- play_arrow Descripción general
- play_arrow Características de operación, administración y administración
- play_arrow OAM de Ethernet y administración de fallos de conectividad para enrutadores
- Introducción a la administración de errores de conectividad (CFM) de OAM
- Configurar la administración de errores de conectividad (CFM)
- Perfil de acción de CFM
- Interfaz de administración local Ethernet
- Soporte CFM para paquetes encapsulados CCC
- Configurar ISSU unificada para 802.1ag CFM
- Monitoreo CFM entre dispositivos CE y PE
- Configurar mensajes de comprobación de continuidad
- Ejemplo: Configurar Ethernet CFM en interfaces físicas
- Ejemplo: Configurar Ethernet CFM en conexiones de puente
- Ejemplo: Configurar Ethernet CFM a través de VPLS
- play_arrow Administración de fallos de vínculo para enrutadores
- play_arrow Administración de fallos de vínculo OAM Ethernet para conmutadores
- play_arrow Administración de errores de conectividad OAM Ethernet para conmutadores
- play_arrow Retardo de trama Ethernet
- Mediciones de retardo de trama Ethernet en conmutadores
- Configurar interfaces MEP en conmutadores para que admitan mediciones de retardo de trama Ethernet (procedimiento de CLI)
- Configuración de mediciones de retardo de trama Ethernet unidireccional en conmutadores (procedimiento de CLI)
- Configurar un perfil de iterador en un conmutador (procedimiento de CLI)
- Activar una sesión de medición de retardo de trama Ethernet en un conmutador
- Configuración de mediciones de retardo de trama Ethernet bidireccional en conmutadores (procedimiento de CLI)
- play_arrow Oam del servicio Ethernet (ITU-ty.1731) para enrutadores
- Visión general de OAM del servicio Ethernet ITU-T Y.1731
- Configurar sesiones de medición de retardo de trama Ethernet
- Configuración de interfaces MEP para admitir mediciones de retardo de trama Ethernet
- Configurar la medición de pérdida de tramas Ethernet
- Configurar un perfil de iterador
- Configurar mediciones de pérdida sintética Ethernet
- Indicación de alarma Ethernet
- Modo de transmisión en línea
-
- play_arrow Supervisión de red mediante SNMP
- Descripción general de la arquitectura SNMP y las MIB SNMP
- Descripción de la implementación de SNMP en Junos OS
- Configurar SNMP en Junos OS
- Configurar opciones en dispositivos administrados para un mejor tiempo de respuesta SNMP
- MIB de utilidad específica para empresas para mejorar la cobertura SNMP
- Optimice la configuración del sistema de administración de red para obtener los mejores resultados
- Interfaces para aceptar solicitudes SNMP
- Configurar SNMP para instancias de enrutamiento
- Configurar operaciones remotas SNMP
- Capturas SNMP
- Capturas SNMP compatibles con Junos OS
- Rastrear actividad SNMP
- Privilegios de acceso para un grupo SNMP
- Configurar ID de motor local en SNMPv3
- Configurar SNMPv3
- Configurar el tipo de autenticación SNMPv3 y el tipo de cifrado
- Capturas SNMPv3
- SNMPv3 informa
- Comunidades SNMP
- Vistas MIB
- MIB SNMP compatibles con Junos OS y Junos OS Evolved
- Preguntas frecuentes sobre SNMP de Junos OS
- play_arrow Monitoreo remoto de red (RMON) con alarmas y eventos SNMP
- play_arrow Opciones de contabilidad
- play_arrow Opciones de monitoreo
- play_arrow Alarmas de interfaz
- play_arrow Monitoreo de IP
- play_arrow Tecnología de monitoreo de sFlow
- play_arrow Muestreo adaptable para enrutadores y conmutadores
- play_arrow Software de diagnóstico del acelerador de flujo de paquetes
-
- play_arrow Supervisión de características de seguridad comunes
- play_arrow Gestión del rendimiento
- play_arrow Mensajes de registro del sistema
- Información general sobre el registro del sistema
- Registro del sistema en un sistema de chasis único
- Dirija los mensajes de registro del sistema a un destino remoto
- Comprobar los comandos que introducen los usuarios
- Mostrar archivos de registro del sistema
- Configurar el registro del sistema para dispositivos de seguridad
- Configurar Syslog a través de TLS
- Supervisar mensajes de registro
- play_arrow Administración de red y solución de problemas
- Comprimir los registros de solución de problemas de /var/logs para enviarlos al soporte técnico de Juniper Networks
- Monitoreo y solución de problemas
- Solución de problemas del rendimiento del sistema con la metodología de monitoreo de recursos
- Configuración de las opciones de depuración y rastreo de rutas de datos
- Uso de MPLS para diagnosticar LSP, VPN y circuitos de capa 2
- Uso de la captura de paquetes para analizar el tráfico de red
- Descripción general de On-Box Packet Sniffer
- Solución de problemas de dispositivos de seguridad
- play_arrow Instrucciones de configuración y comandos operativos
Configuración de la duplicación de puertos para destinos remotos
Espejado de puerto de capa 2 a destino remoto mediante el uso de destino como VLAN
Configurar la creación de reflejo de puertos en un conmutador EX9200 para enviar copias del tráfico a un destino de salida, como una interfaz, una instancia de enrutamiento o una VLAN; Y para el tráfico de entrada, puede configurar un término de filtro de firewall con varias condiciones y acciones de coincidencia.
