Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuración del análisis de duplicación de puertos local y remoto

Configuración del reflejo de puertos

Utilice el duplicado de puertos para copiar paquetes y enviar las copias a un dispositivo que ejecute una aplicación como un analizador de red o una aplicación de detección de intrusos para que pueda analizar el tráfico sin demorarlo. Puede reflejar el tráfico que entra o sale de un puerto o que entra en una VLAN, y puede enviar las copias a una interfaz de acceso local o a una VLAN a través de una interfaz troncal.

Recomendamos que desactive la creación de reflejos de puerto cuando no lo esté usando. Para evitar la creación de un problema de rendimiento si habilita el reflejo de puertos, le recomendamos que seleccione interfaces de entrada específicas en lugar all de usar la palabra clave. También puede limitar la cantidad de tráfico reflejado mediante un filtro de Firewall.

Nota:

Esta tarea utiliza el estilo de configuración software de capa 2 mejorado (ELS). Si su conmutador ejecuta software que no admite ELS, consulte Configuring Port Mirroring. Para obtener detalles de ELS, consulte uso de la avanzada CLI de software de capa 2.

Nota:

Si desea crear analizadores adicionales sin eliminar un analizador existente, desactive primero el analizador existente con el disable analyzer analyzer-name comando.

Nota:

Debe configurar las interfaces de salida de la creación de reflejo del puerto como family ethernet-switching .

Configuración del duplicado de puertos para análisis local

Para reflejar el tráfico de interfaz en una interfaz local del conmutador:

  1. Si desea reflejar el tráfico que se encuentra en interfaces específicas de entrada o salida, elija un nombre para la configuración de la creación de reflejo del puerto y configure qué tráfico debe reflejarse especificando las interfaces y la dirección del tráfico:
    Nota:

    Si configura Junos OS para que refleje los paquetes de salida, no configure más de 2000 VLAN. Si lo hace, algunos paquetes VLAN podrían contener ID de VLAN incorrectos.

    Nota:

    Si configura la creación de reflejos para paquetes que salen de una interfaz de acceso, los paquetes originales pierden cualquier etiqueta VLAN al salir de la interfaz de acceso, pero los paquetes duplicados (copiados) conservan las etiquetas VLAN cuando se envían al sistema Analyzer.

  2. Si desea especificar que todo el tráfico que entra en una VLAN debe reflejarse, elija un nombre para la configuración de la creación de reflejo del puerto y especifique la VLAN:
    Nota:

    No puede configurar el reflejo de puerto para copiar el tráfico que salida de una VLAN.

  3. Configure la interfaz de destino para los paquetes reflejados:

Configuración del espejado de puertos para análisis remoto

Para reflejar el tráfico en una VLAN para analizarlo en una ubicación remota:

  1. Configure una VLAN para transportar el tráfico reflejado:
  2. Configure la interfaz que conecta con otro conmutador (la interfaz de vínculo superior) al modo de tronco y asócielo con la VLAN adecuada:
  3. Configure el analizador:
    1. Elija un nombre para el analizador:
    2. Especifique la interfaz que se va a reflejar y si el tráfico debe reflejarse en la entrada o salida:
    3. Especifique la dirección IP o VLAN adecuada como la salida (en este ejemplo se especifica una VLAN:

      Si especifica una dirección IP como la salida, tenga en cuenta las siguientes restricciones:

      • La dirección no puede estar en la misma subred que ninguna de las interfaces de administración del conmutador.

      • Si crea instancias de enrutamiento virtual y crea también una configuración de analizador que incluye una dirección IP de salida, la dirección de salida pertenece a la instancia predeterminadainet.0 de enrutamiento virtual (tabla de enrutamiento).

      • El dispositivo de Analyzer debe poder desencapsular los paquetes encapsulados con GRE o los paquetes encapsulados con GRE se deben desencapsular antes de que lleguen al dispositivo de Analyzer. (Puede utilizar un rastreador de redes para desencapsular los paquetes.)

Filtrado del tráfico entrando en un analizador

Nota:

Esta funcionalidad no se admite en dispositivos NFX150.

Además de especificar qué tráfico se va a reflejar configurando un analizador, también puede utilizar un filtro de Firewall para ejercer mayor control sobre qué paquetes se copian. Por ejemplo, puede usar un filtro para especificar que solo se va a reflejar en el tráfico de determinadas aplicaciones. El filtro puede utilizar cualquiera de las condiciones de coincidencia disponibles y debe tener una acción de modificador port-mirror-instance instance-name. si se utiliza el mismo analizador en varios filtros o términos, los paquetes de salida solo se copian una vez.

