Ayúdenos a mejorar su experiencia.

Háganos saber su opinión.

¿Podría dedicar dos minutos de su tiempo a completar una encuesta?

Announcement: Try the Ask AI chatbot for answers to your technical questions about Juniper products and solutions.

close
header-navigation

Solutions

Featured solutions AI Campus and branch Data center WAN Security Service provider Cloud operator Industries
Campus and Branch

Welcome to the NOW Way to Wi-Fi

Take your networking performance to new heights with a modern, cloud-native, AI-Native architecture. Only Juniper can help you unleash the full potential of Wi-Fi 7 with our AI-Native platform for innovation.
Prepare for liftoff
Business intelligence analyst dashboard on virtual screen. Big data Graphs Charts.

AI Data Center Networking

Juniper’s AI data center solution is a quick way to deploy high performing AI training and inference networks that are the most flexible to design and easiest to manage with limited IT resources.
Find out more
Enterprise AI-Native Networking

Enterprise AI‑Native Routing

Juniper's Ai-Native routing solution delivers robust 400GbE and 800GbE capabilities for unmatched performance, reliability, and sustainability at scale.
Explore enterprise routing
Zero trust security

Ops4AI Lab

Visit our lab in Sunnyvale, CA and see our AI data center solution for yourself. You can try out your own model’s functionality and performance, too.
Visit the lab
Enterprise AI-Native Networking

Enterprise AI‑Native Routing

Juniper's Ai-Native routing solution delivers robust 400GbE and 800GbE capabilities for unmatched performance, reliability, and sustainability at scale.
Explore enterprise routing
Higher Education

Shaping Student Experiences: The NOW Way to Build Higher Education Networks

Juniper Networks CIO Sharon Mandell and a virtual summit of C-level IT leaders from prestigious institutions discuss ongoing efforts to support digital transformation on campus.
Watch now
Hand on tablet with healthcare overlay of graphics

Security in healthcare

In this IDC Spotlight report, discover how AI networking can automate and strengthen a healthcare ecosystem to defeat criminals and prevent loss. 
Gain insights into ecosystem security
Retail

The Future of In-Store Technologies

Retail experts Kevin McCartan, Senior IT Service Delivery Engineer at Musgrave; Jack Stratten of Insider Trends; and Christian Gilby, Senior Director of Product Marketing at Juniper Networks, discuss customer experiences.
See the future

Products

Wireless access Wired access SD-WAN / SASE Routing and switching Security Mist AI™ Management software Network operating system Blueprint for AI-Native Acceleration Optics
  • Operations
ACX7020 router

Juniper ACX7020 Cloud Metro Access Router

Legacy networks simply cannot meet the demands of today’s rapidly evolving metro landscape. Unlock a new generation of highly scalable architectures and automated operations with the Juniper ACX7020. 
Learn more
EX4000 Ethernet Switch

Next-gen AI-Native EX4000 line of switches

Lack of AI innovation from your current networking vendor slowing you down? Embrace Juniper’s cloud-native, AI-Native access switches that support every level and layer, across nearly every deployment.
Discover how
The Q and AI text with an image of Bob Friday and Kedar Dhuru.

The Q&AI Podcast

Delivering practical solutions and enriching discussions, this podcast series is a vital resource for those seeking an in-depth exploration of AI's transformative potential.
Catch the latest episode

Services

Services
Services AI Care

Juniper AI Care Services Revolutionize Your Service Experience

Our industry-first AI-Native services couple AIOps with our deep expertise across the full network life cycle. You can move from reactive response to proactive insight and action.
Explore AI Care Services
Services AI Data Center

Juniper AI Data Center Deployment Services Optimize Your AI Model Runs

We use our expertise and validated designs to help design, deploy, validate and tune networks, including GPUs and storage, to get the most from your AI infrastructure operation.
Learn about AI Data Center Deployment Services

Partners

Partners

Support and Documentation

Support and Documentation

Learn

About Juniper Training Events The Feed Resources Technology learning topics Thought leadership and insights
Audience raising hands up while businessman is speaking in training at the office.

Juniper certification and training news

See the latest
Ringing of the bell

All global events

See the latest
AI-native-now

AI-Native NOW event series

Explore events
AINN AI Innovation Impact Virtual Event

AI-Native NOW: AI Innovation and Impact

Register NOW
Juniper's Christina Hendrix at the head of a conference table. With the text "The NOW Way to Network" overlayed, with "NOW" emphasizing the "O" in green color.

The NOW Way to Network

Watch the video series
AI Native Now

Executive insights

Dive deep with leading experts and thought leaders on all the topics that matter most to your business, from AI to network security to driving rapid, relevant transformation for your business.
Learn more
A keynote speaker giving a presentation at a conference. There are dozens of people sitting around them. The presentation is displayed via projector on all the walls in the room.

Leadership voices

Juniper Networks’ leaders operate on the front lines of creating the network of the future. Take a look around to see what’s on their minds.
Watch now
Bob Friday and Jessica Garrison speaking

Bob Friday Talks

Join Bob as he ventures into all the knowns -- and -- unknowns -- of AI.
Catch the latest episode
Documentation
Menu
License Guide
Quick Starts
Validated Designs
Explore Pathfinder Apps
CLI Explorer
Feature Explorer
Hardware Compatibility Tool
Port Checker
Browse All
Collapse

Pathfinder Apps

All

By Software

By Hardware

Learn More
Pathfinder HomeCLI ExplorerCompliance AdvisorFeature ExplorerHardware Compatibility ToolJunos XML API ExplorerJunos YANG Data Model ExplorerPort CheckerPower CalculatorSNMP MIB ExplorerSystem Log Explorer
CLI ExplorerFeature ExplorerJunos XML API ExplorerJunos YANG Data Model ExplorerSNMP MIB ExplorerSystem Log Explorer
Compliance AdvisorFeature ExplorerHardware Compatibility ToolPort CheckerPower Calculator
Home Documentation Junos OS Guía de administración y monitoreo de red Imitación de puerto Duplicación de puertos y analizadores

Guía de administración y monitoreo de red

keyboard_arrow_up
close
keyboard_arrow_left
Guía de administración y monitoreo de red
Table of Contents Expand all
list Table of Contents
EN ESTA PÁGINA
keyboard_arrow_right

¿Fue útil esta traducción automática?

starstarstarstarstar
Go to English page
DESCARGO DE RESPONSABILIDAD:

Esta página será traducida por software de traducción automática de terceros. Si bien nos hemos esforzado por proporcionar una traducción de calidad, Juniper Networks no puede garantizar su corrección. En caso de duda respecto a la exactitud de la información que ofrece esta traducción, consulte la versión en inglés. El PDF descargable está disponible solo en inglés.

Configuración del análisis local y remoto de creación de reflejo de puertos

date_range 18-Jan-25
arrow_backward
arrow_forward

Configuración de la creación de reflejo de puertos

Utilice la creación de reflejo de puertos para copiar paquetes y enviar las copias a un dispositivo que ejecute una aplicación, como un analizador de red o una aplicación de detección de intrusiones, de modo que pueda analizar el tráfico sin retrasarlo. Puede reflejar el tráfico que entra o sale de un puerto o entrar en una VLAN, y puede enviar las copias a una interfaz de acceso local o a una VLAN a través de una interfaz troncal.

Le recomendamos que deshabilite la creación de reflejo de puertos cuando no la esté utilizando. Para evitar crear un problema de rendimiento Si habilita la creación de reflejo de puertos, le recomendamos que seleccione interfaces de entrada específicas en lugar de usar la all palabra clave. También puede limitar la cantidad de tráfico reflejado mediante un filtro de firewall.

Nota:

Esta tarea utiliza el estilo de configuración Enhanced Layer 2 Software (ELS). Si el conmutador utiliza software que no admite ELS, consulte Configuración de la creación de reflejo de puertos. Para obtener detalles de ELS, consulte Uso de la CLI de Enhanced Layer 2 Software.

Nota:

Si desea crear analizadores adicionales sin eliminar un analizador existente, desactive primero el analizador existente mediante el disable analyzer analyzer-name comando.

Nota:

Debe configurar las interfaces de salida de creación de reflejo de puerto como family ethernet-switching.

Configuración de la creación de reflejo de puertos para el análisis local

Para reflejar el tráfico de la interfaz a una interfaz local en el conmutador:

  1. Si desea reflejar el tráfico que entra o sale de interfaces específicas, elija un nombre para la configuración de duplicación de puertos y configure qué tráfico debe reflejarse especificando las interfaces y la dirección del tráfico:
    content_copy zoom_out_map
    [edit forwarding-options]
user@switch# set analyzer analyzer-name input (ingress | egress) interface interface-name
    Nota:

    Si configura Junos OS para reflejar paquetes de salida, no configure más de 2000 VLAN. Si lo hace, es posible que algunos paquetes de VLAN contengan ID de VLAN incorrectos.

