Configurando a porta espelhando análises locais e remotas
Configuração do espelhamento de porta
Você usa espelhamento de porta para copiar pacotes e enviar as cópias para um dispositivo que executa um aplicativo como um analisador de rede ou aplicativo de detecção de intrusão para que você possa analisar o tráfego sem atrasá-lo. Você pode espelhar o tráfego entrando ou saindo de uma porta ou entrando em uma VLAN, e pode enviar as cópias para uma interface de acesso local ou para uma VLAN através de uma interface de tronco.
Recomendamos que você desabile o espelhamento de porta quando não estiver usando. Para evitar criar um problema de desempenho Se você habilitar o espelhamento de portas, recomendamos que você selecione interfaces de entrada específicas em vez de usar a all palavra-chave. Você também pode limitar a quantidade de tráfego espelhado usando um filtro de firewall.
Essa tarefa usa o estilo de configuração de software de camada 2 (ELS) aprimorado. Se o seu switch executa um software que não oferece suporte ao ELS, veja Configurando o espelhamento de portas. Para obter detalhes do ELS, veja Usando a CLI de software de camada 2 aprimorada.
Se você quiser criar analisadores adicionais sem excluir um analisador existente, primeiro desabile o analisador existente usando o disable analyzer analyzer-name comando.
Você deve configurar interfaces de saída com espelhamento de porta como family ethernet-switching.
- Configuração do espelhamento de portas para análise local
- Configuração do espelhamento de portas para análise remota
- Filtragem do tráfego entrando em um analisador
Configuração do espelhamento de portas para análise local
Espelhar o tráfego de interface para uma interface local no switch:
Configuração do espelhamento de portas para análise remota
Espelhar o tráfego em uma VLAN para análise em um local remoto:
Filtragem do tráfego entrando em um analisador
Essa funcionalidade não é suportada em dispositivos NFX150.
Além de especificar qual tráfego espelhar ao configurar um analisador, você também pode usar um filtro de firewall para exercer mais controle sobre quais pacotes são copiados. Por exemplo, você pode usar um filtro para especificar que apenas o tráfego de determinados aplicativos será espelhado. O filtro pode usar qualquer uma das condições de correspondência disponíveis e deve ter uma ação de modificador de port-mirror-instance instance-name. Se você usar o mesmo analisador em vários filtros ou termos, os pacotes de saída são copiados apenas uma vez.
Quando você usa um filtro de firewall como entrada para uma instância de espelhamento de porta, você envia o tráfego copiado para uma interface local ou uma VLAN, assim como faz quando um firewall não está envolvido.
Para configurar o espelhamento de portas com filtros:
Configuração de espelhamento de portas em firewalls da Série SRX
Para configurar o espelhamento de porta em um dispositivo SRX, você deve primeiro configurar o forwarding-options nível de hierarquia.interfaces[edit]
Você deve configurar a forwarding-options declaração para definir uma instância da porta para espelhamento mirror-to de portas e também configurar a interface a ser espelhada.
A porta espelhada e a porta espelhada devem estar sob o mesmo chipset Broadcom em uma placa de E/S.
Para configurar o espelhamento de porta:
Você pode configurar uma instance cláusula para especificar várias mirror-to portas.
Para espelhar uma interface, inclua a port-mirror-instance declaração no nível de [edit interface mirrored-intf-name] hierarquia.
A interface espelhada está configurada com um nome de instância, definido na forwarding-options. A mirrored porta e a mirror-to porta estão vinculadas por essa instância.
instance {
inst-name {
input {
rate number;
run-length number;
}
family any {
output {
interface intf-name;
}
}
}
}
interfaces
mirrored-intf-name {
port-mirror-instance instance-name;
}
O espelhamento de portas em firewalls da Série SRX não diferencia a direção do tráfego, mas espelha as amostras de entrada e saída juntas.