Cuando se configura la VLAN como destino de salida en una configuración de duplicación de puertos, el tráfico de cada sesión de duplicación de puertos se transfiere a través de una VLAN especificada por el usuario que está dedicada para esa sesión de creación de reflejo en todos los conmutadores participantes. El tráfico reflejado se copia en esa VLAN (también denominada VLAN espejo) y se reenvía a interfaces, que son miembros de la VLAN reflejada. Las interfaces de destino, que son miembros de la VLAN reflejada, pueden abarcar varios conmutadores de la red, siempre que se utilice la misma VLAN de espejado remoto para una sesión de espejado en todos los conmutadores.
Puede usar la port-mirror acción o port-mirror-instance en la configuración del filtro de firewall cuando refleje el tráfico a destinos remotos configurando una VLAN como destino de salida de duplicación de puertos.
Espejado de puertos de capa 2 de configuración a una VLAN remota
Los conmutadores EX9200 permiten configurar la creación de reflejo para enviar copias de paquetes a una interfaz local para supervisión local o a una VLAN para supervisión remota. Puede utilizar la creación de reflejo para copiar los siguientes paquetes:
Paquetes que entran o salen de un puerto
Paquetes que entran o salen de una VLAN
Refleje solo los paquetes necesarios para reducir el impacto potencial en el rendimiento. Le recomendamos que:
Deshabilite la creación de reflejo de puertos que haya configurado cuando no los esté utilizando.
Especifique interfaces individuales como entrada en lugar de especificar todas las interfaces como entrada en una configuración de creación de reflejo de puerto.
Limite la cantidad de tráfico reflejado de la siguiente manera:
Uso de muestreo estadístico.
Establecer ratios para seleccionar muestras estadísticas.
Uso de filtros de firewall.
Configuración de la duplicación de puertos en una VLAN remota
Para filtrar los paquetes que se reflejarán en una instancia de creación de reflejo de puertos, cree la instancia y, a continuación, utilícela como acción en el filtro de firewall. Puede usar filtros de firewall en configuraciones de creación de reflejo local y remota.
Si se usa la misma instancia de duplicación de puerto en varios filtros o términos, los paquetes se copian en el puerto de salida de duplicación de puerto o en la VLAN de duplicación de puerto solo una vez.
Para filtrar el tráfico reflejado, cree una instancia de creación de reflejo de puertos en el nivel de [edit forwarding-options] jerarquía y, a continuación, cree un filtro de firewall. El filtro puede usar cualquiera de las condiciones de coincidencia disponibles y debe tenerlo port-mirror-instance instance-name como acción. Esta acción en la configuración del filtro del firewall proporciona la entrada a la instancia de duplicación de puertos.
Para configurar una instancia de creación de reflejo de puerto con filtros de firewall:
Ejemplo: Configuración de la duplicación de puertos de capa 2 para VLAN remota
Los conmutadores EX9200 permiten configurar la creación de reflejo para enviar copias de paquetes a una interfaz local para supervisión local o a una VLAN para supervisión remota. Puede utilizar la creación de reflejo para copiar estos paquetes:
Paquetes que entran o salen de un puerto
Paquetes que entran o existen en una VLAN
Puede analizar el tráfico reflejado mediante una aplicación de analizador de protocolos que se ejecute en una estación de supervisión remota si envía tráfico reflejado a una VLAN de analizador.
En este tema se incluyen dos ejemplos relacionados en los que se describe cómo reflejar el tráfico que entra en los puertos del conmutador a la remote-analyzer VLAN para que pueda realizar análisis desde una estación de supervisión remota. El primer ejemplo muestra cómo reflejar todo el tráfico que entra en los puertos conectados a las computadoras de los empleados. El segundo ejemplo muestra el mismo escenario, pero incluye un filtro para reflejar sólo el tráfico de empleados que va a la Web.