    Nota:

    Si configura la creación de reflejo para los paquetes que salen de una interfaz de acceso, los paquetes originales pierden cualquier etiqueta VLAN cuando salen de la interfaz de acceso, pero los paquetes reflejados (copiados) conservan las etiquetas VLAN cuando se envían al sistema del analizador.

  2. Si desea especificar que todo el tráfico que entre en una VLAN se refleje, elija un nombre para la configuración de duplicación de puertos y especifique la VLAN:
    content_copy zoom_out_map
    [edit forwarding-options]
user@switch# set analyzer analyzer-name input ingress vlan vlan-name
    Nota:

    No puede configurar la creación de reflejo de puertos para copiar el tráfico que sale de una VLAN.

  3. Configure la interfaz de destino para los paquetes reflejados:
    content_copy zoom_out_map
    [edit forwarding-options]
user@switch# set analyzer analyzer-name output interface interface-name

Configuración de la creación de reflejo de puertos para el análisis remoto

Para reflejar el tráfico a una VLAN para su análisis en una ubicación remota:

  1. Configure una VLAN para transportar el tráfico reflejado:
    content_copy zoom_out_map
    [edit]
user@switch# set vlans vlan-name vlan-id number
  2. Configure la interfaz que se conecta a otro conmutador (la interfaz de vínculo ascendente) en modo troncal y asóciela a la VLAN adecuada:
    content_copy zoom_out_map
    [edit]
user@switch# set interfaces interface-name unit 0 family ethernet-switching port-mode trunk vlan members (vlan-name | vlan-id)
  3. Configure el analizador:
    1. Elija un nombre para el analizador:
      content_copy zoom_out_map
      [edit forwarding-options] 
user@switch# set analyzer analyzer-name
    2. Especifique la interfaz que se reflejará y si el tráfico debe reflejarse al entrar o al salir:
      content_copy zoom_out_map
      [edit forwarding-options]
user@switch# set analyzer analyzer-name input (ingress | egress) interface interface-name
    3. Especifique la dirección IP o VLAN adecuada como resultado (en este ejemplo, se especifica una VLAN:
      content_copy zoom_out_map
      [edit forwarding-options]
user@switch# set analyzer analyzer-name output vlan (vlan-name | vlan-id)

      Si especifica una dirección IP como salida, tenga en cuenta las siguientes restricciones:

      • La dirección no puede estar en la misma subred que ninguna de las interfaces de administración del conmutador.

      • Si crea instancias de enrutamiento virtual y también crea una configuración de analizador que incluya una dirección IP de salida, la dirección de salida pertenece a la instancia de enrutamiento virtual predeterminada (inet.0 tabla de enrutamiento).

      • El dispositivo analizador debe ser capaz de desencapsular paquetes encapsulados en GRE o los paquetes encapsulados en GRE deben desencapsularse antes de llegar al dispositivo analizador. (Puede usar un rastreador de red para desencapsular los paquetes).

Filtrado del tráfico que entra en un analizador

Nota:

Esta funcionalidad no es compatible con dispositivos NFX150.

Además de especificar qué tráfico reflejar mediante la configuración de un analizador, también puede utilizar un filtro de firewall para ejercer más control sobre qué paquetes se copian. Por ejemplo, puede usar un filtro para especificar que solo se refleje el tráfico de determinadas aplicaciones. El filtro puede utilizar cualquiera de las condiciones de coincidencia disponibles y debe tener una acción de modificador de port-mirror-instance instance-name. Si utiliza el mismo analizador en varios filtros o términos, los paquetes de salida se copian una sola vez.

Cuando se utiliza un filtro de firewall como entrada para una instancia de duplicación de puertos, se envía el tráfico copiado a una interfaz local o a una VLAN del mismo modo que se hace cuando no interviene un firewall.

Para configurar la creación de reflejo de puertos con filtros:

  1. Configure una instancia de duplicación de puertos para el análisis local o remoto. Configure solo la salida. Por ejemplo, para el análisis local, escriba:
    content_copy zoom_out_map
    [edit forwarding-options]
user@switch# set port-mirroring-instance instance-name output interface interface-name
    Nota:

    No puede configurar la entrada para esta instancia.