Uma configuração de amostra para espelhamento de portas é mostrada abaixo:
mirror port ge-1/0/2 to port ge-1/0/9.0
forwarding-options
port-mirroring {
input {
rate 1;
run-length 10;
}
family any {
output {
interface ge-1/0/9.0;
}
}
instance {
inst1 {
input {
rate 1;
run-length 10;
}
family any {
output {
interface ge-1/0/9.0;
}
}
}
}
interfaces {
ge-1/0/2 {
port-mirror-instance inst1;
}
}
Exemplos: Configuração do espelhamento de portas para análise local
Use o espelhamento de portas para enviar tráfego a aplicativos que analisam o tráfego para fins como monitorar a conformidade, aplicar políticas, detectar invasões, monitorar e prever padrões de tráfego, correlacionar eventos e assim por diante. Espelhamento de portas espelhamento de pacotes entrando ou saindo de uma interface ou entrando em uma VLAN e envia as cópias para uma interface local para monitoramento local.
Este exemplo usa o estilo de configuração de software de camada 2 (ELS) aprimorado. Para obter detalhes do ELS, veja Usando a CLI de software de camada 2 aprimorada.
Este exemplo descreve como configurar o espelhamento de portas para copiar o tráfego enviado pelos computadores dos funcionários para um switch para uma interface de acesso no mesmo switch.
- Requisitos
- Visão geral e topologia
- Exemplo: Espelhamento de todo o tráfego de funcionários para análise local
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
Versão Junos OS 13.2
Um switch
Visão geral e topologia
Este tópico inclui dois exemplos relacionados que descrevem como espelhar o tráfego entrando em interfaces no switch para uma interface de acesso no mesmo switch. O primeiro exemplo mostra como espelhar todo o tráfego enviado pelos computadores dos funcionários para o switch. O segundo exemplo inclui um filtro para espelhar apenas o tráfego de funcionários que vai para a Web.
Topologia
Neste exemplo, xe-0/0/0 e xe-0/0/6 servir como conexões para computadores de funcionários. A interface xe-0/0/47 está conectada a um dispositivo que executa um aplicativo de analisador.
Várias portas espelhadas em uma interface podem causar o estouro do buffer e a queda de pacotes.
Figura 1 mostra a topologia da rede para este exemplo.
Exemplo: Espelhamento de todo o tráfego de funcionários para análise local
Para configurar o espelhamento de portas para todo o tráfego enviado pelos computadores dos funcionários para análise local, execute as tarefas explicadas nesta seção.
Procedimento
Configuração rápida da CLI
Para configurar rapidamente o espelhamento de porta local para o tráfego de entrada nas duas portas conectadas aos computadores dos funcionários, copie os seguintes comandos e cole-os em uma janela de terminal do switch:
[edit] set interfaces xe-0/0/0 unit 0 family ethernet-switching set interfaces xe-0/0/6 unit 0 family ethernet-switching set interfaces xe-0/0/47 unit 0 family ethernet-switching set forwarding-options analyzer employee-monitor input ingress interface xe-0/0/0.0 set forwarding-options analyzer employee-monitor input ingress interface xe-0/0/6.0 set forwarding-options analyzer employee-monitor output interface xe-0/0/47.0
Procedimento passo a passo
Para configurar um analisador chamado employee-monitor e especificar as interfaces de entrada (fonte) e a interface de saída:
Configure as interfaces conectadas aos computadores dos funcionários como interfaces de entrada para o analisador
employee-monitorde espelhos de porta:[edit forwarding-options] user@switch# set analyzer employee-monitor input ingress interface xe–0/0/0.0 user@switch# set analyzer employee-monitor input ingress interface xe–0/0/6.0
Configure a interface do analisador de saída para o
employee-monitoranalisador. Esta será a interface de destino para os pacotes espelhados:[edit forwarding-options] user@switch# set analyzer employee-monitor output interface xe-0/0/47.0
Resultados
Confira os resultados da configuração:
[edit]
user@switch# show forwarding-options analyzer
employee-monitor {
input {
ingress {
interface xe-0/0/0.0;
interface xe-0/0/6.0;
}
}
output {
interface {
xe-0/0/47.0;
}
}
}
}
Exemplo: Espelhamento do tráfego web dos funcionários com um filtro de firewall
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
Um switch QFX5100
Versão Junos OS 14.1X53-D30
Visão geral
Em vez de espelhar todo o tráfego, geralmente é desejável espelhar apenas determinado tráfego. Este é um uso mais eficiente de sua largura de banda e hardware e pode ser necessário devido a restrições nesses ativos. Para selecionar tráfego específico para espelhamento, você usa um filtro de firewall para combinar com o tráfego desejado e direcioná-lo a uma instância de espelhamento de porta. A instância de espelhamento de porta então copia os pacotes e os envia para a saída VLAN, interface ou endereço IP.
