Cấu hình Port Mirroring và Analyzers trên Switch Juniper EX Series

Cấu hình Port Mirroring và Analyzers trên Switch Juniper EX Series

Tìm hiểu về Port Mirroring và Analyzers

Port mirroring (phản chiếu cổng) có thể được sử dụng để phân tích lưu lượng trên các bộ định tuyến (router) và thiết bị chuyển mạch (switch) — không giống như hub, các thiết bị này không phát gói tin tới tất cả các cổng của thiết bị đích. Port mirroring sẽ gửi bản sao của tất cả các gói tin hoặc các gói tin mẫu dựa trên chính sách đến các analyzer (thiết bị phân tích) cục bộ hoặc từ xa, nơi bạn có thể theo dõi và phân tích dữ liệu.

Trong bối cảnh của các analyzer sử dụng port mirroring, chúng ta dùng thuật ngữ thiết bị chuyển mạch (switching device). Thuật ngữ này chỉ thiết bị (bao gồm cả router) đang thực hiện chức năng chuyển mạch.

Bạn có thể sử dụng analyzer ở cấp độ gói tin để hỗ trợ:

• Giám sát lưu lượng mạng
• Thi hành các chính sách sử dụng mạng
• Thi hành các chính sách chia sẻ tệp
• Xác định nguyên nhân của các sự cố
• Xác định các trạm (host) hoặc ứng dụng sử dụng băng thông nhiều hoặc bất thường

Bạn có thể cấu hình port mirroring để phản chiếu:

• Các gói tin dạng cầu nối (bridged packets – gói tin lớp 2)
• Các gói tin định tuyến (routed packets – gói tin lớp 3)

Các gói tin được phản chiếu có thể được sao chép đến một giao diện cục bộ để giám sát tại chỗ, hoặc đến một VLAN hoặc bridge domain để giám sát từ xa.

Các gói tin sau có thể được sao chép:

• Gói tin đi vào hoặc đi ra khỏi cổng (port) — Bạn có thể phản chiếu các gói tin đi vào hoặc đi ra từ các cổng, theo bất kỳ tổ hợp nào, lên đến tối đa 256 cổng. Ví dụ: bạn có thể gửi bản sao của các gói tin đi vào từ một số cổng và các gói tin đi ra từ những cổng khác đến cùng một cổng analyzer cục bộ hoặc VLAN analyzer.
• Gói tin đi vào hoặc đi ra khỏi VLAN hoặc bridge domain — Bạn có thể phản chiếu các gói tin đi vào hoặc đi ra khỏi một VLAN hoặc bridge domain đến một cổng analyzer cục bộ hoặc đến một VLAN analyzer hoặc bridge domain analyzer. Bạn có thể cấu hình nhiều VLAN (tối đa 256 VLAN) hoặc bridge domain làm đầu vào cho analyzer, bao gồm cả dải VLAN và Private VLANs (PVLANs).
• Các gói tin mẫu dựa trên chính sách (policy-based sample packets) — Bạn có thể phản chiếu một mẫu các gói tin được chọn dựa trên chính sách, các gói này đang đi vào một cổng, VLAN hoặc bridge domain. Bạn cấu hình một bộ lọc firewall (firewall filter) với một chính sách để chọn ra các gói tin cần phản chiếu. Mẫu gói tin này có thể được gửi đến một phiên bản port-mirroring hoặc đến một VLAN analyzer hoặc bridge domain analyzer.

Tổng quan về Analyzer

Bạn có thể cấu hình một analyzer để xác định cả lưu lượng đầu vào và lưu lượng đầu ra trong cùng một cấu hình analyzer. Lưu lượng đầu vào cần phân tích có thể là lưu lượng đi vào hoặc đi ra khỏi một giao diện (interface) hoặc VLAN. Cấu hình analyzer cho phép bạn gửi lưu lượng này đến giao diện đầu ra, instance, nhóm next-hop, VLAN, hoặc bridge domain. Bạn có thể cấu hình analyzer tại cấp cấu trúc: [edit forwarding-options analyzer].

Tổng quan về Statistical Analyzer (Phân tích thống kê)

Bạn có thể xác định một tập hợp các thuộc tính phản chiếu (mirroring), chẳng hạn như tỷ lệ phản chiếu (mirroring rate) và chiều dài gói tin tối đa, và liên kết chúng một cách rõ ràng với các cổng vật lý trên router hoặc switch. Tập hợp các thuộc tính này được gọi là statistical analyzer (còn gọi là non-default analyzer – analyzer không mặc định). Ở cấp này, bạn có thể gắn một instance đã được đặt tên với các cổng vật lý được liên kết với một FPC cụ thể (Flexible PIC Concentrator).

Tổng quan về Default Analyzer (Analyzer mặc định)

Bạn có thể cấu hình analyzer mà không cần thiết lập bất kỳ thuộc tính phản chiếu nào, như tỷ lệ phản chiếu hay chiều dài gói tin tối đa. Mặc định, tỷ lệ phản chiếu được đặt là 1, và chiều dài gói tin tối đa được đặt là toàn bộ chiều dài của gói tin. Các thuộc tính này được áp dụng ở cấp độ toàn cục (global) và không cần liên kết với một FPC cụ thể.

Phản chiếu cổng với nhóm cổng được gắn nhiều Statistical Analyzer

Bạn có thể áp dụng tối đa hai statistical analyzer lên cùng một nhóm cổng trên thiết bị chuyển mạch. Bằng cách áp dụng hai instance analyzer khác nhau lên cùng một FPC hoặc Packet Forwarding Engine, bạn có thể gắn hai cấu hình phản chiếu lớp 2 khác nhau cho một nhóm cổng duy nhất. Thuộc tính phản chiếu được gắn với FPC sẽ ghi đè lên thuộc tính analyzer mặc định được thiết lập ở cấp toàn cục trên thiết bị chuyển mạch. Thuộc tính của analyzer mặc định cũng sẽ bị ghi đè nếu bạn gắn thêm một instance analyzer thứ hai lên cùng một nhóm cổng.

Thuật ngữ về Port Mirroring Analyzer

Bảng 1 liệt kê một số thuật ngữ trong port mirroring analyzer và mô tả tương ứng của chúng.

Hướng Dẫn Cấu Hình Cho Port Mirroring Analyzer

Khi bạn cấu hình port mirroring analyzers (bộ phân tích phản chiếu cổng), chúng tôi khuyến nghị bạn nên tuân theo các hướng dẫn sau để đảm bảo đạt được hiệu quả tối ưu: tắt chế độ phản chiếu khi không sử dụng để giảm tải hệ thống không cần thiết, chỉ định cụ thể các giao diện (interfaces) làm đầu vào cho analyzer thay vì sử dụng từ khóa all, vì tùy chọn all sẽ kích hoạt phản chiếu trên tất cả các giao diện, điều này có thể gây ảnh hưởng đến hiệu suất, chỉ phản chiếu những gói tin cần thiết để giảm thiểu tác động đến hiệu năng hệ thống.

Bạn cũng có thể giới hạn lượng lưu lượng được phản chiếu bằng cách:

• Sử dụng phương pháp lấy mẫu thống kê (statistical sampling)
• Sử dụng bộ lọc tường lửa (firewall filter)
• Đặt tỷ lệ để chọn mẫu thống kê (tỷ lệ này quy định cứ bao nhiêu gói sẽ chọn một gói để phản chiếu)

Lưu ý với chế độ phản chiếu cục bộ (Local Mirroring):

• Khi sử dụng local mirroring, lưu lượng từ nhiều cổng sẽ được sao chép và gửi đến giao diện output của analyzer.
• Nếu giao diện đầu ra của analyzer bị quá tải (vượt dung lượng), các gói tin sẽ bị loại bỏ (dropped).
• Do đó, bạn cần tính toán kỹ lưỡng xem tổng lưu lượng được phản chiếu có vượt quá khả năng xử lý của giao diện đầu ra không.

Bảng 2 sẽ tóm tắt thêm các hướng dẫn cấu hình cụ thể hơn cho các analyzer.

Cấu hình phản chiếu lưu lượng trên switch EX9200 để phân tích lưu lượng (Thao tác qua CLI)

Switch EX9200 cho phép bạn cấu hình chức năng mirroring (phản chiếu) để gửi bản sao các gói tin đến một giao diện cục bộ (local interface) để giám sát cục bộ, hoặc đến một VLAN để giám sát từ xa. Bạn có thể sử dụng phản chiếu để sao chép các gói tin sau:

• Gói tin đi vào hoặc đi ra từ một cổng (port)
• Gói tin đi vào hoặc đi ra từ một VLAN

**Khuyến nghị tốt nhất:

Chỉ phản chiếu những gói tin cần thiết để giảm thiểu tác động đến hiệu năng hệ thống. Chúng tôi khuyến nghị bạn:

• Tắt các analyzer đã cấu hình khi không sử dụng đến.
• Chỉ định các giao diện cụ thể làm đầu vào (input) cho analyzer thay vì chọn tất cả các giao diện.
• Giới hạn lượng lưu lượng được phản chiếu bằng cách:
• Sử dụng statistical sampling (lấy mẫu thống kê).
• Thiết lập tỷ lệ phản chiếu để chọn mẫu thống kê.
• Sử dụng bộ lọc firewall để lọc lưu lượng cần phản chiếu.

**Lưu ý:

• Nếu bạn muốn tạo thêm analyzer mà không cần xóa các analyzer hiện có, hãy vô hiệu hóa analyzer cũ bằng lệnh: disable analyzer <tên-analyzer>, Thực hiện từ CLI hoặc trang cấu hình J-Web cho tính năng mirroring.

**Lưu ý: Giao diện được dùng làm output (đầu ra) cho analyzer phải được cấu hình dưới family ethernet-switching và phải liên kết với một VLAN.

Cấu hình Analyzer để phân tích lưu lượng cục bộ (Local Traffic Analysis)

Để phản chiếu lưu lượng mạng hoặc lưu lượng VLAN trên switch đến một giao diện (interface) trên cùng switch bằng cách sử dụng analyzer, bạn thực hiện như sau:

• Chọn một tên cho analyzer và chỉ định nguồn vào (input).

Ví dụ: Tạo một analyzer có tên là employee-monitor để giám sát các gói tin đi vào các giao diện ge-0/0/0.0 và ge-0/0/1.0.

• Cấu hình giao diện đích để nhận các gói tin đã được phản chiếu (mirrored).

Ví dụ, cấu hình ge-0/0/10.0 làm giao diện đích cho analyzer employee-monitor.

Cấu hình Analyzer để phân tích lưu lượng từ xa (Remote Traffic Analysis)

Để phản chiếu lưu lượng đi qua các giao diện hoặc một VLAN trên switch đến một VLAN dùng để phân tích từ một vị trí từ xa:

• Cấu hình một VLAN để mang lưu lượng đã được phản chiếu (mirrored).

Ví dụ, định nghĩa một VLAN analyzer có tên là remote-analyzer và gán cho nó VLAN ID 999.

• Cấu hình giao diện kết nối với switch phân phối (distribution switch) ở chế độ access mode và liên kết nó với VLAN analyzer.

Ví dụ, cấu hình giao diện ge-0/1/1 ở chế độ access mode và liên kết nó với VLAN analyzer có VLAN ID 999.

• Cấu hình analyzer:

+ Định nghĩa một analyzer và chỉ định lưu lượng cần được phản chiếu (mirrored).

Ví dụ, định nghĩa analyzer employee-monitor mà lưu lượng cần phản chiếu bao gồm các gói tin đi vào các giao diện ge-0/0/0.0 và ge-0/0/1.0.

+ Chỉ định VLAN analyzer làm đầu ra (output) cho analyzer.

Ví dụ, chỉ định VLAN remote-analyzer làm analyzer đầu ra cho analyzer employee-monitor.

Cấu hình Statistical Analyzer để phân tích lưu lượng cục bộ (Local Traffic Analysis)

Để phản chiếu lưu lượng giao diện hoặc lưu lượng VLAN trên switch đến một giao diện trên switch bằng cách sử dụng statistical analyzer:

• Chọn tên cho analyzer và chỉ định các giao diện đầu vào (input interfaces).

Ví dụ, chỉ định một analyzer có tên là employee-monitor và chỉ định các giao diện đầu vào ge-0/0/0 và ge-0/0/1.

• Cấu hình giao diện đích cho các gói tin đã được phản chiếu (mirrored).

Ví dụ, cấu hình ge-0/0/10.0 làm giao diện đích cho các gói tin đã được phản chiếu (mirrored).

• Chỉ định các thuộc tính phản chiếu (mirroring properties).

+ Chỉ định tốc độ phản chiếu (mirroring rate) — tức là số lượng gói tin sẽ được phản chiếu mỗi giây.

Dải giá trị hợp lệ là từ 1 đến 65,535.

+ Chỉ định chiều dài mà các gói tin đã được phản chiếu sẽ bị cắt ngắn (truncated).

Dải giá trị hợp lệ là từ 0 đến 9216. Giá trị mặc định là 0, có nghĩa là các gói tin đã phản chiếu không bị cắt ngắn.

Cấu hình Statistical Analyzer cho phân tích lưu lượng từ xa (Remote Traffic Analysis)

Để phản chiếu lưu lượng đi qua các giao diện hoặc một VLAN trên switch đến một VLAN để phân tích từ một vị trí từ xa bằng cách sử dụng statistical analyzer:

• Cấu hình một VLAN để mang lưu lượng đã được phản chiếu.

Ví dụ, cấu hình một VLAN có tên remote-analyzer với VLAN ID 999.

• Cấu hình giao diện kết nối với switch phân phối ở chế độ access mode và liên kết nó với VLAN.

Ví dụ, cấu hình giao diện ge-0/1/1.0 kết nối với switch phân phối ở chế độ access mode và liên kết nó với VLAN remote-analyzer.

• Cấu hình statistical analyzer:

+ Chỉ định lưu lượng cần được phản chiếu (mirrored).

Ví dụ, chỉ định các gói tin đi vào các cổng ge-0/0/0.0 và ge-0/0/1.0 sẽ được phản chiếu.

+ Chỉ định một đầu ra cho analyzer.

Ví dụ, chỉ định VLAN remote-analyzer làm đầu ra cho analyzer.

• Chỉ định các thuộc tính phản chiếu (mirroring properties).

+ Chỉ định tốc độ phản chiếu (mirroring rate) — tức là số lượng gói tin sẽ được phản chiếu mỗi giây.

Dải giá trị hợp lệ là từ 1 đến 65,535.

+ Chỉ định chiều dài mà các gói tin đã được phản chiếu sẽ bị cắt ngắn (truncated).

Dải giá trị hợp lệ là từ 0 đến 9216. Giá trị mặc định là 0, có nghĩa là các gói tin phản chiếu sẽ không bị cắt ngắn.

Gán Statistical Analyzer cho Nhóm Cổng tại Cấp FPC

Bạn có thể gán một statistical analyzer cho một FPC cụ thể trong switch, tức là bạn có thể gán instance của statistical analyzer tại cấp độ FPC của switch. Các thuộc tính phản chiếu được chỉ định trong statistical analyzer sẽ được áp dụng cho tất cả các cổng vật lý liên kết với tất cả các Packet Forwarding Engines trên FPC đã chỉ định.

Để gán một instance có tên của Layer 2 analyzer cho FPC:

• Kích hoạt cấu hình các thuộc tính của switch chassis:

• Kích hoạt cấu hình của một FPC (và các PICs đã được cài đặt của nó):

• Gán một instance của statistical analyzer cho FPC:

• (Bắt buộc) Để gán một instance thứ hai của statistical analyzer cho việc phản chiếu Layer 2 tới cùng một FPC, lặp lại Bước 3 và chỉ định một tên statistical analyzer khác:

• Xác minh cấu hình tối thiểu của việc gán:

**Lưu ý: Khi gán một instance thứ hai (ví dụ trong trường hợp này là stats_analyzer-2), các thuộc tính phản chiếu của phiên này, nếu được cấu hình, sẽ ghi đè bất kỳ analyzer mặc định nào.

Cấu hình một Analyzer với nhiều đích sử dụng Nhóm Next-Hop

Bạn có thể phản chiếu lưu lượng đến nhiều đích bằng cách cấu hình các nhóm next-hop làm đầu ra của analyzer. Việc phản chiếu gói tin đến nhiều đích được gọi là multipacket port mirroring.