  2. Cree un filtro de firewall utilizando cualquiera de las condiciones de coincidencia disponibles. En un then término, especifique include el modificador port-mirror-instance instance-namede acción .
  3. Aplique el filtro de firewall a las interfaces o VLAN que deben proporcionar la entrada al analizador:
    content_copy zoom_out_map
    [edit]
user@switch# set interfaces interface-name unit 0 family ethernet-switching filter input filter-name

[edit]
user@switch# set vlan (vlan-name | vlan-id) filter input filter-name

Consulte también

Configuración de la duplicación de puertos en firewalls de la serie SRX

Para configurar la creación de reflejo de puertos en un dispositivo SRX, primero debe configurar el forwarding-options y interfaces en el nivel de [edit] jerarquía.

Debe configurar la forwarding-options instrucción para definir una instancia del mirror-to puerto para la creación de reflejo del puerto y también configurar la interfaz que se reflejará.

Nota:

El puerto duplicado y el puerto espejo a deben estar bajo el mismo chipset Broadcom en una tarjeta de E/S.

Para configurar la creación de reflejo de puertos:

  1. Especifique el rate y run-length en el nivel jerárquico [edit forwarding-options port-mirroring input] :
    Nota:

    • rate: Proporción de paquetes a muestrear (1 de cada N) (de 1 a 65535)

    • run-length: Número de muestras después del disparo inicial (0 a 20)

    content_copy zoom_out_map
    [edit]
    forwarding-options 
        port-mirroring {
                input {
                    rate number;
                    run-length number;
                }
            }
  2. Para enviar las copias del paquete al mirror-to puerto, incluya la interface intf-name instrucción en el [edit forwarding-options port-mirroring family any output] nivel jerárquico.
    content_copy zoom_out_map
    output {
    interface intf-name;
}
    Nota:

    La creación de reflejo de puertos en los firewalls de la serie SRX se utiliza family any para transferir la información del mirror-to puerto al motor de reenvío de paquetes (PFE). El motor de creación de reflejo copia todos los paquetes del mirrored puerto al mirror-to puerto.

Nota:

Puede configurar una instance cláusula para especificar varios mirror-to puertos.

Para reflejar una interfaz, incluya la port-mirror-instance instrucción en el nivel jerárquico [edit interface mirrored-intf-name] .

La interfaz reflejada se configura con un nombre de instancia, definido en el forwarding-optionsarchivo . El mirrored puerto y el puerto están vinculados a través de mirror-to esa instancia.

content_copy zoom_out_map
instance {
    inst-name {
        input {
            rate number;
            run-length number;
        }
        family any {
            output {
                interface intf-name;
            }
        }
    }
}
interfaces
        mirrored-intf-name {
            port-mirror-instance instance-name;
        }
Nota:

La duplicación de puertos en los firewalls de la serie SRX no diferencia la dirección del tráfico, pero refleja las muestras de entrada y salida juntas .

A continuación se muestra un ejemplo de configuración para la creación de reflejo de puertos:

content_copy zoom_out_map
mirror port ge-1/0/2 to port ge-1/0/9.0
forwarding-options 
    port-mirroring {
        input {
            rate 1;
            run-length 10;
        }
        family any {
            output {
                interface ge-1/0/9.0;
            }
        }
        instance {
            inst1 {
                input {
                    rate 1;
                    run-length 10;
                }
                family any {
                    output {
                        interface ge-1/0/9.0;
                    }
                }
            }
        }
interfaces {
    ge-1/0/2  {
        port-mirror-instance inst1;
    }
}

Ejemplos: Configuración de la creación de reflejo de puertos para el análisis local

Use la creación de reflejo de puertos para enviar tráfico a aplicaciones que analizan el tráfico con fines como supervisar el cumplimiento, aplicar políticas, detectar intrusiones, supervisar y predecir patrones de tráfico, correlacionar eventos, etc. La duplicación de puertos copia los paquetes que entran o salen de una interfaz o que ingresan a una VLAN y envía las copias a una interfaz local para el monitoreo local.

Nota:

En este ejemplo se utiliza el estilo de configuración Enhanced Layer 2 Software (ELS). Para obtener detalles de ELS, consulte Uso de la CLI de Enhanced Layer 2 Software.

En este ejemplo se describe cómo configurar la creación de reflejo de puertos para copiar el tráfico enviado por los equipos de los empleados a un conmutador a una interfaz de acceso en el mismo conmutador.

Requisitos

En este ejemplo, se utilizan los siguientes componentes de hardware y software:

  • Junos OS versión 13.2

  • Un conmutador

Descripción general y topología

En este tema se incluyen dos ejemplos relacionados en los que se describe cómo reflejar el tráfico que entra en las interfaces del conmutador y una interfaz de acceso del mismo conmutador. En el primer ejemplo, se muestra cómo reflejar todo el tráfico enviado por los equipos de los empleados al conmutador. El segundo ejemplo incluye un filtro para reflejar sólo el tráfico de empleados que va a la Web.

