Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
На этой странице
 

Настройка зеркального анализатора портов

Понимание анализаторов зеркального анализатора портов

Зеркальное отражение портов можно использовать для анализа трафика на маршрутизаторах и коммутаторах, которые, в отличие от концентраторов, не передают пакеты на каждый порт на устройстве назначения. Отражение портов посылает копии всех пакетов или образцы пакетов на основе политик в локальные или удаленные анализаторы, где можно отслеживать и анализировать данные.

В контексте зеркальных анализаторов портов используется термин коммутатора. Этот термин означает, что устройство (включая маршрутизаторы) выполняет функцию коммутатора.

Для помощи в этом можно использовать анализаторы на уровне пакетов:

  • наблюдение за сетевым трафиком

  • Применение политик использования сети

  • Принудительное использование политик совместного использования файлов

  • Выявление причин проблем

  • определение станций или приложений с высокой или аномальной нагрузкой полосы пропускания

Можно настроить зеркальное отражение портов:

  • Пакеты с мостами (пакеты уровня 2)

  • Маршрутивные пакеты (пакеты уровня 3)

Зеркальные пакеты можно скопировать на локальный интерфейс для локального мониторинга, либо в VLAN или домен моста для удаленного мониторинга.

Следующие пакеты можно скопировать:

  • Packets entering or exiting a port— Можно зеркально отражать пакеты, в которые входят или выходим порты в любом сочетании, в течение 256 портов. Например, можно отправлять копии пакетов, в которые входят порты, и пакеты, выехав из других портов, на тот же порт локального анализатора или на один и тот же порт анализатора VLAN.

  • Packets entering or exiting a VLAN or bridge domain- Можно зеркально отражать пакеты, внося или выехав из домена VLAN или моста, на локальный порт анализатора или на анализатор VLAN или домен моста. Можно настроить несколько VLAN (до 256 VLAN) или доменов моста как входные данные для анализатора, включая диапазон VLAN и частные VLAN (PVLAN).

  • Policy-based sample packets- Можно зеркально отражать выборку пакетов, внося в порт, VLAN или домен моста на основе политик. Для настройки фильтра межсетевых экранов необходимо использовать политику выбора пакетов, которые должны быть зеркальными. Образец можно отправить на экземпляр, зеркальный зеркальный порт, на анализатор VLAN или домен моста.

Обзор анализатора

Можно настроить анализатор для определения вводимого и выходного трафика в одной конфигурации анализатора. Анализ вводимых данных может быть либо трафиком, который входит, либо трафиком, выйдите из интерфейса или VLAN. Конфигурация анализатора позволяет отправлять этот трафик на выходной интерфейс, например, группу следующего перехода, VLAN или домен моста. Анализатор можно настроить на уровне [edit forwarding-options analyzer] иерархии.

Обзор статистического анализатора

Можно определить набор зеркальных свойств, таких как зеркальная скорость и максимальная длина пакета для трафика, которые можно явно связать с физическими портами маршрутизатора или коммутатора. Этот набор зеркальных свойств представляет собой статистический анализатор (также называемый нестандартным анализатором). На этом уровне можно привязать именуемый экземпляр к физическим портам, связанным с конкретным FPC.

Обзор анализатора по умолчанию

Можно настроить анализатор без настройки каких-либо зеркальных свойств (например, скорости зеркалирования или максимальной длины пакета). По умолчанию зеркальная скорость установлена в 1, а максимальная длина пакета – полная длина пакета. Эти свойства применяются на глобальном уровне и не требуют привязаны к конкретному FPC.

Зеркальное отражение портов в группе портов, связанных с несколькими статистическими анализаторами

Можно применить до двух статистических анализаторов к одной и той же группе портов на коммутаторе. Применив два различных экземпляра статистического анализатора к одному fPC или модуль передачи пакетов, можно связать две отдельные зеркальные спецификации уровня 2 с одной группой портов. Зеркальные свойства, привязанные к FPC, переопределяют любые свойства анализатора (анализатора по умолчанию), связанные на глобальном уровне на коммутаторном устройстве. Свойства анализатора по умолчанию переопределяются путем привязки второго экземпляра анализатора к той же группе портов.

Терминология анализатора анализатора портов

Табл. 1 перечисляет некоторые термины анализаторов зеркального анализатора портов и их описания.

Табл. 1: Терминология анализатора
Термин Описание

Анализатор

В зеркальной конфигурации анализатор включает:

  • Имя анализатора

  • Исходные (вводимые) порты, VLANs или домены моста

  • Место назначения зеркальных пакетов (локальный порт, VLAN или домен моста)

Выходной интерфейс анализатора

(Также известен как порт монитора)

Интерфейс, на который отправляется зеркальный трафик и подключается анализатор протокола.

Интерфейсы, используемые в качестве выходных данных для анализатора, должны конфигурироваться на forwarding-options уровне иерархии.

Выходные интерфейсы анализатора имеют следующие ограничения:

  • Они также не могут быть исходными портами.

  • Они не участвуют в протоколах уровня 2, таких как протокол STP.

  • Если пропускная способность выходного интерфейса анализатора не достаточна для обработки трафика с исходных портов, пакеты переполнения отброшены.

Анализатор VLAN или домен моста

(Также известен как VLAN монитора или домен моста)

VLAN или домен моста, в который отправляется зеркальный трафик для использования анализатором протокола. Членские интерфейсы в VLAN монитора или домене моста распространяются по коммутатным устройствам сети.

Анализатор на основе моста-домена

Сеанс анализатора, настроенный на использование доменов моста для ввода, вывода или того и иного.

Анализатор по умолчанию

Анализатор с зеркальными параметрами по умолчанию. По умолчанию зеркальная скорость составляет 1, а максимальной длиной пакета является длина полного пакета.

Входной интерфейс

(Также известен как зеркальные порты или отслеживаются интерфейсы)

Интерфейс коммутатора, в котором зеркально отражается включении или выходе трафика.

Анализатор на базе LAG

Анализатор с группой агрегирования соединений (LAG), указанным в качестве входного (входного) интерфейса в конфигурации анализатора.

Локальное зеркальное отражение

Конфигурация анализатора, в которой пакеты зеркалируются локальным портом анализатора.

станция мониторинга

Компьютер с анализатором протоколов.

Анализатор на основе группы следующих переходов

Конфигурация анализатора, которая использует группу следующего перехода в качестве выходных данных для анализатора.

Анализатор на основе порта

Конфигурация анализатора, определяемая для входных и выходных данных интерфейсов.

Приложение анализатора протоколов

Приложение для проверки пакетов, передаваемых через сетевой сегмент. Также называется сетевым анализатором, анализатором пакетов или зондом.

Удаленное зеркальное отражение

Функции точно так же, как и локальное зеркальное отражение, за исключением того, что зеркальный трафик не копируется в порт локального анализатора, а перенагрен в анализатор VLAN или домен моста, который создается специально для получения зеркального трафика. Зеркальные пакеты имеют дополнительную внешнюю метку для анализатора VLAN или домена моста.

Статистический анализатор

(Также известен как анализатор по умолчанию)

Набор зеркальных свойств, которые можно явно связать с физическими портами коммутатора. Данный набор свойств анализатора известен как статистический анализатор.

Анализатор на основе VLAN

Конфигурация анализатора, использующая VLANs для доставки зеркального трафика анализатору.

Рекомендации по конфигурации для анализаторов зеркального анализатора портов

При настройке зеркальных анализаторов портов. мы рекомендуем следовать этим инструкциям для обеспечения оптимального преимущества. Мы рекомендуем отключить зеркальное отражение, если он не используется, а также выбрать определенные интерфейсы в качестве входных данных для анализатора, а не использовать параметр ключевого слова, который включает зеркальное отражение на всех all интерфейсах. Зеркальное отражение только необходимых пакетов снижает потенциальное воздействие на производительность.

Объем зеркального трафика можно также ограничить:

  • Использование статистической выборки

  • Использование фильтра межсетевых экранов

  • Установка соотношения для выбора статистической выборки

При локальном зеркальном копировании трафик из нескольких портов копируется на выходной интерфейс анализатора. Если выходной интерфейс для анализатора достигает емкости, пакеты отброшены. Следует учитывать, что объем зеркального трафика превышает пропускную способность выходного интерфейса анализатора.

Табл. 2 суммирует дальнейшие инструкции по настройке для анализаторов.

Табл. 2: Рекомендации по конфигурации для анализаторов зеркального анализатора портов

Руководство

Сведения о значении или поддержке

Комментарий

Количество анализаторов, которые можно включить одновременно.

64 анализатора по умолчанию

2 для каждого FPC — статистический анализатор

Статистические анализаторы должны быть привязаны к FPC для зеркального отражение трафика на портах, принадлежащих этому FPC.

Прим.:

Свойства анализатора по умолчанию неявно привязаны к последнему (или второму) экземпляру на всех FFPC в системе. Таким образом, при явной привязке второго статистического анализатора на FPC свойства анализатора по умолчанию переопределяются.

Количество интерфейсов, VLANs или доменов моста, которые можно использовать как входные в анализаторы.

256

Типы портов, на которых нельзя зеркально отражать трафик.

  • Virtual Chassis портов (VCP)

  • Управление портами Ethernet (me0 или vme0)

  • Интерфейсы интегрированной маршрутной и маршрутной (IRB) маршрутов

  • Интерфейсы уровня 3, помеченные VLAN

 

Семейства протоколов, которые можно включить в анализатор.

ethernet-switching для коммутаторов серии EX bridge и серия MX маршрутизаторов.

Анализатор зеркально отражает только трафик с мостами. Для зеркального зеркального отражение маршрутного трафика используйте зеркальную конфигурацию портов family с as inetinet6 или.

Пакеты с ошибками физического уровня не отправляются на локальный или удаленный анализатор.

Применимо

Пакеты с этими ошибками отфильтровывания не отправляются в анализатор.

Анализатор не поддерживает трафик на скорости линии.

Применимо

Зеркальное отражение трафика на скорости линии делается с наилучшими усилиями.

Анализатор выходных данных на интерфейсе LAG.

Поддерживается

 

Анализатор выходных данных интерфейса в режиме trunk-режим.

