close

keyboard_arrow_left

Table of Contents Expand all

play_arrow Descripción general
play_arrow Características de operación, administración y administración
- play_arrow OAM de Ethernet y administración de fallos de conectividad para enrutadores
- play_arrow Administración de fallos de vínculo para enrutadores
- play_arrow Administración de fallos de vínculo OAM Ethernet para conmutadores
- play_arrow Administración de errores de conectividad OAM Ethernet para conmutadores
- play_arrow Retardo de trama Ethernet
- play_arrow Oam del servicio Ethernet (ITU-ty.1731) para enrutadores
play_arrow Supervisión de red mediante SNMP
play_arrow Monitoreo remoto de red (RMON) con alarmas y eventos SNMP
play_arrow Opciones de contabilidad
- Descripción general de las opciones de contabilidad
- Configurar opciones de contabilidad, uso de clase de origen y opciones de uso de clase de destino
play_arrow Opciones de monitoreo
- play_arrow Alarmas de interfaz
  - Descripción general de alarmas
  - Ejemplo: Configurar alarmas de interfaz
- play_arrow Monitoreo de IP
- play_arrow Tecnología de monitoreo de sFlow
- play_arrow Muestreo adaptable para enrutadores y conmutadores
  - Descripción general del muestreo adaptativo
- play_arrow Software de diagnóstico del acelerador de flujo de paquetes
play_arrow Supervisión de características de seguridad comunes
play_arrow Gestión del rendimiento
- Análisis de red
- Configurar la supervisión del umbral de recursos de hardware para la planeación de la capacidad
play_arrow Imitación de puerto
- play_arrow Duplicación de puertos y analizadores
play_arrow Mensajes de registro del sistema
play_arrow Administración de red y solución de problemas
play_arrow Instrucciones de configuración y comandos operativos
- Descripción general de referencia de la CLI de Junos

list Table of Contents

EN ESTA PÁGINA

Descripción de los analizadores de duplicación de puertos
Configuración de la creación de reflejo en conmutadores EX9200 para analizar el tráfico (procedimiento de la CLI)
Configuración de la creación de reflejo en conmutadores EX4300 para analizar el tráfico (procedimiento de la CLI)
Configuración de la creación de reflejo de puertos para analizar el tráfico (procedimiento de la CLI)
Verificación de entrada y salida para analizadores de duplicación de puertos en conmutadores de la serie EX
Ejemplo: Configuración de analizadores de creación de reflejo de puertos para la supervisión local del uso de recursos de los empleados
Ejemplo: Configuración de la creación de reflejo de puertos para la supervisión remota del uso de los recursos de los empleados
Ejemplo: Configuración de la creación de reflejo en varias interfaces para el monitoreo remoto del uso de recursos de los empleados en conmutadores EX9200
Ejemplo: Configuración de la duplicación para la supervisión remota del uso de recursos de los empleados mediante un conmutador de tránsito en conmutadores EX9200
Ejemplo: Configuración de la duplicación para el monitoreo local del uso de recursos de los empleados en conmutadores EX4300
Ejemplo: Configuración de la duplicación para la supervisión remota del uso de recursos de los empleados en conmutadores EX4300
Ejemplo: Configuración de la duplicación para el monitoreo remoto del uso de recursos de los empleados a través de un conmutador de tránsito en conmutadores EX4300

keyboard_arrow_right

¿Fue útil esta traducción automática?

Go to English page

DESCARGO DE RESPONSABILIDAD:

Esta página será traducida por software de traducción automática de terceros. Si bien nos hemos esforzado por proporcionar una traducción de calidad, Juniper Networks no puede garantizar su corrección. En caso de duda respecto a la exactitud de la información que ofrece esta traducción, consulte la versión en inglés. El PDF descargable está disponible solo en inglés.

Configuración de analizadores y duplicación de puertos

date_range 18-Jan-25

arrow_backward

arrow_forward

Descripción de los analizadores de duplicación de puertos

La duplicación de puertos se puede usar para el análisis de tráfico en enrutadores y conmutadores que, a diferencia de los concentradores, no difunden paquetes a todos los puertos del dispositivo de destino. La duplicación de puertos envía copias de todos los paquetes o paquetes de muestra basados en políticas a analizadores locales o remotos donde puede supervisar y analizar los datos.

En el contexto de los analizadores de duplicación de puertos, utilizamos el término dispositivo de conmutación. El término indica que el dispositivo (incluidos los enrutadores) está realizando una función de conmutación.

Puede utilizar analizadores a nivel de paquete para ayudarle a:

Supervisar el tráfico de red
Aplicar políticas de uso de red
Aplicar políticas de uso compartido de archivos
Identificar las causas de los problemas
Identificar estaciones o aplicaciones con un uso intensivo o anormal del ancho de banda

Puede configurar la duplicación de puertos para duplicar:

Paquetes en puente (paquetes de capa 2)
Paquetes enrutados (paquetes de capa 3)

Los paquetes duplicados se pueden copiar en una interfaz local para el monitoreo local o en un dominio de VLAN o puente para el monitoreo remoto.

Se pueden copiar los siguientes paquetes:

Packets entering or exiting a port: puede duplicar paquetes que entran o salen de puertos, en cualquier combinación, para un máximo de 256 puertos. Por ejemplo, puede enviar copias de los paquetes que entran en algunos puertos y los paquetes que salen de otros puertos al mismo puerto del analizador local o VLAN del analizador.
Packets entering or exiting a VLAN or bridge domain: puede reflejar los paquetes que entran o salen de un dominio de VLAN o puente en un puerto del analizador local o en una VLAN o dominio de puente del analizador. Puede configurar varias VLAN (hasta 256 VLAN) o dominios de puente como entradas de entrada a un analizador, incluido un rango de VLAN y VLAN privadas (PVLAN).
Policy-based sample packets: puede reflejar una muestra basada en políticas de paquetes que ingresan a un dominio de puerto, VLAN o puente. Configure un filtro de firewall con una directiva para seleccionar los paquetes que se van a reflejar. Puede enviar la muestra a una instancia de duplicación de puertos, a una VLAN de analizador o a un dominio de puente.

Descripción general del analizador
Descripción general del analizador estadístico
Descripción general del analizador predeterminado
Creación de reflejo de puertos en un grupo de puertos enlazados a varios analizadores estadísticos
Terminología del analizador de duplicación de puertos
Directrices de configuración para analizadores de duplicación de puertos

Descripción general del analizador

Puede configurar un analizador para definir tanto el tráfico de entrada como el tráfico de salida en la misma configuración del analizador. El tráfico de entrada que se va a analizar puede ser el tráfico que entra o el tráfico que sale de una interfaz o VLAN. La configuración del analizador le permite enviar este tráfico a una interfaz de salida, instancia, grupo del próximo salto, VLAN o dominio de puente. Puede configurar un analizador en el nivel jerárquico [edit forwarding-options analyzer] .

Descripción general del analizador estadístico

Puede definir un conjunto de propiedades de duplicación, como la velocidad de creación de reflejo y la longitud máxima de paquete para el tráfico, que puede enlazar explícitamente a puertos físicos del enrutador o conmutador. Este conjunto de propiedades de reflejo constituye un analizador estadístico (también denominado analizador no predeterminado). En este nivel, puede enlazar una instancia con nombre a los puertos físicos asociados a un FPC específico.

Descripción general del analizador predeterminado

Puede configurar un analizador sin configurar ninguna propiedad de creación de reflejo (como la velocidad de creación de reflejo o la longitud máxima del paquete). De forma predeterminada, la velocidad de creación de reflejo se establece en 1 y la longitud máxima del paquete se establece en la longitud completa del paquete. Estas propiedades se aplican a nivel global y no necesitan estar enlazadas a un FPC específico.

Creación de reflejo de puertos en un grupo de puertos enlazados a varios analizadores estadísticos

Puede aplicar hasta dos analizadores estadísticos a los mismos grupos de puertos del dispositivo de conmutación. Al aplicar dos instancias de analizador estadístico diferentes al mismo FPC o motor de reenvío de paquetes, puede enlazar dos especificaciones de duplicación de capa 2 distintas a un único grupo de puertos. Las propiedades de creación de reflejo enlazadas a una FPC invalidan cualquier propiedad del analizador (analizador predeterminado) enlazada a nivel global en el dispositivo de conmutación. Las propiedades predeterminadas del analizador se reemplazan mediante el enlace de una segunda instancia del analizador en el mismo grupo de puertos.

Terminología del analizador de duplicación de puertos

Tabla 1 enumera algunos términos del analizador de duplicación de puertos y sus descripciones.

Tabla 1: Terminología del analizador
Término	Description
Analizador	En una configuración de duplicación, el analizador incluye: El nombre del analizador Puertos de origen (entrada), VLAN o dominios de puente El destino de los paquetes reflejados (ya sea un puerto local, VLAN o dominio de puente)
Interfaz de salida del analizador (También conocido como puerto de monitor)	Interfaz donde se envía el tráfico reflejado y se conecta un analizador de protocolos. Las interfaces utilizadas como salida a un analizador deben configurarse bajo el nivel de `forwarding-options` jerarquía. Las interfaces de salida del analizador tienen las siguientes limitaciones: Tampoco pueden ser un puerto de origen. No participan en protocolos de capa 2, como el protocolo de árbol de expansión (STP). Si el ancho de banda de la interfaz de salida del analizador no es suficiente para manejar el tráfico de los puertos de origen, se descartarán los paquetes de desbordamiento.
Analizador VLAN o dominio de puente (También conocido como VLAN de monitor o dominio de puente)	VLAN o dominio de puente al que se envía el tráfico reflejado para que lo utilice un analizador de protocolos. Las interfaces miembro en la VLAN de monitor o en el dominio de puente se distribuyen por los dispositivos de conmutación de la red.
Analizador basado en dominios de puente	Una sesión de analizador configurada para usar dominios de puente para entrada, salida o ambos.
Analizador predeterminado	Un analizador con parámetros de duplicación predeterminados. De forma predeterminada, la velocidad de creación de reflejo es 1 y la longitud máxima del paquete es la longitud del paquete completo.
Interfaz de entrada (También conocidos como puertos duplicados o interfaces monitoreadas)	Una interfaz en el dispositivo de conmutación donde se refleja el tráfico que entra o sale de esta interfaz.
Analizador basado en LAG	Un analizador que tiene un grupo de agregación de vínculos (LAG) especificado como interfaz de entrada (entrada) en la configuración del analizador.
Duplicación local	Configuración del analizador en la que los paquetes se reflejan en un puerto del analizador local.
Estación de monitoreo	Equipo que ejecuta un analizador de protocolos.
Analizador basado en el grupo del siguiente salto	Una configuración de analizador que utiliza el grupo del salto siguiente como salida a un analizador.
Analizador basado en puertos	Una configuración de analizador que define interfaces para entrada y salida.
Aplicación del analizador de protocolos	Una aplicación utilizada para examinar paquetes transmitidos a través de un segmento de red. También se le suele llamar analizador de red, rastreador de paquetes o sonda.
Duplicación remota	Funciona de la misma manera que la creación de reflejo local, excepto que el tráfico reflejado no se copia en un puerto del analizador local, sino que se inunda a una VLAN del analizador o a un dominio de puente que se crea específicamente con el fin de recibir tráfico reflejado. Los paquetes duplicados tienen una etiqueta externa adicional de la VLAN del analizador o del dominio de puente.
Analizador estadístico (También conocido como analizador no predeterminado)	Un conjunto de propiedades de creación de reflejo que se pueden enlazar explícitamente a los puertos físicos del conmutador. Este conjunto de propiedades del analizador se conoce como analizador estadístico.
Analizador basado en VLAN	Una configuración de analizador que utiliza VLAN para entregar el tráfico reflejado al analizador.

Directrices de configuración para analizadores de duplicación de puertos

Al configurar analizadores de duplicación de puertos. Le recomendamos que siga estas pautas para garantizar un beneficio óptimo. Se recomienda deshabilitar la creación de reflejo cuando no la esté utilizando y seleccionar interfaces específicas como entrada para el analizador en lugar de utilizar la opción de palabra clave, que habilita la all creación de reflejo en todas las interfaces. La duplicación de solo los paquetes necesarios reduce cualquier impacto potencial en el rendimiento.

También puede limitar la cantidad de tráfico reflejado de la siguiente manera:

Uso del muestreo estadístico
Uso de un filtro de firewall
Establecer una proporción para seleccionar una muestra estadística

Con la creación de reflejo local, el tráfico de varios puertos se replica en la interfaz de salida del analizador. Si la interfaz de salida de un analizador alcanza su capacidad, los paquetes se descartan. Debe considerar si el tráfico que se refleja supera la capacidad de la interfaz de salida del analizador.

Tabla 2 Resume otras directrices de configuración para los analizadores.

Tabla 2: Directrices de configuración para analizadores de duplicación de puertos
Directriz	Información de valor o soporte	Comentario
Número de analizadores que puede habilitar simultáneamente.	64 Analizadores predeterminados 2 por FPC–Analizador estadístico	Los analizadores estadísticos deben estar enlazados a una FPC para reflejar el tráfico en los puertos que pertenecen a esa FPC. Nota: Las propiedades predeterminadas del analizador están implícitamente enlazadas en la última (o penúltima) instancia de todos los FPC del sistema. Por lo tanto, cuando se enlaza explícitamente un segundo analizador estadístico en la FPC, se reemplazan las propiedades predeterminadas del analizador.
Número de interfaces, VLAN o dominios de puente que puede utilizar como entrada de entrada a un analizador.	256	–
Tipos de puertos en los que no se puede reflejar el tráfico.	Puertos de chasis virtual (VCP) Puertos Ethernet de administración (me0 o vme0) Interfaces de enrutamiento y puente integrados (IRB) Interfaces de capa 3 etiquetadas por VLAN
Familias de protocolos que puede incluir en un analizador.	`ethernet-switching` para los conmutadores de la serie EX y `bridge` para los enrutadores de la serie MX.	Un analizador solo refleja el tráfico en puente. Para reflejar el tráfico enrutado, utilice la configuración de creación de reflejo de puertos con `family` como `inet` o `inet6`.
Los paquetes con errores de capa física no se envían al analizador local o remoto.	Aplicable	Los paquetes con estos errores se filtran y, por lo tanto, no se envían al analizador.
El analizador no admite tráfico de velocidad de línea.	Aplicable	La creación de reflejo para el tráfico de velocidad de línea se realiza con el mejor esfuerzo.
Salida del analizador en una interfaz LAG.	Compatible
El analizador genera el modo de interfaz como modo troncal.	Compatible	La interfaz troncal debe ser miembro de todas las VLAN o dominios de puente relacionados con la configuración de entrada del analizador. Debe usar la `mirror-once` opción si la entrada se ha configurado como VLAN o dominio de puente y el resultado es una interfaz troncal. Nota: Con la opción de reflejar una vez, si la entrada del analizador proviene de la duplicación de entrada y salida, solo se refleja el tráfico de entrada. Si se requiere reflejo de entrada y salida, la interfaz de salida no puede ser un troncal. En tales casos, configure la interfaz como una interfaz de acceso.
Reflejo de salida de paquetes de control generados por el host.	No compatible
Configuración de interfaces lógicas de capa 3 en la `input` estrofa de un analizador.	No compatible
Se deben evitar las estrofas de entrada y salida del analizador que contengan miembros de la misma VLAN o de la propia VLAN.	Aplicable
Soporte para VLAN y sus interfaces miembro en diferentes sesiones de analizador	No compatible	Si se configura la creación de reflejo, cualquiera de los analizadores estará activo.
Duplicación de salida de interfaces Ethernet (ae) agregadas y sus interfaces lógicas secundarias configuradas para diferentes analizadores.	No compatible

Configuración de la creación de reflejo en conmutadores EX9200 para analizar el tráfico (procedimiento de la CLI)

Los conmutadores EX9200 permiten configurar la creación de reflejo para enviar copias de paquetes a una interfaz local para supervisión local o a una VLAN para supervisión remota. Puede utilizar la creación de reflejo para copiar los siguientes paquetes:

Paquetes que entran o salen de un puerto
Paquetes que entran o salen de una VLAN

Mejores prácticas:

Refleje solo los paquetes necesarios para reducir el impacto potencial en el rendimiento. Le recomendamos que:

Desactive los analizadores que haya configurado cuando no los esté utilizando.
Especifique interfaces individuales como entrada para los analizadores en lugar de especificar todas las interfaces como entrada.
Limite la cantidad de tráfico reflejado de la siguiente manera:
- Uso de muestreo estadístico.
- Establecer ratios para seleccionar muestras estadísticas.
- Uso de filtros de firewall.

Nota:

Si desea crear analizadores adicionales sin eliminar los analizadores existentes, deshabilite los analizadores existentes mediante la disable analyzer analyzer-name instrucción de la interfaz de línea de comandos (CLI) o de la página de configuración de J-Web para la creación de reflejo.

Nota:

Las interfaces utilizadas como salida a un analizador deben configurarse en el ethernet-switching familycomando y deben estar asociadas a una VLAN.

Configuración de un analizador para el análisis de tráfico local
Configuración de un analizador para el análisis de tráfico remoto
Configuración de un analizador estadístico para el análisis de tráfico local
Configuración de un analizador estadístico para el análisis de tráfico remoto
Enlazar analizadores estadísticos a puertos agrupados en el nivel de FPC
Configurar un analizador con varios destinos mediante grupos de salto siguiente
Definición de un grupo de salto siguiente para la creación de reflejo de capa 2

Configuración de un analizador para el análisis de tráfico local

Para reflejar el tráfico de red o el tráfico de VLAN en el conmutador a una interfaz en el conmutador mediante el uso de analizadores:

Elija un nombre para el analizador y especifique la entrada:

content_copy zoom_out_map
[edit forwarding-options]
user@switch# set analyzer analyzer-name input ingress interface interface-name

Por ejemplo, cree un analizador llamado para monitorear los paquetes que employee-monitor ingresan a las interfaces ge-0/0/0.0 y ge-0/0/1.0:

content_copy zoom_out_map
[edit forwarding-options]
user@switch# set analyzer employee-monitor input ingress interface ge–0/0/0.0

[edit forwarding-options]
user@switch# set analyzer employee-monitor input ingress interface ge–0/0/1.0

Configure la interfaz de destino para los paquetes reflejados:
```
[edit forwarding-options]
user@switch# set analyzer analyzer-name output interface interface-name
```
Por ejemplo, configure ge-0/0/10.0 como interfaz de destino para el employee-monitor analizador:
```
[edit forwarding-options]
user@switch# set analyzer employee-monitor output interface ge-0/0/10.0
```

Configuración de un analizador para el análisis de tráfico remoto

Para reflejar el tráfico que atraviesa las interfaces o una VLAN del conmutador a una VLAN utilizada para el análisis desde una ubicación remota:

Configure una VLAN para transportar el tráfico reflejado:
```
[edit]
user@switch# set vlans analyzer-name vlan-id vlan-ID
```
Por ejemplo, defina una VLAN del analizador llamada remote-analyzer y asígnele el ID 999de VLAN:
```
[edit]
user@switch# set vlans remote-analyzer vlan-id 999
```
Establezca la interfaz conectada al conmutador de distribución en modo de acceso y asóciela a la VLAN del analizador:
```
[edit]
user@switch# set interfaces interface-name unit 0 family ethernet-switching interface-mode access vlan members vlan-ID
```
Por ejemplo, establezca la interfaz ge-0/1/1 en modo de acceso y asóciela al ID 999de VLAN del analizador:
```
[edit]
user@switch# set interfaces ge-0/1/1 unit 0 family ethernet-switching interface-mode access vlan members 999
```
Configure el analizador:
1. Defina un analizador y especifique el tráfico que se va a reflejar:
  [edit forwarding-options] user@switch# set analyzer analyzer-name input ingress interface interface-name
  Por ejemplo, defina que el analizador para el employee-monitor que el tráfico que se va a reflejar comprende paquetes que entran en las interfaces ge-0/0/0.0 y ge-0/0/1.0:
  [edit forwarding-options] user@switch# set analyzer employee-monitor input ingress interface ge-0/0/0.0 [edit forwarding-options] user@switch# set analyzer employee-monitor input ingress interface ge-0/0/1.0
2. Especifique la VLAN del analizador como salida para el analizador:
  [edit forwarding-options] user@switch# set analyzer analyzer-name output vlan vlan-ID
  Por ejemplo, especifique la remote-analyzer VLAN como analizador de salida para el employee-monitor analizador:
  [edit forwarding-options] user@switch# set analyzer employee-monitor output vlan 999

Configuración de un analizador estadístico para el análisis de tráfico local

Para reflejar el tráfico de interfaz o VLAN del conmutador a una interfaz del conmutador mediante un analizador estadístico:

Elija un nombre para el analizador y especifique las interfaces de entrada:

content_copy zoom_out_map
[edit forwarding-options]
user@switch# set analyzer analyzer-name input ingress interface interface-name

[edit forwarding-options]
user@switch# set analyzer employee-monitor input ingress interface ge–0/0/1.0

Por ejemplo, especifique un analizador llamado employee-monitor y especifique las interfaces de entrada ge-0/0/0 y ge-0/0/1:

content_copy zoom_out_map
[edit forwarding-options]
user@switch# set analyzer employee-monitor input ingress interface ge–0/0/0.0

[edit forwarding-options]
user@switch# set analyzer employee-monitor input ingress interface ge–0/0/1.0

Configure la interfaz de destino para los paquetes reflejados:

content_copy zoom_out_map
[edit forwarding-options]
user@switch# set analyzer employee-monitor output interface interface-name

Por ejemplo, configure ge-0/0/10.0 como interfaz de destino para los paquetes reflejados:

content_copy zoom_out_map
[edit forwarding-options]
user@switch# set analyzer employee-monitor output interface ge-0/0/10.0

Especifique las propiedades de creación de reflejo.
1. Especifique la velocidad de creación de reflejo, es decir, el número de paquetes que se reflejarán por segundo:
  [edit forwarding-options] user@switch# set analyzer employee-monitor input rate number
  El intervalo válido es de 1 a 65.535.
2. Especifique a qué longitud se truncan los paquetes reflejados:
  [edit forwarding-options] user@switch# set analyzer employee-monitor input maximum-packet-length number
El intervalo válido es de 0 a 9216. El valor predeterminado es 0, lo que indica que los paquetes reflejados no se truncan.

Configuración de un analizador estadístico para el análisis de tráfico remoto

Para reflejar el tráfico que atraviesa las interfaces o una VLAN en el conmutador a una VLAN para su análisis desde una ubicación remota mediante un analizador estadístico:

Configure una VLAN para transportar el tráfico reflejado:
```
[edit]
user@switch# set vlans vlan-name vlan-id vlan-ID
```
Por ejemplo, configure una VLAN llamada remote-analyzer con ID de VLAN 999:
```
[edit]
user@switch# set vlans remote-analyzer vlan-id 999
```
Establezca la interfaz conectada al conmutador de distribución en modo de acceso y asóciela a la VLAN:
```
[edit]
user@switch# set interfaces interface-name unit 0 family ethernet-switching interface-mode access vlan members vlan-ID
```
Por ejemplo, establezca la interfaz ge-0/1/1.0 que está conectada al conmutador de distribución en modo de acceso y asóciela a la remote-analyzer VLAN:
```
[edit]
user@switch# set interfaces ge-0/1/1.0 unit 0 family ethernet-switching interface-mode access vlan members 999
```

Configure el analizador estadístico:

Especifique el tráfico que se va a reflejar:

content_copy zoom_out_map
[edit forwarding-options]
user@switch# set analyzer analyzer-name input ingress interface interface-name

Por ejemplo, especifique los paquetes que ingresan en los puertos ge-0/0/0.0 y ge-0/0/1.0 que se reflejarán:

content_copy zoom_out_map
[edit forwarding-options]
user@switch# set analyzer employee-monitor input ingress interface ge-0/0/0.0
[edit forwarding-options]
user@switch# set analyzer employee-monitor input ingress interface ge-0/0/1.0

Especifique una salida para el analizador:

content_copy zoom_out_map
[edit forwarding-options]
user@switch# set analyzer analyzer-name output vlan vlan-ID

Por ejemplo, especifique la remote-analyzer VLAN como salida para el analizador:

content_copy zoom_out_map
[edit forwarding-options]
user@switch# set analyzer employee-monitor output vlan 999

Especifique las propiedades de creación de reflejo.
1. Especifique la velocidad de creación de reflejo, es decir, el número de paquetes que se reflejarán por segundo:
  [edit forwarding-options] user@switch# set analyzer employee-monitor input rate number
  El intervalo válido es de 1 a 65.535.
2. Especifique la longitud a la que se van a truncar los paquetes reflejados:
  [edit forwarding-options] user@switch# set analyzer employee-monitor input maximum-packet-length number
El intervalo válido es de 0 a 9216. El valor predeterminado es 0, lo que significa que los paquetes reflejados no se truncan.

Enlazar analizadores estadísticos a puertos agrupados en el nivel de FPC

Puede enlazar un analizador estadístico a una FPC específica en el conmutador, es decir, puede enlazar la instancia del analizador estadístico en el nivel de FPC del conmutador. Las propiedades de duplicación especificadas en el analizador estadístico se aplican a todos los puertos físicos asociados con todos los motores de reenvío de paquetes en la FPC especificada.

Para enlazar una instancia con nombre del analizador de capa 2 a una FPC:

Habilite la configuración de las propiedades del chasis del conmutador:
```
[edit]
user@switch# edit chassis
```
Habilitar la configuración de una FPC (y sus PIC instaladas):
```
[edit chassis]
user@switch# edit fpc slot-number
```

Enlazar una instancia de analizador estadístico a la FPC:

content_copy zoom_out_map
[edit chassis fpc slot-number]
user@switch# set port-mirror-instance stats_analyzer-1

(Opcional) Para enlazar una segunda instancia de analizador estadístico de creación de reflejo de capa 2 a la misma FPC, repita el paso 3 y especifique un nombre de analizador estadístico diferente:
```
[edit chassis fpc slot-number]
user@switch# set port-mirror-instance stats_analyzer-2
```

Compruebe la configuración mínima del enlace:

content_copy zoom_out_map
[edit chassis fpc slot-number port-mirror-instance analyzer_name]
user@switch# top
[edit]
user@switch# show chassis
chassis { 
   fpc slot-number { # Bind two statistical analyzers or port mirroring 
                       named instances at the FPC level. 
   port-mirror-instance stats_analyzer-1; 
   port-mirror-instance stats_analyzer-2; 
                    } 
                }

Nota:

Al enlazar una segunda instancia (stats_analyzer-2 en este ejemplo), las propiedades de creación de reflejo de esta sesión, si están configuradas, anulan cualquier analizador predeterminado.

Configurar un analizador con varios destinos mediante grupos de salto siguiente

Puede reflejar el tráfico a varios destinos configurando los grupos del próximo salto como salida del analizador. La duplicación de paquetes a múltiples destinos también se conoce como duplicación de puertos multipaquete.

Para reflejar el tráfico de interfaz o VLAN en el conmutador a una interfaz en el conmutador (mediante el uso de analizadores):

Elija un nombre para el analizador y especifique la entrada:

content_copy zoom_out_map
[edit forwarding-options]
user@switch# set analyzer analyzer-name input ingress interface interface-name

Por ejemplo, cree un analizador llamado employee-monitor para el cual el tráfico de entrada comprende paquetes que ingresan a las interfaces ge-0/0/0.0 y ge-0/0/1.0:

content_copy zoom_out_map
[edit forwarding-options]
user@switch# set analyzer employee-monitor input ingress interface ge–0/0/0.0
[edit forwarding-options]
user@switch# set analyzer employee-monitor input ingress interface ge–0/0/1.0

Configure la interfaz de destino para los paquetes reflejados:

content_copy zoom_out_map
[edit forwarding-options]
user@switch# set analyzer analyzer-name output next-hop-group next-hop-group-name

Por ejemplo, configure el grupo nhg del próximo salto como destino del employee-monitor analizador:

content_copy zoom_out_map
[edit forwarding-options]
user@switch# set analyzer employee-monitor output next-hop-group nhg

Definición de un grupo de salto siguiente para la creación de reflejo de capa 2

La configuración del grupo del salto siguiente en el [edit forwarding-options] nivel de configuración permite definir un nombre de grupo del salto siguiente, el tipo de direcciones que se usarán en el grupo del salto siguiente y las interfaces lógicas que forman los múltiples destinos a los que se puede reflejar el tráfico. De forma predeterminada, el grupo del salto siguiente se especifica utilizando direcciones de capa 3 mediante la [edit forwarding-options next-hop-group next-hop-group-name group-type inet] instrucción. Para especificar un grupo de salto siguiente utilizando direcciones de capa 2 en su lugar, incluya la [edit forwarding-options next-hop-group next-hop-group-name group-type layer-2] instrucción.

Para definir un grupo de salto siguiente para la creación de reflejo de capa 2:

Habilite la configuración de un grupo del próximo salto para la creación de reflejo de capa 2:
```
[edit forwarding-options ]
user@switch# set next-hop-group next-hop-group-name
```
Por ejemplo, configure next-hop-group con el nombre nhg:
```
[edit forwarding-options]
user@switch# set next-hop-group nhg
```
Especifique el tipo de direcciones que se utilizarán en la configuración del grupo del próximo salto:
```
[edit forwarding-options next-hop-group next-hop-group-name]
user@switch# set group-type layer-2
```
Por ejemplo, configure next-hop-group type como layer-2 porque la salida del analizador solo debe ser layer-2 :
```
[edit forwarding-options]
user@switch# set next-hop-group nhg group-type layer-2
```

Especifique las interfaces lógicas del grupo del próximo salto:

content_copy zoom_out_map
[edit forwarding-options next-hop-group next-hop-group-name]
user@switch# set interface logical-interface-name-1
user@switch# set interface logical-interface-name-2

Por ejemplo, para especificar ge-0/0/10.0 y ge-0/0/11.0 como interfaces lógicas del grupo del próximo nhgsalto:

content_copy zoom_out_map
[edit forwarding-options]
user@switch# set next-hop-group nhg interface ge-0/0/10.0
user@switch# set next-hop-group nhg interface ge-0/0/11.0

Configuración de la creación de reflejo en conmutadores EX4300 para analizar el tráfico (procedimiento de la CLI)

Nota:

Esta tarea utiliza Junos OS para conmutadores serie EX compatibles con el estilo de configuración Enhanced Layer 2 software (ELS).

Los conmutadores EX4300 permiten configurar la creación de reflejo para enviar copias de paquetes a una interfaz local para monitoreo local o a una VLAN para monitoreo remoto. Puede utilizar la creación de reflejo para copiar estos paquetes:

Paquetes que entran o salen de un puerto
Paquetes que ingresan a una VLAN

Mejores prácticas:

Refleje solo los paquetes necesarios para reducir el impacto potencial en el rendimiento. Le recomendamos que:

Deshabilite las configuraciones de creación de reflejo configuradas cuando no las esté utilizando.
Especifique interfaces individuales como entrada para los analizadores en lugar de especificar todas las interfaces como entrada.
Limite la cantidad de tráfico reflejado mediante filtros de firewall.

Nota:

Si desea crear analizadores adicionales sin eliminar los analizadores existentes, deshabilite los analizadores existentes mediante la disable analyzer analyzer-name instrucción de la interfaz de línea de comandos o la página de configuración de J-Web para la creación de reflejo.

Nota:

Las interfaces utilizadas como salida para un analizador deben configurarse bajo la ethernet-switching familia.

Configuración de un analizador para el análisis de tráfico local
Configuración de un analizador para el análisis de tráfico remoto
Configuración de la creación de reflejo de puertos

Configuración de un analizador para el análisis de tráfico local

Para reflejar el tráfico de interfaz o VLAN en el conmutador a una interfaz en el conmutador (mediante el uso de analizadores):

Elija un nombre para el analizador y especifique la entrada:

content_copy zoom_out_map
[edit forwarding-options]
user@switch# set analyzer analyzer-name input ingress interface interface-name

Por ejemplo, cree un analizador llamado employee-monitor para el cual el tráfico de entrada son paquetes que entran en las interfaces ge-0/0/0.0 y ge-0/0/1.0:

content_copy zoom_out_map
[edit forwarding-options]
user@switch# set analyzer employee-monitor input ingress interface ge–0/0/0.0

[edit forwarding-options]
user@switch# set analyzer employee-monitor input ingress interface ge–0/0/1.0

Configure la interfaz de destino para los paquetes reflejados:
```
[edit forwarding-options]
user@switch# set analyzer analyzer-name output interface interface-name
```
Por ejemplo, configure ge-0/0/10.0 como interfaz de destino para el employee-monitor analizador:
```
[edit forwarding-options]
user@switch# set analyzer employee-monitor output interface ge-0/0/10.0
```

Configuración de un analizador para el análisis de tráfico remoto

Para reflejar el tráfico que atraviesa las interfaces o una VLAN en el conmutador a una VLAN para su análisis desde una ubicación remota (mediante el uso de analizadores):

Configure una VLAN para transportar el tráfico reflejado:
```
[edit]
user@switch# set vlans analyzer-name vlan-id vlan-ID
```
Por ejemplo, defina una VLAN del analizador llamada remote-analyzer y asígnele un ID de VLAN de 999:
```
[edit]
user@switch# set vlans remote-analyzer vlan-id 999
```
Configure la interfaz del módulo de vínculo ascendente que está conectada al conmutador de distribución en modo troncal y asóciela a la VLAN del analizador:
```
[edit]
user@switch# set interfaces interface-name unit 0 family ethernet-switching interface-mode trunk vlan members vlan-ID
```
Por ejemplo, establezca la interfaz ge-0/1/1 en modo troncal y asóciela al ID 999de VLAN del analizador:
```
[edit]
user@switch# set interfaces ge-0/1/1 unit 0 family ethernet-switching interface-mode trunk vlan members 999
```
Configure el analizador:
1. Defina un analizador y especifique el tráfico que se va a reflejar:
  [edit forwarding-options] user@switch# set analyzer analyzer-name input ingress interface interface-name
  Por ejemplo, defina el analizador para el employee-monitor que el tráfico que se va a reflejar son los paquetes que entran en las interfaces ge-0/0/0.0 y ge-0/0/1.0:
  [edit forwarding-options] user@switch# set analyzer employee-monitor input ingress interface ge-0/0/0.0 [edit forwarding-options] user@switch# set analyzer employee-monitor input ingress interface ge-0/0/1.0
2. Especifique la VLAN del analizador como salida para el analizador:
  [edit forwarding-options] user@switch# set analyzer analyzer-name output vlan vlan-ID
  Por ejemplo, especifique la remote-analyzer VLAN como analizador de salida para el employee-monitor analizador:
  [edit forwarding-options] user@switch# set analyzer employee-monitor output vlan 999

Configuración de la creación de reflejo de puertos

Para filtrar los paquetes que se reflejarán en una instancia de creación de reflejo de puertos, cree la instancia y, a continuación, utilícela como acción en el filtro de firewall. Puede usar filtros de firewall en configuraciones de creación de reflejo local y remota.

Si se utiliza la misma instancia de duplicación de puertos en varios filtros o términos, los paquetes se copian en el puerto de salida del analizador o en la VLAN del analizador solo una vez.

Para filtrar el tráfico reflejado, cree una instancia de creación de reflejo de puertos en el nivel de [edit forwarding-options] jerarquía y, a continuación, cree un filtro de firewall. El filtro puede usar cualquiera de las condiciones de coincidencia disponibles y debe tenerlo port-mirror-instance instance-name como acción. Esta acción en la configuración del filtro del firewall proporciona la entrada a la instancia de duplicación de puertos.

Para configurar una instancia de creación de reflejo de puerto con filtros de firewall:

Configure el nombre de la instancia de duplicación de puertos (aquí, employee-monitor) y el resultado:
1. Para el análisis local, establezca el resultado en la interfaz local donde conectará el equipo que ejecuta el analizador de protocolos:
  [edit forwarding-options] user@switch# set port-mirroring instance employee-monitor output interface ge-0/0/10.0
2. Para el análisis remoto, establezca el resultado en la remote-analyzer VLAN:
  [edit forwarding-options] user@switch# set port-mirroring instance employee-monitor output vlan 999

Cree un filtro de firewall utilizando cualquiera de las condiciones de coincidencia disponibles y asígnelo employee-monitor a la port-mirror-instance acción:

Este paso muestra un filtro example-filterde firewall, con dos términos (no-analyzer y to-analyzer):

Cree el primer término para definir el tráfico que no debe pasar a través de la instancia employee-monitorde creación de reflejo de puertos:

content_copy zoom_out_map
[edit firewall family ethernet-switching
user@switch# set filter example-filter term no-analyzer from source-address ip-address
user@switch# set filter example-filter term no-analyzer from destination-address ip-address
user@switch# set filter example-filter term no-analyzer then accept

Cree el segundo término para definir el tráfico que debe pasar a través de la instancia employee-monitorde duplicación de puertos:

content_copy zoom_out_map
[edit firewall family ethernet-switching]
user@switch# set filter example-filter term to-analyzer from destination-port 80
user@switch# set filter example-filter term to-analyzer then port-mirror-instance employee–monitor
user@switch# set filter example-filter term to-analyzer then accept

Aplique el filtro de firewall a las interfaces o VLAN que proporcionan entrada a la instancia de creación de reflejo de puertos:

content_copy zoom_out_map
[edit]
user@switch# set interfaces ge-0/0/0 unit 0 family ethernet-switching filter input example-filter
ser@switch# set vlan remote-analyzer filter input example-filter

Configuración de la creación de reflejo de puertos para analizar el tráfico (procedimiento de la CLI)

Esta tarea de configuración utiliza Junos OS para conmutadores serie EX que no admiten el estilo de configuración Enhanced Layer 2 Software (ELS).

Los conmutadores de la serie EX le permiten configurar la duplicación de puertos para enviar copias de paquetes a una interfaz local para monitoreo local o a una VLAN para monitoreo remoto. Puede utilizar la creación de reflejo de puertos para copiar estos paquetes:

Paquetes que entran o salen de un puerto
Paquetes que ingresan a una VLAN en conmutadores EX2200, EX3200, EX3300, EX4200, EX4500 o EX6200
Paquetes que salen de una VLAN en conmutadores EX8200

Mejores prácticas:

Refleje solo los paquetes necesarios para reducir el impacto potencial en el rendimiento. Le recomendamos que:

Desactive los analizadores de creación de reflejo de puertos configurados cuando no los esté utilizando.
Especifique interfaces individuales como entrada para los analizadores en lugar de especificar todas las interfaces como entrada.
Limite la cantidad de tráfico reflejado de la siguiente manera:
- Uso de muestreo estadístico.
- Establecer ratios para seleccionar muestras estadísticas.
- Uso de filtros de firewall.

Antes de comenzar a configurar la creación de reflejo de puertos, tenga en cuenta las siguientes limitaciones para las interfaces de salida del analizador:

No puede ser también un puerto de origen.
No se puede utilizar para cambiar.
No participe en protocolos de capa 2 (como RSTP) cuando forme parte de una configuración de creación de reflejo de puerto.
No conserve ninguna asociación de VLAN que tenían antes de configurarse como interfaces de salida del analizador.

Nota:

Si desea crear analizadores adicionales sin eliminar el analizador existente, desactive primero el analizador existente mediante el disable analyzer analyzer-name comando o la página de configuración de J-Web para la creación de reflejo de puertos.

Nota:

Las interfaces utilizadas como salida para un analizador deben configurarse como familia ethernet-switching.

Configuración de la creación de reflejo de puertos para el análisis de tráfico local
Configuración de la creación de reflejo de puertos para el análisis de tráfico remoto
Filtrado del tráfico que entra en un analizador

Configuración de la creación de reflejo de puertos para el análisis de tráfico local

Para reflejar el tráfico de interfaz o VLAN del conmutador a otra interfaz del conmutador:

Elija un nombre para el analizador, en este caso employee-monitor, y especifique la entrada (en este caso, los paquetes que ingresan ge-0/0/0 y ge-0/0/1:

content_copy zoom_out_map
[edit ethernet-switching-options]
user@switch# set analyzer employee-monitor ingress interface ge–0/0/0.0

[edit ethernet-switching-options]
user@switch# set analyzer employee-monitor input ingress interface ge–0/0/1.0

Opcionalmente, puede especificar un muestreo estadístico de los paquetes estableciendo una proporción:
```
[edit ethernet-switching-options]
user@switch# set analyzer employee-monitor ratio 200
```
Cuando la proporción se establece en 200, 1 de cada 200 paquetes se refleja en el analizador. Puede utilizar el muestreo estadístico para reducir el volumen de tráfico reflejado, ya que un volumen elevado de tráfico reflejado puede requerir mucho rendimiento del conmutador. En los conmutadores EX8200, puede establecer una relación solo para los paquetes de entrada.

Configure la interfaz de destino para los paquetes reflejados:

content_copy zoom_out_map
[edit ethernet-switching-options]
user@switch# set analyzer employee-monitor output interface ge-0/0/10.0

Configuración de la creación de reflejo de puertos para el análisis de tráfico remoto

Para reflejar el tráfico que atraviesa las interfaces o una VLAN en el conmutador a una VLAN para su análisis desde una ubicación remota:

Configure una VLAN para transportar el tráfico reflejado. En esta documentación se llama a esta VLAN y se le remote-analyzer asigna el ID de 999 por convención:
```
[edit]
user@switch# set vlans remote-analyzer vlan-id 999
```
Establezca la interfaz del módulo de vínculo ascendente que está conectada al conmutador de distribución en modo troncal y asócielo a la remote-analyzer VLAN:
```
[edit]
user@switch# set interfaces ge-0/1/1 unit 0 family ethernet-switching port-mode trunk vlan members 999
```
Configure el analizador:
1. Elija un nombre y establezca la prioridad de pérdida en alta. La prioridad de pérdida siempre debe establecerse en alta cuando se configura la duplicación remota de puertos:
  [edit ethernet-switching-options] user@switch# set analyzer employee-monitor loss-priority high
2. Especifique el tráfico que se va a reflejar: en este ejemplo, los paquetes que entran en los puertos ge-0/0/0 y ge-0/0/1:
  [edit ethernet-switching-options] user@switch# set analyzer employee-monitor input ingress interface ge-0/0/0.0 [edit ethernet-switching-options] user@switch# set analyzer employee-monitor input ingress interface ge-0/0/1.0
3. Especifique la remote-analyzer VLAN como salida para el analizador:
  [edit ethernet-switching-options] user@switch# set analyzer employee-monitor output vlan 999
Opcionalmente, puede especificar un muestreo estadístico de los paquetes estableciendo una proporción:
```
[edit ethernet-switching-options]
user@switch# set analyzer employee-monitor ratio 200
```
Cuando la proporción se establece en 200, 1 de cada 200 paquetes se refleja en el analizador. Puede utilizarlo para reducir el volumen de tráfico reflejado, ya que un volumen muy alto de tráfico reflejado puede requerir mucho rendimiento del conmutador.

Filtrado del tráfico que entra en un analizador

Para filtrar los paquetes que se reflejan en un analizador, cree el analizador y, a continuación, utilícelo como acción en el filtro de firewall. Puede usar filtros de firewall en configuraciones de creación de reflejo de puertos locales y remotos.

Si se utiliza el mismo analizador en varios filtros o términos, los paquetes se copian en el puerto de salida del analizador o en la VLAN del analizador solo una vez.

Para filtrar el tráfico reflejado, cree un analizador y, a continuación, cree un filtro de firewall. El filtro puede utilizar cualquiera de las condiciones de coincidencia disponibles y debe tener una acción de analyzer. La acción del filtro de firewall proporciona la entrada al analizador.

Para configurar la creación de reflejo de puertos con filtros:

Configure el nombre del analizador (aquí, employee-monitor) y el resultado:
1. Para el análisis local, establezca el resultado en la interfaz local a la que conectará el equipo que ejecuta la aplicación de analizador de protocolos:
  [edit ethernet-switching-options] user@switch# set analyzer employee-monitor output interface ge-0/0/10.0
2. Para el análisis remoto, establezca la prioridad de pérdida en alta y establezca la salida en la remote-analyzer VLAN:
  [edit ethernet-switching-options] user@switch# set analyzer employee-monitor loss-priority high output vlan 999

Cree un filtro de firewall utilizando cualquiera de las condiciones de coincidencia disponibles y especifique la acción como analyzer:

Este paso muestra un filtro de firewall denominado example-filter, con dos términos:

Cree el primer término para definir el tráfico que no debe pasar al analizador:

content_copy zoom_out_map
[edit firewall family ethernet-switching]
user@switch# set filter example-filter term no-analyzer from source-address ip-address
[edit firewall family ethernet-switching]
user@switch# set filter example-filter term no-analyzer from destination-address ip-address
[edit firewall family ethernet-switching]
user@switch# set filter example-filter term no-analyzer then accept

Cree el segundo término para definir el tráfico que debe pasar al analizador:

content_copy zoom_out_map
[edit firewall family ethernet-switching]
user@switch# set filter example-filter term to-analyzer from destination-port 80
[edit firewall family ethernet-switching]
user@switch# set filter example-filter term to-analyzer then analyzer employee–monitor
[edit firewall family ethernet-switching]
user@switch# set filter example-filter term to-analyzer then accept

Aplique el filtro de firewall a las interfaces o VLAN que se introducen en el analizador:

content_copy zoom_out_map
[edit]
user@switch# set interfaces ge-0/0/0 unit 0 family ethernet-switching filter input example-filter

[edit]
user@switch# set vlan remote-analyzer filter input example-filter

Verificación de entrada y salida para analizadores de duplicación de puertos en conmutadores de la serie EX

Propósito
Acción
Significado

Propósito

Esta tarea de verificación utiliza Junos OS para conmutadores serie EX que no admiten el estilo de configuración Enhanced Layer 2 Software (ELS).

Verifique que se haya creado un analizador en el conmutador y que tenga las interfaces de entrada de espejo adecuadas y la interfaz de salida del analizador adecuada.

Acción

Puede comprobar que el analizador de reflejos de puertos está configurado como se esperaba mediante el show analyzer comando.

content_copy zoom_out_map
[edit]
user@switch>                      show analyzer                              
Analyzer name                  : employee-monitor
  Output VLAN                  : remote-analyzer
  Mirror ratio                 : 1
  Loss priority                : High  
  Ingress monitored interfaces : ge-0/0/0.0
  Ingress monitored interfaces : ge-0/0/1.0

Puede ver todos los analizadores de espejo de puertos configurados en el conmutador, incluidos los que estén deshabilitados, mediante el comando en modo show ethernet-switching-options de configuración.

content_copy zoom_out_map
user@switch# show ethernet-switching-options                              
inactive: analyzer employee-web-monitor {
    loss-priority high;
    output {

analyzer employee-monitor {
    loss-priority high;
    input {
        ingress {
            interface ge-0/0/0.0;
            interface ge-0/0/1.0;
        }
    }
    output {
        vlan {
            remote-analyzer;
        }
    }
}

Significado

Esta salida muestra que el analizador empleado-monitor tiene una relación de 1 (duplicación de cada paquete, el valor predeterminado), una prioridad de pérdida de high (establezca esta opción en high siempre que la salida del analizador sea a una VLAN), está reflejando el tráfico que entra en ge-0/0/0 y ge-0/0/1, y está enviando el tráfico reflejado al analizador llamado remote-analyzer.

Ejemplo: Configuración de analizadores de creación de reflejo de puertos para la supervisión local del uso de recursos de los empleados

Los dispositivos de Juniper Networks le permiten configurar la duplicación de puertos para enviar copias de paquetes a una interfaz local para monitoreo local, a una VLAN o a un dominio de puente para monitoreo remoto. Puede utilizar la creación de reflejo para copiar estos paquetes:

Paquetes que entran o salen de un puerto
Paquetes que entran o salen de un dominio de VLAN o puente

A continuación, puede analizar el tráfico reflejado de forma local o remota mediante un analizador de protocolos. Puede instalar un analizador en una interfaz de destino local. Si va a enviar tráfico duplicado a una VLAN analizadora o a un dominio de puente, puede utilizar un analizador en una estación de supervisión remota.

En este tema se describe cómo configurar la creación de reflejo local en un dispositivo de conmutación. En los ejemplos de este tema se describe cómo configurar un dispositivo de conmutación para reflejar el tráfico que entra en las interfaces conectadas a los equipos de los empleados en una interfaz de salida del analizador en ese mismo dispositivo.

Requisitos
Descripción general y topología
Duplicación de todo el tráfico de empleados para análisis local
Verificación

Requisitos

Utilice uno de los siguientes componentes de hardware y software:

Un conmutador EX9200 con Junos OS versión 13.2 o posterior
Un enrutador serie MX con Junos OS versión 14.1 o posterior

Antes de configurar la creación de reflejo de puertos, asegúrese de que comprende los conceptos de creación de reflejos. Para obtener información acerca de los analizadores, consulte Descripción de los analizadores de creación de reflejo de puertos. Para obtener información acerca de la creación de reflejo de puertos, consulte Descripción de la creación de reflejo de puertos de capa 2.

Descripción general y topología

En este tema se describe cómo reflejar todo el tráfico que entra en los puertos del dispositivo de conmutación a una interfaz de destino en el mismo dispositivo (creación de reflejo local). En este caso, el tráfico entra en los puertos conectados a los equipos de los empleados.

Nota:

La duplicación de todo el tráfico requiere un ancho de banda significativo y solo debe realizarse durante una investigación activa.

Las interfaces ge-0/0/0 y ge-0/0/1 sirven como conexiones para los equipos de los empleados.

La interfaz ge-0/0/10 está reservada para el análisis del tráfico reflejado.

Conecte un PC que ejecute un analizador de protocolos a la interfaz de salida del analizador.

Nota:

Varios puertos reflejados en una interfaz pueden provocar el desbordamiento del búfer, lo que provoca que los paquetes reflejados se descarten en la interfaz de salida.

Figura 1 muestra la topología de red de este ejemplo.

Figura 1: Ejemplo de topología de red para creación de reflejo de puerto local

Duplicación de todo el tráfico de empleados para análisis local

Configuración rápida de CLI

Para configurar rápidamente la duplicación local para el tráfico de entrada enviado en dos puertos conectados a las computadoras de los empleados, copie cualquiera de los siguientes comandos para conmutadores de la serie EX o para enrutadores de la serie MX y péguelos en la ventana de terminal del dispositivo de conmutación:

Serie EX

content_copy zoom_out_map
[edit]
set interfaces ge-0/0/0 unit 0 family ethernet-switching
set interfaces ge-0/0/1 unit 0 family ethernet-switching
set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/0.0
set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/1.0
set forwarding-options analyzer employee-monitor output interface ge-0/0/10.0

Serie MX

content_copy zoom_out_map
[edit]
set interfaces ge-0/0/0 unit 0 family bridge interface-mode access vlan-id 99
set interfaces ge-0/0/1 unit 0 family bridge interface-mode access vlan-id 98
set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/0.0
set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/1.0
set forwarding-options analyzer employee-monitor output interface ge-0/0/10.0

Procedimiento paso a paso

Para configurar un analizador llamado employee-monitor y especificar las interfaces de entrada (origen) y la interfaz de salida del analizador:

Configure cada interfaz que se utilizará en la configuración del analizador. Utilice el protocolo de familia que sea correcto para su plataforma.
```
EX Series
[edit]
set interfaces ge-0/0/0 unit 0 family ethernet-switching
set interfaces ge-0/0/1 unit 0 family ethernet-switching
```
Para configurar family bridge en una interfaz, debe configurar interface-mode accessinterface-mode trunk o también. También debe configurar vlan-id.
```
MX Series
[edit]
set interfaces ge-0/0/0 unit 0 family bridge interface-mode access vlan-id 99
set interfaces ge-0/0/1 unit 0 family bridge interface-mode access vlan-id 98
```

Configure cada interfaz conectada a los equipos de los empleados como una interfaz employee-monitorde analizador de salida.

content_copy zoom_out_map
[edit forwarding-options]
set analyzer employee-monitor input ingress interface ge-0/0/0.0
set analyzer employee-monitor input ingress interface ge-0/0/1.0

Configure la interfaz del analizador de salida para el employee-monitor analizador.

