ON THIS PAGE
在 EX4300 交换机上配置镜像以分析流量(CLI 过程)
此任务使用支持增强型第2层软件(ELS)配置样式的 EX 系列交换机 Junos OS。
利用 EX4300 交换机,您可以配置镜像,将数据包的副本发送到本地监控的本地接口或用于远程监控的 VLAN。您可以使用镜像复制这些数据包:
输入或退出端口的数据包
输入 VLAN 的数据包
仅镜像必要的数据包,以降低潜在的性能影响。我们建议您:
不使用已配置的镜像配置时,将其禁用。
将单独接口指定为分析器输入,而不是将所有接口指定为输入。
通过使用防火墙过滤器来限制镜像流量的数量。
如果您希望在不删除现有分析器的情况下创建其他分析程序,请使用命令行界面disable analyzer analyzer-name或 J-Web 配置页中的语句禁用现有分析器以进行镜像。
用作分析器输出的接口必须配置在 以太网交换产品.
配置分析器以进行本地流量分析
要将交换机上的接口流量或 VLAN 流量镜像到交换机上的接口(使用分析器):
- 选择分析器的名称并指定输入:
例如,创建一个名为
employee-monitor对于其输入信息流是数据包输入接口 ge-0/0/0.0 和 ge-0/0/1.0: - 为镜像数据包配置目标接口:
[edit forwarding-options]
user@switch# set analyzer analyzer-name output interface interface-name例如,将 ge-0/0/10.0 配置为
employee-monitor程序[edit forwarding-options]
user@switch# set analyzer employee-monitor output interface ge-0/0/10.0
配置分析器以进行远程流量分析
要将流经接口或交换机上的 VLAN 的信息流镜像到 VLAN 以便从远程位置进行分析(使用分析器):
- 配置 VLAN 以传输镜像流量:
[edit]
user@switch# set vlan analyzer-name vlan-id vlan-ID例如,定义一个名为
remote-analyzer并为其分配一个 VLAN ID999可以:[edit]
user@switch# set vlan remote-analyzer vlan-id 999 - 将连接到分布式交换机的上行链路模块接口设置为干线模式,并将其与 analyzer VLAN 相关联:
[edit]
user@switch# set interfaces interface-name unit 0 family ethernet-switching interface-mode trunk vlan 人员 vlan-ID例如,将接口 ge-0/1/1 设置为中继模式,并将其与 analyzer VLAN ID 关联
999可以:[edit]
user@switch# set interfaces ge-0/1/1 unit 0 family ethernet-switching interface-mode trunk vlan 人员 999 - 配置分析器:
- 定义分析器并指定要镜像的信息流:
[edit forwarding-options]
user@switch# set analyzer analyzer-name input ingress interface interface-name例如,定义
employee-monitor要镜像的信息流的分析器是输入接口 ge-0/0/0.0 和 ge-0/0/1.0 的数据包:[edit forwarding-options]
user@switch# set analyzer employee-monitor input ingress interface ge-0/0/0.0[edit forwarding-options]
user@switch# set analyzer employee-monitor input ingress interface ge-0/0/1.0 - 将 analyzer VLAN 指定为分析器的输出:
[edit forwarding-options]
user@switch# set analyzer analyzer-name output vlan vlan-ID例如,指定
remote-analyzerVLAN 作为employee-monitor程序[edit forwarding-options]
user@switch# set analyzer employee-monitor output vlan 999
- 定义分析器并指定要镜像的信息流:
配置端口镜像
要过滤要镜像到端口镜像实例的数据包,请创建该实例,然后将其用作防火墙过滤器中的操作。您可以在本地和远程镜像配置中使用防火墙过滤器。
如果在多个过滤器或术语中使用相同的端口镜像实例,则数据包仅复制到 analyzer 输出端口或 analyzer VLAN 一次。
要过滤镜像流量,请在[edit forwarding-options]层次结构级别下创建端口镜像实例,然后创建防火墙过滤器。过滤器可以使用任何可用的匹配条件,并且必须具有port-mirror-instance instance-name as 操作。防火墙过滤器配置中的此操作可提供端口镜像实例的输入。
要使用防火墙过滤器配置端口镜像实例:
- 配置端口镜像实例名称(此处employee-monitor)和输出:
- 对于本地分析,将输出设置为您要将运行协议分析器应用程序的计算机连接到的本地接口:[edit forwarding-options]user@switch# set port-mirroring instance employee-monitor output interface ge-0/0/10.0
- 对于远程分析,将输出设置为remote-analyzer VLAN:[edit forwarding-options]user@switch# set port-mirroring instance employee-monitor output vlan 999
- 对于本地分析,将输出设置为您要将运行协议分析器应用程序的计算机连接到的本地接口:
- 使用任何可用的匹配条件创建防火墙过滤器并分配employee-monitor给port-mirror-instance操作:
此步骤显示防火墙过滤器example-filter,其中包含两个条款no-analyzer ( to-analyzerand):
- 创建第一个术语,以定义不应通过端口镜像实例 employee-monitor的信息流:
- 创建第二个术语,以定义应通过端口镜像实例employee-monitor的信息流:[edit firewall family ethernet-switching]user@switch# set filter example-filter term to-analyzer from destination-port 80user@switch# set filter example-filter term to-analyzer then port-mirror-instance employee–monitoruser@switch# set filter example-filter term to-analyzer then accept
- 将防火墙过滤器应用于向端口镜像实例提供输入的接口或 VLAN:[edit]user@switch# set interfaces ge-0/0/0 unit 0 family ethernet-switching filter input example-filterser@switch# set vlan remote-analyzer filter input example-filter