Cuando utiliza un filtro de cortafuegos como entrada para una instancia de creación de reflejo de puerto, envía el tráfico copiado a una interfaz local o a una VLAN igual que lo hace cuando no interviene un firewall.

Para configurar la creación de reflejos de puerto con filtros:

  1. Configure una instancia de creación de reflejos de puerto para análisis local o remoto. Configure solo el resultado. Por ejemplo, para el análisis local, escriba:
    Nota:

    No puede configurar entradas para esta instancia.

  2. Cree un filtro de firewall con cualquiera de las condiciones de coincidencia disponibles. En un then término, especifique incluir el modificador de port-mirror-instance instance-nameacción.
  3. Aplique el filtro de Firewall a las interfaces o VLAN que deben proporcionar la entrada al analizador:

Configuración de la duplicación de puertos en dispositivos SRX

Para configurar la creación de reflejo de puertos en un dispositivo SRX, primero debe configurar el y forwarding-optionsinterfaces en el nivel [edit] jerárquico.

Debe configurar la instrucción para definir una instancia del puerto para la creación de reflejo de puertos y también configurar la forwarding-options interfaz para que se mirror-to espepese.

Nota:

El puerto reflejado y el puerto reflejado en deben estar bajo el mismo chipset de Broadcom en una tarjeta de E/S.

Para configurar la creación de reflejo de puertos:

  1. Especifique el rate y en el nivel de run-length[edit forwarding-options port-mirroring input] jerarquía:
    Nota:
    • rate: Proporción de paquetes a tomar como muestra (1 de N)(del 1 al 65535)

    • run-length: Número de muestras después del disparador inicial (del 0 al 20)

  2. Para enviar las copias del paquete al mirror-to puerto, incluya la interface intf-name instrucción en el nivel de [edit forwarding-options port-mirroring family any output] jerarquía.
    Nota:

    La duplicación de puertos en dispositivos SRX se utiliza para transferir la información del puerto family anymirror-to al motor de reenvío de paquetes puerto (PFE). El motor de creación de reflejo copia todos los mirrored paquetes desde el puerto al mirror-to puerto.

Nota:

Puede configurar una cláusula instance para especificar varios mirror-to puertos.

Para reflejar una interfaz, incluya la port-mirror-instance instrucción en el nivel de [edit interface mirrored-intf-name] jerarquía.

La interfaz reflejada está configurada con un nombre de instancia definido en forwarding-options el . El mirrored puerto y el puerto se mirror-to vinculan a través de esa instancia.

Nota:

La duplicación de puertos en dispositivos SRX no diferencia la dirección del tráfico, sino que refleja las muestras de entrada y salida juntos.

A continuación, se muestra una configuración de ejemplo para la creación de reflejo de puertos:

Cita Configuración del duplicado de puertos para análisis local

Utilice la creación de reflejos de puertos para enviar tráfico a aplicaciones que analicen el tráfico con el fin de supervisar el cumplimiento, aplicar políticas, detectar intrusiones, supervisar y predecir los patrones de tráfico, correlacionar eventos, etc. El duplicado del puerto copia los paquetes que entran o salen de una interfaz o que entran en una VLAN, y envía lascopias a una interfaz local para su supervisión local.

Nota:

En este ejemplo se usa el estilo de configuración software de capa 2 mejorado (ELS). Para obtener detalles de ELS, consulte uso de la avanzada CLI de software de capa 2.

En este ejemplo se describe cómo configurar la creación de reflejo del puerto para copiar el tráfico enviado por los equipos de los empleados a un conmutador a una interfaz de acceso en el mismo conmutador.

Aplicables

En este ejemplo se utilizan los siguientes componentes de hardware y software:

  • Junos OS versión 13,2

  • Un conmutador

Descripción general y topología

Este tema incluye dos ejemplos relacionados que describen cómo reflejar el tráfico que entra en las interfaces del conmutador a una interfaz de acceso en el mismo conmutador. El primer ejemplo muestra cómo reflejar todo el tráfico enviado por los equipos de los empleados al conmutador. El segundo ejemplo incluye un filtro para reflejar solo el tráfico de los empleados que se dirige al Web.

Topología

En este ejemplo, xe-0/0/0 y xe-0/0/6 servir como conexiones para los equipos de los empleados. La xe-0/0/47 interfaz está conectada a un dispositivo que ejecuta una aplicación de Analyzer.

