Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

例子配置端口镜像以进行本地分析

 

使用端口镜像向分析流量的应用程序发送流量,例如监控合规性、实施策略、检测入侵、监控和预测流量模式、关联事件等。端口镜像可复制数据包进入或退出接口或进入 VLAN,并将副本发送至本地接口以进行本地监控。

注意

此示例使用增强型第2层软件(ELS)配置样式。有关 ELS 详细信息,请参阅Using the Enhanced Layer 2 Software CLI

本示例介绍如何配置端口镜像,以将员工计算机发送的信息流复制到交换机,并将其传送至同一交换机上的接入接口。

要求

此示例使用以下硬件和软件组件:

  • Junos OS 版本13。2

  • 一个交换机

概述和拓扑

本主题包含两个相关示例,介绍如何在交换机上将进入接口的信息流映射到同一交换机上的接入接口。第一个示例显示如何将员工计算机发送的所有流量镜像到交换机。第二个示例包含一个过滤器,用于仅镜像进入 Web 的员工信息流。

在此示例中xe-0/0/0xe-0/0/6并用作员工计算机的连接。接口xe-0/0/47连接到运行 analyzer 应用程序的设备。

注意

多个端口镜像到一个接口可能会导致缓冲区溢出和丢弃数据包。

图 1显示了此示例的网络拓扑。

图 1: 本地端口镜像的网络拓扑示例
本地端口镜像的网络拓扑示例

示例:镜像所有员工信息流以进行本地分析

要为员工计算机发送的所有流量配置端口镜像以进行本地分析,请执行本节中所述的任务。

CLI 快速配置

要将本地端口镜像快速配置为连接到员工计算机的两个端口的入口流量,请复制以下命令并将其粘贴到交换机端子窗口中:

[edit]
set interfaces xe-0/0/0 unit 0 family ethernet-switching
set interfaces xe-0/0/6 unit 0 family ethernet-switching
set interfaces xe-0/0/47 unit 0 family ethernet-switching
set forwarding-options analyzer employee-monitor input ingress interface xe-0/0/0.0
set forwarding-options analyzer employee-monitor input ingress interface xe-0/0/6.0
set forwarding-options analyzer employee-monitor output interface xe-0/0/47.0

分步过程

要配置调用employee-monitor的分析器并指定输入(源)接口和输出接口:

  1. 将连接到员工计算机的接口配置为端口镜像分析器employee-monitor的输入接口:
    [edit forwarding-options]

    user@switch# set 程序 employee-monitor input ingress interface xe–0/0/0.0

    user@switch# set analyzer employee-monitor input ingress interface xe–0/0/6.0

  2. employee-monitor分析器配置输出分析器接口。这将是镜像数据包的目标接口:
    [edit forwarding-options]

    user@switch# set analyzer employee-monitor 输入 interface xe-0/0/47.0

结果

检查配置结果:

示例:使用防火墙过滤器镜像员工 Web 信息流

要求

此示例使用以下硬件和软件组件:

  • 一个 QFX5100 交换机

  • Junos OS 版本 14.1 X53-D30

概述

通常需要仅镜像某些信息流,而不是镜像所有信息流。这是带宽和硬件的更有效使用,由于这些资产受到限制,因此可能很有必要。要选择用于镜像的特定流量,请使用防火墙过滤器来匹配所需流量,并将其定向到端口镜像实例。然后,端口镜像实例复制数据包,并将其发送至输出 VLAN、接口或 IP 地址。

配置

要指定将镜像的唯一信息流是由员工发送到 Web 的流量,请执行本节中所述的任务。要选择此流量以进行镜像,请使用防火墙过滤器来指定此信息流,并将其定向到端口镜像实例。

CLI 快速配置

要快速配置面向 Web 的员工计算机流量的本地端口镜像,请复制以下命令并将其粘贴到交换机端子窗口中:

[edit]
set interface xe-0/0/47 unit 0 family ethernet-switching
set forwarding-options port-mirroring instance employee–web–monitor family ethernet-switching output interface xe-0/0/47.0
set firewall family ethernet-switching filter watch-employee term employee-to-corp from ip-destination-address 192.0.2.16/28
set firewall family ethernet-switching filter watch-employee term employee-to-corp from ip-source-address 192.0.2.16/28
set firewall family ethernet-switching filter watch-employee term employee-to-corp then accept
set firewall family ethernet-switching filter watch-employee term employee-to-web from destination-port 80
set firewall family ethernet-switching filter watch-employee term employee-to-web then port-mirror-instance employee-web-monitor
set interfaces xe-0/0/0 unit 0 family ethernet-switching filter input watch-employee
set interfaces xe-0/0/6 unit 0 family ethernet-switching filter input watch-employee

分步过程

要从连接到员工计算机的两个端口配置员工到 web 流量的本地端口镜像,请执行以下操作:

  1. 配置输出接口:
    [edit interfaces]

    user@switch# set xe-0/0/47 unit 0 family ethernet-switching
  2. 配置employee-web-monitor输出接口。(仅配置输入来自—过滤器的输出。)
    [edit forwarding-options]

    user@switch# set port-mirroring instance employee–web–monitor family ethernet-switching output interface xe-0/0/47.0


  3. 配置一个调用watch-employee的防火墙过滤器,其中包含一个搜索发送至 Web 的信息流并将其发送至端口镜像实例employee-web-monitor的术语。不需要复制进出公司子网(目标或源地址192.0.2.16/28)的流量,因此请创建另一个术语,以便在该流量到达向实例发送 Web 信息流的术语之前接受此信息流:
    [edit firewall family ethernet-switching]

    user@switch# set 过滤器 watch-employee term employee-to-corp from ip-destination-address 192.0.2.16/28

    user@switch# set filter watch-employee term employee-to-corp from ip-source-address 192.0.2.16/28

    user@switch# set filter watch-employee term employee-to-corp then accept

    user@switch# set filter watch-employee term employee-to-web from destination-port 80

    user@switch# set filter watch-employee term employee-to-web then port-mirror-instance employee-web-monitor
  4. 将防火墙过滤器应用于相应接口,作为入口过滤器(出口过滤器不允许分析器):
    [edit interfaces]

    user@switch# set xe-0/0/0 unit 0 family ethernet-switching filter watch-employee

    user@switch# set xe-0/0/6 unit 0 family ethernet-switching filter input watch-employee

结果

检查配置结果:

针对

验证是否已正确创建分析器

用途

验证是否已在交换机上使用适当employee-web-monitor的输入接口和相应的输出接口创建了指定的端口镜像实例。

操作

您可以使用show forwarding-options port-mirroring命令验证端口镜像端口镜像实例是否已按预期配置。

user@switch> show forwarding-options port-mirroring

含义

此输出显示有关端口镜像实例的以下信息 employee-web-monitor可以:

  • 的速率为 1(每个数据包的镜像,默认设置)

  • 取样的连续数据包数(运行长度)为 0

  • 镜像的原始数据包的最大大小为 0(0表示整个数据包)

  • 输出参数的状态: up指示实例正在镜像进入 xe-0/0/0 和 xe-0/0/6 接口的流量,并将镜像流量发送至 xe-0/0/47 接口

如果输出接口的状态为 down如果未配置输出接口, state值将 down实例不会进行编程以进行镜像。