DNS Mirror maken op Juniper QFX met ERSPAN

DNS Mirror maken op Juniper QFX met ERSPAN

Door

Een Juniper QFX is een familie high-performance datacenter-switches van Juniper Networks. Ze zijn ontworpen voor lage latency, hoge doorvoercapaciteit en schaalbaarheid in omgevingen waar veel dataverkeer plaatsvindt, zoals spine-leaf netwerken, datacenter-gateways en interconnects. QFX-switches draaien op Junos OS en ondersteunen geavanceerde fabric-technologieën zoals EVPN-VXLAN om grote, flexibele L2/L3-netwerken te bouwen.

Deze switches ondersteunen remote port mirroring waarbij gespiegelde pakketten in GRE worden ingekapseld en naar een analyzer op een remote IP-adres worden gestuurd. Functioneel komt dit overeen met ERSPAN: je kopieert verkeer van poorten, VLAN’s of via filters en transporteert die mirrorstroom over je IP-underlay naar een packet-collector of NDR/NPM-tool.

Dit heeft als voordeel dat er niet zoveel bandbreedte nodig is tussen de QFX en de Analyzer en dat de Analyzer zelfs niet direct verbonden hoeft te zijn op de QFX, maar dat deze achter andere routers en/of firewalls kan bevinden.

In dit voorbeeld gaan we DNS verkeer welke door de QFX gerouteerd wordt middels ERSPAN óók naar een Analyzer sturen. We gebruiken de volgende opstelling:

Eerst gaan we de basis Interface en routing configuratie maken zoals beschreven in de tekening:

Kopiëren naar klembord
set vlans v0005 vlan-id 5
set vlans v0005 l3-interface irb.5
set interfaces irb unit 5 family inet address 10.1.5.254/24
set routing-options static route 0.0.0.0/0 next-hop 10.1.5.1

set vlans v0030 vlan-id 30
set vlans v0030 l3-interface irb.30
set interfaces irb unit 255 family inet address 10.1.30.1/24

set vlans v0255 vlan-id 255
set vlans v0255 l3-interface irb.255
set interfaces irb unit 255 family inet address 10.1.255.1/24

De VLANs passen we toe op de poorten:

Kopiëren naar klembord
set interfaces ge-0/0/0 description firewall
set interfaces ge-0/0/0 unit 0 family ethernet-switching interface-mode trunk
set interfaces ge-0/0/0 unit 0 family ethernet-switching vlan members v0005
set interfaces ge-0/0/1 description analyzer
set interfaces ge-0/0/1 unit 0 family ethernet-switching vlan members v0255
set interfaces ge-0/0/2 description client
set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members v0030

We gaan een Firewall filter maken op basis van inet (IPv4), geven aan dat we alle pakketten welke poort 53 gebruiken de actie “port-mirror” willen uitvoeren. Alle andere pakketten moeten worden doorgezet zonder verdere actie:

Kopiëren naar klembord
set firewall family inet filter dns-mirror4 term dns from port 53
set firewall family inet filter dns-mirror4 term dns then port-mirror
set firewall family inet filter dns-mirror4 term rest then accept

Volgens stellen we deze filter Inbound op de Firewall en Router interface:

Kopiëren naar klembord
set interfaces irb unit 5 family inet filter input dns-mirror4
set interfaces irb unit 30 family inet filter input dns-mirror4

Vervolgens stellen we in dat alle pakketten welke de “port-mirror” actie hebben via ERSPAN (GRE) naar de Analyzer verstuurd moeten worden

Kopiëren naar klembord
set forwarding-options port-mirroring family inet output interface irb.255
set forwarding-options port-mirroring family inet output ip-address 10.1.255.10

Deze configuratie committen we op de QFX, je kan de status van de Poort Mirror terugzien met het volgende commando:

Kopiëren naar klembord
solidbe@QFX# run show forwarding-options port-mirroring detail          
Instance Name: &global_instance               
  Instance Id: 1              
  Input parameters:
    Rate                  : 1
    Run-length            : 0
    Maximum-packet-length : 0
  Output parameters:
    Family              State     Destination          Next-hop
    inet                up        10.1.255.10          irb.255

Op de Analyzer zou je DNS pakketten moeten zien binnenkomen, verpakt met een GRE tag. Dit zie je bijvoorbeeld in Wireshark terug:

EXTRA: ERSPAN over IPv4 infrastructuur (geen directe fysieke verbinding tussen Analyzer en QFX)

De Analyzer mag ook op een remote locatie kunnen staan, we gaan uit van de configuratie uit het vorige voorbeeld, maar bevind de analyzer zich achter een S2S VPN Tunnel:

We hoeven alleen de interface en IP adres aan te passen onder forwarding options.

Kopiëren naar klembord
### Destination 10.33.0.10 bevindt zich achter de default route
# set routing-options static route 0.0.0.0/0 next-hop 10.1.5.1

set forwarding-options port-mirroring family inet output interface irb.5
set forwarding-options port-mirroring family inet output ip-address 10.33.0.10

Controleer of je route goed geconfigureerd is, in dit geval gaat deze met de default route mee.

Vragen?

U kunt altijd contact met SolidBE opnemen mocht u een vraag hebben over een van de besproken onderwerpen (Configuratie, Juniper, TechTalk ) of wanneer u assistentie nodig heeft om netwerk- of security vraagstukken op te lossen. Wij helpen u graag bij de beheren van een veilige en solide ICT omgeving!

Auteur

Tom Scholten is Senior Network Engineer bij SolidBE

Meer artikelen van Tom Scholten | @LinkedIN

Tags: Configuratie, Juniper, TechTalk
Lees meer

Ook interessant

Scroll naar boven