RTFM && WTFN - backup

User Tools

Site Tools

Trace: Быстрые заметки JN0-332: Junos Security Policies start Установка Racktables Настройка port-mirroring на Juniper SRX
topic:srx_port_morror

This is an old revision of the document!

Настройка port-mirroring на Juniper SRX

Настраиваем интерфейс srx к которому будет подключена машина с анализатором. 

set interfaces fe-0/0/1 description server-name/port
set interfaces fe-0/0/1 unit 0 description span-port
set interfaces fe-0/0/1 unit 0 family inet address 10.11.12.1/30
<code>

Определяем интерфейс в зону безопасности.
<code>
set security zones security-zone MGMT interfaces fe-0/0/1.0 
host-inbound-traffic system-services ping

Настраиваем адрем машины куда будем лить трафик и количество трафика. 

set forwarding-options port-mirroring input rate 1
set forwarding-options port-mirroring input run-length 10
set forwarding-options port-mirroring family inet output interface fe-0/0/1.0 next-hop 10.11.12.2

где:

  • input rate

Настраиваем правило файрволла для захвата трафика который хотим мирорить. set firewall family inet filter PORT-MIRROR term PERMIT-ALL then port-mirror set firewall family inet filter PORT-MIRROR term PERMIT-ALL then accept

Настраиваем интерфейс srx с которого будет мирорить трафик. set interfaces gr-0/0/0 unit 14 family inet filter input PORT-MIRROR set interfaces gr-0/0/0 unit 14 family inet filter output PORT-MIRROR

###Замечание. На машине на которой работает анализатор надо обязательно настроить ip который задан в настройках srx. Если адрес не настраивать, а просто перевести порт в promiscuous режим, работать не будет. Srx не будет отправляться трафик в порт fe-0/0/1, скорее всего потому что не видит arp для 10.11.12.2 (??).

В итоге конфиг srx должен выглядеть так: … fe-0/0/1 { 

  description server-name/port;
  unit 0 {
      description span-port;
      family inet {
          address 10.11.12.1/30;
      }
  }

} … security-zone MGMT { 

  interfaces {
      fe-0/0/1.0 {
          host-inbound-traffic {
              system-services {
                  ping;
              }
          }
      }
  }

} … forwarding-options { 

  port-mirroring {
      input {
          rate 1;
          run-length 10;
      }
      family inet {
          output {
              interface fe-0/0/1.0 {
                  next-hop 10.11.12.2;
              }
          }
      }
  }

} … firewall { 

  family inet {
      filter PORT-MIRROR {
          term PERMIT-ALL {
              then {
                  port-mirror;
                  accept;
              }
          }
      }
  }

} … } gr-0/0/0 { 

  unit 14 {
      tunnel {
          source 1.1.1.1;
          destination 1.1.1.2;
      }
      family inet {
          filter {
              input PORT-MIRROR;
              output PORT-MIRROR;
          }
          address 10.11.12.5/30;
      }
  }
topic/srx_port_morror.1493457962.txt.gz · Last modified: (external edit)
Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki