원격 대상에 대한 포트 미러링 구성
대상을 VLAN으로 사용하여 원격 대상으로 레이어 2 포트 미러링
EX9200 스위치에서 포트 미러링을 구성하여 인터페이스, 라우팅 인스턴스 또는 VLAN과 같은 출력 대상으로 트래픽 사본을 보냅니다. 또한 입력 트래픽의 경우, 다양한 일치 조건 및 조치로 방화벽 필터 용어를 구성할 수 있습니다.
포트 미러링 구성에서 VLAN을 출력 대상으로 구성하면 각 포트 미러링 세션에 대한 트래픽은 모든 참여 스위치에서 해당 미러링 세션 전용인 사용자 지정 VLAN을 통해 전달됩니다. 미러링된 트래픽은 해당 VLAN(미러 VLAN이라고도 함)에 복사되고 미러 VLAN의 멤버인 인터페이스로 전달됩니다. 모든 스위치의 미러링 세션에 동일한 원격 미러링 VLAN이 사용되는 경우 미러 VLAN의 구성원인 대상 인터페이스는 네트워크의 여러 스위치에 걸쳐 있을 수 있습니다.
VLAN을 포트 미러링 출력 대상으로 구성하여 원격 대상으로 트래픽을 미러링할 때 방화벽 필터 구성에서 또는 port-mirror-instance 작업을 사용할 port-mirror 수 있습니다.
원격 VLAN으로 구성 레이어 2 포트 미러링
EX9200 스위치를 통해 로컬 모니터링을 위한 로컬 인터페이스나 원격 모니터링을 위한 VLAN으로 패킷 사본을 보내도록 미러링을 구성할 수 있습니다. 미러링 방법을 사용하여 다음 패킷을 복사할 수 있습니다.
포트에 들어가거나 나가는 패킷
VLAN에 들어가거나 나가는 패킷
필요한 패킷만 미러링하여 성능에 미칠 수 있는 잠재적 영향을 줄입니다. 다음과 같이 하실 것을 권장합니다.
사용하지 않을 때 구성한 포트 미러링을 비활성화합니다.
포트 미러링 구성에서 모든 인터페이스를 입력으로 지정하기보다는 개별 인터페이스를 입력으로 지정하십시오.
다음을 통해 미러링된 트래픽 양을 제한합니다.
통계 샘플링 사용.
비율을 설정하여 통계 샘플 선택.
방화벽 필터 사용.
원격 VLAN에 대한 포트 미러링 구성
포트 미러링 인스턴스로 미러링 될 패킷을 필터링하는 하기 위해서는 인스턴스를 생성한 후 방화벽 필터의 동작으로 사용합니다. 로컬과 원격 모두의 미러링 구성으로 방화벽 필터를 사용할 수 있습니다.
동일한 포트 미러링 인스턴스가 여러 필터 또는 용어로 사용되는 경우 패킷은 포트 미러링 출력 포트 또는 포트 미러링 VLAN에 한 번만 복사됩니다.
미러링된 트래픽을 필터링하기 위해 [edit forwarding-options] 계층 수준에서 포트 미러링 인스턴스를 생성한 후 방화벽 필터를 만듭니다. 필터는 사용 가능한 일치 조건 중 어느 하나를 사용할 수 있으며 반드시 동작으로 port-mirror-instance instance-name이(가) 있어야 합니다. 방화벽 필터 구성의 이 동작은 포트 미러링 인스턴스에 대한 입력을 제공합니다.
방화벽 필터가 있는 포트 미러링 인스턴스를 구성하려면 다음을 수행합니다.
예: 원격 VLAN에 레이어 2 포트 미러링 구성
EX9200 스위치를 통해 로컬 모니터링을 위한 로컬 인터페이스나 원격 모니터링을 위한 VLAN으로 패킷 사본을 보내도록 미러링을 구성할 수 있습니다. 미러링을 사용하여 복사할 수 있는 패킷은 다음과 같습니다.
포트에 들어가거나 나가는 패킷
VLAN에 들어가거나 존재하는 패킷
미러링된 트래픽을 분석기 VLAN으로 전송하는 경우에는 원격 모니터링 스테이션에서 실행되는 프로토콜 분석기 애플리케이션을 사용하여 이 미러링된 트래픽을 분석할 수 있습니다.
이 주제에는 스위치의 포트로 들어오는 트래픽을 원격 모니터링 스테이션에서 분석할 수 있도록 remote-analyzer VLAN으로 미러링하는 방법을 설명하는 두 개의 관련 예가 포함되어 있습니다. 첫 번째 예에서는 직원 컴퓨터에 연결된 포트로 들어오는 모든 트래픽을 미러링하는 방법을 보여줍니다. 두 번째 예에서는 똑같은 시나리오를 보여주지만 웹으로 가는 직원 트래픽만 미러링하는 필터를 포함합니다.