Configuração
Para especificar que o único tráfego que será espelhado é o tráfego enviado pelos funcionários para a Web, execute as tarefas explicadas nesta seção. Para selecionar esse tráfego para espelhamento, você usa um filtro de firewall para especificar esse tráfego e direcioná-lo a uma instância de espelhamento de portas.
Procedimento
Configuração rápida da CLI
Para configurar rapidamente o espelhamento de porta local do tráfego de computadores funcionários destinados à Web, copie os seguintes comandos e cole-os em uma janela terminal do switch:
[edit] set interface xe-0/0/47 unit 0 family ethernet-switching set forwarding-options port-mirroring instance employee–web–monitor family ethernet-switching output interface xe-0/0/47.0 set firewall family ethernet-switching filter watch-employee term employee-to-corp from ip-destination-address 192.0.2.16/28 set firewall family ethernet-switching filter watch-employee term employee-to-corp from ip-source-address 192.0.2.16/28 set firewall family ethernet-switching filter watch-employee term employee-to-corp then accept set firewall family ethernet-switching filter watch-employee term employee-to-web from destination-port 80 set firewall family ethernet-switching filter watch-employee term employee-to-web then port-mirror-instance employee-web-monitor set interfaces xe-0/0/0 unit 0 family ethernet-switching filter input watch-employee set interfaces xe-0/0/6 unit 0 family ethernet-switching filter input watch-employee
Procedimento passo a passo
Para configurar o espelhamento de porta local do tráfego entre funcionários e web a partir das duas portas conectadas aos computadores dos funcionários:
Configure a interface de saída:
[edit interfaces] user@switch# set xe-0/0/47 unit 0 family ethernet-switching
Configure a
employee-web-monitorinterface de saída. (Configure apenas a saída — a entrada vem do filtro.)[edit forwarding-options] user@switch# set port-mirroring instance employee–web–monitor family ethernet-switching output interface xe-0/0/47.0
Configure um filtro de firewall chamado
watch-employeeque inclua um termo para combinar tráfego enviado à Web e enviar para a instânciaemployee-web-monitorde espelhamento de portas. O tráfego de e para a sub-rede corporativa (endereço de destino ou fonte)192.0.2.16/28não precisa ser copiado, portanto, crie outro termo para aceitar esse tráfego antes que ele atinja o termo que envia tráfego Web para a instância:[edit firewall family ethernet-switching] user@switch# set filter watch-employee term employee-to-corp from ip-destination-address 192.0.2.16/28 user@switch# set filter watch-employee term employee-to-corp from ip-source-address 192.0.2.16/28 user@switch# set filter watch-employee term employee-to-corp then accept user@switch# set filter watch-employee term employee-to-web from destination-port 80 user@switch# set filter watch-employee term employee-to-web then port-mirror-instance employee-web-monitor
Aplique o filtro de firewall nas interfaces apropriadas como um filtro de entrada (filtros de saída não permitem analisadores):
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching filter input watch-employee user@switch# set xe-0/0/6 unit 0 family ethernet-switching filter input watch-employee
Resultados
Confira os resultados da configuração:
[edit]
user@switch# show
forwarding-options {
port-mirroring {
instance {
employee-web-monitor {
family ethernet-switching {
output {
interface xe-0/0/47.0;
}
}
}
}
}
}
...
firewall {
family ethernet-switching {
filter watch-employee {
term employee-to-corp {
from {
ip-source-address 192.0.2.16/28;
ip-destination-address 192.0.2.16/28;
}
then accept;
term employee-to-web {
from {
destination-port 80;
}
then port-mirror-instance employee-web-monitor;
}
}
}
}
...
interfaces {
xe-0/0/0 {
unit 0 {
family ethernet-switching {
filter {
input watch-employee;
}
}
}
}
xe-0/0/6 {
family ethernet-switching {
filter {
input watch-employee;
}
}
}
xe-0/0/47 {
family ethernet-switching;
}
}
Verificação
Verificando se o analisador foi criado corretamente
Propósito
Verifique se a instância de espelhamento de porta nomeada employee-web-monitor foi criada no switch com as interfaces de entrada apropriadas e a interface de saída apropriada.