Nota:

Varios puertos reflejados en una interfaz pueden generar desbordamiento de búfer y paquetes perdidos.

Figura 1muestra la topología de red de este ejemplo.

Figura 1: Topología de red para el ejemplo de duplicación de puertos localesTopología de red para el ejemplo de duplicación de puertos locales

Ejemplo Espejado de todo el tráfico de empleados para análisis local

Para configurar el reflejo de puertos para todo el tráfico que envían los equipos de los empleados para su análisis local, realice las tareas explicadas en esta sección.

Modalidades

Configuración rápida de CLI

Para configurar rápidamente el reflejo de puertos locales para el tráfico de entrada a dos puertos conectados a los equipos de los empleados, copie los comandos siguientes y péguelos en una ventana de terminal del conmutador:

Procedimiento paso a paso

Para configurar un analizador llamado employee-monitor y especificar las interfaces de entrada (origen) y la interfaz de salida:

  1. Configure las interfaces conectadas a los equipos de los empleados como interfaces de entrada employee-monitorpara el analizador de réplicas de puerto:

  2. Configure la interfaz del analizador de employee-monitor resultados para el analizador. Ésta será la interfaz de destino para los paquetes reflejados:

Resultados

Compruebe los resultados de la configuración:

Ejemplo Reflejar el tráfico web de los empleados con un filtro de Firewall

Aplicables

En este ejemplo se utilizan los siguientes componentes de hardware y software:

  • Un conmutador QFX5100

  • Junos OS versión X53-D30 de 14,1 pulg.

Descripción general

En lugar de reflejar todo el tráfico, suele ser deseable reflejar únicamente cierto tráfico. Este es un uso más eficiente del ancho de banda y el hardware, y podría ser necesario debido a las limitaciones de estos activos. Para seleccionar tráfico específico para el reflejo, utilice un filtro de Firewall para hacer coincidir el tráfico deseado y dirigirlo a una instancia de creación de reflejo de puerto. La instancia de duplicación de puerto, a continuación, copia los paquetes y los envía a la VLAN de salida, interfaz o dirección IP.

Establece

Para especificar que el único tráfico que será reflejado es el que los empleados envían al Web, realice las tareas explicadas en esta sección. Para seleccionar este tráfico para el reflejo, utilice un filtro de Firewall para especificar este tráfico y dirigirlo a una instancia de creación de reflejo de puerto.

Modalidades

Configuración rápida de CLI

Para configurar rápidamente la creación de reflejos de puertos locales de tráfico de equipos de empleados destinados a la web, copie los siguientes comandos y péguelos en una ventana de terminal del conmutador:

Procedimiento paso a paso

Para configurar la duplicación del puerto local del tráfico entre el empleado y la web desde los dos puertos conectados a los equipos de los empleados:

  1. Configure la interfaz de salida:

  2. Configure employee-web-monitor la interfaz de salida. (Configure solo la salida: la entrada proviene del filtro.)

  3. Configure un filtro de watch-employee Firewall llamado que incluya un término para hacer coincidir el tráfico enviado al Web y envíelo a la instancia employee-web-monitorde creación de reflejo de puerto. No es necesario copiar el tráfico hacia y desde la subred corporativa ( 192.0.2.16/28destino o dirección de origen), por lo tanto, cree otro término para aceptar ese tráfico antes de que alcance el término que envía el tráfico web a la instancia:

  4. Aplique el filtro Firewall a las interfaces apropiadas como un filtro de entrada (los filtros de salida no permiten analizadores):

Resultados

Compruebe los resultados de la configuración:

Comproba

Verificación de que el analizador se ha creado correctamente

Purpose

Verifique que la instancia employee-web-monitor de creación de reflejo de puerto se haya creado en el conmutador con las interfaces de entrada adecuadas y una interfaz de salida adecuada.

Intervención

Puede comprobar que la instancia de duplicación de puertos reflejada del puerto se configuró de la manera esperada mediante el show forwarding-options port-mirroring comando.

Efectos

Este resultado muestra la siguiente información acerca de la instancia de duplicación de employee-web-monitor puertos:

  • Tiene una velocidad de 1 (duplicación de cada paquete, la configuración predeterminada)

  • El número de paquetes consecutivos muestreados (longitud de la ejecución) es 0

  • El tamaño máximo del paquete original reflejado es 0 ( indica el paquete 0 completo)

  • El estado de los parámetros de salida: up indica que la instancia está reflejando el tráfico que entra en las interfaces xe-0/0/0 y xe-0/0/6 y envía el tráfico reflejado a la interfaz xe-0/0/47

Si el estado de la interfaz de salida está o si la interfaz de salida no está configurada, el valor será y la instancia no estará down programada para la creación de statedown reflejo.