Поддерживается

  • Магистральные интерфейсы должны быть членами всех VLANs или доменов моста, связанных с входной конфигурацией анализатора.

  • Этот параметр необходимо использовать, если входной параметр настроен как VLAN или домен моста, а выходные данные mirror-once — это магистральные интерфейсы.

    Прим.:

    Если входной сигнал анализатора является зеркальным и зеркальным, то зеркальное отражение будет только в входном. Если требуются и в выходное, и зеркальное отражение выходных данных, выходной интерфейс не может быть магистралью. В таких случаях настройте интерфейс в качестве интерфейса доступа.

Отражение пакетов управления, сгенерированных хостами.

Не поддерживается

 

Настройка логических интерфейсов уровня 3 в input стоке анализатора.

Не поддерживается

 

Следует избегать анализаторов входных и выходных стоков, содержащих члены одной VLAN или самой VLAN.

Применимо

 

Поддержка VLAN и ее интерфейсов-членов в различных сеансах анализатора

Не поддерживается

Если настроено зеркальное отражение, то любой из анализаторов активен.

Отражение выходных данных агрегированных интерфейсов Ethernet (ae) и его логических логических интерфейсов, настроенных для различных анализаторов.

Не поддерживается

 

Настройка зеркального зеркального EX9200 для анализа трафика (интерфейс командной строки процедуры)

EX9200 коммутаторов позволяют настроить зеркальное копирование для отправки копий пакетов локальному интерфейсу для локального мониторинга или в VLAN для удаленного мониторинга. Для копирования следующих пакетов можно использовать зеркальное копирование:

  • Пакеты, вющие или выехающие на порт

  • Пакеты, вющие или выехающие из сети VLAN

на практике:

Зеркальное отражение только необходимых пакетов для уменьшения потенциального влияния на производительность. Рекомендуем вам:

  • Отключать анализаторы, настроенные в то время, когда они не использовались.

  • Укажите отдельные интерфейсы в качестве вводимых для анализатора, а не в качестве входных.

  • Ограничить объем зеркального трафика:

    • Использование статистической выборки.

    • Установка соотношения для выбора статистических выборок.

    • Использование фильтров межсетевых экранов.

Прим.:

Если необходимо создать дополнительные анализаторы без удаления существующих анализаторов, отключите существующие анализаторы с помощью команды line-interface (интерфейс командной строки) или со страницы конфигурации J-Web для зеркального disable analyzer analyzer-name анализа.

Прим.:

Интерфейсы, используемые в качестве выходных данных для анализатора, должны конфигурироваться под VLAN и должны быть ethernet-switching family связаны с VLAN.

Настройка анализатора для локального анализа трафика

Для зеркального отражение сетевого трафика или трафика VLAN на коммутаторе на интерфейс коммутатора с помощью анализаторов:

  1. Выберите имя для анализатора и укажите вход:

    Например, создайте анализатор для мониторинга пакетов, в которые входят интерфейсы employee-monitor ge-0/0/0.0 и ge-0/0/1.0:

  2. Настройка интерфейса назначения для зеркальных зеркальных пакетов:

    Например, настройте ge-0/0/10.0 в качестве интерфейса назначения для employee-monitor анализатора:

Настройка анализатора для удаленного анализа трафика

Для зеркального отражение трафика, который проходит через интерфейсы или VLAN на коммутаторе, в VLAN, используемую для анализа из удаленного местоположения:

  1. Настройте VLAN для переноса зеркального трафика:

    Например, определите анализатор VLAN, которая называется, и назначьте ему remote-analyzer VLAN 999 ID:

  2. Установите интерфейс, подключенный к распределительному коммутатору, в режим доступа и связать его с анализатором VLAN:

    Например, установите для интерфейса ge-0/1/1 режим доступа и связать его с ID анализатора 999 VLAN:

  3. Настройте анализатор:
    1. Определите анализатор и укажите трафик, который будет зеркальным:

      Например, определите анализатор, для которого зеркальный трафик включает пакеты, в которые входят интерфейсы employee-monitor ge-0/0/0.0 и ge-0/0/1.0:

    2. Укажите анализатор VLAN в качестве выходных данных для анализатора:

      Например, укажите remote-analyzer VLAN в качестве анализатора выходных данных employee-monitor для анализатора:

Настройка статистического анализатора для локального анализа трафика

Для зеркального отражение трафика интерфейса или трафика VLAN на коммутаторе на интерфейс коммутатора с помощью статистического анализатора:

  1. Выберите имя для анализатора и укажите входные интерфейсы:

    Например, укажите анализатор, который называется, и укажите входные интерфейсы employee-monitor ge-0/0/0 и ge-0/0/1:

  2. Настройка интерфейса назначения для зеркальных зеркальных пакетов:

    Например, настройте ge-0/0/10.0 в качестве интерфейса назначения для зеркальных пакетов:

  3. Укажите зеркальные свойства.
    1. Указание скорости зеркального зеркального отражение, то есть число пакетов, зеркальных отражение в секунду:

      Допустимые диапазоны — от 1 до 65 535.

    2. Укажите длину отсеченных зеркальных пакетов:

    Допустимый диапазон — от 0 до 9216. Значение по умолчанию - 0, что означает, что зеркальные пакеты не усечены.

Настройка статистического анализатора для удаленного анализа трафика

Для зеркального отражение трафика, который проходит через интерфейсы или VLAN на коммутаторе, на VLAN для анализа из удаленного местоположения с помощью статистического анализатора:

  1. Настройте VLAN для переноса зеркального трафика:

    Например, настройте VLAN с remote-analyzer ИД 999 VLAN:

  2. Установите интерфейс, подключенный к распределительному коммутатору, в режим доступа и связать его с VLAN:

    Например, установите интерфейс ge-0/1/1.0, подключенный к распределительному коммутатору, в режим доступа и связать его с remote-analyzer VLAN:

  3. Настройте статистический анализатор:
    1. Укажите трафик, который должен быть зеркальным:

      Например, укажите пакеты, в которые входят порты ge-0/0/0.0 и ge-0/0/1.0, которые должны быть зеркальными:

    2. Укажите выходные данные для анализатора:

      Например, укажите remote-analyzer VLAN в качестве выходных данных для анализатора:

  4. Укажите зеркальные свойства.

    1. Указание скорости зеркального зеркального отражение, то есть число пакетов, зеркальных отражение в секунду:

      Допустимые диапазоны — от 1 до 65 535.

    2. Укажите длину, для которой должны быть усечены зеркальные пакеты:

    Допустимый диапазон — от 0 до 9216. Значение по умолчанию - 0, что означает, что зеркальные пакеты не усечены.

Связывание статистических анализаторов с портами, сгруппными на уровне FPC

Можно привязывать статистический анализатор к конкретному FPC на коммутаторе, т.е. связывать экземпляр статистического анализатора на уровне FPC коммутатора. Свойства зеркального зеркального анализатора, указанные в статистическом анализаторе, применяются для всех физических портов, связанных со всеми механизмами переадрешания пакетов на указанном FPC.

Связывания именуемого экземпляра анализатора уровня 2 с FPC:

  1. Включите конфигурацию свойств шасси коммутатора:

  2. Включить конфигурацию FPC (а также установленных РС):

  3. Связывае экземпляра статистического анализатора с FPC:

  4. (Необязательно) Чтобы связать второй экземпляр статистического анализатора зеркального анализатора уровня 2 с тем же FPC, повторите шаг 3 и укажите другое имя статистического анализатора:

  5. Проверьте минимальную конфигурацию привязки:

Прим.:

При привязке второго экземпляра (в этом примере) зеркальные свойства этого сеанса, если они stats_analyzer-2 настроены, переопределяют любой анализатор по умолчанию.

Настройка анализатора с несколькими пунктами назначения с помощью групп следующего перехода

Можно зеркально отражать трафик нескольким пунктам назначения, настроив группы следующего перехода в качестве выходных данных анализатора. Отражение пакетов в нескольких пунктах назначения также называется зеркальным отражением портов multipacket.

Зеркальное отражение трафика интерфейса или трафика VLAN на коммутаторе на интерфейсе коммутатора (с помощью анализаторов):

  1. Выберите имя для анализатора и укажите вход:

    Например, создайте анализатор, для которого входной трафик включает пакеты, в которые входят интерфейсы employee-monitor ge-0/0/0.0 и ge-0/0/1.0:

  2. Настройка интерфейса назначения для зеркальных зеркальных пакетов:

    Например, настройте группу следующего перехода в качестве nhg места назначения для employee-monitor анализатора:

Определение группы следующих переходов для зеркального отражение уровня 2

Конфигурация группы "next-hop" на уровне конфигурации позволяет определить имя группы следующего перехода, тип адресов, используемых в группе следующего перехода, и логические интерфейсы, которые формируют несколько мест назначения, в которые может быть отражен [edit forwarding-options] трафик. По умолчанию группа следующего перехода определяется с помощью адресов уровня 3 с помощью [edit forwarding-options next-hop-group next-hop-group-name group-type inet] утверждения. Чтобы указать группу следующего перехода, используя адреса уровня 2, включите [edit forwarding-options next-hop-group next-hop-group-name group-type layer-2] утверждение.

Чтобы определить группу следующего перехода для зеркального отражение уровня 2:

  1. Включить конфигурацию группы следующего перехода для зеркального обеспечения уровня 2:

    Например, настройте next-hop-groupnhg имя:

  2. Укажите тип адресов, которые будут использоваться в конфигурации группы следующего перехода:

    Например, настройте next-hop-group type так, layer-2 поскольку выходные данные анализатора должны быть layer-2 только:

  3. Укажите логические интерфейсы группы следующих переходов:

    Например, для указания ge-0/0/10.0 и ge-0/0/11.0 в качестве логических интерфейсов группы следующего nhg перехода:

Настройка зеркального зеркального EX4300 для анализа трафика (интерфейс командной строки процедуры)

Прим.:

Данная задача Junos OS для коммутаторов серии EX с поддержкой стиля конфигурации Enhanced Layer 2 (ELS).

