EN ESTA PÁGINA
Configuración de la duplicación de puertos en firewalls de la serie SRX
Ejemplos: Configuración de la creación de reflejo de puertos para el análisis local
Ejemplo: Duplicación del tráfico web de los empleados con un filtro de firewall
Ejemplo: Configuración de la creación de reflejo de puertos para el análisis remoto
Configuración del análisis local y remoto de creación de reflejo de puertos
Configuración de la creación de reflejo de puertos
Utilice la creación de reflejo de puertos para copiar paquetes y enviar las copias a un dispositivo que ejecute una aplicación, como un analizador de red o una aplicación de detección de intrusiones, de modo que pueda analizar el tráfico sin retrasarlo. Puede reflejar el tráfico que entra o sale de un puerto o entrar en una VLAN, y puede enviar las copias a una interfaz de acceso local o a una VLAN a través de una interfaz troncal.
Le recomendamos que deshabilite la creación de reflejo de puertos cuando no la esté utilizando. Para evitar crear un problema de rendimiento Si habilita la creación de reflejo de puertos, le recomendamos que seleccione interfaces de entrada específicas en lugar de usar la all palabra clave. También puede limitar la cantidad de tráfico reflejado mediante un filtro de firewall.
Esta tarea utiliza el estilo de configuración Enhanced Layer 2 Software (ELS). Si el conmutador utiliza software que no admite ELS, consulte Configuración de la creación de reflejo de puertos. Para obtener detalles de ELS, consulte Uso de la CLI de Enhanced Layer 2 Software.
Si desea crear analizadores adicionales sin eliminar un analizador existente, desactive primero el analizador existente mediante el disable analyzer analyzer-name comando.
Debe configurar las interfaces de salida de creación de reflejo de puerto como family ethernet-switching.
- Configuración de la creación de reflejo de puertos para el análisis local
- Configuración de la creación de reflejo de puertos para el análisis remoto
- Filtrado del tráfico que entra en un analizador
Configuración de la creación de reflejo de puertos para el análisis local
Para reflejar el tráfico de la interfaz a una interfaz local en el conmutador:
Configuración de la creación de reflejo de puertos para el análisis remoto
Para reflejar el tráfico a una VLAN para su análisis en una ubicación remota:
Filtrado del tráfico que entra en un analizador
Esta funcionalidad no es compatible con dispositivos NFX150.
Además de especificar qué tráfico reflejar mediante la configuración de un analizador, también puede utilizar un filtro de firewall para ejercer más control sobre qué paquetes se copian. Por ejemplo, puede usar un filtro para especificar que solo se refleje el tráfico de determinadas aplicaciones. El filtro puede utilizar cualquiera de las condiciones de coincidencia disponibles y debe tener una acción de modificador de port-mirror-instance instance-name. Si utiliza el mismo analizador en varios filtros o términos, los paquetes de salida se copian una sola vez.
Cuando se utiliza un filtro de firewall como entrada para una instancia de duplicación de puertos, se envía el tráfico copiado a una interfaz local o a una VLAN del mismo modo que se hace cuando no interviene un firewall.
Para configurar la creación de reflejo de puertos con filtros:
Configuración de la duplicación de puertos en firewalls de la serie SRX
Para configurar la creación de reflejo de puertos en un dispositivo SRX, primero debe configurar el forwarding-options y interfaces en el nivel de [edit] jerarquía.
Debe configurar la forwarding-options instrucción para definir una instancia del mirror-to puerto para la creación de reflejo del puerto y también configurar la interfaz que se reflejará.
El puerto duplicado y el puerto espejo a deben estar bajo el mismo chipset Broadcom en una tarjeta de E/S.
Para configurar la creación de reflejo de puertos:
Puede configurar una instance cláusula para especificar varios mirror-to puertos.
Para reflejar una interfaz, incluya la port-mirror-instance instrucción en el nivel jerárquico [edit interface mirrored-intf-name] .
La interfaz reflejada se configura con un nombre de instancia, definido en el forwarding-optionsarchivo . El mirrored puerto y el puerto están vinculados a través de mirror-to esa instancia.
instance {
inst-name {
input {
rate number;
run-length number;
}
family any {
output {
interface intf-name;
}
}
}
}
interfaces
mirrored-intf-name {
port-mirror-instance instance-name;
}
La duplicación de puertos en los firewalls de la serie SRX no diferencia la dirección del tráfico, pero refleja las muestras de entrada y salida juntas .