Topología

En este ejemplo, xe-0/0/0 y xe-0/0/6 sirven como conexiones para las computadoras de los empleados. La interfaz xe-0/0/47 está conectada a un dispositivo que ejecuta una aplicación analizadora.

Nota:

Varios puertos reflejados en una interfaz pueden provocar el desbordamiento del búfer y la pérdida de paquetes.

Figura 1 muestra la topología de red de este ejemplo.

Figura 1: Ejemplo de topología de red para creación de reflejo de puerto localEjemplo de topología de red para creación de reflejo de puerto local

Ejemplo: Duplicación de todo el tráfico de empleados para análisis local

Para configurar la creación de reflejo de puertos para todo el tráfico enviado por los equipos de los empleados para su análisis local, realice las tareas que se explican en esta sección.

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente la duplicación de puertos locales para el tráfico de entrada a los dos puertos conectados a los equipos de los empleados, copie los siguientes comandos y péguelos en una ventana de terminal de conmutación:

content_copy zoom_out_map
[edit]
 set interfaces xe-0/0/0 unit 0 family ethernet-switching
 set interfaces xe-0/0/6 unit 0 family ethernet-switching
 
 set interfaces xe-0/0/47 unit 0 family ethernet-switching
 set forwarding-options analyzer employee-monitor input ingress interface xe-0/0/0.0
 set forwarding-options analyzer employee-monitor input ingress interface xe-0/0/6.0
 set forwarding-options analyzer employee-monitor output interface xe-0/0/47.0
Procedimiento paso a paso

Para configurar un analizador llamado employee-monitor y especificar las interfaces de entrada (origen) y la interfaz de salida:

  1. Configure las interfaces conectadas a los equipos de los empleados como interfaces de entrada para el analizador employee-monitorde espejo de puerto:

    content_copy zoom_out_map
    [edit forwarding-options]
 user@switch# set analyzer employee-monitor input ingress interface xe–0/0/0.0
user@switch# set analyzer employee-monitor input ingress interface xe–0/0/6.0

  2. Configure la interfaz del analizador de salida para el employee-monitor analizador. Esta será la interfaz de destino para los paquetes reflejados:

    content_copy zoom_out_map
    [edit forwarding-options]
user@switch# set analyzer employee-monitor output interface xe-0/0/47.0
Resultados

Compruebe los resultados de la configuración:

content_copy zoom_out_map
[edit] 
user@switch# show forwarding-options analyzer
    employee-monitor {
        input {
            ingress {
                interface xe-0/0/0.0;
                interface xe-0/0/6.0;
            }
        }
        output {
            interface {
                xe-0/0/47.0;
            }
        }
    }
}

Ejemplo: Duplicación del tráfico web de los empleados con un filtro de firewall

Requisitos

En este ejemplo, se utilizan los siguientes componentes de hardware y software:

  • Un conmutador QFX5100

  • Junos OS versión 14.1X53-D30

Descripción general

En lugar de reflejar todo el tráfico, generalmente es deseable reflejar solo cierto tráfico. Este es un uso más eficiente de su ancho de banda y hardware y puede ser necesario debido a restricciones en estos activos. Para seleccionar tráfico específico para la creación de reflejos, utilice un filtro de firewall para que coincida con el tráfico deseado y lo dirija a una instancia de creación de reflejo de puertos. A continuación, la instancia de duplicación de puertos copia los paquetes y los envía a la VLAN, interfaz o dirección IP de salida.

Configurar

Para especificar que el único tráfico que se reflejará es el tráfico enviado por los empleados a la Web, realice las tareas explicadas en esta sección. Para seleccionar este tráfico para la creación de reflejos, utilice un filtro de firewall para especificar este tráfico y dirigirlo a una instancia de creación de reflejo de puertos.