Để phản chiếu lưu lượng từ các cổng giao diện hoặc VLAN trên switch đến một cổng giao diện trên switch (sử dụng analyzers):

• Chọn tên cho analyzer và chỉ định input.

Ví dụ, tạo một analyzer có tên employee-monitor mà lưu lượng đầu vào bao gồm các gói tin vào từ các giao diện ge-0/0/0.0 và ge-0/0/1.0.

• Cấu hình giao diện đích cho các gói tin được sao chép:

Ví dụ, cấu hình nhóm next-hop nhg làm đích cho bộ phân tích employee-monitor:

Định nghĩa một Nhóm Next-Hop cho Gương phản chiếu (Mirroring) lớp 2

Cấu hình nhóm next-hop tại cấp cấu hình [edit forwarding-options] cho phép bạn định nghĩa tên nhóm next-hop, loại địa chỉ được sử dụng trong nhóm, và các giao diện logic tạo thành các đích đến khác nhau mà lưu lượng có thể được phản chiếu đến. Theo mặc định, nhóm next-hop được xác định bằng cách sử dụng các địa chỉ lớp 3 (Layer 3) thông qua lệnh: [edit forwarding-options next-hop-group <tên-nhóm-next-hop> group-type inet]. Để xác định một nhóm next-hop sử dụng địa chỉ lớp 2 (Layer 2), bạn cần sử dụng lệnh: [edit forwarding-options next-hop-group <tên-nhóm-next-hop> group-type layer-2].

Để định nghĩa một nhóm next-hop cho gương phản chiếu lớp 2, bạn cần:

• Bật cấu hình nhóm next-hop cho gương phản chiếu Layer 2.

Ví dụ, cấu hình một nhóm next-hop với tên là nhg:

• Chỉ định loại địa chỉ sẽ được sử dụng trong cấu hình nhóm next-hop

Ví dụ, cấu hình loại nhóm next-hop là layer-2 vì đầu ra của bộ phân tích (analyzer) phải là lớp 2 (layer-2) duy nhất:

• Chỉ định các giao diện logic của nhóm next-hop:

Ví dụ, để chỉ định ge-0/0/10.0 và ge-0/0/11.0 làm các giao diện logic của nhóm next-hop nhg:

Cấu hình Mirroring trên Switch EX4300 để phân tích lưu lượng (Thao tác qua CLI)

**Lưu ý: Tác vụ này sử dụng Junos OS cho dòng switch EX với cấu hình theo kiểu ELS (Enhanced Layer 2 Software).

Switch EX4300 cho phép bạn cấu hình tính năng gương phản chiếu (mirroring) để gửi bản sao của các gói tin đến một giao diện cục bộ (để giám sát tại chỗ) hoặc đến một VLAN (để giám sát từ xa). Bạn có thể sử dụng mirroring để sao chép các gói tin sau:

• Các gói tin đi vào hoặc đi ra khỏi một cổng
• Các gói tin đi vào một VLAN

**Khuyến nghị tốt nhất: Chỉ phản chiếu các gói tin cần thiết để giảm thiểu ảnh hưởng đến hiệu suất hệ thống. Chúng tôi khuyến nghị bạn:

• Tắt các cấu hình mirroring khi không sử dụng.
• Chỉ định từng giao diện cụ thể làm đầu vào cho analyzer thay vì chọn tất cả các giao diện.
• Giới hạn lượng lưu lượng bị phản chiếu bằng cách sử dụng các bộ lọc firewall.

**Lưu ý: Nếu bạn muốn tạo thêm các analyzer mới mà không cần xóa các analyzer hiện tại, thì hãy vô hiệu hóa (disable) các analyzer đang có bằng lệnh disable analyzer <tên-analyzer> thông qua CLI hoặc trong giao diện cấu hình J-Web dành cho tính năng mirroring.

**Lưu ý: Các giao diện được sử dụng làm đầu ra cho analyzer phải được cấu hình trong nhóm ethernet-switching (family ethernet-switching).