EX4300 коммутаторов позволяют настроить зеркальное копирование для отправки копий пакетов локальному интерфейсу для локального мониторинга или в VLAN для удаленного мониторинга. Для копирования этих пакетов можно использовать зеркальное копирование:

  • Пакеты, вющие или выехающие на порт

  • Пакеты, внося в VLAN

на практике:

Зеркальное отражение только необходимых пакетов для уменьшения потенциального влияния на производительность. Рекомендуем вам:

  • Отключите настроенные зеркальные конфигурации, если они не используются.

  • Укажите отдельные интерфейсы в качестве вводимых для анализатора, а не в качестве входных.

  • Ограничите объем зеркального трафика с помощью фильтров межсетевых экранов.

Прим.:

Если необходимо создать дополнительные анализаторы без удаления существующих анализаторов, отключите существующие анализаторы, используя для зеркального анализатора утверждение с интерфейс командной строки или страницы конфигурации disable analyzer analyzer-name J-Web.

Прим.:

Интерфейсы, используемые в качестве выходных данных для анализатора, должны конфигурироваться в рамках ethernet-switching семейства.

Настройка анализатора для локального анализа трафика

Зеркальное отражение трафика интерфейса или трафика VLAN на коммутаторе на интерфейсе коммутатора (с помощью анализаторов):

  1. Выберите имя для анализатора и укажите вход:

    Например, создайте анализатор, для которого входным трафиком являются пакеты, вводимые в интерфейсы employee-monitor ge-0/0/0.0 и ge-0/0/1.0:

  2. Настройка интерфейса назначения для зеркальных зеркальных пакетов:

    Например, настройте ge-0/0/10.0 в качестве интерфейса назначения для employee-monitor анализатора:

Настройка анализатора для удаленного анализа трафика

Зеркальное отражение трафика, который проходит через интерфейсы или VLAN на коммутаторе, на VLAN для анализа из удаленного местоположения (с помощью анализаторов):

  1. Настройте VLAN для переноса зеркального трафика:

    Например, определите анализатор VLAN с ином и назначьте ему remote-analyzer VLAN 999 ID:

  2. Установите интерфейс модуля uplink, который подключен к распределительному trunk-режим и связать его с анализатором VLAN:

    Например, установите интерфейс ge-0/1/1 на trunk-режим и связать его с ID анализатора 999 VLAN:

  3. Настройте анализатор:
    1. Определите анализатор и укажите трафик, который будет зеркальным:

      Например, определите анализатор, для которого зеркальный трафик будет явку с пакетами, входя в интерфейсы employee-monitor ge-0/0/0.0 и ge-0/0/1.0:

    2. Укажите анализатор VLAN в качестве выходных данных для анализатора:

      Например, укажите remote-analyzer VLAN в качестве анализатора выходных данных employee-monitor для анализатора:

Настройка зеркального отражение портов

Чтобы отфильтровать пакеты, зеркальные отражение в зеркальном экземпляре порта, создайте экземпляр и используйте его в качестве действия в фильтре межсетевых экранов. Фильтры межсетевых экранов можно использовать как в локальном, так и в удаленном зеркальном режиме.

Если один и тот же экземпляр зеркального копирования портов используется несколькими фильтрами или терминами, пакеты копируются в порт вывода анализатора или в VLAN анализатора только один раз.

Для фильтрации зеркального трафика создайте экземпляр, зеркальный экземпляр порта, на уровне иерархии, а затем [edit forwarding-options] создайте фильтр межсетевых экранов. Фильтр может использовать любой из доступных условий совпадения и должен иметь port-mirror-instance instance-name в качестве действия. Это действие в конфигурации фильтра брандмауэра обеспечивает вход в экземпляр, зеркальный экземпляр порта.

Для настройки зеркального экземпляра порта с фильтрами межсетевых экранов:

  1. Настройте имя экземпляра, зеркальное отражение порта (здесь, employee-monitor ) и выходные данные:
    1. Для локального анализа установите выходные данные на локальный интерфейс, к котором будет подключен компьютер, работающий с анализатором протоколов:
    2. Для удаленного анализа установите выходные данные в remote-analyzer сети VLAN:
  2. Создайте фильтр брандмауэра с помощью любого из доступных условий совпадения и employee-monitor назначьте port-mirror-instance действие:

    На этом шаге показан фильтр межсетевых экранов example-filter с двумя терминами no-analyzerto-analyzer (и):

    1. Создать первый термин для определения трафика, который не должен проходить на зеркальный экземпляр employee-monitor порта:
    2. Создайте второй термин для определения трафика, который должен проходить на зеркальный экземпляр employee-monitor порта:
  3. Примените фильтр брандмауэра к интерфейсам или VLAN, которые обеспечивают вход в зеркальный экземпляр порта:

Настройка зеркального анализа портов для анализа трафика (интерфейс командной строки процедуры)

Данная задача конфигурации Junos OS для коммутаторов серии EX, которые не поддерживают тип конфигурации Enhanced Layer 2 (ELS).

Коммутаторы серии EX позволяют настроить зеркальное копирование портов для отправки копий пакетов локальному интерфейсу для локального мониторинга или в VLAN для удаленного мониторинга. Для копирования этих пакетов можно использовать зеркальное копирование портов:

  • Пакеты, вющие или выехающие на порт

  • Пакеты, включающие VLAN на EX2200, EX3200, EX3300, EX4200, EX4500 или EX6200 коммутаторах

  • Пакеты, выехав из VLAN на EX8200 коммутаторах

на практике:

Зеркальное отражение только необходимых пакетов для уменьшения потенциального влияния на производительность. Рекомендуем вам:

  • Отключите настроенные зеркальные анализаторы портов, если они не используются.

  • Укажите отдельные интерфейсы в качестве вводимых для анализатора, а не в качестве входных.

  • Ограничить объем зеркального трафика:

    • Использование статистической выборки.

    • Установка соотношения для выбора статистических выборок.

    • Использование фильтров межсетевых экранов.

Прежде чем начать настраивать зеркальное отражение портов, обратите внимание на следующие ограничения для выходных интерфейсов анализатора:

  • Порт-источник также не может быть портом-источником.

  • Не может использоваться для коммутатора.

  • Не участвуть в протоколах уровня 2 (например, RSTP), когда они являются частью зеркальных конфигураций портов.

  • Не сохраняя при этом никаких ассоциаций VLAN, которые они удерживали до настройки в качестве выходных интерфейсов анализатора.

Прим.:

Если необходимо создать дополнительные анализаторы без удаления существующего анализатора, сначала отключите существующий анализатор с помощью команды или страницы конфигурации J-Web для зеркального disable analyzer analyzer-name анализа порта.

Прим.:

Интерфейсы, используемые в качестве выходных данных для анализатора, должны конфигурироваться как ethernet-switching родные.

Настройка зеркального анализа портов для локального анализа трафика

Для зеркального зеркального отражение трафика интерфейса или трафика VLAN на коммутаторе на другой интерфейс коммутатора:

  1. Выберите имя для анализатора, в данном случае — и укажите входные данные, в данном случае employee-monitor вводимые пакеты ge-0/0/0ge-0/0/1 и:
  2. При желании можно указать статическую выборку пакетов, установив соотношение:

    Когда соотношение составляет 200, каждый 200 пакетов отражается в анализаторе. Можно использовать статическую выборку для уменьшения объемов зеркального трафика, так как большой объем зеркального трафика может снизить производительность коммутатора. На EX8200 коммутаторах можно установить соотношение только для вехи пакетов.

  3. Настройка интерфейса назначения для зеркальных зеркальных пакетов:

Настройка зеркального анализа портов для удаленного анализа трафика

Для зеркального отражение трафика, который проходит через интерфейсы или VLAN на коммутаторе, на VLAN для анализа из удаленного местоположения:

  1. Настройте VLAN для переноса зеркального трафика. Эта VLAN называется и ей в документации задан remote-analyzer ID 999.
  2. Установите подключенный к коммутатору распределения интерфейс модуля trunk-режим связать его с remote-analyzer VLAN:
  3. Настройте анализатор:
    1. Выберите имя и установите высокий приоритет потери. При настройке для зеркального отражение удаленных портов приоритет потери всегда должен быть высоким:
    2. Укажите зеркальный трафик— в этом примере пакеты, в которые входят ge-0/0/0 порты, ge-0/0/1 и:
    3. Укажите remote-analyzer VLAN в качестве выходных данных для анализатора:
  4. При желании можно указать статическую выборку пакетов, установив соотношение:

    Когда соотношение установлено в 200, 1 из каждых 200 пакетов зеркально отражается в анализаторе. Это можно использовать для уменьшения объемов зеркального трафика, так как большой объем зеркального трафика может снизить производительность коммутатора.

Фильтрация трафика, в который входит анализатор

Для фильтрации пакетов, зеркальных отражение которых происходит в анализаторе, создайте анализатор и используйте его в качестве действия в фильтре межсетевых экранов. Можно использовать фильтры межсетевых экранов в конфигурациях зеркального зеркального управления локальными и удаленными портами.

Если один и тот же анализатор используется несколькими фильтрами или терминами, пакеты копируются в выходной порт или VLAN анализатора только один раз.

Для фильтрации зеркального трафика создайте анализатор и затем создайте фильтр брандмауэра. Фильтр может использовать любой из доступных условий совпадения и должен иметь analyzer действие. Действие фильтра межсетевых экранов предоставляет вход в анализатор.

Чтобы настроить зеркальное отражение портов с фильтрами:

  1. Настройте имя анализатора (здесь, employee-monitor ) и выходные данные:
    1. Для локального анализа установите выходные данные на локальный интерфейс, к которому будет подключен компьютер, работающий с приложением анализатора протоколов:
    2. Для удаленного анализа установите высокий приоритет потери и установите выходные данные в remote-analyzer VLAN:
  2. Создайте фильтр брандмауэра, используя любые доступные условия совпадения, и укажите analyzer действие:

    На этом шаге показан фильтр межсетевых экранов example-filter с двумя терминами:

    1. Создать первый термин для определения трафика, который не должен проходить в анализатор:
    2. Создайте второй термин для определения трафика, который должен пройти через анализатор:
  3. Примените фильтр брандмауэра к интерфейсам или VLAN, входным в анализатор:

Проверка вводимых и выходных данных для анализаторов зеркального анализатора портов на коммутаторах серии EX

Цель

Эта задача проверки Junos OS для коммутаторов серии EX, которые не поддерживают тип конфигурации Enhanced Layer 2 (ELS).