A continuación se muestra un ejemplo de configuración para la creación de reflejo de puertos:
mirror port ge-1/0/2 to port ge-1/0/9.0
forwarding-options
port-mirroring {
input {
rate 1;
run-length 10;
}
family any {
output {
interface ge-1/0/9.0;
}
}
instance {
inst1 {
input {
rate 1;
run-length 10;
}
family any {
output {
interface ge-1/0/9.0;
}
}
}
}
interfaces {
ge-1/0/2 {
port-mirror-instance inst1;
}
}
Ejemplos: Configuración de la creación de reflejo de puertos para el análisis local
Use la creación de reflejo de puertos para enviar tráfico a aplicaciones que analizan el tráfico con fines como supervisar el cumplimiento, aplicar políticas, detectar intrusiones, supervisar y predecir patrones de tráfico, correlacionar eventos, etc. La duplicación de puertos copia los paquetes que entran o salen de una interfaz o que ingresan a una VLAN y envía las copias a una interfaz local para el monitoreo local.
En este ejemplo se utiliza el estilo de configuración Enhanced Layer 2 Software (ELS). Para obtener detalles de ELS, consulte Uso de la CLI de Enhanced Layer 2 Software.
En este ejemplo se describe cómo configurar la creación de reflejo de puertos para copiar el tráfico enviado por los equipos de los empleados a un conmutador a una interfaz de acceso en el mismo conmutador.
- Requisitos
- Descripción general y topología
- Ejemplo: Duplicación de todo el tráfico de empleados para análisis local
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Junos OS versión 13.2
Un conmutador
Descripción general y topología
En este tema se incluyen dos ejemplos relacionados en los que se describe cómo reflejar el tráfico que entra en las interfaces del conmutador y una interfaz de acceso del mismo conmutador. En el primer ejemplo, se muestra cómo reflejar todo el tráfico enviado por los equipos de los empleados al conmutador. El segundo ejemplo incluye un filtro para reflejar sólo el tráfico de empleados que va a la Web.
Topología
En este ejemplo, xe-0/0/0 y xe-0/0/6 sirven como conexiones para las computadoras de los empleados. La interfaz xe-0/0/47 está conectada a un dispositivo que ejecuta una aplicación analizadora.
Varios puertos reflejados en una interfaz pueden provocar el desbordamiento del búfer y la pérdida de paquetes.
Figura 1 muestra la topología de red de este ejemplo.
Ejemplo: Duplicación de todo el tráfico de empleados para análisis local
Para configurar la creación de reflejo de puertos para todo el tráfico enviado por los equipos de los empleados para su análisis local, realice las tareas que se explican en esta sección.
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente la duplicación de puertos locales para el tráfico de entrada a los dos puertos conectados a los equipos de los empleados, copie los siguientes comandos y péguelos en una ventana de terminal de conmutación:
[edit] set interfaces xe-0/0/0 unit 0 family ethernet-switching set interfaces xe-0/0/6 unit 0 family ethernet-switching set interfaces xe-0/0/47 unit 0 family ethernet-switching set forwarding-options analyzer employee-monitor input ingress interface xe-0/0/0.0 set forwarding-options analyzer employee-monitor input ingress interface xe-0/0/6.0 set forwarding-options analyzer employee-monitor output interface xe-0/0/47.0
Procedimiento paso a paso
Para configurar un analizador llamado employee-monitor y especificar las interfaces de entrada (origen) y la interfaz de salida:
Configure las interfaces conectadas a los equipos de los empleados como interfaces de entrada para el analizador
employee-monitorde espejo de puerto:[edit forwarding-options] user@switch# set analyzer employee-monitor input ingress interface xe–0/0/0.0 user@switch# set analyzer employee-monitor input ingress interface xe–0/0/6.0
Configure la interfaz del analizador de salida para el
employee-monitoranalizador. Esta será la interfaz de destino para los paquetes reflejados:[edit forwarding-options] user@switch# set analyzer employee-monitor output interface xe-0/0/47.0
Resultados
Compruebe los resultados de la configuración:
[edit]
user@switch# show forwarding-options analyzer
employee-monitor {
input {
ingress {
interface xe-0/0/0.0;
interface xe-0/0/6.0;
}
}
output {
interface {
xe-0/0/47.0;
}
}
}
}
Ejemplo: Duplicación del tráfico web de los empleados con un filtro de firewall
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Un conmutador QFX5100
Junos OS versión 14.1X53-D30
Descripción general
En lugar de reflejar todo el tráfico, generalmente es deseable reflejar solo cierto tráfico. Este es un uso más eficiente de su ancho de banda y hardware y puede ser necesario debido a restricciones en estos activos. Para seleccionar tráfico específico para la creación de reflejos, utilice un filtro de firewall para que coincida con el tráfico deseado y lo dirija a una instancia de creación de reflejo de puertos. A continuación, la instancia de duplicación de puertos copia los paquetes y los envía a la VLAN, interfaz o dirección IP de salida.