Ejemplo Configuración del espejado de puertos para análisis remoto

Utilice la creación de reflejos de puertos para enviar tráfico a aplicaciones que analicen el tráfico con el fin de supervisar el cumplimiento, aplicar políticas, detectar intrusiones, supervisar y predecir los patrones de tráfico, correlacionar eventos, etc. El duplicado del puerto copia los paquetes que entran o salen de una interfaz o que entran en una VLAN, y las envía a una interfaz local para su supervisión local o a una VLAN para la supervisión remota. Este ejemplo describe cómo configurar el espejeado de puertos para análisis remoto.

Aplicables

En este ejemplo se utilizan los siguientes componentes de hardware y software:

  • Junos OS versión 13,2 para el serie QFX

  • Un conmutador

Descripción general y topología

Este tema incluye dos ejemplos relacionados que describen cómo reflejar el tráfico que entra en los puertos del conmutador en una VLAN de analizador, de modo que pueda realizar análisis con un dispositivo remoto. El primer ejemplo muestra cómo reflejar todo el tráfico enviado por los equipos de los empleados al conmutador. El segundo ejemplo incluye un filtro para reflejar solo el tráfico de los empleados que se dirige al Web.

Topología

En este ejemplo:

  • ge-0/0/0 Y ge-0/0/1 son interfaces de capa 2 que se conectan a los equipos de los empleados.

  • ge-0/0/2 Es una interfaz de capa 2 que se conecta a otro conmutador.

  • La remote-analyzer VLAN se configura en todos los conmutadores de la topología para llevar el tráfico reflejado.

Nota:

Además de realizar los pasos de configuración que se describen aquí, también debe configurar la VLAN delremote-analyzer analizador (en este ejemplo) de los otros conmutadores que se utilizan para conectar el conmutador de origen (el que se encuentra en esta configuración) al estación está conectada a.

Espejado de todo el tráfico de empleados para análisis remoto

Modalidades

Configuración rápida de CLI

Para configurar rápidamente esta sección del ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, a continuación, copie y edit pegue los comandos en la CLI en la nivel de jerarquía:

Procedimiento paso a paso

Para configurar el reflejo de Puerto remoto básico:

  1. Configure la VLAN del analizador remote-analyzer (a la que se llama en este ejemplo):

  2. Configure la interfaz conectada a otro conmutador para el modo de Troncalización y remote-analyzer asóciela con la VLAN:

  3. Configure employee-monitor el analizador:

  4. Configure remote-analyzer la VLAN en los conmutadores que conectan este conmutador a la estación de trabajo de supervisión.

Resultados

Compruebe los resultados de la configuración:

Cómo reflejar el tráfico entre el empleado y la web para análisis remoto

Configuración rápida de CLI

Para configurar rápidamente esta sección del ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, a continuación, copie y edit pegue los comandos en la CLI en la nivel de jerarquía:

Modalidades

Procedimiento paso a paso
  1. Configure la VLAN del analizador remote-analyzer (a la que se llama en este ejemplo):

  2. Configure una interfaz para asociarla con remote-analyzer la VLAN:

  3. Configure employee-web-monitor el analizador. (Configure solo la salida: la entrada proviene del filtro.)

  4. Configure un filtro de watch-employee Firewall llamado para hacer coincidir el tráfico enviado al Web y envíelo employee-web-monitoral analizador:

  5. Aplique el filtro Firewall a las interfaces adecuadas como filtro de ingreso:

  6. Configure remote-analyzer la VLAN en los conmutadores que conectan este conmutador a la estación de trabajo de supervisión.

Resultados

Compruebe los resultados de la configuración:

Comproba

Verificación de que el analizador se ha creado correctamente

Purpose

Compruebe que el analizador o employee-monitoremployee-web-monitor el nombre se haya creado en el conmutador con las interfaces de entrada apropiadas y una interfaz de salida adecuada.

Intervención

Puede verificar que el analizador de Mirror del puerto esté configurado según lo show analyzer esperado mediante el comando.

Efectos

Esta salida muestra que el employee-monitor analizador está espejando el tráfico que ge-0/0/0 entra ge-0/0/1 y envía el tráfico de duplicación al analizador remote-analyzer.