Убедитесь, что анализатор был создан на коммутаторе, имеет соответствующие зеркальные интерфейсы ввода и соответствующий выходной интерфейс анализатора.

Действий

Можно убедиться, что зеркальный анализатор портов настроен так, как ожидалось, с помощью show analyzer команды.

Можно просмотреть все зеркальные анализаторы портов, настроенные на коммутаторе, включая любые отключенные, с помощью команды show ethernet-switching-options в режиме конфигурации.

Смысл

Эти выходные данные показывают, что анализаторы для сотрудников-мониторов имеет отношение к 1 (зеркальное отражение каждого пакета, значение по умолчанию), приоритет потери (установите этот параметр для каждый раз, когда выходные данные анализатора должны быть для VLAN), зеркально отражают трафик, в который входит high ge-0/0/0 и ge-0/0/1, и отправляет зеркальный трафик анализатору, который называется удаленным high анализатором.

Примере: Настройка зеркальных анализаторов портов для локального мониторинга использования ресурсов сотрудников

Juniper Networks устройства позволяют настроить зеркальное копирование портов для отправки копий пакетов локальному интерфейсу для локального мониторинга, в VLAN или в домен моста для удаленного мониторинга. Для копирования этих пакетов можно использовать зеркальное копирование:

  • Пакеты, вющие или выехающие на порт

  • Пакеты, веющие или выехающие из VLAN или домена моста

Затем можно анализировать зеркальный трафик локально или удаленно с помощью анализатора протоколов. Анализатор можно установить на локальном интерфейсе назначения. Если зеркальный трафик отправляется в анализатор VLAN или домен моста, можно использовать анализатор на удаленной станции мониторинга.

В этом разделе описывается настройка локального зеркального отражение на коммутаторном устройстве. Примеры в этой теме описывают, как настроить коммутатор для зеркального зеркального ввода трафика в интерфейсах, подключенных к компьютерам сотрудников, к выходным интерфейсам анализатора на том же устройстве.

Требования

Используйте один из следующих компонентов аппаратного и программного обеспечения:

  • Один EX9200 с Junos OS версии 13.2 или более поздней

  • Один серия MX маршрутизатор с Junos OS версии 14.1 или более поздней

Перед настройкой зеркального представления о портах необходимо иметь общее представление о зеркальных представлениях. Для получения информации об анализаторах см. "Понимание зеркальных анализаторов портов". Дополнительные сведения о зеркальном отражении портов см. в "Отражение портов уровня 2".

Обзор и топология

В этой теме описывается, как зеркально отражать весь трафик, включающий порты коммутатора, на интерфейс назначения на одном и том же устройстве (локальное зеркальное отражение). В этом случае трафик идет на порты, подключенные к компьютерам сотрудников.

Прим.:

Отражение всего трафика требует большой пропускной способности и должно быть сделано только во время активного исследования.

Интерфейсы ge-0/0/0 и ge-0/0/1 служат в качестве соединений для компьютеров сотрудников.

Интерфейс ge-0/0/10 зарезервирован для анализа зеркального трафика.

Подключите ПК с анализатором протокола к выходным интерфейсам анализаторов.

Прим.:

Несколько портов, зеркальных отражение в одном интерфейсе, могут вызвать переполнение буфера, в результате чего зеркальные пакеты будут отброшены на выходном интерфейсе.

Рис. 1 показывает топологию сети для этого примера.

Рис. 1: Пример зеркального отражение локальных портов топологии сетиПример зеркального отражение локальных портов топологии сети

Отражение всего трафика сотрудников для локального анализа

Процедуры

интерфейс командной строки быстрой конфигурации

Чтобы быстро настроить локальное зеркальное копирование на вющий трафик, отправленный на два порта, подключенных к компьютерам сотрудников, скопируйте следующие команды для коммутаторов серии EX или серия MX маршрутизаторов и включайте их в окно терминала коммутатора:

Серия EX

Серия MX

Пошаговая процедура

Чтобы настроить анализатор, называемый employee-monitor и указать как входной (исходный) интерфейс, так и выходной интерфейс анализатора:

  1. Настройте каждый интерфейс, который будет использоваться в конфигурации анализатора. Используйте правильный протокол семейства для вашей платформы.

    Чтобы настроить family bridge на интерфейсе, необходимо также interface-mode accessinterface-mode trunk настроить. Также необходимо vlan-id настроить.

  2. Настройте каждый интерфейс, подключенный к компьютерам сотрудников, в качестве выходного employee-monitor анализатора.

  3. Настройте интерфейс анализатора выходных данных для employee-monitor анализатора.

    Это интерфейс назначения для зеркальных пакетов.

Результаты

Проверьте результаты настройки.

Проверки

Проверка правильности создания анализатора

Цель

Убедитесь, что анализатор был создан на коммутаторе с employee-monitor соответствующими входными интерфейсами и соответствующим выходным интерфейсом.

Действий

Используйте show forwarding-options analyzer операционную команду, чтобы убедиться, что анализатор настроен, как ожидалось.

Смысл

Выходные данные показывают, что отношение анализатора к 1 (то есть, зеркальное отражение каждого пакета, настройка по умолчанию), максимальный размер зеркального пакета - 0 (означающее, что весь пакет зеркально), состояние конфигурации - и анализатор зеркально отражает трафик, в который входит интерфейс ge-0/0/0, и отправляет зеркальный трафик на интерфейс employee-monitorup ge-0/0/10.

Если выходной интерфейс находится в состоянии (или не настроен) выходного интерфейса, значение 1 указывает на то, что анализатор не будет получать downStatedown зеркальный трафик.

Примере: Настройка зеркального отражение портов для удаленного мониторинга использования ресурсов сотрудников

Juniper Networks устройства позволяют настроить зеркальное копирование портов для отправки копий пакетов локальному интерфейсу для локального мониторинга или в VLAN или домен моста для удаленного мониторинга. Для копирования этих пакетов можно использовать зеркальное копирование:

  • Пакеты, вющие или выехающие на порт

  • Пакеты, вющие или выехающие из сети VLAN

  • Пакеты, веющие или выехающие из домена моста

При отправке зеркального трафика в анализатор VLAN или домен моста можно проанализировать зеркальный трафик с помощью анализатора протоколов, запущенного на удаленной станции мониторинга.

на практике:

Зеркальное отражение только необходимых пакетов для уменьшения потенциального влияния на производительность. Рекомендуется сделать следующее:

  • Отключите настроенные зеркальные сеансы, если они не используются.

  • Укажите отдельные интерфейсы в качестве вводимых для анализатора, а не в качестве входных.

  • Ограничить объем зеркального трафика:

    • Использование статистической выборки.

    • Установка соотношения для выбора статистических выборок.

    • Использование фильтров межсетевых экранов.

Примеры в этой теме описывают, как настроить зеркальное отражение удаленных портов для анализа использования ресурсов сотрудника.

Требования

В данном примере используется одна из следующих пар компонентов аппаратного и программного обеспечения:

  • Один EX9200, подключенный к другому EX9200, оба работают Junos OS версии 13.2 или более поздней.

  • Один серия MX, подключенный к другому серия MX, оба работают Junos OS версии 14.1 или более поздней

Прежде чем настраивать удаленное зеркальное отражение, убедитесь, что:

  • Вы понимаете, что касается зеркальных отражений концепций. Для получения информации об анализаторах см. "Понимание зеркальных анализаторов портов". Дополнительные сведения о зеркальном отражении портов см. в "Отражение портов уровня 2".

  • Интерфейсы, которые анализатор будет использовать в качестве входных интерфейсов, уже настроены на коммутаторе.

Обзор и топология

В этой теме описывается, как настроить зеркальное отражение портов на удаленном анализаторе VLAN или домене моста, чтобы можно было провести анализ с удаленной станции мониторинга.

Рис. 2 показывает топологию сети как для примера серии EX, так и для серия MX примеров.

Топологии

Рис. 2: Топология сети для удаленного зеркального анализа портовТопология сети для удаленного зеркального анализа портов

В данном примере:

  • Интерфейс ge-0/0/0 является интерфейсом уровня 2, а интерфейс ge-0/0/1 является интерфейсом уровня 3 (оба являются интерфейсами на устройстве-источнике), которые выступать в качестве подключения для компьютеров сотрудников.

  • Интерфейс ge-0/0/10 является интерфейсом уровня 2, который соединяет устройство коммутатора-источника с устройством назначения коммутатора.

  • Интерфейс ge-0/0/5 является интерфейсом уровня 2, который соединяет устройство назначения коммутатора с удаленной станцией мониторинга.

  • Анализатор настроен на всех коммутируемых устройствах топологии для remote-analyzer переноса зеркального трафика. В этой топологии может быть используется либо VLAN, либо домен моста.

Отражение трафика сотрудников для удаленного анализа с помощью статистического анализатора

Чтобы настроить статистический анализатор для удаленного анализа трафика для всего входящих и исходящего трафика сотрудников, выберите один из следующих примеров:

Зеркальное отражение трафика сотрудников для удаленного анализа для коммутаторов серии EX

интерфейс командной строки быстрой конфигурации

Чтобы быстро настроить статистический анализатор для удаленного анализа трафика входящих и исходящего трафика сотрудников, скопируйте следующие команды для коммутаторов серии EX и включите их в правильное окно терминала коммутатора.

  • Скопируйте и вируйте следующие команды в окне терминала коммутатора-источника:

    Серия EX

  • Скопируйте и вируйте следующие команды в окне терминала коммутатора назначения:

    Серия EX

Пошаговая процедура

Чтобы настроить базовое удаленное зеркальное отражение:

  1. На устройстве-источнике коммутатора сделайте следующее:

    • Настройте VLAN ID для remote-analyzer VLAN.

    • Настройте интерфейс сетевого порта, подключенного к коммутатору назначения, для режима доступа и связать его с remote-analyzer VLAN.

    • Настройте статистический employee-monitor анализатор.

    • Прикрепить статистический анализатор к FPC, который содержит входной интерфейс.