Esta será la interfaz de destino para los paquetes reflejados.
```
[edit forwarding-options]
set analyzer employee-monitor output interface ge-0/0/10.0
```

Resultados

Compruebe los resultados de la configuración.

content_copy zoom_out_map
[edit] 
user@device# show forwarding-options
analyzer {
    employee-monitor {
        input {
            ingress {
                interface ge-0/0/0.0;
                interface ge-0/0/1.0;
            }
        }
        output {
            interface ge-0/0/10.0;
        }
    }
}

Verificación

Comprobación de que el analizador se ha creado correctamente

Propósito
Acción
Significado

Propósito

Compruebe que el analizador employee-monitor se ha creado en el dispositivo de conmutación con las interfaces de entrada y la interfaz de salida adecuadas.

Acción

Utilice el show forwarding-options analyzer comando operativo para comprobar que un analizador está configurado como se esperaba.

content_copy zoom_out_map
user@device> show forwarding-options analyzer
Analyzer name                    	: employee-monitor
  Mirror rate                       : 1
  Maximum packet length             : 0
  State                           	 : up
  Ingress monitored interfaces      : ge-0/0/0.0
  Output interface                	 : ge-0/0/10.0

Significado

El resultado muestra que el employee-monitor analizador tiene una proporción de 1 (es decir, duplicar cada paquete, la configuración predeterminada), el tamaño máximo del paquete original reflejado es 0 (lo que indica que todo el paquete está reflejado), el estado de la configuración es up, y el analizador está reflejando el tráfico que entra en la interfaz ge-0/0/0 y envía el tráfico reflejado a la interfaz ge-0/0/10.

Si el estado de la interfaz de salida es down o si la interfaz de salida no está configurada, el valor de State indicará down que el analizador no recibirá tráfico reflejado.

Ejemplo: Configuración de la creación de reflejo de puertos para la supervisión remota del uso de los recursos de los empleados

Los dispositivos de Juniper Networks le permiten configurar la duplicación de puertos para enviar copias de paquetes a una interfaz local para monitoreo local o a una VLAN o dominio de puente para monitoreo remoto. Puede utilizar la creación de reflejo para copiar estos paquetes:

Paquetes que entran o salen de un puerto
Paquetes que entran o salen de una VLAN
Paquetes que entran o salen de un dominio de puente

Si envía tráfico reflejado a una VLAN de analizador o a un dominio de puente, puede analizar el tráfico reflejado mediante un analizador de protocolos que se ejecute en una estación de supervisión remota.

Mejores prácticas:

Refleje solo los paquetes necesarios para reducir el impacto potencial en el rendimiento. Le recomendamos que haga lo siguiente:

Deshabilite las sesiones de creación de reflejo configuradas cuando no las esté utilizando.
Especifique interfaces individuales como entrada para los analizadores en lugar de especificar todas las interfaces como entrada.
Limite la cantidad de tráfico reflejado de la siguiente manera:
- Uso de muestreo estadístico.
- Establecer ratios para seleccionar muestras estadísticas.
- Uso de filtros de firewall.

En los ejemplos de este tema se describe cómo configurar la creación de reflejo de puertos remotos para analizar el uso de recursos de los empleados.

Requisitos
Descripción general y topología
Duplicación del tráfico de empleados para el análisis remoto mediante un analizador estadístico
Verificación

Requisitos

En este ejemplo se utiliza uno de los siguientes pares de componentes de hardware y software:

Un conmutador EX9200 conectado a otro conmutador EX9200, ambos con la versión 13.2 o posterior de Junos OS
Un enrutador de la serie MX conectado a otro enrutador de la serie MX, ambos con Junos OS versión 14.1 o posterior

Antes de configurar la creación remota de reflejos, asegúrese de que:

Tienes una comprensión de los conceptos de reflejo. Para obtener información acerca de los analizadores, consulte Descripción de los analizadores de creación de reflejo de puertos. Para obtener información acerca de la creación de reflejo de puertos, consulte Descripción de la creación de reflejo de puertos de capa 2.
Las interfaces que utilizará el analizador como interfaces de entrada ya se han configurado en el dispositivo de conmutación.

Descripción general y topología

En este tema se describe cómo configurar la creación de reflejo de puertos en una VLAN de analizador remoto o en un dominio de puente para que el análisis se pueda realizar desde una estación de supervisión remota.

Figura 2 muestra la topología de red para los escenarios de ejemplo de la serie EX y de la serie MX.

Topología

Figura 2: Topología de red para la creación de reflejo y el análisis de puertos remotos

En este ejemplo:

La interfaz ge-0/0/0 es una interfaz de capa 2 y la interfaz ge-0/0/1 es una interfaz de capa 3 (ambas son interfaces en el dispositivo fuente) que sirven como conexiones para las computadoras de los empleados.
La interfaz ge-0/0/10 es una interfaz de capa 2 que conecta el dispositivo de conmutación de fuente con el dispositivo de conmutación de destino.
La interfaz ge-0/0/5 es una interfaz de capa 2 que conecta el dispositivo de conmutación de destino a la estación de monitoreo remoto.
El analizador remote-analyzer está configurado en todos los dispositivos de conmutación de la topología para transportar el tráfico reflejado. Esta topología puede usar un dominio de VLAN o de puente.

Duplicación del tráfico de empleados para el análisis remoto mediante un analizador estadístico

Para configurar un analizador estadístico para el análisis de tráfico remoto para todo el tráfico de empleados entrantes y salientes, seleccione uno de los siguientes ejemplos:

Duplicación del tráfico de empleados para análisis remoto para conmutadores de la serie EX
Duplicación del tráfico de empleados para análisis remoto para enrutadores de la serie MX

Duplicación del tráfico de empleados para análisis remoto para conmutadores de la serie EX

Configuración rápida de CLI
Procedimiento paso a paso
Resultados

Configuración rápida de CLI

Para configurar rápidamente un analizador estadístico para el análisis de tráfico remoto del tráfico entrante y saliente de empleados, copie los siguientes comandos para los conmutadores de la serie EX y péguelos en la ventana correcta del terminal del dispositivo de conmutación.

Copie y pegue los siguientes comandos en la ventana terminal del dispositivo de conmutación de origen :

Serie EX

content_copy zoom_out_map
[edit]
set vlans remote-analyzer vlan-id 999
set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode access
set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999
set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/0.0
set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/1.0
set forwarding-options analyzer employee-monitor input egress interface ge-0/0/0.0
set forwarding-options analyzer employee-monitor input egress interface ge-0/0/1.0
set forwarding-options analyzer employee-monitor output vlan remote-analyzer
set forwarding-options analyzer employee-monitor input rate 2  
set forwarding-options analyzer employee-monitor input maximum-packet-length 128
set chassis fpc 0 port-mirror-instance employee-monitor

Copie y pegue los siguientes comandos en la ventana Terminal del dispositivo de conmutación de destino :

Serie EX

content_copy zoom_out_map
[edit]
set vlans remote-analyzer vlan-id 999
set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode access
set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999
set interfaces ge-0/0/5 unit 0 family ethernet-switching interface-mode access
set forwarding-options analyzer employee-monitor input ingress vlan remote-analyzer
set forwarding-options analyzer employee-monitor output interface ge-0/0/5.0

Procedimiento paso a paso

Para configurar la creación de reflejo remota básica:

En el dispositivo de conmutación de origen, haga lo siguiente:

Configure el ID de VLAN para la remote-analyzer VLAN.
```
[edit]
user@device# set vlans remote-analyzer vlan-id 999
```

Configure la interfaz en el puerto de red conectado al dispositivo de conmutación de destino para el modo de acceso y asócielo a la remote-analyzer VLAN.

content_copy zoom_out_map
[edit]
user@device# set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode access
user@device# set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999

Configure el analizador employee-monitorestadístico .

content_copy zoom_out_map
[edit forwarding-options]
user@device# set analyzer employee-monitor input ingress interface ge-0/0/0.0
user@device# set analyzer employee-monitor input ingress interface ge-0/0/1.0
user@device# set analyzer employee-monitor input egress interface ge-0/0/0.0
user@device# set analyzer employee-monitor input egress interface ge-0/0/1.0
user@device# set analyzer employee-monitor output vlan remote-analyzer
user@device# set analyzer employee-monitor input rate 2  
user@device# set analyzer employee-monitor input maximum-packet-length 128

Enlazar el analizador estadístico a la FPC que contiene la interfaz de entrada.
```
[edit]
user@device# set chassis fpc 0 port-mirror-instance employee-monitor
```

En el dispositivo de red de destino, haga lo siguiente:

Configure el ID de VLAN para la remote-analyzer VLAN.
```
[edit]
user@device# set vlans remote-analyzer vlan-id 999
```

Configure la interfaz en el dispositivo de conmutación de destino para el modo de acceso y asóciela a la remote-analyzer VLAN.

content_copy zoom_out_map
[edit interfaces]
user@device# set ge-0/0/10 unit 0 family ethernet-switching interface-mode access
user@device# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999

Configure la interfaz conectada al dispositivo de conmutación de destino para el modo de acceso.
```
[edit interfaces]
user@device# set ge-0/0/5 unit 0 family ethernet-switching interface-mode access
```

Configure el employee-monitor analizador.

content_copy zoom_out_map
[edit forwarding-options]
user@device# set analyzer employee-monitor input ingress vlan remote-analyzer
user@device# set analyzer employee-monitor output interface ge-0/0/5.0

Especifique parámetros de creación de reflejo, como la velocidad y la longitud máxima del paquete para el employee-monitor analizador.

content_copy zoom_out_map
[edit] 
user@device# set forwarding-options analyzer employee-monitor input rate 2  
user@device# set forwarding-options analyzer employee-monitor input maximum-packet-length 128

Vincule el employee-monitor analizador a la FPC que contiene los puertos de entrada.
```
[edit]
user@device# set chassis fpc 0 port-mirror-instance employee-monitor
```

Resultados

Compruebe los resultados de la configuración en el dispositivo de conmutación de origen:

content_copy zoom_out_map
[edit] 
user@device# show 
 forwarding-options {
    analyzer employee-monitor {
        input {
            ingress {
                interface ge-0/0/0.0;
                interface ge-0/0/1.0;
            }
            egress {
                interface ge-0/0/0.0;
                interface ge-0/0/1.0;
            }
            
            maximum-packet-length 128;
            rate 2;
        }
        output {
            vlan {
                remote-analyzer;
            }
        }
    }
}
interfaces {
    ge-0/0/10 {
        unit 0 {
            family ethernet-switching {
                interface-mode access;
                vlan {
                    members 999;
                }
            }
        }
    }
}
vlans {
    remote-analyzer {
        vlan-id 999;
    }
}

Compruebe los resultados de la configuración en el dispositivo de conmutación de destino.

content_copy zoom_out_map
[edit] 
user@device# show 
interfaces {
    ge0/0/5 {
        unit 0 {
            family ethernet-switching {
                interface-mode access;
            }
        }
    }
    ge-0/0/10 {
        unit 0 {
            family ethernet-switching {
                interface-mode access;
                vlan {
                    members 999;
                }
            }
        }
    }
}
vlans {
    remote-analyzer {
        vlan-id 999;
        interface {
            ge-0/0/10.0;
        }
    }
}
forwarding-options {
    analyzer employee-monitor {
        input {
            ingress {
                vlan remote-analyzer;
            }
        }
        output {
            interface {
                ge-0/0/5.0;
            }
        }
    }
}

Duplicación del tráfico de empleados para análisis remoto para enrutadores de la serie MX

Configuración rápida de CLI
Procedimiento paso a paso
Resultados

Configuración rápida de CLI

Para configurar rápidamente un analizador estadístico para el análisis de tráfico remoto del tráfico entrante y saliente de empleados, copie los siguientes comandos para enrutadores serie MX y péguelos en la ventana correcta del terminal del dispositivo de conmutación.

Copie y pegue los siguientes comandos en la ventana terminal del dispositivo de conmutación de origen :

Serie MX

content_copy zoom_out_map
[edit]
set bridge-domains remote-analyzer vlan-id 999
set interfaces ge-0/0/10 unit 0 family bridge interface-mode access
set interfaces ge-0/0/10 unit 0 family bridge vlan-id 999
set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/0.0
set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/1.0
set forwarding-options analyzer employee-monitor input egress interface ge-0/0/0.0
set forwarding-options analyzer employee-monitor input egress interface ge-0/0/1.0
set forwarding-options analyzer employee-monitor output bridge-domain remote-analyzer
set forwarding-options analyzer employee-monitor input rate 2
set forwarding-options analyzer employee-monitor input maximum-packet-length 128
set chassis fpc 0 port-mirror-instance employee-monitor

Copie y pegue los siguientes comandos en la ventana Terminal del dispositivo de conmutación de destino :

Serie MX

content_copy zoom_out_map
[edit]
set bridge-domains remote-analyzer vlan-id 999
set interfaces ge-0/0/10 unit 0 family bridge interface-mode access
set interfaces ge-0/0/10 unit 0 family bridge vlan-id 999
set interfaces ge-0/0/5 unit 0 family bridge interface-mode access
set forwarding-options analyzer employee-monitor input ingress bridge-domain remote-analyzer
set forwarding-options analyzer employee-monitor output interface ge-0/0/5.0

Procedimiento paso a paso

Para configurar la duplicación remota básica con enrutadores de la serie MX:

En el dispositivo de conmutación de origen, haga lo siguiente:

Configure el ID de VLAN para el dominio de remote-analyzer puente.
```
[edit]
user@device# set bridge-domains remote-analyzer vlan-id 999
```
Configure la interfaz en el puerto de red conectado al dispositivo de conmutación de destino para el modo de acceso y asócielo al dominio de remote-analyzer puente.
```
[edit]
user@device# set interfaces ge-0/0/10 unit 0 family bridge interface-mode access
user@device# set interfaces ge-0/0/10 unit 0 family bridge vlan members 999
```

Configure el analizador employee-monitorestadístico .

content_copy zoom_out_map
[edit forwarding-options]
user@device# set analyzer employee-monitor input ingress interface ge-0/0/0.0
user@device# set analyzer employee-monitor input ingress interface ge-0/0/1.0
user@device# set analyzer employee-monitor input egress interface ge-0/0/0.0
user@device# set analyzer employee-monitor input egress interface ge-0/0/1.0
user@device# set analyzer employee-monitor output bridge-domain remote-analyzer
user@device# set analyzer employee-monitor input rate 2
user@device# set analyzer employee-monitor input maximum-packet-length 128

Enlazar el analizador estadístico a la FPC que contiene la interfaz de entrada.
```
[edit]
user@device# set chassis fpc 0 port-mirror-instance employee-monitor
```

En el dispositivo de conmutación de destino, haga lo siguiente:

Configure el ID de VLAN para el dominio de remote-analyzer puente.
```
[edit bridge-domains]
user@device# set remote-analyzer vlan-id 999
```
Configure la interfaz en el dispositivo de conmutación de destino para el modo de acceso y asóciela al dominio del remote-analyzer puente.
```
[edit interfaces]
user@device# set ge-0/0/10 unit 0 family bridge interface-mode access
user@device# set ge-0/0/10 unit 0 family bridge vlan members 999
```
Configure la interfaz conectada al dispositivo de conmutación de destino para el modo de acceso.
```
[edit interfaces]
user@device# set ge-0/0/5 unit 0 family bridge interface-mode access
```

Configure el employee-monitor analizador.

content_copy zoom_out_map
[edit forwarding-options]
user@device# set analyzer employee-monitor input ingress bridge-domain remote-analyzer
user@device# set analyzer employee-monitor output interface ge-0/0/5.0

Especifique parámetros de creación de reflejo, como la velocidad y la longitud máxima del paquete para el employee-monitor analizador.

content_copy zoom_out_map
[edit]
user@device# set forwarding-options analyzer employee-monitor input rate 2  
user@device# set forwarding-options analyzer employee-monitor input maximum-packet-length 128

Vincule el employee-monitor analizador a la FPC que contiene los puertos de entrada.
```
[edit]
user@device# set chassis fpc 0 port-mirror-instance employee-monitor
```

Resultados

Compruebe los resultados de la configuración en el dispositivo de conmutación de origen:

content_copy zoom_out_map
[edit] 
user@device# show 
bridge-domains {
    remote-analyzer {
        vlan-id 999;
    }
}
forwarding-options {
    analyzer {
        employee-monitor {
            input {
                ingress {
                    interface ge-0/0/0.0;
                    interface ge-0/0/1.0;
                }
                egress {
                    interface ge-0/0/0.0;
                    interface ge-0/0/1.0;
                }
                maximum-packet-length 128;
                rate 2;
            }
            output {
                bridge-domain {
                    remote-analyzer;
                }
            }
        }
    }
}
interfaces {
    ge-0/0/0 {
        unit 0 {
            family bridge {
                interface-mode access;
                vlan-id 99;
            }
        }
    }
    ge-0/0/1 {
        unit 0 {
            family bridge {
                interface-mode access;
                vlan-id 98;
            }
        }
    }
    ge-0/0/10 {
        unit 0 {
            family bridge {
                interface-mode access;
                vlan-id 999;
            }
        }
    }
}

Compruebe los resultados de la configuración en el dispositivo de conmutación de destino.

content_copy zoom_out_map
[edit] 
user@device# show 
bridge-domains {
    remote-analyzer {
        vlan-id 999;
    }
}
forwarding-options {
    analyzer {
        employee-monitor {
            input {
                ingress {
                    interface ge-0/0/0.0;
                    interface ge-0/0/1.0;
                    bridge-domain remote-analyzer;
                }
            }
            output {
                interface ge-0/0/5.0;
            }
        }
    }
}
interfaces {
    ge-0/0/5 {
        unit 0 {
            family bridge {
                interface-mode access;
            }
        }
    }
}

Verificación

Comprobación de que el analizador se ha creado correctamente

Propósito
Acción
Significado

Propósito

Compruebe que el analizador denominado employee-monitor se haya creado en el dispositivo con las interfaces de entrada y la interfaz de salida adecuadas.