Configurar
Para especificar que el único tráfico que se reflejará es el tráfico enviado por los empleados a la Web, realice las tareas explicadas en esta sección. Para seleccionar este tráfico para la creación de reflejos, utilice un filtro de firewall para especificar este tráfico y dirigirlo a una instancia de creación de reflejo de puertos.
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente la duplicación del puerto local del tráfico de los equipos de los empleados destinado a la Web, copie los comandos siguientes y péguelos en una ventana de terminal de conmutador:
[edit] set interface xe-0/0/47 unit 0 family ethernet-switching set forwarding-options port-mirroring instance employee–web–monitor family ethernet-switching output interface xe-0/0/47.0 set firewall family ethernet-switching filter watch-employee term employee-to-corp from ip-destination-address 192.0.2.16/28 set firewall family ethernet-switching filter watch-employee term employee-to-corp from ip-source-address 192.0.2.16/28 set firewall family ethernet-switching filter watch-employee term employee-to-corp then accept set firewall family ethernet-switching filter watch-employee term employee-to-web from destination-port 80 set firewall family ethernet-switching filter watch-employee term employee-to-web then port-mirror-instance employee-web-monitor set interfaces xe-0/0/0 unit 0 family ethernet-switching filter input watch-employee set interfaces xe-0/0/6 unit 0 family ethernet-switching filter input watch-employee
Procedimiento paso a paso
Para configurar la creación de reflejo del puerto local del tráfico de empleados a web desde los dos puertos conectados a los equipos de los empleados:
Configure la interfaz de salida:
[edit interfaces] user@switch# set xe-0/0/47 unit 0 family ethernet-switching
Configure la interfaz de
employee-web-monitorsalida. (Configure solo la salida: la entrada proviene del filtro).[edit forwarding-options] user@switch# set port-mirroring instance employee–web–monitor family ethernet-switching output interface xe-0/0/47.0
Configure un filtro de firewall llamado
watch-employeeque incluya un término para que coincida con el tráfico enviado a la Web y envíelo a la instanciaemployee-web-monitorde creación de reflejo de puertos. No es necesario copiar el tráfico hacia y desde la subred corporativa (destino o dirección de origen de ) , así que cree otro término para aceptar ese tráfico antes de192.0.2.16/28que llegue al término que envía el tráfico web a la instancia:[edit firewall family ethernet-switching] user@switch# set filter watch-employee term employee-to-corp from ip-destination-address 192.0.2.16/28 user@switch# set filter watch-employee term employee-to-corp from ip-source-address 192.0.2.16/28 user@switch# set filter watch-employee term employee-to-corp then accept user@switch# set filter watch-employee term employee-to-web from destination-port 80 user@switch# set filter watch-employee term employee-to-web then port-mirror-instance employee-web-monitor
Aplique el filtro de firewall a las interfaces apropiadas como filtro de entrada (los filtros de salida no permiten analizadores):
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching filter input watch-employee user@switch# set xe-0/0/6 unit 0 family ethernet-switching filter input watch-employee
Resultados
Compruebe los resultados de la configuración:
[edit]
user@switch# show
forwarding-options {
port-mirroring {
instance {
employee-web-monitor {
family ethernet-switching {
output {
interface xe-0/0/47.0;
}
}
}
}
}
}
...
firewall {
family ethernet-switching {
filter watch-employee {
term employee-to-corp {
from {
ip-source-address 192.0.2.16/28;
ip-destination-address 192.0.2.16/28;
}
then accept;
term employee-to-web {
from {
destination-port 80;
}
then port-mirror-instance employee-web-monitor;
}
}
}
}
...
interfaces {
xe-0/0/0 {
unit 0 {
family ethernet-switching {
filter {
input watch-employee;
}
}
}
}
xe-0/0/6 {
family ethernet-switching {
filter {
input watch-employee;
}
}
}
xe-0/0/47 {
family ethernet-switching;
}
}
Verificación
Comprobación de que el analizador se ha creado correctamente
Propósito
Verifique que la instancia de duplicación de puertos denominada employee-web-monitor se haya creado en el conmutador con las interfaces de entrada y la interfaz de salida adecuadas.
