaba mediante el comando.show analyzer

Significado

Este resultado muestra que el analizador está reflejando el tráfico que entra y está enviando el tráfico de reflejo al analizador.employee-monitorge-0/0/0ge-0/0/1remote-analyzer