필요한 패킷만 미러링하여 성능에 미칠 수 있는 잠재적 영향을 줄입니다. 다음과 같이 하실 것을 권장합니다.
사용하지 않을 때는 구성된 미러링 세션을 비활성화합니다.
모든 인터페이스를 입력으로 지정하기보다는 개별 인터페이스를 분석기에 대한 입력으로 지정하십시오.
방화벽 필터를 사용하여 미러링된 트래픽의 양을 제한합니다.
이 예에서는 원격 미러링을 구성하는 방법을 설명합니다.
요구 사항
원격 미러링을 구성하기 전에 다음 조건이 갖추어졌는지 확인합니다.
미러링 개념을 이해하고 있습니다.
포트 미러링이 출력 인터페이스로 사용할 인터페이스는 스위치에 구성되어 있습니다.
개요 및 토폴로지
이 주제에는 원격 모니터링 스테이션에서 분석을 수행할 수 있도록 remote-analyzer VLAN으로의 미러링을 구성하는 방법을 설명하는 두 개의 관련 예가 포함되어 있습니다. 첫 번째 예에서는 직원들 컴퓨터의 모든 트래픽을 미러링하도록 스위치를 구성하는 방법을 보여줍니다. 두 번째 예에서는 똑같은 시나리오를 보여주지만, 웹으로 가는 직원 트래픽만 미러링하는 필터가 설정에 포함됩니다.
그림 1에는 이러한 두 가지 예제 시나리오 모두에 대한 네트워크 토폴로지가 나와 있습니다.
토폴로지
이 예제에 대한 설명은 다음과 같습니다.
인터페이스 ge-0/0/0은 레이어 2 인터페이스이며, 인터페이스 ge-0/0/1은 직원 컴퓨터의 연결 역할을 하는 레이어 2 인터페이스(소스 스위치의 두 인터페이스)입니다.
인터페이스 ge-0/0/10은 원본 스위치를 대상 스위치에 연결하는 레이어 2 인터페이스입니다.
인터페이스 ge-0/0/5는 대상 스위치를 원격 모니터링 스테이션에 연결하는 레이어 2 인터페이스입니다.
VLAN
remote-analyzer은(는) 토폴로지의 모든 스위치에 구성되어 미러링된 트래픽을 전달합니다.
원격 분석을 위해 직원 컴퓨터에서 웹으로 가는 트래픽 미러링
직원 대 웹 트래픽의 원격 트래픽 분석을 위해 포트 미러링을 구성하려면 다음 작업을 수행합니다.
절차
CLI 빠른 구성
외부 웹으로 가는 직원 트래픽을 미러링하기 위해 포트 미러링을 신속하게 구성하려면 다음 명령을 복사하여 스위치 터미널 창에 붙여 넣으십시오.
다음의 명령을 복사하여 원본 스위치 터미널 창에 붙여 넣습니다.
[edit] set forwarding-options port-mirroring instance employee-web-monitor output vlan 999 set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 set firewall family ethernet-switching filter watch-employee term employee-to-corp from destination-address 192.0.2.16/28 set firewall family ethernet-switching filter watch-employee term employee-to-corp from source-address 192.0.2.16/28 set firewall family ethernet-switching filter watch-employee term employee-to-corp then accept set firewall family ethernet-switching filter watch-employee term employee-to-web from destination-port 80 set firewall family ethernet-switching filter watch-employee term employee-to-web then port-mirror-instance employee-web-monitor set interfaces ge-0/0/0 unit 0 family ethernet-switching filter input watch-employee set interfaces ge-0/0/1 unit 0 family ethernet-switching filter input watch-employee
다음의 명령을 복사하여 대상 스위치 터미널 창에 붙여 넣습니다.
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 set interfaces ge-0/0/5 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/5 unit 0 family ethernet-switching vlan members 999
단계별 절차
원격 모니터링 스테이션에서 사용하기 위해 직원들 컴퓨터에 연결된 두 개 포트의 모든 트래픽을 remote-analyzer VLAN으로 미러링하는 포트 미러링을 구성하려면 다음과 같이 하십시오.
