topic:srx_port_morror
Настройка port-mirroring на Juniper SRX
Настраиваем интерфейс srx к которому будет подключена машина с анализатором.
set interfaces fe-0/0/1 description server-name/port set interfaces fe-0/0/1 unit 0 description span-port set interfaces fe-0/0/1 unit 0 family inet address 10.11.12.1/30
Определяем интерфейс в зону безопасности.
set security zones security-zone MGMT interfaces fe-0/0/1.0 host-inbound-traffic system-services ping
Настраиваем адрес машины куда будем лить трафик и количественные трафика.
set forwarding-options port-mirroring input rate 1 set forwarding-options port-mirroring input run-length 1 set forwarding-options port-mirroring family inet output interface fe-0/0/1.0 next-hop 10.11.12.2
где:
- input rate - “Частота” выборки пакетов которые будут отмиррорины.
“1” - каждый первый пакет из потока.
“10” - каждый десятый пакет из потока. - run-length -
Настраиваем правило файрволла для захвата трафика который хотим мирорить.
set firewall family inet filter PORT-MIRROR term PERMIT-ALL then port-mirror set firewall family inet filter PORT-MIRROR term PERMIT-ALL then accept
Настраиваем интерфейс srx с которого будет мирорить трафик.
set interfaces gr-0/0/0 unit 14 family inet filter input PORT-MIRROR set interfaces gr-0/0/0 unit 14 family inet filter output PORT-MIRROR
Замечание.
На машине на которой работает анализатор надо обязательно настроить ip который задан в настройках srx. Если адрес >не настраивать, а просто перевести порт в promiscuous режим, работать не будет. SRX не будет отправляться трафик в >порт fe-0/0/1, скорее всего потому что не видит arp для 10.11.12.2.
В принципе можно попробовать задать arp запись руками на уровне [edit interface ge-0/0/0]:
set interfaces fe-0/0/1 unit 0 family inet address 10.11.12.1/30 arp 10.11.12.2 mac 00:50:56:b6:30:7a;
Сам не проверял.
В итоге конфиг srx должен выглядеть так:
...
fe-0/0/1 {
description server-name/port;
unit 0 {
description span-port;
family inet {
address 10.11.12.1/30;
arp 10.11.12.2 mac 00:50:56:b6:30:7a;
}
}
}
...
security-zone MGMT {
interfaces {
fe-0/0/1.0 {
host-inbound-traffic {
system-services {
ping;
}
}
}
}
}
...
forwarding-options {
port-mirroring {
input {
rate 1;
run-length 10;
}
family inet {
output {
interface fe-0/0/1.0 {
next-hop 10.11.12.2;
}
}
}
}
}
...
firewall {
family inet {
filter PORT-MIRROR {
term PERMIT-ALL {
then {
port-mirror;
accept;
}
}
}
}
}
...
}
gr-0/0/0 {
unit 14 {
tunnel {
source 1.1.1.1;
destination 1.1.1.2;
}
family inet {
filter {
input PORT-MIRROR;
output PORT-MIRROR;
}
address 10.11.12.5/30;
}
}
Полезные ссылки:
topic/srx_port_morror.txt · Last modified: by 127.0.0.1