  2. На сетевом устройстве назначения сделайте следующее:

    • Настройте VLAN ID для remote-analyzer VLAN.

    • Настройте интерфейс на коммутаторе назначения для режима доступа и связать его с remote-analyzer VLAN.

    • Настройте интерфейс, подключенный к коммутатору назначения, для режима доступа.

    • Настройте employee-monitor анализатор.

    • Укажите зеркальные параметры, такие как скорость и максимальная длина пакета employee-monitor для анализатора.

    • Свяжите employee-monitor анализатор с FPC, содержащим входные порты.

Результаты

Проверьте результаты настройки на устройстве-источнике коммутации:

Проверьте результаты настройки на коммутаторе назначения.

Отражение трафика сотрудников для удаленного анализа серия MX маршрутизаторов

интерфейс командной строки быстрой конфигурации

Чтобы быстро настроить статистический анализатор для удаленного анализа трафика входящих и исходящего трафика сотрудников, скопируйте следующие команды для серия MX маршрутизаторов и вкопировать их в правильное окно терминала коммутатора.

  • Скопируйте и вируйте следующие команды в окне терминала коммутатора-источника:

    Серия MX

  • Скопируйте и вируйте следующие команды в окне терминала коммутатора назначения:

    Серия MX

Пошаговая процедура

Для настройки базового удаленного зеркального серия MX маршрутизаторов:

  1. На устройстве-источнике коммутатора сделайте следующее:

    • Настройте VLAN ID для remote-analyzer домена моста.

    • Настройте интерфейс сетевого порта, подключенного к коммутатору назначения, для режима доступа и связывание его с remote-analyzer доменом моста.

    • Настройте статистический employee-monitor анализатор.

    • Прикрепить статистический анализатор к FPC, который содержит входной интерфейс.

  2. На устройстве-назначении коммутатора сделайте следующее:

    • Настройте VLAN ID для remote-analyzer домена моста.

    • Настройте интерфейс на коммутаторе назначения для режима доступа и связать его с remote-analyzer доменом моста.

    • Настройте интерфейс, подключенный к коммутатору назначения, для режима доступа.

    • Настройте employee-monitor анализатор.

    • Укажите зеркальные параметры, такие как скорость и максимальная длина пакета employee-monitor для анализатора.

    • Свяжите employee-monitor анализатор с FPC, содержащим входные порты.

Результаты

Проверьте результаты настройки на устройстве-источнике коммутации:

Проверьте результаты настройки на коммутаторе назначения.

Проверки

Проверка правильности создания анализатора

Цель

Убедитесь, что анализатор с именем был создан на устройстве с employee-monitor соответствующими входными интерфейсами и соответствующим выходным интерфейсом.

Действий

Чтобы убедиться, что анализатор настроен так, как ожидалось, во время мониторинга всего трафика сотрудников на коммутаторе-источнике, запустите команду show forwarding-options analyzer на устройстве-источнике коммутатора. Для этого примера конфигурации вы отображается следующий результат.

Смысл

Эти выходные данные показывают, что экземпляр имеет отношение к 2, максимальный размер зеркального пакета, который был зеркальным, составляет 128, состояние конфигурации – это , которое указывает на правильное состояние и анализатор запрограммирован, а анализатор зеркально отражает трафик, в который входит employee-monitorup ge-0/0/0.0 и ge-0/0/1.0, и посылает зеркальный трафик в VLAN, которая называется удаленно-анализатором.

Если выходной интерфейс находится в состоянии (или не настроен) выходного интерфейса, значение "down" будет не работать, и анализатор не сможет downState отслеживать трафик.

Примере: Настройка зеркального отражение нескольких интерфейсов для удаленного мониторинга использования ресурсов сотрудников на EX9200 коммутаторах

EX9200 позволяют настроить зеркальное копирование для отправки копий пакетов локальному интерфейсу для локального мониторинга или в VLAN для удаленного мониторинга. Для копирования этих пакетов можно использовать зеркальное копирование:

  • Пакеты, вющие или выехающие на порт

  • Пакеты, вющие или выехающие из сети VLAN в

Зеркальный трафик можно анализировать с помощью приложения анализатора протоколов, запущенного на удаленной станции мониторинга при отправке зеркального трафика в VLAN анализатора.

на практике:

Зеркальное отражение только необходимых пакетов для уменьшения потенциального влияния на производительность. Рекомендуем вам:

  • Отключите настроенные зеркальные анализаторы, если они не используются.

  • Укажите отдельные интерфейсы в качестве вводимых для анализатора, а не в качестве входных.

  • Ограничить объем зеркального трафика:

    • Использование статистической выборки.

    • Установка соотношения для выбора статистических выборок.

    • Использование фильтров межсетевых экранов.

В данном примере описывается, как настроить удаленное зеркальное отражение на нескольких интерфейсах в VLAN анализатора:

Требования

В данном примере используются следующие аппаратные и программные компоненты:

  • Три EX9200 коммутатора

  • Junos OS версии 13.2 или более поздней для коммутаторов серии EX

Прежде чем настраивать удаленное зеркальное отражение, убедитесь, что:

  • Интерфейсы, которые анализатор будет использовать в качестве входных интерфейсов, настроены на коммутаторе.

Обзор и топология

В данном примере описывается, как зеркальное отражение в сети VLAN трафика, в доступного к портам коммутатора, для выполнения анализа с удаленной станции мониторинга. В данном примере удаленный анализатор VLAN содержит несколько интерфейсов-членов. Таким образом, один и тот же трафик зеркально отражается на все интерфейсы-члены удаленного анализатора VLAN, так что зеркальные пакеты могут быть отправлены на разные удаленные станции мониторинга. Можно устанавливать приложения, например анализаторы и системы обнаружения вторжений, на удаленные станции мониторинга для анализа зеркальных пакетов и получения полезных статистических данных. Например, при двух удаленных станциях мониторинга можно установить анализатор на одной удаленной станции мониторинга и систему обнаружения вторжений на другой станции. Для перенаправки определенного типа трафика на удаленную станцию мониторинга можно использовать конфигурацию анализатора фильтров брандмауэра.

В данном примере описывается, как настроить анализатор для зеркального отражение трафика на нескольких интерфейсах в группе следующего перехода с тем, чтобы трафик отправлялся на различные станции мониторинга для анализа.

Рис. 3 показывает топологию сети для этого примера.

Рис. 3: Пример сетевой топологии удаленного зеркального отражение, использующей несколько интерфейсов членов VLAN в группе следующего переходаПример сетевой топологии удаленного зеркального отражение, использующей несколько интерфейсов членов VLAN в группе следующего перехода

Топологии

В данном примере:

  • Интерфейсы ge-0/0/0 и ge-0/0/1 являются интерфейсами уровня 2 (оба интерфейса на коммутаторе-источнике), которые выступать в качестве подключений для компьютеров сотрудников.

  • Интерфейсы ge-0/0/10 и ge-0/0/11 являются интерфейсами уровня 2, подключенными к различным коммутаторам назначения.

  • Интерфейс ge-0/0/12 является интерфейсом уровня 2, который соединяет коммутатор назначения 1 с удаленной станцией мониторинга.

  • Интерфейс ge-0/0/13 является интерфейсом уровня 2, который соединяет коммутатор назначения 2 с удаленной станцией мониторинга.

  • VLAN remote-analyzer настроена на всех коммутаторах топологии для переноса зеркального трафика.

Зеркальное отражение всего трафика сотрудников в интерфейсах членов VLAN для удаленного анализа

Чтобы настроить зеркальное отражение трафика для нескольких интерфейсов членов VLAN для удаленного анализа трафика для всего входящих и исходящего трафика сотрудников, выполните эти задачи:

Процедуры

интерфейс командной строки быстрой конфигурации

Чтобы быстро настроить зеркальное копирование для удаленного анализа трафика для входящих и исходящего трафика сотрудников, скопируйте следующие команды и включайте их в окно терминала коммутатора:

  • В окне терминала коммутатора-источника скопируйте и вируйте следующие команды:

  • В окне терминала коммутатора Destination 1 скопируйте и вируйте следующие команды:

  • В окне терминала коммутатора Destination 2 скопируйте и вируйте следующие команды:

Пошаговая процедура

Чтобы настроить базовое удаленное зеркальное отражение на двух интерфейсах членов VLAN:

  1. На коммутаторе-источнике:

    • Настройка VLAN ID для remote-analyzer VLAN:

    • Настройте интерфейсы сетевого порта, подключенного к коммутаторам назначения, для режима доступа и связать их с remote-analyzer VLAN:

    • Настройте employee-monitor анализатор:

      В данной конфигурации анализатора трафик, который входит и выходит из интерфейсов ge-0/0/0.0 и ge-0/0/1.0, отправляется на пункт назначения вывода, определенный для именуемой группы следующего remote-analyzer-nhg перехода.

    • Настройте remote-analyzer-nhb группу следующего перехода:

  2. На коммутаторе назначения 1:

    • Настройка VLAN ID для remote-analyzer VLAN:

    • Настройте интерфейс Ge-0/0/10 на коммутаторе назначения 1 для режима доступа:

    • Настройте интерфейс, подключенный к удаленной станции мониторинга, для режима доступа:

    • Настройте employee-monitor анализатор:

  3. На коммутаторе назначения 2:

    • Настройка VLAN ID для remote-analyzer VLAN:

    • Настройте интерфейс Ge-0/0/11 на коммутаторе назначения 2 для режима доступа:

    • Настройте интерфейс, подключенный к удаленной станции мониторинга, для режима доступа:

    • Настройте employee-monitor анализатор:

Результаты

Проверьте результаты настройки на коммутаторе-источнике:

Проверьте результаты настройки на коммутаторе назначения 1:

Проверьте результаты настройки на коммутаторе назначения 2:

Проверки

Чтобы подтвердить, что конфигурация работает правильно, выполните эти задачи:

Проверка правильности создания анализатора

Цель

Проверьте, что анализатор с именем был создан на коммутаторе с employee-monitor соответствующими входными интерфейсами и соответствующим выходным интерфейсом.

Действий

Можно убедиться, что анализатор настроен так, как ожидалось, с помощью show forwarding-options analyzer команды.