Acción

Para comprobar que el analizador está configurado como se esperaba mientras supervisa todo el tráfico de empleados en el dispositivo de conmutación de origen, ejecute el show forwarding-options analyzer comando en el dispositivo de conmutación de origen. Se muestra el siguiente resultado para este ejemplo de configuración.

content_copy zoom_out_map
user@device> show forwarding-options analyzer

Analyzer name                    : employee-monitor
  Mirror rate                     	: 2
  Maximum packet length            : 128
  State                           	: up
  Ingress monitored interfaces     : ge-0/0/0.0
  Ingress monitored interfaces     : ge-0/0/1.0
  Egress monitored interfaces      : ge-0/0/0.0
  Egress monitored interfaces      : ge-0/0/1.0
  Output VLAN                      : default-switch/remote-analyzer  

Significado

Este resultado muestra que la employee-monitor instancia tiene una relación de 2, el tamaño máximo del paquete original que se reflejó es 128, el estado de la configuración es up, que indica el estado correcto y que el analizador está programado, y el analizador está reflejando el tráfico que entra en ge-0/0/0.0 y ge-0/0/1.0, y está enviando el tráfico reflejado a la VLAN llamada remote-analyzer.

Si el estado de la interfaz de salida es down o si la interfaz de salida no está configurada, el valor de State estará inactivo y el analizador no podrá supervisar el tráfico.

Ejemplo: Configuración de la creación de reflejo en varias interfaces para el monitoreo remoto del uso de recursos de los empleados en conmutadores EX9200

Los conmutadores EX9200 permiten configurar la creación de reflejo para enviar copias de paquetes a una interfaz local para monitoreo local o a una VLAN para monitoreo remoto. Puede utilizar la creación de reflejo para copiar estos paquetes:

Paquetes que entran o salen de un puerto
Paquetes que entran o salen de una VLAN en

Puede analizar el tráfico reflejado mediante una aplicación de analizador de protocolos que se ejecute en una estación de supervisión remota si envía tráfico reflejado a una VLAN de analizador.

Mejores prácticas:

Refleje solo los paquetes necesarios para reducir el impacto potencial en el rendimiento. Le recomendamos que:

Desactive los analizadores de creación de reflejo configurados cuando no los esté utilizando.
Especifique interfaces individuales como entrada para los analizadores en lugar de especificar todas las interfaces como entrada.
Limite la cantidad de tráfico reflejado de la siguiente manera:
- Uso de muestreo estadístico.
- Establecer ratios para seleccionar muestras estadísticas.
- Uso de filtros de firewall.

En este ejemplo se describe cómo configurar la creación remota de reflejo en varias interfaces en una VLAN de analizador:

Requisitos
Descripción general y topología
Duplicación de todo el tráfico de empleados a múltiples interfaces miembro de VLAN para análisis remoto
Verificación

Requisitos

En este ejemplo, se utilizan los siguientes componentes de hardware y software:

Tres conmutadores EX9200
Junos OS versión 13.2 o posterior para conmutadores serie EX

Antes de configurar la creación remota de reflejos, asegúrese de que:

Las interfaces que el analizador utilizará como interfaces de entrada se han configurado en el conmutador.

Descripción general y topología

En este ejemplo se describe cómo reflejar el tráfico que entra en los puertos del conmutador a la VLAN del analizador remoto para que pueda realizar el análisis desde una estación de supervisión remota. La VLAN del analizador remoto de este ejemplo contiene varias interfaces miembro. Por lo tanto, el mismo tráfico se refleja en todas las interfaces miembro de la VLAN del analizador remoto para que los paquetes reflejados puedan enviarse a diferentes estaciones de supervisión remota. Puede instalar aplicaciones, como sniffers y sistemas de detección de intrusos, en estaciones de monitoreo remoto para analizar estos paquetes duplicados y obtener datos estadísticos útiles. Por ejemplo, si hay dos estaciones de monitoreo remoto, puede instalar un sniffer en una estación de monitoreo remoto y un sistema de detección de intrusos en la otra estación. Puede utilizar una configuración de analizador de filtros de firewall para reenviar un tipo específico de tráfico a una estación de supervisión remota.

En este ejemplo se describe cómo configurar un analizador para reflejar el tráfico a varias interfaces del grupo del salto siguiente, de modo que el tráfico se envíe a diferentes estaciones de supervisión para su análisis.

Figura 3 muestra la topología de red de este ejemplo.

Figura 3: Ejemplo de espejado remoto Topología de red con varias interfaces miembro de VLAN en el grupo del salto siguiente

Topología

En este ejemplo:

Las interfaces ge-0/0/0 y ge-0/0/1 son interfaces de capa 2 (ambas interfaces en el conmutador de origen) que sirven como conexiones para los equipos de los empleados.
Las interfaces ge-0/0/10 y ge-0/0/11 son interfaces de capa 2 que están conectadas a diferentes conmutadores de destino.
La interfaz ge-0/0/12 es una interfaz de capa 2 que conecta el conmutador de destino 1 a la estación de monitoreo remoto.
La interfaz ge-0/0/13 es una interfaz de capa 2 que conecta el conmutador de destino 2 a la estación de monitoreo remoto.
La VLAN remote-analyzer está configurada en todos los conmutadores de la topología para transportar el tráfico reflejado.

Duplicación de todo el tráfico de empleados a múltiples interfaces miembro de VLAN para análisis remoto

Para configurar la creación de reflejo en varias interfaces miembro de VLAN para el análisis de tráfico remoto para todo el tráfico de empleados entrantes y salientes, realice estas tareas:

Procedimiento

Configuración rápida de CLI
Procedimiento paso a paso
Resultados

Configuración rápida de CLI

Para configurar rápidamente la creación de reflejo para el análisis de tráfico remoto para el tráfico de empleados entrantes y salientes, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:

En la ventana terminal del conmutador de origen, copie y pegue los siguientes comandos:

content_copy zoom_out_map
[edit]
 set vlans remote-analyzer vlan-id 999
 set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode access
 set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999
 set interfaces ge-0/0/11 unit 0 family ethernet-switching interface-mode access
 set interfaces ge-0/0/11 unit 0 family ethernet-switching vlan members 999
 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/0.0
 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/1.0
 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/0.0
 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/1.0
set forwarding-options analyzer employee-monitor output next-hop-group remote-analyzer-nhg
set forwarding-options next-hop-group remote-analyzer-nhg interface ge-0/0/10.0
set forwarding-options next-hop-group remote-analyzer-nhg interface ge-0/0/11.0
set forwarding-options next-hop-group remote-analyzer-nhg group-type layer-2

En la ventana Terminal del conmutador Destino 1, copie y pegue los siguientes comandos:

content_copy zoom_out_map
[edit]
 set vlans remote-analyzer vlan-id 999
 set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode acess
 set interfaces ge-0/0/12 unit 0 family ethernet-switching interface-mode access
set forwarding-options analyzer employee-monitor input ingress vlan remote-analyzer
set forwarding-options analyzer employee-monitor loss-priority high output interface ge-0/0/12.0

En la ventana Terminal del conmutador Destino 2, copie y pegue los siguientes comandos:

content_copy zoom_out_map
[edit]
 set vlans remote-analyzer vlan-id 999
 set interfaces ge-0/0/11 unit 0 family ethernet-switching interface-mode access
 set interfaces ge-0/0/13 unit 0 family ethernet-switching interface-mode access
set forwarding-options analyzer employee-monitor input ingress vlan remote-analyzer
set forwarding-options analyzer employee-monitor loss-priority high output interface ge-0/0/13.0

Procedimiento paso a paso

Para configurar la creación de reflejo remota básica en dos interfaces miembro de VLAN:

En el conmutador de origen:

Configure el ID de VLAN para la remote-analyzer VLAN:
```
[edit vlans]
user@switch# set remote-analyzer vlan-id 999
```

Configure las interfaces en el puerto de red conectado a los conmutadores de destino para el modo de acceso y asócielo a la remote-analyzer VLAN:

content_copy zoom_out_map
[edit interfaces]
user@switch# set ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk
user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999
user@switch# set ge-0/0/11 unit 0 family ethernet-switching interface-mode trunk
user@switch# set ge-0/0/11 unit 0 family ethernet-switching vlan members 999

Configure el employee-monitor analizador:

content_copy zoom_out_map
[edit forwarding-options]
user@switch# set analyzer employee-monitor input ingress interface ge-0/0/0.0
user@switch# set analyzer employee-monitor input ingress interface ge-0/0/1.0
user@switch# set analyzer employee-monitor input egress interface ge-0/0/0.0
user@switch# set analyzer employee-monitor input egress interface ge-0/0/1.0
user@switch# set analyzer employee-monitor output next-hop-group remote-analyzer-nhg

En esta configuración del analizador, el tráfico que entra y sale de las interfaces ge-0/0/0.0 y ge-0/0/1.0 se envía al destino de salida definido por el grupo del próximo salto denominado remote-analyzer-nhg.

Configure el remote-analyzer-nhb grupo del próximo salto:

content_copy zoom_out_map
[edit forwarding-options]
user@switch# set next-hop-group remote-analyzer-nhg interface ge-0/0/10.0
user@switch# set next-hop-group remote-analyzer-nhg interface ge-0/0/11.0
user@switch# set next-hop-group remote-analyzer-nhg group-type layer-2

En el conmutador Destino 1:

Configure el ID de VLAN para la remote-analyzer VLAN:
```
[edit vlans]
user@switch# set remote-analyzer vlan-id 999
```
Configure la interfaz ge-0/0/10 en el conmutador de destino 1 para el modo de acceso:
```
[edit interfaces]
user@switch# set ge-0/0/10 unit 0 family ethernet-switching interface-mode access
```
Configure la interfaz conectada a la estación de monitoreo remoto para el modo de acceso:
```
[edit interfaces]
user@switch# set ge-0/0/12 unit 0 family ethernet-switching interface-mode access
```

Configure el employee-monitor analizador:

content_copy zoom_out_map
[edit forwarding-options]
user@switch# set analyzer employee-monitor input ingress vlan remote-analyzer
user@switch# set analyzer employee-monitor loss-priority high output interface ge-0/0/12.0

En el conmutador Destino 2:

Configure el ID de VLAN para la remote-analyzer VLAN:
```
[edit vlans]
user@switch# set remote-analyzer vlan-id 999
```
Configure la interfaz ge-0/0/11 en el conmutador de destino 2 para el modo de acceso:
```
[edit interfaces]
user@switch# set ge-0/0/11 unit 0 family ethernet-switching interface-mode access
```
Configure la interfaz conectada a la estación de monitoreo remoto para el modo de acceso:
```
[edit interfaces]
user@switch# set ge-0/0/13 unit 0 family ethernet-switching interface-mode access
```

Configure el employee-monitor analizador:

content_copy zoom_out_map
[edit forwarding-options]
user@switch# set analyzer employee-monitor input ingress vlan remote-analyzer
user@switch# set analyzer employee-monitor loss-priority high output interface ge-0/0/13.0

Resultados

Compruebe los resultados de la configuración en el conmutador de origen:

content_copy zoom_out_map
[edit] 
user@switch# show 
forwarding-options {
    analyzer employee-monitor {
        input {
            ingress {
                interface ge-0/0/0.0;
                interface ge-0/0/1.0;
            }
            egress {
                interface ge-0/0/0.0;
                interface ge-0/0/1.0;
            }
        }
        output {
            next-hop-group {
                remote-analyzer-nhg;
            }
        }
    }
}
vlans {
    remote-analyzer {
        vlan-id 999;
        interface {
            ge-0/0/10.0 
            ge-0/0/11.0 
        }
    }
}
interfaces {
    ge-0/0/10 {
        unit 0 {
            family ethernet-switching {
                interface-mode access;
            }
        }
    }
    ge-0/0/11 {
        unit 0 {
            family ethernet-switching {
                interface-mode access;
            }
        }
    }
}

Compruebe los resultados de la configuración en el conmutador Destino 1:

content_copy zoom_out_map
[edit] 
user@switch# show 
vlans {
    remote-analyzer {
        vlan-id 999;
    }
}
interfaces {
    ge-0/0/10 {
        unit 0 {
            ethernet-switching {
                interface-mode acess;
            }
        }
    }
    ge-0/0/12 {
        unit 0 {
            family ethernet-switching {
            interface-mode access;
            }
        }
    }
}
forwarding-options {
    analyzer employee-monitor {
        input {
            ingress {
            vlan remote-analyzer;
            }
        }
        loss-priority high;
        output {
            interface {
                ge-0/0/12.0;
            }
        }
    }
}

Compruebe los resultados de la configuración en el conmutador Destino 2:

content_copy zoom_out_map
[edit] 
user@switch# show 
vlans {
    remote-analyzer {
        vlan-id 999;
        interface {
            ge-0/0/11.0 
        }
    }
}
interfaces {
    ge-0/0/11 {
        unit 0 {
        family ethernet-switching {
            interface-mode access;
        }
        }
    }
    ge-0/0/13 {
        unit 0 {
            family ethernet-switching {
                interface-mode access;
            }
        }
    }
}
forwarding-options {
    employee-monitor {
        input {
            ingress {
                vlan remote-analyzer;
            }
        }
        loss-priority high;
        output {
            interface {
                ge-0/0/13.0;
            }
        }
    }
}

Verificación

Para confirmar que la configuración funcione correctamente, realice las siguientes tareas:

Comprobación de que el analizador se ha creado correctamente

Propósito
Acción
Significado

Propósito

Verifique que el analizador denominado employee-monitor se haya creado en el conmutador con las interfaces de entrada y la interfaz de salida adecuadas.

Acción

Puede comprobar que el analizador está configurado como se esperaba mediante el show forwarding-options analyzer comando.

Para comprobar que el analizador está configurado como se esperaba mientras supervisa todo el tráfico de empleados en el conmutador de origen, ejecute el show forwarding-options analyzer comando en el conmutador de origen. Se muestra el siguiente resultado para esta configuración de ejemplo en el conmutador de origen:

content_copy zoom_out_map
user@switch> show forwarding-options analyzer
  Analyzer name                    : employee-monitor
  Mirror rate                      	: 1
  Maximum packet length            : 0
  State                            	: up
  Ingress monitored interfaces     : ge-0/0/0.0
  Ingress monitored interfaces     : ge-0/0/1.0
  Egress monitored interfaces     : ge-0/0/0.0
  Egress monitored interfaces     : ge-0/0/1.0
  Output nhg                       : remote-analyzer-nhg
user@switch> show forwarding-options next-hop-group
Next-hop-group: remote-analyzer-nhg
  Type:  layer-2
  State: up
  Members Interfaces:
    ge-0/0/10.0
    ge-0/0/11.0

Significado

Este resultado muestra que el employee-monitor analizador tiene una relación de 1 (duplicación de cada paquete, que es el comportamiento predeterminado), el estado de la configuración es up, que indica el estado correcto y que el analizador está programado, refleja el tráfico que entra o sale de las interfaces ge-0/0/0 y ge-0/0/1, y envía el tráfico reflejado a varias interfaces ge-0/0/10.0 y ge-0/0/11.0 a través del grupo remote-analyzer-nhgdel siguiente salto. Si el estado de la interfaz de salida es down o si la interfaz de salida no está configurada, el valor de estado estará inactivo y el analizador no podrá reflejar el tráfico.

Ejemplo: Configuración de la duplicación para la supervisión remota del uso de recursos de los empleados mediante un conmutador de tránsito en conmutadores EX9200

Paquetes que entran o salen de un puerto
Paquetes que entran o salen de una VLAN

Puede analizar el tráfico reflejado mediante una aplicación de analizador de protocolos que se ejecute en una estación de supervisión remota si envía tráfico reflejado a una VLAN de analizador.

En este tema se incluye un ejemplo en el que se describe cómo reflejar el tráfico que entra en los puertos del conmutador a la VLAN del analizador remoto a través de un conmutador de tránsito, de modo que pueda realizar análisis desde una estación de supervisión remota.

Mejores prácticas:

Refleje solo los paquetes necesarios para reducir el impacto potencial en el rendimiento. Le recomendamos que:

Deshabilite las sesiones de creación de reflejo configuradas cuando no las esté utilizando.
Especifique interfaces individuales como entrada para los analizadores en lugar de especificar todas las interfaces como entrada.
Limite la cantidad de tráfico reflejado de la siguiente manera:
- Uso de muestreo estadístico.
- Establecer ratios para seleccionar muestras estadísticas.
- Uso de filtros de firewall.

En este ejemplo se describe cómo configurar la creación remota de reflejo mediante un conmutador de tránsito:

Requisitos
Descripción general y topología
Duplicación de todo el tráfico de empleados para análisis remoto a través de un conmutador de tránsito
Verificación

Requisitos

En este ejemplo, se utilizan los siguientes componentes de hardware y software:

Un conmutador EX9200 conectado a otro conmutador EX9200 a través de un tercer conmutador EX9200
Junos OS versión 13.2 o posterior para conmutadores serie EX

Antes de configurar la creación remota de reflejos, asegúrese de que:

Las interfaces que el analizador utilizará como interfaces de entrada se han configurado en el conmutador.

Descripción general y topología

En este ejemplo se describe cómo reflejar el tráfico que entra en los puertos del conmutador a la VLAN a través de un conmutador de tránsito para que pueda realizar análisis en todo el remote-analyzer tráfico de los equipos de los empleados.

Figura 4 muestra la topología de red de este ejemplo.