Refleje solo los paquetes necesarios para reducir el impacto potencial en el rendimiento. Le recomendamos que:
Deshabilite las sesiones de creación de reflejo configuradas cuando no las esté utilizando.
Especifique interfaces individuales como entrada para los analizadores en lugar de especificar todas las interfaces como entrada.
Limite la cantidad de tráfico reflejado mediante filtros de firewall.
En este ejemplo se describe cómo configurar la creación de reflejo remota:
- Requisitos
- Descripción general y topología
- Duplicación del tráfico de empleados a la web para análisis remoto
- Verificación
Requisitos
Antes de configurar la creación remota de reflejos, asegúrese de que:
Tienes una comprensión de los conceptos de reflejo.
Las interfaces que utilizará la duplicación de puertos como interfaces de salida se han configurado en el conmutador.
Descripción general y topología
En este tema se incluyen dos ejemplos relacionados en los que se describe cómo configurar la creación de reflejo en la VLAN para que el remote-analyzer análisis se pueda realizar desde una estación de supervisión remota. En el primer ejemplo se muestra cómo configurar un conmutador para reflejar todo el tráfico de los equipos de los empleados. El segundo ejemplo muestra el mismo escenario, pero la configuración incluye un filtro para reflejar sólo el tráfico de empleados que va a la Web.
Figura 1 muestra la topología de red para estos dos escenarios de ejemplo.
Topología
En este ejemplo:
La interfaz ge-0/0/0 es una interfaz de capa 2 y la interfaz ge-0/0/1 es una interfaz de capa 2 (ambas interfaces en el conmutador de origen) que sirven como conexiones para los equipos de los empleados.
La interfaz ge-0/0/10 es una interfaz de capa 2 que conecta el conmutador de origen al conmutador de destino.
La interfaz ge-0/0/5 es una interfaz de capa 2 que conecta el conmutador de destino a la estación de monitoreo remoto.
La VLAN
remote-analyzerestá configurada en todos los conmutadores de la topología para transportar el tráfico reflejado.
Duplicación del tráfico de empleados a la web para análisis remoto
Para configurar la creación de reflejo de puertos para el análisis de tráfico remoto del tráfico de empleados a web, realice estas tareas:
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente la duplicación de puertos para reflejar el tráfico de empleados a la Web externa, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:
Copie y pegue los siguientes comandos en la ventana terminal del conmutador de origen:
content_copy zoom_out_map[edit] set forwarding-options port-mirroring instance employee-web-monitor output vlan 999 set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 set firewall family ethernet-switching filter watch-employee term employee-to-corp from destination-address 192.0.2.16/28 set firewall family ethernet-switching filter watch-employee term employee-to-corp from source-address 192.0.2.16/28 set firewall family ethernet-switching filter watch-employee term employee-to-corp then accept set firewall family ethernet-switching filter watch-employee term employee-to-web from destination-port 80 set firewall family ethernet-switching filter watch-employee term employee-to-web then port-mirror-instance employee-web-monitor set interfaces ge-0/0/0 unit 0 family ethernet-switching filter input watch-employee set interfaces ge-0/0/1 unit 0 family ethernet-switching filter input watch-employee
Copie y pegue los siguientes comandos en la ventana terminal del conmutador de destino:
content_copy zoom_out_map[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 set interfaces ge-0/0/5 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/5 unit 0 family ethernet-switching vlan members 999
Procedimiento paso a paso
Para configurar la duplicación de puertos de todo el tráfico de los dos puertos conectados a las computadoras de los empleados a la remote-analyzer VLAN para su uso desde una estación de monitoreo remota:
En el conmutador de origen:
Configure la
employee-web-monitorinstancia de creación de reflejo de puertos:content_copy zoom_out_map[edit ] user@switch# set interfaces ge-0/0/10 unit 0 family ethernet-switching port mode access user@switch# set forwarding-options port-mirroring instance employee-web-monitor output vlan 999
Configure el ID de VLAN para la
remote-analyzerVLAN:content_copy zoom_out_map[edit vlans] user@switch# set remote-analyzer vlan-id 999
Configure la interfaz para asociarla con la
remote-analyzerVLAN:content_copy zoom_out_map[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999
Configure el filtro de firewall llamado