Acción
Puede comprobar que la instancia de duplicación de puertos se ha configurado según lo esperado mediante el show forwarding-options port-mirroring comando.
user@switch> show forwarding-options port-mirroring Instance name : employee-web-monitor Instance Id: 2 Input parameters: Rate :1 Run-length :0 Maximum packet length :0 Output parameters: Family State Destination Next-hop ethernet-switching up xe-0/0/47.0
Significado
Este resultado muestra la siguiente información acerca de la instancia employee-web-monitorde creación de reflejo de puertos:
Tiene una velocidad de
1(duplicar cada paquete, la configuración predeterminada)El número de paquetes consecutivos muestreados (longitud de ejecución) es
0El tamaño máximo del paquete original que se reflejó es
0(0indica todo el paquete)El estado de los parámetros de salida:
upIndica que la instancia refleja el tráfico que entra en las interfaces xe-0/0/0 y xe-0/0/6 y envía el tráfico reflejado a la interfaz xe-0/0/47
Si el estado de la interfaz de salida es down o si la interfaz de salida no está configurada, el state valor será down y la instancia no se programará para la creación de reflejo.
Ejemplo: Configuración de la creación de reflejo de puertos para el análisis remoto
Use la creación de reflejo de puertos para enviar tráfico a aplicaciones que analizan el tráfico con fines como supervisar el cumplimiento, aplicar políticas, detectar intrusiones, supervisar y predecir patrones de tráfico, correlacionar eventos, etc. La duplicación de puertos copia los paquetes que entran o salen de una interfaz o que ingresan una VLAN y envía las copias a una interfaz local para monitoreo local o a una VLAN para monitoreo remoto. En este ejemplo se describe cómo configurar la creación de reflejo de puertos para el análisis remoto.
- Requisitos
- Descripción general y topología
- Duplicación de todo el tráfico de empleados para análisis remoto
- Duplicación del tráfico de empleados a la web para análisis remoto
- Verificación
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Junos OS versión 13.2 para la serie QFX
Un conmutador
Descripción general y topología
En este tema se incluyen dos ejemplos relacionados en los que se describe cómo reflejar el tráfico que entra en los puertos del conmutador a una VLAN del analizador para que pueda realizar el análisis mediante un dispositivo remoto. En el primer ejemplo, se muestra cómo reflejar todo el tráfico enviado por los equipos de los empleados al conmutador. El segundo ejemplo incluye un filtro para reflejar sólo el tráfico de empleados que va a la Web.
Topología
En este ejemplo:
Interfaces
ge-0/0/0yge-0/0/1son interfaces de capa 2 que se conectan a los equipos de los empleados.La interfaz
ge-0/0/2es una interfaz de capa 2 que se conecta a otro conmutador.La VLAN
remote-analyzerestá configurada en todos los conmutadores de la topología para transportar el tráfico reflejado.
Además de realizar los pasos de configuración descritos aquí, también debe configurar la VLAN del analizador (remote-analyzer en este ejemplo) en los demás conmutadores que se utilizan para conectar el conmutador de origen (el de esta configuración) al que está conectada la estación de supervisión.
Duplicación de todo el tráfico de empleados para análisis remoto
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente esta sección del ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, a continuación, copie y pegue los comandos en la CLI en el nivel de edit jerarquía:
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family ethernet-switching port-mode trunk set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/0.0 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/1.0 set forwarding-options analyzer employee-monitor output vlan remote-analyzer
Procedimiento paso a paso
Para configurar la creación básica de reflejo de puerto remoto:
Configure la VLAN del analizador (llamada
remote-analyzeren este ejemplo):[edit vlans] user@switch# set vlans remote-analyzer vlan-id 999
Configure la interfaz conectada a otro conmutador para el modo troncal y asóciela a la
remote-analyzerVLAN:[edit interfaces] user@switch# set ge-0/0/10 unit 0 family ethernet-switching port-mode trunk user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999
Configure el
employee-monitoranalizador:[edit forwarding-options] user@switch# set analyzer employee–monitor user@switch# set analyzer employee-monitor input ingress interface ge-0/0/0.0 user@switch# set analyzer employee-monitor input ingress interface ge-0/0/1.0 user@switch# set analyzer employee-monitor output vlan remote-analyzer
Configure la
remote-analyzerVLAN en los conmutadores que conectan este conmutador a la estación de trabajo de supervisión.
