前一段時間部署了一臺分析流量的的設備,需要將端口的流量鏡像到該服務器的網卡一份。
由於juniper操作命令不熟悉,網上命令也比較少。因此寫份Blog記錄下。
EX交換機的端口鏡像實現對端口入流量,或者出流量單獨進行鏡像,而且通過ethernet-switching的firewall filter,可以指定符合條件的流量進行鏡像,例如指定IP地址或者MAC地址的流量,或者指定協議(例如Http)的流量鏡像。
操作步驟:
(1)建立一個端口鏡像名稱,並且指定需要作鏡像的端口,同一個鏡像名稱可以指定多個要鏡像的端口的。
(2)創建鏡像名稱之後,指定需要鏡像的輸出端口,然後在輸出端口接個sniffer就可以抓取鏡像的流量了。
#"編輯鏡像名稱參數,port_monitor是鏡像名稱,如果不存在就創建一個新的"
[edit]
lab@EX4200-1# editethernet-switching-options analyzer port_monitor
[editethernet-switching-options analyzer port_monitor]
lab@EX4200-1# set inputegress interface ge-0/0/10.0 #"定義要鏡像端口輸出流量"
lab@EX4200-1# set inputingress interface ge-0/0/10.0 #"定義要鏡像端口輸入流量"
lab@EX4200-1# set outputinterface ge-0/0/1.0 #"定義輸出端口(接sniffer的端口)"
lab@EX4200-1#
也可以定義基於fireware的端口鏡像。
#設置鏡像輸出端口
lab@EX4200-1# top
[edit]
lab@EX4200-1#set ethernet-switching-options analyzer port_monitor output interfacege-0/0/10.0
#"設置過濾條件,具體條件設置請參考JUNOS的filter設置說明"
lab@EX4200-1#edit firewall family ethernet-switching filter mirror_filter # “ mirror_filter爲policy名稱"
[edit firewall familyethernet-switching filter mirror_filter]
lab@EX4200-1#
lab@EX4200-1#set term 1 from destination-address 192.0.2.16/28 #"第一個條目term 1目的IP地址"
lab@EX4200-1#set term 1 fromsource-address 192.0.2.16/28 #"指定源IP地址"
lab@EX4200-1#set term 1 fromdestination-port 80 #"指定目的端口"
#"定義符合條件進行鏡像動作,port_monitor就是上面定義的鏡像名稱"
lab@EX4200-1#set term 1 then analyzer port_monitor
lab@EX4200-1#set term 2 then accept #"生成第二條term條目,指定其它流量不鏡像"
#設置需要鏡像端口的filter參數
lab@EX4200-1# top
lab@EX4200-1# delete interfacesge-0/0/1 unit 0
lab@EX4200-1# setinterfaces ge-0/0/1 unit 0 family ethernet-switching
lab@EX4200-1#set interfaces ge-0/0/0 unit 0 family ethernet-switchingfilter input mirror_filter