Cấu hình Analyzer để Phân tích Lưu lượng Cục bộ

Để phản chiếu lưu lượng của giao diện hoặc VLAN trên switch đến một giao diện khác trên chính switch (bằng cách sử dụng analyzer):

• Chọn một tên cho analyzer và chỉ định nguồn đầu vào:

Ví dụ, tạo một analyzer có tên là employee-monitor, trong đó lưu lượng đầu vào là các gói tin đi vào từ các giao diện ge-0/0/0.0 và ge-0/0/1.0:

• Cấu hình giao diện đích cho các gói tin được phản chiếu:

Ví dụ, cấu hình ge-0/0/10.0 làm giao diện đích cho analyzer employee-monitor:

Cấu hình Analyzer để phân tích lưu lượng từ xa

Để phản chiếu lưu lượng đi qua các giao diện hoặc một VLAN trên switch đến một VLAN để phân tích từ xa (bằng cách sử dụng analyzer):

• Cấu hình một VLAN để mang lưu lượng bị phản chiếu.

Ví dụ, định nghĩa một VLAN analyzer có tên là remote-analyzer và gán cho nó ID VLAN là 999:

• Cấu hình giao diện của mô-đun uplink kết nối với switch phân phối ở chế độ trunk và liên kết nó với VLAN analyzer:

Ví dụ, cấu hình giao diện ge-0/1/1 ở chế độ trunk và liên kết nó với VLAN analyzer có ID 999:

• Cấu hình Analyzer:

+ Định nghĩa một analyzer và chỉ định lưu lượng sẽ được phản chiếu.

Ví dụ, định nghĩa analyzer employee-monitor, trong đó lưu lượng sẽ được phản chiếu là các gói tin đi vào các giao diện ge-0/0/0.0 và ge-0/0/1.0:

+ Chỉ định VLAN analyzer làm đầu ra cho analyzer:

Ví dụ, chỉ định VLAN remote-analyzer làm đầu ra analyzer cho analyzer employee-monitor:

Cấu hình Port Mirroring

Để lọc các gói tin sẽ được phản chiếu đến một instance port-mirroring, hãy tạo instance và sau đó sử dụng nó như hành động trong bộ lọc firewall. Bạn có thể sử dụng bộ lọc firewall trong cả cấu hình mirroring cục bộ và từ xa.

Nếu cùng một instance port-mirroring được sử dụng trong nhiều bộ lọc hoặc điều khoản (terms), các gói tin chỉ được sao chép đến cổng đầu ra analyzer hoặc VLAN analyzer một lần duy nhất.

Để lọc lưu lượng bị phản chiếu, hãy tạo một instance port-mirroring dưới cấp cấu hình [edit forwarding-options], và sau đó tạo một bộ lọc firewall. Bộ lọc có thể sử dụng bất kỳ điều kiện khớp (match conditions) nào có sẵn và phải có port-mirror-instance instance-name như một

hành động. Hành động này trong cấu hình bộ lọc firewall cung cấp đầu vào cho instance port-mirroring.

Để cấu hình một instance port-mirroring với bộ lọc firewall:

• Cấu hình tên instance port-mirroring (ở đây là employee-monitor) và đầu ra:

+ Đối với phân tích cục bộ, thiết lập đầu ra là giao diện cục bộ nơi bạn sẽ kết nối máy tính đang chạy protocol analyzer.

+ Đối với phân tích từ xa, thiết lập đầu ra là VLAN remote-analyzer:

• Tạo một bộ lọc firewall bằng cách sử dụng bất kỳ điều kiện khớp nào có sẵn và gán employee-monitor cho hành động port-mirror-instance:

Bước này hiển thị một ví dụ về bộ lọc firewall example-filter, với hai điều khoản (terms) là no-analyzer và to-analyzer:

+ Tạo điều khoản đầu tiên để định nghĩa lưu lượng không nên đi qua đến instance port-mirroring employee-monitor:

+ Tạo điều khoản thứ hai để định nghĩa lưu lượng nên đi qua đến instance port-mirroring employee-monitor:

• Áp dụng bộ lọc firewall cho các giao diện hoặc VLAN cung cấp đầu vào cho instance port-mirroring:

Cấu hình Port Mirroring để phân tích lưu lượng (Thao tác qua CLI)

Tác vụ cấu hình này sử dụng Junos OS cho các switch EX Series không hỗ trợ kiểu cấu hình Enhanced Layer 2 Software (ELS).