watch-employee:content_copy zoom_out_map[edit firewall family ethernet-switching] user@switch# set filter watch-employee term employee-to-corp from destination-address 192.0.2.16/28 user@switch# set filter watch-employee term employee-to-corp from source-address 192.0.2.16/28 user@switch# set filter watch-employee term employee-to-corp then accept user@switch# set filter watch-employee term employee-to-web from destination-port 80 user@switch# set filter watch-employee term employee-to-web then port-mirror-instance employee-web-monitor
En esta configuración, el término define que se
employee-to-corppuede aceptar que el tráfico desde la dirección192.0.2.16/28de destino y la dirección192.0.2.16/28de origen pase a través del conmutador, y el término define que elemployee-to-webtráfico desde el puerto80debe enviarse a la instanciaemployee-web-monitorde creación de reflejo de puerto.Aplique el filtro de firewall a las interfaces de empleados:
content_copy zoom_out_map[edit interfaces] user@switch# set ge-0/0/0 unit 0 family ethernet-switching filter input watch-employee user@switch# set ge-0/0/1 unit 0 family ethernet-switching filter input watch-employee
En el conmutador de destino:
Configure el ID de VLAN para la
remote-analyzerVLAN:content_copy zoom_out_map[edit vlans] user@switch# set remote-analyzer vlan-id 999
Configure la interfaz en el conmutador de destino para el modo de acceso y asóciela a la
remote-analyzerVLAN:content_copy zoom_out_map[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching interface-mode access user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999
Configure la interfaz conectada al conmutador de destino para el modo de acceso y asóciela a la
remote-analyzerVLAN:content_copy zoom_out_map[edit interfaces] user@switch# set ge-0/0/5 unit 0 family ethernet-switching interface-mode access user@switch# set ge-0/0/5 unit 0 family ethernet-switching vlan members 999
Resultados
Compruebe los resultados de la configuración en el conmutador de origen:
[edit]
user@switch> show
interfaces {
ge-0/0/10 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members remote-analyzer;
}
}
}
}
ge-0/0/0 {
unit 0 {
family ethernet-switching {
filter {
input watch-employee;
}
}
}
}
ge-0/0/1 {
unit 0 {
family ethernet-switching {
filter {
input watch-employee;
}
}
}
}
}
firewall {
family ethernet-switching {
filter watch-employee {
term employee-to-corp {
from {
source-address {
192.0.2.16/28;
}
destination-address {
192.0.2.16/28;
}
}
then accept;
}
term employee-to-web {
from {
destination-port 80;
}
then port-mirror-instance employee-web-monitor;
}
}
}
}
forwarding-options {
analyzer employee-web-monitor {
output {
vlan {
999;
}
}
}
vlans {
remote-analyzer {
vlan-id 999;
}
}
Compruebe los resultados de la configuración en el conmutador de destino:
[edit]
user@switch> show
vlans {
remote-analyzer {
vlan-id 999;
}
}
interfaces {
ge-0/0/10 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members remote-analyzer;
}
}
}
}
ge-0/0/5 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members remote-analyzer;
}
}
}
}
}
Verificación
Para confirmar que la configuración funcione correctamente, realice las siguientes tareas:
Comprobación de que la instancia de creación de reflejo de puertos se haya creado correctamente
Propósito
Verifique que la instancia employee-web-monitor de puerto-espejo se haya creado en el conmutador con la VLAN de salida adecuada.
Acción
Puede comprobar que el puerto-espejo está configurado como se esperaba mediante el show forwarding-options port-mirror comando. Para ver los analizadores creados anteriormente que están deshabilitados, vaya a la interfaz de J-Web.
Para verificar que el espejo de puerto está configurado como se esperaba mientras supervisa el tráfico de empleados en el conmutador de origen, ejecute el show forwarding-options port-miror comando en el conmutador de origen. Se muestra el siguiente resultado para este ejemplo de configuración:
user@switch> show forwarding-options port-mirror
Instance Name: employee-web-monitor
Instance Id: 3
Input parameters:
Rate : 1
Run-length : 0
Maximum-packet-length : 0
Output parameters:
Family State Destination Next-hop
ethernet-switching up default-switch/remote-analyzer
Significado
Esta salida muestra que la employee-web-monitor instancia tiene una relación de 1 (duplicar cada paquete, que es el valor predeterminado), el tamaño máximo del paquete original que se reflejó (0 indica todo el paquete), el estado de la configuración está activo (lo que indica el estado correcto y que el analizador está programado, está reflejando el tráfico que ingresa a ge-0/0/0 y ge-0/0/1, y envía el tráfico reflejado a la VLAN llamada remote-analyzer).