Ação
Você pode verificar se a instância de espelhamento de porta espelhamento do espelho de porta foi configurada como esperado usando o show forwarding-options port-mirroring comando.
user@switch> show forwarding-options port-mirroring Instance name : employee-web-monitor Instance Id: 2 Input parameters: Rate :1 Run-length :0 Maximum packet length :0 Output parameters: Family State Destination Next-hop ethernet-switching up xe-0/0/47.0
Significado
Esta saída mostra as seguintes informações sobre a instância employee-web-monitorde espelhamento de portas:
Tem uma taxa de
1(espelhamento de cada pacote, a configuração padrão)O número de pacotes consecutivos amostrados (comprimento de execução) é
0O tamanho máximo do pacote original que foi espelhado é
0(0indica todo o pacote)O estado dos parâmetros de saída:
upindica que a instância está espelhando o tráfego que entra nas interfaces xe-0/0/0 e xe-0/6, e está enviando o tráfego espelhado para a interface xe-0/0/47
Se o estado da interface de saída estiver down ou se a interface de saída não estiver configurada, o state valor será down e a instância não será programada para espelhamento.
Exemplo: Configuração do espelhamento de portas para análise remota
Use o espelhamento de portas para enviar tráfego a aplicativos que analisam o tráfego para fins como monitorar a conformidade, aplicar políticas, detectar invasões, monitorar e prever padrões de tráfego, correlacionar eventos e assim por diante. Espelhamento de porta espelhamento de pacotes entrando ou saindo de uma interface ou entrando em uma VLAN e envia as cópias para uma interface local para monitoramento local ou para uma VLAN para monitoramento remoto. Este exemplo descreve como configurar o espelhamento de portas para análise remota.
- Requisitos
- Visão geral e topologia
- Espelhamento de todo o tráfego dos funcionários para análise remota
- Espelhamento do tráfego entre funcionários e web para análise remota
- Verificação
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
Versão 13.2 do Junos OS para a Série QFX
Um switch
Visão geral e topologia
Este tópico inclui dois exemplos relacionados que descrevem como espelhar o tráfego entrando em portas no switch para um VLAN analisador para que você possa realizar análises usando um dispositivo remoto. O primeiro exemplo mostra como espelhar todo o tráfego enviado pelos computadores dos funcionários para o switch. O segundo exemplo inclui um filtro para espelhar apenas o tráfego de funcionários que vai para a Web.
Topologia
Neste exemplo:
Interfaces e
ge-0/0/1interfacesge-0/0/0de Camada 2 que se conectam aos computadores dos funcionários.Interface
ge-0/0/2é uma interface de Camada 2 que se conecta a outro switch.O VLAN
remote-analyzerestá configurado em todos os switches da topologia para transportar o tráfego espelhado.
Além de realizar as etapas de configuração descritas aqui, você também deve configurar o VLAN analisador (remote-analyzer neste exemplo) nos outros switches que são usados para conectar o switch de origem (aquele nesta configuração) ao que a estação de monitoramento está conectada.
Espelhamento de todo o tráfego dos funcionários para análise remota
Procedimento
Configuração rápida da CLI
Para configurar rapidamente esta seção do exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere quaisquer detalhes necessários para combinar com a configuração da sua rede e, em seguida, copie e cole os comandos na CLI no edit nível de hierarquia:
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family ethernet-switching port-mode trunk set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor output vlan remote-analyzer
Procedimento passo a passo
Para configurar o espelhamento básico de portas remotas:
Configure o VLAN do analisador (chamado
remote-analyzerneste exemplo):[edit vlans] user@switch# set vlans remote-analyzer vlan-id 999
Configure a interface conectada a outro switch para o modo tronco e associe-a à
remote-analyzerVLAN:[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching port-mode trunk user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999
Configure o
employee-monitoranalisador:[edit forwarding-options] user@switch# set analyzer employee–monitor user@switch# set analyzer employee-monitor input ingress interface ge-0/0/0.0 user@switch# set analyzer employee-monitor input ingress interface ge-0/0/1.0 user@switch# set analyzer employee-monitor output vlan remote-analyzer
Configure a
remote-analyzerVLAN nos switches que conectam este switch à estação de trabalho de monitoramento.