Topología

Figura 4: Monitoreo de red para duplicación remota a través de un conmutador de tránsito

En este ejemplo:

La interfaz ge-0/0/0 es una interfaz de capa 2 y la interfaz ge-0/0/1 es una interfaz de capa 3 (ambas interfaces en el conmutador de origen) que sirven como conexiones para las computadoras de los empleados.
La interfaz ge-0/0/10 es una interfaz de capa 2 que se conecta al conmutador de tránsito.
La interfaz ge-0/0/11 es una interfaz de capa 2 en el conmutador de tránsito.
La interfaz ge-0/0/12 es una interfaz de capa 2 en el conmutador de tránsito y se conecta al conmutador de destino.
La interfaz ge-0/0/13 es una interfaz de capa 2 en el conmutador de destino.
La interfaz ge-0/0/14 es una interfaz de capa 2 en el conmutador de destino y se conecta a la estación de monitoreo remoto.
La VLAN remote-analyzer está configurada en todos los conmutadores de la topología para transportar el tráfico reflejado.

Duplicación de todo el tráfico de empleados para análisis remoto a través de un conmutador de tránsito

Para configurar la creación de reflejo para el análisis de tráfico remoto a través de un conmutador de tránsito, para todo el tráfico de empleados entrante y saliente, realice estas tareas:

Procedimiento

Configuración rápida de CLI
Procedimiento paso a paso
Resultados

Configuración rápida de CLI

Para configurar rápidamente la creación de reflejo para el análisis de tráfico remoto a través de un conmutador de tránsito, para el tráfico de empleados entrante y saliente, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:

Copie y pegue los siguientes comandos en la ventana del terminal del conmutador de origen (conmutador supervisado):

content_copy zoom_out_map
[edit]
set vlans remote-analyzer vlan-id 999
set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode access
set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999
set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/0.0 
set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/1.0
set forwarding-options analyzer employee-monitor input egress interface ge-0/0/0.0
set forwarding-options analyzer employee-monitor input egress interface ge-0/0/1.0
set forwarding-options analyzer employee-monitor output vlan remote-analyzer

Copie y pegue los siguientes comandos en la ventana del conmutador de tránsito:

content_copy zoom_out_map
[edit]
set vlans remote-analyzer vlan-id 999
set interfaces ge-0/0/11 unit 0 family ethernet-switching interface-mode access
set vlans remote-analyzer interface ge-0/0/11 
set interfaces ge-0/0/12 unit 0 family ethernet-switching interface-mode access
set vlans remote-analyzer interface ge-0/0/12 

Copie y pegue los siguientes comandos en la ventana del conmutador de destino:

content_copy zoom_out_map
[edit]
set vlans remote-analyzer vlan-id 999
set interfaces ge-0/0/13 unit 0 family ethernet-switching interface-mode access
set vlans remote-analyzer interface ge-0/0/13 ingress
set interfaces ge-0/0/14 unit 0 family ethernet-switching interface-mode access
set forwarding-options analyzer employee-monitor input ingress vlan remote-analyzer
set forwarding-options analyzer employee-monitor output interface ge-0/0/14.0

Procedimiento paso a paso

Para configurar la creación remota de reflejo mediante un conmutador de tránsito:

En el conmutador de origen:

Configure el ID de VLAN para la remote-analyzer VLAN:
```
[edit vlans]
user@switch# set remote-analyzer vlan-id 999
```

Configure las interfaces en el puerto de red conectado al conmutador de tránsito para el modo de acceso y asócielo a la remote-analyzer VLAN:

content_copy zoom_out_map
[edit interfaces]
user@switch# set ge-0/0/10 unit 0 family ethernet-switching interface-mode access
user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999

Configure el employee-monitor analizador:

content_copy zoom_out_map
[edit forwarding-options]
user@switch# set analyzer employee-monitor input ingress interface ge-0/0/0.0
user@switch# set analyzer employee-monitor input ingress interface ge-0/0/1.0
user@switch# set analyzer employee-monitor input egress interface ge-0/0/0.0
user@switch# set analyzer employee-monitor input egress interface ge-0/0/1.0
user@switch# set analyzer employee-monitor output vlan remote-analyzer

En el conmutador de tránsito:
- Configure el ID de VLAN para la remote-analyzer VLAN:
```
[edit vlans]
user@switch# set remote-analyzer vlan-id 999
```
- Configure la interfaz ge-0/0/11 para el modo de acceso, asóciela a la remote-analyzer VLAN:
```
[edit interfaces]
user@switch# set ge-0/0/11 unit 0 family ethernet-switching interface-mode access
```
- Configure la interfaz ge-0/0/12 para el modo de acceso, asóciela a la remote-analyzer VLAN y establezca la interfaz solo para el tráfico de salida:
```
[edit interfaces]
user@switch# set ge-0/0/12 unit 0 family ethernet-switching interface-mode access
user@switch# set vlans remote-analyzer interface ge-0/0/12 
```

En el conmutador de destino:

Configure el ID de VLAN para la remote-analyzer VLAN:
```
[edit vlans]
user@switch# set remote-analyzer vlan-id 999
```
Configure la interfaz ge-0/0/13 para el modo de acceso, asóciela a la remote-analyzer VLAN y establezca la interfaz solo para el tráfico de entrada:
```
[edit interfaces]
user@switch# set ge-0/0/13 unit 0 family ethernet-switching interface-mode access
user@switch# set vlans remote-analyzer interface ge-0/0/13 ingress
```
Configure la interfaz conectada a la estación de monitoreo remoto para el modo de acceso:
```
[edit interfaces]
user@switch# set ge-0/0/14 unit 0 family ethernet-switching interface-mode access
```

Configure el remote-analyzer analizador:

content_copy zoom_out_map
[edit forwarding-options]
user@switch# set analyzer employee-monitor input ingress vlan remote-analyzer
user@switch# set analyzer employee-monitor output interface ge-0/0/14.0

Resultados

Compruebe los resultados de la configuración en el conmutador de origen:

content_copy zoom_out_map
[edit] 
user@switch> show 
 forwarding-options {
    analyzer employee-monitor {
        input {
            ingress {
                interface ge-0/0/0.0;
                interface ge-0/0/1.0;
            }
            egress {
                interface ge-0/0/0.0;
                interface ge-0/0/1.0;
            }
        }
        output {
            vlan {
                remote-analyzer;
            }
        }
    }
}
vlans {
    remote-analyzer {
        vlan-id 999;
    }
}
interfaces {
    ge-0/0/10 {
        unit 0 {
            family ethernet-switching {
                interface-mode access;
                vlan {
                    member 999;
                }
            }
        }
    }
}

Compruebe los resultados de la configuración en el conmutador de tránsito:

content_copy zoom_out_map
[edit] 
user@switch> show 
vlans {
    remote-analyzer {
        vlan-id 999;
        interface {
            ge-0/0/11.0 {
            }
            ge-0/0/12.0 {
            }
        }
    }
}
interfaces {
    ge-0/0/11 {
        unit 0 {
            family ethernet-switching {
                interface-mode access;
            }
        }
    }
    ge-0/0/12 {
        unit 0 {
            family ethernet-switching {
                interface-mode access;
            }
        }
    }
}

Compruebe los resultados de la configuración en el conmutador de destino:

content_copy zoom_out_map
[edit] 
user@switch> show 
vlans {
    remote-analyzer {
        vlan-id 999;
        interface {
            ge-0/0/13.0 {
                ingress;
            }
        }
    }
}
interfaces {
    ge-0/0/13 {
        unit 0 {
            family ethernet-switching {
                interface-mode access;
            }
        }
    }
    ge-0/0/14 {
        unit 0 {
            family ethernet-switching {
                interface-mode access;
            }
        }
    }
}
forwarding-options {
    analyzer employee-monitor {
        input {
            ingress {
                vlan remote-analyzer;
            }
        }
        output {
            interface {
                ge-0/0/14.0;
            }
        }
    }
}

Verificación

Para confirmar que la configuración funcione correctamente, realice las siguientes tareas:

Comprobación de que el analizador se ha creado correctamente

Propósito
Acción
Significado

Propósito

Verifique que el analizador denominado employee-monitor se haya creado en el conmutador con las interfaces de entrada y la interfaz de salida adecuadas.

Acción

Puede comprobar que el analizador está configurado como se esperaba mediante el show forwarding-options analyzer comando.

content_copy zoom_out_map
user@switch> show forwarding-options analyzer
Analyzer name                    : employee-monitor
  Mirror rate                      : 1
  Maximum packet length            : 0
  State                            : up
  Ingress monitored interfaces     : ge-0/0/0.0
  Ingress monitored interfaces     : ge-0/0/1.0
  Egress monitored interfaces      : ge-0/0/0.0
  Egress monitored interfaces      : ge-0/0/1.0
  Output vlan                      : default-switch/remote-analyzer

Significado

Este resultado muestra que el employee-monitor analizador tiene una relación de duplicación de 1 (reflejo de cada paquete, el valor predeterminado), el estado de la configuración es up, que indica el estado correcto y que el analizador está programado, está reflejando el tráfico que entra en ge-0/0/0 y ge-0/0/1, y está enviando el tráfico reflejado al analizador llamado remote-analyzer. Si el estado de la interfaz de salida es down o si la interfaz de salida no está configurada, el valor de estado estará inactivo y el analizador no podrá reflejar el tráfico.

Ejemplo: Configuración de la duplicación para el monitoreo local del uso de recursos de los empleados en conmutadores EX4300

Nota:

En este ejemplo se utiliza Junos OS para conmutadores serie EX compatibles con el estilo de configuración Enhanced Layer 2 Software (ELS). Si el conmutador ejecuta software que no admite ELS, consulte el ejemplo: Configuración de la duplicación de puertos para la supervisión local del uso de recursos de los empleados en los conmutadores de la serie EX. Para obtener detalles de ELS, consulte Introducción al software de capa 2 mejorado.

Paquetes que entran o salen de un puerto
Paquetes que ingresan a una VLAN

Puede analizar el tráfico reflejado mediante un analizador de protocolos instalado en un sistema conectado a la interfaz de destino local o una estación de supervisión remota si envía tráfico reflejado a una VLAN de analizador.

En este ejemplo se describe cómo configurar la creación de reflejo local en un conmutador EX4300. En este ejemplo se describe cómo configurar el conmutador para reflejar el tráfico que entra en las interfaces conectadas a los equipos de los empleados a una interfaz de salida del analizador en el mismo conmutador.

Requisitos
Descripción general y topología
Duplicación de todo el tráfico de empleados para análisis local
Duplicación del tráfico de empleados a la web para análisis local
Verificación

Requisitos

En este ejemplo, se utilizan los siguientes componentes de hardware y software:

Un conmutador EX4300
Junos OS versión 13.2X50-D10 o posterior para conmutadores serie EX

Descripción general y topología

En este tema se incluyen dos ejemplos en los que se describe cómo reflejar el tráfico que entra en los puertos del conmutador a una interfaz de destino en el mismo conmutador (creación de reflejo local). El primer ejemplo muestra cómo reflejar todo el tráfico que entra en los puertos conectados a las computadoras de los empleados. El segundo ejemplo muestra el mismo escenario, pero incluye un filtro para reflejar sólo el tráfico de empleados que va a la Web.

Las interfaces ge-0/0/0 y ge-0/0/1 sirven como conexiones para los equipos de los empleados. La interfaz ge0/0/10 está reservada para el análisis del tráfico reflejado. Conecte un equipo que ejecute una aplicación de analizador de protocolos a la interfaz de salida del analizador para analizar el tráfico reflejado.

Nota:

Varios puertos reflejados en una interfaz pueden provocar el desbordamiento del búfer y la pérdida de paquetes.

En ambos ejemplos se utiliza la topología de red que se muestra en Figura 5.

Figura 5: Ejemplo de topología de red para creación de reflejo local

Duplicación de todo el tráfico de empleados para análisis local

Para configurar la creación de reflejo para todo el tráfico de empleados para el análisis local, realice estas tareas:

Procedimiento

Configuración rápida de CLI
Procedimiento paso a paso
Resultados

Configuración rápida de CLI

Para configurar rápidamente la creación de reflejo local para el tráfico de entrada a los dos puertos conectados a los equipos de los empleados, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:

content_copy zoom_out_map
[edit]
set interfaces ge-0/0/0 unit 0 family ethernet-switching
set interfaces ge-0/0/1 unit 0 family inet address 192.0.2.1/24
set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members analyzer_vlan
set vlans analyzer-vlan vlan-id 1000
set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/0.0
set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/1.0
set forwarding-options analyzer employee-monitor output interface ge-0/0/10.0

Procedimiento paso a paso

Para configurar un analizador llamado employee-monitor y especificar las interfaces de entrada (origen) y la interfaz de salida del analizador:

Configure cada interfaz conectada a los equipos de los empleados como una interfaz de entrada para el analizador employee-monitor:

content_copy zoom_out_map
[edit forwarding-options]
user@switch# set analyzer employee-monitor input ingress interface ge–0/0/0.0
user@switch# set analyzer employee-monitor input ingress interface ge-0/0/1.0

Configure la interfaz de salida del analizador como parte de una VLAN:

content_copy zoom_out_map
[edit interfaces]
user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members analyzer_vlan

content_copy zoom_out_map
[edit vlans]
user@switch# set analyzer-vlan vlan-id 1000

Configure la interfaz del analizador de salida para el analizador employee-monitor. Esta será la interfaz de destino para los paquetes reflejados:
```
[edit forwarding-options]
user@switch# set analyzer employee-monitor output interface ge-0/0/10.0
```

Resultados

Compruebe los resultados de la configuración:

content_copy zoom_out_map
[edit] 
user@switch# show 
forwarding-options {
    analyzer employee-monitor {
        input {
            ingress {
                interface ge-0/0/0.0;
            interface ge-0/0/1.0;}
        }
        output {
            interface {
                ge-0/0/10.0;
            }
        }
    }
}

Duplicación del tráfico de empleados a la web para análisis local

Para configurar la creación de reflejo para el tráfico de empleados a web, realice estas tareas:

Procedimiento

Configuración rápida de CLI
Procedimiento paso a paso
Resultados

Configuración rápida de CLI

Para configurar rápidamente la creación de reflejo local del tráfico de los dos puertos conectados a los equipos de los empleados, filtrando de modo que sólo se refleje el tráfico a la Web externa, copie los siguientes comandos y péguelos en la ventana de terminal del conmutador:

content_copy zoom_out_map
[edit]
set forwarding-options port-mirroring instance employee-web-monitor output interface ge-0/0/10.0
 set firewall family ethernet-switching filter watch-employee term employee-to-corp from destination-address 192.0.2.16/24
 set firewall family ethernet-switching filter watch-employee term employee-to-corp from source-address 192.0.2.16/24
 set firewall family ethernet-switching filter watch-employee term employee-to-corp then accept
set firewall family ethernet-switching filter watch-employee term employee-to-web from destination-port 80
set firewall family ethernet-switching filter watch-employee term employee-to-web then port-mirroring-instance employee-web-monitor
set interfaces ge-0/0/0 unit 0 family ethernet-switching filter input watch-employee
 set interfaces ge-0/0/1  unit 0 family ethernet-switching filter input watch-employee

Procedimiento paso a paso

Para configurar la creación de reflejo local del tráfico de empleados a Web desde los dos puertos conectados a los equipos de los empleados:

Configure la interfaz del analizador local:

content_copy zoom_out_map
[edit interfaces]
user@switch# set ge-0/0/10 unit 0 family ethernet-switching

Configure la employee-web-monitor instancia de salida (la entrada a la instancia proviene de la acción del filtro):
```
[edit forwarding-options port-mirroring]
user@switch# set instance employee-web-monitor output interface ge-0/0/10.0
```

Configure un filtro de firewall llamado watch-employee para enviar copias reflejadas de las solicitudes de los empleados a la Web a la employee-web-monitor instancia. Acepte todo el tráfico hacia y desde la subred corporativa (dirección de destino o origen de 192.0.2.16/24). Envíe copias duplicadas de todos los paquetes destinados a Internet (puerto de destino 80) a la employee-web-monitor instancia.

content_copy zoom_out_map
[edit firewall family ethernet-switching]
user@switch# set filter watch-employee term employee-to-corp from destination-address 192.0.2.16/24
user@switch# set filter watch-employee term employee-to-corp from source-address 192.0.2.16/24
user@switch# set filter watch-employee term employee-to-corp then accept
ser@switch# set filter watch-employee term employee-to-web from destination-port 80
user@switch# set filter watch-employee term employee-to-web then port-mirroring-instance employee-web-monitor

Aplique el watch-employee filtro a los puertos adecuados:

content_copy zoom_out_map
[edit interfaces]
user@switch# set ge-0/0/0 unit 0 family ethernet-switching filter input watch-employee
user@switch# set ge-0/0/1 unit 0 family ethernet-switching filter input watch-employee

Resultados

Compruebe los resultados de la configuración:

content_copy zoom_out_map
[edit] 
user@switch# show
 forwarding-options {
    port-mirroring {
        instance 	{
            employee-web-monitor {
                family ethernet-switching {
                    output { 
                        interface ge-0/0/10.0;
                        } 
                    }
                }
            }
    }
} 
...
firewall family ethernet-switching {
    filter watch-employee {
        term employee-to-corp {
            from {
                destination-address 192.0.2.16/24;
                source-address 192.0.2.16/24;
            }
            then accept {
        }
        term employee-to-web {
            from {
                destination-port 80;
            }
            then port-mirroring-instance employee-web-monitor;
        }
    }
}
...
interfaces {
    ge-0/0/0 {
        unit 0 {
            family ethernet-switching {
                interface-mode trunk;
                vlan members [employee-vlan, voice-vlan];
                filter {
                    input watch-employee;
                }
            }
        }
    }
    ge-0/0/1 {
        family ethernet-switching {
            filter {
                input watch-employee;
            }
        }
    }
}

Verificación

Para confirmar que la configuración es correcta, realice estas tareas:

Comprobación de que el analizador se ha creado correctamente
Comprobación de que la instancia de creación de reflejo de puertos está configurada correctamente

Comprobación de que el analizador se ha creado correctamente

Propósito
Acción
Significado

Propósito

Verifique que el analizador employee-monitor o employee-web-monitor se haya creado en el conmutador con las interfaces de entrada adecuadas y la interfaz de salida adecuada.