Các switch EX Series cho phép bạn cấu hình port mirroring để gửi bản sao các gói tin đến một giao diện cục bộ (để giám sát tại chỗ) hoặc đến một VLAN (để giám sát từ xa). Bạn có thể sử dụng port mirroring để sao chép các gói tin sau:

• Các gói tin đi vào hoặc đi ra khỏi một cổng

• Các gói tin đi vào một VLAN trên các switch EX2200, EX3200, EX3300, EX4200, EX4500, hoặc EX6200

• Các gói tin đi ra khỏi một VLAN trên các switch EX8200

Khuyến nghị tốt nhất: Chỉ phản chiếu các gói tin cần thiết để giảm thiểu ảnh hưởng đến hiệu suất hệ thống. Chúng tôi khuyến nghị bạn:

• Tắt các analyzer port mirroring đã cấu hình khi không sử dụng.

• Chỉ định từng giao diện cụ thể làm đầu vào cho analyzer thay vì chọn tất cả các giao diện.

• Giới hạn lượng lưu lượng bị phản chiếu bằng cách:

  • Sử dụng mẫu thống kê (statistical sampling).

  • Cài đặt tỷ lệ để chọn mẫu thống kê.

  • Sử dụng bộ lọc firewall.

Trước khi bắt đầu cấu hình port mirroring, hãy lưu ý các hạn chế sau đối với các giao diện đầu ra analyzer:

• Không thể đồng thời là cổng nguồn.

• Không thể được sử dụng cho việc chuyển mạch.

• Không tham gia vào các giao thức Layer 2 (như RSTP) khi là một phần của cấu hình port mirroring.

• Không giữ lại bất kỳ sự liên kết VLAN nào mà nó đã có trước khi được cấu hình làm giao diện đầu ra analyzer.

**Lưu ý: Nếu bạn muốn tạo thêm các analyzer mà không xóa analyzer hiện tại, trước tiên hãy vô hiệu hóa analyzer hiện tại bằng lệnh disable analyzer <tên-analyzer> hoặc qua trang cấu hình J-Web dành cho port mirroring.

**Lưu ý: Các giao diện được sử dụng làm đầu ra cho analyzer phải được cấu hình trong nhóm family ethernet-switching.

Cấu hình Port Mirroring cho phân tích lưu lượng cục bộ

Để phản chiếu lưu lượng giao diện hoặc lưu lượng VLAN trên switch đến một giao diện khác trên switch:

• Chọn một tên cho analyzer — trong trường hợp này là employee-monitor và chỉ định đầu vào — trong trường hợp này là các gói tin đi vào ge-0/0/0 và ge-0/0/1:

• Tùy chọn, bạn có thể chỉ định một mẫu thống kê của các gói tin bằng cách thiết lập tỷ lệ:

Khi tỷ lệ được thiết lập là 200, 1 trong mỗi 200 gói tin sẽ được phản chiếu đến analyzer. Bạn có thể sử dụng mẫu thống kê để giảm khối lượng lưu lượng bị phản chiếu, vì lưu lượng phản chiếu quá cao có thể gây ảnh hưởng đến hiệu suất của switch. Trên các switch EX8200, bạn chỉ có thể thiết lập tỷ lệ cho các gói tin nhập (ingress).

• Cấu hình giao diện đích cho các gói tin bị phản chiếu:

Cấu hình Port Mirroring cho phân tích lưu lượng từ xa

Để phản chiếu lưu lượng đi qua các giao diện hoặc một VLAN trên switch đến một VLAN để phân tích từ xa:

• Cấu hình một VLAN để mang lưu lượng bị phản chiếu. VLAN này được gọi là remote-analyzer và được gán ID là 999 theo quy ước trong tài liệu này.

• Cấu hình giao diện mô-đun uplink kết nối với switch phân phối ở chế độ trunk và liên kết nó với VLAN remote-analyzer:

Cấu hình Analyzer:

+ Chọn một tên và thiết lập độ ưu tiên mất gói (loss priority) là cao. Độ ưu tiên mất gói luôn nên được đặt là cao khi cấu hình cho port mirroring từ xa.

