Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

示例:配置端口镜像以进行远程分析

 

使用端口镜像向分析流量的应用程序发送流量,例如监控合规性、实施策略、检测入侵、监控和预测流量模式、关联事件等。端口镜像可复制数据包进入或退出接口或进入 VLAN,并将拷贝复制到本地接口以进行本地监控或用于远程监控的 VLAN。此示例介绍如何配置端口镜像以进行远程分析。

要求

此示例使用以下硬件和软件组件:

  • Junos OS 版本13.2 用于 QFX 系列

  • 一个交换机

概述和拓扑

本主题包含两个相关示例,介绍如何在交换机上将进入端口的流量镜像到分析器 VLAN,以便您可以使用远程设备执行分析。第一个示例显示如何将员工计算机发送的所有流量镜像到交换机。第二个示例包含一个过滤器,用于仅镜像进入 Web 的员工信息流。

在此示例中:

  • 接口ge-0/0/0ge-0/0/1是连接到员工计算机的第2层接口。

  • 接口ge-0/0/2是一种连接到另一台交换机的2层接口。

  • remote-analyzer拓扑结构中的所有交换机上配置 VLAN 以传输镜像信息流。

注意

除了执行此处所述的配置步骤,您还必须在用于将源交换机(remote-analyzer此配置中的)连接到的其他交换机上配置 analyzer VLAN (本例中),使其与监控站已连接到。

镜像所有员工信息流以进行远程分析

CLI 快速配置

要快速配置示例的此部分,请复制以下命令,将其粘贴到文本文件中,删除任何换行符,更改与网络配置匹配的必要详细信息,然后将命令复制并粘贴到 CLI edit的层次结构级别:

[edit]
set vlans remote-analyzer vlan-id 999
set interfaces ge-0/0/10 unit 0 family ethernet-switching port-mode trunk
set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999
set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/0.0
set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/1.0
set forwarding-options analyzer employee-monitor output vlan remote-analyzer

分步过程

要配置基本远程端口镜像:

  1. 配置分析器 VLAN (在本例remote-analyzer中称为):
    [edit vlans]

    user@switch# set vlans remote-analyzer vlan-id 999
  2. 将连接到另一台交换机的接口配置为干线模式,并remote-analyzer将其与 VLAN 关联:
    [edit interfaces]

    user@switch# set ge-0/0/10 unit 0 family ethernet-switching port-mode trunk

    user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999
  3. 配置employee-monitor分析器:
    [edit forwarding-options]

    user@switch# set 程序 employee–monitor

    user@switch# set analyzer employee-monitor input ingress interface ge-0/0/0.0

    user@switch# set analyzer employee-monitor input ingress interface ge-0/0/1.0

    user@switch# set analyzer employee-monitor output vlan remote-analyzer

  4. 将交换机remote-analyzer上的 VLAN 配置为将此交换机连接到监控工作站。

结果

检查配置结果:

镜像员工到 Web 流量以进行远程分析

CLI 快速配置

要快速配置示例的此部分,请复制以下命令,将其粘贴到文本文件中,删除任何换行符,更改与网络配置匹配的必要详细信息,然后将命令复制并粘贴到 CLI edit的层次结构级别:

[edit]
set vlans remote-analyzer vlan-id 999
set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk
set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999set forwarding-options port-mirroring instance employee-web-monitor loss-priority high output vlan 999
set firewall family ethernet-switching filter watch-employee term employee-to-web from destination-port 80
set firewall family ethernet-switching filter watch-employee term employee-to-web then port-mirror-instance employee-web-monitor employee-web-monitor
set ge-0/0/0 unit 0 family ethernet-switching filter input watch-employee
set interfaces ge-0/0/1 unit 0 family ethernet-switching filter input watch-employee

分步过程

  1. 配置分析器 VLAN (在本例remote-analyzer中称为):
    [edit vlans]

    user@switch# set remote-analyzer vlan-id 999
  2. 配置接口以将其与remote-analyzer VLAN 关联:
    [edit interfaces]

    user@switch# set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk

    user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999

  3. 配置employee-web-monitor分析器。(仅配置输入来自—过滤器的输出。)
    [edit forwarding-options]

    user@switch# set forwarding-options port-mirroring instance employee-web-monitor output vlan 999
  4. 配置一个调用watch-employee的防火墙过滤器,以匹配发送到 Web 的流量并将其发送employee-web-monitor至分析器:
    [edit firewall family ethernet-switching]

    user@switch# set 过滤器 watch-employee term employee-to-web from destination-port 80

    user@switch# set filter watch-employee term employee-to-web then port-mirror-instance employee-web-monitor
  5. 将防火墙过滤器应用于相应接口,作为入口过滤器:
    [edit interfaces]

    user@switch# set ge-0/0/0 unit 0 family ethernet-switching filter watch-employee

    user@switch# set ge-0/0/1 unit 0 family ethernet-switching filter input watch-employee
  6. 将交换机remote-analyzer上的 VLAN 配置为将此交换机连接到监控工作站。

结果

检查配置结果:

针对

验证是否已正确创建分析器

用途

验证是否已在交换机employee-monitoremployee-web-monitor使用适当的输入接口和相应的输出接口创建了指定的分析器。

操作

您可以使用show analyzer命令验证端口镜像分析器是否按预期方式配置。

user@switch> show analyzer

含义

employee-monitor输出显示,分析器正在镜像进入ge-0/0/0的流量, ge-0/0/1并正在将镜像流量发送至分析器。 remote-analyzer