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente la duplicación del puerto local del tráfico de los equipos de los empleados destinado a la Web, copie los comandos siguientes y péguelos en una ventana de terminal de conmutador:

content_copy zoom_out_map
[edit]
 set interface xe-0/0/47 unit 0 family ethernet-switching
 set forwarding-options port-mirroring instance employee–web–monitor family ethernet-switching output interface xe-0/0/47.0
 set firewall family ethernet-switching filter watch-employee term employee-to-corp from ip-destination-address 192.0.2.16/28
 set firewall family ethernet-switching filter watch-employee term employee-to-corp from ip-source-address 192.0.2.16/28
 set firewall family ethernet-switching filter watch-employee term employee-to-corp then accept
 set firewall family ethernet-switching filter watch-employee term employee-to-web from destination-port 80
 set firewall family ethernet-switching filter watch-employee term employee-to-web then port-mirror-instance employee-web-monitor
 set interfaces xe-0/0/0 unit 0 family ethernet-switching filter input watch-employee
 set interfaces xe-0/0/6 unit 0 family ethernet-switching filter input watch-employee
Procedimiento paso a paso

Para configurar la creación de reflejo del puerto local del tráfico de empleados a web desde los dos puertos conectados a los equipos de los empleados:

  1. Configure la interfaz de salida:

    content_copy zoom_out_map
    [edit interfaces]
user@switch# set xe-0/0/47 unit 0 family ethernet-switching

  2. Configure la interfaz de employee-web-monitor salida. (Configure solo la salida: la entrada proviene del filtro).

    content_copy zoom_out_map
    [edit forwarding-options]
user@switch# set port-mirroring instance employee–web–monitor family ethernet-switching output interface xe-0/0/47.0

  3. Configure un filtro de firewall llamado watch-employee que incluya un término para que coincida con el tráfico enviado a la Web y envíelo a la instancia employee-web-monitorde creación de reflejo de puertos. No es necesario copiar el tráfico hacia y desde la subred corporativa (destino o dirección de origen de ) , así que cree otro término para aceptar ese tráfico antes de 192.0.2.16/28que llegue al término que envía el tráfico web a la instancia:

    content_copy zoom_out_map
    [edit firewall family ethernet-switching]
user@switch# set filter watch-employee term employee-to-corp from ip-destination-address 192.0.2.16/28
user@switch# set filter watch-employee term employee-to-corp from ip-source-address 192.0.2.16/28
user@switch# set filter watch-employee term employee-to-corp then accept
user@switch# set filter watch-employee term employee-to-web from destination-port 80
user@switch# set filter watch-employee term employee-to-web then port-mirror-instance employee-web-monitor

  4. Aplique el filtro de firewall a las interfaces apropiadas como filtro de entrada (los filtros de salida no permiten analizadores):

    content_copy zoom_out_map
    [edit interfaces]
user@switch# set xe-0/0/0 unit 0 family ethernet-switching filter input watch-employee
user@switch# set xe-0/0/6 unit 0 family ethernet-switching filter input watch-employee
Resultados

Compruebe los resultados de la configuración:

content_copy zoom_out_map
[edit] 
user@switch# show 
forwarding-options {
    port-mirroring {
        instance 	{
            employee-web-monitor	{
                family ethernet-switching {
                        output { 
                            interface xe-0/0/47.0;
                        }
                }
            }
        } 
    }
}
...
firewall {
    family ethernet-switching {
        filter watch-employee {
            term employee-to-corp {
            from {
                    ip-source-address 192.0.2.16/28;
                    ip-destination-address 192.0.2.16/28;
                }
                then accept; 
            term employee-to-web {
                from {
                    destination-port 80;
                }
                then port-mirror-instance employee-web-monitor;
            }
        }
    }
}
...
interfaces {
    xe-0/0/0 {
        unit 0 {
            family ethernet-switching {
                filter {
                    input watch-employee;
                }
            }
        }
    }
    xe-0/0/6 {
        family ethernet-switching {
            filter {
                input watch-employee;
            }
        }
    }
    xe-0/0/47 {
        family ethernet-switching;
    }
}

Verificación

Comprobación de que el analizador se ha creado correctamente

Propósito

Verifique que la instancia de duplicación de puertos denominada employee-web-monitor se haya creado en el conmutador con las interfaces de entrada y la interfaz de salida adecuadas.

Acción

Puede comprobar que la instancia de duplicación de puertos se ha configurado según lo esperado mediante el show forwarding-options port-mirroring comando.

content_copy zoom_out_map
user@switch> show forwarding-options port-mirroring
Instance name                 : employee-web-monitor
Instance Id:  2
Input parameters:
	Rate                              :1
	Run-length                        :0
	Maximum packet length             :0
Output parameters:
	Family                 State      Destination      Next-hop
	ethernet-switching     up         xe-0/0/47.0
Significado

Este resultado muestra la siguiente información acerca de la instancia employee-web-monitorde creación de reflejo de puertos:

  • Tiene una velocidad de 1 (duplicar cada paquete, la configuración predeterminada)

  • El número de paquetes consecutivos muestreados (longitud de ejecución) es 0

  • El tamaño máximo del paquete original que se reflejó es 0 (0 indica todo el paquete)

  • El estado de los parámetros de salida: up Indica que la instancia refleja el tráfico que entra en las interfaces xe-0/0/0 y xe-0/0/6 y envía el tráfico reflejado a la interfaz xe-0/0/47

Si el estado de la interfaz de salida es down o si la interfaz de salida no está configurada, el state valor será down y la instancia no se programará para la creación de reflejo.

