set interfaces fe-0/0/1 description server-name/port
set interfaces fe-0/0/1 unit 0 description span-port
set interfaces fe-0/0/1 unit 0 family inet address 10.11.12.1/30
set security zones security-zone MGMT interfaces fe-0/0/1.0 \
host-inbound-traffic system-services ping
set forwarding-options port-mirroring input rate 1
set forwarding-options port-mirroring input run-length 10
set forwarding-options port-mirroring family inet output interface fe-0/0/1.0 next-hop 10.11.12.2
Настраиваем правило файрволла для захвата трафика который хотим мирорить.
set firewall family inet filter PORT-MIRROR term PERMIT-ALL then port-mirror
set firewall family inet filter PORT-MIRROR term PERMIT-ALL then accept
set firewall family inet filter PORT-MIRROR term PERMIT-ALL then accept
Настраиваем интерфейс srx с которого будет мирорить трафик.
set interfaces gr-0/0/0 unit 14 family inet filter input PORT-MIRROR
set interfaces gr-0/0/0 unit 14 family inet filter output PORT-MIRROR
###Замечание.
На машине на которой работает анализатор надо обязательно настроить ip который задан в настройках srx. Если адрес не настраивать, а просто перевести порт в promiscuous режим, работать не будет. Srx не будет отправляться трафик в порт fe-0/0/1, скорее всего потому что не видит arp для 10.11.12.2 (??).
В итоге конфиг srx должен выглядеть так:
...
fe-0/0/1 {
description server-name/port;
unit 0 {
description span-port;
family inet {
address 10.11.12.1/30;
}
}
}
...
fe-0/0/1 {
description server-name/port;
unit 0 {
description span-port;
family inet {
address 10.11.12.1/30;
}
}
}
...
security-zone MGMT {
interfaces {
fe-0/0/1.0 {
host-inbound-traffic {
system-services {
ping;
}
}
}
}
}
...
forwarding-options {
port-mirroring {
input {
rate 1;
run-length 10;
}
family inet {
output {
interface fe-0/0/1.0 {
next-hop 10.11.12.2;
}
}
}
}
}
...
firewall {
family inet {
filter PORT-MIRROR {
term PERMIT-ALL {
then {
port-mirror;
accept;
}
}
}
}
}
...
}
gr-0/0/0 {
unit 14 {
tunnel {
source 1.1.1.1;
destination 1.1.1.2;
}
family inet {
filter {
input PORT-MIRROR;
output PORT-MIRROR;
}
address 10.11.12.5/30;
}
}
Комментариев нет:
Отправить комментарий