Resultados
Confira os resultados da configuração:
[edit]
user@switch# show
forwarding-options {
analyzer employee-monitor {
input {
ingress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
}
output {
vlan {
remote-analyzer;
}
}
}
}
Espelhamento do tráfego entre funcionários e web para análise remota
Configuração rápida da CLI
Para configurar rapidamente esta seção do exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere quaisquer detalhes necessários para combinar com a configuração da sua rede e, em seguida, copie e cole os comandos na CLI no edit nível de hierarquia:
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 set forwarding-options port-mirroring instance employee-web-monitor loss-priority high output vlan 999 set firewall family ethernet-switching filter watch-employee term employee-to-web from destination-port 80 set firewall family ethernet-switching filter watch-employee term employee-to-web then port-mirror-instance employee-web-monitor set ge-0/0/0 unit 0 family ethernet-switching filter input watch-employee set interfaces ge-0/0/1 unit 0 family ethernet-switching filter input watch-employee
Procedimento
Procedimento passo a passo
Configure o VLAN do analisador (chamado
remote-analyzerneste exemplo):[edit vlans] user@switch# set remote-analyzer vlan-id 999
Configure uma interface para associá-la à
remote-analyzerVLAN:[edit interfaces] user@switch# set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999
Configure o
employee-web-monitoranalisador. (Configure apenas a saída — a entrada vem do filtro.)[edit forwarding-options] user@switch# set forwarding-options port-mirroring instance employee-web-monitor output vlan 999
Configure um filtro de firewall chamado
watch-employeepara combinar tráfego enviado à Web e envie-o ao analisadoremployee-web-monitor:[edit firewall family ethernet-switching] user@switch# set filter watch-employee term employee-to-web from destination-port 80 user@switch# set filter watch-employee term employee-to-web then port-mirror-instance employee-web-monitor
Aplique o filtro de firewall nas interfaces apropriadas como um filtro de entrada:
[edit interfaces] user@switch# set ge-0/0/0 unit 0 family ethernet-switching filterinput watch-employee user@switch# set ge-0/0/1 unit 0 family ethernet-switching filter input watch-employee
Configure a
remote-analyzerVLAN nos switches que conectam este switch à estação de trabalho de monitoramento.
Resultados
Confira os resultados da configuração:
[edit]
user@switch# show
interfaces {
...
ge-0/0/10 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
vlan {
members remote-analyzer;
}
}
}
}
ge-0/0/0 {
unit 0 {
family ethernet-switching {
filter {
input watch-employee;
}
}
}
}
ge-0/0/1 {
unit 0 {
family ethernet-switching {
filter {
input watch-employee;
}
}
}
}
}
...
firewall {
family ethernet-switching {
...
filter watch-employee {
term employee-to-web {
from {
destination-port 80;
}
then port-mirror-instance employee-web-monitor;
}
}
}
}
forwarding-options analyzer {
employee-web-monitor {
output {
vlan {
999;
}
}
}
vlans {
remote-analyzer {
vlan-id 999;
}
}
Verificação
Verificando se o analisador foi criado corretamente
Propósito
Verifique se o analisador nomeou employee-monitor ou employee-web-monitor foi criado no switch com as interfaces de entrada apropriadas e a interface de saída apropriada.
Ação
Você pode verificar se o analisador de espelho de porta está configurado como esperado usando o show analyzer comando.
user@switch> show analyzer Analyzer name : employee-monitor Output VLAN : remote-analyzer Ingress monitored interfaces : ge-0/0/0.0 Ingress monitored interfaces : ge-0/0/1.0
Significado
Essa saída mostra que o employee-monitor analisador está espelhando o tráfego que entra ge-0/0/0 e ge-0/0/1 está enviando o tráfego espelhado para o analisador remote-analyzer.