Чтобы убедиться, что анализатор настроен так, как ожидалось, во время мониторинга всего трафика сотрудников на коммутаторе-источнике, запустите команду show forwarding-options analyzer на коммутаторе-источнике. Для конфигурации в этом примере на коммутаторе-источнике отображаются следующие выходные данные:

Смысл

Эти выходные данные показывают, что отношение анализатора к 1 (зеркальное отражение каждого пакета, это поведение по умолчанию), состояние конфигурации, которое указывает на правильное состояние и что анализатор запрограммирован, зеркально отражает трафик, в который входит или выходит из интерфейсов employee-monitorup ge-0/0/0 и ge-0/0/0/1, и отправляет зеркальный трафик на несколько интерфейсов ge-0/0/10.0 и ge-0/0/11.0 через группу следующего remote-analyzer-nhg перехода. Если выходной интерфейс находится в состоянии (или не настроен) выходного интерфейса, значение состояния будет не работать, и анализатор не сможет зеркалировать down трафик.

Примере: Настройка зеркального отражение удаленного мониторинга использования ресурсов сотрудников с помощью транзитного коммутатора на EX9200 коммутаторах

EX9200 коммутаторов позволяют настроить зеркальное копирование для отправки копий пакетов локальному интерфейсу для локального мониторинга или в VLAN для удаленного мониторинга. Для копирования этих пакетов можно использовать зеркальное копирование:

  • Пакеты, вющие или выехающие на порт

  • Пакеты, вющие или выехающие из сети VLAN

Зеркальный трафик можно анализировать с помощью приложения анализатора протоколов, запущенного на удаленной станции мониторинга при отправке зеркального трафика в VLAN анализатора.

В эту тему входит пример, описывающий, как зеркальное отражение трафика, входящего в порты коммутатора, к удаленному анализатору VLAN через транзитный коммутатор, с тем чтобы можно было выполнить анализ с удаленной станции мониторинга.

на практике:

Зеркальное отражение только необходимых пакетов для уменьшения потенциального влияния на производительность. Рекомендуем вам:

  • Отключите настроенные зеркальные сеансы, если они не используются.

  • Укажите отдельные интерфейсы в качестве вводимых для анализатора, а не в качестве входных.

  • Ограничить объем зеркального трафика:

    • Использование статистической выборки.

    • Установка соотношения для выбора статистических выборок.

    • Использование фильтров межсетевых экранов.

В данном примере описана настройка удаленного зеркального отражение через транзитный коммутатор:

Требования

В данном примере используются следующие аппаратные и программные компоненты:

  • Коммутатор EX9200 другому коммутатору EX9200 через третий коммутатор EX9200.

  • Junos OS версии 13.2 или более поздней для коммутаторов серии EX

Прежде чем настраивать удаленное зеркальное отражение, убедитесь, что:

  • Интерфейсы, которые анализатор будет использовать в качестве входных интерфейсов, настроены на коммутаторе.

Обзор и топология

В данном примере описывается, как зеркальное отражение трафика, входящего в порты коммутатора, в VLAN через транзитный коммутатор, с тем чтобы можно было выполнить анализ всего трафика с компьютеров remote-analyzer сотрудников.

В данной конфигурации на коммутаторе назначения требуется сеанс анализатора, чтобы зеркально отражать входящий трафик от VLAN анализатора к интерфейсу перехода, к которому подключена удаленная станция мониторинга.

Рис. 4 показывает топологию сети для этого примера.

Топологии

Рис. 4: Контроль сети для удаленного зеркального отражение через транзитный коммутаторКонтроль сети для удаленного зеркального отражение через транзитный коммутатор

В данном примере:

  1. Интерфейс ge-0/0/0 является интерфейсом уровня 2, а интерфейс ge-0/0/1 является интерфейсом уровня 3 (оба интерфейса на коммутаторе-источнике), который служит в качестве подключения для компьютеров сотрудников.

  2. Интерфейс ge-0/0/10 является интерфейсом уровня 2, который подключается к транзитном коммутатору.

  3. Интерфейс ge-0/0/11 является интерфейсом уровня 2 на транзитном коммутаторе.

  4. Интерфейс ge-0/0/12 является интерфейсом уровня 2 на транзитном коммутаторе и подключается к коммутатору назначения.

  5. Интерфейс ge-0/0/13 является интерфейсом уровня 2 на коммутаторе назначения.

  6. Интерфейс ge-0/0/14 является интерфейсом уровня 2 на коммутаторе назначения и подключается к удаленной станции мониторинга.

  7. VLAN remote-analyzer настроена на всех коммутаторах топологии для переноса зеркального трафика.

Отражение всего трафика сотрудников для удаленного анализа через транзитный коммутатор

Чтобы настроить зеркальное отражение удаленного анализа трафика через транзитный коммутатор, для всего входящего и исходящего трафика сотрудников, выполните эти задачи:

Процедуры

интерфейс командной строки быстрой конфигурации

Чтобы быстро настроить зеркальное копирование для удаленного анализа трафика через транзитный коммутатор, для входящего и исходящего трафика сотрудников, скопируйте следующие команды и вкопировать их в окно терминала коммутатора:

  • Скопируйте и вйте в окно терминала коммутатора-источника (отслеживаемой коммутатора) следующие команды:

  • Скопируйте и вируйте следующие команды в окне транзитного коммутатора:

  • Скопируйте и вируйте следующие команды в окне коммутатора назначения:

Пошаговая процедура

Настройка удаленного зеркального отражение через транзитный коммутатор:

  1. На коммутаторе-источнике:

    • Настройка VLAN ID для remote-analyzer VLAN:

    • Настройте интерфейсы сетевого порта, подключенного к транзитму коммутатору, для режима доступа и связывая их с remote-analyzer VLAN:

    • Настройте employee-monitor анализатор:

  2. На транзитном коммутаторе:

    • Настройка VLAN ID для remote-analyzer VLAN:

    • Настройте интерфейс Ge-0/0/11 для режима доступа, связать его с remote-analyzer VLAN:

    • Настройте интерфейс Ge-0/0/12 для режима доступа, связать его с VLAN и задав интерфейс только для remote-analyzer выходного трафика:

  3. На коммутаторе назначения:

    • Настройка VLAN ID для remote-analyzer VLAN:

    • Настройте интерфейс Ge-0/0/13 для режима доступа, связать его с VLAN и задав интерфейс только для remote-analyzer впускного трафика:

    • Настройте интерфейс, подключенный к удаленной станции мониторинга, для режима доступа:

    • Настройте remote-analyzer анализатор:

Результаты

Проверьте результаты настройки на коммутаторе-источнике:

Проверьте результаты настройки на транзитном коммутаторе:

Проверьте результаты настройки на коммутаторе назначения:

Проверки

Чтобы подтвердить, что конфигурация работает правильно, выполните эти задачи:

Проверка правильности создания анализатора

Цель

Убедитесь, что анализатор с соответствующими входными интерфейсами и соответствующим выходным интерфейсом был создан на employee-monitor коммутаторе.

Действий

Можно убедиться, что анализатор настроен так, как ожидалось, с помощью show forwarding-options analyzer команды.

Чтобы убедиться, что анализатор настроен так, как ожидалось, во время мониторинга всего трафика сотрудников на коммутаторе-источнике, запустите команду show forwarding-options analyzer на коммутаторе-источнике. Для конфигурации в этом примере показаны следующие выходные данные:

Смысл

Выходные данные показывают, что коэффициент зеркального анализатора составляет 1 (зеркальное отражение каждого пакета, значение по умолчанию), состояние конфигурации – это состояние, которое указывает на правильное состояние и что анализатор запрограммирован, зеркально отображает трафик, в который входит employee-monitorup ge-0/0/0 и ge-0/0/1, и посылает зеркальный трафик анализатору, который remote-analyzer называется. Если выходной интерфейс находится в состоянии (или не настроен) выходного интерфейса, значение состояния будет не работать, и анализатор не сможет зеркалировать down трафик.

Примере: Настройка зеркального отражение для локального контроля использования ресурсов сотрудника на EX4300 коммутаторах

Прим.:

В данном примере Junos OS коммутаторы серии EX с поддержкой стилей конфигурации Enhanced Layer 2 Software (ELS). Если коммутатор работает с программным обеспечением, не поддерживаюным ELS, см. пример: Настройка зеркального отражение портов для локального мониторинга использования ресурсов сотрудника на коммутаторах серии EX. Подробные сведения о ELS см. в "Начало работы с усовершенствованым программным обеспечением уровня 2".

EX4300 коммутаторов позволяют настроить зеркальное копирование для отправки копий пакетов локальному интерфейсу для локального мониторинга или в VLAN для удаленного мониторинга. Для копирования этих пакетов можно использовать зеркальное копирование:

  • Пакеты, вющие или выехающие на порт

  • Пакеты, внося в VLAN

Для анализа зеркального трафика можно использовать анализатор протокола, установленный в системе, подключенной к локальному интерфейсу назначения или к удаленной станции мониторинга, если вы отправляете зеркальный трафик в VLAN анализатора.

В данном примере описана настройка локального зеркального отражение на EX4300 коммутаторе. В данном примере описывается, как настроить коммутатор на зеркальное отражение трафика в интерфейсах, подключенных к компьютерам сотрудников, к выходным интерфейсам анализатора на том же коммутаторе.

Требования

В данном примере используются следующие аппаратные и программные компоненты:

  • Один EX4300 коммутатор

  • Junos OS версии 13.2X50-D10 или более поздней версии для коммутаторов серии EX

Обзор и топология

Данная тема содержит два примера, описывающих, как зеркальное отражение трафика, введя порты коммутатора в интерфейс назначения на одном коммутаторе (локальное зеркальное отражение). В первом примере показано, как зеркально отражать весь трафик, в который попадает на порты, подключенные к компьютерам сотрудников. Во втором примере показан тот же сценарий, но содержится фильтр, зеркальный отражая только трафик сотрудников, выехав в Интернет.

Интерфейсы ge-0/0/0 и ge-0/0/1 служат в качестве соединений для компьютеров сотрудников. Интерфейс ge0/0/10 зарезервирован для анализа зеркального трафика. Подключите ПК, на который запущен анализатор протоколов, к выходным интерфейсам анализаторов для анализа зеркального трафика.