+ Chỉ định lưu lượng sẽ được phản chiếu — trong ví dụ này, các gói tin đi vào các cổng ge-0/0/0 và ge-0/0/1:

+ Chỉ định VLAN remote-analyzer làm đầu ra cho analyzer:

• Tùy chọn, bạn có thể chỉ định một mẫu thống kê của các gói tin bằng cách thiết lập tỷ lệ:

Khi tỷ lệ được thiết lập là 200, 1 trong mỗi 200 gói tin sẽ được phản chiếu đến analyzer. Bạn có thể sử dụng điều này để giảm khối lượng lưu lượng bị phản chiếu, vì lưu lượng phản chiếu quá cao có thể gây ảnh hưởng đến hiệu suất của switch.

Lọc Lưu lượng Vào Analyzer

Để lọc các gói tin được phản chiếu đến một analyzer, hãy tạo analyzer và sau đó sử dụng nó như một hành động trong bộ lọc firewall. Bạn có thể sử dụng bộ lọc firewall trong cả cấu hình port mirroring cục bộ và từ xa.

Nếu cùng một analyzer được sử dụng trong nhiều bộ lọc hoặc điều khoản (terms), các gói tin chỉ được sao chép đến cổng đầu ra analyzer hoặc VLAN analyzer một lần duy nhất.

Để lọc lưu lượng bị phản chiếu, hãy tạo một analyzer và sau đó tạo một bộ lọc firewall. Bộ lọc có thể sử dụng bất kỳ điều kiện khớp (match conditions) nào có sẵn và phải có hành động là analyzer. Hành động của bộ lọc firewall cung cấp đầu vào cho analyzer.

Để cấu hình port mirroring với bộ lọc:

• Cấu hình tên analyzer (ở đây là employee-monitor) và đầu ra:

Đối với phân tích cục bộ, thiết lập đầu ra là giao diện cục bộ mà bạn sẽ kết nối máy tính chạy ứng dụng protocol analyzer.

- Đối với phân tích từ xa, thiết lập độ ưu tiên mất gói (loss priority) là cao và thiết lập đầu ra là VLAN remote-analyzer:

• Tạo một bộ lọc firewall sử dụng bất kỳ điều kiện khớp (match conditions) nào có sẵn và chỉ định hành động là analyzer:

Bước này hiển thị một bộ lọc firewall có tên example-filter, với hai điều khoản (terms):

+ Tạo điều khoản đầu tiên để định nghĩa lưu lượng không nên đi qua đến analyzer:

+ Tạo điều khoản thứ hai để định nghĩa lưu lượng nên đi qua đến analyzer:

• Áp dụng bộ lọc firewall cho các giao diện hoặc VLAN là đầu vào của analyzer:

Xác minh đầu vào và đầu ra cho Analyzers Port Mirroring trên Switch EX Series

Mục đích

Nhiệm vụ xác minh này sử dụng Junos OS cho các switch EX Series không hỗ trợ phong cách cấu hình Enhanced Layer 2 Software (ELS).

Xác minh rằng một analyzer đã được tạo trên switch và có các giao diện đầu vào mirror phù hợp, cũng như giao diện đầu ra analyzer phù hợp.

Hành động

Bạn có thể xác minh rằng analyzer port mirroring đã được cấu hình như mong muốn bằng cách sử dụng lệnh show analyzer.

Bạn có thể xem tất cả các analyzer port mirroring đã được cấu hình trên switch, bao gồm cả những analyzer đã bị vô hiệu hóa, bằng cách sử dụng lệnh show ethernet-switching-options trong chế độ cấu hình.

Ý nghĩa

Kết quả này cho thấy analyzer employee-monitor có tỷ lệ là 1 (phản chiếu mỗi gói tin, mặc định), độ ưu tiên mất gói là cao (hãy thiết lập tùy chọn này là cao mỗi khi đầu ra analyzer là một VLAN), đang phản chiếu lưu lượng đi vào ge-0/0/0 và ge-0/0/1, và đang gửi lưu lượng bị phản chiếu đến analyzer có tên là remote-analyzer.

Chúc các bạn thực hiện thành công. Hi vọng bài viết này sẽ giúp ích cho các bạn trong công việc. Nếu bạn có vấn đề gì thắc mắc đừng ngần ngại liên hệ với chúng tôi theo thông tin dưới đây để được hỗ trợ thêm.

Hẹn gặp lại các bạn trong các bài viết tiếp theo!