Acción

Puede utilizar el show forwarding-options analyzer comando para comprobar que el analizador está configurado correctamente.

content_copy zoom_out_map
user@switch> show forwarding-options analyzer
  Analyzer name                    	: employee-monitor
  Mirror rate                     	: 1
  Maximum packet length             : 0
  State                           	 : up
  Ingress monitored interfaces     : ge-0/0/0.0
  Ingress monitored interfaces     : ge-0/0/1.0
  Output interface                	 : ge-0/0/10.0

 

Significado

Este resultado muestra que el analizador employee-monitor tiene una relación de 1 (duplicación de cada paquete, la configuración predeterminada), el tamaño máximo del paquete original que se reflejó (0 indica todo el paquete), el estado de la configuración (está activo indica que el analizador está reflejando el tráfico que entra en las interfaces ge-0/0/0 y ge-0/0/1, y envía el tráfico reflejado a la interfaz ge-0/0/10). Si el estado de la interfaz de salida está inactivo o si la interfaz de salida no está configurada, el valor de estado será down y el analizador no se programará para la duplicación.

Comprobación de que la instancia de creación de reflejo de puertos está configurada correctamente

Propósito
Acción
Significado

Propósito

Verifique que la instancia employee-web-monitor de duplicación de puertos se haya configurado correctamente en el conmutador con las interfaces de entrada adecuadas.

Acción

Puede comprobar que la instancia de creación de reflejo de puerto está configurada correctamente mediante el show forwarding-options port-mirroring comando.

content_copy zoom_out_map
user@switch> show forwarding-options port-mirroring
Instance Name: employee-web-monitor
  Instance Id: 3
  Input parameters:
    Rate                  : 1
    Run-length            : 0
    Maximum-packet-length : 0
  Output parameters:
    Family              State     Destination          Next-hop
    ethernet-switching  up        ge-0/0/10.0

Significado

Este resultado muestra que la employee-web-monitor instancia tiene una proporción de 1 (duplicación de cada paquete, el valor predeterminado), el tamaño máximo del paquete original que se reflejó (0 indica un paquete completo), el estado de la configuración está activo y la duplicación de puertos está programada, y que el tráfico reflejado desde la acción de filtro de firewall se envía en la interfaz ge-0/0/10.0. Si el estado de la interfaz de salida está inactivo o si la interfaz no está configurada, el valor de estado estará inactivo y la duplicación de puertos no se programará para la duplicación.

Ejemplo: Configuración de la duplicación para la supervisión remota del uso de recursos de los empleados en conmutadores EX4300

Nota:

En este ejemplo se utiliza Junos OS para conmutadores serie EX compatibles con el estilo de configuración Enhanced Layer 2 Software (ELS). Si el conmutador ejecuta software que no admite ELS, consulte el ejemplo: Configuración de la creación de reflejo para el monitoreo remoto del uso de recursos de los empleados en conmutadores EX4300. Para obtener más información sobre ELS, consulte: Introducción al software de capa 2 mejorado.

Paquetes que entran o salen de un puerto
Paquetes que ingresan a una VLAN en conmutadores EX4300

Puede analizar el tráfico reflejado mediante una aplicación de analizador de protocolos que se ejecute en una estación de supervisión remota si envía tráfico reflejado a una VLAN de analizador.

En este tema se incluyen dos ejemplos relacionados en los que se describe cómo reflejar el tráfico que entra en los puertos del conmutador a la remote-analyzer VLAN para que pueda realizar análisis desde una estación de supervisión remota. El primer ejemplo muestra cómo reflejar todo el tráfico que entra en los puertos conectados a las computadoras de los empleados. El segundo ejemplo muestra el mismo escenario, pero incluye un filtro para reflejar sólo el tráfico de empleados que va a la Web.

Mejores prácticas:

Refleje solo los paquetes necesarios para reducir el impacto potencial en el rendimiento. Le recomendamos que:

Deshabilite las sesiones de creación de reflejo configuradas cuando no las esté utilizando.
Especifique interfaces individuales como entrada para los analizadores en lugar de especificar todas las interfaces como entrada.
Limite la cantidad de tráfico reflejado mediante filtros de firewall.

En este ejemplo se describe cómo configurar la creación de reflejo remota:

Requisitos
Descripción general y topología
Duplicación de todo el tráfico de empleados para análisis remoto
Duplicación del tráfico de empleados a la web para análisis remoto
Verificación

Requisitos

En este ejemplo, se utilizan los siguientes componentes de hardware y software:

Junos OS versión 13.2X50-D10 o posterior para conmutadores serie EX
Un conmutador EX4300 conectado a otro conmutador EX4300

El diagrama muestra un chasis virtual EX4300 conectado a un conmutador de destino EX4300.

Antes de configurar la creación remota de reflejos, asegúrese de que:

Tienes una comprensión de los conceptos de reflejo.
Las interfaces que el analizador utilizará como interfaces de entrada se han configurado en el conmutador.

Descripción general y topología

En este tema se incluyen dos ejemplos relacionados en los que se describe cómo configurar la creación de reflejo en la VLAN para que el remote-analyzer análisis se pueda realizar desde una estación de supervisión remota. En el primer ejemplo se muestra cómo configurar un conmutador para reflejar todo el tráfico de los equipos de los empleados. El segundo ejemplo muestra el mismo escenario, pero la configuración incluye un filtro para reflejar sólo el tráfico de empleados que va a la Web.

Figura 6 muestra la topología de red para estos dos escenarios de ejemplo.

Topología

Figura 6: Ejemplo de topología de red de espejado remoto

En este ejemplo:

La interfaz ge-0/0/0 es una interfaz de capa 2 y la interfaz ge-0/0/1 es una interfaz de capa 3 (ambas interfaces en el conmutador de origen) que sirven como conexiones para las computadoras de los empleados.
La interfaz ge-0/0/10 es una interfaz de capa 2 que conecta el conmutador de origen al conmutador de destino.
La interfaz ge-0/0/5 es una interfaz de capa 2 que conecta el conmutador de destino a la estación de monitoreo remoto.
La VLAN remote-analyzer está configurada en todos los conmutadores de la topología para transportar el tráfico reflejado.

Duplicación de todo el tráfico de empleados para análisis remoto

Para configurar un analizador para el análisis de tráfico remoto para todo el tráfico de empleados entrantes y salientes, realice estas tareas:

Procedimiento

Configuración rápida de CLI
Procedimiento paso a paso
Resultados

Configuración rápida de CLI

Para configurar rápidamente un analizador para el análisis de tráfico remoto para el tráfico entrante y saliente de empleados, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:

Copie y pegue los siguientes comandos en la ventana terminal del conmutador de origen:

content_copy zoom_out_map
[edit]
 set vlans remote-analyzer vlan-id 999
 set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk
 set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999
 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/0.0
 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/1.0
 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/0.0
 set forwarding-options analyzer employee-monitor input egress interface ge-0/0/1.0
set forwarding-options analyzer employee-monitor output vlan remote-analyzer

Copie y pegue los siguientes comandos en la ventana terminal del conmutador de destino:

content_copy zoom_out_map
[edit]
 set vlans remote-analyzer vlan-id 999
 set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk
 set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999
 set interfaces ge-0/0/5 unit 0 family ethernet-switching interface-mode trunk
set forwarding-options analyzer employee-monitor input ingress vlan remote-analyzer
set forwarding-options analyzer employee-monitor output interface ge-0/0/5.0

Procedimiento paso a paso

Para configurar la creación básica de reflejo de puerto remoto:

En el conmutador de origen:

Configure el ID de VLAN para la remote-analyzer VLAN:
```
[edit vlans]
user@switch# set remote-analyzer vlan-id 999
```

Configure la interfaz en el puerto de red conectado al conmutador de destino para el modo troncal y asócielo a la remote-analyzer VLAN:

content_copy zoom_out_map
[edit interfaces]
user@switch# set ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk
user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999

Configure el employee-monitor analizador:

content_copy zoom_out_map
[edit forwarding-options]
user@switch# set analyzer employee-monitor input ingress interface ge-0/0/0.0
user@switch# set analyzer employee-monitor input ingress interface ge-0/0/1.0
user@switch# set instance employee-monitor input egress interface ge-0/0/0.0
user@switch# set analyzer employee-monitor input egress interface ge-0/0/1.0
user@switch# set analyzer employee-monitor output vlan remote-analyzer

En el conmutador de destino:

Configure el ID de VLAN para la remote-analyzer VLAN:
```
[edit vlans]
user@switch# set remote-analyzer vlan-id 999
```

Configure la interfaz en el conmutador de destino para el modo troncal y asóciela a la remote-analyzer VLAN:

content_copy zoom_out_map
[edit interfaces]
user@switch# set ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk
user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999

Configure la interfaz conectada al conmutador de destino para el modo troncal:
```
[edit interfaces]
user@switch# set ge-0/0/5 unit 0 family ethernet-switching interface-mode trunk
```

Configure el employee-monitor analizador:

content_copy zoom_out_map
[edit forwarding-options]
user@switch# set analyzer employee-monitor input ingress vlan remote-analyzer
user@switch# set analyzer employee-monitor output interface ge-0/0/5.0

Resultados

Compruebe los resultados de la configuración en el conmutador de origen:

content_copy zoom_out_map
[edit] 
user@switch> show 
 forwarding-options {
    analyzer employee-monitor {
        input {
            ingress {
                interface ge-0/0/0.0;
                interface ge-0/0/1.0;
            }
            egress {
                interface ge-0/0/0.0;
                interface ge-0/0/1.0;
            }
        }
        output {
            vlan {
                remote-analyzer;
            }
        }
    }
}
interfaces {
    ge-0/0/10 {
        unit 0 {
            family ethernet-switching {
                interface-mode trunk;
                vlan {
                    members 999;
                }
            }
        }
    }
}
vlans {
    remote-analyzer {
        vlan-id 999;
        interface {
            ge-0/0/10.0
            }
        }
    }
}

Compruebe los resultados de la configuración en el conmutador de destino:

content_copy zoom_out_map
[edit] 
user@switch> show 
interfaces {
    ge0/0/5 {
        unit 0 {
            family ethernet-switching {
                interface-mode trunk;
            }
        }
    }
    ge-0/0/10 {
        unit 0 {
            family ethernet-switching {
                interface-mode trunk;
                vlan {
                    members 999;
                }
            }
        }
    }
}
vlans {
    remote-analyzer {
        vlan-id 999;
        interface {
            ge-0/0/10.0
            }
        }
    }
}
forwarding-options {
    analyzer employee-monitor {
        input {
            ingress {
                vlan remote-analyzer;
            }
        }
        output {
            interface {
                ge-0/0/5.0;
            }
        }
    }
}

Duplicación del tráfico de empleados a la web para análisis remoto

Para configurar la creación de reflejo de puertos para el análisis del tráfico remoto del tráfico de empleados a web, realice estas tareas:

Procedimiento

Configuración rápida de CLI
Procedimiento paso a paso
Resultados

Configuración rápida de CLI

Para configurar rápidamente la duplicación de puertos para reflejar el tráfico de empleados a la Web externa, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:

Copie y pegue los siguientes comandos en la ventana terminal del conmutador de origen:

content_copy zoom_out_map
[edit]
user@switch# set forwarding-options port-mirroring instance employee-web-monitor output vlan 999
user@switch# set vlans remote-analyzer vlan-id 999
user@switch# set interfaces ge-0/0/10 unit 0 family ethernet-switching port mode trunk
user@switch# set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999
user@switch# set firewall family ethernet-switching filter watch-employee term employee-to-corp from destination-address 192.0.2.16/24
user@switch# set firewall family ethernet-switching filter watch-employee term employee-to-corp from source-address 192.0.2.16/24
user@switch# set firewall family ethernet-switching filter watch-employee term employee-to-corp then accept
user@switch# set firewall family ethernet-switching filter watch-employee term employee-to-web from destination-port 80
user@switch# set firewall family ethernet-switching filter watch-employee term employee-to-web then port-mirror-instance employee-web-monitor
user@switch# set interfaces ge-0/0/0 unit 0 family ethernet-switching filter input watch-employee
user@switch# set interfaces ge-0/0/1 unit 0 family ethernet-switching filter input watch-employee

Copie y pegue los siguientes comandos en la ventana terminal del conmutador de destino:

content_copy zoom_out_map
[edit]
user@switch# set vlans remote-analyzer vlan-id 999
user@switch# set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk
user@switch# set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999
user@switch# set interfaces ge-0/0/5 unit 0 family ethernet-switching interface-mode trunk
user@switch# set forwarding-options analyzer employee-web-monitor input ingress vlan remote-analyzer
user@switch# set forwarding-options analyzer employee-web-monitor output interface ge-0/0/5.0

Procedimiento paso a paso

Para configurar la duplicación de puertos de todo el tráfico de los dos puertos conectados a las computadoras de los empleados a la remote-analyzer VLAN para su uso desde una estación de monitoreo remota:

En el conmutador de origen:

Configure la instancia de creación de reflejo de employee-web-monitor puerto:

content_copy zoom_out_map
[edit ]
user@switch# set interfaces ge-0/0/10 unit 0 family ethernet-switching port mode trunk
user@switch# set forwarding-options port-mirroring instance employee-web-monitor output vlan 999

Configure el ID de VLAN para la remote-analyzer VLAN:
```
[edit vlans]
user@switch# set remote-analyzer vlan-id 999
```

Configure la interfaz para asociarla con la remote-analyzer VLAN:

content_copy zoom_out_map
[edit interfaces]
user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999

Configure el filtro de firewall llamado watch-employee:

content_copy zoom_out_map
[edit firewall family ethernet-switching]
user@switch# set filter watch-employee term employee-to-corp from destination-address 192.0.2.16/24
user@switch# set filter watch-employee term employee-to-corp from source-address 192.0.2.16/24
user@switch# set filter watch-employee term employee-to-corp then accept
user@switch# set filter watch-employee term employee-to-web from destination-port 80
user@switch# set filter watch-employee term employee-to-web then port-mirror-instance employee-web-monitor

Aplique el filtro de firewall a las interfaces de empleados:

content_copy zoom_out_map
[edit interfaces]
user@switch# set ge-0/0/0 unit 0 family ethernet-switching filter input watch-employee
user@switch# set ge-0/0/1 unit 0 family ethernet-switching filter input watch-employee

En el conmutador de destino:

Configure el ID de VLAN para la remote-analyzer VLAN:
```
[edit vlans]
user@switch# set remote-analyzer vlan-id 999
```

Configure la interfaz en el conmutador de destino para el modo troncal y asóciela a la remote-analyzer VLAN:

content_copy zoom_out_map
[edit interfaces]
user@switch# set ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk
user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999

Configure la interfaz conectada al conmutador de destino para el modo troncal:
```
[edit interfaces]
user@switch# set ge-0/0/5 unit 0 family ethernet-switching interface-mode trunk
```

Configure el employee-monitor analizador:

content_copy zoom_out_map
[edit forwarding-options port-mirroring]
user@switch# set instance employee-web-monitor input ingress vlan remote-analyzer
user@switch# set instance employee-web-monitor output interface ge-0/0/5.0

Resultados

Compruebe los resultados de la configuración en el conmutador de origen:

content_copy zoom_out_map
[edit] 
user@switch> show 
interfaces {
    ge-0/0/10 {
        unit 0 {
            family ethernet-switching {
                interface-mode trunk;
                vlan {
                    members remote-analyzer;
                }
            }
        }
    }
    ge-0/0/0 {
        unit 0 {
            family ethernet-switching {
                filter {
                    input watch-employee;
                }
            }
        }
    }
    ge-0/0/1 {
        unit 0 {
            family ethernet-switching {
                filter {
                    input watch-employee;
                }
            }
        }
    }
}
firewall {
     family ethernet-switching {
        filter watch-employee {
            term employee-to-corp {
                from {
                    source-address {
                        192.0.2.16/24;
                    }
                    destination-address {
                        192.0.2.16/24;
                    }
                }
                then accept;
            }
            term employee-to-web {
                from {
                    destination-port 80;
                }
                then port-mirror-instance employee-web-monitor;
            }
        }
    }
}
 forwarding-options {
    analyzer employee-web-monitor {
        output {
            vlan {
                999;
            }
        }
    }
vlans {
    remote-analyzer {
        vlan-id 999;
    }
}

Compruebe los resultados de la configuración en el conmutador de destino:

content_copy zoom_out_map
[edit] 
user@switch> show 
vlans {
    remote-analyzer {
        vlan-id 999;
    }
}
interfaces {
    ge-0/0/10 {
        unit 0 {
            family ethernet-switching {
                interface-mode trunk;
                vlan {
                    members remote-analyzer;
                }
            }
        }
    }
    ge-0/0/5 {
        unit 0 {
            family ethernet-switching {
                interface-mode trunk;
            }
        }
    }
}
 forwarding-options {
    port-mirroring {
        instance employee-web-monitor {
            input {
                ingress {
                    vlan remote-analyzer;
                }
            }
            output {
                interface {
                    ge-0/0/5.0;
                }
            }
        }
    }

Verificación

Para confirmar que la configuración funcione correctamente, realice las siguientes tareas:

Comprobación de que el analizador se ha creado correctamente

Propósito
Acción
Significado

Propósito

Verifique que el analizador denominado employee-monitor o employee-web-monitor creado en el conmutador con las interfaces de entrada y la interfaz de salida adecuadas.