Resultados
Compruebe los resultados de la configuración:
[edit]
user@switch# show
forwarding-options {
analyzer employee-monitor {
input {
ingress {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
}
output {
vlan {
remote-analyzer;
}
}
}
}
Duplicación del tráfico de empleados a la web para análisis remoto
Configuración rápida de CLI
Para configurar rápidamente esta sección del ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, a continuación, copie y pegue los comandos en la CLI en el nivel de edit jerarquía:
[edit] set vlans remote-analyzer vlan-id 999 set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999 set forwarding-options port-mirroring instance employee-web-monitor loss-priority high output vlan 999 set firewall family ethernet-switching filter watch-employee term employee-to-web from destination-port 80 set firewall family ethernet-switching filter watch-employee term employee-to-web then port-mirror-instance employee-web-monitor set ge-0/0/0 unit 0 family ethernet-switching filter input watch-employee set interfaces ge-0/0/1 unit 0 family ethernet-switching filter input watch-employee
Procedimiento
Procedimiento paso a paso
Configure la VLAN del analizador (llamada
remote-analyzeren este ejemplo):[edit vlans] user@switch# set remote-analyzer vlan-id 999
Configure una interfaz para asociarla con la
remote-analyzerVLAN:[edit interfaces] user@switch# set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999
Configure el
employee-web-monitoranalizador. (Configure solo la salida: la entrada proviene del filtro).[edit forwarding-options] user@switch# set forwarding-options port-mirroring instance employee-web-monitor output vlan 999
Configure un filtro de firewall llamado
watch-employeepara que coincida con el tráfico enviado a la Web y envíelo al analizadoremployee-web-monitor:[edit firewall family ethernet-switching] user@switch# set filter watch-employee term employee-to-web from destination-port 80 user@switch# set filter watch-employee term employee-to-web then port-mirror-instance employee-web-monitor
Aplique el filtro de firewall a las interfaces apropiadas como filtro de entrada:
[edit interfaces] user@switch# set ge-0/0/0 unit 0 family ethernet-switching filterinput watch-employee user@switch# set ge-0/0/1 unit 0 family ethernet-switching filter input watch-employee
Configure la
remote-analyzerVLAN en los conmutadores que conectan este conmutador a la estación de trabajo de supervisión.
Resultados
Compruebe los resultados de la configuración:
[edit]
user@switch# show
interfaces {
...
ge-0/0/10 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
vlan {
members remote-analyzer;
}
}
}
}
ge-0/0/0 {
unit 0 {
family ethernet-switching {
filter {
input watch-employee;
}
}
}
}
ge-0/0/1 {
unit 0 {
family ethernet-switching {
filter {
input watch-employee;
}
}
}
}
}
...
firewall {
family ethernet-switching {
...
filter watch-employee {
term employee-to-web {
from {
destination-port 80;
}
then port-mirror-instance employee-web-monitor;
}
}
}
}
forwarding-options analyzer {
employee-web-monitor {
output {
vlan {
999;
}
}
}
vlans {
remote-analyzer {
vlan-id 999;
}
}
Verificación
Comprobación de que el analizador se ha creado correctamente
Propósito
Verifique que el analizador denominado employee-monitor o employee-web-monitor creado en el conmutador con las interfaces de entrada y la interfaz de salida adecuadas.
Acción
Puede comprobar que el analizador de espejo de puertos está configurado como se esperaba mediante el show analyzer comando.
user@switch> show analyzer Analyzer name : employee-monitor Output VLAN : remote-analyzer Ingress monitored interfaces : ge-0/0/0.0 Ingress monitored interfaces : ge-0/0/1.0
Significado
Este resultado muestra que el employee-monitor analizador está reflejando el tráfico que entra ge-0/0/0 y ge-0/0/1 está enviando el tráfico de reflejo al analizador remote-analyzer.