Прим.:

Несколько портов, зеркальных отражение в одном интерфейсе, могут вызвать переполнение буфера и отброшенные пакеты.

В обоих примерах используется топология сети, показанная в Рис. 5 .

Рис. 5: Пример сетевой топологии для локального зеркального отражениеПример сетевой топологии для локального зеркального отражение

Отражение всего трафика сотрудников для локального анализа

Чтобы настроить зеркальное отражение всего трафика сотрудников для локального анализа, выполните эти задачи:

Процедуры

интерфейс командной строки быстрой конфигурации

Чтобы быстро настроить локальное зеркальное копирование на впадающий трафик на два порта, подключенных к компьютерам сотрудников, скопируйте следующие команды и включайте их в окно терминала коммутатора:

Пошаговая процедура

Чтобы настроить анализатор, называемый employee-monitor и указать входные (исходные) интерфейсы и выходной интерфейс анализатора:

  1. Настройте каждый интерфейс, подключенный к компьютерам сотрудников, в качестве входного интерфейса для employee-monitor анализатора:

  2. Настройте выходной интерфейс анализатора как часть VLAN:

  3. Настройка интерфейса анализатора выходных данных для employee-monitor анализатора. Это интерфейс назначения для зеркальных пакетов:

Результаты

Проверьте результаты настройки:

Зеркальное отражение трафика сотрудников в Сети для локального анализа

Чтобы настроить зеркальное отражение веб-трафика для сотрудника, выполните данные задачи:

Процедуры

интерфейс командной строки быстрой конфигурации

Для быстрой настройки локального зеркального копирования трафика с двух портов, подключенных к компьютерам сотрудников, фильтрация таким образом, чтобы зеркальным был только трафик на внешнем вебе, скопируйте следующие команды и включайте их в окно терминала коммутатора:

Пошаговая процедура

Для настройки локального зеркального отражение трафика сотрудника с двух портов, подключенных к компьютерам сотрудников:

  1. Настройка интерфейса локального анализатора:

  2. Настройка экземпляра вывода (вход в экземпляр поступает от employee-web-monitor действия фильтра):

  3. Настройте фильтр брандмауэра, называемый отправкой зеркальных копий запросов сотрудников к watch-employeeemployee-web-monitor экземпляру в Интернете. Примите весь трафик в и из корпоративной подсети (адрес назначения или источника 192.0.2.16/24). Отправьте зеркальные копии всех пакетов, предназначенных для Интернета (порт назначения 80) employee-web-monitor экземпляру.

  4. Применение watch-employee фильтра к соответствующим портам:

Результаты

Проверьте результаты настройки:

Проверки

Чтобы подтвердить правильность конфигурации, выполните эти задачи:

Проверка правильности создания анализатора

Цель

Убедитесь, что анализатор или был создан на коммутаторе с employee-monitoremployee-web-monitor соответствующими входными интерфейсами и соответствующим выходным интерфейсом.

Действий

Эту команду можно использовать для проверки правильной настройки show forwarding-options analyzer анализатора.

Смысл

Эти выходные данные показывают, что отношение анализатора к 1 (зеркальное отражение каждого пакета, настройка по умолчанию), максимальный размер зеркального пакета (показывает весь пакет), состояние конфигурации (это up означает, что анализатор зеркально отражает трафик, вляющий employee-monitor0 ge-0/0/0/0, и интерфейсы ge-0/0/1 и отправляющий зеркальный трафик интерфейсу ge-0/0/10). Если выходной интерфейс находится в неавном состоянии или не настроен, значение состояния будет, и анализатор не будет запрограммирован на down зеркальное отражение.

Проверка правильной настройки зеркального экземпляра порта

Цель

Проверьте правильность настройки зеркального экземпляра порта на коммутаторе с employee-web-monitor соответствующими входными интерфейсами.

Действий

Для проверки правильной настройки зеркального экземпляра порта можно использовать show forwarding-options port-mirroring команду.

Смысл

Эти выходные данные показывают, что экземпляр имеет отношение к 1 (зеркальное отражение каждого пакета, значение по умолчанию), максимальный размер исходного пакета, который был зеркальным (указывает весь пакет), состояние конфигурации является up и зеркальное отражение портов запрограммировано, и что зеркальный трафик от действия фильтра межсетевых экранов отправляется на интерфейс employee-web-monitor0 ge-0/0/10.0. Если выходной интерфейс находится в неавном состоянии или не настроен, значение состояния будет не работать, и зеркальное отражение портов не будет запрограммировано на зеркальное отражение.

Примере: Настройка зеркального отражение удаленного мониторинга использования ресурсов сотрудников на EX4300 коммутаторах

Прим.:

В данном примере Junos OS коммутаторы серии EX с поддержкой стилей конфигурации Enhanced Layer 2 Software (ELS). Если коммутатор работает с программным обеспечением, не поддерживаюным ELS, см. пример: Настройка зеркального отражение для удаленного мониторинга использования ресурсов сотрудников на EX4300 коммутаторах. Подробные сведения о ELS см.: Начало работы с усовершенствованым программным обеспечением уровня 2.

EX4300 коммутаторов позволяют настроить зеркальное копирование для отправки копий пакетов локальному интерфейсу для локального мониторинга или в VLAN для удаленного мониторинга. Для копирования этих пакетов можно использовать зеркальное копирование:

  • Пакеты, вющие или выехающие на порт

  • Пакеты, включающие VLAN на EX4300 коммутаторах

Можно проанализировать зеркальный трафик с помощью приложения анализатора протоколов, запущенного на удаленной станции мониторинга, если отправляется зеркальный трафик на анализатор VLAN.

Данная тема содержит два связанных примера, описывающих, как зеркально отражать трафик, включающий порты коммутатора, в VLAN, чтобы можно было выполнить анализ с удаленной станции remote-analyzer мониторинга. В первом примере показано, как зеркально отражать весь трафик, в который попадает на порты, подключенные к компьютерам сотрудников. Во втором примере показан тот же сценарий, но содержится фильтр, зеркальный отражая только трафик сотрудников, выехав в Интернет.

на практике:

Зеркальное отражение только необходимых пакетов для уменьшения потенциального влияния на производительность. Рекомендуем вам:

  • Отключите настроенные зеркальные сеансы, если они не используются.

  • Укажите отдельные интерфейсы в качестве вводимых для анализатора, а не в качестве входных.

  • Ограничите объем зеркального трафика с помощью фильтров межсетевых экранов.

В данном примере описана настройка удаленного зеркального отражение.

Требования

В данном примере используются следующие аппаратные и программные компоненты:

  • Junos OS версии 13.2X50-D10 или более поздней версии для коммутаторов серии EX

  • Коммутатор EX4300 другому коммутатору, подключенного EX4300 коммутатору

На схеме показана схема EX4300 Virtual Chassis к коммутатору EX4300 назначения.

Прежде чем настраивать удаленное зеркальное отражение, убедитесь, что:

  • Вы понимаете, что касается зеркальных отражений концепций.

  • Интерфейсы, которые анализатор будет использовать в качестве входных интерфейсов, настроены на коммутаторе.

Обзор и топология

Эта тема содержит два связанных примера, описывающих, как настроить зеркальное отражение в сети VLAN, чтобы можно было выполнить анализ с удаленной станции remote-analyzer мониторинга. В первом примере показано, как настроить коммутатор на зеркальное отражение всего трафика с компьютеров сотрудников. Во втором примере показан тот же сценарий, но настройка включает в себя фильтр, зеркальный отражая только трафик сотрудников, выехав в Интернет.

Рис. 6 показывает топологию сети для обоих примеров.

Топологии

Рис. 6: Пример топологии сети удаленного зеркального отражениеПример топологии сети удаленного зеркального отражение

В данном примере:

  1. Интерфейс ge-0/0/0 является интерфейсом уровня 2, а интерфейс ge-0/0/1 является интерфейсом уровня 3 (оба интерфейса на коммутаторе-источнике), который служит в качестве подключения для компьютеров сотрудников.

  2. Интерфейс ge-0/0/10 является интерфейсом уровня 2, который соединяет исходный коммутатор с коммутатором назначения.

  3. Интерфейс ge-0/0/5 является интерфейсом уровня 2, который соединяет коммутатор назначения с удаленной станцией мониторинга.

  4. VLAN remote-analyzer настроена на всех коммутаторах топологии для переноса зеркального трафика.

Отражение всего трафика сотрудников для удаленного анализа

Чтобы настроить анализатор для удаленного анализа трафика для всего входящих и исходящего трафика сотрудников, выполните эти задачи:

Процедуры

интерфейс командной строки быстрой конфигурации

Чтобы быстро настроить анализатор для удаленного анализа трафика для входящих и исходящего трафика сотрудников, скопируйте следующие команды и включайте их в окно терминала коммутатора:

  • Скопируйте и вируйте следующие команды в окне терминала коммутатора-источника:

  • Скопируйте и вируйте следующие команды в окне терминала коммутатора назначения:

Пошаговая процедура

Чтобы настроить базовое зеркальное отражение удаленных портов:

  1. На коммутаторе-источнике:

    • Настройка VLAN ID для remote-analyzer VLAN:

    • Настройте интерфейс сетевого порта, подключенного к коммутатору trunk-режим, и связать его с remote-analyzer VLAN:

    • Настройте employee-monitor анализатор:

  2. На коммутаторе назначения:

    • Настройка VLAN ID для remote-analyzer VLAN:

    • Настройте интерфейс на коммутаторе назначения для trunk-режим связать его с remote-analyzer VLAN:

    • Настройте интерфейс, подключенный к коммутатору назначения, для trunk-режим:

    • Настройте employee-monitor анализатор:

Результаты

Проверьте результаты настройки на коммутаторе-источнике:

Проверьте результаты настройки на коммутаторе назначения:

Зеркальное отражение трафика сотрудников в Сети для удаленного анализа

Чтобы настроить зеркальное отражение трафика портов для удаленного анализа трафика между сотрудниками и веб, выполните эти задачи:

Процедуры

интерфейс командной строки быстрой конфигурации

Чтобы быстро настроить зеркальное копирование портов для зеркального копирования трафика сотрудников во внешнюю сеть, скопируйте следующие команды и включите их в окно терминала коммутатора:

  • Скопируйте и вируйте следующие команды в окне терминала коммутатора-источника:

  • Скопируйте и вируйте следующие команды в окне терминала коммутатора назначения:

Пошаговая процедура

Чтобы настроить зеркальное отражение трафика портов от двух портов, подключенных к компьютерам сотрудников, к VLAN для remote-analyzer использования с удаленной станции мониторинга:

  1. На коммутаторе-источнике:

    • Настройка employee-web-monitor зеркального экземпляра порта:

    • Настройка VLAN ID для remote-analyzer VLAN:

    • Настройте интерфейс для связи с remote-analyzer VLAN:

    • Настройте фильтр межсетевых экранов с и watch-employee названием:

    • Применение фильтра межсетевых экранов к интерфейсам сотрудников:

  2. На коммутаторе назначения:

    • Настройка VLAN ID для remote-analyzer VLAN:

    • Настройте интерфейс на коммутаторе назначения для trunk-режим связать его с remote-analyzer VLAN:

    • Настройте интерфейс, подключенный к коммутатору назначения, для trunk-режим:

    • Настройте employee-monitor анализатор:

Результаты

Проверьте результаты настройки на коммутаторе-источнике:

Проверьте результаты настройки на коммутаторе назначения:

Проверки

Чтобы подтвердить, что конфигурация работает правильно, выполните эти задачи:

Проверка правильности создания анализатора

Цель

Убедитесь, что анализатор с соответствующими входными интерфейсами и соответствующим выходным интерфейсом был создан employee-monitor на коммутаторе. employee-web-monitor

Действий

Можно убедиться, что анализатор настроен так, как ожидалось, с помощью show forwarding-options analyzer команды. Чтобы просмотреть ранее созданные анализаторы, которые отключены, перейдите к интерфейсу J-Web.

Чтобы убедиться, что анализатор настроен так, как ожидалось, во время мониторинга всего трафика сотрудников на коммутаторе-источнике, запустите команду show analyzer на коммутаторе-источнике. Для этого примера конфигурации вы отображаются следующие выходные данные:

Смысл

Эти выходные данные показывают, что экземпляр имеет отношение к 1 (зеркальное отражение каждого пакета, значение по умолчанию), максимальный размер исходного пакета, зеркального анализатора (0 означает весь пакет), состояние конфигурации - up (которое указывает на правильное состояние и что анализатор запрограммирован и зеркально отображает трафик, в который входит employee-monitor ge-0/0/0 и ge-0/0/1 и отправляется зеркальный трафик в VLAN, называемую remote-analyzer ). Если выходной интерфейс находится в неавном состоянии или не настроен, значение состояния будет не работать, и анализатор не будет запрограммирован на зеркальное отражение.

Примере: Настройка зеркального отражение удаленного мониторинга использования ресурсов сотрудников с помощью транзитного коммутатора на EX4300 коммутаторах

Прим.:

В данном примере Junos OS коммутаторы серии EX с поддержкой стилей конфигурации Enhanced Layer 2 Software (ELS).

EX4300 коммутаторов позволяют настроить зеркальное копирование для отправки копий пакетов локальному интерфейсу для локального мониторинга или в VLAN для удаленного мониторинга. Для копирования этих пакетов можно использовать зеркальное копирование:

  • Пакеты, вющие или выехающие на порт

  • Пакеты, включающие VLAN на EX4300 коммутаторах

Можно проанализировать зеркальный трафик с помощью приложения анализатора протоколов, запущенного на удаленной станции мониторинга, если отправляется зеркальный трафик на анализатор VLAN.

В эту тему входит пример, описывающий, как зеркальное отражение трафика, входящего в порты коммутатора, в VLAN через транзитный коммутатор, чтобы можно было выполнить анализ с удаленной станции remote-analyzer мониторинга.

на практике:

Зеркальное отражение только необходимых пакетов для уменьшения потенциального влияния на производительность. Рекомендуем вам:

  • Отключите настроенные зеркальные сеансы, если они не используются.

  • Укажите отдельные интерфейсы в качестве вводимых для анализатора, а не в качестве входных.

  • Ограничите объем зеркального трафика с помощью фильтров межсетевых экранов.

В данном примере описана настройка удаленного зеркального отражение через транзитный коммутатор:

Требования

В данном примере используются следующие аппаратные и программные компоненты:

  • Коммутатор EX4300 другому коммутатору EX4300 через третий коммутатор EX4300.

  • Junos OS версии 13.2X50-D10 или более поздней версии для коммутаторов серии EX

Прежде чем настраивать удаленное зеркальное отражение, убедитесь, что:

  • Вы понимаете, что касается зеркальных отражений концепций.

  • Интерфейсы, которые анализатор будет использовать в качестве входных интерфейсов, настроены на коммутаторе.

Обзор и топология

В данном примере описывается, как зеркальное отражение трафика, входящего в порты коммутатора, в VLAN через транзитный коммутатор, чтобы можно было выполнить анализ с удаленной станции remote-analyzer мониторинга. В примере показано, как настроить коммутатор на зеркальное отражение всего трафика с компьютеров сотрудников на удаленный анализатор.

В данной конфигурации на коммутаторе назначения требуется сеанс анализатора, чтобы зеркально отражать входящий трафик от VLAN анализатора к интерфейсу перехода, к которому подключена удаленная станция мониторинга. Необходимо отключить mac-обучение на транзитном коммутаторе для VLAN, чтобы изучение MAC было отключено для всех интерфейсов-членов VLAN на remote-analyzerremote-analyzer транзитном коммутаторе.

Рис. 7 показывает топологию сети для этого примера.

Топологии

Рис. 7: Удаленное зеркальное отражение через сеть транзитного коммутатора — пример топологииУдаленное зеркальное отражение через сеть транзитного коммутатора — пример топологии

В данном примере:

  • Интерфейс ge-0/0/0 является интерфейсом уровня 2, а интерфейс ge-0/0/1 является интерфейсом уровня 3 (оба интерфейса на коммутаторе-источнике), который служит в качестве подключения для компьютеров сотрудников.

  • Интерфейс ge-0/0/10 является интерфейсом уровня 2, который подключается к транзитном коммутатору.

  • Интерфейс ge-0/0/11 является интерфейсом уровня 2 на транзитном коммутаторе.

  • Интерфейс ge-0/0/12 является интерфейсом уровня 2 на транзитном коммутаторе и подключается к коммутатору назначения.

  • Интерфейс ge-0/0/13 является интерфейсом уровня 2 на коммутаторе назначения.

  • Интерфейс ge-0/0/14 является интерфейсом уровня 2 на коммутаторе назначения и подключается к удаленной станции мониторинга.

  • VLAN remote-analyzer настроена на всех коммутаторах топологии для переноса зеркального трафика.

Отражение всего трафика сотрудников для удаленного анализа через транзитный коммутатор

Чтобы настроить зеркальное отражение удаленного анализа трафика через транзитный коммутатор, для всего входящего и исходящего трафика сотрудников, выполните эти задачи:

Процедуры

интерфейс командной строки быстрой конфигурации

Чтобы быстро настроить зеркальное копирование для удаленного анализа трафика через транзитный коммутатор, для входящего и исходящего трафика сотрудников, скопируйте следующие команды и вкопировать их в окно терминала коммутатора:

  • Скопируйте и вйте в окно терминала коммутатора-источника (отслеживаемой коммутатора) следующие команды:

  • Скопируйте и вируйте следующие команды в окне транзитного коммутатора:

  • Скопируйте и вируйте следующие команды в окне коммутатора назначения:

Пошаговая процедура

Настройка удаленного зеркального отражение через транзитный коммутатор:

  1. На коммутаторе-источнике:

    • Настройка VLAN ID для remote-analyzer VLAN:

    • Настройте интерфейсы сетевого порта, подключенного к транзитном коммутатору, trunk-режим связать их с remote-analyzer VLAN:

    • Настройте employee-monitor анализатор:

  2. На транзитном коммутаторе:

    • Настройка VLAN ID для remote-analyzer VLAN:

    • Настройте интерфейс ge-0/0/11 для trunk-режим, связать его с remote-analyzer VLAN:

    • Настройте интерфейс для trunk-режим, связать его с ge-0/0/12remote-analyzer VLAN и запланировать интерфейс только для выпадаемного трафика:

    • Настройте параметр для VLAN для отключения no-mac-learning MAC-обучения на всех интерфейсах, remote-analyzer включаемых remote-analyzer в VLAN:

  3. На коммутаторе назначения:

    • Настройка VLAN ID для remote-analyzer VLAN:

    • Настройте интерфейс ge-0/0/13 для trunk-режим, связать его с VLAN и установите интерфейс только для веского remote-analyzer трафика:

    • Настройте интерфейс, подключенный к удаленной станции мониторинга, для trunk-режим:

    • Настройте employee-monitor анализатор:

Результаты

Проверьте результаты настройки на коммутаторе-источнике:

Проверьте результаты настройки на транзитном коммутаторе:

Проверьте результаты настройки на коммутаторе назначения:

Проверки

Чтобы подтвердить, что конфигурация работает правильно, выполните эти задачи:

Проверка правильности создания анализатора

Цель

Убедитесь, что анализатор с соответствующими входными интерфейсами и соответствующим выходным интерфейсом был создан на employee-monitor коммутаторе.

Действий

С помощью команды можно проверить, настроен ли анализатор так, как show analyzer ожидалось. Чтобы просмотреть ранее созданные анализаторы, которые отключены, перейдите к интерфейсу J-Web.

Чтобы убедиться, что анализатор настроен так, как ожидалось, во время мониторинга всего трафика сотрудников на коммутаторе-источнике, запустите команду show analyzer на коммутаторе-источнике. Для конфигурации в этом примере показаны следующие выходные данные:

Смысл

Эти выходные данные показывают, что анализатор имеет отношение к 1 (зеркальное отражение каждого пакета, по умолчанию), является зеркальным отражением трафика, входя в employee-monitor ge-0/0/0 и ge-0/0/1 и посылая зеркальный трафик на remote-analyzer анализатор.