Acción

Puede comprobar que el analizador está configurado como se esperaba mediante el show forwarding-options analyzer comando. Para ver los analizadores creados anteriormente que están deshabilitados, vaya a la interfaz de J-Web.

Para comprobar que el analizador está configurado como se esperaba mientras supervisa todo el tráfico de empleados en el conmutador de origen, ejecute el show analyzer comando en el conmutador de origen. Se muestra el siguiente resultado para este ejemplo de configuración:

content_copy zoom_out_map
user@switch> show forwarding-options analyzer
  Analyzer name                    : employee-monitor
  Mirror rate                     	   : 1
  Maximum packet length        : 0
  State                           	   : up
  Ingress monitored interfaces     : ge-0/0/0.0
  Ingress monitored interfaces     : ge-0/0/1.0
  Egress monitored interfaces     : ge-0/0/0.0
  Egress monitored interfaces     : ge-0/0/1.0
  Output VLAN                        : default-switch/remote-analyzer

Significado

Este resultado muestra que la employee-monitor instancia tiene una relación de 1 (duplicación de cada paquete, el valor predeterminado), el tamaño máximo del paquete original que se reflejó (0 indica todo el paquete), el estado de la configuración está activo (lo que indica el estado correcto y que el analizador está programado, y está reflejando el tráfico que entra en ge-0/0/0 y ge-0/0/1 y está enviando el tráfico reflejado a la VLAN llamada remote-analyzer). Si el estado de la interfaz de salida está inactivo o si la interfaz de salida no está configurada, el valor de estado estará inactivo y el analizador no se programará para la duplicación.

Ejemplo: Configuración de la duplicación para el monitoreo remoto del uso de recursos de los empleados a través de un conmutador de tránsito en conmutadores EX4300

Nota:

En este ejemplo se utiliza Junos OS para conmutadores serie EX compatibles con el estilo de configuración Enhanced Layer 2 Software (ELS).

Paquetes que entran o salen de un puerto
Paquetes que ingresan a una VLAN en conmutadores EX4300

Puede analizar el tráfico reflejado mediante una aplicación de analizador de protocolos que se ejecute en una estación de supervisión remota si envía tráfico reflejado a una VLAN de analizador.

En este tema se incluye un ejemplo en el que se describe cómo reflejar el tráfico que entra en los puertos del conmutador a la remote-analyzer VLAN a través de un conmutador de tránsito, de modo que pueda realizar análisis desde una estación de supervisión remota.

Mejores prácticas:

Refleje solo los paquetes necesarios para reducir el impacto potencial en el rendimiento. Le recomendamos que:

Deshabilite las sesiones de creación de reflejo configuradas cuando no las esté utilizando.
Especifique interfaces individuales como entrada para los analizadores en lugar de especificar todas las interfaces como entrada.
Limite la cantidad de tráfico reflejado mediante filtros de firewall.

En este ejemplo se describe cómo configurar la creación remota de reflejo mediante un conmutador de tránsito:

Requisitos
Descripción general y topología
Duplicación de todo el tráfico de empleados para análisis remoto a través de un conmutador de tránsito
Verificación

Requisitos

En este ejemplo, se utilizan los siguientes componentes de hardware y software:

Un conmutador EX4300 conectado a otro conmutador EX4300 a través de un tercer conmutador EX4300
Junos OS versión 13.2X50-D10 o posterior para conmutadores serie EX

Antes de configurar la creación remota de reflejos, asegúrese de que:

Tienes una comprensión de los conceptos de reflejo.
Las interfaces que el analizador utilizará como interfaces de entrada se han configurado en el conmutador.

Descripción general y topología

En este ejemplo se describe cómo reflejar el tráfico que entra en los puertos del conmutador a la remote-analyzer VLAN a través de un conmutador de tránsito para que pueda realizar análisis desde una estación de supervisión remota. En el ejemplo se muestra cómo configurar un conmutador para reflejar todo el tráfico desde los equipos de los empleados a un analizador remoto.

En esta configuración, se requiere una sesión de analizador en el conmutador de destino para reflejar el tráfico entrante desde la VLAN del analizador a la interfaz de salida a la que está conectada la estación de monitoreo remoto. Debe deshabilitar el aprendizaje de MAC en el conmutador de tránsito para la VLAN, de modo que el remote-analyzer aprendizaje de MAC esté deshabilitado para todas las interfaces miembro de la remote-analyzer VLAN en el conmutador de tránsito.

Figura 7 muestra la topología de red de este ejemplo.

Topología

Figura 7: Espejado remoto mediante una red de conmutador de tránsito: topología de ejemplo

En este ejemplo:

La interfaz ge-0/0/0 es una interfaz de capa 2 y la interfaz ge-0/0/1 es una interfaz de capa 3 (ambas interfaces en el conmutador de origen) que sirven como conexiones para las computadoras de los empleados.
La interfaz ge-0/0/10 es una interfaz de capa 2 que se conecta al conmutador de tránsito.
La interfaz ge-0/0/11 es una interfaz de capa 2 en el conmutador de tránsito.
La interfaz ge-0/0/12 es una interfaz de capa 2 en el conmutador de tránsito y se conecta al conmutador de destino.
La interfaz ge-0/0/13 es una interfaz de capa 2 en el conmutador de destino.
La interfaz ge-0/0/14 es una interfaz de capa 2 en el conmutador de destino y se conecta a la estación de monitoreo remoto.
La VLAN remote-analyzer está configurada en todos los conmutadores de la topología para transportar el tráfico reflejado.

Duplicación de todo el tráfico de empleados para análisis remoto a través de un conmutador de tránsito

Para configurar la creación de reflejo para el análisis de tráfico remoto a través de un conmutador de tránsito, para todo el tráfico de empleados entrante y saliente, realice estas tareas:

Procedimiento

Configuración rápida de CLI
Procedimiento paso a paso
Resultados

Configuración rápida de CLI

Copie y pegue los siguientes comandos en la ventana del terminal del conmutador de origen (conmutador supervisado):

content_copy zoom_out_map
[edit]
set vlans remote-analyzer vlan-id 999
set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk
set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999
set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/0.0 
set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/1.0
set forwarding-options analyzer employee-monitor input egress interface ge-0/0/0.0
set forwarding-options analyzer employee-monitor input egress interface ge-0/0/1.0
set forwarding-options analyzer employee-monitor output vlan remote-analyzer

Copie y pegue los siguientes comandos en la ventana del conmutador de tránsito:

content_copy zoom_out_map
[edit]
set vlans remote-analyzer vlan-id 999
set interfaces ge-0/0/11 unit 0 family ethernet-switching interface-mode trunk
set vlans remote-analyzer interface ge-0/0/11 
set interfaces ge-0/0/12 unit 0 family ethernet-switching interface-mode trunk
set vlans remote-analyzer interface ge-0/0/12 
set vlans remote-analyzer no-mac-learning

Copie y pegue los siguientes comandos en la ventana del conmutador de destino:

content_copy zoom_out_map
[edit]
set vlans remote-analyzer vlan-id 999
set interfaces ge-0/0/13 unit 0 family ethernet-switching interface-mode trunk
set vlans remote-analyzer interface ge-0/0/13 ingress
set interfaces ge-0/0/14 unit 0 family ethernet-switching interface-mode trunk
set forwarding-options analyzer employee-monitor input ingress vlan remote-analyzer
set forwarding-options analyzer employee-monitor output interface ge-0/0/14.0

Procedimiento paso a paso

Para configurar la creación remota de reflejo mediante un conmutador de tránsito:

En el conmutador de origen:

Configure el ID de VLAN para la remote-analyzer VLAN:
```
[edit vlans]
user@switch# set remote-analyzer vlan-id 999
```

Configure las interfaces en el puerto de red conectado al conmutador de tránsito para el modo troncal y asócielo a la remote-analyzer VLAN:

content_copy zoom_out_map
[edit interfaces]
user@switch# set ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk
user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999

Configure el employee-monitor analizador:

content_copy zoom_out_map
[edit forwarding-options]
user@switch# set analyzer employee-monitor input ingress interface ge-0/0/0.0
user@switch# set analyzer employee-monitor input ingress interface ge-0/0/1.0
user@switch# set analyzer employee-monitor input egress interface ge-0/0/0.0
user@switch# set analyzer employee-monitor input egress interface ge-0/0/1.0
user@switch# set analyzer employee-monitor output vlan remote-analyzer

En el conmutador de tránsito:
- Configure el ID de VLAN para la remote-analyzer VLAN:
```
[edit vlans]
user@switch# set remote-analyzer vlan-id 999
```
- Configure la interfaz ge-0/0/11 para el modo troncal, asóciela a la remote-analyzer VLAN:
```
[edit interfaces]
user@switch# set ge-0/0/11 unit 0 family ethernet-switching interface-mode trunk
```
- Configure la interfaz para el ge-0/0/12 modo de troncalización, asóciela a la remote-analyzer VLAN y establezca la interfaz solo para el tráfico de salida:
```
[edit interfaces]
user@switch# set ge-0/0/12 unit 0 family ethernet-switching interface-mode trunk
user@switch# set vlans remote-analyzer interface ge-0/0/12 
```
- Configure la no-mac-learning opción de la VLAN para deshabilitar el remote-analyzer aprendizaje de MAC en todas las interfaces que son miembros de la remote-analyzer VLAN:
```
[edit interfaces]
user@switch# set vlans remote-analyzer no-mac-learning
```

En el conmutador de destino:

Configure el ID de VLAN para la remote-analyzer VLAN:
```
[edit vlans]
user@switch# set remote-analyzer vlan-id 999
```
Configure la interfaz ge-0/0/13 para el modo troncal, asóciela a la remote-analyzer VLAN y establezca la interfaz solo para el tráfico de entrada:
```
[edit interfaces]
user@switch# set ge-0/0/13 unit 0 family ethernet-switching interface-mode trunk
user@switch# set vlans remote-analyzer interface ge-0/0/13 ingress
```
Configure la interfaz conectada a la estación de monitoreo remoto para el modo troncal:
```
[edit interfaces]
user@switch# set ge-0/0/14 unit 0 family ethernet-switching interface-mode trunk
```

Configure el employee-monitor analizador:

content_copy zoom_out_map
[edit forwarding-options]
user@switch# set analyzer employee-monitor input ingress vlan remote-analyzer
user@switch# set analyzer employee-monitor output interface ge-0/0/14.0

Resultados

Compruebe los resultados de la configuración en el conmutador de origen:

content_copy zoom_out_map
[edit] 
user@switch> show 
 forwarding-options {
    analyzer employee-monitor {
        input {
            ingress {
                interface ge-0/0/0.0;
                interface ge-0/0/1.0;
            }
            egress {
                interface ge-0/0/0.0;
                interface ge-0/0/1.0;
            }
        }
        output {
            vlan {
                remote-analyzer;
            }
        }
    }
}
vlans {
    remote-analyzer {
        vlan-id 999;
    }
}
interfaces {
    ge-0/0/10 {
        unit 0 {
            family ethernet-switching {
                interface-mode trunk;
                vlan {
                    member 999;
                }
            }
        }
    }
}

Compruebe los resultados de la configuración en el conmutador de tránsito:

content_copy zoom_out_map
[edit] 
user@switch> show 
vlans {
    remote-analyzer {
        vlan-id 999;
        interface {
            ge-0/0/11.0 {
            }
            ge-0/0/12.0 {
            }
        }
        no-mac-learning;
    }
}
interfaces {
    ge-0/0/11 {
        unit 0 {
            family ethernet-switching {
                interface-mode trunk;
            }
        }
    }
    ge-0/0/12 {
        unit 0 {
            family ethernet-switching {
                interface-mode trunk;
            }
        }
    }
}

Compruebe los resultados de la configuración en el conmutador de destino:

content_copy zoom_out_map
[edit] 
user@switch> show 
vlans {
    remote-analyzer {
        vlan-id 999;
        interface {
            ge-0/0/13.0 {
                ingress;
            }
        }
    }
}
interfaces {
    ge-0/0/13 {
        unit 0 {
            family ethernet-switching {
                interface-mode trunk;
            }
        }
    }
    ge-0/0/14 {
        unit 0 {
            family ethernet-switching {
                interface-mode trunk;
            }
        }
    }
}
forwarding-options {
    analyzer employee-monitor {
        input {
            ingress {
                vlan remote-analyzer;
            }
        }
        output {
            interface {
                ge-0/0/14.0;
            }
        }
    }
}

Verificación

Para confirmar que la configuración funcione correctamente, realice las siguientes tareas:

Comprobación de que el analizador se ha creado correctamente

Propósito
Acción
Significado

Propósito

Verifique que el analizador denominado employee-monitor se haya creado en el conmutador con las interfaces de entrada y la interfaz de salida adecuadas.

Acción

Puede comprobar si el analizador está configurado como se esperaba mediante el show analyzer comando. Para ver los analizadores creados anteriormente que están deshabilitados, vaya a la interfaz de J-Web.

content_copy zoom_out_map
user@switch> show forwarding-options analyzer
Analyzer name                    : employee-monitor
  Mirror rate                      : 1
  Maximum packet length            : 0
  State                            : up
  Ingress monitored interfaces     : ge-0/0/0.0
  Ingress monitored interfaces     : ge-0/0/1.0
  Egress monitored interfaces      : ge-0/0/0.0
  Egress monitored interfaces      : ge-0/0/1.0
  Output vlan                      : default-switch/remote-analyzer

Significado

Este resultado muestra que el employee-monitor analizador tiene una relación de 1 (duplicación de cada paquete, el valor predeterminado), está reflejando el tráfico que entra en ge-0/0/0 y ge-0/0/1, y enviando el tráfico reflejado al analizador remote-analyzer.

arrow_backward PREVIOUS Duplicación de puertos y analizadores

NEXT arrow_forward Configuración de instancias de creación de reflejo de puertos

Helped me install or use the product
Accelerated my deployment

Discuss the product with a co-worker
Make a purchase inquiry

Guía de administración y monitoreo de red

EN ESTA PÁGINA

¿Fue útil esta traducción automática?

DESCARGO DE RESPONSABILIDAD:

Configuración de analizadores y duplicación de puertos

Descripción de los analizadores de duplicación de puertos

Descripción general del analizador

Descripción general del analizador estadístico

Descripción general del analizador predeterminado

Creación de reflejo de puertos en un grupo de puertos enlazados a varios analizadores estadísticos

Terminología del analizador de duplicación de puertos

Directrices de configuración para analizadores de duplicación de puertos

Configuración de la creación de reflejo en conmutadores EX9200 para analizar el tráfico (procedimiento de la CLI)

Configuración de un analizador para el análisis de tráfico local

Configuración de un analizador para el análisis de tráfico remoto

Configuración de un analizador estadístico para el análisis de tráfico local

Configuración de un analizador estadístico para el análisis de tráfico remoto

Enlazar analizadores estadísticos a puertos agrupados en el nivel de FPC

Configurar un analizador con varios destinos mediante grupos de salto siguiente

Definición de un grupo de salto siguiente para la creación de reflejo de capa 2

Configuración de la creación de reflejo en conmutadores EX4300 para analizar el tráfico (procedimiento de la CLI)

Configuración de un analizador para el análisis de tráfico local

Configuración de un analizador para el análisis de tráfico remoto

Configuración de la creación de reflejo de puertos

Configuración de la creación de reflejo de puertos para analizar el tráfico (procedimiento de la CLI)

Configuración de la creación de reflejo de puertos para el análisis de tráfico local

Configuración de la creación de reflejo de puertos para el análisis de tráfico remoto

Filtrado del tráfico que entra en un analizador

Verificación de entrada y salida para analizadores de duplicación de puertos en conmutadores de la serie EX

Propósito

Acción

Significado

Ejemplo: Configuración de analizadores de creación de reflejo de puertos para la supervisión local del uso de recursos de los empleados

Requisitos

Descripción general y topología

Duplicación de todo el tráfico de empleados para análisis local

Procedimiento

Configuración rápida de CLI

Procedimiento paso a paso

Resultados

Verificación

Comprobación de que el analizador se ha creado correctamente

Propósito

Acción

Significado

Ejemplo: Configuración de la creación de reflejo de puertos para la supervisión remota del uso de los recursos de los empleados

Requisitos

Descripción general y topología

Topología

Duplicación del tráfico de empleados para el análisis remoto mediante un analizador estadístico

Duplicación del tráfico de empleados para análisis remoto para conmutadores de la serie EX

Configuración rápida de CLI

Procedimiento paso a paso

Resultados

Duplicación del tráfico de empleados para análisis remoto para enrutadores de la serie MX

Configuración rápida de CLI

Procedimiento paso a paso

Resultados

Verificación

Comprobación de que el analizador se ha creado correctamente

Propósito

Acción

Significado

Ejemplo: Configuración de la creación de reflejo en varias interfaces para el monitoreo remoto del uso de recursos de los empleados en conmutadores EX9200

Requisitos

Descripción general y topología

Topología

Duplicación de todo el tráfico de empleados a múltiples interfaces miembro de VLAN para análisis remoto

Procedimiento

Configuración rápida de CLI

Procedimiento paso a paso

Resultados

Verificación

Comprobación de que el analizador se ha creado correctamente

Propósito

Acción

Significado

Ejemplo: Configuración de la duplicación para la supervisión remota del uso de recursos de los empleados mediante un conmutador de tránsito en conmutadores EX9200

Requisitos

Descripción general y topología