Ejemplo: Configuración de la creación de reflejo de puertos para el análisis remoto

Use la creación de reflejo de puertos para enviar tráfico a aplicaciones que analizan el tráfico con fines como supervisar el cumplimiento, aplicar políticas, detectar intrusiones, supervisar y predecir patrones de tráfico, correlacionar eventos, etc. La duplicación de puertos copia los paquetes que entran o salen de una interfaz o que ingresan una VLAN y envía las copias a una interfaz local para monitoreo local o a una VLAN para monitoreo remoto. En este ejemplo se describe cómo configurar la creación de reflejo de puertos para el análisis remoto.

Requisitos

En este ejemplo, se utilizan los siguientes componentes de hardware y software:

  • Junos OS versión 13.2 para la serie QFX

  • Un conmutador

Descripción general y topología

En este tema se incluyen dos ejemplos relacionados en los que se describe cómo reflejar el tráfico que entra en los puertos del conmutador a una VLAN del analizador para que pueda realizar el análisis mediante un dispositivo remoto. En el primer ejemplo, se muestra cómo reflejar todo el tráfico enviado por los equipos de los empleados al conmutador. El segundo ejemplo incluye un filtro para reflejar sólo el tráfico de empleados que va a la Web.

Topología

En este ejemplo:

  • Interfaces ge-0/0/0 y ge-0/0/1 son interfaces de capa 2 que se conectan a los equipos de los empleados.

  • La interfaz ge-0/0/2 es una interfaz de capa 2 que se conecta a otro conmutador.

  • La VLAN remote-analyzer está configurada en todos los conmutadores de la topología para transportar el tráfico reflejado.

Nota:

Además de realizar los pasos de configuración descritos aquí, también debe configurar la VLAN del analizador (remote-analyzer en este ejemplo) en los demás conmutadores que se utilizan para conectar el conmutador de origen (el de esta configuración) al que está conectada la estación de supervisión.

Duplicación de todo el tráfico de empleados para análisis remoto

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente esta sección del ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, a continuación, copie y pegue los comandos en la CLI en el nivel de edit jerarquía:

content_copy zoom_out_map
[edit]
 set vlans remote-analyzer vlan-id 999
 set interfaces ge-0/0/10 unit 0 family ethernet-switching port-mode trunk
 set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999
 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/0.0
 set forwarding-options analyzer employee-monitor input ingress interface ge-0/0/1.0
 set forwarding-options analyzer employee-monitor output vlan remote-analyzer
Procedimiento paso a paso

Para configurar la creación básica de reflejo de puerto remoto:

  1. Configure la VLAN del analizador (llamada remote-analyzer en este ejemplo):

    content_copy zoom_out_map
    [edit vlans]
user@switch# set vlans remote-analyzer vlan-id 999

  2. Configure la interfaz conectada a otro conmutador para el modo troncal y asóciela a la remote-analyzer VLAN:

    content_copy zoom_out_map
    [edit interfaces]
user@switch# set ge-0/0/10 unit 0 family ethernet-switching port-mode trunk
user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999

  3. Configure el employee-monitor analizador:

    content_copy zoom_out_map
    [edit forwarding-options]
user@switch# set analyzer employee–monitor 
user@switch# set analyzer employee-monitor input ingress interface ge-0/0/0.0
user@switch# set analyzer employee-monitor input ingress interface ge-0/0/1.0
user@switch# set analyzer employee-monitor output vlan remote-analyzer

  4. Configure la remote-analyzer VLAN en los conmutadores que conectan este conmutador a la estación de trabajo de supervisión.

