Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

示例:使用防火墙过滤器镜像员工 Web 信息流

 

要求

此示例使用以下硬件和软件组件:

  • 一台交换机

  • Junos 14.1 X53-D20

概述

在此示例中xe-0/0/0xe-0/0/6并用作员工计算机的连接。接口xe-0/0/47连接到运行 analyzer 应用程序的设备。

通常需要仅镜像某些信息流,而不是镜像所有信息流。这是您的带宽和硬件的更高效使用,由于这些资产受到限制,因此可能很有必要。此示例仅对从员工计算机发送到 Web 的信息流进行镜像。

图 1显示了此示例的网络拓扑。

图 1: 本地端口镜像的网络拓扑示例
本地端口镜像的网络拓扑示例

配置

要指定将镜像的唯一信息流是由员工发送到 Web 的流量,请执行本节中所述的任务。要选择此流量以进行镜像,请使用防火墙过滤器来指定此信息流,并将其定向到端口镜像实例。

CLI 快速配置

要快速配置面向 Web 的员工计算机流量的本地端口镜像,请复制以下命令并将其粘贴到交换机端子窗口中:

[edit]
set forwarding-options port-mirroring family inet output interface xe-0/0/47.0 next-hop 192.0.2.100/24
set firewall family inet filter watch-employee term employee-to-corp from destination-address 192.0.2.16/24
set firewall family inet filter watch-employee term employee-to-corp from source-address 192.0.2.16/24
set firewall family inet filter watch-employee term employee-to-corp then accept
set firewall family inet filter watch-employee term employee-to-web from destination-port 80
set firewall family inet filter watch-employee term employee-to-web then port-mirror
set interfaces xe-0/0/0 unit 0 family address 192.0.1.1/24
set interfaces xe-0/0/6 unit 0 family address 192.0.1.2/24
set interfaces xe-0/0/47 unit 0 family address 192.0.1.3/24
set interfaces xe-0/0/0 unit 0 family inet filter input watch-employee
set interfaces xe-0/0/6 unit 0 family inet filter input watch-employee

分步过程

要从连接到员工计算机的两个端口配置员工到 web 流量的本地端口镜像,请执行以下操作:

  1. 配置端口镜像实例,包括作为下一跳跃运行 analyzer 应用程序的设备的输出接口和 IP 地址。(仅配置输入来自—过滤器的输出。)您还必须指定镜像用于 IPv4 信息流(family inet)。
    [edit forwarding-options]

    user@switch# set forwarding-options port-mirroring family inet output interface xe-0/0/47.0 next-hop 192.0.2.100/28


  2. 配置一个调用family inetwatch-employeeIPv4 ()防火墙过滤器,其中包含一个用于匹配发送至 Web 的信息流并将其发送至端口镜像实例的术语。不需要复制从企业子网(目标或源地址192.0.2.16/24)发送和到达的流量,因此先创建另一个术语,以便在该流量到达向实例发送 Web 信息流之前接受此信息流:
    [edit firewall family inet]

    er@switch# set 过滤器 watch-employee term employee-to-corp from destination-address 192.0.2.16/24

    user@switch# set filter watch-employee term employee-to-corp from source-address 192.0.2.16/24

    user@switch# set filter watch-employee term employee-to-corp then accept

    user@switch# set filter watch-employee term employee-to-web from destination-port 80

    user@switch# set filter watch-employee term employee-to-web then port-mirror

  3. 配置连接到员工计算机和 analyzer 设备的 IPv4 接口的地址:
    [edit interfaces]

    user@switch# set xe-0/0/0 unit 0 family inet address 192.0.1.1/24

    user@switch# set xe-0/0/6 unit 0 family inet address 192.0.1.2/24

    user@switch# set interfaces xe-0/0/47 unit 0 family address 192.0.1.3/24
  4. 将防火墙过滤器应用于相应接口,作为入口过滤器:
    [edit interfaces]

    user@switch# set xe-0/0/0 unit 0 family inet filter watch-employee

    user@switch# set xe-0/0/6 unit 0 family inet filter input watch-employee

结果

检查配置结果:

针对

验证是否已正确创建分析器

用途

验证是否已在交换机上使用适当的输入接口和相应的输出接口创建了分析器。

操作

您可以使用show forwarding-options port-mirroring命令验证端口镜像分析器是否已按预期配置。

user@switch> show forwarding-options port-mirroring

含义

此输出显示,端口镜像实例的比率为1(镜像每个数据包、默认设置)和镜像的原始数据包的最大大小(0表示整个数据包)。如果输出接口的状态为 down 或未配置输出接口,则 state 的值将为 down实例不会进行编程以进行镜像。