소스 스위치에서 다음을 수행합니다.
employee-web-monitor포트 미러링 인스턴스를 구성합니다.[edit ] user@switch# set interfaces ge-0/0/10 unit 0 family ethernet-switching port mode access user@switch# set forwarding-options port-mirroring instance employee-web-monitor output vlan 999
remote-analyzerVLAN에 대해 VLAN ID를 구성합니다.[edit vlans] user@switch# set remote-analyzer vlan-id 999
remote-analyzerVLAN과 연결할 인터페이스를 구성합니다.[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999
watch-employee라는 방화벽 필터를 구성합니다.[edit firewall family ethernet-switching] user@switch# set filter watch-employee term employee-to-corp from destination-address 192.0.2.16/28 user@switch# set filter watch-employee term employee-to-corp from source-address 192.0.2.16/28 user@switch# set filter watch-employee term employee-to-corp then accept user@switch# set filter watch-employee term employee-to-web from destination-port 80 user@switch# set filter watch-employee term employee-to-web then port-mirror-instance employee-web-monitor
이 구성에서 용어는 destination-address
192.0.2.16/28및 source address192.0.2.16/28로부터의 트래픽이 스위치를 통과하도록 허용될 수 있음을 정의하며employee-to-web,employee-to-corpport80로부터의 트래픽이 포트 미러링 인스턴스employee-web-monitor로 전송되어야 함을 정의합니다.직원 인터페이스에 방화벽 필터를 적용합니다.
[edit interfaces] user@switch# set ge-0/0/0 unit 0 family ethernet-switching filter input watch-employee user@switch# set ge-0/0/1 unit 0 family ethernet-switching filter input watch-employee
대상 스위치에서 다음을 수행합니다.
remote-analyzerVLAN에 대해 VLAN ID를 구성합니다.[edit vlans] user@switch# set remote-analyzer vlan-id 999
액세스 모드를 위해 대상 스위치에서 인터페이스를 구성하고 VLAN과
remote-analyzer연결합니다.[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching interface-mode access user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999
액세스 모드를 위해 대상 스위치에 연결된 인터페이스를 구성하고 VLAN과
remote-analyzer연결합니다.[edit interfaces] user@switch# set ge-0/0/5 unit 0 family ethernet-switching interface-mode access user@switch# set ge-0/0/5 unit 0 family ethernet-switching vlan members 999
결과
소스 스위치에서 구성 결과를 확인합니다.
[edit]
user@switch> show
interfaces {
ge-0/0/10 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members remote-analyzer;
}
}
}
}
ge-0/0/0 {
unit 0 {
family ethernet-switching {
filter {
input watch-employee;
}
}
}
}
ge-0/0/1 {
unit 0 {
family ethernet-switching {
filter {
input watch-employee;
}
}
}
}
}
firewall {
family ethernet-switching {
filter watch-employee {
term employee-to-corp {
from {
source-address {
192.0.2.16/28;
}
destination-address {
192.0.2.16/28;
}
}
then accept;
}
term employee-to-web {
from {
destination-port 80;
}
then port-mirror-instance employee-web-monitor;
}
}
}
}
forwarding-options {
analyzer employee-web-monitor {
output {
vlan {
999;
}
}
}
vlans {
remote-analyzer {
vlan-id 999;
}
}
대상 스위치에서 구성 결과를 확인합니다.
[edit]
user@switch> show
vlans {
remote-analyzer {
vlan-id 999;
}
}
interfaces {
ge-0/0/10 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members remote-analyzer;
}
}
}
}
ge-0/0/5 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members remote-analyzer;
}
}
}
}
}
검증
구성이 제대로 작동하는지 확인하려면 다음의 작업을 수행하십시오:
포트 미러링 인스턴스가 올바르게 생성되었는지 확인
목적
포트 미러링 인스턴스가 employee-web-monitor 적절한 출력 VLAN을 사용하여 스위치에 생성되었는지 확인합니다.
작업
명령을 사용하여 포트 미러링이 예상대로 구성되었는지 확인할 수 있습니다 show forwarding-options port-mirror . 비활성화된 이전 분석기를 보려면 J-Web 인터페이스로 이동하십시오.
소스 스위치에서 직원 트래픽을 모니터링하는 동안 포트 미러링이 예상대로 구성되었는지 확인하려면 소스 스위치에서 명령을 실행합니다 show forwarding-options port-miror . 이 구성 예에서는 다음과 같은 출력이 표시됩니다.
user@switch> show forwarding-options port-mirror
Instance Name: employee-web-monitor
Instance Id: 3
Input parameters:
Rate : 1
Run-length : 0
Maximum-packet-length : 0
Output parameters:
Family State Destination Next-hop
ethernet-switching up default-switch/remote-analyzer
의미
이 출력은 인스턴스의 비율이 1(모든 패킷 미러링, 기본값), 미러링된 원본 패킷의 최대 크기(0은 전체 패킷을 나타냄), 구성 상태가 가동됨(적절한 상태를 나타내고 분석기가 프로그래밍되어 ge-0/0/0 및 ge-0/0/1로 들어오는 트래픽을 미러링하고 있음을 나타냅니다 employee-web-monitor . 미러링된 트래픽을 라는 remote-analyzerVLAN으로 보냅니다.