Resultados

Compruebe los resultados de la configuración:

content_copy zoom_out_map
[edit] 
user@switch# show 
 forwarding-options {
    analyzer employee-monitor {
        input {
            ingress {
                interface ge-0/0/0.0;
                interface ge-0/0/1.0;
            }
        }
        output {
            vlan {
                remote-analyzer;
            }
        }
    }
}

Duplicación del tráfico de empleados a la web para análisis remoto

Configuración rápida de CLI

Para configurar rápidamente esta sección del ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, a continuación, copie y pegue los comandos en la CLI en el nivel de edit jerarquía:

content_copy zoom_out_map
[edit]
 set vlans remote-analyzer vlan-id 999
 set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk
 set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members 999
 set forwarding-options port-mirroring instance employee-web-monitor loss-priority high output vlan 999
 set firewall family ethernet-switching filter watch-employee term employee-to-web from destination-port 80
 set firewall family ethernet-switching filter watch-employee term employee-to-web then port-mirror-instance employee-web-monitor
 set ge-0/0/0 unit 0 family ethernet-switching filter input watch-employee
 set interfaces ge-0/0/1 unit 0 family ethernet-switching filter input watch-employee

Procedimiento

Procedimiento paso a paso

  1. Configure la VLAN del analizador (llamada remote-analyzer en este ejemplo):

    content_copy zoom_out_map
    [edit vlans]
user@switch# set remote-analyzer vlan-id 999

  2. Configure una interfaz para asociarla con la remote-analyzer VLAN:

    content_copy zoom_out_map
    [edit interfaces]
user@switch# set interfaces ge-0/0/10 unit 0 family ethernet-switching interface-mode trunk
user@switch# set ge-0/0/10 unit 0 family ethernet-switching vlan members 999

  3. Configure el employee-web-monitor analizador. (Configure solo la salida: la entrada proviene del filtro).

    content_copy zoom_out_map
    [edit forwarding-options]
user@switch# set forwarding-options port-mirroring instance employee-web-monitor output vlan 999

  4. Configure un filtro de firewall llamado watch-employee para que coincida con el tráfico enviado a la Web y envíelo al analizador employee-web-monitor:

    content_copy zoom_out_map
    [edit firewall family ethernet-switching]
user@switch# set filter watch-employee term employee-to-web from destination-port 80
user@switch# set filter watch-employee term employee-to-web then port-mirror-instance employee-web-monitor

  5. Aplique el filtro de firewall a las interfaces apropiadas como filtro de entrada:

    content_copy zoom_out_map
    [edit interfaces]
user@switch# set ge-0/0/0 unit 0 family ethernet-switching filterinput watch-employee
user@switch# set ge-0/0/1 unit 0 family ethernet-switching filter input watch-employee

  6. Configure la remote-analyzer VLAN en los conmutadores que conectan este conmutador a la estación de trabajo de supervisión.

Resultados

Compruebe los resultados de la configuración:

content_copy zoom_out_map
[edit] 
user@switch# show 
interfaces {
    ...
    ge-0/0/10 {
        unit 0 {
            family ethernet-switching {
                interface-mode trunk;
                vlan {
                    members remote-analyzer;
                }
            }
        }
    }
    ge-0/0/0 {
        unit 0 {
            family ethernet-switching {
                filter {
                    input watch-employee;
                }
            }
        }
    }
    ge-0/0/1 {
        unit 0 {
            family ethernet-switching {
                filter {
                    input watch-employee;
                }
            }
        }
    }
}
...
firewall {
     family ethernet-switching {
        ...
        filter watch-employee {
            term employee-to-web {
                from {
                    destination-port 80;
                }
                then port-mirror-instance employee-web-monitor;
            }
        }
    }
}
 forwarding-options analyzer {
    employee-web-monitor {
        output {
            vlan {
                999;
            }
        }
    }
vlans {
    remote-analyzer {
        vlan-id 999;
    }
}

Verificación

Comprobación de que el analizador se ha creado correctamente

Propósito

Verifique que el analizador denominado employee-monitor o employee-web-monitor creado en el conmutador con las interfaces de entrada y la interfaz de salida adecuadas.

Acción

Puede comprobar que el analizador de espejo de puertos está configurado como se esperaba mediante el show analyzer comando.

content_copy zoom_out_map
user@switch> show analyzer
	Analyzer name                : employee-monitor
	Output VLAN                  : remote-analyzer 
	Ingress monitored interfaces : ge-0/0/0.0
	Ingress monitored interfaces : ge-0/0/1.0
Significado

Este resultado muestra que el employee-monitor analizador está reflejando el tráfico que entra ge-0/0/0 y ge-0/0/1 está enviando el tráfico de reflejo al analizador remote-analyzer.

arrow_backward PREVIOUS Configuración de la duplicación de puertos para destinos remotos
NEXT arrow_forward Duplicación de puerto 1:N a múltiples destinos en conmutadores
footer-navigation

© 1999 - 2025 Juniper Networks, Inc. All rights reserved.

Scroll to top